Data publikacji:

Ochrona danych osobowych w firmie – co warto wiedzieć?

Nie każdy przedsiębiorca zdaje sobie sprawę z tego, że pewne codziennie wykonywane przez niego czynności,  jak np. wysyłka newslettera czy zbieranie numerów telefonów klientów, są niczym innym, jak gromadzeniem danych osobowych. Warto wiedzieć, kiedy takie informacje mogą być nazwane zbiorami danych osobowych i jakie kroki należy podjąć w celu ich chronienia.

Dane osobowe, zbiory danych osobowych – kiedy mamy z nimi do czynienia?

Kwestie te reguluje ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (UODO). Zgodnie z jej zapisami, danymi osobowymi są:

 wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej,

do których można zaliczyć m.in.: numer identyfikacyjny albo specyficzne czynniki określające cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, społeczne lub kulturowe.

W praktyce każde przedsiębiorstwo handlowe lub usługowe, które posiada dane klientów – osób fizycznych, w rozumieniu tej ustawy, przetwarza dane osobowe.

Kiedy takie informacje można nazwać zbiorem danych osobowych? Ustawa precyzuje, że zbiorem jest taki zestaw danych, który posiada strukturę pozwalającą na ich wyszukiwanie według określonych kryteriów, np. według daty rejestracji czy nazwiska. To właśnie odróżnia zbiory od innych zestawów danych i to sprawia, że należy je zgłosić do rejestracji w GIODO.

Rejestracja w GIODO i pozostałe obowiązki przedsiębiorców

ochrona danych osobowych

 

Aby zarejestrować zbiór danych w GIODO, można zgłosić go elektronicznie na stronie internetowej. Nie trzeba mieć do tego podpisu elektronicznego, ale podmioty, które go nie posiadają, muszą wysłać formularz dodatkowo w formie pisemnej.

W zgłoszeniu do GIODO muszą znaleźć się informacje o:

– administratorze danych (adres siedziby/miejsca zamieszkania, numer identyfikacyjny, podstawę prawną do prowadzenia zbioru),

– celu przetwarzania danych,

– sposobach zbierania i udostępniania danych,

– odbiorcach, którym dane mogą być przekazywane,

– środkach technicznych i organizacyjnych służących zabezpieczeniu danych,

– przekazywaniu danych do państwa trzeciego (o ile to następuje).

Dane, które nie muszą być rejestrowane w GIODO to te, które zbierane są w celu wystawienia faktury lub rachunku, gromadzone w związku z zatrudnieniem i świadczeniem usług na podstawie umów cywilnoprawnych oraz dane powszechnie dostępne.

Oprócz zgłoszenia zbiorów danych do Generalnego Inspektora Ochrony Danych Osobowych, do obowiązków przedsiębiorców przetwarzających takie dane należy:

  • nadanie uprawnień administratorom danych,
  • zebranie zezwoleń osób, których dane są przetwarzane,
  • stworzenie i przestrzeganie polityki ochrony danych w firmie.

Szczególnych środków wymaga ochrona tych danych, które dotyczą zdrowia. Jeśli jednak określenie czyjejś tożsamości na podstawie pewnych informacji wymagałoby nadmiernych kosztów, czasu, czy specjalnych działań, nie są one uznawane za podlegające ochronie.

Jakie zmiany w kwestii ochrony danych wprowadza RODO?

Wejście w życie przepisów RODO rozszerzyło prawa osób, których dane są gromadzone. Przede wszystkim muszą one być jasno poinformowane przez administratora danych o zasadach ich przetwarzania, a w każdym momencie mogą zażądać ich usunięcia lub ograniczenia przetwarzania. Co więcej, obowiązek informacyjny musi zostać wypełniony również w przypadkach, kiedy dane przetwarzane są na podstawie przepisów prawa czy dla dobra publicznego.

RODO rozszerza także pojęcie danych osobowych – w związku z postępem technologicznym, osobę fizyczną można zidentyfikować również na poziomie danych o jej lokalizacji czy identyfikatora internetowego. W praktyce oznacza to, że prowadzenie strony, która rejestruje numery IP odwiedzających, oznacza dla właściciela konieczność wdrożenia pewnych działań ochronnych.

Jakich? Podpowiedź może przynieść audyt wykonany przez zewnętrzną firmę – wskaże on, jakie konkretnie dane są zbierane w przedsiębiorstwie i czy ich zakres odpowiada celowi, w którym się je gromadzi.