Bezpieczeństwo informacji

Zgodnie z wymogami Ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych, firmy obowiązuje opracowanie i wdrożenie polityki bezpieczeństwa informacji, która formalizuje sposób ochrony i dystrybucji informacji osobowych w strukturach organizacji oraz opracowanie instrukcji zarządzania systemem informatycznym przeznaczonym do realizacji procesów dokonywanych na danych osobowych.

Obowiązek ten dotyczy firm, które zatrudniają chociażby jednego pracownika. Zmiana Ustawy wprowadzona 1 stycznia 2012 roku włącza do przepisów ustawy o ochronie danych osobowych przedsiębiorców i wszystkie informacje identyfikujące ich w obrocie gospodarczym. Obowiązek ma moc egzekucyjną nawet wtedy, gdy baza firmy uwzględnia dane zaledwie jednego klienta. W sytuacji, kiedy zbiór zawiera informacje dotyczące osoby fizycznej nieprowadzącej działalności gospodarczej, zabezpieczenia wymagają wszystkie dostępne w tym rekordzie dane (dla przykładu będzie to imię i nazwisko, adres czy PESEL).

W przypadku danych identyfikujących firmę, z ochrony wyłączone są informacje dostępne w ewidencji działalności gospodarczej przedsiębiorcy. Wszystkie jednak dane wykraczające poza zbiór jawny, w tym prywatny numer kontaktowy czy adres różniący się od tego, pod którym figuruje działalność, podlegają już regulacjom ustawy. Zgodnie z decyzjami GIODO oraz orzeczeniami sądów administracyjnych, dane osobowe to także numery telefonów i adresy e-mail.

W celu utrzymania spójnego i zgodnego z prawem systemu przetwarzania danych, istotne jest powołanie Administratora Bezpieczeństwa Danych, który odpowiada za poprawność wszystkich procesów przetwarzania danych i szkolenia pracowników. ABI to również osoba, odgrywająca główną rolę w sytuacji kontroli z GIODO. SoftProject przeprowadza szkolenia dla przyszłych Administratorów Bezpieczeństwa, a w ramach konsultacji, nasi specjaliści wspierają personel i administratorów klienta w procesie wdrażania procedur wynikających z Ustawy.

Oferta SoftProject obejmuje:

Jakie są konsekwencje niestosowania się do wymogów ustawy?

  • blokada wszelkich operacji dokonywanych na zbiorach danych, włącznie z utrwalaniem, przechowywaniem czy udostępnianiem ze szczególnym uwzględnieniem działań wykonywanych w systemach informatycznych
  • kary finansowe w wysokości od 50 000 do 200 000 PLN
  • pozbawienie wolności do lat 3 – odpowiedzialność najwyższego kierownictwa organizacji

Dla znakomitej większości firm to nie kary finansowe stanowią krytyczne utrudnienie w prowadzeniu dalszej działalności. Najbardziej dotkliwą konsekwencją, jest wydany przez GIODO, czasowy zakaz przetwarzania danych osobowych. W przypadku biznesu e-commerce, który całą swoją komunikację z klientem i transakcje realizuje w środowisku sieciowym, w najlepszym układzie stanowi to zamrożenie aktywności na określony czas z perspektywą trudnych do oszacowania strat finansowych. W najgorszym i pewnie częstym scenariuszu – prowadzącą do upadłości.