LexDigital

Ochrona danych osobowych w firmie po wdrożeniu RODO

Założenia RODO wymagają od firm wielkiej kreatywności w kwestii zapewnienia odpowiedniej ochrony przetwarzanych danych osobowych. RODO pozostawia dowolność w doborze środków ochrony danych osobowych i wymaga jedynie spełnienia założeń rozporządzenia, czyli poprawnej i adekwatnej do analizy ryzyka ochrony danych osobowych.

Ochrona danych osobowych w firmie po wdrożeniu RODO

Dokumentacja ochrony danych osobowych

Zgodnie z zasadami, które zostały określone w UODO – Ustawie o ochronie danych osobowych, z dnia 29 sierpnia 1997 r., firmy były zobowiązane do posiadania dokumentacji w takim kształcie jak wskazywały na to zapisy ustawy. Treść dokumentów była ściśle sprecyzowana i jednakowa dla wszystkich Administratorów Danych Osobowych. Ustawa o ochronie danych osobowych wymagała stworzenia m.in. polityki bezpieczeństwa, instrukcji zarządzania systemami informatycznymi czy też ewidencji osób upoważnionych do przetwarzania danych osobowych. 

Po zapoznaniu się z wymaganiami RODO, można wskazać propozycję dokumentacji w obszarze ochrony danych osobowych, jest to m.in. Polityka bezpieczeństwa, Rejestr operacji przetwarzania danych osobowych, Rejestr incydentów, Polityka monitorowania i reagowania na naruszenia ochrony danych, Metodyka analizy ryzyka, Procedura zarządzania zmianą, Procedura zarządzania backup’ami itd.

Kształt oraz struktura dokumentów powinna zostać określona po przeprowadzeniu analizy ryzyka, tak aby dokumentacja ochrony danych stała się zabezpieczeniem pozwalającym na minimalizację danego ryzyka. RODO pozwala na ograniczenie procedur i zasad, które istnieją tylko na papierze. Dokumentacja systemu ochrony danych osobowych według RODO ma być mechanizmem zabezpieczającym i dostosowanym do praktycznych działań organizacji.

Skuteczne niszczenie dokumentacji zawierającej dane osobowe

Nieodpowiednie zabezpieczenie nieużywanej już dokumentacji zawierającej dane osobowe, bardzo często prowadzi do wycieku tych danych. Przedarcie dokumentu w wersji papierowej i wyrzucenie go do kosza na śmieci jest najczęstszą formą usuwania danych. Jeżeli okazuje się, że dane z kartki po jej przedarciu możemy swobodnie odczytać bez dużego wysiłku, to mamy do czynienia z incydentem bezpieczeństwa ochrony danych. Skuteczne usunięcie danych osobowych oznacza brak możliwości odczytania danych po zniszczeniu dokumentacji.

Za efektywne usunięcie danych osobowych uważa się użycie np. odpowiedniej niszczarki – pamiętajmy jednak, że stopień zniszczenia musi odpowiadać zawartości nadrukowanych danych. Bardzo często spotyka się niszczarki, które przecinają kartkę na jedno centymetrowe pasy, przy czym zawartość wydrukowanej kartki to tabela z danymi osobowymi, która po zniszczeniu daje się swobodnie rozczytać.

Ochrona danych osobowych w korespondencji elektronicznej

Korespondencja, która zawiera dane osobowe, powinna być przesyłana w formie zaszyfrowanego pliku, natomiast hasło przekazywać innym kanałem komunikacyjnym. Praktyka ta ma zapobiec sytuacji, w której wysyłamy dane osobowe w treści wiadomości e-mail i podczas wyboru adresata mylimy się, co skutkuje wysłaniem wiadomości do osoby nieuprawnionej do jej otrzymania.

Mechanizmem, który może uchronić użytkownika przed mylnym wyborem adresata jest wyłączenie funkcji podpowiadania adresu e-mail – oczywiście jest to pewnego rodzaju utrudnienie, ponieważ przy adresowaniu każdej wiadomości musimy wprowadzić cały adres e-mail, jednak mechanizm ten bardzo często uchroni nas przed wyborem nieodpowiedniego adresata. Drugą opcją jest opóźnienie w wysyłaniu wiadomości. Takie narzędzie daje zazwyczaj kilka minut, w których możemy zorientować się, że popełniliśmy błąd i jesteśmy w stanie szybko go naprawić.

Wysyłka korespondencji masowej do wielu adresatów wymaga ukrycia adresów odbiorców. Jeżeli tego nie zrobimy wszyscy odbiorcy będą widzieli adresy e-mail pozostałych osób. Taka sytuacja doprowadza do masowego upublicznienia danych osobowych i po 25 maja 2018 może skutkować ogromnymi karami dla Administratora Danych Osobowych (ADO). W przypadku wysyłania korespondencji masowej np. newsletter należy skorzystać z opcji „UDW” (kopia ukryta), która zapobiegnie wystąpieniu incydentu.

Zarządzanie nośnikami danych

Nośnik danych to nie tylko pendrive czy dysk zewnętrzny, ale również smartfony, laptopy, smartwatch’e, wydruki z CV kandydatów do pracy czy teczki z dokumentami. Należy zagwarantować, że po utracie nośników danych przez pracownika np. w wyniku zagubienia sprzętu, odpowiednie zabezpieczenia nie pozwolą na odczytanie tych danych osobowych przez osoby nieuprawnione.

W tym obszarze istotnym problemem staje się wykorzystywanie przez pracowników pamięci USB, która w większości przypadków jest niezaszyfrowana i przechowywana w nieodpowiedni sposób. Chcąc zminimalizować ryzyko utraty danych z pamięci USB zaleca się dopuszczanie do użytkowania przez pracowników jedynie firmowych pamięci USB, które są zaszyfrowane. Zaleca się również przygotowanie praktycznych zasad wykorzystywania urządzeń mobilnych i nośników danych, tak aby pracownicy poznali instrukcję postępowania w przypadku zagubienia czy kradzieży oraz możliwe konsekwencje tych sytuacji.

Podsumowanie

Właściciele firm, którzy nie zagwarantują odpowiedniego dostosowania się do wymagań RODO, ryzykują utratą reputacji oraz zaufania klientów. Należy pamiętać, że poza zastosowaniem odpowiednich zabezpieczeń technicznych istotnym elementem systemu ochrony danych osobowych są ludzie. ADO musi zagwarantować odpowiedni poziom wiedzy w zakresie ochrony danych osobowych, tak aby nie dopuścić do wystąpienia incydentów, na których wpływ może mieć niska świadomość pracownika podczas wykonywanych działań związanych z przetwarzaniem danych osobowych.


Sprawdź również:


Polecane

Administrator systemów informatycznych. Rola w systemie

Administrator systemów informatycznych. Rola w systemie

W przepisach RODO próżno szukać regulacji dotyczącej Administratorów Systemów Informatycznych (ASI). Funkcja ASI występuje jednak w wielu przedsiębiorstwach i nie jest równoznaczna ani Administratorom Danych Osobowych ani Administratorom Bezpieczeństwa Informacji (czy też Inspektorom Ochrony Danych). Kim więc są ASI i jaką rolę pełnią w systemie ochrony danych osobowych?

Analiza i szacowanie ryzyka w RODO

Analiza i szacowanie ryzyka w RODO

Dyrektywa wymaga nie tylko stosowania procesu zarządzania ryzykiem zgodnego z RODO jako jednego z elementów ochrony danych osobowych, ale wprowadziła podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu.

Aplikacja dla Inspektora Ochrony Danych Osobowych

Aplikacja dla Inspektora Ochrony Danych Osobowych

Każdy kto podejmował się wdrożenie RODO w organizacji, nie zważywszy na jej skalę, wie jak dużym wyzwaniem jest zarządzanie dokumentacją. Wersjonowanie dokumentów, ich dystrybucja do wszystkich zainteresowanych, a także zbieranie informacji w efektywny sposób są niezwykle istotnym elementem sprawnie przeprowadzonego wdrożenia.

Popularne

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Rozpoczęciem procesu przystosowania, przez który musi przejść każda organizacja w celu uzyskania zgodności z wymogami rozporządzenia o ochronie danych osobowych jest audyt zgodności z RODO. Pozwoli on, dokładnie określić rodzaj i zakres przetwarzanych danych osobowych, zidentyfikować obszary wymagające zmiany lub poprawy oraz zaplanować działania wdrożeniowe.

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Chcesz wdrożyć RODO? Nie czekaj!

Wspieramy przedsiębiorców

Nasi konsultanci rozpoczęli wdrożenia RODO już wiele miesięcy temu. jako jedni z pierwszych opracowaliśmy procedury dotyczące nowych przepisów i wdrożyliśmy je w życie. Nowe przepisy, jeśli są rzeczywiście przestrzegane, w żaden sposób nie utrudniają prowadzenia działalności Twojej firmy.

Napisz do nas

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego ABI/IOD katarzyna.muszynska@lexdigital.pl spod adresu, którego zgoda dotyczy. Informujemy, że nie jesteście Państwo profilowani. Państwa dane nie będą przekazywane poza EOG ani udostępniane organizacjom międzynarodowym.

Zawiadamiamy, że administratorem Państwa danych osobowych podanych w powyższym formularzu jest LexDigital Sp. z o.o. z siedzibą w Poznaniu 60-351, na ulicy Zakręt 8. Wszelkie pytania i wątpliwości prosimy kierować do naszego ABI / IOD, Katarzyny Muszyńskiej na adres katarzyna.muszynska@lexdigital.pl. Państwa dane przetwarzane będą wyłącznie w celu udzielenia odpowiedzi na zapytanie zgodnie z zasadą, która głosi, że przetwarzanie danych jest zgodne z prawem jeżeli jest niezbędne w celu realizacji umowy lub przed jej zawarciem. W przypadku wyrażenia powyższej zgody, dane będą również wykorzystywane do przesyłania treści marketingowych. Pełne informacje o danych osobowych znajdziecie Państwo w naszej polityce prywatności.

KomputronikGoldenSubmarineFibar GroupPixersWykop.plGPD AgencyTesgas

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.