Baza wiedzy

ODPOWIEDŹ FORMALNA

Są to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

ODPOWIEDŹ PRAKTYCZNA

Mogą to być wszelkie dane dotyczące osoby, poczynając od adresu IP komputera, z którego korzystamy,a na wizytówce kończąc. Dane osobowe możemy znaleźć nie tylko w dowodzie osobistym czy paszporcie, ale daną osobową mogą być również odciski palców, kod genetyczny czy wzór siatkówki oka. Wśród najmniej strzeżonych i najczęściej wykorzystywanych danych osobowych jest numer telefonu, adres email oraz login na portalach społecznościowych. W sieci wystarczy raz ujawnić swoje dane osobowe, a po wprowadzeniu ich do wyszukiwarki może okazać się, że są już w kilku miejscach.

 

ODPOWIEDŹ FORMALNA

Dane osobowe szczególnej kategorii są to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne, przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej, jak również dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby. Obok danych szczególnej kategorii, ograniczenia w przetwarzaniu dotyczą także danych dotyczących wyroków skazujących i czynów zabronionych (art. 10 RODO).

ODPOWIEDŹ PRAKTYCZNA

Najprościej mówiąc, dane szczególnej kategorii lub inaczej - dane „wrażliwe” to grupa danych osobowych, która podlega szczególnym zasadom przetwarzania i ochrony. W związku z wyjątkowym charakterem danych, obowiązuje szereg szczegółowych zasad związanych z postępowaniem z nimi – najczęściej regulowanych odrębnymi przepisami branżowymi. Do danych wrażliwych możemy zaliczyć nawet przechowywane przez pracodawcę zwolnienia lekarskie.

 

ODPOWIEDŹ FORMALNA

ADO oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.

ODPOWIEDŹ PRAKTYCZNA

ADO to podmiot, który przetwarza nasze dane osobowe, wykorzystując je we własnych celach. W przypadku, gdy uznamy, że nasze dane są w sposób niewłaściwy przetwarzane przez ADO lub dane są nieaktualne, możemy prawo ich aktualizacji bądź zażądania zaprzestania ich przetwarzania. Zgodnie z RODO administratorem danych osobowych nie jest osoba, która przetwarza dane w celach osobistych lub domowych np. kolega, któremu daliśmy nasz numer telefonu czy adres mailowy jak również ciocia, której co roku wysyłamy list polecony na urodziny.

 

ODPOWIEDŹ FORMALNA

Współadministrator danych osobowych to taki administrator danych osobowych, który wspólnie z innym administratorem ustala cele i sposoby przetwarzania danych osobowych. Źródło: art. 26 ust. 1 RODO.

ODPOWIEDŹ PRAKTYCZNA

Jeśli faktyczną kontrolę nad tym, dlaczego i w jaki sposób przetwarzane są dane, sprawuje przynajmniej dwa podmioty, to wszystkie z nich są współadministratorami. Przykład: „Biuro podróży, sieć hoteli i linie lotnicze postanawiają założyć wspólną platformę internetową w celu udoskonalenia współpracy w zakresie zarządzania rezerwacjami turystycznymi. Uzgadniają ważne elementy sposobów przetwarzania danych, które będą stosowane, na przykład jakie dane będą przechowywane, w jaki sposób rezerwacja będzie przypisywana i zatwierdzana oraz kto może mieć dostęp do przechowywanych informacji. Postanawiają ponadto wymieniać się danymi swoich klientów w celu prowadzenia zintegrowanych działań marketingowych.”

 

ODPOWIEDŹ FORMALNA

IOD to osoba wyznaczona przez Administratora Danych Osobowych m.in. do informowania go i jego pracowników o obowiązkach wynikających z przepisów o ochronie danych, doradzania i monitorowania przestrzegania tych przepisów, udzielania zaleceń co do oceny skutków dla ochrony danych, monitorowania wykonania tej ocen, a także współpracy i pełnienia funkcji punktu kontaktowego dla organu nadzorczego.

ODPOWIEDŹ PRAKTYCZNA

IOD to najważniejsza osoba w organizacji, jeśli chodzi o dane osobowe. Informuje, doradza i szkoli administratora i jego pracowników. Przeprowadza audyty i na bieżąco ocenia zgodność organizacji z RODO, wskazując pola do poprawy. W razie potrzeby jest punktem kontaktowym – zarówno dla Urzędu Ochrony Danych Osobowych, jak i dla osób, których dane przetwarzamy.

 

ODPOWIEDŹ FORMALNA

Wyznaczenie IOD należy zgłosić Prezesowi UODO w ciągu 14 dni, wskazując imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora, a także: 1) imię i nazwisko oraz adres zamieszkania, w przypadku gdy administratorem lub podmiotem przetwarzającym jest osoba fizyczna; 2) firmę przedsiębiorcy oraz adres miejsca prowadzenia działalności gospodarczej, w przypadku gdy administratorem lub podmiotem przetwarzającym jest osoba fizyczna prowadząca działalność gospodarczą; 3) pełną nazwę oraz adres siedziby, w przypadku gdy administratorem lub podmiotem przetwarzającym jest podmiot inny niż wskazany w pkt 1 i 2; 4) numer identyfikacyjny REGON, jeżeli został nadany administratorowi lub podmiotowi przetwarzającemu.

W przypadku wyznaczenia jednego inspektora przez organy lub podmioty publiczne albo przez grupę przedsiębiorców, każdy z tych podmiotów dokonuje zawiadomienia. W terminie 14 dni należy zgłosić również zmianę tych danych lub odwołanie inspektora. Zawiadomienia sporządza się w postaci elektronicznej i opatruje kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP. Imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora, należy umieścić także na stronie internetowej, a w jej braku – w miejscu prowadzenia działalności.

ODPOWIEDŹ PRAKTYCZNA

W ciągu 14 dni od wyznaczenia IOD, musimy zgłosić ten fakt do UODO. W tym celu, należy postępować zgodnie z instrukcjami urzędu. Jeśli w tym celu korzystamy z pełnomocnika, to do formularza należy załączyć dowód uiszczenia opłaty skarbowej od pełnomocnictwa, chyba że pełnomocnikiem jest małżonek, wstępny, zstępny lub rodzeństwo. Ponadto, imię, nazwisko oraz e-mail lub telefon IOD umieszczamy na naszej stronie internetowej. W razie wątpliwości, Prezes UODO prowadzi także stronę z pytaniami i odpowiedziami. Więcej informacji na naszym blogu.

 

ODPOWIEDŹ FORMALNA

Są to dokumenty wewnętrzne organizacji, przyjęte aktem wewnętrznym jej organu i wiążące dla pracowników i współpracowników, tj. osób upoważnionych do przetwarzania danych osobowych. Wyznaczają normy postępowania w odniesieniu do spełnienia poszczególnych wymogów RODO. Zgodnie z art. 24 ust. 2 RODO, wdrożenie odpowiednich polityk ochrony danych jest obowiązkiem administratora, jeśli jest to proporcjonalne w stosunku do czynności przetwarzania.

ODPOWIEDŹ PRAKTYCZNA

Są to dokumenty, dzięki którym pracownicy mogą odnaleźć odpowiedź na pytania związane z ochroną danych: jak przetwarzać dane osobowe, jak je zabezpieczyć, komu zgłaszać incydent i jakie czynności podjąć po jego wykryciu, a także jak przeprowadzać wymagane analizy. Wewnętrzne polityki i procedury powinny być przede wszystkim użyteczne – zapewniać możliwie najefektywniejsze wdrożenie RODO. Wymagana lista dokumentacji ochrony danych osobowych zamieszczona jest na stronie UODO.

 

ODPOWIEDŹ FORMALNA

Rejestr czynności przetwarzania administratora danych osobowych to dokument, w którym znajdują się następujące informacje: imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych; cele przetwarzania; opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych; kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych; gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń; jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych; jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

Rejestr czynności podmiotu przetwarzającego to dokument, w którym znajdują się następujące informacje: imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych; kategorie przetwarzań dokonywanych w imieniu każdego z administratorów; gdy ma to zastosowanie –przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń; jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

ODPOWIEDŹ PRAKTYCZNA

Rejestr czynności przetwarzania to dokument, w którym aktualizujemy informacje m.in. o tym, w jakich celach przetwarzamy dane osobowe, kogo dotyczą te dane, jaki jest ich zakres, komu je ujawniamy, czy do kiedy będą przechowywane. W rejestrze zamieszcza się także ogólne informacje o sposobie zabezpieczenia danych, a także o tym, czy są przekazywane poza Unię Europejską. Rozróżnia się dwa rejestry czynności przetwarzania – dla administratora danych osobowych, który zawiera szerokie informacje o przetwarzanych danych, a także dla podmiotu przetwarzającego, gdzie należy wskazać przede wszystkim, w imieniu jakich administratorów dokonujemy przetwarzania danych osobowych, a także jaki jest zakres danych i rodzaj operacji, które na nich wykonujemy.

 

ODPOWIEDŹ FORMALNA

Zasady przetwarzania danych osobowych obejmują zapewnienie zgodności z prawem, rzetelności, przejrzystości, ograniczenia celu, minimalizacji danych, ich prawidłowości i ograniczenia przechowywania, a także integralności. Ponadto, administrator musi być w stanie wykazać przestrzeganie tych zasad, co nazywa się zasadą rozliczalności.

ODPOWIEDŹ PRAKTYCZNA

Aby zrealizować zasadę zgodności z prawem, rzetelności i przejrzystości, musimy: a) zidentyfikować podstawy prawne przetwarzania (np. z art. 6 lub 9 RODO), oraz b) zapewnić spełnianie obowiązku informacyjnego i przejrzystą komunikację z osobami, których dane przetwarzamy (art. 12-14 RODO – patrz odpowiedź na pytanie „Co to jest obowiązek informacyjny?”).

Aby zrealizować drugą zasadę ograniczenia celu, nie możemy przetwarzać danych osobowych w sposób niezgodny z celami, dla których zostały zebrane. Przykładowo, jeśli zawarliśmy z kimś umowę biznesową, to nie można wykorzystywać jego danych do kontaktu w celach prywatnych. Podobnie, jeśli chodzi o przesyłanie informacji handlowej - na jej przesyłanie drogą elektroniczną potrzebujemy zebrać oddzielną zgodę.

Aby zrealizować trzecią zasadę minimalizacji danych, nie możemy zbierać więcej danych niż jest nam niezbędne. Na przykład, jeśli sprzedajemy komuś wartościową rzecz, to na potrzeby podpisania umowy możemy zebrać jego nr PESEL, ale już nie kserować dokument tożsamości.

Aby zrealizować czwartą zasadę prawidłowości, musimy sprawdzać prawidłowość danych osobowych i w razie potrzeby je uaktualniać. Ponadto, jeśli ktoś dzwoni do nas z prośbą o udostępnienie jego danych, musimy zweryfikować jego tożsamość (np. pytaniami o historię relacji z nami), ponieważ w innym przypadku ryzykujemy, że udostępnimy jego dane osobie nieuprawnionej.

Aby zrealizować zasadę ograniczenia przechowywania, powinniśmy usuwać dane osobowe, jak tylko przestają być nam potrzebne (np. ktoś wypisał się z listy wysyłkowej biuletynu informacyjnego lub zrealizowaliśmy umowę i upłynął okres dochodzenia roszczeń).

Aby zrealizować zasadę integralności i poufności, musimy zabezpieczyć dane tak, aby nie dostały się w niepowołane ręce, ani też nie zostały utracone czy zmodyfikowane. Bezpieczeństwo informacji jest jednak szerszym zagadnieniem i wiąże się z obowiązkiem analizy ryzyka (patrz „Na czym polega obowiązek analizy ryzyka i DPIA?”).

Aby zrealizować zasadę rozliczalności, powinniśmy nie tylko osiągnąć zgodność z RODO, ale także mieć na nią dowody. Przede wszystkim warto sformalizować system ochrony danych osobowych w naszej organizacji, opisując go w ramach polityk, procedur, klauzul i regulaminów. W razie kontroli, pozwolą one przejrzyście przedstawić, w jaki sposób postępujemy z danymi osobowymi.

 

ODPOWIEDŹ FORMALNA

Przetwarzanie danych osobowych jest dopuszczalne między innymi tylko wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę, chyba, że chodzi o usunięcie dotyczących jej danych. Zgoda ta może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania.

ODPOWIEDŹ PRAKTYCZNA

Dane osoby możemy przetwarzać tak długo, jak długo istnieje cel przetwarzania tych danych lub do momentu, kiedy osoba nie zażąda zaprzestania ich przetwarzania. Dobrym przykładem są dane zbierane od potencjalnych przyszłych pracowników. Jeśli CV zbierane są w celu rekrutacji, dane należy usunąć niedługo po zakończeniu procesu rekrutacyjnego, chyba że istnieje możliwość zmiany lub kwestionowania wyników rekrutacji, lub kandydat wyraził zgodę na przetwarzanie jego danych w celach przyszłych rekrutacji.

 

ODPOWIEDŹ FORMALNA

Trwałe i ostateczne usunięcie danych osobowych to nic innego niż zniszczenie ich nośników w sposób uniemożliwiający ich odtworzenie. Do tego celu służą m.in. niszczarki, specjalne programy komputerowe nadpisujące dysk.

ODPOWIEDŹ PRAKTYCZNA

Trwałe i ostateczne usunięcie danych osobowych z dokumentów w wersji papierowej można wykonać usuwając cały dokument w odpowiedniej klasy niszczarce. W zakresie danych osobowych znajdujących się na nośnikach elektronicznych rozróżniamy kasowanie, polegające na całkowitym wymazaniu danych na nośniku poprzez ich nadpisanie oraz kasowanie polegające na usunięciu zapisanych danych z wykorzystaniem prostych procesów fizycznych np. zniszczenie młotkiem dysku twardego komputera. W przypadku nośników magnetycznych kasowanie może odbyć się z użyciem silnego pola magnetycznego. Warto wiedzieć, że na rynku funkcjonują firmy, które profesjonalnie zajmują się niszczeniem wszystkich nośników danych osobowych

 

ODPOWIEDŹ FORMALNA

Obowiązek analizy ryzyka: Zgodnie z art. 32 RODO, stopień bezpieczeństwa danych osobowych powinien być odpowiedni do ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Aby ocenić, jakie środki są odpowiednie, należy także uwzględnić stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Obowiązek DPIA: Zgodnie z art. 35 RODO, jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Ocena zawiera co najmniej: a) systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora; b) ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów; c) ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą; oraz d) środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie RODO.

ODPOWIEDŹ PRAKTYCZNA

Obowiązek dokonywania analizy ryzyka dla zasobów przetwarzających dane osobowe w praktyce występuje zawsze, ponieważ dane zawsze musimy zabezpieczyć odpowiednio do ryzyka naruszeń. Zasoby lub aktywa przetwarzające dane osobowe to np. laptop, drukarka, zbiór dokumentów papierowych, pokój archiwum, personel kadr. Brak zabezpieczeń technicznych (np. szyfrowanie, program antywirusowy) lub organizacyjnych (np. polityka czystego biurka i ekranu, odpowiedzialność dyscyplinarna) może prowadzić do incydentu.

DPIA to analiza, w której stawiamy się na miejscu osoby, której dane dotyczą, i oceniamy, co złego może jej się stać w razie naruszenia ochrony danych. Obowiązek dokonywania DPIA zależy od tego, czy w procesie występują czynniki zwiększające prawdopodobieństwo incydentu. Przykłady takich czynników to przetwarzanie danych wrażliwych, systematyczne monitorowanie, przetwarzanie danych na dużą skalę czy wykorzystywanie innowacyjnych rozwiązań technologicznych. Występowanie takich czynników może zwiększyć prawdopodobieństwo naruszenia, a także dotkliwość jego konsekwencji. Więcej informacji o tym, jak dokonywać DPIA, a także przykładowy formularz, znajdziesz na naszym blogu.

 

ODPOWIEDŹ FORMALNA

Zasada privacy by design oznacza, że administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania –wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.

Zasada privacy by default oznacza wdrożenie odpowiednich środków technicznych i organizacyjnych, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.

ODPOWIEDŹ PRAKTYCZNA

Privacy by design to uwzględnienie ochrony danych w fazie projektowania, a innymi słowy – zapewnienie zgodności z RODO jeszcze zanim zaczniemy przetwarzać dane. Przykładowo, jeśli planujemy uruchomić nowy produkt lub usługę, to zastanawiamy się, jakie będą warunki regulaminu, jaki system informatyczny będzie wykorzystywany do jej świadczenia, a także którzy z pracowników będą zaangażowani w proces sprzedaży. Już na tym etapie powinniśmy odpowiedzieć na pytania, jakie dane będziemy pozyskiwać, gdzie klienci znajdą informacje o przetwarzaniu danych, czy na ich żądanie będziemy mogli je łatwo udostępnić lub usunąć, a także czy będziemy mieli zawarte umowy powierzenia przetwarzania (np. z podmiotem dostarczającym system informatyczny).

Privacy by default to domyślna ochrona danych – oznacza, że bez dodatkowej zgody czy potwierdzenia, przetwarzamy jedynie niezbędny zakres danych do świadczenia jakiejś usługi. Przykładowo, jeśli korzystając z portalu społecznościowego możemy udostępnić informacje o nas, to powinniśmy być poproszeni o taką decyzję uprzednio, a nie być zmuszani do doszukiwania się w ustawieniach możliwości ukrycia pewnych informacji, które domyślnie są udostępnione. Podobnie, jeśli kupujemy jakiś produkt, podając dane osobowe, to bez dodatkowej zgody sprzedawca nie powinien zapisywać nas do programu lojalnościowego, biuletynu informacyjnego czy konkursu.

 

ODPOWIEDŹ FORMALNA

Jest to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

ODPOWIEDŹ PRAKTYCZNA

Naruszenie ochrony danych to jakikolwiek incydent, który powoduje niezgodność z zasadami przetwarzania danych osobowych – np. dostęp do danych przez osoby postronne, zniszczenie laptopa, modyfikacja numeru konta bankowego do wpłat, wyciek loginów i haseł do kont mailowych, czy też bezprawne ujawnienie danych osobowych (np. zdjęć) na stronie internetowej.

 

ODPOWIEDŹ FORMALNA

W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Zawiadomienie nie jest wymagane, jeśli: a) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, b) administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą; lub c) wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek.

ODPOWIEDŹ PRAKTYCZNA

W razie incydentu, należy jak najszybciej usunąć jego skutki, opisać jego okoliczności i planowaną reakcję, a jeśli występuje taki obowiązek – zgłosić naruszenie wraz z wymaganą dokumentacją, w ciągu 72 godzin organowi nadzorczemu i bez zbędnej zwłoki - osobom, których dotyczą dane objęte naruszeniem.

Naruszenia nie zgłaszamy organowi nadzorczemu, jeśli jest mało prawdopodobne, by w wyniku incydentu (np. utraty danych), mogło dojść do naruszenia praw osób fizycznych. Naruszenia nie zgłaszamy osobom, których dotyczą dane objęte incydentem, jeśli a) jesteśmy w stanie wykazać, że nie występuje wysokie ryzyko naruszenia ich praw, b) zabezpieczyliśmy odpowiednio dane objęte naruszeniem, np. uniemożliwiając dostęp osobom nieuprawnionym), lub c) wyeliminowaliśmy prawdopodobieństwo wysokiego ryzyka naruszenia praw osób, których dane są objęte incydentem. Jeśli zawiadomienie wszystkich osób wymagałoby niewspółmiernie dużego wysiłku, to jako alternatywę można zastosować publiczny komunikat lub równie skuteczny środek komunikacji.

Niezależnie, czy zgłaszamy incydent, musimy go odnotować

 

ODPOWIEDŹ FORMALNA

W ramach zadań nadanych przez RODO, Prezes UODO to główny organ państwowy zajmujący się ochroną danych osobowych. W ramach zadań nadanych przez art. 57 RODO, organ ten m.in.: monitoruje i egzekwuje stosowanie RODO; upowszechnia w społeczeństwie wiedzę o ryzyku, przepisach, zabezpieczeniach i prawach związanych z przetwarzaniem oraz rozumienie tych zjawisk; doradza, parlamentowi narodowemu, rządowi oraz innym instytucjom i organom w sprawach dotyczących ochrony danych, rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez podmiot, organizację lub zrzeszenie; prowadzi postępowania w sprawie stosowania RODO, wydaje decyzje, a jeśli to jest to proporcjonalne – nakłada i ustala wysokość administracyjnych kar pieniężnych za naruszenia RODO.

ODPOWIEDŹ PRAKTYCZNA

Prezes UODO to z jednej strony szef urzędu dysponującego inspektorami którzy mogą do nas zawitać z kontrolą, a także urzędu, który prowadzi postępowania i nakłada kary za naruszenia przepisów o ochronie danych osobowych. Z drugiej strony to instytucja, do której zgłaszamy powołanie inspektora ochrony danych, raportujemy incydenty, a także z którą konsultujemy wątpliwości w zakresie ochrony danych. Poza powyższymi funkcjami Prezes UODO również szkoli i edukuje zarówno osoby, których dane są przetwarzane jak i podmioty je przetwarzające. Do Prezesa UODO również możemy zgłaszać się, jeśli sądzimy, że nasze dane są przetwarzane niezgodnie z prawem. W jednym zdaniu Prezes UODO to państwowy strażnik przetwarzania danych osobowych.

 

ODPOWIEDŹ FORMALNA

Celem kontroli jest ustalenie stanu faktycznego w zakresie przestrzegania przez podmiot kontrolowany przepisów o ochronie danych osobowych oraz udokumentowanie dokonanych ustaleń. Czynności kontrolne „na miejscu” są dokonywane w siedzibie kontrolowanego podmiotu oraz w innym miejscu (np. jednostkach organizacyjnych) wskazanym jako obszar przetwarzania danych osobowych. Kontroli poddawane są zarówno podmioty z sektora publicznego jak i podmioty prywatne, które powinny stosować zasady przetwarzania danych osobowych. Kontrola kończy się sporządzeniem i podpisaniem protokołu.

ODPOWIEDŹ PRAKTYCZNA

Większość kontroli Prezesa UODO jest wynikiem złożonej skargi na przetwarzanie danych, jednak występują też liczne sprawdzenia z urzędu konkretnych branży. Przepisy RODO nie określają czasu kontroli. Z doświadczenia możemy powiedzieć, że kontrola Prezesa UODO może trwać od jednego dnia nawet do tygodnia. Na długość kontroli wpływa jej zakres przedmiotowy (czy jest to kontrola całej organizacji czy tylko wybranego działu/zagadnienia) oraz złożoność prowadzonej działalności z punktu widzenia procesów przetwarzania danych osobowych

 

ODPOWIEDŹ FORMALNA

Polityka kluczy jest to rozwiązanie organizacyjne mające na celu kontrolowanie i ewidencjonowanie dostępu do pomieszczeń oraz innych zabezpieczeń fizycznych, w których znajdują się nośniki zarówno w wersji papierowej jak i elektronicznej zawierające dane osobowe. Określa ona w szczególności procedurę wydawania, przechowywania i zdawania kluczy do pomieszczeń lub innych zabezpieczeń fizycznych otwieranych za pomocą kluczy.

ODPOWIEDŹ PRAKTYCZNA

Polityka kluczy to szereg procedur postępowania z kluczami, kartami dostępowymi do pomieszczeń oraz szaf, w których przetwarzane są dane osobowe w celu zabezpieczenia do nich dostępu osobom nieupoważnionym

 

ODPOWIEDŹ FORMALNA

Zasada czystego biurka jest to rozwiązanie organizacyjne mające na celu zapewnienie poufności danych osobowych, które są przetwarzane przez osoby upoważnione w trakcie wykonywania obowiązków służbowych lub pracowniczych polegające na usuwaniu z niezabezpieczonego miejsca pracy danych osobowych w wersji papierowej oraz na elektronicznych nośnikach danych osobowych jak również stosowaniu wygaszaczy ekranu w przypadku korzystania z urządzeń wyświetlających dane osobowe.

ODPOWIEDŹ PRAKTYCZNA

Spis reguł dotyczących pozostawiania stanowiska pracy bez kontroli w sposób zabezpieczający przetwarzane dane osobowe przed dostępem osób nieupoważnionych.

 

ODPOWIEDŹ FORMALNA

W przypadku zbierania danych osobowych od osoby, której one dotyczą administrator danych jest obowiązany poinformować tę osobę o swojej tożsamości i danych kontaktowych, a jeśli występuje, także o danych kontaktowych inspektora ochrony danych. Powinien także przekazać informacje o: celach i podstawie prawnej przetwarzania (w tym o prawnie uzasadnionych interesach, jeśli występują), odbiorcach, którym dane osobowe, będą ujawniane, o przekazywaniu danych poza UE, okresie przechowywania danych, o prawach, które przysługują osobie, której dane dotyczą, a także o tym, czy podanie danych osobowych stanowi wymóg, czy też jest dobrowolne oraz czy dane osobowe będą wykorzystywane do zautomatyzowanego podejmowania decyzji, a jeśli tak, to na jakich zasadach.

Jeśli dane osobowe są pozyskiwane w sposób inny niż od osoby, której dane dotyczą, administrator powinien ponadto poinformować tę osobę o kategoriach pozyskanych danych osobowych, a także o źródle, z którego pozyskał dane.

ODPOWIEDŹ PRAKTYCZNA

Są to informacje, które musi udzielić ADO każdej osobie, której dane przetwarza, by osoba ta wiedziała, co dzieje się z jej danymi osobowymi, do kogo ma się zwrócić w przypadku naruszenia jej praw jak również miała świadomość, na co się godzi wyrażając zgodę na przetwarzanie swoich danych osobowych. Obowiązek ten jest realizowany przez ADO najczęściej w postaci klauzul informacyjnych, polityk prywatności lub regulaminów świadczenia usług drogą elektroniczną. Więcej informacji oraz przykładowe klauzule informacyjne znajdziesz na naszym blogu.

 

ODPOWIEDŹ FORMALNA

Osoby, których dane dotyczą, mają następujące prawa: prawo dostępu do danych - art. 15 RODO, prawo do sprostowania danych – art. 16 RODO, prawo do bycia zapomnianym, tj. do usunięcia danych – art. 17 RODO, prawo do ograniczenia przetwarzania – art. 18 RODO, prawo do przenoszenia danych – art. 20 RODO, prawo do sprzeciwu – art. 21 RODO, prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa – art. 22 RODO.

Ponadto, na korzyść osób, których dane dotyczą, administrator ma obowiązek przekazania osobie, której dane dotyczą, informacji o przetwarzaniu danych osobowych - art. 13 i 14 RODO, a w przypadku realizacji żądania w zakresie sprostowania, usunięcia lub ograniczenia przetwarzania danych – także obowiązek poinformowania o tym odbiorców, którym ujawniono te dane (art. 19 RODO).

ODPOWIEDŹ PRAKTYCZNA

Oprócz obowiązku informacyjnego, który musi być wobec nas spełniony, RODO daje nam następujące prawa:

• możliwość dostępu do naszych danych, uzyskania informacji m.in. przez kogo i jak są przetwarzane (patrz obowiązek informacyjny ADO), a także uzyskania kopii naszych danych,
• jeśli dane są nieprawidłowe - żądanie niezwłocznego ich sprostowania, a jeśli niekompletne - ich uzupełnienia,
• żądanie usunięcia danych (wyjątkami są m.in. sytuacje, gdy administrator przetwarza dane, aby realizować obowiązek prawny, wykonać umowę lub dochodzić swoich praw),
• żądanie zaprzestania wykorzystywania danych i ograniczenia się do ich przechowywania – nie tylko gdy np. ze względów dowodowych nie chcemy usunięcia nielegalnie przetwarzanych danych, ale także do czasu rozstrzygnięcia różnego rodzaju sporów (np. co do prawidłowości danych czy zasadności wniesionego sprzeciwu),
• żądanie otrzymania w powszechnie używanym formacie danych, które dostarczyliśmy administratorowi (dotyczy danych przetwarzanych na podstawie zgody lub umowy, nie obejmuje danych przetwarzanych w ramach władzy lub interesu publicznego),
• sprzeciw wobec przetwarzania danych w celu realizacji prawnie uzasadnionych interesów administratora, stron trzecich lub w ramach władzy lub interesu publicznego,
• prawo, by nie podlegać decyzji opierającej się wyłącznie na zautomatyzowanym przetwarzaniu i wywołującej prawne lub podobnie istotne skutki.

Jeśli administrator zrealizuje prawo do sprostowania, usunięcia lub ograniczenia przetwarzania danych, musi poinformować o tym wszystkich odbiorców, którym ujawnił dane osobowe.

Gdy nasze prawa nie są realizowane lub gdy nasze dane przetwarzane są w sposób niezgodny z RODO, możemy złożyć skargę do Prezesa UODO, a w razie wystąpienia szkody – także żądać od administratora odszkodowania, co może wiązać się z postępowaniem sądowym.

 

ODPOWIEDŹ FORMALNA

Szkolenie z ochrony danych osobowych powinno zawierać wyjaśnienie podstawowych definicji w tym określenia danych osobowych, przetwarzania danych i przetwarzania danych w systemie informatycznym, prawnego umocowania IOD, dopuszczalności przetwarzania danych osobowych, obowiązków wobec osób, których dane dotyczą, praw osób, których dane dotyczą, dopuszczalności udostępnienia danych osobowych, rejestru czynności przetwarzania, uprawnień Prezes UODO w tym uprawnień kontrolnych, przepisów karnych, odpowiedzialności osób przetwarzających dane osobowe, postępowania w przypadku naruszenia bezpieczeństwa przetwarzanych danych osobowych, obszaru, w którym odbywa się przetwarzanie danych osobowych, zasadach niszczenia danych osobowych zapisanych na nośnikach informatycznych, zasad zarządzania systemem informatycznym przetwarzającym dane osobowe, zasad tworzenia kopii awaryjnych, postępowania z wydrukami danych osobowych, zasad uwierzytelniania i autoryzacji w systemie informatycznym przetwarzającym dane osobowe oraz rozliczalności operacji w systemie informatycznym przetwarzającym dane osobowe.

ODPOWIEDŹ PRAKTYCZNA

Szkolenie z zakresu ochrony danych osobowych może być zróżnicowane w zależności od stanowiska dla jakiego jest przeprowadzane (IOD, ADO, przedstawiciel ds. IT, pracownicy) oraz od rodzaju branży jaką konkretny podmiot się zajmuje. Podczas szkolenia, uczestnik powinien przyswoić wiedzę, która pozwoli mu bezpiecznie i w sposób zgodny z prawem przetwarzać dane osobowe w organizacji. W ramach dobrych praktyk, szkolenia powinny być wykonywane cyklicznie, aby osoby przetwarzające dane nie zapominały o podstawowych praktykach i były na bieżąco z obowiązującym prawem.

 

ODPOWIEDŹ FORMALNA

Każda osoba upoważniona do przetwarzania danych osobowych musi zostać zaznajomiona zarówno z powszechnie obowiązującymi przepisami o ochronie danych osobowych, jak również wewnętrznymi aktami prawnymi i środkami bezpieczeństwa, do których należy się stosować w miejscu przetwarzania danych osobowych.

ODPOWIEDŹ PRAKTYCZNA

Szkolenie z zakresu danych osobowych powinna przejść każda osoba w organizacji lub poza nią, która będzie miała dostęp do przetwarzanych w niej danych osobowych i zostanie jej nadane upoważnienie do przetwarzania danych osobowych.

 

ODPOWIEDŹ FORMALNA

Jest to jeden z organizacyjnych środków zabezpieczenia danych osobowych, który wprowadza obowiązek, aby osoby upoważnione do przetwarzania danych osobowych przetwarzały je wyłącznie na polecenie administratora. Aby spełnić wymóg rozliczalności, upoważnienie powinno zawierać imię i nazwisko osoby upoważnionej, datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, a także identyfikator, jeżeli dane są przetwarzane w systemie informatycznym. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczania.

ODPOWIEDŹ PRAKTYCZNA

Jeden z dokumentów, sporządzony po odbytym wcześniej przeszkoleniu na podstawie, którego dana osoba może zacząć przetwarzać dane osobowe w organizacji. Upoważnienie wydawane jest przez ADO i może być przechowywane w aktach osobowych pracownika. Standardowo, upoważnienie dotyczy dostępu do danych w zakresie niezbędnym do wykonywania obowiązków pracowniczych (zgodnie z zasadą wiedzy koniecznej).

 

ODPOWIEDŹ FORMALNA

Osoby, które zostały upoważnione do przetwarzania danych osobowych, powinny być zobowiązane zachować w tajemnicy te dane oraz sposoby ich zabezpieczenia. W związku z koniecznością zapewnienia bezpieczeństwa danych osobowych oraz rozliczalności administratora, pracowników i współpracowników należy zobowiązać do złożenia oświadczenia o zachowaniu w poufności danych osobowych, do których mogą mieć dostęp przy wykonywaniu swoich obowiązków.

ODPOWIEDŹ PRAKTYCZNA

W praktyce oświadczenie najlepiej zebrać po przeszkoleniu pracowników z nowych przepisów o ochronie danych osobowych oraz wewnętrznych polityk procedur, które mają je wdrażać – wtedy taki dokument obejmie zarówno oświadczenie o zapoznaniu się z nowymi przepisami, jak i zobowiązanie do zachowania poufności danych osobowych. Zbierając oświadczenia, można zweryfikować aktualność nadanych upoważnień do przetwarzania danych osobowych i w razie potrzeby – nadać nowe upoważnienia w ramach jednego zadania.

 

ODPOWIEDŹ FORMALNA

Jest to wykaz lokalizacji, budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe.

ODPOWIEDŹ PRAKTYCZNA

W praktyce obszar przetwarzania danych osobowych stanowi każde miejsce, gdzie znajdują się dane osobowe. Obszarem przetwarzania będzie zarówno archiwum, w którym znajdują się dane, nasz komputer służbowy, przy którym codziennie pracujemy czy dyski twarde zewnętrznych serwerów hostingowych, z których korzystamy. Obszar przetwarzania musi być jasno i precyzyjnie określony w polityce bezpieczeństwa, więc warto jest go określić rzetelnie i nie zapominać o aktualizacji, szczególnie, gdy zamierzamy przetwarzać dane osobowe poza pierwotnym obszarem przetwarzania.

 

ODPOWIEDŹ FORMALNA

Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Podmiot ten może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie, musi spełniać warunki bezpieczeństwa przetwarzania danych oraz ponosi za dane taką samą odpowiedzialność jak ich administrator.

ODPOWIEDŹ PRAKTYCZNA

Najczęstszym przykładem stosowania umów powierzenia przetwarzania danych jest powierzenie danych znajdujących się na serwerze hostingowym, czyli z dostawcami wirtualnej przestrzeni dyskowej, rzadziej z organizatorami konkursów, konferencji, szkoleń. Nie ma żadnych ograniczeń w zakresie kategorii podmiotu, z jakim możemy zawrzeć umowę o powierzeniu przetwarzania danych, więc do tej kategorii również zostaną zaliczone wszelkie firmy oferujące outsourcing danych osobowych. W takim przypadku niestety nie pozbywamy się odpowiedzialności za dane osobowe, gdyż nadal jesteśmy administratorem tych danych i odpowiadamy za nie. Więcej informacji oraz wzór umowy powierzenia przetwarzania znajdziesz na naszym blogu.

 

ODPOWIEDŹ FORMALNA

Jest to mobilny przedmiot fizyczny, na którym możliwe jest zapisanie informacji zawierającej dane osobowe i z którego możliwe jest późniejsze odtworzenie tej informacji.

ODPOWIEDŹ PRAKTYCZNA

W praktyce najpopularniejszymi przykładami nośników danych osobowych są papier, dyski twarde, karty pamięci, pamięć USB, laptop, płyty CD/DVD, telefony komórkowe, karty magnetyczne i chipowe. Istotą zewnętrzności nośnika danych osobowych jest jego mobilność, czyli możliwość prostego przenoszenia. Nie powiemy, że serwer firmowy zajmujący cały pokój jest mobilny, tak samo jak mobilność komputera stacjonarnego jest dość ograniczona.

 

ODPOWIEDŹ FORMALNA

To proces polegający na przekształceniu danych osobowych, w sposób uniemożliwiający przyporządkowanie poszczególnych informacji osobistych lub rzeczowych do określonej czy możliwej do zidentyfikowania osoby fizycznej lub w przypadku, kiedy można tego dokonać jedynie niewspółmiernie dużym nakładem czasu, kosztów i sił.

ODPOWIEDŹ PRAKTYCZNA

Przykładem anonimizacji dokumentu w wersji papierowej jest nic innego niż zwykłe zamalowanie np. czarnym, nieprzezroczystym flamastrem danych osobowych lub wykonanie kserokopii naklejając zwykłą karteczkę zasłaniającą te dane , w taki sposób by kopia już ich nie zawierała. W przypadku anonimizacji dokumentu w wersji elektronicznej wystarczy stworzyć kopie dokumentu z usuniętymi danymi osobowymi.

 

ODPOWIEDŹ FORMALNA

Zabezpieczenia fizyczne mają na celu zapewnienie ochrony pomieszczeń, sprzętów, infrastruktury oraz personelu przed bezpośrednim działaniem czynników fizycznych i zdarzeń takich jak pożar, powódź, kradzież, wandalizm, terroryzm. Wyróżnia się zabezpieczenia pasywne, które mają na celu zapobiegnięcie zagrożeniom lub opóźnienie włamania np. ogrodzenia czy sejfy oraz zabezpieczenia aktywne, które wykrywają zagrożenia lub im przeciwdziałają np. monitoring, alarmy przeciwwłamaniowe, systemy gaśnicze.

ODPOWIEDŹ PRAKTYCZNA

Są to wszelkie zabezpieczenia materialne, które w jakikolwiek sposób utrudniają dostęp do danych osobom do nich nieuprawnionych. Zabezpieczeniem fizycznym nie będzie program antywirusowy, systemowy firewall (zabezpieczenia informatyczne) lub polityka kluczy czy haseł (zabezpieczenia organizacyjne).

 

ODPOWIEDŹ FORMALNA

Administrator danych, który naruszył RODO, podlega odpowiedzialności prawnoadministracyjnej (decyzje Prezesa UODO mogą obejmować kary pieniężne, a także różnego rodzaju nakazy mające na celu zapewnienie zgodności z RODO), cywilnej (osoba, której dane dotyczą, ma prawo do odszkodowania za szkodę majątkową lub niemajątkową wynikłą z naruszenia RODO). Ponadto, każda osoba, która nielegalnie przetwarza dane osobowe lub udaremnia przeprowadzenie kontroli przestrzegania przepisów o ochronie danych, podlega odpowiedzialności karnej, przewidzianej ustawą o ochronie danych osobowych. Ostatnim rodzajem odpowiedzialności jest odpowiedzialność dyscyplinarna pracownika naruszającego zasady ochrony danych osobowych. Pracownik, który dopuścił się tego typu naruszeń podlega upomnieniu, naganie lub nawet zwolnieniu z własnej winy.

ODPOWIEDŹ PRAKTYCZNA

Prezes UODO może nałożyć karę pieniężną do 20 mln euro lub 4% obrotu za najpoważniejsze naruszenia, m.in. zasad przetwarzania danych, praw osób, których dane dotyczą, lub niestosowanie się do nakazów organu nadzorczego, a za pozostałe naruszenia - do 10 mln euro lub 2% obrotu, w zależności która kwota jest wyższa. Poza karami pieniężnymi, Prezes UODO może wydawać nakazy związane z przywróceniem zgodności z RODO, a nawet nakazać ograniczenie przetwarzania wyłącznie do przechowywania, co może zatamować proces biznesowy i być bardziej dotkliwe niż kara pieniężna. Ponadto, naruszając RODO, należy liczyć się także z odpowiedzialnością odszkodowawczą w przypadku pozwu, karną w przypadku zawiadomienia do prokuratury lub dyscyplinarną – w przypadku niestosowania się do wewnętrznych polityk i procedur przez pracownika.