LexDigital

Podsumowanie miesiąca RODO z LexDigital

Dzień Ochrony Danych Osobowych ustanowiony w 2006 roku dla upamiętnienia rocznicy otwarcia do podpisu Konwencji 108 Rady Europy – najstarszego aktu prawnego, regulującego zagadnienia ochrony danych osobowych, co roku skłania do refleksji nad zagadnieniami związanymi z jedną z najbardziej intymnych sfer naszego życia, jaką jest ochrona prywatności i danych osobowych.

Podsumowanie miesiąca RODO z LexDigital

28 stycznia po raz trzynasty obchodziliśmy Dzień Ochrony Danych Osobowych. W tym roku miał on szczególny wymiar, ponieważ był obchodzony w nowym systemie prawnym, jak również stał się on idealnym pretekstem do podsumowania zmian, jakie zaszły na gruncie europejskiego prawa związanego z ochroną danych osobowych.  

Druga połowa roku 2018 to czas wytężonych prac organów władzy państwowej i samorządowej, organizacji i stowarzyszeń pozarządowych, jak i podmiotów gospodarczych, które bez względu na rozmiar i charakter prowadzonej działalności, samodzielnie lub z pomocą konsultantów w pocie czoła starały się dostosować wewnętrzne zasady zarządzania do nowych przepisów. Efektem tego jest kilkaset odbytych konsultacji publicznych, szkoleń, konferencji i sympozjów naukowych oraz kilka zgłoszonych do oceny publicznych projektów branżowych kodeksów postępowania. Nie bez znaczenia pozostaje również wzrost świadomości obywateli na temat przysługujących im praw oraz zależności pomiędzy ich zachowaniem, a naruszaniem prywatności, o czym świadczy drastyczny wzrost liczby wniesionych od 25 maja 2018 r. skarg do Urzędu Ochrony Danych Osobowych. W konsekwencji nie sposób nie zgodzić się z Prezesem Urzędu Ochrony Danych Osobowych – dr Elżbietą Bielak-Jomaa, że po siedmiu miesiącach oficjalnego obowiązywania RODO nie należy mówić już tylko o rozporządzeniu i zmianach, które wprowadziło, ale o całym systemie ochrony danych osobowych. 

Wejście w życie RODO wywołało wśród społeczeństwa polskiego wiele kontrowersji i sprzecznych opinii. Temat ochrony danych osobowych zawładną sferą publiczną. Wydaje się, że przez siedem miesięcy nie było dnia, w którym w mediach nie pojawiłyby się informacje ściśle związane z RODO. Na każdym kroku – okładki gazet, tytuły artykułów czy doniesienia telewizyjne bombardowały nas kolejną dawką nowości i pomysłów z obszaru ochrony danych osobowych, często zakrawających o absurd, mających charakter czysto propagandowy bez uzasadnionych podstaw prawnych i merytorycznych.  

Spółka LexDigital wychodząc naprzeciw tym zjawiskom cyklicznie na swojej stronie internetowej publikuje materiały informacyjnej, które w przystępny sposób wprowadzają w najważniejsze zagadnienia wynikające z nowego systemu ochrony danych osobowych. Naszą ideą jest przekonanie czytelnika, że odpowiednie zrozumienie zasad RODO i wdrożenie ich w życie nie zabija biznesu, a wręcz przeciwnie – solidna troska o dane osobowe klientów, pracowników i kontrahentów staje się jednym z największych atrybutów konkurencyjności na rynku. Materiały, które Państwu udostępniamy zawsze odwołują się do konkretnych paragrafów RODO, bazują na informacjach udostępnianych przez UODO, Ministerstwo Cyfryzacji czy wybrane grupy robocze oraz są podparte merytoryczną wiedzą i doświadczeniem naszych specjalistów.  

Obchody Dnia Ochrony Danych Osobowych według LexDigital

Z okazji Dnia Ochrony Danych Osobowych zespół LexDigital specjalnie z myślą o Państwu przygotowała serię jedenastu niespełna 2-minutowych filmików edukacyjnych, które w zwięzłej formie prezentują najważniejsze z naszego punktu widzenia zagadnienia związane z wdrożeniem RODO.  

Nowe uregulowania w sposób istotny zmieniły podejście do ochrony danych osobowych nie tylko poprzez wzmocnienie praw obywateli i nałożenie nowych obowiązków na administratorów danych, ale także wprowadzając nowe instrumenty i rozwiązania systemowe. Ich zrozumienie i w konsekwencji poprawne stosowanie jest kluczowe dla zapewnienia odpowiedniego stopnia ochrony danych osobowych na co dzień. Mając powyższe na uwadze każdy z opublikowanych przez nas filmików to konkretna dawka informacji zawartych w pigułce, które mogą stanowić idealne uzupełnienie szkoleń pracowników oraz stać się drogowskazem podczas weryfikacji treści publikowanych przez media masowe. 

Cykl filmów instruktażowych 

Nasz cykl rozpoczęliśmy filmem, w który zaprezentowaliśmy najważniejsze kroki poprawnej implementacji wymagań rozporządzenia w organizacji. Jak każdy system zarządzania, system ochrony danych osobowych wymaga odpowiedniego podejścia w tym szczegółowego zaplanowania kolejnych działań, co pozwala nie tylko na bieżąco monitorować stan prac, ale gwarantuje, że wszystkie najważniejsze elementy zostały dostrzeżone. Wyróżnia się 8 głównych etapów wdrożenia RODO, w tym:

  1. Analiza stanu obecnego– czyli zdiagnozowanie, jak do tej pory dbaliśmy o dane osobowe naszych pracowników, klientów i kontrahentów, w jaki sposób je przechowywaliśmy, zabezpieczaliśmy i udostępnialiśmy. 
  2. Inwentaryzacja procesów przetwarzania– zdefiniowanie wszystkich procesów realizowanych w ramach prowadzonej działalności, w których dochodzi do przetwarzania danych osobowych, procesem takim może być np. rekrutacja pracownika, prowadzenie rozliczeń finansowo-księgowych czy wysyłanie informacji o charakterze marketingowym. 
  3. Analiza ryzyka– jako administrator danych jesteśmy zobowiązani do zidentyfikowania wszystkich zagrożeń jakie może nieść przetwarzanie danych osobowych i które mogą w istotny sposób ograniczać prawa i wolności osób, których dane dotyczą. Na tym etapie ważna jest również ocena stosowanych przez nas systemów informatycznych, w tym to w jakim stopniu narzędzia te pozwalają nam na wypełnienie praw osób, których dane dotyczą. 
  4. Legalizacja powierzenia oraz udostępnienia danych osobowych– z odpowiedzialności za dane osobowe, których jesteśmy administratorem nie zwalnia nas zlecenie wykonania część z operacji podmiotom zewnętrznym. Powierzając lub udostępniając dane musimy mieć gwarancję, że są one dobrze zabezpieczone. W tym celu możemy wykorzystać tzw. umowy powierzenia lub udostępnienia danych, w których jasno określimy zakres praw i obowiązków podmiotu świadczącego na naszą rzecz usługi. Na etapie wdrażania RODO ważne jest zidentyfikowanie wszystkich podmiotów, którym przekazujemy dane i zweryfikowanie postanowień zawartych z nimi umów. Pamiętajmy o umowach powierzenia zawsze, kiedy nawiązujemy nową współpracę.  
  5. Dobór zabezpieczeń: organizacyjnych, technicznych i osobowych– jest to nic innego jak wprowadzenie odpowiednich środków zabezpieczających, które będą minimalizować ryzyko naruszeń danych, np. szyfrowanie plików, zarządzanie uprawnieniami, wprowadzenie polityki haseł.
  6. 6.Opracowanie procedur i przygotowanie dokumentacji – RODO nie nakłada na administratora obowiązku przygotowania procedur, jednak praktyka wskazuje, że udokumentowane zasady postępowania ułatwiają codzienną pracę oraz mogą stanowić dowód w czasie kontroli. 
  7. 7.Opracowanie wymaganych rejestrów – zgodnie z wymaganiami RODO każdy z administratorów zobowiązany jest do prowadzenia Rejestru incydentów, dodatkowo zalecane jest prowadzenie Rejestru czynności przetwarzania oraz Rejestru kategorii czynności przetwarzania, które zawierają wszystkie najważniejsze informacje odnoszące się do konkretnego procesu, w tym kategorie osób, kategorie danych, podstawę prawną, stosowane zabezpieczenia.
  8. 8.Szkolenie pracowników – ostatni z kroków, ale jeden z najważniejszych. Uważa się bowiem, że człowiek jest kluczowym elementem z punktu widzenia efektywnego i skutecznego wdrożenia systemu ochrony danych osobowych.

I to właśnie ze szkoleniami i podnoszeniem świadomości pracowników związany jest drugi z naszych filmów, w którym znajdziecie Państwo 14 zasad bezpiecznego postępowania z danymi. Materiał w nim zaprezentowany stanowi idealną bazę do opracowania wytycznych dla codziennej pracy pracowników, przy czym chcielibyśmy zauważyć, że zasady te powinny być uznawane za dobrą praktykę i stosowane w każdej organizacji i procesie, bez względu czy są w nim przetwarzane dane osobowe. Wśród zasad zwrócono uwagę na postępowanie z dokumentami nieaktualnymi, sposób zabezpieczania korespondencji, bezpieczne drukowanie czy wytyczne dotyczące opuszczania stanowiska pracy. 

W materiale „Dokumentacja zgodna z RODO” (Kliknij, aby obejrzeć)obalamy mity dotyczące wprowadzenia dodatkowej biurokratyzacji w związku z nowymi uregulowaniami – RODO nie narzuca żadnych konkretnych form oraz ilości dokumentów, które powinna posiadać organizacja oraz daje dużą elastyczność w tym obszarze. Niemniej pamiętajmy, że jedną z elementarnych zasad RODO jest rozliczalność, czyli zdolność administratora do wykazania legalności przetwarzania, co z kolei wiąże się z koniecznością raportowania realizacji przepisów oraz przedstawiania dowodów świadczących o prawidłowym wykonaniu obowiązków na wypadek kontroli organu nadzorczego. Z doświadczenia wiemy, że opracowanie i utrzymywanie odpowiedniej dokumentacji jest w tym przypadku dużym ułatwieniem (więcej na temat zasady rozliczalności mogą dowiedzieć się Państwo z filmiku „Zasada rozliczalności w RODO – jak ją stosować?”(Kliknij, aby obejrzeć). Wśród dokumentów obowiązkowo utrzymywanych przez administratora powinien znaleźć się Rejestr incydentów oraz Raport z wykonania Oceny Skutków dla Ochrony Danych (DPIA). Naszym klientom rekomendujemy również przygotowanie rejestru czynności przetwarzania oraz procedur, które mają wspomóc administratora i jego pracowników w wykonywaniu codziennych obowiązków z poszanowaniem praw i wolności osób, których dane dotyczą. W przypadku wykorzystywania prawnie uzasadnionego interesu administratora jako podstawy prawnej przetwarzania warto także przeprowadzić i udokumentować test OPUI (ocena prawnie uzasadnionego interesu). 

Specjaliści LexDigital z autopsji wiedzą, jak wiele trudności przysparza osobom zajmującym się ochroną danych osobowych określenie czy dany przypadek naruszenia kwalifikuje się do zgłoszenia do organu nadzorczego oraz jak poprawnie wykonać ten proces. Jakie elementy powinno zawierać zgłoszenie, na co zwrócić uwagę podczas kompletowania materiału dowodowego, ile mamy czasu na zgłoszenie i kto powinien zgłosić taki wniosek? Na te inny pytania z zakresu zgłaszania incydentów zgodnie z art. 33 RODO znajdziecie Państwo odpowiedź w filmiku „Jak poprawnie zgłosić naruszenie do Urzędu Ochrony Danych Osobowych”(Kliknij, aby obejrzeć) oraz w artykule „Jak zgłosić naruszenie ochrony danych osobowych do Prezesa UODO?”(Kliknij, aby obejrzeć).

Nowością w zakresie uregulowań prawnych jest wprowadzenie prawa do bycia zapomnianym. Jest ono o tyle ważne, że administratorzy oraz podmioty przetwarzające dane na ich polecenie muszą zmodyfikować obecne metody postępowania z danymi, a największym problemem może być zapewnienie szybkiej i efektywnej odpowiedzi na zgłaszane żądania. Często barierą są ograniczenia techniczne stosowanych systemów. Artykuł 17 ust. 1 RODO wskazuje 6 warunków, w przypadku których administrator zobowiązany jest do usunięcia danych, w tym: cel, dla którego zostały zebrane dane został już osiągnięty, podmiot wycofał zgodę lub sprzeciwił się wobec przetwarzaniu danych, przetwarzanie danych jest niezgodne z prawem oraz w przypadku, kiedy dane zostały pozyskane od osób poniżej 16 roku życia w celu świadczenia wobec nich usług społeczeństwa informatycznego. 

Prawno do bycia zapomnianym – jeden z przywilejów osób, których dane przetwarzamy (Kliknij, aby obejrzeć)

Kolejnym istotnym i często pojawiającym się problem jest wybór odpowiedniej podstawy prawnej przetwarzania danych osobowych (art. 6 i art. 9 RODO). Podczas gdy większość wymienionych w art. 6 ust. 1 RODO podstaw nie budzi wątpliwości tak ostatni z punktów „przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora […]” wydaje się być bardzo ogólny i pozostawiać szerokie pole do jego interpretacji. Najogólniej uznaje się, że administrator może powołać się na tę podstawę prawną wówczas, gdy wykaże, że jego interes jest nadrzędny lub równy prawom osób, których dane przetwarza oraz nie można uznać innej podstawy prawnej za właściwą. Szerzej o możliwościach wykorzystania prawnie uzasadnionego interesu mogą Państwo dowiedzieć się z artykułu „Przetwarzanie danych na podstawie prawnie uzasadnionego interesu” (Kliknij, aby obejrzeć) oraz z filmiku „F czyli fajna podstawa przetwarzania danych osobowych”(Kliknij, aby obejrzeć). Pamiętaj jednak, że bez względu na to na jakiej podstawie przetwarzasz dane osobowe, koniecznie musisz o tym poinformować podmioty tych danych, czyli spełnić wobec nich obowiązek informacyjny – kolejny wymagany przez RODO element. Czym jest obowiązek informacyjny? W jakich przypadkach musimy go spełnić? Jak powinna być skonstruowana jego treść? – te i inne informacje zawarliśmy dla Państwa w jednym z filmów z naszego cyklu. 

Jakie inne obowiązki spoczywają na administratorze danych w związku z nowymi przepisami prawa? – bez wątpienia kluczową kwestią jest zapewnienie odpowiedniego poziomu bezpieczeństwa przetwarzanych danych. W dobie dynamicznego rozwoju outsourcingu usług powszechna stała się współpraca w zakresie wsparcia księgowego czy obsługi i serwisu systemów IT. W większości przypadku wiąże się to z koniecznością przekazywania naszym usługodawcom danych osobowych, którzy powinni zagwarantować nam, że dane są przetwarzane zgodnie z celem i odpowiednio chronione. Zabezpieczeniem w tym kontekście może być umowa powierzenia przetwarzania danych osobowych, która definiuje prawa, obowiązki i odpowiedzialności stron umowy. Mówiąc o przekazywaniu danych bezwzględnie należy zwrócić uwagę na formy komunikacji i wymiany danych pomiędzy podmiotami. Pewnie każdy z nas spotkał się z zagadnieniem szyfrowania plików. Brzmi strasznie, jednak to najtańszy i najprostszy ze sposobów zagwarantowania, że dane osobowe nie zostaną udostępnione osobom trzecim. Nie wiesz, jak szyfrować pliki, masz problem, aby wyegzekwować to od swoich podwładnych – zapoznaj się z naszym filmikiem „Szyfrowanie załączników w wiadomościach elektronicznych – nic prostszego”(Kliknij, aby obejrzeć), w którym w niespełna 2 minuty wyjaśniamy krok po kroku jak zaszyfrować plik i kiedy jest to bezwzględnie konieczne. 

Nieodzownym elementem bezpieczeństwa danych osobowych, na którym opiera się cały system jest przeprowadzenie rzetelnej analizy i oceny ryzyka. Jest to jeden z trudniejszych elementów wdrożenia RODO, jednak niezbędny dla administratora, który szacując ryzyko ustala potencjalne zagrożenia wynikające z przetwarzania danych oraz sposoby zabezpieczenia tych danych. Na cały proces składa się m.in. określenie rodzaju procesów, celów przetwarzania, systemów informatycznych oraz obecnie stosowanych zabezpieczeń, jak również wybór parametrów szacowania i oceny ryzyka i w konsekwencji zadecydowanie o środkach bezpieczeństwa, które będą minimalizowały zagrożenia. Pamiętaj jednak – ocena ryzyka jest procesem ciągłym, a nie jednorazowym – przeprowadzaj ją cyklicznie oraz zawsze, kiedy zajdą istotne zmiany w procesie przetwarzania danych osobowych (Kliknij, aby obejrzeć).

System ochrony danych osobowych, pomimo, że znany od lat wciąż budzi niechęć i sprawia wiele trudności licznym przedsiębiorstwom. Wyrażamy nadzieję, że przygotowany przez nas cykl filmików instruktażowych oraz regularnie udostępniane materiały informacyjne będą dla Państwa znaczącym udogodnieniem i pozwolą zrozumieć prawdziwy cel powstania RODO. 

W tym miejscy zachęcamy do śledzenia naszej strony internetowej oraz kontaktu osobistego – zespół LexDigital nie trywializuje żadnego z pytań i problemów, starając się merytorycznie wspierać swoich klientów. 

Zapraszamy na nasz kanał YouTube: Klik!

Polecane

Administrator systemów informatycznych. Rola w systemie

Administrator systemów informatycznych. Rola w systemie

W przepisach RODO próżno szukać regulacji dotyczącej Administratorów Systemów Informatycznych (ASI). Funkcja ASI występuje jednak w wielu przedsiębiorstwach i nie jest równoznaczna ani Administratorom Danych Osobowych ani Administratorom Bezpieczeństwa Informacji (czy też Inspektorom Ochrony Danych). Kim więc są ASI i jaką rolę pełnią w systemie ochrony danych osobowych?

Analiza i szacowanie ryzyka w RODO

Analiza i szacowanie ryzyka w RODO

Dyrektywa wymaga nie tylko stosowania procesu zarządzania ryzykiem zgodnego z RODO jako jednego z elementów ochrony danych osobowych, ale wprowadziła podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu.

Aplikacja dla Inspektora Ochrony Danych Osobowych

Aplikacja dla Inspektora Ochrony Danych Osobowych

Każdy kto podejmował się wdrożenie RODO w organizacji, nie zważywszy na jej skalę, wie jak dużym wyzwaniem jest zarządzanie dokumentacją. Wersjonowanie dokumentów, ich dystrybucja do wszystkich zainteresowanych, a także zbieranie informacji w efektywny sposób są niezwykle istotnym elementem sprawnie przeprowadzonego wdrożenia.

Popularne

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Rozpoczęciem procesu przystosowania, przez który musi przejść każda organizacja w celu uzyskania zgodności z wymogami rozporządzenia o ochronie danych osobowych jest audyt zgodności z RODO. Pozwoli on, dokładnie określić rodzaj i zakres przetwarzanych danych osobowych, zidentyfikować obszary wymagające zmiany lub poprawy oraz zaplanować działania wdrożeniowe.

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Chcesz wdrożyć RODO? Nie czekaj!

Wspieramy przedsiębiorców

Nasi konsultanci rozpoczęli wdrożenia RODO już wiele miesięcy temu. jako jedni z pierwszych opracowaliśmy procedury dotyczące nowych przepisów i wdrożyliśmy je w życie. Nowe przepisy, jeśli są rzeczywiście przestrzegane, w żaden sposób nie utrudniają prowadzenia działalności Twojej firmy.

Napisz do nas

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego IOD katarzyna.muszynska@lexdigital.pl spod adresu, którego zgoda dotyczy. Informujemy, że nie jesteście Państwo profilowani. Państwa dane nie będą przekazywane poza EOG ani udostępniane organizacjom międzynarodowym.

Zawiadamiamy, że administratorem Państwa danych osobowych podanych w powyższym formularzu jest LexDigital Sp. z o.o. z siedzibą w Poznaniu 60-351, na ulicy Zakręt 8. Wszelkie pytania i wątpliwości prosimy kierować do naszego IOD, Katarzyny Muszyńskiej na adres katarzyna.muszynska@lexdigital.pl. Państwa dane przetwarzane będą wyłącznie w celu udzielenia odpowiedzi na zapytanie zgodnie z zasadą, która głosi, że przetwarzanie danych jest zgodne z prawem jeżeli jest niezbędne w celu realizacji umowy lub przed jej zawarciem. W przypadku wyrażenia powyższej zgody, dane będą również wykorzystywane do przesyłania treści marketingowych. Pełne informacje o danych osobowych znajdziecie Państwo w naszej polityce prywatności.

Biofarm Fibar Group Apart Wykop.pl PhytoPharm Veolia Cuf-podatki Netguru GetHero Tesgas GPD Agency Golden Submarine Pixers

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.