Techniczne aspekty ochrony danych osobowych

Artykuł ten stanowi część większego cyklu poświęconego ochronie danych osobowych.

Techniczne aspekty ochrony danych osobowych

Obowiązki nałożone na przedsiębiorstwa przez Rozporządzenie o Ochronie Danych Osobowych nie dają się spełnić jedynie pustymi obietnicami. Polityka Bezpieczeństwa, umowy powierzenia danych, Instrukcje Zarządzania Systemami Informatycznymi – to jedynie dokumenty. Oprócz nich trzeba faktycznych działań by chronić dane osobowe.

Dlaczego rzeczywista ochrona ma priorytet przed biurokratycznym obowiązkiem?

To oczywiste, prawda? Wszyscy chcemy by dane były faktycznie chronione, a nie jedynie określone w politykach, instrukcjach i raportach. Tyle pięknej teorii, bo w praktyce większość przedsiębiorców chce przede wszystkim chronić własny biznes. Nie ma w tym nic nadzwyczajnego. Na szczęście w przypadku RODO możliwości działania na pokaz zostały bardzo ograniczone.

Przede wszystkim zakres technicznych rozwiązań wykorzystywanych do ochrony danych osobowych nie został jasno określony. Nie ma więc listy zadań które można „odfajkować” i uznać, że temat jest zamknięty. Nie jest i w przypadku ochrony danych – raczej nie będzie. W przypadku kontroli, urzędnik zbada czy dane są należycie chronione. Jeśli okaże się, że pracownik wysłał niezabezpieczoną bazę danych wrażliwych do wszystkich kontrahentów – żadne wcześniejsze dokumenty nie pomogą. Lepiej więc zapobiegać niż leczyć.

Dlatego warto zastanowić się nad konkretnymi rozwiązaniami technicznymi w zakresie ochrony danych osobowych.

Przechowywanie dokumentów papierowych

Mimo postępu technicznego, wciąż drukujemy znaczną część dokumentacji. W przeciwieństwie do danych elektronicznych, bardzo łatwo stwierdzić gdzie papierowe dokumenty są i gdzie być powinny.
W każdej firmie zatrudniającej pracowników należy więc:

  • Określić sposób przekazywania dokumentów papierowych pomiędzy pracownikami, uniemożliwiający dostanie się ich w ręce osób trzecich – Na przykład zostawienie dokumentów na biurku recepcjonisty, gdy ten nie przyszedł jeszcze do pracy nie jest dobrym rozwiązaniem.
  • Wybrać miejsca przechowywania dokumentacji papierowej – Innych niż niezabezpieczona szafa segregatorowa w poczekalni dla klientów, w której nie ma żadnego pracownika.
  • Określić zasady zabezpieczenia dokumentacji przed kradzieżą/skopiowaniem – Nawet szafka zamykana na zwykły kluczyk jest lepsza niż brak zabezpieczenia w ogóle.
  • Określić zasady zabezpieczania dokumentacji przed zniszczeniem – zalaniem, niecelowym wrzuceniem do niszczarki, użyciem jako makulatura.
  • Trzymać się powyższych zasad.

Przewożenie dokumentów papierowych i nośników danych

Przewożenie dokumentów, bez względu na to czy są to wydruki, czy pendrive, zawsze wiąże się z pewnym ryzykiem. Trudno jednak ustalić jasne zasady ich zabezpieczenia czy środki techniczne, które miałby to umożliwić. Niestety, ale kluczowy pozostaje zdrowy rozsądek właściciela firmy i pracowników.
Pewne minimum to umieszczenie przewożonych dokumentów papierowych w teczkach i segregatorach, tak by uniemożliwić wypadnięcie pojedynczej strony. Znamy przypadek gdy właścicielowi firmy przewożącemu niezabezpieczone dokumenty na przednim siedzeniu udało się je stracić z powodu silnego wiatru i niefrasobliwego otwarcia drzwi.
Elektroniczne nośniki danych (pendrive, karty pamięci) są natomiast na tyle małe, że łatwo je zwyczajnie zgubić. Zdecydowanie lepiej jest przewozić je w większych pojemnikach (dyplomatka, nerka) lub nawet w portfelu.

Niszczenie dokumentacji

Przedsiębiorca nie wyrzuca dokumentów. Przedsiębiorca je niszczy.
Warto zapamiętać tę zasadę i zapisać ją w Polityce Bezpieczeństwa.
Wszystkie dokumenty papierowe, które straciły swoją użyteczność dla firmy powinny zostać przepuszczone przez niszczarkę. W ten sposób firma nie tylko chroni się przed wyciekiem danych osobowych, ale też zabezpiecza tajemnicę handlową swoich kontrahentów i swoje dobre imię.
Nie polecamy natomiast palenia dokumentacji – nie tylko z powodu skojarzenia z dawnymi służbami PRL, ale też mając na uwadze względy ochrony środowiska.

Monitoring

W kontekście ochrony danych osobowych monitoring jest zarówno przydatnym narzędziem, jak i istotnym utrudnieniem.
Na pewno pomaga wykryć sprawcę kradzieży tradycyjnych dokumentów. Pomaga też zabezpieczyć obiekt przed osobami trzecimi i kontrolować pracowników.
Jeśli jednak na nagraniach z monitoringu znajdą się dane osobowe, też będą one podlegać ochronie.
Wystarczy więc by kamera została skierowana na monitor pracownika, lub biurko gdzie pracuje on nad dokumentacją by konieczne było dodatkowe zabezpieczenie przed wyciekiem.
Nawet monitoring omijający dokumentację, będzie sposobem na gromadzenie danych osobowych pracowników i klientów odwiedzających lokal.

Porządek na biurku

Zwłaszcza osoby pracujące na wydrukach powinny przemyśleć czy leżące na wierzchu dokumenty nie staną się przyczyną wycieku danych. W Polityce Bezpieczeństwa można określić pewne zasady takie jak na przykład:

  • Pracownicy przyjmujący klientów nie powinni mieć podczas rozmowy z nimi, żadnych dokumentów zawierających dane osobowe osób innych niż aktualnie przebywający w pomieszczeniu klient
  • W sekretariatach, recepcjach i innych pomieszczeniach dostępnych dla osób z zewnątrz (osoby aplikujące do pracy, obnośni sprzedawcy, potencjalni klienci) dokumenty zawierające dane osobowe nie mogą leżeć na biurku.
  • Nie powinno być możliwości zajrzenia w monitor pracownika z zewnątrz budynku. Dotyczy to zwłaszcza biur położonych na parterze.
  • Po zakończeniu pracy, a przed opuszczeniem stanowiska, pracownik powinien schować wszystkie dokumenty zawierające dane osobowe.

Ogólnie warto też dbać o porządek na biurku by nie gubić dokumentów i nie ryzykować ujawnienia danych.

Umowa powierzenia danych osobowych w małej firmie

Artykuł ten jest częścią większego cyklu poświęconego ochronie danych osobowych.

Umowa powierzenia danych osobowych w małej firmie

Bardzo często dane osobowe nie tylko przechowuje się i przetwarza w ramach działalności gospodarczej, ale też udostępnia podmiotom trzecim. Przepisy wymagają by w każdym takim przypadku zawrzeć umowę powierzenia danych osobowych.

Co powoduje konieczność zawarcia umowy dotyczącej powierzenia danych osobowych?

Zasadniczo kiedy firma przekazuje dane osobowe innej osobie prawnej (innej firmie, organizacji, jednostce samorządu terytorialnego) powinna z nią zawrzeć Umowę powierzenia danych osobowych.
Próba dostosowania się do tego przepisu w wersji nie-zawężonej szybko doprowadzi jednak do całkowitego paraliżu przedsiębiorstwa. Dlaczego? Wyjaśniamy w przykładzie 1.
Przykład 1.

Pani Ola Igrekowska jest przedstawicielem handlowym. Sekretarka umówiła jej spotkanie i prezentację usług informatycznych w siedzibie firmy XyZ. W wiadomości email znalazły się następujące informacje: imię i nazwisko Pani Oli, jej telefon, zakres godzinowy spotkania. Dla potrzeb ochrony budynku XyZ, sekretarka dodała, że Pani Ola podjedzie niebieskim, służbowym Fordem.

Gdzie tu przekazanie danych osobowych? Wszędzie. Tylko na podstawie tego maila można dowiedzieć się, że znana z imienia i nazwiska osoba w danych godzinach będzie w danej lokalizacji. Wystarczy by np.:
– Porwać Panią Olę zanim dojedzie do siedziby XyZ, lub gdy ją opuści.
– Okraść mieszkanie Pani Oli, wiedząc, że w danych godzinach nie ma jej w domu.
Powyższy przykład z jednej strony pokazuje, że niemal każde dane są zarówno danymi osobowymi w rozumieniu RODO, jak i istotnymi informacjami osobistymi w rozumieniu potocznym.
Z drugiej jednak strony Przykład 1 wskazuje na praktyczną niemożliwość zawarcia umów powierzenia danych osobowych z każdą firmą, której się je przekazuje.

W powyższym przykładzie, Pani Ola, która jest przedstawicielem handlowym może mieć umówionych po 5 spotkań dziennie, każde z inną firmą. Samo zawarcie odpowiednich umów powierzenia danych całkowicie sparaliżowałoby jej pracę. Po za tym firma otrzymująca dane tak czy inaczej będzie je chronić by nie złamać przepisów o tajemnicy handlowej.

Z tego względu wydaje się zasadne ograniczenie umów jedynie do przypadków przekazania zbiorów danych osobowych, lub danych szczególnie wrażliwych.
Dobrymi przykładami są na przykład:
– Przekazanie dokumentacji dotyczącej zatrudnienia zewnętrznej firmie księgowej lub kadrowej;
– Przekazanie wyników badań pracowników zewnętrznej firmie ubezpieczeniowej;
– Przekazanie listy uczestników i dodatkowych wymagań związanych z nimi, firmie organizującej wyjazd integracyjny.
– Przekazanie bazy klientów firmie, która podjęła się pośrednictwa w sprzedaży.

W jaki sposób zawierana jest umowa powierzenia danych osobowych?

W umowie dotyczącej powierzenia danych osobowych jedna firma powierza, a druga zobowiązuje się przechowywać i przetwarzać zgodnie z przepisami pewien zbiór danych.

Dla potrzeb dowodowych zdecydowanie lepiej zawrzeć taką umowę na piśmie, nic jednak nie stoi na przeszkodzie zawarciu jej drogą elektroniczną. W praktyce optymalne staje się przygotowanie szablonu umowy powierzenia danych osobowych, w którym będzie się jedynie wypełniało
– Dane firmy/organizacji, której powierza się dane;
– Zakres przekazywanych danych;
– Daty rozpoczęcia i zakończenia umowy;
– Obowiązki firmy, której powierzono dane na wypadek ustania współpracy (np. usunięcie zbiorów).

Z kim zawierać umowy powierzenia danych osobowych?

W praktyce zawieranie umów powierzenia danych osobowych ma sens jedynie z usługodawcami i podwykonawcami.
Nawet jeśli firma przekazuje pewne dane swojemu klientowi, lub potencjalnemu klientowi to niby dlaczego miałby on godzić się na administrowanie danymi?
Umowa jak sama nazwa wskazuje wymaga dobrowolnej zgody dwóch lub więcej stron, więc umowy, w których przedsiębiorstwo powierza dane klientowi będą wyjątkowo rzadkie. Oczywiście może ich wymagać specyfika branży, ale nie będzie to popularne rozwiązanie.

Czy warto skorzystać z dostępnych w sieci szablonów do umów?

W przeciwieństwie do zasad Polityki Bezpieczeństwa czy Instrukcji Zarządzania Systemami Informatycznymi, które mają bardzo indywidualny charakter, umowy powierzenia mogą być dosyć ogólne.
Przedsiębiorstwa zawierające jedynie standardowe umowy dotyczące danych osobowych (np. związane z zewnętrznymi usługami księgowymi, kadrowymi i ubezpieczeniowymi) mogą swobodnie skorzystać z dostępnych szablonów.
Bardzo możliwe też, że wyspecjalizowani dostawcy usług tacy jak spółki ubezpieczeniowe będą mieli po 25 maja własne szablony dla swoich klientów.

Zastrzeżenia umowne

Powierzając dane należy zastrzec cel w jakim mogą one być przetwarzane przez kontrahenta. Nie można określić tego celu szerzej niż wskazują na to uprawnienia jakie ma powierzający.
Przykładowo jeśli pan Zenon Zetowski udostępnił swoje dane firmie XyZ dla potrzeb wykonania zamówienia, to firma XyZ nie może udostępnić ich przedsiębiorstwu kurierskiemu w celach marketingowych.

RODO – Zarys zagadnienia.

Upoważnienie pracownika do przetwarzania danych osobowych w małej firmie

Artykuł ten jest częścią większego cyklu poświęconego ochronie danych osobowych.

Upoważnienie pracownika do przetwarzania danych osobowych w małej firmie

By pracownik mógł przetwarzać dane osobowe, Administrator Danych Osobowych musi go do tego upoważnić. Odpowiednie upoważnienie do przetwarzania danych osobowych w myśl nowych przepisów o ochronie danych osobowych jest niezbędne w stosunku do większości pracowników.

Komu należy wystawić upoważnienie?

Małe przedsiębiorstwa mają często niski stopień specjalizacji pracowników. Oznacza to, że potencjalnie każda osoba w firmie może zostać poproszona o pomoc w danym zadaniu. Z tego powodu najlepiej wystawić upoważnienie dosłownie wszystkim, ewentualnie tylko zawęzić jego zakres.

Upoważnienie jest na pewno niezbędne do:

  • Wszelkich spraw kadrowych – z zasady dotyczą one danych pracowników.
  • Sprzedaży jeśli sprzedawca ma styczność z danymi klienta – np. telemarketer zna zazwyczaj imię, nazwisko i nr telefonu klienta; a przedstawiciel handlowy nawet jego adres.
  • Pełnienia stanowiska kierowniczego – przełożeni zawsze mają dostęp do części danych podwładnych.
  • Obsługi klienta – prawie na pewno pracownik ma dostęp do podstawowych danych.
  • Wysyłania listów, nadawania paczek i przesyłek – jeśli na paczce są dane klienta takie jak adres, imię, nazwisko.
  • Ochrony i nadzoru – nagranie z monitoringu zawiera dane osobowe takie jak wygląd osoby, po którym można ją zidentyfikować i miejsce pobytu w danym czasie.
  • Analizy i obróbki baz danych jeśli te zawierają dane osobowe.
  • Obsługi CRM – praktycznie zawsze w danych systemu są dane osobowe klientów.
  • Umawiania spotkań, pracy sekretariatu, recepcji itp.

Tak naprawdę trudno wyobrazić sobie pracownika biurowego w małej firmie, który nie ma styczności z danymi osobowymi. Upoważnień można więc nie wystawiać np. szeregowym pracownikom ekipy budowlanej lub sprzątającej.

Komu można wystawić upoważnienie?

Upoważnienie do przetwarzania danych osobowych nie jest związane z umową o pracę. Można wystawić je także dla:

  • praktykantów;
  • wykonawców dzieł;
  • zleceniobiorców.

Osobom prowadzącym własną działalność (np. samozatrudnienie) przekazuje się dane na podstawie umowy powierzenia danych osobowych.

Co musi znaleźć się w upoważnieniu?

Wystawiając upoważnienie do przetwarzania danych osobowych, trzeba w nim zawrzeć – oczywiście dane osobowe. A tak na poważnie, dokument taki powinien zawierać:
Informacje o tym kto powierza dane,
Imię i nazwisko osoby, która otrzymuje upoważnienie,
Cel przetwarzania danych – można go określić bardzo ogólnie, np. w celu wykonywania obowiązków na stanowisku starszego specjalisty ds. jakości,
Datę od kiedy upoważnienie jest ważne;
Zakres danych, które pracownik ma prawo przetwarzać.
Dokument taki powinien być ponadto podpisany przez osobę uprawnioną do nadania upoważnienia.

Ewidencja osób upoważnionych

Każdy pracodawca jest zobowiązany prowadzić Ewidencję osób upoważnionych do przetwarzania danych osobowych. Jako, że nie ma wymagań co do jej formy, najlepiej utworzyć plik dostępny jedynie dla ADO i ABI, a w nim zamieścić tabelkę obejmującą imiona, nazwiska i zakres upoważnienia.

RODO – Zarys zagadnienia. 

Instrukcja Zarządzania Systemami Informatycznymi dla małej firmy

Artykuł stanowi część większego cyklu poświęconego ochronie danych osobowych.

Instrukcja Zarządzania Systemami Informatycznymi dla małej firmy

Każda firma przechowująca jakiekolwiek dane osobowe w formie elektronicznej zobowiązana jest przygotować Politykę Bezpieczeństwa, której częścią będzie Instrukcja Zarządzania Systemami Informatycznymi.
Samo przygotowanie dokumentu, najczęściej w formie załącznika do Polityki Bezpieczeństwa, jest obowiązkiem formalnym. Natomiast dbanie o bezpieczeństwo danych jest nie tylko obowiązkiem przedsiębiorcy, ale też leży w jego kluczowym interesie. Z tego względu warto przygotować Instrukcję tak by spełniała swoje oficjalne zadanie, a więc była jasnym i zrozumiałym szablonem postępowania dla pracowników. Od czego zacząć?

Czym jest System Informatyczny w rozumieniu przepisów o ochronie danych osobowych?

Za system informatyczny należy uznać każdy program (aplikację), który może posłużyć do przechowywania, przetwarzania lub udostępniania danych osobowych.

Ta, bardzo szeroka, definicja może być sprzeczna z potocznym rozumieniem systemu jako rozwiązania znacznie bardziej zaawansowanego (system operacyjny, CRM, CMS), lecz dla potrzeb ochrony danych osobowych lepiej założyć po prostu, że ów „system informatyczny” oznacza całość oprogramowania używanego przez firmę, a także wszystkie urządzenia elektroniczne, na których dane te mogą być przechowywane.

W zakresie oprogramowania na pewno trzeba wziąć pod uwagę:
Pocztę elektroniczną email
Komunikatory wewnątrz firmowe i zewnętrzne (np. Messenger)
Programy księgowe, fakturujące i kadrowe
Aplikacje firmowych mediów społecznościowych (np. Facebook, Linkedin)
Systemy zarządzania treścią (firmowy CMS, WordPress)
Bazy danych i programy do ich tworzenia/obsługi
Systemy CRM

Nie ma natomiast sensu wymienianie w Instrukcji wszystkich programów ani urządzeń, z których korzystać będą pracownicy.

Jak określić kompetencje, które zawiera Instrukcja Zarządzania Systemami Informatycznymi?

Choć wydaje się to oczywiste, warto zastrzec, że Administrator Danych Osobowych (a więc właściciel firmy lub jej zarząd) ma pełne prawo wglądu we wszystkie firmowe systemy informatyczne i urządzenia – także udostępnione pracownikom.
Bardzo istotny jest też zakres kompetencji ABI oraz osoby kierującej działem IT i tym samym faktycznie przyznającej innym pracownikom dostępy/hasła/uprawnienia pozwalające korzystać z oprogramowania. W Instrukcji można zastrzec także szczególne kompetencje działu kadr czy księgowego.
Dostęp pozostałych pracowników do urządzeń i oprogramowania powinien być natomiast określony bardzo ogólnie, tak by nie utrudniać pracy, ani nie rozbudowywać nadmiernie biurokracji wewnątrz firmowej. Stosowanie zapisów zbyt szczegółowych, a zwłaszcza przypisywanie kompetencji do konkretnej osoby (Jan Iksiński) zamiast do stanowiska (specjalista ds. IT), może doprowadzić do stworzenia zapisu zbyt uciążliwego i w efekcie – martwego.

W Instrukcji warto więc zawrzeć informacje na temat tego:
Kto ma prawo przyznawać i odbierać dostęp do urządzeń i programów;
Jakie stanowiska mają dostęp do szczególnie istotnych danych osobowych;
W jaki sposób przyznaje się lub odbiera dostęp do urządzeń i programów.

Co zawrzeć w Instrukcji Zarządzania Systemami Informatycznymi?

Wszystkie informacje zawarte w poprzednich akapitach dotyczą obowiązków formalnych. Nie znając potrzeb konkretnej firmy, trudno wybrać optymalne rozwiązania pod względem praktycznym. Mimo to zawsze w Instrukcji warto zawrzeć
Nakaz zabezpieczania baz danych i dostępu do kluczowego oprogramowania hasłem;
Potrzebę wylogowywania się w przypadku opuszczenia stanowiska pracy i ponownego logowania po powrocie na nie;
Wymagania przedsiębiorstwa w zakresie szyfrowania informacji wewnątrz firmowych i w kontaktach z kontrahentami;
Zasady dotyczące wynoszenia poza teren firmy nośników danych i urządzeń elektronicznych je przechowujących;
Częstotliwość i sposób tworzenia kopii zapasowych (back-up);
Zasady przechowywania, zabezpieczania, i przywracania kopii zapasowych;
Zasady drukowania i przesyłania dokumentów elektronicznych;
Metody bezpiecznego przekazywania haseł dostępowych i kluczy kryptograficznych między pracownikami, jeśli zachodzi taka potrzeba.

W praktyce te same zasady warto stosować nie tylko do ochrony danych osobowych, ale też w celu zachowania tajemnicy handlowej i uniknięcia szpiegostwa gospodarczego.

Między teorią, a praktyką

Przygotowując Instrukcję Zarządzania Systemami Informatycznymi należy pamiętać, że przygotowanie dokumentu w stylu obietnic wyborczych (czyli w teorii idealnego systemu bezpieczeństwa, a w praktyce niemożliwego do wyegzekwowania) nie ma sensu. Zgodność z RODO i tak będzie sprawdzana głównie w firmach gdzie nastąpił wyciek danych, a wówczas urzędnicy zapytają o faktyczne, a nie jedynie formalne środki ochrony.
Lepiej więc stworzyć Instrukcję możliwą do zrealizowania i trzymać się jej. Żadna firma na świecie nie jest w stanie w 100% zapewnić bezpieczeństwa danych. Urzędnicy zdają sobie z tego sprawę i nie będą wymagać poziomu ochrony większego niż w przypadku podobnych przedsiębiorstw.

RODO – Zarys zagadnienia

Polityka Bezpieczeństwa – jak ją przygotować dla małej firmy? (cz 2)

Artykuł ten stanowi część większego cyklu poświęconego ochronie danych osobowych. Jest kontynuacją tekstu Polityka Bezpieczeństwa – jak ją przygotować dla małej firmy (cz 1)

Polityka Bezpieczeństwa – jak ją przygotować dla małej firmy? (cz 2)

W poprzednim artykule odpowiedzieliśmy na kilka pytań związanych z przygotowaniem Polityki Bezpieczeństwa dla potrzeb Rozporządzenia o Ochronie Danych Osobowych. Jest to jednak zagadnienie rozbudowane, w którym mogą pojawić się kolejne wątpliwości.

1 Czy potrzebny jest Wykaz Zbiorów Danych Osobowych?

Zgodnie z obowiązującymi od 25 maja 2018 przepisami niezbędnym elementem Polityki Bezpieczeństwa – dokumentu przygotowywanego pod kątem ochrony danych osobowych, jest Wykaz Zbiorów Danych Osobowych. Nie można go pominąć, bez względu na wielkość firmy czy branżę, w której ona działa.

Należy więc koniecznie taki wykaz przygotować, czym zajmiemy się w jednym z kolejnych artykułów.

2 Jak określić obszar, w którym przetwarza się dane osobowe?

Obowiązek określenia miejsca, w którym przetwarza się dane osobowe, jest delikatnie rzecz biorąc, niedostosowany do aktualnego poziomu technologii, nie wspominając już o przyszłych rozwiązaniach. Korzystając z oprogramowania takiego jak Dropbox, Google Docs, korzystając chmury obliczeniowej, tak naprawdę przetwarzamy dane na serwerach firmy – producenta oprogramowania.
Czy zatem powinniśmy określić miejsce przechowywania danych jako „Hala serwerowa Google/Apple/Microsoft w [tu wstaw prawdopodobną lokalizację serwera, z którego dane mogą zostać w każdej chwili przeniesione na inny serwer bez Twojej wiedzy]?

Gdyby należało przedstawić sprawę zgodnie z prawdą, współczesne przedsiębiorstwo nie byłoby w stanie określić obszaru, w którym przetwarzane są dane osobowe. Niestety i na szczęście, chodzi jedynie o dokument dla potrzeb polskiej biurokracji.

Jako obszar, w którym przetwarzane są dane osobowe określamy więc siedzibę firmy – całą, ze wszystkimi podległymi oddziałami. Na pewno nie warto ograniczać obszaru do pojedynczych pomieszczeń, zwłaszcza jeśli choć jedno stanowisko pracy wyposażone w komputer miałoby znaleźć się poza tym obszarem.
Pracownik wystawiający fakturę może musieć wystawić ją dla osoby fizycznej i tym samym zebrać dane osobowe. Jeśli osoba ta kupi np. prezerwatywy, leczniczy materac, albo książkę o polityce, to będą to nawet dane wrażliwe.

Tylko co z pracownikami, którzy pracują w terenie z wykorzystaniem laptopa, tabletu, telefonu komórkowego? Przecież zapisując kontakt do poznanego na targach kontrahenta (imię, nazwisko, firma, nr telefonu – dane w 100% wystarczające do zidentyfikowania konkretnej osoby) – przechowują jej dane osobowe. Bardzo możliwe też, że przetwarzają je lub przesyłają do innych osób w firmie.

W braku odpowiedniego przepisu i orzecznictwa należy zaufać, że urzędnicy dokonujący kontroli zrozumieją, że określenie pełnego i dokładnego obszaru przetwarzania danych osobowych jest niemożliwe.

Warto natomiast dodać do obszaru listę przedsiębiorstw, którym powierza się dane osobowe np. swoich klientów.

3 Jak aktualizować Politykę Bezpieczeństwa w firmie?

Nawet jeśli na samym początku nie uda się uchwalić idealnej Polityki Bezpieczeństwa, nie jest to duży problem – można ją zaktualizować w każdej chwili, w ten sam sposób co została uchwalona.

Tak naprawdę warto założyć, że uchwalona Polityka Bezpieczeństwa nie jest dokumentem „ostatecznym i wiecznie trwałym”. Warunki techniczne zmieniają się wraz z postępem, a także rozwojem firmy.

Bardzo dobrym pomysłem jest przygotowanie PB w sposób ogólnikowy, a uszczegóławiać ją w razie potrzeby załącznikami.

4 Czy potrzebna jest Instrukcja Zarządzania Systemami Informatycznymi?

Najprostszy nawet program komputerowy jest traktowany jako „system informatyczny” w kontekście przepisów o ochronie danych osobowych. Excel, Access, Płatnik, Symfonia, Google Docs – to tylko niektóre przykłady.
W praktyce każda firma musi więc uwzględnić w ramach Polityki Bezpieczeństwa odpowiednią instrukcję. Jej przygotowaniem zajmiemy się w jednym z kolejnych artykułów.

Kolejne zagadnienia zostaną poruszone w bardziej szczegółowych artykułach.

Polityka Bezpieczeństwa (cz.2)

RODO – Zarys zagadnienia

Polityka Bezpieczeństwa – jak ją przygotować dla małej firmy? (cz. 1)

Artykuł ten jest częścią większego cyklu, jest kontynuowany w części 2.

Polityka Bezpieczeństwa – jak ją przygotować dla małej firmy? (cz. 1)

Rozporządzenie o Ochronie Danych Osobowych nakłada na przedsiębiorców obowiązek przygotowania i wdrożenia Polityki Bezpieczeństwa (PB) – ogólnego dokumentu określającego zasady zbierania, przechowania, przetwarzania i udostępniania danych osobowych w ramach działalności przedsiębiorstwa.
Emocje wywołane nadchodzącym wejściem w życie RODO spowodowały nagłe i mocno przesadzone zapotrzebowanie na szkolenia i szablony dotyczące Polityki Bezpieczeństwa. Jedynie najbardziej uczciwi spośród przygotowujących je potrafili przyznać, że coś takiego jak uniwersalna polityka bezpieczeństwa nie istnieje. Każda firma ma własną specyfikę i powinna przygotować Politykę Bezpieczeństwa w oparciu o własne potrzeby. Wbrew pozorom, nie jest to tak trudne, by nie móc zrobić tego samodzielnie. Spróbujmy przejść przez to wspólnie.

1 Kto i w jaki sposób określa Politykę Bezpieczeństwa?

W przypadku jednoosobowej działalności gospodarczej jedyną osobą władną uchwalić Politykę Bezpieczeństwa dotyczącą danych osobowych jest właściciel firmy. Powinien on przygotować, a potem wydrukować i podpisać dokument zatytułowany właśnie „Polityka Bezpieczeństwa”.
Teoretycznie nie ma zdefiniowanego obowiązku drukowania, podpisywania, ani nawet nadawania takiego właśnie tytułu, ale działania te ułatwią kontakt z ewentualnym przedstawicielem kontroli, przede wszystkim zaś będą niezbitym dowodem, że Polityka Bezpieczeństwa faktycznie została uchwalona.

Właściciel tworzy więc Politykę Bezpieczeństwa i wdraża ją w formie jednoosobowej decyzji.

W przypadku spółki potrzebna jest natomiast uchwała zarządu dotycząca Polityki Bezpieczeństwa, lub jednoosobowe rozporządzenie prezesa jeśli ma on pełną kontrolę nad firmą. W zależności od struktury organizacyjnej, większe przedsiębiorstwa mogą zdecydować, że Politykę Bezpieczeństwa powinna potwierdzić też np. rada nadzorcza.

2 Kiedy wdrożyć Politykę Bezpieczeństwa?

Ponieważ w małych przedsiębiorstwach bardzo trudno udowodnić kiedy faktycznie wdrożona została Polityka Bezpieczeństwa, pojawiły się przynajmniej 3 koncepcje, wszystkie oparte raczej o przewidywania reakcji kontroli niż sytuację rzeczywistą.
PB uchwalona i wdrożona z dniem 25 maja 2018, a więc równo z wejściem RODO – W sumie dobry pomysł, choć według niektórych naraża firmę na zarzut niewłaściwego przechowywania danych przed tą datą.
PB uchwalona i wdrożona niedługo przed 25 maja z cichym założeniem, że faktycznie firma będzie się do niej stosować po wejście w życie RODO – podobnie jak wyżej.
PB uchwalona i wdrożona z datą wsteczną i to przynajmniej o kilka lat – Nieudolna i niezbyt zasadna próba udowodnienia, że PB istniała w firmie od zawsze i zawsze też przestrzegano poprzednich przepisów.

W praktyce na podstawie RODO nie można ukarać firmy za niedociągnięcia w ochronie danych osobowych powstałe przed 25 maja 2018. Wykorzystuje się wówczas starsze przepisy, które nakładały obowiązek, ale nie groziły sankcjami w przypadku jego niedopełnienia.

Politykę Bezpieczeństwa należy więc mieć wdrożoną 25 maja 2018, a potem można ją w dowolnym momencie zmienić w tym samym trybie w jakim została uchwalona i wdrożona.

3 Czy powtarzać definicje ustawowe?

W Polityce Bezpieczeństwa z konieczności posługujemy się terminami i określeniami właściwymi dla tego zagadnienia. Część z nich to terminy techniczne lub prawnicze, odległe od potocznego rozumienia. Przedsiębiorca ma możliwość:
Przepisać definicje ustawowe odpowiednich określeń do swojej Polityki Bezpieczeństwa – znacznie wydłuża to dokument, ale może ułatwić jego zrozumienie bez sięgania do rozporządzenia.
Odesłać w tekście PB do odpowiednich przepisów (RODO lub inne akty prawne) – dokument będzie krótszy i bardziej zwarty, ale nie całkiem zrozumiały dla osoby nie znającej rozporządzenia.
Napisać własne definicje, prawdopodobnie uszczegóławiając w ten sposób zapisy ustawowe i dopasowując je do potrzeb firmy – może to być zasadne rozwiązanie, które pozwoli stworzyć zwarty i zrozumiały dokument, ale warto w takiej sytuacji skorzystać z pomocy prawnika lub przynajmniej polonisty by uniknąć nieporozumień.

Na pewno nie powinno się używać określeń definiowanych ustawowo w znaczeniu innym niż w przepisach, bez właściwego ich zdefiniowania na nowo.

4 Czy wyznaczyć Administratora Bezpieczeństwa Informacji?

Administrator Bezpieczeństwa Informacji (ABI, nie mylić z Administratorem Danych Osobowych) to wyznaczona w przedsiębiorstwie osoba, która ma: nadzorować wykonywanie Polityki Bezpieczeństwa, informować i szkolić innych pracowników z zakresu ochrony danych osobowych, sprawdzać czy inni pracownicy przestrzegają PB.
Nie ma obowiązku wyznaczania ABI. Jeśli ABI nie zostanie wyznaczony jego rolę i obowiązki pełni właściciel firmy (lub jej zarząd). O ile często w najmniejszych przedsiębiorstwach faktycznie sam właściciel wykonuje obowiązki ABI, o tyle w większych przedsiębiorstwach powinien tę rolę komuś powierzyć. Przeważnie ABI zostaje kierownik, asystent lub specjalista ds. IT, ale nie ma przeciwwskazań by funkcję ABI pełnił np. księgowy.
W przypadku spółek prawa handlowego wyznaczenie ABI jest znacznie bardziej potrzebne, zwłaszcza jeśli kieruje nimi zarząd wieloosobowy.

Warto pamiętać, że ABI (jeśli nie jest nim właściciel, prezes, lub zarząd łącznie) nie odpowiada za naruszenie przez firmę Rozporządzenia o Ochronie Danych Osobowych.

5 W jaki sposób i kogo upoważniać do przetwarzania danych osobowych?

Każdy pracownik mający na co dzień do czynienia z danymi osobowymi innych osób (klientów, pracowników, kontrahentów, innych – w zależności od branży) powinien otrzymać odpowiednie upoważnienie.
Nie ma wymagań formalnych co do jego formy, zdecydowanie lepiej jednak wybrać formę pisemną. Dla potrzeb dowodowych wydrukowany i podpisany przez osobę uprawnioną dokument papierowy, lub wiadomość elektroniczna (email, wiadomość wewnątrzfirmowa) bedą znacznie mocniejsze niż upoważnienie ustne.
Nadać upoważnienie do przetwarzania danych może Administrator Danych Osobowych (właściciel firmy, jej zarząd, niekiedy prezes jednoosobowo). Ma on również możliwość wyznaczyć osoby uprawnione do nadawania upoważnienia w jego imieniu.
W Polityce Bezpieczeństwa należy określić: kto upoważnia, w jakiej formie, na jaki czas i czy upoważnienie dotyczy wszystkich danych przetwarzanych przez firmę (np. pracownik kadr może dostać upoważnienie do przetwarzania danych pracowników i osób biorących udział w rekrutacji, ale nie klientów).

6 Jak wyznaczyć obowiązki Administratora Bezpieczeństwa Informacji?

ABI, a w jego braku właściciel firmy, zarząd lub prezes zobowiązani są przeprowadzać kontrolę wewnętrzną dotyczącą przestrzegania Polityki Bezpieczeństwa. W PB należy określić:
Jak często ma być przeprowadzana kontrola? (nie częściej niż co kwartał, ale nie rzadziej niż co rok)
W jaki sposób przeprowadzana ma być kontrola?
Co podlega kontroli?
W jaki sposób sporządza się protokół z kontroli wewnętrznej?
Kto podpisuje protokół?
Gdzie przechowywany jest protokół?

Obowiązek protokołowania wydaje się nieco absurdalny w przypadku firm jednoosobowych nie zatrudniających pracowników (właściciel sam się kontroluje i sporządza z tego protokół?).

7 Co robić w przypadku naruszenia PB?

W Polityce Bezpieczeństwa powinny być określone środki zaradcza, które zostaną zastosowane w przypadku złamania zasad Polityki Bezpieczeństwa i naruszenia praw osób, których dane są chronione. Podobnie jak w kilku poprzednich przypadkach, właściwie niemożliwe jest tu określenie sztywnego szablonu postępowania. Ogólnie w PB należy zawrzeć nakaz zminimalizowania szkód i zgłoszenia naruszenia RODO.

Artykuł jest częścią większego cyklu poświęconego RODO. W kolejnych zostaną omówione pozostałe zagadnienia związane z ochroną danych osobowych.

 

RODO – zarys zagadnienia

Polityka Bezpieczeństwa (cz.2)

RODO – problem dla małej firmy?

Artykuł ten jest częścią większego cyklu wyjaśniającego zagadnienia związane z ochroną danych osobowych. Zdecydowałam się je umieścić ze względu na dużą ilość pytań związanych z RODO.

RODO czyli problem dla małej firmy

Małe i średnie przedsiębiorstwa na równi z korporacyjnymi gigantami zobowiązane są do przestrzegania Rozporządzenia o Ochronie Danych Osobowych (RODO). Z jednej strony należy cieszyć się, że nasze dane będą lepiej zabezpieczone, z drugiej jest to kolejny obowiązek, któremu muszą podołać przedsiębiorstwa sektora MSP.

Kogo dotyczy RODO?

Rząd obiecywał ułatwienia dla małych i średnich firm, faktycznie jednak nie powinniśmy się takich spodziewać. Być może pojawią się symboliczne możliwości, które raczej zagmatwają całą sprawę niż w istotny sposób zmniejszą obowiązki pracodawcy. Polska jest w tej kwestii związana przepisami UE i nie może zaniżać standardów ochrony.
W aktualnej sytuacji prawnej zakładamy, że Rozporządzenie dotyczy wszystkich przedsiębiorstw, a także organów państwowych, samorządowych i organizacji pozarządowych. Każda firma musi uwzględnić RODO.

Jakie dane są chronione rozporządzeniem?

W praktyce ochronie podlegają każde dane umożliwiające identyfikację osoby fizycznej. Oznacza to każdy dokument na którym zawarte są:
Imię i nazwisko;
Numer PESEL;
Zdjęcie umożliwiające identyfikację;
Połączenie innych danych umożliwiające przypisanie ich do konkretnej osoby – choćby adres email, podpisane oświadczenie, konto na portalu społecznościowym, numer telefonu, rejestracja prywatnego samochodu.

Wyjątki mogą natomiast dotyczyć sytuacji gdy dane są powszechnie znane (przykładowo sam zainteresowany umieścił je na swojej stronie www) lub dotyczą nie tyle osób co grup lub organizacji (dane statystyczne, kapitał firmy itp.).

Czyje dane są chronione?

RODO nie dookreśla grupy osób, które korzystają z ochrony, należy więc uznać, że dotyczy ono wszystkich. W przypadku większości przedsiębiorstw będzie to oznaczać głównie:
Pracowników;
Osoby kandydujące do pracy;
Kontrahentów i dostawców;
Klientów.

Lista ta będzie rozszerzona w przypadku prowadzenia działalności związanej z tworzeniem, obróbką i przetwarzaniem danych.
Przykładowo fotograf weselny będzie mieć obowiązek chronienia danych gości weselnych, których fotografował, a przedsiębiorca prowadzący call center – osób ankietowanych.

Ochrona danych nie jest absolutna i pewne dane mogą być udostępniane np. w ramach wolności prasy, wolności słowa czy nawet zasadnego interesu firmy. Mówi się o „wyważeniu” pomiędzy ochroną danych osobowych, a innymi prawami.

Jak chronić dane by pozostać w zgodzie z prawem?

Co ciekawe, w stosunku do poprzednio obowiązujących przepisów, w RODO nie próbowano doprecyzować szczegółów technicznych ochrony danych osobowych. Administratorzy danych osobowych mają dużą dowolność, ale i równą jej odpowiedzialność.

Na pewno warto przygotować wewnątrz firmowy dokument dotyczący Polityki Bezpieczeństwa przedsiębiorstwa. Dokument taki powinien zostać przedstawiony wszystkim pracownikom. Po zapoznaniu się z nim, pracownicy powinni podpisać zobowiązanie się do przestrzegania zasad tam ustalonych. Reguły te w równym stopniu obowiązywać będą także właściciela firmy.
Dalsze istotne czynności formalne będą już dotyczyły konkretnych sytuacji i tak na przykład:

Powierzając dane podwykonawcy należy zawrzeć z nim umowę powierzenia / podpowierzenia danych osobowych.
Jeśli w firmie kontakt z chronionymi danymi ma część pracowników – należy pisemnie upoważnić ich do przetwarzania danych osobowych.
Prowadząc rekrutację wolno uwzględniać jedynie CV/listy motywacyjne z umieszczoną klauzulą zezwolenia na przechowywanie i obróbkę danych osobowych dla celów rekrutacji.
Należy informować (choćby w regulaminie portalu, komunikacji mailowej), że przechowuje się dane osobowe danej osoby i że ma ona prawo do wglądu w nie, poprawienia błędów lub usunięcia danych.
Na życzenie danej osoby należy ujawnić jej jakie dane o niej są przechowywane przez firmę – warto więc przygotować sobie odpowiednie szablony dokumentów elektronicznych.
Należy prowadzić listę lub ewidencję przekazywanych danych (np. do doradcy podatkowego, podwykonawcy, urzędu).

Artykuł stanowi część pierwszą cyklu, kolejne pojawią się wkrótce.

Polityka bezpieczeństwa (cz. 1)

Polityka bezpieczeństwa (cz.2)

Instrukcja Zarządzania Systemami Informatycznymi

Umowa powierzenia danych

Upoważnienie pracownika do przetwarzania danych