zadzwoń:

22 455 56 01

Jeżeli potrzebujesz pomocy odwiedź nasze:

Centrum Wiedzy

lub

Zadzwoń 

Jeśli masz pytanie

zadzwoń:

22 455 56 00

lub

Wypełnij formularz kontaktowy

Oddzwonimy do Ciebie 

 

06 listopada 2015

Ochrona danych osobowych w firmie

Kwestia zbierania, zarządzania i ochrony danych kontrahentów i klientów przez przedsiębiorstwa działające w różnych branżach może być przedmiotem nieporozumień i niejasności. Nie wszyscy przedsiębiorcy wiedzą, że nawet różnego rodzaju programy informatyczne używane w firmie powinny posiadać moduły zgodne z przepisami ustawy o ochronie danych osobowych (np. aplikacje do wystawiania faktur VAT).

Od początku 2015 roku obowiązują znowelizowane przepisy ustawy o ochronie danych osobowych. Warto przypomnieć, że działalność wielu przedsiębiorstw podlega przepisom ustawy w sytuacji, gdy firma zajmuje się zbieraniem, przechowywaniem i przetwarzaniem danych osobowych klientów, a niekiedy także ich partnerów biznesowych.

Nie wszyscy wiedzą, że muszą chronić dane

Na niską świadomość przedsiębiorców o konieczności właściwego zabezpieczenia danych osobowych klientów i kontrahentów wielokrotnie zwracał uwagę Generalny Inspektor Ochrony Danych Osobowych. Dużym udogodnieniem dla przedsiębiorców, okazała się nowelizacja ustawy o ochronie danych osobowych. Zmiany, które zaczęły obowiązywać od 1 stycznia 2015 r. są konsekwencją konieczności wdrożenia projektowanych przepisów unijnych dotyczących ochrony danych osobowych i swobodnym przepływem takich informacji.   

Administrator bezpieczeństwa informacji zapewni przestrzeganie procedur

Jedną z najważniejszych zmian jest wprowadzenie instytucji administratora bezpieczeństwa informacji (ABI). Mówi o tym art. 36a ustawy o dostępie do danych osobowych. Trzeba pamiętać, że powołanie ABI nie jest obowiązkowe. Przedsiębiorstwo, na podstawie art. 36b ustawy może nie dokonać powołania ABI i w takiej sytuacji samodzielnie wykonywać jego zadania (wyłączając z nich sporządzanie planu sprawdzeń, sprawozdania oraz obowiązek prowadzenia wewnętrznego rejestru zbiorów danych przetwarzanych przez administratora). Natomiast powołanie ABI daje szereg korzyści i zdejmuje de facto z barków przedsiębiorcy konieczność zajmowania się ochroną danych. Zadaniem ABI jest przede wszystkim zapewnienie przestrzegania przepisów ustawy. Musi on sprawdzać zgodność przetwarzania danych z regulacjami ustawowymi oraz sporządzać sprawozdanie odnośnie przestrzegania przepisów skierowane do administratora danych (którym w tym wypadku jest jednostka gospodarcza).

Do zadań ABI należy także nadzór nad opracowaniem dokumentacji opisującej sposoby przetwarzania danych w firmie oraz zapewnienie środków technicznych i organizacyjnych umożliwiających bezpieczne przetwarzanie danych. Co jest niezwykle ważne z punktu widzenia firmy, ABI ma również za zadanie prowadzenie rejestru zbiorów danych przetwarzanych przez przedsiębiorstwo (zgodnie z art. 36a ust 2 pkt 2 ustawy).

Administratorem bezpieczeństwa informacji może zostać osoba, która posiada pełną zdolność do czynności prawnych, korzysta z pełni praw publicznych, nie była karana za umyślne przestępstwo oraz posiada odpowiednią wiedzę w zakresie ochrony danych osobowych (art. 36a ust. 5 ustawy).

Wbrew obiegowym opiniom, za niezgłaszanie posiadanych zbiorów danych do GIODO nie grożą za to kary finansowe ze strony administracji państwowej. Nie oznacza to jednak, że problemu nie ma. Niedopełnienie tego obowiązku jest bowiem zagrożone sankcją karną (może to być np. grzywna), o której w razie procesu decyduje sąd. GIODO z kolei może wymierzyć karę grzywny w sytuacji, gdy w wyniku kontroli wyda decyzję zalecającą wprowadzenie określonych procedur lub rozwiązań zgodnych z przepisami, a firma się do niej nie zastosuje. 

Programy finansowo-księgowe powinny spełniać wymogi ustawowe

Po nowelizacji nie zmieniły się obowiązki przewidziane dla administratora danych. Jeżeli zatem jednostka gospodarcza zbiera i przetwarza dane (np. klientów), to według ustawy jest administratorem tychże danych. Ponosi zatem odpowiedzialność za zgodną z prawem organizację procesu przetwarzania takich danych.  

Trzeba pamiętać, że także używane w firmie programy powinny spełniać wymagania ustawy o ochronie danych osobowych (np. oprogramowanie do wystawiania faktur). Faktura VAT musi zawierać elementy identyfikujące strony transakcji; najczęściej znajdziemy na niej dane takie jak: imię, nazwisko i nazwa firmy. Ważne więc by używany program obsługujący wystawianie faktur był zabezpieczony przed nieautoryzowanym dostępem na poziomie aplikacji (po stronie klienta) oraz na poziomie serwera (bazy danych). Takie zabezpieczenia posiadają m.in. programy finansowo-księgowe dostarczane przez Sage.

Kwestie związane z zapewnieniem odpowiedniej ochrony danych osobowych klientów, kontrahentów oraz zapewnienie bezpieczeństwa danych, są niezwykle istotne z punktu widzenia działalności firmy. Zapewnienie właściwych procedur oraz posiadanie odpowiedniego oprogramowania zapewnia bezpieczeństwo prawne, niezbędne nie tylko w czasie kontroli.