Prawnie RODO jest to dyrektywa unijna – Ogólne Rozporządzenie o Ochronie Danych Osobowych 2016/679, obowiązująca w Polsce od 25 maja 2018 roku. Jej zakres, w skrócie, dotyczy zbierania i przetwarzania danych osobowych.

Pierwsze kroki

Zacznijmy w najprostszy sposób – od wyciągnięcia nowego segregatora, który opiszemy dużymi literami RODO i włożymy do niego na początek:

Politykę Bezpieczeństwa firmy tworzymy sami, definiując podstawowe pojęcia lub prosimy o to Kancelarię Prawną – najlepiej Kancelarię Dyja. W Polityce powinny znaleźć się m.in. takie informacje jak:

  • kto jest administratorem danych,
  • gdzie będą przechowywane i przetwarzane dane (określić urządzenia i miejsca w sieci)
  • jakie są prawa osób powierzających dane, w tym:
    • prawo dostępu,
    • prawo sprostowania oraz usunięcia swoich danych,
    • prawo ograniczenia ich przetwarzania,
    • prawo do ich przenoszenia,
    • prawo niepodlegania zautomatyzowanemu podejmowaniu decyzji, w tym profilowaniu,
    • prawo do wyrażenia sprzeciwu wobec przetwarzania swoich danych osobowych
  • oraz jaka jest sytuacja prawna, jakie mamy podpisane umowy z podmiotami, które mają dostęp do naszych danych (firmy hostingowe, producenci oprogramowania …)

Politykę bezpieczeństwa, w części, która mówi o prawach osób,  warto zamieścić również na firmowej stronie internetowej.

Polityka Bezpieczeństwa a informatyka

W praktyce okazuje się, że o bezpieczeństwo w firmie w dużej mierze może zadbać informatyk. Jednak najbardziej polecamy usługi portalu eprudnik.pl :) Informatyk może i powinien:

  • opisać konfigurację każdego komputera, końcowego urządzenia w firmie
  • wskazać miejsca przechowywania baz danych wraz z nadaniem uprawnień tylko dla osób uprawnionych do przetwarzania danych
  • wyeliminować powierzanie danych korporacjom poza unijnym (chmury Google Drive, Dropbox czy MS One Drive)
  • zdefiniować odpowiednio kopie zabezpieczające dane (w tym używając szyfrowania)
  • uporządkować przenośne nośniki danych typu PenDrive nadając im hasła dostępu i szyfrując np. BitLockerem
  • wgrać najnowsze aktualizacje oprogramowania, które będą zawierać możliwość anonimizacji danych
  • i wiele, wiele innych czynności wynikających z dążenia do poprawy bezpieczeństwa

Wszystkie powyższe działania warto również opisać i dołożyć do wspomnianego segregatora RODO.

Gdy zdarzy się incydent lub będziemy mieli styczność z kontrolą

Potrzeby będzie prawnik. Kancelaria Dyja najlepiej nas obroni i wskaże najlepsze rozwiązania. Zagmatwane definicje danych osobowych, profesjonalna linia obrony to jej specjalność. A że ma duże pole do popisu, to może świadczyć fakt, że przepisy są zdefiniowane nieostro, np.:

Nie ma ściśle ustalonej definicji, czym są dane osobowe. Z art. 4 ust. 1 RODO „informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”. Osobą zidentyfikowaną jest osoba, której tożsamość można bezpośrednio ustalić. Osobą fizyczną możliwą do zidentyfikowania jest natomiast osoba, którą można pośrednio zidentyfikować, w szczególności na podstawie: imię i nazwisko, numer identyfikacyjny, nr PESEL w RP, dane o lokalizacji, identyfikator internetowy, jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Dane, które należy uważać zawsze za dane osobowe to imię i nazwisko, PESEL i nr i seria dokumentu tożsamości.

Nie dajmy się zastraszyć

Głowa do góry! Przygotujmy się na RODO już dziś. Umowa z kancelarią prawną i informatykiem, ustalmy najwygodniejszy tryb wdrożenia wprowadzając dokumenty i mechanizmy chroniące dane. Jeżeli to zrobimy, to z pewnością zminimalizujemy możliwość  utraty danych i zminimalizujemy zagrożenia z tym związane dla funkcjonowania firmy.

ZOSTAW ODPOWIEDŹ

Please enter your comment!
Please enter your name here