Co do zasady każdy podmiot prawa jest zobowiązany do przestrzegania zasad ochrony danych osobowych. Wystarczy, że takie dane przetwarza. Jeżeli główna działalność administratora polega na przetwarzaniu danych wrażliwych na dużą skalę lub operacje przetwarzania wymagają regularnego i systematycznego monitorowania osób na dużą skalę, będzie on musiał wyznaczyć inspektora ochrony danych. Kary za naruszenia przepisów zgodnie z RODO będą mogły wynieść nawet do 20 mln euro.
Z opisu stanu faktycznego wynika, że dane osobowe przetwarzają trzy spółki. Są to dane osób zatrudnionych sezonowo, pracowników, kontrahentów czy klientów. Dane te powinny być pozyskiwane od tych osób za ich zgodą i są zazwyczaj przetwarzane w związku z zawartymi umowami. Czyni to te spółki administratorami danych przekazanych im przez osoby trzecie. Należy tu zauważyć prawidłową praktykę, zgodnie z którą tylko osoby upoważnione uprzednio do przetwarzania danych osobowych mają do nich dostęp i je przetwarzają.
Dane te są następnie przekazywane do biura rachunkowego w celu umożliwienia wykonywania przez nie prowadzenia dokumentacji kadrowo-księgowej. Odbywa się to bez zawartej umowy powierzenia przetwarzania danych osobowych, co należy ocenić negatywnie. Każda ze spółek „sióstr”, jako administrator posiadanych danych, powinna zawrzeć z biurem rachunkowym (jako procesorem) pisemną umowę powierzenia przetwarzania danych osobowych. Konieczne jest też upoważnienie pracowników biura do przetwarzania danych osobowych.
W żadnej ze spółek nie ma powołanych administratorów bezpieczeństwa informacji (ABI). Nie jest to błędem. Decyzja o powołaniu ABI należy do administratora danych. Jeżeli stwierdzi, że potrafi samodzielnie zapewnić prawidłowe przetwarzanie danych osobowych, to nie musi powoływać ABI. Obecnie nie ma bowiem takiego obowiązku. To administrator danych powinien ocenić potrzebę powołania ABI w swojej organizacji, kierując się zakresem przetwarzanych danych osobowych, ich rodzajem oraz wymaganym poziomem ochrony przetwarzania tych danych.
Sytuacja zmieni się wskutek rozporządzenia Parlamentu Europejskiego i Rady z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, RODO). Będzie ono bezpośrednio stosowane w państwach członkowskich od 25 maja 2018 r. Od tej daty ABI zostanie zastąpiony tzw. inspektorem ochrony danych, którego ustanowienie będzie obowiązkowe, gdy:
1) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
2) główna działalność administratora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
3) główna działalność administratora polega na przetwarzaniu na dużą skalę danych osobowych wrażliwych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
Spółki naruszają przepisy ochrony danych osobowych w zakresie braku stosownej dokumentacji ochrony danych osobowych. Jednym z zadań administratora danych (lub ABI, jeśli jest powołany) jest bowiem opracowanie i aktualizowanie dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Spółki powinny określić:
To, co wchodzi w skład dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, opisuje przede wszystkim rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Jest to:
1) polityka bezpieczeństwa,
2) instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.
Spółki muszą zbadać temat rejestracji zbiorów danych osobowych. W tym celu konieczne jest określenie, czy i jakie dane osobowe są przetwarzane w ramach zbiorów, a jeśli tak to, czy konieczna jest ich rejestracja u Generalnego Inspektora Ochrony Danych Osobowych (GIODO).
Obecnie GIODO nie ma podstaw prawnych do nakładania kar finansowych, np. za niezgłoszenie zbioru danych osobowych do rejestracji. Ustawa o ochronie danych osobowych przewiduje za to odpowiedzialność karną, ale o niej rozstrzyga sąd, a nie GIODO.
Inaczej będzie po 25 maja 2018 r. Organ nadzorczy (obecnie GIODO) będzie mógł na przykład nałożyć grzywnę do wysokości 1 mln euro lub w przypadku przedsiębiorstwa do 2% jego rocznego światowego obrotu – jeśli podmiot działa umyślnie lub lekkomyślnie i przetwarza dane osobowe bez żadnej lub wystarczającej podstawy prawnej przetwarzania. W przypadku cięższych naruszeń kary będą mogły wynieść do 20 mln euro kary, a w przypadku przedsiębiorstw do 4% ich rocznego światowego obrotu.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
