Ochrona danych osobowych w firmie
Zarówno duże koncerny, jak i przedsiębiorstwa z sektora MŚP gromadzą wiele danych osobowych. Polskie prawo nakłada na firmy konieczność wdrożenia procedur, które zapewnią ochronę tych danych. Jakie przepisy tutaj obowiązują? I jak zapewnić odpowiednią politykę bezpieczeństwa w firmie?
Ochrona danych osobowych w firmie – jakie przepisy obowiązują?
Każda firma przetwarzająca dane jest zobowiązana do posiadana Polityki Bezpieczeństwa (nie można jej mylić z „Polityką Prywatności” stosowaną często przez administratorów stron internetowych – termin ten zapożyczony został z USA i nie ma odwzorowania w polskich przepisach prawnych). Obowiązek posiadania Polityki Bezpieczeństwa danych w firmie oraz sposoby jej wdrażania zawarte są w ustawie z 29.08.1997 roku „ O ochronie danych osobowych „ (Dz. U. 1997 nr 133 poz. 883).
Kolejnym dokumentem, na którym powinny oprzeć się wszystkie firmy budujące Politykę Bezpieczeństwa jest Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 29.04.2004 roku. Rozporządzenie to dotyczy przetwarzania danych osobowych w firmie oraz przedstawia organizację i warunki techniczne, które powinny być stworzone w tym celu (Dz. U. 2004 nr 100 poz. 1024).
W przypadku danych cyfrowych obowiązują przepisy Rozporządzenia Ministra Administracji i Cyfryzacji z 11.05.2015 roku. (Dz. U. 2015 nr 0 poz. 745).
Rozporządzenia regulują elementy, które powinny znaleźć się w każdej Polityce Bezpieczeństwa. Podstawą takiego dokumentu musi stać się szczegółowy opis obszaru, w którym mogą być przetwarzane dane osobowe. Zgodnie z przepisami obowiązek przetwarzania danych spoczywa na Administratorze Danych Osobowych. Może on zostać powołany przez Prezesa Zarządu Spółki, Zarząd Spółki, dyrektora lub właściciela firmy.
Jakie dane osobowe są chronione?
Za dane osobowe uznaje się wszystkie informacje, które pozwalają zidentyfikować konkretną osobę fizyczną (przepisy nie dotyczą osób prawnych oraz tzw. ułomnych osób prawnych – stowarzyszeń zwykłych).
Do danych osobowych zalicza się:
– imię i nazwisko
– adres zameldowania (zamieszkania)
– PESEL, NIP
– numer i serię dowodu osobistego oraz inne dane ewidencyjne
– wizerunek (fotografie)
– adres email
– numer IP komputera (lub innego urządzenia) z dostępem do sieci.
Dane osobowe zawsze stanowią dobra osobiste człowieka i z tego powodu podlegają szczególnej ochronie prawnej. Zgodnie z przepisami firmy mają obowiązek zgłaszania zbioru danych do Głównego Inspektoratu Ochrony Danych Osobowych (GIODO). Dopiero po dokonaniu rejestracji, przedsiębiorstwo może legalnie przetwarzać dane w celach codziennej działalności (rekrutacja, zarządzanie personelem), marketingowych, analitycznych (analiza rynku).
Firmy często gromadzą dane:
– pracowników
– klientów
– potencjalnych klientów.
Jakie zbiory należy zgłosić do GIODO?
Stosowanie przepisów dotyczących przetwarzania i ochrony danych osobowych w firmach kontroluje Główny Inspektorat Ochrony Danych Osobowych. Obowiązek zgłoszenia zestawienia jako zbioru tego typu danych istnieje, gdy zbiór ten zawiera dane osób fizycznych, ma strukturę oraz pozwala na wyszukiwanie na podstawie minimum dwóch kryteriów. Warto podkreślić, że ilość rekordów w takim zestawieniu nie ma znaczenia – kompleksowe dane jednej osoby fizycznej również mogą zostać uznane za zbiór danych osobowych.
Jakie kary grożą za nieprzestrzeganie przepisów?
Rejestracja zbioru danych osobowych umożliwia ich przetwarzanie, przechowywanie, utrwalanie, udostępnianie i inne czynności. Za niestosowanie się do obowiązujących przepisów grożą kary w wysokości od 10 do 50 tysięcy złotych nakładane przez GIODO.
Jakimi metodami niszczyć dane?
W codziennej działalności firmy niezbędne jest tworzenie dokumentów z danymi osobowymi. Gdy firma nie chce ich przechowywać i przetwarzać, należy skorzystać z niszczarek dokumentów (nowoczesne urządzenia umożliwiają nie tylko niszczenie dokumentów papierowych, ale także nośników elektronicznych) o klasie dostosowanej do stopnia tajności dokumentacji.
Gromadzone dane muszą być odpowiednio chronione, ponieważ ich wyciek może spowodować poważne problemy (tożsamość osób zostaje ujawniona, dane mogą zostać wykorzystane przez przestępców).
Więcej na temat kradzieży tożsamości i konsekwencji z nią związanych przeczytać można na stronie: www.niszczarkibiurowe.com/kradziez-tozsamosci
Sprawa wydaje się banalna ale powiem Wam, że lepiej uważać z dokumentami jakie wrzucacie do publicznego kosza. Mieliśmy kiedyś w firmie przypadek, że któryś ze sprzedawców wyrzucił błędnie wystawioną fakturę do zwykłego kosza. Kto zrobił alarm? Sprzątaczka (oczywiście oficjalnie to nie ona). Byliśmy w sądzie w tej sprawie, potem mieliśmy audyt czy w dobry sposób zabezpieczamy dane osobowe klientów itp. Skorzystaliśmy wtedy z dobrego adwokata (tu jego namiary dla zainteresowanych http://adwokat-riedel.pl) dlatego udało się nam uniknąć kary. Ale nigdy nie wiadomo co komu strzeli do łba.