Before You Start Before You Start
Starting a Business Starting a Business
Tax obligations Tax obligations
Social security Social security
Running a business Running a business
Closing a business Closing a business

Ochrona danych osobowych

Prowadząc ewidencję pracowników, kontrahentów czy klientów, powinieneś być świadomy odpowiedzialności, jaka wiąże się z przechowywaniem i przetwarzaniem danych osobowych. Pamiętaj, że każda osoba fizyczna w Polsce ma prawo do ochrony jej danych osobowych. Wszystkie operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie usuwanie, także te, które wykonuje się w systemach informatycznych, muszą być prowadzone z zachowaniem szczególnych warunków bezpieczeństwa.

Kwestię ochrony danych osobowych regulują przede wszystkim ustawa z dnia 29 sierpnia 1997r. o ochronie danych osobowych oraz rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Ochrona danych osobowych pracowników

Prowadząc akta osobowe i dane pracowników masz obowiązek m.in. zabezpieczenia danych przed udostępnieniem nieupoważnionym osobom, przetwarzaniem z naruszeniem ustawy, przypadkową zmianą, utratą, uszkodzeniem lub zniszczeniem. Jako pracodawca powinieneś także uzyskać zgodę na przetwarzanie danych osobowych pracowników dla celów związanych z zatrudnieniem. Kolejnym obowiązkiem jest stworzenie dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych i gromadzonych danych. Dokumentacja obejmuję politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych powinna być wykonana zgodnie z warunkami zamieszczonymi w rozporządzeniu Ministra Spraw Wewnętrznych z dnia 29 kwietnia 2004 r. Do nadzoru nad ochroną możesz powołać administratora bezpieczeństwa informacji.

Prowadzenie bazy danych pracowników nie wymaga jej rejestrowania u Generalnego Inspektora Danych Osobowych

Dane klientów

Podobnie jak w przypadku pracowników, także w przypadku danych klientów, gromadzonych w trakcie działalności, powinieneś zadbać o ich należyte zabezpieczenie, a więc m.in. wdrożyć politykę bezpieczeństwa, ustalić podstawowe zasady ochrony danych z punktu widzenia organizacyjnego i technicznego, sposoby udzielania dostępu do danych oraz wskazać sposoby zapobiegania nieuprawnionemu wglądowi lub zniszczeniu danych.

Przetwarzanie danych wyłącznie w celu kontaktu z klientem oraz wysyłki towaru nie wymaga dodatkowej zgody. Pamiętaj jednak, że jeśli planujesz wykorzystywać dane klientów np. do wysyłania informacji o aktualnych promocjach czy newslettera, musisz uzyskać wcześniej świadomą i dobrowolną zgodę odbiorcy. Klient nie może mieć wątpliwości, co do tego, na co się zgadza. Niewłaściwą praktyką jest np. umieszczanie treści takiej zgody „między wierszami" albo ukrytej głęboko w regulaminie.

Rejestracja danych

Zbiory danych osobowych (z wyjątkiem m.in. danych pracowników, albo klientów, którym wystawiasz faktury, albo zbiorów w celu prowadzenia sprawozdawczości finansowej) objęte są obowiązkiem rejestracji w GIODO. Więcej szczegółów na ten temat  znajdziesz w publikacji Rejestracja danych osobowych.

Warto wiedzieć

Pamiętaj, że po osiągnięciu celu (np. wykonaniu zawartej umowy, upływie wskazanego w przepisach prawa okresu przechowywania danych) dane powinny zostać usunięte, zanonimizowane lub też przekazane podmiotowi uprawnionemu ustawowo do ich przejęcia od administratora (np. przekazanie do archiwum państwowego).

Obowiązkiem, jaki z mocy ustawy spoczywa na administratorze danych, jest obowiązek informacyjny, polegający na informowaniu osób, których dane są zbierane, o występowaniu w/w czynności oraz o jej celu.

  • Jeśli przechowujesz dane na nośnikach elektronicznych, powinieneś zadbać nie tylko o zabezpieczenia techniczne, ale także zapewnienie odpowiednich procedur, uniemozliwiające dostęp osób postronnych do danych. Jednym z wymagach elementów polityki bezpieczeństwa jest tzw. polityka kluczy. Określa ona kto, na jakich zasadach ma dostęp do kluczy do pomieszczeń, w których dane są przechowywane, a także ustala zasady ewidencji zdawanych kluczy do pomieszczeń.

Za naruszenie przepisów w zakresie ochrony danych osobowych grozi odpowiedzialność karna.

Szegółowe informacje na temat ochrony danych osobowych w firmie znajdziesz w poradniku przedsiębiorcy Przetwarzam dane osobowe.

Share Print