Jeśli wysyłasz newslettery do potencjalnych klientów, wprowadzasz dane do CRM lub przekazujesz dane klientów telemarketerom, to znaczy, że przetwarzasz dane osobowe. I co więcej, według ustawy z 1997 roku jesteś zobowiązany do ich odpowiedniej ochrony. Rejestracja zbioru danych w GIODO dotyczy każdej instytucji, która nimi dysponuje i je przetwarza, choć – naturalnie – są i od tego wyjątki, również określone w ustawie.
I tak, na przykład, nie podlegają rejestracji zbiory danych, których gromadzenia wymaga prawo – w tym dane służące wystawianiu faktur, dane powszechnie dostępne, niejawne, a nawet związków wyznaniowych.
Każda bowiem instytucja, która wykorzystuje dane osobowe, podlega ustawowemu obowiązkowi rejestracji w GIODO. (Są jednak wyjątki, o których zostało już wyżej wspomniane). Niewątpliwie firma, która w celach marketingowych korzysta z danych, a więc np. wysyła newsletter, sms-y czy dzwoni do klientów, podlega obowiązkowi rejestracji. Również sklepy internetowe, które zbierają dane wyłącznie do wysyłki (choć bywa, że i również dla marketingu), muszą zgłosić rejestrację danych w GIODO. Warto tu wspomnieć, że dane e-mailowe to również dane podlegające ustawowej rejestracji. Danymi osobowymi są wszystkie te dane, które pozwalają zidentyfikować człowieka, w tym zdjęcie, PESEL czy imię i nazwisko, które często występuje w e-mailach.
Wypełnienie wniosku dla GIODO to tylko początek drogi. Aby dokonać rejestracji, trzeba jeszcze załączyć dwa dokumenty – jeden określa politykę bezpieczeństwa informacji, drugi – instrukcję zarządzania systemem informatycznym. Wypełnienie tych wniosków sprawia pewne trudności wnioskodawcom, dlatego pomagają im je wypełniać firmy doradcze. Przeprowadzają one nie tylko przez proces rejestracji w GIODO, ale i również dokonują audytu danych.
W wypadku kontroli inspektora jedna firma nie przestrzegająca obowiązków wynikających z ustawy może uiścić nawet do 200 000 złotych kary. Sam brak rejestracji danych w GIODO może skutkować ograniczeniem wolności, a nawet pozbawieniem jej do roku. Warto pamiętać, że inspektor wcale nie musi osobiście fatygować się do siedziby firmy, wystarczy, że sprawdzi ją w swoich rejestrach.
O wadze ochrony danych przypominać ma październik, który został ogłoszony miesiącem ochrony tożsamości. W związku z tym w minionym miesiącu odbyła się akcja „Nie daj się okraść, chroń swoją tożsamość”. W jej ramach uczestnicy przeszukali zasoby śmieci w warszawskim MPO, aby dowiedzieć się, czy firmy i osoby prywatne należycie dbają o ochronę danych osobowych.
Dokumenty, które odnaleziono wśród innych śmieci, w blisko połowie pochodziły z domów, ponad 40% z instytucji. Z przeważającej większości dokumentów można było wyczytać dokładne dane (84% w przypadku firm, wskaźnik ten dla domów wyniósł 87%). Wśród wyrzuconych i niezniszczonych dokumentów uczestnicy akcji odnaleźli nie tylko imiona i nazwiska, adresy czy numery telefonów, ale także dane finansowe, pisma urzędowe, raporty medyczne, świadectwa ślubu itd.
60% dokumentów, z których można było wyczytać wszystkie informacje, stanowiły idealny łup dla złodziei tożsamości. Akcja ta miała na celu uświadomienie społeczeństwa, jak ważne jest zabezpieczania i utylizacja danych, o czym – jak widać – zapominają nie tylko domownicy, ale i również firmy, które przecież według ustawy muszą zabezpieczać dane osobowe.
Z instytucji wypływają poufne dane nie tylko w formie papierowych dokumentów, które można znaleźć na śmietniku. Bywa, że i firmy wskutek działań np. hakerów tracą bazy danych. Wyrzucają również urządzenia elektroniczne, z których przecież też można wydobyć dane. Jeśli nie jesteś pewien, czy Twoja firma dba należycie o dane osobowe, zawsze możesz zamówić zewnętrzną firmę, która przeprowadzi audyt.
Źródła:
Dodaj nowy komentarz