Prawnie RODO jest to dyrektywa unijna – Ogólne Rozporządzenie o Ochronie Danych Osobowych 2016/679, obowiązująca w Polsce od 25 maja 2018 roku. Jej zakres, w skrócie, dotyczy zbierania i przetwarzania danych osobowych.
Na początek pierwszy krok
Zacznijmy w najprostszy sposób – od wyciągnięcia nowego segregatora, który opiszemy dużymi literami RODO i włożymy do niego na początek:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016_679 z dnia 27 kwietnia
- Politykę Bezpieczeństwa firmy
Politykę Bezpieczeństwa firmy tworzymy sami, definiując podstawowe pojęcia lub prosimy o to Kancelarię Prawną – polecamy Kancelarię Dyja. W Polityce powinny znaleźć się m.in. takie informacje jak:
- kto jest administratorem danych,
- gdzie będą przechowywane i przetwarzane dane (określić urządzenia i miejsca w sieci)
- jakie są prawa osób powierzających dane, w tym:
- prawo dostępu,
- prawo sprostowania oraz usunięcia swoich danych,
- prawo ograniczenia ich przetwarzania,
- prawo do ich przenoszenia,
- prawo niepodlegania zautomatyzowanemu podejmowaniu decyzji, w tym profilowaniu,
- prawo do wyrażenia sprzeciwu wobec przetwarzania swoich danych osobowych
- oraz jaka jest sytuacja prawna, jakie mamy podpisane umowy z podmiotami, które mają dostęp do naszych danych (firmy hostingowe, producenci oprogramowania …)
Politykę bezpieczeństwa, w części, która mówi o prawach osób, warto zamieścić również na firmowej stronie internetowej.
Pozostałe dokumenty
Umowy powierzenia danych będą potrzebne w przypadku, gdy np. przekazujemy rozliczanie swojej działalności do biura rachunkowego. Ten i pozostałe przypadki tworzenia umów polećmy kancelarii.
Polityka Bezpieczeństwa a informatyka
W praktyce okazuje się, że o bezpieczeństwo danych w firmie w dużej mierze może zadbać informatyk. W tym miejscu się polecamy :-). Informatyk może i powinien:
- opisać konfigurację każdego komputera, końcowego urządzenia w firmie
- wskazać miejsca przechowywania baz danych wraz z nadaniem uprawnień tylko dla osób uprawnionych do przetwarzania danych
- wyeliminować powierzanie danych korporacjom poza unijnym (chmury Google Drive, Dropbox czy MS One Drive)
- zdefiniować odpowiednio kopie zabezpieczające dane (w tym używając szyfrowania)
- uporządkować przenośne nośniki danych typu PenDrive nadając im hasła dostępu i szyfrując np. BitLockerem
- wgrać najnowsze aktualizacje oprogramowania, które będą zawierać możliwość anonimizacji danych
- i wiele, wiele innych czynności wynikających z dążenia do poprawy bezpieczeństwa
Wszystkie powyższe działania warto również opisać i dołożyć do wspomnianego segregatora RODO.
Gdy zdarzy się incydent lub będziemy mieli styczność z kontrolą
Potrzeby będzie prawnik. Kancelaria Dyja najlepiej nas obroni i wskaże najlepsze rozwiązania. Zagmatwane definicje danych osobowych, profesjonalna linia obrony to jej specjalność. A że ma duże pole do popisu, to może świadczyć fakt, że przepisy są zdefiniowane nieostro, np.:
Nie ma ściśle ustalonej definicji, czym są dane osobowe. Z art. 4 ust. 1 RODO „informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”. Osobą zidentyfikowaną jest osoba, której tożsamość można bezpośrednio ustalić. Osobą fizyczną możliwą do zidentyfikowania jest natomiast osoba, którą można pośrednio zidentyfikować, w szczególności na podstawie: imię i nazwisko, numer identyfikacyjny, nr PESEL w RP, dane o lokalizacji, identyfikator internetowy, jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Dane, które należy uważać zawsze za dane osobowe to imię i nazwisko, PESEL i nr i seria dokumentu tożsamości.
Przygotujmy się na RODO w wersji mini. Umowa z kancelarią prawną i informatykiem, ustalmy najwygodniejszy tryb wdrożenia wprowadzając dokumenty i mechanizmy chroniące dane. Jeżeli to zrobimy, to z pewnością zminimalizujemy możliwość utraty danych i zminimalizujemy zagrożenia z tym związane dla funkcjonowania firmy.