Prowadząc działalność gospodarczą każdy przedsiębiorca pozyskuje dane osobowe osób trzecich, jak również przechowuje dane osobowe osób z nim współpracujących, takich jak pracownicy, przedstawiciele handlowi, czy agenci. Prawo w zakresie ochrony danych osobowych ustanawia szereg wymogów i obowiązków dotyczących sposobu przetwarzania tych danych, których niespełnienie wiąże się z odpowiedzialnością administracyjną i karną, a czasem również cywilną. Tymczasem każdy przedsiębiorca może w prosty sposób zorganizować pracę swojej firmy tak, aby zapewnić wymagany ustawowo poziom ochrony danych i tym samym uniknąć negatywnych konsekwencji w przypadku kontroli.
System ochrony danych osobowych w Polsce regulowany jest przez ustawę o ochronie danych osobowych, stanowiącą implementację unijnej dyrektywy. Ustawa określa, kiedy i w jaki sposób dopuszczalne jest przetwarzanie danych osobowych, przy czym przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych, nawet takie jak ich zwyczajne przechowywanie lub kopiowanie na własne potrzeby, czy też usuwanie. Zatem każdy przedsiębiorca, który dysponuje choćby najbardziej podstawowymi danymi osób trzecich, takimi jak imię i nazwisko klienta, podlega wymogom przetwarzania tych danych określonym w ustawie.
Za niespełnienie obowiązków ustawowych w zakresie ochrony danych osobowych, jak np. brak zgłoszenia baz danych do rejestrów, czy brak zapewnienia odpowiedniego poziomu bezpieczeństwa danych, osobom zajmującym się przetwarzaniem danych w przedsiębiorstwie może grozić odpowiedzialność karna. Odpowiedzialność ta dotyczy w szczególności osób na stanowiskach kierowniczych, takich jak członkowie zarządu, kierownicy działów, dyrektorowie, ale może również dotknąć szeregowych pracowników. Niezależnie od tego firma, wobec której wydana zostanie decyzja nakazująca wykonywanie przepisów ustawy, narażona jest na grzywnę w wysokości do 50.000 zł, która może być nakładana wielokrotnie do maksymalnej kwoty 200.000 zł, w braku wykonania tej decyzji. Nie można też wykluczyć odszkodowawczej odpowiedzialności cywilnej, przykładowo za naruszenie dóbr osobistych osób, których dane bezprawnie uzyskano.
Wskazanego ryzyka odpowiedzialności można w prosty sposób uniknąć. Z punktu widzenia przedsiębiorcy zasadnicze znaczenia ma odpowiedź na pytania, czy firma może przetwarzać dane osobowe, którymi dysponuje lub które planuje pozyskać, w jaki sposób może to robić, jak również, czy spełnia ustawowe wymogi ochrony tych danych przed dostępem osób nieupoważnionych. Audyt w zakresie ochrony danych osobowych w firmie pozwoli w prosty sposób zidentyfikować podstawowe źródła zagrożenia związane z bieżącym funkcjonowaniem firmy, jak i ustanowi podstawę dla przyszłych czynności naprawczych. Najłatwiejszą metodą ograniczania ryzyka jest wypracowanie wymaganej ustawowo dokumentacji w zakresie ochrony danych osobowych. Podstawowymi dokumentami, którymi powinien dysponować przedsiębiorca są polityka bezpieczeństwa, opisująca sposób przepływu danych osobowych w firmie oraz instrukcja zarządzania systemem informatycznym, wskazująca na bezpieczeństwo danych gromadzonych w sposób elektroniczny.
Często wprowadzenie nawet nieznacznych modyfikacji w sposobie organizacji pracy, jak i wypracowanie podstawowych procedur bezpieczeństwa, pozwoli uniknąć negatywnych konsekwencji zarówno dla przedsiębiorcy, jak i osób przetwarzających dane osobowe w firmie. Warto przy tym mieć na uwadze fakt, że audyt w zakresie ochrony danych osobowych i dostosowanie funkcjonowania średniego przedsiębiorstwa do ustawowych wymogów ochrony danych zajmuje zazwyczaj nie więcej niż jeden miesiąc.
Zapraszamy do zapoznania się z naszym folderem informacyjnym w zakresie ochrony danych osobowych.
GIODO - ochrona danych osobowych Więcej informacji o poruszanej w artykule kwestii naruszenia dóbr osobistych można znaleźć w części naszej strony internetowej poświęconej temu tematowi.