Ostatni dzwonek przed RODO! Dowiedz się, czy jesteś gotowy na zmiany

Zapewne już wszyscy doskonale wiedzą, że 25 maja 2018 roku w życie wchodzi unijne Rozporządzenie  dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, w skrócie zwane przez wszystkich „RODO”, a na zachodzie „GDPR”.

Zapewne byli także Państwo uczestnikami licznych szkoleń dotyczących przystosowania procedur i środków bezpieczeństwa w firmie aby sprostać wymaganiom RODO. Zapewne dowiedzieliście się Państwo także, że próżno szukać w samym Rozporządzeniu prostych instrukcji o tym, jak powinny wyglądać zabezpieczenia i procedury związane z ochroną danych osobowych po dniu 25 maja. W artykule 5 RODO możemy przeczytać, że dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty, zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach. Dalej można wyczytać, że osoby, których dane dotyczą muszą być w sposób jasny i nieskomplikowany informowane o swoich uprawnieniach, a środki techniczne zastosowane w firmie muszą być adekwatne i zapewniać bezpieczeństwo. Co to jednak oznacza w praktyce?

Środki organizacyjne

Jeżeli dotychczas nie zajmowałeś się wdrożeniem RODO w swoim przedsiębiorstwie i myślisz, ze być może jest już za późno, nie panikuj. W pierwszej kolejności odpowiedz sobie na kilka podstawowych pytań dotyczących bezpieczeństwa danych w twojej firmie:

• Czy w Twojej firmie wyznaczono struktury/komórki odpowiedzialne za ochronę danych osobowych? Czy funkcjonuje u Ciebie Administrator Bezpieczeństwa Informacji?
• Czy przeprowadzono inwentaryzację baz danych osobowych w celu upewnienia się, że zbiory te funkcjonują zgodnie z przepisami? Czy jesteś w stanie udokumentować, że osoby, którym wysyłasz informacje marketingowe, wyraziły na to zgodę?
• Czy wyznaczono Administratora Systemów Informatycznych?
• Czy osoby odpowiedzialne w podmiocie za ochronę danych osobowych mająto ujęte w zakresie obowiązków?
• Czy w regulaminie pracy lub warunkach zatrudnienia stosowane są zapisy odnoszące się do obowiązku ochrony danych osobowych? Czy od pracowników pobierane są zobowiązania do zachowania danych osobowych w tajemnicy?
• Czy osobom przetwarzającym dane osobowe zostały wydane upoważnienia?
• Czy na stronach internetowych podmiotu opublikowano dane kontaktowe do osoby odpowiedzialnej za ochronę danych osobowych?
• Czy w podmiocie wprowadzono zasadę czystego biurka / czystego kosza?

Informatyczne środki bezpieczeństwa 

Jeżeli na zdecydowaną większość powyższych pytań odpowiedziałeś twierdząco, w następnej kolejności poświęć chwilę na zastanowienie się nad bezpieczeństwem systemów informatycznych, których używasz w firmie.

• Czy w Twojej firmie wyznaczone zostały osoby odpowiedzialne za zapewnienie funkcjonalności systemów IT oraz bezpieczeństwa?
• Czy elementy systemów wspomagających pracę systemu IT, gwarantują ciągłą pracę systemu IT?
• Czy korzystasz z aktualnego systemu operacyjnego, wyposażonego w aktualne oprogramowanie antywirusowe i firewall?
• Czy każdy użytkownik systemu informatycznego ma własny identyfikator i hasło?
• Czy określono zasady rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu?
• Czy system wymusza okresową zmianę haseł?
• Czy wprowadzono zasady likwidacji urządzeń i nośników zawierających dane osobowe?
• Czy zasoby zawierające dane osobowe są szyfrowane?
• Czy w przedsiębiorstwie określono zasady przechowywania i udostępniania kopii zapasowych?

Dokumentacja 

Wdrożenie odpowiedniej dokumentacji stanowi właściwie ostatni z kroków, jakimi powinno kierować się przedsiębiorstwo, które chce przetwarzać dane osobowe zgodnie z RODO. Podstawowym błędem wielu przedsiębiorców jest rozpoczęcie wdrażania zasad Rozporządzenia właśnie od tworzenia dokumentacji. Należy podkreślić, że odpowiednia dokumentacja jest bardzo ważna, tym niemniej nie zastąpi ona wprowadzenia odpowiednich rozwiązań technicznych i organizacyjnych, o których była mowa powyżej.

Również w przedmiocie dokumentacji wytyczne RODO są dosyć ogólne. Właściwie jedynymi dokumentami, które są obowiązkowe dla większości przedsiębiorców jest Rejestr Czynności Przetwarzania oraz Rejestr Kategorii Przetwarzania. Ponadto, nasza kancelaria rekomenduje dla małych i średnich przedsiębiorców wprowadzenie co najmniej następującej dokumentacji:

• polityka bezpieczeństwa informacji,
• instrukcja zarządzania systemem informatycznym,
• umowa powierzenia przetwarzania danych osobowych,
• rejestr umów powierzenia danych osobowych,
• regulamin ochrony danych osobowych,
• regulamin użytkowania komputerów przenośnych,
• poważnienia do przetwarzania danych dla pracowników,
• oświadczenia o zachowaniu poufności dla pracowników,
• rejestr upoważnień,
• formularze incydentu,
• rejestr incydentów,
• polityka prywatności na stronie internetowej

Oczywiście to, jaka konkretnie dokumentacja okaże się niezbędna w Twojej firmie zależne jest od charakteru działalności, jej rozmiaru oraz tego, czy przetwarzanie danych osobowych stanowi istotny element tej działalności. Należy pamiętać, że dokumentacja musi być cały czas aktualizowana, dostosowywana do potrzeb i okoliczności. To na przedsiębiorcy bowiem ciążyć będzie udowodnienie, że w jego firmie przestrzega się zasad ochrony danych osobowych.

Jeżeli na zdecydowaną większość pytań przedstawionych w niniejszym artykule odpowiedziałeś twierdząco, a także wdrożyłeś przedstawioną powyżej dokumentację, to z wysokim prawdopodobieństwem jesteś gotowy na przyjście RODO.

Jeśli jednak wciąż masz wątpliwości, lub dopiero teraz przystąpiłeś do realizacji obowiązków związanych z przetwarzaniem danych, nasi prawnicy są gotowi zapewnić odpowiednie wsparcie. Oferujemy zarówno wdrażanie odpowiedniej dokumentacji i procedur, jak i możemy zapewnić pakiet wzorów dokumentacji do samodzielnej pracy. Zapraszamy do zakładki kontakt