Wdrożenie systemu ochrony danych osobowych

System ochrony danych osobowych

Głównym elementem usług oferowanych przez firmę Soczko & Partnerzy jest przygotowanie organizacji do wdrożenia systemu ochrony danych osobowych. Przygotowanie do wdrożenia rozpoczynamy od przeprowadzenia inwentaryzacji aktywów w postaci przetwarzanych danych osobowych oraz systemów przy pomocy, których są przetwarzane, a także wszelkich istniejących już zabezpieczeń. Z aktywami powiązane są podatności na zagrożenia, które również należy zidentyfikować, chyba że zostały wyeliminowane przez zastosowane zabezpieczenia, a następnie oszacować prawdopodobieństwo i wpływ materializacji ryzyk na organizację. Efektem przeprowadzanej przez nas analizy ryzyka jest mapa ryzyk oraz  plan postępowania z ryzykiem, zawierający propozycję ewentualnej modyfikacji istniejących lub implementacji odpowiednich środków informatycznych, technicznych i organizacyjnych.

Minimalna ochrona danych osobowych

Podstawowe zasady ochrony danych osobowych, konieczne do zastosowania w każdej organizacji, której działania wiążą się z dostępem do danych osobowych, choćby pracowników, współpracowników lub klientów, wynikają z przepisów u.o.d.o. oraz rt/o. Jednakże próby odnalezienia w przepisach prawa, a zwłaszcza w nowym unijnym rozporządzeniu, jednoznacznej odpowiedzi, w jaki sposób zasady ochrony danych osobowych należy wdrożyć w danej jednostce organizacyjnej, niestety skazane są na niepowodzenie. Wynika to z co najmniej trzech czynników.

Adekwatna Polityka bezpieczeństwa danych osobowych

Po pierwsze, w Ustawie o ochronie danych osobowych słusznie zapisano, że administrator danych jest obowiązany zastosować środki techniczne i organizacyjne, zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Zatem, aby odpowiednio przygotować organizację do spełnienia wymogów u.o.d.o., należy przeprowadzić swoistą analizę ryzyka. Po drugie, od wielkości organizacji i skomplikowania procesów przetwarzania danych osobowych będzie zależał zakres i złożoność tej analizy, a następnie wachlarz zastosowanych zabezpieczeń. Wreszcie po trzecie, poziom dojrzałości różnych organizacji w dziedzinie bezpieczeństwa informacji może być też bardzo różny – w małych firmach Polityka Ochrony Danych Osobowych (PBDO), spełniająca wymagania rt/o nt. polityki bezpieczeństwa, będzie jedynym tego typu dokumentem, natomiast w dużych przedsiębiorstwach bądź urzędach, PBDO będzie tylko elementem skomplikowanego Systemu Zarządzania Bezpieczeństwem Informacji (SZBI).

Firma Soczko & Partnerzy dzięki wieloletniemu doświadczeniu we wdrażaniu zasad ochrony danych osobowych w organizacjach o różnej wielkości i różnym stopniu zaangażowania w przetwarzanie danych osobowych, wypracowała standardy zabezpieczeń organizacyjnych i rekomendacji klas zabezpieczeń technicznych, które pomagają co najmniej wypełnić wymogi przepisów prawa, jak również włączyć te zasady w ramy SZBI.