STRONA GŁÓWNA   KONTAKT   POCZTA  
KREUJEMY ROZWIĄZANIA,
DOSTARCZAMY REZULTATY!
WDROŻENIA ISO EKO-USŁUGI SZKOLENIA O NAS KONTAKT
Biuro Doradztwa Gospodarczego "Hossa" Marcin Fąfara
 
40-750 Katowice
ul. T. Boya-Żeleńskiego 108
 
tel.: 032 2000-174, 2000-175
fax: 032 353-66-37
tel. kom.: 502-127-093
 
e-mail:biuro@hossa.biz


Rekomendacja Jednostki Certyfikującej TÜV NORD POLSKA
 
Chcesz otrzymywać
nowości?

Do odczytania dokumentów niezbędny jest Adobe Acrobat Reader
Ochrona danych osobowych w MŚP
Ochrona danych osobowych w Małych i Średnich Przedsiębiorstwach w kontekście wymagań prawnych


Ochrona danych osobowych w Polsce jest konsekwencją zachodzących zmian w gospodarce oraz nowych zagrożeń wynikajacych z niuregulowanego ustawowo dostępu do danych osobowych.


?ródło wprowadzenia ustawy o ochronie danych osobowych tkwi w koncepcji prawa do prywatności, którą w skrócie można by określić jako ochronę możliwości decydowania przez daną osobę fizyczną o tym, jakie informacje o niej mogą być pozyskiwane i udostępniane innym osobom.


Wyra?ną przesłanką dla wprowadzenia w Polsce tej regulacji jest art. 51 Konstytucji Rzeczpospolitej Polskiej z dnia 2 kwietnia 1997r. (Dz. U. 97.78.483), który stanowi, iż: (cyt.)


Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą.


Uchwalenie pierwszej w Polsce Ustawy o ochronie danych osobowych, będące przejawem postępującej demokratyzacji życia publicznego w Polsce i troski o ochronę prywatności każdego jej obywatela znalazło wyraz nie tylko w zapisach nowej Konstytucji RP (art. 47 i 51), ale miało swe bezpośrednie ?ródło w międzynarodowych zobowiązaniach Polski.


Przepisy regulujące zasady przetwarzania danych osobowych, wprowadzone zostały do polskiego ustawodawstwa ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, która wzorowana była w znacznej mierze na zasadach ustanowionych Dyrektywą 95/46/WE Parlamentu Europejskiego i Rady i jest zgodna z ogólną polityką państw europejskich w tym zakresie. Wprowadzenie przepisów dotyczących ochrony danych osobowych do polskiego systemu prawnego, pozwoliło na podpisanie przez Polskę w dniu 21 kwietnia 1999r. i ratyfikowanie w dniu 24 maja 2002 r. Konwencji Nr 108 Rady Europy.


Ustawa stanowi istotny element w systemie ochrony danych osobowych w Polsce, gdyż określiła prawne ramy obrotu danymi osobowymi, a także zasady, jakie należy stosować przy przetwarzaniu danych osobowych, sprecyzowała też prawa i obowiązki organów, instytucji i osób prowadzących zbiory danych osobowych oraz prawa osób, których dane dotyczą, w taki sposób, aby zagwarantować maksymalną ochronę praw i wolności każdej osobie fizycznej oraz poszanowania jej życia prywatnego. Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane zarówno w zbiorach danych jak i poza nimi. Ze względu przedmiotowego ustawę stosuje się do przetwarzania danych osobowych w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych, w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych oraz, w odniesieniu do zbiorów danych osobowych sporządzanych dora?nie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji.


Z podmiotowego punktu wiedzenia ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych oraz podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych. Z pod kurateli ustawy wyłączone są natomiast osoby fizyczne, które przetwarzają dane wyłącznie w celach osobistych lub domowych, podmioty mające siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujące środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania danych oraz ustawy nie stosuje się zasadniczo (z wyjątkiem przepisów art. 14 - 19 i art. 36 ust. 1) do prasowej działalności dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. – Prawo prasowe (Dz. U. Nr 5, poz. 24, z pó?n. zm.) oraz do działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą.


W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, tzn. osoby, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
Obowiązująca ustawa o ochronie danych osobowych definiuje podstawowe pojęcia tj.: zbiór danych, przetwarzanie danych, administrator danych, system informatyczny.


Ustawa nakłada na administratorów szereg szczegółowych obowiązków takich, jak:
  1. obowiązek poinformowania osoby, której dane dotyczą, o adresie siedziby administratora, celu zbierania danych, prawie wglądu do swoich danych oraz dobrowolności lub obowiązku podania ich, a jeżeli taki obowiązek istnieje, to o jego podstawie prawnej. Obowiązek ten jest powiązany z obowiązkiem udostępnienia danych osobom, których one dotyczą, jeżeli osoby te wystąpią z wnioskiem do administratora. Wzór wniosku (w ujęciu szerszym, bo dotyczącym wszelkich podmiotów ubiegających się o dostęp do zbiorów danych) określa rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 3 czerwca 1998 r. (Dz. U. 98.80.522).
  2. wymóg zgłoszenia prowadzonego zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (nie dotyczy niektórych rodzajów zbiorów). Szczegółowy tryb dokonania takiego zgłoszenia oraz wzór formularza zgłoszeniowego określa wskazane wyżej rozporządzenie.
  3. obowiązki związane z zabezpieczeniem zbiorów danych osobowych. Zakres tych obowiązków określony został szeroko, a z drugiej strony obwarowano sankcją karną nawet nieumyślne uchybienia w tym zakresie (art. 52). Obowiązek zabezpieczenia zbiorów danych administrator powinien wykonywać przez zastosowanie odpowiednich urządzeń technicznych, ograniczenie dostępu osób niepowołanych, a także kontrolę danych napływających do zbioru. W sposób szczegółowy metody dokonania wymaganych zabezpieczeń określa rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 3 czerwca 1998 r. (Dz. U. 98.80.521). Przepisy tego aktu nakładają na administratora obowiązki zastosowania zabezpieczeń przetwarzanych danych, polegające m.in. na określeniu obszaru, na którym dane będą przetwarzane przy użyciu stacjonarnego sprzętu komputerowego, a w razie stosowania komputerów przenośnych - zachowania szczególnych środków ostrożności poza tym obszarem, zabezpieczeniu dysków i urządzeń zarówno przed utratą danych, jak i czynnościami osób niepowołanych, sporządzania kopii zapasowych czy także opracowania szczegółowych instrukcji, w tym określającej sposób zarządzania systemem informatycznym oraz postępowania w sytuacji naruszenia ochrony danych osobowych.


Wymagania ustawy w kontekście MŚP


Jednym z podstawowych obowiązków administratora danych jest zgłoszenie zbioru danych do rejestracji Generalnemu Inspektorowi Danych Osobowych, jednakże ustawa w art. 43 ust. 1 wskazuje szczególne przypadki, których zaistnienie zwalnia administratorów danych z obowiązku rejestracji zbioru danych i są to min zbiory:
  1. przetwarzane w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,
  2. danych dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,
  3. przetwarzane wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,
  4. powszechnie dostępne.


W odniesieniu do zbiorów danych osobowych sporządzanych dora?nie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5, co oznacza, że mimo braku wymogu ich rejestracji podmioty zobowiązane są do ich ochrony. To znaczy, że musi zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Ponadto Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. Należy również pamiętać, że w przypadku firm, instytucji publicznych kwestie zabezpieczania i usuwania niepotrzebnej dokumentacji reglamentują nie tylko przepisy ustawy o ochronie danych osobowych, ale również inne np.:


  1. Rozporządzenie ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996r w sprawie prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika, czy też
  2. Rozporządzeniu Ministra Kultury z dnia 16 września Dz.U. nr 167 poz. 10615 w sprawie postępowania z dokumentacją, zasad jej klasyfikowania i kwalifikowania oraz zasad i trybu przekazywania materiałów archiwalnych do archiwów państwowych.


Normy te, niestety, często nie znajdują odzwierciedlenia w praktyce co wynika najczęściej z braku świadomości przedsiębiorców o ciążących na nich obowiązkach ustawowych oraz lekkomyślności w postępowaniu z dokumentami zawierającymi istotne dane, w tym dane osobowe - czego przykładem może być ogromna ilość dokumentów wyrzuconych na śmietnik przez różne firmy i instytucje, jedynie pozornie zniszczonych. Takie działanie naraża nas na straty, i to wymierne, jeśli wyrzucamy np. informacje o naszym koncie, kartach kredytowych, zdjęcia, historię choroby czy pamiętnik. W każdym jednak przypadku to my sami poprzez własne, nieostrożne działanie pozbawiamy się prawa do ochrony naszych danych osobowych. A póki takie sytuacje nie zostaną całkowicie wyeliminowane, póki nie będziemy zdawali sobie sprawy ze skutków takich działań, to żadne prawo, nawet najlepsze, nas nie ochroni.
    Powrót     
Biuro Doradztwa Gospodarczego "Hossa" Marcin Fąfara
40-750 Katowice, ul. T. Boya-Żeleńskiego 108, tel.: 032 2000-174, 2000-175, fax: 032 353-66-37, tel. kom.: 502-127-093, e-mail:biuro@hossa.biz
© 2005 Biuro Doradztwa Gospodarczego Hossa, Projekt i realizacja irek