Wdrażanie RODO / szkolenie RODO

Przetwarzanie danych osobowych - informacje ogólne

Co to są dane osobowe?

Dane osobowe - zgodnie z art. 4 ust 1 RODO to:

• informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą).
• możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak: imię i nazwisko, numer identyfikacyjny (pesel), dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Podział Danych Osobowych

Dane szczególnej kategorii (dane wrażliwe):

• pochodzenie rasowe lub etniczne,
• poglądy polityczne,
• przekonania religijne lub światopoglądowe,
• przynależność do związków zawodowych,
• dane genetyczne,
• dane biometryczne,
• dane o stanie zdrowia,
• dane o seksualności lub orientacji seksualnej

Dane szczególnie chronione (wrażliwe), możemy przetwarzać tylko na podstawie: wyraźnej zgody, przepisu prawa w wyraźnie określonych dziedzinach życia (prawo pracy, zabezpieczenie społeczne, ochrona i profilaktyka zdrowia, wymiar sprawiedliwości)

Dane dotyczące wyroków skazujących i naruszeń prawa

Przetwarzanie danych – Co To Oznacza?

Przetwarzanie danych osobowych to wykonywanie jakiejkolwiek operacji na danych np.:

• Wprowadzanie do systemu,
• Wykorzystywanie do powtarzalnych operacji (np. naliczanie płac, wystawianie dokumentów, wysyłanie e-maili, korespondencji, obsługa klienta, wykonywanie telefonów itp.),
• Składowanie danych na serwerze, wykonywanie back-up,
• Obserwacja nagrań z monitoringu,
• Archiwizacja danych

Role w procesie przetwarzania, czyli kto kim jest?

• Administrator – podmiot, który określa cele i sposoby przetwarzania (np. spółka obsługująca klientów, zatrudniająca pracowników, prowadząca działania marketingowe wobec potencjalnych klientów, podmiot publiczny – np. gmina, szpital);
• Podmiot przetwarzający – podmiot wykonujący przetwarzanie w imieniu administratora, np. biuro rachunkowe, podmiot świadczący wsparcie IT;
• Odbiorca – podmiot, który pozyskuje dane od innego administratora, ale realizuje własny cel, np. bank realizujący przelew, ZUS otrzymujący dane od pracodawcy, przychodnie medycyny pracy wykonujące badania wstępne dla pracowników.
• Pracownicy lub współpracownicy Administratora są osobami upoważnionymi i wykonując przetwarzanie działają jak administrator.

Zasady przetwarzania danych osobowych

Zasada legalności

Możemy przetwarzać dane osobowy gdy:

• Osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych w jednym lub większej liczbie celów,
• Przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby której dane dotyczą przed zawarciem umowy np. formularze kontaktowe)
• Przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (pracodawca)
• Przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej (ratowanie zdrowia, życia),
• Przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub, w ramach powierzonej władzy publicznej powierzonej administratorowi (sądy, policja, prokuratura)
• Istnieje prawnie uzasadniony interes realizowany przez administratora lub stronę trzecią (na tą przesłankę nie mogą powoływać się organy publiczne realizujące swoje zadania)

Zasada celowości

• Zbieranie i przetwarzanie danych musi odbywać się w wyraźnych i prawnie uzasadnionych celach. Cele te określa Zarząd firmy, pracownicy realizują te cele wykonując swoje obowiązki
• Pracownik nie może samodzielnie zmieniać celu przetwarzania danych osobowych, do których otrzymuje dostęp
• Zasada adekwatności i minimalizacji
• Zbierane i przetwarzane dane mają być adekwatne do osiągnięcia celu, dla którego je zbieramy i przetwarzamy.
• Nie należy pozyskiwać danych na zapas oraz danych, które nie są potrzebne do tego, aby zrealizować cel

Ograniczenie przechowywania

Jeśli dane nie są już potrzebne do realizacji celu a nie mamy obowiązku przechowywania tych danych - należy rozważyć ich usunięcie. Usunięcie danych musi być poprzedzone konsultacją z przełożonym oraz Inspektorem Ochrony Danych Osobowych oraz zatwierdzone przez Zarząd

Przejrzystość

Administrator powinien w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielić osobie, której dane dotyczą informacji o zasadach przetwarzania jej danych. Obowiązek ten jest realizowany poprzez stosowanie tzw. Klauzul informacyjnych.

Informacje zawarte w obowiązkach informacyjnych muszą być podawane najpóźniej w momencie ich zbierania, gdy dane zbieramy bezpośrednio od osób fizycznych.

Elementy klauzuli informacyjnej: 1/ tożsamość administratora i jego dane kontaktowe, 2/ informacje o IOD (jeśli dotyczy) – czy wyznaczony i jego dane kontaktowe, 3/ cele i podstawy prawne przetwarzania, 4/ informacje o odbiorcach danych (tylko kategorie odbiorców ), 5/ zamierzony czas przechowywania – można zastosować kryterium obliczania tego czasu, 6/ Informacje o prawach przysługujących w związku z realizowanym przetwarzaniem (te prawa zależą od podstawy prawnej, jaka jest właściwa w danym przypadku), 7/ informacja o prawie do sprzeciwu – o ile przetwarzanie odbywa się na podstawie uzasadnionego interesu prawnego, 8/ informacje o przekazywaniu danych poza obszar EOG (jeśli następuje takie przekazywanie, należy też podać informacje dot. stopnia ochrony danych w danym kraju), 9/ informacje o tym, czy podanie danych jest wymogiem ustawowym lub umownym albo czy jest dobrowolne i jakie są konsekwencje braku podania danych 10/ informacje o prawie skargi do Prezesa UODO, 11/ Informacje o zautomatyzowanym podejmowaniu decyzji.

Zasada prawidłowości danych

Obowiązkiem Administratora Danych Osobowych jest czuwać nad tym, by przetwarzane dane były prawidłowe a w razie potrzeby uaktualniane. Np. nieprawidłowe jest przekręcanie nazwisk czy nieprawidłowe przypisanie nr PESEL do danej osoby. Należy sprawdzać poprawność danych oraz zachować staranność przy ich wprowadzaniu do systemu

Zasada integralności i poufności

Dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym czy niezgodnym z prawem przetwarzaniem danych oraz przed ich przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą środków technicznych lub organizacyjnych.

Zasada integralności i poufności a zasada risk based approach

Brak jest jasnych wytycznych, co do tego, jakie środki techniczne i organizacyjne powinny zostać zastosowane w celu zabezpieczenia danych. W tym zakresie Administrator musi stosować zasadę „risk based approach”, czyli podejście oparte na ryzyku. -Środki techniczne i organizacyjne musza być adekwatne do ryzyk, jakie zostały zidentyfikowane w danej organizacji. Wszystkie procesy, w jakich występuje przetwarzanie danych osobowych powinny przeprowadzić analizę ryzyka dla danych występujących w danym procesie. - Analizie podlega to, czy dane są narażone na utratę dostępności, integralności i poufności. - Na bazie wykonanej analizy należy podjąć decyzje odnośnie środków technicznych i organizacyjnych, jakie należy zastosować, aby dane nie utraciły trzech ww. atrybutów. - Zastosowane w celu zabezpieczenia środki techniczne i organizacyjne powinny podlegać stałemu sprawdzaniu, mierzeniu i ocenianiu ich skuteczności.

Zasada integralności i poufności a obowiązki pracownika

Administrator, na bazie oceny ryzyka dokonuje wyboru środków technicznych i organizacyjnych, które będą stosowane w jego organizacji. Każdy osoba upoważniona do przetwarzania przez Administratora (pracownik, współpracownik) musi bezwzględnie przestrzegać procedur i polityk, jakie obowiązują w przedsiębiorstwie. Przed rozpoczęciem pracy należy zapoznać się z procedurami i politykami określającymi zasady postępowania w związku z przetwarzaniem danych osobowych.

Umowy z podmiotami przetwarzającymi

• Dokładna analiza relacji biznesowej w celu sprawdzenia czy na pewno mamy do czynienia z powierzeniem do przetwarzania?
• Sprawdzenie czy wybrany przez nas podmiot przetwarzający daje gwarancję bezpieczeństwa dla danych osobowych, które mu powierzamy?

1. Pisemna forma umowy o powierzenie do przetwarzania (PPDO)
2. Obowiązkowe elementy PPDO:
   • przedmiot i czas trwania przetwarzania,
   • charakter i cel przetwarzania,
   • rodzaj powierzonych danych osobowych,
   • kategorię osób, których dane powierzamy,
   • obowiązki i prawa Administratora

Zgłaszanie naruszeń

Rodo wymaga, aby ADO zgłaszali tzw. incydenty czyli zdarzenia, które mogą doprowadzić do naruszenia praw i wolności osób których dane dotyczą. Jeśli ocena naruszenia wykaże, że wskutek wystąpienia naruszenia nie zachodzi wysokie ryzyko naruszenia praw i wolności osób, których dotknęło naruszenie, ADO może odstąpić od obowiązku zgłoszenia naruszenia do UODO oraz od powiadomienia osób. Jeśli analiza naruszenia wykaże, że istnieje wysokie ryzyko naruszenia praw i wolności osób, których dane dotyczą, należy poinformować takie osoby o fakcie naruszenia i przedstawić im sugestie w celu zminimalizowania ewentualnych negatywnych skutków zdarzenia. Takie naruszenie podlega ocenie Administratora a także (co do zasady) należy je zgłosić w ciągu 72 godzin od momentu wystąpienia incydentu, do organu nadzorczego (Urząd Ochrony Danych).