blog

Szkolenia w czasie Koronawirusa

Każdy z Państwa zapewne wie jak ważne są szkolenia pracowników, podwykonawców realizujących zadania w interesie administratora danych osobowych (ADO). W Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), znajdziemy w kilku miejscach odniesienia dotyczące szkoleń. 

Najważniejsze odniesienie znajdziemy w art. 39, gdzie są określone zadania które powinien realizować Inspektor Ochrony Danych, znajdziemy tu informację m.in. dot. szkoleń i przeprowadzanych audytów. Jeżeli natomiast podmiot nie musi powoływać IODa, to zadania, które powinien realizować spadają na samego administratora (czyli np. właściciela firmy). Należy pamiętać, że to właśnie na nim spoczywa główny ciężar odpowiedzialności za ochronę danych osobowych. To w interesie ADO jest to aby pracownicy mieli odpowiednie kwalifikacje oraz wiedzę. Każdy powinien być przeszkolony i zapoznany ze specyfiką danej firmy, zajmowanym stanowiskiem i znać przepisy regulujące przetwarzanie danych osobowych. Pracownik powinien wiedzieć jak postąpić i zareagować np. na postępowanie w sytuacji incydentu, bądź naruszenia lub jak realizować prawa osób fizycznych. Do realizacji tych zadań nieodzowne wydają się być szkolenia, myślę, że najlepszą jakość uzyskujemy będąc na miejscu i szkoląc bezpośrednio, ale w dobie pandemii należy rozważyć sytuację, w której będzie ciężko odwiedzić klienta (żółta/czerwona strefa) i zebrać wszystkich pracowników przetwarzających dane osobowe, tym bardziej że w wielu wypadkach wykorzystuje się już pracę zdalną. 

Nieodzowną zatem pomocą IODa lub administratora jest serwis RODO Online i zakładka „Szkolenia”, gdzie mogą Państwo w szablonach ustalić czy jest to np. szkolenie dla nowo zatrudnionej osoby, czy szkolenie branżowe przy bezpośredniej obsłudze klienta, czy może szkolenie dla pracowników zarządzających reklamacjami. Ilość wprowadzonych szkoleń i ich urozmaicenie zależy tylko od wiedzy i zaangażowania IODa lub ADO (szkolenie można też przypisać tylko do danego pracownika a nawet kilku firm). Po ustaleniu szablonu możemy również załączyć i opisać wszystkie załączniki w formie PDF, z którymi powinien zapoznać się szkolący, na koniec możemy sprawdzić poziom przekazanej wiedzy i informacji, za pomocą testu, który sami generujemy tworząc pytania i podając opcje odpowiedzi. Jest to bardzo wygodne przy audytach np. rocznych gdzie aby przeszkolić pracowników można śmiało wykorzystać zakładkę „szkolenia” i być pewnym, że mamy ciągłość szkoleń pracowników zgodnie z najnowszymi wytycznymi. Naszym zdaniem jak i wielu innych specjalistów z branży ochrony danych osobowych człowiek jest najsłabszym ogniwem przy ochronie danych, w tym wprowadzonych polityk, instrukcji, procedur. Jesteśmy tylko ludźmi więc popełniamy błędy, ważne aby być świadomym jak można je minimalizować i jak pracować w taki sposób aby ochrona danych osobowych stała się normą, a nie wymuszonymi niezrozumiałymi procedurami. Forma przekazanej wiedzy nawet przez odpowiednie przygotowanie materiałów, ciekawe opisanie problemów i procedur, oraz przemyślane przygotowanie testu gwarantuje, że Państwa wiedza zostanie przekazana dla pracowników w sposób zrozumiały, bezpieczny i rozliczany.

Jeśli potrzebujesz pomocy przy realizowaniu szkoleń, to skontaktuj się z doświadczonymi specjalistami; dane kontaktowe znajdziesz na naszej stronie https://rodo-online.eu.

Czy ochroniarz może żądać okazania dokumentu potwierdzającego tożsamość ?

Kolejny artykuł, w którym staramy się odpowiedzieć na pytanie często zadawane Inspektorowi Ochrony Danych: czy ochroniarz, pracownik ochrony może żądać okazania dokumentu tożsamości (wylegitymowania). Zazwyczaj w przypadkach, gdy wpuszcza osobę trzecią czy pracownika firmy na teren chroniony biurowca czy zakładu produkcyjnego. 

Legitymowanie jest czynnością administracyjno – porządkową służącą potwierdzeniu tożsamości. Do tej czynności uprawniony jest zamknięty katalog osób i instytucji, którym takie uprawnienie nadaje np. Ustawa z dnia 22 sierpnia 1997r. o ochronie osób i mienia Dz. U. 1997 Nr 114 poz. 740, czy Ustawa z dnia 6 sierpnia 2010r. o dowodach osobistych Dz.U.2010 nr 167 poz. 1131. Każdy pracownik ochrony ma prawo do legitymowania osób. Każda osoba przebywająca na obszarze lub w obiekcie chronionym może zostać wylegitymowana. Z przepisów wynika, że pracownik ochrony nie ma prawa jej zmusić do poddania się legitymowaniu. I choć osoba odmawiająca wylegitymowania  popełnia wykroczenie (art. 36 Ustawy o ochronie osób i mienia), to pracownik ochrony nie ma możliwości jej za to ukarać. Prawda jest też taka, że (poza pewnymi wyjątkami) ludzie nie mają obowiązku posiadać przy sobie dokumentu i faktycznie bez żadnych konsekwencji mogą go po prostu nie mieć, a jeżeli nie mają go przy sobie to również go nie okażą.

Legitymowania ochroniarz czy pracownik ochrony dokonuje na podstawie:

  • dowodu osobistego;
  • tymczasowego dowodu osobistego;
  • tymczasowego zaświadczenia tożsamości;
  • dokumentu potwierdzającego tożsamość cudzoziemca;
  • paszportu;
  • innych dokumentów potwierdzających tożsamość, zaopatrzonych w fotografię i adres zamieszkania osoby legitymowanej.

Podsumowując administrator danych osobowych, wdrażając procedury związane z ochroną danych osobowych w swoim podmiocie, jest zobowiązany do stosowania się do zasad wynikających z przepisów RODO, a dokładnie – do zasady ograniczonego celu przetwarzania (art. 5 ust. 1 lit. b RODO) oraz zasady minimalizacji danych osobowych (art. 5 ust. 1 lit. c RODO). Jednocześnie podczas weryfikacji tożsamości osoby fizycznej administrator danych powinien pamiętać o konieczności spełnienia wobec niej obowiązku informacyjnego z art. 13 RODO. Przesłanką przetwarzania danych osobowych w ramach prowadzenia tzw. ewidencji wejść i wyjść może być art. 6 ust. 1 lit. f RODO, ponieważ w tym przypadku przetwarzanie danych osobowych będzie niezbędne do realizacji celów wynikających z prawnie uzasadnionych interesów administratora. Jeśli nie wiesz jak wdrożyć procedury ochrony czy warunek informacyjny, to skontaktuj się z doświadczonymi specjalistami; dane kontaktowe znajdziesz na naszej stronie https://rodo-online.eu/

Nagrywanie rozmów telefonicznych a RODO

RODO niewątpliwie zmieniło w jakimś stopniu nasze życie. Oczywiście, najbardziej widoczne są dla nas kolejne wyskakujące okienka na portalach informujące o wszystkich wymaganych przez rozporządzenie warunkach dot. przetwarzania danych osobowych. Nagrywanie rozmów również nie pozostało wolne od wpływu nowej rzeczywistości prawnej. Nagrywanie rozmów telefonicznych do celów zawodowych lub w związku z prowadzeniem działalności gospodarczej wymaga poinformowania o nagrywaniu, ponieważ zapis głosu osoby jest informacją o charakterze danych osobowych. Urządzenia takie jak centrale telefoniczne (również wirtualne centrale) mają funkcje nagrywania rozmów. Jeżeli firma rejestruje rozmowy poprzez tego typu urządzenia lub w inny sposób, należy o tym poinformować rozmówcę zgodnie z regulacją RODO opisaną w art. 13. 

Przykład komunikatów informacyjnych:

  • W trosce o Państwa bezpieczeństwo informujemy, że rozmowa może być nagrywana. Jeżeli nie wyrażasz na to zgody, prosimy o przerwanie połączenia.
  • Aby zapewnić najwyższe standardy obsługi nasze rozmowy są nagrywane. Jeśli nie wyrażasz na to zgody, zachęcamy do kontaktu mailowego.
  • Informujemy, że rozmowy są nagrywane. Jeśli nie zgadzasz się na rejestrowanie rozmowy, zachęcamy do kontaktu drogą mailową.

Dodatkowy przykładowy komunikat RODO:

  • W związku z Rozporządzeniem o Ochronie Danych Osobowych prosimy o zapoznanie się z Polityką Prywatności. Klauzula informacyjna znajduje się w naszej placówce oraz pod adresem /tutaj adres strony www/ w zakładce Polityka Prywatności.
  • Prosimy o zapoznanie się z treścią klauzuli informacyjnej dotyczącej przetwarzania państwa danych osobowych, która dostępna jest na naszej stronie internetowej /tutaj adres strony/, zakładka Polityka Prywatności.

Po wejściu w życie przepisów RODO prywatnie mamy prawo do nagrywania telefonicznych rozmów osobistych bez informowania o tym drugiej strony. Jednak podmioty podlegające nowej regulacji muszą powiadamiać swoich rozmówców o rejestracji, administratorze danych i celu zapisu. Naruszenie tego obowiązku grozi karą nawet do 4% rocznych przychodów. Jeśli nie wiesz czy w prawidłowy sposób realizujesz warunek informacyjny odnośnie nagrywania, to skontaktuj się z doświadczonymi specjalistami; dane kontaktowe znajdziesz na naszej stronie https://rodo-online.eu/

Czy polityki i procedury ochrony danych są potrzebne ?

Czy polityki i procedury ochrony danych są potrzebne ? 

Często zadawane nam jest pytanie jak w powyższym tytule, również podobne; jak wygląda skuteczna polityka ochrony danych zgodna z RODO ? jakie procedury powinna zawierać ? co zrobić, żeby nie była „martwym” dokumentem ? postaramy rozjaśnić tematykę w tym artykule.

RODO jest aktem prawnym bardzo elastycznym w porównaniu np. z Rozporządzeniem MSWiA w sprawie określania podstawowych warunków technicznych i organizacyjnych (z 15 lipca 1998) czy w sprawie dokumentacji przetwarzania danych osobowych (z 1 maja 2004). Aby być zgodnym z  RODO, należy udokumentować to w następujący sposób:

  • wdrożyć niezbędne polityki i procedury,
  • prowadzić odpowiednie rejestry i ewidencje,
  • dokonywać regularnych analiz zgodności, ryzyka czy oceny skutków dla ochrony danych, gdy jest ona potrzebna,
  • stosować właściwe postępowania i klauzule w umowach, formularzach, na stornach internetowych oraz w innych miejscach, gdzie przetwarzane są dane osobowe. 

Same RODO zawiera następujące regulacje:

  • motyw 79 preambuły – aby móc wykazać przestrzeganie niniejszego rozporządzenia, administrator powinien przyjąć wewnętrzne polityki.
  • Art. 24 ust. 2 – Jeśli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.

RODO nie precyzuje, jakie polityki ochrony danych należy wdrożyć. Dobre polityki i procedury pozwalają znaleźć odpowiedź na pytania związane z ochroną danych: jak przetwarzać dane osobowe, jak je zabezpieczać, komu zgłaszać incydent i jakie czynności podjąć po jego wykryciu, a także jak przeprowadzić wymagane analizy. Dokumenty podzieliliśmy na wymagane przez RODO oraz zalecane wyczytane „między wierszami RODO” wynikające z naszego doświadczenia:

DokumentStatutFunkcjaŹródło RODO
Polityka ochrony danych osobowychZalecanyZbiór wszystkich procedur ochrony danychArt. 24 ust. 2
Zasady retencji danychWymaganyMówi w jaki sposób i kiedy usuwamy niepotrzebne już dane osoboweArt. 5 ust. 1 lit. e)
Zasady privacy by design i privacy by defaultWymaganyMówi o tym w jaki sposób zapewnić odpowiedni poziom bezpieczeństwa danych i prawa do prywatności np. przy nowych projektach ITArt. 25
Struktura organizacyjna w zakresie ochrony danych osobowychWymaganyKto i za co odpowiada w zakresie funkcjonowania systemu RODO (np. IOD, ASI etc.).Art. 24 ust. 1, Art. 32 ust. 1
Procedura nadawania upoważnieńWymaganyW jaki sposób, na jakich zasadach i komu nadajemy upoważnienia do przetwarzania danych osobowychArt. 29
Ewidencja upoważnieńZalecanyKontrola nad liczbą osób upoważnionych do przetwarzania danych osobowych oraz nad zakresem upoważnieniaArt. 29
Procedura szkoleńZalecanyW jaki sposób szkolimy personel uczestniczący w przetwarzaniu danychArt. 39
Postępowanie z incydentami ochrony danych osobowychWymaganyKto i w jaki sposób reaguje na incydenty ochrony danych osobowychArt. 33
Ocena skutków dla ochrony danych osobowych (DPIA)WymaganaKiedy i w jaki sposób oceniamy skutki dla ochrony danychArt. 35
Realizacja praw osób, których dane dotycząWymaganaKto i w jaki sposób realizuje prawa osób, których dane dotycząArt. 7 ust. 3 Art. 12 – 22
Procedura audytu wewnętrznegoZalecanyKto, w jaki sposób i kiedy kontroluje system ochrony danych osobowych w naszej organizacji.Art. 24 ust. 1,  Art. 32 ust. 1 lit. d),  Art. 39 ust. 1 lit. b)
Kontrola podmiotów przetwarzającychZalecanyW jaki sposób i kiedy kontrolujemy procesorówArt. 28 ust. 3 lit. h)
Opis środków bezpieczeństwaWymaganyJakie środki bezpieczeństwa stosujemy w sferze: organizacyjnej, technicznej, informatycznejArt. 24 ust. 1,  Art. 32 ust. 1
Rejestr czynności przetwarzaniaWymagany *zwolnienie, gdy zaistnieją okoliczności z art. 30 ust. 5Opis wszystkich procesów przetwarzania danych osobowych zachodzących w organizacji w pigułceArt. 30 ust. 1
Rejestr kategorii czynności przetwarzaniaWymagany *zwolnienie, gdy zaistnieją okoliczności z art. 30 ust. 5Zebranie w jednym miejscu wszystkich informacji w zakresie danych, które zostały organizacji powierzoneArt. 30 ust. 2
Procedury ITZalecanySposób zarządzania infrastrukturą IT w której dochodzi do przetwarzania danych osobowychArt. 24 ust. 1,  Art. 32 ust. 1
Materiały informacyjne dla pracowników i współpracownikówZalecanyPodnoszenie świadomości pracowników w zakresie ochrony danych osobowychArt. 39

Dokumentów jest całkiem sporo, ponieważ administrator ma też dużo obowiązków związanych z ochroną danych osobowych. Wewnętrzne polityki i procedury powinny być przede wszystkim użyteczne i zrozumiałe – zapewniać możliwie najefektywniejsze wdrożenie RODO. Dokumentacja ma przede wszystkim ułatwić ochronę danych osobowych w organizacji. Na kształt dokumentacji będzie miał wpływ rodzaj i wielkość prowadzonej działalności. Jeśli nie czujesz się na siłach aby stworzyć wymaganą dokumentację i to zadanie cię przerasta, to skontaktuj się z doświadczonymi specjalistami; dane kontaktowe znajdziesz na naszej stronie https://rodo-online.eu/

Najczęściej spotykane incydenty

Tytuł: Najczęściej spotykane incydenty

Chciałbym dziś opisać Państwu najczęściej występujące incydenty, z którymi spotykamy się na co dzień wykonując swoją pracę. Należy pamiętać, że jeżeli powodują one duże prawdopodobieństwo naruszenia praw lub wolności osób fizycznych, to wtedy stają się naruszeniem (należy niezwłocznie się do tego przyznać poprzez zgłoszenie takiego zdarzenia do organu nadzorczego oraz poinformować osoby poszkodowane). Aby stwierdzić naruszenie należy wykonać ocenę naruszenia (rekomendacje zawarte w publikacji European Union Agency for Network and Information Security (ENISA), 2013, Recommendations for a methodology of the assessment of severity of personal data breaches

Dla klientów, których obsługujemy jako IOD oraz korzystających z systemu RODO-ONLINE.EU – dostępna zakładka w systemie – https://panel.rodo-online.eu/incydenty.

Do najczęściej występujących incydentów u naszych klientów można zaliczyć:

  • Zdarzenia losowe wewnętrzne (awaria komputera/serwera/dysku twardego/oprogramowania, pomyłki informatyków, utrata danych)
  • Umyślne incydenty (kradzież danych i sprzętu zawierającego dane osobowe, włamanie do systemu informatycznego lub pomieszczeń)
  • Zdarzenia losowe zewnętrzne (utrata zasilania, utrata łączności)
  • Nieprawidłowo zaadresowana korespondencja elektroniczna bądź papierowa zawierająca dane osobowe
  • Smartfony, laptopy, przenośne dyski czy teczki z papierowymi dokumentami są nośnikami danych osobowych. Ich utrata, czyli kradzież lub zgubienie należy zakwalifikować jako incydent w ochronie danych osobowych, w zależności od ilości i wagi danych taki incydent często staje się naruszeniem
  • Często w firmach pracownicy niszczą dokumenty w wersji papierowej poprzez ich ręczne zniszczenie (pogięcie, podarcie) i wyrzucenie do kosza na śmieci. Wbrew pozorom tego typu dokumenty można łatwo odzyskać. W celu prawidłowego usunięcia danych osobowych, należy skorzystać z niszczarki. W przypadku elektronicznych nośników należy skorzystać ze specjalistycznego oprogramowania do usuwania danych (nie wystarczy tylko same formatowanie)
  • Sprawdzenie przed rozpoczęciem korzystania z usług konkretnej firmy utylizującej dokumenty, czy np. nie wyrzucają ich do przydrożnego lasu (powinny być spalone lub zniszczone)
  • Fizyczną obecność w budynku lub pomieszczeniach, w których przetwarzane są dane osobowe osób nieuprawnionych, które nie wpisały się do rejestru osób nieupoważnionych
  • Otwarte drzwi do pomieszczeń, szaf, gdzie przechowywane są dane osobowe
  • Nieprawidłowości w zakresie zabezpieczenia miejsc przechowywania informacji (otwarte regały, biurka, szafy w pomieszczeniach w strefach bezpieczeństwa) na nośnikach np. na papierze (wydruki), zdjęcia, płyty CD, pendrive, dyski, karty pamięci, karty do czytników w formie niezabezpieczonej
  • Aktywne konta systemowe i mailowe byłych pracowników, którym powinien być już dawno odebrany dostęp, a który nie raz przydzielany był bezterminowo
  • Niewylogowywanie się przed opuszczeniem stanowiska pracy, pozostawienie wydruków na drukarce, ksero, nie zamykanie pomieszczeń z komputerem
  • Niewykonywanie w określonym terminie kopii bezpieczeństwa oraz nie sprawdzanie możliwości jej odtworzenia
  • Ustawienie monitorów na sekretariacie i w punkcie obsługi klientów pozwalające na wgląd do danych osobowych osobom postronnym (sam wgląd jest już przetwarzaniem)
  • Wynoszenie danych osobowych na zewnątrz organizacji w formie papierowej lub elektronicznej bez upoważnienia
  • Udostępnianie danych osobowych osobom nieupoważnionym w formie papierowej, elektronicznej lub ustnej
  • Incydenty związane z nieaktualizowanym oprogramowaniem lub błędną konfiguracją – wykorzystanie ujawnionej podatności
  • Uniemożliwienie prawidłowego działania systemów lub usług sieciowych poprzez zajęcie wszystkich dostępnych zasobów
  • Telefoniczne próby wyłudzania danych osobowych bez właściwej weryfikacji rozmówcy
  • Maile zachęcające do ujawnienia identyfikatora lub hasła do   systemu/programu/bankowości
  • Pojawienie się wirusa komputerowego lub niestandardowe zachowanie komputerów
  • Przechowywanie haseł do systemu/programów w pobliżu komputera
  • Zdarzenia losowe takie jak awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników
  • Podszywanie się hakerów pod znane firmy wysyłające wiadomości zawierające złośliwe załączniki, które po kliknięciu w załącznik lub link szyfrują dane w taki sposób, że nie można uzyskać dostępu do nich bez użycia klucza, który należy odkupić od hakerów (lub przywrócić kopie bezpieczeństwa). Dużym zagrożeniem ciągle pozostają cyberataki, w szczególności te z wykorzystaniem phishingu i ransomware
  • Naruszenia integralności danych, polegające na nieuprawnionej modyfikacji danych z powodu niewłaściwego zabezpieczenia konta użytkownika lub przekazania dostępu do haseł nieograniczonej liczbie osób poprzez pozostawienie ich w widocznym miejscu. 

Naruszeniem ochrony danych osobowych nie będzie zatem każde zdarzenie, które uznamy za incydent bezpieczeństwa informacji, lecz tylko takie, które będzie się wiązało z naruszeniem poufności, dostępności lub integralności danych i będzie wywierało niekorzystny wpływ na osobę, której dane dotyczą (duże prawdopodobieństwo naruszenia praw lub wolności osób fizycznych). Pamiętać należy, że integralność danych może być także zagrożona przez wirusy komputerowe lub umyśle działanie pracowników firmy.

Usunięcie danych osobowych zgodne z RODO

Usunięcie danych osobowych zgodne z RODO

Ogólne rozporządzenie o ochronie danych (RODO) daje osobom fizycznym prawo do żądania usunięcia ich danych osobowych. Administrator ma obowiązek bez zbędnej zwłoki (do miesiąca) usunąć dane osobowe, jeśli zachodzi jedna z następujących okoliczności:

  • dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
  • osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania;
  • osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania;
  • dane osobowe były przetwarzane niezgodnie z prawem;
  • dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
  • dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1.

Z drugiej strony art. 17 ust. 3 RODO wskazuje wprost sytuacje, gdy administrator danych ma prawo odmówić usunięcia (tzn. gdy jest to niezbędne):

  • do korzystania z prawa do wolności wypowiedzi i informacji;
  • do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  • z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h) oraz i) i art. 9 ust. 3;
  • do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania;
  • do ustalenia, dochodzenia lub obrony roszczeń.

Wpłynięcie wniosku z żądaniem usunięcia danych osobowych rodzi po stronie administratora szereg obowiązków. W pierwszej kolejności takie żądanie powinno zostać zweryfikowane pod kątem tego, czy administrator przetwarza dane osobowe osoby składającej żądanie oraz czy żądanie to zostało złożone przez uprawnioną osobę. Administrator, jeśli ma uzasadnione wątpliwości co do tożsamości osoby składającej żądanie, powinien zażądać od takiej osoby dodatkowych informacji niezbędnych do potwierdzenia tożsamości. Jeśli na podstawie wskazanych w żądaniu danych osobowych administrator nie jest w stanie jednoznacznie określić, czy dane które przetwarza dotyczą osoby, która zgłosiła żądanie, powinien w miarę możliwości poinformować o tym fakcie taką osobę.  Niejednokrotnie zdarza się, że przekazane administratorowi w żądaniu usunięcia danych dane osobowe nie są wystarczające do zidentyfikowania w bazach właściwej osoby, której dane dotyczą. Imiona i nazwiska mogą się powtarzać, administrator może także dysponować innym zestawem danych niż osoba, której dane dotyczą wskazała w żądaniu usunięcia jej danych. W takich wypadkach uzasadnione będzie poinformowanie osoby żądającej usunięcia danych o zaistniałych przeszkodach w realizacji żądania. Weryfikacja i realizacja żądania może się okazać możliwa dopiero po podaniu dodatkowych danych umożliwiających identyfikację w zasobach administratora.

Administrator po weryfikacji żądania i usunięciu danych zobowiązany jest o jej wynikach poinformować osobę, która takie żądanie złożyła. Informacja ta powinna zostać sformułowana prostym, łatwo zrozumiałym dla odbiorcy językiem. Osoba, która żądała usunięcia danych osobowych, w przypadku nie uwzględnienia żądania powinna także zostać poinformowana o prawie wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem. Biorą pod uwagę wzrost liczby wniosków o usunięcie danych osobowych przesyłanych przez naszych klientów, którym świadczymy outsourcing IOD. Wnioski przysparzają coraz więcej kłopotów administratorom. Jeśli masz takie problemy lub inne nurtujące cię problemy z ochroną danych osobowych skontaktuj się z nami.

Czy musimy zawierać umowę powierzenia ?

W ostatnim czasie podczas audytów RODO, jak i przy okazji rozmów z naszymi klientami często pada pytanie po co nam umowy powierzenia ? czy musimy zawierać umowę powierzenia z podmiotem x czy y ? Nie jeden z naszych klientów już zdołał się o tym przekonać, że są one istotnym elementem w momencie zaistnienia incydentu czy naruszenia. 

Wyjaśnijmy najważniejsze pojęcia:

  • Administrator danych osobowych ustala cele, w jakich dane osobowe są przetwarzane, oraz sposoby, jakimi się je przetwarza. Zatem, jeśli Twoja firma/organizacja decyduje o tym „po co” i „w jaki sposób” powinno się przetwarzać dane, jest ona administratorem danych osobowych. Pracownicy przetwarzający dane w ramach Twojej organizacji wykonują w ten sposób Twoje zadania jako administratora danych.
  • Podmiot przetwarzający dane dokonuje przetwarzania danych osobowych wyłącznie w imieniu administratora. Podmiot przetwarzający dane jest zazwyczaj stroną trzecią, czyli podmiotem zewnętrznym wobec firmy. 

Obowiązki podmiotu przetwarzającego względem administratora muszą być określone w umowie lub innym instrumencie prawnym, który podlega prawu Unii lub prawu państwa członkowskiego. Umowa musi na przykład wskazywać, co się stanie z danymi osobowymi po rozwiązaniu umowy. Jak również regulacja taka musi być wiążąca, określać przedmiot i czas trwania przetwarzania, rodzaj danych osobowych oraz kategorie osób, której dane dotyczą, obowiązki i prawa administratora kluczowym w tym zakresie jest art. 28 RODO. Typową działalnością podmiotu przetwarzającego jest dostarczanie rozwiązań IT, czy usług przechowywania danych w chmurze. Podmiot przetwarzający dane może zlecić innemu podmiotowi przetwarzającemu podwykonawstwo części swoich obowiązków albo wyznaczyć podmiot współprzetwarzający dane wyłącznie po otrzymaniu uprzedniej pisemnej zgody administratora danych. Dane powinno powierzać się wyłącznie podmiotowi, który spełnia wymagania z przepisów ochrony danych osobowych. Ciąży na nim dokładnie takie sama odpowiedzialność jak na administratorze. Czyli odpowiedzialność: administracyjna, finansowo-administracyjna, cywilna czy karna.

Należy zwrócić uwagę, że uregulowanie relacji pomiędzy administratorem i podmiotem przetwarzającym w oparciu o umowę powierzenia jest obowiązkiem administratora oraz podmiotu przetwarzającego. Forma takiej umowy może być pisemna lub elektroniczna. Brak uregulowania relacji może być podstawą do nałożenia administracyjnej kary pieniężnej zgodnie z art. 83 ust. 4 a RODO. Podmiot przetwarzający, biorąc pod uwagę charakter przetwarzania, pomaga administratorowi  w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą oraz innych nałożonych na administratora przepisami RODO. Zaleca się aby rola podmiotu przetwarzającego polegała na przekazaniu administratorowi, w ustalonym przez stronie terminie, wszelkich informacji niezbędnych do realizacji określonego obowiązku. Umowa zgodna z przepisami unijnego rozporządzenia, ma na celu zapewnienie administratorowi lepszej kontroli nad przetwarzanymi przez niego danymi osobowymi dlatego jest ważnym elementem. Masz inne pytania, nurtujące cię problemy z ochroną danych osobowych skontaktuj się z doświadczonymi specjalistami dane kontaktowe znajdziesz na naszej stronie https://rodo-online.eu/.

Czy w przypadku kierowania ucznia czy studenta na praktyki zawodowe konieczna jest umowa powierzenia ?

W ostatnim czasie kilku naszych klientów miało pytanie. Czy jeśli podpisali ze szkołą lub uczelnią umowę (porozumienie) dotyczącą praktyk zawodowych to powinni również podpisać umowę powierzenia przetwarzania danych lub powinni zastosować zapisy dotyczące powierzenia w umowie głównej ?

W pierwszej kolejności należy wskazać, że w rozumieniu art. 4 pkt 7 RODO szkoła lub uczelnia jest administratorem danych osobowych swoich uczniów czy studentów.

Zgodnie z przepisami RODO konieczność zawarcia umowy powierzenia przetwarzania danych osobowych istnieje wówczas, gdy administrator danych osobowych zleca przetwarzanie danych innemu podmiotowi (podmiotowi przetwarzającemu). Wówczas podmiot przetwarzający przetwarza dane w imieniu administratora, a nie w imieniu własnym (tj. nie staje się administratorem danych). Podmiot przetwarzający nie decyduje bowiem o celach i sposobach przetwarzania, gdyż przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora (art. 28 ust. 3 lit. a RODO).

Kwestie związane z praktyczną nauką zawodu uregulowane zostały w ustawie Prawo oświatowe oraz w rozporządzeniach wykonawczych. Zgodnie z przepisami rozporządzenia Ministra Edukacji Narodowej z dnia 22 lutego 2019 r. w sprawie praktycznej nauki zawodu, uczniowie i słuchacze (dalej: uczniowie) publicznych szkół ponadgimnazjalnych prowadzących kształcenie zawodowe uczestniczą w zajęciach praktycznych bądź praktykach zawodowych.

Organizację praktyk studenckich reguluje ustawa z dnia 20 lipca 2018 r. Prawo o szkolnictwie wyższym i nauce. Zgodnie z art. 67 ust. 5 tej ustawy studia są prowadzone na podstawie programu studiów, który może przewidywać odbycie przez studenta praktyk zawodowych (art. 67 ust. 5). Ponadto z przepisów tych wynika, że realizacja praktyk stanowi jeden z obowiązków studenta (art. 107 ust. 2 pkt 2). Zatem skierowanie studenta przez uczelnię do odbycia praktyk wynika z programu studiów, a praktyki te mają na celu uzyskanie przez studenta efektów uczenia się kształtujących umiejętności praktyczne, o których mowa w art. 64 ust. 2 pkt 1 powyższej ustawy.

W przypadku organizacji praktycznej nauki zawodu przez szkołę lub praktyki studenckiej przez uczelnię przekazują one na mocy umowy (porozumienia) dane osobowe uczniów czy studentów podmiotowi, z którym zawarły umowę o realizacje takiej nauki. Podmiot ten z chwilą otrzymania danych ucznia czy studenta staje się ich administratorem. Zwrócić bowiem należy uwagę, że zarówno szkoła czy uczelnia, jak i pracodawca mają określone role i zadania związane z organizacją praktycznej nauki zawodu czy praktyki studenckiej. Pracodawca zapewnia możliwość faktycznego odbywania praktyk, zapoznając praktykanta m.in. z organizacją pracy, regulaminem oraz dyscypliną pracy. Może też upoważnić go do przetwarzania danych osobowych, jeżeli będzie to niezbędne w  związku z odbywaniem praktyki.

Oznacza to, że zarówno szkoła czy uczelnia, jak i podmiot przyjmujący uczniów czy studentów na praktyczną naukę zawodu jak i praktyki studenckie występują w roli odrębnych administratorów. Wobec powyższego – skoro nie występuje sytuacja określona w art. 28 RODO (tj. przetwarzanie danych w imieniu administratora) – nie ma obowiązku zawierania umowy powierzenia przetwarzania danych osobowych. W tej sytuacji mamy do czynienia z udostępnieniem danych osobowych niebędącym powierzeniem – podmiot, który otrzymuje dane osobowe, przetwarza je w celach, które samodzielnie kształtuje – nie w celach własnych udostępniającego.

Podsumowując każda ze stron tej umowy (porozumienia) przetwarza dane ucznia czy studenta dla realizacji swoich celów oraz obowiązków i w tym zakresie jest administratorek danych. Masz inne pytania, nurtujące cię problemy z ochroną danych osobowych skontaktuj się z doświadczonymi specjalistami dane kontaktowe znajdziesz na naszej stronie https://rodo-online.eu/.

Zgubienie sprzętu z danymi osobowymi

Nie każdy przedsiębiorca wie, że najdroższe zgubione urządzanie mobilne jak laptop, tablet,  smartfon czy nawet pendrive może go kosztować 20 milionów euro lub 4% rocznego światowego obrotu przedsiębiorstwa. Zagubienie takiego urządzania to nie jedyny problem dla administratora, największy to dane jakie zawierało to urządzenie oraz związane z tym przepisy RODO. Takie urządzania zapewniają łatwy i szybki dostęp do danych, programów i aplikacji, ułatwiają komunikację służbową jak i prywatną. Na urządzeniach mobilnych gromadzona jest duża ilość danych firmowych i prywatnych, maile, fotografie, dokumenty jak i całe bazy danych osobowych.  

Podstawowym obowiązkiem administratora czy procesora wynikającym z RODO jest między innymi prawidłowe zabezpieczanie tego typu urządzeń czyli:

  • Zastosowanie hasła użytkownika czy pinu przy każdorazowym uruchamianiu urządzenia, programu czy aplikacji oraz przy braku aktywności przez zdefiniowany przez użytkownika czas. 
  • Sprzętowe automatyczne blokowanie ekranu – ma podobne zastosowanie jw.
  • Szyfrowanie programowe – to rozwiązanie zapewniające kryptograficzne ochronę danych poprzez szyfrowanie każdego sektora nośnika.  
  • W przypadku komputerów ustawiania hasła na biosie

Zagubienie, a nawet kradzież urządzenia mobilnego nie zwalnia administratora z odpowiedzialności za to, co stanie się z danymi przechowywanymi na urządzaniu. Samo zagubienie czy pozostawienie sprzętu z danymi osobowymi w miejscu publicznym nie jest równoznaczne z naruszeniem ochrony danych. Jeśli sprzęt zostanie odnaleziony lub odzyskany trzeba ustalić, czy osoby nieuprawnione uzyskały dostęp do danych osobowych. Konieczne jest wykonanie analiza ryzyka dla ochrony danych w tym przypadku. Innymi słowy, administrator powinien zastanowić się na tym, czy i jakie prawa i wolność były zagrożone incydentem i czy doszło do naruszenia. 

Brak odpowiedniej reakcji może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych. W szczególności dotyczy to utraty kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości. Konsekwencjami może być strata finansowa, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową. Nośnik z danymi, który mógł dostać się w niepowołane ręce, może skutkować wykorzystaniem ich w sposób nieodpowiedni. Osoba nieupoważniona posiadając dane (imię, nazwisko, nr i serię dowodu osobistego) może również działać w imieniu osoby, której dane dotyczą. Dlatego ważna jest świadomość użytkowników jak i administratora w tym zakresie. Trzeba zapewnić odpowiedni poziom bezpieczeństwa oraz minimalizować ryzyko utraty danych.

Z pomocą przychodzi system RODO-ONLINE.EU i doświadczeni specjaliści – kontakt pod adresem: kontakt@rodo-online.eu

RODO w czasie pandemii

Pandemia koronawirusa wpłynęła na działanie wszystkich osób przetwarzających dane osobowe, administratorów i procesorów. Pandemia nie zwolniła Inspektora Ochrony Danych jak i Administratora Danych Osobowych ze swoich zadań. 

Pandemia postawiła nowe wyzwania, zmienił się wielu przypadkach sposób wykonywania pracy. To wymusiło stworzenie odpowiednich procedur, regulaminów, przeanalizowania ryzyka czy incydentów. Europejska Rada Ochrony Danych Osobowych (EROD) wydała również wytyczne i oświadczenia jak postępować w kontekście pandemii COVID-19. EROD przygotowało dość ogólne i kierunkowe wytyczne. Wskazano, iż RODO nie ogranicza środków podejmowanych w ramach walki z pandemią, jednakże wskazano że w żaden sposób nie zwalnia to z obowiązków dotyczących zapewnienia ochrony danych osobowych. Dlatego wielu Administratorów borykało się i nadal ma wile problemów z dostosowaniem procedur, regulaminów wewnętrznych i pozostałej dokumentacji do zaistniałej sytuacji. Główne problemy dotyczą: pracy zdalne (sprzęt i jego zabezpieczenie, oprogramowanie, komunikacja – realizacja art.32 RODO itp.), pracownik (szkolenie, czas pracy itp.), 

Z pomocą przychodzi system RODO-ONLINE.EU lub doświadczeni specjaliści – kontakt pod adresem: kontakt@rodo-online.eu