Ochrona danych osobowych w firmie jest regulowana rozporządzeniem Unii Europejskiej RODO (Rozporządzenie o Ochronie Danych Osobowych). RODO, które obowiązuje od 25 maja 2018 roku, to swoista instrukcja obsługi danych osobowych dla firm i konsumentów – mówi o prawach osób, których dane są przetwarzane oraz obowiązkach firm i instytucji dysponujących tymi danymi. Aby zrozumieć, na czym polega ochrona danych osobowych, warto poznać definicję przetwarzania danych osobowych.
>>> Zobacz także:
- Ogromne kary finansowe za wyciek danych osobowych
- Pierwsza kara za złamanie przepisów RODO - niemal milion złotych!
- Ma 15 długów, bo jej mężowi ukradli dane osobowe
Przetwarzanie danych osobowych – co to jest?
Jeśli firma zbiera dane osobowe swoich klientów, a następnie wykonuje na nich operacje (udostępnia, kataloguje, opracowuje w formie dokumentów fizycznych lub elektronicznych), mówimy o przetwarzaniu danych osobowych.
Zgodnie z RODO, dane osobowe to każda informacja związana z osobą prywatną (np. klientem lub pracownikiem). Do danych osobowych zaliczamy: imię, nazwisko, PESEL, adres czy numer konta bankowego. Do tej kategorii zaliczają się także zdjęcia danej osoby, adres IP komputera, a nawet aktywność w mediach społecznościowych danej osoby, jeśli zbieramy je i przechowujemy w bazie informacji naszej firmy.
Według dyrektywy RODO nie ma znaczenia, czy dana firma gromadzi informacje dotyczące prywatnego czy publicznego (w tym zawodowego) życia danej osoby. Dane osobowe to po prostu wszelkie informacje, które dotyczą osoby. Również w sektorze B2B (biznesie między firmami), gdzie stronami transakcji lub umów są firmy, prędzej czy później pojawią się dane konkretnych osób podlegające ochronie. Oczywiście odpowiednia ochrona danych osobowych jest obowiązkowa także w firmie jednoosobowej.
Ochrona danych osobowych – prawa klienta
Jak ma wyglądać ochrona danych osobowych w firmie? Instrukcja z dyrektywy RODO mówi, że każdy klient firmy musi mieć zagwarantowane ustawowo poniższe prawa. Ich przestrzeganie jest częścią procesu ochrony danych osobowych zarówno w małej, jak i dużej firmie.
Prawo dostępu
Klienci mogą żądać nie tylko dostępu do gromadzonych przez firmę danych na ich temat, ale też oczekiwać wyjaśnień, do czego konkretnie firma używa danych na ich temat oraz w jaki sposób je przetwarza. Firma musi dostarczyć klientowi stosowne informacje nieodpłatnie, na życzenie klienta w formie elektronicznej. Z tego powodu ochrona danych osobowych w firmie wymaga dokumentacji lub rejestru, który pozwoli udzielić klientowi stosownych informacji.
Prawo do bycia zapomnianym
Klient lub konsument może wycofać zgodę na gromadzenie i przetwarzanie przez firmę danych na jego temat. W takim wypadku firma jest zobowiązana do usunięcia danych ze swoich zbiorów – zarówno fizycznych, jak i elektronicznych.
Prawo do przenoszenia danych
Klient ma prawo do przeniesienia danych zebranych na swój temat przez jedną firmę do innej firmy. Może tak się wydarzyć w przypadku chęci skorzystania z konkurencyjnych usług, np. przy zmianie operatora sieci komórkowej.
Prawo do bycia informowanym
Klient musi wiedzieć, że jego dane są zbierane i przetwarzane oraz wyrazić na to zgodę.
Prawo do zmiany informacji
Klient może w dowolnym momencie zażądać zmiany danych (adresu, numeru konta bankowego itp.), które znajdują się w systemie informatycznym firmy lub w formie fizycznej.
Prawo do odmowy
To prawo klienta do zaprzestania przetwarzania jego danych (np. do celów marketingowych). Nie ma odstępstw od tej reguły i wszelkie przetwarzanie danych musi się zakończyć, gdy tylko klient tego zażąda.
Prawo do bycia ostrzeżonym
W przypadku wycieku danych osobowych klient musi zostać o tym poinformowany w ciągu 72 godzin. Oczywiście nie zdejmuje to z firmy odpowiedzialności za wyciek danych.
Handel danymi osobowymi - jak to wygląda?
Niestety w wielu firmach dochodzi do wycieku danych osobowych i sprzedaży baz na czarnym rynku. Na trop osób, które dopuszczają się takiego procederu wpadł dziennikarz "Uwagi!", Marcin Jakóbczyk. Tematem zainteresował się po tym, kiedy niemal każdego dnia odbierał telefony od telemarketerów. Na pytanie skąd mają jego numer, zazwyczaj padała odpowiedź, że został on wylosowany.
Dziennikarz pogrzebał trochę w internecie i okazało się, że bez problemu bazy z danymi osobowymi można kupić na czarnym rynku. Skontaktował się z jedną z osób, które oferowały sprzedaż danych osobowych. Kobieta po kilku rozmowach zgodziła się na wysłanie próbki bazy zawierającej aż 26 tys. rekordów. Były w niej między innymi: imiona, nazwiska, adresy, nr pesel, nr rachunków bankowych, informacje o saldach na rachunkach, zaciągniętych kredytach klientów jednego z komercyjnych banków w Polsce. Na spotkaniu okazało się, że kobieta może sprzedać więcej danych, a mianowicie 650 tys. za 400 zł!
Powiedziała nam, że 6 lat temu pracowała w banku jako szefowa działu telemarketingu i tę bazę sobie po prostu wyniosła. A teraz aktualizuje ją na bieżąco, poprzez swoich przyjaciół, których ma w banku. Sprawdziliśmy i baza w 80 proc. była aktualna.
- powiedział Jakóbczyk.
Baza, którą zakupił dziennikarz pozwoliła mu na nabycie telefonu w jednej z sieci komórkowej. Oczywiście zrobił to w porozumieniu z osobą, której danych zamierzał użyć. Kurier przywiózł mu telefon wartości 1000 zł i nawet nie zapytał o dowód osobisty.
Ochrona danych osobowych w firmie – jakie działania podjąć?
W celu ochrony danych osobowych konieczne są konkretne działania, które pozwolą uniknąć kar, które mogą sięgnąć 10 mln Euro lub 2 proc. rocznego obrotu. Do najważniejszych działań chroniących dane osobowe przed wyciekiem, kradzieżą lub fizycznym zniszczeniem można zaliczyć:
- ochronę firmowych komputerów i smartfonów – dzięki zastosowaniu programów antywirusowych czy tzw. bezpiecznych haseł, a także stworzeniu procedur postępowania w przypadku kradzieży sprzętu;
- monitorowanie danych osobowych zbieranych w firmie – posiadanie informacji, który pracownik ma dostęp do jakich danych, a także stosowanie oprogramowanie monitorującego przesył danych na firmowych komputerach;
- przechowywanie danych tylko na niezbędnej liczbie komputerów lub innych urządzeń;
- minimalizację danych, czyli zbieranie od klientów tylko tych informacji osobowych, których faktycznie potrzebujemy – np. zakładowi fryzjerskiemu wystarczy numer telefonu klienta i wcale nie musi pozyskiwać od niego adresu czy daty urodzenia;
- usuwanie danych z wymienianego sprzętu;
- stworzenie polityki ochrony danych osobowych lub polityki ochrony informacji i przeszkolenie pracowników z jej znajomości.
Autor: Redakcja Dzień Dobry TVN