ABC biznesu

Czy jesteś przygotowany na kontrolę w zakresie ochrony danych osobowych?

748wyświetleń

Od stycznia 2013 roku, na mocy porozumienia z dnia 14 grudnia 2012 roku pomiędzy GIODO a PIP, prawidłowość przetwarzania danych osobowych w firmach, oprócz GIODO, sprawdzać będą także inspektorzy PIP (to ponad 70.000 kontroli rocznie). Takie porozumienie może przyczynić się do znacznego wzrostu liczby kontroli w zakresie ochrony danych osobowych wśród pracodawców.
Większość przedsiębiorców prowadzących jednoosobową działalność lub mikrofirmę, nie zdaje sobie sprawy, że problem ochrony danych osobowych to również ich problem. Tymczasem zasady wynikające z ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U z 2002 r Nr 101, poz. 926 z późn. zm.) dotyczą zarówno instytucji publicznych (takich jak szkoły, urzędy centralne, samorządowe, szpitale, ZUS, itp.), jak i podmiotów sektora prywatnego – nie tylko dużych korporacji i spółek prawa handlowego, lecz także osób fizycznych prowadzących działalność gospodarczą. Za złamanie przepisów dotyczących ochrony danych osobowych firmom grożą kary sięgające nawet kilkuset tysięcy złotych.

Dane jednego klienta to już baza podlegająca ochronie

Posiadasz na swoim komputerze dane swoich klientów, z którymi się kontaktujesz lub wystawiasz faktury? To jest już baza danych podlegającą ochronie. Dane osobowe to nie tylko imię, nazwisko lub PESEL – ustawowa definicja danych osobowych jest na tyle szeroka, że w świetle decyzji wydawanych przez GIODO oraz orzeczeń sądów administracyjnych dane osobowe stanowią także adresy e-mail, a nawet numery telefonów.
– Prawo zobowiązuje do zgłoszenia zbioru danych Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO), a przede wszystkim do zabezpieczenia zbioru przed dostępem osób nieupoważnionych nawet wtedy, gdy w bazie przedsiębiorcy znajduje się tylko jeden klient –  wyjaśnia Mariusz Sarnecki, administrator bezpieczeństwa informacji w Tax Care. – Jeśli jest to osoba fizyczna, nieprowadząca działalności gospodarczej, ochronie podlegają wszystkie informacje, jakie znajdują się w bazie, np. imię i nazwisko, adres czy numer PESEL. Jeśli natomiast klientem jest przedsiębiorca, z ochrony wykluczone są tzw. dane jawne, znajdujące się w ewidencji działalności gospodarczej. Wystarczy jednak, że oprócz danych jawnych innego przedsiębiorcy mamy zapisany jego prywatny numer telefonu, adres miejsca zamieszkania, gdy jest inny niż adres prowadzonej działalności gospodarczej, adres e-mail lub PESEL. W takiej sytuacji powinniśmy stosować się już do ustawy o ochronie danych osobowych – dodaje Sarnecki.
Każdy, kto dysponuje danymi osobowymi, ma obowiązek ich ochrony poprzez zastosowanie odpowiednich zabezpieczeń i wprowadzenie związanych z tym procedur, przede wszystkim zabezpieczenie zbiorów przed utratą oraz dostępem do nich osób nieupoważnionych. Przedsiębiorca, którego baza danych znajduje się w komputerach podłączonych do sieci publicznej, winien zastosować najwyższy stopień bezpieczeństwa przetwarzanych danych osobowych. Ponadto spoczywa na nim obowiązek zgłoszenia zbioru zawierającego te dane do rejestracji przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO).

Administrator bezpieczeństwa konieczny w każdej firmie?

Firmy zobowiązane są między innymi do prowadzenia dokumentacji (w skład której wchodzi wymagana przepisami ustawy o ochronie danych osobowych polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych) oraz do prowadzenia ewidencji osób upoważnionych do przetwarzania danych. Poza tym, powinny przeprowadzać szkolenia osób w zakresie ochrony danych osobowych, odpowiednio zabezpieczyć pomieszczenia i szafy, w których znajdują się dane oraz zastosować ochronę dostępu do danych przetwarzanych w systemach informatycznych, które połączone są z siecią publiczną. W każdej firmie powinien zostać powołany administrator bezpieczeństwa informacji, czyli osoba odpowiedzialna za przestrzeganie wszystkich zasad przetwarzania danych osobowych. GIODO może dokonywać kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych, podczas którego sprawdza, m.in., czy są spełnione wskazane powyżej wymogi. Za naruszenie ustawy o ochronie danych osobowych grozi zarówno odpowiedzialność karna, jak i finansowa. Ponosi ją osoba zarządzająca firmą – prezes lub jej właściciel. Wyjątkiem są art. 51 i 54a ustawy o ochronie danych osobowych, za których naruszenie może ponosić odpowiedzialność także pracownik przedsiębiorstwa.

Co grozi za nieprawidłowe przetwarzanie danych osobowych?

Należy zauważyć, że niezastosowanie się do przepisów ustawy w wielu przypadkach może oznaczać popełnienie przestępstwa zagrożonego karą nawet do 2 lat pozbawienia wolności (art. 49 ust. 1 ustawy o ochronie danych). Odrębną kwestią pozostaje groźba wymierzenia grzywien przymuszających w wysokości do nawet 50.000 zł (w trybie przepisów ustawy o postępowaniu egzekucyjnym w administracji) za niezastosowanie się do decyzji administracyjnej GIODO.
Wykrycie przez wyżej wymienione organy nieprawidłowości w zakresie przetwarzania danych osobowych, może skutkować nie tylko wydaniem decyzji nakazującej zaprzestanie przetwarzania danych osobowych – co w praktyce oznaczać może nie tylko brak możliwości prowadzenia dotychczasowej działalności przez firmę, ale także koniecznością skierowania przez inspektorów GIODO zawiadomienia o popełnianiu przestępstwa polegającego na np. przetwarzaniu danych osobowych przez osobę nieuprawnioną, lub poza trybem przewidzianym w ustawie, co jest zagrożone karą pozbawienia wolności do lat 2 (art. 49 ust. 1 ustawy o ochronie danych osobowych).
Brzmi bardzo groźnie, dlatego warto, aby każdy podmiot przetwarzający dane osobowe prowadził dokumentację zgodną z rozporządzeniem regulującym sposób jej prowadzenia.
Szukaj więcej informacji na www.giodo.gov.pl
Żródło: Giodo, Tax Care, Infor.pl

17 komentarzy

  1. Karać kontrolować, karać kontrolować, regulaminy, politykę cookies, bazy danych … UOKIK, Stowarzyszenia “prokonsumenckie” PIP, US… Któregoś dnia przyjdą do CIBIE !!!

  2. U znajomego, który pracuje w Spółdzielni Mieszkaniowej już się zapowiedziała kontrola PIP. Będą ich kontrolować tydzień i siedzieć przy biurkach pracowników i najwyraźniej patrzeć im na ręce, jak chronią dane osobowe. Postaram się wkrótce dać naoczną relację z tej kontroli.
    Pozdrawiam

  3. @Joanna tydzień, hmm… całkiem sporo, to jak są przetwarzane dane osobowe można sprawdzić w dzień/dwa dni i nie trzeba przy każdym pracowniku siadać 😉 tym bardziej w urzędach, w firmach ze względu na wielkość organizacji może być różnie
    i nie siejmy paniki “…Za złamanie przepisów dotyczących ochrony danych osobowych firmom grożą kary sięgające nawet kilkuset tysięcy złotych…”
    jeśli coś jest nie tak, najpierw dostajemy zalecenia, jeśli po nich nadal jest źle wtedy dostajemy karę, odnosi się to zarówno do firm jak i np. banków, kary mogą zostać nałożone w przypadku krytycznych uchybień jak np. braku polityki bezpieczeństwa
    http://www.itauditor.pl

  4. Właśnie otwieram jednoosobową mikrofiremke.
    Czy jeżeli trzymam dane moich klientów w programie do faktur który jest zabezpieczony wpisaniem poprawnego loginu i hasła to spełniam wymagania nowych przepisów?
    Czy ewentualnie, muszę przygotować instrukcje do zarządzania moim “systemem” ochrony danych osobowych?

  5. @Koparka Radom
    to nie ma znaczenia, musisz posiadać dokumentacje
    ** login i hasło praktycznie nie są żadnym zabezpieczeniem, jeśli było by to szyfrowanie to już inna sprawa i można mówić tu o tym, że mamy zabezpieczone dane

  6. Co zrobić kiedy ktoś nagrał cię bez twojej wiedzy i na tym nagraniu pada nazwisko imię związki i ta osoba wbrew twojej woli udostępnia to na swoim Facebooku?

  7. Pomocy jak się bronić , gdzie skierować taką skargę na tak pajeczą sieć bez namacalnego kontaktu z administratorem? kto to kontroluje?

  8. No tak dowalić małemu przedsiębiorcy 50 tys. kary najlepiej w pierwszym roku działalności przy preferencyjnym zusie, gdzie nie będzie miał z czego zapłacić (chorej kwoty) albo 2 lata odsiadki za to, że ma w programie dane pierwszego klienta.

  9. Niewątpliwie regulacje w zakresie ochrony danych osobowych były i są potrzebne ale odnoszę wrażenie, że zakres i forma oddziaływania tych przepisów w praktyce prowadzi niejednokrotnie do absurdów.

    1. Jeśli można wiedzieć, o jakie przypadki chodzi? 🙂
      Szczerze jak do tej pory w naszym przypadku jedynym absurdem są sytuacje w których audytowana organizacja nie ma praktycznie nic wdrożonego z Ochrony danych osobowych

  10. Samo składanie wniosku to proces długotrwały i wymagający przygotowania w dziedzinie wiedzy jaką jest ochrona danych osobowych. Dział “ogólne zagadnienia dotyczące rejestracji wniosków” składa się z 20 artykułów. Sam się pogubiłem i nie do końca wiedziałem w końcu sam jaki wniosek mam złożyć. Ciekaw jestem ilu potrzeba urzędników aby GIODO w pełni funkcjonowało i ile to będzie NAS kosztować. Bo zapewne same podatki nie wystarczą do utrzymania rzeszy urzędników… Biurokracja, nic więcej.

  11. witam
    wydzwaniają do mnie ze musze miec szkolenie z zakresu ochrony danuch osobowych a ja prowadze zakład fryzjerski , podobno PIP TEGO bedzie wymagał przy kontroli
    jest coś takiego ?

Dodaj komentarz