Analiza wzoru polityki bezpieczeństwa

Koleżanka, która zarządza swoimi przedsiębiorstwem,  podesłała ostatnio mi do wglądu swój wzór polityki bezpieczeństwa danych osobowych. W mailu napisała mi, że obowiązek posiadania polityki bezpieczeństwa wynika z rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 2004 r. Postanowiłam zagłębić temat, bo nie jestem biegla w sprawach związanych z prawem.

giodoDokumentacja, o której mowa, jest niezbędna do przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne funkcjonujące do przetwarzania danych osobowych. To mówią przepisy państwowe, nad którymi nadzór ma Główny Inspektorat Ochrony Danych Osobowych.

Polityka bezpieczeństwa określa sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną.

Na niezbędną dokumentację polityki bezpieczeństwa składa się również instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Takie informacje udało mi si znaleźć w internecie. Jeśli będę miał jakiś problem z tym zagadnieniem, zwrócę się z zapytaniem do prawnika, który zna się na ochronie danych osobowych.

Advertisements

Pierwszy krok we własny biznes

Jestem młodą właścicielką sklepu internetowego z damską odzieżą. W zasadzie, to dpiero zaczynam moją przygodę ze światem biznesu. Wszystko jest jeszcze dla mnie nowe – co jest jednocześnie niezwykle ekscytujące i dosyć kłopotliwe. Kilka miesięcy temu dopiero skończyłam studia na uniwersytecie i takie kwestie jak polityka bezpieczeństwa informacji nastręczają mi wielu problemów.

giodoTeraz przyszedł czas na realizację moich marzeń. W końcu usamodzielniłam się i jestem niezależna finansowo, ponieważ rozpoczynam prowadzenie własnego sklepu internetowego. W pewnych dziedzinach związanych z e-commerce czuję się dobrze, w innych trochę słabiej, bo nie mam dużego doświadczenia zawodowego.

Na szczęście mogę liczyć na przyjaciół, z którymi będę prowadziła sklep. Każdy jest odpowiedzialny za coś innego. Mi przypadły kwestie związane z promocją firmy. Mam doświadczenie, ponieważ w trakcie studiów współpracowałam ze znaną siecią restauracji, dla których prowadziłam fanpage’a, bloga i plenerowe akcje promocyjne oraz projektowałam plakaty.

Zostałam wyróżniona w jednym z konkursów za najlepszy logotyp polskich restauracji. W kupie siła, zatem damy radę, bo mamy eksperta w dziedzinie prawa, sprzedaży, logistyki oraz promocji. Nie chcę pracować dla kogoś. Mam swoją firmę i dzięki temu sama ustalam godziny pracy.

Zawsze chciałam być dla siebie sterem, żeglarzem i okrętem. Nie wyobrażam sobie wstawać o 6 rano i jechać do czyjejś firmy, żeby pracować dla niego jak niewolnik.

Znalazłam swoją życiową drogę i jestem z tego zadowolona. Mam przeczucie, że mimo konieczności wzięcia na siebie odpowiedzialności za funkcjonowanie całej firmy, sprawdzę się w roli pani prezes, która z głową pokieruje przedsiębiorstwem.

Jestem ambitna i sprawiedliwa, ponadto potrafię pracować w zespole i być jego liderem, zatem podołam temu wyzwaniu.

Era danych osobowych

Osobowe dane są istotną kwestią dla tych, którzy rozkręcają swój e-biznes. Od tego roku ta kwestia dotyczy również mnie. Mam świadomość, że muszę zadbać o sprawy związane z bazami danych, które stały się wyjątkowo popularne w ostatnim czasie.

dane osoboweW dobie internetu bez tego narzędzia ani rusz. Rezygnujemy z tradycyjnej poczty na rzecz e-maila. Na naszą pocztę elektroniczną trafiają reklamy newslettery i wszelkie informacje dotyczące zakupów produktów w danym e-sklepie.

Nie możemy bezkarnie korzystać z dowolnych adresów e-mail. Uprzednio musimy zarejestrować bazę danych, którą posiadamy.

Gdzie to zrobić? Generalny Inspektor Ochrony Danych Osobowych zajmie się rejestracją bazy naszych potencjalnych klientów. Żeby nie mieć problemów prawnych, musimy dostosować się do prostych wymogów GIODO: zgłoś bazę danych, którą posiadasz i przetwarzasz.

Przecież rejestracja to nie jest żadna wielka filozofia. Jednorazowa aktywność da nam pewność, że baza danych, z której korzystamy jest w pełni legalna. Ja już to zrobiłem, jeśli inni właściciele sklepów internetowych zapomnieli o zgłoszeniu w GIODO to szczerze do tego namawiam.

Handlowcu, nie bądź na bakier z prawem

Czy jako właściciel sklepu internetowego chcesz pozbyć się problemów z wypełnieniem obowiązków związanych z danymi osobowymi, które narzuca prawo? Nie chcesz narazić się na wysoką karę finansową ze względu na brak potrzebnej dokumentacji?

giodoJeśli nie wiesz, czym jest instrukcja zarządzania systemem informatycznym możesz otrzymać karę, która spowodujesz, że Twój sklep internetowy zbankrutuje.

Jak powszechnie wiadomo: nieznajomość prawa szkodzi. Działalność organizacji prokonsumenckich zwróciła uwagę wielu właścicieli sklepów internetowych na konieczność posiadania zgodnego z prawem regulaminu oraz wspomnianej instrukcji.

Nieustannie wielu sprzedawców zapomina, że nie wyczerpuje to obowiązków po stronie przedsiębiorcy internetowego i wymagana jest także: rejestracja zbiorów danych w GIODO, opublikowanie polityki prywatności i posiadanie polityki bezpieczeństwa danych osobowych.

Każdy e-handlowiec musi zadbać o kwestie prawne, ponieważ bycie na bakier z prawem powoduje tylko komplikacje, a w konsekwencji straty finansowe, a nawet zamknięcie sklepu internetowego.

Rejestrujemy bazę danych

Wiem, że należy rejestrować zbiór danych osobowych. Jednak to nie wszystko – są jeszcze dokumenty które trzeba złożyć. Instrukcja zarządzania systemem informatycznym i polityka bezpieczeństwa danych osobowych jest niezbędna do dokonania rejestracji. Jednak do końca nie wiem, w jaki sposób przygotować się do rejestracji, a następnie jej dokonać?

dane osobowePrzejrzałem kilka stron internetowych, żeby odpowiedzieć na to pytanie. Firmy, które rozpoczynają swoją działalność w Polsce narzekają na kwestie związane z rozpoczęciem swojej działalności. Istnieje konieczność zgłoszenia zbiorów danych osobowych do Generalnego Inspektora Ochrony Danych Osobowych, czyli GIODO od 1997 roku.

Firmy mogą rozpocząć przetwarzanie danych osobowych zawartych w zbiorze danych dopiero po zgłoszeniu go do GIODO. Natomiast jeśli firma ma zamiar przetwarzać tzw. dane wrażliwe to, żeby robić to zgodnie z prawem, musi zaczekać aż zgłoszony zbiór zostanie zarejestrowany, co trwa do kilku tygodni do kilku miesięcy. Na stronach ministerstwa można znaleźć jakiś wzór polityki bezpieczeństwa, ale oddzielną kwestią jest, jak go wypełnić.

Po wypełnieniu odpowiedniego wniosku trzeba wysłać go do GIODO. Co do zasady należy zrobić to w sposób tradycyjny. Jeśli przedsiębiorca posiada podpis elektroniczny, może to również uczynić przez internet. Wymówka: zapomniałem zarejestrować bazę danych, będzie za słaba dla sądu.

Bezpieczna polityka

Przeczytałem w weekend artykuł w prasie opiniotwórczej na temat polityki bezpieczeństwa danych osobowych. Nigdy wcześniej nie przypuszczałem, że to zagadnienie jest tak istotne w życiu każdego z nas bez względu na wiek czy wykonywaną profesję.

polityka bezpieczeństwa danychosobowychPolityka bezpieczeństwa wiąże się oczywiście z urzędem GIODO. Najważniejsza informacja dotyczy tego, że należy zarejestrować tam bazę danych, którą przetwarzamy, czyli chociażby posiadamy, wykorzystujemy w celach marketingowych itp. To bardzo ważny urząd szczególnie dla przedsiębiorców, którzy rozpoczynają swoją działalność i zależy im na promocji marki. Takie osoby często wysyłają oferty handlowe do potencjalnych klientów. Na stronie rządowej można przeczytać porady i wskazówki dotyczące tego zagadnienia dotyczącego sposobu przetwarzania danych osobowych oraz środków ich ochrony określonych w rozporządzeniu ministra.

Kwestia dotyczy dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Polecam wszystkim, którzy korzystają z baz danych, zapoznanie się ze szczegółami polityki bezpieczeństwa, bo jak powszechnie wiadomo: nieznajomość prawa szkodzi.

Interesuje mnie temat danych osobowych

Spośród generalnych inspektorów znam GIODO, GIIF, GIKS, GINB. Najbardziej interesuje mnie, czym dokładnie zajmuje się GIODO. Zapytałem o to znajomego, który niemal codziennie czyta prasę specjalistyczną. 

polityka bezpieczeństwa wzórTen urząd staje się coraz bardziej popularny, ponieważ sprzedawcy internetowi muszą zgłaszać bazy danych, którymi dysponują. Muszą oni również zgłaszać takie dokumenty jak instrukcja zarządzania lub polityka bezpieczeństwa  – wzór według którego mają te teksty być napisane również jest w pewnym zakresie zakreślony przez prawo.  

Coraz więcej firm przetwarza dane osobowe w celach marketingowych. Okazuje się bowiem, że prawie każdy adres e-mail jest zdaniem Generalnego Inspektora Ochrony Danych Osobowych daną osobową, która podlega ochronie.

Obecnie coraz więcej firm oferuje swoim klientom doradztwo w dziedzinie przetwarzania danych osobowych. Zachęcają klientów do kontaktu mailowego i telefonicznego z ekspertem. Dzieje się tak dlatego, że na rynku panuje coraz większa konkurencja i przedsiębiorcy zlecają kontakt mailowy z klientem. Jednak muszą pamiętać o konieczności zarejestrowania każdej bazy mailingowej, z której korzystają.

Wysyłanie maili do potencjalnych klientów nie wygląda na wykroczenie, jednak w świetle prawa takie działanie nie jest bezkarne. Od wejścia w życie ustawy o ochronie danych osobowych z 1997 roku, firmy zaczęły oferować swoim klientom rozwiązania hostingowe, które w realizują narzucone ustawą wymagania właściwego zabezpieczenia danych osobowych. Tak się robi interesy!