Ochrona danych osobowych


Co to są dane osobowe?

Zgodnie z art.6 ust.1 ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych (tekst jednolity Dz.U. z 2002r. Nr 101, poz.926 ze zmianami), za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny, albo jeden lub kilka specyficznych informacji określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (art.6 ust.2 ustawy).

Danymi osobowymi będą zarówno takie dane, które pozwalają na określenie tożsamości konkretnej osoby, jak i takie które nie pozwalają na jej natychmiastową identyfikację, ale są przy pewnym nakładzie kosztów, czasu i działań, wystarczające do jej ustalenia. Daną osobową będzie informacja, która pozwala na ustalenie tożsamości danej osoby, bez nadzwyczajnego wysiłku i nakładu, zwłaszcza przy wykorzystaniu łatwo osiągalnych i powszechnie dostępnych źródeł. Przykłady najczęściej występujących danych osobowych to np.:

  • imię i nazwisko + PESEL,
  • imię i nazwisko + adres,
  • imię i nazwisko + NIP,
  • adres email klienta dodany do biuletynu.

Co powinna zawierać Polityka Bezpieczeństwa?

Polityka bezpieczeństwa, zgodnie z rozporządzeniem powinna:

  • odnosić się w całości do problemów zabezpieczenia danych osobowych, zarówno do zabezpieczenia danych przetwarzanych w postaci papierowej jak i przetwarzanych w systemach informatycznych,
  • wskazywać działania, które należy wykonać oraz zawierać zbiór zasad i reguł postępowania, które należy stosować, aby właściwie wykonać obowiązki administratora danych w zakresie zabezpieczenia danych osobowych.

Polityka bezpieczeństwa powinna koncentrować się na bezpieczeństwie przetwarzania danych osobowych.

Prawidłowe zarządzanie posiadanymi informacjami wymaga zidentyfikowania posiadanych zbiorów oraz miejsca i sposobu ich przechowywania. W zależności od wielkości organizacji może tych zbiorów być od kilku do kilkudziesięciu. Pamiętajmy o tym, iż zbiory mogą być w formie zarówno papierowej jak i elektronicznej. Mogą je posiadać dział kadr, handlowcy, księgowość. Wybór ochrony i dystrybucji zależny jest od zastosowanych nośników informacji, rodzaju zastosowanych urządzeń, sprzętu komputerowego i oprogramowania.

Zawartość polityki bezpieczeństwa.

Ustawodawca w §4 rozporządzenie wskazał, że polityka bezpieczeństwa powinna zawierać w szczególności:

  • wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
  • wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
  • opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych
    i powiązania miedzy nimi;
  • sposób przepływu danych pomiędzy poszczególnymi systemami;
  • określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozłączalności przetwarzanych danych.

Źródło: fragment poradnika: “Ochrona danych osobowych. Poradnik z przykładami do samodzielnego opracowania i wdrożenia polityki bezpieczeństwa w organizacji”

Zobacz również: DEMO szkolenia e-learningowego Ochrona Danych Osobowych

Zmiany w prawie europejskim dotyczące ochrony danych osobowych

Opublikowane zostały nowe przepisy europejskie z zakresu ochrony danych osobowych:

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
  • Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW

Nowe wymagania m.in. rozszerzają pojęcie danych osobowych oraz obowiązki Administratorów Danych, wprowadzają pojęcie Inspektora Danych Osobowych w miejsce Administratora Bezpieczeństwa Informacji, rozszerzają zadania w ramach obowiązku informacyjnego i szereg innych zmian.

Nowością są również potencjalnie bardzo wysokie kary za nieprzestrzeganie nowych przepisów, sięgające nawet do 10 mln euro a w przypadku przedsiębiorstwa do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego!

Rozporządzenie weszło w życie 20 dnia po publikacji w Dzienniku Urzędowym UE, a będzie stosowane od dnia 25 maja 2018 r. natomiast dyrektywa wchodzi w życie pierwszego dnia po opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Czy Twoja firma jest już gotowa do spełnienia nowych wymagań ochrony danych osobowych?

Jeśli masz pytanie dotyczące wdrożenia PBI i zapewnienia zgodności z przepisami prawa w zakresie ochrony danych osobowych, kliknij na kopertę lub tutaj, a następnie na formularzu kontaktowym wpisz pytanie i wyślij je do nas. Postaramy się odpowiedzieć jak najszybciej.