Wdrożenie RODO w ochronie osób i mienia
RODO w branży ochrony
RODO w branży ochrony.
RODO w branży ochrony, jak i w innych branżach, stało się faktem, od dnia 25 maja 2018 r. Tego dnia weszło w życie Rozporządzenia RODO. Niestety jednak wciąż na rynku funkcjonują podmioty, które pozostają obojętne na regulacje o ochronie danych osobowych. Jest to o tyle zadziwiające, iż od profesjonalistów prowadzących koncesjonowaną działalność gospodarczą, klienci, kontrahenci skłonni są i powinni oczekiwać więcej. Tym bardziej, jeśli rzecz dotyczy tak wrażliwej kwestii, jaką jest ochrona, a w tym ochrona danych i danych osobowych. Zastanawiające jest także to, iż ww. podmioty bezkrytycznie i bezrefleksyjnie podpisują oświadczenia, w ramach prowadzonych postępowań przetargowych. Oświadczenia, w których gwarantują, iż spełniają wszystkie prawem przewidziane obowiązki w zakresie ochrony danych osobowych. W rzeczywistości jednak nie są w stanie wykazać nawet faktu prowadzenia rejestru czynności przetwarzania danych, czy rejestru kategorii czynności, nie mówiąc o stosownych upoważnieniach dla personelu do przetwarzania danych osobowych.
Jesteśmy spóźnieni, nie wdrożyliśmy RODO, od czego powinniśmy zacząć?
Wzbudzenie świadomości potrzeby posiadania wiedzy.
Należy uświadomić sobie, specyfikę branży ochrony. Przedsiębiorcy operujący na tym rynku muszą posiadać niezbędną wiedzę, także w zakresie regulacji traktujących o ochronie danych osobowych. Z tego względu, iż często w ramach wykonywania czynności służbowych będą mieli do czynienia z sytuacjami, w których to przedmiotem ochrony staną się de facto dane osobowe przetwarzane przez klientów agencji. Jeśli powodem, dla którego agencja ochrony stara się uregulować kwestie RODO w przedsiębiorstwie, jest tylko potrzeba sformalizowania procedur, informujemy iż jest to niewystarczające. Z czasem okaże się, iż wdrożone procedury nie są stosowane w praktyce. Co oznaczać będzie, iż zatrudniany personel nie tylko nie posiada wiedzy na ich temat, ale nie czuje się w obowiązku do ich respektowania.
Szkolenia wewnętrzne mogą okazać się pomocne Krótkie, aczkolwiek systematycznie powtarzane szkolenia wewnętrzne mogą być narzędziem wzbudzającym świadomość potrzeby posiadania i stosowania przepisów o ochronie danych osobowych.
Firma ochroniarska jako administrator danych osobowych.
RODO w branży ochrony skutkuje tym, iż firmy ochroniarskie przyjmować będą status administratora ochrony danych osobowych odpowiedzialnego za przetwarzanie danych w ramach przedsiębiorstwa. Bez znaczenia jest tutaj wola, czy chęć do pełnienia takiej funkcji.
Definicja Administratora Danych Osobowych „Administrator Danych Osobowych” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.
Podstawy prawne przetwarzania i zasady działania.
W procesie wdrożenia RODO w branży ochrony należy precyzyjnie poruszać się na gruncie przepisów regulujących tę dziedzinę działalności gospodarczej. Z tego względu powinni Państwo dokonać przeglądu wszystkich procesów, jakie zachodzą w państwa firmie. Dzięki temu będą Państwo w stanie przygotować dokumentację RODO. Warto jest proces tej analizy wykonać precyzyjnie, zarówno w odniesieniu do czynności i zadań realizowanych w ochronie bezpośredniej, jak i w płaszczyźnie usług zabezpieczenia technicznego.
Przepisy branżowe, których treść bezwzględnie należy znać:
- Ustawa z dnia 22 sierpnia 1997 r., o ochronie osób i mienia.
- Rozporządzenie Ministra Spraw Wewnętrznych z dnia 16 grudnia 2013 r. w sprawie dokumentowania działalności gospodarczej w zakresie usług ochrony osób i mienia.
- Rozporządzenie Rady Ministrów z dnia 19 grudnia 2013 r. w sprawie szczegółowego trybu działań pracowników ochrony.
Naturalnie nie są to wszystkie wystarczające przepisy, których znajomość pozwoli na przygotowanie dokumentacji RODO, ale są to przepisy branżowe podstawowe.
Przecież my nie przetwarzamy danych tylko chronimy.
Możemy także spotkać się ze stanowiskiem, iż agencje ochrony nie przetwarzają żadnych danych osobowych, albowiem one zobowiązane są do świadczenia usług ochrony osób i mienia. Nie wchodząc jednak w rozważania na temat tego, czym jest przetwarzanie danych, zasygnalizuję, iż takie twierdzenie jest błędne.
Agencje ochrony przetwarzaja dane osobowe chociażby:
- zatrudniając personel,
- zawierając kontrakty,
- prowadząc korespondencję,
- prowadząc rejestry zawartych umów,
- tworząc księgi realizacji umów,
- wypełniając dzienniki zmian,
- prowadząc księgi transportów wartości pieniężnych,
- i wykonując szereg innych czynności.
Firma ochroniarska nie zawsze jako ADO, czasami jako Podmiot Przetwarzający.
Definicja Podmiotu Przetwarzającego „Podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora
W ramach działalności agencja ochrony, w zależności od sytuacji, jest administratorem danych osobowych, bądź też przetwarza te dane na polecenie innego administratora. W takiej sytuacji, pomiędzy ADO a PP, dochodzi do relacji, która uzasadnia zawarcie stosownej umowy powierzenia przetwarzania danych. Przykładem, takiej sytuacji, będzie wykonywanie czynności w ramach zadania, jakim jest ustalanie uprawnień osób do przebywania na obszarach lub w obiektach chronionych.
Ustal podmioty, z którymi kooperujesz, od których pozyskujesz dane.
Warto jest dokonać przeglądu wszystkich zawartych umów w kontrahentami. Powinniście Państwo wykonać tę czynność po to, aby ustalić, czy przy realizacji konkretnego kontraktu dochodzi do zlecenia Wam przetwarzania danych osobowych, czy też stajecie się ich administratorem niezależnym. Następnie powinniście Państwo zweryfikować to, czy doszło faktycznie do zawarcia UMPO, w warunkach, kiedy jest to wymagane, czy też należy podjąć inicjatywę jej zawarcia bądź rozwiązania. Praktyka pokazuje nam, iż przedsiębiorcy w początkowej fazie obowiązywania Rozporządzenia RODO w sposób nieuzasadniony zawierali UMPO. Dodajmy w praktyce może to oznaczać podstawę do kontroli w zakresie poprawności realizacji obowiązku informacyjnego (dla przykładu).
Przegląd zawartych umów powierzenia Bezwzględnie należy zidentyfikować i przeanalizować wszystkie zawarte umowy główne pod kątem zasadności ich uzupełnienia o umowy powierzenia przetwarzania danych. Weryfikacji poddać należy także zawarte już umowy powierzenia przetwarzania danych.
Ustal podmioty, którym firma udostępnia / przekazuje posiadane dane osobowe.
W tym etapie powinni Państwo ustalić przy których zidentyfikowanych czynnością dochodzi do sytuacji, że przekazujecie Państwo posiadane dane na zewnątrz. Jest to czynność niezbędna do wykonania z uwagi na konieczność przygotowania rejestru czynności przetwarzania danych (jeśli jest wymagany w Państwa realiach) Następnie analogicznie do poprzedniego kroku, powinni Państwo przeanalizować, czy w danej sytuacji podmiot, który odbiera dane staje się ich niezależnym administratorem, czy też podmiotem przetwarzającym. Innymi słowy czy zleciliście mu przetwarzanie danych w Waszym imieniu. Odpowiednio wdrożycie potem procedurę zawarcia umowy powierzenia przetwarzania danych lub ograniczycie się do klauzul poufności.
Czas na samoocenę.
Poprawność stosowanych praktyk postępowania oraz fizyczne zabezpieczenia przetwarzanych danych.
RODO w branży ochrony wymusza na administratorze aby przede wszystkim doskonale poruszał w obszarze swojej działalności. Z tego względu powinni Państwo dokonać swego rodzaju przeglądu praktyk, jakie stosują pracownicy w związku z realizacją powierzonych im zadań. W ramach tej procedury sprawdzać będziecie Państwo np. to jak przechowywane są dokumenty, jak realizowana jest polityka związana z kluczami do pomieszczeń. Zweryfikujecie Państwo to, jak prowadzone są dokumenty pod względem merytorycznym.
Technologiczne zabezpieczenia systemów teleinformatycznych
Obecnie funkcjonowanie praktycznie każdego podmiotu gospodarczego związane jest z korzystaniem z systemu teleinformatycznego. W zależności jednak od stopnia jego złożoności zakres prac sprawdzający będzie odmienny. Jako podstawę należy przyjąć zweryfikowanie tego, kto ma dostęp do systemu. W oparciu o jakie uprawnienia jest on realizowany. Czy ustalone są i przestrzegane zasady bezpieczeństwa korzystania z systemów teleinformatycznych.
Gratulujemy, jesteś gotowy do przystąpienia do pracy nad opracowaniem niezbędnej dokumentacji RODO.
Fakt, iż wykonaliście Państwo ww. czynności świadczy o tym, iż przede wszystkim jesteście zdeterminowani. Ponadto pokazuje, iż czujecie potrzebę uregulowania zagadnienia ochrony danych osobowych w swojej agencji ochrony. Niesety to jeszcze nie koniec. W tym momencie przystępujecie do przygotowania niezbędnej dokumentacji RODO, jaka powinna obowiązywać w branży ochrony.
IOD inspektor ochrony danych w branży ochrony.
Musicie Państwo mieć świadomość tego, iż proces przygotowywania dokumentacji jest złożony. Składa się z wielu etapów i wymaga podejmowania decyzji, jak również współpracy komórek wewnątrz przedsiębiorstwa. Wyznaczając osobę odpowiedzialną za jej przygotowanie, należy uwzględnić to, iż będą to jej dodatkowe zadania. Co do zasady prawny obowiązek powołania IOD w agencjach ochrony nie będzie występował, jednak warto zastanowić się nad tym, aby wyznaczyć osobę odpowiedzialną za realizację, jego obowiązków. Taki specjalista ds. bezpieczeństwa będzie czuwał nad bieżącymi zadaniami. Można powierzyć mu także obowiązek przygotowywania dokumentacji na okoliczność wykonywania ruchów kadrowych w firmie. Można scedować na niego także obowiązek przygotowywania odpowiednich klauzul informacyjnych na potrzebę realizacji konkretnych zadań zleconych. Osoba ta może być także wyznaczona do tego, aby prowadzić korespondencję w sprawach związanych z ochroną danych w przedsiębiorstwie.
Potrzebna jest wiedza i czas Pamiętaj przygotowanie dokumentacji RODO w branży ochrony wymaga wiedzy osób ją opracowujących, współpracy pomiędzy komórkami przedsiębiorstwa i przede wszystkim czasu na wdrożenie i przeszkolenie personelu do stosowania opracowanych procedur.
Dokumentacja RODO dla agencji ochrony.
Tak jak wspomnieliśmy, zakres prac niezbędnych do wykonania jest bardzo szeroki. Przygotowywując dokumentację RODO, dla biura ochrony, firmy ochroniarskiej, należy odpowiedzialnie podejmować decyzje, czy posiadanie danego dokumentu jest czy też nie jest niezbędne.
Zestaw Dokumentacji RODO dla agencji ochrony.
- Rejestr czynności przetwarzania
- Rejestr kategorii czynności
- Procedury dla czynności przetwarzania danych osobowych
- Privacy by design i privacy by default (ochrony danych w fazie projektowania oraz domyślnej ochrony danych)
- Ocena ryzyka
- Ocena skutków dla ochrony danych (DPIA)
- Retencja danych osobowych
- Procedura praw osób, których dane dotyczą
- Procedura wyboru kontrahenta
- Instrukcja notyfikacji naruszeń danych osobowych
- Test równowagi dla uzasadnionego interesu administratora
- Klauzule informacyjne
- Kandydaci do pracy (rekrutacja) – pracownik ochrony
- Kandydaci do pracy (rekrutacja) – pracownik cywilny
- Pracownicy (zatrudnienie) – pracownik ochrony
- Klienci (umowy cywilno-prawne) – umowy koncesjonowane
- Klienci (umowy cywilno-prawne) -umowy inne niż koncesjonowane
- Działania zmierzające do zawarcia umów / ofertowanie
- Korespondencja
- Poczta internetowa (e-mail)
- Obsługa formularzy na stronach internetowych
- Marketing i przesyłanie informacji handlowej
- Monitoring wizyjny
- Wykorzystanie wizerunku
- Wykonywanie czynności słuzbowych
- Art. 14 RODO – z aneksem do umowy przenoszącym obowiązek realizacji na zlecającego
- Treści zgód
- Dostarczanie newslettera
- Marketing drogą mailową / drogą telefoniczną
- Wzory umów i upoważnień
- Umowa powierzenia danych osobowych
- Umowa o zachowaniu poufności (NDA – non-disclosure agreement)
- Tabele XLS pozwalające na organizacyjne zarządzanie systemem upoważnień
- Polityki
- Polityka prywatności
- Polityka plików Cookies
- Regulamin RODO.
Raz jeszcze sygnalizujemy powyższy wykaz ma jedynie charakter przykładowy. Jego finalna treść zależy od faktycznego zakresu prowadzonej działalności przez agencję ochrony.
Co zyskuje realnie przediębiorca z branży ochrony wdrażając i stosując RODO.
Gotowość do kontroli ze strony UODO.
Podmioty prowadzące koncesjonowaną działalność narażone są w sposób szczególny na weryfikowanie ich działalności w drodze kontroli. Kontroli, które inicjowane mogę być z urzędu bądź w związku z aktywnością podmiotów trzecich. Również w obszarze ochrony danych osobowych należy liczyć się z tym, iż takie kontrole mogą stać się faktem. Uwzględnić bowiem należy to, iż często czynności wykonywane przez pracowników ochrony są działaniami podejmowanymi w konfliktowych sytuacjach. Takie sytuacje powodować mogą poczucie niezadowolenia. Czasem nawet przekonanie o naruszeniu ochrony danych osobowych po stronie osoby, względem której były one wykonywane. Dodajmy tylko, że nawet jeśli czynności realizowane są zgodnie z przepisami prawa.
Przewagę konkurencyjną nad innymi podmiotami z branży ochroniarskiej.
Coraz większa grupa kontrahentów zwraca uwagę na to, w jaki sposób potencjalny partner podchodzi do kwestii ochrony danych osobowych. Zakładają oni przez analogię, iż w taki sam sposób traktował będzie powierzone mu do ochrony mienie. W tym i często dane osobowe kontrahenta.
Zgodność z prawem oświadczeń składanych w ramach postępowań przetargowych.
Bezwzględnie należy skrytykować działalność agencji ochrony przejawiającą się w tym, iż w ramach postępowań przetargowych składają oni niezgodne z prawdą oświadczenia. Oświadczenia, których złożenia wymaga zamawiający. W przypadku zamówienia, w następstwie, którego dochodzi do przekazania danych osobowych wykonawcy, zamawiający zobowiązany jest do dokonania wyboru uwzględniając także jego status w zakresie gwarancji, jakie daje przy wykonaniu umowy powierzenia przetwarzania danych.
Możliwość rozliczania pracowników.
Przedsiębiorca wprowadzając RODO do swojej firmy ma prawo wymagać od osób, które upoważniona do przetwarzania danych, znajomości obowiązujących procedur. Powyższe zabezpiecza ADO przed możliwością wystąpienia zdarzeń wywołanych niewiedzą zatrudnionych. ADO ma możliwość kontrolowania poprawności wykonywania pracy przez zatrudniony personel w obszarze przetwarzania danych. Ma także możliwość wyciągania konsekwencji związanych z ewentualnymi uchybieniami. Pamiętać należy, iż kontrahenci coraz śmielej w umowach powierzenia przetwarzania danych zawierają zapisy obarczające agencje ochrony karami umownymi za naruszenie ochrony bezpieczeństwa danych.
Możliwość karania pracowników za nieprawidłowe wykonywanie obowiązków.
Dokumentacja RODO - kompletna - dla agencji ochrony osób i mienia.
Dokumentacja RODO w branży ochrony. Przedmiotem sprzedaży jest kompletny zestaw dokumentów dostosowanych do specyfiki działalności branży ochroniarskiej. Wzory dokumentów opracowaliśmy tak, aby z jednej strony odpowiadała wymaganiom prawnym RODO a z drugiej, aby podnosiła jednocześnie poziom faktycznego bezpieczeństwa przetwarzania danych osobowych w Państwa agencji ochrony.
Kup Teraz - Dokumentacja RODO dla agencji ochrony.
Kliknij i przejdź do strony z zamówieniami. Jeśli masz jakiekolwiek pytania dotyczace dokumentacji RODO, jaką chcesz kupić po prostu zadzwoń do nas.
