Gdy pracownik czyta firmowe kartoteki, to przetwarza dane osobowe

Spółka ma obowiązek zabezpieczyć dane osobowe swoich pracowników i klientów przed ich utratą, zniszczeniem lub udostępnieniem nieupoważnionym oraz zagwarantować ich przetwarzanie zgodnie z prawem.

Publikacja: 14.02.2014 06:00

Ustawę o ochronie danych ososbowych stosuje się do przetwarzania danych w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych, jak i w systemach informatycznych

Foto: Fotorzepa, Robert Gardzin?ski Robert Gardzin?ski

Red

Wiele podmiotów gospodarczych wciąż nie dostrzega obowiązków wynikających z ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (dalej: ustawa). Jest to o tyle istotne, że naruszenie ich może się wiązać z odpowiedzialnością karną i zagrożeniem karą pozbawienia wolności do lat trzech.

Kto jest adresatem

Ustawę stosuje się do każdego podmiotu gospodarczego, niezależnie od formy prowadzonej działalności gospodarczej, jeśli ma on siedzibę lub miejsce zamieszkania w Polsce albo w państwie trzecim, jeśli przetwarza dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Polski. Warunkiem zastosowania ustawy jest przetwarzanie przez przedsiębiorstwo danych osobowych osób fizycznych w związku z jego działalnością zarobkową, zawodową lub dla realizacji celów statutowych.

Danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (dane klientów spółki, pracowników czy uczestników akcji marketingowych). Przez przetwarzanie danych osobowych rozumie się z kolei jakiekolwiek operacje wykonywane na nich, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Na przykład przetwarzaniem danych osobowych będzie ich czytanie przez pracownika.

Ustawę stosuje się do przetwarzania danych osobowych w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych, jak i w systemach informatycznych (w tym ostatnim przypadku także w razie przetwarzania danych poza zbiorem danych).

Obowiązki wynikające z ustawy, co do zasady, spoczywają na administratorze danych. Co istotne, administratorem danych jest podmiot gospodarczy, np. spółka lub osoba prowadząca jednoosobową działalność gospodarczą, nie zaś osoba wykonująca funkcje kierownicze (członek zarządu, kierownik) lub pracownik odpowiedzialny za ochronę danych osobowych.

Jakie obowiązki

Zgodnie z ustawą administrator ma obowiązek zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Powinien on m.in. zabezpieczyć je przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz utratą lub zniszczeniem. Nadzorowanie przestrzegania tych obowiązków spoczywa na administratorze danych, chyba że została przez niego wyznaczona osoba za to odpowiedzialna – administrator bezpieczeństwa informacji.

Polityka bezpieczeństwa

Na administratorze danych spoczywa także szereg obowiązków dokumentacyjnych, w szczególności obowiązek przygotowania tzw. polityki bezpieczeństwa danych osobowych. Powinna ona zawierać m.in.:

Danymi są informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie

- ?wykaz budynków lub pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe;

- ?wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;

- ?opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych;

- ?określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Instrukcja zarządzania

Istnieje także obowiązek sporządzenia tzw. instrukcji zarządzania systemem informatycznym, który wykorzystywany jest do przetwarzania danych osobowych. Instrukcja ta powinna zawierać m.in.:

- ?procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazania osoby odpowiedzialnej za te czynności;

- ?stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;

- ?procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;

- ?procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;

- ?sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe, jak również zawierającej procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Administrator danych ma obowiązek: upoważnienia do przetwarzania danych osób, które w jakimkolwiek stopniu biorą udział w ich przetwarzaniu (m.in. pracowników kadr, informatyków) i prowadzenia ewidencji uprawnionych do ich przetwarzania.

Jeśli w jakimkolwiek stopniu przetwarzanie danych osobowych zostało powierzone osobie trzeciej, w tym m.in. firmie księgowej lub agencji marketingowej, administrator ma obowiązek zawarcia umowy o powierzeniu przetwarzania danych. Ponadto na administratorze spoczywa obowiązek zgłoszenia zbioru danych do rejestracji generalnemu inspektorowi ochrony danych osobowych. Obowiązkowi temu podlega każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, o ile ustawa wyraźnie nie zwalnia administratora z tego obowiązku.

Sankcje za naruszenia

Ustawa uprawnia GIODO do przeprowadzania kontroli w zakresie przestrzegania obowiązków, które z niej wynikają. W przypadku naruszenia tych obowiązków GIODO może zażądać usunięcia uchybień, uzupełnienia, sprostowania, udostępnienia lub nieudostępnienia danych osobowych, zastosowania dodatkowych środków zabezpieczających zgromadzone dane, zabezpieczenia ich lub przekazania innym podmiotom, jak również ich usunięcia. Przywrócenie stanu zgodnego z prawem następuje w formie decyzji administracyjnej.

W przypadku stwierdzenia, że działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub osoby fizycznej będącej administratorem danych (w przypadku jednoosobowej działalności gospodarczej) wyczerpuje znamiona jednego z przestępstw określonych w art. 49–54a ustawy, GIODO ma obowiązek zawiadomienia organów ścigania o podejrzeniu popełniania przestępstwa.

Co jest przestępstwem

Ustawa zawiera szeroki katalog przestępstw, jest nim m.in. przetwarzanie danych osobowych w zbiorze, gdy ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania dany podmiot nie jest uprawniony. Odpowiedzialności karnej może podlegać, w pierwszym przypadku (niedozwolone przetwarzanie) każdy podmiot, który może ponosić odpowiedzialność karną. W drugim zaś przypadku (przetwarzanie przez osobę nieuprawnioną) podmiot nieuprawniony do przetwarzania danych zgodnie z ustawą, np. księgowa, która nie została upoważniona przez administratora danych.

Przestępstwem jest także udostępnienie danych osobowych lub umożliwienie do nich dostępu osobie nieupoważnionej przez osobę administrującą zbiorem danych lub obowiązaną do ich ochrony. Odpowiedzialności karnej podlega podmiot administrujący danymi osobowymi (w szczególności osoba na stanowisku kierowniczym oraz osoba obowiązana do ochrony danych (w szczególności upoważniona przez administratora).

Na gruncie ustawy odpowiedzialności karnej podlega także osoba administrująca danymi, która choćby nieumyślnie narusza obowiązek zabezpieczenia danych przed ich zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem. Przestępstwo to może popełnić każdy zarządzający danymi w procesie ich przetwarzania.

Zdaniem autora:

Piotr ?Pośnik, adwokat, starszy prawnik ?w kancelarii BWW Law & Tax

Naruszenie obowiązków określonych w ustawie o ochronie danych osobowych może się wiązać z odpowiedzialnością karną. Mogą ją ponieść nie tylko osoby zarządzające danym podmiotem gospodarczym, lecz także inne, które biorą udział w procesie przetwarzania danych. Choćby z tego względu podmioty gospodarcze powinny zadbać o wywiązanie się z obowiązków wynikających z ustawy. Należy mieć także na uwadze, że planowane zmiany prawa unijnego zmierzają w kierunku zwiększenia ochrony danych osobowych oraz zaostrzenia odpowiedzialności podmiotów gospodarczych naruszających te obowiązki. Zgodnie z projektem rozporządzenia parlamentu europejskiego i rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i o swobodnym przepływie takich danych, w skrajnych przypadkach sankcja administracyjna nakładana na przedsiębiorstwo będzie mogła wynieść do 2 proc. jego rocznego obrotu. Nie wiadomo jednak, kiedy rozporządzenie to zostanie uchwalone i czy parlament europejski zdoła to zrobić jeszcze przed zaplanowanymi na maj wyborami. Niewątpliwie jednak uchwalenie tego prawa wymusi na podmiotach gospodarczych poświęcenie jeszcze większej uwagi kwestiom ochrony danych osobowych.

Kadry Dane Osobowe Dobra Osobiste Finanse w Firmie

Kto jest adresatem

Pozostało jeszcze 96% artykułu