Dane osobowe w firmie pod ścisłą ochroną przedsiębiorcy jako administratora

Trudno wyobrazić sobie prowadzenie biznesu bez kontaktu z danymi osobowymi. Każdy przedsiębiorca jest administratorem danych i je przetwarza. Co powinien wiedzieć o swoich obowiązkach?

Aktualizacja: 02.01.2015 07:51 Publikacja: 02.01.2015 01:00

Dane osobowe w firmie pod ścisłą ochroną przedsiębiorcy jako administratora

Foto: www.sxc.hu

Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Oprócz imienia i nazwiska informacjami zaliczanymi do danych osobowych są:

- numery identyfikacyjne: PESEL, NIP, paszport, dowód osobisty;

- cechy fizyczne: wygląd zewnętrzny, linie papilarne, siatkówka oka;

- cechy fizjologiczne: grupa krwi, kod genetyczny;

- cechy ekonomiczne: status majątkowy, lista zaległości finansowych;

- cechy umysłowe, kulturowe lub społeczne: poglądy, wyznanie.

Każdy podmiot przetwarzający dane osobowe jest zobowiązany do rejestracji zbiorów danych osobowych w GIODO

Przetwarzanie danych to każde operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Upraszczając, można stwierdzić, że wszystkie czynności przedsiębiorcy związane z danymi osobowymi to ich przetwarzanie.

Ustawa o ochronie danych osobowych (jej nowelizacja weszła w życie 1 stycznia 2015 r.) i wydane do niej rozporządzenia wykonawcze wyznaczają ramy prawne przetwarzania danych. Do czego zobowiązuje przedsiębiorcę ustawa? Jakie zasady przetwarzania danych wyznacza?

Przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były:

- przetwarzane zgodnie z prawem,

- zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,

- merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,

- przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

Przedsiębiorca zobowiązany jest do zachowania środków organizacyjnych, technicznych i organizacyjnych w zakresie bezpieczeństwa ochrony danych. Do organizacyjnych obowiązków prowadzącego działalność gospodarczą należy:

- powołanie i zgłoszenie do GIODO Administratora Bezpieczeństwa Informacji lub samodzielne wykonywanie obowiązków z zakresu ochrony danych osobowych,

- powołanie Administratora Systemów Informatycznych lub samodzielne dbanie o system informatyczny w zakresie ochrony danych,

- wprowadzenie dla pracowników i osób współpracujących na podstawie umowy-zlecenia lub o dzieło upoważnień do przetwarzania danych osobowych oraz oświadczeń o znajomości regulacji dotyczących ochrony danych i zachowania poufności,

- prowadzenie ewidencji wydanych upoważnień,

- wprowadzenie polityki bezpieczeństwa,

- wprowadzenie instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Polityka bezpieczeństwa to obligatoryjny dokument u wszystkich przetwarzających dane osobowe, który zawiera:

1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;

2) wykaz zbiorów danych wraz ze wskazaniem programów zastosowanych do ich przetwarzania;

3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;

4) sposób przepływu danych pomiędzy poszczególnymi systemami;

5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Jeżeli przedsiębiorca przetwarza dane osobowe w systemie informatycznym, jest zobowiązany do wprowadzenia instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, która zawiera:

- procedury nadawania uprawnień do przetwarzania danych i rejestrowania ich w systemie oraz wskazanie osoby odpowiedzialnej za te czynności;

- stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;

- procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników;

- procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;

- sposób, miejsce i okres przechowywania:

– elektronicznych nośników informacji zawierających dane,

– kopii zapasowych

- sposób zabezpieczenia systemu informatycznego przed działalnością groźnego oprogramowania;

- procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Każdy podmiot przetwarzający dane osobowe jest zobowiązany do rejestracji zbiorów danych osobowych w GIODO, uwzględniając wyłączenia ustawowe. Jeżeli przedsiębiorca powoła ABI i zgłosi go do GIODO, to wtedy ABI będzie zobligowany do prowadzenia wewnętrznej ewidencji zbiorów. Niedopełnienie tych obowiązków wyłącza legalne przetwarzanie danych.

Fizyczne i techniczne środki ochrony danych to:

- przechowywanie papierowej dokumentacji oraz elektronicznych nośników danych zawierających dane osobowe w sposób uniemożliwiający dostęp do nich osobom nieupoważnionym, np. w  zamkniętych pomieszczeniach i szafach,

- zasada czystego biurka, czyli niezostawianie na biurku żadnych dokumentów po zakończeniu pracy,

- zabezpieczenie budynku poprzez montaż krat w oknach, instalację monitoringu lub zlecenie ochrony.

Prowadzący działalność powinien zadbać o bezpieczeństwo  teleinformatyczne, czyli:

- zobowiązać korzystających z komputerów do wprowadzenia unikatowych haseł i ich okresowej zmiany,

- wykonywać kopie zapasowe,

- aktualizować oprogramowanie,

- korzystać z oprogramowania antywirusowego

Pracownik może przetwarzać dane osobowe:

- gdy ma pisemne upoważnienie do ich przetwarzania;

- gdy jest umieszczony w Ewidencji Osób Upoważnionych do przetwarzania danych;

- tylko w celu i zakresie wskazanym w upoważnieniu;

- przez okres, na jaki upoważnienie zostało udzielone.

Pracownicy upoważnieni do przetwarzania danych osobowych są zobligowani do ochrony danych w trakcie zatrudnienia, jak i po jego ustaniu. Takie same zasady stosuje się do osób współpracujących.

Autor jest radcą prawnym

Sprawdzi inspektor

Każdy powinien się liczyć z kontrolą GIODO, który ma prawo:

1) wstępu w godzinach od 6 do 22 za okazaniem imiennego upoważnienia i legitymacji służbowej do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych, i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą;

2) żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego;

3) wglądu do wszelkich dokumentów i danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii;

4) przeprowadzania oględzin urządzeń, nośników oraz systemów służących do przetwarzania;

5) zlecać sporządzanie ekspertyz i opinii.

Kierownik kontrolowanej jednostki oraz kontrolowana osoba będąca administratorem danych osobowych są obowiązani umożliwić inspektorowi przeprowadzenie kontroli. Kontrola kończy się spisaniem protokołu i ewentualnym wydaniem decyzji administracyjnej nakazującej przywrócenie stanu zgodnego z prawem.

Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Oprócz imienia i nazwiska informacjami zaliczanymi do danych osobowych są:

- numery identyfikacyjne: PESEL, NIP, paszport, dowód osobisty;

Pozostało 97% artykułu
2 / 3
artykułów
Czytaj dalej. Kup teraz
Prawo karne
Przeszukanie u posła Mejzy. Policja znalazła nieujawniony gabinet
Prawo dla Ciebie
Nowe prawo dla dronów: znikają loty "rekreacyjne i sportowe"
Edukacja i wychowanie
Afera w Collegium Humanum. Wykładowca: w Polsce nie ma drugiej takiej „drukarni”
Edukacja i wychowanie
Rozporządzenie o likwidacji zadań domowych niezgodne z Konstytucją?
Praca, Emerytury i renty
Są nowe tablice GUS o długości trwania życia. Emerytury będą niższe