Prowadząc firmę mamy do czynienia z setkami różnych danych – zbieramy je, przetwarzamy, udostępniamy. Czy jednak robimy to zgodnie z prawem? Czy odpowiednio te dane chronimy?
Na początek, musimy przede wszystkim określić, od kogo, jakie dane i w jakim celu zbieramy. Ważne, aby poza odpowiednią podstawą prawną gromadzone dane spełniały tzw. zasadę adekwatności. Możemy więc zbierać tylko takie dane, jakie są niezbędne do realizacji celu ich gromadzenia. Przykładowo, do wypożyczenia sprzętu wodnego, nie jest niezbędne określenie stanu cywilnego klienta czy informacja o jego wyznaniu – tłumaczy Maciej Kaczmarski, prezes ODO 24, firmy specjalizującej się w ochronie danych osobowych i bezpieczeństwie informacji.
Cel zbierania danych
Prosząc klienta o przekazanie nam danych, musimy go szczegółowo poinformować, w jakim celu jego dane będą gromadzone, kto będzie ich administratorem oraz komu i w jakim celu dane będą mogły być przekazywane. Dodatkowo, aby legalnie dane gromadzić i przetwarzać, musimy najczęściej uzyskać na to zgodę osoby, której dane dotyczą. Nie może być to zgoda dorozumiana czy narzucona, ale dobrowolna i przekazana w czytelny, nie budzący żadnej wątpliwości sposób, np. przez zaznaczenie odpowiedniej opcji w internetowym formularzu, czy złożenie podpisu pod właściwą klauzulą na dokumencie papierowym. Co ważne, jeśli podstawą przetwarzania danych jest wyrażona zgoda, właściciel danych ma prawo do jej odwołania, a także do modyfikacji i usunięcia danych. O tym również musimy go poinformować – podkreśla Maciej Kaczmarski.
Kiedy trzeba rejestrować zbiory danych osobowych?
Z gromadzeniem danych nierozerwalnie związany jest temat zbiorów danych i ich rejestracja w GIODO. Zgodnie ze styczniową nowelizacją ustawy o ochronie danych osobowych, przedsiębiorcy, którzy powołają w swojej organizacji administratora bezpieczeństwa informacji (ABI) i zgłoszą go do GIODO, są zwolnieni z obowiązku rejestracji w GIODO wszystkich zbiorów, poza zbiorami zawierającymi dane wrażliwe, tj. np. informacji o stanie zdrowia czy wyznaniu. Jeśli jednak zdecydują się na pracę na danych bez ABI, muszą zarejestrować posiadane zbiory danych osobowych.
Procedura ochrony danych
Niezbędne jest również stworzenie, a następnie wdrożenie w przedsiębiorstwie dokumentacji ochrony danych osobowych – polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym. Dokumenty te stanowią podstawę działania dla administratorów bezpieczeństwa informacji (ABI) oraz administratorów systemów informatycznych (ASI). Określają zasady i sposoby ochrony danych, a także schematy postępowania z danymi w sytuacji zaistnienia incydentu, np. wycieku danych. Warto podkreślić, że posiadanie dokumentacji jest niezbędne do zgłoszenia zbiorów danych lub ABI do GIODO.
Niezależnie od tego, jakie dane przetwarzamy i jaki sposób funkcjonowania naszej organizacji przyjmiemy – z ABI lub bez – mamy obowiązek zabezpieczenia danych przed niepowołanym dostępem, kradzieżą, ujawnieniem czy zniszczeniem. Warto o to zadbać z co najmniej trzech powodów. Po pierwsze, nieodpowiednia ochrona danych łączy się z odpowiedzialnością karną z karą pozbawienia wolności włącznie. Po drugie, osoby, które doznają jakiejś krzywdy w związku z tym, że ich dane zostaną ujawnione, mogą dochodzić swoich praw w postępowaniu cywilnym. Po trzecie, z czasem nawet z pozoru niewinny wyciek danych może się przerodzić w wielką sytuację kryzysową i na bardzo długo nadszarpnąć reputację przedsiębiorstwa.
Źródło: ODO24