Kategorie

Obowiązki osoby prowadzącej działalność gospodarczą wynikające z przepisów o ochronie danych osobowych

Sylwia Czub-Kiełczewska
Specjalista ds. ochrony danych osobowych i informacji niejawnych
Dane osobowe pracownika/ Fot. Fotolia
Najczęściej zagadnienia związane z bezpieczeństwem danych omawia się w kontekście firm oraz podmiotów publicznych, pomijając przedsiębiorców prowadzących jednoosobową działalność gospodarczą. W związku z tym wielu z nich nie zdaje sobie sprawy, że mają takie same obowiązki wynikające z przepisów o ochronie danych osobowych, jak zatrudniające wielu pracowników podmioty.

Z art. 3.2 ustawy o ochronie danych osobowych wynika, że ustawę stosuje się do osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych. W myśl art. 7 tej ustawy przedsiębiorca prowadzący jednoosobową działalność gospodarczą jest administratorem danych osobowych. Na każdym administratorze danych ciążą konkretne, określone przepisami prawa obowiązki.

Konieczność stworzenia i stosowania dokumentacji bezpieczeństwa danych osobowych

Na dokumentację przetwarzania danych osobowych składają się: polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym. Są to dokumenty określające środki techniczne i organizacyjne mające na celu skuteczną ochronę danych. Powinny zawierać procedury postępowania z danymi, udostępniania, powierzania danych, identyfikować zbiory danych przetwarzanych przez przedsiębiorcę oraz określać strukturę informacyjną tych zbiorów (czyli co tak naprawdę jest przetwarzane). Ważnym elementem dokumentacji jest też określenie procedur zabezpieczenia danych, przydzielania dostępu do systemów informatycznych, czy tworzenia kopii zapasowych danych. Zakres informacyjny dokumentacji przetwarzania danych osobowych określa szczegółowo Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. 2004 nr 100 poz. 1024). Paragrafy 4 i 5 to gotowe spisy treści, które przedsiębiorca może wykorzystać w swojej dokumentacji. Jeżeli przedsiębiorca będzie dopuszczał do przetwarzanych przez niego danych osobowych także inne osoby, np. na zatrudni pracownika na podstawie umowy zlecenia lub powierzy innemu podmiotowi realizację swoich zadań, powinien także pamiętać o upoważnieniu tych osób do pracy na danych osobowych oraz prowadzić ewidencję upoważnień. Dodatkowo każda z tych osób powinna złożyć oświadczenie w zakresie zachowania danych, do których otrzyma dostęp oraz sposobów ich zabezpieczenia (wynika to z art. 37 i 39 ustawy o ochronie danych osobowych).  Dokumentacji bezpieczeństwa nie publikuje się na stronie internetowej przedsiębiorcy.

Rekomendowany produkt: Umowy terminowe – jak zawierać i wypowiadać (książka)

Obowiązek zarejestrowania zbiorów danych w rejestrze GIODO

Zgodnie z art. 40 ustawy o ochronie danych osobowych administrator danych ma obowiązek zarejestrować zbiory danych w jawnym rejestrze prowadzonym w GIODO. Jednocześnie art. 43 ust. 1 określa katalog zbiorów, które są zwolnione z tego obowiązku. Wśród nich należy wymienić zbiory prowadzone tylko i wyłącznie w formie papierowej (nie dotyczy to danych wrażliwych określonych art. 27 ustawy), danych osób przetwarzanych w związku z ich zatrudnieniem oraz tylko i wyłącznie w celu wystawienia faktury.

Przykładowe zbiory podlegające obowiązkowi zgłoszenia:

Zbiór danych osób, których wizerunek zarejestrowano za pomocą monitoringu

Zbiór odbiorców treści marketingowych

Zbiór użytkowników serwisu internetowego

Zbiór klientów sklepu internetowego, jeżeli do złożenia jest konieczne założenie konta

Zbiór użytkowników forum internetowego

Zgłoszenia zbioru danych osobowych dokonuje się poprzez wypełnienie elektronicznego formularza na stronie https://egiodo.giodo.gov.pl/. Jeżeli przedsiębiorca nie posiada podpisu elektronicznego lub profilu zaufanego ePUAP, po wypełnieniu formularza należy go wydrukować i wysłać listem poleconym do Biura GIODO.

Zastosowanie odpowiednich zabezpieczeń

Przepisy określają minimalne zabezpieczenia, jakie należy zastosować w przypadku przetwarzania danych osobowych: trzymanie danych osobowych w formie papierowej w szafach zamykanych na klucz, stosowanie haseł o określonej złożoności, częstotliwość zmiany tych haseł, konieczność przeszkolenia osób dopuszczonych do przetwarzania danych w zakresie bezpieczeństwa informacji. Poziomy bezpieczeństwa zostały określone i opisane we wspomnianym wcześniej Rozporządzeniu MSWiA (Dz.U. 2004 nr 100 poz. 1024).

Wprowadzenie na stronę Internetową (o ile jest) polityki prywatności i plików cookies

Reklama

Ustawa o prawie telekomunikacyjnym (Dz.U. 2014 nr 0 poz. 243) wskazuje, że obowiązkiem właściciela serwisu internetowego jest przekazywanie użytkownikowi informacji o zagrożeniach związanych ze świadczoną usługą, w tym o sposobach ochrony bezpieczeństwa, prywatności i danych osobowych. Istotne znaczenie dla prawa do prywatności użytkownika ma wykorzystanie plików cookies, czyli plików, które śledzą czynności wykonywane przez niego i zapamiętują jego wybory. Cookies są bardzo przydatne dla przedsiębiorcy, umożliwiają śledzenie wyborów potencjalnych klientów i dostosowanie do nich oferty. Jednakże nie każdy może być zadowolony „z bycia śledzonym”, co więcej może nie mieć świadomości, jakie informacje na jego temat są zbierane (a zazwyczaj są zbierane dość szczegółowe informacje statystyczne), dlatego ustawodawca narzucił na właścicieli serwisów internetowych obowiązek informowania użytkowników o stosowaniu plików cookies, aby mogli oni dokonać wyboru, czy chcą zrezygnować z korzystania z serwisu, wyłączyć cookies, czy zaakceptować ich działanie.

Informacje o wykorzystanych plikach cookies umieszcza się w polityce prywatności, czyli dokumencie, który informuje o tym kto, w jakim celu i w jakim zakresie przetwarza dane osób korzystających z serwisu internetowego.

Jeżeli poprzez serwis internetowy są świadczone usługi, należy wprowadzić regulamin

Konieczność wprowadzenia regulaminu określa ustawa o świadczeniu usług drogą elektroniczną (Dz.U. 2013 nr 0 poz. 1422). Jeżeli poprzez stronę internetową są świadczone usługi, np. forum internetowe, sklep internetowy, konto bankowe, itp.; czyli do korzystania z jej pełnej funkcjonalności użytkownik musi podać swoje dane osobowe w celu założenia konta w serwisie. Regulamin powinien określić: kto świadczy usługę, w jakim celu jest świadczona i na jakich zasadach, jakie są prawa i obowiązki użytkowników, kto jest administratorem danych osobowych, możliwość składania reklamacji. Regulaminy są na stronach banków, firm telekomunikacyjnych, sklepów internetowych, serwisów aukcyjnych, ale bardzo często nie ma ich na forach internetowych. Nawet jeżeli usługa jest nieodpłatna, a dane przetwarzane w bardzo wąskim zakresie, nie likwiduje to obowiązku stworzenia i udostępnienia regulaminu. Konieczna jest także funkcjonalność akceptowania regulaminu.

Obowiązek legalności, rozliczalności, adekwatności i celowości przetwarzanych danych

Na zakończenie chciałabym przypomnieć, że przedsiębiorca prowadzący jednoosobową działalność gospodarczą, za nielegalne przetwarzanie danych (np. pozyskane z nielegalnego źródła lub wykorzystywane w innym celu, niż ten dla którego zostały zebrane), udostępnienie ich osobom nieupoważnionym, niewłaściwe zabezpieczenie lub niezgłoszenie do rejestru GIODO podlega karze grzywny, ograniczenia lub pozbawienia wolności na mocy art. 49-54 a ustawy o ochronie danych osobowych. Przedsiębiorca odpowiada za zgromadzone przez siebie dane. Powinien pamiętać o tym, żeby nie zbierać ich w zakresie szerszym, niż są mu niezbędne (tzw. nie zbierać na zapas) i nie korzystać z nich dłużej, niż jest to konieczne. Gwarantowanie wysokiego poziomu bezpieczeństwa danych i poszanowanie prywatności klientów, to istotny element budowania zaufania do marki.

Polecamy serwis: Ochrona danych osobowych

Źródło: INFOR
Czy ten artykuł był przydatny?
tak
nie
Dziękujemy za powiadomienie
Jeśli nie znalazłeś odpowiedzi na swoje pytania w tym artykule, powiedz jak możemy to poprawić.
UWAGA: Ten formularz nie służy wysyłaniu zgłoszeń . Wykorzystamy go aby poprawić artykuł.
Jeśli masz dodatkowe pytania prosimy o kontakt

Komentarze(0)

Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code

    © Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

    Kadry

    Tarcza a urząd pracy - do kiedy wnioski?

    Tarcza z urzędu pracy czyli dofinansowanie wynagrodzeń, pożyczka i dotacja 5000 zł - do kiedy można składać wnioski?

    Zezwolenie na pobyt czasowy i pracę - obowiązki cudzoziemca

    Zezwolenie na pobyt czasowy i pracę nazywane jest zezwoleniem jednolitym. Jakie obowiązki ma cudzoziemiec, który otrzymał takie zezwolenie?

    Minimalne wynagrodzenie 2022

    Minimalne wynagrodzenie za pracę w 2022 r. - ile płaca minimalna wyniesie brutto i netto?

    Płaca minimalna 2022

    Płaca minimalna w 2022 r. - strona związkowa proponuje wzrost minimalnego wynagrodzenia za pracę o 500 zł netto.

    Otrzymał wypowiedzenie w bombonierce!

    Wypowiedzenie umowy o pracę - pracownik otrzymał je w bombonierce! Czy taka forma uzasadnia prawo do przywrócenia do pracy?

    Pilotażowe szczepienia w zakładach pracy od 17 maja 2021 r.

    Szczepienia w zakładach pracy - pilotaż startuje 17 maja 2021 r. Pracodawcy mogą wspomóc proces szczepień.

    In vitro i prawo do ubezpieczenia społecznego – wyrok ETPCz

    Czy podjęcie przez pracownicę nowego zatrudnienia w trakcie procedury in vitro stanowi podstawę do odmowy ubezpieczenia społecznego?

    Kod wykonywanego zawodu w ZUS ZUA i ZUS ZZA

    Kod wykonywanego zawodu w dokumentach ZUS ZUA i ZUS ZZA to ważna zmiana, która wejdzie w życie 16 maja 2021 r. Na czym w praktyce będzie polegał nowy obowiązek?

    Kompetencje cyfrowe - tego wymagają pracodawcy [RAPORT]

    Kompetencje cyfrowe - tego przede wszystkim wymagają pracodawcy. Cyfryzacja rynku pracy to trend przyspieszony przez epidemię koronawirusa. Jak nową rzeczywistość oceniają pracownicy? Na to pytanie odpowiada raport "Cyfrowa ewolucja kariery".

    Dwie umowy o pracę - składki ZUS

    Dwie umowy o pracę - co na to prawo? Składki ZUS opłaca się od jednej czy dwóch umów?

    Poważne zachorowanie - oszczędności PPK mogą pomóc

    Poważne zachorowanie - co to jest w rozumieniu ustawy o PPK? Jak oszczędności PPK mogą pomóc, gdy uczestnik PPK, jego małżonek lub dziecko zachoruje?

    Badanie trzeźwości pracownika - nowe przepisy

    Badanie trzeźwości pracownika alkomatem - nowe przepisy przyznają pracodawcy prawo do prewencyjnych, wyrywkowych kontroli alkomatem.

    Badanie trzeźwości pracownika 2021

    Badanie trzeźwości pracownika - w 2021 r. powstał projekt ustawy umożliwiający pracodawcy przeprowadzanie wyrywkowych kontroli trzeźwości pracownika.

    Praca dla informatyka 2021 - zarobki i praca zdalna [ANALIZA]

    Praca dla informatyka w 2021 r. - liczba ofert pracy dla informatyków wciąż rośnie. Dla pracowników z branży IT liczą się zarobki i praca zdalna. Analiza przedstawia obecną sytuację informatyków na rynku pracy.

    Godziny pracy 2021

    Godziny pracy 2021 - ile godzin pracy i dni wolnych od pracy wypada w poszczególnych miesiącach? Jak obliczyć godziny pracy?

    Długotrwałe niewykonywanie obowiązków - wypowiedzenie umowy

    Wypowiedzenie umowy - czy długotrwałe niewykonywanie części obowiązków pracownika uzasadnia rozwiązanie umowy za wypowiedzeniem?

    Rozliczanie czasu pracy zdalnej

    Czas pracy zdalnej to dosyć kłopotliwe zagadnienie. Jak ewidencjonować i kontrolować pracownika na home office? W jaki sposób rozliczać nadgodziny i wprowadzić zadaniowy czas pracy?

    Rynek pracy w czasie pandemii a szara strefa w rolnictwie

    Rynek pracy w czasie pandemii - czy część pracowników zasiliła szarą strefę w rolnictwie? Poniżej znajduje się analiza.

    Najwięcej ubezpieczonych cudzoziemców w historii - kwiecień 2021

    Cudzoziemcy pobili rekord - w kwietniu 2021 r. jest najwięcej ubezpieczonych w Polsce obcokrajowców w historii. Jak przedstawiają się liczby?

    Zmiany w ubezpieczeniach społecznych 2022

    Zmiany w ubezpieczeniach społecznych wejdą w życie 1 stycznia 2022 r. Co się zmieni? Nowe emerytury i renty będą wypłacane tylko na konto. Rozwiąże się problem emerytur czerwcowych. Zmienią się zasady pobierania zasiłków.

    Brexit a ubezpieczenia i rozliczenia podatkowe pracowników

    Brexit - jakie są skutki w zakresie ubezpieczeń społecznych i rozliczeń podatkowych pracowników? Wszystko o zaświadczeniu A1.

    Odpis na ZFŚS na emerytów i rencistów - byłych pracowników

    Odpis na ZFŚS na emerytów i rencistów będących byłymi pracownikami - jak obliczyć? Jak ustalić status tych osób i wysokość zwiększenia?

    Ostatni dzień na wdrożenie PPK!

    PPK - 10 maja 2021 r. to ostatni dzień na wdrożenie PPK czyli zawarcie umowy o prowadzenie PPK z wybraną instytucją finansową.

    Praca zdalna - przepisy prawne

    Praca zdalna - przepisy prawne regulujące home office znajdują się w ustawie covidowej. Kodeks pracy wciąż nie zawiera przepisów dotyczących pracy zdalnej.

    Bezrobocie w kwietniu 2021 r.

    Bezrobocie - w kwietniu 2021 r. w Polsce odnotowano spadek bezrobocia. Gdzie jest najwyższe bezrobocie, a gdzie najniższe?