• ochrona danych osobowych

Ochrona danych osobowych- procedury

 

Na przełomie ostatniego roku doszło do wielu istotnych zmian związanych z ochroną danych osobowych przetwarzanych w  ramach prowadzonej działalności  gospodarczej, wzrósł również poziom kontroli przestrzegania przepisów o ochronie danych osobowych przetwarzanych przez przedsiębiorców . W związku z powyższym chcemy zwrócić Państwa uwagę na weryfikację procedur związanych z ochroną danych osobowych stosowanych w Państwa przedsiębiorstwie. Rekomendujemy podjęcie stosowanych czynności już teraz, nie czekając na otrzymanie zawiadomienia o kontroli, ponieważ teraz jest jeszcze czas aby poprawić niewłaściwe procedury oraz uchwalić stosowne regulacje, dzięki, którym będą mogli Państwo właściwie zabezpieczyć swój interes gospodarczy. Zgodnie z obowiązującymi przepisami zawartymi w ustawie o ochronie danych osobowych oraz Rozporządzeniach wydanych do wskazanej ustawy, każdy przedsiębiorca powinien opracować następujące dokumenty:

 

 

 

- Politykę Bezpieczeństwa – dokumentacja prezentująca strukturę procedur związana z ochroną danych osobowych w przedsiębiorstwie. Dokument ten ze względu na jego doniosłą rolę  można porównać z Polityką Rachunkowości, prowadzą na  potrzeby sprawozdawczości finansowej. Właściwie sporządzona Polityka Bezpieczeństwa gwarantuje kompleksowe i rzetelne przygotowania na wypadek kontroli.

 

- Instrukcję Zarządzenia Systemem Informatycznym – dokument opisujący sposób realizacji czynności wynikających z procedury zawartej w Polityce Bezpieczeństwa, wskazuje min. na sposób przesyłania plików zawierających dane osobowe, archiwizowania czy  nadawania uprawnień.

 

 

Każdy przedsiębiorca powinien  również:

 

 

  •  - prowadzić Ewidencję podmiotów upoważnionych do przetwarzania danych osobowych,
  •   - w przypadku powierzenia danych np. biurom rachunkowym lub innym podmiotom trzecim  zawrzeć  stosowne umowy o powierzeniu przetwarzania,
  •  - prowadzić Ewidencję podmiotów, z którymi zawarto umowy o powierzeniu przetwarzania,
  • - opracować stosowane regulaminy dotyczące min. przetwarzania danych osobowych w procesie rekrutacji,

 


Przedsiębiorca, który nie zastosuje się do wskazanych regulacji, będzie odpowiadał na płaszczyźnie karnej, administracyjnej jak również cywilnej:

 

    • - może zostać ukarany karą grzywny nawet do 1 080 000 zł, ograniczenia lub pozbawienia wolności,  
    • - Generalny Inspektor Danych Osobowych może w formie decyzji administracyjnej nałożyć na wskazanego przedsiębiorcę obowiązek oznaczonych działań oraz nałożyć grzywnę motywacyjną w celu wykonania obowiązku z decyzji. Grzywna  motywacyjna może wynieść do 200 000 zł
    • - każdej osobie fizycznej, której dane  były przetwarzane z naruszeniem obowiązujących przepisów przysługuję roszczenie cywilnoprawne dotyczące odszkodowania lub zadośćuczynienia za naruszenie jej dóbr osobistych.

 

 

Dla wyraźniejszego zobrazowania istoty opisywanych regulacji, przyjmijmy że spółka  X zawarła umowę z biurem  rachunkowym C ale nie zawarła ze wskazanym  biurem umowy powierzenia przetwarzania danych osobowych. W wyniku kontroli od GIODO, spółka X została ukaraną karą grzywny  na podstawie art.51 ustawy o ochronie danych osobowych, natomiast biuro rachunkowe poniesie odpowiedzialność karną na podstawie art. 49 ustawy o ochronie danych osobowych tj. z powodu przetwarzania danych osobowych  bez stosownego upoważnienia tj. umowy powierzenia przetwarzania.

 

Warto podkreślić, że obecnie trwają praca nad ujednoliceniem prawa ochrony danych osobowych w całej Unii Europejskiej. Zgodnie z założeniami Rozporządzenia, przyjętym przez Parlament Europejki 14.04.2016r., od 2018r. organ właściwy do kontroli przestrzegania przepisów związanych z ochroną danych osobowych będzie mógł nałożyć na podmioty nie przestrzegające wskazanych regulacji karę w wysokości do 20 000 000 Euro.