Na wstępie przypominam, że RODO nie daje gotowych rozwiązań, co musisz zrobić aby się dostosować. Podaje prawa i obowiązki, wskazuje wysokość sankcji za ich nieprzestrzeganie, ale wszystkie poziomy zabezpieczeń i możliwą dokumentację musisz dobrać sam. Jest to podejście opierające się na ryzyku. Zadaniem poradnika jest wskazanie niezbędnego moim zdaniem minimum, o którym warto pomyśleć w agencji ochrony.

Najpierw zastanów się, jakiego rodzaju dane osobowe przetwarzasz w ramach swojego przedsiębiorstwa i w jakim celu. Z mojego dotychczasowego doświadczenia wynika, że będą to najczęściej następujące dane osobowe:

własnych pracowników i zleceniobiorców (na potrzeby zatrudnienia)
kontrahenta i jego pracowników (w celu realizacji umowy)
osób legitymowanych przez ochronę fizyczną (w celu realizacji umowy oraz zapewnienia bezpieczeństwa w chronionym obiekcie)
w postaci wizerunku danej osoby utrwalone na nagraniach z monitoringu (w celu realizacji umowy oraz zapewnienia bezpieczeństwa w monitorowanym obiekcie)
Zbieranie tych danych jest konieczne. Jeśli nie pobierzesz danych od pracowników i zleceniobiorców, nie możesz ich zarejestrować na potrzeby ZUS, NFZ i skarbówki. Jeśli brak Ci danych odpowiednich pracowników klienta, możesz mieć problemy z komunikacją z nimi. Z kolei legitymowanie osób wchodzących na obiekt bądź założenie kamer i przechowywanie nagrań przez „X” miesięcy jest częstym wymogiem zawartym w umowie, żądanym przez klienta aby zapewnić określony poziom bezpieczeństwa. Nie zgodzisz się – możesz w zasadzie pakować manatki.

Następnie zastanów się, kto ma dostęp do tych danych. W ten sposób ograniczysz grono osób/podmiotów do niezbędnego minimum i wyeliminujesz dostęp tym osobom/podmiotom, które nie potrzebują dostępu do danych osobowych w wykonywaniu swoich obowiązków.

Przyjrzyj się także sposobowi przechowywania danych osobowych w swoim przedsiębiorstwie. Czy trzymasz je na zewnętrznym serwerze bądź w pomieszczeniu serwerowym gdzieś na zapleczu? A może wystarcza ci jeden komputer? Jak zabezpieczasz dostęp do komputerów? A jeśli gromadzisz dokumenty w formie papierowej, to czy przechowujesz dane w szafie zamykanej na klucz bądź w szafie pancernej lub sejfie? Zastanów się nad sposobem przechowywania tych danych. Możesz usprawnić wiele rzeczy zwłaszcza jeśli dotychczas traktowałeś kwestię zabezpieczania danych dość swobodnie.

Zastanów się także nad możliwością powołania Inspektora Ochrony Danych (dalej: Inspektor). Będzie on pełnił funkcje podobne do dotychczasowego Administratora Bezpieczeństwa Informacji (dalej: ABI), ale nie znaczy to, że wszyscy ABI staną się automatycznie Inspektorami. Taki Inspektor powinien posiadać odpowiednie kwalifikacje zawodowe, ale także wiedzę praktyczną. Może być zatrudniony w firmie, ale może być też zatrudniony w ramach outsourcingu na podstawie umowy o świadczenie usług. Przy działalności w branży ochrony osób i mienia niby z reguły nie ma obowiązku powoływania Inspektora. Jednak przy większej skali działalności lepiej pomyśleć o Inspektorze, choćby dla własnego bezpieczeństwa. W końcu wraz z rozwojem przedsiębiorstwa, prędzej czy później może pojawić się jakiś problem z ochroną danych osobowych.

Kiedy już przeanalizujesz wszystkie powyższe czynniki, pora pomyśleć o formalnościach, czyli niezbędnej dokumentacji. Na początek – przygotuj dokument zatytułowany Polityka Bezpieczeństwa. Co to za dokument i co powinien zawierać?

Jest to po prostu procedura przedsiębiorstwa, określająca wewnętrzne zasady przetwarzania oraz ochrony danych osobowych. To w niej powinny znaleźć się informacje m.in.: gdzie i w jaki sposób przechowywane są dane, zasady przesyłania danych osobowych, sposoby zabezpieczania danych (loginy i hasła, zabezpieczanie danych przesyłanych elektronicznie, zasady instalowania oprogramowania na komputerach, programy zabezpieczające i ich aktualizacja, zasady dotyczące podłączania urządzeń zewnętrznych, zasady przechowywania dokumentacji papierowej.

Powinieneś zapamiętać, że Polityka Bezpieczeństwa nie jest dokumentem do publikacji na stronie internetowej! Nie pomyl tego z polityką prywatności. Polityka Bezpieczeństwa jest Twoim wewnętrznym dokumentem firmowym, dla Ciebie i Twoich pracowników.

Za: prawowochronie.pl, 8 maja 2018 r., Cezary Młotek więcej tutaj