Kategoria: O RODO

Najczęściej spotykane incydenty

Dodano | przez rodo-online.eu | Leave a Comment on Najczęściej spotykane incydenty

Tytuł: Najczęściej spotykane incydenty

Chciałbym dziś opisać Państwu najczęściej występujące incydenty, z którymi spotykamy się na co dzień wykonując swoją pracę. Należy pamiętać, że jeżeli powodują one duże prawdopodobieństwo naruszenia praw lub wolności osób fizycznych, to wtedy stają się naruszeniem (należy niezwłocznie się do tego przyznać poprzez zgłoszenie takiego zdarzenia do organu nadzorczego oraz poinformować osoby poszkodowane). Aby stwierdzić naruszenie należy wykonać ocenę naruszenia (rekomendacje zawarte w publikacji European Union Agency for Network and Information Security (ENISA), 2013, Recommendations for a methodology of the assessment of severity of personal data breaches

Dla klientów, których obsługujemy jako IOD oraz korzystających z systemu RODO-ONLINE.EU – dostępna zakładka w systemie – https://panel.rodo-online.eu/incydenty.

Do najczęściej występujących incydentów u naszych klientów można zaliczyć:

  • Zdarzenia losowe wewnętrzne (awaria komputera/serwera/dysku twardego/oprogramowania, pomyłki informatyków, utrata danych)
  • Umyślne incydenty (kradzież danych i sprzętu zawierającego dane osobowe, włamanie do systemu informatycznego lub pomieszczeń)
  • Zdarzenia losowe zewnętrzne (utrata zasilania, utrata łączności)
  • Nieprawidłowo zaadresowana korespondencja elektroniczna bądź papierowa zawierająca dane osobowe
  • Smartfony, laptopy, przenośne dyski czy teczki z papierowymi dokumentami są nośnikami danych osobowych. Ich utrata, czyli kradzież lub zgubienie należy zakwalifikować jako incydent w ochronie danych osobowych, w zależności od ilości i wagi danych taki incydent często staje się naruszeniem
  • Często w firmach pracownicy niszczą dokumenty w wersji papierowej poprzez ich ręczne zniszczenie (pogięcie, podarcie) i wyrzucenie do kosza na śmieci. Wbrew pozorom tego typu dokumenty można łatwo odzyskać. W celu prawidłowego usunięcia danych osobowych, należy skorzystać z niszczarki. W przypadku elektronicznych nośników należy skorzystać ze specjalistycznego oprogramowania do usuwania danych (nie wystarczy tylko same formatowanie)
  • Sprawdzenie przed rozpoczęciem korzystania z usług konkretnej firmy utylizującej dokumenty, czy np. nie wyrzucają ich do przydrożnego lasu (powinny być spalone lub zniszczone)
  • Fizyczną obecność w budynku lub pomieszczeniach, w których przetwarzane są dane osobowe osób nieuprawnionych, które nie wpisały się do rejestru osób nieupoważnionych
  • Otwarte drzwi do pomieszczeń, szaf, gdzie przechowywane są dane osobowe
  • Nieprawidłowości w zakresie zabezpieczenia miejsc przechowywania informacji (otwarte regały, biurka, szafy w pomieszczeniach w strefach bezpieczeństwa) na nośnikach np. na papierze (wydruki), zdjęcia, płyty CD, pendrive, dyski, karty pamięci, karty do czytników w formie niezabezpieczonej
  • Aktywne konta systemowe i mailowe byłych pracowników, którym powinien być już dawno odebrany dostęp, a który nie raz przydzielany był bezterminowo
  • Niewylogowywanie się przed opuszczeniem stanowiska pracy, pozostawienie wydruków na drukarce, ksero, nie zamykanie pomieszczeń z komputerem
  • Niewykonywanie w określonym terminie kopii bezpieczeństwa oraz nie sprawdzanie możliwości jej odtworzenia
  • Ustawienie monitorów na sekretariacie i w punkcie obsługi klientów pozwalające na wgląd do danych osobowych osobom postronnym (sam wgląd jest już przetwarzaniem)
  • Wynoszenie danych osobowych na zewnątrz organizacji w formie papierowej lub elektronicznej bez upoważnienia
  • Udostępnianie danych osobowych osobom nieupoważnionym w formie papierowej, elektronicznej lub ustnej
  • Incydenty związane z nieaktualizowanym oprogramowaniem lub błędną konfiguracją – wykorzystanie ujawnionej podatności
  • Uniemożliwienie prawidłowego działania systemów lub usług sieciowych poprzez zajęcie wszystkich dostępnych zasobów
  • Telefoniczne próby wyłudzania danych osobowych bez właściwej weryfikacji rozmówcy
  • Maile zachęcające do ujawnienia identyfikatora lub hasła do   systemu/programu/bankowości
  • Pojawienie się wirusa komputerowego lub niestandardowe zachowanie komputerów
  • Przechowywanie haseł do systemu/programów w pobliżu komputera
  • Zdarzenia losowe takie jak awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników
  • Podszywanie się hakerów pod znane firmy wysyłające wiadomości zawierające złośliwe załączniki, które po kliknięciu w załącznik lub link szyfrują dane w taki sposób, że nie można uzyskać dostępu do nich bez użycia klucza, który należy odkupić od hakerów (lub przywrócić kopie bezpieczeństwa). Dużym zagrożeniem ciągle pozostają cyberataki, w szczególności te z wykorzystaniem phishingu i ransomware
  • Naruszenia integralności danych, polegające na nieuprawnionej modyfikacji danych z powodu niewłaściwego zabezpieczenia konta użytkownika lub przekazania dostępu do haseł nieograniczonej liczbie osób poprzez pozostawienie ich w widocznym miejscu. 

Naruszeniem ochrony danych osobowych nie będzie zatem każde zdarzenie, które uznamy za incydent bezpieczeństwa informacji, lecz tylko takie, które będzie się wiązało z naruszeniem poufności, dostępności lub integralności danych i będzie wywierało niekorzystny wpływ na osobę, której dane dotyczą (duże prawdopodobieństwo naruszenia praw lub wolności osób fizycznych). Pamiętać należy, że integralność danych może być także zagrożona przez wirusy komputerowe lub umyśle działanie pracowników firmy.

Usunięcie danych osobowych zgodne z RODO

Dodano | przez rodo-online.eu | Leave a Comment on Usunięcie danych osobowych zgodne z RODO

Usunięcie danych osobowych zgodne z RODO

Ogólne rozporządzenie o ochronie danych (RODO) daje osobom fizycznym prawo do żądania usunięcia ich danych osobowych. Administrator ma obowiązek bez zbędnej zwłoki (do miesiąca) usunąć dane osobowe, jeśli zachodzi jedna z następujących okoliczności:

  • dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
  • osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania;
  • osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania;
  • dane osobowe były przetwarzane niezgodnie z prawem;
  • dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
  • dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1.

Z drugiej strony art. 17 ust. 3 RODO wskazuje wprost sytuacje, gdy administrator danych ma prawo odmówić usunięcia (tzn. gdy jest to niezbędne):

  • do korzystania z prawa do wolności wypowiedzi i informacji;
  • do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  • z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h) oraz i) i art. 9 ust. 3;
  • do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania;
  • do ustalenia, dochodzenia lub obrony roszczeń.

Wpłynięcie wniosku z żądaniem usunięcia danych osobowych rodzi po stronie administratora szereg obowiązków. W pierwszej kolejności takie żądanie powinno zostać zweryfikowane pod kątem tego, czy administrator przetwarza dane osobowe osoby składającej żądanie oraz czy żądanie to zostało złożone przez uprawnioną osobę. Administrator, jeśli ma uzasadnione wątpliwości co do tożsamości osoby składającej żądanie, powinien zażądać od takiej osoby dodatkowych informacji niezbędnych do potwierdzenia tożsamości. Jeśli na podstawie wskazanych w żądaniu danych osobowych administrator nie jest w stanie jednoznacznie określić, czy dane które przetwarza dotyczą osoby, która zgłosiła żądanie, powinien w miarę możliwości poinformować o tym fakcie taką osobę.  Niejednokrotnie zdarza się, że przekazane administratorowi w żądaniu usunięcia danych dane osobowe nie są wystarczające do zidentyfikowania w bazach właściwej osoby, której dane dotyczą. Imiona i nazwiska mogą się powtarzać, administrator może także dysponować innym zestawem danych niż osoba, której dane dotyczą wskazała w żądaniu usunięcia jej danych. W takich wypadkach uzasadnione będzie poinformowanie osoby żądającej usunięcia danych o zaistniałych przeszkodach w realizacji żądania. Weryfikacja i realizacja żądania może się okazać możliwa dopiero po podaniu dodatkowych danych umożliwiających identyfikację w zasobach administratora.

Administrator po weryfikacji żądania i usunięciu danych zobowiązany jest o jej wynikach poinformować osobę, która takie żądanie złożyła. Informacja ta powinna zostać sformułowana prostym, łatwo zrozumiałym dla odbiorcy językiem. Osoba, która żądała usunięcia danych osobowych, w przypadku nie uwzględnienia żądania powinna także zostać poinformowana o prawie wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem. Biorą pod uwagę wzrost liczby wniosków o usunięcie danych osobowych przesyłanych przez naszych klientów, którym świadczymy outsourcing IOD. Wnioski przysparzają coraz więcej kłopotów administratorom. Jeśli masz takie problemy lub inne nurtujące cię problemy z ochroną danych osobowych skontaktuj się z nami.

Czy musimy zawierać umowę powierzenia ?

Dodano | przez admin | Leave a Comment on Czy musimy zawierać umowę powierzenia ?

W ostatnim czasie podczas audytów RODO, jak i przy okazji rozmów z naszymi klientami często pada pytanie po co nam umowy powierzenia ? czy musimy zawierać umowę powierzenia z podmiotem x czy y ? Nie jeden z naszych klientów już zdołał się o tym przekonać, że są one istotnym elementem w momencie zaistnienia incydentu czy naruszenia. 

Wyjaśnijmy najważniejsze pojęcia:

  • Administrator danych osobowych ustala cele, w jakich dane osobowe są przetwarzane, oraz sposoby, jakimi się je przetwarza. Zatem, jeśli Twoja firma/organizacja decyduje o tym „po co” i „w jaki sposób” powinno się przetwarzać dane, jest ona administratorem danych osobowych. Pracownicy przetwarzający dane w ramach Twojej organizacji wykonują w ten sposób Twoje zadania jako administratora danych.
  • Podmiot przetwarzający dane dokonuje przetwarzania danych osobowych wyłącznie w imieniu administratora. Podmiot przetwarzający dane jest zazwyczaj stroną trzecią, czyli podmiotem zewnętrznym wobec firmy. 

Obowiązki podmiotu przetwarzającego względem administratora muszą być określone w umowie lub innym instrumencie prawnym, który podlega prawu Unii lub prawu państwa członkowskiego. Umowa musi na przykład wskazywać, co się stanie z danymi osobowymi po rozwiązaniu umowy. Jak również regulacja taka musi być wiążąca, określać przedmiot i czas trwania przetwarzania, rodzaj danych osobowych oraz kategorie osób, której dane dotyczą, obowiązki i prawa administratora kluczowym w tym zakresie jest art. 28 RODO. Typową działalnością podmiotu przetwarzającego jest dostarczanie rozwiązań IT, czy usług przechowywania danych w chmurze. Podmiot przetwarzający dane może zlecić innemu podmiotowi przetwarzającemu podwykonawstwo części swoich obowiązków albo wyznaczyć podmiot współprzetwarzający dane wyłącznie po otrzymaniu uprzedniej pisemnej zgody administratora danych. Dane powinno powierzać się wyłącznie podmiotowi, który spełnia wymagania z przepisów ochrony danych osobowych. Ciąży na nim dokładnie takie sama odpowiedzialność jak na administratorze. Czyli odpowiedzialność: administracyjna, finansowo-administracyjna, cywilna czy karna.

Należy zwrócić uwagę, że uregulowanie relacji pomiędzy administratorem i podmiotem przetwarzającym w oparciu o umowę powierzenia jest obowiązkiem administratora oraz podmiotu przetwarzającego. Forma takiej umowy może być pisemna lub elektroniczna. Brak uregulowania relacji może być podstawą do nałożenia administracyjnej kary pieniężnej zgodnie z art. 83 ust. 4 a RODO. Podmiot przetwarzający, biorąc pod uwagę charakter przetwarzania, pomaga administratorowi  w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą oraz innych nałożonych na administratora przepisami RODO. Zaleca się aby rola podmiotu przetwarzającego polegała na przekazaniu administratorowi, w ustalonym przez stronie terminie, wszelkich informacji niezbędnych do realizacji określonego obowiązku. Umowa zgodna z przepisami unijnego rozporządzenia, ma na celu zapewnienie administratorowi lepszej kontroli nad przetwarzanymi przez niego danymi osobowymi dlatego jest ważnym elementem. Masz inne pytania, nurtujące cię problemy z ochroną danych osobowych skontaktuj się z doświadczonymi specjalistami dane kontaktowe znajdziesz na naszej stronie https://rodo-online.eu/.

Zgubienie sprzętu z danymi osobowymi

Dodano | przez rodo-online.eu | Leave a Comment on Zgubienie sprzętu z danymi osobowymi

Nie każdy przedsiębiorca wie, że najdroższe zgubione urządzanie mobilne jak laptop, tablet,  smartfon czy nawet pendrive może go kosztować 20 milionów euro lub 4% rocznego światowego obrotu przedsiębiorstwa. Zagubienie takiego urządzania to nie jedyny problem dla administratora, największy to dane jakie zawierało to urządzenie oraz związane z tym przepisy RODO. Takie urządzania zapewniają łatwy i szybki dostęp do danych, programów i aplikacji, ułatwiają komunikację służbową jak i prywatną. Na urządzeniach mobilnych gromadzona jest duża ilość danych firmowych i prywatnych, maile, fotografie, dokumenty jak i całe bazy danych osobowych.  

Podstawowym obowiązkiem administratora czy procesora wynikającym z RODO jest między innymi prawidłowe zabezpieczanie tego typu urządzeń czyli:

  • Zastosowanie hasła użytkownika czy pinu przy każdorazowym uruchamianiu urządzenia, programu czy aplikacji oraz przy braku aktywności przez zdefiniowany przez użytkownika czas. 
  • Sprzętowe automatyczne blokowanie ekranu – ma podobne zastosowanie jw.
  • Szyfrowanie programowe – to rozwiązanie zapewniające kryptograficzne ochronę danych poprzez szyfrowanie każdego sektora nośnika.  
  • W przypadku komputerów ustawiania hasła na biosie

Zagubienie, a nawet kradzież urządzenia mobilnego nie zwalnia administratora z odpowiedzialności za to, co stanie się z danymi przechowywanymi na urządzaniu. Samo zagubienie czy pozostawienie sprzętu z danymi osobowymi w miejscu publicznym nie jest równoznaczne z naruszeniem ochrony danych. Jeśli sprzęt zostanie odnaleziony lub odzyskany trzeba ustalić, czy osoby nieuprawnione uzyskały dostęp do danych osobowych. Konieczne jest wykonanie analiza ryzyka dla ochrony danych w tym przypadku. Innymi słowy, administrator powinien zastanowić się na tym, czy i jakie prawa i wolność były zagrożone incydentem i czy doszło do naruszenia. 

Brak odpowiedniej reakcji może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych. W szczególności dotyczy to utraty kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości. Konsekwencjami może być strata finansowa, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową. Nośnik z danymi, który mógł dostać się w niepowołane ręce, może skutkować wykorzystaniem ich w sposób nieodpowiedni. Osoba nieupoważniona posiadając dane (imię, nazwisko, nr i serię dowodu osobistego) może również działać w imieniu osoby, której dane dotyczą. Dlatego ważna jest świadomość użytkowników jak i administratora w tym zakresie. Trzeba zapewnić odpowiedni poziom bezpieczeństwa oraz minimalizować ryzyko utraty danych.

Z pomocą przychodzi system RODO-ONLINE.EU i doświadczeni specjaliści – kontakt pod adresem: kontakt@rodo-online.eu

RODO w czasie pandemii

Dodano | przez rodo-online.eu | Leave a Comment on RODO w czasie pandemii

Pandemia koronawirusa wpłynęła na działanie wszystkich osób przetwarzających dane osobowe, administratorów i procesorów. Pandemia nie zwolniła Inspektora Ochrony Danych jak i Administratora Danych Osobowych ze swoich zadań. 

Pandemia postawiła nowe wyzwania, zmienił się wielu przypadkach sposób wykonywania pracy. To wymusiło stworzenie odpowiednich procedur, regulaminów, przeanalizowania ryzyka czy incydentów. Europejska Rada Ochrony Danych Osobowych (EROD) wydała również wytyczne i oświadczenia jak postępować w kontekście pandemii COVID-19. EROD przygotowało dość ogólne i kierunkowe wytyczne. Wskazano, iż RODO nie ogranicza środków podejmowanych w ramach walki z pandemią, jednakże wskazano że w żaden sposób nie zwalnia to z obowiązków dotyczących zapewnienia ochrony danych osobowych. Dlatego wielu Administratorów borykało się i nadal ma wile problemów z dostosowaniem procedur, regulaminów wewnętrznych i pozostałej dokumentacji do zaistniałej sytuacji. Główne problemy dotyczą: pracy zdalne (sprzęt i jego zabezpieczenie, oprogramowanie, komunikacja – realizacja art.32 RODO itp.), pracownik (szkolenie, czas pracy itp.), 

Z pomocą przychodzi system RODO-ONLINE.EU lub doświadczeni specjaliści – kontakt pod adresem: kontakt@rodo-online.eu 

Infolinia dla IOD (i nie tylko)

Dodano | przez rodo-online.eu | Leave a Comment on Infolinia dla IOD (i nie tylko)

Gdy wykorzystują Państwo w firmie serwis RODO-ONLINE.EU, jako Administratorzy czy Inspektorzy, to chętnie służymy pomocą techniczną i doświadczeniem przy obsłudze programu i związanych z tym pytań. Dobrze wiemy, że im wyższa jest fachowa wiedza i doświadczenie inspektora ochrony danych lub innej osoby odpowiedzialnej za ochronę danych osobowych, tym większa szansa na zbudowanie w organizacji, która go wyznaczyła, skutecznego systemu ochrony danych osobowych. Dzięki Waszym uwagom i sugestiom, na bieżąco wprowadzamy zmiany, które dostosowują działanie serwisu do potrzeb użytkowników.  

W niektórych sytuacjach bardzo pomocna w codziennej pracy okazuje się infolinia Urzędu Ochrony Danych Osobowych, skierowana jak się okazuje dla wszystkich interesantów, a nie tylko dla Inspektorów Ochrony Danych. Polecamy ją również Państwu, ponieważ można tam zasięgnąć aktualnej wiedzy rozmawiając z konsultantami (ekspertami) z zakresu ochrony danych osobowych (można też zweryfikować swoją wiedzę i otrzymać odpowiedzi / wytyczne na nurtujące nas wszystkich pytania, związane z całością zagadnień, z którymi spotykamy się na co dzień stosując RODO i inne ustawy dotyczące ochrony danych). 

Przypominamy zatem, że infolinia UODO czynna jest w dni robocze od godz. 10:00 do 14:00 pod numerem 606-950-000. Pamiętać przy tym należy, że Infolinia nie udziela porad prawnych. 

Pomoc techniczna RODO-ONLINE.EU jest dostępna dla Państwa pod numerami tel. +48 885 206 000 / +48 885 960 500 lub mailowo  pomoc@rodo-online.eu 

Ocena zgodności z RODO

Dodano | przez rodo-online.eu | Leave a Comment on Ocena zgodności z RODO

Jesteś pewny, czy Twoja firma działa zgodnie z RODO?. Chcesz sprawdzić czy wdrożenie RODO przeprowadzone w Twojej firmie nie ominęło żadnego obszaru? 

System RODO-ONLINE.EU zawiera takie narzędzie, mają Państwo listę kontrolną, dzięki której można wykonać audyt na każdym etapie wdrożenia RODO. Zgodnie z RODO wszystkie dane osobowe muszą być przetwarzane w sposób określony w przepisach, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Administrator danych jest uprawniony do zbierania i przetwarzania danych wyłącznie w prawnie uzasadnionych celach, w zakresie adekwatnym do swoich potrzeb i przez minimalny okres niezbędny do spełnienia celu przetwarzania. W każdym przypadku, niezależnie od prowadzonej działalności i rodzaju przetwarzanych danych, na administratorze danych ciąży obowiązek zapewnienia danym odpowiedniego stopnia bezpieczeństwa – ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, przypadkową utratą, ich zniszczeniem lub uszkodzeniem. Administrator danych jest odpowiedzialny za przestrzeganie przepisów RODO i zgodnie z zasadą rozliczalności musi być w stanie wykazać, że w swojej działalności stosuje odpowiednie procedury i metody. Jednym z obowiązków RODO nałożonych na administratora danych jest przeprowadzenie audytu zgodności z RODO. Administrator może za pomocą listy przeprowadzić audyt samodzielnie. Gdy Administrator nie czuje się na siłach może zgłosić przeprowadzenie audytu naszej firmie, nasi specjaliści przeprowadzą audyt, a wynikiem będzie raport kontrolny. Jeśli potrzebujesz sprawdzenia  zgodności przetwarzania danych  – audytu RODO, zapraszamy do kontaktu z nami kontakt@rodo-online.eu   

Obszary przetwarzania

Dodano | przez rodo-online.eu | Leave a Comment on Obszary przetwarzania

Korzystając z systemu RODO-ONLINE.EU mają Państwo możliwość dodania miejsc przetwarzania danych osobowych w jednostkach, które obsługują jako inspektorzy ochrony danych  lub którego są administratorami. Można opisać każde pomieszczenie z osobna np. sekretariat, serwerownia, pomieszczenia biurowe, lub całe obszary np. budynek, piętro. Wybierając odpowiednie zastosowane zabezpieczenia typu: alarm, stróż, drzwi antywłamaniowe, monitoring, kraty, karty zbliżeniowe itp., możemy w łatwy sposób określić zabezpieczenia zgodnie z wykonaną wcześniej analizą ryzyka. 

Bardzo pomocne okazuje się dołączenie schematu pomieszczeń (rzutu) w formie pliku (jpg, gif, png), można łatwo stworzyć schematy samemu za pomocą programu np. Microsoft Paint. Możemy również na rzucie nanieść kluczowe zabezpieczenia i aktywa dla naszej organizacji: czujki alarmowe, kraty, kamery, czujniki ppoż,  gdzie przechowywana dokumentacja archiwalna, serwery, biurka pracowników ze stacjami PC, gdzie są przechowywane kopie zapasowe, dokumentacja księgowa i kadrowa, na których stanowiskach jest przetwarzany główny program do obsługi firmy lub inne przetwarzające dane osobowe itp.

W każdym momencie mamy możliwość wglądu do aktualnych zabezpieczeń, a w razie potrzeby można je szybko dopasować do nowych zmian, aby polityka ochrony danych osobowych była aktualna, tak jak jej składowe opisujące wykaz budynków/pomieszczeń.

Dostęp do Systemu Informatycznego CEPiK 2.0

Dodano | przez rodo-online.eu | Leave a Comment on Dostęp do Systemu Informatycznego CEPiK 2.0

Zgodnie z Ustawą Prawo o ruchu drogowym grupa podmiotów zgodnie z art. 80c ust. 1 ma uprawnienia do korzystania do danych zgromadzonych w Centralnej Ewidencji Pojazdów (CEP) oraz Centralnej Ewidencji Kierowców (CEK).

Pamiętając, że dane i informacje zgromadzone w ewidencjach udostępnia się wyłącznie, jeśli są one niezbędne do realizacji ustawowych zadań podmiotu.

Minister Cyfryzacji  może wyrazić zgodę, w drodze decyzji, na udostępnienie lub informacji zgromadzonych w ewidencji, po spełnieniu  przez podmiot warunków określonych w ustawie.

Po pierwsze trzeba spełnić aspekty formalne czyli dostosować się do wymogów, zaleceń i wytycznych  zawartych w Polityce Bezpieczeństwa Systemu Informatycznego Centralnej Ewidencji Pojazdów i Kierowców 2.0. Zaczynając od zabezpieczenia pomieszczeń, nośników danych, urządzeń sieciowych, komputerów stacjonarnych i przenośnych itd. Wszystko spisując w dokumentacji przetwarzania danych osobowych zgodnymi z aktualnymi przepisami np. Ustawą o ochronie danych osobowych i RODO.

Następnie możemy wnioskować do MC o wydanie pozytywnej opinii o udostępnienie danych ewidencyjnych za pośrednictwem sieci publicznej w wykorzystaniem urządzeń teletransmisji. 

Po wydaniu pozytywnej decyzji wnioskujemy o niezbędne certyfikaty, jeśli nie posiadasz decyzji wnioski certyfikacyjne nie zostaną zrealizowane. 

W całym procesie wdrożenia systemu CEPiK 2.0 nasza Firma pomoże Państwu tak, by system został szybko i prawidłowo wdrożony. Od dokumentacji Ochrony Danych Osobowych, przez niezbędne dokumenty takie jak wnioski, ankiety czy oświadczenia. Do konfiguracji stacji by prawidłowo pobierały dane i zgodnie z wymogami stawianymi w Polityce były użytkowane. Chcesz wdrożyć system CEPiK 2.0 skontaktuj się z nami kontakt@rodo-online.eu

Wyznaczanie IOD

Dodano | przez rodo-online.eu | Leave a Comment on Wyznaczanie IOD

Prowadząc firmę, pewnie zastanawiasz się czy musisz mieć wyznaczonego Inspektora Ochrony Danych osobowych, czy wiesz jakie są kryteria? Chętnie w tym pomożemy. 

System RODO-ONLINE.EU umożliwia przeprowadzenie analizy IOD zgodnie z przyjętymi obowiązkami wyznaczenia IOD dla administratorów i podmiotów przetwarzających (tak/nie + opis)  zawartymi w art. 37 ust 1 RODO

Wyznaczamy wtedy, gdy:

  • gdy przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości
  • gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
  • gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (art. 9 ust 1 RODO)  oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa (art. 10 RODO).

Podkreślić należy, iż w pozostałych przypadkach, wyznaczenie IOD jest fakultatywne. Grupa Robocza art. 29 w swoich wytycznych dotyczących IOD zaleciła ADO i PP udokumentowanie wewnętrznej procedury, która przeprowadzana jest w celu ustalenia i uwzględnienia poszczególnych przesłanek z art. 38 ust 1 RODO istnienia lub braku takowego obowiązku. 

Przypominamy, że zgodnie z art. 37 ust. 6 RODO inspektorem ochrony danych może zostać zarówno pracownik administratora lub podmiotu przetwarzającego, jak i osoba spoza grona pracowników ww. podmiotów (tzw. outsourcing). Warto zwrócić uwagę przy zatrudnieniu czy osoba spełnia obowiązki zawarte w art. 37 ust 5 RODO. Poziom wiedzy fachowej nie jest nigdzie jednoznacznie określony, ale musi być współmierny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach jednostki i jej specyfikacji (widza sektorowa). Wobec czego wybór inspektora ochrony danych powinien być dokonany z zachowaniem należytej staranności i z uwzględnieniem charakteru przetwarzania danych osobowych w ramach jednostki. Osoba taka powinna również posiadać takie mocne strony, jak rzetelne wykonywanie obowiązków i wysoki poziom etyki zawodowej.
Poszukujesz specjalistów – zapraszamy do kontaktu tel. +48 693 334 664 lub kontakt@rodo-online.eu