Mało kto wie, ale mały przesiębiorca, który zatrudnia pracowników (a więc przetwarza dane osobowe na potrzeby kadrowe) podlega ustawie o ochronie danych osobowych. Nawet, jeżeli wszelki sprawy kadrowo-finansowe załatwiane są przez opłaconą firmę księgową.
Zgodnie z:
Art. 2.
1. Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych.
2. Ustawę stosuje się do przetwarzania danych osobowych:
1) w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych,
2) w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych.
3. W odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5.
Art. 3.
1. Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego
oraz do państwowych i komunalnych jednostek organizacyjnych.
2. Ustawę stosuje się również do:
1) podmiotów niepublicznych realizujących zadania publiczne,
2) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących
osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z
działalnością zarobkową, zawodową lub dla realizacji celów statutowych
- które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej
Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu
środków technicznych znajdujących się na terytorium Rzeczypospolitej
Polskiej.
Art. 3a.
1. Ustawy nie stosuje się do:
1) osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych,
2) podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania danych.
2. Ustawy, z wyjątkiem przepisów art. 14-19 i art. 36 ust. 1, nie stosuje się również do prasowej działalności dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. - Prawo prasowe (Dz.U Nr 5, poz. 24, z późn. zm.2)) oraz do działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą.
Jak widać przedsiębiorca łapie się na obowiązek ustawowy i nie łapie się na żaden wyjątek.
Tak więc przedsiębiorca staje się automatycznie ADO (administratorem danych osobowych) i to na jego barkach spoczywają wszelkie obowiązki nakładane przez uodo, a więc:
Art. 36.
1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1.
3. Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności.
Art. 37.
Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.
Art. 38.
Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.
Art. 39.
1. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:
1) imię i nazwisko osoby upoważnionej,
2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,
3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.
2. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.
Dzięki jednak art. 43 ust. 4 od przedsiębiorcy nie wymaga się rejestracji zbioru:
Art. 43.
1. Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:
[...]
4) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,
[...]
No dobrze, to skoro już potraktowaliśmy przedsiębiorcę jako ADO, to do czego jest on zobligowany? Wiemy już, że ma zapewnić bezpieczeństwo zbiorów danych, prowadzić dokumentację, rejestrować osoby upoważnione do przetwarzania danych.
O dokumentacji mówi rozporządzenie ministraw spraw wewętrznych i administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danychosobowych. Par. 1 pkt 1 mówi:
§ 1. Rozporządzenie określa:
1) sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych osobowych
oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych
odpowiednią do zagrożeń oraz kategorii danych objętych ochroną;
[...]
Można przyjąć, że w przypadku małych przedsiębiorstw można zastosować minimalne środki ochrony o jakich wspomina rozporządzenie (co innnego duże firmy lub np. banki), a więc także mimum dokumentacji.
Zgodnie z par. 3 rozporządzenia w brzmieniu:
§ 3.
1. Na dokumentację, o której mowa w § 1 pkt 1, składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służcym do przetwarzania danych osobowych, zwana dalej „instrukcją”.
2. Dokumentację, o której mowa w § 1 pkt 1, prowadzi się w formie pisemnej.
3. Dokumentację, o której mowa w § 1 pkt 1, wdraża administrator danych.
ADO musi wdrożyć politykę bezpieczeństwa i instrukcję zarządzania systemem informatycznym służcym do przetwarzania danych osobowych.
O zawartości tych dokumentów dokładnie mówi rozporządzenie, na które powołałem się wcześniej w par 4 i 5:
§ 4. Polityka bezpieczeństwa, o której mowa w § 3 ust. 1, zawiera w szczególności:
1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
3) opis struktury zbiorów danych wskazujàcy zawartość poszczególnych pól informacyjnych i powiązania między nimi;
4) sposób przepływu danych pomiędzy poszczególnymi systemami;
5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
§ 5. Instrukcja, o której mowa w § 3 ust. 1, zawiera w szczególności:
1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
5) sposób, miejsce i okres przechowywania:
a) elektronicznych nośników informacji zawierających dane osobowe,
b) kopii zapasowych, o których mowa w pkt 4,
6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, októrym mowa w pkt III ppkt 1 załcznika do rozporządzenia;
W przypadku gdy sprawy kadrowe załatwiane są poza systemem informatycznym, oczywiście nie musimy pisać instrukcji dla systemów informatycznych, ale kto dzisiaj prowadzi ksiegowość bez komputera? Nawet dane do ZUS wysyłane są przy użyciu telefransmisji w programie Płatnik.
Dodatkowo, ponieważ dane osobowe pracowników przetarzane są przez firmę zewnętrzną, należy zawrzeć umowę powierzenia przetwarzania danych osobowych. O powierzeniu danych mówi art. 31.
Art. 31.
1. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.
2. Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.
3. Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.
4. W przypadkach, o których mowa w ust. 1-3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.
5. Do kontroli zgodności przetwarzania danych przez podmiot, o którym mowa w ust. 1, z przepisami o ochronie danych osobowych stosuje się odpowiednio przepisy art. 14-19.
Co ważne - powierzenie nie zdejmuje z pracodawcy obowiązku ochrony danych, ponieważ to on jest ciągle ADO. Więc to on odpowiada za powierzone mu przez pracowników dane.
To tak na dzisiaj koniec. Jutro postaram się napisać cośo zawartości minimum umowy na powierzenie i o możliwościach, jakie ma ADO w stosunku do kontroli w podmiocie przetwarzającym dane na podstawie umowy.
Odnośniki do aktów prawnych są po prawej stronie w sekcji Podręcznik ustawowo/rozporządzeniowy
poniedziałek, 4 sierpnia 2008
Subskrybuj:
Komentarze do posta (Atom)
1 komentarz:
usługi budowlane Słupsk
ocieplenie elewacji Słupsk
instalacje sanitarne Słupsk
remont mieszkania Słupsk
gładzie Słupsk
tynki Słupsk
malowanie mieszkania Słupsk
malowanie elewacji Słupsk
instalacje elektryczne Słupsk
Prześlij komentarz