E-mail Comment Del.icio.us Digg Reddit Technorati Furl

Ochrona danych a małych przedsiębiorstwach – obowiązki nałożone przez ustawę o ochronie danych osobowych

cze 22, 2009 Opinie i wskazówki

Wbrew powszechnemu mniemaniu, małe i średnie przedsiębiorstwa które przetwarzają dane osobowo swoich pracowników lub klientów podlegają ustawie o ochronie danych osobowych. W całej ustawie i aktach wykonawczych nie znalazłem żadnego wykluczenia, ze względu na wielkość przedsiębiorstwa. Natomiast od wielkości firmy, ilości i celu przetwarzania danych zależy to, czy wystarczą podstawowe środki wymienione w ustawie i rozporządzeniu, czy trzeba postawić poprzeczkę znacznie wyżej.

Jakie więc obowiązki na przedsiębiorcę nakłada ustawa o ochronie danych osobowych.

Obowiązek ochrony danych i wprowadzenia dokumentacji opisującej sposoby przetwarzania danych oraz środki zapewniające bezpieczeństwo przetwarzania danych osobowych. Wymóg ten zaznaczony jest w art. 36 ust. 1i 2

1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy
oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1.

Wymóg wyznaczenia osoby odpowiedzialnej za wykonywanie obowiązków nałożonych przez ustawę o ochronie danych osobowych lub w razie braku takiej osobowy, nadzór przez właściciela firmy. Wymóg ten nakłada art. 36, ust. 3.

3. Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności.

Wymóg wyznaczenia osób, mających prawo do przetwarzania danych osobowych, czyli nadanie każdemu pracownikowi przetwarzającemu dane osobowe, upoważnienia do przetwarzania tych danych (księgowa, kadrowa, pracownik marketingu, informatyk). Wymóg ten określa art. 37 ustawy.

Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.
Obowiązek prowadzenia rejestru osób upoważnionych wprowadzony jest w art. 39 ust. 1.
1. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:
1) imię i nazwisko osoby upoważnionej,
2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,
3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.

Wymóg zachowania tajemnicy na temat przetwarzanych danych i sposobów ich zabezpieczenia przez osoby upoważnione nakłada na pracowników art. 39, ust. 2.

2. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.

Wymóg nadzoru nad obiegiem przetwarzanych danych osobowych (wprowadzanie, przekazywanie). Wymóg ten wprowadza art. 37 uodo.

Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.

W celu zapewnienia ochrony przetwarzanych danych osobowych, Minister Spraw Wewnętrznych i Administracji w rozporządzeniu określił podstawowe sposoby zabezpieczenia danych osobowych i minimalne wymagania dotyczące prowadzonej dokumentacji związanej z ochroną danych osobowych. Wymóg stosowania się do rozporządzenia nakłada art. 39a uodo.

Minister właściwy do spraw administracji publicznej w porozumieniu z ministrem właściwym do spraw informatyzacji określi, w drodze rozporządzenia, sposób prowadzenia i zakres dokumentacji, o której mowa w art. 36 ust. 2, oraz podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, uwzględniając zapewnienie
ochrony przetwarzanych danych osobowych odpowiedniej do zagrożeń oraz kategorii danych objętych ochroną, a także wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzanych danych.

Celowo na początku napisałem o obowiązku ochrony danych przez małe przedsiębiorstwa, ponieważ o ile w dużych firmach, obowiązek ten jest przestrzegany, o tyle w mikro i małych firmach poziom bezpieczeństwa jest zerowy. Większość firma nie posiada żadnej dokumentacji, a komputery stosowane do przetwarzania danych żadnych zabezpieczeń. Co gorsza, większosć przedsiębiorców uważa, że nie przetważają żadnych danych osobowych.



Mentis.pl

Tags: , , , ,

This entry was posted on poniedziałek, Czerwiec 22nd, 2009 at 08:19 and is filed under Opinie i wskazówki. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

Zostaw komentarz

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>