W maju 2018 wchodzi w życie Unijne Rozporządzenie dotyczące danych osobowych RODO czyli Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Ofertujemy szkolenie RODO oraz wdrożenie najważniejszych zasad ISO 27001 z uwzględnieniem wymagań dotyczących danych osobowych. Nasza kompleksowa usługa pozwala spełnić wymagania RODO oraz ogólnie podnieść poziom bezpieczeństwa informacji.
Ocena RODO zostanie dokonana w dziesięciu obszarach kierując się wymaganiami normy ISO 27001 oraz Ustawy o ochronie danych osobowych.
Ponadto skoncentrujemy się na sprawdzeniu w jakim stopniu Organizacja spełnia wymagania regulacji UE czyli RODO , rozporządzenia 2016/679. Wynikiem naszego działania będzie szczegółowy raport z audytu RODO. Raport wskaże obszary zgodności bądź niezgodności z przyjętymi kryteriami oceny oraz informację o głównych ryzykach związanych z bezpieczeństwem informacji. Raport pozwoli na przygotowanie się do potencjalnej kontroli przetwarzania danych osobowych dokonywanej przez uprawnione organy państwowe, w tym GIODO.
Przetwarzanie danych osobowych - informacje ogólne
Co to są dane osobowe?
Dane osobowe - zgodnie z art. 4 ust 1 RODO to:
- informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą).
- możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak: imię i nazwisko, numer identyfikacyjny (pesel), dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Podział Danych Osobowych
Dane szczególnej kategorii (dane wrażliwe):
- pochodzenie rasowe lub etniczne,
- poglądy polityczne,
- przekonania religijne lub światopoglądowe,
- przynależność do związków zawodowych,
- dane genetyczne,
- dane biometryczne,
- dane o stanie zdrowia,
- dane o seksualności lub orientacji seksualnej
Dane szczególnie chronione (wrażliwe), możemy przetwarzać tylko na podstawie: wyraźnej zgody, przepisu prawa w wyraźnie określonych dziedzinach życia (prawo pracy, zabezpieczenie społeczne, ochrona i profilaktyka zdrowia, wymiar sprawiedliwości)
Dane dotyczące wyroków skazujących i naruszeń prawa
Przetwarzanie danych – Co To Oznacza?
Przetwarzanie danych osobowych to wykonywanie jakiejkolwiek operacji na danych np.:
- Wprowadzanie do systemu,
- Wykorzystywanie do powtarzalnych operacji (np. naliczanie płac, wystawianie dokumentów, wysyłanie e-maili, korespondencji, obsługa klienta, wykonywanie telefonów itp.),
- Składowanie danych na serwerze, wykonywanie back-up,
- Obserwacja nagrań z monitoringu,
- Archiwizacja danych
Role w procesie przetwarzania, czyli kto kim jest?
- Administrator – podmiot, który określa cele i sposoby przetwarzania (np. spółka obsługująca klientów, zatrudniająca pracowników, prowadząca działania marketingowe wobec potencjalnych klientów, podmiot publiczny – np. gmina, szpital);
- Podmiot przetwarzający – podmiot wykonujący przetwarzanie w imieniu administratora, np. biuro rachunkowe, podmiot świadczący wsparcie IT;
- Odbiorca – podmiot, który pozyskuje dane od innego administratora, ale realizuje własny cel, np. bank realizujący przelew, ZUS otrzymujący dane od pracodawcy, przychodnie medycyny pracy wykonujące badania wstępne dla pracowników.
- Pracownicy lub współpracownicy Administratora są osobami upoważnionymi i wykonując przetwarzanie działają jak administrator.
Zasady przetwarzania danych osobowych
Zasada legalności
Możemy przetwarzać dane osobowy gdy:
- Osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych w jednym lub większej liczbie celów,
- Przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby której dane dotyczą przed zawarciem umowy np. formularze kontaktowe)
- Przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (pracodawca)
- Przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej (ratowanie zdrowia, życia),
- Przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub, w ramach powierzonej władzy publicznej powierzonej administratorowi (sądy, policja, prokuratura)
- Istnieje prawnie uzasadniony interes realizowany przez administratora lub stronę trzecią (na tą przesłankę nie mogą powoływać się organy publiczne realizujące swoje zadania)
Zasada celowości
- Zbieranie i przetwarzanie danych musi odbywać się w wyraźnych i prawnie uzasadnionych celach. Cele te określa Zarząd firmy, pracownicy realizują te cele wykonując swoje obowiązki
- Pracownik nie może samodzielnie zmieniać celu przetwarzania danych osobowych, do których otrzymuje dostęp
- Zasada adekwatności i minimalizacji
- Zbierane i przetwarzane dane mają być adekwatne do osiągnięcia celu, dla którego je zbieramy i przetwarzamy.
- Nie należy pozyskiwać danych na zapas oraz danych, które nie są potrzebne do tego, aby zrealizować cel
Ograniczenie przechowywania
Jeśli dane nie są już potrzebne do realizacji celu a nie mamy obowiązku przechowywania tych danych - należy rozważyć ich usunięcie. Usunięcie danych musi być poprzedzone konsultacją z przełożonym oraz Inspektorem Ochrony Danych Osobowych oraz zatwierdzone przez Zarząd
Przejrzystość
Administrator powinien w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielić osobie, której dane dotyczą informacji o zasadach przetwarzania jej danych. Obowiązek ten jest realizowany poprzez stosowanie tzw. Klauzul informacyjnych.
Informacje zawarte w obowiązkach informacyjnych muszą być podawane najpóźniej w momencie ich zbierania, gdy dane zbieramy bezpośrednio od osób fizycznych.
Elementy klauzuli informacyjnej: 1/ tożsamość administratora i jego dane kontaktowe, 2/ informacje o IOD (jeśli dotyczy) – czy wyznaczony i jego dane kontaktowe, 3/ cele i podstawy prawne przetwarzania, 4/ informacje o odbiorcach danych (tylko kategorie odbiorców ), 5/ zamierzony czas przechowywania – można zastosować kryterium obliczania tego czasu, 6/ Informacje o prawach przysługujących w związku z realizowanym przetwarzaniem (te prawa zależą od podstawy prawnej, jaka jest właściwa w danym przypadku), 7/ informacja o prawie do sprzeciwu – o ile przetwarzanie odbywa się na podstawie uzasadnionego interesu prawnego, 8/ informacje o przekazywaniu danych poza obszar EOG (jeśli następuje takie przekazywanie, należy też podać informacje dot. stopnia ochrony danych w danym kraju), 9/ informacje o tym, czy podanie danych jest wymogiem ustawowym lub umownym albo czy jest dobrowolne i jakie są konsekwencje braku podania danych 10/ informacje o prawie skargi do Prezesa UODO, 11/ Informacje o zautomatyzowanym podejmowaniu decyzji.
Zasada prawidłowości danych
Obowiązkiem Administratora Danych Osobowych jest czuwać nad tym, by przetwarzane dane były prawidłowe a w razie potrzeby uaktualniane. Np. nieprawidłowe jest przekręcanie nazwisk czy nieprawidłowe przypisanie nr PESEL do danej osoby. Należy sprawdzać poprawność danych oraz zachować staranność przy ich wprowadzaniu do systemu
Zasada integralności i poufności
Dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym czy niezgodnym z prawem przetwarzaniem danych oraz przed ich przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą środków technicznych lub organizacyjnych.
Zasada integralności i poufności a zasada risk based approach
Brak jest jasnych wytycznych, co do tego, jakie środki techniczne i organizacyjne powinny zostać zastosowane w celu zabezpieczenia danych. W tym zakresie Administrator musi stosować zasadę „risk based approach”, czyli podejście oparte na ryzyku. -Środki techniczne i organizacyjne musza być adekwatne do ryzyk, jakie zostały zidentyfikowane w danej organizacji. Wszystkie procesy, w jakich występuje przetwarzanie danych osobowych powinny przeprowadzić analizę ryzyka dla danych występujących w danym procesie. - Analizie podlega to, czy dane są narażone na utratę dostępności, integralności i poufności. - Na bazie wykonanej analizy należy podjąć decyzje odnośnie środków technicznych i organizacyjnych, jakie należy zastosować, aby dane nie utraciły trzech ww. atrybutów. - Zastosowane w celu zabezpieczenia środki techniczne i organizacyjne powinny podlegać stałemu sprawdzaniu, mierzeniu i ocenianiu ich skuteczności.
Zasada integralności i poufności a obowiązki pracownika
Administrator, na bazie oceny ryzyka dokonuje wyboru środków technicznych i organizacyjnych, które będą stosowane w jego organizacji. Każdy osoba upoważniona do przetwarzania przez Administratora (pracownik, współpracownik) musi bezwzględnie przestrzegać procedur i polityk, jakie obowiązują w przedsiębiorstwie. Przed rozpoczęciem pracy należy zapoznać się z procedurami i politykami określającymi zasady postępowania w związku z przetwarzaniem danych osobowych.
Umowy z podmiotami przetwarzającymi
- Dokładna analiza relacji biznesowej w celu sprawdzenia czy na pewno mamy do czynienia z powierzeniem do przetwarzania?
- Sprawdzenie czy wybrany przez nas podmiot przetwarzający daje gwarancję bezpieczeństwa dla danych osobowych, które mu powierzamy?
- Pisemna forma umowy o powierzenie do przetwarzania (PPDO)
- Obowiązkowe elementy PPDO:
- przedmiot i czas trwania przetwarzania,
- charakter i cel przetwarzania,
- rodzaj powierzonych danych osobowych,
- kategorię osób, których dane powierzamy,
- obowiązki i prawa Administratora
Zgłaszanie naruszeń
Rodo wymaga, aby ADO zgłaszali tzw. incydenty czyli zdarzenia, które mogą doprowadzić do naruszenia praw i wolności osób których dane dotyczą. Jeśli ocena naruszenia wykaże, że wskutek wystąpienia naruszenia nie zachodzi wysokie ryzyko naruszenia praw i wolności osób, których dotknęło naruszenie, ADO może odstąpić od obowiązku zgłoszenia naruszenia do UODO oraz od powiadomienia osób. Jeśli analiza naruszenia wykaże, że istnieje wysokie ryzyko naruszenia praw i wolności osób, których dane dotyczą, należy poinformować takie osoby o fakcie naruszenia i przedstawić im sugestie w celu zminimalizowania ewentualnych negatywnych skutków zdarzenia. Takie naruszenie podlega ocenie Administratora a także (co do zasady) należy je zgłosić w ciągu 72 godzin od momentu wystąpienia incydentu, do organu nadzorczego (Urząd Ochrony Danych).
