Analiza ochrony danych osobowych RODO firma instytucja

Analiza ochrony danych osobowych RODO firma instytucja

Witaj w kolejnej części Poradnika o RODO. Napisałem go, aby wskazać przedsiębiorcom oraz przedstawicielom instytucji publicznych zasady postępowania w zakresie Ochrony Danych Osobowych, czyli tzw. RODO.

Analiza stanu ochrony danych osobowych, to pierwsza czynność jaką należy przeprowadzić w ramach przygotowania firmy i instytucji do wymogów RODO. Należ ją rozpocząć od zastanowienia się jakie dane osobowe, czyli dane osób fizycznych są w danej firmie czy organizacji przechowywane. Czasami właścicielom małych jedno-osobowych firm wydaje się, że nie ma u nich żadnych baz danych osób fizycznych. A przecież wystarczy jeden klient - osoba fizyczna lub jeden kontrahent - osoba fizyczna prowadząca działalność gospodarczą, aby okazało się, że jednak są dane osób fizycznych i trzeba o nie zadbać z punktu widzenia RODO. Jak już wspomniałem rozpocząć należy od Analiza stanu ochrony danych osobowych. Ważne jest także aby zrozumieć kto fizycznie w firmie jest Administratorem Danych Osobowych. W małej firmie jest to proste. Administratorem Danych Osobowych jest właściciel firmy, czyli tzw. Szef.

Mogę pomóc w dostosowaniu Twojej firmy do RODO

Szukasz pomocy w dostosowaniu Twojej firmy do RODO? Dzwoń: 509869388, mailuj: biuro ( @ ) gddm.com.pl.

Komplesowe doradztwo RODO

Przygotowanie niezbędnej dokumentacji RODO

szkolenia RODO dla firm i instytucji

www.gddm.com.pl Zduńska Wola, Paprocka 86 - SERDECZNIE ZAPRASZAM

Analiza stanu ochrony danych osobowych RODO firma instytucja

ETAP I - Analiza stanu ochrony danych osobowych RODO - BAZY DANYCH OSOBOWYCH

Pierwszym krokiem jest sprawdzenie jakie dane osób fizycznych są przechowywane w naszej firmie czy instytucji. Analiza RODO dotyczy zarówno:

  • danych papierowych - np.: akta pracownicze, faktury drukowane, oferty, książka podawcza, itp.
  • danych elektronicznych - np.: elektroniczne listy klientów, maile, księgowość prowadzona w programie komputerowym (płace, faktury, stany magazynowe), itp.

Dobrą wiadmomością dla osób zajmujących się analizą, wdrożeniem i przygotowaniem do RODO jest zmiana, która zaszła w stosunko do prawa GIODO. Teraz baz danych administrator zgłaszać nigdzie co do zasady nie musi, gdyż sam odpowiada za zgodność przetwarzania danych osobowych z prawem RODO. Przypominam, że dane osoby fizycznej prowadzącej działalność gospodarczą także są elementem RODO, gdyż pozwalają na jednoznaczne określenie danej osoby. W tym przypadku: przedsiębiorcy.

Gdy już wiemy jakiego rodzaju dane osób fizycznych posiadamy w firmie, możemy przystąpić do podziału ich na poszczególne bazy danych. kolejnym krokiem będzie określenie jakiego rodzaju dane nasze bazy zawierają i czy zakres posiadanych danych jest niezbędny z punktu widzenia prawa oraz określonego celu przetwarzania. Ale najpierw należy się jeszcze zastanowić nad stanowiskiem ASI, czyli Administratora Systemów Informatycznych. W dużej firmie zwykle jest to jasne, gdyż wynika z wewnętrznych regulaminów, struktury przedsiębiorstwa i umów o pracę. W małej firmie pojawia się problem. Bardzo często nie ma takiej osoby, a sam właściciel lub jego pracownik dba o komputery. Stanowisko to jest o tyle ważne, że przechodząc dalej do analizy zagrożeń wynikających z systemu informatycznego i sieci internet, ważnym jest aby jedna osoba była odpowiedzialna za zarządzanie siecią komputerową czy nawet zasobami jednego komputera firmowego.

ETAP II - Analiza stanu ochrony danych osobowych RODO - STAN OBECNY

Stan obecny pokazuje nam jakiego rodzaju firmą jesteśmy, a gdy połączymy to ze zdiagnozowanymi zasobami baz danych, będziemy wiedzieli na bazie przepisów RODO, jakiego rodzaju dokumentacja do RODO jest potrzebna oraz jakie zasoby musimy przeznaczyć na dalsze działania RODO. Np. czy jest potrzebny Inspektor Ochrony Danych Osobowych czy też wystarczy jedynie Admiistrator Danych Osobowych plus ewentualnie jacyś jego pełnomocnicy.

ETAP III - Analiza stanu ochrony danych osobowych RODO - CEL PRZETWARZANIA

Gdy określimy cel przetwarzania, to będziemy wiedzieć czy posiadane dane osobowe mają właściwy zakres. Cel przetwarzania jest jedną z informacji, którą powiniśmy udostępnić osobom fizycznych, których dane posiadamy w naszej bazie. Jeżeli te osoby nie wyrażą zgody na przechowywanie i przetwarzanie swoich danych, wówczas musimy te dane usunąć. Wyjątkiem są dane, które z mocy prawa trzeba przechowywać. Np. akta personalne pracowników pracodawca musi przechowywać przez bodajże 50 lat. I nawet gdyby były pracownik zażyczył sobie usunięcia swoich danych osobowych z baz byłego pracodawcy, to jest taka czynność niemożliwa do wykonania, bo niezgodna z prawem.

Analiza ochrony danych osobowych RODO firma instytucja

Analiza ochrony danych osobowych RODO firma instytucja

ETAP IV - Analiza stanu ochrony danych osobowych RODO - PRZECHOWYWANIE DANYCH OSOBOWYCH PAPIEROWYCH

Zarówno dane osobowe papierowe jak i elektroniczne powinny być przechowowane i przetwarzane jedynie w miejscach do tego wyznaczonych przez Administratora Danych Osobowych. Załóżmy, że jest to pokój A w księgowości. Należy sprawdzić czy są właściwe procedury dostępu do budynku oraz do pokoju A. Czy procedury okreśają wyraźnie oosoby, które mają dostęp do w.w. pokoju. A wewnątrz pokoju, jak zabezpieczone są dane osobowe w formie papierowej. Sejf czy zamykana szafa? Kto ma klucze do tego miejsca? Czy są wystawione przez Administratora Danych Osobowych stoswne pełnomocnictwa dostępu?

Osoba dokonująca analizy musi "ogarnąć" całokształt środowiska, w którym znajdują się zasoby papierowe zawierające dane personalne. Począwszy od zabezpieczeń budynku, pokoju, mebli, aż do uprawnień poszczególnych osób związanych z dostępem do danych ich przeglądania i przetwarzania. Istotne jest także zabezpieczenie zawartości danych choćby przed wzrokiem osób nie posiadających stosownych uprawnień. Przeanalizować trzeba wiele innych czynników, które mają miejsce w codziennym życiu firmy, jak choćby procedury is sposoby niszczenia dokumentów związanych z RODO.

ETAP V - Analiza stanu ochrony danych osobowych RODO - PRZECHOWYWANIE DANYCH OSOBOWYCH ELEKTRONICZNYCH

Dane elektroniczne objęte są podobnymi zasadami analizy co dane papierowe, ale jeszcze dodatkowo należy określić na jakim sprzęcie znajdują się dane. Kto ma do nich dostęp? Czy można w łatwy sposób określić rodzaje dostępu do danych elektronicznych, np. różne loginy i hasła dla poszczególnych osób pracujących przy programie księgowym. W jaki sposób dane są zabezpieczane? Kto może je przetwarzać i na jakim poziomie. W jaki sposób są wykonywane kopie danych osobowych, kto może je wykonywać, gdzie i przez kogo są przechowywane i kto ma dostęp do danych archiwalnych.

Całym potężnym zagadnieniem pozostaje sieć internet i jej wpływ na dane osobowe. Trzeba przeanalizować czy i gdzie dane personalne przekazujemy. Czy mamy na to stosowne pozwolenia? Jak wygląda kwestia dostępu z internetu do sieci wewnętrznej. Jakie mamy zabezpieczenia chroniące sieć od nieautoryzowanego dostępu? A co z zabezpieczeniami wewnętrznymi? Czy komputer zawierający dane chronione - personalne, jest odpowiednio zabezpieczony przed dostępem osób niepowołanych.

Zagadnień, które trzeba przeanalizować i opisać nawet w niewielkiej 1-2 osobowej firmie jest tak dużo, że zwykle samemu włąśccielowi trudno jest dobrze przygotować analizę zagrożeń RODO w zakresie danych elektronicznych. Zwłaszcza, że zwykle dochodzi jeszcze powierzanie danych, choćby do Biura Rachunkowego. Ale niestety do RODO przygotować musi się każda, nawet najmniejsza firma.

ETAP VI - Analiza stanu ochrony danych osobowych RODO - POWIERZANIE DANYCH OSOBOWYCH

Jednym z najtrudniejszych elementów analizy stanu ochrony danych osobowych RODO jest kwestia powierzania danych osobowych, np. do:

  • biuro rachunkowe
  • firma hostingowa
  • firma wysyłkowa
  • firma telemartingowe
  • agencja marketingowa

Podstawowym narzędziem do przekazania danych jest Umowa powierzenia. Jednakże trzeba pamiętać, że przekazując czyjeś dane personalne, anleży daną osobę o tym powiadomić i uzyskać jej zgodę na przekazanie danych. Tematu powierzenia danych celem ich dalszego przetwarzania nie będę poruszał w tym artykule, gdyż i tak stał się on już nieco przydługi. Postanowiłem zająć się zagadnieniem powierzenia danych osobowych w oddzilnym poradniku. Zakładam, że jeszcze w maju powinien on pojawić się na stronach mojego portalu z bezpłatnymi szkoleniami i poradami www.poswojsku.info.


Serdecznie zapraszam do poznania wszystkich części mojego poranika RODO.

kolejne części poradnika będą publikowane od 23 kwietnia do 5 maja, a także systematycznie będę je uzupełniał o zagadnienia ciekawe i ważne z punktu widzenia osoby wdrażającej RODO.

Pozdrawiam i zapraszam do współpracy w zakresie przygotowania i wdrażania RODO: Darek Gołębiowski, 509869388

RODO - porady dla małej firmy

RODO Ochrona Danych Osobowych Dokumentacja wzory jak zrobić ..

Analiza ochrony danych osobowych RODO firma instytucja ..

RODO mała firma jakie dokumenty zrobić ochrona danych ..

RODO przychodnia zdrowia medycyna lekarz ochrona danych ..

RODO dokumentacja wzory dokumentów rejestr czynności przetwarzania itd ..

RODO biuro rachunkowe dokumenty ochrona danych ..

 

Zobacz w menu podobne artykuły do: Analiza ochrony danych osobowych RODO firma instytucja

szkolenia bezpłatne kolejne lekcje
kursy, porady, artykuły znajdziesz w Menu Tematycznym