Każda z firm przetwarza co najmniej dane własnych pracowników, przedstawicieli firm, z którymi współpracuje, a często i dane klientów indywidualnych. Powinna to robić zgodnie z przepisami.
Mimo ponad dziesięcioletniego obowiązywania ustawy o ochronie danych osobowych (t. j. Dz. U. z 2002 r. Nr 101, poz. 926) wciąż warto wskazywać na podstawowe wymagania dotyczące przedsiębiorcy dysponującego danymi osobowymi przywołanych powyżej kategorii osób. Wiele z podmiotów wciąż pozostaje w błędnym przekonaniu, iż jeśli nie posiadają danych klientów indywidualnych, które przetwarzane są przez nich dla celów sprzedażowych, marketingowych czy promocyjnych - to wskazane przepisy ich nie dotyczą.
Tymczasem, po pierwsze już samo przetwarzanie danych pracowników zobowiązuje do stosowania ustawy o ochronie danych osobowych. Ponadto fakt, iż w naszej bazie znajdują się poza danymi firm również dane klientów będących osobami fizycznymi oznacza, iż do tej bazy klientów odnoszą się wymagania ustawowe.
Potrzebna zgoda na zbieranie danych
Po pierwsze pozyskując dane należy zadbać o tzw. legalność, a więc prawo do posiadania i przetwarzania tych danych wynikające np. zgody osoby, przepisów prawa lub umowy.
Kolejne obowiązki dotyczą sfery informacyjnej. Każdy podmiot zbierający dane osobowe zobowiązany jest do poinformowania osób, od których dane te pozyskuje, o swojej nazwie, siedzibie, celu przetwarzania, podmiotach, którym zamierza przekazywać dane oraz o tym czy podanie danych jest dobrowolne czy też wynika z przepisów prawa.
| Pozyskując dane należy zadbać o tzw. legalność, a więc prawo do posiadania i przetwarzania tych danych wynikające np. zgody osoby, przepisów prawa lub umowy. |
| --- |
Stwierdzić należy, iż obowiązek powinien być realizowany indywidualnie w stosunku do każdej osoby, której dane przetwarzamy. Zarazem na przedsiębiorcy ciąży także tzw. wtórny obowiązek informacyjny tj. udzielanie informacji na żądanie osób, których dane przetwarza.
Zbiory trzeba zarejestrować
Istotne ograniczenia obowiązują przedsiębiorcę w zakresie przekazywania danych na zewnątrz, uregulowane w postanowieniach wskazanej ustawy jako obowiązki przy udostępnianiu i powierzaniu przetwarzania danych. Podkreślić należy, iż również zgodne z prawem, pozyskiwanie danych od innych podmiotów wymaga istotnych zabiegów i zabezpieczenia swoich praw oraz praw osób, od których dane są nabywane.
Większość przedsiębiorców przetwarzających np. dane klientów zobowiązana jest również do dokonania zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Treść wniosku zgłoszeniowego określa Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. z dnia 1 maja 2004 r.).
Nad bezpieczeństwem danych musi czuwać administrator
Niezwykle istotnym, ale i sprawiającym przedsiębiorcom w praktyce wiele problemów jest realizacja obowiązku zabezpieczenia danych poprzez zapewnienie realizacji wymagań personalnych, formalnych i technicznych.
Każdy przedsiębiorca zobowiązany jest do powołania administratora bezpieczeństwa informacji nadzorującego całokształt zagadnień w sferze zabezpieczenia danych osobowych, tj. sprawującego opiekę nad wszystkimi danymi przetwarzanymi w firmie, zarówno tymi przetwarzanymi w systemach informatycznych, jak i tymi w formie papierowej. Ze względu na złożoność problematyki ochrony danych osobowych coraz częściej funkcja administratora bezpieczeństwa informacji jest realizowana na zasadzie outsourcingu.
| Większość przedsiębiorców przetwarzających np. dane klientów zobowiązana jest również do dokonania zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. |
| --- |
Polityka ochrony danych musi być opisana
Zgodnie z postanowieniami Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych firma ma ponadto obowiązek prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz zastosowane środki zabezpieczenia danych, tj. polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym oraz wydania upoważnień i prowadzenia ewidencji osób upoważnionych do przetwarzania danych w firmie.
| Każdy przedsiębiorca zobowiązany jest do powołania administratora bezpieczeństwa informacji nadzorującego całokształt zagadnień w sferze zabezpieczenia danych osobowych |
| --- |
Rozporządzenie to określa także podstawowe wymagania dla systemów informatycznych, w których przetwarzane są dane osobowe.
Za brak realizacji wskazanych obowiązków lub niewłaściwe stosowanie zapisów ustawy na podmiotach ciąży odpowiedzialność administracyjna zaś osoby zarządzające tymi podmiotami mogą ponieść odpowiedzialność karną. Na zakończenie warto jeszcze wspomnieć o złożonym przez Prezydenta RP projekcie nowelizacji ustawy o ochronie danych osobowych, który przewiduje wprowadzenie dodatkowo kar finansowych.
Autorka jest dyrektorem ds. prawnych, autor jest prawnikiem w JDS Consulting