Spółka nie ma wdrożonych procedur ochrony danych osobowych – co musi zrobić

Marcin Sarna

Autor: Marcin Sarna

Dodano: 21 listopada 2017
Dokument archiwalny
Spółka nie ma wdrożonych procedur ochrony danych osobowych – co musi zrobić
Pytanie:  Jesteśmy biurem rachunkowym dla trzech spółek „sióstr”. Wszystkie te spółki należą do jednej grupy kapitałowej. Aktualnie w żadnej ze spółek nie ma żadnych procedur związanych z ochroną danych osobowych, nie ma ABI czy osoby, która zajmuje się tym tematem. Pracownicy naszej spółki, którzy rozliczają i prowadzą dokumentację kadrowo-księgową dla spółek „sióstr”, mają jedynie w aktach osobowych upoważnienia do przetwarzania danych osobowych. Spółki zajmują się produkcją kompostu, zbiorem owoców. Zatrudniamy ludzi do prac sezonowych i na umowy stałe o pracę, mamy wielu kontrahentów i klientów. W jakim zakresie w tych spółkach powinna działać ochrona danych osobowych? Czy jako prywatna firma musimy wyznaczyć inspektora ochrony danych? Jakie kary nam grożą, jeśli nie podejmiemy odpowiednich kroków w kwestii ochrony danych osobowych?
Odpowiedź: 

Co do zasady każdy podmiot prawa jest zobowiązany do przestrzegania zasad ochrony danych osobowych. Wystarczy, że takie dane przetwarza. Jeżeli główna działalność administratora polega na przetwarzaniu danych wrażliwych na dużą skalę lub operacje przetwarzania wymagają regularnego i systematycznego monitorowania osób na dużą skalę, będzie on musiał wyznaczyć inspektora ochrony danych. Kary za naruszenia przepisów zgodnie z RODO będą mogły wynieść nawet do 20 mln euro.

Z opisu stanu faktycznego wynika, że dane osobowe przetwarzają trzy spółki. Są to dane osób zatrudnionych sezonowo, pracowników, kontrahentów czy klientów. Dane te powinny być pozyskiwane od tych osób za ich zgodą i są zazwyczaj przetwarzane w związku z zawartymi umowami. Czyni to te spółki administratorami danych przekazanych im przez osoby trzecie. Należy tu zauważyć prawidłową praktykę, zgodnie z którą tylko osoby upoważnione uprzednio do przetwarzania danych osobowych mają do nich dostęp i je przetwarzają.

Dane te są następnie przekazywane do biura rachunkowego w celu umożliwienia wykonywania przez nie prowadzenia dokumentacji kadrowo-księgowej. Odbywa się to bez zawartej umowy powierzenia przetwarzania danych osobowych, co należy ocenić negatywnie. Każda ze spółek „sióstr”, jako administrator posiadanych danych, powinna zawrzeć z biurem rachunkowym (jako procesorem) pisemną umowę powierzenia przetwarzania danych osobowych. Konieczne jest też upoważnienie pracowników biura do przetwarzania danych osobowych.

Czy każda spółka musi mieć ABI

W żadnej ze spółek nie ma powołanych administratorów bezpieczeństwa informacji (ABI). Nie jest to błędem. Decyzja o powołaniu ABI należy do administratora danych. Jeżeli stwierdzi, że potrafi samodzielnie zapewnić prawidłowe przetwarzanie danych osobowych, to nie musi powoływać ABI. Obecnie nie ma bowiem takiego obowiązku. To administrator danych powinien ocenić potrzebę powołania ABI w swojej organizacji, kierując się zakresem przetwarzanych danych osobowych, ich rodzajem oraz wymaganym poziomem ochrony przetwarzania tych danych.

Sytuacja zmieni się wskutek rozporządzenia Parlamentu Europejskiego i Rady z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, RODO). Będzie ono bezpośrednio stosowane w państwach członkowskich od 25 maja 2018 r. Od tej daty ABI zostanie zastąpiony tzw. inspektorem ochrony danych, którego ustanowienie będzie obowiązkowe, gdy:

1) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,

2) główna działalność administratora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,

3) główna działalność administratora polega na przetwarzaniu na dużą skalę danych osobowych wrażliwych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Czy trzeba tworzyć dokumentację ochrony danych

Spółki naruszają przepisy ochrony danych osobowych w zakresie braku stosownej dokumentacji ochrony danych osobowych. Jednym z zadań administratora danych (lub ABI, jeśli jest powołany) jest bowiem opracowanie i aktualizowanie dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Spółki powinny określić:

  • jakiego rodzaju dane osobowe przetwarzają (w szczególności czy znajdują się wśród nich dane osobowe wrażliwe),
  • w jaki sposób przetwarzają dane osobowe (elektronicznie, papierowo),
  • czy przetwarzają dane w systemach elektronicznych, a jeśli tak to, w jakich i jak są one chronione,
  • jak ma przebiegać procedura usuwania danych osobowych,
  • wzory określonych dokumentów, np. upoważnienia do przetwarzania danych osobowych czy umowy powierzenia przetwarzania danych osobowych,
  • zasady fizycznej ochrony danych osobowych (pomieszczeń, mebli, sprzętu komputerowego, z użyciem których dochodzi do przetwarzania danych osobowych).

To, co wchodzi w skład dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, opisuje przede wszystkim rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Jest to:

1) polityka bezpieczeństwa,

2) instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Uwaga

Spółki muszą zbadać temat rejestracji zbiorów danych osobowych. W tym celu konieczne jest określenie, czy i jakie dane osobowe są przetwarzane w ramach zbiorów, a jeśli tak to, czy konieczna jest ich rejestracja u Generalnego Inspektora Ochrony Danych Osobowych (GIODO).

Jakie mogą grozić kary za naruszenia przepisów

Obecnie GIODO nie ma podstaw prawnych do nakładania kar finansowych, np. za niezgłoszenie zbioru danych osobowych do rejestracji. Ustawa o ochronie danych osobowych przewiduje za to odpowiedzialność karną, ale o niej rozstrzyga sąd, a nie GIODO.

Inaczej będzie po 25 maja 2018 r. Organ nadzorczy (obecnie GIODO) będzie mógł na przykład nałożyć grzywnę do wysokości 1 mln euro lub w przypadku przedsiębiorstwa do 2% jego rocznego światowego obrotu – jeśli podmiot działa umyślnie lub lekkomyślnie i przetwarza dane osobowe bez żadnej lub wystarczającej podstawy prawnej przetwarzania. W przypadku cięższych naruszeń kary będą mogły wynieść do 20 mln euro kary, a w przypadku przedsiębiorstw do 4% ich rocznego światowego obrotu.

Podstawa prawna: 
  • ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2016 r. poz. 922).
Marcin Sarna

Autor: Marcin Sarna

Radca prawny, ekspert z zakresu ochrony danych osobowych. Specjalizuje się również w kompleksowej obsłudze prawnej podmiotów gospodarczych, w szczególności świadcząc pomoc prawną dla producentów maszyn i urządzeń, przedsiębiorców funkcjonujących w branży usługowej i w sektorze energetycznym.

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x