Dzisiaj wpis gościnny Beaty Marek, właścicielki firmy Cyberlaw.pl, w którym Beata opowie trochę o ochronie danych osobowych. Często otrzymuję pytania dotyczące wdrożenia „wymagań GIODO”, jednak niewielu z Was wie o czym konkretnie myśleć w tym kontekście przy rozpoczynaniu działalności gospodarczej, nie tylko w formie spółki z ograniczoną odpowiedzialnością. Dlatego też oddaję Cię w ręce specjalistki. Jeżeli będziesz się z nią kontaktował to koniecznie napisz, że poznałeś ją dzięki niniejszemu wpisowi. Oddajmy głos Beacie
Każda firma przetwarza dane osobowe. Nieważne czy jest mała czy duża, czy jest to jednoosobowa działalność czy spółka. Biznes robi się z ludźmi i dla ludzi więc przetwarza się ich dane osobowe. Czym one są? Każdy dużo mówi o ochronie danych osobowych, wiadomo, że są przepisy które regulują sposób ich przetwarzania, a tak naprawdę niewiadomo co trzeba chronić. Czy adres e-mail jest daną osobową? Czy numer telefonu? Czy adres IP sieci? To zależy.
Dane osobowe to wszelkie informacje, które pozwalają na bezpośrednie bądź pośrednie zidentyfikowanie osoby fizycznej (o ile nie wiąże się to z nadmiernymi kosztami, czasem bądź skomplikowaniem działań). Jeżeli na potrzeby świadczenia usługi przetwarzasz dane użytkowników/swoich klientów takie jak: login, adres e-mail, hasło, to adres e-mail będzie daną osobową o ile będzie można powiązać go jednoznacznie z konkretną osobą fizyczną. Przykład: beata.marek@cyberlaw.pl . Jeżeli byłby to e-mail typu biuro @ nazwafirmy.pl to nie można byłoby go uznać za daną osobową.
Jeżeli przetwarzasz takie dane jak: login, adres-email, numer telefonu, to numer telefonu może być informacją pozwalającą na identyfikację osoby, nawet jeżeli jest to telefon służbowy danego pracownika. Wyjątek stanowi jedynie sytuacja gdy jest to ogólnie dostępny telefon do biura bądź danego działu firmy.
Jeżeli przetwarzasz takie dane jak :login, adres e-mail, numer telefonu, adres IP sieci, to adres IP sieci będzie informacją pozwalającą na identyfikację osoby wyłącznie wtedy gdy jesteś dostawcą usługi sieci, pośrednikiem w jej dostarczaniu bądź wykonujesz czynności zlecone przez te podmioty. W przeciwnym razie nie masz możliwości powiązać go z konkretnym abonentem.
Zgodnie z przepisami ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych i aktami wykonawczymi do tejże ustawy każdy Administrator Danych Osobowych (firma/spółka) jest zobowiązany do:
- opracowania i wdrożenia Polityki Bezpieczeństwa i Instrukcji Zarządzania Systemem Informatycznym w swojej organizacji
- wyznaczenia Administratora Bezpieczeństwa Informacji
- zawarcia w formie pisemnej umów powierzenia przetwarzania danych osobowych
- zarejestrowania zbiorów danych osobowych w biurze GIODO (zbiory takie jak np. dane do faktury wyłączone są z obowiązku rejestracji) i czuwanie nad ich aktualizacją w terminie 30 dni od dnia dokonania zmiany (np. zmiany hostingu, na którym przetwarzane są dane użytkowników)
Polityka Bezpieczeństwa i Instrukcja Zarządzania Systemem Informatycznym
W momencie przeprowadzania audytu na potrzeby opracowania Polityki Bezpieczeństwa i Instrukcji Zarządzania Systemem Informatycznym ustala się legitymację prawną, zakres i cele przetwarzania danych oraz bezpieczeństwo fizyczne i teleinformatyczne organizacji. Czynność ta pozwala m.in. wyodrębnić ile zbiorów danych przetwarzanych jest w organizacji oraz jak dane te są zabezpieczane. W przypadku stwierdzenia uchybień wskazywane są rekomendacje. Nie zalecam kupowania gotowych wzorów Polityk bądź ich kopiowania z sieci. Tego typu dokumenty będą nieprzydatne. A ich celem nie jest bycie podkładką pod kontrolę GIODO tylko praktyczne wskazanie informacji na temat firmy i szeregu przyjętych procedur postępowania w celu utrzymania ciągłości działania firmy czyli jej aktywów biznesowych. Jeśli dokumenty te nie są wdrożone w sposób poprawny to jesteś mniej świadomy potencjalnych zagrożeń i nie wiesz jak zachować się w razie utraty danych, np. na skutek cyberataku. Co więcej, nie wiesz jak dopełnić obowiązków informacyjnych i realizować w sposób poprawny prawa osób, których dane przetwarzasz.
Administrator Bezpieczeństwa Informacji
Spółka jest Administratorem Danych Osobowych czyli odpowiada za środki i cele przetwarzania danych. Zarząd Spółki jest odpowiedzialny za przestrzeganie przepisów dotyczących ochrony danych osobowych. W ramach spółki może być wyznaczony pracownik bądź członek zarządu do sprawowania stanowiska bądź pełnienia funkcji Administratora Bezpieczeństwa Informacji. Osoba ta odpowiedzialna jest za nadzór nad prawidłowym przetwarzaniem danych. Wyznaczenie jej nie powoduje jednak zdjęcia odpowiedzialności z zarządu. Warto zatem wybrać na to stanowisko/do tej funkcji osobę, która posiada wiedzę na temat ochrony danych osobowych. W praktyce najczęściej są to osoby posiadające wiedzę techniczną. W razie ewentualnych wątpliwości natury prawnej mogą się poradzić prawnika. Najlepiej by był to prawnik, który specjalizuje się w tym obszarze.
Zawarcie pisemnej umowy powierzenia
Powierzenie przetwarzania danych ma miejsce wtedy gdy outsourcujemy jakieś procesy poza organizację. Najczęstsze przykłady to: dzierżawa powierzchni serwerowej, wszelkie usługi w chmurze, tradycyjne usługi księgowe, usługi kardowe (HR), usługi sprzątające, usługi ochroniarskie, wsparcie techniczne (serwis/help desk). Dostawca danej usługi jest Przetwarzającym i to z nim Administrator Danych Osobowych jest zobowiązany podpisać umowę. Umowa powierzenia może być częścią pisemnej umowy o świadczenie usługi jednak musi co najmniej określać:
- kto jest Administratorem Danych Osobowych a kto Przetwarzającym
- jaki jest zakres i cel przetwarzania danych
- jakie środki zabezpieczające wdrożył Przetwarzający
- czy Administrator Danych Osobowych wyraża zgodę na podpowierzenie
- jaki jest czas trwania umowy (powinien być tożsamy z okresem na jaki zawierana jest umowa o świadczenie usługi)
- czy świadczenie usługi jest nieodpłatne (może być płatne)
- co się dzieje z danymi w przypadku rozwiązania umowy
Rejestracja zbiorów
Rejestracja zbiorów to procedura, którą trzeba poprawnie przeprowadzić by móc rozpocząć przetwarzanie danych osobowych. Błędnie wypełnione zgłoszenie zostanie odrzucone. Co więcej, trzeba pamiętać o tym by w terminie 30 dni od dnia zaistnienia zmiany w zbiorze (np. zwiększyliśmy zakres przetwarzanych danych albo zaczęliśmy udostępniać dane innym podmiotom) należy dokonać aktualizacji. Formalizm ten jest zatem żmudny, ale konieczny.
Warto wiedzieć, że trwają obecnie prace nad wdrożeniem jednolitego rozporządzenia unijnego dotyczącego ochrony dancyh osobowych (więcej informacji m.in. na ten temat możesz przeczytać z mojej rozmowy z GIODO) oraz nowelizacją polskiej ustawy o ochronie dancyh osobowych (m.in ma zostać zniesiony obowiązek rejestracji zbiorów jeżeli Administrator Danych Osobowych wyznaczy w firmie Administratora Bezpieczeństwa Informacji i zgłosi jego dane do biura GIODO).
15 comments on “Dane osobowe w spółce z o.o.”
W szeroko rozumianym prawie związanym z prowadzeniem działalności gospodarczej nie ma chyba drugich tak nieżyciowych przepisów jak te dotyczące ochrony danych osobowych. I nie ma chyba też drugich przepisów, które byłyby tak powszechnie nieprzestrzegane.
Trudno się nie zgodzić, zarówno z pierwszym, jak i z drugim spostrzeżeniem. Oznacza to jednak, że jak ktoś w końcu na serio weźmie się za ich egzekwowanie to będzie niesamowity rynek na usługi firm doradczych specjalizujących się w zakresie danych osobowych.
Temat firm doradczych w zakresie baz danych akurat przerabiałem – teoretycznie faktycznie jest to doskonały pomysł na duży biznes, bo skoro nawet dane przedsiębiorców wpisanych w CEIDG podlegają ochronie, to tak naprawdę 99% firm w Polsce powinno mieć zgłoszony zbiór w GIODO. A % ile ma? Ile % ma w ogóle politykę bezpieczeństwa, instrukcję zarządzania? Ale w praktyce nie ma na takie usługi popytu. Do przedsiębiorców absolutnie nie dociera, że muszą to mieć. Pokażesz im przepisy, nastraszysz ich, już się prawie zdecydują, ale jeszcze chwycą za telefon i zadzwonią do kolegi przedsiębiorcy i zapytają, czy on ma zgłoszoną bazę. No i oczywiście nie ma. I inny kolega też nie ma, inny też, kontrahenci też nie, słowem – nikt nie ma, a jakoś funkcjonują. Jaki więc sens zapłacić parę klocków za „bezużyteczne” papierki, skoro „da się” funkcjonować bez nich?
Na 6 biur księgowych z którymi w różnych sytuacjach współpracowałem ŻADNE nie miało umów powierzenia danych z klientami. Zupełny brak znajomości tematu, totalna ignorancja.
A najlepsze w tym wszystkim jest to, że za niedochowanie w.w. obowiązków przewidziana jest odpowiedzialność karna…
Jak na razie doświadczenie ludzi, którzy przeszli kontrolę było bardzo zaskakujące. Kontrolerzy nie nakładali kar, tylko skupiali się na wskazaniu co trzeba poprawić. Dotychczas GIODO pokazywał bardzo ludzką twarz 🙂
Warto zauważyć, że Administratorem Bezpieczeństwa Informacji może być również osoba fizyczna (z odpowiednią wiedzą i praktyką) spoza organizacji powołana na podstawie umowy.
To może tłumaczyć, dlaczego da się tę kontrolę przeżyć 😉
Szanowny Panie,
mam pytanie. Czy spółka z o.o. może mieć dwóch prezesów. Czy w takiej sytuacji może funkcjonować zapis, zgodnie z którym do składnia oświadczeń i podpisywania w imieniu spółki upoważniony jest prezes zarządu jednoosobowo.
z wyrazami szacunku,
Marek Michalski
@Marek: To nie jest pytanie w temacie tego wpisu. Odsyłam do wpisów dot. członków zarządu.
GIODO to obecnie postrach kazdego malego sklepu internetowego 😉
Ciekawy artykul 🙂
Witam
Czy prezes zarządu również może być ABI?
I co w sytuacji, gdu zarząd jest jednoosobowy, a mimo to chcemy aby to prezes pełnił funkcję ABI?
Czy wtedy spółka (w osobie prezesa) może powłać prezesa na ABIego? Na chłopski rozum to dziwna konstrukcja bo w sumie to się człowiek sam powołuje, ale prawo wielokrotnie już mnie zaskakiwało :).
Czy spółka z.o.o. zawsze musi mieć ABIego?
W teorii nie, w praktyce najczęściej tak.
Mogę sobie wyobrazić spółkę w której nie są przetwarzane dane osobowe, zakładając, że mamy taki twór czyli np. spółkę z oo która powstała tylko po to, żeby mieć na stanie np. biurka i wypożycza je tylko powiązanym ze sobą czy to kapitałowo czy Osobowo innym spółką, czyli wymiana danych jest tylko między podmiotami gospodarczymi. Mało tego wyobrażam sobie również że w tej spółce to nie ma ludzi a tylko sprzęt.
A teraz pytanie – czy przy hipotetycznym założeniu, że podmiot gospodarczy nie przetwarza danych osobowych poza danymi właściciela lub prezesa zarządu nadal jest potrzebna polityka bezpieczeństwa ?
Nie ma możliwości nie przetwarzać danych osobowych, nawet w tak błahych sprawach jak dane udziałowców 🙂