LexDigital

Baza danych osobowych – wyzwanie stawiane każdemu administratorowi danych

Zarządzanie bazą, czyli zestawieniem danych przygotowanym według odpowiednich kryteriów, stanowi nie lada wyzwanie dla każdej organizacji. Dobór odpowiednich narzędzi oraz uzyskanie zgodności z prawem spędza sen z powiek niejednemu administrator danych.

Baza danych osobowych – wyzwanie stawiane każdemu administratorowi danych

W tym artykule wyjaśnimy: z jakimi najczęściej bazami danych mamy do czynienia w organizacji, w jaki sposób krok po kroku budować bazy danych osobowych, aby były one zgodna z prawem oraz wskażemy jak radzić sobie z trudnościami, które pojawiają się w czasie budowania i zarządzania bazą.

Bazy danych osobowych – charakterystyka

Baza danych osobowych to każde narzędzie, które z założenia służy utrwaleniu zebranych danych, ich porządkowaniu, organizowaniu czy zarządzaniu. Pierwsze bazy danych pojawiły się w latach sześćdziesiątych XX wieku i od tego czasu przeszły ewolucję od bardzo prostych baz hierarchicznych przez sieciowe, relacyjne i obiektowe aż w końcu po chmurowe i samoczynne bazy danych.

big data, database, to stock

Można by uznać, że tyle ile jest organizacji tyle różnych baz danych. Oczywiście pod kątem unikatowości danych, każdy taki zbiór jest inny. Natomiast cele ich tworzenia oraz problemy, które może napotkać administrator danych, są w wielu miejscach zbieżne. Wydaje się, że bazami danych, które mogą sprawić najwięcej trudności w zarządzaniu są:

  • baza potencjalnych klientów,
  • baza przygotowywana do celów marketingowych czy też
  • bazy danych zawierające szczególne kategorie danych (kiedyś dane wrażliwe).

Bez względu jednak na rodzaj bazy danych osobowych, oraz osoby, których dane dotyczą są to zbiory wymagające ochrony danych osobowych.

baza danych osobowych

Privacy by design w budowie bazy marketingowej

Projektowanie nowej bazy danych jest zawsze dużym przedsięwzięciem dla organizacji i wymaga zaangażowania wielu specjalistów z różnych obszarów działalności od biznesowych, przez działy techniczne, kończąc na działach legal czy compliance. A tak naprawdę te ostatnie powinny być włączone w proces projektowania bazy już w pierwszy etapach prac w myśl zasady privacy by design.

Privacy by design, dla przypomnienia, to projektowanie prywatności w pierwszy etapach projektu, którą to zasadę wprowadza art. 25 ogólnego rozporządzenia o ochronie danych (RODO). Z ww. artykułu wprost wynika, że administrator danych (przedsiębiorstwo przetwarzające dane, które wyznacza cel i sposoby tego przetwarzania (art. 4 ust. 7 RODO)) powinien tak zaplanować nowy projekt, aby ochrona danych osobowych stanowiła jego istotny i nieodzowny aspekt. Powinien on w szczególności uwzględniać przy tym adekwatność zakresu gromadzonych danych, zgodność prowadzonych działań z przepisami prawa oraz dobór narzędzi zapewniających odpowiedni poziom bezpieczeństwa, które równocześnie będą ułatwiały mu realizację zobowiązań wobec podmiotów danych (osoby, której dane dotyczą).

obowiązek informacyjny

Podejście privacy by design powinno być stosowane przy budowaniu każdego zbioru, w szczególności, kiedy ma być to rozbudowany zbiór, który jest zasilany danymi z różnych źródeł. Przykładem takiej bazy, którą obecnie posiada prawie każda organizacja, jest baza danych marketingowych.

Zbiór danych marketingowych to jedno z podstawowych, a zarazem najważniejszych narzędzi w całym arsenale marketingu. Dobrze zbudowany zbiór danych pozwala na zachowanie ciągłości procesów biznesowych, a w nie jednym przypadku również na rozwój i ekspansję organizacji, poprzez przesyłanie m.in. dobrze skonstruowanej informacji handlowej.

Podczas tworzenia ważne jest, aby poza wyborem odpowiedniej metody zdobywania danych osobowych, zadbać również o spełnienie wymogów formalnych związanych z poprawnością przetwarzania, w tym dobór podstawy prawnej, pozyskania stosownej zgody czy dopełnienia obowiązku informacyjnego względem klienta.

business, technology, city\

Etapy budowania bazy

Stosując się do poniższych warunków, możesz uzyskać gotową bazę danych, która zapewni realizację celów biznesowych i będzie w zgodzie z przepisami prawa o ochronie danych osobowych.

Ustal cel, w jakim budujesz bazę danych i określ zakres danych niezbędny do jego realizacji

Zastanów się, po co budujesz bazę i co chcesz osiągnąć. Czy będzie to baza wykorzystywana do prowadzenia działań marketingowych, a jednym z celów szczegółowych będzie przesyłanie informacji handlowej, która to baza danych oprócz obecnych klientów będzie zawierać dane potencjalnych klientów i innych subskrybentów, czy będzie to rejestr dostawców lub pracowników. Cel będzie wprost determinował zakres danych. Pamiętaj o zasadzie „minimalizacja danych”.

Zbadaj o podstawę prawną przetwarzania danych

Zasady legalności przetwarzania danych określają art. 6, 9 i 10 RODO, w którym wskazuje się następujące różne podstawy uprawniające do przetwarzania pozyskanych danych osobowych. Jedną z przesłanek do uprawniających do przetwarzania danych jest zgoda osoby, której one dotyczą (art. 6 ust. 1 lit. a) RODO).

Inną służącą pozyskaniu danych osobowych jest zobowiązanie do wykonania umowy, której stroną jest osoba, której dane dotyczą lub chęć podjęcia działań przed zawarciem umowy (art. 6 ust. 1 lit. b) RODO). Kolejne to konieczność wypełnienia obowiązku prawnego ciążącego na administratorze, (art. 6 ust. 1 lit. c) RODO) oraz ochrony żywotnych interesów osoby, której dane dotyczą (art. 6 ust. 1 lit. d) RODO). Ponadto dane mogą być przetwarzane w celu wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania przez administratora władzy publicznej (art. 6 ust. 1 lit. e) RODO).

Ostatnio z przesłanego jest usprawiedliwiony interes administratora, a konkretnie przetwarzanie służy wypełnieniu prawnie uzasadnionych interesów realizowanych przez administratora bądź stronę trzecią (art. 6 ust. 1 lit. f) RODO) z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osób, których dane dotyczą. Stosując prawnie uzasadniony interes, administrator musi być w stanie wykazać, że prawa i wolności osoby, której dane dotyczą, nie są naruszane, ani w żaden sposób ograniczone.

Zastanów się, z jakiego źródła będziesz pozyskiwał informacje zasilające Twoją bazę danych i zadbaj o spełnienie obowiązku informacyjnego oraz o podstawę prawną

Jeżeli informacje o osobie zbierasz bezpośrednio od osoby, której one dotyczą, zadbaj o spełnienie obowiązku informacyjnego już w momencie ich gromadzenia.

Jeżeli natomiast do realizacji celów wynikających z Twoich pierwotnych założeń pozyskujesz dane osób z innych źródeł (od innego podmiotu) np. dla celów działalności marketingowej pamiętaj, że jako nabywca bazy musisz spełnić obowiązek informacyjny w rozsądnym terminie po pozyskaniu danych osobowych (najpóźniej w ciągu miesiąca) lub najpóźniej przy pierwszym ujawnieniu, jeżeli planujesz ujawnić dane osobowe. W obowiązku informacyjnym wskaż między innymi swoją tożsamość, cel przetwarzania danych, sposób realizacji podstawowych praw oraz kategoriach odbiorców danych. Możesz wspomnieć o zakresie zbierania danych.

Pamiętaj, że z punktu widzenia RODO ważne jest aby poinformować osobę o źródle danych oraz prawie do wniesienia skargi do organu nadzorczego. Obowiązek informacyjny możesz spełnić za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej.

Pozyskaj zgodę (o ile jest to konieczne)

Jednym z przypadków, w których przetwarzanie danych jest zgodne z prawem jest sytuacja, w której osoby, których dotyczą dane wyraziły zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów.

Jeżeli swoje przetwarzanie opierasz na zgodzie osoby, której dane dotyczą zadbaj o to, aby osoby wyraziły zgodę świadomie np. niedopuszczalne są zgody domniemane lub ukryte w regulaminie usługi.

Pamiętaj że musisz być w stanie udowodnić, że ta konkretna osoba rzeczywiście jej udzieliła, w dodatku zgoda musi być wyrażona w sposób jednoznaczny i musi potwierdzać, że w tej konkretnej sytuacji dana osoba dobrowolnie i świadomie zgodziła się na przetwarzanie jej danych osobowych.

Ustal retencję danych

Określ czas, przez jaki będą one przechowywane w Twojej bazie danych, w myśl zasady „ograniczenie przechowywania”. Ten czas będzie wynikał z przepisów prawa, umowy zawartej z osobą, której dane dotyczą lub będzie zależał od Ciebie, jednak zawsze pamiętaj o rozsądnym terminie usuwania danych, aby być w zgodzie z przepisami.

Zadbaj o odpowiednie zabezpieczenie bazy, w celu ochrony danych osobowych

Wdróż środki, w celu ochrony danych osobowych tak, aby zapewniły one zachowanie poufność, integralność i dostępność danych. Możesz to uzyskać dzięki stosowaniu m.in. odpowiednich zabezpieczeń kryptograficznych, szyfrowania, rejestrowania logów, tworzenia systematycznych kopii zapasowych, zarządzanie dostępem i uprawnieniami.

Ustal sposób reakcji na żądanie osoby

Wprowadź o ile to możliwe mechanizmy, które pozwolą realizować podstawowe prawa osób, których dotyczą dane. Wśród nich pamiętaj o prawie dostępu do danych (treści swoich danych), ograniczeniu przetwarzania, sprostowaniu czy możliwości usunięcia danych.

Jeżeli przetwarzanie odbywa się na podstawie uzasadnionych interesów realizowanych przez Ciebie, jako administratora również poinformuj osobę, której dane dotyczą o prawie wniesienia sprzeciwu wobec przetwarzania danych.

Śledź najnowsze trendy w zabezpieczeniach i przepisach prawa

Bądź czujny i aktywny, aby Twoja baza była odpowiednio chroniona. Bezpieczeństwo bazy będzie reklamą dla Ciebie i Twojej organizacji.

Trudności, jakie może spotkać administrator podczas zarządzania bazą danych

Trudności, jakie może napotkać administrator podczas budowania i zarządzania bazą danych to wybór zakresu danych i odpowiedniej podstawy prawnej przetwarzania danych, która pozwoli na realizację założonego celu, określenie czasów retencji danych tak, aby jednocześnie uzyskać korzyści biznesowe i wciąż spełniać zasadę „ograniczenia przetwarzania”, zapewnienie adekwatnego do ryzyka poziomu bezpieczeństwa bazie oraz dostarczenie mechanizmów, które pozwolą na realizację praw osób bez uszczerbku na innych funkcjonalnościach bazy.

Te typowe problemy potęgują się, gdy dane z jednego zbioru danych służą większej liczbie określonych celów. Na przykład: w jednej bazie przechowywane są dane zarówno potencjalnych klientów, jak i klientów, którzy zawarli z nami umowę, czy też interesantów, których dane zebraliśmy dopiero w momencie zgłoszenia skargi czy reklamacji.

Trudność polega głównie na tym, że każdy z celów przetwarzania danych osobowych wymaga innego zakresu danych do ich realizacji, posiada także inne podstawy prawne, inne okresy przechowywania danych. To także różnice w wewnętrznej organizacji bezpieczeństwa jak chociażby inne osoby upoważnione do dostępu do danych.

Podsumowanie

Realizacja zasad opisanych powyżej (w szczególności działań służących ochronie danych osobowych) w ramach jednej bazy danych jest niezwykle trudna, jednak jeżeli zaangażujemy wcześniej wspomniany zespół specjalistów z różnych dziedzin i podejdziemy do bazy danych w sposób holistyczny z uwzględnieniem zasady privacy by design, możemy je ominąć lub zminimalizować. Podstawą jest także dobór odpowiednich narzędzi, które wspomogą nasze prace, w tym m.in. pozwolą na katalogowanie danych i przypisywanie ich konkretnym celom przetwarzania.

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency >
<img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk