REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Moja firma » Biznes » Mała firma » ABC małej firmy » Jak przedsiębiorca powinien chronić dane osobowe?
Porada Infor.pl

Jak przedsiębiorca powinien chronić dane osobowe?

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
22 stycznia 2010, 14:02
Marek Pasiński
Marek Pasiński
Radca prawny
Piotr Skórski
Piotr Skórski
Prawnik
Ochrona danych osobowych przez przedsiębiorcę.
Ochrona danych osobowych przez przedsiębiorcę.
inforCMS

REKLAMA

REKLAMA

Przedsiębiorca przetwarzający dane osobowe czy to swoich klientów, czy pracowników musi liczyć się z pewnymi obowiązkami dotyczącymi infrastruktury technicznej i sposobu korzystania z niej, które muszą sprostać wymaganiom nałożonym na niego przez ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U.02.101.926 j.t.).

Pierwsze gwarancje ochrony danym osobowym zapewniła w Polsce nowa Konstytucja z 1997r. Jej art. 47 zagwarantował obywatelom prawo do prywatności, a art. 51 – każdej osobie - prawo do ochrony dotyczących jej informacji.

REKLAMA

REKLAMA

Jednakże z międzynarodowych zobowiązań Polski, związanych z akcesją do Unii Europejskiej, wyniknęła konieczność dostosowania warunków ochrony danym osobowych, jakie na swoim terytorium, zapewniały państwa należące do Unii. Wszystkie ustawy europejskie wzorowane były lub dostosowane do Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady.

Zgodnie z art. 6 ust. 1 ustawy o ochronie danych osobowych: „W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. 2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. 3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.”

Zobacz: Uznawanie zagranicznych postępowań upadłościowych - porada

REKLAMA

Należy również pamiętać o szerokim znaczeniu określenia „przetwarzanie danych osobowych”. Przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Dalszy ciąg materiału pod wideo

Na czynniki warunkujące prawidłowe przetwarzanie danych osobowych składają się:

1) sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną;
2) podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych;
3) wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzania danych osobowych.

Na dokumentację, o której mowa w punkcie 1 powyżej, składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, która powinna być wdrożona przez administratora danych i prowadzona w formie pisemnej.

Polityka bezpieczeństwa musi zawierać co najmniej:

1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
4) sposób przepływu danych pomiędzy poszczególnymi systemami;
5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Obszar, o którym mowa w punkcie 1 powyżej, zabezpiecza się przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych. A dodatkowo przebywanie osób nieuprawnionych w tym obszarze jest dopuszczalne za zgodą administratora danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych.

Natomiast instrukcja musi zawierać co najmniej:
1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
5) sposób, miejsce i okres przechowywania:
a) elektronicznych nośników informacji zawierających dane osobowe,
b) kopii zapasowych, o których mowa w pkt 4,
6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego;
7) sposób odnotowywania w systemie informatycznym informacji o odbiorcach którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych ;
8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Zobacz: Zmiana sposobu użytkowania lokalu

Ustawodawca wprowadził 3 poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym ze względu na kategorie przetwarzanych danych oraz zagrożenia. Są to poziomy:
1) podstawowy;
2) podwyższony;
3) wysoki.

Zgodnie z rozporządzeniem Ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych:

Poziom co najmniej podstawowy stosuje się, gdy:
1) w systemie informatycznym nie są przetwarzane dane, o których mowa w art. 27 ustawy o ochronie danych osobowych (dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.), oraz
2) żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną.

Poziom co najmniej podwyższony stosuje się, gdy:
1) w systemie informatycznym przetwarzane są dane osobowe, o których mowa w art. 27 ustawy o ochronie danych osobowych, oraz
2) żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną.

Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną (np. internet).

Środki bezpieczeństwa na poziomie podstawowym

Oprócz zabezpieczenia obszaru, w którym przetwarzane są dane osobowe, o czym była mowa powyżej, w samym systemie informatycznym służącym do przetwarzania danych osobowych stosuje się mechanizmy kontroli dostępu do tych danych. Jeżeli dostęp do danych przetwarzanych w systemie informatycznym posiadają co najmniej dwie osoby, wówczas obowiązkiem przedsiębiorcy jest zapewnienie, aby:
a) w systemie tym rejestrowany był dla każdego użytkownika odrębny identyfikator;
b) dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia.

W przypadku, gdy użytkownik utracił uprawnienia do przetwarzania danych, to jego identyfikator nie może być przydzielony innej osobie.

W przypadku gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana następuje nie rzadziej niż co 30 dni. Hasło musi składać się co najmniej z 6 znaków.

Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych. Tak wykonane kopie zapasowe przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem oraz usuwa się je niezwłocznie po ustaniu ich użyteczności.

System informatyczny służący do przetwarzania danych osobowych musi być zabezpieczony, w szczególności przed:
1) działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego (m.in. wszelkiego rodzaju wirusy, trojany i diallery);
2) utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej ( np. serwery powinny posiadać akumulatory awaryjne).

Osoba użytkująca komputer przenośny zawierający dane osobowe zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza obszarem, w którym przetwarzane są dane osobowe, w tym stosuje środki ochrony kryptograficznej wobec przetwarzanych danych osobowych.

W przypadku, gdy przedsiębiorca chce zlikwidować urządzenia, dyski lub inne elektroniczne nośniki informacji zawierające dane osobowe, musi pozbawić je wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkodzić je w sposób uniemożliwiający ich odczytanie. W przypadku przekazywania takich urządzeń lub dysków podmiotowi nieuprawnionemu do przetwarzania danych - pozbawia się je wcześniej zapisu danych osobowych, w sposób uniemożliwiający ich odzyskanie.

Nawet w przypadku oddania takich urządzeń, dysków lub innych elektronicznych nośników informacji zawierających dane osobowe do naprawy, należy wcześniej pozbawić je zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych.

Administrator danych zobowiązany jest do monitorowania wdrożonych zabezpieczeń systemu informatycznego.

Środki bezpieczeństwa na poziomie podwyższonym

W przypadku, gdy do uwierzytelniania użytkowników używa się hasła, musi ono składać się co najmniej z 8 znaków, zawierać małe i wielkie litery oraz cyfry lub znaki specjalne.

Urządzenia i nośniki zawierające dane osobowe, przekazywane poza obszar, w którym następuje ich przetwarzanie, zabezpiecza się w sposób zapewniający poufność i integralność tych danych.

Instrukcja zarządzania systemem informatycznym, o której była mowa wyżej w przypadku poziomu podwyższonego musi być rozszerzona o sposób stosowania środków bezpieczeństwa na poziomie podwyższonym.

Administrator danych na poziomie podwyższonym musi stosować również środki bezpieczeństwa przewidziane przepisami dotyczącymi środków bezpieczeństwa na poziomie podstawowym.

Środki bezpieczeństwa na poziomie wysokim

Najczęściej jednak przedsiębiorcy mają połączenie z Internetem, który rozumiany jest jako sieć publiczna, a zatem powinni stosować środki bezpieczeństwa na poziomie wysokim.
W takim przypadku system informatyczny służący do przetwarzania danych osobowych, powinien być chroniony przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem.

W przypadku zastosowania logicznych zabezpieczeń, obejmują one:
a) kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną;
b) kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych.

Zobacz: Zawieszenie działalności gospodarczej - porada

Administrator danych powinien stosować środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej.

Administrator danych na poziomie wysokim środki bezpieczeństwa, musi stosować również środki bezpieczeństwa przewidziane przepisami dotyczącymi środków bezpieczeństwa na poziomie podwyższonym i podstawowym.

Marek Pasiński – Radca Prawny
Piotr Skórski - Prawnik

Kancelaria Radcy Prawnego w Krakowie www.pasinski.pl

Powiązane
Poczta Polska rozwija sprzedaż internetową
Poczta Polska rozwija sprzedaż internetową
Zdjęcie w Internecie a ochrona danych osobowych
Zdjęcie w Internecie a ochrona danych osobowych
Skutki prawne decyzji podatkowych
Skutki prawne decyzji podatkowych
Źródło: INFOR
Wersja do druku
Napisz do nas

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

REKLAMA

Moja firma
Masz swoją tożsamość cyfrową. Pytanie brzmi: czy potrafisz ją chronić? [Gość Infor.pl]
12 gru 2025

Żyjemy w świecie, w którym coraz więcej spraw załatwiamy przez telefon lub komputer. Logujemy się do banku, zamawiamy jedzenie, podpisujemy umowy, składamy wnioski w urzędach. To wygodne. Ale ta wygoda ma swoją cenę – musimy umieć potwierdzić, że jesteśmy tymi, za których się podajemy. I musimy robić to bezpiecznie.
Przedsiębiorca był pewien, że wygrał z urzędem. Wystarczyło milczenie organu administracyjnego. Ale ten wyrok NSA zmienił zasady - Prawo przedsiębiorców nie działa
10 gru 2025

Spółka złożyła wniosek o interpretację indywidualną i czekała na odpowiedź. Gdy organ nie wydał decyzji w ustawowym terminie 30 dni, przedsiębiorca uznał, że sprawa załatwiła się sama – na jego korzyść. Wystąpił o zaświadczenie potwierdzające milczące załatwienie sprawy. Naczelny Sąd Administracyjny wydał jednak wyrok, który może zaskoczyć wielu przedsiębiorców liczących na bezczynność urzędników.
Robią to od lat, nie wiedząc, że ma to nazwę. Nowe badanie odsłania prawdę o polskich firmach
10 gru 2025

Niemal 60 proc. mikro, małych i średnich przedsiębiorstw deklaruje znajomość pojęcia ESG. Jednocześnie znaczna część z nich od lat realizuje działania wpisujące się w zrównoważony rozwój – często nie zdając sobie z tego sprawy. Najnowsze badanie Instytutu Keralla Research pokazuje, jak wygląda rzeczywistość polskiego sektora MŚP w kontekście odpowiedzialnego zarządzania.
Większość cyberataków zaczyna się od pracownika. Oto 6 dobrych praktyk dla pracowników i pracodawców
12 gru 2025

Ponad połowa cyberataków spowodowana jest błędami pracowników. Przekazujemy 6 dobrych praktyk dla pracownika i pracodawcy z zakresu cyberbezpieczeństwa. Każda organizacja powinna się z nimi zapoznać.

REKLAMA

Rolnictwo precyzyjne jako element rolnictwa 4.0 - co to jest i od czego zacząć?
11 gru 2025

Rolnictwo precyzyjne elementem rolnictwa 4.0 - co to jest i jak zacząć? Wejście w świat rolnictwa precyzyjnego nie musi być gwałtowną rewolucją na zasadzie „wszystko albo nic”. Co wynika z najnowszego raportu John Deere?
Każdy przedsiębiorca musi pamiętać o tym na koniec 2025 r. Lista zadań na zakończenie roku podatkowego
09 gru 2025

Każdy przedsiębiorca musi pamiętać o tym na koniec 2025 r. Lista zadań na zakończenie roku podatkowego dotyczy: kosztów podatkowych, limitu amortyzacji dla samochodów o wysokiej emisji CO₂, remanentu, warunków i limitów małego podatnika, rozrachunków, systemów księgowych i rozliczenia podatku.
Ugorowanie to katastrofa dla gleby - najlepszy jest płodozmian. Naukowcy od 1967 roku badali jedno pole
09 gru 2025

Ugorowanie gleby to przepis na katastrofę, a prowadzenie jednej uprawy na polu powoduje m.in. erozję i suchość gleby. Najlepszą formą jej uprawy jest płodozmian - do takich wniosków doszedł międzynarodowy zespół naukowców, m.in. z Wrocławia, który nieprzerwanie od 1967 r. badał jedno z litewskich pól.
Czy firmy zamierzają zatrudniać nowych pracowników na początku 2026 roku? Prognoza zatrudnienia netto
09 gru 2025

Czy firmy zamierzają zatrudniać nowych pracowników na początku 2026 roku? Gdzie będzie najwięcej rekrutacji? Jaka jest prognoza zatrudnienia netto? Oto wyniki raportu ManpowerGroup.

REKLAMA

Po latach przyzwyczailiście się już do RODO? Och, nie trzeba było... Unia Europejska szykuje potężne zmiany, będzie RODO 2.0 i trzeba się go nauczyć od nowa
11 gru 2025

Unia Europejska szykuje przełomowe zmiany w przepisach o ochronie danych osobowych. Projekt Digital Omnibus zakłada m.in. uproszczenie zasad dotyczących plików cookie, nowe regulacje dla sztucznej inteligencji oraz mniejszą biurokrację dla firm. Sprawdź, jak nadchodząca nowelizacja RODO wpłynie na Twoje codzienne korzystanie z Internetu!
Mniej podwyżek wynagrodzeń w 2026 roku? Niepokojące prognozy dla pracowników [BADANIE]
08 gru 2025

Podwyżki wynagrodzeń w przyszłym roku deklaruje 39 proc. pracodawców, o 8 pkt proc. mniej wobec 2025 roku - wynika z badania Randstad. Jednocześnie prawie 80 proc. firm chce utrzymać zatrudnienia, a redukcje zapowiada 5 proc.
Zapisz się na newsletter
Zakładasz firmę? A może ją rozwijasz? Chcesz jak najbardziej efektywnie prowadzić swój biznes? Z naszym newsletterem będziesz zawsze na bieżąco.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

REKLAMA