System Ochrony Danych Osobowych
Wdrożenie w firmie Systemu Ochrony Danych Osobowych to zdecydowanie proces dwutorowy, z jednej strony polega on na dostosowaniu przedsiębiorstwa do wymogów wynikających z aspektów prawnych, a z drugiej na faktycznym zapewnieniu bezpieczeństwa przetwarzanym danym. Jest to skomplikowany i niejednokrotnie długi proces związany z koniecznością opracowywania specjalistycznej dokumentacji (Polityki Bezpieczeństwa Informacji, Instrukcji Zarządzania Systemem Informatycznym, Opracowania Polityki Kluczy), wdrażania pracowników do nowych, nie znanych procedur, zaangażowania całego kierownictwa i zarządu – dyrekcji przedsiębiorstwa, w zapewnienie odpowiedniego nadzoru nad procesami przetwarzania danych. Wdrożenie kompletnego Systemu wymaga sporo specjalistycznych kompetencji w zakresie przepisów prawa, informatyki, organizacji i zarządzania kadrami, ale również bezpieczeństwa fizycznego i innych aspektów, które towarzyszą przetwarzaniu danych osobowych.
Zadajmy więc pytanie co to jest System Ochrony Danych Osobowych?
System ten to nic innego jak regulacje prawne dotyczące tworzenia i posługiwania się zbiorami danych osobowych, a także pojedynczymi danymi, mające na celu administracyjno-prawną ochronę prawa do prywatności
– Ustawa o ochronie danych osobowych (Dz. U. z 2014 r poz. 1182).
– Rozporządzenia wykonawcze (Krajowe Ramy Interoperacyjności, Wymogi systemów do przetwarzania danych osobowych i inne)
– Dokumentacja wewnętrzna w firmie (polityka bezpieczeństwa informacji, instrukcja zarządzania systemem informatycznym, procedury bezpieczeństwa – np. polityka kluczy, polityka czystego biurka, polityka zbywania sprzętu)
– Szkolenia i uświadamianie pracowników, kontrola ich stanowisk pracy pod kontem bezpieczeństwa danych osobowych.
Jak widzimy ochrona danych osobowych to faktycznie skomplikowany proces, który zgodnie z wymogami prawa musi być wdrożony w każdej firmie przetwarzającej dane osobowe.
A wiemy przecież że praktycznie każdy z nas przetwarza dane osobowe? Czy robimy to zgodnie z prawem? Otóż nie!!!
Większość z nas nie ma świadomości że przetwarza dane osobowe, a na pewno nie wie, że robi to niezgodnie z prawem.
Zadajmy sobie pytanie, czy posiadam na swoim stanowisku pracy Upoważnienie do przetwarzania danych osobowych i czy zidentyfikowano w nim do jakich zbiorów mam dostęp?
Przedstawiciel handlowy w firmie nie potrzebuje przecież dostępu do danych HR, a kadrowiec nie będzie przetwarzał danych klientów – więc dlaczego jeżeli ktoś wydał upoważnienia, to wydał go do wszystkich zbiorów?, Czy zaczynamy już widzieć problem? Poruszyliśmy na razie tylko kwestię zbiorów zwykłych danych osobowych, a co z danymi wrażliwymi – szczególnie chronionymi, zgodnie z art 27 ust. 1 Ustawy o ochronie danych osobowych takich jak pochodzenie rasowe, etniczne, poglądy polityczne, religijne, wyznanie, przynależność do partii czy związku, stan zdrowia, nałogi, preferencje seksualne…itd? To dane szczególnie chronione i nie może mieć do nich dostępu osoba bez upoważnienia do tych konkretnie danych.
A więc zróbmy krótki bilans Systemu Ochrony Danych Osobowych:
– czy posiadamy kompletną, wymaganą przez przepisy prawa dokumentację systemu, czy wszyscy pracownicy posiadają upoważnienia do przetwarzania danych osobowych?
– czy na jej podstawie legalnie przetwarzamy dane osobowe?
– czy poprawnie wypełniamy obowiązek informacyjny?
– czy posiadamy zarejestrowane zbiory danych osobowych w Rejestrze prowadzonym przez GIODO?
– czy wdrożyliśmy właściwe zabezpieczenia fizyczne przetwarzanych zbiorów, a jeżeli nie czy prowadzimy analizę ryzyka?
– czy szkolimy własny personel z konieczności ochrony danych osobowych?
– czy realizujemy audyty wewnętrzne Systemu Ochrony Danych Osobowych – zgodnie z przepisami, minimum raz w roku?
To tylko część pytań na jakie należy odpowiedzieć, stawiając sobie za cel wdrożenie kompletnego Systemu Ochrony Danych Osobowych.
Musimy wiedzieć że istotą funkcjonującego prawidłowo Systemu Ochrony Danych Osobowych jest przede wszystkim odpowiednia świadomość kadry zarządzającej, ale i poszczególnych pracowników, dotycząca prawidłowego przetwarzania tych danych, ponieważ wiedza na temat ich ochrony i świadomość problemów, jakie wiążą się z ich gromadzeniem, wykorzystywaniem czy usuwaniem pozwala zrozumieć ważność sytuacji.
Nasza firma od dawna wdraża Systemy Ochrony Danych Osobowych w Urzędach Miast, Gmin, w Urzędach Pracy, Szpitalach, Przychodniach czy Klinikach, ale również w prywatnych firmach z każdego profilu działalności.