Plan ciągłości działania.

Plan ciągłości działania (BCP – Business Continuity Plan), powinien zostać wprowadzony u każdego administratora, któremu zależy na ciągłości działania firmy. Pozwala sprawnie i szybko reagować na sytuacje kryzysowe (typu: katastrofa naturalna, awaria infrastruktury, cyberatak – sytuacje mające najbardziej destrukcyjny wpływ na naszą firmę).

Przy BCP trzeba wziąć pod uwagę kluczowe procesy dla firmy oraz przewidywalność możliwych zagrożeń, przy jego opracowywaniu powinno brać udział jak najwięcej osób zajmującymi się danymi procesami. Z doświadczenia zauważmy, że firmy które tego nie wprowadziły i nie aktualizują kluczowych procesów nie są świadome zagrożeń oraz ich nie kontrolują, jedynie częściowo biorą je pod uwagę przy analizie ryzyka. Prowadzi to niestety do tego, że podczas awarii serwera lub awarii prądu ciągłość pracy i działania jest zaburzona (w niektórych branżach może się to skończyć niedotrzymaniem umów na usługę, stratami obsługiwanych klientów, a nawet utratą reputacji). Często awarie dysków serwera, gdy w firmie nie są wykonywane cykliczne kopie zewnetrzne, może doprowadzić również do naruszeń danych osobowych, które w danej firmie są przetwarzane (wystąpić może brak zapewnienia ciągłości przetwarzania danych osobowych w systemach informatycznych).

Dobrze stworzony plan musi być rzetelnie przygotowany, oczywiście nigdy nie będziemy gotowi na wszystkie okoliczności w 100% ale mimo wszystko straty będą mniej dotkliwe bądź uda nam się i naszym klientom ich nie odczuć. Przy BCP musimy oceniać zatem kluczowe procesy i obszary dla naszej organizacji. Warto wprowadzić cykliczne testy pozwalające sprawdzić nasz plan ciągłości działania i procedury. Zaznaczyć należy, że nie może być to raz stworzony dokument odłożony na półkę ale musimy do niego powracać oraz aktualizować przy różnych zmianach procesów i obszarów, aby zawsze był jak najbardziej aktualny i dostosowany do warunków. W procedurze powinien być zawarty również krok po kroku plan przywrócenia lub odzyskania danych. Wtedy będzie wiadomo, kto w krytycznej sytuacji jest odpowiedzialny za zaplanowane akcje, najczęściej będzie to ASI (Administrator Systemu Informatycznego) ale równie dobrze może być to informatyk z firmy zewnętrznej (z którą mamy podpisaną umowę powierzenia na usługę IT lub usługę serwisową). Ważne żeby pracownicy, kierownicy i sam ADO wiedział, co należy zrobić aby w jak najszybszym czasie przywrócić normalne funkcjonowanie firmy.

Jeżeli zastanawiasz się nad opracowaniem i wprowadzeniem Planu ciągłości działania w swojej firmie lub chcesz zminimalizować przyszłe krytyczne ryzyko to zapraszamy do kontaktu z naszymi specjalistami pomoc@rodo-online.eu, tel. +48 885 206 000, +48 885 960 500.

Mierzenie temperatury pracowników i osób trzecich przebywających na terenie firmy.

Zaczął się już ósmy miesiąc pandemii COVID-19 w Polsce, niestety nie widać jeszcze jej końca.  Gospodarka działa w trybie ograniczonym z zachowaniem sanitarnego rygoru, dlatego też wielu przedsiębiorców wprowadziło lub zamierza wprowadzić środki bezpieczeństwa w postaci mierzenia temperatury pracowników oraz ewentualnie innych osób pojawiających się w zakładzie pracy (klientów, dostawców). Biorąc pod uwagę, że jednym z podstawowych objawów zakażenia koronawirusem jest gorączka, wydaje się, że mierzenie temperatury jest oczywistą metodą służącą zapewnieniu bezpiecznych warunków pracy i zapobieganiu zakażeniom.

Niestety prowadzone dotychczas regulacje prawne, wydane wytyczne i stanowiska są po prostu sprzeczne.  Stan prawnej niepewności istotnie zwiększa ryzyko prowadzenia działalności gospodarczej, jak również potencjalne zagrożenie dla ochrony praw i wolności osób, których dane dotyczą. Co więcej, wytyczne GIS wskazują, że temperatura może być mierzona pracownikom za ich zgodą, podczas gdy PUODO uważa, że zgoda nie może stanowić podstawy przetwarzania danych osobowych w tym przypadku. 

Wytyczne dla zakładów produkcyjnych, które pojawiły się jakiś czas temu na stronie GIS oraz na stronie Ministerstwa Rozwoju, jednak dość szybko zniknęły z obu miejsc publikacji. Wydaje się zatem, że nie można ich traktować jako obowiązujących, chociaż w porównaniu do pozostałych dotychczas wydanych wytycznych, przedmiotowy dokument zawierał najbardziej szczegółowe zalecenia. W szczególności zalecano wdrożenie bezdotykowego mierzenia temperatury u pracowników i gości przy wejściu do zakładu. Mierzenie temperatury miało odbywać się, w miarę możliwości, poza budynkiem zakładowym, a pracownicy, stojąc w kolejce, mieli zachować przynamniej 1,5-metrowy odstęp. W przypadku stwierdzenia podwyższonej temperatury (powyżej 38 stopni C) lub wyraźnych oznak choroby jak uporczywy kaszel, złe samopoczucie, trudności w oddychaniu, dana osoba nie mogła zostać wpuszczona na teren zakładu. 

Większość organów nadzorczych w UE nie widzi również możliwości przetwarzania tego typu danych osobowych na podstawie zgód osób, którym mają być dokonywane pomiary temperatury. Wśród podstaw prawnych mogących uzasadniać przetwarzanie danych osobowych pozyskanych w związku z pomiarem temperatury np. AEPD wskazuje potencjalnie art. 9 ust. 2 lit. b lub lit. i  RODO, jednak w powiązaniu z odpowiednimi przepisami prawa, zawierającymi należyte gwarancje ochrony praw i wolności osób, których dane dotyczą. Istotną kwestią poruszoną przez AEPD jest także konieczność określenia wymagań technicznych urządzeń, które mają być stosowane w celu dokonywania pomiarów temperatury. Polskie organy wspominają jedynie ewentualnie o bezdotykowych termometrach, nie odnosząc się wprost do tego, czy możliwe byłoby stosowanie np. kamer termowizyjnych, które aktualnie stanowią coraz popularniejsze narzędzie dokonywania pomiarów. AEPD wskazuje na potrzebę ustalenia, jakie wskaźniki urządzeń przesądzałyby o adekwatności dokonywanych pomiarów, aby do mierzenia temperatury były wykorzystywane narzędzia o odpowiednich, zatwierdzonych parametrach. Poszczególne urządzenia mogą się bowiem różnić poziomem czułości i precyzji dokonywanych pomiarów. Przyjęcie jednolitych przepisów usunie stan niepewności, jakiego doświadczają aktualnie pracodawcy, chcący z jednej strony zapewnić bezpieczne warunki pracy swoim pracownikom, klientom, gościom chroniąc ich zdrowie oraz życie, a z drugiej strony dążąc do tego, aby ich działania były zgodne z przepisami dotyczącymi ochrony danych osobowych. Jednocześnie przyjęcie takich regulacji zabezpieczy poszanowanie praw i wolności osób, wobec których środki te mają być stosowane. Aktualne rozbieżności w stanowiskach i wytycznych przedstawianych przez PUODO oraz GIS, chociażby w zakresie dopuszczalnych podstaw prawnych przetwarzania danych osobowych w postaci informacji o temperaturze ciała, pozwalają wnioskować, że zalecane aktualnie środki bezpieczeństwa mogą prowadzić do naruszenia podstawowych praw i wolności osób, których dane osobowe są przetwarzane.

Wyjściową podstawą prawną przetwarzania danych osobowych pracowników może być art. 9 ust. 2 lit. b RODO, tj. niezbędność przetwarzania do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą. 

Zgodnie bowiem z treścią art. 207 § 1 kodeksu pracy pracodawca ponosi odpowiedzialność za stan bezpieczeństwa i higieny pracy w zakładzie pracy. W szczególności pracodawca jest obowiązany chronić zdrowie i życie pracowników przez zapewnienie bezpiecznych i higienicznych warunków pracy przy odpowiednim wykorzystaniu osiągnięć nauki i techniki. Szczególnym obowiązkiem jest reagowanie na potrzeby w zakresie bezpieczeństwa i higieny pracy oraz dostosowywanie środków podejmowanych w celu doskonalenia istniejącego poziomu ochrony zdrowia i życia pracowników, biorąc pod uwagę zmieniające się warunki wykonywania pracy. Mając na względzie ww. regulację prawną oraz aktualną sytuację związaną z epidemią koronawirusa, należy uznać, że pracodawca powinien dążyć do minimalizacji ryzyka związanego z transmisją wirusa. Środkiem temu służącym jest mierzenie temperatury oraz zbieranie innych informacji o objawach chorobowych mogących świadczyć o zakażeniu COVID-19. 

Przywołane przepisy kodeksu pracy wymagają jednak doprecyzowania w zakresie zasad stosowania wymienionych środków, aby ich stosowanie odbywało się z poszanowaniem zasad ochrony danych osobowych. Takie przepisy prawa powinny stanowić wyraźną podstawę prawną dla przetwarzania danych osobowych przez pracodawców oraz regulować co najmniej: 

  • dopuszczalne formy mierzenia temperatury;
  • ustalenie, czy i w jakiej formie zapisy pomiarów mogą być rejestrowane;
  • próg temperatury;
  • określenie ewentualnie innych działań, jakie powinny zostać podjęte wobec pracownika w razie stwierdzenia u niego podwyższonej temperatury, dopuszczalność i zasady mierzenia temperatury innym osobom przebywającym na terenie zakładu pracy;
  • rozstrzygnięcie, czy mierzeniu temperatury mogą podlegać także klienci punktów usługowych, gastronomicznych i innych przedsiębiorstw prowadzących lokal przeznaczony do obsługi osób, a także tryb badania i konsekwencje, jakie ma pociągać za sobą wykrycie podwyższonej temperatury;
  • dopuszczalność gromadzenia od pracowników, a także innych osób przebywających na terenie zakładu pracy, danych osobowych w postaci informacji o objawach chorobowych mogących świadczyć o zakażeniu COVID-19, a także ustalenie zakresu zbierania takich danych.

Podsumowując zarówno Prezes Urzędu Ochrony Danych Osobowych jaki i Przewodnicząca Europejskiej Rady Ochrony Danych podchodzą bardzo zachowawczo do tematu przetwarzania danych osobowych w świetle obecnej pandemii. W swoich wypowiedziach powołują się na przepisy prawne wprowadzane w związku z zaistniałą sytuacją. Z tych z kolei wynika to co przedstawiono powyżej – nic jednoznacznego. Na stronie UODO (www.uodo.gov.pl) obecnie znajduje się kilka artykułów odnoszących się do COVID-19, które tematycznie związane są z przedmiotowym zagadnieniem pomiaru temperatury u pracowników i gości odwiedzających firmę. W artykule z dnia 05 maja 2020 też nie ma też jednoznacznej odpowiedzi a Prezes UODO wskazuje, że przepisy o ochronie danych osobowych nie przeciwstawiają się podejmowanym działaniom związanym z przeciwdziałaniem COVID-19. Podkreśla natomiast, że podejmowane rozwiązania przez przedsiębiorców, pracodawców i inne podmioty będą legalne, jedynie w sytuacji, jeżeli administrator będzie realizował je na podstawie przepisów prawa – zgodnie z zasadą legalności określoną w art. 5 ust. 1 RODO. W przedmiotowej sprawie podstaw prawnych należy niewątpliwie doszukiwać się w rozwiązaniach wyznaczanych przez Głównego Inspektora Sanitarnego. 

Jeżeli zastanawiają się Państwo w jaki sposób dokonywać pomiaru temperatury ciała danej osoby, w jaki sposób gromadzić dane dotyczące zdrowia to zapraszamy do kontaktu z naszymi specjalistami pomoc@rodo-online.eu, tel. +48 885 206 000, +48 885 960 500.

Źródło: Stanowisko Związku Firm Ochrony Danych Osobowych w zakresie mierzenia temperatury w celu zapobiegania rozprzestrzenianiu się COVID-19 (https://www.zfodo.org.pl/opinie/stanowisko-zfodo-w-zakresie-mierzenia-temperatury-w-celu-zapobiegania-rozprzestrzenianiu-sie-covid-19/)

Możliwości spełnienia obowiązku informacyjnego w sektorze prywatnym.

Przy tworzeniu dokumentacji ochrony danych osobowych, nie możemy zapomnieć o warunkach informacyjnych. Od klientów otrzymujemy liczne zapytania czy i jak mają realizować ten obowiązek, a jeżeli go realizują w jakiś sposób, to czy jest poprawny. Przy realizacji tego obowiązku zastosowanie mają głównie przepisy RODO oraz wytyczne organów nadzorczych zajmujących się realizacją tego obowiązku.

Zdarza się, że nie raz najlepszym rozwiązaniem dla klientów jest warstwowe spełnianie warunku informacyjnego, głównie jeżeli jest monitorowany teren i zakład pracy. W pierwszej części powinny znaleźć się podstawowe dane dotyczące tożsamości administratora, celach i rodzajach przetwarzania oraz prawach osoby (aby osoba szybko mogła zapoznać się z najbardziej interesującymi ją informacjami). Pierwsza część może być umieszczona jako informacja najlepiej przy piktogramie monitoringu w dobrze widocznym miejscu najlepiej przed wejściem do budynku lub na bramie. 

Natomiast w kolejnej szczegółowej warstwie przedstawiamy już wszystkie wymagane pozostałe informacje, które znajdziemy w art. 13 RODO, czyli w przypadku zbierania danych bezpośrednio od osoby, której dane dotyczą. Klauzula taka może być umieszczona wewnątrz firmy na sekretariacie, czy na stronie www tak, aby łatwo było zapoznać się z całością klauzuli, ważne aby warstwa pierwsza wspominała gdzie znajdziemy pełne informacje.

Treść klauzuli informacyjnej zgodnie z art. 13 powinna być przekazywana podczas pozyskiwania danych osobowych. Jeżeli chodzi o art. 14 (wtórny obowiązek) w przypadku pozyskiwania danych w sposób inny niż od osoby, której dane dotyczą – terminy jego spełnienia wyznacza ust. 3.

Mikroprzedsiębiorcy (będący administratorami danych osobowych) zgodnie z art. 4a ustawy o prawach konsumenta Dz. U. 2020.0.287 wykonują obowiązki z art. 13 RODO, gdy zawierają umowy poza lokalem, na odległość lub w inny sposób. Spełniają ten obowiązek wywieszając w widocznym miejscu w firmie lub udostępniają na swojej stronie www wymagane informacje. Przepisu nie stosuje się, jeżeli osoba, której dane dotyczą, nie ma możliwości zapoznania się z informacjami, o których mowa w art. 13; wtedy należy rozważyć inny sposób spełnienia warunku. Nie można go zastosować również jeżeli administrator przetwarza i udostępnia innym administratorom szczególne kategorię danych, chyba, że osoba wyraziła na to zgodę lub udostępnienie jest niezbędne do wypełnienia obowiązku ciążącego na administratorze. W przypadku osób fizycznych prowadzących działalność gospodarczą mikroprzedsiębiorca samemu musi określić sposób spełnienia obowiązku informacyjnego.

ICO (Brytyjski organ nadzorczy) oraz Grupa Robocza 29 RODO, wyróżniają podobne sposoby spełnienia obowiązku informacyjnego; elektronicznie (wiadomość tekstowa, www, e-mail, aplikacje mobilne), ustnie (osobiście lub telefonicznie; w tym wcześniej nagrane informacje pozwalające odsłuchać szczegółową warstwę), pisemnie (wyjaśnienia, media drukowane, ulotki, ogłoszenia, formularze, informacje w dokumentacji umownej, schematy), za pomocą znaków graficznych, kodów QR (jeżeli informacja zamieszczana jest w przestrzeni publicznej, jeżeli wprowadzane są publiczne kampanie informacyjne w przypadku pozyskiwania danych osobowych za pomocą urządzeń inteligentnych nie zawierających ekranu, w tym urządzenia typu IoT, ostrzeżenia głosowe, filmy wideo, cyfrowe konfiguracje). 

Jeżeli zastanawiają się Państwo jak w poprawny sposób spełnić warunek informacyjny wobec Państwa klientów, pracowników, kontrahentów to zapraszamy do kontaktu z naszymi specjalistami pomoc@rodo-online.eu, tel. +48 885 206 000, +48 885 960 500.

Szkolenia w czasie Koronawirusa

Każdy z Państwa zapewne wie jak ważne są szkolenia pracowników, podwykonawców realizujących zadania w interesie administratora danych osobowych (ADO). W Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), znajdziemy w kilku miejscach odniesienia dotyczące szkoleń. 

Najważniejsze odniesienie znajdziemy w art. 39, gdzie są określone zadania które powinien realizować Inspektor Ochrony Danych, znajdziemy tu informację m.in. dot. szkoleń i przeprowadzanych audytów. Jeżeli natomiast podmiot nie musi powoływać IODa, to zadania, które powinien realizować spadają na samego administratora (czyli np. właściciela firmy). Należy pamiętać, że to właśnie na nim spoczywa główny ciężar odpowiedzialności za ochronę danych osobowych. To w interesie ADO jest to aby pracownicy mieli odpowiednie kwalifikacje oraz wiedzę. Każdy powinien być przeszkolony i zapoznany ze specyfiką danej firmy, zajmowanym stanowiskiem i znać przepisy regulujące przetwarzanie danych osobowych. Pracownik powinien wiedzieć jak postąpić i zareagować np. na postępowanie w sytuacji incydentu, bądź naruszenia lub jak realizować prawa osób fizycznych. Do realizacji tych zadań nieodzowne wydają się być szkolenia, myślę, że najlepszą jakość uzyskujemy będąc na miejscu i szkoląc bezpośrednio, ale w dobie pandemii należy rozważyć sytuację, w której będzie ciężko odwiedzić klienta (żółta/czerwona strefa) i zebrać wszystkich pracowników przetwarzających dane osobowe, tym bardziej że w wielu wypadkach wykorzystuje się już pracę zdalną. 

Nieodzowną zatem pomocą IODa lub administratora jest serwis RODO Online i zakładka „Szkolenia”, gdzie mogą Państwo w szablonach ustalić czy jest to np. szkolenie dla nowo zatrudnionej osoby, czy szkolenie branżowe przy bezpośredniej obsłudze klienta, czy może szkolenie dla pracowników zarządzających reklamacjami. Ilość wprowadzonych szkoleń i ich urozmaicenie zależy tylko od wiedzy i zaangażowania IODa lub ADO (szkolenie można też przypisać tylko do danego pracownika a nawet kilku firm). Po ustaleniu szablonu możemy również załączyć i opisać wszystkie załączniki w formie PDF, z którymi powinien zapoznać się szkolący, na koniec możemy sprawdzić poziom przekazanej wiedzy i informacji, za pomocą testu, który sami generujemy tworząc pytania i podając opcje odpowiedzi. Jest to bardzo wygodne przy audytach np. rocznych gdzie aby przeszkolić pracowników można śmiało wykorzystać zakładkę „szkolenia” i być pewnym, że mamy ciągłość szkoleń pracowników zgodnie z najnowszymi wytycznymi. Naszym zdaniem jak i wielu innych specjalistów z branży ochrony danych osobowych człowiek jest najsłabszym ogniwem przy ochronie danych, w tym wprowadzonych polityk, instrukcji, procedur. Jesteśmy tylko ludźmi więc popełniamy błędy, ważne aby być świadomym jak można je minimalizować i jak pracować w taki sposób aby ochrona danych osobowych stała się normą, a nie wymuszonymi niezrozumiałymi procedurami. Forma przekazanej wiedzy nawet przez odpowiednie przygotowanie materiałów, ciekawe opisanie problemów i procedur, oraz przemyślane przygotowanie testu gwarantuje, że Państwa wiedza zostanie przekazana dla pracowników w sposób zrozumiały, bezpieczny i rozliczany.

Jeśli potrzebujesz pomocy przy realizowaniu szkoleń, to skontaktuj się z doświadczonymi specjalistami; dane kontaktowe znajdziesz na naszej stronie https://rodo-online.eu.

Czy ochroniarz może żądać okazania dokumentu potwierdzającego tożsamość ?

Kolejny artykuł, w którym staramy się odpowiedzieć na pytanie często zadawane Inspektorowi Ochrony Danych: czy ochroniarz, pracownik ochrony może żądać okazania dokumentu tożsamości (wylegitymowania). Zazwyczaj w przypadkach, gdy wpuszcza osobę trzecią czy pracownika firmy na teren chroniony biurowca czy zakładu produkcyjnego. 

Legitymowanie jest czynnością administracyjno – porządkową służącą potwierdzeniu tożsamości. Do tej czynności uprawniony jest zamknięty katalog osób i instytucji, którym takie uprawnienie nadaje np. Ustawa z dnia 22 sierpnia 1997r. o ochronie osób i mienia Dz. U. 1997 Nr 114 poz. 740, czy Ustawa z dnia 6 sierpnia 2010r. o dowodach osobistych Dz.U.2010 nr 167 poz. 1131. Każdy pracownik ochrony ma prawo do legitymowania osób. Każda osoba przebywająca na obszarze lub w obiekcie chronionym może zostać wylegitymowana. Z przepisów wynika, że pracownik ochrony nie ma prawa jej zmusić do poddania się legitymowaniu. I choć osoba odmawiająca wylegitymowania  popełnia wykroczenie (art. 36 Ustawy o ochronie osób i mienia), to pracownik ochrony nie ma możliwości jej za to ukarać. Prawda jest też taka, że (poza pewnymi wyjątkami) ludzie nie mają obowiązku posiadać przy sobie dokumentu i faktycznie bez żadnych konsekwencji mogą go po prostu nie mieć, a jeżeli nie mają go przy sobie to również go nie okażą.

Legitymowania ochroniarz czy pracownik ochrony dokonuje na podstawie:

  • dowodu osobistego;
  • tymczasowego dowodu osobistego;
  • tymczasowego zaświadczenia tożsamości;
  • dokumentu potwierdzającego tożsamość cudzoziemca;
  • paszportu;
  • innych dokumentów potwierdzających tożsamość, zaopatrzonych w fotografię i adres zamieszkania osoby legitymowanej.

Podsumowując administrator danych osobowych, wdrażając procedury związane z ochroną danych osobowych w swoim podmiocie, jest zobowiązany do stosowania się do zasad wynikających z przepisów RODO, a dokładnie – do zasady ograniczonego celu przetwarzania (art. 5 ust. 1 lit. b RODO) oraz zasady minimalizacji danych osobowych (art. 5 ust. 1 lit. c RODO). Jednocześnie podczas weryfikacji tożsamości osoby fizycznej administrator danych powinien pamiętać o konieczności spełnienia wobec niej obowiązku informacyjnego z art. 13 RODO. Przesłanką przetwarzania danych osobowych w ramach prowadzenia tzw. ewidencji wejść i wyjść może być art. 6 ust. 1 lit. f RODO, ponieważ w tym przypadku przetwarzanie danych osobowych będzie niezbędne do realizacji celów wynikających z prawnie uzasadnionych interesów administratora. Jeśli nie wiesz jak wdrożyć procedury ochrony czy warunek informacyjny, to skontaktuj się z doświadczonymi specjalistami; dane kontaktowe znajdziesz na naszej stronie https://rodo-online.eu/

Nagrywanie rozmów telefonicznych a RODO

RODO niewątpliwie zmieniło w jakimś stopniu nasze życie. Oczywiście, najbardziej widoczne są dla nas kolejne wyskakujące okienka na portalach informujące o wszystkich wymaganych przez rozporządzenie warunkach dot. przetwarzania danych osobowych. Nagrywanie rozmów również nie pozostało wolne od wpływu nowej rzeczywistości prawnej. Nagrywanie rozmów telefonicznych do celów zawodowych lub w związku z prowadzeniem działalności gospodarczej wymaga poinformowania o nagrywaniu, ponieważ zapis głosu osoby jest informacją o charakterze danych osobowych. Urządzenia takie jak centrale telefoniczne (również wirtualne centrale) mają funkcje nagrywania rozmów. Jeżeli firma rejestruje rozmowy poprzez tego typu urządzenia lub w inny sposób, należy o tym poinformować rozmówcę zgodnie z regulacją RODO opisaną w art. 13. 

Przykład komunikatów informacyjnych:

  • W trosce o Państwa bezpieczeństwo informujemy, że rozmowa może być nagrywana. Jeżeli nie wyrażasz na to zgody, prosimy o przerwanie połączenia.
  • Aby zapewnić najwyższe standardy obsługi nasze rozmowy są nagrywane. Jeśli nie wyrażasz na to zgody, zachęcamy do kontaktu mailowego.
  • Informujemy, że rozmowy są nagrywane. Jeśli nie zgadzasz się na rejestrowanie rozmowy, zachęcamy do kontaktu drogą mailową.

Dodatkowy przykładowy komunikat RODO:

  • W związku z Rozporządzeniem o Ochronie Danych Osobowych prosimy o zapoznanie się z Polityką Prywatności. Klauzula informacyjna znajduje się w naszej placówce oraz pod adresem /tutaj adres strony www/ w zakładce Polityka Prywatności.
  • Prosimy o zapoznanie się z treścią klauzuli informacyjnej dotyczącej przetwarzania państwa danych osobowych, która dostępna jest na naszej stronie internetowej /tutaj adres strony/, zakładka Polityka Prywatności.

Po wejściu w życie przepisów RODO prywatnie mamy prawo do nagrywania telefonicznych rozmów osobistych bez informowania o tym drugiej strony. Jednak podmioty podlegające nowej regulacji muszą powiadamiać swoich rozmówców o rejestracji, administratorze danych i celu zapisu. Naruszenie tego obowiązku grozi karą nawet do 4% rocznych przychodów. Jeśli nie wiesz czy w prawidłowy sposób realizujesz warunek informacyjny odnośnie nagrywania, to skontaktuj się z doświadczonymi specjalistami; dane kontaktowe znajdziesz na naszej stronie https://rodo-online.eu/

Czy polityki i procedury ochrony danych są potrzebne ?

Czy polityki i procedury ochrony danych są potrzebne ? 

Często zadawane nam jest pytanie jak w powyższym tytule, również podobne; jak wygląda skuteczna polityka ochrony danych zgodna z RODO ? jakie procedury powinna zawierać ? co zrobić, żeby nie była „martwym” dokumentem ? postaramy rozjaśnić tematykę w tym artykule.

RODO jest aktem prawnym bardzo elastycznym w porównaniu np. z Rozporządzeniem MSWiA w sprawie określania podstawowych warunków technicznych i organizacyjnych (z 15 lipca 1998) czy w sprawie dokumentacji przetwarzania danych osobowych (z 1 maja 2004). Aby być zgodnym z  RODO, należy udokumentować to w następujący sposób:

  • wdrożyć niezbędne polityki i procedury,
  • prowadzić odpowiednie rejestry i ewidencje,
  • dokonywać regularnych analiz zgodności, ryzyka czy oceny skutków dla ochrony danych, gdy jest ona potrzebna,
  • stosować właściwe postępowania i klauzule w umowach, formularzach, na stornach internetowych oraz w innych miejscach, gdzie przetwarzane są dane osobowe. 

Same RODO zawiera następujące regulacje:

  • motyw 79 preambuły – aby móc wykazać przestrzeganie niniejszego rozporządzenia, administrator powinien przyjąć wewnętrzne polityki.
  • Art. 24 ust. 2 – Jeśli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.

RODO nie precyzuje, jakie polityki ochrony danych należy wdrożyć. Dobre polityki i procedury pozwalają znaleźć odpowiedź na pytania związane z ochroną danych: jak przetwarzać dane osobowe, jak je zabezpieczać, komu zgłaszać incydent i jakie czynności podjąć po jego wykryciu, a także jak przeprowadzić wymagane analizy. Dokumenty podzieliliśmy na wymagane przez RODO oraz zalecane wyczytane „między wierszami RODO” wynikające z naszego doświadczenia:

DokumentStatutFunkcjaŹródło RODO
Polityka ochrony danych osobowychZalecanyZbiór wszystkich procedur ochrony danychArt. 24 ust. 2
Zasady retencji danychWymaganyMówi w jaki sposób i kiedy usuwamy niepotrzebne już dane osoboweArt. 5 ust. 1 lit. e)
Zasady privacy by design i privacy by defaultWymaganyMówi o tym w jaki sposób zapewnić odpowiedni poziom bezpieczeństwa danych i prawa do prywatności np. przy nowych projektach ITArt. 25
Struktura organizacyjna w zakresie ochrony danych osobowychWymaganyKto i za co odpowiada w zakresie funkcjonowania systemu RODO (np. IOD, ASI etc.).Art. 24 ust. 1, Art. 32 ust. 1
Procedura nadawania upoważnieńWymaganyW jaki sposób, na jakich zasadach i komu nadajemy upoważnienia do przetwarzania danych osobowychArt. 29
Ewidencja upoważnieńZalecanyKontrola nad liczbą osób upoważnionych do przetwarzania danych osobowych oraz nad zakresem upoważnieniaArt. 29
Procedura szkoleńZalecanyW jaki sposób szkolimy personel uczestniczący w przetwarzaniu danychArt. 39
Postępowanie z incydentami ochrony danych osobowychWymaganyKto i w jaki sposób reaguje na incydenty ochrony danych osobowychArt. 33
Ocena skutków dla ochrony danych osobowych (DPIA)WymaganaKiedy i w jaki sposób oceniamy skutki dla ochrony danychArt. 35
Realizacja praw osób, których dane dotycząWymaganaKto i w jaki sposób realizuje prawa osób, których dane dotycząArt. 7 ust. 3 Art. 12 – 22
Procedura audytu wewnętrznegoZalecanyKto, w jaki sposób i kiedy kontroluje system ochrony danych osobowych w naszej organizacji.Art. 24 ust. 1,  Art. 32 ust. 1 lit. d),  Art. 39 ust. 1 lit. b)
Kontrola podmiotów przetwarzającychZalecanyW jaki sposób i kiedy kontrolujemy procesorówArt. 28 ust. 3 lit. h)
Opis środków bezpieczeństwaWymaganyJakie środki bezpieczeństwa stosujemy w sferze: organizacyjnej, technicznej, informatycznejArt. 24 ust. 1,  Art. 32 ust. 1
Rejestr czynności przetwarzaniaWymagany *zwolnienie, gdy zaistnieją okoliczności z art. 30 ust. 5Opis wszystkich procesów przetwarzania danych osobowych zachodzących w organizacji w pigułceArt. 30 ust. 1
Rejestr kategorii czynności przetwarzaniaWymagany *zwolnienie, gdy zaistnieją okoliczności z art. 30 ust. 5Zebranie w jednym miejscu wszystkich informacji w zakresie danych, które zostały organizacji powierzoneArt. 30 ust. 2
Procedury ITZalecanySposób zarządzania infrastrukturą IT w której dochodzi do przetwarzania danych osobowychArt. 24 ust. 1,  Art. 32 ust. 1
Materiały informacyjne dla pracowników i współpracownikówZalecanyPodnoszenie świadomości pracowników w zakresie ochrony danych osobowychArt. 39

Dokumentów jest całkiem sporo, ponieważ administrator ma też dużo obowiązków związanych z ochroną danych osobowych. Wewnętrzne polityki i procedury powinny być przede wszystkim użyteczne i zrozumiałe – zapewniać możliwie najefektywniejsze wdrożenie RODO. Dokumentacja ma przede wszystkim ułatwić ochronę danych osobowych w organizacji. Na kształt dokumentacji będzie miał wpływ rodzaj i wielkość prowadzonej działalności. Jeśli nie czujesz się na siłach aby stworzyć wymaganą dokumentację i to zadanie cię przerasta, to skontaktuj się z doświadczonymi specjalistami; dane kontaktowe znajdziesz na naszej stronie https://rodo-online.eu/

Najczęściej spotykane incydenty

Tytuł: Najczęściej spotykane incydenty

Chciałbym dziś opisać Państwu najczęściej występujące incydenty, z którymi spotykamy się na co dzień wykonując swoją pracę. Należy pamiętać, że jeżeli powodują one duże prawdopodobieństwo naruszenia praw lub wolności osób fizycznych, to wtedy stają się naruszeniem (należy niezwłocznie się do tego przyznać poprzez zgłoszenie takiego zdarzenia do organu nadzorczego oraz poinformować osoby poszkodowane). Aby stwierdzić naruszenie należy wykonać ocenę naruszenia (rekomendacje zawarte w publikacji European Union Agency for Network and Information Security (ENISA), 2013, Recommendations for a methodology of the assessment of severity of personal data breaches

Dla klientów, których obsługujemy jako IOD oraz korzystających z systemu RODO-ONLINE.EU – dostępna zakładka w systemie – https://panel.rodo-online.eu/incydenty.

Do najczęściej występujących incydentów u naszych klientów można zaliczyć:

  • Zdarzenia losowe wewnętrzne (awaria komputera/serwera/dysku twardego/oprogramowania, pomyłki informatyków, utrata danych)
  • Umyślne incydenty (kradzież danych i sprzętu zawierającego dane osobowe, włamanie do systemu informatycznego lub pomieszczeń)
  • Zdarzenia losowe zewnętrzne (utrata zasilania, utrata łączności)
  • Nieprawidłowo zaadresowana korespondencja elektroniczna bądź papierowa zawierająca dane osobowe
  • Smartfony, laptopy, przenośne dyski czy teczki z papierowymi dokumentami są nośnikami danych osobowych. Ich utrata, czyli kradzież lub zgubienie należy zakwalifikować jako incydent w ochronie danych osobowych, w zależności od ilości i wagi danych taki incydent często staje się naruszeniem
  • Często w firmach pracownicy niszczą dokumenty w wersji papierowej poprzez ich ręczne zniszczenie (pogięcie, podarcie) i wyrzucenie do kosza na śmieci. Wbrew pozorom tego typu dokumenty można łatwo odzyskać. W celu prawidłowego usunięcia danych osobowych, należy skorzystać z niszczarki. W przypadku elektronicznych nośników należy skorzystać ze specjalistycznego oprogramowania do usuwania danych (nie wystarczy tylko same formatowanie)
  • Sprawdzenie przed rozpoczęciem korzystania z usług konkretnej firmy utylizującej dokumenty, czy np. nie wyrzucają ich do przydrożnego lasu (powinny być spalone lub zniszczone)
  • Fizyczną obecność w budynku lub pomieszczeniach, w których przetwarzane są dane osobowe osób nieuprawnionych, które nie wpisały się do rejestru osób nieupoważnionych
  • Otwarte drzwi do pomieszczeń, szaf, gdzie przechowywane są dane osobowe
  • Nieprawidłowości w zakresie zabezpieczenia miejsc przechowywania informacji (otwarte regały, biurka, szafy w pomieszczeniach w strefach bezpieczeństwa) na nośnikach np. na papierze (wydruki), zdjęcia, płyty CD, pendrive, dyski, karty pamięci, karty do czytników w formie niezabezpieczonej
  • Aktywne konta systemowe i mailowe byłych pracowników, którym powinien być już dawno odebrany dostęp, a który nie raz przydzielany był bezterminowo
  • Niewylogowywanie się przed opuszczeniem stanowiska pracy, pozostawienie wydruków na drukarce, ksero, nie zamykanie pomieszczeń z komputerem
  • Niewykonywanie w określonym terminie kopii bezpieczeństwa oraz nie sprawdzanie możliwości jej odtworzenia
  • Ustawienie monitorów na sekretariacie i w punkcie obsługi klientów pozwalające na wgląd do danych osobowych osobom postronnym (sam wgląd jest już przetwarzaniem)
  • Wynoszenie danych osobowych na zewnątrz organizacji w formie papierowej lub elektronicznej bez upoważnienia
  • Udostępnianie danych osobowych osobom nieupoważnionym w formie papierowej, elektronicznej lub ustnej
  • Incydenty związane z nieaktualizowanym oprogramowaniem lub błędną konfiguracją – wykorzystanie ujawnionej podatności
  • Uniemożliwienie prawidłowego działania systemów lub usług sieciowych poprzez zajęcie wszystkich dostępnych zasobów
  • Telefoniczne próby wyłudzania danych osobowych bez właściwej weryfikacji rozmówcy
  • Maile zachęcające do ujawnienia identyfikatora lub hasła do   systemu/programu/bankowości
  • Pojawienie się wirusa komputerowego lub niestandardowe zachowanie komputerów
  • Przechowywanie haseł do systemu/programów w pobliżu komputera
  • Zdarzenia losowe takie jak awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników
  • Podszywanie się hakerów pod znane firmy wysyłające wiadomości zawierające złośliwe załączniki, które po kliknięciu w załącznik lub link szyfrują dane w taki sposób, że nie można uzyskać dostępu do nich bez użycia klucza, który należy odkupić od hakerów (lub przywrócić kopie bezpieczeństwa). Dużym zagrożeniem ciągle pozostają cyberataki, w szczególności te z wykorzystaniem phishingu i ransomware
  • Naruszenia integralności danych, polegające na nieuprawnionej modyfikacji danych z powodu niewłaściwego zabezpieczenia konta użytkownika lub przekazania dostępu do haseł nieograniczonej liczbie osób poprzez pozostawienie ich w widocznym miejscu. 

Naruszeniem ochrony danych osobowych nie będzie zatem każde zdarzenie, które uznamy za incydent bezpieczeństwa informacji, lecz tylko takie, które będzie się wiązało z naruszeniem poufności, dostępności lub integralności danych i będzie wywierało niekorzystny wpływ na osobę, której dane dotyczą (duże prawdopodobieństwo naruszenia praw lub wolności osób fizycznych). Pamiętać należy, że integralność danych może być także zagrożona przez wirusy komputerowe lub umyśle działanie pracowników firmy.

Usunięcie danych osobowych zgodne z RODO

Usunięcie danych osobowych zgodne z RODO

Ogólne rozporządzenie o ochronie danych (RODO) daje osobom fizycznym prawo do żądania usunięcia ich danych osobowych. Administrator ma obowiązek bez zbędnej zwłoki (do miesiąca) usunąć dane osobowe, jeśli zachodzi jedna z następujących okoliczności:

  • dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
  • osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania;
  • osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania;
  • dane osobowe były przetwarzane niezgodnie z prawem;
  • dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
  • dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1.

Z drugiej strony art. 17 ust. 3 RODO wskazuje wprost sytuacje, gdy administrator danych ma prawo odmówić usunięcia (tzn. gdy jest to niezbędne):

  • do korzystania z prawa do wolności wypowiedzi i informacji;
  • do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  • z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h) oraz i) i art. 9 ust. 3;
  • do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania;
  • do ustalenia, dochodzenia lub obrony roszczeń.

Wpłynięcie wniosku z żądaniem usunięcia danych osobowych rodzi po stronie administratora szereg obowiązków. W pierwszej kolejności takie żądanie powinno zostać zweryfikowane pod kątem tego, czy administrator przetwarza dane osobowe osoby składającej żądanie oraz czy żądanie to zostało złożone przez uprawnioną osobę. Administrator, jeśli ma uzasadnione wątpliwości co do tożsamości osoby składającej żądanie, powinien zażądać od takiej osoby dodatkowych informacji niezbędnych do potwierdzenia tożsamości. Jeśli na podstawie wskazanych w żądaniu danych osobowych administrator nie jest w stanie jednoznacznie określić, czy dane które przetwarza dotyczą osoby, która zgłosiła żądanie, powinien w miarę możliwości poinformować o tym fakcie taką osobę.  Niejednokrotnie zdarza się, że przekazane administratorowi w żądaniu usunięcia danych dane osobowe nie są wystarczające do zidentyfikowania w bazach właściwej osoby, której dane dotyczą. Imiona i nazwiska mogą się powtarzać, administrator może także dysponować innym zestawem danych niż osoba, której dane dotyczą wskazała w żądaniu usunięcia jej danych. W takich wypadkach uzasadnione będzie poinformowanie osoby żądającej usunięcia danych o zaistniałych przeszkodach w realizacji żądania. Weryfikacja i realizacja żądania może się okazać możliwa dopiero po podaniu dodatkowych danych umożliwiających identyfikację w zasobach administratora.

Administrator po weryfikacji żądania i usunięciu danych zobowiązany jest o jej wynikach poinformować osobę, która takie żądanie złożyła. Informacja ta powinna zostać sformułowana prostym, łatwo zrozumiałym dla odbiorcy językiem. Osoba, która żądała usunięcia danych osobowych, w przypadku nie uwzględnienia żądania powinna także zostać poinformowana o prawie wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem. Biorą pod uwagę wzrost liczby wniosków o usunięcie danych osobowych przesyłanych przez naszych klientów, którym świadczymy outsourcing IOD. Wnioski przysparzają coraz więcej kłopotów administratorom. Jeśli masz takie problemy lub inne nurtujące cię problemy z ochroną danych osobowych skontaktuj się z nami.

Czy w przypadku kierowania ucznia czy studenta na praktyki zawodowe konieczna jest umowa powierzenia ?

W ostatnim czasie kilku naszych klientów miało pytanie. Czy jeśli podpisali ze szkołą lub uczelnią umowę (porozumienie) dotyczącą praktyk zawodowych to powinni również podpisać umowę powierzenia przetwarzania danych lub powinni zastosować zapisy dotyczące powierzenia w umowie głównej ?

W pierwszej kolejności należy wskazać, że w rozumieniu art. 4 pkt 7 RODO szkoła lub uczelnia jest administratorem danych osobowych swoich uczniów czy studentów.

Zgodnie z przepisami RODO konieczność zawarcia umowy powierzenia przetwarzania danych osobowych istnieje wówczas, gdy administrator danych osobowych zleca przetwarzanie danych innemu podmiotowi (podmiotowi przetwarzającemu). Wówczas podmiot przetwarzający przetwarza dane w imieniu administratora, a nie w imieniu własnym (tj. nie staje się administratorem danych). Podmiot przetwarzający nie decyduje bowiem o celach i sposobach przetwarzania, gdyż przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora (art. 28 ust. 3 lit. a RODO).

Kwestie związane z praktyczną nauką zawodu uregulowane zostały w ustawie Prawo oświatowe oraz w rozporządzeniach wykonawczych. Zgodnie z przepisami rozporządzenia Ministra Edukacji Narodowej z dnia 22 lutego 2019 r. w sprawie praktycznej nauki zawodu, uczniowie i słuchacze (dalej: uczniowie) publicznych szkół ponadgimnazjalnych prowadzących kształcenie zawodowe uczestniczą w zajęciach praktycznych bądź praktykach zawodowych.

Organizację praktyk studenckich reguluje ustawa z dnia 20 lipca 2018 r. Prawo o szkolnictwie wyższym i nauce. Zgodnie z art. 67 ust. 5 tej ustawy studia są prowadzone na podstawie programu studiów, który może przewidywać odbycie przez studenta praktyk zawodowych (art. 67 ust. 5). Ponadto z przepisów tych wynika, że realizacja praktyk stanowi jeden z obowiązków studenta (art. 107 ust. 2 pkt 2). Zatem skierowanie studenta przez uczelnię do odbycia praktyk wynika z programu studiów, a praktyki te mają na celu uzyskanie przez studenta efektów uczenia się kształtujących umiejętności praktyczne, o których mowa w art. 64 ust. 2 pkt 1 powyższej ustawy.

W przypadku organizacji praktycznej nauki zawodu przez szkołę lub praktyki studenckiej przez uczelnię przekazują one na mocy umowy (porozumienia) dane osobowe uczniów czy studentów podmiotowi, z którym zawarły umowę o realizacje takiej nauki. Podmiot ten z chwilą otrzymania danych ucznia czy studenta staje się ich administratorem. Zwrócić bowiem należy uwagę, że zarówno szkoła czy uczelnia, jak i pracodawca mają określone role i zadania związane z organizacją praktycznej nauki zawodu czy praktyki studenckiej. Pracodawca zapewnia możliwość faktycznego odbywania praktyk, zapoznając praktykanta m.in. z organizacją pracy, regulaminem oraz dyscypliną pracy. Może też upoważnić go do przetwarzania danych osobowych, jeżeli będzie to niezbędne w  związku z odbywaniem praktyki.

Oznacza to, że zarówno szkoła czy uczelnia, jak i podmiot przyjmujący uczniów czy studentów na praktyczną naukę zawodu jak i praktyki studenckie występują w roli odrębnych administratorów. Wobec powyższego – skoro nie występuje sytuacja określona w art. 28 RODO (tj. przetwarzanie danych w imieniu administratora) – nie ma obowiązku zawierania umowy powierzenia przetwarzania danych osobowych. W tej sytuacji mamy do czynienia z udostępnieniem danych osobowych niebędącym powierzeniem – podmiot, który otrzymuje dane osobowe, przetwarza je w celach, które samodzielnie kształtuje – nie w celach własnych udostępniającego.

Podsumowując każda ze stron tej umowy (porozumienia) przetwarza dane ucznia czy studenta dla realizacji swoich celów oraz obowiązków i w tym zakresie jest administratorek danych. Masz inne pytania, nurtujące cię problemy z ochroną danych osobowych skontaktuj się z doświadczonymi specjalistami dane kontaktowe znajdziesz na naszej stronie https://rodo-online.eu/.