5 kroków do Bezpieczeństwa Danych Osobowych w Twojej Firmie

Termin: 13 września 2016 Kategoria:

GIODO, ADO, ABI, ASI …
kierunek – Bezpieczeństwo Danych Osobowych w Twojej Firmie – podstawowe pojęcia i obowiązki

Mimo, iż ustawa o ochronie danych osobowych oraz obowiązki z niej wynikające obowiązują od 1997 roku, w większości przedsiębiorstw, głównie małych i średnich, ochrona danych osobowych to temat tabu. Niejednokrotnie właściciele firm nie zdają sobie sprawy, jakie obowiązki na nich ciążą i dlaczego bezpieczeństwo danych osobowych w firmie jest tak ważne. A jeśli nawet są świadomi, że z ustawy o ochronie danych osobowych wynikają prawa i obowiązki – to wypełnianie ich odkładają na bok…. na „jutro”…

Jako ekspert w zakresie ochrony danych osobowych w firmie pragnę przedstawić podstawowe definicje związane z tematem GIODO i ochrony danych osobowych. Krok po kroku wskażę od czego zacząć i jak opanować zarówno obowiązki, jakie nakłada na nas ustawa, jak i w jaki sposób zadbać o bezpieczeństwo danych osobowych w naszej firmie. Pamiętajmy, że mówimy tutaj zwłaszcza o danych osobowych naszych klientów. A jeśli klient poczuje się u nas bezpieczny, zapewnimy mu, iż dbamy o jego dane osobowe i przetwarzamy je zgodnie z ustawą (do czego jesteśmy bezwarunkowo zobowiązani) to przyczynimy się do poprawy naszego wizerunku oraz budowy zaufania klientów do naszej firmy.

Podstawowe definicje zobacz

Ustawa o ochronie danych osobowych – Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych – tekst jednolity Dz. U. 2014.1182 – pobierz

BUDUJEMY SYSTEM OCHRONY DANYCH OSOBOWYCH krok po kroku

Krok numer 1 –  Audyt

Pierwszym krokiem do budowania systemu ochrony danych osobowych oraz wypełniania podstawowych obowiązków wynikających z ochrony danych osobowych jest audyt czyli sprawdzenie, jak obecnie firma chroni przetwarzane przez siebie dane osobowe. W ramach audytu następuje rozpoznanie stanu organizacyjnego, technicznego i prawnego w firmie. Sprawdzamy zatem, kto i na jakich zasadach ma dostęp do danych, w jaki sposób zabezpieczamy dane przed dostępem osób nieuprawnionych (alarm, monitoring, itp.), a także, jak zabezpieczone są nasze systemy informatyczne (infrastruktura i oprogramowanie), jak też oprogramowania.

Po przeprowadzonym prawidłowo audycie, powinniśmy odpowiedzieć sobie na pytania:

– z jakimi danymi osobowymi mamy do czynienia w Twojej firmie?
– kto i jak przetwarza dane osobowe w Twojej firmie?
– w jakich miejscach Twojej firmy mamy do czynienia z przetwarzaniem danych osobowych?
– jakie systemy informatyczne wykorzystujesz do przetwarzania danych osobowych?
– czy masz obowiązek rejestracji zbiorów danych osobowych w GIODO?
– czy posiadacz prawidłowo sporządzoną dokumentację?
– czy warto powołać u Ciebie ABI?

Jeśli chciałbyś przeprowadzić audyt ochrony danych osobowych w swojej firmie i zaktualizować swoją dokumentację lub przeszkolić swoich pracowników – zapraszam do skorzystania z usług doradczych Fundacji Kaliski Inkubator Przedsiębiorczości.

Krok numer 2 –  Polityka bezpieczeństwa

Po przeprowadzeniu audytu wiemy już, na ile bezpieczne są Twoje dane – co robisz właściwie, a co wymaga zmian. Na tej bazie możemy przystąpić do opracowania wewnętrznych procedur postępowania z danymi osobowymi, tj. dokumentacji ochrony danych osobowych. Pełna dokumentacja zawiera Procedurę bezpieczeństwa, opisującą ogólne zasady przechowywania i przetwarzania danych oraz Instrukcję zarządzania systemem informatycznym. Co ważne, oba dokumenty muszą w pełni odpowiadać temu, co faktycznie jest realizowane w Twojej firmie. Dopiero wówczas możemy mówić o jej wdrożeniu.

Celem Polityki Bezpieczeństwa jest wskazanie działań oraz rozwiązań technicznych i organizacyjnych niezbędnych do kompleksowej ochrony przetwarzanych danych osobowych oraz innych informacji prawnie chronionych we wszystkich systemach informatycznych i nieinformatycznych, w których są przetwarzane powyższe informacje, zgodnie z wymaganiami organizacyjno-prawnymi zawartymi w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Przykładowy spis treści Polityki Bezpieczeństwa – pobierz

Krok numer 3 –  Szkolenia i świadomość pracowników

Każdy pracownik powinien mieć świadomość zagrożeń wpływających na bezpieczeństwo przetwarzania danych osobowych. Nowy pracownik powinien być zapoznany z ogólnymi zasadami i przepisami dotyczącymi bezpieczeństwa ochrony danych osobowych. Przed rozpoczęciem czynności związanych z przetwarzaniem danych osobowych – pracownik ma obowiązek zapoznania się z dokumentacją obowiązującą w danej firmie w zakresie ochrony danych osobowych.

Administrator Bezpieczeństwa Informacji i Administrator Systemów Informatycznych cyklicznie przeprowadzają wewnętrzne szkolenia z zakresu ochrony danych osobowych. Warto też zainwestować w tego typu szkolenia zewnętrzne i zadbać przy tym, by oferta szkoleniowa, na którą się zdecydujemy, dotyczyła głównie zagadnień praktycznych i przykładów z życia wziętych, nie zaś jedynie teoretycznych rozważań prawnych.

Krok numer 4 –  ABI i rejestracja zbiorów

Kolejnym krokiem jest rejestracja zbiorów danych osobowych w GIODO. Bezwzględnej rejestracji podlegają jedynie zbiory danych wrażliwych (zawierające informacje o stanie zdrowia, wyznaniu, orientacji seksualnej, itp). Zbiory zwykłe musimy zarejestrować tylko wówczas, gdy zdecydujemy się na samodzielną odpowiedzialność za dane przetwarzane w naszej firmie i nie powołamy administratora bezpieczeństwa informacji (ABI). Wnioski rejestrowe najprościej przygotować korzystając z system e-GIODO. W przypadku danych zwykłych przetwarzanie można rozpocząć bezpośrednio po zgłoszeniu zbioru do GIODO. Przy danych wrażliwych musimy poczekać na rejestrację zbioru.

Krok numer 5 –  Powierzenie przetwarzania danych

W każdej firmie mamy do czynienia z powierzeniem przetwarzania danych osobowych. Mamy podpisywane umowy z podmiotami zewnętrznymi, którym przekazujemy dane osobowe naszych klientów. Najczęściej są to dostawcy usług hostingowych, firmy oferujące outsourcing kadrowo-płacowy, czy też firmy windykacyjne lub prawnicze. Pamiętajmy, że to na nas ciąży odpowiedzialność za bezpieczeństwo tych danych. To my jesteśmy ich administratorami. Warto więc zadbać o zawarcie umów powierzenia przetwarzania danych osobowych z podmiotami zewnętrznymi lub zawarcie odpowiednich zapisów w umowach o świadczenie usług.

Przykładowy zapis w umowach z podmiotami zewnętrznymi – pobierz

Jeśli któraś część niniejszego artykułu Cię zainteresuje – zapraszam do bezpośredniego kontaktu:

Emilia Stefaniak , tel. 62 765 60 53
emilia.stefaniak@kip.kalisz.pl