Wielu administratorów bezpieczeństwa informacji realizuje obowiązek zapoznania pracowników z przepisami o ochronie danych osobowych poprzez ich szkolenie. Pracownicy świadomi zasad ochrony danych osobowych to duże ułatwienie pracy ABI, dlatego warto dobrze przygotować się do szkolenia. Na początek zastanów się, o czym powinieneś powiedzieć podczas szkolenia.

U każdego administratora danych osobowych, niezależnie od tego jaką placówką kieruje, mogą wystąpić tzw. incydenty związane z naruszeniem ochrony danych osobowych. Administrator danych powinien zrobić wszystko, aby zminimalizować ryzyko ich wystąpienia. Będzie to szczególnie istotne, gdy zacznie obowiązywać ogólne rozporządzenie o ochronie danych.

Środki bezpieczeństwa stosowane do ochrony danych osobowych powinny być odpowiednie, adekwatne do zagrożeń i wartości danych. Jednak, aby wiedzieć, jakie środki będą odpowiednie i adekwatne, musimy poprzedzić ich wprowadzenie analizą ryzyka. Dowiedz się, jak to zrobić.

Za zaniedbania w zakresie przechowywania danych osobowych grozi odpowiedzialność karna. Niestety ustawa o ochronie danych osobowych nie daje wytycznych, które pomogłyby w odpowiednim przechowywaniu dokumentacji zawierającej dane osobowe. Trzeba więc odwołać się do przepisów szczegółowych.

Pytanie:  Czy w upoważnieniu do przetwarzania danych osobowych należy wymienić konkretnie zakres kategorii przetwarzanych danych osobowych, jak mówi art. 27 ustawy o ochronie danych osobowych (imię, nazwisko, adres, PESEL itd.)? Czy wystarczy ogólne stwierdzenie – np. w zakresie należytego wykonywania obowiązków?

Pytanie:  Czy archiwum zakładowe stanowi zbiór danych osobowych w rozumieniu ustawy o ochronie danych osobowych? Jeżeli tak, to czy mamy obowiązek zgłosić taki zbiór danych osobowych do rejestracji do Generalnego Inspektora Ochrony Danych Osobowych? W naszej organizacji nie został powołany administrator bezpieczeństwa informacji.

Jeśli administrator danych powołał administratora bezpieczeństwa informacji i zgłosił go do GIODO nie dotyczy go obowiązek rejestracji zbiorów danych osobowych, jeśli przetwarza wyłącznie dane zwykłe. W pozostałych sytuacjach należy zarejestrować zbiory u GIODO. W pewnych sytuacjach GIODO może odmówić rejestracji zbioru. Dowiedz się kiedy i sprawdź, co wtedy zrobić.

Zanim administrator bezpieczeństwa informacji rozpocznie prowadzenie sprawdzeń musi przygotować ich plan. Jest to prosty dokument, jednak jeśli popełnisz błędy przy jego opracowywaniu, będziesz miał problem z odpowiednią realizacją obowiązku przeprowadzenia sprawdzenia zgodności przetwarzania danych osobowych z przepisami.

Pytanie:  Firma prowadzi rekrutację. W drugim etapie naboru chce przeprowadzić testy psychologiczne kandydatów do pracy. Będą się one odbywać po pisemnym wyrażeniu zgody przez kandydatów. Jak przepisy prawa odnoszą się do tej kwestii? Czy takie działanie będzie zgodne z przepisami ustawy o ochronie danych osobowych?

Administrator danych musi zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednie do zagrożeń. Sprawdź, jak zabezpieczyć obszar, w którym przetwarzane są dane osobowe. Poznaj praktyczne wskazówki, które pomogą Ci chronić dane zgodnie z ogólnym rozporządzeniem o ochronie danych.