abix17.01.2020 (12:03)brak komentarzy

Ochrona danych osobowych w firmie

Prowadząc działalność gospodarczą trzeba zwracać uwagę na wiele kwestii, które nie są bezpośrednio związane z osiąganiem celów biznesowych. Ochrona danych osobowych w firmie jest jedną z nich, a bywa jednakowo uciążliwa dla małych, średnich i dużych przedsiębiorców.
Dane
Przepisy obowiązującego prawa nie przewidują różnicowania firm ze względu na ilość zatrudnionych pracowników czy skalę działalności. Jak zarządzać zgromadzonymi danymi, aby nie narażać siebie i firmy na konsekwencje? O tym poniżej.
Ochrona danych osobowych w firmie - kogo dotyczy?
W świetle prawa każda informacja pozwalająca na identyfikację tożsamości osoby fizycznej jest traktowana jako dane osobowe, które podlegają ochronie. W codziennym funkcjonowaniu przedsiębiorstw zjawiskiem nieuniknionym jest zawieranie umów, wystawianie faktur czy zlecanie przelewów, a do każdej z tych czynności niezbędne są informacje, takie jak m.in. imię, nazwisko, numer PESEL, adres poczty elektronicznej czy IP. Pozyskiwanie danych i jakiekolwiek ich wykorzystanie traktowane jest jako przetwarzanie, które obarczona jest wieloma ograniczeniami - szczególnie od wejścia w życiu tzw. rozporządzenia o RODO.
Liczba zatrudnionych w firmie pracowników nie ma znaczenia - obowiązki związane z pozyskiwaniem, przetwarzaniem, przechowywaniem i utrwalaniem danych osobowych dotyczą przedsiębiorstw i małych, i dużych. Przepisy prawa przewidują sytuacje, w których dopuszcza się zarządzanie danymi. W większości przypadków proces ten następuje po wyrażeniu zgody przez określony podmiot, ale przewidziano również sytuacje, w których nie jest ona wymagana: złożenie zamówienia lub zlecenia, dokonanie płatności przelewem, prowadzenie ksiąg rachunkowych czy dochodzenie własnego prawnie uzasadnionego interesu (m.in. możliwość złożenia pozwu sądowego) w kontaktach z kontrahentem.

Jak chronić dane osobowe zgodnie z przepisami?
Rozporządzenie RODO nakreśliło nowe obszary działań związanych z prawem do prywatności osób fizycznych. Dla przedsiębiorstw oznacza to, iż muszą z większą troską podchodzić do kwestii, które określane są jako ochrona danych osobowych w firmie. Gromadzenie i przetwarzanie informacji umożliwiających identyfikację wiąże się z koniecznością rejestracji w GIODO (Generalny Inspektor Ochrony Danych), jeśli przedsiębiorstwo posiada określone struktury umożliwiające wyszukiwanie za pomocą sprecyzowanych kryteriów, np. po nazwisku. Takie firmy podpadają wówczas pod przepisy związane ze zbiorem danych osobowych. Celem rejestracji jest ustalenie m.in. kto, w jakim celu i w jaki sposób pozyskuje i przetwarza określone informacje, a także komu (jeśli ma taki zamiar) może je przekazywać.

Firmy podlegają przepisom, które nakładają na nie obowiązek usunięcia z własnych zasobów danych osobowych osób fizycznych w dwóch głównych przypadkach: na bezpośrednie żądanie osoby zainteresowanej, lub w przypadku, w którym nie są one już dłużej przedsiębiorstwu niezbędne. Ewentualny wyciek danych - ze szczególnym uwzględnieniem informacji wrażliwych, np. medycznych czy tych związanych z życiem prywatnym - to spore zagrożenie, którego konsekwencje mogą być negatywne także dla firm. Kontrola i bieżące usuwanie niepotrzebnych treści obejmuje również korzystanie ze specjalnych urządzeń, jakimi są m.in. niszczarki. Pomimo ery digitalizacji, to jednak nośnik papierowy nadal jest głównym sposobem gromadzenia i przechowywania danych. Przepisy RODO określają standardy niszczenia dokumentacji fizycznej (tzw. norma DIN). Defragmentacja dokumentów zawierających chronione dane osobowe (np. faktur, wyciągów bankowych, pisma z ZUS-u, korespondencja) podlega pewnym rygorom, a obecnie spełniają je urządzenia o zakresie działania od P3 do P5 - metoda zależy także od jakości i zakresu informacji znajdującej się na papierze.