Przetwarzanie danych osobowych w przedsiębiorstwie

Transkrypt

1 Przetwarzanie danych osobowych w przedsiębiorstwie Kwestię przetwarzania danych osobowych reguluje ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Danymi osobowymi w rozumieniu niniejszej ustawy są wszelkie informacje dotyczące możliwej do zidentyfikowania osoby fizycznej, czyli osoby, której tożsamość można określić pośrednio lub bezpośrednio na podstawie określonych informacji. Przetwarzanie danych osobowych jest dopuszczalne m. in. w sytuacjach, gdy: osoba, której dane dotyczą, wyrazi na to zgodę; gdy jest to konieczne do realizacji umowy, której stroną jest osoba, której dane dotyczą; gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą; gdy jest to niezbędne dla zrealizowania przez administratorów lub odbiorców danych ich celów bez naruszania praw i wolności osoby, której dane dotyczą (może to być np. dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej). Zgoda osoby na przetwarzanie związanych z nią danych może obejmować także przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania. Przedsiębiorstwo zbierające dane od osoby ma obowiązek poinformowania jej o swojej pełnej nazwie, adresie siedziby, celu zbierania danych, przewidywanych ich odbiorcach, prawie dostępu do treści swoich danych oraz ich poprawiania, a także o dobrowolności albo obowiązku podania ich. W przypadku zbierania danych na temat osoby trzeciej należy udzielić jej identycznych informacji, jednocześnie informując ją o źródle danych oraz o prawie do wniesienia żądania zaprzestania przetwarzania ich lub prawie do wniesienia sprzeciwu wobec przetwarzania jej danych w szczególnych przypadkach wskazanych w ustawie.

2 Warto wspomnieć, że przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane możliwe jest tylko w ściśle określonych celach, m. in. w celach statystycznych, pod warunkiem, że nie narusza to praw i wolności osoby, której dane dotyczą. W takim przypadku również należy udzielić takiej osobie wszystkich niezbędnych informacji. Zasadniczo zakazane jest przetwarzanie tzw. danych wrażliwych, czyli danych obejmujących pochodzenie rasowe lub etniczne danej osoby, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, dane o jej stanie zdrowia, kodzie genetycznym, nałogach, życiu seksualnym, danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych oraz innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Jednakże również w tym przypadku ustawodawca przewidział szereg wyjątków. Jednym z nich jest możliwość przetwarzania określonych w ustawie danych, niezbędnych do wykonania zadań administratora odnoszących się do zatrudnienia pracowników i innych osób. Administrator danych ma obowiązek ochrony przetwarzanych danych przed ich udostępnieniem osobom nieupoważnionym, przetwarzaniem ich wbrew przepisom czy utratą ich w jakikolwiek sposób. W zależności od kategorii przetwarzanych danych oraz zagrożenia stosuje się jeden z 3 poziomów bezpieczeństwa: podstawowy - stosowany, gdy nie są przetwarzane dane wrażliwe, a urządzenia systemu przetwarzania danych nie są połączone z siecią publiczną; podwyższony - stosowany, gdy przetwarzane są dane wrażliwe, a żadne z urządzeń systemu informatycznego nie jest połączone z siecią publiczną; wysoki - stosowany, gdy przynajmniej jedno urządzenie systemu służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną. Należy podkreślić, iż nic nie stoi na przeszkodzie zastosowania systemu wyższego niż wymagany. Środki przewidziane dla każdego z tych poziomów wskazane są w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie 2/5

3 dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Zgodnie z nim, system przetwarzania danych musi umożliwiać wydrukowanie dla każdej osoby, której dane są przetwarzane, raportu zawierającego szereg podstawowych informacji związanych z przetwarzanymi danymi. Ustawa nakłada na administratora danych obowiązek prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz środki ich zabezpieczenia. Wspomnianą dokumentację sporządza się w formie pisemnej. Musi ona objąć politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych. Polityka bezpieczeństwa określa m. in. obszar, w którym przetwarzane są dane osobowe, zbiory danych osobowych wraz ze wskazaniem programów wykorzystywanych do przetwarzania tych ich, opis ich struktury, sposób przepływu danych, środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. Instrukcja natomiast powinna zawierać w szczególności: procedury nadawania i rejestrowania uprawnień do przetwarzania danych, metody uwierzytelnienia (weryfikowania tożsamości podmiotu), procedury związane z prowadzeniem pracy przez użytkowników systemu, procedury tworzenia i zarządzania kopiami zapasowymi zbiorów danych, sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do danych, informacje o odbiorcach, którym dane zostały udostępnione oraz procedury konserwacji systemów i nośników służących do przetwarzania danych. Dostęp do danych mogą mieć jedynie osoby upoważnione przez administratora. Muszą być one zapisane w ewidencji, która zawiera ich imiona i nazwiska, datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych, a także 3/5

4 identyfikator, jeśli dane są przetwarzane w systemie informatycznym. Osoby te zobowiązane są do zachowania tajemnicy w kwestii pozyskanych informacji. Jeśli chodzi o powierzenie innemu podmiotowi danych osobowych do przetwarzania, to jest to możliwe tylko w drodze umowy pisemnej, która określi jego zakres i cel. Podmiot taki zobowiązany jest spełnić wszelkie wymogi związane z zabezpieczeniem danych, jakie nałożone są na administratora. Z kolei przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych. Administrator danych może, mimo braku odpowiedniego poziomu ochrony, przekazać dane osobowe do państwa trzeciego m. in. gdy osoba, której dane dotyczą, udzieliła na to zgody na piśmie lub przekazanie danych jest niezbędne do wykonania umowy w interesie osoby, której dane dotyczą. Zasadą jest, iż administrator danych osobowych zobowiązany jest zgłosić zbiór danych do rejestracji Głównemu Inspektorowi Danych Osobowych. Obowiązkowi temu nie podlegają jednak m. in. dane zawierające informacje niejawne, dane powszechnie dostępne, dane przetwarzanie w zakresie drobnych bieżących spraw życia codziennego, a także, co ważne dla przedsiębiorców, dane przetwarzane w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych oraz dotyczące osób u nich zrzeszonych lub uczących się, a także dane przetwarzane wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej. Administrator danych zobowiązany do rejestracji zbioru może co do zasady rozpocząć przetwarzanie pozyskanych danych po zgłoszeniu tego zbioru GIODO. Na zakończenie wskazać należy, iż odpowiedzialności karnej w związku z przetwarzaniem danych osobowych podlega: przetwarzanie w zbiorze dane osobowe bez uprawnienia; umożliwianie dostępu do nich osobom nieupoważnionym; 4/5

5 naruszanie obowiązku zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem; niezgłoszenie do rejestracji zbioru danych, wymagającego tego; nieudzielenie osobie, której dane dotyczą, wszystkich wymaganych informacji; udaremnianie lub utrudnianie GIODO wykonanie czynności kontrolnej. Tomasz Grybko Kancelaria Prawna Świeca i Wspólnicy Sp. k. 5/5