Baza wiedzy

Przewiń by dowiedzieć się więcej

Czy jesteś przygotowany na kontrolę GIODO?

Generalny Inspektor Ochrony Danych Osobowych (GIODO) to instytucja, o której powinien słyszeć każdy przedsiębiorca ponieważ obowiązująca w Polsce od 1997r. ustawa o ochronie danych osobowych nakłada na nas określone obowiązki, jeśli tylko administrujemy danymi osobowymi.

Z praktyki wynika jednak, że moment, w którym firmy uświadamiają sobie konsekwencje niewdrożenia procedur ochrony danych osobowych nadchodzi za późno, czyli w momencie, gdy do GIODO wpływa zgłoszenie lub informacja o możliwości popełnienia przestępstwa z tytułu zaniedbań w ochronie danych osobowych. Są to zdarzenia coraz częstsze – świadomość społeczna w zakresie ochrony prywatności rośnie proporcjonalnie do liczby niezamawianej korespondencji w skrzynce email czy nachalnych telefonów z zaproszeniem na pokazy kulinarne itp.

Powinieneś wiedzieć

Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Danymi osobowymi będą zatem zarówno takie dane, które pozwalają na określenie tożsamości konkretnej osoby, jak i takie, które nie pozwalają na jej natychmiastową identyfikację, ale są, przy pewnym nakładzie kosztów, czasu i działań, wystarczające do jej ustalenia.
Przetwarzanie danych osobowych to wykonywanie jakichkolwiek operacji na danych osobowych, takich jak np. zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Jak wygląda kontrola?

GIODO najczęściej zapowiada swoją kontrolę 7 dni przed jej rozpoczęciem, co daje wystarczająco dużo czasu, aby dobrze się do niej przygotować i poprawić ewentualne niedociągnięcia.
Warunkiem podstawowym i koniecznym przejścia przez taką kontrolę jest w tym wypadku posiadanie wymaganej prawem dokumentacji, czyli: Polityki Bezpieczeństwa, Instrukcji Zarządzenia Systemem Informatycznym, a także stosownych i aktualnych załączników do tych dokumentów oraz umów. Obowiązkiem każdego przedsiębiorcy jest także rejestracja zbiorów danych osobowych w bazie GIODO lub wyznaczenie i zarejestrowanie Administratora Bezpieczeństwa Informacji (ABI).

Z ramienia GIODO kontrolę przeprowadza zespół składający się z prawnika oraz informatyka, ale w zależności od wielkości kontroli, inspektorów może być więcej. Działają oni wg planu kontroli, który powinien zostać przedstawiony administratorowi danych osobowych. Dokument taki określa cel, zakres kontroli oraz czas jej trwania. Ze względu na to, że dane osobowe są wykorzystywane niemal w każdym aspekcie działalności podmiotów gospodarczych, to spektrum działania kontrolerów może być niezwykle szerokie.

Za każdym razem dokładnie weryfikowana jest dokumentacja papierowa – sprawdzane procedury zabezpieczania danych osobowych i procedury przydzielania dostępu do ich przetwarzania. Weryfikowany jest cel przetwarzania poszczególnych zbiorów danych oraz to, czy ich zakres nie jest zbyt szeroki w stosunku do potrzeb. Kontrolowane są także umowy powierzenia i podpowierzania danych osobowych, np. z firmami hostingowymi na serwerach których działa poczta internetowa. Informatyk GIODO bada czy zabezpieczenia systemów informatycznych, w których przetwarza się zbiory danych, są zgodnie z przepisami określonymi w rozporządzeniu MSWiA (Ministerstwo Spraw Wewnętrznych i Administracji) do ustawy o ochronie danych osobowych.

Chociaż uprawnienia GIODO, szczególnie te w zakresie karania, rosną przy każdej nowelizacji ustawy o ochronie danych osobowych, to firmy, które stosują się do wymogów ustawy nie powinny czuć się zagrożone. Profesjonalna, prawidłowo przygotowana i wdrożona dokumentacja, przygotuje przedsiębiorstwo do funkcjonowania w zgodzie z polskim prawodawstwem, a jednocześnie nie będzie stwarzać biurokratycznych barier przeszkadzających w rozwoju.

A jeśli przedsiębiorstwo nie wdrożyło odpowiedniej dokumentacji ?

Jeśli przed kontrolą GIODO przedsiębiorstwo nie wdrożyło systemu ochrony danych osobowych, to należy rozważyć podjęcie próby stworzenia takiej dokumentacji oraz zarejestrowania zbiorów danych osobowych. Jest to zadanie bardzo trudne i kosztowne. Prawidłowa identyfikacja zbiorów danych, zbadanie procesu ich przepływu, zbudowanie i wdrożenie procedur, wypełnienie dokumentacji, odpowiednie zabezpieczenie systemów informatycznych to czynności, których trudność rośnie wykładniczo w stosunku do wielkości przedsiębiorstwa i ilości wykorzystywanych zbiorów danych osobowych. W tym, miejscu, musimy przestrzec przed pojawiającymi się w takich wypadkach pomysłami fałszowania wpisów w dokumentacji, np. poprzez ich antydatowanie lub podrabianie podpisów pracowników, którzy np. nie pracują już w przedsiębiorstwie. Takie manipulacje są łatwe do wykrycia przez doświadczonych inspektorów GIODO. Każda dokumentacja, nawet taka, która powstała już po zawiadomieniu o kontroli będzie lepsza niż jej brak, a fałszowanie dokumentów jest przestępstwem ściganym z kodeksu karnego i może nieść za sobą naprawdę poważne następstwa.

 

 

Wstępny audyt danych osobowych

Opracowaliśmy specjalny zestaw pytań, dzięki któremu, możesz przeprowadzić wstępny audyt systemu ochrony danych i informacji. Zostaw mail, aby uzyskać do niego dostęp.

Sprawdź naszą ofertę

ZGŁASZANIE ZBIORÓW DANYCH DO GIODO

Przeprowadzamy proces zgłaszania zbiorów danych osobowych do rejestracji w GIODO. Od analizy przetwarzanych w firmie danych osobowych, przez przygotowania dokumentacji po samo zgłoszenie wniosku do rejestracji.

Czytaj więcej

AUDYT DANYCH OSOBOWYCH

Celem audytu jest zbadanie zgodności działania Twojej firmy lub instytucji z aktualnie obowiązującymi przepisami w zakresie ochrony danych osobowych.

Czytaj więcej
Top

BEZPŁATNE
KONSULTACJE
TELEFONICZNE

Umów się na bezpłatną konsultację z ekspertem!
Czytaj więcej

Koszyk jest pusty!