You are currently viewing Jak chronić dane osobowe?

Jak chronić dane osobowe?

To trzeci artykuł, który ma pomóc Przedsiębiorczym przygotować się na RODO. Dziś będzie o tym, jak chronić dane osobowe, bo to główny cel RODO i właściwie najważniejsza rzecz z nim związana.

Jakiegokolwiek dokumentu byś nie przygotował, nie zastąpi on rzetelnego podejścia do ochrony danych osobowych.  Traktuj dane, które przetwarzasz z taką samą troską jak swoje, a wszystko będzie ok.

Jak chronić dane osobowe?

Umiejętnie. Skutecznie. Dobrze.

Mało konkretna odpowiedź?

RODO nie podaje żadnego konkretniejszego sposobu, słusznie wychodząc z założenia, że jakiekolwiek środki wskazane dziś, za rok mogą być nieaktualne, a za dwa – wręcz archaiczne.

To Ty – jako administrator – masz przeprowadzić  analizę ryzyka i podjąć decyzję, jak – w Twojej organizacji – chronić dane osobowe.

Inne bowiem będą niezbędne zabezpieczania u „jednoosobowego” przedsiębiorcy, który korzysta z komputera jako jedynego narzędzia, a ewentualne przetwarzanie danych „ałtsorsuje” – księgowej, dostawcy usługi mailingu lub podmiotowi, który utrzymuje serwery, a inne spółki, która w samym biurze zatrudnia 10 osób, nie mówiąc o linii produkcyjnej.

Ten cykl artykułów adresowany jest – jak już wyjaśniałam – raczej do przedsiębiorców tego pierwszego typu i to na tym się skupię.

Zastanów się

Jak już napisałam dobór środków technicznych, RODO pozostawia administratorowi.

A więc to Ty zadecydujesz, które z nich zastosujesz, które będą wystarczające do realnej – a nie tylko na papierze – ochrony danych osobowych, które przetwarzasz.

Ale zanim zdecydujesz, musisz obmyślić ogólny i całościowy plan ochrony danych osobowych.

Zastanów się:

  • jakie dane będziesz przetwarzać,
  • w jaki sposób będziesz je przetwarzać
  • komu będziesz je powierzać
  • jakie czyhają na nie niebezpieczeństwa – kradzież, usunięcie, zniekształcenie…
  • gdzie mogą „wypłynąć” – za sprawą człowieka, oprogramowania, czy sprzętu…
  • jakie środki pozwolą wyeliminować te ryzyko

Myślę, że możesz przez dzień lub dwa poobserwować, co właściwie robisz, ze szczególnym wyczuleniem na to, co się wówczas dzieje z danymi osobowymi – pracujesz z nimi? jak?

Jeśli mas z tym problem, koniecznie zapoznaj się z listą różnych sposobów przetwarzania danych, które mały przedsiębiorca niemal na pewno stosuje. Kliknij poniżej.

Zapisz się do Biuletynu i uzyskaj dostęp do pliku

Środki ochrony danych

Gdy już przemyślisz kwestie, które poruszyłam powyżej, możesz wybrać środki ostrożności, które będą chronić dane osobowe, z tej listy, ale pamiętaj nie jest ona ani wyczerpująca, ani aktualna po wsze czasy.

Pamiętaj też, że środki techniczne mają być elementem systemu ochrony danych osobowych i nie powinny być stosowane na chybił-trafił.

Oto kilka propozycji:

  • porządne zamki w drzwiach pomieszczeń, gdzie przechowywane są dane,
  • alarm,
  • firma ochroniarska,
  • uprzątniecie biura i biurka, przy którym przyjmujesz interesantów (pochowaj segregatory, teczki i foldery!),
  • masz niszczarkę (ale nie taką jak w filmie „Argo” tylko taką, po której na prawdę nic już nie odczytasz)? ,
  • szafy na dokumenty zamykane na drzwi (bez szyb) i zamki (a klucze schowane),
  • ograniczenie liczby osób, które mają dostęp do danych,
  • kontrola osób, które mają dostęp do danych,
  • przyzwoite hasła do komputera, dysków, plików (czyli nie „1234”),
  • zdejmij kartkę z hasłami z tablicy korkowej, która wisi przy Twoim biurku,
  • regularne robienie kopii zapasowych,
  • zasilanie awaryjne,
  • porządne i aktualne oprogramowanie antywirusowe,
  • regularne aktualizowanie programów komputerowych,
  • polityka nieotwierania podejrzanych mali i załączników do nich,
  • jeśli wieziesz dane w dokumentach w bagażniku, to nie rób rundy po całym mieście po bułki i ekologiczną marchewkę – jedź do celu,
  • sprawdzanie podwykonawców i kontrahentów, którzy w naszym imieniu przetwarzają dane, którymi administrujemy (zatrudnienie firmy-krzak nie zdejmuje z ciebie odpowiedzialności),
  • inne

Rejestr czynności przetwarzania

Dokument ten musi zawierać:

  1. imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych,
  2. cele przetwarzania; np. rekrutacja, mailing, realizacja umowy sprzedaży,
  3. opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych, np. chętni do pracy, odbiorcy mailingu, klienci-kupujący,
  4. kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych, np. księgowość, operator mailingu, firma kurierska,
  5. gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań w szczególnych sytuacjach (o których mowa w art. 49 ust. 1 akapit drugi RODO) dokumentacja odpowiednich zabezpieczeń – istotne jeśli przekazujesz dane poza UE,
  6. jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych,
  7.  jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Brzmi skomplikowanie? Nie, jeśli przemyślałeś wszystko to, o czym pisałam wcześniej. Po prostu spisz to, nawet własnymi słowami, bez udziwnień.

Następnym razem…

będzie o umowie powierzenia. To ważne, więc bądź czujny/a.

Ten post ma jeden komentarz

  1. Prawnik

    Oj zapytania związane z RODO są coraz częstsze zwłaszcza że zbliża się godzina zero.

Dodaj komentarz