Ochrona danych osobowych w małej i średniej firmie. Co trzeba wiedzieć?

Prowadzenie działalności wiąże się z ochroną danych osobowych pracowników, kontrahentów czy klientów. Firmy, które nie spełnią wymagań Generalnego Inspektora Ochrony Danych Osobowych, mogą ponieść konsekwencje.

Pod koniec maja tego roku UE przyjęła nowe rozporządzenie dotyczące ochrony danych osobowych, w tym również małych i średnich przedsiębiorstw. Przepisy wejdą w życie 25 maja 2018 roku.

Według danych GUS w Polsce niemal 4,2 mln osób ma zarejestrowaną działalność gospodarczą. Jak szacuje Ministerstwo Finansów – 2,9 mln stanowią jednoosobowe firmy. Bez względu jednak na jej wielkość polscy przedsiębiorcy zobowiązani są chronić dane osobowe swoich pracowników, klientów oraz kontrahentów. Wystarczy, że firma w jakikolwiek sposób wykorzysta dane osób fizycznych, które pozwalają na ich zidentyfikowanie, od razu staje się ich administratorem. Dotyczy to oczywiście także małych i średnich firm, choć nie zawsze mają tego świadomość.

Okazuje się, że ta niewiedza może mieć swoje konsekwencje. Wszystkie działania niezgodne z ustawą (z dnia 29 sierpnia 1997 roku o ochronie danych osobowych) dotyczące między innymi niewłaściwego zabezpieczenia danych czy niedopełnienia obowiązku rejestracji zbiorów danych – spowodują, że przedsiębiorca poniesie konsekwencje. W skrajnych przypadkach może być to nawet kara pozbawienia wolności do 2 lat włącznie (oczywiście zakładamy, że to czysto teoretyczna możliwość, przewidziana za celowe przestępstwo).

Dane osobowe w firmie

Danymi osobowymi są informacje dotyczące zidentyfikowanej osoby fizycznej lub też takiej, którą można na podstawie tych informacji zidentyfikować, wskazać jej cechy fizyczne, fizjologiczne, umysłowe, społeczne, kulturowe lub ekonomiczne.

Gdy przedsiębiorca pozyskuje takie dane, gromadzi je, utrwala, przechowuje i przetwarza – oznacza to, że w myśl przepisów staje się ich administratorem. A co za tym idzie musi je chronić – przed udostępnieniem osobom nieupoważnionym, przed utratą, zniszczeniem, uszkodzeniem a także przetwarzaniem z naruszeniem przepisów.

Niefrasobliwość przedsiębiorcy w tym zakresie może zakończyć się wspomnianymi wcześniej sankcjami prawnymi. Poza tym firma, która nie jest w stanie ochronić danych swoich klientów, traci ich zaufanie, a także reputację, którą odbudować jest później niezwykle trudno.  

Przezorny - zabezpieczony

Nieznajomość prawa szkodzi – wiadomo od dawna. Niestety, choć przepisy obowiązują od prawie dwóch dekad, wielu przedsiębiorców, szczególnie małych, podchodzi do nich z lekceważeniem. Jakie najczęściej błędy popełniają? Podstawowym i najczęstszym grzechem jest przesyłanie drogą mailową dokumentów z poufnymi danymi, które nie są zaszyfrowane. Takie zachowanie jest niebezpieczne z dwóch powodów – ktoś może otworzyć skrzynkę adresata lub nadawca pomyli się, wysyłając wiadomość, i dane trafią nie tam, gdzie trzeba.

Kolejnym błędem jest wysyłanie maili do wielu odbiorców bez ukrycia adresów innych osób. To nie tylko naruszenie prawa do prywatności, ale także złamanie ustawy o ochronie danych. Adres mailowy bowiem też podlega takiej ochronie.

Udostępnianie firmowej skrzynki osobom trzecim, umożliwienie im dostępu przez pozostawienie w widocznym miejscu hasła albo zwykłe wyrzucanie dokumentów z informacjami o kontrahentach do kosza – zamiast do niszczarki – także są złamaniem zasad ochrony danych. Niestety, jak wynika z informacji GIODO, takie działania są praktykowane aż w 80 proc. polskich firm.

Kolejne błędy dotyczące bezprawności wykorzystywanie danych to: wynoszenie informacji z firmy bez szyfrowania na różnego rodzaju nośnikach, pozostawianie wydruków z danymi klientów na ogólnodostępnych urządzeniach, udostępnianie haseł do komputera osobom trzecim, telefoniczne udostępnianie danych niezidentyfikowanemu rozmówcy czy rozmowy o sprawach firmowych z podawaniem nazwisk osób, których ta rozmowa dotyczy.

Dane przedsiębiorstwa

Jeśli chodzi o udostępnianie danych samej firmy, to sytuacja wygląda nieco inaczej. Zgodnie z ustawą - przetwarzanie (w tym upublicznianie) danych osobowych jest dopuszczalne m.in. wtedy, gdy jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów administratorów danych lub osób trzecich, którym te dane są przekazywane - a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą (art. 23 ust. 1 pkt 5).

Jak podkreśla GIODO, jeśli chodzi o osoby prowadzące działalność gospodarczą, to – zgodnie z ustawą z dnia 23 kwietnia 1964 r. Kodeks cywilny – przedsiębiorca działa pod firmą, a firmą osoby fizycznej jest jej imię i nazwisko. Nie wyklucza to włączenia do firmy pseudonimu lub określeń wskazujących na przedmiot działalności przedsiębiorcy, miejsca jej prowadzenia oraz innych dowolnie obranych określeń. Firmę ujawnia się we właściwym rejestrze, chyba że przepisy odrębne stanowią inaczej. Zarówno nazwa przedsiębiorcy, jak i siedziba są wpisywane do rejestru przedsiębiorców i są jawne w obrocie gospodarczym.

Europejska reforma danych

Pod koniec maja 2016 r. Unia Europejska przyjęła nowe rozporządzenie dotyczące ochrony danych osobowych, w tym również dotyczące małych i średnich przedsiębiorstw. Nowe przepisy ujednolicą normy we wszystkich krajach europejskich i pozwolą odzyskać obywatelom kontrolę nad swoimi danymi. Chodzi to m.in. o łatwiejszy dostęp do nich, prawo do ich przenoszenia, do bycia zapomnianym czy prawo do informacji o ich przechwyceniu.

W tym ostatnim przypadku przedsiębiorstwa muszą w ciągu 72 godzin zawiadamiać krajowy organ nadzoru (w Polsce GIODO) o naruszeniach. Dotyczy to sytuacji, gdy czyjeś dane pojawią się w internecie, a także gdy dane np. z nośnika zostaną zgubione albo skasowane. Podmioty przetwarzające dane niezgodnie z prawem, będą narażone na gigantyczne sankcje, które wyniosą nawet 20 mln euro. Skargi do Generalnego Inspektora będzie można składać bezpłatnie, a nie jak do tej pory po wniesieniu opłaty 10 zł.

Według nowych przepisów duże przedsiębiorstwa i grupy kapitałowe zobowiązane będą do prowadzenia rejestru czynności przetwarzania danych osobowych. Podmioty te będą musiały utworzyć osobne stanowisko dla inspektora ochrony danych lub wynająć podmiot zewnętrzny. Z tego obowiązku zwolnione będą małe i średnie przedsiębiorstwa, pod warunkiem, że przetwarzanie danych nie będzie stanowić ich działalności podstawowej.

Jakie jeszcze zmiany dla MŚP? W momencie, gdy firma zechce gromadzić dane klienta czy kontrahenta – będzie musiała bardzo szeroko poinformować zainteresowanego o tym, w jaki sposób zamierza je wykorzystywać. Informacje muszą być czytelne, jasne i rzetelne. Administratorzy danych będą mogli zawierać umowy tylko z podmiotami gwarantującymi właściwe wdrożenie procedur wynikających z przepisów rozporządzenia.  

Ponadto nowe prawo dopuszcza także profilowanie oparte na automatycznym przetwarzaniu danych, ale dopiero w momencie uzyskania zgody zainteresowanego, chyba że profilowanie jest konieczne do zawarcia lub wykonania umowy. Nowa regulacja nakazuje także informowanie konsumentów o tym, że podlegają profilowaniu.­

Autor: Agnieszka Jarosz

BONUSY I PARTNERZY

więcej bonusów

WYDARZENIA I SZKOLENIA

więcej wydarzeń

NASZE ARTYKUŁY

więcej artykułów
Bank Zachodni WBK rusza z programem „Kupuj u sąsiada” “bankITup” - Hackathon Banku Zachodniego WBK. Rusza rekrutacja.

PRODUKTY I USŁUGI

więcej produktów