5 kroków w stronę bezpieczeństwa danych osobowych

Przeczytaj także: Ochrona danych osobowych po nowelizacji

Krok 1. Audyt.

Pierwszym krokiem wdrażania systemu ochrony danych osobowych jest audyt czyli sprawdzenie, jak obecnie firma chroni przetwarzane przez siebie dane osobowe. W ramach audytu powinniśmy sprawdzić, kto i na jakich zasadach ma dostęp do danych, w jaki sposób zabezpieczamy dane przed dostępem osób nieuprawnionych (alarm, monitoring, itp.), a także, jak zabezpieczone są nasze systemy informatyczne (infrastruktura i oprogramowanie). jak też oprogramowania.

Krok 2. Dokumentacja

Po przeprowadzeniu audytu wiemy już, na ile bezpieczne są nasze dane – co robimy właściwie, a co wymaga zmian. Na tej bazie możemy przystąpić do opracowania wewnętrznych procedur postępowania z danymi osobowymi, tj. dokumentacji ochrony danych osobowych. Pełna dokumentacja zawiera Procedurę bezpieczeństwa, opisującą ogólne zasady przechowywania i przetwarzania danych oraz Instrukcję zarządzania systemem informatycznym. Co ważne, oba dokumenty muszą w pełni odpowiadać temu, co faktycznie jest realizowane w naszej firmie. Dopiero wówczas możemy mówić o jej wdrożeniu.

Krok 3. Szkolenia.

Mimo że prawo nie wymaga wprost przeprowadzania szkoleń z zakresu ochrony danych osobowych, to jednak od osób przetwarzających dane wymagane jest przestrzeganie obowiązujących zasad i przepisów. Warto więc zainwestować w tego typu szkolenia i zadbać przy tym, by oferta szkoleniowa, na którą się zdecydujemy, dotyczyła głównie zagadnień praktycznych i przykładów z życia wziętych, nie zaś jedynie teoretycznych rozważań prawnych.

Krok 4. Rejestracja zbiorów.

Kolejnym krokiem jest rejestracja zbiorów danych w GIODO. Zgodnie z nowelizacją ustawy o ochronie danych osobowych, która weszła w życie z początkiem tego roku, bezwzględnej rejestracji podlegają jedynie zbiory danych wrażliwych (zawierające informacje o stanie zdrowia, wyznaniu, orientacji seksualnej, itp). Zbiory zwykłe musimy zarejestrować tylko wówczas, gdy zdecydujemy się na samodzielną odpowiedzialność za dane przetwarzane w naszej firmie i nie powołamy administratora bezpieczeństwa informacji (ABI). Wnioski rejestrowe najprościej przygotować korzystając z system e-GIODO. W przypadku danych zwykłych przetwarzanie można rozpocząć bezpośrednio po zgłoszeniu zbioru do GIODO. Przy danych wrażliwych musimy poczekać na rejestrację zbioru.

Krok 5. Umowy powierzenia

Poza rejestracją zbiorów warto też zadbać o zawarcie umów powierzenia przetwarzania danych osobowych z podmiotami zewnętrznymi, tzw. „procesorami” danych. Najczęściej są to dostawcy usług hostingowych, firmy oferujące outsourcing kadrowo-płacowy, czy też firmy windykacyjne. Ustawa o ochronie danych osobowych wymaga, aby umowy powierzenia były zawierane na piśmie. Jednak brak formy pisemnej nie oznacza, że umowa nie obowiązuje. Niespełnienie wymogu może jednak skutkować karą nałożoną przez GIODO.

Maciej Kaczmarski
Prezes zarządu