O prawidłowym przechowywaniu i przetwarzaniu danych osobowych w organizacji mówi i się i pisze od wielu lat, jednak kwestia ta nadal pozostaje problemem, zwłaszcza w małych i średnich firmach. Śmiało można stwierdzić, że jest to często sprawa wręcz marginalizowana, trochę na zasadzie: „wpadnie kontrola – będziemy się martwić”. Jednak nie jest to tak proste, jak można by sądzić. Ani tak bezkarne, jak mogłoby się wydawać…
Najwyższy stopień gwarancji
Prawo do prywatności i ochrony danych gwarantowane jest przez Konstytucję Rzeczypospolitej. Zasady przetwarzania danych i prawa osób fizycznych, których dane są lub mogą być przetwarzane, szczegółowo uregulowano w Ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, wydanych do niej aktach wykonawczych oraz innych przepisach. .
RODO
Już za cztery miesiące, a dokładnie od 25 maja, zaczną obowiązywać nowe, ogólnoeuropejskie przepisy, czyli Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO lub z ang. GDRP – General Data Protection Regulation). Rozporządzenia Unijne są najwyższym aktem prawnym Unii Europejskiej. Dotyczą wszystkich krajów członkowskich i są bezpośrednio i w całości stosowane.
Z jednej strony RODO pewne sprawy uprości, ale inne skomplikuje. Do tej pory wystarczyło osiągnąć zgodność z rozporządzeniami MSWiA. Dla wielu małych firm stanowiło to poważne wyzwanie biurokratyczne, ale jednocześnie wyraźnie określało zakres wymagań. W warunkach obowiązywania RODO nie będzie już tego punktu odniesienia. Ocenę skutków przetwarzania dla ochrony danych osobowych trzeba będzie wykonać samodzielnie, a następnie opracować i wdrożyć adekwatne zabezpieczenia. Niby uproszczenie, ale trzeba przyjąć metodę szacowania ryzyka, wykonać jego analizę i opracować właściwe zabezpieczenia. Jednocześnie, nie mając gwarancji, że w czasie ewentualnej kontroli uznane zostaną za odpowiednie.
Poważna sprawa
Przedsiębiorcy, którzy dopuszczą się złamania przepisów regulujących ochronę danych osobowych, narażają się na sankcje o charakterze administracyjnoprawnym, karnym i cywilnoprawnym. Z dniem wejścia w życia RODO kary finansowe będą bardzo wysokie – dużo wyższe, niż ma to miejsce obecnie. Naruszanie przepisów ochrony danych osobowych będzie zagrożone karą pieniężną do 2% światowego obrotu firmy lub 10 000 000 EUR (stosując wyższą z kwot). W niektórych przypadkach nawet odpowiednio do 4% i 20 000 000 EUR. Co więcej, kary będzie można nałożyć od razu, bez uprzedniego wezwania do usunięcia uchybień.
Obecnie, zabronione (i karane) jest przetwarzanie danych osobowych przez osobę nieuprawnioną, udostępnianie ich osobom nieuprawnionym, naruszenie obowiązku zabezpieczenia danych osobowych, niezgłoszenie ich do rejestru, niedopełnienie obowiązków informacyjnych i udaremnienie czynności kontrolnych. W zależności od rodzaju naruszenia, przedsiębiorca spodziewać się może kary grzywny, ograniczenia wolności, a nawet pozbawienia wolności do trzech lat. Kary, które wprowadzi RODO odnoszą się do pojęć jeszcze ogólniejszych, a jednocześnie mają być „skuteczne, proporcjonalne i odstraszające”. Sprawa jest zatem poważna, zwłaszcza dla dużych przedsiębiorstw.
Obowiązki przedsiębiorcy
Bezpieczeństwo danych osobowych w Twojej firmie to sprawa wysokiej wagi, o którą warto zadbać. Charakterystycznymi danymi osobowymi są imię, nazwisko, adres, PESEL, nr NIP, czy adres poczty elektronicznej umożliwiający identyfikację użytkownika. Na pierwszy rzut oka widać, że są to dane, z którymi w zdecydowanej większości firm mamy do czynienia na co dzień.
Jednak nie każdy zdaje sobie sprawę, jak bardzo, z prawnego punktu widzenia, dane te wymagają ochrony. Po naszej stronie, jako Administratora Danych, pozostaje ich ochrona, a więc odpowiednie zabezpieczenie przed różnymi zagrożeniami, np. udostępnianiem osobom nieupoważnionym, zniszczeniem, manipulacją itp. itd. Wymuszenie okresowej zmiany hasła użytkownika na komputerze czy zakazanie wstępu bez astysty osobom nieupoważnionym do pomieszczeń, gdzie przechowywane są dane osobowe to kolejne przykłady działań, o konieczności realizacji których wielu przedsiębiorców może nawet nie wiedzieć, co jednak wcale nie wyklucza ich odpowiedzialności z tego tytułu.
Inną, często lekceważoną kwestią, jest obowiązek posiadania podstawy do przetwarzania danych osobowych. Może być to np. zgoda osoby fizycznej, udzielana podczas zapisywania się na newsletter, choć najczęściej podstawą przetwarzania jest konieczność wykonania umowy. Przetwarzanie danych bez uzasadnienia na pewno będzie surowo karane.
Wsparcie ESKOM
Eksperci z ESKOM przeprowadzają kompleksowy przegląd organizacji pod kątem zgodności prowadzonych działań przetwarzania danych osobowych z wymaganiami zarówno UODO, jak i RODO Nasze działania audytorskie przeprowadzamy w trzech etapach: zbieramy dane i kolekcjonujemy obserwacje z badanej organizacji, analizujemy i uzupełniamy materiały, następnie zaś opracowujemy wyniki i prezentujemy odpowiednie zalecenia (więcej: https://www.eskom.eu/bezpieczenstwo-informacji-i-przetwarzanie-danych-osobowych/ )
Nie czekaj i już dziś przygotuj swoją organizację na nowe zasady zarządzania i zabezpieczania danych osobowych. Jeżeli masz firmę, która przetwarza jakiekolwiek dane osobowe (choćby były to jedynie dane Twoich kontrahentów) i masz wątpliwość, czy spełniasz wymagania RODO – skontaktuj się z ESKOM.
