| IFK | IRB | INFORLEX | GAZETA PRAWNA | INFORORGANIZER | APLIKACJA MOBILNA | PRACA W INFOR | SKLEP
reklama
Jesteś tutaj: STRONA GŁÓWNA > Moja firma > Temat Dnia > Firmom grożą wysokie kary za brak ochrony danych osobowych

Firmom grożą wysokie kary za brak ochrony danych osobowych

Za złamanie przepisów dotyczących ochrony danych osobowych firmom grożą kary sięgające nawet kilkuset tysięcy złotych, a planowana zmiana przepisów ma zwiększyć maksymalną grzywnę do miliona euro. Oprócz kar finansowych można również ponieść odpowiedzialność karną. Z sankcjami muszą się liczyć nie tylko duże przedsiębiorstwa, ale także przedsiębiorcy prowadzący jednoosobową działalność.

Małe firmy często zakładają, iż problem ochrony danych osobowych nie dotyczy prowadzonego przez nich biznesu. Tymczasem zasady wynikające z ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U z 2002 r Nr 101, poz. 926 z późn. zm.) dotyczą zarówno instytucji publicznych (takich jak szkoły, urzędy centralne, samorządowe, szpitale, ZUS, itp.), jak i podmiotów sektora prywatnego - nie tylko dużych korporacji i spółek prawa handlowego, lecz także osób fizycznych prowadzących działalność gospodarczą.

No tak - powie niejeden jednoosobowy lub mikro przedsiębiorca - ale przecież mój biznes nie wymaga gromadzenia danych osobowych - nie zatrudniam pracowników, których dane są pod ustawową ochroną, mam tylko kilku stałych klientów, których dane znajdują się co prawda na moim komputerze, ale wykorzystuję je w zasadzie tylko do kontaktu z klientem i wystawienia faktury.

Niestety, te argumenty, choć logiczne, stoją w sprzeczności z wymaganiami ustawy dotyczącej danych osobowych.

- Prawo zobowiązuje do zgłoszenia zbioru danych Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO), a przede wszystkim do zabezpieczenia zbioru przed dostępem osób nieupoważnionych nawet wtedy, gdy w bazie przedsiębiorcy znajduje się tylko jeden klient - wyjaśnia Mariusz Sarnecki, administrator bezpieczeństwa informacji w Tax Care. - Jeśli jest to osoba fizyczna, nieprowadząca działalności gospodarczej, ochronie podlegają wszystkie informacje, jakie znajdują się w bazie - np. imię i nazwisko, adres czy numer PESEL. Jeśli natomiast klientem jest przedsiębiorca, z ochrony wykluczone są tzw. dane jawne, znajdujące się w ewidencji działalności gospodarczej. Wystarczy jednak, że oprócz danych jawnych innego przedsiębiorcy mamy zapisany jego prywatny numer telefonu, adres miejsca zamieszkania, gdy jest inny niż adres prowadzonej działalności gospodarczej, adres e-mail lub PESEL - w takiej sytuacji powinniśmy stosować się już do ustawy o ochronie danych osobowych.

Każdy, kto dysponuje danymi osobowymi, ma obowiązek ich ochrony poprzez zastosowanie odpowiednich zabezpieczeń i wprowadzenie związanych z tym procedur. Przedsiębiorca, którego baza danych znajduje się w komputerach podłączonych do sieci publicznej, winien zastosować najwyższy stopień bezpieczeństwa przetwarzanych danych osobowych. Oznacza to między innymi, że hasła do systemu powinny składać się z co najmniej 8 znaków zawierających małe i duże litery, cyfry oraz znaki specjalne, a komputery powinny być odpowiednio zabezpieczone przed atakami z zewnątrz.

- A ponieważ internet to już codzienność dla przedsiębiorców, w praktyce może to oznaczać, że wysoki poziom zabezpieczeń powinien obowiązywać w większości firm, nawet tych najmniejszych, jeśli tylko mają styczność z siecią - wyjaśnia Mariusz Sarnecki.

Firmy zobowiązane są między innymi do prowadzenia dokumentacji (w skład której wchodzi wymagana przepisami ustawy o ochronie danych osobowych polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych) oraz do prowadzenia ewidencji osób upoważnionych do przetwarzania danych. Poza tym, powinny przeprowadzać szkolenia osób w zakresie ochrony danych osobowych, odpowiednio zabezpieczyć pomieszczenia i szafy, w których znajdują się dane oraz zastosować ochronę dostępu do danych przetwarzanych w systemach informatycznych, które połączone są z siecią publiczną. W każdej firmie powinien zostać powołany administrator bezpieczeństwa informacji, czyli osoba odpowiedzialna za przestrzeganie wszystkich zasad przetwarzania danych osobowych. GIODO może dokonywać kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych, podczas którego sprawdza m.in., czy są spełnione wskazane powyżej wymogi. Za naruszenie ustawy o ochronie danych osobowych grozi zarówno odpowiedzialność karna, jak i finansowa. Ponosi ją osoba zarządzająca firmą - prezes lub jej właściciel.  Wyjątkiem są art. 51 i 54a ustawy o ochronie danych osobowych, za których naruszenie może ponosić odpowiedzialność także pracownik przedsiębiorstwa.


Kary za nieprzestrzeganie zasad wynikających z ustawy o ochronie danych osobowych:

Art. 49 - za przetwarzanie danych osobowych bez podstawy prawnej - ograniczenie lub pozbawienie wolności do 2 lat


Art. 51 - za udostępnienie lub umożliwienie dostępu do danych osobom nieupoważnionym - ograniczenie lub pozbawienie wolności do 2 lat


Art. 52 - za niezabezpieczenie danych w odpowiedni sposób przed zabraniem, uszkodzeniem lub zniszczeniem przez osobę nieuprawnioną - ograniczenie lub pozbawienie wolności do roku


Art. 53 - za niezgłoszenie zbioru danych do rejestracji - ograniczenie lub pozbawienie wolności do 2 lat


Art. 54 - za niedopełnienie obowiązku poinformowania osoby, której dane dotyczą, o jej prawach, lub nieprzekazanie tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie - ograniczenie lub pozbawienie wolności do roku


Art. 54a - za udaremnianie lub utrudnianie wykonania czynności kontrolnej - ograniczenie lub pozbawienie wolności do 2 lat

 

Kary za nieprzestrzeganie zasad dotyczących ochrony danych osobowych mogą być dotkliwe, począwszy od ograniczenia lub pozbawienia wolności nawet do 2 lat do kary finansowej: do 10 tys. zł dla osób fizycznych prowadzących działalność gospodarczą do 50 tys. zł dla osób prawnych oraz jednostek organizacyjnych nieposiadających osobowości prawnej (w przypadku wielokrotnego nakładania grzywien w jednym postępowaniu egzekucyjnym ich łączna kwota nie może przekraczać odpowiednio 50 tys. zł oraz 200 tys. zł). Przykładowo, w 2011 r. przedsiębiorca budowlany za niedopełnienie obowiązku informacyjnego na podstawie art. 54 ustawy o ochronie danych osobowych musiał zapłacić 10 tys. zł kary - sąd nałożył na niego karę grzywny 100 stawek dziennych w wysokości 100 zł.

Co więcej, obecnie trwają prace nad zmianą przepisów, które prowadzą do dalszego zaostrzenia tych kar: za nieprzestrzeganie przepisów o ochronie danych osobowych groziłaby kara finansowa nawet do 1 mln euro lub 5% dochodu firmy. Nowe przepisy mają wejść w życie w całej Unii Europejskiej w ciągu 5 lat.


Agata Szymborska-Sutton

 

reklama

Narzędzia przedsiębiorcy

POLECANE

Dotacje dla firm

reklama

Ostatnio na forum

Fundusze unijne

Pomysł na biznes

Eksperci portalu infor.pl

Pismo "Niebieska Linia"

Dwumiesięcznik poświęcony problematyce przemocy

Zostań ekspertem portalu Infor.pl »