Ochrona danych osobowych - jak nie złamać prawa?

Przeczytaj także: Ochrona danych: 10 najważniejszych zmian

Inaczej wygląda to w przypadku, gdy dane nie są zbierane od osoby, której dotyczą. Wówczas administrator danych zobowiązany jest poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, także o celu i zakresie zbierania danych, źródle danych, prawie dostępu do treści swoich danych oraz ich poprawiania, możliwości określonego w ustawie wniesienia żądania zaprzestania przetwarzania danych oraz wniesienia sprzeciwu wobec przetwarzania danych.

Administrator danych jest ponadto zobowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych. W szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Prowadzi dokumentację opisującą zastosowanie tych środków oraz sposób przetwarzania danych.

Dokumentacja składa się polityki bezpieczeństwa (zawierającej np. takie informacje jak wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe,) i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych np. wskazanie osoby odpowiedzialnej za te czynności czy sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego.

Dodatkowo warto wspomnieć, że wyróżnia się trzy poziomy ochrony: podstawowy, podwyższony lub wysoki. To, który poziom ochrony powinien być zastosowany uzależniony jest od tego, jakiego rodzaju dane osobowe są u danego podmiotu przetwarzane (czy są to dane wrażliwe) oraz od tego czy u danego podmiotu, urządzenia systemu informatycznego służącego do przetwarzania danych osobowych są połączone z siecią publiczną. Opis stopni ochrony można również znaleźć w załączniku do rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakimi powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Podmiot przetwarzający dane osobowe podlegające ochronie, w celu należytej ochrony danych osobowych, uniknięcia problemów na tym tle powinien też zapewnić swoim ewentualnym pracownikom szkolenie z zakresu ochrony danych osobowych oraz odebrać od nich stosowne – dotyczące ochrony danych osobowych – oświadczenia.

Podsumowując, zadbanie o ochronę danych osobowych jest jednym w podstawowych elementów, o które powinna zadbać osoba chcąca prowadzić działalność gospodarczą w jakiejkolwiek formie. Pamiętać trzeba, że dokonanie zgłoszenia nie jest dobrą wolą przedsiębiorcy tylko jego ustawowym obowiązkiem, którego niedotrzymanie może być sankcjonowane nawet na drodze postępowania karnego. Na pewno dużo mniej czasu zajmie wypełnienie wszystkich niezbędnych dokumentów i formularzy niż późniejsze tłumaczenie się przed GIODO czy w roli pozwanego w postępowaniu przed sądem, nie mówiąc już o stresie jaki towarzyszy tym wszystkim sytuacjom.