LexDigital

Przetwarzanie danych osobowych w projektach IT

Przetwarzanie danych osobowych to bardzo pojemna definicja. Niezbędne jest aby zrozumieć, w których przypadkach mówimy o przetwarzaniu danych osobowych, aby zagwarantować tej czynności przetwarzania odpowiedni poziom bezpieczeństwa. Przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych od momentu ich pozyskania aż do momentu ich usunięcia czy zniszczenia.

Przetwarzanie danych osobowych w projektach IT

Czym jest przetwarzanie danych?

Zgodnie z RODO są to następujące procesy:

  • zbieranie,
  • utrwalanie,
  • organizowanie,
  • porządkowanie,
  • przechowywanie,
  • adaptowanie lub modyfikowanie,
  • pobieranie,
  • przeglądanie,
  • wykorzystywanie,
  • ujawnianie poprzez przesłanie,
  • rozpowszechnianie lub innego rodzaju udostępnianie,
  • dopasowywanie lub łączenie,
  • ograniczanie,
  • usuwanie i niszczenie.


Czy przechowywanie danych osobowych w archiwum biurowym lub przeglądanie danych na monitorze komputera będziemy nazywać przetwarzaniem danych osobowych?

Tak - w ramach tych czynności dochodzi do przetwarzania danych osobowych i należy odpowiednio zaprojektować i wdrożyć środki bezpieczeństwa np. w archiwum odpowiednia kontrola dostępu, lista osób odwiedzających, odpowiednie systemy monitorujące warunki środowiskowe, a w przypadku monitorów komputera np. filtry prywatyzujące ograniczające wgląd osób nieuprawnionych.

Przetwarzanie danych w projektach IT

Ta szeroka gamą operacji wykonywanych na danych osobowych powoduje, że w przypadku realizacji projektów IT dochodzi w zasadzie to każdej z tych czynności.

Zawsze wtedy, gdy przetwarzamy dane osobowe konieczne jest objęcie ich odpowiednim poziomem ochrony prywatności osoby której dane dotyczą. W projektach IT wykorzystujemy zasadę Privacy by design, która stała się wymaganiem prawnym w momencie rozpoczęcia stosowania rodo.

Uwaga: Privacy by design to nie tylko dobra praktyka, ale od maja 2018 roku, to przede wszystkim prawnie ciążący obowiązek zdefiniowany w RODO i ustawie o ochronie danych osobowych, który dotyczy podmiotów zarówno ze sfery publicznej, jak i prywatnej.

matrix, data, network

Projektowanie nowych procesów przetwarzania danych osobowych zgodnie z zasadą Privacy by design

Privacy by design, czyli ochrona danych osobowych w fazie projektowania to zasada, w myśl której na etapie planowania, zmiany, budowania, rozwoju min.:

▪procesów,

usług,

▪serwisu,

▪współpracy z nowymi partnerami,

▪stron internetowych (np. wprowadzenie nowych funkcjonalności na stronie),  

należy mieć na względzie konieczność zapewnienia odpowiedniej ochrony danych osobowych i prywatności osób fizycznych.

Privacy by design – to część składowa każdego projektu zakładającego przetwarzanie danych osobowych, w tym również projektu IT.

Zgodnie z art. 25 administrator danych osobowych, powinien tak zaplanować projekt, aby ochrona danych osobowych stanowiła jego istotny aspekt. W RODO odnajdujemy zapisy o obowiązkach Administratora danych osobowych:

Administrator powinien uwzględnić „stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia”.

Artykuł 25 ust. 1 RODO wskazuje przykładowe środki techniczne i organizacyjne, jakie może zastosować administrator danych osobowych i są to w szczególności pseudonimująca i minimalizacja danych. Do środków technicznych można zaliczyć również wszystkie działania dotyczące zabezpieczeń, w tym np. alarmy przeciwwłamaniowe, natomiast przykładem zastosowania środka organizacyjnego będzie np. opracowanie i wdrożenie określonej procedury.

window, hand, magnifying glass

Przetwarzanie danych osobowych w projektach IT w praktyce

W praktyce – należy tak podchodzić do zmian i tak projektować rozwiązania aby:

▪zakres danych był adekwatny do celu przetwarzania - czy projekt IT nie zakłada gromadzenia zbyt szerokiego zakresu danych osobowych (zasada minimalizacji)?

▪podejmowane działania były zgodne z przepisami prawa - czy projekt IT zakłada oparcie przetwarzania danych osobowych na podstawie czynności przed zawarciem umowy, czy może w oparciu o zgodę, którą wyraziła osoba której dane dotyczą?

▪wykorzystywane narzędzia ułatwiały realizację zobowiązań Spółki jako administratora danych - czy projekt IT posiadana udokumentowane dowody pozwalające na wykazanie rozliczalności przed organem nadzorczym np. notatki ze spotkań zespołu projektowego, specyfikacje funkcjonalną produktu IT?

Etapy przetwarzania danych w projektach IT zgodnie z zasadą Privacy by design

Ocena ryzyka – określenie jakim ryzykiem obarczone będzie przetwarzanie danych w procesie przy wykorzystaniu określonych narzędzi i technologii

Zaplanowanie zabezpieczeń – wybór środków bezpieczeństwa adekwatnych do ryzyka oraz zakresu i celu przetwarzania danych

Monitorowanie rozwiązań – weryfikacja czy stosowane rozwiązania odpowiadają zmianom zachodzącym w otoczeniu przedsiębiorstwa

Ważne: Ochrona danych osobowych w projektach IT nie kończy się na etapie zaprojektowania rozwiązania. Konieczne jest monitorowanie wdrożonych rozwiązań w całym cyklu życia projektu IT.

Kary Urzędu Ochrony Danych Osobowych

3 mln zł za nieodpowiednie zabezpieczenie baz danych klientów, stosowanie nieadekwatnych środków uwierzytelniania użytkowników oraz brak podstaw przetwarzania (zgód)

55,75 tys. zł za upublicznienie zbyt szerokiego zakresu danych

1 mln zł za brak informacji kierowanych bezpośrednio do osób o sposobach i celach przetwarzania ich danych osobowych

Polecane

System zarządzania bezpieczeństwem informacji

System zarządzania bezpieczeństwem informacji

Czym jest system zarządzania bezpieczeństwem informacji? Dlaczego informacja jest tak cennym aktywem dla każdej organizacji? Czy norma ISO 27001 jest trudna do wdrożenia? Czy korzyści z posiadania certyfikatu ISO 27001 będą adekwatne do pracy włożonej we wdrożenie systemu bezpieczeństwa informacji?

Przetwarzanie danych osobowych w projektach IT

Przetwarzanie danych osobowych w projektach IT

Przetwarzanie danych osobowych to bardzo pojemna definicja. Niezbędne jest aby zrozumieć, w których przypadkach mówimy o przetwarzaniu danych osobowych, aby zagwarantować tej czynności przetwarzania odpowiedni poziom bezpieczeństwa. Przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych od momentu ich pozyskania aż do momentu ich usunięcia czy zniszczenia.

Komu można udostępnić nagranie z monitoringu?

Komu można udostępnić nagranie z monitoringu?

Z monitoringiem wizyjnym spotykamy się na co dzień. Czy to w pracy, centrach handlowych i na parkingach, czy na ulicach. Przekraczając granice każdego większego miasta widzimy tabliczki informujące "miasto monitorowane", a na niektórych budynkach zauważamy już prywatne systemy nadzoru. Ale czy każdy może uzyskać dostęp do tych kamer i komu możemy udostępnić nagranie?

Popularne

Wdrożenie ISO

Wdrożenie ISO

Uzyskanie certyfikatu zgodności z wytycznymi międzynarodowych norm ISO 9001, ISO/IEC 27001 czy ISO 22301 jest dowodem stosowania przez wybraną organizację wysokich standardów zarządzania oraz troski o bezpieczeństwo informacji czy ochronę danych. Pozwala m.in. na efektywne wykorzystywanie zasobów, wyeliminowanie lub ograniczanie sytuacji kryzysowych, optymalizację przebiegu procesów, umacnianie kontaktów z klientami, czy podnoszenie jakości świadczonych usług i produkowanych wyrobów.

Kontakt z UODO

Kontakt z UODO

W każdej organizacji przetwarzającej znaczące ilości danych osobowych kontakt z organem nadzorczym jest nieunikniony. Utrzymywanie odpowiednich relacji, wysokiego poziomu merytorycznego korespondencji oraz spełnianie wymogów proceduralnych ma bezpośredni wpływ na wynik spraw i postępowań. Profesjonalna komunikacja może często skrócić czas potrzebny na podjęcie decyzji przez Urząd, pomaga uchronić się od kar i problemów prawnych.

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency >
<img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk