REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Moja firma » Biznes » Mała firma » ABC małej firmy » Jak przedsiębiorca powinien chronić dane osobowe?
Porada Infor.pl

Jak przedsiębiorca powinien chronić dane osobowe?

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
22 stycznia 2010, 14:02
Marek Pasiński
Marek Pasiński
Radca prawny
Piotr Skórski
Piotr Skórski
Prawnik
Ochrona danych osobowych przez przedsiębiorcę.
Ochrona danych osobowych przez przedsiębiorcę.
inforCMS

REKLAMA

REKLAMA

Przedsiębiorca przetwarzający dane osobowe czy to swoich klientów, czy pracowników musi liczyć się z pewnymi obowiązkami dotyczącymi infrastruktury technicznej i sposobu korzystania z niej, które muszą sprostać wymaganiom nałożonym na niego przez ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U.02.101.926 j.t.).

Pierwsze gwarancje ochrony danym osobowym zapewniła w Polsce nowa Konstytucja z 1997r. Jej art. 47 zagwarantował obywatelom prawo do prywatności, a art. 51 – każdej osobie - prawo do ochrony dotyczących jej informacji.

REKLAMA

REKLAMA

Jednakże z międzynarodowych zobowiązań Polski, związanych z akcesją do Unii Europejskiej, wyniknęła konieczność dostosowania warunków ochrony danym osobowych, jakie na swoim terytorium, zapewniały państwa należące do Unii. Wszystkie ustawy europejskie wzorowane były lub dostosowane do Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady.

Zgodnie z art. 6 ust. 1 ustawy o ochronie danych osobowych: „W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. 2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. 3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.”

Zobacz: Uznawanie zagranicznych postępowań upadłościowych - porada

REKLAMA

Należy również pamiętać o szerokim znaczeniu określenia „przetwarzanie danych osobowych”. Przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Dalszy ciąg materiału pod wideo

Na czynniki warunkujące prawidłowe przetwarzanie danych osobowych składają się:

1) sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną;
2) podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych;
3) wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzania danych osobowych.

Na dokumentację, o której mowa w punkcie 1 powyżej, składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, która powinna być wdrożona przez administratora danych i prowadzona w formie pisemnej.

Polityka bezpieczeństwa musi zawierać co najmniej:

1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
4) sposób przepływu danych pomiędzy poszczególnymi systemami;
5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Obszar, o którym mowa w punkcie 1 powyżej, zabezpiecza się przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych. A dodatkowo przebywanie osób nieuprawnionych w tym obszarze jest dopuszczalne za zgodą administratora danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych.

Natomiast instrukcja musi zawierać co najmniej:
1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
5) sposób, miejsce i okres przechowywania:
a) elektronicznych nośników informacji zawierających dane osobowe,
b) kopii zapasowych, o których mowa w pkt 4,
6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego;
7) sposób odnotowywania w systemie informatycznym informacji o odbiorcach którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych ;
8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Zobacz: Zmiana sposobu użytkowania lokalu

Ustawodawca wprowadził 3 poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym ze względu na kategorie przetwarzanych danych oraz zagrożenia. Są to poziomy:
1) podstawowy;
2) podwyższony;
3) wysoki.

Zgodnie z rozporządzeniem Ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych:

Poziom co najmniej podstawowy stosuje się, gdy:
1) w systemie informatycznym nie są przetwarzane dane, o których mowa w art. 27 ustawy o ochronie danych osobowych (dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.), oraz
2) żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną.

Poziom co najmniej podwyższony stosuje się, gdy:
1) w systemie informatycznym przetwarzane są dane osobowe, o których mowa w art. 27 ustawy o ochronie danych osobowych, oraz
2) żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną.

Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną (np. internet).

Środki bezpieczeństwa na poziomie podstawowym

Oprócz zabezpieczenia obszaru, w którym przetwarzane są dane osobowe, o czym była mowa powyżej, w samym systemie informatycznym służącym do przetwarzania danych osobowych stosuje się mechanizmy kontroli dostępu do tych danych. Jeżeli dostęp do danych przetwarzanych w systemie informatycznym posiadają co najmniej dwie osoby, wówczas obowiązkiem przedsiębiorcy jest zapewnienie, aby:
a) w systemie tym rejestrowany był dla każdego użytkownika odrębny identyfikator;
b) dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia.

W przypadku, gdy użytkownik utracił uprawnienia do przetwarzania danych, to jego identyfikator nie może być przydzielony innej osobie.

W przypadku gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana następuje nie rzadziej niż co 30 dni. Hasło musi składać się co najmniej z 6 znaków.

Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych. Tak wykonane kopie zapasowe przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem oraz usuwa się je niezwłocznie po ustaniu ich użyteczności.

System informatyczny służący do przetwarzania danych osobowych musi być zabezpieczony, w szczególności przed:
1) działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego (m.in. wszelkiego rodzaju wirusy, trojany i diallery);
2) utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej ( np. serwery powinny posiadać akumulatory awaryjne).

Osoba użytkująca komputer przenośny zawierający dane osobowe zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza obszarem, w którym przetwarzane są dane osobowe, w tym stosuje środki ochrony kryptograficznej wobec przetwarzanych danych osobowych.

W przypadku, gdy przedsiębiorca chce zlikwidować urządzenia, dyski lub inne elektroniczne nośniki informacji zawierające dane osobowe, musi pozbawić je wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkodzić je w sposób uniemożliwiający ich odczytanie. W przypadku przekazywania takich urządzeń lub dysków podmiotowi nieuprawnionemu do przetwarzania danych - pozbawia się je wcześniej zapisu danych osobowych, w sposób uniemożliwiający ich odzyskanie.

Nawet w przypadku oddania takich urządzeń, dysków lub innych elektronicznych nośników informacji zawierających dane osobowe do naprawy, należy wcześniej pozbawić je zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych.

Administrator danych zobowiązany jest do monitorowania wdrożonych zabezpieczeń systemu informatycznego.

Środki bezpieczeństwa na poziomie podwyższonym

W przypadku, gdy do uwierzytelniania użytkowników używa się hasła, musi ono składać się co najmniej z 8 znaków, zawierać małe i wielkie litery oraz cyfry lub znaki specjalne.

Urządzenia i nośniki zawierające dane osobowe, przekazywane poza obszar, w którym następuje ich przetwarzanie, zabezpiecza się w sposób zapewniający poufność i integralność tych danych.

Instrukcja zarządzania systemem informatycznym, o której była mowa wyżej w przypadku poziomu podwyższonego musi być rozszerzona o sposób stosowania środków bezpieczeństwa na poziomie podwyższonym.

Administrator danych na poziomie podwyższonym musi stosować również środki bezpieczeństwa przewidziane przepisami dotyczącymi środków bezpieczeństwa na poziomie podstawowym.

Środki bezpieczeństwa na poziomie wysokim

Najczęściej jednak przedsiębiorcy mają połączenie z Internetem, który rozumiany jest jako sieć publiczna, a zatem powinni stosować środki bezpieczeństwa na poziomie wysokim.
W takim przypadku system informatyczny służący do przetwarzania danych osobowych, powinien być chroniony przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem.

W przypadku zastosowania logicznych zabezpieczeń, obejmują one:
a) kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną;
b) kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych.

Zobacz: Zawieszenie działalności gospodarczej - porada

Administrator danych powinien stosować środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej.

Administrator danych na poziomie wysokim środki bezpieczeństwa, musi stosować również środki bezpieczeństwa przewidziane przepisami dotyczącymi środków bezpieczeństwa na poziomie podwyższonym i podstawowym.

Marek Pasiński – Radca Prawny
Piotr Skórski - Prawnik

Kancelaria Radcy Prawnego w Krakowie www.pasinski.pl

Powiązane
Poczta Polska rozwija sprzedaż internetową
Poczta Polska rozwija sprzedaż internetową
Zdjęcie w Internecie a ochrona danych osobowych
Zdjęcie w Internecie a ochrona danych osobowych
Skutki prawne decyzji podatkowych
Skutki prawne decyzji podatkowych
Zapisz się na newsletter
Zakładasz firmę? A może ją rozwijasz? Chcesz jak najbardziej efektywnie prowadzić swój biznes? Z naszym newsletterem będziesz zawsze na bieżąco.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

Źródło: INFOR
Wersja do druku
Napisz do nas
Zapisz się na newsletter

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

REKLAMA

Moja firma
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Obcokrajowcy wciąż chętnie zakładają w Polsce małe firmy. Głównie są to Ukraińcy i Białorusini [DANE Z CEIDG]
19 sie 2025

Obcokrajowcy wciąż chętnie zakładają w Polsce małe firmy. Głównie są to Ukraińcy i Białorusini [DANE Z CEIDG]. W pierwszej połowie br. 21,5 tys. wniosków dotyczących założenia jednoosobowej działalności gospodarczej wpłynęło do rejestru CEIDG od osób, które mają obywatelstwo innego państwa. To 14,4% wszystkich zgłoszeń w tym zakresie.

Hossa na giełdzie w 2025 r. Dlaczego Polacy nie korzystają z tego okresu? Najwięcej zarabiają zagraniczni inwestorzy
18 sie 2025

Na warszawskiej giełdzie trwa hossa. Dlaczego Polacy nie korzystają z tego okresu? Najwięcej zarabiają u nas zagraniczni inwestorzy. Co musi się w Polsce zmienić, aby ludzie zaczęli inwestować na giełdzie?
Umowy PPA w 2025 r. – korzyści i ryzyka dla małych i średnich firm w Polsce
13 sie 2025

Płacisz coraz wyższe rachunki za prąd? Coraz więcej firm w Polsce decyduje się na umowy PPA, czyli długoterminowe kontrakty na energię z OZE, które mogą zagwarantować stałą cenę nawet na 20 lat. To szansa na przewidywalne koszty i lepszy wizerunek, ale też zobowiązanie wymagające spełnienia konkretnych warunków. Sprawdź, czy Twoja firma może na tym skorzystać.
Rezygnują z własnej działalności na rzecz umowy o pracę. Sytuacja jest trudna
13 sie 2025

Sytuacja jednoosobowych działalności gospodarczych jest trudna. Coraz więcej osób rezygnuje i wybiera umowę o pracę. W 2025 r. wpłynęło blisko 100 tysięcy wniosków o zamknięcie jednoosobowej działalności gospodarczej. Jakie są bezpośrednie przyczyny takiego stanu rzeczy?

REKLAMA

Umowa Mercosur może osłabić rynek UE. O co chodzi? Jeszcze 40 umów handlowych należy przejrzeć
12 sie 2025

Umowa z krajami Mercosur (Argentyną, Brazylią, Paragwajem i Urugwajem) dotyczy partnerstwa w obszarze handlu, dialogu politycznego i współpracy sektorowej. Otwiera rynek UE na produkty z tych państw, przede wszystkim mięso i zboża. Rolnicy obawiają się napływu tańszych, słabszej jakości produktów, które zdestabilizują rynek. UE ma jeszcze ponad 40 umów handlowych. Należy je przejrzeć.
1 października 2025 r. w Polsce wchodzi system kaucyjny. Jest pomysł przesunięcia terminu lub odstąpienia od kar
11 sie 2025

Dnia 1 października 2025 r. w Polsce wchodzi w życie system kaucyjny. Rzecznik MŚP przedstawia szereg obaw i wątpliwości dotyczących funkcjonowania nowych przepisów. Jest pomysł przesunięcia terminu wejścia w życie systemu kaucyjnego albo odstąpienia od nakładania kar na jego początkowym etapie.
Paragony grozy a wakacje 2025 na półmetku: więcej rezerwacji, dłuższe pobyty i stabilne ceny
08 sie 2025

Wakacje 2025 na półmetku: więcej rezerwacji, dłuższe pobyty i stabilne ceny. Mimo pojawiających się w mediach “paragonów grozy”, sierpniowy wypoczynek wciąż można zaplanować w korzystnej cenie, zwłaszcza rezerwując nocleg bezpośrednio.
150 tys. zł dofinansowania! Dla kogo i od kiedy można składać wnioski?
16 sie 2025

Zakładasz własny biznes, ale brakuje Ci środków na start? Nie musisz od razu brać drogiego kredytu. W Polsce jest kilka źródeł finansowania, które mogą pomóc w uruchomieniu działalności – od dotacji i tanich pożyczek, po prywatnych inwestorów i crowdfunding. Wybór zależy m.in. od tego, czy jesteś bezrobotny, mieszkasz na wsi, czy może planujesz innowacyjny startup.

REKLAMA

W pół roku otwarto ponad 149 tys. jednoosobowych firm. Do tego wznowiono przeszło 102 tys. [DANE Z CEIDG]
08 sie 2025

Jak wynika z danych Ministerstwa Rozwoju i Technologii (MRiT), w pierwszej połowie 2025 roku do rejestru CEIDG (Centralna Ewidencja i Informacja o Działalności Gospodarczej) wpłynęło 149,1 tys. wniosków dotyczących założenia jednoosobowej działalności gospodarczej. To o 1% mniej niż w analogicznym okresie ubiegłego roku, kiedy takich przypadków było 150,7 tys. Co to oznacza?
Jak liderzy finansowi mogą budować odporność biznesową w czasach niepewności?
07 sie 2025

Niepewność stała się trwałym elementem globalnego krajobrazu biznesowego. Od napięć geopolitycznych, przez zmienność inflacyjną, po skokowy rozwój technologii – dziś pytaniem nie jest już, czy pojawią się ryzyka, ale kiedy i jak bardzo wpłyną one na organizację. W takim świecie dyrektor finansowy (CFO) musi pełnić rolę strategicznego radaru – nie tylko reagować, ale przewidywać i przekształcać ryzyko w przewagę konkurencyjną. Przedstawiamy pięć praktyk budujących odporność biznesową.

REKLAMA