Menu


Jak bezpieczne są dane osobowe?

Jak bezpieczne są dane osobowe? shutterstock

Rozporządzenie Ogólne o Ochronie Danych Osobowych (GDPR – General Data Protection Regulation) weszło w życie kilka miesięcy temu, 25 maja 2018 roku, a wiele firm w Wielkiej Brytanii wciąż nie dostosowało swoich wewnętrznych regulacji do nowych przepisów narażając się w ten sposób na milionowe kary, które nałożyć może Information Commissioner’s Office (ICO). 

Kara dla Heathrow Airport Limited

GDPR nadał ICO zwiększone uprawnienia do nakładania kar na przedsiębiorcach, którzy nie dostosowali się do nowego prawa. ICO aktywnie monitoruje praktyki ochrony danych osobowych. W październiku  na Heathrow Airport Limited  (HAL) nałożył  karę w wysokości  120,000 GBP.  HAL  nie dopełnił odpowiednich starań, by zabezpieczyć dane personalne co doprowadziło do ich wycieku. 

Dane personalne pracowników Heathrow znajdowały się na nośniku USB, który znaleziony został przez przypadkową osobę. Nośnik nie był zabezpieczony hasłem, a dane nie były zaszyfrowane. Znajdowały się na nim informacje oraz nagranie, które ujawniało dane personalne pracowników. 

Do incydentu doszło za panowania poprzednich przepisów o ochronie danych osobowych. Za przewinienie, do którego doszło po maju 2018 roku, przedsiębiorcy mogą spodziewać się surowszych kar i dlatego powinni dopełnić wszelkich starań by zabezpieczyć się przed konsekwencjami wycieku danych. Decyzja ICO w sprawie Heathrow powinna być lekcją dla innych organizacji, które powinny usprawnić systemy zabezpieczania danych i nie dopuścić do podobnych sytuacji w przyszłości i uniknąć kar.

Jak zabezpieczyć firmę?

Aby dostosować się do nowych przepisów GDPR, przedsiębiorstwa powinny w pierwszej kolejności przeprowadzić audyt danych osobowych, które posiadają w swojej bazie. Taki audyt pomoże ustalić, jakie dane pracownicze znajdują się w bazie i w jakich obszarach powinny one zostać lepiej zabezpieczone.

Jak przeprowadzić audyt?

Audyt powinien objąć dane znajdujące się zarówno w wewnętrznym systemie jak również w systemach osób trzecich, jeśli firma stosuje outsourcing i zleca działania firmom zewnętrznym np.: w zakresie płatności czy księgowości.

W następnej kolejności należy zastanowić się, jakie dane powinny być skontrolowane podczas audytu. Należy zadać sobie następujące pytania:

  • Dlaczego te dane znajdują się w systemie;
  • Jakie są podstawy prawne przechowywania tych danych;
  • Czy dane podlegają jednej ze specjalnych kategorii danych osobowych (czyli „wrażliwe dane” w poprzednim reżimie);
  • Czy dane związane są popełnionymi czynami zabronionymi lub zarzutami;
  • Kategorie danych;
  • Źródło danych;
  • Data otrzymania danych i okres przechowywania;
  • Dane przekazane kandydatom do pracy lub pracownikom (np. privacy notices);
  • Czy dane używane są do automatycznego podejmowania decyzji;
  • Czy odpowiednie systemy zapewniają prawo dostępu do danych, ich korekty, usunięcia czy wprowadzenia restrykcji oraz prawo sprzeciwu do przetwarzania danych;
  • Kto ma dostęp do danych;
  • Czy dane są udostępniane osobom trzecim;
  • Czy dane przetwarzane są wspólnie z innymi podmiotami.

Przeprowadzenie audytu wykaże czy Twoja praktyka jest zgodna z wymaganiami GDPR i czy możesz spać spokojnie. Jeśli natomiast okaże się, że sposób przechowywania danych przez Twoją firmę nie jest zgodny z obowiązującymi od maja przepisami, należy jak najszybciej implementować zmiany i zabezpieczyć posiadane informacje.

W jaki sposób Twoja firma będzie otrzymywać dane?

Jest wiele metod zdobywania danych niezbędnych do audytu i to, w jaki sposób to zrobisz zależeć będzie głównie od systemu informatycznego używanego przez Twoją firmę oraz od tego jak zaawansowane czy skomplikowane jest przetwarzanie danych. Być może niezbędne będzie stworzenie kwestionariuszy czy przeprowadzenie wywiadu z pracownikami czy osobami trzecimi zaangażowanymi w przetwarzanie danych oraz stworzenie odpowiedniego formatu do zapisania rezultatów przeprowadzonych działań, rekomendacji oraz powziętych czynności.

Dla małych firm wystarczający może okazać się zwykły arkusz zawierający podstawowe dane osobowe. W zależności od natury działalności Twojej firmy oraz branży, w której działasz, konieczne może okazać się bardziej zaawansowane narzędzie do przechowywania danych, czy nawet zlecenie takiej czynności zewnętrznemu podmiotowi. 

Co powinno znaleźć się w Rejestrze danych?

Nowe rozporządzenie GDPR wymaga od firm, aby prowadziły rejestr przetwarzania danych. Taki rejestr będzie musiał być przedstawiony Information Commissioner  jeśli zostanie skierowana taka prośba i zawierać musi informacje o wszystkich danych personalnych przetwarzanych przez Twoją organizację, w tym dane kontaktowe organizacji, osoby odpowiedzialnej za przetwarzanie danych oraz podmiotów, z którymi firma wspólnie przetwarza dane. Taki rejestr powinien uwzględniać następujące aspekty:

  • Cele przetwarzania danych;
  • Kategorie podmiotów;
  • Kategorie danych personalnych;
  • Kategorie podmiotów, którym dane zostały lub będą ujawnione;
  • W niektórych przypadkach, transfery danych do krajów spoza Europejskiego Obszaru Gospodarczego (EEA) lub do organizacji międzynarodowych (w obu przypadkach należy wskazać dokąd konkretnie);
  • Przewidywane okresy przetwarzania danych konkretnych kategorii;
  • Jeśli to możliwe, ogólny opis technicznych i organizacyjnych zastosowanych mechanizmów bezpieczeństwa;
  • W przypadku, gdy pracodawca przetwarza specjalne kategorie danych („dane wrażliwe” w poprzednim reżimie) lub dane związane z popełnionymi czynami zabronionymi, rejestr musi zawierać informację o podstawie ich przetwarzania i jak wymagania Rozporządzenia GDPR są spełnione w przetwarzaniu danych;

Rejestr danych w Twojej firmie nie jest ograniczony tylko do danych związanych z pracownikami, jednak przeprowadzenie dokładnego audytu kadrowego pomoże Ci wypracować Twój własny sprawnie działający rejestr. Kiedy stworzysz już taki rejestr kadrowy możesz połączyć go z innymi rejestrami danych w Twojej firmie i stworzyć ogólny rejestr składający się z poszczególnych kategorii.

Uaktualnianie rejestru danych

Twój rejestr danych należało będzie regularnie uaktualniać aby upewnić się, że uwzględnia on wszystkie zmiany. Wyznacz osobę w firmie odpowiedzialną za prowadzenie rejestru oraz wskaż, którzy pracownicy będą zobowiązani do informowania o zmianach i uaktualnieniach danych. 

Wszelkie procedury związane z ochroną danych osobowych oraz zgodnością z rozporządzeniem GDPR powinny wskazywać jak ważne jest działanie zgodnie z przepisami, uaktualnianie rejestrów a także wskazanie, w jaki sposób zostanie to osiągnięte oraz ustalenie obowiązków poszczególnych podmiotów odpowiedzialnych za przetwarzanie danych w Twojej firmie. 

Jeśli chciałbyś dowiedzieć się więcej o przepisach rozporządzenia GDPR oraz o przetwarzaniu danych osobowych skontaktuj się z adwokat Kate Boguslawską z Carter Lemon Camerons.

autor: Kate Boguslawska, Carter Lemon Camerons

Skomentuj


Skomentuj artykuł za pomocą konta Facebook
Skomentuj artykuł bezpośrednio
Powrót na górę