Mała firma przetwarza dane w kilku miejscach jednocześnie: w skrzynce e-mail, systemie do faktur, plikach na komputerze i w papierowych dokumentach. Wystarczy jeden błąd, np. źle zaadresowana wiadomość, dostęp byłego pracownika, niezaszyfrowany laptop, żeby doszło do naruszenia. Dlatego ochrona danych osobowych w firmie powinna opierać się na prostych filarach: porządku w danych, kontroli dostępu oraz procedurach reakcji. Dzięki temu spełniasz wymagania RODO.
Ochrona danych osobowych – od czego zacząć?
Na początek zrób listę:
- skąd dane trafiają do firmy, np. formularz, e-mail, umowa, telefon;
- gdzie je przechowujesz, np. poczta, dysk, segregator, system faktur,
- kto je widzi.
Usuń zbędne pola w formularzach i nie kopiuj dokumentów, jeśli nie jest to konieczne. Każdemu celowi przypisz podstawę przetwarzania, m.in. realizację umowy, obowiązek prawny, uzasadniony interes albo zgodę. Zgoda sprawdza się wtedy, gdy można ją wycofać bez utrudnień.
Dołącz klauzulę informacyjną, która zawiera informacje tj.
- kto jest administratorem?
- w jakim celu?
- jak długo przetwarza dane?
- komu je ujawnia lub powierza?
- jakie prawa ma osoba?
- jak się z Tobą skontaktować?
Warto też spisać rejestr czynności przetwarzania, czyli proces, kategorie danych, odbiorców, terminy usuwania i zastosowane zabezpieczenia.
Jak zabezpieczyć dostęp i komunikację?
Nadaj upoważnienia wyłącznie tym, którzy pracują na danych. Wprowadź zasadę minimalnego dostępu: handlowiec nie potrzebuje danych kadrowych, a księgowość nie musi mieć pełnej korespondencji z klientem. Zadbaj o “wejście i wyjście” pracownika: nowe konto twórz dopiero po szkoleniu, a po zakończeniu współpracy blokuj dostęp i zmieniaj hasła współdzielone. Dokumenty papierowe trzymaj w zamkniętej szafie, wydruki odbieraj od razu, a zbędne kopie niszcz w niszczarce.
W komunikacji ustal standard: przy wielu odbiorcach używaj UDW, a pliki z danymi zabezpieczaj hasłem przekazywanym innym kanałem. W rozmowach telefonicznych stosuj weryfikację po ustalonym haśle lub danym kontrolnym. Włącz logowanie dwuetapowe do poczty i systemów, korzystaj z menedżera haseł, szyfruj laptopy, ustaw blokadę ekranu i rób kopie zapasowe z testem odtwarzania.
Warto też raz na kwartał zrobić krótki przegląd: sprawdzić aktywne konta, uprawnienia, kopie zapasowe, aktualizacje programów i sposób przechowywania dokumentów. Taki przegląd nie zajmuje dużo czasu, a pozwala wychwycić błędy, które pojawiają się w codziennej pracy. Dobrze też zapisać, kto odpowiada za każdy obszar, aby w razie problemu nie tracić czasu na ustalanie odpowiedzialności. To prosty nawyk, który wzmacnia bezpieczeństwo danych w firmie i pomaga utrzymać zgodność z przyjętymi procedurami także wtedy, gdy zespół się zmienia.
Co zrobić, gdy dojdzie do naruszenia danych osobowych?
Jeśli korzystasz z hostingu, chmury, CRM, firmy IT czy biura rachunkowego, dopilnuj umów powierzenia i zakresu dostępu. Sprawdź, czy dostawca ma wsparcie przy naruszeniu danych osobowych i jak szybko zgłasza problemy. Ustal, jak długo przechowujesz dane: dokumenty księgowe zgodnie z przepisami, a pozostałe usuwaj po zakończeniu współpracy.
Dla ochrony danych osobowych przygotuj procedurę na wypadek naruszenia:
- kto podejmuje decyzje?
- jak zabezpieczyć konto?
- jak ocenić ryzyko?
- kiedy zgłosić sprawę do organu?
Dodaj listę kontaktów awaryjnych i szablon komunikatu do klienta. Na stronie internetowej dopilnuj, żeby formularze zbierały tylko niezbędne dane, a informacje o plikach cookie były spójne z tym, co działa na stronie.
Jeśli szukasz fachowej pomocy z dziedziny księgowości, zapraszamy: https://sygnum.pl/
