Notowania

ochrona danych osobowych
19.08.2014 10:00

Ochrona danych osobowych przez firmę. Jakie obowiązki?

Przepisy nie nakładają obowiązku otrzymywania jakichkolwiek certyfikatów i atestów od specjalistycznych firm - liczy się faktycznie sprawowana ochrona nad danymi osobowymi.

Podziel się
Dodaj komentarz

Ustawa o ochronie danych osobowych z 1997 r. wprowadziła szereg obowiązków po stronie przedsiębiorców w zakresie przetwarzania danych osób fizycznych. Ich ochrona jest dla prawodawcy na tyle istotna, że naruszenie wymagań może powodować nawet odpowiedzialność karną. Jakie czynności należy przedsięwziąć, aby uczynić zadość przepisom o ochronie danych osobowych?

Przepisy nakładające obowiązki dotyczące danych osobowych mają zastosowanie do większości firm. Związane jest to z przedmiotem ochrony - definicja danych osobowych obejmuje szeroki zakres informacji np. akta osobowe pracowników, dane przetwarzane w celu wystawienia faktury, rejestr podań o pracę, klienci sklepu internetowego lub zbiór osób otrzymujących newsletter. Wystarczy bowiem, by w prowadzonych przez przedsiębiorcę aktach znalazły się informacje pozwalające na zidentyfikowanie tożsamości osoby fizycznej. Typowymi danymi osobowymi są: imię, nazwisko, adres, PESEL, nr NIP oraz adres poczty elektronicznej umożliwiający identyfikację użytkownika.

Na przetwarzanie danych wymagane jest zezwolenie - najczęściej będzie to zgoda osób fizycznych, np. wyrażana przy zapisywaniu się na newsletter, bądź w ramach oświadczenia dołączanego do składanego CV. Inną przesłanką dopuszczającą przetwarzanie jest na przykład konieczność realizacji umowy, lub wymogów przewidzianych przepisami prawa.

Spośród nakładanych przez ustawę obowiązków najważniejszym jest ochrona danych osobowych, która polega na zabezpieczeniu ich przed udostępnieniem osobom nieupoważnionym. Ustawa nie nakłada obowiązku otrzymywania jakichkolwiek certyfikatów i uzyskiwania atestów od specjalistycznych firm - liczy się bowiem faktycznie sprawowana ochrona nad tymi danymi.

Środki ochrony, takie jak okresowa zmiana hasła użytkownika na komputerze, brak wstępu osobom postronnym bez asysty do pomieszczeń, gdzie przechowywane są dane, czy sposób powierzania ich na przechowanie są opisane w ustawie oraz rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych z 29 kwietnia 2004 r.

Ochrona wiąże się z wprowadzeniem polityki bezpieczeństwa danych osobowych. W ramach tej polityki stworzony powinien być wykaz zbiorów danych osobowych, a pracownicy, którzy mają dostęp do określonych zbiorów winni uzyskać upoważnienie od przedsiębiorcy do pracy przy tych zbiorach. Obowiązkiem przedsiębiorcy jest również ewidencjonowanie pomieszczeń, w których zbiory się znajdują, a także zapewnienie kontroli, kiedy i przez kogo dane osobowe zostały do zbioru wprowadzone oraz komu są przekazywane. Przetwarzanie danych osobowych wiąże się również z obowiązkiem informowania osób, których dane dotyczą, o prawach lub przekazania informacji o przetwarzanych danych ich dotyczących.

Ważną informacją jest, iż mimo że wszystkie dane osobowe muszą być szczególnie chronione, tylko niektóre ze zbiorów podlegają zgłoszeniu do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO). Związane jest to z określonymi w art. 43 ustawy okolicznościami zwalniającymi z obowiązku rejestracji. Przykładowo nie podlegają rejestracji: dane znajdujące się u przedsiębiorcy, które są przetwarzane w związku z zatrudnieniem osób fizycznych, świadczeniem usług na podstawie umów cywilnoprawnych, czy w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej. Nie podlegają również zgłoszeniu np. dane powszechnie dostępne lub przetwarzane w zakresie drobnych bieżących spraw życia codziennego.

Należy zwrócić szczególną uwagę na dane związane z informacjami wrażliwymi np. dotyczącymi zdrowia - takie dane mogą być przetwarzane dopiero po zarejestrowaniu zbioru przez GIODO. Obowiązek zgłoszenie dotyczy wyłącznie zakresu zbieranych informacji, a nie konkretnych danych. Oznacza to, że zgłasza się zbiór zawierający informacje imię, nazwisko, wiek, miejsce zamieszkania, nie zaś spis osób znajdujących się w zbiorze typu: Jan Kowalski, lat 56, zamieszkały w Warszawie.

Przedsiębiorcy winni wobec powyższych obowiązków sprawdzić, czy polityka związana z zbieraniem informacji spełnia wymagania określone przepisami. Istnieje bowiem zagrożenie, że jeżeli GIODO uzna, że określone działanie lub zaniechanie wyczerpuje znamiona przestępstwa, może skierować do prokuratury zawiadomienie o możliwości popełnienia przestępstwa (art. 19 ustawy).

Czytaj więcej w Money.pl
Więzienie za brak ochrony danych osobowych? Przepisy karne zawarte w ustawie o ochronie danych osobowych przewidują kary grzywny, ograniczenia wolności lub pozbawienia wolności.
Google po wyroku Trybunału UE. Nadchodzi rewolucja? _ - Nie jesteśmy w stanie uświadomić sobie wszystkich konsekwencji tego wyroku - _uważa Lidia Kołucka-Żuk z powołanej przez Google Rady Ekspertów.
Dane z firmowych smartfonów pod ochroną? W praktyce firmowe smartfony stały się nośnikami danych osobowych, które podlegają ustawowej ochronie.
Tagi: ochrona danych osobowych, giodo, wiadmomości, kraj, porady, gospodarka, porady prawne, prawo administracyjne, prawo, wiadmości, okiem eksperta
Źródło:
Kancelaria CSP
komentarze
+1
+1
ważne
smutne
ciekawe
irytujące
Napisz komentarz