To trzeci artykuł, który ma pomóc Przedsiębiorczym przygotować się na RODO. Dziś będzie o tym, jak chronić dane osobowe, bo to główny cel RODO i właściwie najważniejsza rzecz z nim związana.
Jakiegokolwiek dokumentu byś nie przygotował, nie zastąpi on rzetelnego podejścia do ochrony danych osobowych. Traktuj dane, które przetwarzasz z taką samą troską jak swoje, a wszystko będzie ok.
Jak chronić dane osobowe?
Umiejętnie. Skutecznie. Dobrze.
Mało konkretna odpowiedź?
RODO nie podaje żadnego konkretniejszego sposobu, słusznie wychodząc z założenia, że jakiekolwiek środki wskazane dziś, za rok mogą być nieaktualne, a za dwa – wręcz archaiczne.
To Ty – jako administrator – masz przeprowadzić analizę ryzyka i podjąć decyzję, jak – w Twojej organizacji – chronić dane osobowe.
Inne bowiem będą niezbędne zabezpieczania u „jednoosobowego” przedsiębiorcy, który korzysta z komputera jako jedynego narzędzia, a ewentualne przetwarzanie danych „ałtsorsuje” – księgowej, dostawcy usługi mailingu lub podmiotowi, który utrzymuje serwery, a inne spółki, która w samym biurze zatrudnia 10 osób, nie mówiąc o linii produkcyjnej.
Ten cykl artykułów adresowany jest – jak już wyjaśniałam – raczej do przedsiębiorców tego pierwszego typu i to na tym się skupię.
Zastanów się
Jak już napisałam dobór środków technicznych, RODO pozostawia administratorowi.
A więc to Ty zadecydujesz, które z nich zastosujesz, które będą wystarczające do realnej – a nie tylko na papierze – ochrony danych osobowych, które przetwarzasz.
Ale zanim zdecydujesz, musisz obmyślić ogólny i całościowy plan ochrony danych osobowych.
Zastanów się:
- jakie dane będziesz przetwarzać,
- w jaki sposób będziesz je przetwarzać
- komu będziesz je powierzać
- jakie czyhają na nie niebezpieczeństwa – kradzież, usunięcie, zniekształcenie…
- gdzie mogą „wypłynąć” – za sprawą człowieka, oprogramowania, czy sprzętu…
- jakie środki pozwolą wyeliminować te ryzyko
Myślę, że możesz przez dzień lub dwa poobserwować, co właściwie robisz, ze szczególnym wyczuleniem na to, co się wówczas dzieje z danymi osobowymi – pracujesz z nimi? jak?
Jeśli mas z tym problem, koniecznie zapoznaj się z listą różnych sposobów przetwarzania danych, które mały przedsiębiorca niemal na pewno stosuje. Kliknij poniżej.
Środki ochrony danych
Gdy już przemyślisz kwestie, które poruszyłam powyżej, możesz wybrać środki ostrożności, które będą chronić dane osobowe, z tej listy, ale pamiętaj nie jest ona ani wyczerpująca, ani aktualna po wsze czasy.
Pamiętaj też, że środki techniczne mają być elementem systemu ochrony danych osobowych i nie powinny być stosowane na chybił-trafił.
Oto kilka propozycji:
- porządne zamki w drzwiach pomieszczeń, gdzie przechowywane są dane,
- alarm,
- firma ochroniarska,
- uprzątniecie biura i biurka, przy którym przyjmujesz interesantów (pochowaj segregatory, teczki i foldery!),
- masz niszczarkę (ale nie taką jak w filmie „Argo” tylko taką, po której na prawdę nic już nie odczytasz)? ,
- szafy na dokumenty zamykane na drzwi (bez szyb) i zamki (a klucze schowane),
- ograniczenie liczby osób, które mają dostęp do danych,
- kontrola osób, które mają dostęp do danych,
- przyzwoite hasła do komputera, dysków, plików (czyli nie „1234”),
- zdejmij kartkę z hasłami z tablicy korkowej, która wisi przy Twoim biurku,
- regularne robienie kopii zapasowych,
- zasilanie awaryjne,
- porządne i aktualne oprogramowanie antywirusowe,
- regularne aktualizowanie programów komputerowych,
- polityka nieotwierania podejrzanych mali i załączników do nich,
- jeśli wieziesz dane w dokumentach w bagażniku, to nie rób rundy po całym mieście po bułki i ekologiczną marchewkę – jedź do celu,
- sprawdzanie podwykonawców i kontrahentów, którzy w naszym imieniu przetwarzają dane, którymi administrujemy (zatrudnienie firmy-krzak nie zdejmuje z ciebie odpowiedzialności),
- inne
Rejestr czynności przetwarzania
Dokument ten musi zawierać:
- imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych,
- cele przetwarzania; np. rekrutacja, mailing, realizacja umowy sprzedaży,
- opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych, np. chętni do pracy, odbiorcy mailingu, klienci-kupujący,
- kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych, np. księgowość, operator mailingu, firma kurierska,
- gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań w szczególnych sytuacjach (o których mowa w art. 49 ust. 1 akapit drugi RODO) dokumentacja odpowiednich zabezpieczeń – istotne jeśli przekazujesz dane poza UE,
- jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych,
- jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.
Brzmi skomplikowanie? Nie, jeśli przemyślałeś wszystko to, o czym pisałam wcześniej. Po prostu spisz to, nawet własnymi słowami, bez udziwnień.
Następnym razem…
będzie o umowie powierzenia. To ważne, więc bądź czujny/a.
Oj zapytania związane z RODO są coraz częstsze zwłaszcza że zbliża się godzina zero.