W poprzednim wpisie poruszyłem temat RODO w branży ochrony, w którym wyjaśniłem, że może nie musisz się obawiać RODO (aż tak bardzo), ale powinieneś się przygotować na jego nadejście. Zapowiedziałem także, że wrzucę krótki poradnik dotyczący zagadnienia. Słowo się rzekło – przechodzimy do konkretów. Choć z uwagi na tzw. „weekend majowy” robię wpis dopiero dziś.
Na wstępie przypominam, że RODO nie daje gotowych rozwiązań, co musisz zrobić aby się dostosować. Podaje prawa i obowiązki, wskazuje wysokość sankcji za ich nieprzestrzeganie, ale wszystkie poziomy zabezpieczeń i możliwą dokumentację musisz dobrać sam. Jest to podejście opierające się na ryzyku. Zadaniem poradnika jest wskazanie niezbędnego moim zdaniem minimum, o którym warto pomyśleć w agencji ochrony.
Najpierw zastanów się, jakiego rodzaju dane osobowe przetwarzasz w ramach swojego przedsiębiorstwa i w jakim celu. Z mojego dotychczasowego doświadczenia wynika, że będą to najczęściej następujące dane osobowe:
- własnych pracowników i zleceniobiorców (na potrzeby zatrudnienia)
- kontrahenta i jego pracowników (w celu realizacji umowy)
- osób legitymowanych przez ochronę fizyczną (w celu realizacji umowy oraz zapewnienia bezpieczeństwa w chronionym obiekcie)
- w postaci wizerunku danej osoby utrwalone na nagraniach z monitoringu (w celu realizacji umowy oraz zapewnienia bezpieczeństwa w monitorowanym obiekcie)
Zbieranie tych danych jest konieczne. Jeśli nie pobierzesz danych od pracowników i zleceniobiorców, nie możesz ich zarejestrować na potrzeby ZUS, NFZ i skarbówki. Jeśli brak Ci danych odpowiednich pracowników klienta, możesz mieć problemy z komunikacją z nimi. Z kolei legitymowanie osób wchodzących na obiekt bądź założenie kamer i przechowywanie nagrań przez „X” miesięcy jest częstym wymogiem zawartym w umowie, żądanym przez klienta aby zapewnić określony poziom bezpieczeństwa. Nie zgodzisz się – możesz w zasadzie pakować manatki.
Następnie zastanów się, kto ma dostęp do tych danych. W ten sposób ograniczysz grono osób/podmiotów do niezbędnego minimum i wyeliminujesz dostęp tym osobom/podmiotom, które nie potrzebują dostępu do danych osobowych w wykonywaniu swoich obowiązków.
Przyjrzyj się także sposobowi przechowywania danych osobowych w swoim przedsiębiorstwie. Czy trzymasz je na zewnętrznym serwerze bądź w pomieszczeniu serwerowym gdzieś na zapleczu? A może wystarcza ci jeden komputer? Jak zabezpieczasz dostęp do komputerów? A jeśli gromadzisz dokumenty w formie papierowej, to czy przechowujesz dane w szafie zamykanej na klucz bądź w szafie pancernej lub sejfie? Zastanów się nad sposobem przechowywania tych danych. Możesz usprawnić wiele rzeczy zwłaszcza jeśli dotychczas traktowałeś kwestię zabezpieczania danych dość swobodnie.
Zastanów się także nad możliwością powołania Inspektora Ochrony Danych (dalej: Inspektor). Będzie on pełnił funkcje podobne do dotychczasowego Administratora Bezpieczeństwa Informacji (dalej: ABI), ale nie znaczy to, że wszyscy ABI staną się automatycznie Inspektorami. Taki Inspektor powinien posiadać odpowiednie kwalifikacje zawodowe, ale także wiedzę praktyczną. Może być zatrudniony w firmie, ale może być też zatrudniony w ramach outsourcingu na podstawie umowy o świadczenie usług. Przy działalności w branży ochrony osób i mienia niby z reguły nie ma obowiązku powoływania Inspektora. Jednak przy większej skali działalności lepiej pomyśleć o Inspektorze, choćby dla własnego bezpieczeństwa. W końcu wraz z rozwojem przedsiębiorstwa, prędzej czy później może pojawić się jakiś problem z ochroną danych osobowych.
Kiedy już przeanalizujesz wszystkie powyższe czynniki, pora pomyśleć o formalnościach, czyli niezbędnej dokumentacji. Na początek – przygotuj dokument zatytułowany Polityka Bezpieczeństwa. Co to za dokument i co powinien zawierać?
Jest to po prostu procedura przedsiębiorstwa, określająca wewnętrzne zasady przetwarzania oraz ochrony danych osobowych. To w niej powinny znaleźć się informacje m.in.: gdzie i w jaki sposób przechowywane są dane, zasady przesyłania danych osobowych, sposoby zabezpieczania danych (loginy i hasła, zabezpieczanie danych przesyłanych elektronicznie, zasady instalowania oprogramowania na komputerach, programy zabezpieczające i ich aktualizacja, zasady dotyczące podłączania urządzeń zewnętrznych, zasady przechowywania dokumentacji papierowej.
Powinieneś zapamiętać, że Polityka Bezpieczeństwa nie jest dokumentem do publikacji na stronie internetowej! Nie pomyl tego z polityką prywatności. Polityka Bezpieczeństwa jest Twoim wewnętrznym dokumentem firmowym, dla Ciebie i Twoich pracowników.
Kolejnym koniecznym dokumentem jest Umowa powierzenia danych osobowych. Jeśli przykładowo trzymasz dane firmowe na serwerach firmy hostingowej, powinieneś jako administrator danych osobowych zawrzeć z tym podmiotem umowę która określi zasady powierzania danych osobowych oraz same kategorie powierzanych danych i cel powierzania, a także zasady ich ochrony. Podobne umowy zawrzyj ze wszystkimi swoimi podwykonawcami.
Umowy powierzenia danych osobowych powinieneś zawrzeć także ze wszystkimi kontrahentami, dla których wykonujesz usługi ochrony fizycznej bądź monitoringu. Zapewne część klientów przedstawiło Ci już do podpisania swoje wzory umów – to bardzo dobra wiadomość, masz jeden problem mniej z głowy. Gorsza wiadomość jest taka, że ze wszystkimi pozostałymi musisz zawrzeć podobne umowy.
Zbierz ponadto od swoich pracowników i zleceniobiorców oświadczenia dotyczące przetwarzania danych osobowych. Musisz ich pisemnie poinformować jakie ich dane osobowe przetwarzasz, w jakim celu i przez jaki okres, a także o wszelkich przysługujących im prawach związanych z przetwarzaniem danych osobowych. Osobnym oświadczeniem powinno być oświadczenie o zapoznaniu z polityką bezpieczeństwa – wszak pracownik musi mieć świadomość, że i on ma pewne wobec Ciebie pewne obowiązki związane z pracą na cudzych danych osobowych.
Ostatnim dokumentem, który rekomenduję, jest rejestr czynności przetwarzania danych. Jest on nieobowiązkowy dla przedsiębiorców zatrudniających mniej niż 250 osób, chyba że przetwarzanie może naruszać prawa lub wolności osób, których dane dotyczą, przetwarzanie obejmuje szczególne kategorie danych lub dane dotyczące wyroków skazujących, bądź przetwarzanie nie ma charakteru sporadycznego. Moim zdaniem będziesz musiał prowadzić taki rejestr co najmniej w odniesieniu do danych osobowych zatrudnianych przez siebie osób, niezależnie od ilości osób zatrudnionych.
Reasumując – od strony dokumentacji powinieneś zadbać o:
- Politykę bezpieczeństwa
- Umowy powierzenia danych osobowych
- Oświadczenie o prawach pracownika wynikających z RODO
- Oświadczenie o zachowaniu poufności
- Rejestr czynności przetwarzania danych
Dokumentów przygotowanych na potrzeby RODO może być znacznie więcej (i często będą konieczne, w zależności od indywidualnych zasad obowiązujących w przedsiębiorstwie). Nic nie stoi na przeszkodzie, abyś był lepiej przygotowany. Jeśli jednak chcesz osiągnąć pewne niezbędne minimum, to postaraj się o wdrożenie zmian, które tutaj zarysowałem.
Oczywiście ten poradnik nie wyczerpuje tematu. Unikam zamieszczania w nim skomplikowanych definicji ustawowych czy szczegółowych wyjaśnień, o tym możesz przeczytać w wielu publikacjach dostępnych w internecie. Wolałem zwrócić Twoją uwagę na konkrety. Mam nadzieję, że trochę pomogłem w nakreśleniu planu działania związanego z przygotowaniem się na zmiany związane z RODO.
Jeśli potrzebujesz pomocy w przygotowaniu dokumentacji bądź we wdrożeniu zmian z RODO w swoim przedsiębiorstwie, zachęcam do kontaktu.
Pozdrawiam serdecznie,
Cezary
2 x skomentowano “Jak przygotować się na RODO w ochronie – poradnik”