Zabezpieczenie danych osobowych w firmie

zabezpieczenie danych osobowych w firmie

Chociaż zapewnienie zgodności przetwarzania danych osobowych z RODO najczęściej kojarzy się z obowiązkiem posiadania stosownej dokumentacji, to nie należy zapominać o konieczności wprowadzenia odpowiednich procedur. W dzisiejszym wpisie przedstawiamy praktyczne sposoby na zabezpieczenie danych osobowych w firmie.

  • Ani RODO ani ustawa o ochronie danych osobowych nie wprowadzają szczegółowych wytycznych co do sposobów zapewnienia bezpieczeństwa danych osobowych
  • To na administratorze danych osobowych spoczywa obowiązek przeanalizowania, jakie dane i w jakich celach przetwarza i dobranie odpowiednich zabezpieczeń
  • Zabezpieczenie danych osobowych w firmie nie dotyczy tylko systemów informatycznych, ale także siedziby administratora i procedur postępowania z danymi przez jego personel

Jakie zabezpieczenia danych wprowadzić w swojej firmie?

Przede wszystkim należy mieć na uwadze, że ani RODO (czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)) ani polska ustawa o ochronie danych osobowych nie przewidują konkretnych procedur, czy czynności, których wdrożenie gwarantowałoby właściwe zabezpieczenie danych osobowych w firmie.

Jak bowiem wynika z treści art. 24 RODO administrator danych osobowych uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z ww. rozporządzeniem i aby móc to wykazać. Środki te należy przy tym w razie potrzeby poddawać przeglądom i uaktualniać.

Jak przygotować zabezpieczenie danych osobowych w firmie?

Administrator musi zatem po pierwsze, przeprowadzić analizę tego, jakie dane osobowe przetwarza (ustalić kategorie przetwarzanych danych), w jakiej ilości, a także w jakim celu. Dopiero mając te informacje przedsiębiorca będzie mógł ocenić, jakie środki mające na celu zabezpieczenie danych osobowych w firmie wdrożyć, tak aby móc w pełni realizować zasady wynikające z RODO. Należy pamiętać o tym, że zgodnie z art. 25 RODO środki ochrony danych osobowych powinny być ustalane już na etapie projektowania sposobów przetwarzania. Podstawową zasadą jest przy tym minimalizacja danych, a więc przetwarzanie tylko tych danych osobowych, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania.

Analiza przeprowadzona przez administratora i podjęte w jej wyniku decyzje powinny zostać udokumentowane. Najlepiej sporządzić w tym celu dokument o nazwie „analiza ryzyka” i przechowywać go z resztą dokumentacji poświęconej RODO.

Co ważne, nie wystarczy tylko raz wdrożyć zabezpieczenia. Obowiązkiem administratora jest stałe monitorowanie sytuacji w firmie pod kątem bezpieczeństwa przetwarzanych danych i dostosowywanie stosowanych środków ochronnych.

Zabezpieczenie danych osobowych w firmie – siedziba administratora

Chociaż ochrona danych osobowych zazwyczaj budzi skojarzenia z systemami informatycznymi, to dane są też przetwarzane w formie papierowej. Zabezpieczenie danych osobowych w firmie należy zatem zacząć od wprowadzenia odpowiednich środków ochronnych w siedzibie przedsiębiorcy.

Przede wszystkim warto więc w biurze firmy zainstalować alarm, a w szczególnie uzasadnionych przypadkach także i monitoring. Należy także zadbać o odpowiednie przechowywanie danych, czyli wybrać takie miejsce, do którego dostępu nie będą miały osoby nieuprawnione. Ponadto warto przemyśleć, czy miejsce przyjmowania interesantów zapewnia odpowiedni poziom prywatności.

Zabezpieczenie danych osobowych w firmie – zabezpieczenia personalne

Jeśli przedsiębiorca zatrudnia pracowników, część z nich, aby wykonywać swoje obowiązki będzie musiała przetwarzać dane osobowe. W pierwszej kolejności warto zadbać o to, żeby pracownicy, których zadania tego wymagają, mieli dostęp wyłącznie do tych danych, które są niezbędne do ich realizacji.

Po drugie, każdy z pracowników powinien posiadać odzwierciedlające powyższe ustalenia upoważnienia do przetwarzania danych osobowych. Bardzo istotne jest, aby zapoznać każdą zatrudnioną osobę z obowiązującymi w firmie procedurami i uzyskać od niej pisemne oświadczenie o zobowiązaniu się do ich stosowania w trakcie wykonywania obowiązków.

Do polityki bezpieczeństwa przetwarzanych danych osobowych (lub innego dokumentu regulującego zasady postępowania z danymi w firmie) konieczne jest także wprowadzenie instrukcji dla personelu, co do sposobów przetwarzania danych. W takich instrukcjach można m.in. zobowiązać pracowników do obowiązku regularnej zmiany haseł do komputerów służbowych, zakazać im wyrzucania dokumentów zawierających dane bez ich uprzedniego zniszczenia oraz nakazać personelowi niezwłoczne zgłaszanie incydentów związanych z danymi. Chociaż RODO nie wprowadza obowiązku szkolenia pracowników w zakresie ochrony danych, warto przemyśleć taką możliwość.

Tak, jak wskazane zostało powyżej, to pracodawca ustala, jakie standardy ochrony danych uzna za konieczne w swojej firmie.

Zabezpieczenie danych osobowych w firmie – systemy informatyczne

Podstawowym sposobem zabezpieczenia danych w systemach informatycznych jest uregulowanie sposobu nadawania uprawnień do tych systemów oraz stosownej polityki dotyczących haseł do urządzeń i programów. Ważnym elementem mającym wpływ na zabezpieczenie danych osobowych w firmie jest także dbanie o aktualność wszystkich programów i stosowanych zabezpieczeń (programu antywirusowego, zapór sieciowych). Należy także pouczyć pracowników co do obowiązku zachowywania szczególnej ostrożności przy otwieraniu maili od nieznanych nadawców.

Ponownie, konieczność wprowadzenia bardziej zaawansowanych metod pozwalających na zabezpieczenie danych osobowych w firmie przetwarzanych w systemach informatycznych będzie zależała od wyników analizy przeprowadzonej w tym przedmiocie przed administratora.

Potrzebują Państwo pomocy w sprawach związanych z ochroną danych osobowych? Nasza Kancelaria sporządza dokumenty i udziela porad prawnych w tej tematyce. Szczegóły w zakładce prawo gospodarcze. Zachęcamy także do kontaktu pod adresem: kancelaria@kancelariafrey.pl

Share

More articles

czym jest prawo transportowe

Czym jest prawo transportowe?

Działając w branży transportowej przedsiębiorcy muszą spełnić nie tylko szereg wymagań pozwalających na legalne prowadzenie działalności. Również umowy z kontrahentami i klientami wymagają ich szczególnej

More...

© 2024 Kancelaria Frey

privacy policy

created by

Kancelaria Radcy Prawnego Jarosław Frey

Privacy and cookie policy

Zgodnie z z art. 13 ust. 1−2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1) – dalej RODO – informujemy, że niniejszy dokumenty reguluje zasady przetwarzania Państwa danych osobowych i wykorzystywania plików cookies w związku z korzystaniem z naszej strony internetowej i kontaktami e-mailowymi lub telefonicznymi.

Podstawowe dane:

  • Adres strony internetowej: kancelariafrey.pl (zwana dalej „stroną”)
  • Administrator Państwa danych osobowych:  Kancelaria Radcy Prawnego Jarosław Frey, ul. Jana III Sobieskiego 6/1, 40-082 Katowice, NIP 6272269357, tel. 32 720 11 63 (zwany dalej „administratorem”)
  • Adres kontaktowy: kancelaria@kancelariafrey.pl

Skrócona wersja – najważniejsze informacje:

  • Kontaktując się z nami, przekazują nam Państwo swoje dane osobowe, a my gwarantujemy, że Państwa dane pozostaną poufne, bezpieczne i nie zostaną udostępnione jakimkolwiek podmiotom trzecim bez Państwa wyraźnej zgody.
  • Powierzamy przetwarzanie danych osobowych tylko sprawdzonym i zaufanym podmiotom świadczącym usługi związane z przetwarzaniem danych osobowych.
  • Korzystamy z narzędzi analitycznych Google Analytics, które zbierają informacje na temat odwiedzin strony, takie jak podstrony, czas spędzony na stronie czy przejścia pomiędzy poszczególnymi podstronami. W tym celu wykorzystywane są pliki cookies firmy Google LLC dotyczące usługi Google Analytics.
  • Wykorzystujemy pliki cookies własne w celu prawidłowego działania strony.

Jeżeli powyższe informacje nie są dla Państwa wystarczające, poniżej znajdują się dalej idące szczegóły:

§1 Dane osobowe

  1. Osoba odwiedzająca stronę lub  kontaktująca się z Administratorem za pośrednictwem poczty elektronicznej bądź telefonu (zwana dalej „użytkownikiem”) może przekazywać swoje dane osobowe Administratorowi za pomocą dostępnych form kontaktu,
  2. Administratorem danych osobowych Użytkownika jest Administrator.
  3. Dane przekazane Administratorowi  przetwarzane są w celach wyszczególnionych w §2
  4. Administrator gwarantuje poufność wszelkich przekazanych mu danych osobowych.
  5. Podanie danych jest zawsze dobrowolne, ale niezbędne do podjęcia przez Użytkownika kontaktu,
  6. Dane osobowe są gromadzone z należytą starannością i odpowiednio chronione przed dostępem do nich przez osoby do tego nieupoważnione.
  7. Dane osobowe użytkownika będą przetwarzane do zakończenia komunikacji z nami lub, w razie podjęcia współpracy do końca okresu przedawnienia potencjalnych roszczeń z umowy. Dane zawarte na fakturach będą przetwarzane do końca okresu, przez który przepisy prawa wymagają przechowywać dokumentację rachunkową. Ponadto, część danych może być również przetwarzana po upływie wskazanych wcześniej okresów przez czas prowadzenia przez nas działalności gospodarczej w celach archiwalnych, analitycznych i statystycznych opisanych bardziej szczegółowo w §2
  8. Użytkownikowi przysługują następujące uprawnienia:
    • prawo do żądania dostępu do swoich danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania,
    • prawo do wniesienia sprzeciwu wobec przetwarzania,
    • prawo do przenoszenia danych,
    • prawo do cofnięcia zgody na przetwarzanie danych osobowych w określonym celu, jeżeli Użytkownik uprzednio taką zgodę wyraził,
    • prawo do wniesienia skargi do organu nadzorczego w związku z przetwarzaniem danych osobowych przez Administratora

§2 Cele i podstawy przetwarzania

Dane przetwarzane są w następujących celach:

  • odpowiedź zwrotna na otrzymane zapytanie w związku z prośbą o taki kontakt skierowaną do nas – podstawą prawną przetwarzania danych jest zgoda użytkownika wynikająca z zainicjowania z nami kontaktu (art. 6 ust. 1 lit. a RODO),
  • archiwizacja korespondencji przychodzącej i wychodzącej na wypadek potrzeby wykazania jej przebiegu, co jest naszym prawnie uzasadnionym interesem (art. 6 ust. 1 lit. f RODO),wykonania
  • jeżeli nasz kontakt doprowadzi do nawiązania współpracy, dane będą następnie przetwarzane w celu wykonanie zawartej z nami umowy (art. 6 ust. 1 lit. b RODO)
  • wystawianie faktur, prowadzenie i przechowywanie dokumentacji rachunkowej (art. 6 ust. 1 lit. c RODO),
  • cele archiwalne (dowodowe) na wypadek prawnej potrzeby wykazania faktów oraz w celu ewentualnego ustalenia, dochodzenia lub obrony przed roszczeniami, co jest naszym prawnie uzasadnionym interesem (art. 6 ust. 1 lit. f RODO),
  • cele analityczne, takie jak dobór usług do naszych klientów, optymalizacja naszych produktów lub usług na podstawie uwag klientów, optymalizacja procesów obsługi na podstawie przebiegu obsługi sprzedaży i posprzedażowej, co jest naszym prawnie uzasadnionym interesem (art. 6 ust. 1 lit. f RODO),
  • badanie satysfakcji klientów i określanie jakości naszej obsługi, co jest naszym prawie uzasadnionym interesem (art. 6 ust. 1 lit. f RODO).

§3 Odbiorcy danych/podprzetwarzający dane osobowe

  1. Dane osobowe użytkownika możemy udostępniać naszym podwykonawcom, czyli podmiotom, z których usług korzystamy przy przetwarzaniu danych osobowych
  2. Dane osobowe użytkownika mogą być przekazywane do państw trzecich (znajdujących się poza Unią Europejską). Odpowiednie zabezpieczenia danych są zapewnione poprzez zatwierdzony mechanizm certyfikacji w połączeniu z egzekwowalnymi zobowiązaniami odbiorcy danych do odpowiednich zabezpieczeń (program Privacy Shield).
  3. Poniżej znajduje się lista możliwych odbiorców danych Użytkownika:
    • Osoby współpracujące na podstawie umów cywilnoprawnych, wspierające bieżącą działalność administrator
    • Dostawca oprogramowania księgowego,
    • Dostawca oprogramowania do zarządzania projektami,
    • Dostawca pakietu biurowego,
    • Firma utrzymująca stronę na serwerze (hostingodawca),
    • Firma utrzymująca pocztę elektroniczną administratora (dostawca serwera pocztowego),
    • Odpowiednie organy publiczne w zakresie, w jakim Administrator jest zobowiązany do udostępnienia im danych.

§4 Pliki Cookies

  1. Pliki cookies (tzw. „ciasteczka”) stanowią dane informatyczne, w szczególności pliki tekstowe, które przechowywane są w urządzeniu końcowym Użytkownika naszej strony internetowej i przeznaczone są do korzystania z podstron tejże strony. Cookies zazwyczaj zawierają nazwę strony internetowej, z której pochodzą, czas przechowywania ich na urządzeniu końcowym oraz unikalny numer.
  2. Pliki cookies wykorzystywane są w celu:
    • dostosowania zawartości strony internetowej do preferencji Użytkownika oraz optymalizacji korzystania ze stron internetowych; w szczególności pliki te pozwalają rozpoznać urządzenie Użytkownika strony internetowej i odpowiednio wyświetlić stronę internetową, dostosowaną do jego indywidualnych potrzeb;
    • tworzenia statystyk, które pomagają zrozumieć, w jaki sposób Użytkownicy strony internetowej korzystają ze stron internetowych, co umożliwia ulepszanie ich struktury i zawartości;
    • utrzymanie sesji Użytkownika strony internetowej (po zalogowaniu), dzięki której Użytkownik nie musi na każdej podstronie strony internetowej ponownie wpisywać loginu i hasła;
  3. Na naszej stronie internetowej stosowane są dwa zasadnicze rodzaje plików cookies: „sesyjne”  (session cookies) oraz „stałe” (persistent cookies). Cookies „sesyjne” są plikami tymczasowymi, które przechowywane są w urządzeniu końcowym Użytkownika do czasu wylogowania, opuszczenia strony internetowej lub wyłączenia oprogramowania (przeglądarki internetowej). „Stałe” pliki cookies przechowywane są w urządzeniu końcowym Użytkownika przez czas określony w parametrach plików cookies lub do czasu ich usunięcia przez Użytkownika.
  4. W ramach strony internetowej stosowane są lub mogą być stosowane następujące rodzaje plików cookies:
    • „niezbędne” pliki cookies, umożliwiające korzystanie z usług dostępnych w ramach strony internetowej, np. uwierzytelniające pliki cookies wykorzystywane do usług wymagających uwierzytelniania w ramach strony internetowej;
    • pliki cookies służące do zapewnienia bezpieczeństwa, np. wykorzystywane do wykrywania nadużyć w zakresie uwierzytelniania w ramach strony internetowej;
    • „wydajnościowe” pliki cookies, umożliwiające zbieranie informacji o sposobie korzystania ze stron internetowych strony internetowej;
    • „funkcjonalne” pliki cookies, umożliwiające „zapamiętanie” wybranych przez Użytkownika ustawień i personalizację interfejsu Użytkownika, np. w zakresie wybranego języka lub regionu, z którego pochodzi Użytkownik, rozmiaru czcionki, wyglądu strony internetowej itp.;
    • „analityczne” – np. Google Analytics , które zbierają informacje na temat odwiedzin strony, takie jak podstrony, czas spędzony na stronie czy przejścia pomiędzy poszczególnymi podstronami. W tym celu wykorzystywane są pliki cookies firmy Google LLC dotyczące usługi Google Analytics.
  5. W wielu przypadkach oprogramowanie służące do przeglądania stron internetowych (przeglądarka internetowa) domyślnie dopuszcza przechowywanie plików cookies w urządzeniu końcowym Użytkownika. Użytkownicy strony internetowej mogą dokonać w każdym czasie zmiany ustawień dotyczących plików cookies. Ustawienia te mogą zostać zmienione w szczególności w taki sposób, aby blokować automatyczną obsługę plików cookies w ustawieniach przeglądarki internetowej bądź informować o ich każdorazowym zamieszczeniu w urządzeniu Użytkownika strony internetowej. Szczegółowe informacje o możliwości i sposobach obsługi plików cookies dostępne są w ustawieniach oprogramowania (przeglądarki internetowej).
  6. Ograniczenia stosowania plików cookies mogą wpłynąć na niektóre funkcjonalności dostępne na stronie internetowej.
  7. Pliki cookies zamieszczane w urządzeniu końcowym Użytkownika strony internetowej i wykorzystywane mogą być również przez współpracujących z operatorem strony internetowej reklamodawców, partnerów, firmy analityczno-badawcze oraz dostawców aplikacji multimedialnych.

§5 Logi serwera

  1. Korzystanie ze strony wiąże się z przesyłaniem zapytań do serwera, na którym przechowywana jest strona. Każde zapytanie skierowane do serwera zapisywane jest w logach serwera.
  2. Logi obejmują m.in. adres IP użytkownika, datę i czas serwera, informacje o przeglądarce internetowej i systemie operacyjnym.. Logi mogą być zapisywane i przechowywane są na serwerze.
  3. Dane zapisane w logach serwera nie są kojarzone z konkretnymi osobami korzystającymi ze strony i nie są wykorzystywane przez nas w celu identyfikacji użytkownika.
  4. Logi serwera stanowią wyłącznie materiał pomocniczy służący do administrowania stroną, a ich zawartość nie jest ujawniana nikomu poza osobami upoważnionymi do administrowania serwerem.

Kancelaria Radcy Prawnego Jarosław Frey

We use cookies to ensure you get the best experience on our website Read more...

x