Nie każdy przedsiębiorca zdaje sobie sprawę z tego, że pewne codziennie wykonywane przez niego czynności, jak np. wysyłka newslettera czy zbieranie numerów telefonów klientów, są niczym innym, jak gromadzeniem danych osobowych. Warto wiedzieć, kiedy takie informacje mogą być nazwane zbiorami danych osobowych i jakie kroki należy podjąć w celu ich chronienia.
Kwestie te reguluje ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (UODO). Zgodnie z jej zapisami, danymi osobowymi są:
wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej,
do których można zaliczyć m.in.: numer identyfikacyjny albo specyficzne czynniki określające cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, społeczne lub kulturowe.
W praktyce każde przedsiębiorstwo handlowe lub usługowe, które posiada dane klientów – osób fizycznych, w rozumieniu tej ustawy, przetwarza dane osobowe.
Kiedy takie informacje można nazwać zbiorem danych osobowych? Ustawa precyzuje, że zbiorem jest taki zestaw danych, który posiada strukturę pozwalającą na ich wyszukiwanie według określonych kryteriów, np. według daty rejestracji czy nazwiska. To właśnie odróżnia zbiory od innych zestawów danych i to sprawia, że należy je zgłosić do rejestracji w GIODO.
Aby zarejestrować zbiór danych w GIODO, można zgłosić go elektronicznie na stronie internetowej. Nie trzeba mieć do tego podpisu elektronicznego, ale podmioty, które go nie posiadają, muszą wysłać formularz dodatkowo w formie pisemnej.
W zgłoszeniu do GIODO muszą znaleźć się informacje o:
– administratorze danych (adres siedziby/miejsca zamieszkania, numer identyfikacyjny, podstawę prawną do prowadzenia zbioru),
– celu przetwarzania danych,
– sposobach zbierania i udostępniania danych,
– odbiorcach, którym dane mogą być przekazywane,
– środkach technicznych i organizacyjnych służących zabezpieczeniu danych,
– przekazywaniu danych do państwa trzeciego (o ile to następuje).
Dane, które nie muszą być rejestrowane w GIODO to te, które zbierane są w celu wystawienia faktury lub rachunku, gromadzone w związku z zatrudnieniem i świadczeniem usług na podstawie umów cywilnoprawnych oraz dane powszechnie dostępne.
Oprócz zgłoszenia zbiorów danych do Generalnego Inspektora Ochrony Danych Osobowych, do obowiązków przedsiębiorców przetwarzających takie dane należy:
Szczególnych środków wymaga ochrona tych danych, które dotyczą zdrowia. Jeśli jednak określenie czyjejś tożsamości na podstawie pewnych informacji wymagałoby nadmiernych kosztów, czasu, czy specjalnych działań, nie są one uznawane za podlegające ochronie.
Wejście w życie przepisów RODO rozszerzyło prawa osób, których dane są gromadzone. Przede wszystkim muszą one być jasno poinformowane przez administratora danych o zasadach ich przetwarzania, a w każdym momencie mogą zażądać ich usunięcia lub ograniczenia przetwarzania. Co więcej, obowiązek informacyjny musi zostać wypełniony również w przypadkach, kiedy dane przetwarzane są na podstawie przepisów prawa czy dla dobra publicznego.
RODO rozszerza także pojęcie danych osobowych – w związku z postępem technologicznym, osobę fizyczną można zidentyfikować również na poziomie danych o jej lokalizacji czy identyfikatora internetowego. W praktyce oznacza to, że prowadzenie strony, która rejestruje numery IP odwiedzających, oznacza dla właściciela konieczność wdrożenia pewnych działań ochronnych.
Jakich? Podpowiedź może przynieść audyt wykonany przez zewnętrzną firmę – wskaże on, jakie konkretnie dane są zbierane w przedsiębiorstwie i czy ich zakres odpowiada celowi, w którym się je gromadzi.
Kategoria: Bezpieczeństwo Udostępnij na:
Pojęcie DDoS stało się znane ze względu na doniesienia prasowe o atakach na witryny rządowe czy strony największych korporacji. W związku z tym często postrzega się je jako odległe zagrożenie, które dotyczy zawsze innych. Tymczasem nawet osoby, które prowadzą niewielką działalność, mogą paść ich ofiarą. Warto być tego świadomym i odpowiednio przygotować się na taką ewentualność.
Czytaj więcejNadzoruje działalność BIG
Dobrowolne przystąpienie do Zasad Dobrych Praktyk
Opiniuje Regulamin Zarządzania Danymi
