Wspólne kontrole PIP i GIODO

in Dokumenty w firmie, Zarządzanie 29 listopada 2013

Efektem porozumienia o współpracy podpisanego przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO) i Państwowej Inspekcji Pracy (PIP) jest zwiększenie częstotliwości oraz rozszerzenie zakresu realizowanych przez te instytucje kontroli. Obie instytucje będą badać zarówno przestrzeganie przepisów kodeksu pracy, jak i poprawność przetwarzania oraz przechowywania danych osobowych. Przewiduje się, że w wyniku zawartego między instytucjami porozumienia liczba kontroli w przedsiębiorstwach sięgnie kilkudziesięciu tysięcy rocznie.

Ilość tworzonych i przetwarzanych codziennie informacji jest w dzisiejszych czasach tak duża, a sposób ich wykorzystywania tak różnorodny, że wymusza on zwiększone zapotrzebowanie na ich bezpieczne udostępnianie, efektywne przetwarzanie, przechowywanie zgodnie z określonymi prawnie okresami, lub ewentualne niszczenie wraz z upływem ustawowych okresów przechowywania (np. dokumenty podatkowe przez okres 5 lat, a dokumenty osobowe nawet przez okres 50 lat).

W efekcie takiego stanu rzeczy strategicznym wyzwaniem każdego przedsiębiorstwa staje się skuteczna, a jednocześnie zgodna z prawem kompleksowa ochrona wszelkich danych zawierających wrażliwe informacje o przedsiębiorstwie jego pracownikach i/lub klientach. Dlatego do kontroli i nadzoru nad tymi procesami konieczne staje się wdrożenie niezawodnych rozwiązań organizacyjnych i informatycznych.

Jak na taką sytuację powinni przygotować się przedsiębiorcy? Jakie działania powinni podjąć, aby uzyskać gwarancję zgodności z obowiązującymi przepisami prawa pracy oraz regulacjami dotyczącymi ochrony danych osobowych, a tym samym uniknąć ewentualnych kar?

Poniżej przedstawiamy 7 wskazówek, które pomogą w odpowiednim przygotowaniu przedsiębiorstwa do ewentualnej kontroli i uzyskaniu odpowiedniego poziomu zgodności z obowiązującym prawem.

Podstawowym działaniem zmierzającym do wprowadzenia porządku w procesie ochrony danych osobowych jest poznanie aktów prawnych regulujących tę problematykę.
Niezbędne jest opracowanie i wdrożenie dokumentacji opisującej sposób przetwarzania danych osobowych tj.

ü polityki bezpieczeństwa,

ü instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Konieczne jest również wyznaczenie osób funkcyjnych, w tym administratora bezpieczeństwa informacji (ABI) nadzorującego przestrzeganie zasad ochrony przetwarzanych danych.
Kolejnym krokiem jest upoważnienie przez administratora bezpieczeństwa informacji (ABI) osób skierowanych do przetwarzania danych osobowych oraz założenie i prowadzenie stosownej ewidencji osób upoważnionych.
Obowiązkowe wprowadzenie systemu zabezpieczeń fizycznych obiektów przedsiębiorstwa oraz dostosowanie struktury informatycznej do przetwarzania danych zgodnie z obowiązującymi regulacjami prawnymi.
Zapewnienie szkoleń dla osób zajmujących się przetwarzaniem informacji prawnie chronionych.
Dodatkowym elementem, który ułatwi dostosowanie przedsiębiorstwa do wymagań prawnych z zakresu ochrony danych wrażliwych będzie wybór doradcy merytorycznego, który wdroży normę zarządzania bezpieczeństwem informacji ISO 27001 i przygotuje przedsiębiorstwo do certyfikacji na zgodność z normą.

Możliwe jest, że z uwagi na wielkość lub wewnętrzną strukturę organizacyjną przedsiębiorstwa nie dysponują odpowiednim potencjałem lub środkami do wdrożenia wymaganych rozwiązań systemowych mających na celu zapewnienie odpowiedniego poziomu ochrony. W takiej sytuacji najlepszym rozwiązaniem jest skorzystanie w ramach outsourcingu z wiedzy i doświadczenia zaufanego partnera,

takiego jak Rhenus Data Office, który już od 12 lat oferuje gotowe rozwiązania w dziedzinie zarządzania dokumentami (informacjami), w tym: