Ochrona danych osobowych nakłada na przedsiębiorców
obowiązek dostosowania zasad działalności do przepisów RODO. Poniżej zapisałem
w 5 krokach opis minimalnych działań, jakie należy wykonać.
Krok 1. Sprawdź czy RODO Ciebie dotyczy (raczej nie
spotkałem firmy, której nie dotyczy, ale kto wie)
Obowiązki wynikające z przepisów o ochronie danych osobowych
spoczywają na firmach prowadzących działalnością gospodarczą i to bez względu
na wielkość czy obrót przedsiębiorstwa. Czynnikiem decydującym jest
przetwarzanie danych osobowych w ramach czynności o charakterze biznesowym np.:
prowadzisz firmę zajmującą się doradztwem, projektowaniem, budową,
przetwarzaniem odpadów czy też sprzedajesz urządzenia czy części itp., z całą
pewnością powinieneś podjąć działania mające na celu wdrożenie zasad ochrony
danych osobowych (DO). Oznacza to, że jesteś administratorem danych osobowych (ADO),
na którym spoczywają liczne obowiązki wynikające z przepisów RODO.
Krok 2. Przeanalizuj jakie dane osobowe i w jakim celu
przetwarzasz
Czynność polega na ustaleniu z jakimi danymi osobowymi mamy
do czynienia przy prowadzeniu działalności gospodarczej oraz oszacowanie jakie
ryzyko wiąże się z naruszeniem praw i wolności osób, których dane przetwarzasz.
Najczęściej będą to dane zwykłej takie jak: imię, nazwisko, adres siedziby,
numer telefonu, adres e-mail dotyczące osób fizycznych, w tym prowadzących
działalność gospodarczą. Jeśli jednak firma zatrudnia pracowników, zakres
przetwarzania będzie szerszy i obejmuje tzw. dane wrażliwe (badania medycyny
pracy). W zależności od celu w jakim dane są zbierane i wykorzystywane, z ich
przetwarzaniem mogą wiązać się dodatkowe działania jak pozyskanie zgody przy
wysyłce newslettera. Tu pamiętamy, że osoba może w każdej chwili wycofać zgodę
a to oznacza usunięcie jej DO. Po zidentyfikowaniu wszystkich procesów na
danych osobowych jakie przetwarzamy w firmie, oszacujemy prawdopodobieństwa i skutków
nieuprawnionego ujawnienia czy dostępu do danych osobowych, czyli wykonujemy
analizę ryzyka.
Krok 3. Opracuj podstawowe zasady przetwarzania danych
osobowych
W zależności od rodzaju i sposób przetwarzania danych
osobowych zaleca się opracowanie oraz wdrożenie do stosowania w firmie
odpowiednich polityk ochrony danych. Polityka stanowi zbiór procedur i
instrukcji regulujących m.in. sposób postępowania w razie np.: wystąpienia
naruszenia ochrony danych, tryb realizacji żądań osób, których dane dotyczą,
zasad retencji danych czy sposobu spełniania obowiązku informacyjnego. W
większości firm w określonej branży występuje specyfika przetwarzanie danych
osobowych. Każda firma zatrudniająca pracowników prowadzi rejestr czynności
przetwarzania, stanowiącego usystematyzowaną mapę czynności przetwarzania DO.
Krok 4. Zastosuj środki ochrony danych osobowych
Konsekwencją oceny jest dobór właściwych środków
technicznych i organizacyjnych celem zapewnienia bezpieczeństwa danych.
Decydując się na konkretne środki należy kierować się proporcjonalnością
zabezpieczeń do okoliczności przetwarzania i związanego z nim ryzyka, ale
również uwzględnić stan aktualnej wiedzy technicznej czy koszt wdrażania
dostępnych na rynku środków bezpieczeństwa. Do podstawowych środków
organizacyjnych w firmie zalicza się m.in. umożliwienie przetwarzania danych
osobowych wyłącznie upoważnionym i przeszkolonym pracownikom, którzy dodatkowo zobowiązali
się do zachowania danych w poufności oraz
organizację obszaru przetwarzania (miejsca pracy) tak, aby uniknąć
dostępu osób nieupoważnionych do danych. Minimalnymi środkami technicznymi
służącymi ochronie danych przetwarzanych w systemach IT są w szczególności
programy antywirusowe, firewall, tworzenie kopii zapasowych czy dostęp do
systemów przy użyciu indywidualnych identyfikatorów i bezpiecznych haseł
logowania.
Krok 5. Zastanów się nad profesjonalnym doradztwem Inspektora
Ochrony Danych
Jeśli kroki opisane powyżej wydają się zbyt skomplikowane,
najlepiej zlecić wdrożenie wymogów RODO Inspektorowi ochrony danych (IOD) lub
specjaliście w tej dziedzinie. Ochrona danych osobowych jak każda inna
dziedzina wymaga wsparcia osób specjalizujących się w tym obszarze i dlatego
można to zadanie zlecić osobie zewnętrznej. Natomiast w sytuacji, w której w
firma już wprowadziła przepisy o ochronie danych osobowych, warto rozważyć
zlecenie okresowego audytu ochrony danych lub sprawdzenia jakiegoś procesu specjaliście
zewnętrznemu, który potwierdzi zgodność procesów z RODO lub pozwoli na
wskazanie obszarów wymagających podjęcia dodatkowych działań. Nieprzestrzeganie
przepisów ochronie danych osobowych może się bowiem wiązać z odpowiedzialnością
karną, cywilną czy administracyjną mogącą sięgać nawet kilku milionów EUR.
Każda z tych odpowiedzialności może być egzekwowana niezależnie od siebie.
Brak komentarzy:
Prześlij komentarz