Nie lekceważmy ochrony danych osobowych

Z doświadczenia współpracy z wieloma przedsiębiorstwami, i to zarówno małymi, prowadzonymi jako rodzinne firmy, jak i dużymi, zatrudniającymi setki pracowników, wynika problem bardzo niskiej świadomości społecznej co do obowiązków w zakresie ochrony danych osobowych.

Tymczasem prawo nakazuje każdemu podmiotowi, który przetwarza dane osobowe, aby chronił je w sposób szczegółowo określony przepisami. Obowiązek ochrony danych osobowych co do zasady dotyczy danych osobowych gromadzonych w różnego rodzaju kartotekach, jednak w równej mierze ciąży on na przedsiębiorcach, którzy gromadzą dane w systemach informatycznych.

Co to oznacza w praktyce? Że niemal każdy przedsiębiorca ma obowiązek wdrożenia procedur ochrony danych osobowych. Nie wyobrażamy sobie bowiem w dzisiejszych czasach firmy, która prowadzi działalność gospodarczą, nie wykorzystując urządzeń informatycznych. W ten sposób przechowywane są dane klientów, pracowników czy chociażby życiorysy zbierane podczas rekrutacji. Podmioty takie są Administratorami Danych Osobowych (ADO) i powinny zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, jak również przed ich zmianą, utratą, uszkodzeniem lub zniszczeniem.

Samo już gromadzenie na nośnikach elektronicznych wskazanych danych rodzi po stronie przedsiębiorcy obowiązek zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych. Obowiązki te nie są przy tym uzależnione od wielkości firmy czy formy, w jakiej jest ona prowadzona. Podstawowym obowiązkiem ADO w tym zakresie jest przygotowanie i wdrożenie dokumentów Polityki bezpieczeństwa danych osobowych oraz Instrukcji zarządzania systemami informatycznymi. Dokumenty te szczegółowo opisują procedury, jakie obowiązują w danym przedsiębiorstwie w zakresie ochrony danych osobowych.

Wielokrotnie, nie zdając sobie z tego sprawy, przedsiębiorcy przetwarzają pewne dane osobowe w zbiorach danych, np. w postaci listy mailingowej, użytkowników newslettera, liście potencjalnych czy aktualnych klientów. Podmioty, które prowadzą takie zbiory, mają obowiązek dokonania ich zgłoszenia Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO). Można uwolnić się z tego obowiązku, powołując odpowiednio przygotowaną osobę na stanowisko Administratora Bezpieczeństwa Informacji i powierzenie jej obowiązków ochrony danych osobowych, w tym prowadzenia rejestru zbiorów danych osobowych.

Wielu przedsiębiorców spośród tych, którzy mają świadomość istnienia opisanych powyżej obowiązków, nie stosuje się do nich bądź zwleka z ich wdrożeniem, traktując je jako „zło konieczne” i twierdząc, że wykonanie tego obowiązku „nic im nie daje”. Trzeba jednak spojrzeć na ten temat znacznie szerzej. Wprowadzenie procedur ochrony danych osobowych z całą pewnością wpływa na poprawę bezpieczeństwa wszelkich danych, jakie gromadzone są w firmie, co oznacza, że skuteczniej chronione są również informacje stanowiące tajemnicę przedsiębiorstwa, których ujawnienie może w pewnych sytuacjach powodować znaczne straty finansowe.

Trzeba także mieć na względzie, że niezapewnienie należytej ochrony danych osobowych może wiązać się z sankcjami zarówno administracyjnymi, jak i karnymi. Najdalej idąca jest odpowiedzialność karna, której podlega m.in. podmiot obowiązany do ochrony danych osobowych, który udostępnia je, ale również umożliwia dostęp do nich osobom nieupoważnionym, za który to czyn grozić może kara nawet 2 lat pozbawienia wolności. Odpowiedzialności karnej podlega również czyn niezgłoszenia do rejestru zbioru danych osobowych.  

W skrajnych przypadkach niespełnienie obowiązków ochrony danych osobowych może skutkować nałożeniem na przedsiębiorcę grzywny, w celu przymuszenia do wykonania obowiązku, sięgającej w przypadku osób prawnych nawet 200 tys. zł.