ubezpieczenie cyber polisa cyber przetwarzanie danych osobowych

Czy moja firma przetwarza dane osobowe?

Przetwarzanie danych osobowych

Każdy obywatel Rzeczypospolitej Polskiej posiada konstytucyjnie zagwarantowane prawo do prywatności i ochrony jego danych. Prawo to ponadto normowane jest przez szereg ustaw i rozporządzeń, których przepisy obowiązują podmioty przetwarzające dane osobowe. Firma prowadząc swoją działalność za pomocą Internetu, np. generując bazy adresowe klientów na komputerach podłączonych do sieci, prowadząc akcje meilingowe, newsletterowe czy smsowe przetwarza dane osobowe. To istotne, aby przedsiębiorcy mieli świadomość, że podlegają wówczas uregulowaniom prawnym a nieścisłości i uchybienia w kwestii bezpieczeństwa posiadanych danych podlegają karom.

Kary

O nałożeniu kary i jej wysokości decyduje Prezes Urzędu Ochrony Danych Osobowych. Wysokość grzywien ustalona została w dwóch progach – do 10 mln euro lub 2% rocznego obrotu oraz do 20 mln euro lub 4% rocznego obrotu. Od tego do jakiego progu odwoła się UODO zależy rodzaj naruszenia przepisów prawa o ochronie danych osobowych. Poza karami finansowymi ustawa przewiduje również kary pozbawienia wolności do lat 2 i do lat 3 w przypadku danych wrażliwych. W jakich sytuacjach przedsiębiorstwo może naruszyć normy przetwarzania danych?

Umowa powierzenia przetwarzania danych osobowych

Jeśli przedsiębiorca zleci firmie zewnętrznej np. informatycznej czy księgowej realizację usług, wymagających przekazania danych osobowych zobowiązany jest do sporządzenia umowy powierzenia przetwarzania danych osobowych. W przeciwnym wypadku może liczyć się z nałożeniem kary do wysokości pierwszego progu.

Zgłoszenie incydentu wycieku danych

W firmie prawniczej doszło do cyber kradzieży medycznych dokumentacji przekazywanych przez klientów na potrzeby procesowe. Administrator danych w ciągu 72 godzin nie zgłosił powyższego incydentu organowi nadzorczemu. W takim wypadku na kancelarię prawniczą może zostać nałożona kara do wysokości pierwszego progu.

Bezpieczeństwo danych

Pracownik agencji reklamowej zabrał do domu służbowy laptop, na którym zapisał tabelę z danymi klientów – imię i nazwisko oraz dane teleadresowe. Pracodawca nie zadbał jednak o zabezpieczenie sprzętu pracowniczego i nie zakodowano firmowych laptopów. Podczas drogi do domu pracownikowi agencji skradziono komputer z danymi klientów. Nie przestrzeganie zasady bezpieczeństwa przetwarzanych danych, z jakim mamy do czynienia w tym przypadku również karane jest grzywną pierwszego progu.

Zasada celowości

Firma gromadziła dane klientów na potrzeby zawarcia i realizacji umowy o świadczenie usług. Jeden z klientów nie wyraził zgody na przetwarzanie jego danych osobowych dla celów marketingowych. Po wygaśnięciu umowy, otrzymywał jednak oferty reklamowe od firmy. W tym przypadku mamy do czynienia z naruszeniem zasady celowości. Pierwotnym celem przetwarzania danych było bowiem zawarcie umowy z klientem. Po wygaśnięciu umowy natomiast, bez zgody klienta dalsze przetwarzanie danych do innych celów jest niezgodne z ustawą. Gdyby UODO nałożył karę grzywny na firmę, jej wysokość określałby w niniejszym przypadku próg drugi.

Zgoda na przetwarzanie danych

Sklep internetowy sprzedający zabawki zbiera od klientów zgody na przetwarzanie danych osobowych w celach marketingowych w połączeniu ze zgodą na przesyłanie informacji handlowych drogą elektroniczną. Klient może więc zaznaczyć obie zgody jednocześnie lub żadnej z nich. To praktyka nie zgodna z prawem, bowiem klient pozbawiony jest możliwości wyrażenia zgody na przetwarzanie jego danych osobowych w jednym konkretnym celu w sposób jednoznaczny. W takie sytuacji UODO nakłada grzywnę do wysokości drugiego progu.

Od czego zależy wysokość kary?

Jak czytamy w rozporządzeniu RODO, wysokość kar uzależniona jest od kilku czynników:

  • charakteru (umyślne czy nieumyślne) i czasu trwania naruszenia prawa,
  • skali poszkodowanych osób,
  • rozmiarów szkody poniesionych przez klientów,
  • wcześniejszych naruszeń prawa o ochronie danych osobowych przez kontrolowaną firmę.

Co ważne, inspektorzy UODO za każde uchybienie mogą nałożyć odrębną karę.

Przetwarzanie danych

Z powyższego wynika zatem, jak istotne znaczenie ma fakt uświadomienia sobie przez przedsiębiorcę, że realizując swoja działalność, dokonuje opartego na ściśle określonych zasadach prawa przetwarzania danych. Jeśli zatem firma wykonuje jedną lub kilka z poniższych czynności:

  • zbiera,
  •  utrwala,
  •  organizuje,
  •  porządkuje,
  •  przechowuje,
  •  adaptuje,
  •  modyfikuje,
  •  pobiera,
  •  przegląda,
  •  wykorzystuje,
  •  ujawnia poprzez przesyłanie, rozpowszechnianie lub innego rodzaju udostępnianie,
  •  dopasowuje, łączy,
  •  ogranicza,
  •  usuwa i niszczy

dane osobowe swoich klientów, zwłaszcza jeśli dokonuje je w systemach informatycznych, to przetwarza dane osobowe.

Zabezpieczenie

Firmy przetwarzające dane osobowe narażone są na ryzyko kosztów nie tylko kar administracyjnych. To także koszty cyber ataków, zadośćuczynień i odszkodowań, naprawy zaistniałych incydentów, odzyskania reputacji czy przestojów w działalności. Ze względu na nieustanny rozwój cyber przestępczości, w zasadzie nie istnieją rozwiązania dające 100 % pewność ochrony przed naruszeniem bezpieczeństwa przetwarzanych danych. Dlatego racjonalnym rozwiązaniem jest zabezpieczenie się na okoliczność kosztów odpowiednią polisą od ryzyk cybernetycznych.

 

Czytaj kolejny