Ochrona danych osobowych – obowiązek przedsiębiorcy

Ochrona danych osobowych w Polsce stoi na dość wysokim poziomie – przynajmniej w teorii. A jak jest w praktyce? Czy przedsiębiorcy wiedzą jak kształtują się przepisy prawne określające obowiązki i prawa związane z Ustawą o ochronie danych osobowych?

Uchwalony 20 lat temu, w 1997 roku dokument (Ustawa o ochronie danych osobowych) wprowadził szereg obowiązków, co do przestrzegania których zobligowani są polscy przedsiębiorcy. Ustawa reguluje na przykład zakres przetwarzania danych osobowych. Niestety nie każdy pracodawca zdaje sobie sprawę z tego, że on również zobowiązany jest do przestrzegania Ustawy o ochronie danych osobowych, a naruszenie jej postanowień może zakończyć się dla niego surową karą.

Co to są dane osobowe?

Dane osobowe są dość jasno sprecyzowane w ustawie. Wedle zawartej w niej definicji, dane osobowe to wszystkie informacje, na podstawie których jesteśmy w stanie zidentyfikować tożsamość osoby fizycznej. Za takie dane uznaje się:

• Imię
• Nazwisko
• Adres
• Pesel
• NIP
• Numer telefonu (tylko taki, który jednoznacznie pozwala rozpoznać osobę fizyczną)
• Adres email (tylko taki, który jednoznacznie pozwala rozpoznać osobę fizyczną)

Przedsiębiorca prowadzący działalność gospodarczą, niezależnie od jej formy, ma na co dzień do czynienia z dokumentami zawierającymi szereg danych osobowych. Są to wszelkie dokumenty np. dotyczące zatrudnianych pracowników (akta osobowe, cv, kwestionariusze, umowy), dane związane z wystawianiem faktur, realizacją zleceń, realizacją zakupów w sklepie internetowym, podania o pracę czy chociażby lista osób, które… zapisały się na firmowy newsletter.

Przetwarzanie danych osobowych

Każdy przedsiębiorca i podmiot, który zamierza przetwarzać dane, potrzebuje zezwolenia na ich przetwarzanie. W zdecydowanej większości przypadków, takim zezwoleniem jest po prostu zgoda osoby fizycznej, wyrażana przez odpowiednią klauzulę w komunikacji z podmiotem (np. na końcu przesłanego podania o pracę, CV, formularza konkursowego etc.). Ustawa o ochronie danych osobowych wyraża obowiązki podmiotów, spośród których najważniejszym jest ścisła ochrona danych osobowych. Przez ochronę danych należy rozumieć zabezpieczenie danych (na różne sposoby) przed dostępem do nich osób nieupoważnionych.

Środki ochrony danych osobowych – Polityka bezpieczeństwa danych osobowych

Do podstawowych środków ochrony danych osobowych zaliczamy wszelkie działania, które przedsiębiorca (podmiot) jest w stanie wdrożyć we własnym zakresie. Mowa tu np. o okresowej zmianie hasła na komputerze, o ograniczonym dostępie do sprzętów z danymi i do papierowych baz danych.
Osoby odpowiedzialne za zarządzanie danymi osobowymi w firmie powinny w porozumieniu z zarządcą firmy sporządzić tzw. politykę bezpieczeństwa danych w firmie, która będzie dokładnie określała jak przestrzegana jest Ustawa o ochronie danych osobowych w firmie, jakich środków się używa i jak prezentują się scenariusze postępowania z danymi osobowymi. Dodatkiem do takiego dokumentu powinny być wykazy osób uprawnionych do przetwarzania danych osobowych w firmie, wraz z potwierdzeniem, że osoby te zapoznały się z wewnętrzną polityką firmy w zakresie ochrony danych osobowych. Wszelkie informacje o tym jak należy dbać o przestrzeganie danych osobowych w firmie zostały szczegółowo opisane w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych (z 29 kwietnia 2004 r).
Co istotne, na przedsiębiorcy ciąży również obowiązek stworzenia i aktualizowania wykazu pomieszczeń, w których znajdują się zbiory danych osobowych oraz przez kogo zbiory te mogą być użytkowane oraz w jakim celu. Dodatkowo, przedsiębiorca ma obowiązek poinformować osoby, których dane dotyczą o zamiarze ich przetwarzania.

GIODO

Od kilku lat kontrolowaniem ochrony danych osobowych w Polsce zajmuje się urząd GIODO, czyli Generalny Inspektor Ochrony Danych Osobowych. Przedsiębiorca, który zbiera dane osobowe zobowiązany jest zarejestrować każdy zbiór takich danych w rejestracji GIODO. Po wypełnieniu krótkiego wniosku na stronie internetowej, i autoryzacji ze strony GIODO, pocztą tradycyjną przedsiębiorca otrzyma potwierdzenie o rejestracji zbioru.
W związku z tym, że sytuacja na rynku jest bardzo dynamiczna i ogromny wpływ na dane osobowe wywarła powszechna cyfryzacja, urząd GIODO transformował i w niektórych przypadkach przedsiębiorca nie musi zgłaszać zbioru danych osobowych do GIODO, o ile posiada wśród pracowników wykwalifikowaną osobę sprawującą funkcję tzw. ADO, ABI lub ASI.
ABI czyli Administrator Bezpieczeństwa Informacji i ASI czyli Administrator Systemów Informatycznych to osoby, które w firmie pełnią rolę „menadżera danych osobowych” – to te osoby odpowiadają za przeszkolenie pozostałych pracowników pod kątem przetwarzania danych osobowych. Do obowiązków ABI i ASI w firmie należy również najwyższa troska o zapewnienie możliwie najwyższego poziomu bezpieczeństwa zbiorów danych osobowych.

Przetwarzanie danych osobowych jest dzisiaj czynnością nieuniknioną i tylko niewielka część przedsiębiorców w specyficznych sektorach gospodarki, nie jest objęta obowiązkiem ochrony danych osobowych. Jeżeli Państwa firma przetwarza dane osobowe, ale nie macie pewności, czy jest to robione w sposób prawidłowy, bezpieczny czy zgodny z prawem – zapraszamy do współpracy.

Biuro Rachunkowe GRIMP oferuje fachowe wsparcie w zakresie wdrażania polityki bezpieczeństwa ochrony danych osobowych oraz zarządzania dokumentacją w firmie.

Zaufaj profesjonalistom – zgłoś się do Biura Rachunkowego GRIMP już teraz!