Od pewnego czasu daje się zauważyć proceder niektórych podmiotów, które rozsyłają w sposób masowy do podmiotów gospodarczych mail’e o grożącej im odpowiedzialności za niedopełnienie obowiązku zgłoszenia zbiorów danych do rejestracji w rejestrze prowadzonym przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO).
Sprawą tą zainteresował się sam GIODO i w wydanym na jego stronie komunikacie czytamy, iż cyt. ”Zawarte w niej informacje są bowiem nierzetelne, niezgodne z przepisami prawa, w tym z ustawą o ochronie danych osobowych, ustawą o świadczeniu usług drogą elektroniczną, jak też mogą naruszać dobre imię firm”. Nadto, wskazuje on również, iż cyt. „należy przypomnieć, że żaden przepis nie uprawnia GIODO do nakładania kar finansowych, w tym za niezgłoszenie zbioru danych osobowych do rejestracji. Za niedopełnienie tego obowiązku przewidziana jest odpowiedzialność karna, jednak o rodzaju kary decyduje sąd. Nawet jeśli byłaby nią kara grzywny, to nakłada ją sąd, i to on określa jej wysokość. GIODO może nałożyć jedynie grzywnę, ale tylko w celu przymuszenia, w przypadku niewykonania wydanej przez niego decyzji.” (źródło: http://giodo.gov.pl/560/id_art/8555/j/pl/)
Niemniej jednak, należy podkreślić, że istotnie, ustawodawca przewidział, iż wszelkie podmioty, które w jakikolwiek sposób przetwarzają dane osobowe osób fizycznych mają obowiązek stosowania wszelkich środków technicznych i organizacyjnych zapewniających ochronę danych osobowych tychże osób fizycznych.
W skrócie rzecz ujmując, od strony dokumentacyjnej, obowiązek ów przejawia się przede wszystkim w konieczności posiadania w spółce odpowiedniej dokumentacji dotyczącej ochrony danych osobowych. Należy do nich przede wszystkim, dokument pn. Polityka Bezpieczeństwa Ochrony Danych Osobowych oraz Instrukcja Zarządzania Systemem Informatycznym w danym podmiocie.
Pierwszy z tych dokumentów, powinien zawierać m. in. zasady, jakie przyświecają przedsiębiorcy w celu skutecznej ochrony danych osobowych, które poddaje przetwarzaniu w toku swojej działalności (wykaz budynków, pomieszczeń, w których przetwarzane są dane, wykaz zbiorów danych przetwarzanych, sposób przepływu tychże danych etc.).
Instrukcja Zarządzania Systemem Informatycznym z kolei, opisywać takie kwestie, jak procedury nadawania uprawnień do przetwarzania danych osobowych, sposoby zabezpieczenia systemu przed złośliwym oprogramowaniem, procedury wykonania przeglądów, konserwacji itp.).
Prócz tego, podmiot przetwarzający dane osobowe, powinien posiadać także szereg innych dokumentów, potwierdzających np. fakt udzielenia upoważnienia do przetwarzania danych osobowych, oświadczenia takich osób potwierdzających fakt zapoznania się z dokumentacją dotyczącą ochrony danych osobowych w podmiocie, przyjęcia zobowiązania przestrzegania zawartych w nich zasad.
W ślad za tym, podmiot przetwarzający dane osobowe powinien także prowadzić odpowiednie rejestry/ewidencje takich właśnie udzielonych upoważnień, rejestr incydentów i zdarzeń (związanych z przypadkami naruszenia ochrony danych osobowych w podmiocie), przy czym, z naruszenia bezpieczeństwa przetwarzania danych, za każdym razem należy sporządzać raport (czyli, co, gdzie, kiedy, jakie podjęto działania, postępowanie wyjaśniające rejestr udostępniania danych osobowych).
