Jak przedsiębiorstwa powinny przechowywać dane osobowe?

Kara grzywny, ograniczenia lub pozbawienia wolności – to konsekwencje niezgodnego z prawem przetwarzania danych osobowych. Aby się przed nimi uchronić, przedsiębiorstwa muszą działać zgodnie z prawem określonym w ustawie o danych osobowych z 29 sierpnia 1997 roku. Jakie wymagania muszą spełnić?

Zapewnienie bezpieczeństwa

Zgodnie z przepisami dane osobowe to te informacje, na podstawie, których można zidentyfikować osobę fizyczną bez konieczności poniesienia nadmiernych kosztów, działań i czasu. Najbardziej typowe to imię, nazwisko, adres, nr PESEL oraz NIP, a także adres mailowy umożliwiający identyfikację. Wszystkie te dane powinny być przechowywane w odpowiedni sposób. Niemal w każdym przedsiębiorstwie znajdują się takie zbiory danych, np. dotyczące pracowników, klientów albo dostawców. Dlatego też szczególnie te podmioty powinny dbać o właściwe ich przechowywanie. Osoby zainteresowane muszą udzielić pozwolenia na przetwarzanie swoich danych osobowych, stąd np. odpowiednia klauzula wymagana na wysyłanym do potencjalnego pracodawcy CV.

Ważna jest też ochrona fizyczna tego typ informacji, a więc przechowywanie akt w taki sposób, by nie dostały się one w ręce osób niepowołanych. Również w tym celu tworzy się rejestry posiadanych informacji, do których mają dostęp wyłącznie wyznaczeni przez przedsiębiorcę pracownicy. Należy też pamiętać, że niektóre ze zbiorów trzeba zgłaszać do rejestru Generalnego Inspektora Ochrony Danych Osobowych, np. te dotyczące stanu zdrowia. Wszelkie procesy związane z przetwarzaniem danych osobowych powinny być szczegółowo opisane w wewnętrznych procedurach firmy, dostosowanych do rodzaju jej działalności, ale przede wszystkim – zgodnych z prawem.

Umowa z dostawcą zewnętrznym

Obecnie wiele firm w celach gospodarczych korzysta z danych osobowych w chmurze, czyli tzw. Cloud computingu, gdzie informacje najczęściej dostarczane są przez dostawcę zewnętrznego. Jeśli firma korzysta z takich usług, również ma obowiązek dbania o bezpieczeństwo powierzanych jej danych osobowych. Przede wszystkim współpraca z dostawcą musi być określona przez pisemną umowę dotyczącą celu i zakresu dostarczanych informacji. Powinna ona uwzględniać, kto ma dostęp do informacji, czy nie skorzystają z nich inne podmioty albo też - co stanie się z danymi po zakończeniu umowy oraz zawierać deklarację zgodności z obowiązującymi wymogami prawnymi. W ten sposób przedsiębiorca będzie miał możliwość właściwej ochrony danych osobowych, a dodatkowo może ograniczyć niebezpieczeństwo wycieku i dostania się ich w niepowołane ręce.

Podsumowanie

Przedsiębiorcy powinni, więc baczną uwagę zwracać na to, czy posiadane przez nich dane osobowe są przechowywane w odpowiedni sposób i wystarczająco zabezpieczone. Wszelkie nieprawidłowości, jak np. nielegalne przetwarzanie tego typu informacji, czy udostępnianie ich osobom nieupoważnionym podlega karze nawet, jeśli działania te były nieumyślne. Należy sprawdzić również, które z danych osobowych wymagają zgłoszenia do GIODO i nie zapomnieć o obowiązku informacyjnym. Jeśli więc firma posiada dane osobowe – musi powiadomić o tym osoby zainteresowane.

Skorzystali z naszych usług

Spółdzielcza Grupa Bankowa - logo Bank Polskiej Spółdzielczosci - logo


Audyty danych osobowych

Audyt ochrony danych osobowych Dowiedz się więcej

Audyty bezpieczeństwa

Audyty bezpieczeństwa Dowiedz się więcej