Ochrona danych osobowych – absolutne minimum

Przeczytaj także: Ochrona danych osobowych - dokumentacja

Po pierwsze – na pewno przetwarzasz dane osobowe!

Przedsiębiorca, który mówi, że przetwarzanie danych osobowych go nie dotyczy, najczęściej jest w błędzie. Pracownicy, a także podwykonawcy i kontrahenci będący osobami fizycznymi – dane tych osób są najczęściej przetwarzanymi danymi osobowymi. W zasadzie każdy przedsiębiorca, zatrudniający przynajmniej jedną osobę, jest administratorem danych osobowych. Powoduje to, że zmuszony jest on spełnić wszystkie podstawowe wymogi ustawy o ochronie danych osobowych.

Nie tak łatwo jest żyć w zgodzie z prawem

Wie o tym na pewno administrator danych osobowych. Jego obowiązki możemy podzielić na kilka kategorii (przyjmuję, że dane są już przetwarzane zgodnie z prawem, tj. w oparciu o jedną z przesłanek, o których mowa w art. 23 ust. 1 ustawy o ochronie danych osobowych):

• a) obowiązki informacyjne;
• b) obowiązki związane z zabezpieczeniem danych osobowych;
• c) obowiązek zgłoszenia zbiorów danych do rejestracji.

Po kolei…

Zakres obowiązków informacyjnych określają szczegółowo przepisy art. 24 i 25 ustawy. I tak, administrator zobowiązany jest do poinformowania osób, których dane dotyczą w szczególności o swoim adresie i pełnej nazwie, celu zbierania danych osobowych, prawie dostępu do danych oraz ich poprawiania, dobrowolności albo obowiązku ich podania, a w końcu, w niektórych sytuacjach o dodatkowych uprawnieniach. Jak ten obowiązek realizować? W praktyce najczęściej za pomocą odpowiednich formularzy (dla pracowników) lub w formie postanowień umów łączących przedsiębiorcę z jego kontrahentami.

Obowiązek zabezpieczenia danych to z jednej strony zadbanie o wymogi techniczno-organizacyjne, w tym związane z zabezpieczeniem systemu informatycznego i pomieszczeń, w których dane są przechowywane, czy też po prostu z wprowadzeniem odpowiednich procedur (np. wymóg zamykania na klucz szaf, w których przechowywane są akta pracownicze). Dodatkowo, do przetwarzania danych, stosownie do treści przepisu art. 37 ustawy, dopuścić można jedynie osoby upoważnione, co wiąże się z koniecznością udzielenia pracownikom stosownych upoważnień.

Kolejnym krokiem jest opracowanie i wdrożenie odpowiedniej dokumentacji. Jednym z podstawowych wymogów związanych z ochroną danych osobowych jest posiadanie aktualnej Polityki Bezpieczeństwa Informacji, a w przypadku, gdy dane osobowe są przetwarzane w systemie informatycznym (dziś, w praktyce zawsze), również Instrukcji Zarządzania Systemem Informatycznym. Te dwa dokumenty to absolutne minimum! Ich brak stanowi naruszenie bezpieczeństwa danych osobowych i jest zagrożony nawet karą pozbawienia wolności do roku, zgodnie z art. 52 ustawy.

Treść Polityki Bezpieczeństwa Informacji oraz Instrukcji Zarządzania Systemem Informatycznym szczegółowo reguluje Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Niby nic, a jednak

Wydaje się, że skoro przetwarzanie danych osobowych nie jest naszym core businessem, nie musimy przejmować się regulacjami związanymi z tą sferą. Niestety, przekonanie to jest błędne. Każdy przedsiębiorca, który choćby w ograniczonym stopniu dane osobowe przetwarza, musi pamiętać przynajmniej o opisanym powyżej minimum.