Co nowego w danych osobowych….

Obowiązujące w Polsce regulacje dotyczące ochrony danych osobowych zawarte w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej Ustawa), po wielu latach dosyć swobodnego postrzegania obowiązku ich realizacji, w chwili obecnej znacznie zwiększają swoją rolę.

Każdy niemal przedsiębiorca, niezależnie od skali prowadzonej działalności czy jej przedmiotu może być adresatem obowiązków wynikających z Ustawy. Wystawienie faktur VAT, zawieranie umów handlowych czy zatrudnianie pracowników to najprostsze okoliczności, w których dochodzi do przetwarzania danych osobowych, a zatem także do stosowania przepisów Ustawy.

Nie każdy przedsiębiorca zdaje sobie sprawę z tego, iż naruszanie przepisów Ustawy usankcjonowane jest nawet odpowiedzialnością karną w postaci kary pozbawienia wolności do lat 3 (sam zaś fakt umożliwienia pracownikom przedsiębiorstwa dostępu do danych osobowych bez udzielenia pisemnego upoważnienia stanowi przestępstwo zagrożone karą grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2).

Na kanwie ostatnich głośnych medialnie wydarzeń, wywołujących uzasadnione obawy o przestrzeganie prawa do prywatności jednostki, ustawodawca europejski zdecydowanie zaostrzył kurs związany z ochroną danych osobowych. Wyrazem tej zmiany jest przyjęcie przez Parlament Europejski projektu rozporządzenia w sprawie ochrony danych osobowych, które to rozporządzenie po jego ostatecznym zatwierdzeniu oraz wejściu w życie ustanowi stosowane w całej Unii Europejskiej jednolite normy ochrony danych osobowych i zastąpi przepisy obowiązujące w poszczególnych państwach członkowskich.

Pomimo, iż główną przyczyną zaostrzenia norm związanych z ochroną danych osobowych była działalność wielkich podmiotów operujących głównie na rynku usług elektronicznych oraz niekontrolowana działalność służb wywiadowczych, to skutki wprowadzenia w życie wspólnego rozporządzenia unijnego, dokładną w równym stopniu wszystkich przedsiębiorców, niezależnie od rodzaju prowadzonej działalności oraz jej skali.

Spośród tych skutków wymienić należy przede wszystkim ten najbardziej dotkliwy polegający na wyposażeniu organów kontroli przestrzegania przepisów ochrony danych osobowych w możliwość wymierzania wobec przedsiębiorców kar pieniężnych w przypadku stwierdzenia naruszenia przez nich wymogów rozporządzania. Wysokość tych kar sięgać może nawet do 2% całkowitego obrotu rocznego.

Niewątpliwie zatem, warto już przed wejściem w życie rozporządzenia unijnego (termin jego wejścia w życie nie jest jeszcze precyzyjnie określony i uzależniony jest m. in. od czynników politycznych), podjąć działania zmierzające do ustalenia rzeczywistego stanu przestrzegania przepisów Ustawy w poszczególnych przedsiębiorstwach. Podstawowe działania winny zmierzać do zaudytowania istniejącego stanu faktycznego m. in. w zakresie ustalenia zakresu i rodzaju przetwarzanych danych osobowych, zweryfikowania podstawy prawnej przetwarzania danych osobowych, zidentyfikowania przetwarzanych zbiorów danych osobowych, zgłoszenia do GIODO zbiorów danych osobowych oraz przygotowania podstawowych dokumentów regulujących przetwarzanie danych osobowych w każdym przedsiębiorstwie, tj. polityki bezpieczeństwa danych osobowych oraz instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych.

Niezależnie od skutków wprowadzenia projektowanego rozporządzenia unijnego, warto zauważyć, iż przestrzeganie przepisów Ustawy już w chwili obecnej podlega kontroli przeprowadzanych przez inspektorów Urzędu Generalnego Inspektora Ochrony Danych Osobowych. Liczba tych kontroli kształtuje się na poziomie ok. 200 rocznie, mając jednak na uwadze ciągle wzrastającą rolę przepisów dot. ochrony danych osobowych, projektowane zmiany w prawie europejskim, zapowiadany przez Ministerstwo Finansów wzrost liczby inspektorów Generalnego Inspektora Ochrony Danych Osobowych, jak również możliwość zasilania budżetu państwa znacznymi karami nakładanymi na przedsiębiorców na podstawie projektowanego rozporządzenia unijnego, przyjąć należy z całą pewnością, iż liczba ta będzie systematycznie wzrastać.

Podejmując decyzje o zwiększeniu poziomu ochrony danych osobowych w przedsiębiorstwie warto rozważyć wykorzystanie nowej funkcji, wprowadzonej nowelizacją Ustawy, która weszła w życie w grudniu 2014 r. Zgodnie ze zmienionymi przepisami Ustawy, każdy administrator danych osobowych (jest nim co do zasady niemalże każdy przedsiębiorca) może powołać w swoim przedsiębiorstwie, podległego bezpośrednio kierownikowi danej jednostki – administratora bezpieczeństwa informacji (dalej jako ABI). Tak powołany ABI zobowiązany jest zapewnić przestrzeganie przepisów o ochronie danych osobowych m. in. poprzez nadzorowanie opracowania i aktualizowania odpowiedniej dokumentacji oraz przeprowadzanie szkoleń osób upoważnionych do przetwarzania danych osobowych.

Kolejną korzyścią związaną z powołaniem w przedsiębiorstwie ABI jest zwolnienie przedsiębiorcy, który powołał ABI z obowiązku zgłaszania Generalnemu Inspektorowi Ochrony Danych Osobowych zbiorów przetwarzanych danych osobowych, jak również umożliwienie GIODO zwrócenia się z wnioskiem do ABI dotyczącym przeprowadzenia postępowania sprawdzającego.

W praktyce oznacza to, iż wszelkie zastrzeżenia związane z przestrzeganiem przepisów dot. ochrony danych osobowych rozpatrywane mogą być nie bezpośrednio przez inspektorów GIODO lecz przez ABI, który powołany został w określonym przedsiębiorstwie.

Powyższe rozwiązanie zdaje się być zatem idealne dla przedsiębiorców, którzy nie podjęli dotychczas jakichkolwiek kroków związanych z uregulowaniem zasad ochrony danych osobowych i umożliwia im wydatne zmniejszenie ryzyka ujawnienia dotychczasowego braku wprowadzenia odpowiednich regulacji.

Oceniając powyższe pod uzasadnioną rozwagę poddać należy podjęcie decyzji dotyczącej przygotowania przedsiębiorstwa na wdrożenie projektowanych przepisów europejskich oraz realizacji już obecnie obowiązujących wymogów Ustawy.

Prześlij komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *