Zgubienie sprzętu z danymi osobowymi

Nie każdy przedsiębiorca wie, że najdroższe zgubione urządzanie mobilne jak laptop, tablet,  smartfon czy nawet pendrive może go kosztować 20 milionów euro lub 4% rocznego światowego obrotu przedsiębiorstwa. Zagubienie takiego urządzania to nie jedyny problem dla administratora, największy to dane jakie zawierało to urządzenie oraz związane z tym przepisy RODO. Takie urządzania zapewniają łatwy i szybki dostęp do danych, programów i aplikacji, ułatwiają komunikację służbową jak i prywatną. Na urządzeniach mobilnych gromadzona jest duża ilość danych firmowych i prywatnych, maile, fotografie, dokumenty jak i całe bazy danych osobowych.  

Podstawowym obowiązkiem administratora czy procesora wynikającym z RODO jest między innymi prawidłowe zabezpieczanie tego typu urządzeń czyli:

  • Zastosowanie hasła użytkownika czy pinu przy każdorazowym uruchamianiu urządzenia, programu czy aplikacji oraz przy braku aktywności przez zdefiniowany przez użytkownika czas. 
  • Sprzętowe automatyczne blokowanie ekranu – ma podobne zastosowanie jw.
  • Szyfrowanie programowe – to rozwiązanie zapewniające kryptograficzne ochronę danych poprzez szyfrowanie każdego sektora nośnika.  
  • W przypadku komputerów ustawiania hasła na biosie

Zagubienie, a nawet kradzież urządzenia mobilnego nie zwalnia administratora z odpowiedzialności za to, co stanie się z danymi przechowywanymi na urządzaniu. Samo zagubienie czy pozostawienie sprzętu z danymi osobowymi w miejscu publicznym nie jest równoznaczne z naruszeniem ochrony danych. Jeśli sprzęt zostanie odnaleziony lub odzyskany trzeba ustalić, czy osoby nieuprawnione uzyskały dostęp do danych osobowych. Konieczne jest wykonanie analiza ryzyka dla ochrony danych w tym przypadku. Innymi słowy, administrator powinien zastanowić się na tym, czy i jakie prawa i wolność były zagrożone incydentem i czy doszło do naruszenia. 

Brak odpowiedniej reakcji może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych. W szczególności dotyczy to utraty kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości. Konsekwencjami może być strata finansowa, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową. Nośnik z danymi, który mógł dostać się w niepowołane ręce, może skutkować wykorzystaniem ich w sposób nieodpowiedni. Osoba nieupoważniona posiadając dane (imię, nazwisko, nr i serię dowodu osobistego) może również działać w imieniu osoby, której dane dotyczą. Dlatego ważna jest świadomość użytkowników jak i administratora w tym zakresie. Trzeba zapewnić odpowiedni poziom bezpieczeństwa oraz minimalizować ryzyko utraty danych.

Z pomocą przychodzi system RODO-ONLINE.EU i doświadczeni specjaliści – kontakt pod adresem: kontakt@rodo-online.eu

RODO w czasie pandemii

Pandemia koronawirusa wpłynęła na działanie wszystkich osób przetwarzających dane osobowe, administratorów i procesorów. Pandemia nie zwolniła Inspektora Ochrony Danych jak i Administratora Danych Osobowych ze swoich zadań. 

Pandemia postawiła nowe wyzwania, zmienił się wielu przypadkach sposób wykonywania pracy. To wymusiło stworzenie odpowiednich procedur, regulaminów, przeanalizowania ryzyka czy incydentów. Europejska Rada Ochrony Danych Osobowych (EROD) wydała również wytyczne i oświadczenia jak postępować w kontekście pandemii COVID-19. EROD przygotowało dość ogólne i kierunkowe wytyczne. Wskazano, iż RODO nie ogranicza środków podejmowanych w ramach walki z pandemią, jednakże wskazano że w żaden sposób nie zwalnia to z obowiązków dotyczących zapewnienia ochrony danych osobowych. Dlatego wielu Administratorów borykało się i nadal ma wile problemów z dostosowaniem procedur, regulaminów wewnętrznych i pozostałej dokumentacji do zaistniałej sytuacji. Główne problemy dotyczą: pracy zdalne (sprzęt i jego zabezpieczenie, oprogramowanie, komunikacja – realizacja art.32 RODO itp.), pracownik (szkolenie, czas pracy itp.), 

Z pomocą przychodzi system RODO-ONLINE.EU lub doświadczeni specjaliści – kontakt pod adresem: kontakt@rodo-online.eu 

Infolinia dla IOD (i nie tylko)

Gdy wykorzystują Państwo w firmie serwis RODO-ONLINE.EU, jako Administratorzy czy Inspektorzy, to chętnie służymy pomocą techniczną i doświadczeniem przy obsłudze programu i związanych z tym pytań. Dobrze wiemy, że im wyższa jest fachowa wiedza i doświadczenie inspektora ochrony danych lub innej osoby odpowiedzialnej za ochronę danych osobowych, tym większa szansa na zbudowanie w organizacji, która go wyznaczyła, skutecznego systemu ochrony danych osobowych. Dzięki Waszym uwagom i sugestiom, na bieżąco wprowadzamy zmiany, które dostosowują działanie serwisu do potrzeb użytkowników.  

W niektórych sytuacjach bardzo pomocna w codziennej pracy okazuje się infolinia Urzędu Ochrony Danych Osobowych, skierowana jak się okazuje dla wszystkich interesantów, a nie tylko dla Inspektorów Ochrony Danych. Polecamy ją również Państwu, ponieważ można tam zasięgnąć aktualnej wiedzy rozmawiając z konsultantami (ekspertami) z zakresu ochrony danych osobowych (można też zweryfikować swoją wiedzę i otrzymać odpowiedzi / wytyczne na nurtujące nas wszystkich pytania, związane z całością zagadnień, z którymi spotykamy się na co dzień stosując RODO i inne ustawy dotyczące ochrony danych). 

Przypominamy zatem, że infolinia UODO czynna jest w dni robocze od godz. 10:00 do 14:00 pod numerem 606-950-000. Pamiętać przy tym należy, że Infolinia nie udziela porad prawnych. 

Pomoc techniczna RODO-ONLINE.EU jest dostępna dla Państwa pod numerami tel. +48 885 206 000 / +48 885 960 500 lub mailowo  pomoc@rodo-online.eu 

Ocena zgodności z RODO

Jesteś pewny, czy Twoja firma działa zgodnie z RODO?. Chcesz sprawdzić czy wdrożenie RODO przeprowadzone w Twojej firmie nie ominęło żadnego obszaru? 

System RODO-ONLINE.EU zawiera takie narzędzie, mają Państwo listę kontrolną, dzięki której można wykonać audyt na każdym etapie wdrożenia RODO. Zgodnie z RODO wszystkie dane osobowe muszą być przetwarzane w sposób określony w przepisach, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Administrator danych jest uprawniony do zbierania i przetwarzania danych wyłącznie w prawnie uzasadnionych celach, w zakresie adekwatnym do swoich potrzeb i przez minimalny okres niezbędny do spełnienia celu przetwarzania. W każdym przypadku, niezależnie od prowadzonej działalności i rodzaju przetwarzanych danych, na administratorze danych ciąży obowiązek zapewnienia danym odpowiedniego stopnia bezpieczeństwa – ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, przypadkową utratą, ich zniszczeniem lub uszkodzeniem. Administrator danych jest odpowiedzialny za przestrzeganie przepisów RODO i zgodnie z zasadą rozliczalności musi być w stanie wykazać, że w swojej działalności stosuje odpowiednie procedury i metody. Jednym z obowiązków RODO nałożonych na administratora danych jest przeprowadzenie audytu zgodności z RODO. Administrator może za pomocą listy przeprowadzić audyt samodzielnie. Gdy Administrator nie czuje się na siłach może zgłosić przeprowadzenie audytu naszej firmie, nasi specjaliści przeprowadzą audyt, a wynikiem będzie raport kontrolny. Jeśli potrzebujesz sprawdzenia  zgodności przetwarzania danych  – audytu RODO, zapraszamy do kontaktu z nami kontakt@rodo-online.eu   

Obszary przetwarzania

Korzystając z systemu RODO-ONLINE.EU mają Państwo możliwość dodania miejsc przetwarzania danych osobowych w jednostkach, które obsługują jako inspektorzy ochrony danych  lub którego są administratorami. Można opisać każde pomieszczenie z osobna np. sekretariat, serwerownia, pomieszczenia biurowe, lub całe obszary np. budynek, piętro. Wybierając odpowiednie zastosowane zabezpieczenia typu: alarm, stróż, drzwi antywłamaniowe, monitoring, kraty, karty zbliżeniowe itp., możemy w łatwy sposób określić zabezpieczenia zgodnie z wykonaną wcześniej analizą ryzyka. 

Bardzo pomocne okazuje się dołączenie schematu pomieszczeń (rzutu) w formie pliku (jpg, gif, png), można łatwo stworzyć schematy samemu za pomocą programu np. Microsoft Paint. Możemy również na rzucie nanieść kluczowe zabezpieczenia i aktywa dla naszej organizacji: czujki alarmowe, kraty, kamery, czujniki ppoż,  gdzie przechowywana dokumentacja archiwalna, serwery, biurka pracowników ze stacjami PC, gdzie są przechowywane kopie zapasowe, dokumentacja księgowa i kadrowa, na których stanowiskach jest przetwarzany główny program do obsługi firmy lub inne przetwarzające dane osobowe itp.

W każdym momencie mamy możliwość wglądu do aktualnych zabezpieczeń, a w razie potrzeby można je szybko dopasować do nowych zmian, aby polityka ochrony danych osobowych była aktualna, tak jak jej składowe opisujące wykaz budynków/pomieszczeń.

Dostęp do Systemu Informatycznego CEPiK 2.0

Zgodnie z Ustawą Prawo o ruchu drogowym grupa podmiotów zgodnie z art. 80c ust. 1 ma uprawnienia do korzystania do danych zgromadzonych w Centralnej Ewidencji Pojazdów (CEP) oraz Centralnej Ewidencji Kierowców (CEK).

Pamiętając, że dane i informacje zgromadzone w ewidencjach udostępnia się wyłącznie, jeśli są one niezbędne do realizacji ustawowych zadań podmiotu.

Minister Cyfryzacji  może wyrazić zgodę, w drodze decyzji, na udostępnienie lub informacji zgromadzonych w ewidencji, po spełnieniu  przez podmiot warunków określonych w ustawie.

Po pierwsze trzeba spełnić aspekty formalne czyli dostosować się do wymogów, zaleceń i wytycznych  zawartych w Polityce Bezpieczeństwa Systemu Informatycznego Centralnej Ewidencji Pojazdów i Kierowców 2.0. Zaczynając od zabezpieczenia pomieszczeń, nośników danych, urządzeń sieciowych, komputerów stacjonarnych i przenośnych itd. Wszystko spisując w dokumentacji przetwarzania danych osobowych zgodnymi z aktualnymi przepisami np. Ustawą o ochronie danych osobowych i RODO.

Następnie możemy wnioskować do MC o wydanie pozytywnej opinii o udostępnienie danych ewidencyjnych za pośrednictwem sieci publicznej w wykorzystaniem urządzeń teletransmisji. 

Po wydaniu pozytywnej decyzji wnioskujemy o niezbędne certyfikaty, jeśli nie posiadasz decyzji wnioski certyfikacyjne nie zostaną zrealizowane. 

W całym procesie wdrożenia systemu CEPiK 2.0 nasza Firma pomoże Państwu tak, by system został szybko i prawidłowo wdrożony. Od dokumentacji Ochrony Danych Osobowych, przez niezbędne dokumenty takie jak wnioski, ankiety czy oświadczenia. Do konfiguracji stacji by prawidłowo pobierały dane i zgodnie z wymogami stawianymi w Polityce były użytkowane. Chcesz wdrożyć system CEPiK 2.0 skontaktuj się z nami kontakt@rodo-online.eu

Wyznaczanie IOD

Prowadząc firmę, pewnie zastanawiasz się czy musisz mieć wyznaczonego Inspektora Ochrony Danych osobowych, czy wiesz jakie są kryteria? Chętnie w tym pomożemy. 

System RODO-ONLINE.EU umożliwia przeprowadzenie analizy IOD zgodnie z przyjętymi obowiązkami wyznaczenia IOD dla administratorów i podmiotów przetwarzających (tak/nie + opis)  zawartymi w art. 37 ust 1 RODO

Wyznaczamy wtedy, gdy:

  • gdy przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości
  • gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
  • gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (art. 9 ust 1 RODO)  oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa (art. 10 RODO).

Podkreślić należy, iż w pozostałych przypadkach, wyznaczenie IOD jest fakultatywne. Grupa Robocza art. 29 w swoich wytycznych dotyczących IOD zaleciła ADO i PP udokumentowanie wewnętrznej procedury, która przeprowadzana jest w celu ustalenia i uwzględnienia poszczególnych przesłanek z art. 38 ust 1 RODO istnienia lub braku takowego obowiązku. 

Przypominamy, że zgodnie z art. 37 ust. 6 RODO inspektorem ochrony danych może zostać zarówno pracownik administratora lub podmiotu przetwarzającego, jak i osoba spoza grona pracowników ww. podmiotów (tzw. outsourcing). Warto zwrócić uwagę przy zatrudnieniu czy osoba spełnia obowiązki zawarte w art. 37 ust 5 RODO. Poziom wiedzy fachowej nie jest nigdzie jednoznacznie określony, ale musi być współmierny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach jednostki i jej specyfikacji (widza sektorowa). Wobec czego wybór inspektora ochrony danych powinien być dokonany z zachowaniem należytej staranności i z uwzględnieniem charakteru przetwarzania danych osobowych w ramach jednostki. Osoba taka powinna również posiadać takie mocne strony, jak rzetelne wykonywanie obowiązków i wysoki poziom etyki zawodowej.
Poszukujesz specjalistów – zapraszamy do kontaktu tel. +48 693 334 664 lub kontakt@rodo-online.eu  

Niszczenie nośników danych

Niszczenie nośników danych

Każde przedsiębiorstwo zobowiązane jest do wprowadzenia procedur niszczenia dokumentów i nośników danych. Co ważne, wyrzucenie do śmieci, trzymanie w pomieszczeniach bez nadzoru jest niedopuszczalne. W ten sposób narusza się przepisy i naraża się na nałożenie kary finansowej. 

Żyjemy w świecie cyfrowej informacji, informacje zapisywane są na nośniki danych jak dyski twarde (HDD), dyski SSD, pamięci USB, płyty CD i DVD, różnego rodzaju karty pamięci i wiele innych. Dane powinny być każdorazowo chronione przed nieuprawnionym dostępem, zmianą lub utratą. W nowoczesnym i coraz bardziej zdigitalizowanym świecie skuteczne niszczenie danych staje się konicznością. Większość wspomnianych wcześniej nośników dany możemy zniszczyć bezpiecznie we własnym zakresie przy niedużej inwestycji sprzętowej. Co z dyskami HDD ? Czy wiesz, że zapisanych na dysku twardym danych nie da się zniszczyć bez specjalistycznego sprzętu ?

Formatowanie, nadpisywanie, kasowanie plików czy nawet likwidacja partycji sprawią, iż dane są nieczytelne tylko pozornie. Pliki będą nadal zapisane na talerzu, a ich odzyskanie jest możliwe. 

Dlatego nasza firma wychodząc naprzeciw potrzebą oferuje profesjonalne niszczenie dysków. Niszczenie jest dwuetapowe: pierwszym etapem demagnetyzacja a drugim niszczenie mechaniczne, więcej dowiesz się http://niszczenie-dyskow.eu/ lub https://rodo-online.eu/ .  Jeśli potrzebujesz pomocy w stworzeniu procedur niszczenia zapraszamy do kontaktu z nami kontakt@rodo-online.eu 

Sprawdzenia (plany, sprawozdania)

Wyznaczony Inspektor ochrony danych zgodnie z art. art. 39 ust. 1 ma następujące zadania m.in.: informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie. Monitorowanie przestrzegania rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty.

Można więc przyjąć, że aktywność inspektora ochrony danych w tym zakresie nie powinna mieć charakteru jednorazowego, a charakter ciągły i długofalowy, aby to osiągnąć nieodzowne wydają się audyty – pierwszy wstępny oraz cykliczne, które powinny być przeprowadzane raz w roku lub częściej, jeżeli pojawią się znaczące zmiany w firmie mające wpływ na ochronę danych osobowych.

W zależności od branż każdy IOD ma opracowane własne wzory audytów, które są dla niego najlepiej dopasowane, i w które nie ingerujemy. Program RODO-ONLINE.EU wychodząc naprzeciw, daje możliwość korzystania z kategorii SPRAWDZENIA/PLANY, gdzie możemy zaplanować audyty i ich zakres, dodać załączniki i uwagi. Natomiast SPRAWDZENIA/SPRAWOZDANIA wybieramy po przeprowadzonym audycie, opisujemy czy był doraźny czy zlecony, jakiego okresu dotyczył, jaki miał zakres, jaki jest stan faktyczny, jakie są zalecenia, jakie są uwagi, bardzo pomocne jest dodanie załącznika, gdzie możemy załączyć swój przeprowadzony audyt papierowy/elektroniczny w formie np. skanu, zdjęcia, pliku PDF. Wtedy mamy je zawsze „pod ręką” i możemy planować dalsze działania / sprawdzenia np. zaznaczając odpowiednie adnotacje w kalendarzu wbudowanym w program. Wypróbuj wersje darmową i sprawdź jak działa system więcej na https://rodo-online.eu/ .

„Obowiązek informacyjny” garść wiedzy

Jednym z głównych obowiązków nałożonych na administratorów danych osobowych przez przepisy RODO jest obowiązek informacyjny, który w określonych sytuacjach musi być spełniony w stosunku do osoby, której dane dotyczą.

Osoby których dane dotyczą po wejściu w życie RODO mają prawo do uzyskania szerokiego wachlarza informacji na temat przetwarzania ich danych osobowych przez administratora. Motyw 60 preambuły RODO wskazuje że osoba, której dane dotyczą, musi być poinformowana o fakcie prowadzenia operacji przetwarzania jej danych osobowych i o celach takiego przetwarzania. Co więcej administrator powinien podać wszelkie inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i kontekst przetwarzania danych osobowych.

Kluczowe w tym zakresie są dwa przepisy, tj. art. 13 oraz art. 14 RODO. Wybór jednego z przywołanych przepisów zależy od źródła, z którego administrator pozyskał dane osobowe. Artykuł 13 RODO znajdzie bowiem zastosowanie, gdy administrator pozyskuje dane osobowe bezpośrednio od osoby, której dane dotyczą. W wytycznych dotyczących przejrzystości Grupa Robocza art. 29 (obecnie: Europejska Rada Ochrony Danych) wskazuje następujące przykłady takich sytuacji:

  • osoba, której dane dotyczą, samodzielnie przekazuje administratorowi dane osobowe (np. wypełniając formularz www, zapis do newslettera),
  • administrator samodzielnie pozyskuje dane od osoby, której one dotyczą, w drodze obserwacji (np. przy zastosowaniu automatycznych rejestratorów, takich jak kamery czy urządzenia sieciowe).

Natomiast art. 14 RODO administrator będzie musiał uwzględnić, jeżeli dane osobowe zostały przez niego pozyskane nie bezpośrednio od osoby, której one dotyczą. Przywołane wytyczne w sprawie przejrzystości wskazują jako przykłady konieczności zastosowania tego przepisu m.in. gdy:

  • pozyskuje dane osobowe od zewnętrznego administratora danych (np. udostępnienie danych osobowych przez kontrahenta, partnera biznesowego, właściciela bazy danych),
  • pozyskuje dane osobowe ze źródeł publicznie dostępnych (np. pozyskanie danych z CEIDG, KRS lub GUS),
  • pozyskuje dane osobowe od innych osób (np. pozyskanie danych dotyczących członków rodzin, podanych przez pracowników).

Ponadto administrator powinien poinformować osobę o przetwarzaniu jej danych w przypadku, gdy zmienia lub dodaje nowy cel przetwarzania oraz pod czas wykonywania żądania dostępu do danych. 

Obowiązek informacyjny wynikający zarówno z art. 13, jak i 14 RODO może być spełniony w różnorodny sposób. Najważniejsze żeby komunikacja z osobą, której dane dotyczą, była prowadzona w zwięzłej, przejrzystej i łatwo dostępnej formie, językiem zrozumiałym dla przeciętnego odbiorcy, z prostą konstrukcją zdań. 

Informacje udziela się na piśmie, poprzez umieszczenie treści obowiązku na tablicy ogłoszeń, w postaci elektronicznej (np. strona www) lub na żądanie osoby, informacji można udzielić ustnie.

Obowiązek informacyjny to jeden z kluczowych elementów przy wdrożeniu RODO. Warto poświęcić mu odpowiednią ilość uwagi, bo osoby są coraz bardziej świadome wymogów związanych z ochroną danych osobowych i mogą pokusić się o skargę, gdy go zaniedbasz.

Nie ma żadnego gotowego szablonu obowiązku informacyjnego, który będzie pasował do wszystkich sytuacji. Pamiętaj, że informacje przekazywane w ramach realizacji obowiązku muszą być dostosowane do rzeczywistej sytuacji, szczególnie w zakresie celu i podstawy prawnej przetwarzania oraz okresu przechowywania.

Pamiętaj, że w razie kontroli administrator będzie musiał wykazać, że obowiązek informacyjny został przez niego spełniony (art. 5 ust. 1 lit. a RODO). Jeśli potrzebujesz pomocy w zakresie obowiązku informacyjnego czy innych wymogów ochrony danych osobowych skontaktuj się z nami kontakt@rodo-online.eu więcej na https://rodo-online.eu/

Telefoniczna weryfikacja tożsamości

Pamiętać należy, że Administrator (ADO) zobowiązany jest zachować wszelkie środki ostrożności w celu ochrony danych osobowych swoich klientów/petentów. Największą wartością bowiem jest zaufanie. Sprawą pierwszoplanową dla wszystkich Pracowników jest ochrona informacji dotycząca klientów/petentów. Każdy pracownik powinien zabezpieczyć, zgodnie ze ścisłymi zasadami bezpieczeństwa i poufności, każdą informację jaka dotyczy klientów. 

Rozmowa może zostać prowadzona wyłącznie z klientem lub osobą upoważnioną i powinna być prowadzona najlepiej z nagrywanych linii telefonicznych (czynność ujęta w RCP / przekazana klauzula informacyjna). Wskazane jest udokumentowanie w systemie prowadzenia rozmowy i jej efektu (notatka z rozmowy, uzupełnianie / aktualizacja danych / zmiana zamówienia itp.), aby zapewnić w przyszłości skuteczność procesu na wypadek kwestionowania sposobu podejmowanych działań.

Na początku prowadzenia rozmowy telefonicznej z klientem należy przedstawić firmę potem siebie (stanowisko oraz imię i nazwisko). Podczas rozmów dbamy o profesjonalizm. Konieczność dokonywania weryfikacji osoby, która do nas dzwoni, wynika z obowiązku ochrony danych osobowych. Weryfikacja jest dokonywana w celu zmniejszenia ryzyka ujawnienia tajemnicy danych osobowych osobom nieupoważnionym. 

Przed identyfikacją i weryfikacją NIGDY nie udzielajmy żadnych informacji objętych ochroną danych osobowych. Przeprowadzamy weryfikację klienta, zadając minimum 2 pytania (np. imię i nazwisko, nr faktury, nr klienta, czego dotyczyło zamówienie, data urodzenia, pesel, adres, nr. reklamacji). Warto dodać, że na każde pytanie musimy uzyskać poprawną odpowiedź. Jeżeli rozmówca podaje prawidłowe dane, ale podejrzewamy, że może pod klienta podszywać się osoba trzecia,  musimy zadać co najmniej jedno pytanie dodatkowe (numer telefonu, adres e-mail, adres do korespondencji).

Jeśli – połączenia przychodzące (zadajemy minimum dwa pytania) np. o: nr faktury; adres zamieszkania/zameldowania; imię, nazwisko; nr klienta w systemie, nr zamówienia; PESEL, data urodzenia (jeżeli prędzej były pozyskane).

Jeśli – połączenia wychodzące: dzwonimy na nr telefonu, z którego już kontaktowaliśmy się z klientem, pytamy o: imię i nazwisko; jeśli mamy wątpliwości czy rozmawiamy z właściwą osobą, zadajmy dodatkowe pytania weryfikacyjne. Jeżeli dzwonimy na nr telefonu, który został dopiero co pozyskany, można zapytać o: imię i nazwisko, nr klienta w systemie, nr faktury / nr zamówienia, adres dostawy, telefon / mail, nr reklamacji, ostatnie ustalenia.

Dla wszystkich rozmów przychodzących i wychodzących istnieje obowiązek weryfikacji tożsamości za pomocą pytań dotyczących danych demograficznych (np.: pesel, imię i nazwisko, adres zamieszkania/dostawy, etc.). Na każde zadane pytanie pracownik Administratora powinien uzyskać odpowiedź jednoznaczną, nie budzącą żadnych wątpliwości oraz zgodną z danymi zawartymi w systemie lub dokumentacji. Pamiętać należy, że NIGDY nie potwierdzamy odpowiedzi klienta. Pytania zadawane przez osobę kontaktującą się powinny mieć formę zamkniętą. Pracownik nie może okazać rozmówcy, czy udzielona odpowiedź jest poprawna czy błędna. Nie można również zadawać pytań weryfikujących; na które pracownik nie potrafi odnaleźć odpowiedzi w systemie lub na które w systemie odpowiedź w ogóle nie widnieje.
W przypadku jakichkolwiek wątpliwości, co do tożsamości, pracownik Administratora odmawia udzielenia informacji przez telefon i prosi o przesłanie prośby w formie pisemnej do siedziby, bądź kontaktu osobistego w siedzibie.

W przypadku wizyty klienta w siedzibie Administratora, upoważniony pracownik potwierdza tożsamość klienta poprzez wgląd w dokument potwierdzający tożsamość.
W przypadku, gdy klient nie chce odpowiedzieć na pytania weryfikujące,  pracownik powinien poprosić o skierowanie pisma w danej sprawie oraz wizyta powinna zostać zakończona. Pamiętajmy, że zanim podejmiemy merytoryczną rozmowę musimy mieć pewność, że rozmawiamy z osobą do tego  uprawnioną.

Myślę, że osoba szkoląca Państwa pracowników z zakresu RODO, na pewno takie tematy poruszy (ponieważ na szkoleniach pracownicy obsługi klienta często zadają pytania dotyczące weryfikacji osoby dzwoniącej, czy piszącej maila). Procedura dot. weryfikacji tożsamości, która jestodpowiednio dopasowana do Państwa struktury, daje możliwość aby pracownik zawsze mógł do niej wrócić, mieć ją „pod ręką” i się z niej szkolić (procedura jest również bardzo ważna w nadchodzącym okresie letnich praktyk i staży; często nowe osoby mają bezpośrednio lub pośrednio kontakt z klientem i muszą podołać poufności danych osobowych i weryfikacji osób dzwoniących).

Rejestr kategorii czynności przetwarzania

Zgodnie z art. 4 RODO oprócz administratora również podmiot przetwarzający (procesor) musi rejestrować czynności przetwarzania danych osobowych,  podmiot przetwarzający oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Do procesorów można zaliczyć głównie firmy związane z outsourcingiem usług (np. księgowość, kadry, serwisy IT, archiwizacja). 

Art. 30 ust 2 RODO stanowi, że podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel podmiotu przetwarzającego prowadzą rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora. W systemie RODO-ONLINE.EU znajdą Państwo obligatoryjne i dodatkowe elementy potrzebne do pełnej funkcjonalności takiego rejestru zgodnie z powyższym artykułem RODO – zakładka „Rejestr kategorii”. Rejestr ten nie jest udostępniany publicznie, ale stanowi cenne źródło merytorycznego wywiązywania się przez podmiot przetwarzający z realizacji odpowiedzialnego przetwarzania danych osobowych.

Obowiązki, o których mowa powyżej, nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych, o czym mowa w art. 10 RODO.

RKCP jest podstawową dokumentacją podmiotu przetwarzającego ukazującą przetwarzanie danych osobowych w imieniu innego podmiotu, odnosi się do kategorii (rodzaju usługi), a nie do samej czynności. Rejestr taki powinien odzwierciedlać realizowanie zawieranych umów powierzenia z Administratorem/ami.

Dwa lata obowiązywania RODO – kary nałożone w Polsce

W dniu dzisiejszym 25.05.2020 r. mija dwa lata obowiązywania w Polsce Ogólnego rozporządzenia o ochronie danych (tzw. RODO). Chciałbym dziś przedstawić ilość i wielkość kar nałożonych przez Prezesa Urzędu Ochrony Danych Osobowych. Artykuł 83 RODO wskazuje ogólne warunki nakładania kar pieniężnych, nałożenie każdej kary łączy się z wydaniem decyzji administracyjnej wraz z uzasadnieniem. Pragnę przypomnieć o trzech przedziałach kar pieniężnych, które wyróżnia RODO:

  • Kary do 10 mln. EUR a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego – za naruszenia w zakresie: rejestrowania czynności przetwarzania, współadministrowania, współpracy z UODO oraz z podmiotem przetwarzającym, upoważniania, wdrożenia zabezpieczeń, zgłaszania naruszeń, oceny skutków, pracy IOD
  • Kary do 20 mln. EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego za naruszenia w zakresie: legalności przetwarzania, warunków zgód, celowości, adekwatności, czasowości, obowiązku informacyjnego, praw osób, niezgodnego z prawem przetwarzania oraz ochrony przed utratą, zniszczeniem lub uszkodzeniem danych
  • Kary do 100.000 PLN dla podmiotów publicznych

Kary dot. przestrzegania RODO nałożone w Polsce (stan na dzień 01.05.2020):

  • Bisnode Polska sp. z o.o.943 470 PLN – naruszenie: art. 14 ust. 1 – 3
  • Dolnośląski Związek Piłki Nożnej55 750,50 PLN – naruszenie: 5 ust. 1 lit. f /  32 ust. 1 lit. b / 32 ust. 2
  • Morele.net sp. z o.o.2 830 410 PLN – naruszenie: 5 ust. 1 lit. a / 5 ust. 1 lit. f / 5 ust. 2 / 6 ust. 1 / 7 ust. 1 / 24 ust. 1 / 25 ust. 1 / 32 ust. 1 lit. b / 32 ust. 1 lit. d / 32 ust. 2
  • Burmistrz Aleksandrowa Kujawskiego40 000 PLN – naruszenie: 5 ust. 1 lit. a / 5 ust. 1 lit. f / 5 ust. 1 lit. e / 5 ust. 2 / 24 ust. 1 oraz 2 / 28 ust. 3 / 30 ust. 1 lit. d oraz f / 32 ust. 1 lit. b / 32 ust. 1 lit. c
  • ClickQuickNow sp. z o.o.201 559,50 PLN – naruszenie: 5 ust 1 lit. a w zw. z art. 5 ust. 2 / 7 ust. 3 / 12 ust. 2 / 17 ust. 1 lit. b / 24 ust. 1 / art. 6 ust. 1
  • Szkoła Podstawowa nr 2 w Gdańsku20 000,00 PLN – naruszenie: 5 ust. 1 lit. c / art. 9 ust. 1
  • Vis Consulting Sp. z o.o.20 000,00 PLN – naruszenie: 31 RODO / art. 58 ust. 1 lit. e oraz f

Rejestrowanie czynności przetwarzania

Ogólne rozporządzenie o ochronie danych (RODO) przewiduje, że administratorzy danych mają obowiązek prowadzenia rejestru czynności. Art. 30 RODO wskazuje obligatoryjne składniki. Rejestr ten stanowi dokument związany z przetwarzaniem danych. Formą przewidzianą prowadzenia tego typu dokumentu jest forma pisemna. Rejestr więc może być prowadzony w zwykłej papierowej formie, jak i elektronicznej np. za pomocą systemu RODO-ONLINE.EU. 

Cele prowadzenia rejestru czynności przetwarzania wskazuje głównie art. 82 RODO:

  • zachowanie przez Administratora (ADO) zgodności z RODO – stała możliwość weryfikacji swojej działalności w odniesieniu do przetwarzania danych osobowych jak również podanie ocenie każdego procesu.
  • umożliwienie organowi nadzorczemu monitorowania prowadzonego przetwarzania danych osobowych. Przepisy mówią, że administrator zobowiązany jest udostępnić organowi kontrolującemu informacje o przetwarzaniu w sposób jednolity i czytelny by możliwe było dokonanie szybkiej weryfikacji i przeglądu. 

Rejestr czynności prowadzony w systemie RODO-ONLINE.EU zawiera wszystkie obligatoryjne składniki wskazane w RODO i Poradniku Prezesa UODO. Prowadząc rejestr w naszym systemie osiągniesz miedzy innymi wskazane jw. cele.  

Upoważnienia i zestawienie uprawnień

Zgodnie z art. 32 ust. 4 to administrator oraz podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający charakterowi prowadzonego przetwarzania i związanego z nim ryzyka, podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego. Z powyższych informacji wynika, że dane mogą być przetwarzane wyłącznie na polecenie administratora, przez osoby działające z jego upoważnienia lub podmiotu przetwarzającego.

Administrator musi zapewnić i mieć kontrolę nad tym kto i w jakim zakresie ma dostęp do danych osobowych i na jakich zasadach je przetwarza. Wprowadzone przez administratora środki bezpieczeństwa muszą służyć zapobieganiu pracy na danych osobowych, wglądu, jak również usuwania i modyfikowania tych danych przez osoby nieuprawnione. Zatem osoby, które będą przetwarzały dane osobowe zgodnie ze swoim wykazem obowiązków zostają poinformowane jaki jest zakres ich uprawnień. Dotyczy to osób na stałe zatrudnionych u administratora, ale także osób którym zlecono pracę, która będzie wiązała się z dostępem do danych osobowych (np. praktykanci, stażyści). Wydawanie upoważnień jest jednym z środków organizacyjnych, którego celem jest zapewnienie odpowiedniej ochrony danych osobowych i kontroli nad procesem ich przetwarzania.

Do przetwarzania danych osobowych dopuszczone mogą być wyłącznie osoby posiadające pisemne upoważnienie wydane przez administratora. Nadawanie upoważnień w postaci elektronicznej należy uznać za wykonanie obowiązku nadania upoważnień w formie pisemnej. W świetle zasady rozliczalności jakakolwiek postać, w tym elektroniczna, która pozwala na udokumentowanie spełnienia obowiązków celem wykazania przestrzegania przepisów, a w tym przypadku wykonania obowiązku wynikającego z art. 29 RODO należy uznać za prawidłową (źródło https://uodo.gov.pl/pl/225/1278). 

W systemie RODO-ONLINE.EU w upoważnieniu („Pracownicy” / „Wygeneruj dokumenty” / „Upoważnienie”) w jednym miejscu możemy przypisać uprawnienia zgodnie z zakresem obowiązków  służbowych. Upoważnienie jest ważne do czasu zakończenia stosunku pracy, stosunku cywilnoprawnego lub odwołania. Sprawdzenie aktualnego zestawienia uprawnień dla wszystkich pracowników, można również łatwo wygenerować; klikamy w „Raporty” / „Zestawienie uprawnień”; zaznaczamy interesujące nas kolumny / „Wygeneruj”). Dzięki takiemu rozwiązaniu Administrator ma pełną kontrole nad uprawnieniami dostępu do danych. 

Wewnętrzne rejestrowanie incydentów

Klienci dzwoniąc lub pisząc często zadają pytania dotyczące incydentu/naruszenia danych osobowych, który się u nich zdarzył. Bywa i tak, że nie wiedzą co robić i jak sobie poradzić z zastaną sytuacją. Często pośpiech lub błąd ludzki powoduje to, że może dojść do np. spakowania ważnej dokumentacji zawierającej dane osobowe i wysłania jej za potwierdzeniem odbioru ale… nie do tego klienta/petenta, do którego miała być adresowana. Co wtedy zrobić, gdy złamiemy zasadę poufności danych? Pomocne okazuje się narzędzie zawarte w systemie RODO-ONLINE.EU (zakładka „Incydenty”). 

Zgodnie z art. 4 pkt 12 RODO naruszenie bezpieczeństwa prowadzi do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Najczęściej w swojej pracy spotykamy się z naruszeniem poufności. Możemy w dowolnym momencie wprowadzić incydent/naruszenie zgodnie z zastaną sytuacją do RODO-ONLINE.EU. Może go wprowadzić każda osoba mająca uprawniania do systemu: konto IOD, konto ADO lub konto dostępowe (np. pracownik). 

Wprowadzenie nowego incydentu/naruszenia do systemu RODO-ONLINE.EU jest bardzo proste. Jeżeli ryzyko jest wysokie, można również odznaczyć czy zawiadomiono i kiedy organ nadzorczy (prezesa UODO), osobę której dane dotyczą lub administratora danych powierzonych. 

Możemy również dodać notatki i załączniki związane z naruszeniem/incydentem. Jeżeli wszystko się dobrze zakończy (np. zwrócono nam korespondencję, która była źle nadana) można zmienić status na „zakończony”, w przeciwnym razie mamy ukazane nasze działania, gdy status jest „w toku”. Administrator danych, zgodnie z art. 33 ust. 5 ogólnego rozporządzenia o ochronie danych powinien dokumentować wszelkie naruszenia ochrony danych osobowych. Trzeba zatem prowadzić rejestr naruszeń. Ważne, aby organ nadzorczy mógł zweryfikować, czy administrator danych realizuje ten obowiązek. W celu rozliczalności każdy korzystający z RODO-ONLINE.EU może mieć go pod ręką i wracać do niego w razie potrzeby. Jest to nieodzowne narzędzie, które przydaje się w pracy przy ochronie danych osobowych. Wiadomo nie od dziś, że kto nie pracuje ten nie popełnia błędów, zatem zawsze może się zdarzyć coś incydentalnego na co niestety nie mamy wpływu prowadząc firmy, mając nawet najlepiej przeszkoloną załogę i wprowadzone regulaminy oraz zabezpieczenia, ten rejestr incydentów/naruszeń może okazać się bardzo pomocny w skomplikowanej dla nas sytuacji.