Jak dbać o dane osobowe w firmie?
Jednym z podstawowych obowiązków przedsiębiorcy jest ochrona danych osobowych zarówno klientów, jak i pracowników. Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. W związku z postępem technologicznym może być to również lokalizacja lub numer IP – dlatego nawet rejestracja wejść na stronę internetową wymaga wdrożenia działań, które pozwolą na ochronę danych osobowych.
Czym są dane osobowe?
Aby przedstawić, jak należy chronić dane osobowe w firmie, należy wyjaśnić samo pojęcie danych osobowych. Mianem tym określa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania, pośrednio lub bezpośrednio, osoby fizycznej.
Co warto dodać, pojęcie danych osobowych jest dość szerokie – to nie tylko imię i nazwisko, ale również kolor oczu, pozycja społeczna, a także wspomniana już lokalizacja lub adres IP – wyjaśnia specjalista z Kancelarii Radcy Prawnego ZZ Legal z Wrocławia. – Jednak do danych osobowych nie zaliczymy informacji o dużym stopniu ogólności, które same w sobie nie będą umożliwiały zidentyfikowania osoby, np. nazwy ulicy. Również sam PESEL dla przedsiębiorcy, który nie prowadzi zbiorów danych umożliwiających zidentyfikowanie konkretnej osoby, nie będzie zaliczany do danych osobowych, ale w połączeniu z innymi informacjami lub z bazami danych, w których można znaleźć te informacje – już tak.
W przypadku lokalizacji lub adresu IP informacje te zostaną uznane za dane osobowe, jeśli będą na stałe przypisane do konkretnego urządzenia oraz użytkownika. Informacji nie uznaje się za umożliwiającą zidentyfikowanie osoby fizycznej, jeśli wymaga to poniesienia nadmiernych kosztów, czasu lub działań. Dlatego nie zawsze informacje dotyczące osób fizycznych będą uznawane za dane osobowe i nie zawsze będą musiały podlegać szczególnej ochronie. Z tego względu przepisów RODO nie stosuje się zawsze tak samo, a dopasowuje do sposobu działania konkretnej firmy, wdrażając odpowiednie zabezpieczenia oraz procesy gromadzenia, utrwalania, przechowywania, porządkowania i modyfikowania danych osobowych.
Przetwarzanie danych osobowych w firmie
Jakiekolwiek operacje wykonywane na danych osobowych, szczególnie za pomocą systemów informatycznych, określa się przetwarzaniem danych osobowych. Do czynności przetwarzających dane należą: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, a także usuwanie danych. Na każdym etapie ich przetwarzanie musi być zgodne z prawem, a także w określonym celu oraz nie dłużej niż jest to konieczne do osiągnięcia tego celu.
Obowiązek należytego przetwarzania danych osobowych oraz zapewnienia ich bezpieczeństwa spoczywa na administratorze danych: może być nim organ, jednostka organizacyjna, podmiot lub osoba samodzielnie decydująca, zarówno podmioty publiczne, jak i podmioty prywatne (w przypadku firm spółka lub osoba fizyczna prowadząca działalność gospodarczą). Administrator danych osobowych jest zobowiązany do wypełnienia obowiązku informacyjnego, zachowania szczególnej staranności, udzielania informacji o danych osobowych, a także ich uaktualniania, zmieniania lub usuwania, stosowania środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych, kontroli i prowadzenia ewidencji osób upoważnionych do ich przetwarzania, a także zgłaszania zbioru danych do rejestracji Generalnego Inspektora Danych Osobowych (jeśli jest to przewidziane prawnie).
W realizacji obowiązków dotyczących przetwarzania danych osobowych administratora może wspierać Inspektor Ochrony Danych (IOD), szczególnie w sytuacjach, kiedy firma ma do czynienia ze skomplikowanym prawnie przetwarzaniem danych (związanych np. z ubezpieczeniami, ochroną zdrowia lub windykacją). Dane wrażliwe są bowiem odrębną kategorią danych osobowych, których przetwarzanie co do zasady jest zabronione.
Zabezpieczenie danych osobowych przed działaniami niepożądanymi
Jak dbać o dane osobowe w firmie? Zastosowanie środków technicznych i organizacyjnych jest dowolne i uzależnione od decyzji administratora danych osobowych. Ważne jest, aby dane zostały zabezpieczone przed udostępnieniem lub zabraniem przez osoby nieupoważnione, przetwarzaniem niezgodnym z prawem, utratą, uszkodzeniem lub zniszczeniem, a także nieuprawnioną zmianą. System zabezpieczeń musi jednak spełniać określone cele: rozliczalność, integralność, poufność oraz dostępność danych.
Pod pojęciem rozliczalności rozumie się właściwość systemu, dzięki której dostęp do danych osobowych może być przypisany wyłącznie temu podmiotowi, który ma do nich dostęp. Integralność danych zapewnia brak możliwości nieuprawnionej zmiany lub zniszczenia, natomiast poufność, że dane nie zostaną udostępnione nieuprawnionym podmiotom. Jednocześnie poufność nie wyklucza dostępności danych, czyli niezakłóconego dostępu do danych osobowych, ograniczonego jedynie rozliczalnością, integralnością oraz poufnością.
Sposoby zabezpieczania danych osobowych w firmie
Jak już wspomnieliśmy, w przepisach prawa nie znajdziemy szczegółowych reguł dotyczących ochrony danych osobowych w firmie. Są to jedynie wytyczne, które należy wdrożyć w organizacji, w zależności od rodzaju przechowywanych danych, w celu ich przetwarzania oraz innych czynników. We wdrożeniu systemu ochrony danych osobowych mogą pomóc audyty lub analizy, które pozwolą na zidentyfikowanie potrzeb w tym zakresie. W przypadku prawnie skomplikowanych procesów przetwarzania danych kompleksową pomoc w obszarze ochrony danych osobowych zapewnia natomiast Inspektor Danych Osobowych.
Ochrona fizyczna (dokumentów, pomieszczeń biurowych i innych) oraz ochrona zapewniona przez system informatyczny to jednak nie wszystko. Szczególną uwagę należy zwrócić na bezpieczeństwo osobowe, a więc czynnik ludzki. Choć w przepisach brak jednoznacznego nakazu, upoważnienie pracowników do przetwarzania danych osobowych oraz zobowiązania do zachowania poufności powinno być poprzedzone szkoleniem. Bezpieczeństwo osobowe jest jednym z warunków decydujących o skuteczności ochrony danych w firmie, dlatego nie należy pomijać tego aspektu. Szacuje się, że nawet 80% przypadków naruszenia prawa było związane z błędem ludzkim. Nawet najlepsze systemy ochrony danych osobowych w firmie nie będą skuteczne, jeśli zarówno właściciel, jak i pracownicy nie będą wiedzieli, w jaki sposób dbać o przetwarzane dane osobowe.
Dziękujemy za ocenę artykułu
Błąd - akcja została wstrzymana