UODO przypomina, że wszystkie podmioty, które pozyskują i wykorzystują dane osobowe w związku z działalnością zarobkową, zawodową, realizacją zadań publicznych bądź celów statutowych, muszą dbać o bezpieczeństwo tych danych.
Urząd Ochrony Danych Osobowych przypomina, że wszystkie podmioty, które pozyskują i wykorzystują dane osobowe w związku z działalnością zarobkową, zawodową, realizacją zadań publicznych bądź celów statutowych, muszą dbać o bezpieczeństwo tych danych. Zobowiązują je do tego przepisy ogólnego rozporządzenia o ochronie danych (RODO), których muszą przestrzegać i duże korporacje, i wszystkie urzędy, placówki oświaty, służby zdrowia czy organizacje pozarządowe, i sklepy internetowe, i wreszcie niewielkie rodzinne przedsiębiorstwa, jak warsztaty samochodowe czy pensjonaty.
Bardzo ważną określoną w RODO koncepcją jest tzw. podejście oparte na ryzyku naruszenia praw i wolności osób, których dane dotyczą. Biorąc pod uwagę istniejące i potencjalne ryzyka dla ochrony danych osobowych, administrator musi zastosować do nich odpowiednie środki bezpieczeństwa. Takie podejście umożliwia skoncentrowanie się na sytuacjach najwyższego ryzyka, przy jednoczesnym zachowaniu odpowiedniego poziomu ochrony, gdy to ryzyko jest niskie i nie wymaga zastosowania kosztownych i skomplikowanych zabezpieczeń.
W zapewnieniu bezpieczeństwa danych osobowych pomocne mogą być również zasady bezpieczeństwa stosowane dla innych rodzajów informacji.
Dla osiągnięciu tego celu, Urząd Ochrony Danych Osobowych rekomenduje wykonanie następujących działań:
1. Przygotuj wewnętrzne zasady przetwarzania danych osobowych i określ sposoby ich ochrony. Ustal, kto w Twojej firmie, ma dostęp do danych osobowych i na jakich zasadach. Pamiętaj nie tylko o przydzielaniu dostępu do danych osobowych, ale także o jego odebraniu, kiedy nie jest on już potrzebny. Upewnij się, że pracownicy wiedzą, co jest od nich wymagane podczas przetwarzania danych osobowych.
2. Zadbaj o pełną wiedzę na temat tego, jakie dane przetwarzasz w swojej firmie. Możesz to zrobić m.in. tworząc prosty rejestr, choćby w formie arkusza. Ta informacja pomoże Ci np. wówczas, gdy dojdzie do naruszenia ochrony danych. Przyda się też przy wypełnieniu obowiązku rozliczalności zarówno przed organem nadzorczym (UODO), jak i osobami fizycznymi. Jednocześnie sprawdź, czy nie musisz prowadzić rejestru czynności przetwarzania danych.
3. Pamiętaj, że dane osobowe (np. informacje o Twoich pracownikach, klientach, kontrahentach) mogą być przechowywane nie tylko na komputerze stacjonarnym w biurze, ale także na laptopie, w telefonie oraz na przenośnych dyskach USB, z którymi możesz podróżować. Pamiętaj, że dane na wszystkich tych narzędziach muszą być tak zabezpieczone, aby nieupoważniona osoba nie miała do ich dostępu i żeby dane nie mogły być zmienione przez kogoś, kto nie ma do tego prawa.
4. Nie zapominaj o dokumentach papierowych. Gdy nie potrzebujesz ich do bieżącej pracy, nie trzymaj ich na biurku. Nie wyrzucaj do kosza dokumentów zawierających dane osobowe. Jeśli chcesz pozbyć się tych dokumentów, użyj np. niszczarki.
5. Zadbaj o odpowiednią ochronę danych przed kradzieżą. Upewnij się, że pomieszczenie, w którym są komputery i dokumenty papierowe, są zamykane podczas nieobecności pracujących w nich osób. Przenośne urządzenia muszą być pilnowane przez osoby za nie odpowiedzialne.
6. Jeśli powierzasz dane osobowe innym firmom do przetwarzania w Twoim imieniu, zrób to na podstawie pisemnej umowy, w której podmiot przetwarzający jest zobowiązany do przestrzegania takich samych zasad bezpieczeństwa,
7. Sprawdź, czy musisz przeprowadzić ocenę skutków dla ochrony przetwarzanych przez Twoją firmę danych.
8. Pamiętaj, że konieczne jest regularne sprawdzanie efektywności zabezpieczeń danych osobowych. To, co było dobrym zabezpieczeniem dzisiaj, może się okazać niewystarczającym już jutro. Jeśli , że wdrożone środki bezpieczeństwa już nie są efektywne, wprowadź konieczne zmiany.
Nowości oraz zmiany. Europejskie Rozporządzenie o ochronie danych osobowych:
1. Rozszerzona formuła zgody na przetwarzanie danych.
2. Rejestr czynności przetwarzania.
3. Nowe obowiązki procesora.
4. Zmiana statusu.
5. Zmieniona definicja tzw. Danych wrażliwych.
6. Zwiększenie uprawnień osób, których dane dotyczą.
7. Proaktywne podejście do ochrony danych.
8. Raportowanie do UODO o własnych naruszeniach.
9. Wysokie kary pieniężne, nawet 20 milionów euro lub 4%/rok.
10. Ułatwienia dla grup kapitałowych.
11. Uregulowanie zasad profilowania.
12. Przetwarzanie danych dziecka tylko za zgodą opiekuna.
ODO 24