Wdrożenie ochrony danych osobowych – jak je przygotować?

Przetwarzający dane osobowe muszą wdrożyć odpowiednie środki w celu ochrony danych osobowych. Stosując się do naszych wskazówek, nie będzie to trudne.

Problem właściwego zabezpieczenia danych osobowych jest nieobcy osobom, które mają do czynienia z przetwarzaniem danych osobowych. Wiele słyszy się o wyciekach danych osobowych, czy ich nieprawidłowym użyciu. Wdrożenie ochrony danych osobowych powinno zapobiegać tego typu sytuacjom. Zabezpieczenie danych jest ważne w kontekście zmian w przepisach, które już niedługo wejdą w życie.

Wdrożenie ochrony danych osobowych – podstawa prawna

Do maja 2018 r. podstawą prawną ochrony danych osobowych jest ustawa o ochronie danych osobowych. Do tej ustawy wydano szereg rozporządzeń, które precyzują sposoby i techniki ochrony danych osobowych, w tym określają jakie procedury należy zastosować przy ochronie danych osobowych. Od maja 2018 r. zasady ochrony danych osobowych zmienią się wraz z wejściem w życie unijnego ogólnego rozporządzenia o ochronie danych osobowych (tzw. RODO). RODO nie zawiera już szczegółowych wytycznych jakie powinny być stosowane przy przetwarzaniu danych osobowych. Wybór i wdrożenie mechanizmów pozwalających na zgodne z prawem przetwarzanie danych osobowych będzie należało do administratora danych osobowych. Środki te powinny być „odpowiednie” i „dostosowane” do ryzyka z jakim wiąże się przetwarzanie danych osobowych. To czy w danym przypadku zastosowane środki były „odpowiednie” będzie musiał, zgodnie z zasadą rozliczalności, wykazać administrator.

Określenie jakie dane osobowe są przetwarzane – pierwszy krok

Przed przystąpieniem do wdrożenia ochrony danych osobowych podmiot (firma, stowarzyszenie, organizacja itp.) przetwarzający dane osobowe musi określić, jakie dane osobowe i w jakim celu przetwarza.

Czy są to dane pracowników firmy? Czy są to również dane klientów? Jakie dane osobowe pracowników przetwarza firma – czy są to tylko dane tak imiona i nazwiska, adresy zamieszkania, numery PESEL i dane o koncie bankowych? A może w związku z prowadzeniem zakładowego funduszu świadczeń socjalnych firma przetwarza również dane osobowe dzieci pracownika?

Należy ustalić, czy dane klientów przetwarzane są w związku z zawieraniem umów z kontrahentami czy może firma gromadzi dane osobowe klientów również z innych źródeł i w innych celach? Czy do klientów wysyłane są oferty – czy firma wysyła je pocztą tradycyjną czy e-mailem?

Ponadto, należy określić, czy dane osobowe są gromadzone w jednej bazie czy może poszczególne kategorie danych osobowych zostały wyodrębnione i są przechowywane w różnych miejscach. Przykładowo, firma może posiadać osobne bazy danych klientów i pracowników. W bardziej złożonych sytuacjach baz klientów i pracowników może być kilka, a ich zakres może w części się pokrywać. To wszystko należy zweryfikować.

Konieczne jest również ustalenie, czy dane osobowe są gromadzone i przetwarzane w formie elektronicznej czy w tradycyjnych kartotekach. Niekiedy przepisy nakładają obowiązek przetwarzania danych w formie papierowej (jak np. obowiązek przechowywania dokumentacji pracowniczej). Pamiętać trzeba, że dane osobowe występują również w umowach zawartych w tradycyjnej formie pisemnej. Takie umowy również powinny podlegać weryfikacji pod kątem wdrożenia ochrony danych osobowych.

Drugi krok – ustalenie osób przetwarzających dane osobowe

Drugim krokiem niezbędnym do prawidłowego wdrożenia ochrony danych osobowych jest ustalenie kręgu osób, które mają dostęp do danych osobowych. Wymogiem prawnym jest, żeby każda z osób przetwarzających dane osobowe miała odpowiednie upoważnienie. Upoważnienie musi uwzględniać charakter pracy  danej osoby i celowość przyznania jej dostępu do poszczególnych kategorii danych. Należy więc przeprowadzić badanie kto z pracowników organizacji ma dostęp do danych i określić do jakich danych poszczególne osoby mają dostęp. Ustalenie tych kwestii jest wymagane zarówno przez ustawę o ochronie danych osobowych, jak i przez RODO. Pamiętać trzeba, że nie wszyscy pracownicy formy muszą mieć dostęp do wszystkich danych. Przykładowo, osoby zatrudnione w kadrach nie powinny mieć dostępu do danych klientów, a osoby zajmujące się sprzedażą nie powinny mieć dostępu do danych innych pracowników. Takie ograniczenie dostępu zapewni wyższy stopień ochrony danych osobowych i będzie zgodne z zasadą minimalizacji.

Trzeci etap – ustalenie miejsc, gdzie przetwarzane są dane

Aby zabezpieczyć dane osobowe, konieczne jest ustalenie w jakich miejscach organizacja faktycznie przetwarza dane osobowe. Jeżeli organizacja ma tylko jedną siedzibę, wtedy sprawa jest prosta – jedna siedziba to jedno miejsce przetwarzania danych osobowych. Sprawa komplikuje się, jeżeli siedzib jest więcej, albo gdy pracownicy mają dostęp do danych również z wykorzystaniem urządzeń mobilnych (laptopy, tablety). Każda z siedzib powinna zostać zweryfikowana i uwzględniona w dokumentach dotyczących danych osobowych.

Czwarty etap – ocena systemów informatycznych, w który przetwarzane są dane

Obecnie najczęściej przetwarzanie danych osobowych ma miejsce w systemach informatycznych. W związku z tym, wymagane jest (zarówno przez ustawę o ochronie danych osobowych, jak i RODO), aby systemy te były bezpieczne i chroniły dane osobowe przed ingerencją osób nieupoważnionych.

Administrator danych powinien wdrożyć wytyczne zarządzania systemem informatycznym. Wytyczne powinny normować takie kwestie jak rozpoczęcie i zakończenie pracy z systemem informatycznym czy stosowane metody i środki uwierzytelnienia. Z wytycznymi powinna zostać zapoznana każda osoba mająca dostęp do danych osobowych.

Z określeniem wytycznych wiąże się kwestia odpowiedniego zabezpieczenia dostępu do systemu informatycznego. Wszystkie komputery, na których przetwarzane są dane osobowe powinny być zahasłowane (hasło na minimum 8 znaków, regularnie uaktualniane). Nie należy również zapominać o wprowadzeniu stopni dostępu do danych osobowych przetwarzanych w systemie informatycznym. Poszczególne osoby powinny mieć dostęp tylko do danych osobowych niezbędnych dla ich pracy, co powinno zostać uwzględnione na poziomie przyznawania uprawnień dostępowych.

Rozliczalność przetwarzania danych osobowych

RODO stanowi, że każda operacja na danych osobowych dokonana w systemie informatycznym powinna być rozliczalna. Rozliczalność to właściwość zapewniającą, że działania danej osoby mogą być przypisane w sposób jednoznaczny tylko jej. Innymi słowy, system przetwarzania danych osobowych powinien zapewniać określenie kto i kiedy wykonał operacje na danych osobowych, np. je usunął.

Zabezpieczenie sieci

Sieć informatyczna powinna być zabezpieczona przed atakami z zewnątrz (antywirusy, firewalle). Ponadto, bazy danych zawierające dane osobowe powinny być regularnie backupowane.

Zabezpieczenia fizyczne

Wdrożenie ochrony danych osobowych powinno łączyć się z zapewnieniem fizycznego bezpieczeństwa komputerów i innych urządzeń, na których przetwarzane są dane osobowe. W szczególności, serwery na których gromadzone są dane osobowe muszą być odpowiednio zabezpieczone przed dostępem osób niepożądanych. Administrator danych osobowych powinien również dbać, aby pendrive czy inne urządzenia mobilne nie zostały zgubione. Zgubienie urządzenia, na którym są zgromadzone dane osobowe może łączyć się z obowiązkiem zgłoszenia ryzyka naruszenia ochrony danych osobowych do Urzędu Ochrony Danych Osobowych (nowa nazwa GIODO).

Etap piąty – określenie przepływu danych w systemie informatycznym

Każdy administrator danych osobowych powinien precyzyjnie określić sposób przepływu danych osobowych pomiędzy bazami danych (zbiorami).

Można to zrobić odpowiadając na poniższe pytania:

  1. Czy ze zbioru danych klientów powstałego w związku z realizacją umów przepływają dane osobowe do zbioru klientów prowadzonego w celu reklamy?
  2. Czy dane osobowe klientów są przesyłane do zbioru prowadzonego przez firmę stowarzyszoną?
  3. Czy pomiędzy jakimikolwiek zbiorami danych odbywa się wymiana informacji?

Na te i więcej pytań każdy administrator danych osobowych musi umieć odpowiedzieć. Po określeniu wszystkich przepływów danych, należy opisać je w sposób zrozumiały oraz sporządzić schemat przepływu. Pozwoli to wykazać kontrolę nad danymi osobowymi.

Etap szósty – określenie ryzyk związanych z przetwarzaniem danych

RODO wymaga, aby administrator dokonał oceny ryzyka przetwarzania danych osobowych, w szczególności pod kątem możliwego nieuprawnionego wykorzystania lub użycia danych osobowych. Konieczne jest zatem przeprowadzenie audytu, który określi słabe punkty systemu ochrony danych osobowych w orgazniacji. Jest to szczególnie istotne, jeżeli organizacji przetwarza dane osobowe wrażliwe, czyli np. dane o stanie zdrowia czy dane o przekonaniach politycznych bądź religijnych.

Etap siódmy – przygotowanie dokumentów przetwarzania danych osobowych

Każdy administrator danych osobowych powinien przygotować dokumenty, które określają zasady przetwarzania danych osobowych. Wdrożenie ochrony danych osobowych musi zostać odzwierciedlone w tych dokumentach. Każda z osób, która ma dostęp do danych osobowych powinna zostać zaznajomiona z tymi dokumentami oraz potwierdzić fakt zapoznania się z nimi.

Certyfikaty ochrony danych osobowych

RODO przewiduje, że każdy administrator danych osobowych będzie mógł uzyskać certyfikat i znak jakości przetwarzania danych osobowych. Certyfikat nadawany przez niezależny podmiot certyfikujący będzie oznaczał, że administrator danych osobowych przetwarza dane osobowe zgodnie z prawem.

Podsumowanie

Może wydawać się, że wdrożenie ochrony danych osobowych jest procesem trudnym. Jednak właściwe przygotowanie się do tego procesu i prawidłowe zidentyfikowanie problemów spowoduje, że cały proces przebiegnie sprawnie. Certyfikatydo.pl pomagają firmom i organizacjom dokonać wdrożenia ochrony danych osobowych (z uwzględnieniem wymogów RODO). Zapraszamy do kontaktu.

 

 

 

 

 

One comment

  1. U nas w firmie zastosowali aplikacje usercrypt, dane są zaszyfrowane i dodatkowo zabezpieczone, żeby mieć do nich wgląd obie połowy klucza muszą działać jednocześnie on line

Leave a Reply

Twój adres e-mail nie zostanie opublikowany.