Pobierz
najnowszy numer

Newsletter

Zapisz się do naszego Newslettera, aby otrzymywać informacje o nowościach z branży!

Jesteś tutaj

RODO w branży ochrony

Printer Friendly and PDF

25 maja 2018 roku wchodzi w życie Rozporządzenie o Ochronie Danych Osobowych (RODO), czyli kompleksowa regulacja na poziomie unijnym, która dotyczy ochrony danych osobowych. Już od dawna jesteśmy informowani o konieczności uwzględnienia nowych wymogów. Wiele osób zastanawia się, czy jest już za późno na przygotowanie się na zmiany. Moim zdaniem nie, mimo iż w mediach już od prawie pół roku ogłasza się, że to już ostatnia chwila i straszy się wielomilionowymi karami.

Biorąc pod uwagę to, że przedsiębiorcy z branży ochrony (jak z każdej innej) są nagabywani przez rozmaite podmioty gospodarcze oferujące jedyną słuszną (i dość kosztowną) opcję wdrożenia zmian, pewnie zaczynasz się zastanawiać, czy dotyczy to również Twojego przedsiębiorstwa. Czy coś mi w ogóle grozi? A może wszyscy wokół to naciągacze i nie muszę nic robić i niczym się przejmować? Takie pytania narzucają się same.

Czy w ochronie osób i mienia w ogóle przetwarza się jakiekolwiek dane osobowe? Tak, dane osobowe w agencji ochrony są przetwarzane cały czas, niezależnie od tego, czy Twoje przedsiębiorstwo świadczy usługi z zakresu ochrony bezpośredniej czy z zakresu zabezpieczenia technicznego. Podam kilka przykładów. Pracownicy ochrony na posterunkach w biurowcu mają obowiązek legitymować wchodzących interesantów. Zażądał tego klient w umowie. Spisują imię, nazwisko, adres, serię i numer dowodu osobistego. Co robią? Przetwarzają dane osobowe. Agencja ochrony monitoruje bezpieczeństwo obiektu za pomocą kilku kamer znajdujących się w kluczowych miejscach. Nagrywa wszystkich wchodzących, rejestruje ich wizerunki i, co więcej, przechowuje nagrania przez minimum trzy miesiące. Co robi? Przetwarza dane osobowe. Przedsiębiorca zatrudnia kilkunastu pracowników ochrony rozmieszczonych w kilku obiektach. Aby zawrzeć z nimi umowy, ubezpieczyć ich w ZUS-ie i odprowadzić za nich podatki, wymaga podania niezbędnych informacji w kwestionariuszu osobowym. Musi, ma prawny obowiązek, ale co w ten sposób robi? Przetwarza dane osobowe.

Tak więc, zajmując się ochroną, przetwarzasz dane osobowe – niezależnie od rodzaju świadczonych usług. Musisz zatem chronić te dane przed osobami nieuprawnionymi, przed ich wyciekiem. Temu właśnie ma służyć RODO.

Przejdźmy do kolejnej istotnej kwestii. Czy należy obawiać się milionowych kar? Teoretycznie tak. Kary są określone w rozporządzeniu i są wysokie, jednak przepisy, które o nich mówią, określają stawki maksymalne, a nie są w nich podane stawki minimalne. Oznacza to, że kara najprawdopodobniej będzie znacznie niższa niż podana – uzależniona od stopnia winy i wielu innych czynników.

Warto dodać, że niedawno rozmawiałem z inspektorem zajmującym się GIODO i dowiedziałem się, że obecnie na całą Polskę, czyli na 38 milionów obywateli, przypada osiemnastu takich inspektorów...

Czy RODO dotyczy branży ochrony? Tak, dotyczy. Czy musisz wprowadzić zmiany, aby uzyskać zgodność ze standardami wskazanymi w RODO? Tak, powinieneś. Czy już 26 maja do Twoich drzwi zapuka inspektor i zapłacisz w związku z tym milionową karę? Jest to prawdopodobne, ale tak samo jak to, że wygrasz w totka lub trafi Cię piorun. Nie wpadaj zatem w panikę i po prostu zastanów się nad dotychczasowym poziomem ochrony danych osobowych w swoim przedsiębiorstwie. Zastanów się, co powinieneś poprawić. RODO nie daje gotowych rozwiązań – nie określa, co musisz zrobić, aby się dostosować. Określono w nim prawa, obowiązki i sankcje, ale wszystkie poziomy zabezpieczeń i możliwą dokumentację musisz dobrać sam. Jest to podejście oparte na ryzyku. W poradniku chcę wskazać niezbędne moim zdaniem minimum, o którym warto pomyśleć w agencji ochrony.

Najpierw zastanów się, jakiego rodzaju dane osobowe przetwarzasz w ramach działalności swojego przedsiębiorstwa i w jakim celu to robisz. Z mojego dotychczasowego doświadczenia wynika, że najczęściej przetwarza się następujące dane osobowe:

  • dane własnych pracowników i zleceniobiorców (na potrzeby zatrudnienia),
  • dane kontrahenta i jego pracowników (w celu realizacji umowy),
  • dane osób legitymowanych przez ochronę fizyczną (w celu realizacji umowy oraz zapewnienia bezpieczeństwa w chronionym obiekcie),
  • dane w postaci wizerunku danej osoby utrwalone na nagraniach z systemu nadzoru wizyjnego (w celu realizacji umowy oraz zapewnienia bezpieczeństwa w monitorowanym obiekcie).

Zbieranie tych danych jest konieczne. Jeśli nie dysponujesz danymi pracowników i zleceniobiorców, nie możesz ich zarejestrować w ZUS-ie, NFZ-cie i US-ie. Jeśli brak Ci danych pracowników klienta, możesz mieć problemy z kontaktowaniem się z nimi. Z kolei legitymowanie osób wchodzących do obiektu bądź zastosowanie kamer i przechowywanie nagrań przez wiele miesięcy jest częstym wymogiem zawartym w umowie, wymaganiem klienta mającym na celu zapewnienie określonego poziomu bezpieczeństwa. Jeśli się nie zgodzisz, to w zasadzie możesz pakować manatki.

Zastanów się, kto ma dostęp do danych osobowych. W ten sposób ograniczysz do niezbędnego minimum liczbę osób lub podmiotów, które go mają, i uniemożliwisz dostęp tym spośród nich, które go nie potrzebują do wykonywania swoich obowiązków.

Zweryfikuj także sposób przechowywania danych osobowych w swoim przedsiębiorstwie. Trzymasz je na zewnętrznym serwerze czy w pomieszczeniu serwerowym gdzieś na zapleczu? A może wystarcza Ci jeden komputer? Jak zabezpieczasz dostęp do komputerów? Jeśli gromadzisz dokumenty w formie papierowej, to czy przechowujesz dane w szafie zamykanej na klucz, w szafie pancernej lub sejfie? Zastanów się nad sposobem przechowywania tych danych. Możesz usprawnić wiele rzeczy, zwłaszcza jeśli dotychczas nie przywiązywałeś wagi do szczegółów.

Zastanów się nad ewentualnym powołaniem inspektora ochrony danych. Będzie on pełnił podobne funkcje jak dotychczasowi administratorzy bezpieczeństwa informacji, ale nie znaczy to, że wszyscy tacy administratorzy staną się automatycznie inspektorami. Inspektor powinien posiadać odpowiednie kwalifikacje zawodowe, ale także wiedzę praktyczną. Może być zatrudniony w firmie albo działać w ramach outsourcingu na podstawie umowy o świadczenie usług. W przypadku działalności w branży ochrony osób i mienia z reguły nie ma obowiązku powoływania inspektora, jednak większe firmy powinny go zatrudniać nie tylko ze względu na przepisy. W końcu wraz z rozwojem przedsiębiorstwa prędzej czy później może pojawić się jakiś problem z ochroną danych osobowych.

Kiedy już przeanalizujesz wszystko, co zostało wyżej zasygnalizowane, pora pomyśleć o formalnościach, czyli o niezbędnej dokumentacji. Na początek przygotuj w formie dokumentu politykę bezpieczeństwa, czyli wewnętrzne zasady przetwarzania oraz ochrony danych osobowych. W takim dokumencie powinny być przedstawione m.in. informacje o tym, gdzie i w jaki sposób przechowywane są dane, zasady przesyłania danych osobowych i sposoby zabezpieczania danych (wymóg stosowania loginów i haseł, konieczność zabezpieczania danych przesyłanych elektronicznie, zasady instalowania oprogramowania na komputerach, wymóg zastosowania programów zabezpieczających i ich aktualizacji, zasady dotyczące podłączania urządzeń zewnętrznych, zasady przechowywania dokumentacji papierowej). Należy pamiętać o tym, że że polityka bezpieczeństwa nie może być opublikowana na stronie internetowej! Nie pomyl jej z polityką prywatności. Opis zasad bezpieczeństwa w formie dokumentu firmowego musi być dostępny wyłącznie dla pracowników, tzn. tylko dla osób z wewnątrz.

Kolejnym koniecznym dokumentem jest umowa dotycząca powierzenia danych osobowych. Jeśli na przykład trzymasz dane firmowe na serwerach firmy hostingowej, powinieneś jako administrator danych osobowych zawrzeć z tym podmiotem umowę, która określi zasady powierzania danych osobowych, same kategorie powierzanych danych, cel ich powierzania, a także zasady ich ochrony. Podobne umowy zawrzyj ze wszystkimi swoimi podwykonawcami.

Umowy dotyczące powierzenia danych osobowych powinieneś zawrzeć także ze wszystkimi kontrahentami, dla których wykonujesz usługi ochrony fizycznej bądź monitorowania. Zapewne część klientów przekazała Ci już do podpisania swoje wzory umów. Bardzo dobrze – masz jedną sprawę z głowy. Gorsze jest to, że ze wszystkimi pozostałymi musisz zawrzeć podobne umowy.

Przyjmij od swoich pracowników i zleceniobiorców oświadczenia dotyczące przetwarzania danych osobowych. Musisz ich pisemnie poinformować o tym, jakie ich dane osobowe przetwarzasz, w jakim celu i przez jaki okres, a także o wszelkich przysługujących im prawach związanych z przetwarzaniem danych osobowych. Osobnym oświadczeniem, które należy przyjąć, powinno być oświadczenie o zapoznaniu się z zasadami bezpieczeństwa – wszak pracownik musi mieć świadomość, że i on ma pewne obowiązki związane z wykorzystywaniem cudzych danych osobowych w swojej pracy.

Rekomenduję prowadzenie rejestru czynności związanych z przetwarzaniem danych. Nie jest on obowiązkowy w przypadku przedsiębiorców zatrudniających mniej niż 250 osób, chyba że przetwarzanie może naruszać prawa osób, których dane dotyczą, obejmuje szczególne kategorie danych lub dane dotyczące wyroków skazujących, lub nie ma charakteru sporadycznego. Moim zdaniem będziesz musiał rejestrować co najmniej czynności związane z przetwarzaniem danych zatrudnianych przez siebie osób, niezależnie od liczby osób zatrudnionych.

Reasumując, powinieneś zadbać o:

  • politykę bezpieczeństwa,
  • umowy dotyczące powierzenia danych osobowych,
  • oświadczenie o prawach pracownika wynikających z RODO,
  • oświadczenie o zachowaniu poufności,
  • rejestr czynności związanych z przetwarzaniem danych.

Potrzebnych w związku z wejściem w życie RODO dokumentów może być znacznie więcej. Zależy to od zasad obowiązujących w przedsiębiorstwie. Nic nie stoi na przeszkodzie, abyś był lepiej przygotowany. Jeśli chcesz osiągnąć przynajmniej niezbędne minimum, to postaraj się skorzystać z podanych przeze mnie wskazówek.

Oczywiście ten poradnik nie wyczerpuje tematu. Unikam zamieszczania w nim skomplikowanych definicji ustawowych czy szczegółowych wyjaśnień. O tym możesz przeczytać w wielu publikacjach dostępnych w Internecie. Wolałem zwrócić uwagę na konkrety. Mam nadzieję, że moje porady będą pomocne.

Cezary Młotek
radca prawny
expert PZPO

Opracowanie: Redakcja

Zabezpieczenia 3/2018

Wszelkie prawa zastrzeżone. Kopiowanie tekstów bez zgody redakcji zabronione / Zasady użytkowania strony