W myśl art. 47 i 51 Konstytucji RP każdy ma prawo ochrony życia prywatnego , oraz nikt inny nie jest obowiązany do upewnienia informacji dotyczącej danej osoby. Przepisy prawne regulujące sposób przetwarzania danych osobowych znajdują odniesienie w ustawie o ochronie danych osobowych , która w dużej mierze odnosi się do Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady Europejskiej, na podstawie której polityka ochrony danych osobowych dotyczy również państw członkowskich .
Przedsiębiorca , jako podmiot będący osobą fizyczną prowadzącą działalność gospodarczą na podstawie ustawy o swobodzie działalności gospodarczej jest obowiązany do zastosowania odpowiednich środków technicznych i organizacyjnych zapewniających ochronę gromadzonych danych . Prawidłowy system ochrony danych osobowych w przedsiębiorstwie jest zależny od spełnienia podstawowych obowiązków głownie przesłanek dotyczących legalności przetwarzania danych osobowych.
Przedsiębiorca w tym zakresie dokonuje rejestracji zbioru danych osobowych w rejestrze prowadzonym przez Generalnego Inspektora Ochrony Danych Osobowych . Rejestracja następuje po wcześniejszym złożeniu wniosku, którego wzór określa
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 11 grudnia 2008 r. w sprawie zgłoszenia zbioru do rejestracji .
Przedsiębiorca wdrążając system ochrony danych osobowych powinien dokonać wcześniej inwentaryzacji danych osobowych dzięki której wyodrębnione zostaną zbiory oraz wymagania dotyczące funkcji systemu a także proces bezpieczeństwa związanych z przetwarzaniem danych . Ważne w tym przypadku są również szkolenia pracowników zajmujących się zakresem przetwarzania danych osobowych, takie szkolenia powinny odbywać się cyklicznie mając na celu konieczność aktualizacji wiedzy .
Nad prawidłowym przebiegiem szkoleń czuwać powinien Administrator Bezpieczeństwa Informacji .
W związku z prowadzeniem dokumentacji i gromadzenia danych osobowych w przedsiębiorstwie , przedsiębiorca jest zobowiązany do :
– zabezpieczenia danych przed udostępnieniem ich osobie nieupoważnionej
– pouczeniu o uprawnieniach przewidzianych w ustawie o ochronie danych osobowych
– udzieleniu odpowiedniej informacji na wniosek dotyczący przetwarzania danych osobowych
– wyznaczeniu administratora bezpieczeństwa informacji
– nadaniu pisemnego upoważnienia osobą które mają dostęp do danych
– opracowaniu i wdrążaniu dokumentacji opisującej sposób przetwarzania danych, a także zastosowanie środków technicznych i organizacyjnych zapewniających przetwarzanie danych .
Czynniki mające wpływ na decyzje osób udostępniających dane dotyczą głównie spraw związanych z zawarciem umowy np. umowy o prace, umowy pożyczki, a także dla wypełnienia obowiązku wynikającego ze stosunku pracy .
Ochrona danych osobowych w przedsiębiorstwie powinna dotyczyć zgodności systemu z aktualnymi regulacjami prawnymi oraz z dobrymi praktykami stosowanymi w przedsiębiorstwie. Ważne w tym przypadku jest zachowanie rzetelności i skrupulatności prowadzonej dokumentacji z danymi . Przedsiębiorca będący administratorem powinie zastosować odpowiednie wymogi odpowiadające analizie wszystkich procesów zachodzących w przedsiębiorstwie .Istotą jest tutaj audyt systemu danych osobowych który bada przebieg aspektów prawnych , organizacyjnych oraz teleinformatycznych. Wynikiem takiej procedury jest raport zawierający informacje dotyczące stanu ochrony. Każdy administrator danych występujący na rynku jako przedsiębiorca czy pracodawca jest zobowiązany do nadzorowania i przestrzegania obowiązków ochrony danych osobowych . Wiąże się to również z zastosowaniem odpowiednich urządzeń i systemów informatycznych gwarantujących prawidłowe przetwarzanie i archiwizowanie danych .
Naruszenie przepisów o ochronie danych osobowych przedsiębiorca ponosi karę pieniężną obecnie trwają prace dotyczące zwiększenia bezpieczeństwa ochrony danych osobowych . Parlament Europejski i Rada Europejska rozpatruje wprowadzenie w obieg prawny rozporządzenia które obowiązywałby bezpośrednio we wszystkich krajach członkowskich , na to na celu również zastąpienie dotychczasowej Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady Europejskiej w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Zwiększone również zostaną sankcje w tym zakresie oraz usprawniony zostanie system wdrożenia ochrony danych osobowych w przedsiębiorstwie.
