Zainteresowanie tematyką ochrony danych osobowych, a także szerzej – bezpieczeństwem informacji niejawnych, przetwarzanych w przedsiębiorstwach, wzrosło niewątpliwie po wejściu w życiu Ogólnego Rozporządzenia ws. Ochrony Danych (RODO) w maju 2018 r. Wcześniej niewiele firm traktowało tę materię poważnie. To wielki błąd. O ile ochrona danych osobowych dotyczy określonej grupy przetwarzanych informacji, o tyle bezpieczeństwo informacji niejawnych powinno zainteresować każdego przedsiębiorcę, ponieważ właśnie te informacje stanowią o tajemnicy przedsiębiorstwa, która powinna być bezwzględnie chroniona.
Ochrona danych osobowych
Zgodność działalności firmy z przepisami o ochronie danych osobowych (tj. RODO i ustawą o ochronie danych osobowych) można osiągnąć poprzez:
- spełnienie obowiązków określonych w tych przepisach oraz
- sprawność procesów mających na celu wykonanie określonych obowiązków, gdy zaistnieją pewne okoliczności przewidziane w przepisach.
Każda z firm przetwarza określone dane osobowe jako administrator danych albo tzw. podmiot przetwarzający (w praktyce często nazywany „procesorem” z uwagi na spolszczenie angielskiego słowa processor, które obowiązywało sprzed utworzenia polskiej definicji). Rozróżnienie tych pojęć, a także prawidłowe rozumienie wyrażenia „dane osobowe” jest kluczowe dla oceny zakresu obowiązków organizacji.
Podstawowe obowiązki przedsiębiorstwa jako administratora danych:
- zapewnienie środków zabezpieczających dane osobowe przed dostępem osób nieuprawnionych;
- przetwarzanie danych osobowych zgodnie z zasadami określonymi w RODO,
- informowanie osób, których dane dotyczą, o przetwarzaniu ich danych osobowych w postaci tzw. klauzul informacyjnych;
- upoważnienie osób zatrudnionych do przetwarzania danych osobowych;
- prowadzenie rejestru czynności przetwarzania danych osobowych;
- prowadzenie rejestru naruszeń ochrony danych osobowych;
- zawieranie umów powierzenia przetwarzania danych osobowych z podmiotami, którym powierzane jest przetwarzanie danych osobowych w imieniu firmy.
Z kolei do obowiązków przedsiębiorstwa, któremu inny podmiot powierza przetwarzanie danych osobowych (tj. w sytuacji, gdy firma występuje w roli podmiotu przetwarzającego), należą:
- zapewnienie środków zabezpieczających dane osobowe przed dostępem osób nieuprawnionych;
- przetwarzanie danych osobowych zgodnie z zasadami określonymi w RODO,
- upoważnienie osób zatrudnionych do przetwarzania danych osobowych oraz zobowiązane ich do zachowania poufności przetwarzanych danych;
- prowadzenie rejestru kategorii czynności przetwarzania danych osobowych (tzw. rejestru kategorii przetwarzań);
- prowadzenie rejestru naruszeń ochrony danych osobowych;
- zawieranie umów powierzenia przetwarzania danych osobowych z podmiotami, które powierzają firmie przetwarzanie danych osobowych w ich imieniu.
- audycie stosowanych przez przedsiębiorstwo zabezpieczeń oraz procesów i działań związanych z przetwarzaniem danych osobowych;
- przygotowaniu wszystkich niezbędnych dokumentów, dzięki którym firma spełni nałożone na nią obowiązki prawne;
- opracowaniu i wcieleniu do organizacji firmy polityk i procedur, których celem jest funkcjonowanie przedsiębiorstwa zgodnie z zasadami określonymi w RODO, a także przygotowanie personelu firmy do wykonania określonych obowiązków w przypadku zaistnienia okoliczności determinujących wykonanie takich obowiązków;
- szkoleniu personelu przedsiębiorstwa z zasad przetwarzania danych osobowych oraz przestrzegania wdrożonych polityk i procedur.
Ochrona informacji niejawnych
Mimo że w Polsce tak wiele mówi się o ochronie danych osobowych, przedsiębiorca musi mieć na uwadze bezpieczeństwo wszystkich informacji przetwarzanych w formie papierowej i elektronicznej, przede wszystkim ochronę informacji niejawnych. Mówiąc o „ochronie” kluczowe są następujące aspekty:
- techniczne zabezpieczenie systemu informatycznego;
- przyjęcie środków organizacyjnych;
- ograniczenie dostępu do informacji niejawnych;
- zapewnienie kontroli nad obiegiem informacji;
- monitorowanie tzw. cyklu życia informacji;
- wdrożenie odpowiedniej polityki ochrony informacji niejawnych;
- opracowanie instrukcji i/lub procedur związanych z naruszeniem ochrony informacji niejawnych;
- opracowanie planu ciągłości działania w razie utraty i/lub naruszenia informacji niejawnych;
- wskazanie informacji stanowiących tajemnicę przedsiębiorstwa;
- szkolenia i warsztaty dla pracowników.