Ratunkuuu?! Przetwarzam dane osobowe!

logo dane-osobowe.infoCo raz częściej media informują o aferach związanych z wyciekiem danych osobowych. Wydawałoby się, że to tylko szukanie sensacji, zwłaszcza że jeszcze 15 lat temu nikt nie przywiązywał większej wagi do ochrony danych osobowych, a niecałe 5 lat temu można było znaleźć na śmietniku szpalty dokumentów z danymi czy nawet archiwa akt policyjnych.
Tymczasem w dobie Internetu dane osobowe to towar wart bardzo wiele, towar na którym można zrobić świetny biznes. Każda kampania reklamowa wykorzystująca targetowanie, korzysta z danych osobowych podawanych w Sieci. To dzięki nim zarówno małe firmy jak i wielkie korporacje mogą docierać do potencjalnych klientów, tworzyć idealnie dopasowane oferty do potrzeb konsumentów.
Nie wspomnę już o „ciemniejszej stronie mocy” czyli wykorzystywaniu danych do podszywania się w Sieci, kradzieży tożsamości, numerów kart kredytowych czy rozsyłaniu spamu z wykorzystaniem fikcyjnych adresów nadawców.

Podejmij właściwą decyzję.

Mając świadomość jaką wartość stanowią dane osobowe trudniej jest machnąć ręką na zagadnienia związane z ich ochroną lub stwierdzić: mojego biznesu to nie dotyczy.
Dotyczy, nawet bardzo, bo przestępcom łatwiej jest zdobyć dane osobowe klientów małego biznesu niż dużej korporacji.
Przede wszystkim jednak – dbając o dane osobowe swoich klientów postąpisz zgodnie z prawem i wzmocnisz wizerunek profesjonalisty. Zresztą narażanie się na kontrolę z Biura GIODO i kary za nielegalne przetwarzanie danych osobowych nie jest zbyt rozsądne (przyp.: kontrole w firmach bardzo często są skutkiem „uprzejmego donosu” niezadowolonego klienta).

Przepisy?! – nie panikuj!

Skoro już decydujesz się na ochronę danych osobowych, to zaczynasz interesować się tematem: pytasz na forach, szukasz w Googlu, czytasz publikacje z różnych źródeł – stop! Nie tym razem! Nierzetelnych informatorów w Sieci nie brakuje, a przecież cała odpowiedzialność ciąży na Tobie i za ich błędy możesz prędzej lub później odpowiedzieć Ty.
W tej kwestii zacznij od zapoznania się z Ustawą z dnia 29 sierpnia 1997 o ochronie danych osobowych. Tekst ustawy na początku może być niezbyt jasny. Podsumujmy jednak co z niego wynika dla zwykłego przedsiębiorcy czy też osoby prywatnej, która zbiera, a zatem przetwarza dane osobowe.

Ustawa nakłada na administratora danych osobowych, konkretne obowiązki – są to:

  1. prowadzenie dokumentacji ochrony danych osobowych, na którą składają się w szczególności:
    • polityka bezpieczeństwa
    • instrukcja zarządzania systemem informatycznym
  2. wydawanie osobom, z którymi współpracuje upoważnień do przetwarzania danych osobowych,
  3. prowadzenie ewidencji wydanych upoważnień,
  4. zarejestrowanie zbiorów danych osobowych, które podlegają obowiązkowi rejestracji,
  5. zabezpieczenie danych w systemie, czyli w plikach, bazach, aplikacjach, na komputerach lokalnych oraz na serwerach.
  6. wyznaczenie osoby odpowiedzialnej za przestrzeganie prawa zw. z ochroną danych osobowych w firmie – tzw. Administratora Bezpieczeństwa Informacji lub zadeklarowanie pełnienia funkcji samodzielnie.
  7. dopilnowanie aby na stronach internetowych i w regulaminach znalazły się odpowiednie klauzule: informacyjna i zgody na przetwarzanie danych osobowych.
  8. podpisanie umowy powierzenia przetwarzania danych osobowych z podmiotami, które wykonują część zadań związanych z przetwarzaniem danych osobowych na zlecenie np. z firmą hostingową czy biurem rachunkowym.

Uff… to tyle. Lista jest całkiem długa, ale bez paniki! Pomimo że to wszystko wydaje się dość skomplikowane, można spokojnie i rozważnie podejść do tematu. Wiele wyjaśnień znajdziesz na portalu: edugiodo.giodo.gov.pl. Możesz też poprosić o pomoc specjalistę.

Tu jednak warto zachować rozsądek i nie szukać od razu adresu kancelarii prawnej – w tym wypadku sama znajomość prawa to nie wszystko – odpowiedni doradca musi jeszcze posiadać praktyczną wiedzę z zakresu zabezpieczeń systemów, sieci i sprzętu.

Jak właściwie zabezpieczyć zbiory i czym są dane wrażliwe – o tym napiszę w kolejnych publikacjach.

napisał/a 5 artykułów na rzecz Bloga SEO

Certyfikowany administrator bezpieczeństwa informacji, auditor wiodący systemu zarządzania bezpieczeństwem informacji ISO 27001, od 2008 roku związana zawodowo z tematem ochrony danych osobowych. Właścicielka firmy Dane-osobowe.info – świadczącej usługi doradcze w zakresie ochrony danych osobowych dla przedsiębiorstw każdej skali: kompleksowa dokumentacja, polityki prywatności, procedury konieczne do zapewnienia bezpieczeństwa przetwarzanym informacjom a także outsourcing funkcji administratora bezpieczeństwa informacji.

Opinie i Komentarze

Sebastian Jakubiec 21 lutego 2013, 22:47

Tematyka ochrony danych osobowych jest ostatnio szczególnie istotna. Zresztą sam o nich niedawno pisałem, we wpisie: http://websem.pl/artykuly/dane-osobowe-w-marketingu-internetowym/ – i co ważne podkreślenia, na dane natrafiamy dosłownie co chwilę. Otworzymy subskrybcję – ciach, obsługujemy e-produkty klientów mailowo/transakcyjnie – ciach: dane.
Generalnie możemy dojść do wniosku, że co działanie w sieci to dane ;)

Sebastian Miśniakiewicz 21 lutego 2013, 22:48

Oj tak, masz rację.
Jak widziałeś, dział był na blogu, tylko pusty – teraz dzięki p. Monice powinno pójść „z górki” :)

Monika Gierada-Sołtysek 22 lutego 2013, 7:40

Wniosek będzie jak najbardziej prawidłowy. W chwili obecnej każda najmniejsza firma działa z wykorzystaniem danych osobowych a w związku z tym podlega obowiązkom ustawowym. Inna sprawa, że spełnienie wymagań naprawdę nie jest aż tak karkołomne – u większości moich klientów działających na zasadach „home-office” często wystarczą niewielkie zmiany konfiguracji: w systemie, programie antywirusowym i ewentualnie na routerze wymagające chwili czasu a dodatkowe koszta to zazwyczaj inwestycja w listwę zasilającą czy np. małą gaśnicę – to nie dramat… :)

Mike 22 lutego 2013, 2:46

No właśnie – co podchodzi pod GIODO, a co nie?

Np. adres e-mail, służący do identyfikacji w komentarzach, z imieniem i nazwiskiem użytkownika – to dane osobowe, czy nie :)?

Sebastian, popraw link do witryny Pani Moniki – brak 301 i z www nie śmiga ;).

Monika Gierada-Sołtysek 22 lutego 2013, 9:41

Adres email oraz imię i nazwisko to jak najbardziej dane osobowe. Pod GIODO a ściślej pod Ustawę „podchodzą” wszystkie dane osobowe, które przetwarzamy w celach zawodowych, zarobkowych i statutowych. Ustawy nie stosujemy natomiast przy przetwarzaniu danych osobowych w celach osobistych lub domowych.

przemek 23 lutego 2013, 8:35

Pani Moniko, może Pani rozwinąć pierwszy punkt o prowadzeniu dokumentacji? Także mam pytanie odnośnie rejestracji danych. Dokonałem jej ale czy otrzymam jakieś potwierdzenie, ponieważ nie przyszło nic w odpowiedzi.

Monika Gierada-Sołtysek 5 marca 2013, 10:14

O dokumentacji napiszę w kolejnych wpisach. Jeśli chodzi o rejestrację – nie otrzyma Pan potwierdzenia ale powinien Pan dostać dane na platformę GIODO, które umożliwią sprawdzenie statusu i samodzielnie proszę badać zawartość rejestru.

Skomentuj

Twój adres e-mail nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *