Archiwa tagu: apexnet rodo

II część pytań do eksperta podczas webinaru RODO

Jaki jest wpływ RODO w praktyce na zamówienia publiczne w kontekście nadchodzącej elektronizacji? Jak chronić dokument JEDZ przekazany elektronicznie w ramach uzupełnienia oferty-składany już bez zaszyfrowania na maila. Jak zabezpieczać dokumenty wykonawcy zgodnie z RODO by się nie narazić na kary?

Nie ma jednolitych reguł zabezpieczenia danych. Zgodnie z RODO środki mają być „odpowiednie”. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Jeżeli współpracując z partnerami i realizując dla nich usługi – mam formularze zleceń – to czy mogę w jednej formule odnośnie akceptacji regulaminu i warunkow realizacji – dodać klauzulę o zgodzie na przetwarzanie danych? i czy potem przy życzeniu o bycie zapomnianym mogę odmówić z uwagi na przepisy prawa podatkowego (czas przetrzymywania dokumentów – identyfikacja w przypadku roszczeń i windykacji)?

Zgoda na przetwarzanie danych osobowych musi być odrębna, przy czym zgoda taka w ogóle nie będzie potrzebna, jeżeli chodzi o dane potrzebne do realizacji umowy. Administrator może odmówić realizacji prawa do bycia zapomnianym w przypadkach wskazanych w art. 17 ust. 3 RODO, tj. m.in. gdy przetwarzanie danych jest niezbędne do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator.

Biuro rachunkowo – kadrowe: przetwarza dane osobowe pracowników swoich klientów, od ilu uznamy że jest to przetwarzanie na dużą skalę i konieczna jest ocena skutków przetwarzania danych?

Zgodnie z wytycznymi Grupy Roboczej art. 29 nie jest możliwe wskazanie konkretnej wartości, czy to rozmiaru zbioru danych, czy liczby osób, których dane dotyczą, która determinowałaby „dużą skalę”. Zależy to od okoliczności konkretnego przypadku.

Zgodnie z RODO w przypadku posiadania monitoringu na terenie firmy oprócz informacji o jego posiadaniu powinno sie też zamieścić informacje o tym kto jest ADO i IOD. Jak spełnić ten obowiązek, bo nie wyobrażam sobie zamieszczania takich informacji na bramach wjazdowych.

Obowiązek informacyjny może zostać spełniony poprzez umieszczenie informacji w widocznym miejscu w pomieszczeniach, w których zastosowano monitoring. Należy jednak pamiętać, że musi istnieć podstawa prawna dla przetwarzania danych z monitoringu wizyjnego. W stosunku do pracowników podstawą taką będzie znowelizowany  kodeks pracy (pracownik będzie musiał wyrazić zgodę na monitoringu). Dla monitoringu w miejscach ogólnodostępnych podstawą taką może być art. 6 ust. 1 lit. f RODO, tj. prawnie uzasadniony interes (np. względy bezpieczeństwa). Administrator będzie musiał wykazać istnienie takiego interesu. Trzeba też pamiętać, że ze stosowaniem monitoringu wiążą  się również dodatkowe obowiązki, w szczególności obowiązkowa ocena skutków dla ochrony danych.

Czy pracownik Wydziału może być IODO w swoim Wydziale np na 1/4 etatu?

Jeżeli są spełnione wymogi RODO dotyczące jego wiedzy i kwalifikacji oraz statusu (niezależność i podleganie bezpośrednio najwyższemu kierownictwu). Nie może być to jednak osoba, która sama przetwarza dane osobowe w ramach swoich obowiązków.

Czy można przechowywać ksero dowodu osobistego przesłanego razem z wnioskiem przez interesanta dobrowolnie pocztą?

Jeżeli nie jest niezbędne przetwarzanie wszystkich danych z dowodu osobistego, to nie można przechowywać jego kopii.

W naszej firmie dotychczas ABI był kierownik jednego z wydziałów. Teraz IODO ma zostać sekretarka. Czy tak można?

Pytanie komu podlega sekretarka, czy będzie niezależna, czy nie koliduje to z jej dotychczasowymi obowiązkami i kluczowe: czy posiada odpowiednią wiedzę.

Czy jest obowiązek zgłaszania bazy danych do UODO?

Nie będzie obowiązku zgłoszenia zbioru danych – będzie rejestr czynności przetwarzania, inny dla procesora, inny dla administratora.

Czy podczas komisji orzeczniczych lekarz może wywoływać pacjenta po nazwisku?

Nie, gdyż w takim przypadku dane osobowe są ujawniane innym osobom.

Czy istnieją wytyczne jakie procedury powinny być krok po kroku zrobione w firmie do dostosowania jej do rodo? Wytyczne jak przeprowadzić analizę ryzyka itp?

Grupa Robocza Art. 29 przygotowała wytyczne dotyczące oceny ryzyka (są dostępne na stronie GIODO).  Ponadto Ministerstwo Przedsiębiorczości i Technologii przygotowała przewodnik o RODO dla małych i średnich przedsiębiorstw (dostępny na stronie internetowej ministerstwa) .

Jeśli chodzi tylko o zwykłe wykonanie zlecenia, bez publikacji w celach marketingowych – czy zgody od wszystkich są potrzebne, jeżeli zdjęcia będą drukowane dla zleceniodawcy (np. odbitki do albumu) i/lub wysyłane mailem do zleceniodawcy?

Nie jest potrzebna zgoda osób, z którymi fotograf zawarł umowę. Co do pozostałych można rozważyć powołanie się na prawie uzasadniony interes administratora. Należy jednak pamiętać o zgodzie na wykorzystanie wizerunku na podstawie prawa autorskiego.

Czy przy wysyłaniu materiału biologicznego do zbadania innej firmie, oznaczonego imieniem i nazwiskiem, muszę mieć umowę o powierzenie z tą firmą? I zgodę klienta na udostępnienie danych osobowych innym podmiotom?

Jeżeli firma w zakresie przekazania jest procesorem to umowę o powierzeniu, ale klient musi zostać poinformowany o kategoriach odbiorców danych.

Jeśli ja, jako właściciel jednoosobowej działalności gospodarczej jestem zarówno administratorem jak i osoba przetwarzającą dane, to czy muszę prowadzić oddzielne rejestry?

Odrębny dla siebie jako administratora, odrębny dla siebie jako procesora, zawierają inne informacje.

Czy jeśli firma wszystko trzyma w chmurze (azure) a nie na lokalnym komputerze to czy też musi mieć dysk szyfrowany?

Jeżeli absolutnie nie ma żadnych danych na komputerze i w razie jego zagubienia kradzieży nie ma możliwości dostania się do nich ich utracenia itd to należy zabezpieczyć dostęp do chmury.

A jeszcze można liczyć na odpowiedź na pytanie gościa, czy IOD może być urzędnik (stanowisko urzędnicze) czy trzeba zmienić pracownikowi umowę na zwykłe stanowisko w jednostce budżetowej gminy?

Trzeba zwrócić uwagę na wymogi RODO dotyczące statusu IOD. Administrator oraz podmiot przetwarzający muszą zapewnić, by IOD nie otrzymywał instrukcji dotyczących wykonywania tych zadań (IOD musi być niezależny). Nie być odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań.  Ponadto IOD musi bezpośrednio podlegać najwyższemu kierownictwu administratora lub podmiotu przetwarzającego. Należy także pamiętać, że  IOD może wykonywać inne, o ile nie kolidują one z funkcją IOD. Jeżeli te przesłanki zostaną spełnione wobec danego stanowiska urzędniczego, to taka osoba może być IOD

Zapraszamy na szkolenia z RODO, więcej informacji znajduje się TUTAJ

 

 

 

 

7 zasad przetwarzania danych według RODO

Przedsiębiorcy mają coraz mniej czasu, aby przygotować się do RODO i wdrożyć nowe przepisy nakładające na nich szereg wymogów. Unijne rozporządzenie wprowadza wiele zasad przetwarzania danych osobowych, które stanowią fundament RODO, a także są otoczką dla pozostałych przepisów. Reguły te staną się wytycznymi nowych obowiązków dla administratorów oraz innych podmiotów przetwarzających dane osobowe.

Co warto wiedzieć o RODO? Poniżej  7 zasad przetwarzania danych według RODO:

1. Zasada zgodności z prawem, przejrzystości i rzetelności. 

art. 5 ust. 1 lit. a

Dane osobowe muszą być:

- przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);

Prawidłowa realizacja obowiązków informacyjnych jest warunkiem niezbędnym dla osiągnięcia zgodności z zasadą rzetelności i przejrzystości.

2. Zasada ograniczenia celu przetwarzania.

art. 5 ust. 1 lit. b

Dane osobowe muszą być:

- zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”);

Zgodnie z zapisami RODO dalsze przetwarzanie danych do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych jest traktowane jako zgodne z prawem oraz pierwotnymi celami.

3. Zasada minimalizacji danych.

art. 5 ust. 1 lit. c

Dane osobowe muszą być: (…)

- adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);

Zgodnie z zasadą minimalizacji danych, zakres przetwarzanych danych powinien być taki jaki jest niezbędny do osiągnięcia określonego celu przetwarzania danych. Innymi słowy, każdy podmiot przetwarzający dane musi dokonać selekcji danych i wybrać tylko taką ich ilość oraz rodzaj, jakie są dla niego niezbędne.

4. Zasada prawidłowości danych.

art. 5 ust. 1 lit. d

Dane osobowe muszą być: (…)

- prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);Przestrzeganie zasady prawidłowości danych sprowadza się do tego, aby stworzone zostały odpowiednie rozwiązania techniczne oraz organizacyjne umożliwiające korygowanie nieprawidłowych lub nieaktualnych danych.

5. Zasada ograniczenia przechowywania danych.

art. 5 ust. 1 lit. e

Dane osobowe muszą być:

- przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);

Głównym celem zasady ograniczenia przechowania danych jest ograniczenie do minimum czasu przechowania danych osobowych. Osiągniecie tego będzie możliwe poprzez wdrożenie odpowiednich procedur wyznaczających terminy przechowania danych (okresy retencji) lub procedur określających terminy okresowych przeglądów danych.

6. Zasada integralności i poufności.

art. 5 ust. 1 lit. f

Dane osobowe muszą być:

- przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

Realizacja zasady integralności i poufności danych będzie więc polegała na wdrożeniu odpowiednich środków technicznych i organizacyjnych, które zapewnią bezpieczeństwo danych. „Odpowiednie środki” będą zawsze pojęciem niedookreślonym. Najprawdopodobniej zostaną w pewnym zakresie doprecyzowane w drodze dobrych praktyk, które ma wydać regulator – Prezes Urzędu Ochrony Danych Osobowych (nazwa organu wg projektu nowej UODO)

7. Zasada rozliczalności.

art. 5 ust. 2

Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).

Administrator będzie więc musiał wykazać, że określone decyzje odnoszące się do procesów przetwarzania danych osobowych zostały przeanalizowane z punktu widzenia zgodności z ogólnymi zasadami przetwarzania danych, a przede wszystkim, że są z nimi zgodne.

 

Aneta Sieradzka, Ph.D, MBA

Partner Zarządzający Sieradzka&Partners, ekspert RODO w ApexNet

Zapraszamy na szkolenia pani Anety Sieradzkiej, więcej informacji znajduje się TUTAJ.

RODO przeds

 

Wdrażanie RODO w małych i dużych przedsiębiorstwach

Rozporządzenie o Ochronie Danych Osobowych (RODO) to wprowadzony przez Unię istotny akt prawny. Nowe przepisy, nowe obowiązki, ale też szereg sankcji finansowych i różne rodzaje odpowiedzialności stają się fundamentem do wdrożenia RODO w przedsiębiorstwach. Różnice we wprowadzeniu RODO wiążą się ze specyfikacją firmy, rzadziej z jej wielkością. Najważniejsza w procesie wdrożenia RODO jest analiza ryzyka, podczas której należy zidentyfikować i zbadać potencjalne zagrożenia. Analiza ta ma za zadanie obniżyć negatywny wpływ ryzyka na to, jak funkcjonuje dany podmiot, co służy również ograniczaniu i przeciwdziałaniu ryzyka. Istotą RODO jest zmiana podejścia do ochrony danych osobowych tzw. risk-based approach czyli podejście oparte na ryzyku – jest to pewien mechanizm, który ma na celu różnicowanie ryzyka związanego z przetwarzaniem danych przez administratorów.

Zgodnie z art. 32 Rozporządzenia o Ochronie Danych Osobowych administrator i podmiot przetwarzający (procesor) są zobligowani do zapewnienia odpowiednich środków organizacyjnych i technicznych. Środki te mają być odpowiednie w stosunku do stanu wiedzy technicznej, kosztu wdrożenia oraz charakteru, zakresu, kontekstu i celu przetwarzania, a także ryzyka naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.

Aby zatem dokonać odpowiedniego doboru środków organizacyjnych i technicznych  administrator i procesor muszą najpierw ustalić, jakie ryzyka dla poufności istnieją w ich organizacji, integralności i dostępności danych.

Inne zagrożenia będą zatem dotyczyć sklepu stacjonarnego, a inne internetowego. Oczywiście duże przedsiębiorstwa mają z reguły bardziej skomplikowaną strukturę zarówno organizacyjną, jak i techniczną, stąd proces wdrażania RODO jest w nich bardziej kosztowny i czasochłonny. Ponadto, wciąż nie jest wykluczone, że małe i średnie przedsiębiorstwa (MŚP) zostaną zwolnione z obowiązku poinformowania o zaistnieniu incydentu osoby, której dane dotyczą bądź obowiązku wydania kopii danych. Będą one jednak zobligowane do spełnienia ograniczonego obowiązku informacyjnego.

Żeby jednak móc skorzystać z powołanych ograniczeń dane przedsiębiorstwo będzie musiało spełnić następujące kryteria:

  • zatrudniać do 250 osób
  • nie przetwarzać danych szczególnych kategorii, np. danych o stanie zdrowia (a takie znajdują się w zwolnieniach lekarskich)
  • a także nie będzie udostępniać danych

Decyzja odnośnie utrzymania wskazanych wyżej zwolnień dla MŚP zostanie ostatecznie podjęta przez Komisję Europejską, dlatego też aby mieć pewność co do tej kwestii, trzeba poczekać na ostateczną treść zmienianej w związku z RODO polskiej ustawy o ochronie danych osobowych.

Ryzyko, jakie niesie za sobą nieprzestrzeganie postanowień RODO

W związku z nową regulacją prawną Rozporządzenia o Ochronie Danych Osobowych, zarówno osobie, której dane dotyczą, jak również organom  nadzorczym przyznano szereg uprawnień, które pozwalają na ukaranie podmiotu, który przetwarza dane osobowe niezgodnie z RODO.

Uprawnienia osoby, której dane dotyczą to:

        a) każda osoba, której dane dotyczą, ma prawo wnieść skargę do jednego organu nadzorczego (w szczególności w państwie członkowskim, w którym znajduje się m.in. miejsce jej zwykłego pobytu),  jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczących nie jest zgodne z RODO. W związku z powyższym uprawnieniem, organ nadzorczy wydaje decyzję administracyjną dotyczącą naruszenia praw osoby, której te prawa dotyczą, a która podlega zaskarżeniu na drodze sądowej;

        b) każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku przetwarzania danych niezgodnego z RODO, ma prawo uzyskać od administratora lub podmiotu przetwarzającego na zlecenie odszkodowania za poniesioną szkodę;

Uwolnienie się przez administratora lub podmiot przetwarzający od winy jest możliwe pod warunkiem, iż podmioty te wykażą brak ich winy w zdarzeniu, które doprowadziło do powstania szkody.

Kary pieniężne i inne sankcje

RODO zakłada zarówno kary pieniężne, jak i inne sankcje za nieprzestrzeganie zasad przetwarzanie danych osobowych. Kary pieniężne mogą być nakładane obok lub zamiast środków, takich jak m. in.: ostrzeżenia, upomnienia, nakazanie administratorowi lub podmiotowi przetwarzającemu wykonania lub powstrzymania się od dokonywania określonych czynności, mające na celu przetwarzanie danych zgodnie z RODO. Organ nadzorczy ma obowiązek zapewnić, aby nakładanie kar pieniężnych za naruszenia RODO było w każdym przypadku skuteczne, proporcjonalne i odstraszające.

W zależności od kategorii naruszenia organ nadzorczy może nałożyć karę w wysokości do 10 000 000 albo 20 000 000 euro, a w przypadku przedsiębiorstwa, do 2% albo 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa) – za naruszenie określonych w RODO obowiązków.

Ponadto, nieprzestrzeganie przez administratora lub podmiot przetwarzający nakazu podjęcia określonych czynności, mających na celu przywrócenie przetwarzania danych zgodnie z RODO orzeczonego przez organ nadzorczy na podstawie art 58 RODO, podlega karze pieniężnej sięgającej 20 000 000 euro, a w przypadku przedsiębiorstwa – sięgającej 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa).

 

Anna Żmijewska

Ekspert RODO, prowadząca szkolenia w ApexNet.pl