REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Moja firma » Biznes » Mała firma » ABC małej firmy » Jak przedsiębiorca powinien chronić dane osobowe?
Porada Infor.pl

Jak przedsiębiorca powinien chronić dane osobowe?

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
22 stycznia 2010, 14:02
Marek Pasiński
Marek Pasiński
Radca prawny
Piotr Skórski
Piotr Skórski
Prawnik
Ochrona danych osobowych przez przedsiębiorcę.
Ochrona danych osobowych przez przedsiębiorcę.
inforCMS

REKLAMA

REKLAMA

Przedsiębiorca przetwarzający dane osobowe czy to swoich klientów, czy pracowników musi liczyć się z pewnymi obowiązkami dotyczącymi infrastruktury technicznej i sposobu korzystania z niej, które muszą sprostać wymaganiom nałożonym na niego przez ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U.02.101.926 j.t.).

Pierwsze gwarancje ochrony danym osobowym zapewniła w Polsce nowa Konstytucja z 1997r. Jej art. 47 zagwarantował obywatelom prawo do prywatności, a art. 51 – każdej osobie - prawo do ochrony dotyczących jej informacji.

REKLAMA

REKLAMA

Jednakże z międzynarodowych zobowiązań Polski, związanych z akcesją do Unii Europejskiej, wyniknęła konieczność dostosowania warunków ochrony danym osobowych, jakie na swoim terytorium, zapewniały państwa należące do Unii. Wszystkie ustawy europejskie wzorowane były lub dostosowane do Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady.

Zgodnie z art. 6 ust. 1 ustawy o ochronie danych osobowych: „W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. 2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. 3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.”

Zobacz: Uznawanie zagranicznych postępowań upadłościowych - porada

REKLAMA

Należy również pamiętać o szerokim znaczeniu określenia „przetwarzanie danych osobowych”. Przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Dalszy ciąg materiału pod wideo

Na czynniki warunkujące prawidłowe przetwarzanie danych osobowych składają się:

1) sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną;
2) podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych;
3) wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzania danych osobowych.

Na dokumentację, o której mowa w punkcie 1 powyżej, składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, która powinna być wdrożona przez administratora danych i prowadzona w formie pisemnej.

Polityka bezpieczeństwa musi zawierać co najmniej:

1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
4) sposób przepływu danych pomiędzy poszczególnymi systemami;
5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Obszar, o którym mowa w punkcie 1 powyżej, zabezpiecza się przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych. A dodatkowo przebywanie osób nieuprawnionych w tym obszarze jest dopuszczalne za zgodą administratora danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych.

Natomiast instrukcja musi zawierać co najmniej:
1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
5) sposób, miejsce i okres przechowywania:
a) elektronicznych nośników informacji zawierających dane osobowe,
b) kopii zapasowych, o których mowa w pkt 4,
6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego;
7) sposób odnotowywania w systemie informatycznym informacji o odbiorcach którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych ;
8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Zobacz: Zmiana sposobu użytkowania lokalu

Ustawodawca wprowadził 3 poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym ze względu na kategorie przetwarzanych danych oraz zagrożenia. Są to poziomy:
1) podstawowy;
2) podwyższony;
3) wysoki.

Zgodnie z rozporządzeniem Ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych:

Poziom co najmniej podstawowy stosuje się, gdy:
1) w systemie informatycznym nie są przetwarzane dane, o których mowa w art. 27 ustawy o ochronie danych osobowych (dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.), oraz
2) żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną.

Poziom co najmniej podwyższony stosuje się, gdy:
1) w systemie informatycznym przetwarzane są dane osobowe, o których mowa w art. 27 ustawy o ochronie danych osobowych, oraz
2) żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną.

Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną (np. internet).

Środki bezpieczeństwa na poziomie podstawowym

Oprócz zabezpieczenia obszaru, w którym przetwarzane są dane osobowe, o czym była mowa powyżej, w samym systemie informatycznym służącym do przetwarzania danych osobowych stosuje się mechanizmy kontroli dostępu do tych danych. Jeżeli dostęp do danych przetwarzanych w systemie informatycznym posiadają co najmniej dwie osoby, wówczas obowiązkiem przedsiębiorcy jest zapewnienie, aby:
a) w systemie tym rejestrowany był dla każdego użytkownika odrębny identyfikator;
b) dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia.

W przypadku, gdy użytkownik utracił uprawnienia do przetwarzania danych, to jego identyfikator nie może być przydzielony innej osobie.

W przypadku gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana następuje nie rzadziej niż co 30 dni. Hasło musi składać się co najmniej z 6 znaków.

Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych. Tak wykonane kopie zapasowe przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem oraz usuwa się je niezwłocznie po ustaniu ich użyteczności.

System informatyczny służący do przetwarzania danych osobowych musi być zabezpieczony, w szczególności przed:
1) działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego (m.in. wszelkiego rodzaju wirusy, trojany i diallery);
2) utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej ( np. serwery powinny posiadać akumulatory awaryjne).

Osoba użytkująca komputer przenośny zawierający dane osobowe zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza obszarem, w którym przetwarzane są dane osobowe, w tym stosuje środki ochrony kryptograficznej wobec przetwarzanych danych osobowych.

W przypadku, gdy przedsiębiorca chce zlikwidować urządzenia, dyski lub inne elektroniczne nośniki informacji zawierające dane osobowe, musi pozbawić je wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkodzić je w sposób uniemożliwiający ich odczytanie. W przypadku przekazywania takich urządzeń lub dysków podmiotowi nieuprawnionemu do przetwarzania danych - pozbawia się je wcześniej zapisu danych osobowych, w sposób uniemożliwiający ich odzyskanie.

Nawet w przypadku oddania takich urządzeń, dysków lub innych elektronicznych nośników informacji zawierających dane osobowe do naprawy, należy wcześniej pozbawić je zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych.

Administrator danych zobowiązany jest do monitorowania wdrożonych zabezpieczeń systemu informatycznego.

Środki bezpieczeństwa na poziomie podwyższonym

W przypadku, gdy do uwierzytelniania użytkowników używa się hasła, musi ono składać się co najmniej z 8 znaków, zawierać małe i wielkie litery oraz cyfry lub znaki specjalne.

Urządzenia i nośniki zawierające dane osobowe, przekazywane poza obszar, w którym następuje ich przetwarzanie, zabezpiecza się w sposób zapewniający poufność i integralność tych danych.

Instrukcja zarządzania systemem informatycznym, o której była mowa wyżej w przypadku poziomu podwyższonego musi być rozszerzona o sposób stosowania środków bezpieczeństwa na poziomie podwyższonym.

Administrator danych na poziomie podwyższonym musi stosować również środki bezpieczeństwa przewidziane przepisami dotyczącymi środków bezpieczeństwa na poziomie podstawowym.

Środki bezpieczeństwa na poziomie wysokim

Najczęściej jednak przedsiębiorcy mają połączenie z Internetem, który rozumiany jest jako sieć publiczna, a zatem powinni stosować środki bezpieczeństwa na poziomie wysokim.
W takim przypadku system informatyczny służący do przetwarzania danych osobowych, powinien być chroniony przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem.

W przypadku zastosowania logicznych zabezpieczeń, obejmują one:
a) kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną;
b) kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych.

Zobacz: Zawieszenie działalności gospodarczej - porada

Administrator danych powinien stosować środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej.

Administrator danych na poziomie wysokim środki bezpieczeństwa, musi stosować również środki bezpieczeństwa przewidziane przepisami dotyczącymi środków bezpieczeństwa na poziomie podwyższonym i podstawowym.

Marek Pasiński – Radca Prawny
Piotr Skórski - Prawnik

Kancelaria Radcy Prawnego w Krakowie www.pasinski.pl

Autopromocja

REKLAMA

Źródło: INFOR
Wersja do druku
Napisz do nas
Zapisz się na newsletter

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:

REKLAMA

QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

Moja firma
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Sztuczna inteligencja będzie dyktować ceny?
18 kwi 2024

Sztuczna inteligencja wykorzystywana jest coraz chętniej, sięgają po nią także handlowcy. Jak detaliści mogą zwiększyć zyski dzięki sztucznej inteligencji? Coraz więcej z nich wykorzystuje AI do kalkulacji cen. 
Coraz więcej firm zatrudnia freelancerów. Przedsiębiorcy opowiadają dlaczego
18 kwi 2024

Czy firmy wolą teraz zatrudniać freelancerów niż pracowników na etat? Jakie są zalety takiego modelu współpracy? 
Lavard - kara UOKiK na ponad 3,8 mln zł, Lord - ponad 213 tys. zł. Firmy wprowadzały w błąd konsumentów kupujących odzież
17 kwi 2024

UOKiK wymierzył kary finansowe na przedsiębiorstwa odzieżowe: Polskie Sklepy Odzieżowe (Lavard) - ponad 3,8 mln zł, Lord - ponad 213 tys. zł. Konsumenci byli wprowadzani w błąd przez nieprawdziwe informacje o składzie ubrań. Zafałszowanie składu ubrań potwierdziły kontrole Inspekcji Handlowej i badania w laboratorium UOKiK.
Składka zdrowotna to parapodatek! Odkręcanie Polskiego Ładu powinno nastąpić jak najszybciej
16 kwi 2024

Składka zdrowotna to parapodatek! Zmiany w składce zdrowotnej muszą nastąpić jak najszybciej. Odkręcanie Polskiego Ładu dopiero od stycznia 2025 r. nie satysfakcjonuje przedsiębiorców. Czy składka zdrowotna wróci do stanu sprzed Polskiego Ładu?

REKLAMA

Dotacje KPO wzmocnią ofertę konkursów ABM 2024 dla przedsiębiorców
16 kwi 2024

Dotacje ABM (Agencji Badań Medycznych) finansowane były dotychczas przede wszystkim z krajowych środków publicznych. W 2024 roku ulegnie to zmianie za sprawą środków z KPO. Zgodnie z zapowiedziami, już w 3 i 4 kwartale możemy spodziewać się rozszerzenia oferty dotacyjnej dla przedsiębiorstw.
"DGP": Ceneo wygrywa z Google. Sąd zakazał wyszukiwarce Google faworyzowania własnej porównywarki cenowej
16 kwi 2024

Warszawski sąd zakazał wyszukiwarce Google faworyzowania własnej porównywarki cenowej. Nie wolno mu też przekierowywać ruchu do Google Shopping kosztem Ceneo ani utrudniać dostępu do polskiej porównywarki przez usuwanie prowadzących do niej wyników wyszukiwania – pisze we wtorek "Dziennik Gazeta Prawna".
Drogie podróże zarządu Orlenu. Nowe "porażające" informacje
15 kwi 2024

"Tylko w 2022 roku zarząd Orlenu wydał ponad pół miliona euro na loty prywatnymi samolotami" - poinformował w poniedziałek minister aktywów państwowych Borys Budka. Dodał, że w listopadzie ub.r. wdano też 400 tys. zł na wyjazd na wyścig Formuły 1 w USA.
Cable pooling - nowy model inwestycji w OZE. Warunki przyłączenia, umowa
15 kwi 2024

W wyniku ostatniej nowelizacji ustawy Prawo energetyczne, która weszła w życie 1 października 2023 roku, do polskiego porządku prawnego wprowadzono długo wyczekiwane przez polską branżę energetyczną przepisy regulujące instytucję zbiorczego przyłącza, tzw. cable poolingu. Co warto wiedzieć o tej instytucji i przepisach jej dotyczących?

REKLAMA

Wakacje składkowe. Od kiedy, jakie kryteria trzeba spełnić?
15 kwi 2024

12 kwietnia 2024 r. w Sejmie odbyło się I czytanie projektu nowelizacji ustawy o systemie ubezpieczeń społecznych. Projekt nowelizacji przewiduje zwolnienie z opłacania składek ZUS (tzw. wakacje składkowe) dla małych przedsiębiorców. 
Sprzedaż miodu - nowe przepisy od 18 kwietnia 2024 r.
15 kwi 2024

Nowe przepisy dotyczące sprzedaży miodu wchodzą w życie 18 kwietnia 2024 r. O czym muszą wiedzieć producenci miodu?

REKLAMA