Ochrona danych osobowych na tle zmian normatywnych

Stosowanie przepisów o ochronie danych osobowych rodzi wśród przedsiębiorców wiele trudności. Zetknięcia z danymi osobowymi nie można jednak uniknąć. Przez prawie dwie dekady, od kiedy w Polsce dane osobowe...

Stosowanie przepisów o ochronie danych osobowych rodzi wśród przedsiębiorców wiele trudności. Zetknięcia z danymi osobowymi nie można jednak uniknąć. Przez prawie dwie dekady, od kiedy w Polsce dane osobowe objęte są szczególną ochroną (przede wszystkim poprzez przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, dalej jako: „uODO”) prawidłowe wypełnianie obowiązków wynikających z przepisów nadal budzi szereg wątpliwości i odbywa się nieco intuicyjnie. Chcemy więc wskazać na pewne kwestie, które zespół JPL Group Sp. z o.o. zaobserwował w praktyce swojej działalności.

Współczesny rynek w pełni oddaje stwierdzenie o „społeczeństwie informacyjnym”, w którym informacja staje się towarem i wartością. Jednakże obchodzenie się z tym szczególnym rodzajem informacji, które stanowią dane osobowe, nie może nosić cechy przypadkowości. Pierwszym krokiem jest zazwyczaj zidentyfikowanie w strukturze przedsiębiorstwa administratora danych, którym jest podmiot decydujący o celach i środkach przetwarzania danych osobowych (art. 7 pkt 4 uODO). Rzadkością nie jest również powierzanie przetwarzania danych osobowych, na co zezwala art. 31 uODO, innym podmiotom tzw. „procesorom”. Co więcej są podmioty, które co do zasady przetwarzają dane osobowe prawie jedynie na zasadzie powierzenia – przykładów dostarcza nam branża hostingowa, księgowości czy chociażby marketingu. Procesor jest podmiotem „wtórnym” w stosunku do administratora, a ukształtowanie relacji pomiędzy nimi zależy od postanowień zawartej umowy. Procesora wiąże nie tylko uODO, ale również umowa z administratorem.

Zasadniczo administrator danych obciążony jest obowiązkami związanymi z ochroną danych osobowych, które przetwarza. Przede wszystkim jego rolą jest zastosowanie środków technicznych i organizacyjnych, które zapewnią ochronę danych, spełniając równocześnie kryterium odpowiedniości do zagrożeń oraz kategorii przetwarzanych danych. Środki te wraz ze sposobami przetwarzania danych w przedsiębiorstwie administrator powinien zawrzeć w prowadzonej przez siebie dokumentacji – tj. w polityce bezpieczeństwa oraz instrukcji zarządzania systemami informatycznymi, w których dane są przetwarzane.

Przyjrzenie się funkcjonowaniu typowych przedsiębiorstw oraz uwzględnienie całego spektrum obowiązków, które obciążają administratorów danych – prowadzi do wniosku, iż konieczna była jedna z najnowszych nowelizacji uODO. Chodzi o kwestię uregulowanej ustawowo możliwości (braku obowiązku) powołania osoby pełniącej rolę administratora bezpieczeństwa informacji („ABI”). Wraz z objęciem swojej funkcji ABI przejmuje zadania związane z ochroną danych osobowych oraz odpowiedzialność za ich wykonywanie. Rolę tę może pełnić osoba zatrudniona u administratora danych osobowych lub podmiot zewnętrzny. Warto zadbać tutaj o dobór profesjonalisty, który będzie świadczyć swoje usługi w zakresie wynikającym z potrzeb konkretnego administratora danych (pamiętając, iż ostatecznie funkcję ABI może pełnić jedynie osoba fizyczna).

Najważniejszym zadaniem ABI jest badanie zgodności przetwarzania danych osobowych w przedsiębiorstwie z wszelkimi przepisami regulującymi ochronę danych osobowych. W realiach każdego przedsiębiorstwa będzie ono oczywiście oznaczało zupełnie coś innego i będzie wymagało podejmowania innych działań. Warto zadbać o profesjonalnego ABI, który podejmie wysiłek poznania specyfiki obsługiwanego w zakresie ochrony danych przedsiębiorstwa, dostosuje ogólne wytyczne, optymalizując jednocześnie przetwarzanie danych u tego podmiotu.

Tak jak zaznaczono powyżej z uwagi na to, że szczegółowych środków i metod wykorzystywanych do ochrony danych osobowych jest wiele, ich wybór oraz wdrożenie powinien być poprzedzony zapoznaniem się ze specyfiką zabezpieczanego przedsiębiorstwa, istoty i zakresu przetwarzanych w jego działalności danych osobowych oraz realnych zagrożeń, które mogą się pojawić. Decyzje o wyborze sposobów zapewnienia ochrony danym osobowym przetwarzanym w przedsiębiorstwie należy podejmować przy udziale lub w konsultacji z profesjonalistami, specjalistami w dziedzinie ochrony danych osobowych, którzy są obeznani zarówno z ogółem przepisów regulujących ochronę danych osobowych, jak i z nowinkami technologicznymi.

Paweł Leśny

Katarzyna Barszczewska

JPL Group Sp. z o. o.

Kategorie
Trendy
Brak komentarzy

Zostaw komenarz

*

*

Podobne wpisy

  • Trendy ecommerce w 2017 roku

    Branża e-Commerce w 2017 roku przeżywa wzmożony rozwój narzędzi analitycznych, skryptów (w tym sztucznej inteligencji) oraz personalizacji. Sprzedaż internetowa charakteryzuje się bardzo dużą dynamiką i jest zależna od wielu...
  • Złapać dziennikarza

    Co drugi dziennikarz pracuje zdalnie, redakcję odwiedzając tylko raz na jakiś czas. Większość w codziennej pracy korzysta z urządzeń mobilnych, absolutnie każdy – narzeka na znane pracownikom korporacji ,,ASAPY”...
  • 3 zasady identyfikacji wizualnej

    Spójna identyfikacja wizualna to filar sukcesu każdej firmy. Dobrze przemyślany i realizowany wizerunek to inwestycja, która pozwoli budować swoją rozpoznawalność i przewagę konkurencyjną. O czym pamiętać, kreując wizerunek swojego...
  • Szkolenia, czyli jak podnieść kwalifikacje swoich pracowników

    Jak podnieść umiejętności własnej kadry? Wysłać ją na szkolenie! Tylko czy tego typu dokształcanie faktycznie ma sens? I jak odróżnić dobre szkolenie od tego, które nie przełoży się na...