Jak każdy wie ochrona danych to ważny temat w każdej firmie, w której przetwarza się dane osobowe. Niestety wiele firm nawet przez chwilę nie zastanowi się, co to takiego. W Polsce nadal mało popularne jest rejestrowanie wniosku ze zbiorami danych osobowych w GIODO, a co za tym idzie również przygotowanie dokumentacji, czy wdrożenie zasad bezpieczeństwa. Temat trudny z uwagi, iż każda firma działa inaczej, zbiera różne dane oraz przetwarza je w innym celu. Jednak z roku na rok coraz częściej słychać o wycieku danych, ostatni głośny przykład to temat Plus Banku.
Czy ktoś się zastanowił jakie grożą sankcje z tytułu wycieku danych?? Jakie mogą być roszczenia osób, których dane wyciekły?? A co, gdy nie mamy wdrożonych procedur lub zarejestrowanych zbiorów w GIODO???
Dynamika spraw sądowych dotyczących danych osobowych, ich przetwarzania wynosi około 400-600%. To nie mało i rośnie z roku na rok. Nie będę tu przytaczał artykułów z ustawy dotyczących kar jakie można ponieść, bo każdy powinien się zapoznać z całą ustawą dotyczącą ochrony danych osobowych i zastanowić się czy takie dane przetwarza, czy też nie? Większość firm przetwarza dane często nie zdając sobie z tego sprawy. Czy warto rejestrować zbiory danych w GIODO i wdrażać regulacje i procedury w firmie? Na pewno warto z uwagi, iż każdy właściciel firmy, w której dane osobowe są przetwarzane to ADO – administrator danych osobowych i cała odpowiedzialność ciąży na nim. . W przypadku naruszenia dotyczącego danych osobowych przez pracowników odpowiedzialność ponosi właściciel firmy. Jeżeli jednak posiadamy odpowiednie regulacje i procedury wtedy pracownik zostaje poinformowany w tym zakresie oraz otrzymuje do podpisu odpowiednie upoważnienie i oświadczenie dotyczące przetwarzania danych osobowych w danej firmie. W ten sposób zobowiązuje się do ich przestrzegania i ochrony oraz staje się odpowiedzialny za naruszenia dotyczące danych osobowych. Czyli jednak warto!!!
Kto powinien rejestrować zbiory? Jakie to zbiory?
Ustawa nie wskazuje wprost jakie zbiory należy rejestrować. Za to wymienia zbiory, które nie podlegają obowiązkowi rejestracji. Jeżeli wśród wymienionych nie znajdziemy naszego zbioru, jesteśmy zobligowani do jego zarejestrowania. Drugą sprawą jest Polityka bezpieczeństwa, którą powinniśmy posiadać nawet wtedy, gdy jesteśmy „zwolnieni” z rejestracji zbioru danych osobowych.
Zbiory mogą występować zarówno w formie papierowej, jak również jako baza danych w systemach informatycznych.
W przypadku formy papierowej zbiorem danych osobowych będą np:
- pisma z klientami i kontrahentami na których znajdują są dane osobowe
- reklamacje klientów na których znajdują są dane osobowe
- dokumentacja klientów którą przechowujemy w teczkach
W systemach informatycznych każda baza danych jest zbiorem ale występują również innego typu zbiory np:
- baza danych sklepu internetowego
- baza danych klientów i kontrahentów
- newsletter
- oferty przesyłane e-mail ( tak, adres e-mail to dana osobowa )
To tylko przykłady ale może choć trochę rozjaśnią temat zbiorów danych osobowych.
Kto powinien rejestrować zbiory w GIODO?
Praktycznie każdy kto prowadzi działalność, a jego relacja z klientem nie kończy się na wystawieniu faktury. Zawsze lepiej zarejestrować wniosek niż go nie rejestrować.
Rejestrujemy ABI, czy nie?
Obecnie jesteśmy po nowelizacji ustawy i określeniu, czy rejestrujemy ABI w firmie, czy nie. Na początku kto to jest ABI??? ABI- to osoba wyznaczona przez ADO i mająca w obowiązkach nadzór nad przestrzeganiem zasad ochrony przetwarzanych danych osobowych. Prowadzi i aktualizuje dokumentację dotyczącą ochrony danych osobowych tj. polityka bezpieczeństwa informacji i instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych. Prowadzi rejestr i kontrolę wydanych upoważnień oraz osób upoważnionych do przetwarzania danych osobowych. Prowadzi okresowe audyty stanu bezpieczeństwa. Nadzoruje zabezpieczenie danych osobowych w systemach IT.
Jak „widać” decyzja nie jest łatwa ale obojętnie jaką podejmiemy to zakres pracy jest podobny. Jeżeli powołamy ABI to ma on „niezależnie” sprawować ochronę danych osobowych w firmie. Taka osoba powinna mieć odpowiednie kompetencje:
– nie być karana za przestępstwo umyślne
– posiadać odpowiednią wiedzę z zakresu ochrony danych osobowych
– mieć zapewnione odpowiednie środki zarówno finansowe jak i organizacyjne aby niezależnie wykonywać swoje kompetencje.
Jeżeli nie rejestrujemy ABI w firmie to ADO powinien określić jakie osoby i w jakim zakresie odpowiadają za ochronę danych osobowych w firmie. Dla przykładu w firmie prywatnej właściciel będzie odpowiedzialny za ochronę danych osobowych, a podlegli mu pracownicy mają przypisane odpowiednie obowiązki. Im większa „firma” tym łatwiej jest wszystko zorganizować.
Tak w telegraficznym skrócie można przedstawić zakres i zasady ochrony danych osobowych w firmie. Należy pamiętać o obowiązku rejestracji zbiorów oraz o upoważnieniach dla pracowników, które są niby papierkiem ale jakże ważnym.