Ochrona danych osobowych i informacji niejawnych

Zainteresowanie tematyką ochrony danych osobowych, a także szerzej – bezpieczeństwem informacji niejawnych, przetwarzanych w przedsiębiorstwach, wzrosło niewątpliwie po wejściu w życiu Ogólnego Rozporządzenia ws. Ochrony Danych (RODO) w maju 2018 r. Wcześniej niewiele firm traktowało tę materię poważnie. To wielki błąd. O ile ochrona danych osobowych dotyczy określonej grupy przetwarzanych informacji, o tyle bezpieczeństwo informacji niejawnych powinno zainteresować każdego przedsiębiorcę, ponieważ właśnie te informacje stanowią o tajemnicy przedsiębiorstwa, która powinna być bezwzględnie chroniona.

Ochrona danych osobowych

Zgodność działalności firmy z przepisami o ochronie danych osobowych (tj. RODO i ustawą o ochronie danych osobowych) można osiągnąć poprzez:

spełnienie obowiązków określonych w tych przepisach oraz
sprawność procesów mających na celu wykonanie określonych obowiązków, gdy zaistnieją pewne okoliczności przewidziane w przepisach.

Każda z firm przetwarza określone dane osobowe jako administrator danych albo tzw. podmiot przetwarzający (w praktyce często nazywany „procesorem” z uwagi na spolszczenie angielskiego słowa processor, które obowiązywało sprzed utworzenia polskiej definicji). Rozróżnienie tych pojęć, a także prawidłowe rozumienie wyrażenia „dane osobowe” jest kluczowe dla oceny zakresu obowiązków organizacji.

Podstawowe obowiązki przedsiębiorstwa jako administratora danych:

zapewnienie środków zabezpieczających dane osobowe przed dostępem osób nieuprawnionych;
przetwarzanie danych osobowych zgodnie z zasadami określonymi w RODO,
informowanie osób, których dane dotyczą, o przetwarzaniu ich danych osobowych w postaci tzw. klauzul informacyjnych;
upoważnienie osób zatrudnionych do przetwarzania danych osobowych;
prowadzenie rejestru czynności przetwarzania danych osobowych;
prowadzenie rejestru naruszeń ochrony danych osobowych;
zawieranie umów powierzenia przetwarzania danych osobowych z podmiotami, którym powierzane jest przetwarzanie danych osobowych w imieniu firmy.

Z kolei do obowiązków przedsiębiorstwa, któremu inny podmiot powierza przetwarzanie danych osobowych (tj. w sytuacji, gdy firma występuje w roli podmiotu przetwarzającego), należą:

zapewnienie środków zabezpieczających dane osobowe przed dostępem osób nieuprawnionych;
przetwarzanie danych osobowych zgodnie z zasadami określonymi w RODO,
upoważnienie osób zatrudnionych do przetwarzania danych osobowych oraz zobowiązane ich do zachowania poufności przetwarzanych danych;
prowadzenie rejestru kategorii czynności przetwarzania danych osobowych (tzw. rejestru kategorii przetwarzań);
prowadzenie rejestru naruszeń ochrony danych osobowych;
zawieranie umów powierzenia przetwarzania danych osobowych z podmiotami, które powierzają firmie przetwarzanie danych osobowych w ich imieniu.

Pozostałe obowiązki są zależne od wystąpienia okoliczności determinujących określone zachowanie administratora danych lub podmiot przetwarzający. Przykładowo należą do nich: obowiązek zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu (w Polsce – Prezesowi Urzędu Ochrony Danych Osobowych) w ciągu 72 godzin od stwierdzenia naruszenia, jeśli istnieje ryzyko naruszenia praw i wolności osób, których dane są przetwarzane; obowiązek poinformowania osób, których dane są przetwarzane, o zaistniałym naruszeniu ochrony danych osobowych; wykonanie praw osób, których dane są przetwarzane, w przypadku wystąpienia przez te osoby do administratora danych z określonym w RODO żądaniem (np. do sprostowania danych, usunięcia danych).

Przygotowanie przedsiębiorstwa do zapewnienia zgodności z przepisami o ochronie danych osobowych nazywane jest w praktyce „wdrożeniem RODO”, chociaż poprawnym określenie jest „wdrożenie systemu ochrony danych osobowych”. Takie wdrożenie polega na:

audycie stosowanych przez przedsiębiorstwo zabezpieczeń oraz procesów i działań związanych z przetwarzaniem danych osobowych;
przygotowaniu wszystkich niezbędnych dokumentów, dzięki którym firma spełni nałożone na nią obowiązki prawne;
opracowaniu i wcieleniu do organizacji firmy polityk i procedur, których celem jest funkcjonowanie przedsiębiorstwa zgodnie z zasadami określonymi w RODO, a także przygotowanie personelu firmy do wykonania określonych obowiązków w przypadku zaistnienia okoliczności determinujących wykonanie takich obowiązków;
szkoleniu personelu przedsiębiorstwa z zasad przetwarzania danych osobowych oraz przestrzegania wdrożonych polityk i procedur.

Powszechnym błędem popełnianym przez przedsiębiorstwa jest przekonanie, że wdrożenie RODO (wdrożenie systemu ochrony danych osobowych) zapewni zgodność prowadzonej działalności z prawem. Otóż stworzenie określonego systemu jest bardzo ważnym krokiem ku zapewnieniu zgodności, jednakże prawdziwa zgodność zapewniona będzie tylko wówczas, gdy system ten będzie funkcjonował prawidłowo, a do tego niezbędne jest zarządzanie tym systemem, które przede wszystkim polega na stałym kontrolowaniu, audytowaniu i szkoleniu z określonych kwestii związanych z przetwarzaniem danych osobowych.

Zapewnienie zgodności w obszarze ochrony danych osobowych nie jest czynnością jednorazową, którą ma obowiązek wykonać każde przedsiębiorstwo przetwarzające dane osobowe! Ochrona danych osobowych stanowi proces, a właściwie – cykl, którego zobrazowanie nazywane jest cyklem Deminga.

To właśnie dlatego w przedsiębiorstwach zatrudniani są Inspektorzy Ochrony Danych (IOD), których praca skupiona jest na istniejącym systemie ochrony danych osobowych – systemie „żyjącym” w firmie, wymagającym dostosowania się do tzw. kontekstu organizacji, rozwiązywania bieżących problemów i wyzwań w obszarze ochrony danych osobowych, a także udoskonalania tego systemu.

Ochrona informacji niejawnych

Mimo że w Polsce tak wiele mówi się o ochronie danych osobowych, przedsiębiorca musi mieć na uwadze bezpieczeństwo wszystkich informacji przetwarzanych w formie papierowej i elektronicznej, przede wszystkim ochronę informacji niejawnych. Mówiąc o „ochronie” kluczowe są następujące aspekty:

techniczne zabezpieczenie systemu informatycznego;
przyjęcie środków organizacyjnych;
ograniczenie dostępu do informacji niejawnych;
zapewnienie kontroli nad obiegiem informacji;
monitorowanie tzw. cyklu życia informacji;
wdrożenie odpowiedniej polityki ochrony informacji niejawnych;
opracowanie instrukcji i/lub procedur związanych z naruszeniem ochrony informacji niejawnych;
opracowanie planu ciągłości działania w razie utraty i/lub naruszenia informacji niejawnych;
wskazanie informacji stanowiących tajemnicę przedsiębiorstwa;
szkolenia i warsztaty dla pracowników.

Każdy przedsiębiorca powinien panować nad wszystkimi procesami i działaniami związanymi z przetwarzaniem przez firmę i jej pracowników informacji niejawnych, które dotyczyć mogą zarówno funkcjonowania tej firmy, jak również jej klientów, podwykonawców i dostawców. Niejednokrotnie informacje niejawne przenikają się z własnością intelektualną (m.in. prawa autorskie, znaki towarowe, patenty na wynalazek, know-how), przez co spojrzenie na ten obszar wymaga szerokiej perspektywy.

Fundamentem ochrony informacji niejawnych w firmie jest dokument określający zasady tej ochrony, który najczęściej przyjmuje postać Polityki Ochrony Informacji Niejawnych albo Polityki Bezpieczeństwa Informacji. Dopiero po wdrożeniu takiego dokumentu w strukturę organizacyjną przedsiębiorstwa można tworzyć dalsze instrukcje i procedury dla pracowników, a następnie zapewnić tym osobom szkolenia (najlepiej cykliczne; jedno szkolenie z pewnością będzie istotne, ale dla pewności funkcjonowania systemu ochrony informacji niejawnych powinno się regularnie wracać do kluczowych tematów, a także rozwijać dalsze, w szczególności kiedy przedsiębiorstwo wkracza w nowy obszar swojej działalności albo nowy proces czy działanie, które wymagać będzie niepraktykowanych wcześniej czynności. Nieraz nawet nawiązanie współpracy z jednym większym klientem czy partnerem biznesowym może wymusić większe zaangażowanie i ponowne przećwiczenie głównych bądź szczególnych zasad ochrony informacji.