eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plPrawoPrawo dla biznesu › Ochrona danych osobowych – absolutne minimum

Ochrona danych osobowych – absolutne minimum

2015-11-02 09:29

Ochrona danych osobowych – absolutne minimum

Każdy przedsiębiorca jest administratorem danych osobowych © vege - Fotolia.com

Spójrzmy prawdzie w oczy, duża część przedsiębiorców prowadzi działalność, w której przetwarzanie danych osobowych jest procesem drugorzędnym (np. w branży budowlanej). Jak się ma to jednak do obowiązków związanych z ochroną danych osobowych? Czy można je zignorować? Jakie jest minimum, które każdy musi spełnić?

Przeczytaj także: Ochrona danych osobowych - dokumentacja

Po pierwsze – na pewno przetwarzasz dane osobowe!


Przedsiębiorca, który mówi, że przetwarzanie danych osobowych go nie dotyczy, najczęściej jest w błędzie. Pracownicy, a także podwykonawcy i kontrahenci będący osobami fizycznymi – dane tych osób są najczęściej przetwarzanymi danymi osobowymi. W zasadzie każdy przedsiębiorca, zatrudniający przynajmniej jedną osobę, jest administratorem danych osobowych. Powoduje to, że zmuszony jest on spełnić wszystkie podstawowe wymogi ustawy o ochronie danych osobowych.

Nie tak łatwo jest żyć w zgodzie z prawem


Wie o tym na pewno administrator danych osobowych. Jego obowiązki możemy podzielić na kilka kategorii (przyjmuję, że dane są już przetwarzane zgodnie z prawem, tj. w oparciu o jedną z przesłanek, o których mowa w art. 23 ust. 1 ustawy o ochronie danych osobowych):
  • a) obowiązki informacyjne;
  • b) obowiązki związane z zabezpieczeniem danych osobowych;
  • c) obowiązek zgłoszenia zbiorów danych do rejestracji.

Po kolei…


Zakres obowiązków informacyjnych określają szczegółowo przepisy art. 24 i 25 ustawy. I tak, administrator zobowiązany jest do poinformowania osób, których dane dotyczą w szczególności o swoim adresie i pełnej nazwie, celu zbierania danych osobowych, prawie dostępu do danych oraz ich poprawiania, dobrowolności albo obowiązku ich podania, a w końcu, w niektórych sytuacjach o dodatkowych uprawnieniach. Jak ten obowiązek realizować? W praktyce najczęściej za pomocą odpowiednich formularzy (dla pracowników) lub w formie postanowień umów łączących przedsiębiorcę z jego kontrahentami.

fot. vege - Fotolia.com

Każdy przedsiębiorca jest administratorem danych osobowych

Jednym z podstawowych wymogów związanych z ochroną danych osobowych jest posiadanie aktualnej Polityki Bezpieczeństwa Informacji, a w przypadku, gdy dane osobowe są przetwarzane w systemie informatycznym.


Obowiązek zabezpieczenia danych to z jednej strony zadbanie o wymogi techniczno-organizacyjne, w tym związane z zabezpieczeniem systemu informatycznego i pomieszczeń, w których dane są przechowywane, czy też po prostu z wprowadzeniem odpowiednich procedur (np. wymóg zamykania na klucz szaf, w których przechowywane są akta pracownicze). Dodatkowo, do przetwarzania danych, stosownie do treści przepisu art. 37 ustawy, dopuścić można jedynie osoby upoważnione, co wiąże się z koniecznością udzielenia pracownikom stosownych upoważnień.

Kolejnym krokiem jest opracowanie i wdrożenie odpowiedniej dokumentacji. Jednym z podstawowych wymogów związanych z ochroną danych osobowych jest posiadanie aktualnej Polityki Bezpieczeństwa Informacji, a w przypadku, gdy dane osobowe są przetwarzane w systemie informatycznym (dziś, w praktyce zawsze), również Instrukcji Zarządzania Systemem Informatycznym. Te dwa dokumenty to absolutne minimum! Ich brak stanowi naruszenie bezpieczeństwa danych osobowych i jest zagrożony nawet karą pozbawienia wolności do roku, zgodnie z art. 52 ustawy.

Treść Polityki Bezpieczeństwa Informacji oraz Instrukcji Zarządzania Systemem Informatycznym szczegółowo reguluje Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Niby nic, a jednak


Wydaje się, że skoro przetwarzanie danych osobowych nie jest naszym core businessem, nie musimy przejmować się regulacjami związanymi z tą sferą. Niestety, przekonanie to jest błędne. Każdy przedsiębiorca, który choćby w ograniczonym stopniu dane osobowe przetwarza, musi pamiętać przynajmniej o opisanym powyżej minimum.

Przeczytaj także

Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ

Komentarze (0)

DODAJ SWÓJ KOMENTARZ

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: