Ochrona danych osobowych na tle zmian normatywnych

Stosowanie przepisów o ochronie danych osobowych rodzi wśród przedsiębiorców wiele trudności. Zetknięcia z danymi osobowymi nie można jednak uniknąć. Przez prawie dwie dekady, od kiedy w Polsce dane osobowe...

Stosowanie przepisów o ochronie danych osobowych rodzi wśród przedsiębiorców wiele trudności. Zetknięcia z danymi osobowymi nie można jednak uniknąć. Przez prawie dwie dekady, od kiedy w Polsce dane osobowe objęte są szczególną ochroną (przede wszystkim poprzez przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, dalej jako: „uODO”) prawidłowe wypełnianie obowiązków wynikających z przepisów nadal budzi szereg wątpliwości i odbywa się nieco intuicyjnie. Chcemy więc wskazać na pewne kwestie, które zespół JPL Group Sp. z o.o. zaobserwował w praktyce swojej działalności.

Współczesny rynek w pełni oddaje stwierdzenie o „społeczeństwie informacyjnym”, w którym informacja staje się towarem i wartością. Jednakże obchodzenie się z tym szczególnym rodzajem informacji, które stanowią dane osobowe, nie może nosić cechy przypadkowości. Pierwszym krokiem jest zazwyczaj zidentyfikowanie w strukturze przedsiębiorstwa administratora danych, którym jest podmiot decydujący o celach i środkach przetwarzania danych osobowych (art. 7 pkt 4 uODO). Rzadkością nie jest również powierzanie przetwarzania danych osobowych, na co zezwala art. 31 uODO, innym podmiotom tzw. „procesorom”. Co więcej są podmioty, które co do zasady przetwarzają dane osobowe prawie jedynie na zasadzie powierzenia – przykładów dostarcza nam branża hostingowa, księgowości czy chociażby marketingu. Procesor jest podmiotem „wtórnym” w stosunku do administratora, a ukształtowanie relacji pomiędzy nimi zależy od postanowień zawartej umowy. Procesora wiąże nie tylko uODO, ale również umowa z administratorem.

Zasadniczo administrator danych obciążony jest obowiązkami związanymi z ochroną danych osobowych, które przetwarza. Przede wszystkim jego rolą jest zastosowanie środków technicznych i organizacyjnych, które zapewnią ochronę danych, spełniając równocześnie kryterium odpowiedniości do zagrożeń oraz kategorii przetwarzanych danych. Środki te wraz ze sposobami przetwarzania danych w przedsiębiorstwie administrator powinien zawrzeć w prowadzonej przez siebie dokumentacji – tj. w polityce bezpieczeństwa oraz instrukcji zarządzania systemami informatycznymi, w których dane są przetwarzane.

Przyjrzenie się funkcjonowaniu typowych przedsiębiorstw oraz uwzględnienie całego spektrum obowiązków, które obciążają administratorów danych – prowadzi do wniosku, iż konieczna była jedna z najnowszych nowelizacji uODO. Chodzi o kwestię uregulowanej ustawowo możliwości (braku obowiązku) powołania osoby pełniącej rolę administratora bezpieczeństwa informacji („ABI”). Wraz z objęciem swojej funkcji ABI przejmuje zadania związane z ochroną danych osobowych oraz odpowiedzialność za ich wykonywanie. Rolę tę może pełnić osoba zatrudniona u administratora danych osobowych lub podmiot zewnętrzny. Warto zadbać tutaj o dobór profesjonalisty, który będzie świadczyć swoje usługi w zakresie wynikającym z potrzeb konkretnego administratora danych (pamiętając, iż ostatecznie funkcję ABI może pełnić jedynie osoba fizyczna).

Najważniejszym zadaniem ABI jest badanie zgodności przetwarzania danych osobowych w przedsiębiorstwie z wszelkimi przepisami regulującymi ochronę danych osobowych. W realiach każdego przedsiębiorstwa będzie ono oczywiście oznaczało zupełnie coś innego i będzie wymagało podejmowania innych działań. Warto zadbać o profesjonalnego ABI, który podejmie wysiłek poznania specyfiki obsługiwanego w zakresie ochrony danych przedsiębiorstwa, dostosuje ogólne wytyczne, optymalizując jednocześnie przetwarzanie danych u tego podmiotu.

Tak jak zaznaczono powyżej z uwagi na to, że szczegółowych środków i metod wykorzystywanych do ochrony danych osobowych jest wiele, ich wybór oraz wdrożenie powinien być poprzedzony zapoznaniem się ze specyfiką zabezpieczanego przedsiębiorstwa, istoty i zakresu przetwarzanych w jego działalności danych osobowych oraz realnych zagrożeń, które mogą się pojawić. Decyzje o wyborze sposobów zapewnienia ochrony danym osobowym przetwarzanym w przedsiębiorstwie należy podejmować przy udziale lub w konsultacji z profesjonalistami, specjalistami w dziedzinie ochrony danych osobowych, którzy są obeznani zarówno z ogółem przepisów regulujących ochronę danych osobowych, jak i z nowinkami technologicznymi.

Paweł Leśny

Katarzyna Barszczewska

JPL Group Sp. z o. o.

Kategorie
Trendy
Brak komentarzy

Zostaw komenarz

*

*

Podobne wpisy

  • Namiot reklamowy – poznaj jego zalety

    Na pewno niejednokrotnie zastanawiałeś się nad tym, w jaki sposób najlepiej zareklamować towar rozłożony na stoisku handlowym. Odpowiednią propozycją dla Ciebie jest niewątpliwie namiot zadrukowany reklamami. Tego rodzaju namioty...
  • Metody poprawiania konkurencyjności firmy – programy lojalnościowe

    W czasach, kiedy mamy dostęp do wielu usług i produktów z każdej branży, niezwykle trudno jest utrzymać firmę na wysokiej pozycji. Konkurencja może zmiażdżyć w zarodku działalność, która od...
  • Dlaczego twoja firma powinna mieć bloga – 7 powodów

    Wielu przedsiębiorców ogranicza się do stworzenia strony internetowej. Bardzo często nie jest ona aktualizowana i zawiera suche informacje, jak kontakt i ofertę. Nie przekona ona do niej nowych klientów....
  • Wybierz właściwe biuro

    Rozpoczęcie nowej działalności zazwyczaj wiąże się ze znalezieniem odpowiedniego miejsca, w którym znajdowało się będzie biuro firmy. Sprawa z pozoru wygląda na niezbyt skomplikowaną, jednak wielu startujących przedsiębiorców zdążyło...