Najważniejszym dla przedsiębiorcy jest ochrona informacji, które muszą być chronione na mocy prawa oraz ochrona informacji stanowiących tajemnicę.
Bezpieczeństwo informacji przechowywanej i zarządzanej w strukturze informatycznej organizacji jest obecnie nie tylko koniecznością, ale także obowiązkiem. Wymogi prawa nakładają na firmy (i nie tylko) obowiązek podjęcia konkretnych działań o charakterze organizacyjnym, jak i technicznym, właśnie w zakresie ochrony danych i informacji.
Czy Ja lub zarządzane przeze mnie przedsiębiorstwo potrzebuje zespołu zasad i procedur zwanych najczęściej Polityką Bezpieczeństwa Informacji ?
Odpowiedź zawiera warunek który powinien być spełniony, ale jest prosta:
Jeżeli zatrudniam pracowników lub obsługuję klientów, których dane są przetwarzane – TAK
Mówi o tym wyraźnie Ustawa z 29 sierpnia 1997r .o ochronie danych osobowych (Dz.U. Nr 133, poz. 883 z późn. zm.) i wskazuje obowiązki techniczne i organizacyjne ochrony zbiorów danych osobowych, które musi wypełnić Administrator danych – czyli Zarząd Organizacji, są to między innymi:
– zabezpieczenie zbiorów danych
– rejestracja zbiorów danych
– szkolenia osób pracujących z danymi
To właśnie dane osobowe pracowników i klientów, przetwarzane w niemal każdej organizacji są najpowszechniejsze i dlatego muszą być prawnie chronione.
Niezależnie od powyższego, niektóre dane osobowe wymagają również rejestracji u Generalnego Inspektora Ochrony Danych Osobowych (tzw. GIODO), w dużym uproszczeniu można powiedzieć, że w GIODO rejestrujemy dane osobowe osób z zewnątrz, czyli spoza organizacji.
Jasnym jest zatem, że konieczności wdrożenia Polityki Bezpieczeństwa pociąga za sobą konieczność opracowania odpowiednich zasad i procedur postępowania, wiąże się z postawieniem konkretnych wymagań, jak i z poniesieniem przez organizację niezbędnych kosztów.
Jako podmiot oferujący obsługę informatyczną, oferujemy również usługę wdrożenia Polityki Bezpieczeństwa Informacji w firmie (organizacji) oraz pomoc w przygotowaniu i wypełnieniu zgłoszenia do GIODO (gdy zachodzi taka potrzeba)
Zapraszamy do kontaktu.
Zgłoszenie zbioru danych do GIODO, czy aby na pewno muszę TO wykonać?
Aby odpowiedzieć na to pytanie proszę najpierw zaznajomić się z odpowiednim wyjątkiem ustawy:
Art. 52 Ustawy o ochronie danych osobowych
Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
i odpowiedzieć sobie na pytanie: czy przechowuję i przetwarzam dane osób z zewnątrz (spoza firmy, organizacji)?
Na co należy zwrócić uwagę?
Wprowadzenie Polityki Bezpieczeństwa Informacji w organizacji chroni zatem zarówno interesy przedsiębiorcy, jak również pomaga wypełnić obowiązki ochrony informacji wynikające z przepisów prawa. Poza tym, zabezpiecza przed konsekwencjami prawnymi i pozwala w przypadku sytuacji naruszenia zasad ochrony przez osoby dopuszczone do informacji, podjąć odpowiednie działania dyscyplinarne
Przykładowe sytuacje:
Przykład 1)
Firma (organizacja) zatrudnia pracowników, zleca również prace na umowy.
Przetwarzanie danych pracowników (zatrudnionych na umowę o pracę) oraz współpracowników (umowy zlecenia, umowy o dzieło) wymaga zapewnienia im ochrony poprzez opracowanie i wdrożenie polityki bezpieczeństwa (włącznie z dopuszczeniem do przetwarzania danych tylko osób posiadających pisemne upoważnienie do ich przetwarzania oraz prowadzeniem ewidencji tych osób). Nie wymaga to natomiast zgłoszenia zbioru danych do GIODO.
Przykład 2)
Organizacja rekrutuje nowego pracownika do rozpoczynającego się projektu.
Przetwarzanie danych kandydatów do pracy również wymaga zapewnienia im ochrony poprzez opracowanie i wdrożenie polityki bezpieczeństwa (włącznie z dopuszczeniem do przetwarzania danych jedynie osób mających pisemne upoważnienie do ich przetwarzania oraz prowadzeniem ewidencji tych osób). Nie wymaga to natomiast zgłoszenia zbioru danych do GIODO.
Przykład 3)
Przychodnia zbiera dane o stanie zdrowia swoich podopiecznych w związku z prowadzonym gabinetem lekarskim.
Taki podmiot jest zobligowany do zapewnienia ochrony danych poprzez posiadanie opracowanej i wdrożonej polityki bezpieczeństwa (włącznie z dopuszczeniem do przetwarzania danych jedynie osób mających pisemne upoważnienie do ich przetwarzania oraz prowadzeniem ewidencji tych osób) oraz do zgłoszenia tego zbioru danych do GIODO (ponieważ są to dane osób „z zewnątrz” organizacji).
Przykład 4)
Prowadzę sklep internetowy przy pomocy którego sprzedaję oferuję i sprzedaję towary.
Wykonywana działalność wiąże się ściśle z przetwarzaniem danych osobowych. Nawet w tym przypadku powinna być wdrożona odpowiednia polityka bezpieczeństwa przetwarzania danych, jednocześnie ze względu na przechowywania danych osób „z zewnątrz” wymagane jest zgłoszenie do GIODO.
Podstawowe wytyczne Polityki Bezpieczeństwa
Opracowana Polityka Bezpieczeństwa Informacji powinna zawierać przegląd procedur i instrukcji, niezbędnych do wdrożenia przez organizację, które dotyczą:
organizacji bezpieczeństwa – opis struktury organizacyjnej odpowiedzialnej za strategiczne zagadnienia związane w zarządzaniem bezpieczeństwem Informacji i bieżącą kontrolę nad ich realizacją
klasyfikacji i kontroli zasobów – mechanizmy pozwalające na utrzymanie aktualności ewidencji i klasyfikacji aktywów związanych z informacją
bezpieczeństwa osobowego – mechanizmy pozwalające na określenie odpowiedzialności za przestrzeganie opracowanej Polityki Bezpieczeństwa Informacji przez wszystkich pracowników organizacji
bezpieczeństwa fizycznego i środowiskowego – opis metod kontroli dostępu, zaimplementowanych rozwiązań organizacyjnych, technicznych i mechanicznych, zabezpieczających przed dostępem do stref bezpieczeństwa Informacji, osób niepowołanych
zarządzania systemem komputerowym i siecią – opis procedur zarządzania systemami teleinformatycznymi, w tym procedur bezpiecznej eksploatacji systemu i zakresu personalnej odpowiedzialności
kontroli zgodności z prawem – o zgodność z obowiązującymi przepisami prawa, takimi jak Ustawa o ochronie danych osobowych, Ustawa o Informacji niejawnej, Ustawa o prawach autorskich i prawach pokrewnych
Ustawodawca nie przewiduje w ustawie o ochronie danych osobowych kary za brak polityki bezpieczeństwa, ale jeśli organizacja nie zgłosi do rejestracji zbioru danych darczyńców czy wolontariuszy, a mimo to przetwarza je, poniesie karę (grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku). Z kolei bez opracowanej i wdrożonej polityki bezpieczeństwa nie jest możliwe dokonanie zgłoszenia zbioru danych osobowych do GIODO (część E, pkt 16, ppkt „d” zgłoszenia, o którym mowa w załączniku do rozporządzenia MSWiA z dnia 11 grudnia 2008 r., Dz. U. Nr 229, poz. 1536).
Informacje opracowane na podstawie:
http://www.ensi.net/odo/archiw/nr1_art01.html
http://poradnik.ngo.pl
CO MUSI ZROBIĆ FIRMA, ABY BYĆ ZGODNĄ Z PRZEPISAMI RODO ?
1. Przeprowadzić inwentaryzacje zasobów informatycznych i informacyjnych (Audyt)
2. Wykonać Analizę Ryzyka (opcjonalnie)
3. Wdrożyć dokumentacje i procedury opisujące politykę ochrony przetwarzanych danych
4. Sporządzić rejestr czynności przetwarzania danych – koniecznie !
5. Wprowadzić metodologie i procedury naruszenia bezpieczeństwa i zgłoszeń do odpowiedniego organu
6. Wdrożyć zabezpieczenia fizyczne i informatyczne w strukturze
7. Określić podstawy prawne na każdą kategorię danych (dokumentacja)
8. Podjąć decyzję o powołaniu DPO (pol. IOD - opcjonalnie)
9. Spełnić wymagany obowiązek informacyjny jeżeli istnieje
10. Zaktualizować umowy powierzenia przetwarzania danych pod nowe przepisy
11. Przygotować nowe informacje dla osób, których dane są przetwarzane
12. Przeszkolić wyznaczony personel z ochrony danych i procedur RODO
13. Nadzorować i sprawdzać prawidłowe wykonywanie opracownych procedur