LexDigital

Obowiązki administratorów danych wynikające z RODO

Kto przetwarza dane osobowe, ustala cele i sposoby przetwarzania danych osobowych, dobiera odpowiednie środki techniczne oraz dba o zachowanie ciągłej poufności osób, których dane dotyczą? Oczywiście to zadania administratora danych osobowych. Jak zapewnić bezpieczeństwo przetwarzania? Co jeśli w firmie występuje wysokie ryzyko naruszenia praw lub wolności osób których dane dotyczą? O tym w naszym nowym artykule.

Obowiązki administratorów danych wynikające z RODO

Dlaczego ten temat ma dla Ciebie znaczenie?

Za każdym razem, gdy prowadząc działalność lub działając z innych nieosobistych pobudek, przetwarzasz dane osobowe, robisz to jako administrator lub podmiot przetwarzający. Szczególnie rola administratora danych wiążą się z licznymi obowiązkami w RODO, z odpowiedzialnością przed organem nadzorczym ochrony danych, ale przede wszystkim przed właścicielami danych. Podkreślę jeszcze raz — administrator danych wcale nie musi być osobą prawną, często to osoba fizyczna o różnym statusie prawnym, ale co ważne — realizująca scenariusze postępowania z informacjami o osobach poza swoim prywatnym życiem.

Widzisz więc, że niezwykle ważne jest, aby mieć wiedzę jak:

  • zidentyfikować scenariusze, w których jesteś lub działasz w imieniu administratora danych osobowych;
  • zrozumieć obowiązki prawne, które mają zastosowanie do administratorów danych osobowych;
  • dopełniać tych obowiązków.

Czy Ty lub Twoja firma jesteście administratorem danych?

Pojęcie administratora danych osobowych

Administrator danych to osoba lub organizacja odpowiedzialna za nadzorowanie i wykorzystywanie danych osobowych gromadzonych i oraz przechowywanych w szafach i regałach, czy piwnicach archiwów zakładowych, na komputerach lub serwerach, a także w usługach chmury obliczeniowej w komercyjnych celach. Sposoby przetwarzania danych osobowych można by mnożyć, ale dla administratora najważniejszy jest fakt, iż między innymi ustala cele korzystania z takich informacji w oparciu o zasady i infrastrukturę gwarantującą maksymalne bezpieczeństwo tych danych.

Definicję administratora danych odnajdziesz w art. 4 RODO, ale same organy nadzoru nad przestrzeganiem tego rozporządzenia uznały temat identyfikacji za na tyle trudny, że Europejska Rada Ochrony Danych wydała Wytyczne 07/2020 dotyczące pojęć administratora i podmiotu przetwarzającego zawartych w RODO. Wersję 2.0 dokumentu przyjętego 7 lipca 2021 r. odnajdziesz tutaj.

Poniżej krótki test. Im więcej odpowiedzi "tak", tym większe prawdopodobieństwo, że jesteś administratorem danych osobowych. Większość odpowiedzi "nie" wskazuje, że prawdopodobnie działasz jako podmiot przetwarzający, ale o tej roli przeczytasz więcej w innym naszym artykule. Jeśli odpowiedziałeś "tak" na drugie pytanie, jesteś administratorem danych bezwzględnie!

  1. Czy podjąłeś inicjatywę rozpoczęcia gromadzenia lub przetwarzania danych osobowych w jakikolwiek sposób?
  2. Czy zdecydowałeś o celu przetwarzania tych informacji?
  3. Czy zdecydowałeś, jakie rodzaje danych osobowych mają być gromadzone i jakich grup osób [kategorii] ?
  4. Jeśli podjąłeś współpracę z innym profesjonalnym podmiotem przetwarzającym dane osobowe, to czy jesteś tą stroną umowy, która ustaliła koncepcje usługi i głównie korzysta z wyników przetwarzania?
  5. Czy masz bezpośrednią relację z osobami, których dane dotyczą np. umowa o pracę, umowa zlecenie, B2B, kontrakt managerski?

matrix, network, data exchange

Podstawowe obowiązki administratora danych osobowych — czyli słowo o wolności osób fizycznych ?

Jeśli już doszedłeś do wniosku, iż Ty lub organizacja, jaką reprezentujesz, jest administratorem danych osobowych. To trzeba postawić kolejne pytanie. Na co zwrócić uwagę?

Art. 24 RODO podaje nam kilka średnio klarownych sformułowań jak to "Stosowanie zatwierdzonych kodeksów postępowania, o których mowa wart. 40, lub zatwierdzonego mechanizmu certyfikacji, o którym mowa wart. 42, może być wykorzystane jako element dla stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków." Jednak co powinno się znaleźć w centrum troski?

Zarządzanie danymi osobowymi, które uwzględnia poniższe wskazówki. Przeglądaj wszystkie swoje aktywności związane z przetwarzaniem danych osobowych, by zidentyfikować osoby, których dane przetwarzasz i czynności przetwarzania danych osobowych, których potrzebujesz do ciągłego zapewnienia poufności.

  1. Oceń skutki takiego przetwarzania dla oraz ryzyko naruszenia praw lub wolności osób fizycznych, zinwentaryzuj dane — na pewno dojdziesz do wniosku, że nie potrzebujesz ich tak wiele lub na tak długo, więc już na tym etapie zminimalizuj ich zakres i czas przetwarzania, sprawdź i stosuj podstawowe zasady przetwarzania danych osobowych, o których mowa w art. 5 RODO.
  2. Identyfikuj, w odniesieniu do każdej czynności przetwarzania danych osobowych, w jakiej infrastrukturze i czyimi rękami przetwarzasz te dane, jeśli masz wsparcie w innych firmach, to zadbaj o kontrolę nad ryzykiem po stronie podmiotów trzecich m.in. poprzez stosowne umowy powierzenia przetwarzania danych, udostępniania danych, współadministrowania.
  3. Przyjmij strategię zarządzania ryzykiem i ograniczania ryzyka prowadzących do nieuprawnionego dostępu, wykorzystania lub ujawnienia danych osobowych, dla których jesteś administratorem. Oceń pod tym kątem środki techniczne i organizacyjne, jakimi dysponujesz, ale też systematycznie oceniaj skuteczność tych środków technicznych i organizacyjnych. Przykładem takim środków może być: pseudonimizacja, szyfrowanie danych osobowych.
  4. Zadbaj o dobre narzędzia do obsługi swoich RODO obowiązków w tym o narzędzia, które skutecznie i sprawnie pomogą Ci realizować prawa osób oraz takie, które wesprą Cię w obsłudze naruszenia w tym jego oceny, zgłaszania, ale przede wszystkim wyciągania wniosków, które przełożą się na poprawę skuteczności środków organizacyjno-technicznych, o których już wspomniałam. Nawet jeśli nie wynika to z obowiązków prawnych — rozważ zaangażowanie Inspektora Ochrony Danych.

Znasz metodę doskonalenia w zarządzaniu opisywaną jako Cykl Deminga, znaną również jako PDCA (Plan-Do-Check-Act)? Polega on na czterech etapach: Planowanie (Plan), gdzie określa się cele i metody osiągnięcia; Wykonanie (Do), gdzie wdraża się plan; Sprawdzenie (Check), gdzie monitoruje i ocenia się efekty; oraz Działanie (Act), gdzie wprowadza się poprawki i standaryzuje udoskonalenia. Dokładnie według tego schematu zarządzaj przetwarzaniem danych w swojej działalności.

źródło: ilustracja wygenerowana przez DALL-E OpenAI na podstawie opisu autorki artykułu

Dalsze obowiązki informacyjno-ewidencyjne administratorów danych osobowych

Administratorzy danych mają liczne informacyjno-ewidencyjne obowiązki wynikające z przepisów RODO, lecz jeśli dbasz o inwentaryzację danych i ich bezpieczeństwa na właściwym poziomie, to ich realizacja będzie prosta, a co najważniejsze odnosić się będzie do rzeczywistych danych osobowych w Twojej dyspozycji , nie będzie zestawem szablonów skopiowanych od konkurencji biznesowej z ich stron internetowych.

Szerzej przedstawione i opisane dokumenty, informacje dotyczące polityk ochrony danych, jakie wspierają wypełnianie obowiązków RODO, szablony ewidencji i niezbędnych rejestrów odnajdziesz w artykule Dokumentacja RODO, która pozwoli uniknąć Tobie kary.

O ryzyku finansowym dla nieprzekonanych

Administrator danych osobowych odgrywa kluczową rolę w ochronie prywatności i innych usług przetwarzania danych osobowych osób fizycznych. Ważne jest, aby administratorzy danych w pełni rozumieli swoje obowiązki i podejmowali niezbędne kroki w celu ich wypełnienia, a tam, gdzie argumenty związane dobrą reputacją nie przemawiają, warto by przemówiły twarde argumenty w postaci kar finansowych nakładanych przez Prezesa Urzędu Ochrony Danych — organ publiczny odpowiedzialny za kontrole m.in. administratorów danych osobowych.

źródło: ilustracja wygenerowana przez DALL-E OpenAI na podstawie opisu autorki artykułu

Nadzór nad podmiotami przetwarzającymi

DKN.5130.2215.2020 z dnia 19 stycznia 2022 r., kara pieniężna w wysokości 4 911 732 PLN

Dostawca energii, Fortum Marketing and Sales Polska S.A (Fortum), nie monitorował czynności przetwarzania danych przez podmiot przetwarzający, PIKA Spółka z o.o. (PIKA). Ten ostatni nie wdrożył odpowiednich środków bezpieczeństwa, a osoby trzecie uzyskały dostęp do danych osobowych 137 314 klientów. Według PUODO Fortum było zobowiązane — i nie zdołało — zastosować i zweryfikować środków bezpieczeństwa, które zostały zastosowane przez jego podmiot przetwarzający.

DKN.5130.1354.2020, 17 grudnia 2020 r., kara pieniężna w wysokości 1 069 850 PLN

ID Finance Sp. z o.o., firma pożyczkowa, nie weryfikowała regularnie metod wykrywania luk w zabezpieczeniach stosowanych przez podmiot przetwarzający dane. Z powodu luki w zabezpieczeniach doszło do kradzieży danych osobowych 140 699 klientów, a UODO nałożył karę w wysokości 1 069 850 PLN (około 250 000 EUR) za naruszenie art. 25 ust. 1 RODO.

Ocenianie skuteczności środków technicznych

DKN.5130.2559.2020 z dnia 9 grudnia 2021 r., kara pieniężna w wysokości 45 000 PLN

Morele.net zgłosiło do PUODO naruszenie ochrony danych osobowych. W tym przypadku osoba nieuprawniona uzyskała dostęp do bazy danych klientów niektórych sklepów internetowych administratora. Zdaniem PUODO spółka naruszyła art. 5 ust. 1 lit. f) i art. 25 ust. 1 RODO z powodu nieskutecznych procedur uwierzytelniania — opartych na prostych danych uwierzytelniających w postaci nazwy użytkownika i hasła — które nie zapobiegły nieautoryzowanemu dostępowi. Wybór odpowiedniego środka uwierzytelniania powinien być poprzedzony analizą ryzyka i podlegać ciągłym przeglądom, czego spółka nie przeprowadziła. Dla organu ochrony danych uchybienia spółki stanowiły naruszenie art. 25 ust. 1 i art. 32 RODO.

Organ ochrony danych wyjaśnił, że kontrola dostępu i bezpieczne uwierzytelnianie to podstawowe środki bezpieczeństwa, które administrator powinien był wdrożyć. Ponadto wskazał na odpowiednie wytyczne Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) i inne zasoby zalecające stosowanie dwuskładnikowego mechanizmu uwierzytelniania w systemach wymagających dostępu do danych osobowych.

Sprawdź nasz artykuł: Kara w wysokości 2,8 mln zł nałożona na sklep internetowy morele.net

Podsumowanie

Wiele organizacji decyduje się na samodzielne wdrożenie i utrzymanie zgodności z RODO. Efekty takich działań, by były skuteczne, pochłaniają wiele energii i czasu zaangażowanych w ten proces pracowników. Skorzystanie z usług profesjonalnych podmiotów zajmujących się wsparciem utrzymania systemów ochrony danych osobowych, świadczących usługi inspektora ochrony danych, może okazać się bardziej optymalne dla organizacji, zarówno pod względem nakładów, jak i osiągniętych celów.

Chcesz, aby Twoja firma działała zgodnie z prawem i obowiązującymi aktualnie przepisami? Potrzebujesz porady lub wsparcia z zakresu ochrony danych osobowych? Nasi eksperci służą Ci swoją pomocą! Napisz do nas maila: biuro@lexdigital.pl lub zadzwoń: +48 500 214 942.

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency > <img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk