Jak zapobiegać wyciekom danych i wdrożyć przepisy RODO w firmie?
03.12.2019
Aktualności, Dla specjalistów,
Informacja o incydencie, który miał miejsce na początku listopada 2019 w Szkole Głównej Gospodarstwa Wiejskiego w Warszawie (SGGW), obiegła całą Polskę. Mowa tu o kradzieży laptopa, który należał do pracownika uczelni. Na komputerze znajdowały się dane kandydatów na studia oraz studentów z ostatnich pięciu lat.
Jak poinformowała uczelnia, pracownik nielegalnie kopiował dane na swój prywatny komputer. Wśród nich znajdowały się: numery PESEL, serie i numery dowodów osobistych, adresy, numery telefonów. Osoby, które zostały narażone na szkodę, zamierzają zbiorowo starać się o zadośćuczynienie.
Niestety, w dobie Internetu możliwości wycieku danych jest wiele. Jak się przed tym zabezpieczyć i wdrożyć przepisy RODO w firmie? Przedstawiamy kilka najważniejszych zasad.
Szkolenia pracowników
Pracownicy, którzy wykonując swoje obowiązki, przetwarzają dane, powinni odbyć szkolenie z zakresu RODO, a jeśli nie ma takiej możliwości, zapoznać się z materiałami dostępnymi na przykład na stronie Urzędu Ochrony Danych Osobowych.
Analiza procesu przetwarzania danych
Pracodawca powinien przyjrzeć się procesowi przetwarzania danych w firmie i określić, jakie informacje są przetwarzane, w jakim celu oraz ile osób ma do nich dostęp. Szczegółowa analiza pozwoli zdefiniować słabe punkty firmowego systemu.
Przetwarzanie jak najmniejszej ilości danych, najkrótszą możliwą drogą
Aby uniknąć problemów, należy ograniczyć pozyskiwanie danych do niezbędnego minimum.
Przykład: nie ma już obowiązku umieszczania miejsca urodzenia na zaświadczeniach po szkoleniach okresowych, kadry nie muszą już tych informacji pozyskiwać i przetwarzać.
Ścieżka przetwarzania danych powinna być również jak najkrótsza - dobrze, aby dostęp do wrażliwych informacji miała jak najmniejsza liczba pracowników.
RODO a firmy zewnętrzne
Jeśli pracodawca przekazuje dane pracowników zewnętrznym firmom - na przykład świadczącym usługi szkoleniowe, księgowe, medyczne - powinien podpisać z nimi umowę RODO.
Wyznaczenie inspektora ochrony danych osobowych (IOD)
Inspektora wyznacza administrator danych. IOD pełni rolę pośrednika między podmiotami – Urzędem Ochrony Dany Osobowych, podmiotem przetwarzającym dane oraz osobą, która swoje dane udostępnia.
Polityka bezpieczeństwa
W każdej firmie powinien być stworzony dokument o nazwie “Polityka bezpieczeństwa”. Jest to ogół zasad obowiązujących w danej instytucji czy zakładzie pracy, dotyczących zabezpieczenia informacji.
Prewencja
Nawet pomimo szczerych chęci i starań, w trakcie wykonywania zadań służbowych zdarzają się błędy.
Przykład: pracownik może zrobić literówkę w mailu odbiorcy i dane trafią w niepowołane ręce. Wtedy dochodzi do naruszenia, a administrator danych ma obowiązek “bez zbędnej zwłoki”, najlepiej w ciągu 72 godzin, zgłosić ten fakt Prezesowi Urzędu Ochrony Danych Osobowych.
Obowiązek informacyjny
Pracodawca zarówno wobec kandydatów do pracy, jak i pracowników musi wypełnić obowiązek informacyjny - określić w jakim celu, na jakiej podstawie prawnej przetwarza dane i kto jest ich administratorem.
Zabezpieczenia informatyczne
W czasach zdominowanych przez urządzenia elektroniczne przechowywanie i przetwarzanie danych nie odbywa się już w teczkach i na kartkach papieru. Większość firm posiada specjalne systemy informatyczne. Pracodawca powinien dołożyć wszelkich starań, aby jak najlepiej zabezpieczyć komputery i serwery przed wyciekiem danych.
Sytuacji takich, jaka miała miejsce w SGGW można uniknąć w prosty sposób - blokując możliwość kopii danych z komputerów służbowych na urządzenia zewnętrzne.
Podsumowując, ochrona danych osobowych to kwestia, za którą odpowiada pracodawca – udostępniając pracownikom odpowiednie narzędzia, szkoląc ich w zakresie przepisów RODO, ale również pracownik, który musi być czujny i przestrzegać wyznaczonych zasad.