Ochrona danych osobowych - nowe obowiązki dla przedsiębiorców. Sprawdź czy dotyczą również Ciebie!

Nowe obowiązki dla przedsiębiorców wynikające z ustawy o ochronie danych osobowych, sprawdź czy dotyczą też twojej firmy.

24 listopada 2014 r.  Prezydent RP podpisał ustawę z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej. Wśród różnych regulacji m.in. wprowadzono istotne zmiany w ustawie o ochronie danych osobowych.

Skąd i po co komu te zmiany?

Temat ochrony danych osobowych, podobnie jak wiele innych unormowań prawnych dotyczących naszego życia codziennego ale również gospodarczego, musi zostać  dostosowywany do norm prawnych obowiązujących w krajach UE. Dokonane właśnie zmiany są pewnym wstępem do jeszcze większego i surowszego usankcjonowania zasad już obowiązujących w prawodawstwie polskim, a które w krajach Unii są znacznie bardziej rygorystyczne. Na dzień dzisiejszy wszystkie kwestie przetwarzania danych osobowych reguluje  ustawa o ochronie danych osobowych. Ustawa ta reguluje zachowanie podmiotów gospodarczych oraz jednostek samorządowych w kontekście przetwarzania danych osobowych. Została napisana po to, aby każdy obywatel miał prawo do prywatności.

Przypomnijmy, że prezes, właściciel firmy, kierownik jednostki samorządowej jest automatycznie, z mocy ustawy , tzw. ADO, czyli Administratorem Danych Osobowych. Poprzez automatyczne przypisanie mu roli ADO jest zobowiązany przez w/w ustawę do:
%uF0FC wprowadzenia w życie stosownych dokumentów służących gromadzeniu i przetwarzaniu danych osobowych (art. 36 i 39a ustawy o Ochronie Danych Osobowych);
%uF0FC zgłaszania stosownych zbiorów do rejestru GIODO (Generalnego Inspektora Ochrony Danych Osobowych) i ich aktualizacji (art. 40 ustawy o ODO);
%uF0FC posiadania niezbędnych zgód na przetwarzanie danych osobowych zwykłych i wrażliwych (art. 23 i 27 ustawy o ODO);
%uF0FC posiadania niezbędnych upoważnień do przetwarzania danych osobowych i prowadzenia stosownej ich ewidencji (art. 37 i 39 ustawy o ODO);
%uF0FC szkolenia pracowników i współpracowników w celu zapoznania ich z wymogami ustawowymi i zasadami ochrony danych osobowych 
%uF0FC kontroli (sprawdzeń) zgodności przetwarzania danych osobowych poprzez monitoring realizacji określonych procedur i polityk;
%uF0FC zabezpieczenia zbiorów danych przed wyciekiem danych czy włamaniami do systemu;
%uF0FC posiadania oświadczeń o zachowaniu tajemnicy danych osobowych oraz o sposobie ich zabezpieczenia (art. 39 ust. 2 ustawy o ODO);
%uF0FC a w związku z powyższymi obowiązkami - do stałego monitoringu zmian prawnych w przedmiotowych regulacjach, jak i stosownej modyfikacji wprowadzonych procedur i dokumentów.

Nieprzestrzeganie w/w obowiązków ustawowych oczywiście jest sankcjonowane m.in. karami grzywny od 10 000 do 50 000 zł. Za każde uchybienie, ograniczeniem wolności lub pozbawieniem wolności na okres do 1 roku.

Każdy przedsiębiorca, nawet ten najmniejszy - jednoosobowy, zastanawia się pewnie w tej chwili czy posiada zbiór danych osobowych, a tym samym podlega regulacjom w/w ustawy. Zbiorem danych osobowych według ustawy jest każdy, posiadający strukturę zestawienia, zbiór danych o charakterze osobowym, dostępnym wg określonych kryteriów, niezależnie od tego, czy zestawienie to jest rozproszone, czy uporządkowane.

Mówiąc praktycznie, zbiorem danych osobowych są: dane osobowe zatrudnianych pracowników, kandydatów do pracy, dane klientów będącymi osobami fizycznymi, zbiory odbiorców newsletterów, rejestry korespondencji, monitoringów lub też dane osobowe udostępniane przez inne firmy na potrzeby świadczenia usług rachunkowych, kadrowych, bhp, płacowych, itp. Jak widać, trudno byłoby udowodnić, że nie posiadamy w firmie zbioru danych osobowych.

Jednak, jak wspomniano na wstępie, ustawodawca we wspomnianym pakiecie zmian ustawowych, chciał ułatwić przedsiębiorcom życie codzienne, więc w ramach nowelizacji ustawy o ochronie danych osobowych wprowadził możliwość przeniesienia w/w obowiązków ciążących na ADO (czyli Prezesie, właścicielu firmy) na tzw. ABI (Administratora Bezpieczeństwa Informacji), który, po formalnym zgłoszeniu do GIODO, przejmuje odpowiedzialność i obowiązki, związane z realizacją obowiązków ustawowych. Powołując ABI, dodatkowo nie ma potrzeby zgłaszania większości zbiorów do GIODO, na zlecenie GIODO dokonuje również kontroli rejestrów zbiorów, przygotowuje wszelkie dokumenty, oświadczenia, upoważnienia, itp. Jest niejako kołem ratunkowym dla ADO w mnogości obowiązków nakładanych przez ustawę o ochronie danych osobowych. Zgodnie z wymogami ustawy, funkcję ABI może realizować bezpośrednio podległy ADO pracownik firmy. Alternatywą wskazaną przez ustawę jest możliwość delegowania tego obowiązku  na wyspecjalizowaną firmę, która będzie ją realizowała na zasadach outsourcingu. 

Każda nowa regulacja prawna wprowadzająca pewne obowiązki rodzi z natury rzeczy wewnętrzny opór. Pewnie podobnie było w 1918 roku, gdy wprowadzano w Polsce ruch prawostronny. Przyrost pojazdów na drogach i pojawiające się w związku z tym nowe zagrożenia wymusił usankcjonowanie ruchu. Dzisiaj podobna sytuacja istnieje w obszarze przetwarzania danych. Nowa rzeczywistość wymusiła na ustawodawcy uregulowania zasad gromadzenia oraz przetwarzania danych osobowych. Kilkanaście lat temu każdy z nas był anonimowy. Systemy komputerowe, Internet doprowadziły do sytuacji, w której nasza anonimowość staje się cennym łupem hakerów. Anonimowość jest cenna. Jest na wagę sprzedania kolejnego produktu, na miarę udostępnienia danych złodziejowi. 

W nowej sytuacji prawnej, która nakłada kolejny obowiązek każdy będzie się oczywiście obrażał, narzekał i "zgrzytał zębami" - pewnie do czasu aż sam, jako osoba prywatna nie stanie się ofiarą wycieku swoich danych osobowych lub kiedy będzie to tylko adres poczty elektronicznej, gorzej w przypadku wycieku numeru karty kredytowej.

Czy warto dbać o bezpieczeństwo danych osobowych?

Warto dbać i to w dwójnasób! 

Po pierwsze: warto prowadzić działalność w zgodzie z obowiązującymi przepisami prawnymi. Dlaczego warto? Przecież konkurencja robi trochę inaczej%u2026 Po prostu: warto. Spokojny sen jest podstawą zdrowego życia - każdy lekarz to powie. 

Po drugie: z wizerunkiem firmy jest podobnie jak z lasem: buduje się go długo, a spłonąć może bardzo szybko. Np. w przypadku ujawnienia wykradnięcia danych klientów. Dodatkowo mogą pojawić się np. koszty pozwów klientów, których dane były nienależycie zabezpieczone.

Dopytaj o szczegóły: biuro@twojabi.net, poczta@twojabi.net, usługi informatyczne M@RCO Marek Krupa