Spójrzmy prawdzie w oczy, duża część przedsiębiorców prowadzi działalność, w której przetwarzanie danych osobowych jest procesem drugorzędnym (np. w branży budowlanej). Jak się ma to jednak do obowiązków związanych z ochroną danych osobowych? Czy można je zignorować? Jakie jest minimum, które każdy musi spełnić?
Po pierwsze – na pewno przetwarzasz dane osobowe!
A więc mówisz, że przetwarzanie danych osobowych Cię nie dotyczy? W końcu nie świadczysz usług na rzecz osób fizycznych. To ciekawe, ale… Pracownicy, a także podwykonawcy i kontrahenci będący osobami fizycznymi – dane tych osób są najczęściej przetwarzanymi danymi osobowymi. W zasadzie każdy przedsiębiorca, zatrudniający przynajmniej jedną osobę, jest administratorem danych osobowych. Powoduje to, że zmuszony jest on spełnić wszystkie podstawowe wymogi ustawy o ochronie danych osobowych.
Nie tak łatwo jest żyć w zgodzie z prawem
Wie o tym na pewno administrator danych osobowych. Jego obowiązki możemy podzielić na kilka kategorii (przyjmuję, że dane są już przetwarzane zgodnie z prawem, tj. w oparciu o jedną z przesłanek, o których mowa w art. 23 ust. 1 ustawy o ochronie danych osobowych):
a) obowiązki informacyjne;
b) obowiązki związane z zabezpieczeniem danych osobowych;
c) obowiązek zgłoszenia zbiorów danych do rejestracji.
Po kolei…
Zakres obowiązków informacyjnych określają szczegółowo przepisy art. 24 i 25 ustawy. I tak, administrator zobowiązany jest do poinformowania osób, których dane dotyczą w szczególności o swoim adresie i pełnej nazwie, celu zbierania danych osobowych, prawie dostępu do danych oraz ich poprawiania, dobrowolności albo obowiązku ich podania, a w końcu, w niektórych sytuacjach o dodatkowych uprawnieniach. Jak ten obowiązek realizować? W praktyce najczęściej za pomocą odpowiednich formularzy (dla pracowników) lub w formie postanowień umów łączących przedsiębiorcę z jego kontrahentami.
Obowiązek zabezpieczenia danych to z jednej strony zadbanie o wymogi techniczno-organizacyjne, w tym związane z zabezpieczeniem systemu informatycznego i pomieszczeń, w których dane są przechowywane, czy też po prostu z wprowadzeniem odpowiednich procedur (np. wymóg zamykania na klucz szaf, w których przechowywane są akta pracownicze). Dodatkowo, do przetwarzania danych, stosownie do treści przepisu art. 37 ustawy, dopuścić można jedynie osoby upoważnione, co wiąże się z koniecznością udzielenia pracownikom stosownych upoważnień (więcej o upoważnieniach tutaj).
Kolejnym krokiem jest opracowanie i wdrożenie odpowiedniej dokumentacji. Jednym z podstawowych wymogów związanych z ochroną danych osobowych jest posiadanie aktualnej Polityki Bezpieczeństwa Informacji, a w przypadku, gdy dane osobowe są przetwarzane w systemie informatycznym (dziś, w praktyce zawsze), również Instrukcji Zarządzania Systemem Informatycznym. Te dwa dokumenty to absolutne minimum! Ich brak stanowi naruszenie bezpieczeństwa danych osobowych i jest zagrożony nawet karą pozbawienia wolności do roku, zgodnie z art. 52 ustawy.
Treść Polityki Bezpieczeństwa Informacji oraz Instrukcji Zarządzania Systemem Informatycznym szczegółowo reguluje Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Na koniec, nie można zapomnieć o rejestracji zbiorów. O obowiązku tym i związanej z nim procedurze pisałem szerzej tutaj.
Niby nic, a jednak
Wydaje się, że skoro przetwarzanie danych osobowych nie jest naszym core businessem, nie musimy przejmować się regulacjami związanymi z tą sferą. Niestety przekonanie to jest błędne. Każdy przedsiębiorca, który choćby w ograniczonym stopniu dane osobowe przetwarza, musi pamiętać przynajmniej o opisanym powyżej minimum.