Zaznacz stronę

Wypełniając wniosek do GIODO, robiąc to tradycyjnie (papierowo), czy elektronicznie, prędzej czy później dojdziesz do punktu 16-tego! A tam czekają na Ciebie tajemnicze środki organizacyjne i techniczne. Przeczytaj koniecznie, jeśli Ty też masz problem z wyszczególnieniem właściwych środków, które zabezpieczają dane osobowe!

Punkt 16 we wniosku do GIODO zawiera opis środków, które każdy Administrator Danych Osobowych zapewnia w celu ochrony danych przed ich ujawnieniem, udostępnieniem, zabraniem przez osoby nieupoważnione lub zniszczeniem.

Do 24 maja 2018 r. obowiązują wymogi określone w ustawie z 29 sierpnia 1997. o ochronie danych osobowych, a także Rozporządzeniu wykonawczym do ustawy. To szczególnie w Rozporządzeniu wymienione są minimalne środki, które należy wziąć pod uwagę przy ochronie danych. Wypełniając wniosek do GIODO potwierdzasz, że chronisz dane w sposób właściwy. Pamiętaj, że nie warto kopiować cudzych rozwiązań i w punkcie 16 należy wymienić te środki, które są adekwatne względem Twojej sytuacji i danych, które przetwarzasz. Poniżej znajdziesz przykładowe środki organizacyjne i techniczne, które możesz we wniosku wymienić. Często już je stosujemy, tylko nie jesteśmy świadomi, że takim mianem są one określane. Nie są też obciążeniem dla budżetu. Nawet niewielka, początkująca firma może sobie na nie pozwolić, by odpowiednio chronić dane osobowe swoich klientów, pracowników, czy subskrybentów newslettera.

Uwaga: Niektóre środki są obowiązkowe. Inne możesz modyfikować. Wszystko zależeć będzie od tego jakie dane i w jakim celu przetwarzasz. Inne zabezpieczenia będą w przypadku niewielkiej firmy wysyłającej newsletter, a inne będą w banku, czy w przychodni.

Środki ochrony danych dzielimy na organizacyjne i techniczne. Środki organizacyjne np. procedury i instrukcje wdrożone w celu ochrony danych, przeszkolenie osób, zobowiązanie pracowników do zachowanie danych w tajemnicy. Środki techniczne to zabezpieczenia informatyczne i zabezpieczenia zbioru danych, które można zastosować w celu jego ochrony

 Środki wymienione w pkt 16 od a) – e) są wymagane. Mówię o nich w filmie, który nagrałam o tym, jak wypełnić wniosek do GIODO, więc tutaj skupię się wyłącznie na podpunkcie f), czyli inne środki oprócz wymienionych w ppkt a—e, zastosowane w celu zabezpieczenia danych. To właśnie podpunkt f) sprawia Wam najwięcej problemów, dlatego dziś piszę o nim bardzo szczegółowo.

Przejrzyj poniższą listę przykładowych środków organizacyjnych i technicznych i wybierz te, które są u Ciebie adekwatne. Wypisz je w pkt 16 f), a jeśli wypełniasz wniosek elektronicznie to będziesz mieć rozwijalną listę tych środków i wtedy możesz zaznaczyć te, które u Ciebie występują lub powinny występować. Poniższa lista pokrywa się z pozycjami, które znajdziesz we wniosku do GIODO. Tu natomiast wymieniam tylko te, które są najczęściej spotykane w małym biznesie, przy założeniu, że nie przetwarzasz danych o stanie zdrowia, a tylko dane zwykłe (klient, newsletter, pracownik). To jest też moment, w którym możesz bliższej przyjrzeć się stosowanym zabezpieczeniom i odpowiedzieć sobie na pytanie, czy one są wystarczające w Twoim biznesie.

Środki organizacyjne:

  1. Osoby zatrudnione przy przetwarzaniu danych:
    • zostały zapoznane z przepisami dotyczącymi ochrony danych osobowych – jeśli masz wystarczającą wiedzę możesz samodzielnie przekazać pracownikom najważniejsze zasady.
    • zostały przeszkolone w zakresie zabezpieczeń systemu informatycznego – możesz to zrobić samodzielnie, przekazać informację na temat polityki haseł, antywirusa, nie ściągana niebezpiecznych programów, nie pobierania plików niewiadomego pochodzenia itd.
    • zostały zobowiązane do zachowania danych w tajemnicy – koniecznie!

Uwaga: Nawet jeśli obecnie nikogo formalnie nie zatrudniasz to warto się temu przyjrzeć i wymienić powyższe środki w stosunku do siebie i na tzw. przyszłość. GIODO nie wie, że teraz pracujesz jednoosobowo. Warto to zaznaczyć, bo to są najbardziej podstawowe środki organizacyjne i praktycznie bezkosztowo możesz od zaraz wprowadzić je w życie. Są to też jedne z minimalnych wymagań ochrony danych, które będą także aktualne po 25 maja (RODO). Jednym słowem – must have.

2. Stosuje się politykę czystego biurka. To oznacza, że monitory komputerów, na których przetwarzane są dane muszą być ustawione są w sposób uniemożliwiający wgląd osobom postronnym. Podstawowa sprawa. Nie potrzebujesz wielkich nakładów, aby to zastosować. Must have. Kolejny środek organizacyjny za darmo.

3. Kopie zapasowe danych osobowych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się serwer, na którym dane osobowe są na bieżąco przetwarzane – tu chyba nie trzeba nikogo przekonywać, że nie trzyma się kopii razem z oryginałem: -)

Środki ochrony fizycznej:

  1. Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami – i tu teraz Twoja kolej – masz do wyboru drzwi zwykłe (minimum) albo o podwyższonej odporności na włamanie ­ tzw. drzwi klasy C.
  2. Pomieszczenia, w którym przetwarzane są dane wyposażone są w system alarmowy przeciwwłamaniowy – jeśli to zasadne zastanów się, czy tego nie potrzebujesz.
  3. Kopie zapasowe przechowywane są w zamkniętej niemetalowej szafie (minimum) albo w metalowej (jeśli masz albo uważasz, że dane są na tyle krytyczne, że metalowa by się przydała).
  4. Pomieszczenia, w których przetwarzane są dane zabezpieczone są przed skutkami pożaru, np. wolnostojąca gaśnica. W bardziej skomplikowanych biznesach może być zasadny system przeciwpożarowy. Wybieraj gaśnicę, która będzie odpowiednia nie tylko na papiery, ale i sprzęt komputerowy.

Środki sprzętowe:

  1. Zastosowano urządzenia typu UPS lub generator prądu. Powinieneś chronić dane osobowe przed skutkami awarii zasilania.
  2. Dostęp do systemu operacyjnego komputera zabezpieczony jest za pomocą logowania (identyfikator i hasło) – must have!
  3. Zastosowano systemowe mechanizmy wymuszający okresową zmianę haseł – nie ma obowiązku wymuszania zmiany haseł, ale jak masz taką opcję ustawioną to plus dla Ciebie. Wypisz to.\
  4. Zastosowano środki kryptograficznej ochrony dla danych osobowych przekazywanych drogą teletransmisji – certyfikat SSL, szyfrowanie danych.
  5. Zastosowano środki ochrony przed szkodliwym oprogramowaniem takim, jak np. robaki, wirusy, konie trojańskie, rootkity. Program antywirusowy to obecnie must have. Niewielki koszt w stosunku do potencjalnych zagrożeń.
  6. Użyto systemu firewall do ochrony dostępu do sieci komputerowej. Niektóre programy antywirusowe mają już opcję firewall.

Środki ochrony programów i baz danych:

Uwaga: Możesz mieć wrażenie, że poniższe pozycje powtarzają się z wcześniejszym punktem, ale pamiętaj, że rozróżnia się dostęp do komputera (do systemu operacyjnego) i dostęp do programu, który na tym komputerze może być zainstalowany.

Jeśli wypełniasz wniosek papierowo wymień to w jednym punkcie zaznaczając, że chodzi o dostęp do systemu operacyjnego i do programów. We wniosku elektronicznym będziesz mieć to podzielone na osobnej, rozwijalnej liście.

  1. Dostęp do zbioru danych osobowych wymaga uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła – musi być!
  2. Zastosowano mechanizm wymuszający okresową zmianę haseł dostępu do zbioru danych osobowych – może być, nie musi, ale jak masz wymuszanie to tym lepiej dla Ciebie.
  3. Zastosowano kryptograficzne środki ochrony danych osobowych – certyfikat SSL.
  4. Zainstalowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe. To też jeden z tych darmowych środków, które obowiązkowo wprowadzasz w życie!
  5. Zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika.

Powodzenia w wypełnianiu wniosku!

 

 

 

A czy Twoja firma jest już gotowa na RODO? 

Zapoznaj się ze szczegółami mojego autorskiego kursu online, który dostarczy Ci nie tylko niezbędnej wiedzy w pigułce, ale i zapewni wszystkie wzory wymaganych dokumentów, polityk i instrukcji!

CHCĘ POZNAĆ SZCZEGÓŁY KURSU!