Ochrona danych w firmie – co warto wiedzieć?

0
21
Ochrona danych w firmie - co warto wiedzieć?

Przedsiębiorcy często nie zdają sobie sprawy, że prowadzenie działalności internetowej, mailowanie z klientami, wysyłanie im newsletterów, czy używanie w firmie telefonów służbowych, wiąże się z gromadzeniem danych osobowych. Te podlegają ustawowej ochronie. Jak powinna wyglądać ochrona danych w firmie? Podpowiadamy!

Czym są dane osobowe?

Według ustawy jest to “każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”. Zatem zbiór danych może powstać naprawdę szybko i łatwo. To sprawia, że przedsiębiorca nie zawsze jest świadomy jego posiadania.

Dopuszczalność przetwarzania danych

Podstawą przetwarzania danych jest zgoda osoby, której one dotyczą. Rozporządzenie RODO wymienia też inne przypadki, kiedy jest to dopuszczalne.

Są to sytuacje, gdy:

  • przetwarzanie jest konieczne do realizacji umowy (np. spisanie umowy zlecenie, płatność przelewem za dostawę) lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy (złożenie zamówienia)
  • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (np. prowadzenie ksiąg rachunkowych)
  • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów (np. złożenie pozwu w sądzie przeciwko nieuczciwemu klientowi)

Ochrona danych w firmie

Jeżeli chodzi o zabezpieczenie danych osobowych klientów i naszych pracowników, musimy je przetwarzać przy zachowaniu odpowiednich zabezpieczeń.

Musimy m.in.:

  • ustalić, jakie dane osobowe, w jakim charakterze, po co i w jakim środowisku przetwarzamy
  • określić ryzyko naruszenia praw lub wolności osób fizycznych związanych z takim przetwarzaniem
  • dobrać odpowiednie środki zabezpieczenia danych, uwzględniając istniejące możliwości techniczne i własne możliwości finansowe.

Środki zabezpieczenia danych

RODO nie narzuca nam środków zabezpieczenia danych. Określa jednak ich przykładowy katalog:

  • szyfrowanie danych osobowych
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów oraz usług przetwarzania
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych, w tym wykorzystywanych systemów elektronicznych

Uwaga! Jeśli zatrudniamy mniej niż 250 osób, nie musimy prowadzić rejestru.

Zwolnienie nie obejmuje przypadków, gdy:

  • powstanie ryzyko naruszenia praw lub wolności osób, których dane dotyczą
  • dane nie mają charakteru sporadycznego lub obejmują szczególne kategorie danych osobowych (np. dane o stanie zdrowia, ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przynależność do związków zawodowych)
  • dotyczą wyroków skazujących i naruszeń prawa