Co to jest RODO?

RODO – Rozporządzenie o Ochronie Danych Osobowych,znane również jako General Data Protection Regulation (GDPR) – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz do uchylenia dyrektywy 95/46/WE). Jest to zestaw przepisów, które mówią przedsiębiorcom i konsumentom, do czego mają prawo w zakresie prywatnych informacji i jak należy się z nimi obchodzić.

Po co jest RODO?

Przepisy o danych osobowych są po to, aby chronić prywatność. Masz prawo używać swoich danych w dowolny sposób. Również dane innych osób, których nie używasz do celów służbowych czy zawodowych, nie są objęte przepisami. RODO zaczynamy stosować dopiero, gdy chodzi o przetwarzanie w celach zawodowych, służbowych, komercyjnych czy urzędowych.

RODO to Rozporządzenie Parlamentu Europejskiego i Rady – akt prawny Unii Europejskiej, który dla każdego kraju UE jest aktem wprost obowiązującym. Oznacza to, że w Polsce jest tak samo stosowany jak każda ustawa. RODO zastąpiło starą ustawę polską z 1997 r. o ochronie danych osobowych. W RODO są wypisane zasady postępowania z danymi, prawa i obowiązki „przetwarzających i przetwarzanych”, a nawet zasady nakładania kar finansowych za ewentualne uchybienia prawa. Tylko niektóre kwestie ustawodawca krajowy może teraz sam ustalić w swoich przepisach krajowych.

Dlatego w Polsce uchwalono nową ustawę o ochronie danych osobowych (z 10 maja 2018 r.). Nie znajdziemy tam jednak naszych praw i obowiązków, ani wiedzy o tym, jak organizować przetwarzanie danych – to wszystko jest już określone przez RODO. Dzięki temu wszystkie kraje UE muszą stosować te same zasady i środki ochrony danych osobowych.

Co to są dane osobowe?

Dane osobowe (art. 4 pkt. 1 RODO) oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak: imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Dane osobowe to wszystkie dane, które dotyczą konkretnej osoby fizycznej - od imienia i nazwiska, nr PESEL umieszczonego w dokumencie tożsamości, przez adres e-mail do danych umieszczonych na wizytówce. Danymi osobowymi może być także odcisk palca, adres IP, login do portalu internetowego czy numer telefonu.

Co to są szczególnie kategorie danych osobowych?

Szczególne kategorie danych osobowych to grupa danych sensytywnych (wrażliwych), które podlegają szczególnym zasadom przetwarzania i ochrony. Są to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane: genetyczne,  biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej. Przetwarzanie szczególnych kategorii danych osobowych jest zabronione, chyba, że m.in. osoba, której dane dotyczą wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych, przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw administratora danych osobowych wynikających z przepisów prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości, przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych.

Co to jest przetwarzanie danych osobowych?

Przetwarzanie danych osobowych to każda czynność, którą wykonujemy z wykorzystaniem danych osobowych, operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taka jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Kto to jest Administrator Danych Osobowych (ADO)?

Administrator Danych Osobowych to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Administratorem Danych Osobowych przetwarzanych przez TruckSystems.pl Sp. z o.o. z siedzibą w Rzeszowie 35-317 przy ul. Zakątkowa 10 jest Tomasz Kamiński email: service@etrucksystems.pl

Co to jest legalne przetwarzanie danych osobowych?

Legalne przetwarzanie danych osobowych oznacza, przetwarzanie danych osobowych w zgodności z przepisami prawa.
Aby przetwarzanie danych osobowych odbywało się w zgodzie z prawem powinna zostać spełniona jedna z poniższych przesłanek:

• osoba, której dane dotyczą wyraziła zgodę na przetwarzanie jej danych osobowych;
• przetwarzanie jest niezbędne do wykonania umowy lub czynności przed jej zawarciem;
• przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; 
• przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej.

Co to jest obowiązek informacyjny?

Spełnienie obowiązku informacyjnego jest podstawowym obowiązkiem wynikającym z RODO (art. 13 i art. 14 RODO). Wywiązane się z tego obowiązku zapewnia przejrzystość przetwarzania danych osobowych przez administratora, a podmiotowi danych osobowych możliwość sprawowania kontroli nad zakresem udostępnianych administratorowi danych i weryfikacji czy przetwarzane są one zgodnie z wymogami prawa.

Co zawierają klauzule informacyjne?

Klauzule informacyjne muszą zostać przygotowane w formie zrozumiałej, zwięzłej i przejrzystej. Zachodzi konieczność udzielenia wszystkich informacji przed rozpoczęciem przetwarzania danych (w przypadku danych uzyskanych w sposób niebezpośredni należy poinformować taką osobę w rozsądnym terminie, zależącym od okoliczności).

Podstawowe elementy klauzuli informacyjnej:

• informacje o tożsamości administratora danych,
• dane kontaktowe inspektora ochrony danych,
• wskazanie podstaw prawnych przetwarzania danych,
• cel przetwarzania danych,
• okres w jakim dane będą przechowywane (konkretny termin lub podstawę ustalenia czasu, gdy podanie konkretnej daty nie jest możliwe),
• informacje o prawach podmiotu (art. 13-21 RODO),
• informacje o prawie do wniesienia skargi do organu nadzorczego,
• informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu,
• informacje o zamiarze przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej (jeśli taki proceder będzie mieć miejsce).

Jakie prawa przysługują osobom, które udostępniają swoje dane osobowe?

Osoba, której dane dotyczą posiada prawo do:

• żądania dostępu do swoich danych (art. 15 RODO),
• sprostowania swoich danych osobowych (art. 16 RODO),
• usunięcia lub ograniczenia przetwarzania danych osobowych (art. 17 RODO i art. 18 RODO),
• wniesienia sprzeciwu wobec przetwarzania (art. 21 RODO)
• przenoszenia danych (art. 20 RODO),
• wyrażenia/odwołania zgody na przetwarzanie danych osobowych (art. 7 RODO). 

Administrator Danych Osobowych (ADO) zobowiązany jest do odniesienia się do ww. żądań właściciela danych, przy czym w praktyce ADO uwzględni je w kontekście przepisów prawnych (np. kodeksu pracy, regulaminu studiów), czyli ewentualnie innych podstaw prawnych dla przetwarzania tych danych.

Czym jest zgoda na przetwarzanie danych osobowych?

Zgoda na przetwarzanie danych osobowych jest to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych (art. 1 pkt. 11 RODO). Zgoda może przyjąć formę oświadczenia woli, wyrażonej w formie pisemnej lub elektronicznej np. klauzula zgody dołączona do kwestionariusza osobowego w formie papierowej, przy czym musi być jasno określony cel, w jakim dane są pozyskiwane i będą wykorzystywane.

Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być́ równie łatwe jak jej wyrażenie.

Co to jest upoważnienie do przetwarzania danych osobowych?

Upoważnienie do przetwarzania danych osobowych służy realizacji obowiązku rozliczalności wynikającego z RODO, tzn. TruckSystems.pl Sp. z o.o. musi wykazać, iż do przetwarzania danych osobowych zostały dopuszczone tylko osoby uprawnione. Upoważnienie jest także dokumentem, który ogranicza dostęp do zasobów danych przez osoby nieuprawnione.

Czym jest prawo do bycia zapomnianym?

RODO przyznaje osobom, których dane dotyczą prawo do usunięcia danych osobowych oraz bycia zapomnianym. W przypadku uzasadnionego zażądania usunięcia danych, administrator niezwłocznie musi podjąć stosowne kroki w tym kierunku. Jeśli dane, o których mowa zostały przekazane innym podmiotom, do zadań administratora należy również poinformowanie o żądaniu usunięcia danych również współadministratorów i procesorów.

Obowiązek usunięcia danych osobowych przez administratora jest wymagany w następujących przypadkach:

• dane osobowe nie są niezbędne do realizacji celów, do których je zebrano;
• podmiot danych wycofał zgodę i nie istnieje inna podstawa prawna dla przetwarzania tych danych;
• podmiot danych wniósł sprzeciw do dalszego przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania;
• dane osobowe były przetwarzane niezgodnie z prawem;
• dane osobowe muszą być usunięte w celu wywiązania się̨ z obowiązku prawnego przewidzianego w unijnym bądź krajowym przepisie prawnym (np. przepisach dotyczących niszczenia dokumentacji medycznej);
• dane zostały zebrane w celu świadczenia usług internetowych dziecku.

Co to jest naruszenie ochrony danych osobowych?

Naruszenie ochrony danych osobowych to pojedyncze zdarzenie lub seria zdarzeń, związanych z bezpieczeństwem danych, które zagrażają ich poufności, dostępności lub integralności. Nie tylko ujawnienie danych osobowych jest incydentem, może być to także modyfikacja danych osobowych oraz brak dostępności danych osobowych. Dodać trzeba, że incydent dotyczy nie tylko danych osobowych, ale szeroko rozumianych zasobów systemu informatycznego, takich jak: osoby, usługi, oprogramowanie, dane, sprzęt i inne elementy mające wpływ na bezpieczeństwo przetwarzanych danych. Naruszeniem np. ujawnienie danych osobie nieuprawnionej, publikowanie na stronach internetowych bez podstawy prawnej informacji zawierających dane osobowe takie jak: imię i nazwisko, numer PESEL, nr indeksu, nr telefonu czy ocena z egzaminu. Naruszeniem ochrony danym może być także: wysyłanie pocztą elektroniczną adresów innych adresatów, wrzucenie dokumentów do kosza zamiast do niszczarki, niewystarczające zabezpieczenie danych na stacjach roboczych - brak: haseł dostępu, ochrony antywirusowej itp. Naruszenie ochrony danych osobowych dotyczy również szeroko rozumianych zasobów systemów informatycznych i innych elementów które mają wpływ na bezpieczeństwo przetwarzanych danych osobowych.

Kto zobowiązany jest do zgłaszania naruszeń ochrony danych osobowych?

Obowiązek zgłaszania naruszeń związanych z ochroną danych osobowych spoczywa na administratorze danych osobowych, który zobowiązany jest do bezwzględnego zgłoszenia incydentu w ciągu 72 godzin od jej stwierdzenia. Dopuszcza się możliwość odstąpienia od tej zasady wówczas gdy jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

16.  Co rozumiemy pod pojęciem „zasada minimalizacji” i „zasada adekwatności”?

• Zasada minimalizacji danych osobowych wskazuje, na konieczność ograniczenia przetwarzania danych tylko do tych, które są niezbędne do osiągnięcia zamierzonego celu przetwarzania. 
• Zasada adekwatności oznacza, iż administrator powinien przetwarzać tylko takie dane, bez których osiągnięcie zamierzonego celu byłoby niemożliwe, przy czym zakres tych danych powinien być ustanowiony najpóźniej w momencie ich zbierania.

Czym jest anonimizacja i pseudonimizacja danych?

• Anonimizacja to czynność pozwalająca na usunięcie powiązań pomiędzy danymi, a osobą, której te dane dotyczą. Zanonimizowane dane nie są zatem danymi osobowymi, ponieważ nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną. W związku z tym RODO nie stosuje się do przetwarzania takich anonimowych informacji.   
• Pseudonimizacja oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której te dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem, że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (art. 1 pkt. 5 RODO). 

18.  Co oznacza" privacy by design"?

Zasada „privacy by design” określa konieczność uwzględnienia ochrony danych osobowych na etapie zidentyfikowania czynności przetwarzania w ramach danego przedsięwzięcia. Zgodnie z takim podejściem ochrona danych osobowych powinna być nieodzownym elementem każdego nowego projektu, przy zastosowaniu odpowiednich środków technicznych i organizacyjnych. Zapewnienie bezpieczeństwa danych osobowych musi być uwzględnione i zagwarantowane przy projektowaniu nowej specjalności, wdrożeniu systemu informatycznego, reorganizacji dziekanatu itd. 

19.  Czym jest "privacy by default"?

"Privacy by default" określa domyślne uwzględnienie adekwatnych zabezpieczeń prywatności w ustawieniach początkowych każdego systemu przetwarzania danych osobowych. Zgodnie z tą regułą można przetwarzać tylko takie dane, które są niezbędne do osiągnięcia celu dla którego zostały zebrane.

Co to jest ocena skutków dla ochrony danych osobowych?

Ocena skutków dla ochrony danych osobowych to proces, który ma opisać przetwarzanie danych osobowych, ocenić niezbędność i proporcjonalność przetwarzania danych oraz pomóc w zarządzaniu ryzykiem naruszenia praw lub wolności osób fizycznych wynikającym z przetwarzania danych osobowych. Ocena skutków dla ochrony danych osobowych pozwala na podjęcie właściwych środków technicznych i organizacyjnych mających służyć zabezpieczeniu danych osobowych, a także wskazuje jakie czynności należy podjąć by zminimalizować ryzyko przetwarzania danych osobowych.

Co to jest rejestr czynności przetwarzania?

Rejestr czynności przetwarzania to dokument, który pokazuje w jakich procesach Administrator Danych Osobowych przetwarza dane osobowe. Rejestr uwzględnienia m.in. cel przetwarzania danych, podstawy przetwarzania danych, kategorię oraz zakres przetwarzanych danych oraz w jaki sposób dane są zabezpieczone. Rejestr czynności przetwarzania może być prowadzony w wersji papierowej lub elektronicznej. Należy zauważyć, iż pojęcie czynności przetwarzania danych osobowych nie zostało precyzyjnie opisane w RODO, co może powodować trudności w zidentyfikowaniu czynności przetwarzania danych osobowych. Czynność przetwarzania można określić przez kategorie podmiotów danych lub celów przetwarzania np. rekrutacja na studia.

 Co to jest powierzenie przetwarzania danych osobowych?

Powierzenie przetwarzania danych osobowych to przetwarzanie określonego zakresu danych osobowych w imieniu Administratora Danych Osobowych. Powierzenie przetwarzania danych osobowych odbywa się na podstawie umowy powierzenia przetwarzania danych osobowych lub innego instrumentu prawnego, który wiąże Administratora Danych Osobowych i podmiot, który przetwarza dane w imieniu ADO.

Powierzenie przetwarzania danych osobowych powinno regulować m.in.:

• cel i charakter powierzenia;
• przedmiot powierzenia - rodzaj danych, kategorię osób, których dane dotyczą;
• czas trwania powierzenia;
• obowiązki i prawa ADO;
• pod powierzenie przetwarzania;
• zobligowanie osób upoważnionych do zachowania tajemnicy;
• stosowanie odpowiednich zabezpieczeń;
•  pomoc w realizacji praw osób, których dane dotyczą;
• usunięcie lub zwrot danych po ustaniu powierzenia;
• udzielenie pomocy ADO w wypełnianiu obowiązków względem organu nadzorczego;
• zgoda na przeprowadzenie kontroli przetwarzania danych osobowych przez ADO.

Po co zawierana jest umowa powierzenia przetwarzania?

Czasami ani administrator danych, ani jego pracownicy nie wykonują samodzielnie całości operacji na danych jakie są używane. Jeżeli administrator danych chce, aby dla niego i na jego rachunek ktoś inny wykonał określone czynności z danymi osobowymi wówczas zawiera z tym kimś umowę powierzenia przetwarzania. Administrator wybiera podmiot, który zapewnia odpowiednie bezpieczeństwo danym osobowym i określa mu warunki, na których te dane powierzy. Minimalny zakres takiej umowy określa art. 28 RODO. Podmiot, który przyjmuje powierzone mu przetwarzanie danych nazywany jest „podmiotem przetwarzającym” lub „sub-procesorem”. Wykonuje określone czynności dla administratora i nie ma żadnych własnych celów w przetwarzaniu powierzonych mu danych. Podmiot przetwarzający odpowiada jednak solidarnie z administratorem za przetwarzanie danych i szkody
z nim związane. Musi też współpracować z administratorem i poddawać się określonym obowiązkom oraz zapewnić udokumentowanie tego, że przetwarza dane prawidłowo, a na incydenty reaguje niezwłocznie. Powierzenie przetwarzania prawie zawsze występuje w związku z jakąś konkretną przyczyną. Zlecenie jakiejś firmie obsługi kadrowej lub księgowej zazwyczaj wymaga przetwarzania danych przez tę firmę i dane te wówczas powierza się do przetwarzania. Podobnie rzecz się ma z obsługą informatyczną – zazwyczaj w systemach/komputerach są dane osobowe, a dostęp do nich jest niezbędny pracownikom dostawcy systemu przy czynnościach serwisowych. Zlecenie przetłumaczenia dokumentów i akt zawierających dane osobowe, pośrednictwo w organizacji przejazdów i załatwianiu wiz, outosurcing windykacji dłużników czy zamówienie mailing-u w celu pozyskania chętnych do udziału w konferencji będą raczej zawsze wymagały powierzenia przetwarzania. Nawet umowa o niszczenie dokumentacji osobowej i nośników informatycznych będzie związana z powierzeniem przetwarzania danych osobowych. Natomiast usługi przychodni medycyny pracy, radcy prawnego lub adwokata prowadzącego własną kancelarię nie muszą wymagać zawierania umowy powierzenia przetwarzania.  Są to podmioty które mają własne cele (a nawet wynikające z prawa obowiązki) w przetwarzaniu danych osobowych
w związku ze świadczonymi usługami. Nie uzasadnia zawierania umowy o powierzenie przetwarzania danych osobowych zawarcie zwyczajnej umowy na dostawę produktów, gdzie wprawdzie umieszcza się dane osób do kontaktów, ale kontakty te przebiegają przy użyciu służbowych adresów i telefonów pracowników zatrudnianych m.in. właśnie w celu obsługi takich kontaktów.

Co to są techniczne i organizacyjne środki ochrony danych osobowych?

Techniczne i organizacyjne środki ochrony danych osobowych to środki, które należy zastosować by zapewnić bezpieczeństwo danych osobowych adekwatne do ryzyka przetwarzania danych osobowych. Środki organizacyjne to np. wdrożenie polityk ochrony danych osobowych, wyznaczenie IOD, KOD, ASI, LADO, szkolenia z ochrony danych osobowych dla pracowników, wydawanie upoważnień do przetwarzania danych osobowych. Środki techniczne to np. stosowanie oprogramowania antywirusowego na stacjach roboczych, zapewnienie dostępu do systemu przy użyciu loginu i hasła, stosowanie firewalla czy UPS, odnotowywanie informacji o czynnościach użytkownika wykonanych w systemie informatycznym. W ramach środków technicznych i organizacyjnych można także wyróżnić środki ochrony fizycznej takie jak np.: drzwi i szafy zamykane na klucz, rolety antywłamaniowe, kraty w oknach, sejfy i kasy pancerne, ochrona czy system alarmowy.

Jakie są różnice pomiędzy rejestrem czynności przetwarzania a rejestrem kategorii przetwarzania?

Rejestr czynności przetwarzania prowadzi administrator danych osobowych i jest to dokument, który uwzględnia wykaz wszystkich procesów organizacji w jakich są przetwarzane dane osobowe. Zgodnie z art. 30 ust. 1 RODO rejestr czynności przetwarzania powinien zawierać takie informacje, jak: 

• nazwa oraz dane kontaktowe administratora oraz wszelkich współadministratorów, 
• cele przetwarzania, 
• opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych, 
• kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych, 
• gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, 
• jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych, 
• jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa. 

Rejestr kategorii przetwarzania jest to natomiast wykaz czynności prowadzony przez każdego procesora, któremu administrator powierzył przetwarzanie danych. Zawiera się tam następujące informacje: 

• nazwę oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, 
• kategorie przetwarzań dokonywanych w imieniu każdego z administratorów (np. cel i zakres usługi, umowy powierzenia), 
• gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego, 
• jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa. 

Jest to więc wykaz podmiotów, które zleciły wykonawcy jakieś usługi (np. obsługa informatyczna) i w tym celu powierzyły określone dane do przetwarzania – art. 30 ust. 2 RODO.

Czy zgodne z prawem jest udostępnianie informacji zawierających dane osobowe przez telefon?

NIE. Jeżeli nie mamy pewności co do osoby, z którą prowadzimy rozmowę, przekazywanie informacji zawierających dane osobowe jest zabronione.

Co powinienem zrobić w przypadku czasowego opuszczenia stanowiska pracy?

W przypadku opuszczenia obszaru przetwarzania danych osobowych, gdy pozostaje on bez nadzoru osób upoważnionych, należy zamknąć pomieszczenie na klucz. Klucze do pomieszczeń powinny pozostawać pod nadzorem osób upoważnionych. Czasowo opuszczając stanowisko pracy należy wylogować się z systemu lub uruchomić wygaszacz ekranu chroniony hasłem. Nie należy pozostawiać dokumentów zawierających dane osobowe w miejscu widocznym. Po zakończonej pracy należy wylogować się ze wszystkich systemów, z których korzystaliśmy podczas pracy, zamknąć w szafach dokumenty zawierające dane osobowe lub inne tajemnice ustawowo chronione.

Jak długie powinno być hasło do systemu informatycznego?

Zaleca się stosowanie haseł o długości minimum 8 znaków, składających się z dużych i małych liter, cyfr oraz znaków specjalnych. Mile widziane są hasła o długości co najmniej 15 znaków. Nie należy stosować haseł składających się z imion i nazwisk, dat urodzenia, haseł domyślnych takich jak: admin, hasło itp. W przypadku konieczności zmiany hasła nie należy dokonywać „lekkiej” modyfikacji hasła starego.

Czy mam obowiązek posiadać służbowy adres e-mail?

TAK, każda osoba realizująca zadania o charakterze służbowym powinna posługiwać się adresem mailowym założonym przez Administratora. Korzystanie w celach służbowych z prywatnych adresów mailowych jest zabronione.

Co powinienem zrobić wysyłając wiadomość mailową zawierającą dokumenty z danymi osobowymi?

Wysyłając maile zawierające pliki z danymi osobowymi, plik należy co najmniej zabezpieczyć za pomocą hasła, które należy przekazać adresatowi w innej formie np. telefonicznie czy za pomocą smsa.

Przechowuję dane osobowe w chmurze co powinienem zrobić?

Pliki przechowywane w tzw. chmurze obliczeniowej, jeżeli zawierają dane osobowe lub inne informacje wymagające ochrony, powinny być zaszyfrowane, a dostęp do chmury powinny mieć tylko te osoby, którym dostęp do danych jest niezbędny w celu wykonywania obowiązków służbowych.

Jak postępować z danymi osobowymi przetwarzanymi w wersji papierowej?

• dokumenty i wydruki zawierające dane osobowe należy przechowywać w pomieszczeniach zabezpieczonych fizycznie przed dostępem osób nieupoważnionych;
• użytkownicy są zobowiązani do stosowania „polityki czystego biurka”, polega ona na zabezpieczeniu dokumentów zawierających dane osobowe w szafach, biurkach, pomieszczeniach zamykanych na klucz, ograniczając wgląd przez osoby nieupoważnione;
• dokumenty należy przenosić w sposób zapobiegający ich kradzieży, zgubieniu lub utracie;
• zalecane jest niszczenie dokumentów i tymczasowych wydruków w niszczarkach niezwłocznie po ustaniu celu ich przetwarzania.

Jak postępować z elektronicznymi nośnikami danych osobowych?

• dane przechowywane są na nośnikach przenośnych jedynie w przypadkach, gdy jest to konieczne, przez czas niezbędny do spełnienia celu, w jakim zostały one na nośniku zapisane. Po ustaniu czasu przechowywania zawartość nośnika danych podlega skasowaniu;
• dane osobowe w systemie informatycznym przechowywane są przez czas wymagany do spełnienia celu, dla którego są one przetwarzane. Po upływie tego celu dane podlegają archiwizacji, skasowaniu lub anonimizacji;
• przenośne elektroniczne nośniki danych są przechowywane przez użytkowników w sposób minimalizujący ryzyko ich uszkodzenia lub zniszczenia, w szczególności w zamykanych szafach
  i meblach biurowych;
• w przypadku konieczności wyniesienia nośników danych poza jednostkę organizacyjną, użytkownik zobowiązany jest do zachowania szczególnej ostrożności i zabezpieczenia nośnika, konieczne jest użycie środków ochrony kryptograficznej (szyfrowanie danych);
• w przypadku wykorzystywania elektronicznych urządzeń mobilnych (m.in. smartphone, tablet) wymaga się zastosowania następujących środków bezpieczeństwa: blokada ekranu (pin/hasło/symbol graficzny), szyfrowanie pamięci/karty pamięci, program antywirusowy, wyłączenie nieużywanych usług (np. - 9 - Ochrona Danych Osobowych w praktyce UW wi-fi, bluetooth, nfc), instalowanie oprogramowania z zaufanych źródeł, używanie szyfrowania lub VPN podczas korzystania z publicznych hotspot-ów;
• w przypadku korzystania z komputerów przenośnych poza obszarem przetwarzania danych jednostki organizacyjnej, należy używać ich w sposób uniemożliwiający odczyt danych z ekranu przez osoby nieuprawnione i stosować środki ochrony kryptograficznej;
• za bezpieczeństwo komputerów przenośnych, urządzeń mobilnych, nośników danych odpowiadają ich użytkownicy. Zabrania się pozostawiania nośników danych bez nadzoru osoby upoważnionej.

Jakie są kary za naruszenie RODO?

Odpowiedź formalna:

Administrator danych, który naruszył RODO, podlega odpowiedzialności prawnoadministracyjnej (decyzje Prezesa UODO mogą obejmować kary pieniężne, a także różnego rodzaju nakazy mające na celu zapewnienie zgodności z RODO) oraz cywilnej (osoba, której dane dotyczą, ma prawo do odszkodowania za szkodę majątkową lub niemajątkową wynikłą z naruszenia RODO). Ponadto każda osoba, która nielegalnie przetwarza dane osobowe lub udaremnia przeprowadzenie kontroli przestrzegania przepisów o ochronie danych, podlega odpowiedzialności karnej, przewidzianej ustawą o ochronie danych osobowych. Ostatnim rodzajem odpowiedzialności jest odpowiedzialność dyscyplinarna pracownika naruszającego zasady ochrony danych osobowych. Pracownik, który dopuścił się tego typu naruszeń, podlega upomnieniu, naganie lub nawet zwolnieniu z własnej winy.

Odpowiedź praktyczna:

Prezes UODO może nałożyć karę pieniężną do 20 mln euro lub 4% obrotu za najpoważniejsze naruszenia, m.in. zasad przetwarzania danych, praw osób, których dane dotyczą, lub niestosowanie się do nakazów organu nadzorczego, a za pozostałe naruszenia – do 10 mln euro lub 2% obrotu, w zależności od tego, która kwota jest wyższa. Poza karami pieniężnymi Prezes UODO może wydawać nakazy związane z przywróceniem zgodności z RODO, a nawet nakazać ograniczenie przetwarzania wyłącznie do przechowywania, co może zatamować proces biznesowy i być bardziej dotkliwe niż kara pieniężna.

Ponadto pracownik, który narusza RODO, powinien liczyć się także z odpowiedzialnością odszkodowawczą w przypadku pozwu, karną w przypadku zawiadomienia do prokuratury lub dyscyplinarną w przypadku niestosowania się do wewnętrznych polityk i procedur.