Pytanie w tytule jest dość przewrotne. Bo jakie są wymagania GIODO? Możemy właściwie mówić tylko o jednym. GIODO wymaga, byś przestrzegał zapisów Ustawy o ochronie danych osobowych (UODO). To właśnie z niej i z powiązanych rozporządzeń, wynikają Twoje obowiązki. Co zrobić, aby te wymagania spełnić? O tym można napisać książkę, ale spróbujmy w telegraficznym skrócie opisać, co zrobić, aby działać zgodnie z UODO.

Jakie dane osobowe przetwarzasz?

Masz chronić dane osobowe, czyli właściwie co? Przeanalizuj wszystkie działania swojej firmy, szukając w nich danych osobowych (przeczytaj: Co to są dane osobowe?). Wiele z nich będzie tworzyło „zbiory” (nie myl „zbiorów” z bazami danych). Zbiory danych rozpoznasz po tym, że:

  • posiadają strukturę,
  • mają charakter osobowy (możesz na ich podstawie zidentyfikować osobę),
  • są dostępne według określonych kryteriów (możesz je przeszukiwać np wg. daty, nazwiska, itp.)

Aby prawidłowo zidentyfikować zbiór, musisz określić cel przetwarzania danych. Dane jakie przetwarzasz w zbiorze muszą być adekwatne do tego celu.

Czy możesz przetwarzać dane osobowe?

Po identyfikacji zbiorów danych osobowych jakie posiadasz w firmie, odpowiedz sobie na pytanie CZY i NA JAKIEJ PODSTAWIE możesz te dane przetwarzać. Z pomocą przyjdzie Ci artykuł 23 Ustawy, który wymienia przesłanki, które pozwalają na przetwarzanie danych. Niektóre są oczywiste i jednoznaczne, np. „zgoda”. Inne dają Ci szerokie pole do popisu np. w sytuacji, gdy przetwarzanie wynika z innych przepisów prawa (czasem wystarczy poszukać) lub jest prawnie usprawiedliwionym celem.

Zagrożenia dla danych osobowych

Wiesz już jakie dane przetwarzasz. Zbiory danych osobowych to Twoje zasoby – często najcenniejsze w firmie (np. w przypadku sklepu internetowego). To wystarczający powód, aby je chronić. Musisz jednak wiedzieć przed czym. Dlatego zastanów się co grozi Twoim zasobom. Jakie jest prawdopodobieństwo, że te zagrożenia wystąpią i wpłyną na Twoje zasoby? Czy właściwie je zabezpieczasz i co możesz jeszcze zrobić, aby te zasoby były bezpieczne?

Zabezpieczenie danych osobowych

Zdrowy rozsądek i znajomość zagadnień bezpieczeństwa informacji pomogą Ci zastosować zabezpieczenia, adekwatne do zagrożeń i ryzyka, o których wspominaliśmy powyżej. Pewne aspekty zabezpieczeń opisuje również Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Masz obowiązek dostosować się do zawartych tam wymagań. Najczęściej pokrywają się one z wcześniej wspomnianym zdrowym rozsądkiem i znajomością zagadnień bezpieczeństwa. Można nawet zaryzykować stwierdzenie, że są ich ubogą wersją.

Dokumentacja ochrony danych osobowych

Ustawa o ochronie danych osobowych wymaga, abyś sporządził odpowiednią dokumentację. Należą do niej:

  • Polityka bezpieczeństwa (danych osobowych)
  • Instrukcja zarządzania systemem informatycznym
  • Ewidencja upoważnień
  • Rejestr zbiorów danych osobowych (prowadzi go ABI – jeśli został powołany)

Szkolenia

ABI (lub ADO – jeśli ABI nie został powołany) ma obowiązek zapewnić zapoznanie się osób upoważnionych (o upoważnieniach dalej) z przepisami o ochronie danych osobowych. Nie będzie odkrywcze jeśli napiszę, że odpowiednim rozwiązaniem będą szkolenia z ochrony danych osobowych.

Upoważnienia

Osoby, które pracują u Ciebie lub dla Ciebie i mają dostęp do danych osobowych muszą być do tego upoważnione. Wydaj tym osobom upoważnienia do przetwarzania danych osobowych wskazując w nich zakres i czas obowiązywania. Wydanie upoważnienia powinno być odnotowane w ewidencji. Pamiętaj o tym, że osoby upoważnione, muszą znać przepisy dotyczące ochrony danych osobowych i zobowiązać się do zachowania poufności. Te kwestie warto załatwić za jednym razem – przy okazji wydawania upoważnienia.

Umowy powierzenia

Korzystasz z outsourcingu? Przyjrzyj się procesom, które wykonują na Twoje zlecenie inne firmy. Czy przy tej okazji przetwarzają dane osobowe, których jesteś administratorem? Takie sytuacje zachodzą, gdy korzystasz z usług hostingowych (na przykład dla sklepu internetowego, systemu CRM…), księgowości, usług kadrowych. W takim przypadku jesteś zobowiązany zawrzeć NA PIŚMIE umowę powierzenia przetwarzania danych osobowych. O tym jak taka umowa powinna wyglądać pisałem już w tym artykule: Co powinno się znaleźć w umowie powierzenia

Rejestracja zbiorów

Zidentyfikowałeś już zbiory danych osobowych. Czy musisz je rejestrować? TAK – chyba, że istnieje przesłanka dla zwolnienia z rejestracji. O przesłankach tych mówi artykuł 43 Ustawy o ochronie danych osobowych. Jeśli nie ma takiej przesłanki, jesteś zobowiązany zarejestrować zbiór danych osobowych. Najłatwiej będzie zrobić to, wypełniając formularz na stronie GIODO. Od 1 stycznia 2015 roku powołanie ABIego jest jedną z przesłanek do zwolnienia z rejestracji pewnych zbiorów danych osobowych. Pamiętaj jednak, że w takim przypadku ABI musi sam prowadzić rejestr zbiorów.

Powołanie i rejestracja ABIego

Powołanie ABIego nie jest obowiązkowe. W niektórych firmach posiadanie ABIego się nie sprawdzi, a w innych będzie sensownym posunięciem. To kwestia indywidualna. ABI musi być kompetentny, niekarany (za umyślne przestępstwa), posiadać pełną zdolność do czynności prawnych i korzystać z pełni praw publicznych. Jeśli firma decyduje się na powołanie Administratora bezpieczeństwa informacji, to warto aby to on koordynował cały opisany tu proces od samego początku. W ciągu 30 dni od powołania ABIego, należy zgłosić ten fakt do rejestracji GIODO.

Wypełnienie obowiązku informacyjnego

Przekaż odpowiednie informacje osobom, których dane przetwarzasz. Jeśli zbierasz dane bezpośrednio od osób, których dotyczą, musisz poinformować je o:

  • adresie swojej siedziby i pełnej nazwie lub imieniu, nazwisku i adresie zamieszkania, jeśli jesteś osobą fizyczną.
  • celu przetwarzania danych, odbiorcach i przewidywanych odbiorcach.
  • prawie dostępu do treści swoich danych oraz prawie do ich poprawienia
  • dobrowolności lub obowiązku podania danych. Jeśli istnieje obowiązek, musisz podać podstawę prawną.

Prowadząc sklep internetowy, możesz te informacje umieścić np. w regulaminie, polityce prywatności lub klauzuli w formularzu rejestracyjnym. Ważne aby zapewnić dostęp do tej informacji. Nieco inny zestaw informacji jesteś zobowiązany podać w przypadku pozyskania danych z innego źródła, niż od osoby, której dane dotyczą. Nie musisz wtedy informować o obowiązku lub dobrowolności podanie danych (w końcu już je masz). Należy za to wskazać skąd pozyskałeś dane.

Czy to wystarczy?

Powyższe czynności to podstawy podstaw. Zasady ochrony danych osobowych w każdej firmie buduje się indywidualnie, zależnie od specyfiki samej firmy, danych jakie przetwarzamy itp. Z pewnością pojawią się dodatkowe czynności i obowiązki. Przykładowo, gdy będziesz przetwarzać dane wrażliwe. Nie musisz realizować tych zaleceń we wskazanej kolejności (może być to trudne, a nawet niewykonalne). Wskazane działanie z pewnością będą się zazębiały i przeplatały.

Podziel się

Przydatne? Podziel się ze znajomymi.