Przeszkolić personel

Pracownicy, którzy są fundamentem każdej firmy, najczęściej są najsłabszym ogniwem systemu ochrony danych osobowych. Nieprzeszkolony pracownik popełnia wiele błędów, ponieważ często nie zdaje sobie sprawy z konsekwencji swojego postępowania. Dlatego na barkach szefa informatyki spoczywa ryzyko wyboru osoby odpowiedzialnej za przeszkolenie personelu, który ma dostęp do danych osobowych. Trener musi wykazywać się dobrą znajomością zagadnień związanych z ODO i uczestniczyć w procesie tworzenia wewnętrznych instrukcji i procedur. Zgodnie z ustawą o ochronie danych osobowych, do obsługi systemu informatycznego oraz urządzeń wchodzących w jego skład, służących do przetwarzania danych, mogą być dopuszczone wyłącznie osoby mające upoważnienie wydane przez administratora danych. Osoby, które odbyły szkolenie, powinny poświadczyć ten fakt podpisem na protokole szkoleniowym. Przed dopuszczeniem do wykonywania zadań związanych z przetwarzaniem danych winny uzyskać pisemną zgodę od ADO, który nadaje indywidualne uprawnienia.

Zakres szkolenia powinien obejmować m.in. przedstawienie i wyjaśnienie podstawowych pojęć i definicji zawartych w ustawie i przepisach wykonawczych. Należy wskazać na sankcje, jakie grożą osobom dopuszczającym się nieuprawnionego udostępniania danych chronionych. Dobrze opracowany program szkolenia obejmuje zagadnienia polityki bezpieczeństwa, w tym celowość okresowej zmiany haseł, zasady korzystania z Internetu, poczty elektronicznej czy sposoby niszczenia dokumentów. Szkoleniem należy objąć wszystkich pracowników, którzy mają dostęp do danych osobowych. Proces szkolenia jest kluczowym czynnikiem zapewniającym bezpieczeństwo i dającym gwarancję prawidłowego podejścia pracowników do ochrony danych osobowych.

Zobacz również:

• App Store zniknie z Chin?
• Dzięki tej umowie polska policja zyska wiedzę i narzędzia zapobiegające cyfrowym zagrożeniom
• Rząd Ghany pracuje nad regulacjami dotyczącymi AI

Zasady prowadzenia audytów wewnętrznych

Planując kontrolę wewnętrzną, należy określić aktualny stan bezpieczeństwa danych osobowych w firmie. Postępowanie kontrolne ma na celu zidentyfikowanie ewentualnych nieprawidłowości.

W zależności od wybranego schematu prowadzania audytów, możemy je podzielić na okresowy audyt komórek organizacyjnych oraz roczną ocenę stanu funkcjonowania systemu ochrony danych osobowych. Kontrolę aktualnego stanu mogą przeprowadzać osoby upoważnione w dokumencie "Polityka bezpieczeństwa ODO". Kontroli podlegają wszystkie systemy informatyczne przetwarzające dane osobowe, zabezpieczenia fizyczne i stan przestrzegania przepisów przez pracowników firmy. Do zadań ABI należy opracowanie planu kontroli z uwzględnieniem zakresu oraz niezbędnych zasobów technicznych, osobowych i czasu. Dobrze przeprowadzona kontrola obejmuje sprawdzenie bazy sprzętowej, systemów operacyjnych, aplikacji oraz przestrzegania przez pracowników obowiązujących zasad polityki bezpieczeństwa. Dobrze jest wcześniej przygotowanie listę kontrolną "Audyt ODO", która powinna zawierać szczegółowe pytania. Warto umieścić na niej dodatkowe pola, które ułatwią sprawdzenie przestrzegania wymogów w danym obszarze. Ułatwi to podsumowanie wyników kontroli.