Baza wiedzy

 

Dowiedz się:

Jak wdrożyć RODO w 10 krokach?

Jak spełnić obowiązek informacyjny? 

Jak oraz z kim podpisać umowę powierzenia danych? 

Jak zgłosić Inspektora Ochrony Danych i odwołać ABI?

Czym jest naruszenie ochrony danych osobowych?

 

Po zalogowaniu się otrzymasz dostęp do wielu innych materiałów - Sprawdź 

 


Inspektor Ochrony Danych

Jak zgłosić Inspektora Ochrony Danych i odwołać ABI? 


(Inspektor Ochrony Danych RODO)

Z tego wpisu usyskasz wiedzę na temat:

1. Praktycznych wskazówek dotyczących następcy ABI

2. Zadań jakie będzie miał IOD

3. Zgłoszenia IOD do organu nadzorczego

4. Kiedy zgłosić Inspektora do GIODO - obecnie do Prezesa Urzędu Ochorny Danych Osobowych?

 

Inspektor Ochrony Danych - czyli następna Administratora Bezpieczeństwa Informacji, z punktu widzenia nowych przepisów - nie pełni tej samej funkcji. To jakie zadania będzie miał Inspektor znajedziesz w treści artykułu. Dowiesz się też kiedy i jak zgłosić Inspektora do GIODO (PUODO). RODO nie określa tego w jaki sposób i kiedy mamy zgłosić Inspektora Ochrony Danych. Sposób i termin wykonania zgłoszenia, w sposób szczegółowy określono w nowej ustawie o ochronie danych osobowych. 

 

Prktyczne wskazówki dotyczące IOD:

Ważne informacje: 

Udostępnianie informacji o IOD na stronie internetowej administratora lub podmiotu przetwarzającego 

1. Należy udostepnić informacje o IOD na stronie internetowej administratora lub podmiotu przetwarzającego. Należy także pamiętać o uwzględnieniu tych danych podczas realizacji obowiązków informacyjnych.

Jednocześnie przepisy nowej ustawy o ochronie danych osobowych przewidują, że podmiot, który wyznaczył inspektora, udostępnia imię, nazwisko, adres poczty elektronicznej lub numer telefonu inspektora niezwłocznie po jego wyznaczeniu, na swojej stronie internetowej, a jeżeli nie prowadzi własnej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia działalności (art. 11 nowej ustawy o ochronie danych osobowych).

2. Zawiadomienia składamy po 25 maja 2018 r. poprzez formularz na stornie urzędu, z wykorzystawiem kwalifikowanego podpisu elektronicznego lub profilu ePUAP.
3. Po 25 maja 2018 r. nie mamy obowiązku odwołania ABI.
4. IOD musi być powołany tylko w pewnych wypadkach! Zobacz art. 37 ust. 1 RODO. Poza sytuacjami tam wskazanymi, powołanie IOD jest dobrowolne. 

 

Jakie zadania będzie miał IOD?

 

Do zadań Inspektora neleżeć będzie:

  1. informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów UE lub państw członkowskich i doradzanie im w tej sprawie;

  2. monitorowanie przestrzegania RODO i innych przepisów dot. ochrony danych oraz przestrzegania polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;

  3. udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania;

  4. współpraca z organem nadzorczym;

  5. pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO;

  6. w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

 

Co ma zawierać zgłoszenie dot. IOD?

  • imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora,

  • imię i nazwisko oraz adres zamieszkania, w przypadku gdy administratorem lub podmiotem przetwarzającym jest osoba fizyczna,

  • firmę przedsiębiorcy oraz adres miejsca prowadzenia działalności gospodarczej, w przypadku gdy administratorem lub podmiotem przetwarzającym jest osoba fizyczna prowadząca działalność gospodarczą,

  • pełną nazwę oraz adres siedziby, w przypadku gdy administratorem lub podmiotem przetwarzającym jest podmiot inny niż wskazany w pkt. 2 i 3,

  • numer identyfikacyjny REGON, jeżeli został nadany administratorowi lub podmiotowi przetwarzającemu.

 

Kiedy zgłosić Inspektora do GIODO - obecnie do Prezesa Urzędu Ochorny Danych Osobowych?

To kiedy dany podmiot ma dokonać zgłoszenia zależy od tefo czy przed 25 maja 2018 r. miał powołanego ABI, a także od tego, czy nowe przepisy nakładają na niego obowiązek wyznaczenia inspektora ochrony danych!

 

Jeżeli ADO lub PP mają obowiązek wyznaczenia IOD,to powiadomienia należy dokonać:

  • do 1 września 2018 r. - gdy administrator wyznaczył ABI przed 25 maja 2018 r. i decyduje, że ta sama osoba będzie pełnić u niego funkcję inspektora ochrony danych (art. 158 ust. 1 i 2 nowej ustawy),
  • do 1 września 2018 r.- gdy administrator wyznaczył administratora bezpieczeństwa informacji (ABI) przed 25 maja 2018 r., ale do pełnienia funkcji inspektora ochrony danych chce wyznaczyć inną osobę (art. 158 ust. 1 nowej ustawy),
  • do 31 lipca 2018 r. - gdy administrator nie powołał ABI przed 25 maja 2018 r. (art. 158 ust. 4 nowej ustawy).

Jeżeli ADO lub PP nie mają obowiązku wyznaczenia IOD, ale zdecydowali się na powołanie - powiadomienia należy dokonać:

  • do 1 września 2018 r. - gdy administrator wyznaczył ABI przed 25 maja 2018 r. i decyduje, że ta sama osoba będzie pełnić u niego funkcję inspektora ochrony danych (art. 158 ust. 1 i 2 nowej ustawy),
  • do 1 września 2018 r. - gdy administrator wyznaczył ABI przed 25 maja 2018 r., ale do pełnienia funkcji inspektora ochrony danych chce wyznaczyć inną osobę (art. 158 ust. 1 nowej ustawy),
  •  w terminie 14 dni od dnia wyznaczenia inspektora ochrony danych - gdy administrator nie wyznaczył ABI przed 25 maja 2018 r., ale decyduje się na wyznaczenie inspektora ochrony danych (art. 10 nowej ustawy).

W przypadku podmiotów przetwarzających, które zgodnie z nowymi przepisami:

  • będą miały obowiązek wyznaczenia IOD, powiadomienie powinno nastąpić do 31 lipca 2018 r. (art. 158 ust. 5 nowej ustawy),
  • nie będą miały obowiązku wyznaczenia IOD, a zdecydują się na powołanie takiej osoby, powiadomienie powinno nastąpić w terminie 14 dni od dnia wyznaczenia (art. 10 ust. 1 nowej ustawy).

Zródło - strona internetowa GIODO

https://www.giodo.gov.pl/pl/1520281/10506

Obowiązek informacyjny

Jak powinna wyglądać prawidłowa klauzula informacyjna?


(Obowiązek informacyjny RODO)

Z tego wpisu dowiesz się:

1. Czym jest zasada przejrzystości?

2. Jak przkazywać informacje podmiotom danych?

3. Kiedy należy spełnić obowiązek informacyjny? Czy trzeba spełniać obowiązek tylko w trakcie zbierania danych?

4. Otrzymasz kilka praktycznych wskazówek na temat przejrzystego informowania

5. Dowiesz się co powinna zawierać klazula informacyjna?

 

Jednym z elementów procesu przygotowania się do nowych przepisów jest spełnienie obowiązków w zakresie przejrzystego informowania i przejrzystej komunikacji wobec osób, których dane dotyczą. Obowiązki te muszą więc być spełnione względem np. klientów, kontrahentów, czy pracowników.

Przedsiębiorcy oraz inne podmioty przygotowujące się do spełnienia swoich obowiązków mają wiele wątpliwości, związanych z tym - jak w praktyce powinna wyglądać np. klauzula informacyjna? Dlatego, aby pomóc zamieszczamy tutaj treść przykładowej klauzuli informacyjnej, która powinna zostać przekazana podmiotom danych podczas pozyskiwania od nich danych osobowych, a więc w zgodzie z art. 13 RODO. (treść przykładowej klauzuli znajduje się w na dole strony). Zanim jednak przejdziemy do podania przykładu prawidłowego spełnienia obowiązku informacyjnego, warto przytoczyć założenia jednej z podstawowych zasad ochrony danych, która - bynajmniej - nie jest nowością. Jest to jeden z najważniejszych mechanizmów zapewniania nam tzw. autonomii informacyjnej.

 

Mowa tutaj o zasadzie przejrzystości!

Zasada ta występuje w przepisach związanych z ochroną danych w trzech obszarach:

  1. zapewniania informacji osobom, których dane dotyczą, związanych z rzetelnym przetwarzaniem;

  2. sposobów, w jakie administratorzy danych komunikują się z osobami, których dane dotyczą, w związku z ich prawami wynikającymi z RODO;

  3. sposobów umożliwiania przez administratorów danych wykonywania swoich praw przez osoby, których dane dotyczą.
     

Jak przkazywać informacje podmiotom danych?

Przede wszystkim informacje o przetwarzaniu powinny być łatwo dostępne. Element „łatwo dostępne” oznacza, że osoba, której dane dotyczą, nie powinna być zmuszona do poszukiwania informacji; powinno być dla niej natychmiast oczywiste, gdzie można uzyskać dostęp do tych informacji, na przykład można je jej bezpośrednio przekazać, podać link do nich, wyraźnie je oznaczając lub wskazać w odpowiedzi na pytanie w języku naturalnym (na przykład w warstwowym dostępnym online oświadczeniu / informacjach dotyczących prywatności, w często zadawanych pytaniach, w formie kontekstowych wyskakujących okienek, które się uaktywniają, gdy osoba, której dane dotyczą, wypełnia formularz online, bądź też w interaktywnym kontekście cyfrowym poprzez interfejs chatbota, etc.).

 

Kiedy należy spełnić obowiązek informacyjny? Czy trzeba spełniać obowiązek tylko w trakcie zbierania danych?

Przejrzystość ma zastosowanie na następujących etapach cyklu przetwarzania danych:

  1. przed lub na początku cyklu przetwarzania danych, tj. gdy dane osobowe są zbierane czy to od osoby, której dane dotyczą, czy też pozyskiwane w inny sposób;

  2. przez cały okres przetwarzania, tj. podczas komunikowania się z osobami, których dane dotyczą, na temat ich praw;

  3. w określonych momentach, gdy przetwarzanie trwa, na przykład gdy występują naruszenia danych lub w przypadku istotnych zmian w przetwarzaniu.

Zgodnie z motywem 171 RODO, gdy przetwarzanie przed 25 maja 2018 r. już się toczy, administrator powinien zapewnić przestrzeganie obowiązków w zakresie przejrzystości z dniem 25 maja 2018 r. (wraz z wszystkimi innymi obowiązkami wynikającymi z RODO). Oznacza to, że przed 25 maja 2018 r. administratorzy danych powinni zrewidować wszystkie informacje przekazywane osobom, których dane dotyczą, odnoszące się do przetwarzania ich danych osobowych (na przykład oświadczeń / informacji dotyczących prywatności, etc.) w celu zapewnienia, że przestrzegają wymogów w odniesieniu do przejrzystości, które są omawiane w tych wytycznych.

Pamiętaj obowiązek informacyjny ma również zastosowanie w przypadku pozyskiwania danych w sposób inny niż od osoby, której dane dotyczą.

 

Praktyczne wskazówki:

Ważne informacje:
RODO nie określa formy przekazania informacji. Decyzja należy do Ciebie!
Należy dostosować tekst informacji do odbiorcy - inaczej informacje przekazujemy klientom inaczej osobom, które posiadają wiedzę specjalistyczną. 
Używaj zwrotów typu: "Administratorem, czyli podmiotem, który decyduje o celach i sposobach przetwarzania Twoich danych jest XYZ sp. z o.o."; "Przetwarzamy Twoje dane w celu X.". Nie używaj skomplikowanych pojęć prawnych lub zwrotów zaczerpniętych z języka specjalistycznego, szczególnie z zakresu IT. 
Podawaj tylko prawdziwe informacje oraz tylko te informacje o przetwarzaniu, które rzeczywiście realizujesz. Niepotrzebne jest zamieszczenie informacji o tym, że NIE przkazyjesz danych do Państw Trzecich, jeżeli rzeczywiście tego nie robisz. Klazula ma być "zwięzła"! 
Jak spełnić obowiązek? Jesteś właścicielem portalu? Obowiązek powinien znaleźć się w informacjach dotyczących prywatności. Link do nich powinien być wyraźnie widoczny pod powszechnie używanym hasłem (takim jak  “zasady przetwarzania danych”, „ochrona prywatności”, „polityka prywatności” czy „informacje dotyczące ochrony danych”). Jeśli na stronie posiadasz formularz, niech pod formularzem znajdzie się link przenoszący do tych zasad.
Kiedy spełnić obowiązek informacyjny? Przykładowo: masz sklep internetowy? Obowiązek powinien być spełniony w trakcie uzupełniania danych, a nie w mailu po dokonaniu zakupu.
Jeżeli zmieniasz zasady przetwarzania danych powiadamiaj o tym swoich klientów, czy pracowników! Zrób to tak, aby osoba, której dane dotyczą, nie „przeoczyła” zmiany. Np. zmienia się cel - zmień politykę prywatności i wyślij notyfikację o tym, że wykorzystujesz dane w tym określonym celu.

 

Co powinna zawierać przykładowa klauzula?

1. Kto jest administratorem Twoich danych?

Informacje powinny umożliwić łatwą identyfikację administratora i najlepiej podać różne formy komunikacji z administratorem danych (np. numer telefonu, adres e-mail, adres pocztowy, etc.)
 

2. Dane inspektora ochrony danych (tylko jeżeli powołano)

Np. numer telefonu, adres e-mail czy adres do korespondencji. RODO w art. 13 nie obliguje do wskazania tożsamości Inspektora. W związku z tym, nie ma podstaw do przyjęcia aby konieczne było wskazywanie imienia i nazwiska IOD.
 

3. Jakie są cele i podstawy prawne przetwarzania?

Wskazać dokładnie w jakim celu przetwarzamy dane, dodatkowo do celów przetwarzania, do których mają posłużyć dane osobowe, należy określić właściwą podstawę prawną przetwarzania, na której się opiera administrator, zgodnie z artykułem 6 (w zakresie danych zwykłych) lub 9 w zakresie danych wrażliwych.
 
Plus: Jeżeli podstawą prawną przetwarzania są prawnie uzasadnione interesy administratora (artykuł 6 ust. 1 lit. f) należy określić dany interes, np. Promowanie nowych produktów sklepu internetowego.
 

4. Komu przekazujemy Twoje dane?

Tutaj wymieniamy wszystkich odbiorców danych. Definicja odbiorców znajduje się w art. 4 ROOD. Jeżeli odbiorców jest dużo i nie jesteśmy w stanie ich wszystkich wymienić - wymieniamy kategorie odbiorców. Podajemy tu m.in. podmioty przetwarzające.
 
Np. Dane przekazujemy podmiotom świadczącym nam usługi obsługi prawnej oraz księgowości. Podobnie Twoje dane muszą być przekazywane firmie informatycznej świadczącej usługi utrzymania naszego portalu internetowego, usługi hostingowe oraz usługi serwisowania sprzętu. Przekazujemy dane również firmom odpowiedzialnym za przeprowadzanie kampanii reklamowych. Obowiązkowo musimy także przekazywać Twoje dane organom administracji publicznej.
 

5. Czy dane są przekazywane poza obszar UE i EOG?

Musi być wskazany właściwy artykuł RODO pozwalający na przekazywanie i odpowiedni mechanizm (np. decyzja stwierdzająca odpowiedni stopień ochrony na mocy artykułu 45 / wiążące reguły korporacyjne na mocy artykułu 47 / standardowe klauzule ochrony danych na mocy artykułu 46 ust. 2 / wyjątki i zabezpieczenia na mocy artykułu 49, etc.). Gdy to możliwe, powinien być również podany link do użytego mechanizmu lub informacji o tym, gdzie i w jaki sposób można uzyskać dostęp do właściwego dokumentu lub go uzyskać. Zgodnie z zasadą rzetelności informacje powinny wyraźnie wskazywać wszystkie państwa trzecie, do których będą przekazywane dane.
 

6. Okres przechowywania danych

Okres przechowywania (lub kryteria jego określenia) może być podyktowany czynnikami takimi jak wymogi ustawowe lub wytyczne branżowe, ale powinien być sformułowany w taki sposób, który pozwala osobie, której dane dotyczą, na ocenę, na podstawie jej własnej sytuacji, jaki będzie okres przechowywania dla określonych danych/celów. Nie jest wystarczające ogólne stwierdzenie przez administratora danych, że dane osobowe będą przechowywane tak długo, jak to niezbędne do prawnie uzasadnionych celów przetwarzania. W stosownym przypadku, powinny być przewidziane różne okresy przechowywania dla różnych kategorii danych osobowych i/lub różnych celów, w tym, gdy to właściwe, okresów archiwizacji.
 

7. Jakie prawa Ci przysługują?

Należy poinformować o prawie do wniesienia skargi do organu nadzorczego (Informacje te powinny wyjaśniać, że zgodnie z artykułem 77 osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia RODO).
 
Należy wskazać jakie prawa przysługują osobom, których dane dotyczą.
 
Informacje te powinny obejmować streszczenie tego, co to prawo obejmuje i jakie kroki może podjąć osoba, której dane dotyczą, w celu wykonania tego prawa.
 
Należy również poinformować o prawie do cofnięcia zgody, tylko jeżeli o taką zgodą administrator poprosił. Najlepiej wskazać też, w jaki sposób można taką zgodę wycofać.
 

8. Czy podanie danych jest dobrowolne?

Należy zamieścić informację, czy istnieje wymóg ustawowy lub umowny podania informacji. Czy podanie danych jest niezbędne do zawarcia umowy. Należy wskazać też jakie są ewentualne konsekwencje niepodania danych.
 
Np. Podanie tych informacji jest obowiązkowe. Bez tych danych nie jest możliwe wykonanie dla Ciebie usługi.
 

9. Informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, oraz –w stosownych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Jeżeli wobec użytkownika są podejmowane zautomatyzowane decyzje należy wskazać w jaki sposób się to odbywa, oraz jakie są tego konsekwencje.
 

Zródło - wytyczne Grupy Roboczej art. 29 dot. zasady przejrzystości.

Tłumaczenie nieoficjalne - GIODO

 


Naruszenie Ochrony Danych Osobowych

Czym jest naruszenie ochrony danych osobowych?


(Naruszenie ochrony danych)

Z tego wpisu dowiesz się:

1. Jaka jest definicja naruszenia?

2. Jakie są rodzaje naruszeń?

3. Kiedy należy zgłosić naruszenie?

 

RODO wprowadza wymóg powiadamiania właściwego krajowego organu nadzorczego (w przeważającej więkoszści przypadków będzie to GIODO - obecnie Prezes Urzędu Ochrony Danych Osobowych) o naruszeniu ochrony danych osobowych, a także, w niektórych przypadkach, poinformowania o naruszeniu podmiotów danych - czyli osób, których naruszenie ochrony danych dotyczy.

Wymóg ten należy traktować jako pomoc ze strony organu w analizie incydentu. Organ w takiej sytuacji doradzi czy istnieje koniecznośc powiadomienia osób, których naruszenie dotyczy. 

Powiadamianie osób fizycznych o naruszeniu daje administratorowi możliwość przekazania informacji o ryzyku stwarzanym przez naruszenie oraz o krokach, jakie mogą podjąć te osoby, by uchronić się przed jego potencjalnymi konsekwencjami. Każdy plan odpowiedzi na naruszenie powinien skupiać się na ochronie osób fizycznych i ich danych osobowych.

 

Jaka jest definicja naruszenia?

 

„Naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

 
Chodzi o naruszenie bezpieczeństwa przetwarzanych danych, a nie np. naruszenie przepisów. Nie ma obowiązku zgłoszenia nieprawidłowo skonstruowanej zgody, niemniej takie działanie może skutkować nałożeniem kary.
 
Obowiazek notyfikacji powstaje w przypadku naruszenia bezpieczeństwa prowadzącego do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych. 
 
Zwróć uwagę na to, że naruszniem ochrony danych osobowych nie jest każde naruszenie bezpieczeństwa, a tylko takie które doprowadziło do wyżej wskazanych skutków. W trakcie oceny czy doszło do naruszenia musimy brać pod uwagę to jakie konsekwencje niesie za sobą wyłom bezpieczeństwa. Przykładowo nie zawsze brak dostępu do danych wymaga zgłoszenia, bowiem naruszenie takie nie zawsze stwarza wysokie ryzyko naruszenia praw i wolności osób fizycznych. Przykład ten dobrze obrazuje porównanie braku dostępu do danych klientów sklepu internetowego z brakiem dostępu do dokumentacji medycznej pacjenta. Widać istotną różnicę w skutkach oraz występującym ryzku naruszenia praw i wolności osób fizycznych.
 
Żeby uświadomić sobie możliwe skutki naruszń warto sięgnąć do motywu 85, który informuje, że omawiane naruszenie może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub

 

2. Jakie są rodzaje naruszeń?

 
„Zniszczenie” danych osobowych oznacza sytuację, w której dane przestają istnieć w formie nadającej się do użytku przez administratora.
„Uszkodzenie” oznacza sytuację, w której dane osobowe uległy zmianie czy zepsuciu lub stały się niekompletne.
„Utratę” danych osobowych należy rozumieć jako sytuację, w której dane mogą nadal istnieć, ale administrator utracił kontrole nad nimi lub dostęp do nich, lub nie jest już w ich posiadaniu.
 
Niedozwolone lub niezgodne z prawem przetwarzanie obejmuje przypadki ujawnienia lub udostępnienia danych osobowych odbiorcom nieupoważnionym do otrzymania ich lub uzyskania do nich dostępu, a także wszelkie inne formy przetwarzania naruszające postanowienia RODO.
 
  • Naruszenie poufności – niedozwolone lub przypadkowe ujawnienie lub dostęp do danych osobowych.
  • Naruszenie dostępności – niedozwolona lub przypadkowa utrata dostępu do danych osobowych lub zniszczenie ich.
  • Naruszenie integralności – niedozwolona lub przypadkowa zmiana danych osobowych.
Przykładem utraty danych osobowych może być zagubienie lub kradzież nośnika zawierającego kopię bazy danych klientów administratora. Innym przykładem utraty może być sytuacja, w której tylko jedna kopia ze zbioru danych osobowych została zaszyfrowana przez oprogramowanie typu ransomware lub przez samego administratora przy użyciu klucza, którym ten już nie dysponuje. 
 
Przykłady utraty dostępności to sytuacje, w których doszło do usunięcia danych – przypadkowo lub przez nieupoważnioną osobę. Przykładem będzie również utrata klucza deszyfrującego w przypadku bezpiecznie zaszyfrowanych danych. Jeżeli administrator nie jest w stanie odzyskać dostępu do danych np. z kopii zapasowej, uznaje się to za trwałą utratę dostępności. Utrata dostępności może również mieć miejsce w przypadku znaczącego zakłócenia normalnej działalności organizacji np. w wyniku przerwy w dostawie prądu lub ataku typu DoS lub DDoS, skutkującego tymczasowym lub trwałym brakiem dostępu do danych osobowych.
 
Atak polegający na zaszyfrowaniu dysku przez cyberprzestępców może powodować nie tylko brak dostępu, ale również poważne narszenie pofności.
 
W przypadku utraty płyty CD z niezaszyfrowanymi danymi często nie da się ustalić, czy osoby nieupoważnione uzyskały do nich dostęp. Taki przypadek należy jednak zgłosić, ponieważ istnieje wystarczający stopień pewności co do tego, że doszło do naruszenia; administrator „stwierdza” naruszenie w chwili zdania sobie sprawy z utraty płyty.
 
Osoba trzecia informuje administratora o przypadkowym otrzymaniu danych osobowych jednego z jego klientów i przedstawia dowody niedozwolonego ujawnienia danych. Jako że administrator otrzymał jasne dowody naruszenia, nie ma wątpliwości co do tego, że „stwierdził” naruszenie.
 
Administrator odkrywa, że mogło mieć miejsce włamanie do jego sieci. Sprawdza swoje systemy, aby ustalić, czy doszło do naruszenia bezpieczeństwa przechowywanych w nich danych, i potwierdza, że istotnie tak się stało. Ponownie, jako że administrator uzyskał jasne dowody naruszenia, nie ma wątpliwości co do tego, „stwierdził” naruszenie. Cyberprzestępca kontaktuje się z administratorem po włamaniu się do jego systemu, aby zażądać okupu. W takim przypadku administrator ma wyraźne dowody, że doszło do naruszenia; nie ma więc wątpliwości co do tego, że stwierdził naruszenie.
 
 

3. Kiedy należy zgłosić naruszenie?

 

RODO zawiera postanowienia, które wskazują nam, kiedy i kogo należy powiadamiać o naruszeniu, a także jakie informacje należy przekazywać w ramach powiadomienia. Informacje na temat naruszenia mogą być podawane stopniowo, przy czym administratorzy powinni odpowiednio szybko podejmować działania w związku z każdym naruszeniem.

 

Natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że jest w stanie wykazać, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych.

Jeżeli nie można dokonać zgłoszenia w terminie 72 godzin, zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki.

 


Jak wdrożyć RODO?

Jak w 10 krokach wdrożyć nowe przepisy o ochronie danych? 


(10 kroków)

Z tego wpisu dowiesz się:

1. Co to jest RODO?

2. Na czym polega proces dostosowania do RODO?

3. Co musisz zrobić żeby poprawnie przygotować swoją firmę/organizację do RODO?

 

Poniżej przedstawiamy przygotowaną przez nasz zespół metodykę wdrożenia RODO. Proces ten będzie przebiegał inaczej w każdej firmie/instytucji/organizacji. Wynika to z faktu, każda jednostka organizacyjna "rządzi się swoimi prawami" i każdy musi "dostosować się do RODO" we własnym zakresie i przez pryzmat własnej działalności.


Co to jest RODO?

 

Rozporządzenie Unijne

Akt prawny wydany przez Unię Europejską o najszerszym zasięgu. Nie można go mylić z polskim rozporządzeniem. Zgodnie z art. 288 TFUE rozporządzenie ma zasięg ogólny, wiąże w całości i jest bezpośrednio stosowane we wszystkich Państwach Członkowskich. 

 

Co reguluje?

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679, czyli nowe ogólne rozporządzenie o ochronie danych (RODO) dotyczy wszystkich przypadków przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany.
 
RODO nie ma zastosowania do przetwarzania danych osobowych przez osobę fizyczną w ramach działalności czysto osobistej lub domowej, czyli bez związku z działalnością zawodową lub handlową.
 
RODO nie ma zastosowania do danych osobowych osób zmarłych.

 

Przykład:

Kiedy rozporządzenie ma zastosowanie?

Firma z siedzibą w Polsce lub w Bułgarii świadczy usługi hotelarkie na rzecz klientów pochodzących z różnych krajów, w związku z tym przetwarza dane osobowe osób fizycznych.

 

Kiedy rozporządzenie nie ma zastosowanie?

Jan Kowalski planuje swoje 50 urodziny. W tym celu stworzył listę zawierającą imiona, nazwiska, adresy zamieszkania swoich znajomych oraz rodziny i wykorzytuje ją do rozesłania zaproszeń. 

 

Na czym polega proces dostosowania do RODO?

Przygotowanie się do stosowania nowych przepisów wymaga zaangażowania całej organizacji w proces przebudowy systemu funkcjonowania Państwa firmy. RODO nie polega na przygotowaniu kilku dokumentów. To wieloetapowy proces dostosowania wszystkich aspektów funkcjonowania firmy pod filary, na których opiera się RODO. Te filary, przedstawione w styczniu 2012 roku przez ówczesną wiceprzewodnicząca Komisji Europejskiej Viviane Reding to podejście oparte na ryzyku, zasady privacy by design i privacy by default, neutralność technologiczna i prawo do bycia zapomnianym.
 
Każdy przedsiębiorca czy osoba zarządzająca instytucją musi przeanalizować czynności, które podejmuje w związku z prowadzeniem działalności jednostki, w której pracuje. Na tej podstawie - po przeanalizowaniu ryzyka - powinien wprowadzić proporcjonalne środki bezpieczeństwa. "Wdrożenie" to nie tylko czynności, które winny być przeprowadzone przez ostatnie dwa lata okresu przygotowawczego (RODO wprowadzono w 2016 r., jednak rozpocznie być stosowane od 25 maja 2018 r.). "Wdrożenie" to nieustanna aktualizacja, monitorowanie i przegląd systemu ochrony danych osobowych. Tego każdy przedsiębiorca musi nauczyć się sam! To zmiana podejścia do ochrony danych i do ochrony prywatności. Cała firma musi mieć tego świadomość!


Co musisz zrobić żeby poprawnie przygotować swoją firmę/organizację do RODO?

 

 

 

 

 

 

 

 

Po zalogowaniu się otrzymasz dostęp do wielu innych materiałów - Sprawdź 

 

 


Umowa powierzenia zgodna z RODO

Z kim należy podpisać umowę powierzenia? 


(Umowa powierzenia RODO)

Z tego wpisu dowiesz się:

1. Kim jest administrator danych oraz kim jest podmiot przetwarzający?

2. Jak ustalić swoją rolę w procesie przetwarzania - czyli jak określić kto jest administratorem, a kto podmiotem przetwarzającym?

3. Z kim należy podpisać umowę powierzenia?

4. W jakiej formie należy podpisać umowę powierzenia?

 

Pojęcie administratora danych i jego relacja, w stosunku do z pojęcia podmiotu przetwarzającego odgrywają zasadniczą rolę w stosowaniu RODO, ponieważ określają, kto odpowiada za zgodność z zasadami ochrony danych, w jaki sposób osoby, których dane dotyczą, mogą wykonywać swoje prawa. W tym kontekście ważne jest również pojęcie współadministrowania. 

 

1. Kim jest administrator oraz kim jest podmiot przetwarzający?

 

Ostatnio bardzo często używane pojęcia „administratora” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Administrator musi wdrożyć odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO. Musi to też umieć wykazać.

Ponadto, jeżeli przetwarzanie ma być dokonywane w imieniu administratora, musi on wykorzystywać wyłącznie usługi takich podmiotów przetwarzających, którzy zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. Takie sposoby przetwarzania musi spełniać wymogi RODO, między innymi należy zadbać, aby możliwe było realizowanie praw podmiotów danych.

Pojawia się kolejne kluczowe pojęcie. Tzw. procesora.

Pełni on drugą możliwą rolę w procesach przetwarzania danych. Kim jest podmiot przetwarzający? „Podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Przetwarzanie w imieniu administratora będzie najczęściej odbywać się w momencie występowania tzw. Outsourcingu, czyli – procesu wydzielenia ze struktury organizacyjnej przedsiębiorstwa niektórych usług i przekazanie ich do wykonania innym podmiotom. Zauważ, że główną cechą procesora jest to, że nie przetwarza danych we własnych celach, a tylko wykonuje pewne czynności na polecenie administratora. .

 

2. Jak ustalić swoją rolę w procesie przetwarzania - czyli jak określić kto jest administratorem, a kto podmiotem przetwarzającym?

 

Pytanie to staje się szczególnie istotne, gdy w przetwarzanie danych osobowych zaangażowane są różne podmioty i konieczne jest określenie, który z nich jest administratorem danych (sam lub wraz z innymi), a które należy uważać za przetwarzających dane, o ile w ogóle występują.

Ustalenie tego kto jest administratorem danego procesu przetwarzania danych jest kluczowe z punktu widzenia określenia tego, kto odpowiada za zgodność z zasadami ochrony danych i wobec kogo osoby, których dane dotyczą mogą w praktyce wykonywać swoje prawa, w tym przede wszystkim uzyskać informacje na temat przetwarzania danych.

Czy jesteś administratorem?

Jeśli decydujesz o celach i sposobach przetwarzania danych osobowych to znaczy, że tak. Cele i sposoby odzwierciedlają pytania: „dlaczego” i „jak” prowadzi się pewne czynności przetwarzania danych. Należy dodać, że „Sposoby” nie odnoszą się tylko do technicznych sposobów przetwarzania danych osobowych, ale także do tego „jak” odbywa się przetwarzanie, co obejmuje zagadnienia „które dane się przetwarza”, „jakie osoby trzecie mają dostęp do tych danych”, „kiedy usuwa się dane" itd.

Przekładając to na prostszy język - jeżeli masz władzę nad zbiorami/zestawieniami/systemami danych - to znaczy, że jesteś ich administratorem.

Bycie administratorem danych wynika przede wszystkim z okoliczności faktycznej, w której podmiot podjął decyzję o przetwarzaniu danych osobowych dla własnych celów. Co do zasady nie można w umowie określić kto w danej realacji będzie administratorem, jeżeli w rzeczywistości cele i sposoby określane są przez podmiot, który nie został oznaczony jako administrator. 

Trzeba pamiętać też o tym, że prawo może wyraźnie określać kryteria uznania podmiotu - w określonej relacji - za administratora. 

Przykłady GR art.29:

Pracodawca w odniesieniu do danych dotyczących jego pracowników;

Wydawca w odniesieniu do danych dotyczących abonentów;

Stowarzyszenie w odniesieniu do danych dotyczących jego członków lub osób wspierających.

Przedsiębiorstwo ABC zawiera umowy z różnymi organizacjami w celu prowadzenia kampanii marketingu mailowego i prowadzenia listy płac. Wydaje jasne instrukcje (jakie materiały marketingowe wysyłać i do kogo, komu płacić, jakie kwoty, do kiedy itd.). Chociaż organizacjom przysługuje pewna swoboda (w tym w kwestii, jakie oprogramowanie stosować), ich zadania są dość jasno i ściśle określone, i mimo że firma mailingowa może udzielać porad (np. odradzać wysyłanie przesyłek reklamowych w sierpniu), organizacje są zobowiązane postępować zgodnie z instrukcjami ABC. Ponadto tylko jeden podmiot, przedsiębiorstwo ABC, jest uprawniony do korzystania z przetwarzanych danych – wszystkie inne podmioty muszą opierać się na podstawie prawnej przedsiębiorstwa ABC w przypadku zakwestionowania ich zdolności prawnej do przetwarzania danych. W tym przypadku jasne jest, że przedsiębiorstwo ABC jest administratorem danych, a każdą z odrębnych organizacji można uznać za przetwarzający w odniesieniu do konkretnego przetwarzania danych prowadzonego w jego imieniu.

Przedsiębiorstwo MarketinZ świadczy usługi z zakresu reklamy promocyjnej i marketingu bezpośredniego dla różnych firm. Przedsiębiorstwo GoodProductZ zawiera umowę z MarketinZ, zgodnie z którą przedsiębiorstwo MarketinZ świadczy usługi reklamy komercyjnej dla klientów GoodProductZ i jest nazywane przetwarzającym dane. MarketinZ postanawia jednak wykorzystać bazę danych klientów GoodProductZ również w celu promowania produktów innych klientów. Decyzja, aby dołączyć dodatkowy cel do celu, w którym przekazano dane osobowe, zmienia MarketinZ w administratora danych dla celów danej operacji przetwarzania.

Właściciel budynku zawiera umowę z firmą ochroniarską, w wyniku której firma instaluje kamery w różnych częściach budynku w imieniu administratora danych. Cele nadzoru wideo oraz sposób, w jaki gromadzi się i przechowuje obrazy, są określane wyłącznie przez właściciela budynku, którego z tego względu należy uznać za jedynego administratora danych w odniesieniu do tej operacji przetwarzania danych.

Przedsiębiorstwo Headhunterz Ltd pomaga Enterprize Inc w rekrutacji nowych pracowników. Umowa wyraźnie stanowi, że „Headhunterz Ltd działa w imieniu Enterprize i że przy przetwarzaniu danych osobowych działa jako przetwarzający. Enterprize jest „jedynym administratorem danych”. Sytuacja Headhunterz Ltd nie jest jednak jednoznaczna: z jednej strony pełni rolę administratora danych w stosunku do osób poszukujących pracy, z drugiej strony zakłada, że jest przetwarzającym, działającym w imieniu administratorów danych, takich jak Enterprize Inc i innych przedsiębiorstw poszukujących pracowników za jego pośrednictwem. Ponadto Headhunterz – wraz z jego słynną usługą dodaną „globalnego dopasowania” − szuka odpowiednich kandydatów zarówno wśród CV otrzymywanych bezpośrednio od Enterprize, jak i wśród tych, które już posiada w swojej obszernej bazie danych. Dzięki temu, Headhunterz, które zgodnie z umową otrzymuje wynagrodzenie tylko za faktycznie podpisane umowy, zwiększa dopasowanie ofert pracy do osób poszukujących pracy, zwiększając tym samym swoje dochody. Na podstawie powyższych informacji można stwierdzić, że mimo przypisanej mu roli w umowie Headhunterz Ltd należy uznać za administratora danych, który administruje wspólnie z Enterprize Inc przynajmniej tymi grupami operacji, które odnoszą się do rekrutacji Enterprize.

Biuro podróży przesyła dane osobowe swoich klientów do linii lotniczych i sieci hoteli, w celu rezerwacji pakietów turystycznych. Linia lotnicza i hotel potwierdzają dostępność żądanych miejsc. Biuro podróży wystawia dokumenty i potwierdzenia dla swoich klientów. W tym przypadku, biuro podróży, linia lotnicza i hotel będą trzema odrębnymi administratorami danych, z których każdy podlega obowiązkom ochrony danych w odniesieniu do przetwarzania danych osobowych we własnym zakresie.

Portale administracji elektronicznej działają jako pośrednicy pomiędzy obywatelami a jednostkami administracji publicznej: portal przekazuje wnioski obywateli i przechowuje dokumenty jednostki administracji publicznej do chwili wycofania ich przez obywateli. Każda jednostka administracji publicznej pozostaje administratorem danych przetwarzanych do jej własnych celów. Niemniej jednak sam portal również można uznać za administratora danych. Przetwarza on bowiem (tj. gromadzi i przekazuje właściwej jednostce) wnioski obywateli oraz publiczne dokumenty (tj. przechowuje je i reguluje do nich dostęp, jak pobieranie ich przez obywateli) do innych celów (ułatwienie usług administracji elektronicznej) niż cele, dla których dane były początkowo przetwarzane przez każdą jednostkę administracji publicznej. Powyżsi administratorzy danych, obok innych obowiązków, będą musieli dopilnować, aby system przekazywania danych osobowych od użytkownika do systemu administracji publicznej był bezpieczny, ponieważ w skali makro to przekazywanie danych jest zasadniczym elementem grupy operacji przetwarzania danych przeprowadzonych w ramach portalu.

Dostawcy usługi portalu społecznościowego zapewniają platformy komunikacji online, które umożliwiają osobom publikowanie informacji i wymienianie ich z innymi użytkownikami. Powyżsi dostawcy usług są administratorami danych, ponieważ określają zarówno cele, jak i sposoby przetwarzania takich informacji. Użytkownicy takich portali, zamieszczając dane osobowe również stron trzecich, byliby uznani za administratorów danych, pod warunkiem że ich działania nie są objęte tzw. „wyłączeniem do celów domowych”.

 

 

Po zalogowaniu się otrzymasz dostęp wzoru umowy powierzenia oraz fragmentu szkolenia dot. zagadnienia umowy

 

cookie

Wykorzystujemy informacje odczytywane m.in za pomocą plików cookies. Używamy ich w celach reklamowych, statystycznych oraz w celu dostosowania serwisu do indywidualnych potrzeb użytkowników. Jeśli to akceptujesz, przejdź do serwisu. Jeżeli nie, prosimy zmień ustawienia swojej przeglądarki tak, aby nasz serwis wiedział, że nie życzysz sobie tego typu praktyk. Pamiętaj, że w każdej chwili możesz dokonać zmiany ustawień. Więcej informacji znajdziesz w sekcji polityka prywatności. 

W ramach Serwisu wykorzystujemy narzędzia analityczne: Google Analytics i Facebook Piksel. 

Sprawdź zasady przetwarzania danych na naszym portalu, znajdujące się pod linkiem: Zasady przetwarzania danych.

Znajdziesz tam mechanizm, dzięki któremu wyłączysz te rozwiązania.

Akceptuję