Ochrona danych osobowych w firmie – obowiązki przedsiębiorcy

4 min

mężczyzna siedzi przy laptopie, nad nim ikony symbolizujące bezpieczeństwo danych online

Zastanawiasz się, jak chronić dane osobowe przetwarzane w Twojej firmie? Chcesz realizować to zadanie w sposób, który nie będzie wzbudzał wątpliwości prawnych? Z tego artykułu dowiesz się, jak to zrobić. Opowiadamy też, jak wygląda ochrona danych osobowych w Polsce. Pokazujemy też, jakie kroki należy podjąć, by zapewnić bezpieczeństwo w tym zakresie zarówno osobom, których dane przetwarzasz, jak i sobie jako przedsiębiorcy.

Czy ochrona danych osobowych to tylko RODO?

Ochronę danych osobowych reguluje RODO, czyli rozporządzenie unijne nakładające obowiązek ochrony danych na wszystkie podmioty przetwarzające dane osobowe. W Polsce wdrożyła je Ustawa o ochronie danych osobowych z 10 maja 2018 r. Więcej o przepisach wprowadzonych w ustawie przeczytasz tutaj.

Warto pamiętać, że RODO jedynie potwierdziło i uporządkowało istniejący stan prawny. Naruszenie ochrony danych osobowych już wcześniej było karalne, a zbieranie i przetwarzanie danych – uregulowane prawem. W polskich przepisach, np. w Kodeksie pracy oraz Ustawie Prawo telekomunikacyjne, znajdziemy inne zapisy w sprawie ochrony i przetwarzania danych osobowych. Zapisy dotyczące danych osobowych widnieją także w Ustawie o świadczeniu usług drogą elektroniczną. RODO bez wątpienia wpłynęło jednak na podeście przedsiębiorców i uwrażliwiło na postępowanie z danymi osobowymi.

Na czym polega przetwarzanie danych osobowych?

Pamiętaj, że dane osobowe są przetwarzane nawet wtedy, gdy zwyczajnie porządkujesz firmową dokumentację i segregujesz umowy lub formularze osobowe pracowników swojego przedsiębiorstwa. Jako administrator tych danych przetwarzasz je również w momencie, w którym się z nimi zapoznajesz, np. gdy wprowadzasz dane nowego pracownika do programu księgowego. Bardzo istotne jest, by podmiot przetwarzający dane zdawał sobie sprawę z wagi ochrony danych osobowych i rozumiał, jak ją poprawnie wdrożyć.

Co to jest ochrona danych osobowych?

Na czym polega ochrona danych osobowych? By odpowiedzieć na to pytanie, niezbędne jest określenie, czym są takie dane i jakiego obszaru dotyczą.
Dane osobowe to wszelkie informacje o osobie fizycznej zidentyfikowanej lub możliwej do zidentyfikowania na ich podstawie. Są to np.:

  • imię i nazwisko, 
  • PESEL,
  • adres zamieszkania,
  • identyfikator internetowy,
  • adres e-mail, którego używasz np. do logowania w sklepie internetowym. 

Ochrona danych osobowych służy regulowaniu procesów udostępniania i zapobieganiu ich nielegalnemu rozpowszechnianiu. Ma także na celu zabezpieczenie danych przechowywanych w firmie przed kradzieżą, niepowołanym dostępem czy utratą. 

Jakie informacje podlegają ochronie danych osobowych?

Ustawa o ochronie danych osobowych nie określa precyzyjnie, jakiego zakresu danych dotyczy ochrona. Definiuje jedynie, czym są dane osobowe, co daje bardzo szerokie pole do interpretacji i skłania przedsiębiorstwa do ostrożnego postępowania. Od momentu wprowadzenia RODO utarły się jednak pewne praktyki, które pomagają określić, które dane można określić jako dane osobowe podlegające ochronie. Jeśli więc adres IP pozwala na zlokalizowanie konkretnej osoby, będzie kwalifikowany w ramach danych osobowych. Natomiast sam adres zamieszkania z oznaczeniem wyłącznie numeru bloku, bez doprecyzowanego numeru mieszkania nie będzie mieścił się w definicji danych osobowych, ponieważ nie umożliwia jednoznacznej identyfikacji konkretnej osoby.

Obowiązki pracodawcy w zakresie ochrony danych osobowych

Jeśli jako przedsiębiorca zatrudniasz pracowników, masz więc obowiązki w kwestii ochrony ich danych osobowych. Nawet na etapie rekrutacji nowego członka zespołu musi dojść do poinformowania kandydatów o zasadach przetwarzania danych, np. dotyczących wykształcenia czy przebiegu zatrudnienia. 

Aby określić swoją rolę, pracodawca powinien zidentyfikować procesy przetwarzania danych, czyli określić, które operacje wykorzystują dane osobowe i z jakimi czynnościami są powiązane. Wskaż cel przetwarzania i określ podstawę prawną dla każdego procesu. 
Obowiązująca dyrektywa definiuje, w jakich sytuacjach i w jakim zakresie można monitorować pracowników w trakcie pracy (poprzez kamery, kontrolę służbowego e-maila itp.) oraz kiedy i w jakim celu można przechowywać dane biometryczne pracowników.

Ponadto pracodawca musi spełnić obowiązek informacyjny również wtedy, gdy zmieniają się przepisy, a także dokonywać terminowego usunięcia danych osobowych byłych pracowników.

Rola administratora danych osobowych

Ustawa o ochronie danych osobowych określa, że zadaniem administratora danych osobowych jest określenie sposobów przetwarzania danych osobowych oraz ich celu. W gestii administratora danych jest także analiza ryzyka możliwej kradzieży czy wycieku danych i zapewnienie środków (tzw. środków technicznych i organizacyjnych), by odpowiednia ochrona danych osobowych była możliwa. 

Administrator ma także obowiązek powołania Inspektora Ochrony Danych Osobowych, a jeśli doszło do naruszenia ochrony danych osobowych, musi zgłosić zdarzenie do PUODO (Prezesa Urzędu Ochrony Danych Osobowych) w ciągu 72 godzin od stwierdzenia naruszenia oraz poinformować o tym fakcie osobę, której dane zostały naruszone.

W praktyce administratorem danych osobowych jest każdy pracodawca. Jako przedsiębiorca musisz zatem spełnić nie tylko obowiązki pracodawcy określone przez RODO i inne przepisy dotyczące danych osobowych, ale również te wynikające z roli administratora danych osobowych.

Kim jest Inspektor Ochrony Danych Osobowych? To osoba lub firma zawiadująca ochroną danych osobowych w firmie, sprawdzająca poprawność procesów ochrony danych oraz ich zgodność z prawem, a w razie potrzeby modyfikująca środki ochrony i kierująca sprostowania do pracowników. Ten specjalista odpowie również na wszystkie pytania przedsiębiorcy dotyczące przetwarzania danych i obowiązku ochrony.

Kiedy należy powołać Inspektora Ochrony Danych Osobowych?

Ustawa o ochronie danych osobowych określa także, w jakich sytuacjach obowiązkiem administratora danych osobowych jest powołanie Inspektora Ochrony Danych Osobowych. Ta regulacja dotyczy organów i podmiotów publicznych oraz przede wszystkim większych firm (np. szpitali i przedsiębiorstw zajmujących się wielkoskalowym, regularnym i systematycznym monitorowaniem osób), których główna działalność obejmuje przetwarzanie danych wrażliwych oraz szczególnych kategorii danych osobowych na dużą skalę.

Należy pamiętać, że firmy trudniące się monitorowaniem osób to nie tylko te przedsiębiorstwa, które dosłownie obserwują na przykład klientów marketu za pośrednictwem kamery bezpieczeństwa. Monitorowanie osób w rozumieniu Ustawy o ochronie danych osobowych to również obserwowanie i profilowanie użytkowników internetu. Przykładem takich działań jest tworzenie profilowanych reklam, dlatego i przedsiębiorstwa z tej branży mają obowiązek powołania IOD, podobnie jak firmy rekrutacyjne gromadzące profile osób fizycznych.
Kontrolowanie zgodności przetwarzania danych osobowych w firmie i wykorzystywanych środków technicznych i organizacyjnych to właśnie zadanie IOD.

Środki techniczne i organizacyjne w ochronie danych osobowych

Czym są środki techniczne i organizacyjne w ochronie danych osobowych? Są to  wszelkie zabezpieczenia przed nieupoważnionym dostępem do danych osobowych. Materialne środki ochrony obejmują  np. sejfy, szafy pancerne, alarmy przeciwwłamaniowe czy odpowiedniej klasy niszczarki umożliwiające dokładne usuwanie danych, które nie będą już przetwarzane). Ponadto ochronie służą środki techniczne, np. programowanie antywirusowe na służbowych komputerach oraz zalecenia dla pracowników (polityka czystego biurka, regulacje np. w zakresie przesyłania wrażliwych dokumentów pocztą e-mail).

Czy ten artykuł był przydatny?
średnia: 0 | 0 ocen

Przeglądaj tematy

  • #na startwięcej artykułów z tagiem:#na start
  • #bizneswięcej artykułów z tagiem:#biznes
  • #podatkiwięcej artykułów z tagiem:#podatki
  • #marketingwięcej artykułów z tagiem:#marketing
  • #prawowięcej artykułów z tagiem:#prawo
  • #strategiawięcej artykułów z tagiem:#strategia
  • #pracownicywięcej artykułów z tagiem:#pracownicy
  • #księgowośćwięcej artykułów z tagiem:#księgowość
  • #wideowięcej artykułów z tagiem:#wideo
  • #finansowaniewięcej artykułów z tagiem:#finansowanie
  • #sprzedażwięcej artykułów z tagiem:#sprzedaż
  • #ekowięcej artykułów z tagiem:#eko
  • #markawięcej artykułów z tagiem:#marka
  • #ESGwięcej artykułów z tagiem:#ESG
  • #pomysł na bizneswięcej artykułów z tagiem:#pomysł na biznes
  • #e-commercewięcej artykułów z tagiem:#e-commerce
  • #zmiany w prawiewięcej artykułów z tagiem:#zmiany w prawie
  • #wsparcie dla firmwięcej artykułów z tagiem:#wsparcie dla firm
  • #internetwięcej artykułów z tagiem:#internet
  • #automatyzacjawięcej artykułów z tagiem:#automatyzacja
  • #przewodnikwięcej artykułów z tagiem:#przewodnik
  • #AIwięcej artykułów z tagiem:#AI
  • #samodzielna księgowośćwięcej artykułów z tagiem:#samodzielna księgowość
  • #SEOwięcej artykułów z tagiem:#SEO
  • #ZUSwięcej artykułów z tagiem:#ZUS
  • #leasingwięcej artykułów z tagiem:#leasing
  • #service designwięcej artykułów z tagiem:#service design
  • #instrukcjawięcej artykułów z tagiem:#instrukcja
  • #dokumentywięcej artykułów z tagiem:#dokumenty
  • #oszczędnościwięcej artykułów z tagiem:#oszczędności
  • #kredytwięcej artykułów z tagiem:#kredyt
  • #RODOwięcej artykułów z tagiem:#RODO
  • #fakturywięcej artykułów z tagiem:#faktury
  • #bankowośćwięcej artykułów z tagiem:#bankowość
  • #dotacjewięcej artykułów z tagiem:#dotacje
  • #technologiewięcej artykułów z tagiem:#technologie
  • #ITwięcej artykułów z tagiem:#IT
  • #google analyticswięcej artykułów z tagiem:#google analytics
  • #kontrahentwięcej artykułów z tagiem:#kontrahent
  • #media społecznościowewięcej artykułów z tagiem:#media społecznościowe
  • #ochrona środowiskawięcej artykułów z tagiem:#ochrona środowiska
  • #podcastwięcej artykułów z tagiem:#podcast
  • #Polski Ładwięcej artykułów z tagiem:#Polski Ład
  • #umowywięcej artykułów z tagiem:#umowy
  • #analizawięcej artykułów z tagiem:#analiza
  • #ubezpieczeniewięcej artykułów z tagiem:#ubezpieczenie
  • #faktoringwięcej artykułów z tagiem:#faktoring
  • #badaniewięcej artykułów z tagiem:#badanie
  • #długiwięcej artykułów z tagiem:#długi
  • #USwięcej artykułów z tagiem:#US
  • #konkurencjawięcej artykułów z tagiem:#konkurencja
  • #wynagrodzeniawięcej artykułów z tagiem:#wynagrodzenia
  • #CEIDGwięcej artykułów z tagiem:#CEIDG
  • #inwestycjewięcej artykułów z tagiem:#inwestycje
  • #urlopywięcej artykułów z tagiem:#urlopy
  • #płynność finansowawięcej artykułów z tagiem:#płynność finansowa
  • #webinarwięcej artykułów z tagiem:#webinar
  • #zdolność kredytowawięcej artykułów z tagiem:#zdolność kredytowa
  • #zakupywięcej artykułów z tagiem:#zakupy
  • #REGONwięcej artykułów z tagiem:#REGON
  • #kosztywięcej artykułów z tagiem:#koszty
  • #współpracawięcej artykułów z tagiem:#współpraca
  • #SEMwięcej artykułów z tagiem:#SEM
  • #gwarancjawięcej artykułów z tagiem:#gwarancja