PORTAL INFOR.PL
| INFORLEX | GAZETA PRAWNA | KONFERENCJE | INFORORGANIZER | APLIKACJE | KARIERA | SKLEP
Jesteś tutaj: STRONA GŁÓWNA > Księgowość > Obrót gospodarczy > Działalność gospodarcza > Zasady przetwarzania poufnych danych klientów firmy

Zasady przetwarzania poufnych danych klientów firmy

Jak przechowywać i przetwarzać poufne dane, w taki sposób aby odpowiednio zabezpieczyć dane klientów oraz własną firmę. Szybka analiza wytycznych GIODO.

Coraz większa ilość poufnych danych przechowywanych przez firmy i instytucje w chmurach internetowych lub na twardych dyskach, a następnie przetwarzanych metodami elektronicznymi wiąże się niestety z rosnącym ryzykiem ich utraty wskutek awarii, lub co gorsza, działalności przestępczej. Wymusza to na administratorach wrażliwych informacji podjęcie konkretnych kroków, mających na celu zminimalizowanie ryzyka zniszczenia lub kradzieży powierzonych im danych. W kwestii jak tego dokonać, doradza Prezes Urzędu Ochrony Danych Osobowych, czyli dawny Generalny Inspektor Ochrony Danych Osobowych.

GIODO/UODO

Generalny Inspektor Ochrony Danych Osobowych był urzędem państwowym przeznaczonym dla spraw związanym z ochroną danych osobowych, działającym w okresie sierpień 1997 – maj 2018. 25 maja 2018 roku, GIODO został zastąpiony przez Prezesa Urzędu Ochrony Danych Osobowych, który poza przejęciem obowiązków GIODO stał się organem nadzorczym w rozumieniu rozporządzenia RODO.

Informatyczne ryzyko

Zgodnie z prawem, do obowiązków administratorów danych wrażliwych, przetwarzających je metodami elektronicznymi (za pośrednictwem stron internetowych), należy pełna kontrola nad tym, jakie dane i w jaki sposób są przetwarzane, oraz komu, na jakiej podstawie i w jakim zakresie są udostępniane. Jednakże kontrola ta nie ogranicza się jedynie do wymienionych wyżej procesów dokonywanych za pomocą aplikacji należących do samego administratora, ale także roztacza się nad programami należącymi do podmiotów zewnętrznych, używanymi przez niego (administratora) dla różnych celów; takich jak np. gromadzenia danych statystycznych, przeprowadzania badań rynku czy też do zamieszczania odpowiednich reklam przez wyspecjalizowane podmioty w ramach sprzedanej im powierzchni reklamowej, a skierowanych do konkretnej kategorii potencjalnych klientów. Tego typu programy – czyli skrypty – przeznaczone są do wykonywania w specjalnych środowiskach uruchomieniowych automatyzujących wykonywanie zadań, które alternatywnie mogą być wykonywane jedno po drugim przez użytkownika; umożliwiają one m.in. zautomatyzowanie powtarzających się czynności. Otóż takie skrypty, będąc własnością podmiotu zewnętrznego w stosunku do właściwego administratora, często niestety, są poza jego kontrolą. A to skutkować może brakiem wiedzy co do tego, co dzieje się aktualnie z przetwarzanymi danymi.

Taka sytuacja nie może - zgodnie z zaleceniami UODO - mieć miejsca. W praktyce oznacza to, że bez względu na to, kto jest właścicielem używanych przez administratora aplikacji służących do przetwarzania wrażliwych danych, musi on dokładnie wiedzieć, jak owe aplikacje działają i co w każdym momencie dzieje się z obsługiwanymi przez nie informacjami. Tylko wtedy, administratorzy będą mogli w pełni realizować wynikające z ustawy o ochronie danych osobowych obowiązki. A należą do nich (zgodnie z art. 26 ust. 1):

- przetwarzane danych zgodnie z prawem;

- zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami;

- merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane;

- przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

Dobrych rad nigdy dosyć

Oprócz ostrożnego podejścia do kwestii skryptów, UODO doradza także podjęcie innych kroków, umożliwiających bezpieczne operowanie poufnymi informacjami.

Przede wszystkim, należy stosować właściwe procedury związane z wprowadzaniem nowych rozwiązań w systemach informatycznych lub modyfikacją dotychczasowych. Każdy etap dokonywanych zmian, powinien być wcześniej zaplanowany, a następnie kontrolowany i rejestrowany. Co więcej, jeszcze przed jego rozpoczęciem, każdy proces powinien być zatwierdzony przez dysponującą odpowiednimi uprawnieniami osobę.

Polecamy: Przewodnik po zmianach przepisów

Ważne jest także to, aby stosować odpowiednie standardy i sposoby dotyczące zarządzania danymi. Jako przykład można podać metodykę COBIT (Control Objectives for Information and related Technology) - zbiór dobrych praktyk z zakresu IT Governance, które mogą być wykorzystywane w szczególności przez audytorów systemów informatycznych. COBIT został wskazany w „Rekomendacji D”, dotyczącej zarządzania ryzykami towarzyszącymi systemom informatycznym i telekomunikacyjnym używanym przez banki, wydanej przez Generalny Inspektorat Nadzoru Bankowego, jako jeden z uznanych standardów międzynarodowych, dotyczących badania i oceny bezpieczeństwa informacji w systemach informatycznych.

Inny krok zalecany przez UODO, to wdrożenie standardów ISO/IEC 20000-1 i ISO/IEC 20000-2 dotyczących zarządzania usługami informatycznymi.

„Oczywista oczywistość”

Poza zalecanymi przez UODO metodami prawno – proceduralnymi, należy też stosować równie istotne zabezpieczenia techniczne. Strony internetowe powinny być zabezpieczone przed potencjalny atakiem cybernetycznym, programy antywirusowe aktualizowane na bieżąco (jak w chmurach obliczeniowych), a pliki zawierające poufne dane, muszą być zabezpieczone odpowiednimi hasłami, dostęp do nich powinien być kilkuetapowy, a przesyłane dane należy odpowiednio szyfrować.

Zobacz także: Moja firma

Przydatne formularze online

KRS-ZM Zmiana - przedmiot działalności - załącznik do wniosku o zmianę danych w rejestrze przedsiębiorcówKRS-ZM Zmiana - przedmiot działalności - załącznik do wniosku o zmianę danych w rejestrze przedsiębiorców
GUS RG-OP (archiwalny) Wniosek o wpis do krajowego rejestru urzędowego podmiotów gospodarki narodowej, o zmianę cech objętych wpisem, o skreślenie wpisu osoby prawnej, jednostki organizacyjnej niemającej osobowości prawnej lub ich jednostki lokalnejGUS RG-OP (archiwalny) Wniosek o wpis do krajowego rejestru urzędowego podmiotów gospodarki narodowej, o zmianę cech objętych wpisem, o skreślenie wpisu osoby prawnej, jednostki organizacyjnej niemającej osobowości prawnej lub ich jednostki lokalnej

Czytaj także

Data publikacji:

Ekspert:

S-NET

Główne dziedziny działalności przedsiębiorstwa to dostawa nowoczesnych rozwiązań telekomunikacyjnych dla biznesu i ISP; integracja rozwiązań IT takich jak: serwery, sprzęt telekomunikacyjny,​ ​sprzęt​ ​sieciowy,​ ​outsorcing​ ​IT.

Tagi

dane osobowe, firma, GIODO, przedsiębiorca, RODO

Zdjęcia

Zasady przetwarzania poufnych danych klientów firmy /fot. Shutterstock
Zasady przetwarzania poufnych danych klientów firmy /fot. Shutterstock

Powiązane artykuły

INFORLEX Biznes509.00 zł

Polecane na infor.pl

POLECANE NA IFK

Narzędzia księgowego

Kalkulatory

zobacz wszystkie »

Wskaźniki i stawki

zobacz wszystkie »

Najważniejsze wideoszkolenia

Zobacz wszystkie »

Aktywne formularze

zobacz wszystkie »

POLECANE

KORONAWIRUS - podatki, prawo

Tarcza antykryzysowa. Sejm uchwalił specustawę o wsparciu dla firm

reklama

Ostatnio na forum

Artykuł Partnerski

Druga fala PPK: Termin może być wydłużony, reguły wdrożenia pozostają bez zmian
Promocja

Wszystko co musisz wiedzieć o PPK

Przygotuj się na PPK – co podmiot zatrudniający może zrobić przed 1 lipca 2020

Promocja

Eksperci portalu infor.pl

Iwona Zygmunt

Prawnik

Zostań ekspertem portalu Infor.pl »
SKLEP.INFOR.PL
Publikacje na czasie
Bestsellery
Wynagrodzenia 2020. Rozliczanie płac w praktyce59.00 zł
CIT 2020. Komentarz199.00 zł
Czas pracy 2020. Planowanie, rozliczanie i ewidencja59.00 zł

KSIĄŻKI

Profesjonalna tematyka:

CZASOPISMA

Fachowe dwutygodniki:

SERWISY INTERNETOWE

180 tys. artykułów:

E-BOOKI

Książki w wersji PDF:

  • Nie potrzebujesz czytnika
  • Pobierasz od razu
  • Oszczędzasz pieniądze
  • Więcej »
Copyright © 2020 INFOR PL S.A.