Dane osobowe pod nadzorem

RODO to nowe unijne regulacje dotyczące wszystkich firm, które gromadzą i wykorzystują dane osobowe. Zgodnie z nimi każda firma, niezależnie od wielkości, ma obowiązek ich zabezpieczenia przed dostępem osób nieupoważnionych. Nawet, jeśli w jej bazie widnieje tylko jeden klient. Zdaniem specjalistów, wdrożenie odpowiednich zabezpieczeń technicznych i organizacyjnych powinno być poprzedzone analizą ryzyka przetwarzania danych. Tylko wówczas będzie można zapewnić właściwy stopień bezpieczeństwa. - Przedsiębiorca musi przeanalizować, jakimi danymi osobowymi dysponuje, jak ich używa i jakie ryzyko jest związane z ich przechowywaniem, a w oparciu o ewaluację dobrać optymalne środki, które to ryzyko zminimalizują - wskazuje Joanna Dobkowska, adwokat z Goodwill Consulting. Dodaje, że przedsiębiorca administrujący danymi będzie zobowiązany przekazać je wnioskodawcy na żądanie wraz z informacją, jakie dane są konkretnie wykorzystywane w jego działalności oraz, że zakres pojęcia "dane osobowe" zostanie rozszerzony o adresy IP oraz pliki cookies.

Przedsiębiorcy mieli niemal dwa lata na dostosowanie się do zmian wprowadzanych w UE. W tej chwili pozostał w zasadzie tylko czas na weryfikację zastosowanych rozwiązań i sprawdzenie stopnia przygotowań. Od czego zacząć? - Od sprawdzenia, czy mamy ważne zgody na przetwarzanie danych oraz czy klauzule informacyjne zawarte np. w formularzu na udostępnienie i przetwarzanie danych osobowych zostały dostosowane do nowych wytycznych - wymienia Piotr Liwszic, specjalista ds. ochrony danych osobowych z firmy ODO24.

Zgodnie z nimi należy poinformować osoby, których dane dotyczą o tym, w jakim dokładnie celu są zbierane, jaki będzie okres przechowywania oraz jakie zainteresowanym przysługują prawa. Osoba taka może bowiem cofnąć zgodę na przetwarzanie danych osobowych, do tego powinno to być równie proste jak udzielenie wcześniej zgody. Poza tym przysługuje jej prawo do przeniesienia danych do innego administratora oraz do wniesienia skargi do organu nadzorczego - dziś GIODO, a na gruncie stosowania RODO najprawdopodobniej Urzędu Ochrony Danych Osobowych.

Dobrze jest też sprawdzić, czy firmowe laptopy mają szyfrowany dysk twardy, a telefony komórkowe używane przez pracowników szyfrowane karty pamięci. To zabezpieczy przechowywane dane przed wyciekiem. Podobnie jak to, czy dostęp do komputera, na którym są przetwarzane dane osobowe, został zabezpieczony przed atakiem z zewnątrz. To szczególnie ważne, gdy sprzęt jest połączony z siecią publiczną.

Kolejnym krokiem jest sprawdzenie podmiotów, którym przekazujemy do przetwarzania dane osobowe. Czy dostosowały się do wymogów RODO, a więc czy zatrudniają choćby personel uprawniony do przetwarzania danych osobowych, w jaki sposób pozyskują dane, czy bezpieczeństwo przepływu do nich danych będzie zagwarantowane. - Z takimi firmami należy zaktualizować umowy powierzenia przetwarzania danych osobowych, w których powinny znaleźć się zapisy m.in. o tym, w jakim celu powierzamy im dane, czas na jaki je powierzamy, co się z nimi stanie po zakończeniu współpracy - podkreśla Piotr Liwszic.

Jest jeszcze czas na to, by upewnić się, czy firma nie musi powołać inspektora ochrony danych (IOD), który będzie odpowiednikiem obecnego administratora bezpieczeństwa informacji (ABI). Aktualnie powołanie ABI nie jest obligatoryjne. RODO reguluje tę kwestię w sposób odmienny i wymusza powołanie IOD np. w organach i podmiotach publicznych oraz gdy główna działalność firmy polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cel wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę oraz gdy główna działalność takiego podmiotu polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (dane wrażliwe) oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa. Zatem firmy działające w sektorze bankowym, medycznym, ubezpieczeniowym muszą go powołać, a przedsiębiorcy z sektora turystycznego, w pewnych przypadkach, już nie.

- Inspektorem może zostać pracownik firmy, ale podległy bezpośrednio prezesowi. Nie może być karany, musi mieć pełnię praw publicznych oraz musi legitymować się wiedzą fachową i praktyką w zakresie ochrony danych osobowych - tłumaczy Piotr Liwszic.

Na koniec dobrze jest zweryfikować informacje o tym, czy nasza firma przekazuje dane osobowe do państw trzecich. Może chodzić np. o dane pracowników, którzy wykonują zadania zlecone w różnych krajach. Eksperci zauważają, ze od 2019 r. państwem trzecim stanie się Wielka Brytania. W takiej sytuacji trzeba mieć zgodę pracownika na przesyłanie jego danych.

Za naruszenie nowych przepisów o ochronie danych osobowych grozi zarówno odpowiedzialność karna, jak i finansowa. Kara finansowa może maksymalnie sięgnąć 4 proc. obrotów rocznych firmy lub 20 mln euro. Odpowiedzialność karna jest przewidziana dla najcięższych naruszeń, w tym za udaremnianie lub utrudnianie kontrolującym prowadzenia kontroli, czy przetwarzanie danych bez podstawy prawnej. Grozi za to ograniczenie wolności albo pozbawienie wolności do dwóch lat.

Papier też jest poważnym zagrożeniem

@RY1@i02/2018/041/i02.2018.041.13000040l.101(c).gif@RY2@

Paulina Wieronska regionalny dyrektor ds. marketingu, ACCO Brands EMEA

Przygotowując się do wejścia nowej ustawy firmy w większości skupiają się na problemie bezpieczeństwa danych cyfrowych, zapominając niestety o bezpieczeństwie dokumentów papierowych. Jest to poważny błąd, gdyż nadal te dokumenty stanowią olbrzymią część pracy każdej firmy. Ryzyko związane z nimi jest bardzo wysokie, przykładowo badania pokazały, że w Wielkiej Brytanii aż 40% wszystkich incydentów związanych z naruszeniem bezpieczeństwa dotyczy właśnie papieru. Jednak rozwiązanie tego problemu jest relatywnie łatwiejsze niż w wypadku danych cyfrowych. Wystarczą jasne wytyczne oraz nowoczesny, w pełni automatyzowany sprzęt, który pomoże pracownikom i oszczędzi ich czas oraz wysiłek przeznaczany do tej pory na niszczenie dokumentów.

Patrycja Otto

patrycja.otto@infor.pl