2015-02-10

Jak skutecznie chronić dane osobowe w swojej firmie? Instrukcja, krok po kroku, według ekspertów ODO 24.

Z roku na rok, coraz więcej firm zdaje sobie sprawę z tego, jak istotna jest właściwa ochrona przetwarzanych przez nie danych osobowych. Część z nich doskonale już wie, jak to robić, są jednak i takie, które nie do końca wiedzą od czego zacząć. Z myślą o nich eksperci ODO 24 przygotowali krótki przewodnik. W pięciu prostych krokach pokazujemy, na co warto zwrócić uwagę i o czym koniecznie trzeba pamiętać.

Krok 1. Audyt.

Pierwszym krokiem wdrażania systemu ochrony danych osobowych jest  audyt czyli sprawdzenie, jak obecnie firma chroni przetwarzane przez siebie dane osobowe.  W ramach audytu powinniśmy sprawdzić, kto i na jakich zasadach ma dostęp do danych, w jaki sposób zabezpieczamy dane przed dostępem osób nieuprawnionych (alarm, monitoring, itp.), a także, jak zabezpieczone są nasze systemy informatyczne (infrastruktura i oprogramowanie). jak też oprogramowania.

Krok 2. Dokumentacja

Po przeprowadzeniu audytu wiemy już, na ile bezpieczne są nasze dane – co robimy właściwie, a co wymaga zmian. Na tej bazie możemy przystąpić do opracowania wewnętrznych procedur postępowania z danymi osobowymi, tj. dokumentacji ochrony danych osobowych. Pełna dokumentacja zawiera Procedurę bezpieczeństwa, opisującą ogólne zasady przechowywania i przetwarzania danych oraz Instrukcję zarządzania systemem informatycznym. Co ważne, oba dokumenty muszą w pełni odpowiadać temu, co faktycznie jest realizowane w naszej firmie. Dopiero wówczas możemy mówić o jej wdrożeniu.

Krok 3. Szkolenia.

Mimo że prawo nie wymaga wprost przeprowadzania szkoleń z zakresu ochrony danych osobowych, to jednak od osób przetwarzających dane wymagane jest przestrzeganie obowiązujących zasad i przepisów. Warto więc zainwestować w tego typu szkolenia i zadbać przy tym, by oferta szkoleniowa, na którą się zdecydujemy, dotyczyła głównie zagadnień praktycznych i przykładów z życia wziętych, nie zaś jedynie teoretycznych rozważań prawnych.

Krok 4. Rejestracja zbiorów.

Kolejnym krokiem jest rejestracja zbiorów danych w GIODO. Zgodnie z nowelizacją ustawy o ochronie danych osobowych, która weszła w życie z początkiem tego roku, bezwzględnej rejestracji podlegają jedynie zbiory danych wrażliwych (zawierające informacje o stanie zdrowia, wyznaniu, orientacji seksualnej, itp). Zbiory zwykłe musimy zarejestrować tylko wówczas, gdy zdecydujemy się na samodzielną odpowiedzialność za dane przetwarzane w naszej firmie i nie powołamy administratora bezpieczeństwa informacji (ABI). Wnioski rejestrowe najprościej przygotować korzystając z systemu
e-GIODO. W przypadku danych zwykłych przetwarzanie można rozpocząć bezpośrednio po zgłoszeniu zbioru do GIODO. Przy danych wrażliwych musimy poczekać na rejestrację zbioru.

Krok 5. Umowy powierzenia

Poza rejestracją zbiorów warto też zadbać o zawarcie umów powierzenia przetwarzania danych osobowych z podmiotami zewnętrznymi, tzw. „procesorami” danych. Najczęściej są to dostawcy usług hostingowych, firmy oferujące outsourcing kadrowo-płacowy, czy też firmy windykacyjne. Ustawa o ochronie danych osobowych wymaga, aby umowy powierzenia były zawierane na piśmie. Jednak brak formy pisemnej nie oznacza, że umowa nie obowiązuje. Niespełnienie wymogu może jednak skutkować karą nałożoną przez GIODO.

*****

Proces wdrożenia zasad ochrony danych osobowych w firmie trwa zazwyczaj od dwóch do trzech miesięcy. Zdarza się jednak, że potrzeba na to znacznie więcej czasu, wszystko zależy od wielkości i złożoności organizacyjnej przedsiębiorstwa. Niezależnie od tego, jak długo to potrwa i jak dużego nakładu pracy będzie to od nas wymagało, warto zadbać zarówno o zgodne z prawem działanie własnej firmy, jak też o prawo do prywatności osób, których dane przetwarzamy. Świadomość społeczna w zakresie ochrony danych jest coraz większa, a więc coraz trudniej będzie tym, którzy nie robią wystarczająco wiele, by te dane chronić. Braki organizacyjne w tym zakresie świadczą już obecnie o braku profesjonalnego podejścia do biznesu.

Maciej Kaczmarski

Prezes zarządu ODO 24

Do pobrania

Logo ODO 24

"Nie potrzebujemy
żadnych narzędzi do RODO"

Jesteś tego pewien?

Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Potwierdź swój adres e-mail
Wejdź na swoją skrzynkę pocztową, otwórz wiadomość od ODO 24 i potwierdź adres e-mail, klikając w link.
Jeżeli nie znajdziesz naszej wiadomości - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz "Oznacz jako wiadomość pożądaną").
Odbierz bezpłatny pakiet 4 poradników
i 4 szkoleń e-learningowych RODO
4x4 - Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń RODO
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Administratorem Twoich danych jest ODO 24 sp. z o. o. >>>