Co raz częściej media informują o aferach związanych z wyciekiem danych osobowych. Wydawałoby się, że to tylko szukanie sensacji, zwłaszcza że jeszcze 15 lat temu nikt nie przywiązywał większej wagi do ochrony danych osobowych, a niecałe 5 lat temu można było znaleźć na śmietniku szpalty dokumentów z danymi czy nawet archiwa akt policyjnych.
Tymczasem w dobie Internetu dane osobowe to towar wart bardzo wiele, towar na którym można zrobić świetny biznes. Każda kampania reklamowa wykorzystująca targetowanie, korzysta z danych osobowych podawanych w Sieci. To dzięki nim zarówno małe firmy jak i wielkie korporacje mogą docierać do potencjalnych klientów, tworzyć idealnie dopasowane oferty do potrzeb konsumentów.
Nie wspomnę już o „ciemniejszej stronie mocy” czyli wykorzystywaniu danych do podszywania się w Sieci, kradzieży tożsamości, numerów kart kredytowych czy rozsyłaniu spamu z wykorzystaniem fikcyjnych adresów nadawców.
Podejmij właściwą decyzję.
Mając świadomość jaką wartość stanowią dane osobowe trudniej jest machnąć ręką na zagadnienia związane z ich ochroną lub stwierdzić: mojego biznesu to nie dotyczy.
Dotyczy, nawet bardzo, bo przestępcom łatwiej jest zdobyć dane osobowe klientów małego biznesu niż dużej korporacji.
Przede wszystkim jednak – dbając o dane osobowe swoich klientów postąpisz zgodnie z prawem i wzmocnisz wizerunek profesjonalisty. Zresztą narażanie się na kontrolę z Biura GIODO i kary za nielegalne przetwarzanie danych osobowych nie jest zbyt rozsądne (przyp.: kontrole w firmach bardzo często są skutkiem „uprzejmego donosu” niezadowolonego klienta).
Przepisy?! – nie panikuj!
Skoro już decydujesz się na ochronę danych osobowych, to zaczynasz interesować się tematem: pytasz na forach, szukasz w Googlu, czytasz publikacje z różnych źródeł – stop! Nie tym razem! Nierzetelnych informatorów w Sieci nie brakuje, a przecież cała odpowiedzialność ciąży na Tobie i za ich błędy możesz prędzej lub później odpowiedzieć Ty.
W tej kwestii zacznij od zapoznania się z Ustawą z dnia 29 sierpnia 1997 o ochronie danych osobowych. Tekst ustawy na początku może być niezbyt jasny. Podsumujmy jednak co z niego wynika dla zwykłego przedsiębiorcy czy też osoby prywatnej, która zbiera, a zatem przetwarza dane osobowe.
Ustawa nakłada na administratora danych osobowych, konkretne obowiązki – są to:
- prowadzenie dokumentacji ochrony danych osobowych, na którą składają się w szczególności:
- polityka bezpieczeństwa
- instrukcja zarządzania systemem informatycznym
- wydawanie osobom, z którymi współpracuje upoważnień do przetwarzania danych osobowych,
- prowadzenie ewidencji wydanych upoważnień,
- zarejestrowanie zbiorów danych osobowych, które podlegają obowiązkowi rejestracji,
- zabezpieczenie danych w systemie, czyli w plikach, bazach, aplikacjach, na komputerach lokalnych oraz na serwerach.
- wyznaczenie osoby odpowiedzialnej za przestrzeganie prawa zw. z ochroną danych osobowych w firmie – tzw. Administratora Bezpieczeństwa Informacji lub zadeklarowanie pełnienia funkcji samodzielnie.
- dopilnowanie aby na stronach internetowych i w regulaminach znalazły się odpowiednie klauzule: informacyjna i zgody na przetwarzanie danych osobowych.
- podpisanie umowy powierzenia przetwarzania danych osobowych z podmiotami, które wykonują część zadań związanych z przetwarzaniem danych osobowych na zlecenie np. z firmą hostingową czy biurem rachunkowym.
Uff… to tyle. Lista jest całkiem długa, ale bez paniki! Pomimo że to wszystko wydaje się dość skomplikowane, można spokojnie i rozważnie podejść do tematu. Wiele wyjaśnień znajdziesz na portalu: edugiodo.giodo.gov.pl. Możesz też poprosić o pomoc specjalistę.
Tu jednak warto zachować rozsądek i nie szukać od razu adresu kancelarii prawnej – w tym wypadku sama znajomość prawa to nie wszystko – odpowiedni doradca musi jeszcze posiadać praktyczną wiedzę z zakresu zabezpieczeń systemów, sieci i sprzętu.
Jak właściwie zabezpieczyć zbiory i czym są dane wrażliwe – o tym napiszę w kolejnych publikacjach.
Tematyka ochrony danych osobowych jest ostatnio szczególnie istotna. Zresztą sam o nich niedawno pisałem, we wpisie: http://websem.pl/artykuly/dane-osobowe-w-marketingu-internetowym/ – i co ważne podkreślenia, na dane natrafiamy dosłownie co chwilę. Otworzymy subskrybcję – ciach, obsługujemy e-produkty klientów mailowo/transakcyjnie – ciach: dane.
Generalnie możemy dojść do wniosku, że co działanie w sieci to dane 😉
Oj tak, masz rację.
Jak widziałeś, dział był na blogu, tylko pusty – teraz dzięki p. Monice powinno pójść „z górki” 🙂
Wniosek będzie jak najbardziej prawidłowy. W chwili obecnej każda najmniejsza firma działa z wykorzystaniem danych osobowych a w związku z tym podlega obowiązkom ustawowym. Inna sprawa, że spełnienie wymagań naprawdę nie jest aż tak karkołomne – u większości moich klientów działających na zasadach „home-office” często wystarczą niewielkie zmiany konfiguracji: w systemie, programie antywirusowym i ewentualnie na routerze wymagające chwili czasu a dodatkowe koszta to zazwyczaj inwestycja w listwę zasilającą czy np. małą gaśnicę – to nie dramat… 🙂
No właśnie – co podchodzi pod GIODO, a co nie?
Np. adres e-mail, służący do identyfikacji w komentarzach, z imieniem i nazwiskiem użytkownika – to dane osobowe, czy nie :)?
Sebastian, popraw link do witryny Pani Moniki – brak 301 i z www nie śmiga ;).
Adres email oraz imię i nazwisko to jak najbardziej dane osobowe. Pod GIODO a ściślej pod Ustawę „podchodzą” wszystkie dane osobowe, które przetwarzamy w celach zawodowych, zarobkowych i statutowych. Ustawy nie stosujemy natomiast przy przetwarzaniu danych osobowych w celach osobistych lub domowych.
Pani Moniko, może Pani rozwinąć pierwszy punkt o prowadzeniu dokumentacji? Także mam pytanie odnośnie rejestracji danych. Dokonałem jej ale czy otrzymam jakieś potwierdzenie, ponieważ nie przyszło nic w odpowiedzi.
O dokumentacji napiszę w kolejnych wpisach. Jeśli chodzi o rejestrację – nie otrzyma Pan potwierdzenia ale powinien Pan dostać dane na platformę GIODO, które umożliwią sprawdzenie statusu i samodzielnie proszę badać zawartość rejestru.