Za złamanie przepisów dotyczących ochrony danych osobowych firmom grożą kary sięgające nawet kilkuset tysięcy złotych, a planowana zmiana przepisów ma zwiększyć maksymalną grzywnę do miliona euro. Oprócz kar finansowych można również ponieść odpowiedzialność karną. Z sankcjami muszą się liczyć nie tylko duże przedsiębiorstwa, ale także przedsiębiorcy prowadzący jednoosobową działalność. A złamać przepisy o ochronie danych jest bardzo łatwo.

Z doświadczeń Tax Care wynika, że małe firmy często zakładają, iż problem ochrony danych osobowych nie dotyczy prowadzonego przez nich biznesu. Tymczasem zasady wynikające z ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U z 2002 r Nr 101, poz. 926 z późn. zm.) dotyczą zarówno instytucji publicznych (takich jak szkoły, urzędy centralne, samorządowe, szpitale, ZUS, itp.), jak i podmiotów sektora prywatnego - nie tylko dużych korporacji i spółek prawa handlowego, lecz także osób fizycznych prowadzących działalność gospodarczą.

Dane jednego klienta to już baza

No tak - powie niejeden jednoosobowy lub mikro przedsiębiorca - ale przecież mój biznes nie wymaga gromadzenia danych osobowych – nie zatrudniam pracowników, których dane są pod ustawową ochroną, mam tylko kilku stałych klientów, których dane znajdują się co prawda na moim komputerze, ale wykorzystuję je w zasadzie tylko do kontaktu z klientem i wystawienia faktury.

Niestety, te argumenty, choć logiczne, stoją w sprzeczności z wymaganiami ustawy dotyczącej danych osobowych.

- Prawo zobowiązuje do zgłoszenia zbioru danych Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO), a przede wszystkim do zabezpieczenia zbioru przed dostępem osób nieupoważnionych nawet wtedy, gdy w bazie przedsiębiorcy znajduje się tylko jeden klient – wyjaśnia Mariusz Sarnecki, administrator bezpieczeństwa informacji w Tax Care.

– Jeśli jest to osoba fizyczna, nieprowadząca działalności gospodarczej, ochronie podlegają wszystkie informacje, jakie znajdują się w bazie – np. imię i nazwisko, adres czy numer PESEL.

Jeśli natomiast klientem jest przedsiębiorca, z ochrony wykluczone są tzw. dane jawne, znajdujące się w ewidencji działalności gospodarczej. Wystarczy jednak, że oprócz danych jawnych innego przedsiębiorcy mamy zapisany jego prywatny numer telefonu, adres miejsca zamieszkania, gdy jest inny niż adres prowadzonej działalności gospodarczej, adres e-mail lub PESEL – w takiej sytuacji powinniśmy stosować się już do ustawy o ochronie danych osobowych.

Internet – duże źródło zagrożenia dla bezpieczeństwa danych

Każdy, kto dysponuje danymi osobowymi, ma obowiązek ich ochrony poprzez zastosowanie odpowiednich zabezpieczeń i wprowadzenie związanych z tym procedur. Przedsiębiorca, którego baza danych znajduje się w komputerach podłączonych do sieci publicznej, winien zastosować najwyższy stopień bezpieczeństwa przetwarzanych danych osobowych.

Oznacza to między innymi, że hasła do systemu powinny składać się z co najmniej 8 znaków zawierających małe i duże litery, cyfry oraz znaki specjalne, a komputery powinny być odpowiednio zabezpieczone przed atakami z zewnątrz.

- A ponieważ internet to już codzienność dla przedsiębiorców, w praktyce może to oznaczać, że wysoki poziom zabezpieczeń powinien obowiązywać w większości firm, nawet tych najmniejszych, jeśli tylko mają styczność z siecią – wyjaśnia Mariusz Sarnecki.



Administrator bezpieczeństwa konieczny w każdej firmie

Firmy zobowiązane są między innymi do prowadzenia dokumentacji (w skład której wchodzi wymagana przepisami ustawy o ochronie danych osobowych polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych) oraz do prowadzenia ewidencji osób upoważnionych do przetwarzania danych.

Poza tym, powinny przeprowadzać szkolenia osób w zakresie ochrony danych osobowych, odpowiednio zabezpieczyć pomieszczenia i szafy, w których znajdują się dane oraz zastosować ochronę dostępu do danych przetwarzanych w systemach informatycznych, które połączone są z siecią publiczną.

W każdej firmie powinien zostać powołany administrator bezpieczeństwa informacji, czyli osoba odpowiedzialna za przestrzeganie wszystkich zasad przetwarzania danych osobowych. GIODO może dokonywać kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych, podczas którego sprawdza m.in., czy są spełnione wskazane powyżej wymogi.

Za naruszenie ustawy o ochronie danych osobowych grozi zarówno odpowiedzialność karna, jak i finansowa. Ponosi ją osoba zarządzająca firmą – prezes lub jej właściciel. Wyjątkiem są art. 51 i 54a ustawy o ochronie danych osobowych, za których naruszenie może ponosić odpowiedzialność także pracownik przedsiębiorstwa.

Kary za nieprzestrzeganie zasad wynikających z ustawy o ochronie danych osobowych:
Art. 49 – za przetwarzanie danych osobowych bez podstawy prawnej – ograniczenie lub pozbawienie wolności do 2 lat
Art. 51 – za udostępnienie lub umożliwienie dostępu do danych osobom nieupoważnionym – ograniczenie lub pozbawienie wolności do 2 lat
Art. 52 – za niezabezpieczenie danych w odpowiedni sposób przed zabraniem, uszkodzeniem lub zniszczeniem przez osobę nieuprawnioną – ograniczenie lub pozbawienie wolności do roku
Art. 53 – za niezgłoszenie zbioru danych do rejestracji – ograniczenie lub pozbawienie wolności do 2 lat
Art. 54 – za niedopełnienie obowiązku poinformowania osoby, której dane dotyczą, o jej prawach, lub nieprzekazanie tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie – ograniczenie lub pozbawienie wolności do roku
Art. 54a – za udaremnianie lub utrudnianie wykonania czynności kontrolnej – ograniczenie lub pozbawienie wolności do 2 lat





Kary za nieprzestrzeganie zasad dotyczących ochrony danych osobowych mogą być dotkliwe, począwszy od ograniczenia lub pozbawienia wolności nawet do 2 lat do kary finansowej: do 10 tys. zł dla osób fizycznych prowadzących działalność gospodarczą do 50 tys. zł dla osób prawnych oraz jednostek organizacyjnych nieposiadających osobowości prawnej (w przypadku wielokrotnego nakładania grzywien w jednym postępowaniu egzekucyjnym ich łączna kwota nie może przekraczać odpowiednio 50 tys. zł oraz 200 tys. zł).

Przykładowo, w 2011 r. przedsiębiorca budowlany za niedopełnienie obowiązku informacyjnego na podstawie art. 54 ustawy o ochronie danych osobowych musiał zapłacić 10 tys. zł kary – sąd nałożył na niego karę grzywny 100 stawek dziennych w wysokości 100 zł.

Co więcej, obecnie trwają prace nad zmianą przepisów, które prowadzą do dalszego zaostrzenia tych kar: za nieprzestrzeganie przepisów o ochronie danych osobowych groziłaby kara finansowa nawet do 1 mln euro lub 5% dochodu firmy. Nowe przepisy mają wejść w życie w całej Unii Europejskiej w ciągu 5 lat.

Agata Szymborska-Sutton, Tax Care