Brak zabezpieczeń
Jak wskazuje Elżbieta Krzyżak, problem stanowią też niewłaściwie zabezpieczone systemy komputerowe, brak wdrożenia procesu logowania się do systemu oraz nieprzestrzeganie wymogów co do długości, złożoności i zmiany hasła. Warunki w tym zakresie określa rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. ( Dz. U. nr 100, poz. 1024) Generalny inspektor ochrony danych osobowych dr. Wojciech Rafał Wiewiórowski przyznaje,że zdarzają się przypadki niestosowanie odpowiednich zabezpieczeń systemów komputerowych przed atakami z zewnątrz i dostępem do danych osób nieuprawnionych.
Poprosiliśmy o opinię Panią Mecenas Joannę Kołodziejczyk:
Należy podkreślić, że gromadzone i przetwarzane przez przedsiębiorcę informacje dotyczące pracowników, zleceniobiorców, wykonawców, agentów, klientów lub kontrahentów stanowią dane osobowe, jeżeli dotyczą osób fizycznych i umożliwiają ich identyfikację. O ile informacje te tworzą zbiory danych (np. akta pracownicze, baza danych klientów, zestawienie faktur, itp.), podlegają regulacji ustawy o ochronie danych osobowych. W takim wypadku konieczne jest wdrożenie przez administratora danych mechanizmów ochrony przewidzianych w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
W Warszawie 14 grudnia 2012 r. zawarto porozumienie pomiędzy Biurem Generalnego Inspektora Ochrony Danych Osobowych (GIODO) a Państwową Inspekcją Pracy (PIP). Należy przypuszczać, że liczba kontroli w firmach znacząco wzrośnie, gdyż obowiązek dostosowania się do ustawy spoczywa na przedsiębiorcach już od 2004 roku. Ponieważ problem ochrony danych jest obecnie traktowany priorytetowo, obowiązki kontrolne przejmuje również PIP, który rocznie kontroluje dziesiątki tysięcy firm.
Oto niektóre zapisy porozumienia:
1. Porozumienie określa zasady współdziałania PIP i GIODO w realizacji ustawowych zadań dla podniesienia skuteczności działań na rzecz przestrzegania przepisów o ochronie danych osobowych w stosunkach pracy.
2. Państwowa Inspekcja Pracy zawiadamia GIODO o stwierdzonych w czasie kontroli nieprawidłowościach w zakresie zgodności przetwarzania danych z przepisami o ochronie danych osobowych. GIODO informuje Państwową Inspekcję Pracy o wynikach postępowania w sprawie nieprawidłowości określonych w zdaniu pierwszym.
1. Porozumienie określa zasady współdziałania PIP i GIODO w realizacji ustawowych zadań dla podniesienia skuteczności działań na rzecz przestrzegania przepisów o ochronie danych osobowych w stosunkach pracy.
2. Państwowa Inspekcja Pracy zawiadamia GIODO o stwierdzonych w czasie kontroli nieprawidłowościach w zakresie zgodności przetwarzania danych z przepisami o ochronie danych osobowych. GIODO informuje Państwową Inspekcję Pracy o wynikach postępowania w sprawie nieprawidłowości określonych w zdaniu pierwszym.
Co mówi ustawa
W myśl USTAWY z dnia 29 sierpnia 1997 r. o ochronie danych osobowych Każdy przedsiębiorca, który przetwarza dane osobowe np. takie jak dane pracowników, dane klientów, dane na fakturze, musi spełniać wymogi dotyczące bezpieczeństwa przetwarzania tych danych
a w szczególności posiadać odpowiednią politykę bezpieczeństwa i instrukcję zarządzania systemem informacyjnym sporządzoną w formie dokumentacji spełniającej wymagania. Ustawy i Rozporządzenia ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. Ponadto na przedsiębiorcy ciąży obowiązek mianowania lub pełnienia funkcji
Administratora bezpieczeństwa informacji.
W myśl USTAWY z dnia 29 sierpnia 1997 r. o ochronie danych osobowych Każdy przedsiębiorca, który przetwarza dane osobowe np. takie jak dane pracowników, dane klientów, dane na fakturze, musi spełniać wymogi dotyczące bezpieczeństwa przetwarzania tych danych
a w szczególności posiadać odpowiednią politykę bezpieczeństwa i instrukcję zarządzania systemem informacyjnym sporządzoną w formie dokumentacji spełniającej wymagania. Ustawy i Rozporządzenia ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. Ponadto na przedsiębiorcy ciąży obowiązek mianowania lub pełnienia funkcji
Administratora bezpieczeństwa informacji.
Przepisy karne
Ustawodawca przewidział wysokie kary za nieprzestrzeganie zapisów ustawy od 10 000 do nawet 50 000 zł kary oraz karę ograniczenia wolności albo pozbawienia wolności do roku. W rzeczywistości urzędnicy w przypadku uchybień zakazują przetwarzania danych co powoduje zawieszenie prowadzenia działalności do momentu uzupełnienia dokumentacji.Art. 52. Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Ustawodawca przewidział wysokie kary za nieprzestrzeganie zapisów ustawy od 10 000 do nawet 50 000 zł kary oraz karę ograniczenia wolności albo pozbawienia wolności do roku. W rzeczywistości urzędnicy w przypadku uchybień zakazują przetwarzania danych co powoduje zawieszenie prowadzenia działalności do momentu uzupełnienia dokumentacji.Art. 52. Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Źródło: Dziennik Gazeta Prawna 23.01.2013 r.