REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Moja firma » Biznes » Mała firma » ABC małej firmy » Jak przedsiębiorca powinien chronić dane osobowe?
Porada Infor.pl

Jak przedsiębiorca powinien chronić dane osobowe?

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
22 stycznia 2010, 14:02
Marek Pasiński
Marek Pasiński
Radca prawny
Piotr Skórski
Piotr Skórski
Prawnik
Ochrona danych osobowych przez przedsiębiorcę.
Ochrona danych osobowych przez przedsiębiorcę.
inforCMS

REKLAMA

REKLAMA

Przedsiębiorca przetwarzający dane osobowe czy to swoich klientów, czy pracowników musi liczyć się z pewnymi obowiązkami dotyczącymi infrastruktury technicznej i sposobu korzystania z niej, które muszą sprostać wymaganiom nałożonym na niego przez ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U.02.101.926 j.t.).

Pierwsze gwarancje ochrony danym osobowym zapewniła w Polsce nowa Konstytucja z 1997r. Jej art. 47 zagwarantował obywatelom prawo do prywatności, a art. 51 – każdej osobie - prawo do ochrony dotyczących jej informacji.

REKLAMA

REKLAMA

Jednakże z międzynarodowych zobowiązań Polski, związanych z akcesją do Unii Europejskiej, wyniknęła konieczność dostosowania warunków ochrony danym osobowych, jakie na swoim terytorium, zapewniały państwa należące do Unii. Wszystkie ustawy europejskie wzorowane były lub dostosowane do Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady.

Zgodnie z art. 6 ust. 1 ustawy o ochronie danych osobowych: „W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. 2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. 3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.”

Zobacz: Uznawanie zagranicznych postępowań upadłościowych - porada

REKLAMA

Należy również pamiętać o szerokim znaczeniu określenia „przetwarzanie danych osobowych”. Przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Dalszy ciąg materiału pod wideo

Na czynniki warunkujące prawidłowe przetwarzanie danych osobowych składają się:

1) sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną;
2) podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych;
3) wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzania danych osobowych.

Na dokumentację, o której mowa w punkcie 1 powyżej, składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, która powinna być wdrożona przez administratora danych i prowadzona w formie pisemnej.

Polityka bezpieczeństwa musi zawierać co najmniej:

1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
4) sposób przepływu danych pomiędzy poszczególnymi systemami;
5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Obszar, o którym mowa w punkcie 1 powyżej, zabezpiecza się przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych. A dodatkowo przebywanie osób nieuprawnionych w tym obszarze jest dopuszczalne za zgodą administratora danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych.

Natomiast instrukcja musi zawierać co najmniej:
1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
5) sposób, miejsce i okres przechowywania:
a) elektronicznych nośników informacji zawierających dane osobowe,
b) kopii zapasowych, o których mowa w pkt 4,
6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego;
7) sposób odnotowywania w systemie informatycznym informacji o odbiorcach którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych ;
8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Zobacz: Zmiana sposobu użytkowania lokalu

Ustawodawca wprowadził 3 poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym ze względu na kategorie przetwarzanych danych oraz zagrożenia. Są to poziomy:
1) podstawowy;
2) podwyższony;
3) wysoki.

Zgodnie z rozporządzeniem Ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych:

Poziom co najmniej podstawowy stosuje się, gdy:
1) w systemie informatycznym nie są przetwarzane dane, o których mowa w art. 27 ustawy o ochronie danych osobowych (dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.), oraz
2) żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną.

Poziom co najmniej podwyższony stosuje się, gdy:
1) w systemie informatycznym przetwarzane są dane osobowe, o których mowa w art. 27 ustawy o ochronie danych osobowych, oraz
2) żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną.

Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną (np. internet).

Środki bezpieczeństwa na poziomie podstawowym

Oprócz zabezpieczenia obszaru, w którym przetwarzane są dane osobowe, o czym była mowa powyżej, w samym systemie informatycznym służącym do przetwarzania danych osobowych stosuje się mechanizmy kontroli dostępu do tych danych. Jeżeli dostęp do danych przetwarzanych w systemie informatycznym posiadają co najmniej dwie osoby, wówczas obowiązkiem przedsiębiorcy jest zapewnienie, aby:
a) w systemie tym rejestrowany był dla każdego użytkownika odrębny identyfikator;
b) dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia.

W przypadku, gdy użytkownik utracił uprawnienia do przetwarzania danych, to jego identyfikator nie może być przydzielony innej osobie.

W przypadku gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana następuje nie rzadziej niż co 30 dni. Hasło musi składać się co najmniej z 6 znaków.

Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych. Tak wykonane kopie zapasowe przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem oraz usuwa się je niezwłocznie po ustaniu ich użyteczności.

System informatyczny służący do przetwarzania danych osobowych musi być zabezpieczony, w szczególności przed:
1) działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego (m.in. wszelkiego rodzaju wirusy, trojany i diallery);
2) utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej ( np. serwery powinny posiadać akumulatory awaryjne).

Osoba użytkująca komputer przenośny zawierający dane osobowe zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza obszarem, w którym przetwarzane są dane osobowe, w tym stosuje środki ochrony kryptograficznej wobec przetwarzanych danych osobowych.

W przypadku, gdy przedsiębiorca chce zlikwidować urządzenia, dyski lub inne elektroniczne nośniki informacji zawierające dane osobowe, musi pozbawić je wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkodzić je w sposób uniemożliwiający ich odczytanie. W przypadku przekazywania takich urządzeń lub dysków podmiotowi nieuprawnionemu do przetwarzania danych - pozbawia się je wcześniej zapisu danych osobowych, w sposób uniemożliwiający ich odzyskanie.

Nawet w przypadku oddania takich urządzeń, dysków lub innych elektronicznych nośników informacji zawierających dane osobowe do naprawy, należy wcześniej pozbawić je zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych.

Administrator danych zobowiązany jest do monitorowania wdrożonych zabezpieczeń systemu informatycznego.

Środki bezpieczeństwa na poziomie podwyższonym

W przypadku, gdy do uwierzytelniania użytkowników używa się hasła, musi ono składać się co najmniej z 8 znaków, zawierać małe i wielkie litery oraz cyfry lub znaki specjalne.

Urządzenia i nośniki zawierające dane osobowe, przekazywane poza obszar, w którym następuje ich przetwarzanie, zabezpiecza się w sposób zapewniający poufność i integralność tych danych.

Instrukcja zarządzania systemem informatycznym, o której była mowa wyżej w przypadku poziomu podwyższonego musi być rozszerzona o sposób stosowania środków bezpieczeństwa na poziomie podwyższonym.

Administrator danych na poziomie podwyższonym musi stosować również środki bezpieczeństwa przewidziane przepisami dotyczącymi środków bezpieczeństwa na poziomie podstawowym.

Środki bezpieczeństwa na poziomie wysokim

Najczęściej jednak przedsiębiorcy mają połączenie z Internetem, który rozumiany jest jako sieć publiczna, a zatem powinni stosować środki bezpieczeństwa na poziomie wysokim.
W takim przypadku system informatyczny służący do przetwarzania danych osobowych, powinien być chroniony przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem.

W przypadku zastosowania logicznych zabezpieczeń, obejmują one:
a) kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną;
b) kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych.

Zobacz: Zawieszenie działalności gospodarczej - porada

Administrator danych powinien stosować środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej.

Administrator danych na poziomie wysokim środki bezpieczeństwa, musi stosować również środki bezpieczeństwa przewidziane przepisami dotyczącymi środków bezpieczeństwa na poziomie podwyższonym i podstawowym.

Marek Pasiński – Radca Prawny
Piotr Skórski - Prawnik

Kancelaria Radcy Prawnego w Krakowie www.pasinski.pl

Powiązane
Poczta Polska rozwija sprzedaż internetową
Poczta Polska rozwija sprzedaż internetową
Zdjęcie w Internecie a ochrona danych osobowych
Zdjęcie w Internecie a ochrona danych osobowych
Skutki prawne decyzji podatkowych
Skutki prawne decyzji podatkowych
Zapisz się na newsletter
Zakładasz firmę? A może ją rozwijasz? Chcesz jak najbardziej efektywnie prowadzić swój biznes? Z naszym newsletterem będziesz zawsze na bieżąco.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

Źródło: INFOR
Wersja do druku
Napisz do nas
Zapisz się na newsletter

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

REKLAMA

Moja firma
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
5 sprawdzonych metod pozyskiwania klientów B2B, które działają w 2025 roku
30 cze 2025

Pozyskiwanie klientów biznesowych w 2025 roku wymaga elastyczności, innowacyjności i umiejętnego łączenia tradycyjnych oraz nowoczesnych metod sprzedaży. Zmieniające się preferencje klientów, rozwój technologii i rosnące znaczenie relacji międzyludzkich sprawiają, że firmy muszą dostosować swoje strategie, aby skutecznie docierać do nowych odbiorców. Dobry prawnik zadba o zgodność strategii z przepisami prawa oraz zapewni ochronę interesów firmy. Oto pięć sprawdzonych metod, które pomogą w pozyskiwaniu klientów w obecnym roku.
Family Business Future Summit - podsumowanie po konferencji
26 cze 2025

Pod koniec kwietnia niniejszego roku, odbyła się druga edycja wydarzenia Family Business Future Summit, które dedykowane jest przedsiębiorczości rodzinnej. Stolica Warmii i Mazur przez dwa dni gościła firmy rodzinne z całej Polski, aby esencjonalnie, inspirująco i innowacyjne opowiadać i rozmawiać o sukcesach oraz wyzwaniach stojących przed pionierami polskiej przedsiębiorczości.
Fundacja rodzinna po dwóch latach – jak zmienia się myślenie o sukcesji?
26 cze 2025

Jeszcze kilka lat temu o sukcesji w firmach mówiło się niewiele. Przedsiębiorcy odsuwali tę kwestię na później, często z uwagi na brak gotowości, aby się z nią zmierzyć. Mówienie o śmierci właściciela, przekazaniu firmy i zabezpieczeniu rodziny wciąż należało do tematów „na później”.
Potencjał 33 GW z wiatraków na polskim morzu. To 57% zapotrzebowania kraju na energię. Co dalej z farmami wiatrowymi w 2026 i 2027 r.
25 cze 2025

Polski potencjał na wytwarzanie energii elektrycznej z wiatraków na morzu (offshore) wynosi 33 GW. To aż 57% rocznego zapotrzebowania kraju na energię. W 2026 i 2027 r. powstaną nowe farmy wiatrowe Baltic Power i Baltica 2. Jak zmieniają się przepisy? Co dalej?

REKLAMA

Jak zwiększyć rentowność biura rachunkowego bez dodatkowych wydatków?
24 cze 2025

Branża księgowa to jedna z dziedzin, w których wynagrodzenie za świadczone usługi często jest mocno niedoszacowane, mimo tego, że błędy w księgowości mogą skutkować bardzo poważnymi konsekwencjami dla przedsiębiorców. W związku z tak doniosłą rolą biur rachunkowych powinny one dbać o poziom rentowności, który pozwoli właścicielom skupić się na podnoszeniu jakości świadczonych usług oraz większego spokoju, co niewątpliwie pozytywnie wpływa na dobrostan właścicieli biur oraz ich pracowników.
Samozatrudnieni i małe firmy w odwrocie? wzrasta liczba likwidowanych i zawieszanych działalności gospodarczych, co się dzieje
24 cze 2025

Według znawców tematu, czynniki decydujące ostatnio o likwidacji takich firm nie różnią się od tych sprzed roku. Znaczenie mają m.in. koszty prowadzenia biznesu, w tym składki zusowskie, a także oczekiwania finansowe pracowników.

Szybki wzrost e-commerce mocno zależny od rozwoju nowych technologii: co pozwoli na zwiększenie zainteresowania zakupami online ze strony klientów
24 cze 2025

E-commerce czyli zakupy internetowe przestają być jedynie wygodną alternatywą dla handlu tradycyjnego – stają się doświadczeniem, którego jakość wyznaczają nie tylko oferta i cena, lecz także szybkość, elastyczność i przewidywalność dostawy oraz prostota ewentualnego zwrotu.
Przedsiębiorczość w Polsce ma się dobrze, mikroprzedsiębiorstwa minimalizując ryzyko działalności gospodarczej coraz częściej zaczynają od franczyzy
22 cze 2025

Najliczniejszą grupę firm zarejestrowanych w Polsce stanowią mikroprzedsiębiorstwa, a wśród nich ponad 87 tys. to podmioty działające w modelu franczyzowym. Jak zwracają uwagę ekonomiści ze Szkoły Głównej Handlowej, Polska jest liderem franczyzy w Europie Środkowo-Wschodniej.

REKLAMA

Rewolucyjne zmiany w prowadzeniu księgi przychodów i rozchodów
21 cze 2025

Ministerstwo Finansów opublikowało projekt nowego rozporządzenia w sprawie prowadzenia podatkowej księgi przychodów i rozchodów (KPiR), co oznacza, że już od 1 stycznia 2026 r. zmieni się sposób ich prowadzenia.

Apteki odzyskają prawo reklamowania swojej działalności. bo obecne zakazy są sprzeczne z prawem unijnym
22 cze 2025

Trybunał Sprawiedliwości Unii Europejskiej wydał wyrok w sprawie C-200/24, w którym jednoznacznie uznał, że obowiązujący w Polsce całkowity zakaz reklamy aptek narusza prawo Unii Europejskiej. To ważny moment dla rynku aptecznego i swobody działalności gospodarczej w Polsce.

REKLAMA