Ochrona danych osobowych w firmie – obowiązki przedsiębiorcy
- Czy ochrona danych osobowych to tylko RODO?
- Na czym polega przetwarzanie danych osobowych?
- Co to jest ochrona danych osobowych?
- Jakie informacje podlegają ochronie danych osobowych?
- Obowiązki pracodawcy w zakresie ochrony danych osobowych
- Rola administratora danych osobowych
- Kiedy należy powołać Inspektora Ochrony Danych Osobowych?
- Środki techniczne i organizacyjne w ochronie danych osobowych
Zastanawiasz się, jak chronić dane osobowe przetwarzane w Twojej firmie? Chcesz realizować to zadanie w sposób, który nie będzie wzbudzał wątpliwości prawnych? Z tego artykułu dowiesz się, jak to zrobić. Opowiadamy też, jak wygląda ochrona danych osobowych w Polsce. Pokazujemy też, jakie kroki należy podjąć, by zapewnić bezpieczeństwo w tym zakresie zarówno osobom, których dane przetwarzasz, jak i sobie jako przedsiębiorcy.
Czy ochrona danych osobowych to tylko RODO?
Ochronę danych osobowych reguluje RODO, czyli rozporządzenie unijne nakładające obowiązek ochrony danych na wszystkie podmioty przetwarzające dane osobowe. W Polsce wdrożyła je Ustawa o ochronie danych osobowych z 10 maja 2018 r. Więcej o przepisach wprowadzonych w ustawie przeczytasz tutaj.
Warto pamiętać, że RODO jedynie potwierdziło i uporządkowało istniejący stan prawny. Naruszenie ochrony danych osobowych już wcześniej było karalne, a zbieranie i przetwarzanie danych – uregulowane prawem. W polskich przepisach, np. w Kodeksie pracy oraz Ustawie Prawo telekomunikacyjne, znajdziemy inne zapisy w sprawie ochrony i przetwarzania danych osobowych. Zapisy dotyczące danych osobowych widnieją także w Ustawie o świadczeniu usług drogą elektroniczną. RODO bez wątpienia wpłynęło jednak na podeście przedsiębiorców i uwrażliwiło na postępowanie z danymi osobowymi.
Na czym polega przetwarzanie danych osobowych?
Pamiętaj, że dane osobowe są przetwarzane nawet wtedy, gdy zwyczajnie porządkujesz firmową dokumentację i segregujesz umowy lub formularze osobowe pracowników swojego przedsiębiorstwa. Jako administrator tych danych przetwarzasz je również w momencie, w którym się z nimi zapoznajesz, np. gdy wprowadzasz dane nowego pracownika do programu księgowego. Bardzo istotne jest, by podmiot przetwarzający dane zdawał sobie sprawę z wagi ochrony danych osobowych i rozumiał, jak ją poprawnie wdrożyć.
Co to jest ochrona danych osobowych?
Na czym polega ochrona danych osobowych? By odpowiedzieć na to pytanie, niezbędne jest określenie, czym są takie dane i jakiego obszaru dotyczą.
Dane osobowe to wszelkie informacje o osobie fizycznej zidentyfikowanej lub możliwej do zidentyfikowania na ich podstawie. Są to np.:
- imię i nazwisko,
- PESEL,
- adres zamieszkania,
- identyfikator internetowy,
- adres e-mail, którego używasz np. do logowania w sklepie internetowym.
Ochrona danych osobowych służy regulowaniu procesów udostępniania i zapobieganiu ich nielegalnemu rozpowszechnianiu. Ma także na celu zabezpieczenie danych przechowywanych w firmie przed kradzieżą, niepowołanym dostępem czy utratą.
Jakie informacje podlegają ochronie danych osobowych?
Ustawa o ochronie danych osobowych nie określa precyzyjnie, jakiego zakresu danych dotyczy ochrona. Definiuje jedynie, czym są dane osobowe, co daje bardzo szerokie pole do interpretacji i skłania przedsiębiorstwa do ostrożnego postępowania. Od momentu wprowadzenia RODO utarły się jednak pewne praktyki, które pomagają określić, które dane można określić jako dane osobowe podlegające ochronie. Jeśli więc adres IP pozwala na zlokalizowanie konkretnej osoby, będzie kwalifikowany w ramach danych osobowych. Natomiast sam adres zamieszkania z oznaczeniem wyłącznie numeru bloku, bez doprecyzowanego numeru mieszkania nie będzie mieścił się w definicji danych osobowych, ponieważ nie umożliwia jednoznacznej identyfikacji konkretnej osoby.
Obowiązki pracodawcy w zakresie ochrony danych osobowych
Jeśli jako przedsiębiorca zatrudniasz pracowników, masz więc obowiązki w kwestii ochrony ich danych osobowych. Nawet na etapie rekrutacji nowego członka zespołu musi dojść do poinformowania kandydatów o zasadach przetwarzania danych, np. dotyczących wykształcenia czy przebiegu zatrudnienia.
Aby określić swoją rolę, pracodawca powinien zidentyfikować procesy przetwarzania danych, czyli określić, które operacje wykorzystują dane osobowe i z jakimi czynnościami są powiązane. Wskaż cel przetwarzania i określ podstawę prawną dla każdego procesu.
Obowiązująca dyrektywa definiuje, w jakich sytuacjach i w jakim zakresie można monitorować pracowników w trakcie pracy (poprzez kamery, kontrolę służbowego e-maila itp.) oraz kiedy i w jakim celu można przechowywać dane biometryczne pracowników.
Ponadto pracodawca musi spełnić obowiązek informacyjny również wtedy, gdy zmieniają się przepisy, a także dokonywać terminowego usunięcia danych osobowych byłych pracowników.
Rola administratora danych osobowych
Ustawa o ochronie danych osobowych określa, że zadaniem administratora danych osobowych jest określenie sposobów przetwarzania danych osobowych oraz ich celu. W gestii administratora danych jest także analiza ryzyka możliwej kradzieży czy wycieku danych i zapewnienie środków (tzw. środków technicznych i organizacyjnych), by odpowiednia ochrona danych osobowych była możliwa.
Administrator ma także obowiązek powołania Inspektora Ochrony Danych Osobowych, a jeśli doszło do naruszenia ochrony danych osobowych, musi zgłosić zdarzenie do PUODO (Prezesa Urzędu Ochrony Danych Osobowych) w ciągu 72 godzin od stwierdzenia naruszenia oraz poinformować o tym fakcie osobę, której dane zostały naruszone.
W praktyce administratorem danych osobowych jest każdy pracodawca. Jako przedsiębiorca musisz zatem spełnić nie tylko obowiązki pracodawcy określone przez RODO i inne przepisy dotyczące danych osobowych, ale również te wynikające z roli administratora danych osobowych.
Kim jest Inspektor Ochrony Danych Osobowych? To osoba lub firma zawiadująca ochroną danych osobowych w firmie, sprawdzająca poprawność procesów ochrony danych oraz ich zgodność z prawem, a w razie potrzeby modyfikująca środki ochrony i kierująca sprostowania do pracowników. Ten specjalista odpowie również na wszystkie pytania przedsiębiorcy dotyczące przetwarzania danych i obowiązku ochrony.
Kiedy należy powołać Inspektora Ochrony Danych Osobowych?
Ustawa o ochronie danych osobowych określa także, w jakich sytuacjach obowiązkiem administratora danych osobowych jest powołanie Inspektora Ochrony Danych Osobowych. Ta regulacja dotyczy organów i podmiotów publicznych oraz przede wszystkim większych firm (np. szpitali i przedsiębiorstw zajmujących się wielkoskalowym, regularnym i systematycznym monitorowaniem osób), których główna działalność obejmuje przetwarzanie danych wrażliwych oraz szczególnych kategorii danych osobowych na dużą skalę.
Należy pamiętać, że firmy trudniące się monitorowaniem osób to nie tylko te przedsiębiorstwa, które dosłownie obserwują na przykład klientów marketu za pośrednictwem kamery bezpieczeństwa. Monitorowanie osób w rozumieniu Ustawy o ochronie danych osobowych to również obserwowanie i profilowanie użytkowników internetu. Przykładem takich działań jest tworzenie profilowanych reklam, dlatego i przedsiębiorstwa z tej branży mają obowiązek powołania IOD, podobnie jak firmy rekrutacyjne gromadzące profile osób fizycznych.
Kontrolowanie zgodności przetwarzania danych osobowych w firmie i wykorzystywanych środków technicznych i organizacyjnych to właśnie zadanie IOD.
Środki techniczne i organizacyjne w ochronie danych osobowych
Czym są środki techniczne i organizacyjne w ochronie danych osobowych? Są to wszelkie zabezpieczenia przed nieupoważnionym dostępem do danych osobowych. Materialne środki ochrony obejmują np. sejfy, szafy pancerne, alarmy przeciwwłamaniowe czy odpowiedniej klasy niszczarki umożliwiające dokładne usuwanie danych, które nie będą już przetwarzane). Ponadto ochronie służą środki techniczne, np. programowanie antywirusowe na służbowych komputerach oraz zalecenia dla pracowników (polityka czystego biurka, regulacje np. w zakresie przesyłania wrażliwych dokumentów pocztą e-mail).
Polecamy
- Ochrona danych osobowych i RODO w jednoosobowej działalności gospodarczejczas czytania6minutyartykuł zawiera załącznik30.11.2022RODO w jednoosobowej działalności gospodarczej – czy należy go przestrzegać? Tak! Dowiedz się więcej.6min
- Nowelizacja Kodeksu pracy w 2023 r. – najważniejsze zmianyczas czytania4minuty12.01.2023Już w styczniu 2023 r. pracodawców i pracowników czekają nowe zmiany w Kodeksie pracy. Sprawdź, co Cię czeka!
- Od 2023 r. będziesz mieć tylko 14 dni na rozpatrzenie reklamacji – zmiany w prawach konsumentaczas czytania3minuty28.12.2022Rok 2023 przynosi sporo zmian w prawach konsumenta. Czego możemy się spodziewać?