LexDigital

Podsumowanie miesiąca RODO z LexDigital

Dzień Ochrony Danych Osobowych ustanowiony w 2006 roku dla upamiętnienia rocznicy otwarcia do podpisu Konwencji 108 Rady Europy – najstarszego aktu prawnego, regulującego zagadnienia ochrony danych osobowych, co roku skłania do refleksji nad zagadnieniami związanymi z jedną z najbardziej intymnych sfer naszego życia, jaką jest ochrona prywatności i danych osobowych.

Podsumowanie miesiąca RODO z LexDigital

28 stycznia po raz trzynasty obchodziliśmy Dzień Ochrony Danych Osobowych. W tym roku miał on szczególny wymiar, ponieważ był obchodzony w nowym systemie prawnym, jak również stał się on idealnym pretekstem do podsumowania zmian, jakie zaszły na gruncie europejskiego prawa związanego z ochroną danych osobowych.  

Druga połowa roku 2018 to czas wytężonych prac organów władzy państwowej i samorządowej, organizacji i stowarzyszeń pozarządowych, jak i podmiotów gospodarczych, które bez względu na rozmiar i charakter prowadzonej działalności, samodzielnie lub z pomocą konsultantów w pocie czoła starały się dostosować wewnętrzne zasady zarządzania do nowych przepisów. Efektem tego jest kilkaset odbytych konsultacji publicznych, szkoleń, konferencji i sympozjów naukowych oraz kilka zgłoszonych do oceny publicznych projektów branżowych kodeksów postępowania. Nie bez znaczenia pozostaje również wzrost świadomości obywateli na temat przysługujących im praw oraz zależności pomiędzy ich zachowaniem, a naruszaniem prywatności, o czym świadczy drastyczny wzrost liczby wniesionych od 25 maja 2018 r. skarg do Urzędu Ochrony Danych Osobowych. W konsekwencji nie sposób nie zgodzić się z Prezesem Urzędu Ochrony Danych Osobowych – dr Elżbietą Bielak-Jomaa, że po siedmiu miesiącach oficjalnego obowiązywania RODO nie należy mówić już tylko o rozporządzeniu i zmianach, które wprowadziło, ale o całym systemie ochrony danych osobowych. 

RODO. GDPR, ochrona danych

Wejście w życie RODO wywołało wśród społeczeństwa polskiego wiele kontrowersji i sprzecznych opinii. Temat ochrony danych osobowych zawładną sferą publiczną. Wydaje się, że przez siedem miesięcy nie było dnia, w którym w mediach nie pojawiłyby się informacje ściśle związane z RODO. Na każdym kroku – okładki gazet, tytuły artykułów czy doniesienia telewizyjne bombardowały nas kolejną dawką nowości i pomysłów z obszaru ochrony danych osobowych, często zakrawających o absurd, mających charakter czysto propagandowy bez uzasadnionych podstaw prawnych i merytorycznych.  

Spółka LexDigital wychodząc naprzeciw tym zjawiskom cyklicznie na swojej stronie internetowej publikuje materiały informacyjnej, które w przystępny sposób wprowadzają w najważniejsze zagadnienia wynikające z nowego systemu ochrony danych osobowych. Naszą ideą jest przekonanie czytelnika, że odpowiednie zrozumienie zasad RODO i wdrożenie ich w życie nie zabija biznesu, a wręcz przeciwnie – solidna troska o dane osobowe klientów, pracowników i kontrahentów staje się jednym z największych atrybutów konkurencyjności na rynku. Materiały, które Państwu udostępniamy zawsze odwołują się do konkretnych paragrafów RODO, bazują na informacjach udostępnianych przez UODO, Ministerstwo Cyfryzacji czy wybrane grupy robocze oraz są podparte merytoryczną wiedzą i doświadczeniem naszych specjalistów.  

Obchody Dnia Ochrony Danych Osobowych według LexDigital

Z okazji Dnia Ochrony Danych Osobowych zespół LexDigital specjalnie z myślą o Państwu przygotowała serię jedenastu niespełna 2-minutowych filmików edukacyjnych, które w zwięzłej formie prezentują najważniejsze z naszego punktu widzenia zagadnienia związane z wdrożeniem RODO.  

Nowe uregulowania w sposób istotny zmieniły podejście do ochrony danych osobowych nie tylko poprzez wzmocnienie praw obywateli i nałożenie nowych obowiązków na administratorów danych, ale także wprowadzając nowe instrumenty i rozwiązania systemowe. Ich zrozumienie i w konsekwencji poprawne stosowanie jest kluczowe dla zapewnienia odpowiedniego stopnia ochrony danych osobowych na co dzień. Mając powyższe na uwadze każdy z opublikowanych przez nas filmików to konkretna dawka informacji zawartych w pigułce, które mogą stanowić idealne uzupełnienie szkoleń pracowników oraz stać się drogowskazem podczas weryfikacji treści publikowanych przez media masowe. 

Dzień Bezpiecznego Internetu. Dowiedz się więcej

Cykl filmów instruktażowych 

Nasz cykl rozpoczęliśmy filmem, w który zaprezentowaliśmy najważniejsze kroki poprawnej implementacji wymagań rozporządzenia w organizacji. Jak każdy system zarządzania, system ochrony danych osobowych wymaga odpowiedniego podejścia w tym szczegółowego zaplanowania kolejnych działań, co pozwala nie tylko na bieżąco monitorować stan prac, ale gwarantuje, że wszystkie najważniejsze elementy zostały dostrzeżone. Wyróżnia się 8 głównych etapów wdrożenia RODO, w tym:

  1. Analiza stanu obecnego– czyli zdiagnozowanie, jak do tej pory dbaliśmy o dane osobowe naszych pracowników, klientów i kontrahentów, w jaki sposób je przechowywaliśmy, zabezpieczaliśmy i udostępnialiśmy. 
  2. Inwentaryzacja procesów przetwarzania– zdefiniowanie wszystkich procesów realizowanych w ramach prowadzonej działalności, w których dochodzi do przetwarzania danych osobowych, procesem takim może być np. rekrutacja pracownika, prowadzenie rozliczeń finansowo-księgowych czy wysyłanie informacji o charakterze marketingowym. 
  3. Analiza ryzyka– jako administrator danych jesteśmy zobowiązani do zidentyfikowania wszystkich zagrożeń jakie może nieść przetwarzanie danych osobowych i które mogą w istotny sposób ograniczać prawa i wolności osób, których dane dotyczą. Na tym etapie ważna jest również ocena stosowanych przez nas systemów informatycznych, w tym to w jakim stopniu narzędzia te pozwalają nam na wypełnienie praw osób, których dane dotyczą. 
  4. Legalizacja powierzenia oraz udostępnienia danych osobowych– z odpowiedzialności za dane osobowe, których jesteśmy administratorem nie zwalnia nas zlecenie wykonania część z operacji podmiotom zewnętrznym. Powierzając lub udostępniając dane musimy mieć gwarancję, że są one dobrze zabezpieczone. W tym celu możemy wykorzystać tzw. umowy powierzenia lub udostępnienia danych, w których jasno określimy zakres praw i obowiązków podmiotu świadczącego na naszą rzecz usługi. Na etapie wdrażania RODO ważne jest zidentyfikowanie wszystkich podmiotów, którym przekazujemy dane i zweryfikowanie postanowień zawartych z nimi umów. Pamiętajmy o umowach powierzenia zawsze, kiedy nawiązujemy nową współpracę.  
  5. Dobór zabezpieczeń: organizacyjnych, technicznych i osobowych– jest to nic innego jak wprowadzenie odpowiednich środków zabezpieczających, które będą minimalizować ryzyko naruszeń danych, np. szyfrowanie plików, zarządzanie uprawnieniami, wprowadzenie polityki haseł.
  6. 6.Opracowanie procedur i przygotowanie dokumentacji – RODO nie nakłada na administratora obowiązku przygotowania procedur, jednak praktyka wskazuje, że udokumentowane zasady postępowania ułatwiają codzienną pracę oraz mogą stanowić dowód w czasie kontroli. 
  7. 7.Opracowanie wymaganych rejestrów – zgodnie z wymaganiami RODO każdy z administratorów zobowiązany jest do prowadzenia Rejestru incydentów, dodatkowo zalecane jest prowadzenie Rejestru czynności przetwarzania oraz Rejestru kategorii czynności przetwarzania, które zawierają wszystkie najważniejsze informacje odnoszące się do konkretnego procesu, w tym kategorie osób, kategorie danych, podstawę prawną, stosowane zabezpieczenia.
  8. 8.Szkolenie pracowników – ostatni z kroków, ale jeden z najważniejszych. Uważa się bowiem, że człowiek jest kluczowym elementem z punktu widzenia efektywnego i skutecznego wdrożenia systemu ochrony danych osobowych.

I to właśnie ze szkoleniami i podnoszeniem świadomości pracowników związany jest drugi z naszych filmów, w którym znajdziecie Państwo 14 zasad bezpiecznego postępowania z danymi. Materiał w nim zaprezentowany stanowi idealną bazę do opracowania wytycznych dla codziennej pracy pracowników, przy czym chcielibyśmy zauważyć, że zasady te powinny być uznawane za dobrą praktykę i stosowane w każdej organizacji i procesie, bez względu czy są w nim przetwarzane dane osobowe. Wśród zasad zwrócono uwagę na postępowanie z dokumentami nieaktualnymi, sposób zabezpieczania korespondencji, bezpieczne drukowanie czy wytyczne dotyczące opuszczania stanowiska pracy. 

W materiale „Dokumentacja zgodna z RODO” (Kliknij, aby obejrzeć)obalamy mity dotyczące wprowadzenia dodatkowej biurokratyzacji w związku z nowymi uregulowaniami – RODO nie narzuca żadnych konkretnych form oraz ilości dokumentów, które powinna posiadać organizacja oraz daje dużą elastyczność w tym obszarze. Niemniej pamiętajmy, że jedną z elementarnych zasad RODO jest rozliczalność, czyli zdolność administratora do wykazania legalności przetwarzania, co z kolei wiąże się z koniecznością raportowania realizacji przepisów oraz przedstawiania dowodów świadczących o prawidłowym wykonaniu obowiązków na wypadek kontroli organu nadzorczego. Z doświadczenia wiemy, że opracowanie i utrzymywanie odpowiedniej dokumentacji jest w tym przypadku dużym ułatwieniem (więcej na temat zasady rozliczalności mogą dowiedzieć się Państwo z filmiku „Zasada rozliczalności w RODO – jak ją stosować?”(Kliknij, aby obejrzeć). Wśród dokumentów obowiązkowo utrzymywanych przez administratora powinien znaleźć się Rejestr incydentów oraz Raport z wykonania Oceny Skutków dla Ochrony Danych (DPIA). Naszym klientom rekomendujemy również przygotowanie rejestru czynności przetwarzania oraz procedur, które mają wspomóc administratora i jego pracowników w wykonywaniu codziennych obowiązków z poszanowaniem praw i wolności osób, których dane dotyczą. W przypadku wykorzystywania prawnie uzasadnionego interesu administratora jako podstawy prawnej przetwarzania warto także przeprowadzić i udokumentować test OPUI (ocena prawnie uzasadnionego interesu). 

Specjaliści LexDigital z autopsji wiedzą, jak wiele trudności przysparza osobom zajmującym się ochroną danych osobowych określenie czy dany przypadek naruszenia kwalifikuje się do zgłoszenia do organu nadzorczego oraz jak poprawnie wykonać ten proces. Jakie elementy powinno zawierać zgłoszenie, na co zwrócić uwagę podczas kompletowania materiału dowodowego, ile mamy czasu na zgłoszenie i kto powinien zgłosić taki wniosek? Na te inny pytania z zakresu zgłaszania incydentów zgodnie z art. 33 RODO znajdziecie Państwo odpowiedź w filmiku „Jak poprawnie zgłosić naruszenie do Urzędu Ochrony Danych Osobowych”(Kliknij, aby obejrzeć) oraz w artykule „Jak zgłosić naruszenie ochrony danych osobowych do Prezesa UODO?”(Kliknij, aby obejrzeć).

Nowością w zakresie uregulowań prawnych jest wprowadzenie prawa do bycia zapomnianym. Jest ono o tyle ważne, że administratorzy oraz podmioty przetwarzające dane na ich polecenie muszą zmodyfikować obecne metody postępowania z danymi, a największym problemem może być zapewnienie szybkiej i efektywnej odpowiedzi na zgłaszane żądania. Często barierą są ograniczenia techniczne stosowanych systemów. Artykuł 17 ust. 1 RODO wskazuje 6 warunków, w przypadku których administrator zobowiązany jest do usunięcia danych, w tym: cel, dla którego zostały zebrane dane został już osiągnięty, podmiot wycofał zgodę lub sprzeciwił się wobec przetwarzaniu danych, przetwarzanie danych jest niezgodne z prawem oraz w przypadku, kiedy dane zostały pozyskane od osób poniżej 16 roku życia w celu świadczenia wobec nich usług społeczeństwa informatycznego. 

Prawno do bycia zapomnianym – jeden z przywilejów osób, których dane przetwarzamy (Kliknij, aby obejrzeć)

Kolejnym istotnym i często pojawiającym się problem jest wybór odpowiedniej podstawy prawnej przetwarzania danych osobowych (art. 6 i art. 9 RODO). Podczas gdy większość wymienionych w art. 6 ust. 1 RODO podstaw nie budzi wątpliwości tak ostatni z punktów „przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora […]” wydaje się być bardzo ogólny i pozostawiać szerokie pole do jego interpretacji. Najogólniej uznaje się, że administrator może powołać się na tę podstawę prawną wówczas, gdy wykaże, że jego interes jest nadrzędny lub równy prawom osób, których dane przetwarza oraz nie można uznać innej podstawy prawnej za właściwą. Szerzej o możliwościach wykorzystania prawnie uzasadnionego interesu mogą Państwo dowiedzieć się z artykułu „Przetwarzanie danych na podstawie prawnie uzasadnionego interesu” (Kliknij, aby obejrzeć) oraz z filmiku „F czyli fajna podstawa przetwarzania danych osobowych”(Kliknij, aby obejrzeć). Pamiętaj jednak, że bez względu na to na jakiej podstawie przetwarzasz dane osobowe, koniecznie musisz o tym poinformować podmioty tych danych, czyli spełnić wobec nich obowiązek informacyjny – kolejny wymagany przez RODO element. Czym jest obowiązek informacyjny? W jakich przypadkach musimy go spełnić? Jak powinna być skonstruowana jego treść? – te i inne informacje zawarliśmy dla Państwa w jednym z filmów z naszego cyklu. 

Jakie inne obowiązki spoczywają na administratorze danych w związku z nowymi przepisami prawa? – bez wątpienia kluczową kwestią jest zapewnienie odpowiedniego poziomu bezpieczeństwa przetwarzanych danych. W dobie dynamicznego rozwoju outsourcingu usług powszechna stała się współpraca w zakresie wsparcia księgowego czy obsługi i serwisu systemów IT. W większości przypadku wiąże się to z koniecznością przekazywania naszym usługodawcom danych osobowych, którzy powinni zagwarantować nam, że dane są przetwarzane zgodnie z celem i odpowiednio chronione. Zabezpieczeniem w tym kontekście może być umowa powierzenia przetwarzania danych osobowych, która definiuje prawa, obowiązki i odpowiedzialności stron umowy. Mówiąc o przekazywaniu danych bezwzględnie należy zwrócić uwagę na formy komunikacji i wymiany danych pomiędzy podmiotami. Pewnie każdy z nas spotkał się z zagadnieniem szyfrowania plików. Brzmi strasznie, jednak to najtańszy i najprostszy ze sposobów zagwarantowania, że dane osobowe nie zostaną udostępnione osobom trzecim. Nie wiesz, jak szyfrować pliki, masz problem, aby wyegzekwować to od swoich podwładnych – zapoznaj się z naszym filmikiem „Szyfrowanie załączników w wiadomościach elektronicznych – nic prostszego”(Kliknij, aby obejrzeć), w którym w niespełna 2 minuty wyjaśniamy krok po kroku jak zaszyfrować plik i kiedy jest to bezwzględnie konieczne. 

Nieodzownym elementem bezpieczeństwa danych osobowych, na którym opiera się cały system jest przeprowadzenie rzetelnej analizy i oceny ryzyka. Jest to jeden z trudniejszych elementów wdrożenia RODO, jednak niezbędny dla administratora, który szacując ryzyko ustala potencjalne zagrożenia wynikające z przetwarzania danych oraz sposoby zabezpieczenia tych danych. Na cały proces składa się m.in. określenie rodzaju procesów, celów przetwarzania, systemów informatycznych oraz obecnie stosowanych zabezpieczeń, jak również wybór parametrów szacowania i oceny ryzyka i w konsekwencji zadecydowanie o środkach bezpieczeństwa, które będą minimalizowały zagrożenia. Pamiętaj jednak – ocena ryzyka jest procesem ciągłym, a nie jednorazowym – przeprowadzaj ją cyklicznie oraz zawsze, kiedy zajdą istotne zmiany w procesie przetwarzania danych osobowych (Kliknij, aby obejrzeć).

System ochrony danych osobowych, pomimo, że znany od lat wciąż budzi niechęć i sprawia wiele trudności licznym przedsiębiorstwom. Wyrażamy nadzieję, że przygotowany przez nas cykl filmików instruktażowych oraz regularnie udostępniane materiały informacyjne będą dla Państwa znaczącym udogodnieniem i pozwolą zrozumieć prawdziwy cel powstania RODO. 

W tym miejscy zachęcamy do śledzenia naszej strony internetowej oraz kontaktu osobistego – zespół LexDigital nie trywializuje żadnego z pytań i problemów, starając się merytorycznie wspierać swoich klientów. 

Zapraszamy na nasz kanał YouTube: Klik!

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency >
<img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk