Dziennik Przedsiebiorcy

Publikacja 12.02.2017

KW_TAGS

bezpieczenstwo danych w firmie

Problem właściwego zabezpieczenia danych osobowych jest nieobcy osobom, które mają do czynienia z przetwarzaniem danych osobowych. Wiele słyszy się o wyciekach danych osobowych, czy ich nieprawidłowym użyciu. Wdrożenie ochrony danych osobowych powinno zapobiegać tego typu sytuacjom.

Wdrożenie ochrony danych osobowych - podstawa prawna

Do maja 2018 r. podstawą prawną ochrony danych osobowych jest ustawa o ochronie danych osobowych. Do tej ustawy wydano szereg rozporządzeń, które precyzują sposoby i techniki ochrony danych osobowych, w tym określają jakie procedury należy zastosować przy ochronie danych osobowych. Od maja 2018 r. zasady ochrony danych osobowych zmienią się wraz z wejściem w życie unijnego rozporządzenia o ochronie danych osobowych (tzw. RODO).

Określenie jakie dane osobowe są przetwarzane - pierwszy krok

Przed przystąpieniem do zapewnienia ochrony danych osobowych osoba (firma, stowarzyszenie itp.) przetwarzająca dane osobowe musi określić, jakie dane osobowe i w jakim celu przetwarza. Czy są to dane pracowników firmy? Czy są to również dane klientów? Jakie dane osobowe pracowników przetwarza firma - czy są to tylko dane tak imiona i nazwiska, adresy zamieszkania, numery PESEL i dane o koncie bankowych? A może w związku z prowadzeniem zakładowego funduszu świadczeń socjalnych firma przetwarza również dane osobowe dzieci pracownika?

Należy ustalić, czy dane klientów przetwarzane są w związku z zawieraniem umów z kontrahentami czy może firma gromadzi dane osobowe klientów również z innych źródeł i w innych celach? Czy do klientów wysyłane są oferty - czy firma wysyła je pocztą tradycyjną czy e-mailem?

Ponadto, należy określić, czy dane osobowe są gromadzone w jednej bazie czy może zostały poszczególne kategorie danych osobowych zostały wyodrębnione. Przykładowo, firma może posiadać osobne bazy danych klientów i pracowników.  
Konieczne jest również określenie, czy dane osobowe są gromadzone i przetwarzane w formie elektronicznej czy w tradycyjnych kartotekach.

Drugi krok - ustalenie osób przetwarzających dane osobowe

Drugim krokiem niezbędnym do prawidłowego wdrożenia ochrony danych osobowych jest ustalenie kręgu osób, które mają dostęp do danych osobowych. Wymogiem prawnym jest, żeby każda z osób przetwarzających dane osobowe miała odpowiednie upoważnienie. Upoważnienie musi uwzględniać charakter pracy   danej osoby i celowość przyznania jej dostępu do poszczególnych kategorii danych. Należy więc przeprowadzić badanie kto z pracowników firmy ma dostęp do danych i określić do jakich danych poszczególne osoby mają dostęp. Określenie tych kwestii jest wymagane zarówno przez ustawę o ochronie danych osobowych, jak i przez RODO. Pamiętać trzeba, że nie wszyscy pracownicy formy muszą mieć dostęp do wszystkich danych. Przykładowo, osoby zatrudnione w kadrach nie powinny mieć dostępu do danych klientów, a osoby zajmujące się sprzedażą nie powinny mieć dostępu do danych innych pracowników.

Trzeci etap - ocena systemów informatycznych, w który przetwarzane są dane

Obecnie najczęściej przetwarzanie danych osobowych ma miejsce w systemach informatycznych. W związku z tym, wymagane jest (zarówno przez ustawę o ochronie danych osobowych, jak i RODO), aby systemy te były bezpieczne i chroniły dane osobowe przed ingerencja osób nieupoważnionych.

Administrator danych powinien wdrożyć wytyczne zarządzania systemem informatycznym. Wytyczne powinny normować takie kwestie jak rozpoczęcie i zakończenie pracy z systemem informatycznym czy stosowane metody i środki uwierzytelnienia. Z wytycznymi powinna zostać zapoznana każda osoba mająca dostęp do danych osobowych.

Z wytycznymi wiąże się kwestia odpowiedniego zabezpieczenia dostępu do systemu informatycznego. Wszystkie komputery, na których przetwarzane są dane osobowe powinny być zahasłowane (hasło na minimum 8 znaków). Nie należy również zapominać o wprowadzeniu stopni dostępu do danych osobowych przetwarzanych w systemie informatycznym. Poszczególne osoby powinny mieć dostęp tylko do danych osobowych niezbędnych dla ich pracy, co powinno zostać uwzględnione na poziomie przyznawania uprawnień dostępowych.

Rozliczalność

RODO stanowi, że każda operacja na danych osobowych dokonana w systemie informatycznym powinna być rozliczalna. Rozliczalność to właściwość zapewniającą, że działania danej osoby mogą być przypisane w sposób jednoznaczny tylko jej. Innymi słowy, system przetwarzania danych osobowych powinien zapewniać określenie kto i kiedy wykonał operacje na danych osobowych, np. je usunął.

Zabezpieczenie sieci

Sieć informatyczna powinna być zabezpieczona przed atakami z zewnątrz (antywirusy, firewalle). Ponadto, bazy danych zawierające dane osobowe powinny być regularnie backupowane.

Zabezpieczenia fizyczne

Wdrożenie ochrony danych osobowych powinno łączyć się z zapewnieniem fizycznego bezpieczeństwa komputerów i innych urządzeń, na których przetwarzane są dane osobowe. W szczególności, serwery na których gromadzone są dane osobowe muszą być odpowiednio zabezpieczone przed dostępem osób niepożądanych. Administrator danych osobowych powinien również dbać, aby pendrive czy inne urządzenia mobilne nie zostały zgubione.  

Etap czwarty - określenie przepływu danych w systemie informatycznym

Każdy administrator danych osobowych powinien precyzyjnie określić sposób przepływu danych osobowych pomiędzy bazami danych (zbiorami). Czy ze zbioru danych klientów powstałego w związku z realizacją umów przepływają dane osobowe do zbioru klientów prowadzonego w celu reklamy? Czy dane osobowe klientów są przesyłane do zbioru prowadzonego przez firmę stowarzyszoną? Czy pomiędzy jakimikolwiek zbiorami danych odbywa się wymiana informacji? Na te i więcej pytań każdy administrator danych osobowych musi odpowiedzieć. Po określeniu wszystkich przepływów danych, należy opisać je w sposób zrozumiały oraz sporządzić schemat przepływu.

Etap piąty – określenie ryzyk związanych z przetwarzaniem danych

RODO wymaga, aby administrator dokonał oceny ryzyka przetwarzania danych osobowych, w szczególności pod kątem możliwego nieuprawnionego wykorzystania lub użycia danych osobowych. Konieczne jest zatem przeprowadzenie audytu, który określi słabe punkty systemu ochrony danych osobowych w firmie. Jest to szczególnie istotne, jeżeli firma przetwarza dane osobowe wrażliwe, czyli np. dane o stanie zdrowia czy dane o przekonaniach politycznych bądź religijnych.

Etap szósty – przygotowanie dokumentów przetwarzania danych osobowych

Każdy administrator danych osobowych powinien przygotować dokumenty, które określają zasady przetwarzania danych osobowych. Wdrożenie ochrony danych osobowych musi zostać odzwierciedlone w tych dokumentach. Każda z osób, która ma dostęp do danych osobowych powinna zostać zaznajomiona z tymi dokumentami oraz potwierdzić, fakt zapoznania się z nimi.

Może wydawać się, że wdrożenie ochrony danych osobowych jest procesem trudnym. Jednak właściwe przygotowanie się do tego procesu i właściwe zidentyfikowanie problemów spowoduje, że cały proces przebiegnie sprawnie. Certyfikatydo.pl pomagają firmom dokonać wdrożenia ochrony danych osobowych (z uwzględnieniem wymogów RODO).

Dołącz do dyskusji

Kod antyspamowy
Odśwież

FacebookGoogle Bookmarks

Czytaj również

Dla kogo ERP - jakie cele, jakie korzyści z oprogramowania?

W firmach produkcyjnych, handlowych czy usługowych na co dzień korzysta się z różnych programów wspomagających wykonywanie obowiązków

Cloud computing - zalety i wady oprogramowania "w chmurze"

Oprogramowanie w chmurze, czyli z angielskiego cloud computing jest szybko rozwijającym się rodzajem oferowanych usług IT

Certyfikat SSL - bezpieczny protokół zwiększy pozycjonowanie?

Po zmianach algorytmu Google będzie promował strony działające w oparciu o bezpieczny protokół HTTPS. Jakie będą konsekwencje tych zmian dla...

Wynajem oprogramowania - czy to się opłaca?

Umiejętność wprowadzania innowacji i szybka adaptacja do zmian często decydują o konkurencyjności firm i ich przyszłych sukcesach.

Odporny koputer

Idealny laptop dla budowlańca? Pancerny laptop!

Podczas pracy na budowie potrzebujemy wytrzymałych narzędzi. Na co zwrócić szczególną uwagę, wybierając laptop do pracy w terenie?

"Czarna dziura" - system produkcji, rozwiązaniem ERP

Wyrażenie „czarna dziura” oznacza w mowie potocznej, że jak coś tam wpadnie, to nie wiadomo co się z tym dzieje – po prostu przepadło

7 grzechów głównych systemów backupu

System backupu w przedsiębiorstwie cały czas pozostaje tematem, który często pomija się w planach rozwojowych, a jeśli już się w nich pojawia to w...

Podsumowanie badania: Poziom zaufania do "rozwiązań chmurowych"

Kompletne wyniki ankiety wskazują na ogromną, wręcz krytyczną potrzebę zwiększania poziomu zaufania do tych wciąż zyskujących na popularności rozwiązań.