Prawny obowiązek nałożony na właściciela firmy.
Pracodawca ma obowiązek ochrony danych osobowych. Typowymi danymi osobowymi są: imię, nazwisko, adres, PESEL, nr NIP oraz adres poczty elektronicznej umożliwiający identyfikację użytkownika. Obowiązek o ochronie danych jest jasno sformułowany w ustawie z dnia 29 sierpnia 1997 roku oraz nowelizacji z dnia 01 stycznia 2015 roku. Pieczę nad nimi sprawuje Generalny Inspektor Danych Osobowych który powoływany i odwoływany jest przez Sejm Rzeczypospolitej Polskiej za zgodą Senatu. Pracodawca musi zapewnić bezpieczeństwo pozyskiwanym i przetrzymywanym danym osobowym. Nie mogą one być udostępniane osobą nieupoważnionym. Przedsiębiorca czyli administrator danych osobowych nie musi posiadać specjalnych certyfikat czy kursów liczy się jedynie skuteczna ochrona tych danych.
Warunki zachowania bezpieczeństwa danych
Środki jakie powinien podjąć administrator danych osobowych uzależnione są od miejsca w jakim są przetrzymywane i przetwarzane. Jeżeli chodzi o kartoteki przetrzymywane na terenie firmy to może mieć do nich dostęp administrator, bądź pisemnie upoważnione przez niego osoby. Powinna być prowadzona pisemna ewidencja osób które mogą przetwarzać dane osobowe. Opracowanie i wdrożenie dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych (czytaj więcej o bezpieczeństwie danych).
Dokumentacja obejmuję politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych – rozporządzenie Ministra Spraw Wewnętrznych z dnia 29 kwietnia 2004 r. sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024). Pracodawca ma jednak obowiązek udostępnić dane osobowe taki instytucją jak np. sąd, uprawniony inspekt ZUS czy funkcjonariusz CBA.
Dane przetrzymywane i przetwarzane w pamięci komputera połączonego z siecią internetową zabezpiecza się hasłami, które często zmieniamy. Powinien być wprowadzony mechanizm kontroli dostępu, każdy z upoważnionych powinien mieć odrębny kod identyfikacyjny. Winien go wprowadzać przy każdej próbie dostępu i dodatkowo uwierzytelnić swoją tożsamość. System informatyczny powinien być chroniony przed oprogramowaniem, którego celem jest nieuprawniony dostęp do systemu co może grozić wypłynięciem danych. Administrator ma obowiązek kontroli przepływu informacji pomiędzy systemami oraz nadzór inicjowanych działań pomiędzy siecią publiczną a systemem informatycznym administratora. Komputer powinien być zabezpieczony przed niespodziewaną utratą zasilania lub przepięciami. Przy zbyciu starego sprzętu bądź jego likwidacji pracodawca winien wykasować przetrzymywane dane, gdy jest to niemożliwe to uszkodzić sprzęt tak, aby uniemożliwić odzyskanie danych.
Dlaczego powinniśmy chronić dane osobowe.
Pierwszym argumentem jest to, iż naruszenie wymagań związanych z ochroną danych może doprowadzić pracodawcę do odpowiedzialności karnej. Informacje, które zostaną pozyskane z niedostatecznie lub źle chronionego systemu mogą być przetworzone niezgodnie z przeznaczeniem. Narazimy tym naszych pracowników, kontrahentów oraz samą firmę na poważne niebezpieczeństwo. Przetrzymujemy w ewidencji oprócz podstawowych danych także numery kont te informacje mogą pozwolić na wyprowadzenie pieniędzy z kont bankowych, możemy zostać posiadaczami nowych kart kredytowych lub dostać rachunek za towary/usługi z których nigdy nie korzystaliśmy.
W zależności od intencji pozyskującego takowe dane może je wykorzystać np. do zwerbowania naszych pracowników bądź ich prześladowania, stworzenia na bazie ich danych wirtualnych kont w sieci i wykorzystanie ich do celów zarobkowych. Przy złych zabezpieczeniach to wszystko może odbywać się bez naszej wiedzy statystyki mówią, że w Polsce średnio ponad rok zajmuje ofierze zorientowanie się, iż padła ofiarą kradzieży. Osoba taka, może zapoznać się z naszymi potencjalnymi kontrahentami i w umiejętny sposób wykorzystać te informacje do ich pozyskania. Dlatego warto zabezpieczać i solidnie chronić dane osobowe przetrzymywane w firmie.
Najśmieszniejsze jest to, że młode osoby zakładające firme sobie nawet nie zdają z tego sprawy. Trochę smutne, ale dlatego właśnie są potrzebne takie wpisy, żeby uświadamiać!
Racja Nata. ja często wyjeżdżam za granice do czarnogóry (https://www.europol.com.pl/czarnogora) i nawet tam mają większą świadomości zagrożeń płynących z braku ostrożności w tych kwestiach.