"Zidentyfikowaliśmy wszystkie możliwe ryzyka”
Jesteś tego pewien?
Z roku na rok, coraz więcej firm zdaje sobie sprawę z tego, jak istotna jest właściwa ochrona przetwarzanych przez nie danych osobowych. Część z nich doskonale już wie, jak to robić, są jednak i takie, które nie do końca wiedzą od czego zacząć. Z myślą o nich eksperci ODO 24 przygotowali krótki przewodnik. W pięciu prostych krokach pokazujemy, na co warto zwrócić uwagę i o czym koniecznie trzeba pamiętać.
Krok 1. Audyt.
Pierwszym krokiem wdrażania systemu ochrony danych osobowych jest audyt czyli sprawdzenie, jak obecnie firma chroni przetwarzane przez siebie dane osobowe. W ramach audytu powinniśmy sprawdzić, kto i na jakich zasadach ma dostęp do danych, w jaki sposób zabezpieczamy dane przed dostępem osób nieuprawnionych (alarm, monitoring, itp.), a także, jak zabezpieczone są nasze systemy informatyczne (infrastruktura i oprogramowanie). jak też oprogramowania.
Krok 2. Dokumentacja
Po przeprowadzeniu audytu wiemy już, na ile bezpieczne są nasze dane – co robimy właściwie, a co wymaga zmian. Na tej bazie możemy przystąpić do opracowania wewnętrznych procedur postępowania z danymi osobowymi, tj. dokumentacji ochrony danych osobowych. Pełna dokumentacja zawiera Procedurę bezpieczeństwa, opisującą ogólne zasady przechowywania i przetwarzania danych oraz Instrukcję zarządzania systemem informatycznym. Co ważne, oba dokumenty muszą w pełni odpowiadać temu, co faktycznie jest realizowane w naszej firmie. Dopiero wówczas możemy mówić o jej wdrożeniu.
Krok 3. Szkolenia.
Mimo że prawo nie wymaga wprost przeprowadzania szkoleń z zakresu ochrony danych osobowych, to jednak od osób przetwarzających dane wymagane jest przestrzeganie obowiązujących zasad i przepisów. Warto więc zainwestować w tego typu szkolenia i zadbać przy tym, by oferta szkoleniowa, na którą się zdecydujemy, dotyczyła głównie zagadnień praktycznych i przykładów z życia wziętych, nie zaś jedynie teoretycznych rozważań prawnych.
Krok 4. Rejestracja zbiorów.
Kolejnym krokiem jest rejestracja zbiorów danych w GIODO. Zgodnie z nowelizacją ustawy o ochronie danych osobowych, która weszła w życie z początkiem tego roku, bezwzględnej rejestracji podlegają jedynie zbiory danych wrażliwych (zawierające informacje o stanie zdrowia, wyznaniu, orientacji seksualnej, itp). Zbiory zwykłe musimy zarejestrować tylko wówczas, gdy zdecydujemy się na samodzielną odpowiedzialność za dane przetwarzane w naszej firmie i nie powołamy administratora bezpieczeństwa informacji (ABI). Wnioski rejestrowe najprościej przygotować korzystając z systemu
e-GIODO. W przypadku danych zwykłych przetwarzanie można rozpocząć bezpośrednio po zgłoszeniu zbioru do GIODO. Przy danych wrażliwych musimy poczekać na rejestrację zbioru.
Krok 5. Umowy powierzenia
Poza rejestracją zbiorów warto też zadbać o zawarcie umów powierzenia przetwarzania danych osobowych z podmiotami zewnętrznymi, tzw. „procesorami” danych. Najczęściej są to dostawcy usług hostingowych, firmy oferujące outsourcing kadrowo-płacowy, czy też firmy windykacyjne. Ustawa o ochronie danych osobowych wymaga, aby umowy powierzenia były zawierane na piśmie. Jednak brak formy pisemnej nie oznacza, że umowa nie obowiązuje. Niespełnienie wymogu może jednak skutkować karą nałożoną przez GIODO.
*****
Proces wdrożenia zasad ochrony danych osobowych w firmie trwa zazwyczaj od dwóch do trzech miesięcy. Zdarza się jednak, że potrzeba na to znacznie więcej czasu, wszystko zależy od wielkości i złożoności organizacyjnej przedsiębiorstwa. Niezależnie od tego, jak długo to potrwa i jak dużego nakładu pracy będzie to od nas wymagało, warto zadbać zarówno o zgodne z prawem działanie własnej firmy, jak też o prawo do prywatności osób, których dane przetwarzamy. Świadomość społeczna w zakresie ochrony danych jest coraz większa, a więc coraz trudniej będzie tym, którzy nie robią wystarczająco wiele, by te dane chronić. Braki organizacyjne w tym zakresie świadczą już obecnie o braku profesjonalnego podejścia do biznesu.
Maciej Kaczmarski
Prezes zarządu ODO 24
"Zidentyfikowaliśmy wszystkie możliwe ryzyka”
Jesteś tego pewien?
Potwierdź adres e-mail i pobierz przewodnik
Kliknij w link w e-mailu – od razu pobierzesz przewodnik
„Jak skutecznie wdrożyć NIS2".
Nie widzisz wiadomości? Sprawdź folder SPAM i oznacz ją jako wiadomość pożądaną.
Zapisz się na biuletyn ODO 24
Biuletyn z nowościami z obszaru ochrony danych osobowych i bezpieczeństwa informacji wysyłamy raz w miesiącu.
Potwierdź swój adres e-mail
Kliknij w link w e-mailu – od razu pobierzesz przewodnik „Jak skutecznie wdrożyć NIS2". Nie widzisz wiadomości? Sprawdź folder SPAM i oznacz ją jako wiadomość pożądaną.