| IFK | IRB | INFORLEX | GAZETA PRAWNA | INFORORGANIZER | APLIKACJA MOBILNA | PRACA W INFOR | SKLEP
reklama
Jesteś tutaj: STRONA GŁÓWNA > Moja firma > Biznes > Firma > Mała firma > ABC małej firmy > Ochrona danych osobowych znajdujących się w systemach informatycznych - aspekty prawne

Ochrona danych osobowych znajdujących się w systemach informatycznych - aspekty prawne

Firmy i inni uczestnicy obrotu prawnego pozyskują olbrzymie ilości danych, materiałów lub informacji pochodzących z różnych źródeł. Nie zawsze wraz z gromadzeniem danych związana jest świadomość, iż podlegają one ochronie prawnej, zarówno na etapie ich pozyskiwania, przechowywania, czy też dalszego wykorzystania.

Obowiązki informacyjne

Ustawa wyraźnie odróżnia sytuację prawną administratora danych osobowych w zakresie obowiązków informacyjnych od tego czy pozyskuje on dane osobowe bezpośrednio od osoby, której one dotyczą czy też pośrednio.

O zgodę na przetwarzanie danych reklamującego trzeba się zapytać.

W tym pierwszym przypadku administrator przy pozyskiwaniu danych zobowiązany jest do poinformowania o:

  1. adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku,  
  2. celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,  
  3. prawie dostępu do treści swoich danych oraz ich poprawiania, 
  4. dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

W drugim ze wskazanych przypadków bezpośrednio po utrwaleniu danych osobowych obowiązki informacyjne obejmują:

  1. adres siedziby i pełną nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejsce zamieszkania oraz imię i nazwisko,  
  2. cel i zakresie zbierania danych, a w szczególności informację o odbiorcach lub kategoriach odbiorców danych,  
  3. źródło danych,  
  4. prawo dostępu do treści swoich danych oraz ich poprawiania, 
  5. uprawnienia do wniesienia, w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5, pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację,  oraz do wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych

Zabezpieczenie danych osobowych

Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Ochrona danych osobowych w serwisach społecznościowych.

Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz ww. środki.  W jej skład zgodnie z ww. rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych wchodzą polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Polityka bezpieczeństwa zgodnie z ww. rozporządzeniem powinna zawierać w szczególności:

  1. wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; 
  2. wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; 
  3. opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi; 
  4. sposób przepływu danych pomiędzy poszczególnymi systemami; 
  5. określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. 

W instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych natomiast powinny znaleźć się informacje na temat:

  1. procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności; 
  2. stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem; 
  3. procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
  4. procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania; 
  5. sposób, miejsce i okres przechowywania: 

- elektronicznych nośników informacji zawierających dane osobowe, 

- kopii zapasowych, 

  1. sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania,
  2. sposób realizacji wymogów, dotyczących informacji odbiorcach danych, dacie i zakresie udostępnienia;
  3. procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. 

Jak zmieniły się zasady udostępniania danych osobowych?

Równocześnie elementem systemu zabezpieczenia danych osobowych jest wymóg by do przetwarzania danych były dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.  

Administrator danych udziela w tym celu stosownych upoważnień i prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:  

  1. imię i nazwisko osoby upoważnionej,  
  2. datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,  
  3. identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.  

Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.

Podsumowanie

Z praktyki kancelarii wynika, iż świadomość przedsiębiorców w zakresie nałożonych na nich obowiązków dotyczących wdrożenia systemów ochrony danych osobowych, jest wciąż na niskim poziomie.

Niezbędne jest zatem podnoszenie tejże świadomości, informowanie uczestników obrotu, zwłaszcza, iż sankcje za przetwarzanie danych osobowych mogą okazać się dotkliwe, przede wszystkim biorąc pod uwagę podjęte na płaszczyźnie unijnej prace m.in. nad modyfikacją odpowiedzialności, w tym poprzez wprowadzenie sankcji administracyjnej w wysokości 2 % obrotu przedsiębiorcy naruszającego.

reklama

Narzędzia przedsiębiorcy

POLECANE

Dotacje dla firm

reklama

Ostatnio na forum

Fundusze unijne

Pomysł na biznes

Eksperci portalu infor.pl

Robert Ratajczak

Adwokat

Zostań ekspertem portalu Infor.pl »