LexDigital

Ochrona danych osobowych w firmie po wdrożeniu RODO

Założenia RODO wymagają od firm wielkiej kreatywności w kwestii zapewnienia odpowiedniej ochrony przetwarzanych danych osobowych. RODO pozostawia dowolność w doborze środków ochrony danych osobowych i wymaga jedynie spełnienia założeń rozporządzenia, czyli poprawnej i adekwatnej do analizy ryzyka ochrony danych osobowych.

Ochrona danych osobowych w firmie po wdrożeniu RODO

Dokumentacja ochrony danych osobowych

Zgodnie z zasadami, które zostały określone w UODO – Ustawie o ochronie danych osobowych, z dnia 29 sierpnia 1997 r., firmy były zobowiązane do posiadania dokumentacji w takim kształcie jak wskazywały na to zapisy ustawy. Treść dokumentów była ściśle sprecyzowana i jednakowa dla wszystkich Administratorów Danych Osobowych. Ustawa o ochronie danych osobowych wymagała stworzenia m.in. polityki bezpieczeństwa, instrukcji zarządzania systemami informatycznymi czy też ewidencji osób upoważnionych do przetwarzania danych osobowych. 

Po zapoznaniu się z wymaganiami RODO, można wskazać propozycję dokumentacji w obszarze ochrony danych osobowych, jest to m.in. Polityka bezpieczeństwa, Rejestr operacji przetwarzania danych osobowych, Rejestr incydentów, Polityka monitorowania i reagowania na naruszenia ochrony danych, Metodyka analizy ryzyka, Procedura zarządzania zmianą, Procedura zarządzania backup’ami itd.

Kształt oraz struktura dokumentów powinna zostać określona po przeprowadzeniu analizy ryzyka, tak aby dokumentacja ochrony danych stała się zabezpieczeniem pozwalającym na minimalizację danego ryzyka. RODO pozwala na ograniczenie procedur i zasad, które istnieją tylko na papierze. Dokumentacja systemu ochrony danych osobowych według RODO ma być mechanizmem zabezpieczającym i dostosowanym do praktycznych działań organizacji.

RODO, GDPR, ochrona danych osobowych

Skuteczne niszczenie dokumentacji zawierającej dane osobowe

Nieodpowiednie zabezpieczenie nieużywanej już dokumentacji zawierającej dane osobowe, bardzo często prowadzi do wycieku tych danych. Przedarcie dokumentu w wersji papierowej i wyrzucenie go do kosza na śmieci jest najczęstszą formą usuwania danych. Jeżeli okazuje się, że dane z kartki po jej przedarciu możemy swobodnie odczytać bez dużego wysiłku, to mamy do czynienia z incydentem bezpieczeństwa ochrony danych. Skuteczne usunięcie danych osobowych oznacza brak możliwości odczytania danych po zniszczeniu dokumentacji.

Za efektywne usunięcie danych osobowych uważa się użycie np. odpowiedniej niszczarki – pamiętajmy jednak, że stopień zniszczenia musi odpowiadać zawartości nadrukowanych danych. Bardzo często spotyka się niszczarki, które przecinają kartkę na jedno centymetrowe pasy, przy czym zawartość wydrukowanej kartki to tabela z danymi osobowymi, która po zniszczeniu daje się swobodnie rozczytać.

Ochrona danych osobowych w korespondencji elektronicznej

Korespondencja, która zawiera dane osobowe, powinna być przesyłana w formie zaszyfrowanego pliku, natomiast hasło przekazywać innym kanałem komunikacyjnym. Praktyka ta ma zapobiec sytuacji, w której wysyłamy dane osobowe w treści wiadomości e-mail i podczas wyboru adresata mylimy się, co skutkuje wysłaniem wiadomości do osoby nieuprawnionej do jej otrzymania.

Mechanizmem, który może uchronić użytkownika przed mylnym wyborem adresata jest wyłączenie funkcji podpowiadania adresu e-mail – oczywiście jest to pewnego rodzaju utrudnienie, ponieważ przy adresowaniu każdej wiadomości musimy wprowadzić cały adres e-mail, jednak mechanizm ten bardzo często uchroni nas przed wyborem nieodpowiedniego adresata. Drugą opcją jest opóźnienie w wysyłaniu wiadomości. Takie narzędzie daje zazwyczaj kilka minut, w których możemy zorientować się, że popełniliśmy błąd i jesteśmy w stanie szybko go naprawić.

Wysyłka korespondencji masowej do wielu adresatów wymaga ukrycia adresów odbiorców. Jeżeli tego nie zrobimy wszyscy odbiorcy będą widzieli adresy e-mail pozostałych osób. Taka sytuacja doprowadza do masowego upublicznienia danych osobowych i po 25 maja 2018 może skutkować ogromnymi karami dla Administratora Danych Osobowych (ADO). W przypadku wysyłania korespondencji masowej np. newsletter należy skorzystać z opcji „UDW” (kopia ukryta), która zapobiegnie wystąpieniu incydentu.

Zarządzanie nośnikami danych

Nośnik danych to nie tylko pendrive czy dysk zewnętrzny, ale również smartfony, laptopy, smartwatch’e, wydruki z CV kandydatów do pracy czy teczki z dokumentami. Należy zagwarantować, że po utracie nośników danych przez pracownika np. w wyniku zagubienia sprzętu, odpowiednie zabezpieczenia nie pozwolą na odczytanie tych danych osobowych przez osoby nieuprawnione.

W tym obszarze istotnym problemem staje się wykorzystywanie przez pracowników pamięci USB, która w większości przypadków jest niezaszyfrowana i przechowywana w nieodpowiedni sposób. Chcąc zminimalizować ryzyko utraty danych z pamięci USB zaleca się dopuszczanie do użytkowania przez pracowników jedynie firmowych pamięci USB, które są zaszyfrowane. Zaleca się również przygotowanie praktycznych zasad wykorzystywania urządzeń mobilnych i nośników danych, tak aby pracownicy poznali instrukcję postępowania w przypadku zagubienia czy kradzieży oraz możliwe konsekwencje tych sytuacji.

Podsumowanie

Właściciele firm, którzy nie zagwarantują odpowiedniego dostosowania się do wymagań RODO, ryzykują utratą reputacji oraz zaufania klientów. Należy pamiętać, że poza zastosowaniem odpowiednich zabezpieczeń technicznych istotnym elementem systemu ochrony danych osobowych są ludzie. ADO musi zagwarantować odpowiedni poziom wiedzy w zakresie ochrony danych osobowych, tak aby nie dopuścić do wystąpienia incydentów, na których wpływ może mieć niska świadomość pracownika podczas wykonywanych działań związanych z przetwarzaniem danych osobowych.


Sprawdź również:


Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency > <img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk