Pomożemy Ci chronić dane osobowe!

Jeżeli prowadzisz działalność gospodarczą i jeszcze nie zadbałeś/-aś o dane osobowe swoich pracowników, klientów oraz kontrahentów albo dawno nie robiłeś/-aś przeglądu dokumentacji i stosowanych dotychczas zabezpieczeń to trafiłeś/-aś w dobre miejsce!

Pomożemy Ci stworzyć cały proces zarządzania i zabezpieczania danych osobowych od zera albo przeprowadzimy audyt aby zaktualizować dokumenty, które już posiadasz.

Aktualizacji powinno się dokonywać regularnie, więc nie czekaj aż Urząd Ochrony Danych przyjdzie do Ciebie na kontrolę! Zabezpiecz się już dziś i zyskaj zaufanie swoich pracowników, klientów i kontrahentów!

Możesz także powierzyć naszej Specjalistce pełnienie funkcji Inspektora Ochrony Danych w swojej organizacji jeżeli chcesz mieć pewność, że dane osobowe przetwarzane w Twojej organizacji są bezpieczne i nie chcesz się już martwić przepisami Rozporządzenia RODO.

Prowadzimy również szkolenia stacjonarne i on-line, które pozwolą Tobie i Twoim pracownikom poznać zasady ochrony danych osobowych i stosować je w praktyce! 

Napisz do nas, aby poznać szczegóły oferty!

Opiekun specjalizacji:

Anna Lisowska

Prawnik z wieloletnim doświadczeniem w dziedzinie ochrony danych osobowych i cyberbezpieczeństwa. Prywatnie mama dwójki dzieci, która multitasking ma opanowany do perfekcji. 

Poniżej prezentujemy kilka prostych, ale bardzo przydatnych zagadnień na początek przygody z RODO. Jeśli potrzebujesz wsparcia w tym zakresie, skontaktuj się z nami!

Co to są dane osobowe?

Dane osobowe to dane, które pozwalają Ci zidentyfikować jedną, konkretną osobę żyjącą. 

Jeżeli informacje, które posiadasz wskazują na jedną osobę i nie masz wątpliwości o kim mowa to z całą pewnością masz do czynienia z danymi osobowymi. W przypadku kiedy nie masz pewności o kim mowa, ale w łatwy sposób możesz to ustalić, np. wykorzystując ogólnodostępną wyszukiwarkę internetową albo system informatyczny do którego masz łatwy dostęp to również będą to dla Ciebie dane osobowe.

Czy dla wszystkich konkretna informacja jest daną osobową? 

NIE! 

Wszystko zależy od tego do jakich zasobów masz łatwy dostęp i z jakimi informacjami masz do czynienia.

Jeżeli pracujesz np. w Biurze Obsługi Klienta to dla Ciebie daną osobową będzie numer klienta, ponieważ w łatwy i szybki sposób będziesz w stanie ustalić o kim mowa i nie będziesz mieć wątpliwości co do tożsamości tej osoby. Natomiast w przypadku kiedy pracujesz np. w sekretariacie i nie masz dostępu do systemu, w którym obsługiwane są zamówienia klientów to dla Ciebie numer klienta będzie zwykłą informacją, która nie jest daną osobową, ponieważ nie będziesz w stanie ustalić tożsamości osobowy w łatwy i szybki sposób. 

Jest to prosta zasada, która dotyczy wszystkich informacji do których masz dostęp. 

Czy samo przechowywanie danych to przetwarzanie?

TAK! 

Przetwarzanie danych osobowych to każda czynność, którą możesz wykonać na danych osobowych. 

Nie musisz fizycznie mieć dostępu do tych danych, wystarczy przesłać komuś zahasłowany plik i już mówimy o przetwarzaniu. Samo pozyskanie lub usunięcie danych osobowych również jest ich przetwarzaniem. Cokolwiek przyjdzie Ci do głowy co możesz zrobić z danymi osobowymi to możesz być pewny/-a, że będzie to przetwarzanie danych osobowych. Forma danych osobowych również nie ma znaczenia. Dane przetwarza się w formie fizycznej oraz elektronicznej.

Umowa powierzenia czy udostępnienie?

Udostępnienie danych osobowych ma miejsce wtedy, kiedy przekazujemy dane do innego podmiotu i jednocześnie tracimy nad nimi kontrolę. Kiedy nie mamy wpływu na to m.in. w jaki sposób są przetwarzane dane osobowe, kto ma do nich dostęp, w jakim celu są przetwarzane lub jak długo będą przetwarzane. W tym przypadku zarówno podmiot przekazujący jak również podmiot otrzymujący dane osobowe są Administratorami Danych, którzy odpowiadają za dane osobowe które przetwarzają. 

Przy udostępnieniu danych nie podpisujemy umowy powierzenia danych osobowych. Podstawą udostępnienia danych osobowych może być wyrażona zgoda osoby, której te dane dotyczą, jak również wykonanie przedmiotu umowy lub wypełnienie obowiązku prawnego przez Administratora Danych.

Natomiast powierzenie danych osobowych następuje wtedy, kiedy po przekazaniu danych nadal mamy nad nimi pełną kontrolę. Dokładnie wskazujemy drugiemu podmiotowi m.in. jakie czynności może wykonać na tych danych, komu może je przekazać, w jakim celu może je przetwarzać, jak długo ma je przetwarzać. 

W tym przypadku podmiot otrzymujący dane osobowe staje się Procesorem (Podmiotem Przetwarzającym), a podmiot przekazujący jest nadal Administratorem Danych, który ponosi odpowiedzialność za dane osobowe przetwarzane u Procesora. Przy powierzeniu danych osobowych konieczne jest zawarcie umowy powierzenia przetwarzania danych osobowych. Najpopularniejszym przykładem powierzenia danych osobowych jest przekazanie danych firmie, która w naszym imieniu niszczy lub przechowuje dane osobowe.

Dane wrażliwe – co to i jak je chronić?

Dane osobowe i dane wrażliwe to nie są synonimy. Nie wszystkie dane osobowe są danymi wrażliwymi. Dane wrażliwe oznaczają dane osobowe szczególnej kategorii, które zostały wprost wskazane w Rozporządzeniu RODO.

Danymi wrażliwymi, tj. szczególnej kategorii są (katalog zamknięty):

  • dane osobowe ujawniające pochodzenie rasowe lub etniczne,
  • dane osobowe ujawniające poglądy polityczne,
  • dane osobowe ujawniające przekonania religijne lub światopoglądowe,
  • dane osobowe ujawniające przynależność do związków zawodowych,
  • dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej,
  • dane dotyczących zdrowia, seksualności lub orientacji seksualnej.

Wszystkie pozostałe dane, które nie zostały wskazane powyżej są zwykłymi danymi osobowymi.

Czy PESEL to dana wrażliwa?

NIE!

Pesel to dana osobowa zwykła, ponieważ nie został wskazany w katalogu danych osobowych szczególnej kategorii. 

Nie oznacza to jednak, że tej danej nie należy chronić. Wszystkie dane osobowe podlegają ochronie. 

Jak zabezpieczyć dane osobowe?

Nie ma zamkniętego katalogu zabezpieczeń, które należałoby wdrożyć aby można było stwierdzić, że prawidłowo zabezpieczamy dane osobowe.

Każdy podmiot musi indywidualnie dostosować zabezpieczenia w taki sposób, aby zminimalizować ryzyko naruszenia bezpieczeństwa przetwarzanych danych osobowych.

Dobrym przykładem stosowanych zabezpieczeń są m.in.:

  • regularna aktualizacja oprogramowania komputerowego,
  • cykliczne szkolenia pracowników z zakresu bezpieczeństwa danych osobowych,
  • pseudonimizacja oraz szyfrowanie danych osobowych,
  • ograniczenie fizycznego dostępu do danych osobowych poprzez zamykanie danych osobowych np. w szafach zamykanych na klucz,
  • nadawanie minimalnego dostępu do danych osobowych osobom, które ich faktycznie potrzebują do wykonywania codziennej pracy,
  • posiadanie odpowiednich polityk, procedur i regulaminów związanych z ochroną danych osobowych oraz ich cykliczna aktualizacja,
  • cykliczny przegląd i usuwanie danych osobowych, których termin przetwarzania upłynął,
  • regularne testowanie i mierzenie stosowanych zabezpieczeń.

Stosowane zabezpieczenia powinny uwzględniać stan wiedzy technicznej oraz koszty ich wdrożenia w porównaniu do ryzyka i charakteru danych osobowych.

Kiedy mamy do czynienia z naruszeniem bezpieczeństwa danych osobowych?

Naruszenie bezpieczeństwa danych osobowych występuje wtedy gdy dochodzi do naruszenia dostępności, poufności lub/i integralności danych osobowych.

Przykładami naruszenia mogą być: przypadkowe lub zamierzone zniszczenie danych osobowych niezgodne z prawem, utrata, zmiana, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych. 

Powyższe przykłady dotyczą zarówno przesyłanych, przechowywanych jak i  w inny sposób przetwarzanych danych osobowych.

Największe zagrożenia dla danych osobowych za które odpowiadasz!

To ludzie popełniają najwięcej błędów przy ochronie danych osobowych i tym samym stanowią największe zagrożenie dla ich bezpieczeństwa. Dbając o regularne szkolenia można znacznie zminimalizować ryzyko wystąpienia naruszenia danych osobowych w swojej organizacji.

Do najbardziej popularnych błędów popełnianych przez pracowników, które prowadzą do naruszenia bezpieczeństwa danych osobowych należą m.in.:

niewylogowanie się z systemu po zakończeniu pracy lub nie zablokowanie komputera w trakcie przerwy w wykonywaniu obowiązków służbowych i pozostawienie komputera bez nadzoru.

wysłanie maila do niewłaściwej osoby z plikiem zawierającym dane osobowe, 

pozostawienie komputera bez nadzoru w tramwaju/parku/kawiarni i umożliwienie osobie trzeciej jego przywłaszczenie,

sprzedaż komputera lub telefonu bez uprzedniego formatowania dysku i nadpisania danych,

podanie loginu i hasła do systemu osobie podszywającej się za pracownika działu IT,

kliknięcie w link lub załącznik otrzymany w wiadomości z niezaufanego źródła,

przypadkowe usunięcie pliku z dysku,

korzystanie z darmowych lub niezabezpieczonych sieci wi-fi na urządzeniach służbowych,

pozostawienie dokumentów bez nadzoru na biurku przy klientach lub innych osobach nieupoważnionych,

wpuszczenie do biura osoby obcej i pozostawienie jej bez nadzoru,

Jakie najważniejsze obowiązki leżą na Administratorze Danych?

Do najważniejszych obowiązków Administratora Danych można zaliczyć przede wszystkim:

powołanie Inspektora Ochrony Danych oraz zgłoszenie tego faktu do Prezesa Urzędu Ochrony Danych Osobowych – jeżeli taki obowiązek ciąży na administratorze.

spełnienie obowiązku informacyjnego, wobec osób których dane przetwarza,

prowadzenie dokumentacji opisującej sposób przetwarzania danych osobowych oraz stosowane środki zabezpieczające,

zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały zebrane oraz komu są przekazywane,

upoważnienie osób, które zostaną dopuszczone do przetwarzania danych osobowych,

zawiadomienie organu nadzorczego oraz osób, których dane dotyczą o naruszeniu ochrony danych osobowych,

realizowanie praw osób, których dane dotyczą,

szkolenie i uświadamianie osób, które mają dostęp do danych osobowych z zakresu bezpieczeństwa danych osobowych,

prowadzenie rejestru czynności przetwarzania danych osobowych,

prowadzenie rejestru kategorii czynności przetwarzania,

przetwarzanie danych zgodnie z zasadami Rozporządzenia RODO,

dokonywanie oceny skutków planowanych operacji przetwarzania danych osobowych przed rozpoczęciem danego procesu;

zawarcie umów powierzenia przetwarzania danych osobowych w przypadku powierzania danych osobowych innemu podmiotowi,

wdrożenie odpowiednich rozwiązań zapewniających bezpieczeństwo przetwarzanych danych osobowych, 

Najważniejsze obowiązki Podmiotu Przetwarzającego (Procesora)

Najważniejszymi obowiązkami Procesora są m.in.:

prowadzenie rejestru kategorii czynności przetwarzania.

realizowanie poleceń Administratora, 

stosowanie odpowiednich zabezpieczeń w celu ochrony danych osobowych,

zawieranie umowy powierzenia przetwarzania danych osobowych z Administratorem Danych,

wspomaganie Administratora Danych w realizacji jego obowiązków względem osób, których dane dotyczą oraz innych obowiązków wynikających z Rozporządzenia RODO,

usunięcie danych osobowych po zakończeniu współpracy z Administratorem Danych,

umożliwienie Administratorowi Danych przeprowadzenia audytów,

Inspektor Ochrony Danych – kiedy jest potrzebny? 

Wyznaczenie Inspektora Ochrony Danych jest konieczne w trzech przypadkach, tj. w przypadku gdy:

główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 Rozporządzenia RODO oraz danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o których mowa w art. 10 Rozporządzenia RODO.

przetwarzania danych osobowych dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,

główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę,

Kary – za co może ukarać Prezes Urzędu Ochrony Danych Osobowych?

Prezes Urzędu Ochrony Danych Osobowych może nałożyć karę, za np.:

odmowę dostępu do danych osobowych i innych informacji niezbędnych do realizacji jego zadań.

naruszenie przepisów Rozporządzenia RODO,

wykazanie się brakiem współpracy z organem nadzorczym w ramach wykonywanych przez siebie zadań,

Jaka może być maksymalna kara Prezesa UODO?

Rozporządzenie RODO określa najwyższą karę w wysokości do 20 mln euro, a w przypadku przedsiębiorstwa maksymalna kara wynosi do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Czy można obniżyć nałożoną przez Prezesa UODO karę?

Wysokość kary uzależniona jest od kilku czynników, które zostały określone wprost w Rozporządzeniu RODO. Podczas nakładania kary za nieprzestrzeganie przepisów Rozporządzenia RODO, organ nadzorczy bierze pod uwagę w pierwszej kolejności okoliczności zdarzenia, które wywołały naruszenie, tj.:

  • charakter, wagę, czas trwania naruszenia, przy jednoczesnym uwzględnieniu charakteru, zakresu oraz celu danego przetwarzania,
  • umyślny lub nieumyślny charakter naruszenia,
  • kategorię danych osobowych, których naruszenie dotyczyło,
  • odpowiedzialność Administratora Danych lub Procesora oraz środków technicznych i organizacyjnych wdrożonych przez nich w oparciu o art. 25 i 32 Rozporządzenia RODO.
  • Kolejnym istotnym czynnikiem branym pod uwagę będzie także fakt czy przed danym naruszeniem wystąpiły jakiekolwiek wcześniejsze naruszenia ochrony danych osobowych.

Bardzo ważne jest również zachowanie samego Administratora Danych po wystąpieniu danego naruszenia, tj.:

  • czy podjął jakiekolwiek działania mające na celu zminimalizowanie szkody poniesionej przez osoby, których dane dotyczą,
  • w jakim stopniu współpracował z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia ewentualnych negatywnych skutków danego naruszenia,
  • czy i w jakim czasie Administrator Danych dokonał zgłoszenia naruszenia.

Wysokość kary będzie zależała również od liczby poszkodowanych osób, a także rozmiaru szkody poniesionej przez nie. 

Powyżej zaprezentowany katalog nie jest zamknięty, organ nadzorczy weźmie również pod uwagę inne okoliczności obciążające lub łagodzące, które nie zostały wskazane powyżej o ile takowe wystąpią.

Transfer danych osobowych – kiedy mam się martwić?

Posługując się określeniem transfer danych mamy na myśli przekazywanie danych osobowych do podmiotu mającego siedzibę poza terytorium Rzeczypospolitej Polskiej. 

W każdym przypadku przekazywania danych poza tereny Rzeczypospolitej Polskiej należy być ostrożnych i przed przekazaniem danych osobowych zweryfikować zabezpieczenia stosowane przez podmiot do którego dane mają trafić, jednak szczególną ostrożność należy zachować w przypadku przekazywania danych osobowych do państw trzecich, tj. poza bezpieczny obszar w rozumieniu przepisów Rozporządzenia RODO.

Powyższe wynika z faktu, że Rozporządzenie RODO obowiązuje wszystkie podmioty przetwarzające dane osobowe na terenie UE i EOG. 

Jeżeli po zapoznaniu się z powyższymi informacjami nadal masz wątpliwości związane z ochroną danych osobowych to koniecznie skontaktuj się z nami. Rozwiejemy Twoje wątpliwości.