Serwis o Finansach Przedsiębiorstw ANALIZA FINANSOWA

  • Increase font size
  • Default font size
  • Decrease font size
Email Drukuj

Obowiązki firm wynikające z ustawy o ochronie danych osobowych

Zgodnie z ustawą o ochronie danych osobowych, każda firma, która zatrudnia choćby 1 pracownika lub posiada np. bazy Klientów - przetwarza dane osobowe i musi przetwarzać je zgodnie z rozporządzeniem do niniejszej ustawy. Obowiązkiem jest posiadanie dokumentacji - Polityki Bezpieczeństwa oraz Instrukcji Zarządzania Systemem Informatycznym. Brak lub uchybienia w dokumentacji mogą wiązać się z wysokimi karami, do 50.000 zł za każde uchybienie, a nawet z karą pozbawienia wolności do lat 2.

Od 2013 roku, na mocy porozumienia z dnia 14 grudnia 2012 roku pomiędzy GIODO a Państwową Inspekcją Pracy - prawidłowość przetwarzania danych osobowych w firmach, będą sprawdzać także inspektorzy PIP (to blisko 90.000 kontroli rocznie), należy zatem przypuszczać, iż znacznie zwiększy się liczba kontroli zgodności przetwarzania danych osobowych z przepisami ustawy o ochronie danych osobowych.

(") trzeba zdawać sobie sprawę z tego, że jeżeli wydamy decyzję zakazującą biuru rachunkowemu przetwarzania danych, to tym samym zakażemy mu działalności (")

Powiedział dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Danych Osobowych (GIODO)w wywiadzie stanowiącym część artykułu opublikowanego w Dzienniku Gazecie Prawnej w dniu 23 stycznia 2013 roku pt. "Biura rachunkowe w rękach GIODO".

Link do porozumienia http://www.giodo.gov.pl/259/id_art/5767/j/pl

Należy zauważyć, że niezastosowanie się do przepisów ustawy w wielu przypadkach może oznaczać popełnienie przestępstwa zagrożonego karą nawet do 2 lat pozbawienia wolności (art. 49 ust. 1 ustawy o ochronie danych). Odrębną kwestią pozostaje groźba wymierzenia grzywn przymuszających w wysokości do nawet 50.000 zł (w trybie przepisów ustawy o postępowaniu egzekucyjnym w administracji) za niezastosowanie się do decyzji administracyjnej GIODO. Jak podaje GUS, w Polsce funkcjonuje 42 718 biur rachunkowych [1].

Według informacji podawanych przez "Dziennik Gazeta Prawna" szacuje się, że biura rachunkowe obsługują ok. 1,5 mln przedsiębiorstw, a większość z nich, z uwagi na zatrudnianie pracowników, musi spełniać wymagania nałożone przez Ustawę o Ochronie Danych Osobowych. Tymczasem szacuje się, że jedynie ok. 20 % biur rachunkowych spełnia ustawowe wymagania przetwarzania powierzonych danych osobowych.

Wykrycie przez wyżej wymienione organy nieprawidłowości w zakresie przetwarzania danych osobowych, może skutkować nie tylko wydaniem decyzji nakazującej zaprzestanie przetwarzania danych osobowych - co w praktyce oznacza brak możliwości prowadzenia dotychczasowej działalności przez firmę, ale także koniecznością skierowania przez inspektorów GIODO zawiadomienia o popełnianiu przestępstwa polegającego na np. przetwarzaniu danych osobowych przez osobę nieuprawnioną, lub poza trybem przewidzianym w ustawie, co jest zagrożone karą pozbawienia wolności do lat 2 (art. 49 ust. 1 ustawy o ochronie danych osobowych).

W związku z powyższym warto podsumować obowiązki przedsiębiorców w zakresie prawidłowości przetwarzania danych osobowych. Należy zauważyć, że w przypadku w którym pracodawca powierza dane osobowe swoich pracowników w celu prowadzenia rozliczeń biuru rachunkowemu, to nadal pozostaje on administratorem powierzonych danych osobowych" konieczne jest zawarcie w takim przypadku z prowadzącym rachunkowość biurem umowy powierzenia przetwarzania danych osobowych w rozumieniu art. 31 ustawy o ochronie danych osobowych. Dzieje się tak dlatego, ponieważ biuro rachunkowe w celu świadczenia tego typu usług uzyskuje dostęp do danych osobowych pracowników zatrudnionych u rozliczanych przez siebie klientów.

Oznacza to, że zarówno przedsiębiorca będący pracodawcą, jak i obsługujące go biuro rachunkowe muszą posiadać wymaganą przez ustawę o ochronie danych osobowych dokumentację przetwarzania danych osobowym (Politykę Bezpieczeństwa oraz Instrukcję Zarządzania Systemem Informatycznym w którym przetwarzane są dane osobowe, wraz innymi koniecznymi załącznikami o których mowa w rozporządzeniu do art. 39a ustawy) oraz stosować określone dokumentacji środki bezpieczeństwa. Sam obowiązek zawarcia umowy powierzenia przetwarzania danych osobowych nie oznacza jednak, iż wymagane jest utworzenie odrębnego dokumentu - klauzulę spełniającą wymagania art. 31 ustawy można zawrzeć bezpośrednio w standardowej umowie, jaką biuro księgowe zawiera ze swoimi klientami, najistotniejszym wymaganiem jakie musi spełniać taka klauzula, to określenie zakresu oraz celu przetwarzania posiadanych danych - należy także pamiętać, że ustawa bezwzględnie wymaga by określenie zakresu oraz celu przetwarzania danych miało formę pisemną - ograniczenie się zatem do ustnego ustalenia zakresu oraz celu przetwarzania danych będzie oznaczać brak podstawy prawnej do dostępu biura rachunkowego do danych osobowych pracowników lub klientów obsługiwanego podmiotu a jednocześnie przekazanie przez pracodawcę danych osobowych podmiotowi nieuprawnionemu - co związane jest z ryzykiem odpowiedzialności karnej na podstawie przepisów zawartych w rozdziale 8 ustawy o ochronie danych osobowych.

Zakres oraz sposób prowadzenia dokumentacji określa rozporządzenie wykonawcze do art. 39a ustawy o ochronie danych osobowych - najistotniejszymi dokumentami określonymi w wyżej wspomnianym rozporządzeniu są: Polityka Bezpieczeństwa oraz Instrukcja Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych. Co prawda drugi z wymienionych dokumentów jest obowiązkowy jedynie w sytuacji, gdy dane osobowe przetwarzane są w systemie informatycznym - jednak dziś trudno wyobrazić sobie firmę, która w swojej działalności nie korzystałaby z komputerów, zatem z praktycznego punktu widzenia, każde biuro rachunkowe powinno posiadać sporządzone zgodnie z wytycznymi określonymi w rozporządzeniu do art. 39a ustawy o ochronie danych osobowych oba wyżej wymienione dokumenty (wraz z wszelkimi koniecznymi załącznikami).

Dysponując treścią rozporządzenia każdy przedsiębiorca może sam zadecydować: sporządzać wymaganą dokumentacje samemu, czy też skorzystać z gotowej do wypełnienia dokumentacji przygotowanej przez wyspecjalizowane firmy. Biorąc pod uwagę znaczny stopień skomplikowania zagadnień prawnych związanych z ochroną danych osobowych - zaleca się skorzystanie z drugiego ze wskazanych rozwiązań.

[1] Dane GUS za I kwartał 2011 r.

Źródło:
RBDO.PL - Rejestracja Baz Danych Osobowych
www.rbdo.pl
 
Reklama