Każda firma zatrudniająca przynajmniej jednego pracownika lub przetwarzająca inne dane osobowe, np. dane rozliczeniowe klientów, staje się administratorem danych osobowych. W związku z tym ma ona obowiązek zabezpieczenia tych informacji zarówno w aspekcie technicznym, jak i organizacyjnym.
Obowiązkiem każdego administratora danych osobowych (a więc np. spółki z o.o.) jest dbanie o właściwe ich zabezpieczenie. Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (dalej: ustawa) przewiduje ogólnie w art. 36, że administrator danych powinien:
stosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednie do zagrożeń oraz kategorii danych objętych ochroną,
w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Spółka z o.o. ma więc obowiązek m.in. wprowadzić odpowiednią dokumentację – politykę bezpieczeństwa i instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Przedsiębiorca musi także prowadzić ewidencję osób upoważnionych do przetwarzania danych. Powinien to zrobić, nawet jeśli jest zwolniony z obowiązku rejestrowania posiadanych przez siebie zbiorów danych osobowych do Generalnego Inspektora Ochrony Danych Osobowych (GIODO).
Administrator danych może powierzyć przetwarzanie danych osobowych innemu podmiotowi zewnętrznemu w drodze umowy. Pozwala ona administratorowi danych na skorzystanie z usług wyspecjalizowanych podmiotów zewnętrznych.
Administrator bezpieczeństwa informacji
W każdej firmie powinien zostać powołany administrator bezpieczeństwa informacji, którego obowiązkiem jest nadzorowanie stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych. Administrator bezpieczeństwa informacji powinien nadzorować przede wszystkim zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Im większe posiada kwalifikacje oraz doświadczenie, tym mniejsze ryzyko problemów, jakie mogą pojawić się w spółce podczas kontaktu z danymi osobowymi.
Warto pamiętać, że wszystkie zbiory danych osobowych podlegają rejestracji, z wyłączeniem tych, o których mowa w przepisach szczególnych. Takim przepisem szczególnym jest art. 43 ust. 1 ustawy, który zawiera katalog danych wyłączonych z obowiązku rejestracji. Przykładowo są to dane pracowników zatrudnionych w spółce z o.o., dane klientów spółki z o.o. przetwarzane wyłącznie ze względu na konieczność wystawienia faktury lub rachunku.
Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie nadane przez administratora danych. Administrator danych powinien prowadzić ewidencję nadanych upoważnień. Osoby, które zostały upoważnione do przetwarzania danych, mają obowiązek zachować je w tajemnicy oraz odpowiednio zabezpieczyć.
Podstawa prawna: ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. nr 101, poz. 926 ze zm.);
Przemysław Mańko, radca prawny
Zobacz także:
