Chcąc chronić dane osobowe swoich pracowników, powinniśmy przestrzegać szereg zasad. Podstawowe czynności jakie należy wykonać odnośnie ochrony danych w laptopach, czy komputerach firmowych to:
1. Założenie konta lub kont użytkowników. Obowiązuje zasada jeden użytkownik – jedno hasło. Polecam zastosować cykliczną zmianę hasła np. co miesiąc. Do rozważenia pozostaje zastosowanie szyfrowania, które wydaje się być konieczne w przypadku korespondencji zawierającej dane osobowe ( np. wytyczne do wynagrodzeń pracowniczych)
2. Podstawową czynnością do zabezpieczenia sieci jest zastosowanie zapory sieciowej (firewall) i programu antywirusowego.
3. W przypadku serwera powinniśmy postąpić analogicznie jak w punktach 1 i 2.
4. Należy rozważyć robienie kopii zapasowych, lecz biorąc pod uwagę informację zawarte w linku: http://www.gu.com.pl/index.php?option=com_content&view=article&id=65313:problem-danych-z-kopii-zapasowych-w-kontekcie-rodo-&catid=100&Itemid=103 myślę, że należałoby się wstrzymać z tworzeniem kopii i uzbroić w chwilę cierpliwości. Bardzo możliwe, iż Prezes urzędu Ochrony Danych Osobowych (nowe stanowisko zastępujące z dniem 25.05.2018r. Generalny Inspektor Ochrony Danych Osobowych) zmieni z czasem tę interpretację.
Dodatkowo – okoliczności o które należy zadbać.
5. Powinno się zadbać o odpowiednie ustawienie ekranu komputera, tak by dane nie były widoczne dla osób wchodzących do pomieszczenia.
6. Uniemożliwienie dostępu do sprzętu osobom postronnym, przypadkowym, nieuprawnionym. Ochrona pomieszczeń, w którym pozostawiany jest sprzęt.
7. Sprawdzamy, czy ustalone i przestrzegane są zasady rozpoczęcia i zakończenia pracy w systemie.
Czy pracownicy blokują system, podczas opuszczenia stanowiska w trakcie dnia pracy.
Czy osoby dopuszczone do pracy w systemie mają odpowiednie upoważnienia.
8. Powinno się zadbać, czy jest ustalone i respektowane niszczenie danych wygenerowanych z systemów, gdy już są niepotrzebne.
Formularz kontaktowy – podstawową czynnością jest określenie celu w jakim dane są zbierane, aby określić podstawę prawną przetwarzania danych osobowych. Możliwe jest, że mamy do czynienia z przetwarzaniem danych osobowych w celu udzielenia odpowiedzi ewentualnie składania jednorazowego zamówienia. W obu przypadkach nie musimy uzyskiwać zgody na przetwarzanie danych osobowych. W pierwszym przypadku podstawą prawną jest podejmowanie działań na żądanie osoby, której dane dotyczą, w celu zawarcia umowy, z zastrzeżeniem, że nie musi dojść do zawarcia umowy, aby przetwarzać zgodnie z prawem. W drugim przypadku mamy prawo przetwarzać dane osobowe w celu realizacji umowy.
Innym przypadkiem jest – zapis do newsletter’a. W tym przypadku jest nam potrzebna zgoda na przetwarzanie danych osobowych. Zgoda taka może być wyrażona np. za pomocą tzw. checkbox’ów z odpowiednio sformułowaną treścią na stronie internetowej, która po wejściu RODO jest znacznie obszerniejsza i ma spełniać także funkcje informacyjną. (Uwaga: checkbox’y nie powinny być domyślnie zaznaczone)
Zbierając dane należy pamiętać o zasadzie minimalizacji, czyli wykorzystanie tylko niezbędnych danych do realizacji danego celu. Treść zgody powinna cechować dobrowolność, konkretność, świadomość i jednoznaczność. Musimy też zadbać o tzw. rozliczalność – czyli fakt odebrania zgody powinien być możliwy do udowodnienia. Odwołanie zgody powinno być tak łatwe, jak jej wyrażenie. W związku z tym, podchodzić należy z ostrożnością do praktyki zbierania zgody na przetwarzanie danych osobowych w celu realizacji umowy, ponieważ nie możemy wówczas zapomnieć o np. rozpatrzeniu reklamacji towaru/usługi zakupionych w ramach umowy. Jak widać, jest to dość skomplikowane zagadnienie. Nie zawsze więc stosowanie ” gotowców” będzie dla danej firmy odpowiednie.
Jeśli chodzi o „politykę prywatności” zawartość zależeć będzie w dużej mierze od charakteru przetwarzania danych. Każdy podmiot zajmuje się czym innym i zakres oferowanych usług, czy towarów oraz czas ich trwania będzie determinował w dużej mierze szczegółowość informacji zawieranych w polityce prywatności. Tam informujemy np. użytkownika/gościa strony internetowej jakie dane osobowe są zbierane i jak będą wykorzystywane, w jaki sposób można dokonać zmian w danych osobowych użytkownika; w jaki sposób są zabezpieczane dane pobierane od użytkowników.
Bez względu za pośrednictwem jakiego formularza zbieramy dane osobowe, czy mamy zgodę na przetwarzanie danych, czy też nie musimy jej mieć – należy pamiętać o obowiązkach informacyjnych jakie Administrator Danych Osobowych musi spełnić w stosunku do osoby, od której dane zbiera.
Ogólnie ujmując, zamieszczając dokument potocznie zwany „polityką prywatności”- mamy zamiar wypełnić wynikający z RODO obowiązek informacyjny, przy czym przepisy nie definiują, w jakim dokumencie i w jaki sposób należy wywiązać się z tego przepisu. Czy nazwiemy to klauzulą informacyjną czy polityką prywatności najistotniejsza będzie treść.
Klauzula informacyjna/polityka prywatności musi zawierać bardzo wiele informacji, aby była zgodna z RODO, a wśród nich jest informacja o okresie przechowywania danych osobowych. Obok formularza kontaktowego nie trzeba jednak zamieszczać długiej klauzuli informacyjnej. Wystarczy jedno zdanie, w którym znajdzie się odwołanie do polityki prywatności lub regulaminu. Ważne, aby osoba która powierza nam swoje dane osobowe, miała łatwy dostęp do tego dokumentu. Najlepiej jest zamieścić link do polityki prywatności tuż pod formularzem – np. w okolicy przycisku wysłania formularza.
Zabezpieczenie certyfikatem SSL, jak i inne pozostałe zabezpieczenia opisanych i nieopisanych powyżej, RODO nie określa jakie środki muszą być zastosowane dla zabezpieczenia danych osobowych przed wyciekiem. RODO mówi nam, że administrator ma zapewnić odpowiednie środki techniczne i organizacyjne, aby zminimalizować możliwość wycieku danych osobowych. Należy pamiętać, że nigdy… (co prawda mówi się, że nigdy nie mów nigdy, ale w tym przypadku możemy być pewni) …że nigdy w 100% nie jesteśmy w stanie zabezpieczyć się przed utratą danych. Ochrona danych to nie tylko strona internetowa, ale i pracownicy, budynek, pomieszczenie, procedury itd. Zgodnie z RODO powinna być zrobiona analiza ryzyka wycieku danych i na jej podstawie określić czy jeszcze można zrobić cokolwiek, aby zwiększyć bezpieczeństwo przed wyciekiem danych.
Reasumuj zabezpieczenia certyfikatem SSL na pewno zwiększy bezpieczeństwo przed wyciekiem danych, ale czy jest konieczne to dopiero można określić po analizie ryzyka.
Należy pamiętać, że dużo też zależy od możliwości firmy. To administrator w porozumieniu z Inspektorem Danych Osobowych (obowiązkowy dla części podmiotów) lub doradcą od ochrony danych osobowych ustalają – co można i co trzeba zrobić.
Należy pamiętać, że w przypadku wycieku danych musimy udowodnić, że zrobiliśmy wszystko co w naszej mocy, aby te dane zabezpieczyć.
Gdyby ktoś jednak wpadł na pomysł usunięcia formularzu kontaktowego – nie wydaje się to mimo wszystko dobrym pomysłem z uwagi na rozwój firmy czy kontakt z klientem, który w szczególny sposób ograniczylibyśmy. Nie pozwólmy, by zmiana przepisów blokowała nasze działania.
Należałoby raczej opracować Kodeks Postępowania i zamieścić w nim własny sposób na ochronę danych osobowych zamieszczając m. innymi treści, które zamieszczamy dla odbiorcy. Jeśli złożymy Kodeks do zatwierdzenia w Urzędzie Ochrony danych i nie zostanie on zatwierdzony, to otrzymamy przynajmniej opinie organu, który w końcu uprawniony będzie do sprawdzania i to jego punkt widzenia będzie decydujący. Procedura ta wiąże się m.in z obowiązkowymi konsultacjami.
Doraźną formą – jest tez pisemny wniosek o opinię / zajęcie stanowiska w trudnej wg nas sprawie – przez Urząd Ochrony Danych Osobowych. Wystawiona opinia nie będzie miała wiążącego charakteru zabezpieczającego , ale przynajmniej będzie to wskazówka, a także element potwierdzenia naszej należytej staranności w celu realizacji obowiązków wynikających z ustawy.
Podobną role pełnić będą także Certyfikaty, ale co do trybu i sposobu przyznawania – nie mamy jeszcze pełnych informacji.
____________________
As Biuro rachunkowe i Ośrodek Szkoleniowy
Iwona Błoniarczyk-Stencel