autor : Leszek Malinowski
Audytor wewnętrzny Systemu Zarządzania Bezpieczeństwem Informacji zgodnie z normą PN ISO/IEC 27001:2014. Certyfikowany Menadżer Ryzyka w bezpieczeństwie informacji wg normy ISO/IEC 27001:2013 i PN ISO 31000:2012.
Członek rzeczywisty Stowarzyszenia Administratorów Bezpieczeństwa Informacji.
OCHRONA DANYCH OSOBOWYCH W FIRMIE
Mamy coraz bardziej restrykcyjne prawo w zakresie ochrony danych osobowych. Nowe rozporządzenie unijne, które wejdzie już za dwa lata umożliwi nakładanie kar finansowych za nieprzestrzeganie przepisów w tym zakresie. Parlament Europejski w dniu 14 kwietnia br. zatwierdził ogólne rozporządzenie o ochronie danych osobowych. Krajowa ustawa o ochronie danych osobowych pojawiła się w 1997 roku. Niestety, jak wskazuje praktyka niewiele firm wdrożyło procedury dotyczące ochrony danych osobowych oraz nie wykonuje czynności nakazanych prawem w tym zakresie i nie ma świadomości ponoszenia konsekwencji prawnych i karnych, które coraz częściej nakłada GIODO. W ubiegłym roku dokonano poważnej modyfikacji ustawy, pojawiły się też liczne akty wykonawcze. To duże zmiany dla administratorów danych osobowych. A w szczególności powołania i realizacji zadań przez administratorów bezpieczeństwa informacji, szczególnie wobec zadań Administratora Bezpieczeństwa Informacji określonych rozporządzeniami Ministra Administracji i Cyfryzacji. Dane osobowe to informacje chronione prawem, mogące pośrednio lub bezpośrednio zidentyfikować daną osobę. Samo imię i nazwisko nie wystarczy. Ale gdy dodamy PESEL, nazwę firmy lub inne dane, mamy już do czynienia z danymi osobowymi chronionymi prawem. Nawet skrzynka pocztowa w układzie imię.nazwisko@nazwafirmy.xxx jest daną osobową. Specyficzny rodzajem danych osobowych są dane wrażliwe, przetwarzane przez różne instytucje, nie tylko z branży medycznej. Dane takie zawierają dodatkowo informację o stanie zdrowia, nałogach, czy wyznaniu.
Firma BAJAN z Wałbrzycha wraz z EVENT z Jeleniej Góry wyspecjalizowały się w audycie ochrony danych, opracowaniu dokumentacji oraz szkoleniu w zakresie ochrony danych osobowych. Ich wspólny dorobek to opracowanie i wdrożenie dokumentacji w szkołach i przedszkolach, jednostkach samorządowych i państwowych oraz przedsiębiorstwach. Wykonana dokumentacja jest dedykowana każdej firmie z osobna, uwzględniając jej specyfikę, składa się nie tylko z Polityki Bezpieczeństwa Danych Osobowych oraz Instrukcji Zarządzania Systemem Informatycznym. Przygotowywane są też niezbędne załączniki a każdy Administrator Danych Osobowych wyposażany jest we wzory niezbędnych instrukcji oraz katalog dobrych praktyk. Nasze doświadczenie pozwala nam różne postawy firm, wobec ochrony danych: te które przestrzegają ustawę, te którym wydaje się, że przestrzegają ustawę i te które nie zrobiły w tym zakresie niczego. W tym drugim przypadku firma ma jakieś tam dokumenty, ale są niezgodne z aktualnym stanem prawnym. często skopiowane z Internetu i nie przystające do specyfiki i organizacji firmy. Najczęstszymi błędami w respektowaniu zapisów ustawy to: brak dokumentacji, brak należytego zabezpieczenia danych, nadmierne zbieranie danych, udostępnianie danych innym podmiotom, przesyłanie danych osobowych pocztą elektroniczną prywatną bez szyfrowania, udostępnianie nagrań z monitoringu oraz wiele innych. Warto więc pokusić się o kontakt ze specjalistami : bajan@bajan.com.pl i biuro@eventjgora.pl. Więcej na stronach: www.bajan.com.pl, www.eventjgora.pl.