Ochrona danych osobowych w sekretariacie

Przypominamy, że w dniu 25.04.2021 obchodzimy „Międzynarodowy Dzień Sekretarki” nieformalne święto obchodzone w wielu krajach na świecie w celu uznania i promowania pracy sekretarki i sekretarza, asystentki i asystenta, oraz pracowników pomocniczych w biurze, pojmowanych ogólnie, jako pracowników administracyjnych. Pamiętać trzeba, że pracownicy sekretariatu wykonują ciekawą pracę, gdzie duży nacisk kładzie się właśnie na ochronę danych osobowych. 

Są to pracownicy na pierwszej „linii frontu” bywa, że obsługują petentów oraz klientów telefonicznie i stacjonarnie, zajmują się pocztą przychodzącą oraz wychodzącą, obiegiem dokumentacji w danej organizacji, zamawianiem materiałów biurowych potrzebnych do wykonywania swojej pracy, obsługą kontrahentów. Zdarza się, że na takie osoby przeprowadza się ataki socjotechniczne, w celu wyłudzenia danych dotyczących organizacji. Wszyscy pracownicy sekretariatu powinni również być zapoznani z jego funkcjonowaniem oraz zapoznani ze szkoleniem związanym z ryzykiem przetwarzania danych osobowych.

Można śmiało powiedzieć, że największe ryzyko występuje podczas weryfikacji petenta/klienta (największy problem istnieje podczas weryfikacji telefonicznej, ponieważ nigdy nie mamy 100% pewności z kim rozmawiamy, więc kluczowe jest zadawanie dodatkowych pytań, na które pracownik zna odpowiedzi i może osobę zweryfikować, np. wcześniejsze informacje wprowadzone w systemie). 

Kolejnym przetwarzaniem związanym z istotnym ryzykiem jest wysyłanie maili niezaszyfrowanych zawierających dane osobowe, pomyłka we wprowadzanym adresie mailowym, wysyłanie maila z widocznymi dla wszystkich odbiorcami. Przez pośpiech zdarzają się również pomyłki w wysyłanych listach (nie raz pismo kierowane jest do innego adresata i dochodzi do incydentów lub naruszeń). 

Pod żadnym pozorem osoby nie powinny klikać odnośników znajdujących się w otrzymanej poczcie, w szczególności w korespondencji niezamówionej lub pochodzącej od nieznanych osób, instytucji i firm – gdyż istnieje wysokie ryzyko ataku phishingowego. 

Spory problem dla pracownika sekretariatu pojawia się natomiast podczas udostępniania danych osobowych przez ADO (zachodzi między niezależnymi administratorami danych osobowych) lub dla osób trzecich. W praktyce oznacza to konieczność ścisłej weryfikacji osób czy podmiotów, które wnoszą o udostępnianie danych osobowych. Ich powierzenie osobom trzecim musi określać podstawa prawna, która daje możliwość występowania o przekazanie odpowiednich informacji w związku z zaistnieniem konkretnych okoliczności. Zatem osoby pracujące w sekretariacie uczestniczą po części w procesie realizacji prawa osób fizycznych.

W tym wypadku odpowiednie szkolenie związane z ochroną danych osobowych na stanowisku pracy jest bardzo pomocne, pomaga również opracowanie funkcjonujących regulaminów i procedur np.: 

  • Regulamin Ochrony Danych Osobowych
  • Polityka czystego biurka i ekranu
  • Regulamin udzielania informacji
  • Procedura weryfikacji tożsamości
  • Zasady postępowania osób upoważnionych
  • Procedura postępowania w sytuacji incydentu ochrony danych osobowych
  • Instrukcja postępowania w razie zdarzenia losowego lub zmiany miejsca
  • Procedura realizacji prawa osób fizycznych

Po szkoleniach pracownik staje się bardziej świadomy przetwarzania danych osobowych w codziennych czynnościach służbowych, wie na co zwracać uwagę, co robić jeżeli dojdzie do incydentu lub naruszenia, staje się też bardziej dokładny w wykonywaniu obowiązków (np. przygotowywanie poczty wychodzącej, wysyłanie maili, weryfikacja telefoniczna). Szkolenie nie tylko zwiększa świadomość, ale pozwala pracownikowi z czystym sumieniem podpisać oświadczenie o poufności danych. Natomiast Administrator następnie może nadać takiemu pracownikowi upoważnienie do przetwarzania danych osobowych w organizacji zgodnie z jego zakresem obowiązków. 

W dobie pandemii gdzie występuje problem z prowadzeniem szkoleń stacjonarnych u klienta, ze stworzeniem odpowiedniego szkolenia podnoszącego świadomość pomocny jest nasz serwis RODO Online. Należy zaznaczyć że jednym z obowiązków IOD zgodnie z art. 39 ust. 1 RODO jest szkolenie pracowników, nasz serwis daje możliwość dodania prędzej przygotowanego szkolenia, można dodać materiały oraz zweryfikować wiedzę za pomocą przygotowanego testu dla pracowników. Pracownik otrzyma certyfikat przebycia szkolenia a ADO czy IOD będzie mógł wykazać ten fakt – idealne narzędzie do pracy Inspektora Ochrony Danych albo świadomego Administratora Danych Osobowych.

Aby dowiedzieć się więcej zapraszamy do kontaktu z naszymi specjalistami:

e-mail: pomoc@rodo-online.eu
tel. +48 885 206 000
tel. +48 885 960 500

Jak weryfikować podmiot przetwarzający ?

Jak weryfikować podmiot przetwarzający?

Publikujemy kolejny artykuł z serii odpowiedzi na pytania naszych klientów. Padło i nadal pada wiele pytań odnośnie podmiotów przetwarzających dane osobowe w imieniu administratora. 

Niemal każda organizacja powierza dane osobowe swoim dostawcom

Relacje pomiędzy administratorem, a podmiotem przetwarzającym dane osobowe (procesorem) trzeba odpowiednio uregulować. To głownie zadanie administratora by te relacje uwzględnił w systemie ochrony danych swojej organizacji. Model prowadzenia działalności gospodarczej się zmienia. Niemal każda organizacja powierza dane osobowe dostawcom – outsourcing usług np. w obszarze kadrowym i płacowym, informatycznym, marketingowym, call center czy archiwizacji dokumentów. To już przed zawarciem umowy administrator powinien sprawdzić, czy potencjalny przyszły procesor daje gwarancję bezpieczeństwa przetwarzania danych osobowych i realizacji innych obowiązków wynikających z RODO. 

Weryfikacja procesora pod względem ochrony danych osobowych

Przepisy RODO określają ogólnie, iż przetwarzanie danych osobowych przez procesora powinno spełniać wymogi rozporządzenia, w tym chronić prawa podmiotów danych (art. 28 ust. 1 RODO) oraz spełniać wymogi bezpieczeństwa (motyw 81 Preambuły RODO). W tym celu procesor jest zobowiązany wdrożyć odpowiednie środki techniczne i organizacyjne. Przed rozpoczęciem współpracy z potencjalnym procesorem administrator powinien ocenić, czy daje on gwarancje przetwarzania danych zgodnie z powyższymi wymogami. Sposób weryfikacji, pytania zadawane procesorowi, ich dokładność i zakres mogą być różne w zależności od charakteru powierzenia i zakresu powierzonych danych. Z pewnością jednak podmiot, który nie posiada procedury notyfikacji naruszeń, nie prowadzi obowiązkowych rejestrów (naruszeń, czynności przetwarzania, kategorii czynności) lub nie szkoli i nie upoważnia swoich pracowników, powinien powodować u nas zapalenie się „czerwonej lampki”; nie dyskryminuje to od razu takiego podmiotu. Jednak powinny być to jedne z elementów sprawdzanych przez administratora. Administrator musi zweryfikować działalność procesora w taki sposób, aby móc ocenić, czy przetwarzanie przez niego danych nie doprowadzi do naruszenia ochrony danych osobowych, naruszenia umowy lub przepisów RODO. Zgodnie z motywem 81 Preambuły RODO odpowiedni podmiot przetwarzający powinien legitymować się:

  • wiedzą fachową (kompetencje personelu, doświadczenie);
  • wiarygodnością (np. certyfikaty ISO, wdrożone kodeksy postępowania, ewentualnie przebieg dotychczasowej współpracy);
  • zasoby (zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, stosowanie wewnętrznych procedur).

Na tej podstawie administrator może ocenić gwarancje procesora w zakresie wdrożenia środków technicznych i organizacyjnych zapewniających właściwe stosowanie przepisów RODO. Na tym etapie weryfikacji procesora może być stosowana lista kontrolna; również wprowadzona przez naszą firmę. 

Powierzenie danych osobowych procesorowi

Po tym etapie weryfikacji, oceny i wyłonieniu odpowiedniego procesora, całość relacji łączącej administratora z procesorem powinna być unormowana w ramach umowy powierzenia danych. Należy pamiętać że po podpisaniu umowy powierzenia administrator ma również swoje prawa weryfikacji podmiotu. Kluczowym w tym zakresie jest art. 28 ust.3 lit. h RODO, który nie tylko daje prawo administratorowi kontroli, ale kontrola jego obowiązkiem. W ramach kształtowania się praktyki w stosowaniu przepisów RODO, popularne staje się regulowanie w ramach umowy powierzenia uprawnienia po stronie administratora do przeprowadzenia audytu również u podprocesorów. Tendencja do uregulowania tego zagadnienia w ramach umowy wynika z treści art. 28 ust. 4 RODO. Zgodnie z nim podmiot przetwarzający może podpowierzyć dane osobowe jedynie na podstawie umowy zawartej ze swoim podwykonawcą, której treść zapewniać będzie stosowanie przez podwykonawcę środków gwarantujących przetwarzanie zgodnie z wymogami RODO. W interesie administratora pozostaje zatem zapewnienie sobie możliwości przeprowadzenia audytu u podprocesora, w celu utrzymania pełnej kontroli nad przetwarzanymi przez niego danymi osobowymi. Jak wynika jednak z art. 28 ust. 3 lit. h RODO, audyt nie jest jednak jedyną formą weryfikacji podmiotu przetwarzającego. Podkreślenia wymaga, że przywołany przepis obliguje procesora czy podporcesora do udostępniania administratorowi wszelkich informacji, wykazujących przestrzeganie przepisów RODO w zakresie powierzenia przetwarzania danych w tym bezpieczeństwa danych osobowych. 

Treść dokumentu stanowiącego dowód z przeprowadzonej weryfikacji, powinien być na tyle precyzyjny, aby pozwalał administratorowi na uzyskanie szczegółowych informacji w zakresie stosowanych przez podmiot przetwarzający środków technicznych i organizacyjnych, które zapewnić mają zgodność z przepisami RODO oraz bezpieczeństwo danych osobowych przetwarzanych w imieniu administratora. RODO nie określa, w jaki sposób należy dokonywać weryfikacji zapewnienia przez procesora czy podprocesora gwarancji przetwarzania danych zgodnie z przepisami (pomijając stosowanie zatwierdzonych kodeksów postępowania lub mechanizmów certyfikacji).

Rozpoczęcie współpracy z procesorem, który nie zapewnia odpowiednich gwarancji, jest naruszeniem obowiązków administratora. Również brak weryfikacji lub brak udokumentowania jej przeprowadzenia naraża administratora na zarzut naruszenia przepisów RODO. W takim przypadku – oprócz odpowiedzialności administracyjnoprawnej – wzrasta ryzyko naruszenia praw i wolności podmiotów danych, co może skutkować dodatkowymi konsekwencjami dla administratora. Stosowanie tzw. listy kontrolnej procesora jest dobrym rozwiązaniem, gdyż pozwala zarówno na ocenę zgodności, jak i na jej udokumentowanie. Rzadko zdarzają się natomiast osobiste wizyty audytorów administratora, składane potencjalnym podmiotom przetwarzającym w celu sprawdzenia ich zdolności do przetwarzania danych osobowych zgodnie z przepisami. Pamiętajmy że administrator ma obowiązek przestrzegania przepisów RODO i musi być w stanie wykazać ich przestrzeganie (art. 5 ust. 2 RODO). 

Jeśli nie wiesz czy dobrze zweryfikowałeś procesora, prawidłowo sporządziłeś umowę powierzenia, skontaktuj się z naszymi specjalistami:

e-mail: pomoc@rodo-online.eu
tel. +48 885 206 000
tel. +48 885 960 500

Hasła – dobre praktyki

Wszyscy wielokrotnie w ciągu dnia używamy haseł, pinów, tokenów zabezpieczających. Między innymi w Internecie, podczas autoryzacji transakcji bankowych, w trakcie logowania do systemów, aplikacji, skrzynki e-mail w pracy, czy w telefonie do serwisów społecznościowych. Większość z nas sądzi, że nasze hasła są nie do złamania i korzystamy z nich w prawidłowy sposób. Mimo to można było przeczytać w 2019 roku o możliwości zakupu na forach hackerskich bazy „Collection #1”, która zawierała 773 mln adresów e-mail oraz 21 mln haseł pochodzących z ponad 2000 serwisów (w tym również polskich), zaktualizowana baza kosztowała jedyne 45 dolarów. Więc na pewno bardzo duża liczba osób zainteresowanych ją kupiła. Dobrze, aby nie znalazły się w takiej bazie nasze dane do logowań do serwisów, co groziłoby możliwością podszycia się pod naszą osobę. Czym się zatem kierować i jakie są zasady tworzenia prawidłowych haseł?: 

1. Długość hasła, to wg powszechnie obowiązujących przepisów i przekonania: 8 znaków. Warto tu przypomnieć że, im więcej znaków, tym lepiej. Zalecamy minimum 12 znaków.

2. Hasło winno składać się z kombinacji, a więc małych i wielkich liter, – cyfr, – znaków specjalnych.

3. Hasło powinno składać się ze znaków wybieranych z całej klawiatury (trudniej je dostrzec osobie obserwującej naszą klawiaturę – najlepiej abyśmy wpisywali je dwoma rękoma.)

4. Hasło nie powinno składać się z klawiszy sąsiadujących (nawet gdy pozornie spełnia stopień komplikacji); #edc$rfv, 9i8u7y.

5. Hasło nie powinno zawierać danych związanych z Twoja osobą, takich jak: imię, nazwisko, powszechnie znane fakty z Twojego życia czy otoczenia, np.: Tomek123, gruby!@#

6. W haśle nie należy używać słów, które tworzą znane wszystkim kolokacje, powiedzenia, tytuły, cytaty, teksty piosenek, ponieważ nie jest to przypadkowy ciąg wyrazów. Pamiętaj, iż istnieje tzw. metoda brute force – technika łamania haseł lub kluczy kryptograficznych polegająca na sprawdzeniu wszystkich możliwych kombinacji.

7. Każde hasło winno być zmienne w czasie. Zaleca się, aby zmieniać hasło co najmniej raz w miesiącu (w zależności od stopnia trudności hasła lub zalecanych wymagań producenta aplikacji, systemu z którego korzystamy)

8. Hasło powinno być odrzucane przez systemy komputerowe za każdym razem gdy ich zmiana jest niewielka np.: w styczniu ustawiono = hasło1, w lutym = hasło2 oraz nie dopuszczać możliwości stosowania tego samego hasła co najmniej przez rok.

9. Nie należy posługiwać się jednym hasłem w wielu miejscach, to samo dotyczy loginu, np.: portale społecznościowe, sklepy internetowe, systemy w pracy, dostęp do skrzynki e-mail.

10. Nie powinno się zapisywać haseł w miejscach ogólnodostępnych np.; w pracy na monitorze, pod klawiaturą, na kartce umieszczonej w portfelu, torbie. Takie hasła mogą być znalezione przez personel zewnętrzny, trafić w ręce złodzieja, jak również innych osób podczas zgubienia np. portfela, torby. Haseł nie powinno się przysyłać również mailem, ani innymi komunikatorami.

11. Koniecznie należy zmieniać hasła domyślne (tzw.: default password) dla urządzeń, które instalujesz w domu np.: routerów, modemów. Listy haseł dla tych urządzeń są powszechnie dostępne, gdyż służą do logowania się w przypadkach zagubienia dokumentacji technicznej. 

12. Używaj haseł losowo frazowych (niepowiązanych ze sobą w sposób logiczny) z wymiennością znaków, np.: W3r0ni^k@!, z@b_@Wk@^p_@uLi

13. Często tworząc hasło do konta w celu jego zresetowania wymagane jest udzielenie odpowiedzi na wybrane pytanie należy wówczas pamiętać, aby odpowiedź nie zawierała danych, które tak naprawdę można o nas uzyskać w sieci (np. z portali społecznościowych) lub są łatwe do odgadnięcia, tutaj także zaleca się użycie silnego hasła w odpowiedzi na pytanie pozwalające na zresetowanie hasła do naszego konta. Jeżeli jest taka możliwość, warto też ustawić i korzystać z Authenticatora generującego odpowiedni kod dostępu.

14. Coraz większą popularnością cieszą się zarówno komercyjne (płatne) jak i darmowe generatory haseł. Warto z nich skorzystać.

15. Jeżeli dalej masz problem z ustawieniem silnego hasła, które powinno mieć odpowiednią trudność, skorzystaj z linków aby sprawdzić czy jest wystarczająco dobre; https://howsecureismypassword.net/, http://www.passwordmeter.com/

Przepisy przewidują odpowiedzialność karną za udostępnianie haseł lub za bezprawne uzyskanie informacji:

Art. 267. KK

Bezprawne uzyskanie informacji

§ 1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

§ 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego.

(…)

§ 4. Tej samej karze podlega, kto informację uzyskaną w sposób określony w § 1-3 ujawnia innej osobie.

(…)

a także:

Art. 269b KK. § 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 1 lub 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym, systemie teleinformatycznym lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

Art. 107. 1. Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch, zgodnie z Ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000)).

Należy wspomnieć, że w przewodniku zabezpieczeń Windowsa 10, w ramach minimalizacji ryzyka zaleca się  aby nie można było powtórzyć ostatnich 24 haseł. Zaleca się również aby weryfikacja za pomocą hasła była wymagana przy wzbudzaniu komputera ze stanu uśpienia. Należy edukować użytkowników odnośnie zasad używania haseł. Podnoszenie świadomości wśród użytkowników odnośnie ochrony tożsamości wpływa znacząco na bezpieczeństwo całego systemu. 

Jeżeli chciałbyś się dowiedzieć więcej na temat szkolenia i stworzenia dokumentacji dot. m.in. wprowadzenia polityki haseł, stworzenia Instrukcji Zarządzania Systemem Informatycznym,  to zapraszamy do kontaktu z naszymi specjalistami pomoc@rodo-online.eu, tel. +48 885 206 000, +48 885 960 500.

Zagrożenia z sieci dla naszych danych osobowych – phishing

Każdego z nas może spotkać zagrożenie dla naszych danych osobowych nadchodzące z sieci. Żadne zabezpieczenia, czy to logiczne, czy fizyczne nie uchronią nas przed codziennie to nowo pojawiającymi się pomysłami na wyłudzenie czy kradzież naszych danych osobowych, w tym naszych zdjęć, informacji o finansach itp. Przez pojęcie „naruszenia ochrony danych osobowych” należy rozumieć „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych” (art. 4 pkt 12 RODO). 

Zagrożenia, o których chcemy wspomnieć, najczęściej określane są jako phishing. Najbardziej popularna definicja określa phishing jako metodę oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję w celu wyłudzenia poufnych informacji (np. danych logowania, danych karty kredytowej), zainfekowania komputera szkodliwym oprogramowaniem czy też nakłonienia ofiary do określonych działań. 

Obecnie, skala problemu jest ogromna, a to z powodu rozwoju technologii w ostatnich czasach. W każdej chwili możemy zrobić przelew z telefonu, laptopa, tabletu, komputera stacjonarnego czy innego urządzenia, które może podłączyć się do Internetu i korzystać z przeglądarki internetowej. Programy te nie zawsze znajdują się na stronach w sieci, ale również mogą być wysłane za pośrednictwem maila w postaci załączników, o które nie podejrzewalibyśmy że są zainfekowane. Dla przykładu mogą to być większe pliki excel’a, które będą zawierać złośliwe oprogramowanie. 

Czytając tego typu wiadomości np. wysłane z kadr, od firmy kurierskiej, od szefa, firm zewnętrznych, zwróćmy uwagę, iż często nie są one agresywne w swej treści, zawierają krótką informację i często zawierają niewielki załącznik wyglądający na plik, o znanym rozszerzeniu charakterystycznym dla plików WORD, EXCEL, paczka .zip, z którymi pracujemy na co dzień.

Aby uchronić się przed atakiem typu phishing zwróćmy szczególną uwagę na wiadomości zawierające prośbę o podanie danych osobowych, finansowych, w których nadawca prosi o pilne zalogowanie się czy wypełnienie formularza. Jeśli jakaś wiadomość wzbudza Twoje podejrzenia nie klikaj w linki w niej zawarte, nie otwieraj załączników i niezwłocznie powiadom o otrzymaniu takiego maila przełożonego i osoby odpowiedzialne za bezpieczeństwo informatyczne, a następnie wykonaj wszystkie polecenia tychże osób. 

W przypadku przekierowania na stronę logowania instytucji, sklepu, systemu wyglądającą podobnie do tej z której korzystasz na co dzień, zwróć uwagę, czy adres strony lub maila jest prawidłowy, często może różnić się jedną literą lub znakiem. Podczas dokonywania zakupów po raz pierwszy w sklepie internetowym, sprawdź dane kontaktowe właściciela sklepu, poszukaj opinii na jego temat. Jeśli strona wzbudzi Twoje podejrzenia najlepiej wycofać się z zakupów w tym sklepie. Sprawdź informacje o domenie np. pod adresem: https://centralops.net/co/domaindossier.aspx

Podczas dokonywania zakupów w Internecie, upewnij się, czy przeglądarka nie wyświetla komunikatu o tym, że strona na którą wchodzisz jest podejrzana. Sprawdź, czy w adresie strony znajduje się informacja o protokole https, czy widoczna jest „kłódka”, a po kliknięciu w nią wyświetlane są informacje na temat certyfikatu. Przejrzyj historię strony internetowej np. pod adresem: https://web.archive.org/

Jeśli w tego typu bazie adres nie zostanie znaleziony, istnieje duże prawdopodobieństwo, że strona „chce wyłudzać” nasze dane. Nawet jeśli informacja przekazywana jest od osoby wyższego szczebla, a wydaje nam się nawet w najmniejszym stopniu podejrzana, uważnie musimy sprawdzać co pobieramy i czy strona, z której pobieramy pliki nie jest podejrzana. 

Pamiętać należy o zmianie haseł do kont na różnych portalach bankowych i platformach, z których korzystamy.Głównym sposobem uniknięcia phishingu jest świadomość jego istnienia, zdrowy rozsądek oraz edukacja w zakresie nowych sposób wyłudzenia danych. Wiele osób może nie zdawać sobie nawet sprawy z tego, że jest atakowana i próbuje się od niej wyłudzić informację. Pamiętajmy, że osoby które chcą wyłudzić od nas informacje potrafią zrobić wiele, szczególnie jeżeli w grę wchodzą nasze dane osobowe, które mogą posłużyć do kradzieży, podszycia, wyłudzenia.

Jeżeli chcą Państwo odbyć szkolenie podczas przeprowadzaniu audytu, w których omawiany jest też m.in. phising, proszę się do nas zgłosić: tel. +48 885 206 000 / +48 885 960 500 lub mailowo pomoc@rodo-online.eu

Brak obowiązku informacyjnego przy zgłaszaniu członków rodziny pracownika do ubezpieczenia zdrowotnego, wytyczne Urzędu Ochrony Danych Osobowych.

Brak obowiązku informacyjnego przy zgłaszaniu członków rodziny pracownika do ubezpieczenia zdrowotnego, wytyczne Urzędu Ochrony Danych Osobowych

Ponieważ pozyskiwanie danych członków rodziny pracownika zgłaszanych przez pracodawcę do ubezpieczenia zdrowotnego odbywa się na podstawie przepisów prawa, które zapewniają odpowiednią ochronę ich praw, pracodawca może skorzystać ze zwolnienia z dopełniania wobec nich obowiązku informacyjnego. Przepisy ustawy z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych przesądzają, które osoby podlegają obowiązkowi ubezpieczenia zdrowotnego (art. 66). Stanowią też w jakich terminach obowiązek ten powstaje i jak należy go dopełnić.

 Obowiązek zgłoszenia członka rodziny do ubezpieczenia zdrowotnego

Jeżeli członkowie rodziny pracownika nie mają własnego tytułu do ubezpieczenia zdrowotnego, ma on obowiązek ich zgłosić w ciągu 7 dni od zaistnienia okoliczności, które spowodowały konieczność takiego zgłoszenia. Pracownik powinien poinformować o tym podmiot właściwy do dokonania zgłoszenia do ubezpieczenia zdrowotnego, np. pracodawcę (art. 67 ust. 3). W przypadku gdy członek rodziny zgłoszony do ubezpieczenia zdrowotnego nabył własny tytuł do ubezpieczenia lub zaistniały inne okoliczności, przez które stracił status członka rodziny – pracownik powinien w ciągu 7 dni zaistnienia tych okoliczności (art. 76) powiadomić płatnika składki, aby go wyrejestrował. Ubezpieczony, który nie poinformuje podmiotu właściwego do dokonania zgłoszenia do ubezpieczenia zdrowotnego o okolicznościach powodujących konieczność zgłoszenia lub wyrejestrowania członka rodziny, podlega karze grzywny (art. 193 pkt 6). Jednocześnie w celu ubezpieczenia zdrowotnego członka rodziny pracownik wypełnia i przekazuje pracodawcy-płatnikowi formularz ZUS ZCNA „Zgłoszenie danych o członkach rodziny dla celów ubezpieczenia zdrowotnego”. Został on wprowadzony przez § 1 ust. 1 pkt 2 rozporządzenia Ministra Rodziny, Pracy i Polityki Społecznej z dnia 20 grudnia 2018 r. w sprawie określenia wzorów zgłoszeń do ubezpieczeń społecznych i ubezpieczenia zdrowotnego, imiennych raportów miesięcznych i imiennych raportów miesięcznych korygujących, zgłoszeń płatnika składek, deklaracji rozliczeniowych i deklaracji rozliczeniowych korygujących, zgłoszeń danych o pracy w szczególnych warunkach lub o szczególnym charakterze, raportów informacyjnych, oświadczeń o zamiarze przekazania raportów informacyjnych oraz innych dokumentów.

Obowiązek zgłoszenia członka rodziny do ubezpieczenia zdrowotnego, a przepisy RODO

Na podstawie wskazanych przepisów można przyjąć, że w związku z pozyskiwaniem przez pracodawcę od pracownika danych członków jego rodziny niezbędnych do zgłoszenia ich do ubezpieczenia zdrowotnego, pracodawca nie będzie musiał dopełniać wobec nich obowiązku informacyjnego, o którym mowa w art. 14 RODO. Przetwarzanie danych członka rodziny w zgłoszeniu do ubezpieczenia jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, czyli pracodawcy-płatniku (art. 6 ust. 1 lit. c RODO). Ponadto pozyskiwanie tych danych jest wyraźnie uregulowane prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą. Spełniona jest zatem wskazana w art. 14 ust. 5 lit. c ogólnego rozporządzenia o ochronie danych przesłanka uprawniająca do odstąpienia od obowiązku dopełniania obowiązku informacyjnego wobec osób, których dane są pozyskiwane w sposób inny niż bezpośrednio od nich. Zapraszamy do kontaktu z naszymi specjalistami e-mail: pomoc@rodo-online.eu tel. +48 885 206 000 tel. +48 885 960 500

Plan ciągłości działania.

Plan ciągłości działania (BCP – Business Continuity Plan), powinien zostać wprowadzony u każdego administratora, któremu zależy na ciągłości działania firmy. Pozwala sprawnie i szybko reagować na sytuacje kryzysowe (typu: katastrofa naturalna, awaria infrastruktury, cyberatak – sytuacje mające najbardziej destrukcyjny wpływ na naszą firmę).

Przy BCP trzeba wziąć pod uwagę kluczowe procesy dla firmy oraz przewidywalność możliwych zagrożeń, przy jego opracowywaniu powinno brać udział jak najwięcej osób zajmującymi się danymi procesami. Z doświadczenia zauważmy, że firmy które tego nie wprowadziły i nie aktualizują kluczowych procesów nie są świadome zagrożeń oraz ich nie kontrolują, jedynie częściowo biorą je pod uwagę przy analizie ryzyka. Prowadzi to niestety do tego, że podczas awarii serwera lub awarii prądu ciągłość pracy i działania jest zaburzona (w niektórych branżach może się to skończyć niedotrzymaniem umów na usługę, stratami obsługiwanych klientów, a nawet utratą reputacji). Często awarie dysków serwera, gdy w firmie nie są wykonywane cykliczne kopie zewnetrzne, może doprowadzić również do naruszeń danych osobowych, które w danej firmie są przetwarzane (wystąpić może brak zapewnienia ciągłości przetwarzania danych osobowych w systemach informatycznych).

Dobrze stworzony plan musi być rzetelnie przygotowany, oczywiście nigdy nie będziemy gotowi na wszystkie okoliczności w 100% ale mimo wszystko straty będą mniej dotkliwe bądź uda nam się i naszym klientom ich nie odczuć. Przy BCP musimy oceniać zatem kluczowe procesy i obszary dla naszej organizacji. Warto wprowadzić cykliczne testy pozwalające sprawdzić nasz plan ciągłości działania i procedury. Zaznaczyć należy, że nie może być to raz stworzony dokument odłożony na półkę ale musimy do niego powracać oraz aktualizować przy różnych zmianach procesów i obszarów, aby zawsze był jak najbardziej aktualny i dostosowany do warunków. W procedurze powinien być zawarty również krok po kroku plan przywrócenia lub odzyskania danych. Wtedy będzie wiadomo, kto w krytycznej sytuacji jest odpowiedzialny za zaplanowane akcje, najczęściej będzie to ASI (Administrator Systemu Informatycznego) ale równie dobrze może być to informatyk z firmy zewnętrznej (z którą mamy podpisaną umowę powierzenia na usługę IT lub usługę serwisową). Ważne żeby pracownicy, kierownicy i sam ADO wiedział, co należy zrobić aby w jak najszybszym czasie przywrócić normalne funkcjonowanie firmy.

Jeżeli zastanawiasz się nad opracowaniem i wprowadzeniem Planu ciągłości działania w swojej firmie lub chcesz zminimalizować przyszłe krytyczne ryzyko to zapraszamy do kontaktu z naszymi specjalistami pomoc@rodo-online.eu, tel. +48 885 206 000, +48 885 960 500.

Mierzenie temperatury pracowników i osób trzecich przebywających na terenie firmy.

Zaczął się już ósmy miesiąc pandemii COVID-19 w Polsce, niestety nie widać jeszcze jej końca.  Gospodarka działa w trybie ograniczonym z zachowaniem sanitarnego rygoru, dlatego też wielu przedsiębiorców wprowadziło lub zamierza wprowadzić środki bezpieczeństwa w postaci mierzenia temperatury pracowników oraz ewentualnie innych osób pojawiających się w zakładzie pracy (klientów, dostawców). Biorąc pod uwagę, że jednym z podstawowych objawów zakażenia koronawirusem jest gorączka, wydaje się, że mierzenie temperatury jest oczywistą metodą służącą zapewnieniu bezpiecznych warunków pracy i zapobieganiu zakażeniom.

Niestety prowadzone dotychczas regulacje prawne, wydane wytyczne i stanowiska są po prostu sprzeczne.  Stan prawnej niepewności istotnie zwiększa ryzyko prowadzenia działalności gospodarczej, jak również potencjalne zagrożenie dla ochrony praw i wolności osób, których dane dotyczą. Co więcej, wytyczne GIS wskazują, że temperatura może być mierzona pracownikom za ich zgodą, podczas gdy PUODO uważa, że zgoda nie może stanowić podstawy przetwarzania danych osobowych w tym przypadku. 

Wytyczne dla zakładów produkcyjnych, które pojawiły się jakiś czas temu na stronie GIS oraz na stronie Ministerstwa Rozwoju, jednak dość szybko zniknęły z obu miejsc publikacji. Wydaje się zatem, że nie można ich traktować jako obowiązujących, chociaż w porównaniu do pozostałych dotychczas wydanych wytycznych, przedmiotowy dokument zawierał najbardziej szczegółowe zalecenia. W szczególności zalecano wdrożenie bezdotykowego mierzenia temperatury u pracowników i gości przy wejściu do zakładu. Mierzenie temperatury miało odbywać się, w miarę możliwości, poza budynkiem zakładowym, a pracownicy, stojąc w kolejce, mieli zachować przynamniej 1,5-metrowy odstęp. W przypadku stwierdzenia podwyższonej temperatury (powyżej 38 stopni C) lub wyraźnych oznak choroby jak uporczywy kaszel, złe samopoczucie, trudności w oddychaniu, dana osoba nie mogła zostać wpuszczona na teren zakładu. 

Większość organów nadzorczych w UE nie widzi również możliwości przetwarzania tego typu danych osobowych na podstawie zgód osób, którym mają być dokonywane pomiary temperatury. Wśród podstaw prawnych mogących uzasadniać przetwarzanie danych osobowych pozyskanych w związku z pomiarem temperatury np. AEPD wskazuje potencjalnie art. 9 ust. 2 lit. b lub lit. i  RODO, jednak w powiązaniu z odpowiednimi przepisami prawa, zawierającymi należyte gwarancje ochrony praw i wolności osób, których dane dotyczą. Istotną kwestią poruszoną przez AEPD jest także konieczność określenia wymagań technicznych urządzeń, które mają być stosowane w celu dokonywania pomiarów temperatury. Polskie organy wspominają jedynie ewentualnie o bezdotykowych termometrach, nie odnosząc się wprost do tego, czy możliwe byłoby stosowanie np. kamer termowizyjnych, które aktualnie stanowią coraz popularniejsze narzędzie dokonywania pomiarów. AEPD wskazuje na potrzebę ustalenia, jakie wskaźniki urządzeń przesądzałyby o adekwatności dokonywanych pomiarów, aby do mierzenia temperatury były wykorzystywane narzędzia o odpowiednich, zatwierdzonych parametrach. Poszczególne urządzenia mogą się bowiem różnić poziomem czułości i precyzji dokonywanych pomiarów. Przyjęcie jednolitych przepisów usunie stan niepewności, jakiego doświadczają aktualnie pracodawcy, chcący z jednej strony zapewnić bezpieczne warunki pracy swoim pracownikom, klientom, gościom chroniąc ich zdrowie oraz życie, a z drugiej strony dążąc do tego, aby ich działania były zgodne z przepisami dotyczącymi ochrony danych osobowych. Jednocześnie przyjęcie takich regulacji zabezpieczy poszanowanie praw i wolności osób, wobec których środki te mają być stosowane. Aktualne rozbieżności w stanowiskach i wytycznych przedstawianych przez PUODO oraz GIS, chociażby w zakresie dopuszczalnych podstaw prawnych przetwarzania danych osobowych w postaci informacji o temperaturze ciała, pozwalają wnioskować, że zalecane aktualnie środki bezpieczeństwa mogą prowadzić do naruszenia podstawowych praw i wolności osób, których dane osobowe są przetwarzane.

Wyjściową podstawą prawną przetwarzania danych osobowych pracowników może być art. 9 ust. 2 lit. b RODO, tj. niezbędność przetwarzania do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą. 

Zgodnie bowiem z treścią art. 207 § 1 kodeksu pracy pracodawca ponosi odpowiedzialność za stan bezpieczeństwa i higieny pracy w zakładzie pracy. W szczególności pracodawca jest obowiązany chronić zdrowie i życie pracowników przez zapewnienie bezpiecznych i higienicznych warunków pracy przy odpowiednim wykorzystaniu osiągnięć nauki i techniki. Szczególnym obowiązkiem jest reagowanie na potrzeby w zakresie bezpieczeństwa i higieny pracy oraz dostosowywanie środków podejmowanych w celu doskonalenia istniejącego poziomu ochrony zdrowia i życia pracowników, biorąc pod uwagę zmieniające się warunki wykonywania pracy. Mając na względzie ww. regulację prawną oraz aktualną sytuację związaną z epidemią koronawirusa, należy uznać, że pracodawca powinien dążyć do minimalizacji ryzyka związanego z transmisją wirusa. Środkiem temu służącym jest mierzenie temperatury oraz zbieranie innych informacji o objawach chorobowych mogących świadczyć o zakażeniu COVID-19. 

Przywołane przepisy kodeksu pracy wymagają jednak doprecyzowania w zakresie zasad stosowania wymienionych środków, aby ich stosowanie odbywało się z poszanowaniem zasad ochrony danych osobowych. Takie przepisy prawa powinny stanowić wyraźną podstawę prawną dla przetwarzania danych osobowych przez pracodawców oraz regulować co najmniej: 

  • dopuszczalne formy mierzenia temperatury;
  • ustalenie, czy i w jakiej formie zapisy pomiarów mogą być rejestrowane;
  • próg temperatury;
  • określenie ewentualnie innych działań, jakie powinny zostać podjęte wobec pracownika w razie stwierdzenia u niego podwyższonej temperatury, dopuszczalność i zasady mierzenia temperatury innym osobom przebywającym na terenie zakładu pracy;
  • rozstrzygnięcie, czy mierzeniu temperatury mogą podlegać także klienci punktów usługowych, gastronomicznych i innych przedsiębiorstw prowadzących lokal przeznaczony do obsługi osób, a także tryb badania i konsekwencje, jakie ma pociągać za sobą wykrycie podwyższonej temperatury;
  • dopuszczalność gromadzenia od pracowników, a także innych osób przebywających na terenie zakładu pracy, danych osobowych w postaci informacji o objawach chorobowych mogących świadczyć o zakażeniu COVID-19, a także ustalenie zakresu zbierania takich danych.

Podsumowując zarówno Prezes Urzędu Ochrony Danych Osobowych jaki i Przewodnicząca Europejskiej Rady Ochrony Danych podchodzą bardzo zachowawczo do tematu przetwarzania danych osobowych w świetle obecnej pandemii. W swoich wypowiedziach powołują się na przepisy prawne wprowadzane w związku z zaistniałą sytuacją. Z tych z kolei wynika to co przedstawiono powyżej – nic jednoznacznego. Na stronie UODO (www.uodo.gov.pl) obecnie znajduje się kilka artykułów odnoszących się do COVID-19, które tematycznie związane są z przedmiotowym zagadnieniem pomiaru temperatury u pracowników i gości odwiedzających firmę. W artykule z dnia 05 maja 2020 też nie ma też jednoznacznej odpowiedzi a Prezes UODO wskazuje, że przepisy o ochronie danych osobowych nie przeciwstawiają się podejmowanym działaniom związanym z przeciwdziałaniem COVID-19. Podkreśla natomiast, że podejmowane rozwiązania przez przedsiębiorców, pracodawców i inne podmioty będą legalne, jedynie w sytuacji, jeżeli administrator będzie realizował je na podstawie przepisów prawa – zgodnie z zasadą legalności określoną w art. 5 ust. 1 RODO. W przedmiotowej sprawie podstaw prawnych należy niewątpliwie doszukiwać się w rozwiązaniach wyznaczanych przez Głównego Inspektora Sanitarnego. 

Jeżeli zastanawiają się Państwo w jaki sposób dokonywać pomiaru temperatury ciała danej osoby, w jaki sposób gromadzić dane dotyczące zdrowia to zapraszamy do kontaktu z naszymi specjalistami pomoc@rodo-online.eu, tel. +48 885 206 000, +48 885 960 500.

Źródło: Stanowisko Związku Firm Ochrony Danych Osobowych w zakresie mierzenia temperatury w celu zapobiegania rozprzestrzenianiu się COVID-19 (https://www.zfodo.org.pl/opinie/stanowisko-zfodo-w-zakresie-mierzenia-temperatury-w-celu-zapobiegania-rozprzestrzenianiu-sie-covid-19/)

Możliwości spełnienia obowiązku informacyjnego w sektorze prywatnym.

Przy tworzeniu dokumentacji ochrony danych osobowych, nie możemy zapomnieć o warunkach informacyjnych. Od klientów otrzymujemy liczne zapytania czy i jak mają realizować ten obowiązek, a jeżeli go realizują w jakiś sposób, to czy jest poprawny. Przy realizacji tego obowiązku zastosowanie mają głównie przepisy RODO oraz wytyczne organów nadzorczych zajmujących się realizacją tego obowiązku.

Zdarza się, że nie raz najlepszym rozwiązaniem dla klientów jest warstwowe spełnianie warunku informacyjnego, głównie jeżeli jest monitorowany teren i zakład pracy. W pierwszej części powinny znaleźć się podstawowe dane dotyczące tożsamości administratora, celach i rodzajach przetwarzania oraz prawach osoby (aby osoba szybko mogła zapoznać się z najbardziej interesującymi ją informacjami). Pierwsza część może być umieszczona jako informacja najlepiej przy piktogramie monitoringu w dobrze widocznym miejscu najlepiej przed wejściem do budynku lub na bramie. 

Natomiast w kolejnej szczegółowej warstwie przedstawiamy już wszystkie wymagane pozostałe informacje, które znajdziemy w art. 13 RODO, czyli w przypadku zbierania danych bezpośrednio od osoby, której dane dotyczą. Klauzula taka może być umieszczona wewnątrz firmy na sekretariacie, czy na stronie www tak, aby łatwo było zapoznać się z całością klauzuli, ważne aby warstwa pierwsza wspominała gdzie znajdziemy pełne informacje.

Treść klauzuli informacyjnej zgodnie z art. 13 powinna być przekazywana podczas pozyskiwania danych osobowych. Jeżeli chodzi o art. 14 (wtórny obowiązek) w przypadku pozyskiwania danych w sposób inny niż od osoby, której dane dotyczą – terminy jego spełnienia wyznacza ust. 3.

Mikroprzedsiębiorcy (będący administratorami danych osobowych) zgodnie z art. 4a ustawy o prawach konsumenta Dz. U. 2020.0.287 wykonują obowiązki z art. 13 RODO, gdy zawierają umowy poza lokalem, na odległość lub w inny sposób. Spełniają ten obowiązek wywieszając w widocznym miejscu w firmie lub udostępniają na swojej stronie www wymagane informacje. Przepisu nie stosuje się, jeżeli osoba, której dane dotyczą, nie ma możliwości zapoznania się z informacjami, o których mowa w art. 13; wtedy należy rozważyć inny sposób spełnienia warunku. Nie można go zastosować również jeżeli administrator przetwarza i udostępnia innym administratorom szczególne kategorię danych, chyba, że osoba wyraziła na to zgodę lub udostępnienie jest niezbędne do wypełnienia obowiązku ciążącego na administratorze. W przypadku osób fizycznych prowadzących działalność gospodarczą mikroprzedsiębiorca samemu musi określić sposób spełnienia obowiązku informacyjnego.

ICO (Brytyjski organ nadzorczy) oraz Grupa Robocza 29 RODO, wyróżniają podobne sposoby spełnienia obowiązku informacyjnego; elektronicznie (wiadomość tekstowa, www, e-mail, aplikacje mobilne), ustnie (osobiście lub telefonicznie; w tym wcześniej nagrane informacje pozwalające odsłuchać szczegółową warstwę), pisemnie (wyjaśnienia, media drukowane, ulotki, ogłoszenia, formularze, informacje w dokumentacji umownej, schematy), za pomocą znaków graficznych, kodów QR (jeżeli informacja zamieszczana jest w przestrzeni publicznej, jeżeli wprowadzane są publiczne kampanie informacyjne w przypadku pozyskiwania danych osobowych za pomocą urządzeń inteligentnych nie zawierających ekranu, w tym urządzenia typu IoT, ostrzeżenia głosowe, filmy wideo, cyfrowe konfiguracje). 

Jeżeli zastanawiają się Państwo jak w poprawny sposób spełnić warunek informacyjny wobec Państwa klientów, pracowników, kontrahentów to zapraszamy do kontaktu z naszymi specjalistami pomoc@rodo-online.eu, tel. +48 885 206 000, +48 885 960 500.

Szkolenia w czasie Koronawirusa

Każdy z Państwa zapewne wie jak ważne są szkolenia pracowników, podwykonawców realizujących zadania w interesie administratora danych osobowych (ADO). W Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), znajdziemy w kilku miejscach odniesienia dotyczące szkoleń. 

Najważniejsze odniesienie znajdziemy w art. 39, gdzie są określone zadania które powinien realizować Inspektor Ochrony Danych, znajdziemy tu informację m.in. dot. szkoleń i przeprowadzanych audytów. Jeżeli natomiast podmiot nie musi powoływać IODa, to zadania, które powinien realizować spadają na samego administratora (czyli np. właściciela firmy). Należy pamiętać, że to właśnie na nim spoczywa główny ciężar odpowiedzialności za ochronę danych osobowych. To w interesie ADO jest to aby pracownicy mieli odpowiednie kwalifikacje oraz wiedzę. Każdy powinien być przeszkolony i zapoznany ze specyfiką danej firmy, zajmowanym stanowiskiem i znać przepisy regulujące przetwarzanie danych osobowych. Pracownik powinien wiedzieć jak postąpić i zareagować np. na postępowanie w sytuacji incydentu, bądź naruszenia lub jak realizować prawa osób fizycznych. Do realizacji tych zadań nieodzowne wydają się być szkolenia, myślę, że najlepszą jakość uzyskujemy będąc na miejscu i szkoląc bezpośrednio, ale w dobie pandemii należy rozważyć sytuację, w której będzie ciężko odwiedzić klienta (żółta/czerwona strefa) i zebrać wszystkich pracowników przetwarzających dane osobowe, tym bardziej że w wielu wypadkach wykorzystuje się już pracę zdalną. 

Nieodzowną zatem pomocą IODa lub administratora jest serwis RODO Online i zakładka „Szkolenia”, gdzie mogą Państwo w szablonach ustalić czy jest to np. szkolenie dla nowo zatrudnionej osoby, czy szkolenie branżowe przy bezpośredniej obsłudze klienta, czy może szkolenie dla pracowników zarządzających reklamacjami. Ilość wprowadzonych szkoleń i ich urozmaicenie zależy tylko od wiedzy i zaangażowania IODa lub ADO (szkolenie można też przypisać tylko do danego pracownika a nawet kilku firm). Po ustaleniu szablonu możemy również załączyć i opisać wszystkie załączniki w formie PDF, z którymi powinien zapoznać się szkolący, na koniec możemy sprawdzić poziom przekazanej wiedzy i informacji, za pomocą testu, który sami generujemy tworząc pytania i podając opcje odpowiedzi. Jest to bardzo wygodne przy audytach np. rocznych gdzie aby przeszkolić pracowników można śmiało wykorzystać zakładkę „szkolenia” i być pewnym, że mamy ciągłość szkoleń pracowników zgodnie z najnowszymi wytycznymi. Naszym zdaniem jak i wielu innych specjalistów z branży ochrony danych osobowych człowiek jest najsłabszym ogniwem przy ochronie danych, w tym wprowadzonych polityk, instrukcji, procedur. Jesteśmy tylko ludźmi więc popełniamy błędy, ważne aby być świadomym jak można je minimalizować i jak pracować w taki sposób aby ochrona danych osobowych stała się normą, a nie wymuszonymi niezrozumiałymi procedurami. Forma przekazanej wiedzy nawet przez odpowiednie przygotowanie materiałów, ciekawe opisanie problemów i procedur, oraz przemyślane przygotowanie testu gwarantuje, że Państwa wiedza zostanie przekazana dla pracowników w sposób zrozumiały, bezpieczny i rozliczany.

Jeśli potrzebujesz pomocy przy realizowaniu szkoleń, to skontaktuj się z doświadczonymi specjalistami; dane kontaktowe znajdziesz na naszej stronie https://rodo-online.eu.

Czy ochroniarz może żądać okazania dokumentu potwierdzającego tożsamość ?

Kolejny artykuł, w którym staramy się odpowiedzieć na pytanie często zadawane Inspektorowi Ochrony Danych: czy ochroniarz, pracownik ochrony może żądać okazania dokumentu tożsamości (wylegitymowania). Zazwyczaj w przypadkach, gdy wpuszcza osobę trzecią czy pracownika firmy na teren chroniony biurowca czy zakładu produkcyjnego. 

Legitymowanie jest czynnością administracyjno – porządkową służącą potwierdzeniu tożsamości. Do tej czynności uprawniony jest zamknięty katalog osób i instytucji, którym takie uprawnienie nadaje np. Ustawa z dnia 22 sierpnia 1997r. o ochronie osób i mienia Dz. U. 1997 Nr 114 poz. 740, czy Ustawa z dnia 6 sierpnia 2010r. o dowodach osobistych Dz.U.2010 nr 167 poz. 1131. Każdy pracownik ochrony ma prawo do legitymowania osób. Każda osoba przebywająca na obszarze lub w obiekcie chronionym może zostać wylegitymowana. Z przepisów wynika, że pracownik ochrony nie ma prawa jej zmusić do poddania się legitymowaniu. I choć osoba odmawiająca wylegitymowania  popełnia wykroczenie (art. 36 Ustawy o ochronie osób i mienia), to pracownik ochrony nie ma możliwości jej za to ukarać. Prawda jest też taka, że (poza pewnymi wyjątkami) ludzie nie mają obowiązku posiadać przy sobie dokumentu i faktycznie bez żadnych konsekwencji mogą go po prostu nie mieć, a jeżeli nie mają go przy sobie to również go nie okażą.

Legitymowania ochroniarz czy pracownik ochrony dokonuje na podstawie:

  • dowodu osobistego;
  • tymczasowego dowodu osobistego;
  • tymczasowego zaświadczenia tożsamości;
  • dokumentu potwierdzającego tożsamość cudzoziemca;
  • paszportu;
  • innych dokumentów potwierdzających tożsamość, zaopatrzonych w fotografię i adres zamieszkania osoby legitymowanej.

Podsumowując administrator danych osobowych, wdrażając procedury związane z ochroną danych osobowych w swoim podmiocie, jest zobowiązany do stosowania się do zasad wynikających z przepisów RODO, a dokładnie – do zasady ograniczonego celu przetwarzania (art. 5 ust. 1 lit. b RODO) oraz zasady minimalizacji danych osobowych (art. 5 ust. 1 lit. c RODO). Jednocześnie podczas weryfikacji tożsamości osoby fizycznej administrator danych powinien pamiętać o konieczności spełnienia wobec niej obowiązku informacyjnego z art. 13 RODO. Przesłanką przetwarzania danych osobowych w ramach prowadzenia tzw. ewidencji wejść i wyjść może być art. 6 ust. 1 lit. f RODO, ponieważ w tym przypadku przetwarzanie danych osobowych będzie niezbędne do realizacji celów wynikających z prawnie uzasadnionych interesów administratora. Jeśli nie wiesz jak wdrożyć procedury ochrony czy warunek informacyjny, to skontaktuj się z doświadczonymi specjalistami; dane kontaktowe znajdziesz na naszej stronie https://rodo-online.eu/

Nagrywanie rozmów telefonicznych a RODO

RODO niewątpliwie zmieniło w jakimś stopniu nasze życie. Oczywiście, najbardziej widoczne są dla nas kolejne wyskakujące okienka na portalach informujące o wszystkich wymaganych przez rozporządzenie warunkach dot. przetwarzania danych osobowych. Nagrywanie rozmów również nie pozostało wolne od wpływu nowej rzeczywistości prawnej. Nagrywanie rozmów telefonicznych do celów zawodowych lub w związku z prowadzeniem działalności gospodarczej wymaga poinformowania o nagrywaniu, ponieważ zapis głosu osoby jest informacją o charakterze danych osobowych. Urządzenia takie jak centrale telefoniczne (również wirtualne centrale) mają funkcje nagrywania rozmów. Jeżeli firma rejestruje rozmowy poprzez tego typu urządzenia lub w inny sposób, należy o tym poinformować rozmówcę zgodnie z regulacją RODO opisaną w art. 13. 

Przykład komunikatów informacyjnych:

  • W trosce o Państwa bezpieczeństwo informujemy, że rozmowa może być nagrywana. Jeżeli nie wyrażasz na to zgody, prosimy o przerwanie połączenia.
  • Aby zapewnić najwyższe standardy obsługi nasze rozmowy są nagrywane. Jeśli nie wyrażasz na to zgody, zachęcamy do kontaktu mailowego.
  • Informujemy, że rozmowy są nagrywane. Jeśli nie zgadzasz się na rejestrowanie rozmowy, zachęcamy do kontaktu drogą mailową.

Dodatkowy przykładowy komunikat RODO:

  • W związku z Rozporządzeniem o Ochronie Danych Osobowych prosimy o zapoznanie się z Polityką Prywatności. Klauzula informacyjna znajduje się w naszej placówce oraz pod adresem /tutaj adres strony www/ w zakładce Polityka Prywatności.
  • Prosimy o zapoznanie się z treścią klauzuli informacyjnej dotyczącej przetwarzania państwa danych osobowych, która dostępna jest na naszej stronie internetowej /tutaj adres strony/, zakładka Polityka Prywatności.

Po wejściu w życie przepisów RODO prywatnie mamy prawo do nagrywania telefonicznych rozmów osobistych bez informowania o tym drugiej strony. Jednak podmioty podlegające nowej regulacji muszą powiadamiać swoich rozmówców o rejestracji, administratorze danych i celu zapisu. Naruszenie tego obowiązku grozi karą nawet do 4% rocznych przychodów. Jeśli nie wiesz czy w prawidłowy sposób realizujesz warunek informacyjny odnośnie nagrywania, to skontaktuj się z doświadczonymi specjalistami; dane kontaktowe znajdziesz na naszej stronie https://rodo-online.eu/

Czy polityki i procedury ochrony danych są potrzebne ?

Czy polityki i procedury ochrony danych są potrzebne ? 

Często zadawane nam jest pytanie jak w powyższym tytule, również podobne; jak wygląda skuteczna polityka ochrony danych zgodna z RODO ? jakie procedury powinna zawierać ? co zrobić, żeby nie była „martwym” dokumentem ? postaramy rozjaśnić tematykę w tym artykule.

RODO jest aktem prawnym bardzo elastycznym w porównaniu np. z Rozporządzeniem MSWiA w sprawie określania podstawowych warunków technicznych i organizacyjnych (z 15 lipca 1998) czy w sprawie dokumentacji przetwarzania danych osobowych (z 1 maja 2004). Aby być zgodnym z  RODO, należy udokumentować to w następujący sposób:

  • wdrożyć niezbędne polityki i procedury,
  • prowadzić odpowiednie rejestry i ewidencje,
  • dokonywać regularnych analiz zgodności, ryzyka czy oceny skutków dla ochrony danych, gdy jest ona potrzebna,
  • stosować właściwe postępowania i klauzule w umowach, formularzach, na stornach internetowych oraz w innych miejscach, gdzie przetwarzane są dane osobowe. 

Same RODO zawiera następujące regulacje:

  • motyw 79 preambuły – aby móc wykazać przestrzeganie niniejszego rozporządzenia, administrator powinien przyjąć wewnętrzne polityki.
  • Art. 24 ust. 2 – Jeśli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.

RODO nie precyzuje, jakie polityki ochrony danych należy wdrożyć. Dobre polityki i procedury pozwalają znaleźć odpowiedź na pytania związane z ochroną danych: jak przetwarzać dane osobowe, jak je zabezpieczać, komu zgłaszać incydent i jakie czynności podjąć po jego wykryciu, a także jak przeprowadzić wymagane analizy. Dokumenty podzieliliśmy na wymagane przez RODO oraz zalecane wyczytane „między wierszami RODO” wynikające z naszego doświadczenia:

DokumentStatutFunkcjaŹródło RODO
Polityka ochrony danych osobowychZalecanyZbiór wszystkich procedur ochrony danychArt. 24 ust. 2
Zasady retencji danychWymaganyMówi w jaki sposób i kiedy usuwamy niepotrzebne już dane osoboweArt. 5 ust. 1 lit. e)
Zasady privacy by design i privacy by defaultWymaganyMówi o tym w jaki sposób zapewnić odpowiedni poziom bezpieczeństwa danych i prawa do prywatności np. przy nowych projektach ITArt. 25
Struktura organizacyjna w zakresie ochrony danych osobowychWymaganyKto i za co odpowiada w zakresie funkcjonowania systemu RODO (np. IOD, ASI etc.).Art. 24 ust. 1, Art. 32 ust. 1
Procedura nadawania upoważnieńWymaganyW jaki sposób, na jakich zasadach i komu nadajemy upoważnienia do przetwarzania danych osobowychArt. 29
Ewidencja upoważnieńZalecanyKontrola nad liczbą osób upoważnionych do przetwarzania danych osobowych oraz nad zakresem upoważnieniaArt. 29
Procedura szkoleńZalecanyW jaki sposób szkolimy personel uczestniczący w przetwarzaniu danychArt. 39
Postępowanie z incydentami ochrony danych osobowychWymaganyKto i w jaki sposób reaguje na incydenty ochrony danych osobowychArt. 33
Ocena skutków dla ochrony danych osobowych (DPIA)WymaganaKiedy i w jaki sposób oceniamy skutki dla ochrony danychArt. 35
Realizacja praw osób, których dane dotycząWymaganaKto i w jaki sposób realizuje prawa osób, których dane dotycząArt. 7 ust. 3 Art. 12 – 22
Procedura audytu wewnętrznegoZalecanyKto, w jaki sposób i kiedy kontroluje system ochrony danych osobowych w naszej organizacji.Art. 24 ust. 1,  Art. 32 ust. 1 lit. d),  Art. 39 ust. 1 lit. b)
Kontrola podmiotów przetwarzającychZalecanyW jaki sposób i kiedy kontrolujemy procesorówArt. 28 ust. 3 lit. h)
Opis środków bezpieczeństwaWymaganyJakie środki bezpieczeństwa stosujemy w sferze: organizacyjnej, technicznej, informatycznejArt. 24 ust. 1,  Art. 32 ust. 1
Rejestr czynności przetwarzaniaWymagany *zwolnienie, gdy zaistnieją okoliczności z art. 30 ust. 5Opis wszystkich procesów przetwarzania danych osobowych zachodzących w organizacji w pigułceArt. 30 ust. 1
Rejestr kategorii czynności przetwarzaniaWymagany *zwolnienie, gdy zaistnieją okoliczności z art. 30 ust. 5Zebranie w jednym miejscu wszystkich informacji w zakresie danych, które zostały organizacji powierzoneArt. 30 ust. 2
Procedury ITZalecanySposób zarządzania infrastrukturą IT w której dochodzi do przetwarzania danych osobowychArt. 24 ust. 1,  Art. 32 ust. 1
Materiały informacyjne dla pracowników i współpracownikówZalecanyPodnoszenie świadomości pracowników w zakresie ochrony danych osobowychArt. 39

Dokumentów jest całkiem sporo, ponieważ administrator ma też dużo obowiązków związanych z ochroną danych osobowych. Wewnętrzne polityki i procedury powinny być przede wszystkim użyteczne i zrozumiałe – zapewniać możliwie najefektywniejsze wdrożenie RODO. Dokumentacja ma przede wszystkim ułatwić ochronę danych osobowych w organizacji. Na kształt dokumentacji będzie miał wpływ rodzaj i wielkość prowadzonej działalności. Jeśli nie czujesz się na siłach aby stworzyć wymaganą dokumentację i to zadanie cię przerasta, to skontaktuj się z doświadczonymi specjalistami; dane kontaktowe znajdziesz na naszej stronie https://rodo-online.eu/

Najczęściej spotykane incydenty

Tytuł: Najczęściej spotykane incydenty

Chciałbym dziś opisać Państwu najczęściej występujące incydenty, z którymi spotykamy się na co dzień wykonując swoją pracę. Należy pamiętać, że jeżeli powodują one duże prawdopodobieństwo naruszenia praw lub wolności osób fizycznych, to wtedy stają się naruszeniem (należy niezwłocznie się do tego przyznać poprzez zgłoszenie takiego zdarzenia do organu nadzorczego oraz poinformować osoby poszkodowane). Aby stwierdzić naruszenie należy wykonać ocenę naruszenia (rekomendacje zawarte w publikacji European Union Agency for Network and Information Security (ENISA), 2013, Recommendations for a methodology of the assessment of severity of personal data breaches

Dla klientów, których obsługujemy jako IOD oraz korzystających z systemu RODO-ONLINE.EU – dostępna zakładka w systemie – https://panel.rodo-online.eu/incydenty.

Do najczęściej występujących incydentów u naszych klientów można zaliczyć:

  • Zdarzenia losowe wewnętrzne (awaria komputera/serwera/dysku twardego/oprogramowania, pomyłki informatyków, utrata danych)
  • Umyślne incydenty (kradzież danych i sprzętu zawierającego dane osobowe, włamanie do systemu informatycznego lub pomieszczeń)
  • Zdarzenia losowe zewnętrzne (utrata zasilania, utrata łączności)
  • Nieprawidłowo zaadresowana korespondencja elektroniczna bądź papierowa zawierająca dane osobowe
  • Smartfony, laptopy, przenośne dyski czy teczki z papierowymi dokumentami są nośnikami danych osobowych. Ich utrata, czyli kradzież lub zgubienie należy zakwalifikować jako incydent w ochronie danych osobowych, w zależności od ilości i wagi danych taki incydent często staje się naruszeniem
  • Często w firmach pracownicy niszczą dokumenty w wersji papierowej poprzez ich ręczne zniszczenie (pogięcie, podarcie) i wyrzucenie do kosza na śmieci. Wbrew pozorom tego typu dokumenty można łatwo odzyskać. W celu prawidłowego usunięcia danych osobowych, należy skorzystać z niszczarki. W przypadku elektronicznych nośników należy skorzystać ze specjalistycznego oprogramowania do usuwania danych (nie wystarczy tylko same formatowanie)
  • Sprawdzenie przed rozpoczęciem korzystania z usług konkretnej firmy utylizującej dokumenty, czy np. nie wyrzucają ich do przydrożnego lasu (powinny być spalone lub zniszczone)
  • Fizyczną obecność w budynku lub pomieszczeniach, w których przetwarzane są dane osobowe osób nieuprawnionych, które nie wpisały się do rejestru osób nieupoważnionych
  • Otwarte drzwi do pomieszczeń, szaf, gdzie przechowywane są dane osobowe
  • Nieprawidłowości w zakresie zabezpieczenia miejsc przechowywania informacji (otwarte regały, biurka, szafy w pomieszczeniach w strefach bezpieczeństwa) na nośnikach np. na papierze (wydruki), zdjęcia, płyty CD, pendrive, dyski, karty pamięci, karty do czytników w formie niezabezpieczonej
  • Aktywne konta systemowe i mailowe byłych pracowników, którym powinien być już dawno odebrany dostęp, a który nie raz przydzielany był bezterminowo
  • Niewylogowywanie się przed opuszczeniem stanowiska pracy, pozostawienie wydruków na drukarce, ksero, nie zamykanie pomieszczeń z komputerem
  • Niewykonywanie w określonym terminie kopii bezpieczeństwa oraz nie sprawdzanie możliwości jej odtworzenia
  • Ustawienie monitorów na sekretariacie i w punkcie obsługi klientów pozwalające na wgląd do danych osobowych osobom postronnym (sam wgląd jest już przetwarzaniem)
  • Wynoszenie danych osobowych na zewnątrz organizacji w formie papierowej lub elektronicznej bez upoważnienia
  • Udostępnianie danych osobowych osobom nieupoważnionym w formie papierowej, elektronicznej lub ustnej
  • Incydenty związane z nieaktualizowanym oprogramowaniem lub błędną konfiguracją – wykorzystanie ujawnionej podatności
  • Uniemożliwienie prawidłowego działania systemów lub usług sieciowych poprzez zajęcie wszystkich dostępnych zasobów
  • Telefoniczne próby wyłudzania danych osobowych bez właściwej weryfikacji rozmówcy
  • Maile zachęcające do ujawnienia identyfikatora lub hasła do   systemu/programu/bankowości
  • Pojawienie się wirusa komputerowego lub niestandardowe zachowanie komputerów
  • Przechowywanie haseł do systemu/programów w pobliżu komputera
  • Zdarzenia losowe takie jak awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników
  • Podszywanie się hakerów pod znane firmy wysyłające wiadomości zawierające złośliwe załączniki, które po kliknięciu w załącznik lub link szyfrują dane w taki sposób, że nie można uzyskać dostępu do nich bez użycia klucza, który należy odkupić od hakerów (lub przywrócić kopie bezpieczeństwa). Dużym zagrożeniem ciągle pozostają cyberataki, w szczególności te z wykorzystaniem phishingu i ransomware
  • Naruszenia integralności danych, polegające na nieuprawnionej modyfikacji danych z powodu niewłaściwego zabezpieczenia konta użytkownika lub przekazania dostępu do haseł nieograniczonej liczbie osób poprzez pozostawienie ich w widocznym miejscu. 

Naruszeniem ochrony danych osobowych nie będzie zatem każde zdarzenie, które uznamy za incydent bezpieczeństwa informacji, lecz tylko takie, które będzie się wiązało z naruszeniem poufności, dostępności lub integralności danych i będzie wywierało niekorzystny wpływ na osobę, której dane dotyczą (duże prawdopodobieństwo naruszenia praw lub wolności osób fizycznych). Pamiętać należy, że integralność danych może być także zagrożona przez wirusy komputerowe lub umyśle działanie pracowników firmy.

Usunięcie danych osobowych zgodne z RODO

Usunięcie danych osobowych zgodne z RODO

Ogólne rozporządzenie o ochronie danych (RODO) daje osobom fizycznym prawo do żądania usunięcia ich danych osobowych. Administrator ma obowiązek bez zbędnej zwłoki (do miesiąca) usunąć dane osobowe, jeśli zachodzi jedna z następujących okoliczności:

  • dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
  • osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania;
  • osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania;
  • dane osobowe były przetwarzane niezgodnie z prawem;
  • dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
  • dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1.

Z drugiej strony art. 17 ust. 3 RODO wskazuje wprost sytuacje, gdy administrator danych ma prawo odmówić usunięcia (tzn. gdy jest to niezbędne):

  • do korzystania z prawa do wolności wypowiedzi i informacji;
  • do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  • z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h) oraz i) i art. 9 ust. 3;
  • do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania;
  • do ustalenia, dochodzenia lub obrony roszczeń.

Wpłynięcie wniosku z żądaniem usunięcia danych osobowych rodzi po stronie administratora szereg obowiązków. W pierwszej kolejności takie żądanie powinno zostać zweryfikowane pod kątem tego, czy administrator przetwarza dane osobowe osoby składającej żądanie oraz czy żądanie to zostało złożone przez uprawnioną osobę. Administrator, jeśli ma uzasadnione wątpliwości co do tożsamości osoby składającej żądanie, powinien zażądać od takiej osoby dodatkowych informacji niezbędnych do potwierdzenia tożsamości. Jeśli na podstawie wskazanych w żądaniu danych osobowych administrator nie jest w stanie jednoznacznie określić, czy dane które przetwarza dotyczą osoby, która zgłosiła żądanie, powinien w miarę możliwości poinformować o tym fakcie taką osobę.  Niejednokrotnie zdarza się, że przekazane administratorowi w żądaniu usunięcia danych dane osobowe nie są wystarczające do zidentyfikowania w bazach właściwej osoby, której dane dotyczą. Imiona i nazwiska mogą się powtarzać, administrator może także dysponować innym zestawem danych niż osoba, której dane dotyczą wskazała w żądaniu usunięcia jej danych. W takich wypadkach uzasadnione będzie poinformowanie osoby żądającej usunięcia danych o zaistniałych przeszkodach w realizacji żądania. Weryfikacja i realizacja żądania może się okazać możliwa dopiero po podaniu dodatkowych danych umożliwiających identyfikację w zasobach administratora.

Administrator po weryfikacji żądania i usunięciu danych zobowiązany jest o jej wynikach poinformować osobę, która takie żądanie złożyła. Informacja ta powinna zostać sformułowana prostym, łatwo zrozumiałym dla odbiorcy językiem. Osoba, która żądała usunięcia danych osobowych, w przypadku nie uwzględnienia żądania powinna także zostać poinformowana o prawie wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem. Biorą pod uwagę wzrost liczby wniosków o usunięcie danych osobowych przesyłanych przez naszych klientów, którym świadczymy outsourcing IOD. Wnioski przysparzają coraz więcej kłopotów administratorom. Jeśli masz takie problemy lub inne nurtujące cię problemy z ochroną danych osobowych skontaktuj się z nami.

Czy musimy zawierać umowę powierzenia ?

W ostatnim czasie podczas audytów RODO, jak i przy okazji rozmów z naszymi klientami często pada pytanie po co nam umowy powierzenia ? czy musimy zawierać umowę powierzenia z podmiotem x czy y ? Nie jeden z naszych klientów już zdołał się o tym przekonać, że są one istotnym elementem w momencie zaistnienia incydentu czy naruszenia. 

Wyjaśnijmy najważniejsze pojęcia:

  • Administrator danych osobowych ustala cele, w jakich dane osobowe są przetwarzane, oraz sposoby, jakimi się je przetwarza. Zatem, jeśli Twoja firma/organizacja decyduje o tym „po co” i „w jaki sposób” powinno się przetwarzać dane, jest ona administratorem danych osobowych. Pracownicy przetwarzający dane w ramach Twojej organizacji wykonują w ten sposób Twoje zadania jako administratora danych.
  • Podmiot przetwarzający dane dokonuje przetwarzania danych osobowych wyłącznie w imieniu administratora. Podmiot przetwarzający dane jest zazwyczaj stroną trzecią, czyli podmiotem zewnętrznym wobec firmy. 

Obowiązki podmiotu przetwarzającego względem administratora muszą być określone w umowie lub innym instrumencie prawnym, który podlega prawu Unii lub prawu państwa członkowskiego. Umowa musi na przykład wskazywać, co się stanie z danymi osobowymi po rozwiązaniu umowy. Jak również regulacja taka musi być wiążąca, określać przedmiot i czas trwania przetwarzania, rodzaj danych osobowych oraz kategorie osób, której dane dotyczą, obowiązki i prawa administratora kluczowym w tym zakresie jest art. 28 RODO. Typową działalnością podmiotu przetwarzającego jest dostarczanie rozwiązań IT, czy usług przechowywania danych w chmurze. Podmiot przetwarzający dane może zlecić innemu podmiotowi przetwarzającemu podwykonawstwo części swoich obowiązków albo wyznaczyć podmiot współprzetwarzający dane wyłącznie po otrzymaniu uprzedniej pisemnej zgody administratora danych. Dane powinno powierzać się wyłącznie podmiotowi, który spełnia wymagania z przepisów ochrony danych osobowych. Ciąży na nim dokładnie takie sama odpowiedzialność jak na administratorze. Czyli odpowiedzialność: administracyjna, finansowo-administracyjna, cywilna czy karna.

Należy zwrócić uwagę, że uregulowanie relacji pomiędzy administratorem i podmiotem przetwarzającym w oparciu o umowę powierzenia jest obowiązkiem administratora oraz podmiotu przetwarzającego. Forma takiej umowy może być pisemna lub elektroniczna. Brak uregulowania relacji może być podstawą do nałożenia administracyjnej kary pieniężnej zgodnie z art. 83 ust. 4 a RODO. Podmiot przetwarzający, biorąc pod uwagę charakter przetwarzania, pomaga administratorowi  w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą oraz innych nałożonych na administratora przepisami RODO. Zaleca się aby rola podmiotu przetwarzającego polegała na przekazaniu administratorowi, w ustalonym przez stronie terminie, wszelkich informacji niezbędnych do realizacji określonego obowiązku. Umowa zgodna z przepisami unijnego rozporządzenia, ma na celu zapewnienie administratorowi lepszej kontroli nad przetwarzanymi przez niego danymi osobowymi dlatego jest ważnym elementem. Masz inne pytania, nurtujące cię problemy z ochroną danych osobowych skontaktuj się z doświadczonymi specjalistami dane kontaktowe znajdziesz na naszej stronie https://rodo-online.eu/.

Zgubienie sprzętu z danymi osobowymi

Nie każdy przedsiębiorca wie, że najdroższe zgubione urządzanie mobilne jak laptop, tablet,  smartfon czy nawet pendrive może go kosztować 20 milionów euro lub 4% rocznego światowego obrotu przedsiębiorstwa. Zagubienie takiego urządzania to nie jedyny problem dla administratora, największy to dane jakie zawierało to urządzenie oraz związane z tym przepisy RODO. Takie urządzania zapewniają łatwy i szybki dostęp do danych, programów i aplikacji, ułatwiają komunikację służbową jak i prywatną. Na urządzeniach mobilnych gromadzona jest duża ilość danych firmowych i prywatnych, maile, fotografie, dokumenty jak i całe bazy danych osobowych.  

Podstawowym obowiązkiem administratora czy procesora wynikającym z RODO jest między innymi prawidłowe zabezpieczanie tego typu urządzeń czyli:

  • Zastosowanie hasła użytkownika czy pinu przy każdorazowym uruchamianiu urządzenia, programu czy aplikacji oraz przy braku aktywności przez zdefiniowany przez użytkownika czas. 
  • Sprzętowe automatyczne blokowanie ekranu – ma podobne zastosowanie jw.
  • Szyfrowanie programowe – to rozwiązanie zapewniające kryptograficzne ochronę danych poprzez szyfrowanie każdego sektora nośnika.  
  • W przypadku komputerów ustawiania hasła na biosie

Zagubienie, a nawet kradzież urządzenia mobilnego nie zwalnia administratora z odpowiedzialności za to, co stanie się z danymi przechowywanymi na urządzaniu. Samo zagubienie czy pozostawienie sprzętu z danymi osobowymi w miejscu publicznym nie jest równoznaczne z naruszeniem ochrony danych. Jeśli sprzęt zostanie odnaleziony lub odzyskany trzeba ustalić, czy osoby nieuprawnione uzyskały dostęp do danych osobowych. Konieczne jest wykonanie analiza ryzyka dla ochrony danych w tym przypadku. Innymi słowy, administrator powinien zastanowić się na tym, czy i jakie prawa i wolność były zagrożone incydentem i czy doszło do naruszenia. 

Brak odpowiedniej reakcji może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych. W szczególności dotyczy to utraty kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości. Konsekwencjami może być strata finansowa, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową. Nośnik z danymi, który mógł dostać się w niepowołane ręce, może skutkować wykorzystaniem ich w sposób nieodpowiedni. Osoba nieupoważniona posiadając dane (imię, nazwisko, nr i serię dowodu osobistego) może również działać w imieniu osoby, której dane dotyczą. Dlatego ważna jest świadomość użytkowników jak i administratora w tym zakresie. Trzeba zapewnić odpowiedni poziom bezpieczeństwa oraz minimalizować ryzyko utraty danych.

Z pomocą przychodzi system RODO-ONLINE.EU i doświadczeni specjaliści – kontakt pod adresem: kontakt@rodo-online.eu

RODO w czasie pandemii

Pandemia koronawirusa wpłynęła na działanie wszystkich osób przetwarzających dane osobowe, administratorów i procesorów. Pandemia nie zwolniła Inspektora Ochrony Danych jak i Administratora Danych Osobowych ze swoich zadań. 

Pandemia postawiła nowe wyzwania, zmienił się wielu przypadkach sposób wykonywania pracy. To wymusiło stworzenie odpowiednich procedur, regulaminów, przeanalizowania ryzyka czy incydentów. Europejska Rada Ochrony Danych Osobowych (EROD) wydała również wytyczne i oświadczenia jak postępować w kontekście pandemii COVID-19. EROD przygotowało dość ogólne i kierunkowe wytyczne. Wskazano, iż RODO nie ogranicza środków podejmowanych w ramach walki z pandemią, jednakże wskazano że w żaden sposób nie zwalnia to z obowiązków dotyczących zapewnienia ochrony danych osobowych. Dlatego wielu Administratorów borykało się i nadal ma wile problemów z dostosowaniem procedur, regulaminów wewnętrznych i pozostałej dokumentacji do zaistniałej sytuacji. Główne problemy dotyczą: pracy zdalne (sprzęt i jego zabezpieczenie, oprogramowanie, komunikacja – realizacja art.32 RODO itp.), pracownik (szkolenie, czas pracy itp.), 

Z pomocą przychodzi system RODO-ONLINE.EU lub doświadczeni specjaliści – kontakt pod adresem: kontakt@rodo-online.eu 

Infolinia dla IOD (i nie tylko)

Gdy wykorzystują Państwo w firmie serwis RODO-ONLINE.EU, jako Administratorzy czy Inspektorzy, to chętnie służymy pomocą techniczną i doświadczeniem przy obsłudze programu i związanych z tym pytań. Dobrze wiemy, że im wyższa jest fachowa wiedza i doświadczenie inspektora ochrony danych lub innej osoby odpowiedzialnej za ochronę danych osobowych, tym większa szansa na zbudowanie w organizacji, która go wyznaczyła, skutecznego systemu ochrony danych osobowych. Dzięki Waszym uwagom i sugestiom, na bieżąco wprowadzamy zmiany, które dostosowują działanie serwisu do potrzeb użytkowników.  

W niektórych sytuacjach bardzo pomocna w codziennej pracy okazuje się infolinia Urzędu Ochrony Danych Osobowych, skierowana jak się okazuje dla wszystkich interesantów, a nie tylko dla Inspektorów Ochrony Danych. Polecamy ją również Państwu, ponieważ można tam zasięgnąć aktualnej wiedzy rozmawiając z konsultantami (ekspertami) z zakresu ochrony danych osobowych (można też zweryfikować swoją wiedzę i otrzymać odpowiedzi / wytyczne na nurtujące nas wszystkich pytania, związane z całością zagadnień, z którymi spotykamy się na co dzień stosując RODO i inne ustawy dotyczące ochrony danych). 

Przypominamy zatem, że infolinia UODO czynna jest w dni robocze od godz. 10:00 do 14:00 pod numerem 606-950-000. Pamiętać przy tym należy, że Infolinia nie udziela porad prawnych. 

Pomoc techniczna RODO-ONLINE.EU jest dostępna dla Państwa pod numerami tel. +48 885 206 000 / +48 885 960 500 lub mailowo  pomoc@rodo-online.eu 

Ocena zgodności z RODO

Jesteś pewny, czy Twoja firma działa zgodnie z RODO?. Chcesz sprawdzić czy wdrożenie RODO przeprowadzone w Twojej firmie nie ominęło żadnego obszaru? 

System RODO-ONLINE.EU zawiera takie narzędzie, mają Państwo listę kontrolną, dzięki której można wykonać audyt na każdym etapie wdrożenia RODO. Zgodnie z RODO wszystkie dane osobowe muszą być przetwarzane w sposób określony w przepisach, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Administrator danych jest uprawniony do zbierania i przetwarzania danych wyłącznie w prawnie uzasadnionych celach, w zakresie adekwatnym do swoich potrzeb i przez minimalny okres niezbędny do spełnienia celu przetwarzania. W każdym przypadku, niezależnie od prowadzonej działalności i rodzaju przetwarzanych danych, na administratorze danych ciąży obowiązek zapewnienia danym odpowiedniego stopnia bezpieczeństwa – ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, przypadkową utratą, ich zniszczeniem lub uszkodzeniem. Administrator danych jest odpowiedzialny za przestrzeganie przepisów RODO i zgodnie z zasadą rozliczalności musi być w stanie wykazać, że w swojej działalności stosuje odpowiednie procedury i metody. Jednym z obowiązków RODO nałożonych na administratora danych jest przeprowadzenie audytu zgodności z RODO. Administrator może za pomocą listy przeprowadzić audyt samodzielnie. Gdy Administrator nie czuje się na siłach może zgłosić przeprowadzenie audytu naszej firmie, nasi specjaliści przeprowadzą audyt, a wynikiem będzie raport kontrolny. Jeśli potrzebujesz sprawdzenia  zgodności przetwarzania danych  – audytu RODO, zapraszamy do kontaktu z nami kontakt@rodo-online.eu   

Obszary przetwarzania

Korzystając z systemu RODO-ONLINE.EU mają Państwo możliwość dodania miejsc przetwarzania danych osobowych w jednostkach, które obsługują jako inspektorzy ochrony danych  lub którego są administratorami. Można opisać każde pomieszczenie z osobna np. sekretariat, serwerownia, pomieszczenia biurowe, lub całe obszary np. budynek, piętro. Wybierając odpowiednie zastosowane zabezpieczenia typu: alarm, stróż, drzwi antywłamaniowe, monitoring, kraty, karty zbliżeniowe itp., możemy w łatwy sposób określić zabezpieczenia zgodnie z wykonaną wcześniej analizą ryzyka. 

Bardzo pomocne okazuje się dołączenie schematu pomieszczeń (rzutu) w formie pliku (jpg, gif, png), można łatwo stworzyć schematy samemu za pomocą programu np. Microsoft Paint. Możemy również na rzucie nanieść kluczowe zabezpieczenia i aktywa dla naszej organizacji: czujki alarmowe, kraty, kamery, czujniki ppoż,  gdzie przechowywana dokumentacja archiwalna, serwery, biurka pracowników ze stacjami PC, gdzie są przechowywane kopie zapasowe, dokumentacja księgowa i kadrowa, na których stanowiskach jest przetwarzany główny program do obsługi firmy lub inne przetwarzające dane osobowe itp.

W każdym momencie mamy możliwość wglądu do aktualnych zabezpieczeń, a w razie potrzeby można je szybko dopasować do nowych zmian, aby polityka ochrony danych osobowych była aktualna, tak jak jej składowe opisujące wykaz budynków/pomieszczeń.

Dostęp do Systemu Informatycznego CEPiK 2.0

Zgodnie z Ustawą Prawo o ruchu drogowym grupa podmiotów zgodnie z art. 80c ust. 1 ma uprawnienia do korzystania do danych zgromadzonych w Centralnej Ewidencji Pojazdów (CEP) oraz Centralnej Ewidencji Kierowców (CEK).

Pamiętając, że dane i informacje zgromadzone w ewidencjach udostępnia się wyłącznie, jeśli są one niezbędne do realizacji ustawowych zadań podmiotu.

Minister Cyfryzacji  może wyrazić zgodę, w drodze decyzji, na udostępnienie lub informacji zgromadzonych w ewidencji, po spełnieniu  przez podmiot warunków określonych w ustawie.

Po pierwsze trzeba spełnić aspekty formalne czyli dostosować się do wymogów, zaleceń i wytycznych  zawartych w Polityce Bezpieczeństwa Systemu Informatycznego Centralnej Ewidencji Pojazdów i Kierowców 2.0. Zaczynając od zabezpieczenia pomieszczeń, nośników danych, urządzeń sieciowych, komputerów stacjonarnych i przenośnych itd. Wszystko spisując w dokumentacji przetwarzania danych osobowych zgodnymi z aktualnymi przepisami np. Ustawą o ochronie danych osobowych i RODO.

Następnie możemy wnioskować do MC o wydanie pozytywnej opinii o udostępnienie danych ewidencyjnych za pośrednictwem sieci publicznej w wykorzystaniem urządzeń teletransmisji. 

Po wydaniu pozytywnej decyzji wnioskujemy o niezbędne certyfikaty, jeśli nie posiadasz decyzji wnioski certyfikacyjne nie zostaną zrealizowane. 

W całym procesie wdrożenia systemu CEPiK 2.0 nasza Firma pomoże Państwu tak, by system został szybko i prawidłowo wdrożony. Od dokumentacji Ochrony Danych Osobowych, przez niezbędne dokumenty takie jak wnioski, ankiety czy oświadczenia. Do konfiguracji stacji by prawidłowo pobierały dane i zgodnie z wymogami stawianymi w Polityce były użytkowane. Chcesz wdrożyć system CEPiK 2.0 skontaktuj się z nami kontakt@rodo-online.eu

Wyznaczanie IOD

Prowadząc firmę, pewnie zastanawiasz się czy musisz mieć wyznaczonego Inspektora Ochrony Danych osobowych, czy wiesz jakie są kryteria? Chętnie w tym pomożemy. 

System RODO-ONLINE.EU umożliwia przeprowadzenie analizy IOD zgodnie z przyjętymi obowiązkami wyznaczenia IOD dla administratorów i podmiotów przetwarzających (tak/nie + opis)  zawartymi w art. 37 ust 1 RODO

Wyznaczamy wtedy, gdy:

  • gdy przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości
  • gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
  • gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (art. 9 ust 1 RODO)  oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa (art. 10 RODO).

Podkreślić należy, iż w pozostałych przypadkach, wyznaczenie IOD jest fakultatywne. Grupa Robocza art. 29 w swoich wytycznych dotyczących IOD zaleciła ADO i PP udokumentowanie wewnętrznej procedury, która przeprowadzana jest w celu ustalenia i uwzględnienia poszczególnych przesłanek z art. 38 ust 1 RODO istnienia lub braku takowego obowiązku. 

Przypominamy, że zgodnie z art. 37 ust. 6 RODO inspektorem ochrony danych może zostać zarówno pracownik administratora lub podmiotu przetwarzającego, jak i osoba spoza grona pracowników ww. podmiotów (tzw. outsourcing). Warto zwrócić uwagę przy zatrudnieniu czy osoba spełnia obowiązki zawarte w art. 37 ust 5 RODO. Poziom wiedzy fachowej nie jest nigdzie jednoznacznie określony, ale musi być współmierny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach jednostki i jej specyfikacji (widza sektorowa). Wobec czego wybór inspektora ochrony danych powinien być dokonany z zachowaniem należytej staranności i z uwzględnieniem charakteru przetwarzania danych osobowych w ramach jednostki. Osoba taka powinna również posiadać takie mocne strony, jak rzetelne wykonywanie obowiązków i wysoki poziom etyki zawodowej.
Poszukujesz specjalistów – zapraszamy do kontaktu tel. +48 693 334 664 lub kontakt@rodo-online.eu  

Niszczenie nośników danych

Niszczenie nośników danych

Każde przedsiębiorstwo zobowiązane jest do wprowadzenia procedur niszczenia dokumentów i nośników danych. Co ważne, wyrzucenie do śmieci, trzymanie w pomieszczeniach bez nadzoru jest niedopuszczalne. W ten sposób narusza się przepisy i naraża się na nałożenie kary finansowej. 

Żyjemy w świecie cyfrowej informacji, informacje zapisywane są na nośniki danych jak dyski twarde (HDD), dyski SSD, pamięci USB, płyty CD i DVD, różnego rodzaju karty pamięci i wiele innych. Dane powinny być każdorazowo chronione przed nieuprawnionym dostępem, zmianą lub utratą. W nowoczesnym i coraz bardziej zdigitalizowanym świecie skuteczne niszczenie danych staje się konicznością. Większość wspomnianych wcześniej nośników dany możemy zniszczyć bezpiecznie we własnym zakresie przy niedużej inwestycji sprzętowej. Co z dyskami HDD ? Czy wiesz, że zapisanych na dysku twardym danych nie da się zniszczyć bez specjalistycznego sprzętu ?

Formatowanie, nadpisywanie, kasowanie plików czy nawet likwidacja partycji sprawią, iż dane są nieczytelne tylko pozornie. Pliki będą nadal zapisane na talerzu, a ich odzyskanie jest możliwe. 

Dlatego nasza firma wychodząc naprzeciw potrzebą oferuje profesjonalne niszczenie dysków. Niszczenie jest dwuetapowe: pierwszym etapem demagnetyzacja a drugim niszczenie mechaniczne, więcej dowiesz się http://niszczenie-dyskow.eu/ lub https://rodo-online.eu/ .  Jeśli potrzebujesz pomocy w stworzeniu procedur niszczenia zapraszamy do kontaktu z nami kontakt@rodo-online.eu 

Sprawdzenia (plany, sprawozdania)

Wyznaczony Inspektor ochrony danych zgodnie z art. art. 39 ust. 1 ma następujące zadania m.in.: informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie. Monitorowanie przestrzegania rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty.

Można więc przyjąć, że aktywność inspektora ochrony danych w tym zakresie nie powinna mieć charakteru jednorazowego, a charakter ciągły i długofalowy, aby to osiągnąć nieodzowne wydają się audyty – pierwszy wstępny oraz cykliczne, które powinny być przeprowadzane raz w roku lub częściej, jeżeli pojawią się znaczące zmiany w firmie mające wpływ na ochronę danych osobowych.

W zależności od branż każdy IOD ma opracowane własne wzory audytów, które są dla niego najlepiej dopasowane, i w które nie ingerujemy. Program RODO-ONLINE.EU wychodząc naprzeciw, daje możliwość korzystania z kategorii SPRAWDZENIA/PLANY, gdzie możemy zaplanować audyty i ich zakres, dodać załączniki i uwagi. Natomiast SPRAWDZENIA/SPRAWOZDANIA wybieramy po przeprowadzonym audycie, opisujemy czy był doraźny czy zlecony, jakiego okresu dotyczył, jaki miał zakres, jaki jest stan faktyczny, jakie są zalecenia, jakie są uwagi, bardzo pomocne jest dodanie załącznika, gdzie możemy załączyć swój przeprowadzony audyt papierowy/elektroniczny w formie np. skanu, zdjęcia, pliku PDF. Wtedy mamy je zawsze „pod ręką” i możemy planować dalsze działania / sprawdzenia np. zaznaczając odpowiednie adnotacje w kalendarzu wbudowanym w program. Wypróbuj wersje darmową i sprawdź jak działa system więcej na https://rodo-online.eu/ .

„Obowiązek informacyjny” garść wiedzy

Jednym z głównych obowiązków nałożonych na administratorów danych osobowych przez przepisy RODO jest obowiązek informacyjny, który w określonych sytuacjach musi być spełniony w stosunku do osoby, której dane dotyczą.

Osoby których dane dotyczą po wejściu w życie RODO mają prawo do uzyskania szerokiego wachlarza informacji na temat przetwarzania ich danych osobowych przez administratora. Motyw 60 preambuły RODO wskazuje że osoba, której dane dotyczą, musi być poinformowana o fakcie prowadzenia operacji przetwarzania jej danych osobowych i o celach takiego przetwarzania. Co więcej administrator powinien podać wszelkie inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i kontekst przetwarzania danych osobowych.

Kluczowe w tym zakresie są dwa przepisy, tj. art. 13 oraz art. 14 RODO. Wybór jednego z przywołanych przepisów zależy od źródła, z którego administrator pozyskał dane osobowe. Artykuł 13 RODO znajdzie bowiem zastosowanie, gdy administrator pozyskuje dane osobowe bezpośrednio od osoby, której dane dotyczą. W wytycznych dotyczących przejrzystości Grupa Robocza art. 29 (obecnie: Europejska Rada Ochrony Danych) wskazuje następujące przykłady takich sytuacji:

  • osoba, której dane dotyczą, samodzielnie przekazuje administratorowi dane osobowe (np. wypełniając formularz www, zapis do newslettera),
  • administrator samodzielnie pozyskuje dane od osoby, której one dotyczą, w drodze obserwacji (np. przy zastosowaniu automatycznych rejestratorów, takich jak kamery czy urządzenia sieciowe).

Natomiast art. 14 RODO administrator będzie musiał uwzględnić, jeżeli dane osobowe zostały przez niego pozyskane nie bezpośrednio od osoby, której one dotyczą. Przywołane wytyczne w sprawie przejrzystości wskazują jako przykłady konieczności zastosowania tego przepisu m.in. gdy:

  • pozyskuje dane osobowe od zewnętrznego administratora danych (np. udostępnienie danych osobowych przez kontrahenta, partnera biznesowego, właściciela bazy danych),
  • pozyskuje dane osobowe ze źródeł publicznie dostępnych (np. pozyskanie danych z CEIDG, KRS lub GUS),
  • pozyskuje dane osobowe od innych osób (np. pozyskanie danych dotyczących członków rodzin, podanych przez pracowników).

Ponadto administrator powinien poinformować osobę o przetwarzaniu jej danych w przypadku, gdy zmienia lub dodaje nowy cel przetwarzania oraz pod czas wykonywania żądania dostępu do danych. 

Obowiązek informacyjny wynikający zarówno z art. 13, jak i 14 RODO może być spełniony w różnorodny sposób. Najważniejsze żeby komunikacja z osobą, której dane dotyczą, była prowadzona w zwięzłej, przejrzystej i łatwo dostępnej formie, językiem zrozumiałym dla przeciętnego odbiorcy, z prostą konstrukcją zdań. 

Informacje udziela się na piśmie, poprzez umieszczenie treści obowiązku na tablicy ogłoszeń, w postaci elektronicznej (np. strona www) lub na żądanie osoby, informacji można udzielić ustnie.

Obowiązek informacyjny to jeden z kluczowych elementów przy wdrożeniu RODO. Warto poświęcić mu odpowiednią ilość uwagi, bo osoby są coraz bardziej świadome wymogów związanych z ochroną danych osobowych i mogą pokusić się o skargę, gdy go zaniedbasz.

Nie ma żadnego gotowego szablonu obowiązku informacyjnego, który będzie pasował do wszystkich sytuacji. Pamiętaj, że informacje przekazywane w ramach realizacji obowiązku muszą być dostosowane do rzeczywistej sytuacji, szczególnie w zakresie celu i podstawy prawnej przetwarzania oraz okresu przechowywania.

Pamiętaj, że w razie kontroli administrator będzie musiał wykazać, że obowiązek informacyjny został przez niego spełniony (art. 5 ust. 1 lit. a RODO). Jeśli potrzebujesz pomocy w zakresie obowiązku informacyjnego czy innych wymogów ochrony danych osobowych skontaktuj się z nami kontakt@rodo-online.eu więcej na https://rodo-online.eu/

Telefoniczna weryfikacja tożsamości

Pamiętać należy, że Administrator (ADO) zobowiązany jest zachować wszelkie środki ostrożności w celu ochrony danych osobowych swoich klientów/petentów. Największą wartością bowiem jest zaufanie. Sprawą pierwszoplanową dla wszystkich Pracowników jest ochrona informacji dotycząca klientów/petentów. Każdy pracownik powinien zabezpieczyć, zgodnie ze ścisłymi zasadami bezpieczeństwa i poufności, każdą informację jaka dotyczy klientów. 

Rozmowa może zostać prowadzona wyłącznie z klientem lub osobą upoważnioną i powinna być prowadzona najlepiej z nagrywanych linii telefonicznych (czynność ujęta w RCP / przekazana klauzula informacyjna). Wskazane jest udokumentowanie w systemie prowadzenia rozmowy i jej efektu (notatka z rozmowy, uzupełnianie / aktualizacja danych / zmiana zamówienia itp.), aby zapewnić w przyszłości skuteczność procesu na wypadek kwestionowania sposobu podejmowanych działań.

Na początku prowadzenia rozmowy telefonicznej z klientem należy przedstawić firmę potem siebie (stanowisko oraz imię i nazwisko). Podczas rozmów dbamy o profesjonalizm. Konieczność dokonywania weryfikacji osoby, która do nas dzwoni, wynika z obowiązku ochrony danych osobowych. Weryfikacja jest dokonywana w celu zmniejszenia ryzyka ujawnienia tajemnicy danych osobowych osobom nieupoważnionym. 

Przed identyfikacją i weryfikacją NIGDY nie udzielajmy żadnych informacji objętych ochroną danych osobowych. Przeprowadzamy weryfikację klienta, zadając minimum 2 pytania (np. imię i nazwisko, nr faktury, nr klienta, czego dotyczyło zamówienie, data urodzenia, pesel, adres, nr. reklamacji). Warto dodać, że na każde pytanie musimy uzyskać poprawną odpowiedź. Jeżeli rozmówca podaje prawidłowe dane, ale podejrzewamy, że może pod klienta podszywać się osoba trzecia,  musimy zadać co najmniej jedno pytanie dodatkowe (numer telefonu, adres e-mail, adres do korespondencji).

Jeśli – połączenia przychodzące (zadajemy minimum dwa pytania) np. o: nr faktury; adres zamieszkania/zameldowania; imię, nazwisko; nr klienta w systemie, nr zamówienia; PESEL, data urodzenia (jeżeli prędzej były pozyskane).

Jeśli – połączenia wychodzące: dzwonimy na nr telefonu, z którego już kontaktowaliśmy się z klientem, pytamy o: imię i nazwisko; jeśli mamy wątpliwości czy rozmawiamy z właściwą osobą, zadajmy dodatkowe pytania weryfikacyjne. Jeżeli dzwonimy na nr telefonu, który został dopiero co pozyskany, można zapytać o: imię i nazwisko, nr klienta w systemie, nr faktury / nr zamówienia, adres dostawy, telefon / mail, nr reklamacji, ostatnie ustalenia.

Dla wszystkich rozmów przychodzących i wychodzących istnieje obowiązek weryfikacji tożsamości za pomocą pytań dotyczących danych demograficznych (np.: pesel, imię i nazwisko, adres zamieszkania/dostawy, etc.). Na każde zadane pytanie pracownik Administratora powinien uzyskać odpowiedź jednoznaczną, nie budzącą żadnych wątpliwości oraz zgodną z danymi zawartymi w systemie lub dokumentacji. Pamiętać należy, że NIGDY nie potwierdzamy odpowiedzi klienta. Pytania zadawane przez osobę kontaktującą się powinny mieć formę zamkniętą. Pracownik nie może okazać rozmówcy, czy udzielona odpowiedź jest poprawna czy błędna. Nie można również zadawać pytań weryfikujących; na które pracownik nie potrafi odnaleźć odpowiedzi w systemie lub na które w systemie odpowiedź w ogóle nie widnieje.
W przypadku jakichkolwiek wątpliwości, co do tożsamości, pracownik Administratora odmawia udzielenia informacji przez telefon i prosi o przesłanie prośby w formie pisemnej do siedziby, bądź kontaktu osobistego w siedzibie.

W przypadku wizyty klienta w siedzibie Administratora, upoważniony pracownik potwierdza tożsamość klienta poprzez wgląd w dokument potwierdzający tożsamość.
W przypadku, gdy klient nie chce odpowiedzieć na pytania weryfikujące,  pracownik powinien poprosić o skierowanie pisma w danej sprawie oraz wizyta powinna zostać zakończona. Pamiętajmy, że zanim podejmiemy merytoryczną rozmowę musimy mieć pewność, że rozmawiamy z osobą do tego  uprawnioną.

Myślę, że osoba szkoląca Państwa pracowników z zakresu RODO, na pewno takie tematy poruszy (ponieważ na szkoleniach pracownicy obsługi klienta często zadają pytania dotyczące weryfikacji osoby dzwoniącej, czy piszącej maila). Procedura dot. weryfikacji tożsamości, która jestodpowiednio dopasowana do Państwa struktury, daje możliwość aby pracownik zawsze mógł do niej wrócić, mieć ją „pod ręką” i się z niej szkolić (procedura jest również bardzo ważna w nadchodzącym okresie letnich praktyk i staży; często nowe osoby mają bezpośrednio lub pośrednio kontakt z klientem i muszą podołać poufności danych osobowych i weryfikacji osób dzwoniących).

Rejestr kategorii czynności przetwarzania

Zgodnie z art. 4 RODO oprócz administratora również podmiot przetwarzający (procesor) musi rejestrować czynności przetwarzania danych osobowych,  podmiot przetwarzający oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Do procesorów można zaliczyć głównie firmy związane z outsourcingiem usług (np. księgowość, kadry, serwisy IT, archiwizacja). 

Art. 30 ust 2 RODO stanowi, że podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel podmiotu przetwarzającego prowadzą rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora. W systemie RODO-ONLINE.EU znajdą Państwo obligatoryjne i dodatkowe elementy potrzebne do pełnej funkcjonalności takiego rejestru zgodnie z powyższym artykułem RODO – zakładka „Rejestr kategorii”. Rejestr ten nie jest udostępniany publicznie, ale stanowi cenne źródło merytorycznego wywiązywania się przez podmiot przetwarzający z realizacji odpowiedzialnego przetwarzania danych osobowych.

Obowiązki, o których mowa powyżej, nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych, o czym mowa w art. 10 RODO.

RKCP jest podstawową dokumentacją podmiotu przetwarzającego ukazującą przetwarzanie danych osobowych w imieniu innego podmiotu, odnosi się do kategorii (rodzaju usługi), a nie do samej czynności. Rejestr taki powinien odzwierciedlać realizowanie zawieranych umów powierzenia z Administratorem/ami.

Dwa lata obowiązywania RODO – kary nałożone w Polsce

W dniu dzisiejszym 25.05.2020 r. mija dwa lata obowiązywania w Polsce Ogólnego rozporządzenia o ochronie danych (tzw. RODO). Chciałbym dziś przedstawić ilość i wielkość kar nałożonych przez Prezesa Urzędu Ochrony Danych Osobowych. Artykuł 83 RODO wskazuje ogólne warunki nakładania kar pieniężnych, nałożenie każdej kary łączy się z wydaniem decyzji administracyjnej wraz z uzasadnieniem. Pragnę przypomnieć o trzech przedziałach kar pieniężnych, które wyróżnia RODO:

  • Kary do 10 mln. EUR a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego – za naruszenia w zakresie: rejestrowania czynności przetwarzania, współadministrowania, współpracy z UODO oraz z podmiotem przetwarzającym, upoważniania, wdrożenia zabezpieczeń, zgłaszania naruszeń, oceny skutków, pracy IOD
  • Kary do 20 mln. EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego za naruszenia w zakresie: legalności przetwarzania, warunków zgód, celowości, adekwatności, czasowości, obowiązku informacyjnego, praw osób, niezgodnego z prawem przetwarzania oraz ochrony przed utratą, zniszczeniem lub uszkodzeniem danych
  • Kary do 100.000 PLN dla podmiotów publicznych

Kary dot. przestrzegania RODO nałożone w Polsce (stan na dzień 01.05.2020):

  • Bisnode Polska sp. z o.o.943 470 PLN – naruszenie: art. 14 ust. 1 – 3
  • Dolnośląski Związek Piłki Nożnej55 750,50 PLN – naruszenie: 5 ust. 1 lit. f /  32 ust. 1 lit. b / 32 ust. 2
  • Morele.net sp. z o.o.2 830 410 PLN – naruszenie: 5 ust. 1 lit. a / 5 ust. 1 lit. f / 5 ust. 2 / 6 ust. 1 / 7 ust. 1 / 24 ust. 1 / 25 ust. 1 / 32 ust. 1 lit. b / 32 ust. 1 lit. d / 32 ust. 2
  • Burmistrz Aleksandrowa Kujawskiego40 000 PLN – naruszenie: 5 ust. 1 lit. a / 5 ust. 1 lit. f / 5 ust. 1 lit. e / 5 ust. 2 / 24 ust. 1 oraz 2 / 28 ust. 3 / 30 ust. 1 lit. d oraz f / 32 ust. 1 lit. b / 32 ust. 1 lit. c
  • ClickQuickNow sp. z o.o.201 559,50 PLN – naruszenie: 5 ust 1 lit. a w zw. z art. 5 ust. 2 / 7 ust. 3 / 12 ust. 2 / 17 ust. 1 lit. b / 24 ust. 1 / art. 6 ust. 1
  • Szkoła Podstawowa nr 2 w Gdańsku20 000,00 PLN – naruszenie: 5 ust. 1 lit. c / art. 9 ust. 1
  • Vis Consulting Sp. z o.o.20 000,00 PLN – naruszenie: 31 RODO / art. 58 ust. 1 lit. e oraz f

Rejestrowanie czynności przetwarzania

Ogólne rozporządzenie o ochronie danych (RODO) przewiduje, że administratorzy danych mają obowiązek prowadzenia rejestru czynności. Art. 30 RODO wskazuje obligatoryjne składniki. Rejestr ten stanowi dokument związany z przetwarzaniem danych. Formą przewidzianą prowadzenia tego typu dokumentu jest forma pisemna. Rejestr więc może być prowadzony w zwykłej papierowej formie, jak i elektronicznej np. za pomocą systemu RODO-ONLINE.EU. 

Cele prowadzenia rejestru czynności przetwarzania wskazuje głównie art. 82 RODO:

  • zachowanie przez Administratora (ADO) zgodności z RODO – stała możliwość weryfikacji swojej działalności w odniesieniu do przetwarzania danych osobowych jak również podanie ocenie każdego procesu.
  • umożliwienie organowi nadzorczemu monitorowania prowadzonego przetwarzania danych osobowych. Przepisy mówią, że administrator zobowiązany jest udostępnić organowi kontrolującemu informacje o przetwarzaniu w sposób jednolity i czytelny by możliwe było dokonanie szybkiej weryfikacji i przeglądu. 

Rejestr czynności prowadzony w systemie RODO-ONLINE.EU zawiera wszystkie obligatoryjne składniki wskazane w RODO i Poradniku Prezesa UODO. Prowadząc rejestr w naszym systemie osiągniesz miedzy innymi wskazane jw. cele.  

Upoważnienia i zestawienie uprawnień

Zgodnie z art. 32 ust. 4 to administrator oraz podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający charakterowi prowadzonego przetwarzania i związanego z nim ryzyka, podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego. Z powyższych informacji wynika, że dane mogą być przetwarzane wyłącznie na polecenie administratora, przez osoby działające z jego upoważnienia lub podmiotu przetwarzającego.

Administrator musi zapewnić i mieć kontrolę nad tym kto i w jakim zakresie ma dostęp do danych osobowych i na jakich zasadach je przetwarza. Wprowadzone przez administratora środki bezpieczeństwa muszą służyć zapobieganiu pracy na danych osobowych, wglądu, jak również usuwania i modyfikowania tych danych przez osoby nieuprawnione. Zatem osoby, które będą przetwarzały dane osobowe zgodnie ze swoim wykazem obowiązków zostają poinformowane jaki jest zakres ich uprawnień. Dotyczy to osób na stałe zatrudnionych u administratora, ale także osób którym zlecono pracę, która będzie wiązała się z dostępem do danych osobowych (np. praktykanci, stażyści). Wydawanie upoważnień jest jednym z środków organizacyjnych, którego celem jest zapewnienie odpowiedniej ochrony danych osobowych i kontroli nad procesem ich przetwarzania.

Do przetwarzania danych osobowych dopuszczone mogą być wyłącznie osoby posiadające pisemne upoważnienie wydane przez administratora. Nadawanie upoważnień w postaci elektronicznej należy uznać za wykonanie obowiązku nadania upoważnień w formie pisemnej. W świetle zasady rozliczalności jakakolwiek postać, w tym elektroniczna, która pozwala na udokumentowanie spełnienia obowiązków celem wykazania przestrzegania przepisów, a w tym przypadku wykonania obowiązku wynikającego z art. 29 RODO należy uznać za prawidłową (źródło https://uodo.gov.pl/pl/225/1278). 

W systemie RODO-ONLINE.EU w upoważnieniu („Pracownicy” / „Wygeneruj dokumenty” / „Upoważnienie”) w jednym miejscu możemy przypisać uprawnienia zgodnie z zakresem obowiązków  służbowych. Upoważnienie jest ważne do czasu zakończenia stosunku pracy, stosunku cywilnoprawnego lub odwołania. Sprawdzenie aktualnego zestawienia uprawnień dla wszystkich pracowników, można również łatwo wygenerować; klikamy w „Raporty” / „Zestawienie uprawnień”; zaznaczamy interesujące nas kolumny / „Wygeneruj”). Dzięki takiemu rozwiązaniu Administrator ma pełną kontrole nad uprawnieniami dostępu do danych. 

Wewnętrzne rejestrowanie incydentów

Klienci dzwoniąc lub pisząc często zadają pytania dotyczące incydentu/naruszenia danych osobowych, który się u nich zdarzył. Bywa i tak, że nie wiedzą co robić i jak sobie poradzić z zastaną sytuacją. Często pośpiech lub błąd ludzki powoduje to, że może dojść do np. spakowania ważnej dokumentacji zawierającej dane osobowe i wysłania jej za potwierdzeniem odbioru ale… nie do tego klienta/petenta, do którego miała być adresowana. Co wtedy zrobić, gdy złamiemy zasadę poufności danych? Pomocne okazuje się narzędzie zawarte w systemie RODO-ONLINE.EU (zakładka „Incydenty”). 

Zgodnie z art. 4 pkt 12 RODO naruszenie bezpieczeństwa prowadzi do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Najczęściej w swojej pracy spotykamy się z naruszeniem poufności. Możemy w dowolnym momencie wprowadzić incydent/naruszenie zgodnie z zastaną sytuacją do RODO-ONLINE.EU. Może go wprowadzić każda osoba mająca uprawniania do systemu: konto IOD, konto ADO lub konto dostępowe (np. pracownik). 

Wprowadzenie nowego incydentu/naruszenia do systemu RODO-ONLINE.EU jest bardzo proste. Jeżeli ryzyko jest wysokie, można również odznaczyć czy zawiadomiono i kiedy organ nadzorczy (prezesa UODO), osobę której dane dotyczą lub administratora danych powierzonych. 

Możemy również dodać notatki i załączniki związane z naruszeniem/incydentem. Jeżeli wszystko się dobrze zakończy (np. zwrócono nam korespondencję, która była źle nadana) można zmienić status na „zakończony”, w przeciwnym razie mamy ukazane nasze działania, gdy status jest „w toku”. Administrator danych, zgodnie z art. 33 ust. 5 ogólnego rozporządzenia o ochronie danych powinien dokumentować wszelkie naruszenia ochrony danych osobowych. Trzeba zatem prowadzić rejestr naruszeń. Ważne, aby organ nadzorczy mógł zweryfikować, czy administrator danych realizuje ten obowiązek. W celu rozliczalności każdy korzystający z RODO-ONLINE.EU może mieć go pod ręką i wracać do niego w razie potrzeby. Jest to nieodzowne narzędzie, które przydaje się w pracy przy ochronie danych osobowych. Wiadomo nie od dziś, że kto nie pracuje ten nie popełnia błędów, zatem zawsze może się zdarzyć coś incydentalnego na co niestety nie mamy wpływu prowadząc firmy, mając nawet najlepiej przeszkoloną załogę i wprowadzone regulaminy oraz zabezpieczenia, ten rejestr incydentów/naruszeń może okazać się bardzo pomocny w skomplikowanej dla nas sytuacji.