0 komentarzy

Chroń dane Twojej firmy

Dane pracowników, klientów, partnerów biznesowych, CV gromadzone podczas rekrutacji... – każda firma to skarbiec danych osobowych, które musi odpowiednio chronić. W przeciwnym razie grozi jej kara nałożona przez GIODO (nawet do 200 tys. zł), a przede wszystkim utrata cennego zaufania klientów i partnerów biznesowych oraz budowanej przez lata renomy. Aby tego uniknąć warto powołać Administratora Bezpieczeństwa Informacji (ABI).

Po wejściu – na początku tego roku – nowelizacji ustawy o ochronie danych osobowych wyznaczenie ABI opłaca się bardziej niż kiedykolwiek wcześniej. Dlaczego? Administrator Danych Osobowych (ADO), a jest nim każdy, kto prowadzi swoją działalność, musi zarejestrować zbiór posiadanych danych osobowych w GIODO i odpowiednio troszczyć się o ich ochronę. Do tej pory wielu przedsiębiorcom odpowiednie administrowanie danymi przysparzało wiele trudności wynikających często ze zwykłej niewiedzy. Przykładowo brakowało pewności, które zbiory danych należy zgłaszać (np. wszelkie dane marketingowe zebrane celem przeprowadzania konkursów czy rozsyłania newslettera), a których nie (np. dane kadrowe). Nowelizacja problem upraszcza. Mianowicie jeżeli w przedsiębiorstwie powoła się ABI, nie trzeba będzie rejestrować zbioru przetwarzanych danych.

Na czym polega rola ABI? Po pierwsze odpowiada za kwestie techniczne związane z ochroną danych osobowych, takie jak: prawidłowe zabezpieczenie systemów informatycznych, szyfrowanie danych czy dopilnowanie, by nie były one narażone na ataki hakerów. Po drugie, do zadań ABI należy zapewnienie prawidłowego przetwarzania danych - od ich ochrony, poprzez szkolenia, aż po doradzanie w zakresie obowiązujących przepisów innym pracownikom mającym do nich dostęp. Podsumowując, powinien stać się on wewnętrznym inspektorem ochrony danych.

Zgodnie z nowelizacją ustawy ABI może zostać osoba w pełni korzystająca z praw publicznych, niekarana za przestępstwo z winy umyślnej, a przede wszystkim posiadająca odpowiednią wiedzę z zakresu ochrony danych osobowych. Najlepiej gdyby miała wykształcenie prawnicze i przynajmniej ogólne pojęcie na temat rozwiązań informatycznych. Co więcej, ABI musi bezpośrednio podlegać kierownikowi danej jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych (ADO). Ma to zapewnić odpowiedni poziom niezależności. ABI nie musi być pracownikiem firmy, można do tej funkcji wyznaczyć kogoś „z zewnątrz”, np. konsultanta firmy świadczącej usługi outsourcingu ABI.

Co istotne, aby powołać lub odwołać w firmie ABI, należy zgłosić ten fakt w terminie 30 dni do prowadzącego specjalny rejestr GIODO. Warto się pospieszyć, ponieważ najprawdopodobniej już w połowie roku Rada Europejska wprowadzi jednolite prawo dotyczące ochrony danych osobowych, w myśl którego za naruszenie obowiązujących przepisów przewiduje się surowe kary finansowe, nawet do 100 mln euro.

Jakie inne ułatwienia wprowadziła nowelizacja ustawy? Nowością jest brak konieczności aktualizacji zgłaszanych zbiorów. Poza tym, rejestracja jest niepotrzebna, kiedy przetwarzanie danych odbywa się w formie papierowej. Dotyczy to dziesiątek tysięcy małych firm (np. rzemieślniczych).

A co jeśli przedsiębiorca (ADO) mimo wszystko zrezygnuje z możliwości powołana ABI? Zgodnie z ustawą każda firma jest zobowiązana do ustalenia, które z posiadanych zbiorów danych osobowych powinna zarejestrować. Ogólnie rzecz ujmując do rejestracji GIODO należy zgłaszać: zbiory marketingowe (konkursy, newsletter, promocje, itd.), księgę akcyjną, wideonadzór (monitoring kamer), reklamacje i zwroty, a także dane wykorzystywane do windykacji. Zwolnione ze zgłoszenia są natomiast: dane kadrowe (pracowników i współpracowników, a także kandydatów do pracy), dane dotyczące kontrahentów i pracowników kontrahentów, księga gości, księga udziałów, bazy osób kontaktowych oraz zapisanych na szkolenia.

Lista zbiorów podlegających rejestracji nie jest zamknięta, dlatego wyżej wymienione stanowią jedynie podpowiedź, a nie zamknięty katalog.

Zgłoszenie zbioru danych do rejestracji jest bezpłatne i powinno nastąpić przed rozpoczęciem ich przetwarzania, czyli zanim firma pozyska pierwsze dane do zbioru. Zgłoszenia można dokonać w sposób tradycyjny, w wersji papierowej przy użyciu wzorcowego formularza lub za pośrednictwem platformy internetowej eGIODO, dostępnej na stronie: https://egiodo.giodo.gov.pl.

Podziel się:

Komentarze

Brak komentarzy. Wyraź swoją opinię jako pierwszy!

Komentuj

Adres e-mail nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem (*).