Bezpieczeństwo krytycznych danych

Przeczytaj także: Symantec: ochrona danych w sektorze MŚP w 2013

- Obowiązek ten ma moc egzekucyjną nawet wtedy, gdy baza firmy uwzględnia dane tylko jednego klienta. W sytuacji, kiedy zbiór zawiera informacje dotyczące osoby fizycznej nieprowadzącej działalności gospodarczej, zabezpieczenia wymagają wszystkie dostępne w tym rekordzie dane, dla przykładu będzie to imię i nazwisko, adres czy PESEL. W przypadku danych identyfikujących firmę, z ochrony wyłączone są informacje dostępne w ewidencji działalności gospodarczej przedsiębiorcy. Wszystkie jednak dane wykraczające poza zbiór jawny, w tym prywatny numer kontaktowy czy adres różniący się od tego, pod którym figuruje działalność, podlegają już regulacjom ustawy – dodaje. Jak podaje ustawa: „oznacza to, że od 1 stycznia 2012 r. dane osobowe przedsiębiorców są traktowane jak inne dane osobowe i podlegają przepisom ustawy o ochronie danych osobowych. Dla przedsiębiorców oznacza to, że te ich dane osobowe, które są wykorzystywane w związku z prowadzoną działalnością gospodarczą, podlegają ochronie, zaś podmioty, które chcą je przetwarzać, muszą spełnić wszystkie obowiązki wynikające z ustawy o ochronie danych osobowych, w tym te dotyczące rejestracji zbiorów danych osobowych.” Ujmując to praktycznie, w sytuacji, kiedy administrator danych zdecyduje wykorzystać takie informacje do określonych działań marketingowych produktów własnych lub marketingu produktów innych kontrahentów, z terminem 1 stycznia 2012 roku, będzie zobowiązany do potwierdzenia legalności takich działań i ewentualne uzyskanie od przedsiębiorcy, którego dane dotyczą, zgody na ich prowadzenie. W sytuacji, kiedy przedsiębiorca planuje wysłać informacje o swojej działalności do potencjalnych kontrahentów, będzie zobowiązany zróżnicować taką korespondencję na odpowiednio: osoby prawne i jednostki organizacyjne – z możliwością wysyłki bez ograniczeń oraz do osób fizycznych – przedsiębiorców, z uprzednią weryfikacją posiadanej podstawy prawnej do przetwarzania takich danych, spełniając przy tym obowiązki wynikające z Ustawy.

Administrator bezpieczeństwa w firmie

Zgodnie z wymogami ustawy, firmy obowiązuje opracowanie i wdrożenie polityki bezpieczeństwa, która formalizuje sposób ochrony i dystrybucji informacji wrażliwych w strukturach organizacji oraz instrukcji zarządzania systemem informatycznym przeznaczonym do realizacji procesów dokonywanych na danych osobowych. Przedsiębiorstwo zobowiązane jest także do prowadzenia ewidencji osób uprawnionych dostępem do takich informacji oraz posiadających autoryzację na ich przetwarzanie. - Obserwowana wśród firm niska świadomość wagi zabezpieczeń poufnych danych oraz trudności w poprawnej interpretacji zapisów prawa i ich właściwe wdrożenie podnosi potrzebę edukacji w tym zakresie. Szkolenia osób w obszarze ochrony danych osobowych leżą nie tylko w interesie osób odpowiedzialnych za administrowanie takim zasobami, ale także zarządzających firmami, którzy ponoszą tu główną odpowiedzialność karną i finansową – podsumowuje Adrian Lapierre. W celu utrzymania spójnego i zgodnego z zasadami systemu przetwarzania danych, istotne jest powołanie administratora bezpieczeństwa danych, który odpowiada za poprawność wszystkich procesów dokonywanych na takich zasobach. To także główne zaplecze informacji w komunikacji z GIODO w sytuacji kontroli zgodności przetwarzania danych z określonymi ustawą normami. Weryfikacja prawidłowości w tym zakresie prowadzona dotychczas przez GIODO, od stycznia 2013 roku, włącza w ten proces także Państwową Inspekcję Pracy. Oznacza to wzrost liczby kontroli pracodawców do nawet 70 tysięcy w sakli roku.

Co grozi za nieprawidłowe przetwarzanie danych osobowych?

Niezastosowanie się do wymogów przewidzianych w ustawie może w wielu przypadkach z tytułu popełnienia przestępstwa kwalifikować się pod egzekucję karną. Brak podstawy prawnej do przetwarzania danych, niewłaściwe zabezpieczenie zasobów, niezarejestrowanie zbioru czy wreszcie niedopełnienie obowiązku informacyjnego – to wszystko wykroczenia zagrożone odpowiedzialnością karną regulowaną artykułami ustawy. Każda bowiem z tych nieprawidłowości jest podstawą do obciążenia karą grzywny i ograniczenia lub pozbawienia wolności do roku, a w przypadku nieuprawnionego przetwarzania – nawet do lat 3. Sankcje wyrażone w grzywnach są równie dotkliwe, mogą osiągać wysokość 50 tysięcy złotych, a w najsurowszych przypadkach nawet 200 tysięcy. Polski system jurysdykcji niedopatrzenia i zaniechania w tym obszarze traktuje niezwykle restrykcyjnie. Wykrycie niezgodności w zakresie przetwarzania danych osobowych, mogą skutkować nie tylko zawiadomieniem o popełnieniu przestępstwa czy karą pieniężna, ale także wydaniem decyzji o zakazie przetwarzania danych osobowych. Co to oznacza w praktyce?