Jakie obowiązki nakłada na firmy w zakresie ochrony danych osobowych ustawa z dnia 29 sierpnia 1997 o ochronie danych osobowych?
Firmy zajmujące się wdrażaniem tej ustawy naciskają, by biuro rachunkowe wykonywało różne czynności z tym związane, informując jednocześnie, że PIP może kontrolować wdrażanie tej ustawy.
Odpowiedź: ustawę o ochronie danych osobowych stosuje się do podmiotów publicznych jak i prywatnych, jeżeli przetwarzają dane osobowe.
Uzasadnienie: zgodnie z art. 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz. U. z 2014 r. poz. 1182) - dalej u.o.d.o. ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych, jak również do podmiotów niepublicznych realizujących zadania publiczne oraz osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych. W świetle powyższego, biuro rachunkowe, w którym przetwarzane są dane osobowe objęte jest zakresem podmiotowym ustawy o ochronie danych osobowych.
Polecamy: Istotny wpływ na przetwarzanie danych osobowych przez pracodawców będzie miało unijne rozporządzenie
W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Z kolei przetwarzanie danych obejmuje jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Ustawa nakłada szereg obowiązków na administratora danych, tj. organ, jednostkę organizacyjną, podmiot lub osobę, decydujące o celach i środkach przetwarzania danych osobowych. Przede wszystkim administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi (wyjątki w tym zakresie określa ustawa), poinformować osobę, której dane dotyczą, o jej prawach oraz prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych. Administrator danych może też powołać administratora bezpieczeństwa informacji.
Poza ww. ustawą kwestie związane z ochroną danych osobowych reguluje rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024), rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz.U. Nr 229, poz. 1536), rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz.U. poz. 1934), rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz.U. poz. 719), rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. poz. 745).
Jednocześnie należy wskazać, że organem do spraw ochrony danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych. Państwowa Inspekcja Pracy jako organ nadzoru i kontroli przestrzegania przepisów prawa pracy nie ma więc kompetencji w zakresie kontrolowania wdrażania przepisów ustawy o ochronie danych osobowych.