Przedsiębiorco, czy dbasz o swoje dane osobowe?
Zgodnie z ustawą o ochronie danych osobowych z dnia 29 sierpnia 1997 roku (Dz.U. 1997 nr 133 poz. 883 ze zm.) administrator danych, a więc podmiot decydujący o celach i środkach przetwarzania danych obowiązany jest do stosowania środków technicznych i organizacyjnych zapewniających należytą ochronę danych osobowych, stosowną w szczególności do zagrożeń, a także kategorii danych objętych ochroną. Oznacza to, iż co do zasady o tym jakie zabezpieczenia danych osobowych są stosowane decyduje administrator danych, niemniej jednak w tym przedmiocie istnieją pewne obowiązki ustawowe.
Administrator danych osobowych obowiązany jest do prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz stosowane zabezpieczenia. Na przedmiotową dokumentację składa się Polityka bezpieczeństwa oraz Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych. Przedmiotowa dokumentacja musi być prowadzona w formie pisemnej. Oba wyżej wymienione dokumenty muszą ponad obowiązek zachowania formy pisemnej, spełniać inne wymagania w zakresie ich treści. Polityka bezpieczeństwa w szczególności musi zawierać opis zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi oraz określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. Instrukcja zarzadzania natomiast jest dokumentem opisującym zabezpieczenia stosowane przy wykorzystaniu do przetwarzania danych osobowych systemów informatycznych, tj. w szczególności zawiera procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności, stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem.
Należy również pamiętać o konieczności dopełnienia przez administratorów danych osobowych innych obowiązków, takich jak prowadzenie ewidencji osób upoważnionych, nadawanie upoważnień do przetwarzania danych osobowych oraz o konieczności wyznaczenia Administratora bezpieczeństwa informacji o ile administrator danych osobowych nie nadzoruje samodzielnie przestrzegania zasada ochrony danych osobowych. Niemniej jednak, należy zaznaczyć, że administratorem bezpieczeństwa informacji musi być osoba fizyczna, jednak nie musi to być pracownik lub współpracownik administratora danych osobowych.
Niedopełnienie wyżej wymienionych obowiązków wiąże się z poważnymi konsekwencjami. Ustawa o ochronie danych osobowych przewiduje przepisy karne, penalizujące nieprzestrzeganie obowiązków ustawowych. Ponadto możliwa jest także odpowiedzialność cywilna. Zaznaczyć również należy, że Generalny Inspektor Ochrony Danych Osobowych w celu przymuszenia do wykonania decyzji może nakładać grzywny. Grzywny nakładane na osoby prawne i jednostki organizacyjne nie posiadające osobowości prawnej nie mogą przekroczyć łącznie sumy 200 000 złotych.
Autor: Aleksandra Piotrowska, Aplikant Adwokacki
Źródło: HILLS LTS S.A.
30.04.2014
Tagi: firma, dane osobowe, ochrona