Category: Ochrona danych

Kwiecień 15th, 2018 by D90aar_i-a

Nowy adres pod którym możecie nas znaleść www.lexfocus.com.pl

 

Zapraszamy!!!

Posted in Ochrona danych, Zamówienia

Luty 27th, 2018 by D90aar_i-a

Drodzy czytelnicy,
Wkrótce zmienimy miejsce publikacji i adres portalu. `Będziecie u nas mogli znaleźć jeszcze więcej ciekawych informacji na temat ochrony danych osobowych, zamówień publicznych i nie tylko.

Tymczasem zachęcamy do czytania naszych dotychczasowych artykułów.

Wkrótce więcej informacji o nowym portalu.

Posted in Ochrona danych, Zamówienia

Luty 18th, 2018 by D90aar_i-a

Zapoznając się dokładnie z nowymi przepisami szybko zorientujemy się, że w obliczu faktu, że większość informacji przetwarzamy w systemach informatycznych współpraca z informatykami w zakresie ich zabezpieczenia jest bardzo ważna. Administrator Ochrony Danych Osobowych (ADO) powinien korzystać z pomocy nie tylko prawnika, osoby która posiada wiedzę z zakresu ochrony danych osobowych, ale również informatyka. Powinien bowiem wybrać i zastosować takie rozwiązania informatyczne, które pozwolą mu zabezpieczyć bezpieczeństwo danych osobowych. Z uwagi na fakt, że rozporządzenie nie ułatwia ADO sprawy to na ADO ciąży obowiązek dokonania właściwych wyborów.

Do elementów systemu informatycznego, o których powinniśmy pamiętać należą:
a) serwery oraz infrastruktura przechowywania danych, które należy zabezpieczyć m.in. przed utratą informacji spowodowaną np. awarią zasilania lub zakłóceniami w dostawie energii, sieci, niewłaściwym działaniem oprogramowania lub ingerencją osób nieuprawnionych;
b) infrastruktura sieci komputerowych 

c) komputery (PC i przenośne), urządzenia mobilne (tablety, smartfony), dla których należy przewidzieć 
odpowiednie mechanizmy do przechowywania danych na serwerach oraz nośnikach lokalnych, szyfrowanie przechowywanych informacji i całych nośników danych, zabezpieczyć należy dostęp do tych urządzeń,
Zastosowane przez ADO rozwiązania powinny obejmować połączenia sieci komputerowych, nośniki danych, urządzenia zarówno stacjonarne jak i przenośne, ochronę dokumentów elektronicznych oraz oprogramowanie. Należy rozważyć również możliwość współpracy z informatykami w zakresie obsługi poprzez zdalny dostęp, dotyczyć będzie to jednak albo małych ADO, albo bardzo dużych organizacji. Metoda zdalnego dostępu jest obecnie bardzo popularną formą świadczenia usług przez firmy informatyczne. Pamiętać jednak należy o podpisaniu z takim podmiotem umowy powierzenia danych oraz zachowaniu poufności, w tym zakresie wystarczy zawrzeć w treści umowy z firmą informatyczną stosowną klauzule.
Z uwagi na fakt, że nowe przepisy nakazują ADO informować organ nadzoru o wszelkich naruszeniach bezpieczeństwa danych warto rozważyć i ustalić wraz z informatykiem jaki będzie sposób postepowania w przypadku naruszeń. W szczególności opracować procedurę sprawdzająca i wdrażającą poprawę naszego postepowania, w sytuacji gdy doszło do utraty danych. System informatyczny na którym pracujemy powinien umożliwić nam również łatwe usuwanie trwałe danych, których nie możemy już przechowywać.

Posted in Ochrona danych

Luty 15th, 2018 by D90aar_i-a

Kontynuując cykl artykułów dotyczących przygotowania się na rozpoczęcie stosowania rozporządzenia unijnego dotyczącego ochrony danych osobowych czas pochylić się nad bardzo istotnym zagadnieniem, które jest niezwykle ważne dla każdego Administratora Danych Osobowych (ADO). Podstawy przetwarzania danych od tego powinniśmy rozpocząć prace nad wdrażaniem w naszej firmie, organizacji nowych przepisów dotyczących ochrony danych. Wiedza na ten temat jest nam niezbędna do wprowadzenia w życie obowiązków, które nakłada na nas ustawodawca unijny oraz uzupełniająco rodzimy. Etap ustalenia na jakiej podstawie prawnej działamy jest elementem, który powinien nastąpić w momencie gdy posiadamy już wiedze jakiego rodzaju dane przetwarzamy i po co są nam one potrzebne. Wróćmy wiec do podstaw czyli wskazanych w treści rozporządzenia podstaw przetwarzania danych osobowych, należą do nich:
a) zgoda czyli osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) umowa czyli przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) obowiązek prawny czyli przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) ochrona żywotnych interesów czyli przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) interes publiczny czyli przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) prawnie uzasadnione interesy czyli przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

To na ADO nałożony jest obowiązek posiadania wiedzy na jakiej podstawie przetwarza dane. Wiedza ta jest niezbędna do projektowania całego procesu ochrony danych osobowych w firmie, organizacji czy instytucji publicznej. Aby tego dokonać warto skorzystać z pytań pomocniczych, na które odpowiedź pozwoli nam dowiedzieć się jaka podstawa jest właściwa.

Pytania:
1. Po co pozyskuje dane?
2. Jestem podmiotem publicznym czy prywatnym?
3. Czy dane są mi niezbędne do zawarcia i realizacji umowy z osoba fizyczną?
4. Czy przepisy prawa regulują działania podejmowane przeze mnie ?
5. Czy moja działalność realizuje prawnie chroniony interes ?

Podstawa wskazana w pkt f nie dotyczy ADO będących podmiotem publicznym.

Posted in Ochrona danych

Styczeń 29th, 2018 by D90aar_i-a

Komisja Europejska uruchomiła stronę internetową, na której opublikowane są pytania dotyczące rozporządzenia unijnego oraz odpowiedzi na pytania, przykłady zastosowania przepisów oraz rekomendacje. Ma to ułatwić obywatelom państw członkowskich posługiwanie się nowymi przepisami. Pytania podzielone zostały na dwie grupy zasad dotyczących biznesowi i organizacjom oraz obcokrajowcom. Oprócz tego mamy wyjaśnienie takich pojęć jak ochrona danych osobowych. Na stronie znajdziemy również przygotowane przewodniki dotyczącej tematu ochrony danych osobowych do pobrania w formie PDF.

https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_en

Posted in Ochrona danych

Styczeń 28th, 2018 by D90aar_i-a

Obowiązek informacyjny istnieje na bazie obecnych przepisów ustawy o ochronie danych osobowych, rozporządzenie unijne rozszerza jednak ten obowiązek, zobowiązując Administratora Ochrony Danych (ADO) do przekazania osobie fizycznej dodatkowych informacji. Jak ma wyglądać to przekazanie informacji? Rozporządzenie nakłada na ADO obowiązek przekazania tych informacji podczas pozyskiwania danych osobowych. Forma może być dowolna, ale dla celów dowodowych dobrze jest ją przekazać w formie pisemnej. Niektórzy ADO wybiorą formę elektroniczną w postaci maila, może to być informacja przedstawiona w miejscu widocznym dla osoby udostępniającej dane osobowe, ustanie lub w formie papierowej przekazana tej osobie. Wybór formy należy do ADO. Co musi taka informacja zawierać? Jeżeli ADO zbiera dane osobowe bezpośrednio od tej osoby informacja ta powinna zawierać:
1) Nazwę ADO, dane kontaktowe (adres, telefon, mail), dane przedstawiciela (wystarczy tylko adres mailowy) oraz Inspektora Ochrony Danych Osobowych jeżeli jest powołany;
2) Cele w jakim chcemy przetwarzać dane osobowe;
3) Podstawę prawna na jakiej przetwarzamy dane osobowe;
4) Informacje kto jest lub będzie odbiorcą danych osobowych, które zbieramy;
5) Informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej jeżeli planujemy dokonać takiej czynności;
6) Podać okres przez jaki dane będą przechowywane lub kryteria ustalenia tego okresu;
7) Informacje o przysługujących osobie fizycznej prawach czyli prawie do sprostowania, usunięcia lub ograniczenia przetwarzania oraz wniesienia sprzeciwu i przenoszenia danych;
8) Jeżeli przetwarzamy dane osobowe na podstawie zgody osoby fizycznej wówczas musimy poinformować ta osobę o prawie do wycofania jej w każdym czasie;
9) Informacje o uprawnieniu osoby fizycznej do wniesienia skargi do organu nadzoru czyli następcy prawnego GIODO;
10) Informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana;
11) Jeżeli dokonujemy zautomatyzowanego podejmowania decyzji, w tym profilowania powinniśmy wyjaśnić zasady jego dokonywania.
Wzór takiej informacji w następnym artykule.

Posted in Ochrona danych

Styczeń 16th, 2018 by D90aar_i-a

Rekrutacja pracowników bardzo ważny element dla każdej firmy, jednostki sektora finansów publicznych. W tym obszarze każdy Administrator powinien również dbać o ochronę przetwarzanych danych osobowych.
Przede wszystkim zgodnie z zasadą minimalizacji danych wyrażoną w RODO, powinniśmy od pracowników wybranych w rekrutacji żądać tylko niezbędnych do nawiązania i utrzymania stosunku pracy danych osobowych. Zakres tych danych określa art. 221 Kodeksu pracy. Nalezą do nich:
– imię, nazwisko, imiona rodziców, data urodzenia, miejsce zamieszkania,
– wykształcenie, przebieg dotychczasowego zatrudnienia,
– dane dzieci, małżonka jeżeli jest to potrzebne,
– numer pesel,
Poza tymi danymi pracodawca nie ma prawa pozyskiwać innych danych. Jeżeli to zrobi to jego działanie należy utożsamiać z działaniem nielegalnym. Pracodawca może żądać w wyjątkowych sytuacjach innych danych w szerszym zakresie tylko i wyłącznie w konkretnie wskazanym celu i w minimalnym potrzebnym mu do jego realizacji zakresie. Pracodawca nie może pozyskiwać danych, które nie są mu potrzebne.
Podstawa przetwarzania danych osobowych osób biorących udział w rekrutacji jest zgoda tej osoby na przetwarzanie jej danych w procesie rekrutacji. Powinna ona spełniać reguły określone w rozporządzeniu unijnym być konkretna, jasna, świadoma, dobrowolna. Dane po zakończeniu procesu rekrutacji powinniśmy, więc usunąć niezwłocznie. Jeżeli jednak chcielibyśmy pozostawić je w celu wykorzystania ich w przyszłości, należy pozyskać od tej osoby zgodę na przetwarzanie danych osobowych w przyszłych prowadzonych przez nas rekrutacjach. Oznacza to również że nie mamy prawa prowadzić list, zestawień danych z rekrutacji by gromadzić informacje o osobach, które nie chcemy lub nie możemy zatrudnić.
Zamieszczając ogłoszenie z oferta zatrudnienia, powinniśmy zrealizować również obowiązek informacyjny wobec osób, które będą w nim uczestniczyć. Koniecznym jest podać w jego treści informacje o danych pracodawcy, celu przetwarzania, dobrowolności, prawie dostępu do danych. W ramach przepisów rozporządzenia katalog tych informacji jest rozszerzony. Osoba, która bierze udział w rekrutacji powinna otrzymać te wszystkie informacje dla celów dowodowych najlepiej w formie pisemnej. Jeżeli korzystamy z pośrednictwa firmy, które zamieszczają te ogłoszenia w procesie realizacji rekrutacji powinny one te zasady wprowadzić. Pamiętać należy, że dane te podlegają ochronie zgodnie z przepisami rozporządzenia.

Posted in Ochrona danych

Styczeń 9th, 2018 by D90aar_i-a

W ramach cyklu artykułów dotyczących RODO temat oceny ryzyka został już poruszony. Uzupełnimy go jednak o informacje zawarte w poradniku wydanym niedawno przez GIODO. Konkretnie skupimy się na dokonywaniu oceny ryzyka naruszenia ochrony danych osobowych. W procesie szacowania naruszenia szacowania tego ryzyka trzeba mieć na uwadze wiele czynników. W treści poradnika wskazuje się na takie elementy jak waga zagrożeń, wynikająca z rodzaju skutku urzeczywistnienia się zagrożeń. Podczas oceny ryzyka uwzględnić należy czy operacja przetwarzania jest niezbędna, czy ingerencja w prywatność związana z przetwarzaniem tych danych jest proporcjonalna do celów przetwarzania. Dokonując oceny trzeba uwzględnić czy prawdopodobieństwo i powagę ryzyka naruszenia praw lub wolności osoby, której dane dotyczą. Tym samym określić należy to uwzględniając charakter, zakres, kontekst i cele przetwarzania danych.
Jak wskazuje się w treści poradnika proces zarządzania ryzykiem powinien być wpisany w proces zarządzania organizacją dana firmą. W zależności od jej wielkości wprowadzić należy również rozwiązania. W dużych organizacjach konieczne może okazać się powołanie specjalnego zespołu do zarządzania ryzykiem. Bardzo istotnym elementem na który wskazuje poradnik jest włączenie w cały proces pracowników firmy. Zaznaczyć trzeba, że stanowią oni bardzo dobre źródło informacji . Pracownicy musza mieć wiedze jakie procesy zachodzą w firmie jak mogą zgłaszać incydenty, zaobserwowane sytuacje. Tutaj ważne jest także szkolenie ich w tym zakresie.
W poradniku zaproponowano sposób przykładowego szacowania takiego ryzyka
Rp = P x (Sd + Si + Sp)
gdzie:
Rp – poziom wyliczanego ryzyka,
P – wartość przypisana prawdopodobieństwu materializacji zagrożenia z zakresu {0, 1, 2, 3, 4}, gdzie:
0 – zdarzenie nieprawdopodobne, 1 – zdarzenie prawie nieprawdopodobne, 2 – zdarzenie mało prawdopodobne, 3 – zdarzenie wysoce prawdopodobne, 4 – zdarzenie niemal pewne.
Sd, Si, Sp – skutki zdarzenia odpowiednio w zakresie dostępności informacji, integralności oraz poufności z zakresu {0, 1, 2, 3, 4}, gdzie:
0 – zdarzenie nie powoduje skutku (nie występuje), 1 – zdarzenie wywołuje niewielki skutek, 2 – zdarzenie wywołuje znaczący skutek, 3 – zdarzenie wywołuje bardzo znaczący skutek, 4 – zdarzenie wywołuje skutek katastrofalny

Sposób ten ma charakter przykładowy każdy administrator może samodzielnie wybrać sposób szacowania ryzyka.
Wskazano także przykłady środków, które mogą minimalizować ryzyko, bowiem RODO w tym zakresie zapewnia swobodę działania administratorów. Jako przykład wskazuje się między innymi: pseudonimizację i szyfrowanie danych osobowych, zarządzanie systemem w sposób zapewniający ciągłość poufności, integralności i dostępności przetwarzanych informacji, regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Posted in Ochrona danych

Styczeń 1st, 2018 by D90aar_i-a

Temat zgody na przetwarzanie danych był już poruszany w ramach cyklu artykułów poświęconych RODO. Wówczas skoncentrowaliśmy się na wymaganiach jakie stawia przed Administratorem Danych Osobowych rozporządzenie unijne.

Przygotuj się na stosowanie RODO- zgoda na przetwarzanie danych osobowych


Dziś poruszymy ten temat w kontekście, który poruszył GIODO tzn. jak dostosować i sprawdzić poprawność z rozporządzeniem unijnym posiadane już zgody. Przede wszystkim zaczynając analizę posiadanych zgód na przetwarzanie danych osobowych powinniśmy rozpocząć ja od sprawdzenia czy w treści wyraźnie był określony cel przetwarzania danych. Musimy tego dokonać pod katem zasad określonych w rozporządzeniu czyli zasady dobrowolności, konkretności, świadomości i jednoznaczności. Zaznaczyć trzeba, że gdy zgoda została uzyskana na podstawie zaznaczenia domyślnie okienek na formularzu nie wyczerpuje tych zasad. Zgoda pozyskana wcześniej, która wyczerpuje te zasady jest jak najbardziej aktualna i ważna. Jeżeli jednak pozyskaliśmy ją poprzez stronę internetową, logowanie, itd. Konieczne jest by było możliwe jej odwołanie w taki sam sposób jak ja pozyskaliśmy, realizuje to uprawnienie, o którym mowa w art. 7 dyrektywy. Musimy pamiętać także, że rozporządzenie przewiduje dla osoby fizycznej, która wyraziła na to zgodę również inne uprawnienia takie jak prawo do bycia zapomnianym, przenoszenia danych. Administrator musi stworzyć procedury, mechanizmy, które pozwolą mu na realizację tych praw. Ponadto przed wyrażeniem zgody osoba fizyczna, która zgody udzieli musi mieć przekazane wszystkie informacje na temat administratora i przysługujących jej prawach. W zakresie procedur i wypełniania obowiązków, które wynikają z rozporządzenia prawo nie działa wstecz, tym samym powinniśmy je wprowadzić do nowych zgód. Zgody otrzymane przed wejściem w życie rozporządzenia trzeba sprawdzić pod katem przede wszystkim celowości. Wytyczne w tym zakresie przygotowała również Grupa Robocza Art. 29.

Posted in Ochrona danych

Grudzień 17th, 2017 by D90aar_i-a

Grupa Robocza Art. 29 podczas ostatniego posiedzenia przyjęła dokumenty: adekwatności,  tabelę zawierającą elementy i zasady, które muszą znaleźć się w wiążących regułach korporacyjnych dla administratorów, ustanawiający tabelę zawierającą elementy i zasady, które muszą znaleźć się w wiążących regułach korporacyjnych dla przetwarzających,wytyczne dotyczące zgody na mocy Rozporządzenia 2016/679, wytyczne dotyczące przejrzystości na mocy Rozporządzenia 2016/679. 

Grupa Robocza prowadzi obecnie wobec treści tych dokumentów konsultacje społeczne.  Każdy może przesłać uwagi w języku angielskim. Szczegółowe informacje oraz treść dokumentów znajdują się an stronie GIODO.  

Posted in Ochrona danych