Kategorie

Obowiązki osoby prowadzącej działalność gospodarczą wynikające z przepisów o ochronie danych osobowych

Sylwia Czub-Kiełczewska
Specjalista ds. ochrony danych osobowych i informacji niejawnych
Dane osobowe pracownika/ Fot. Fotolia
Dane osobowe pracownika/ Fot. Fotolia
Najczęściej zagadnienia związane z bezpieczeństwem danych omawia się w kontekście firm oraz podmiotów publicznych, pomijając przedsiębiorców prowadzących jednoosobową działalność gospodarczą. W związku z tym wielu z nich nie zdaje sobie sprawy, że mają takie same obowiązki wynikające z przepisów o ochronie danych osobowych, jak zatrudniające wielu pracowników podmioty.

Z art. 3.2 ustawy o ochronie danych osobowych wynika, że ustawę stosuje się do osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych. W myśl art. 7 tej ustawy przedsiębiorca prowadzący jednoosobową działalność gospodarczą jest administratorem danych osobowych. Na każdym administratorze danych ciążą konkretne, określone przepisami prawa obowiązki.

Konieczność stworzenia i stosowania dokumentacji bezpieczeństwa danych osobowych

Na dokumentację przetwarzania danych osobowych składają się: polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym. Są to dokumenty określające środki techniczne i organizacyjne mające na celu skuteczną ochronę danych. Powinny zawierać procedury postępowania z danymi, udostępniania, powierzania danych, identyfikować zbiory danych przetwarzanych przez przedsiębiorcę oraz określać strukturę informacyjną tych zbiorów (czyli co tak naprawdę jest przetwarzane). Ważnym elementem dokumentacji jest też określenie procedur zabezpieczenia danych, przydzielania dostępu do systemów informatycznych, czy tworzenia kopii zapasowych danych. Zakres informacyjny dokumentacji przetwarzania danych osobowych określa szczegółowo Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. 2004 nr 100 poz. 1024). Paragrafy 4 i 5 to gotowe spisy treści, które przedsiębiorca może wykorzystać w swojej dokumentacji. Jeżeli przedsiębiorca będzie dopuszczał do przetwarzanych przez niego danych osobowych także inne osoby, np. na zatrudni pracownika na podstawie umowy zlecenia lub powierzy innemu podmiotowi realizację swoich zadań, powinien także pamiętać o upoważnieniu tych osób do pracy na danych osobowych oraz prowadzić ewidencję upoważnień. Dodatkowo każda z tych osób powinna złożyć oświadczenie w zakresie zachowania danych, do których otrzyma dostęp oraz sposobów ich zabezpieczenia (wynika to z art. 37 i 39 ustawy o ochronie danych osobowych).  Dokumentacji bezpieczeństwa nie publikuje się na stronie internetowej przedsiębiorcy.

Rekomendowany produkt: Umowy terminowe – jak zawierać i wypowiadać (książka)

Obowiązek zarejestrowania zbiorów danych w rejestrze GIODO

Zgodnie z art. 40 ustawy o ochronie danych osobowych administrator danych ma obowiązek zarejestrować zbiory danych w jawnym rejestrze prowadzonym w GIODO. Jednocześnie art. 43 ust. 1 określa katalog zbiorów, które są zwolnione z tego obowiązku. Wśród nich należy wymienić zbiory prowadzone tylko i wyłącznie w formie papierowej (nie dotyczy to danych wrażliwych określonych art. 27 ustawy), danych osób przetwarzanych w związku z ich zatrudnieniem oraz tylko i wyłącznie w celu wystawienia faktury.

Przykładowe zbiory podlegające obowiązkowi zgłoszenia:

Zbiór danych osób, których wizerunek zarejestrowano za pomocą monitoringu

Zbiór odbiorców treści marketingowych

Zbiór użytkowników serwisu internetowego

Zbiór klientów sklepu internetowego, jeżeli do złożenia jest konieczne założenie konta

Zbiór użytkowników forum internetowego

Zgłoszenia zbioru danych osobowych dokonuje się poprzez wypełnienie elektronicznego formularza na stronie https://egiodo.giodo.gov.pl/. Jeżeli przedsiębiorca nie posiada podpisu elektronicznego lub profilu zaufanego ePUAP, po wypełnieniu formularza należy go wydrukować i wysłać listem poleconym do Biura GIODO.

Zastosowanie odpowiednich zabezpieczeń

Przepisy określają minimalne zabezpieczenia, jakie należy zastosować w przypadku przetwarzania danych osobowych: trzymanie danych osobowych w formie papierowej w szafach zamykanych na klucz, stosowanie haseł o określonej złożoności, częstotliwość zmiany tych haseł, konieczność przeszkolenia osób dopuszczonych do przetwarzania danych w zakresie bezpieczeństwa informacji. Poziomy bezpieczeństwa zostały określone i opisane we wspomnianym wcześniej Rozporządzeniu MSWiA (Dz.U. 2004 nr 100 poz. 1024).

Wprowadzenie na stronę Internetową (o ile jest) polityki prywatności i plików cookies

Ustawa o prawie telekomunikacyjnym (Dz.U. 2014 nr 0 poz. 243) wskazuje, że obowiązkiem właściciela serwisu internetowego jest przekazywanie użytkownikowi informacji o zagrożeniach związanych ze świadczoną usługą, w tym o sposobach ochrony bezpieczeństwa, prywatności i danych osobowych. Istotne znaczenie dla prawa do prywatności użytkownika ma wykorzystanie plików cookies, czyli plików, które śledzą czynności wykonywane przez niego i zapamiętują jego wybory. Cookies są bardzo przydatne dla przedsiębiorcy, umożliwiają śledzenie wyborów potencjalnych klientów i dostosowanie do nich oferty. Jednakże nie każdy może być zadowolony „z bycia śledzonym”, co więcej może nie mieć świadomości, jakie informacje na jego temat są zbierane (a zazwyczaj są zbierane dość szczegółowe informacje statystyczne), dlatego ustawodawca narzucił na właścicieli serwisów internetowych obowiązek informowania użytkowników o stosowaniu plików cookies, aby mogli oni dokonać wyboru, czy chcą zrezygnować z korzystania z serwisu, wyłączyć cookies, czy zaakceptować ich działanie.

Informacje o wykorzystanych plikach cookies umieszcza się w polityce prywatności, czyli dokumencie, który informuje o tym kto, w jakim celu i w jakim zakresie przetwarza dane osób korzystających z serwisu internetowego.

Jeżeli poprzez serwis internetowy są świadczone usługi, należy wprowadzić regulamin

Konieczność wprowadzenia regulaminu określa ustawa o świadczeniu usług drogą elektroniczną (Dz.U. 2013 nr 0 poz. 1422). Jeżeli poprzez stronę internetową są świadczone usługi, np. forum internetowe, sklep internetowy, konto bankowe, itp.; czyli do korzystania z jej pełnej funkcjonalności użytkownik musi podać swoje dane osobowe w celu założenia konta w serwisie. Regulamin powinien określić: kto świadczy usługę, w jakim celu jest świadczona i na jakich zasadach, jakie są prawa i obowiązki użytkowników, kto jest administratorem danych osobowych, możliwość składania reklamacji. Regulaminy są na stronach banków, firm telekomunikacyjnych, sklepów internetowych, serwisów aukcyjnych, ale bardzo często nie ma ich na forach internetowych. Nawet jeżeli usługa jest nieodpłatna, a dane przetwarzane w bardzo wąskim zakresie, nie likwiduje to obowiązku stworzenia i udostępnienia regulaminu. Konieczna jest także funkcjonalność akceptowania regulaminu.

Obowiązek legalności, rozliczalności, adekwatności i celowości przetwarzanych danych

Na zakończenie chciałabym przypomnieć, że przedsiębiorca prowadzący jednoosobową działalność gospodarczą, za nielegalne przetwarzanie danych (np. pozyskane z nielegalnego źródła lub wykorzystywane w innym celu, niż ten dla którego zostały zebrane), udostępnienie ich osobom nieupoważnionym, niewłaściwe zabezpieczenie lub niezgłoszenie do rejestru GIODO podlega karze grzywny, ograniczenia lub pozbawienia wolności na mocy art. 49-54 a ustawy o ochronie danych osobowych. Przedsiębiorca odpowiada za zgromadzone przez siebie dane. Powinien pamiętać o tym, żeby nie zbierać ich w zakresie szerszym, niż są mu niezbędne (tzw. nie zbierać na zapas) i nie korzystać z nich dłużej, niż jest to konieczne. Gwarantowanie wysokiego poziomu bezpieczeństwa danych i poszanowanie prywatności klientów, to istotny element budowania zaufania do marki.

Polecamy serwis: Ochrona danych osobowych

Poszerzaj swoją wiedzę, korzystając z naszej oferty
Webinarium: SLIM VAT 2 – Ulga na złe długi + Certyfikat gwarantowany
Webinarium: SLIM VAT 2 – Ulga na złe długi + Certyfikat gwarantowany
Tylko teraz
Źródło: INFOR
Czy ten artykuł był przydatny?
tak
nie
Dziękujemy za powiadomienie
Jeśli nie znalazłeś odpowiedzi na swoje pytania w tym artykule, powiedz jak możemy to poprawić.
UWAGA: Ten formularz nie służy wysyłaniu zgłoszeń . Wykorzystamy go aby poprawić artykuł.
Jeśli masz dodatkowe pytania prosimy o kontakt

Komentarze(0)

Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code

    © Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

    Kadry
    Zapisz się na newsletter
    Zobacz przykładowy newsletter
    Zapisz się
    Wpisz poprawny e-mail

    Jak można podzielić urlop ojcowski?

    Urlop ojcowski przysługuje w wymiarze 2 tygodni. Jak można go podzielić? Do kiedy należy go wykorzystać?

    Skrócenie izolacji i dopuszczenie pracownika do pracy

    Skrócenie izolacji i dopuszczenie pracownika do pracy - czy jest możliwe? Co na to prawo? Jakie świadczenia przysługują za czas izolacji?

    Składki KRUS - IV kwartał 2021 r.

    Składki KRUS w IV kwartale 2021 r. - ile wynosi miesięczna składka na ubezpieczenie wypadkowe, chorobowe i macierzyńskie?

    Dyscyplinarka za brak szkolenia BHP

    Czy brak szkolenia BHP może być podstawą dyscyplinarki? Czy można uznać to za ciężkie naruszenie podstawowych obowiązków pracownika?

    Dzień Pracownika Służby BHP

    Dzień Pracownika Służby BHP przypada na 19 września każdego roku. Z tej okazji Minister Rodziny i Polityki Społecznej przygotowała list z podziękowaniami i życzeniami dla pracowników służb BHP.

    Dobre i złe nawyki pracy zdalnej [BADANIE]

    Praca zdalna pomaga łączyć pracę z życiem prywatnym. Jakie są dobre i złe nawyki zdalnych pracowników? Oto wyniki badania przeprowadzonego w Wielkiej Brytanii, Francji i Niemczech.

    Płaca minimalna a gospodarka - podcast premiera

    Jaki wpływ na gospodarkę ma płaca minimalna? Czym skutkuje brak godziwego wynagrodzenia? Premier wystartował z autorskim podcastem.

    Składka zdrowotna 9% średniej płacy krajowej

    Składka zdrowotna liczona od średniej płacy krajowej to propozycja Rzecznika MŚP. Czy 9% przeciętnej płacy w gospodarce przy podatku liniowym to dobre rozwiązanie? Ile wyniosłaby w 2022 r.?

    Wzrost minimalnego wynagrodzenia - czy trzeba zmieniać umowę o pracę?

    Wzrost minimalnego wynagrodzenia - czy trzeba zmieniać umowę o pracę? Co roku rośnie kwota minimalnego wynagrodzenia za pracę (tzw. najniższej krajowej, płacy minimalnej) i minimalnej stawki godzinowej. Już dziś wiadomo, że minimalne wynagrodzenie wzrośnie w 2022 r. do 3010 zł brutto (w 2021 roku wynosi 2800 zł). Pracownicy i pracodawcy mają wątpliwości, czy z uwagi na wzrost płacy minimalnej od nowego roku trzeba zmienić postanowienia wszystkich umów o pracę, które obecnie opiewają na kwotę niższą niż 3010 zł? Czy można nie zmieniać umów a np. uzupełniać wynagrodzenie za pracę, premią do wysokości minimalnego wynagrodzenia za pracę? Co może zrobić pracownik, jeżeli pracodawca nie wypłaca mu minimalnego wynagrodzenia? Wyjaśnień w tym zakresie udzieliła Państwowa Inspekcja Pracy.

    Jak zapewnić bezpieczeństwo pracownikom zdalnym?

    Bezpieczeństwo pracowników zdalnych może stanowić duże wyzwanie. To w domu zdarza się najwięcej wypadków. Za co odpowiada pracodawca? Jakie są przepisy BHP?

    Potwierdzenie danych w ZUS - instrukcja

    Potwierdzenie danych w ZUS można otrzymać przez PUE ZUS. Jak samodzielnie utworzyć dokument? Oto instrukcja jak zrobić to krok po kroku.

    Potwierdzenie z PUE ZUS pobierze także świadczeniobiorca

    Elektroniczne Potwierdzenie z PUE ZUS pobierze teraz także świadczeniobiorca, np. potwierdzenie prawa do emerytury, renty, zasiłku.

    Od wypłat z PPK zazwyczaj nie pobiera się podatku Belki

    Wypłaty z PPK - uczestnik PPK może w każdym czasie skorzystać ze swoich środków. W niektórych przypadkach wiąże się to jednak z obowiązkiem zapłaty 19% zryczałtowanego podatku dochodowego (tzw. podatku Belki).

    Potrzeby pracowników - wnioski z pandemii

    Potrzeby pracowników różnią się w zależności od rodzaju pracowników: fizycznych i biurowych. Jakie wnioski można wyciągnąć z pandemii COVID-19?

    Nadgodziny średniotygodniowe Polaków - pandemia

    Nadgodziny średniotygodniowe Polaków w czasie pandemii wzrosły. Statystyczny pracownik ma w tygodniu 5,5 godziny nadgodzin.

    Narzędzia do identyfikacji talentów - 3 zalety

    Narzędzia do identyfikacji talentów pozwalają zwiększyć potencjał firmy. Jakie są 3 główne zalety tego typu narzędzi?

    Odprawa z tytułu zwolnienia z pracy w pandemii - wątpliwości

    Odprawa z tytułu zwolnienia z pracy w czasie pandemii została uregulowana przepisami ustawy covidowej. Czy nowy limit wysokości odpraw odnosi się do wszystkich świadczeń? Jakie wątpliwości budzą nowe przepisy?

    Nowe święto państwowe w Polsce od 2021 r.

    Nowe święto państwowe w Polsce od 2021 r. ustanawia Prezydent RP. Święto będzie w grudniu. Czy oznacza to kolejny dzień wolny od pracy?

    Niebieska Karta UE - będą zmiany

    Niebieska Karta UE dotyczy zatrudniania cudzoziemców spoza UE. Odbywa się na innych zasadach niż obywateli państw członkowskich UE. Europarlament przyjął przepisy ułatwiające zatrudnianie obcokrajowców.

    Jak najniższa krajowa rosła od 2015 do 2022 r.?

    Najniższa krajowa w 2015 r. wynosiła 1750 zł brutto. W 2022 r. będzie to 3010 zł brutto. Najniższa krajowa wzrosła o 1260 zł.

    Dzień próbny w pracy - płatny czy nie?

    Dzień próbny w pracy a wynagrodzenie - czy jest płatny? Co na to prawo? W celu sprawdzenia pracownika należałoby podpisać umowę na okres próbny.

    PIT-2 a ukończenie 26 roku życia - kiedy złożyć?

    PIT-2 a ukończenie 26 roku życia - kiedy należy złożyć oświadczenie? Co z podwyższonymi kosztami przychodu?

    ZUS ERO - emerytura z datą wsteczną

    ZUS ERO to wniosek o emeryturę z datą wsteczną. Podstawą przyznania lub przeliczenia emerytury z datą wcześniejszą są przepisy covidowe. Dla kogo jest ten wniosek?

    Odprawa emerytalna - wysokość, warunki

    Jaka jest wysokość odprawy emerytalnej? Jakie warunki należy spełnić, aby ją otrzymać? Czy odprowadza się od niej podatek i składki ZUS? Kiedy wypłacić odprawę?

    Jakie są składniki wynagrodzenia za pracę?

    Składniki wynagrodzenia za pracę to przede wszystkim wynagrodzenie zasadnicze i dodatki. Czym premia różni się od nagrody?