Za złamanie przepisów dotyczących ochrony danych osobowych firmom grożą kary sięgające nawet kilkuset tysięcy złotych, a planowana zmiana przepisów ma zwiększyć maksymalną grzywnę do miliona euro.
Oprócz kar finansowych można również ponieść odpowiedzialność karną. Z sankcjami muszą się liczyć nie tylko duże przedsiębiorstwa, ale także przedsiębiorcy prowadzący jednoosobową działalność. A złamać przepisy o ochronie danych jest bardzo łatwo.
Małe firmy często niesłusznie zakładają, iż problem ochrony danych osobowych nie dotyczy prowadzonego przez nich biznesu.
– Prawo zobowiązuje do zgłoszenia zbioru danych Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO), a przede wszystkim do zabezpieczenia zbioru przed dostępem osób nieupoważnionych nawet wtedy, gdy w bazie przedsiębiorcy znajduje się tylko jeden klient – wyjaśnia Mariusz Sarnecki, administrator bezpieczeństwa informacji w Tax Care. – Jeśli jest to osoba fizyczna, nieprowadząca działalności gospodarczej, ochronie podlegają wszystkie informacje, jakie znajdują się w bazie – np. imię i nazwisko, adres czy numer PESEL. Jeśli natomiast klientem jest przedsiębiorca, z ochrony wykluczone są tzw. dane jawne, znajdujące się w ewidencji działalności gospodarczej. Wystarczy jednak, że oprócz danych jawnych innego przedsiębiorcy mamy zapisany jego prywatny numer telefonu, adres miejsca zamieszkania, gdy jest inny niż adres prowadzonej działalności gospodarczej, adres e-mail lub PESEL – w takiej sytuacji powinniśmy stosować się już do ustawy o ochronie danych osobowych.
Każdy, kto dysponuje danymi osobowymi, ma obowiązek ich ochrony poprzez zastosowanie odpowiednich zabezpieczeń i wprowadzenie związanych z tym procedur. Przedsiębiorca, którego baza danych znajduje się w komputerach podłączonych do sieci publicznej, powinien zastosować najwyższy stopień bezpieczeństwa przetwarzanych danych osobowych.
WAŻNE! Oznacza to między innymi, że hasła do systemu powinny składać się z co najmniej 8 znaków zawierających małe i duże litery, cyfry oraz znaki specjalne, a komputery powinny być odpowiednio zabezpieczone przed atakami z zewnątrz.
– A ponieważ internet to już codzienność dla przedsiębiorców, w praktyce może to oznaczać, że wysoki poziom zabezpieczeń powinien obowiązywać w większości firm, nawet tych najmniejszych, jeśli tylko mają styczność z siecią – wyjaśnia Mariusz Sarnecki.
Firmy zobowiązane są między innymi do prowadzenia dokumentacji (w skład której wchodzi wymagana przepisami ustawy o ochronie danych osobowych polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych) oraz do prowadzenia ewidencji osób upoważnionych do przetwarzania danych.
Poza tym, firmy powinny przeprowadzać szkolenia osób w zakresie ochrony danych osobowych, odpowiednio zabezpieczyć pomieszczenia i szafy, w których znajdują się dane oraz zastosować ochronę dostępu do danych przetwarzanych w systemach informatycznych, które połączone są z siecią publiczną.
W każdej firmie powinien zostać powołany administrator bezpieczeństwa informacji, czyli osoba odpowiedzialna za przestrzeganie wszystkich zasad przetwarzania danych osobowych. GIODO może dokonywać kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych, podczas którego sprawdza m.in., czy są spełnione wskazane powyżej wymogi.
Za naruszenie ustawy o ochronie danych osobowych grozi zarówno odpowiedzialność karna, jak i finansowa. Ponosi ją osoba zarządzająca firmą – prezes lub jej właściciel. Wyjątkiem są art. 51 i 54a ustawy o ochronie danych osobowych, za których naruszenie może ponosić odpowiedzialność także pracownik przedsiębiorstwa.
Kary za nieprzestrzeganie zasad dotyczących ochrony danych osobowych mogą być dotkliwe, począwszy od ograniczenia lub pozbawienia wolności nawet do 2 lat, do kary finansowej: do 10 tys. zł dla osób fizycznych prowadzących działalność gospodarczą, do 50 tys. zł dla osób prawnych oraz jednostek organizacyjnych nieposiadających osobowości prawnej. W przypadku wielokrotnego nakładania grzywien w jednym postępowaniu egzekucyjnym ich łączna kwota nie może przekraczać – odpowiednio – 50 tys. zł oraz 200 tys. zł.
Przykładowo, w 2011 r. przedsiębiorca budowlany za niedopełnienie obowiązku informacyjnego na podstawie art. 54 ustawy o ochronie danych osobowych musiał zapłacić 10 tys. zł kary – sąd nałożył na niego karę grzywny 100 stawek dziennych w wysokości 100 zł.
Co więcej, obecnie trwają prace nad zmianą przepisów, które prowadzą do dalszego zaostrzenia tych kar: za nieprzestrzeganie przepisów o ochronie danych osobowych groziłaby kara finansowa nawet do 1 mln euro lub 5 proc. dochodu firmy. Nowe przepisy mają wejść w życie w całej Unii Europejskiej w ciągu 5 lat.
Agata Szymborska-Sutton – Tax Care
Fot. Getty Images