Ochrona danych osobowych – o tych kwestiach nie zapomnij w 2023 roku
Jako przedsiębiorca w wielu sytuacjach masz kontakt z danymi osobowymi, w tym również z danymi dotyczącymi Twoich klientów czy pracowników. To duża odpowiedzialność, która wiąże się również z określonymi obowiązkami. Sprawdź, na co przede wszystkim zwrócić uwagę w 2023 roku!
RODO: rewolucja w ochronie danych osobowych
Podstawowy dokument prawny, który musisz poznać, aby właściwie chronić dane osobowe w swojej firmie, to Ogólne rozporządzenie o ochronie danych, czyli popularne RODO. W bardzo precyzyjny sposób określa, w jaki sposób mają być chronione i przetwarzane dane osobowe osób fizycznych, a więc np. Twoich klientów czy pracowników.
Dokumentem dostosowującym polski system prawny do wymogów RODO jest natomiast uchwalona 10 maja 2018 roku Ustawa o ochronie danych osobowych. Wskazuje ona nie tylko na Twoje obowiązki, ale również przebieg postępowań w sprawie naruszenia przepisów o ochronie danych osobowych czy proces kontroli ich przestrzegania.
Czym są dane osobowe? Odpowiedź może Cię zdziwić
Problemy wielu przedsiębiorców wynikają bardzo często z błędnego definiowania danych osobowych. Są to informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
Za dane osobowe można więc uznać nie tylko imię, nazwisko czy numer PESEL, ale również np. identyfikator internetowy, czyli chociażby adres e-mail lub adres zamieszkania. Można w ten sposób sklasyfikować także wiele szczegółowych informacji dotyczących społecznej, kulturowej, ekonomicznej czy fizycznej tożsamości konkretnej osoby.
Zwróć uwagę, że niektóre informacje znajdują się pod szczególną ochroną. Dotyczy to przede wszystkim danych ujawniających pochodzenie rasowe, etniczne, poglądy polityczne, religijne, danych genetycznych, biometrycznych czy dotyczących zdrowia lub seksualności. Warto nadmienić, że powyższe dane określane są mianem wrażliwych (nie należy ich mylić z danymi osobowymi jak PESEL czy adres zamieszkania). Przetwarzanie ich niezgodnie z prawem podlega karze grzywny, ograniczenia wolności lub jej pozbawienia do trzech lat.
Uzyskaj zgody na przetwarzanie danych
Jeżeli w ramach działalności administrujesz danymi osobowymi (np. chcesz w celach marketingowych stworzyć bazę kontraktów), a te są przetwarzane na podstawie zgody, wówczas każda osoba musi zostać poinformowana m.in. o celu przetwarzania danych, tożsamości administratora danych i inspektora ochrony danych oraz odbiorcach danych osobowych. Jeśli którykolwiek z tych elementów ulegnie zmianie, również musisz o tym poinformować każdą osobę, której dane przetwarzasz.
Generalna zasada jest prosta: zbieraj minimum danych niezbędnych do realizacji konkretnego celu i dbaj o precyzyjną komunikację oraz uzyskanie świadomych i dobrowolnych zgód.
Przykład: jedno z towarzystw ubezpieczeniowych oferowało bezpłatnie pakiet ubezpieczeń dla dzieci. Warunkiem skorzystania z oferty było udostępnienie przez rodziców danych marketingowych. Miało to na celu zbudowanie bazy danych wykorzystywanej w celach promocyjnych. Obecnie trwa postępowanie wyjaśniające, czy tego typu zgoda została wyrażona dobrowolnie. Potencjalnym naruszeniem ustawy może być również stosowanie na szeroką skalę monitoringu GPS w służbowych samochodach, jeżeli nie stoi za tym np. ochrona interesów przedsiębiorcy.
Niewłaściwa ochrona danych może być kosztowna
Zgodne z prawem legalne pozyskanie danych to jeszcze nie wszystko. Musisz również w prawidłowy sposób przechowywać je i przetwarzać. Dotyczy to także odpowiedniego zabezpieczenia nośników danych.
Niedopatrzenia mogą być kosztowne: wskazuje na to między innymi decyzja Prezesa Urzędu Ochrony Danych Osobowych z 2 listopada 2022 roku. Wójt jednej z gmin położonych w województwie podlaskim został ukarany karą pieniężną w wysokości 8 000 zł. Do naruszenia ochrony danych doszło za sprawą kradzieży służbowego laptopa jednego z pracowników urzędu z jego prywatnego domu. UODO stwierdził, że dysk twardy nie był szyfrowany, mimo obowiązku do takiego zabezpieczenia, a to z kolei naraziło przechowywane na nim dane osobowe na ujawnienie. Mimo że komputer został odnaleziony, a do wycieku danych nie doszło, kara i tak została nałożona.
Polecamy
- Ochrona danych osobowych w firmie – obowiązki przedsiębiorcyczas czytania4minutyartykuł zawiera załącznik27.03.2023Zastanawiasz się, jak chronić dane osobowe przetwarzane w Twojej firmie? Opowiadamy, jak to wygląda w Polsce i jakie kroki należy podjąć, by zapewnić bezpieczeństwo. Sprawdź!4min
- Ochrona danych osobowych i RODO w jednoosobowej działalności gospodarczejczas czytania6minutyartykuł zawiera załącznik30.11.2022RODO w jednoosobowej działalności gospodarczej – czy należy go przestrzegać? Tak! Dowiedz się więcej.6min