RODO. Podstawowe zasady ochrony danych

RODO

0
443
RODO

Prawnie RODO jest to dyrektywa unijna – Ogólne Rozporządzenie o Ochronie Danych Osobowych 2016/679, obowiązująca od 25 maja 2018 roku. Jej zakres, w skrócie, dotyczy zbierania i przetwarzania danych osobowych.

Jak podejść do ochrony danych osobowych?

Odpowiadając na to pytanie na początku trzeba zauważyć, że warto nie zignorować tego tematu. Zacznijmy w najprostszy sposób, ale zacznijmy – od wyciągnięcia nowego segregatora, który opiszemy dużymi literami RODO i włożymy do niego

Politykę Bezpieczeństwa firmy tworzymy sami, definiując podstawowe pojęcia:

  • kto jest administratorem danych,
  • gdzie (określić urządzenia i miejsca w sieci) będą przechowywane i przetwarzane dane
  • jakie są prawa osób powierzających dane, w tym:
    • prawo dostępu,
    • prawo sprostowania oraz usunięcia swoich danych,
    • prawo ograniczenia ich przetwarzania,
    • prawo do ich przenoszenia,
    • prawo niepodlegania zautomatyzowanemu podejmowaniu decyzji, w tym profilowaniu,
    • prawo do wyrażenia sprzeciwu wobec przetwarzania swoich danych osobowych
  • oraz jaka jest sytuacja prawna, jakie mamy podpisane umowy z podmiotami, które mają dostęp do naszych danych (firmy hostingowe, producenci oprogramowania …)

Polityka Bezpieczeństwa a informatyka

W praktyce okazuje się, że o bezpieczeństwo w firmie w dużej mierze może zadbać dobry informatyk lub firma z branży IT. To on:

  • może opisać konfigurację każdego komputera, urządzenia typu End Point
  • wskazuje miejsca przechowywania baz danych i nadaje uprawnienia tylko dla osób uprawnionych do przetwarzania danych
  • wyeliminowuje powierzanie danych korporacjom tak zwanym “pozaunijnym” (chmury Google Drive, Dropbox czy MS One Drive)
  • definiuje i odpowiednio zabezpiecza kopie danych (w tym używając szyfrowania)
  • porządkuje przenośne nośniki danych typu PenDrive nadając im hasła dostępu i szyfrując np. BitLockerem
  • i wiele innych …

Wszystkie powyższe działania warto również opisać i dołożyć do wspomnianego segregatora RODO. Jeżeli nie mamy na miejscu informatyka, to z informatykiem lub firmą z branży IT pamiętajmy – też powinniśmy podpisać odpowiednią umowę, bo to on w dużej mierze będzie mieć potencjalnie dostęp do najważniejszych danych.

Gdy zdarzy się incydent lub będziemy mieli styczność z kontrolą

Pewnie potrzeby będzie prawnik. Kancelaria najlepiej nas obroni i wskaże najlepsze rozwiązania. Rozumie zagmatwane definicje danych osobowych, przygotuje profesjonalnie linię obrony. A że ma duże pole do popisu, to może świadczyć fakt, że przepisy są zdefiniowane nieostro, np.:

Nie ma ściśle ustalonej definicji, czym są dane osobowe. Z art. 4 ust. 1 RODO “informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”. Osobą zidentyfikowaną jest osoba, której tożsamość można bezpośrednio ustalić. Osobą fizyczną możliwą do zidentyfikowania jest natomiast osoba, którą można pośrednio zidentyfikować, w szczególności na podstawie: imię i nazwisko, numer identyfikacyjny, nr PESEL w RP, dane o lokalizacji, identyfikator internetowy, jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Dane, które należy uważać zawsze za dane osobowe to imię i nazwisko, PESEL i nr i seria dokumentu tożsamości.

Nie dajmy się zastraszyć

Głowa do góry! Przygotujmy tych kilka papierków, nawiążmy współpracę z informatykiem i kancelarią,  ustalmy mechanizmy chroniące dane. Jeżeli to zrobimy to na pewno zminimalizujemy możliwość  utraty danych i zminimalizujemy zagrożenia z tym się wiążące dla funkcjonowania firmy.


[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016_679 z dnia 27 kwietnia

Dodaj komentarz