Wszystko o wymaganiach GIODO w Twojej firmie…

0
322

Wszystkie firmy, które przechowują jakiekolwiek informacje na temat pracowników, kontrahentów czy klientów, muszą przestrzegać Ustawy o ochronie danych. Ma ona zastosowanie do wszelkich skomputeryzowanych lub ręcznych zapisów zawierających dane osobowe. Dlatego ważne jest, aby każdy przedsiębiorca zapoznał się wymaganiami stawianymi przez GIODO. Zwłaszcza w erze rewolucji, jaką niesie ze sobą RODO.

Pozyskiwanie, przetwarzanie i ochrona danych to coraz częściej poruszane tematy, jednak nie są one nowe. Już od 1997 roku obowiązuje ustawa o ochronie danych osobowych, która szczegółowo określa zasady postępowania z personaliami, które posiada firma. Wskazuje również warunki ich przetwarzania, czyli co musi zrobić podmiot, aby można było powiedzieć, że legalnie i zgodnie z prawem, przetwarza te informacje, a także określa prawa osób, których dane posiada. Niestety niewielu właścicieli firm pamięta lub zdaje sobie sprawę z obowiązków, jakie na nich ciążą oraz jak ważne jest bezpieczeństwo danych osobowych w ich firmie. To z kolei może skończyć się negatywnymi konsekwencjami podczas kontroli Generalnego Inspektora Ochrony Danych Osobowych.

Jak chronić dane osobowe w firmie?

Aby zapanować nad wszystkim rekordami w naszej firmie musimy, rozpocząć od przeprowadzenia audytu. Ma on na celu przeanalizowanie stanu organizacyjnego, technicznego i prawnego. To pozwoli uzyskać informację kto i na jakich zasadach ma dostęp do danych, w jaki sposób zabezpieczamy je przed dostępem osób nieuprawnionych oraz jak zabezpieczone są firmowe systemy informatyczne, w tym oprogramowania. Przeprowadzony audyt umożliwi stworzenie procedur postępowania z informacjami w naszej firmie.

Dokumentacja powinna zawierać ogólne zasady przechowywania i przetwarzania danych, ale również sposób zarządzania systemem informatycznym. Po ustaleniu polityki bezpieczeństwa czas na zapoznanie z nią pracowników firmy. Szkolenie to etap, któremu powinniśmy poświęcić szczególną uwagę. Osoby zatrudnione w naszym przedsiębiorstwie muszą być świadome zagrożeń wpływających na bezpieczeństwo przetwarzania informacji. Po przeprowadzeniu tych czynności możemy przejść do rejestracji zbiorów danych w GIODO. Należy jednak pamiętać, że nie musimy zgłaszać wszystkich posiadanych baz. Bezwzględnej rejestracji podlegają jedynie zbiory z informacjami poufnymi, takich jak: stan zdrowia, orientacja seksualna czy wyznanie.

Pozostałe zbiory danych trzeba zgłosić tylko wówczas, gdy zdecydujemy się na samodzielną odpowiedzialność za dane przetwarzane w naszej firmie i nie powołamy administratora bezpieczeństwa informacji.

– W ochronie danych naszych pracowników, klientów czy kontrahentów pomoże Certyfikat SSL. Jest to protokół sieciowy używanym do bezpiecznych połączeń internetowych, przyjęty jako standard szyfrowania na stronach WWW. Narzędzie to jest gwarantem zachowania prywatności danych przesyłanych drogą elektroniczną. Certyfikat SSL pozwoli Tobie i Twoim klientom zachować pełną ochronę podczas procesu przepływu informacji pomiędzy użytkownikiem, a serwerem. Strony zabezpieczone certyfikatem rozpoznasz po znajdującej się w pasku adresu kłódce, protokole https:// w przeglądarce internetowej. – mówi Michał Trziszka, CEO firmy Cal.pl

Gdy przychodzi do nas GIODO…

Przedsiębiorca musi liczyć się z wieloma kontrolami, a jedną z nich jest wizyta Generalnego Inspektora Ochrony Danych Osobowych. Ustawa nie mówi wprost o obowiązku informowania pracodawcy o planowanej kontroli przez GIODO, jednak powinna być ona zapowiadana, tak aby podmiot kontroli mógł się do niej przygotować. Przeprowadzana jest przez dwóch prawników i jednego informatyka, którzy są pracownikami Departamentu Inspekcji Biura GIODO. Podczas kontroli będą oni zwracać szczególną uwagę na takie aspekty, jak:

– legalność przetwarzania danych osobowych,
– zakres oraz cel przetwarzania danych,
– merytoryczną poprawność oraz ich adekwatność do celu przetwarzania,
– obowiązek informacyjny,
– zgłoszenie zbiorów do rejestracji,
– przekazywanie danych do państwa trzeciego,
– powierzenie przetwarzania danych osobowych,
– zabezpieczenie danych,

Dodatkowo inspektor ma prawo:

– wstępu, w godzinach od godziny 6 do 22 po okazaniu imiennego upoważnienia i legitymacji służbowej do pomieszczenia, w którym zlokalizowany jest zbiór danych oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą;
– żądania złożenia pisemnych lub ustnych wyjaśnień oraz wezwania i przesłuchania odpowiednich osób w zakresie niezbędnym do ustalenia stanu faktycznego;
– wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii;
– przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych.
Każda kontrola GIODO kończy się protokołem, który sporządzany jest w dwóch egzemplarzach. Jeden z nich jest dla administratora danych, a drugi dla przedsiębiorcy. Jeśli jednak po przeprowadzonej kontroli inspektor stwierdzi naruszenie przepisów, występuje do Generalnego Inspektora o wydanie decyzji administracyjnej nakazującej przywrócenia stanu zgodnego z prawem poprzez:
– usunięcie uchybień;
– uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych;
– zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe;
– wstrzymanie przekazywania danych osobowych do państwa trzeciego;
– zabezpieczenie danych lub przekazanie ich innym podmiotom;
– usunięcie danych osobowych.

Rewolucja, czyli nadchodzi RODO

W kwietniu 2016 roku Parlament Europejski i Rada Unii Europejskiej przyjęła rozporządzenie RODO, czyli Ogólne Rozporządzenie o Ochronie Danych Osobowych. Dotyczy ono ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie ich swobodnego przepływu oraz uchylenia dyrektywy 95/46/WE.

Zmiany wynikające z przepisów wejdą w życie 25 maja 2018 roku we wszystkich państwach członkowskich, w tym w Polsce. Regulacje będą dotyczyły każdego podmiotu przetwarzającego dane osobowe osób fizycznych na terenie Unii Europejskiej — od działalności jednoosobowych po międzynarodowe korporacje.

Powodem jej wprowadzenia jest niespójność tworząca niepewność prawną oraz wysokie koszty administracyjne. Ma to wpływ na zaufanie osób fizycznych i konkurencyjność gospodarki UE. Przepisy wymagały unowocześnienia także dlatego, że zostały wprowadzone w czasie, gdy wielu z dzisiejszych usług internetowych i wyzwań technologicznych, które one stawiają, po prostu nie było.

Wprowadzenie rozporządzenia nakłada na przedsiębiorców obowiązek opracowania i wdrożenia odpowiednich procedur, analiz ryzyka, monitoringów zastosowanych środków bezpieczeństwa, oraz raportowania wycieków personaliów. Za naruszenie przepisów grożą kary finansowe — od 10 do 20 milionów euro lub od 2% do 4% wartości rocznego światowego obrotu przedsiębiorstwa.

Wprowadzenie nowego rozporządzenia ma na celu m.in.: wzmocnienie praw osób fizycznych, których dane dotyczą, a także ujednolicenie przepisów w zakresie ochrony danych osobowych na terenie UE. Działanie te mają przynieść liczne korzyści dla osób fizycznych, których dane będą chronione jeszcze lepiej. Natomiast pozytywny wpływ na rozwój przedsiębiorczości ma zapewnić zestaw reguł, które pozwolą na tańsze i prostsze prowadzenie biznesu w Unii Europejskiej, ale również będą sprzyjające innowacyjności.