LexDigital

Ochrona danych osobowych w firmie po wdrożeniu RODO

Założenia RODO wymagają od firm wielkiej kreatywności w kwestii zapewnienia odpowiedniej ochrony przetwarzanych danych osobowych. RODO pozostawia dowolność w doborze środków ochrony danych osobowych i wymaga jedynie spełnienia założeń rozporządzenia, czyli poprawnej i adekwatnej do analizy ryzyka ochrony danych osobowych.

Ochrona danych osobowych w firmie po wdrożeniu RODO

Dokumentacja ochrony danych osobowych

Zgodnie z zasadami, które zostały określone w UODO – Ustawie o ochronie danych osobowych, z dnia 29 sierpnia 1997 r., firmy były zobowiązane do posiadania dokumentacji w takim kształcie jak wskazywały na to zapisy ustawy. Treść dokumentów była ściśle sprecyzowana i jednakowa dla wszystkich Administratorów Danych Osobowych. Ustawa o ochronie danych osobowych wymagała stworzenia m.in. polityki bezpieczeństwa, instrukcji zarządzania systemami informatycznymi czy też ewidencji osób upoważnionych do przetwarzania danych osobowych. 

Po zapoznaniu się z wymaganiami RODO, można wskazać propozycję dokumentacji w obszarze ochrony danych osobowych, jest to m.in. Polityka bezpieczeństwa, Rejestr operacji przetwarzania danych osobowych, Rejestr incydentów, Polityka monitorowania i reagowania na naruszenia ochrony danych, Metodyka analizy ryzyka, Procedura zarządzania zmianą, Procedura zarządzania backup’ami itd.

Kształt oraz struktura dokumentów powinna zostać określona po przeprowadzeniu analizy ryzyka, tak aby dokumentacja ochrony danych stała się zabezpieczeniem pozwalającym na minimalizację danego ryzyka. RODO pozwala na ograniczenie procedur i zasad, które istnieją tylko na papierze. Dokumentacja systemu ochrony danych osobowych według RODO ma być mechanizmem zabezpieczającym i dostosowanym do praktycznych działań organizacji.

Skuteczne niszczenie dokumentacji zawierającej dane osobowe

Nieodpowiednie zabezpieczenie nieużywanej już dokumentacji zawierającej dane osobowe, bardzo często prowadzi do wycieku tych danych. Przedarcie dokumentu w wersji papierowej i wyrzucenie go do kosza na śmieci jest najczęstszą formą usuwania danych. Jeżeli okazuje się, że dane z kartki po jej przedarciu możemy swobodnie odczytać bez dużego wysiłku, to mamy do czynienia z incydentem bezpieczeństwa ochrony danych. Skuteczne usunięcie danych osobowych oznacza brak możliwości odczytania danych po zniszczeniu dokumentacji.

Za efektywne usunięcie danych osobowych uważa się użycie np. odpowiedniej niszczarki – pamiętajmy jednak, że stopień zniszczenia musi odpowiadać zawartości nadrukowanych danych. Bardzo często spotyka się niszczarki, które przecinają kartkę na jedno centymetrowe pasy, przy czym zawartość wydrukowanej kartki to tabela z danymi osobowymi, która po zniszczeniu daje się swobodnie rozczytać.

Ochrona danych osobowych w korespondencji elektronicznej

Korespondencja, która zawiera dane osobowe, powinna być przesyłana w formie zaszyfrowanego pliku, natomiast hasło przekazywać innym kanałem komunikacyjnym. Praktyka ta ma zapobiec sytuacji, w której wysyłamy dane osobowe w treści wiadomości e-mail i podczas wyboru adresata mylimy się, co skutkuje wysłaniem wiadomości do osoby nieuprawnionej do jej otrzymania.

Mechanizmem, który może uchronić użytkownika przed mylnym wyborem adresata jest wyłączenie funkcji podpowiadania adresu e-mail – oczywiście jest to pewnego rodzaju utrudnienie, ponieważ przy adresowaniu każdej wiadomości musimy wprowadzić cały adres e-mail, jednak mechanizm ten bardzo często uchroni nas przed wyborem nieodpowiedniego adresata. Drugą opcją jest opóźnienie w wysyłaniu wiadomości. Takie narzędzie daje zazwyczaj kilka minut, w których możemy zorientować się, że popełniliśmy błąd i jesteśmy w stanie szybko go naprawić.

Wysyłka korespondencji masowej do wielu adresatów wymaga ukrycia adresów odbiorców. Jeżeli tego nie zrobimy wszyscy odbiorcy będą widzieli adresy e-mail pozostałych osób. Taka sytuacja doprowadza do masowego upublicznienia danych osobowych i po 25 maja 2018 może skutkować ogromnymi karami dla Administratora Danych Osobowych (ADO). W przypadku wysyłania korespondencji masowej np. newsletter należy skorzystać z opcji „UDW” (kopia ukryta), która zapobiegnie wystąpieniu incydentu.

Zarządzanie nośnikami danych

Nośnik danych to nie tylko pendrive czy dysk zewnętrzny, ale również smartfony, laptopy, smartwatch’e, wydruki z CV kandydatów do pracy czy teczki z dokumentami. Należy zagwarantować, że po utracie nośników danych przez pracownika np. w wyniku zagubienia sprzętu, odpowiednie zabezpieczenia nie pozwolą na odczytanie tych danych osobowych przez osoby nieuprawnione.

W tym obszarze istotnym problemem staje się wykorzystywanie przez pracowników pamięci USB, która w większości przypadków jest niezaszyfrowana i przechowywana w nieodpowiedni sposób. Chcąc zminimalizować ryzyko utraty danych z pamięci USB zaleca się dopuszczanie do użytkowania przez pracowników jedynie firmowych pamięci USB, które są zaszyfrowane. Zaleca się również przygotowanie praktycznych zasad wykorzystywania urządzeń mobilnych i nośników danych, tak aby pracownicy poznali instrukcję postępowania w przypadku zagubienia czy kradzieży oraz możliwe konsekwencje tych sytuacji.

Podsumowanie

Właściciele firm, którzy nie zagwarantują odpowiedniego dostosowania się do wymagań RODO, ryzykują utratą reputacji oraz zaufania klientów. Należy pamiętać, że poza zastosowaniem odpowiednich zabezpieczeń technicznych istotnym elementem systemu ochrony danych osobowych są ludzie. ADO musi zagwarantować odpowiedni poziom wiedzy w zakresie ochrony danych osobowych, tak aby nie dopuścić do wystąpienia incydentów, na których wpływ może mieć niska świadomość pracownika podczas wykonywanych działań związanych z przetwarzaniem danych osobowych.


Sprawdź również:


Polecane

TSUE zablokował Privacy Shield - zmiany w transferze danych do USA

TSUE zablokował Privacy Shield - zmiany w transferze danych do USA

TSUE zablokował „Privacy Shield” („Tarczę prywatności”). Powodem jest zbyt łatwy dostęp amerykańskich służb tj. amerykańskiej Agencji Bezpieczeństwa Narodowego do danych Europejczyków. Co więcej, odbywa się to bez kontroli sądowej, a obywatele UE nie mają w praktycznie żadnej możliwości podważenia decyzji o wglądzie do informacji na ich temat.

Popularne

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie zasad to jeden z najważniejszych, ale i najtrudniejszych etapów koniecznych do przeprowadzenia na drodze do uzyskania zgodności z wybranymi standardami czy przepisami prawa. Ustanowione zasady musząbyćdostosowane do specyfiki organizacji, a ich wprowadzanie powinno być odpowiednio zaplanowane i musi uwzględniać wiele aspektów począwszy od ustalenia niezbędnych zasobów, a kończąc na zbudowaniu świadomości pracowników.

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Każdywdrożony system jest żywy i ewoluuje wraz z rozwojem przedsiębiorstwa, wprowadzaniem kolejnych zmian w procesach czy wykorzystywanych narzędziach. Zmianom ulegająrównież wytyczne w stosunku do których wprowadzane były zmiany. Bardzo często pewne sytuacje osobom na co dzień nie zajmującymsiętematyką ochrony danych czy szeroko rozumianego bezpieczeństwa informacji sprawiają trudności, w szczególności,że wiele przepisów jest bardzo ogólnych, trudnych

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

Biofarm Fibar Group Apart Wykop.pl PhytoPharm Veolia Cuf-podatki Netguru GetHero Tesgas GPD Agency Golden Submarine Pixers Pearson UEP

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.