Kontrole RODO 2019

Prezes UODO opublikował na swojej stronie internetowej plan kontroli obszarowych na rok 2019. Podmioty działające w obszarach, które zostały wyszczególnione w wykazie powinny być w szczególności gotowe do wykazania posiadania sprawnego i zgodnego z prawem systemu ochrony danych osobowych. S ą to przede wszystkim spółdzielnie mieszkaniowe oraz gminy w zakresie sektora publicznego oraz formy telemarketingowe i handlarze danymi osobowymi z sektora prywatnego.

Nie wyklucza to oczywiście kontroli w innych obszarach. Należy pamiętać, że Prezes UODO poza planowymi kontrolami reaguje także na bieżące sytuacje oraz zawiadomienia. Tych było w ciągu pierwszych trzech miesięcy funkcjonowania RODO zgodnie z oświadczeniami urzędników około 2.400, a ich liczba ma stare rosnąć.

PLAN KONTROLI PREZESA UODO NA ROK 2019

SEKTOR PUBLICZNY
I. Miejski monitoring wizyjny (kontynuacja kontroli sektorowych z 2018 r.)
II. Udostępnianie danych w Biuletynie Informacji Publicznej oraz sposób wysyłania korespondencji zawierającej dane osobowe
III. Sposób prowadzenia rejestru czynności przetwarzania danych osobowych i sposób dokumentowania przez administratora danych naruszeń ochrony danych osobowych
IV. System identyfikacji i monitoringu odpadów
V. Sposób prowadzenia i zabezpieczenia przez spółdzielnie mieszkaniowe rejestru członków

SEKTOR PRYWATNY
I. Telemarketing
II. Brokerzy danych w zakresie podstaw prawnych przetwarzania danych osobowych
III. Profilowanie w sektorze bankowym i ubezpieczeniowym.

Biorąc pod uwagę oficjalne kontrole należy zwrócić uwagę na inny komunikat Prezesa UODO, który swojego czasu informował jakich dokumentów dotyczących RODO będzie wymagał.

Wedle komunikatu, zgodną z RODO dokumentację przetwarzania danych osobowych, która będzie jednocześnie instrumentem wykazującym zgodność wykonywanych czynności przetwarzania z przepisami prawa, występujące w dotychczasowej dokumentacji elementy należy uzupełnić o takie elementy jak:

  1. rejestr czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO;
  2. wytyczne dotyczące klasyfikacji naruszeń i procedurę zgłaszanie naruszenie ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO;
  3. procedurę na wypadek wystąpienia naruszeń mogących powodować wysokie ryzyko naruszenia praw i wolności osób, w zakresie ich informowaniu o działaniach jakie powinni wykonać, aby ryzyko to ograniczyć – art. 34 RODO
  4. procedurę prowadzenia wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych, o którym mowa w art. 33 ust 5 RODO;
  5. raport z przeprowadzonej, ogólnej analizy ryzyka;
  6. raport z ocen skutków dla ochrony danych – art. 35 ust. 7. – jeśli dotyczy;
  7. procedury związane z pseudonimizacją i szyfrowaniem – jeśli dotyczy;
  8. plan ciągłości działania – art. 32 ust 1 pkt b RODO;
  9. procedury odtwarzania systemu po awarii, oraz ich testowania – art. 32 ust 1 pkt c i d RODO.

W przypadku kontroli Prezesa UODO warto korzystać z pomocy specjalistów. Zapraszamy do kontaktu.

Akcja informacyjna na Dzień Ochrony Danych Osobowych

Dzień Ochrony Danych Osobowych został ustanowiony na dzień 28 stycznia przez Komitet Ministrów Rady Europy. Obchodzony jest w rocznicę sporządzenia Konwencji 108 Rady Europy z dnia 28 stycznia 1981 r. w sprawie ochrony osób w zakresie zautomatyzowanego przetwarzania danych osobowych. Konwencja ta, jest najstarszym aktem prawnym o zasięgu międzynarodowym, który reguluje zagadnienia związane z ochroną danych osobowych.

To dzisiaj obchodzimy to Święto, które po 25 maja 2018 roku z pewnością nabierze nowego znaczenia.

To dobry pretekst do przeprowadzenia akcji informacyjnej u Administratora. W tym celu opracowaliśmy infografikę, którą warto do tego wykorzystać. Dotyczy ona incydentów związanych z ochroną danych osobowych. To bardzo ważny temat, bo zgodnie z RODO Administrator/Podmiot przetwarzający ma obowiązek niezwłocznego reagowania na występujące incydenty (72 h) – dlatego każdy pracownik powinien mieć świadomość czym one są i wiedzieć co z tym zrobić.

Ponadto taka akcja wpisuje się w konieczność ciągłości działania i dbania Administratora o dane osobowe. Będzie z pewnością to dobrze postrzegane na wypadek kontroli.

Infografikę warto rozdystrybuować wśród pracowników, którzy pracują na danych osobowych. Można też wydrukować i przywiesić na tablice lub udostępnić w inny sposób – dodatkowo zbierając potwierdzenie, że taka akcja miała miejsce.

Materiał do pobrania:

Inforgrafika_MDDO

Czy masz wdrożone RODO – oficjalny formularz wymogów sprawdzanych podczas kontroli

W ostatnich dnia 2018 roku Departament Polityki Wydatkowej udostępnił na swojej stronie internetowej formularz oceny spełniania obowiązków wynikających z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) oraz ustawy o ochronie danych osobowych. Stanowi on podsumowaniem dotychczasowych doświadczeń w zakresie przygotowania jednostek administracji do realizacji zadań związanych z badaniem funkcjonowania systemu ochrony danych osobowych.

W praktyce jest to dokument zawierający szczegółową listę 111 wymogów związanych z systemem ochrony danych osobowych, których sprawdzenie ma dać odpowiedź czy w jednostce podlegającej ocenie zostało wdrożone RODO w sposób prawidłowy i kompletny.

Skierowany jest on do sektora publicznego, jednak w mojej ocenie warto także, by jednostki sektora prywatnego skorzystały z tego dokumentu i wykorzystały go do własnych celów.  W jaki sposób? Warto przebrnąć roboczo prze ten formularz dokonując samooceny w zakresie spełniania wymienionych wymogów, żeby odpowiedź na pytanie czy wdrożenie RODO jest właściwe i pełne. Co więcej, warto po takiej czynności sporządzić notatkę wewnętrzną zawierającą informacje o tym w jaki sposób dokonano weryfikacji i jakie wnioski z niej wypływają. W ten sposób będzie można postawić sobie „plusik” po stronie spełniania zasady ciągłości działania w obszarze ochrony danych osobowych, a to może okazać się ważnym argumentem na wypadek kontroli.

Sektor prywatny, szczególnie ten mniejszy, w mojej ocenie nie powinien jednak podchodzić do tego dokumentu bardzo formalistycznie. Trzeba pamiętać, że RODO dotyczy wszystkich, jednak mali oraz średni przedsiębiorcy nie muszą mieć  – i zazwyczaj nie mają – rozbudowanych i sformalizowanych procedur we wszystkich obszarach związanych z ochroną danych osobowych, jak to mają w zwyczaju jednostki publiczne. Biznes ze swojej specyfiki łączy się z nieco odmiennymi warunkami działania niż administracja, stąd przygotowany Formularz może być dla sektora prywatnego wyłącznie wskazówkami, niż sztywnymi wytycznymi.

Formularz można pobrać ze strony internetowej Ministerstwa Finansów:

https://www.mf.gov.pl/ministerstwo-finansow/dzialalnosc/finanse-publiczne/kontrola-zarzadcza-i-audyt-wewnetrzny/aktualnosci1/-/asset_publisher/SVp7/content/formularz-oceny-spelniania-obowiazkow-wynikajacych-z-rodo-oraz-ustawy-o-ochronie-danych-osobowych/pop_up?_101_INSTANCE_SVp7_viewMode=print

 

 

Kto jest kto, czyli o upoważnieniach i umowach związanych z przetwarzaniem danych osobowych

Jednym z podstawowych etapów związanych z prawidłową regulacją procesu przetwarzania danych u każdego podmiotu jest ustalenie komu należy udzielić upoważnienia do przetwarzania danych oraz czy i z kim zawrzeć umowę związaną z ochroną danych osobowych, ewentualnie o jakiej treści. W wielu przypadkach sprawia to sporo problemów bo materia ta nie jest łatwa i jednoznaczna. W niniejszym wpisie postaram się rozwiać ewentualne wątpliwości starając się podejść do tematu praktycznie. Zapraszam wobec tego do lektury praktyczno-teoretycznego wstępu i na końcu – analizy przykładu.

Upoważnienie udzielane jest osobie, która ma być przedstawicielem podmiotu w zakresie konkretnych procesów przetwarzania danych osobowych w tym podmiocie i w związku z tym ma mieć dostęp do danych osobowych. Upoważnienia powinien wystawić swoim przedstawicielom zarówno administrator jak i podmiot przetwarzający. Dotyczą one zatem każdego.

Upoważnienie do przetwarzania danych osobowych w praktyce oznacza, że osoba upoważniona występuje w imieniu tego podmiotu i w pewien sposób korzysta z prawa tego podmiotu do przetwarzania danych osobowych. Zobrazować to można w ten sposób, że osoba upoważniona jest własnymi „rękoma”, którymi podmiot ten dokonuje przetwarzania danych osobowych.

Udzielając upoważnień należy mieć na uwadze zasadę minimalizmu, co oznacza w praktyce, że powinno się udzielić upoważnienia do przetwarzania danych osobowych wyłącznie tym osobom, które w związku z pełnionymi obowiązkami muszą mieć dostęp do danych osobowych oraz tylko w takim zakresie, jaki jest niezbędny do wykonania tych obowiązków. Należy się wobec tego zastanowić komu i jaki dostęp do danych osobowych jest potrzebny i absolutnie należy kierować się tutaj racjonalnością, tak by nie blokować lub utrudniać podstawowej działalności firmy.

Upoważnienie powinno wskazywać w swojej treści przede wszystkim komu zostało udzielone, na jaki czas oraz jaki ma ono zakres. Warto przy okazji wzbogacić je o oświadczenie o zapoznaniu się z obowiązującymi regulacjami dotyczącymi ochrony danych osobowych, zobowiązanie do ich przestrzegania, zobowiązanie do zachowania poufności oraz wskazanie dostępu do wykorzystywanych w podmiocie systemów informatycznych. Upoważnienie może także określać rodzaj operacji, które osoba upoważniona może wykonać na danych np. wąsko – wyłącznie dostęp lub szeroko – dostęp, modyfikacja i usunięcie.

Umowa powierzenia zawierana jest pomiędzy administratorem i podmiotem przetwarzającym. Administrator określa cele i sposoby przetwarzania danych osobowych, a podmiot przetwarzający (procesor) przetwarza dane osobowe w imieniu administratora. Minimalna treść umowy powierzenia wskazana jest w art. 28 RODO i nie ma potrzeby jej przywoływania w tym miejscu. Należy jednak pamiętać, że jeszcze przed zawarciem umowy powierzenia administrator powinien zadbać o to, by procesor dawał wystarczającą gwarancję wdrożenia odpowiednich środków technicznych i organizacyjnych. Przy wyborze kontrahenta powinien wobec tego mieć na uwadze stosowanie przez niego odpowiedniego poziomu ochrony danych osobowych, a zatem powinien co najmniej zadać kilka kontrolnych pytań w tym zakresie, by nikt nie zarzucił mu braku rzetelności przy wyborze usługodawcy. Zasada jest, że za działania podmiotu przetwarzającego i tak odpowiedzialność ponosi administrator!

Stosunek pomiędzy administratorem i podmiotem przetwarzającym można zobrazować w dużym uproszczeniu jako relację pomiędzy człowiekiem (administrator) i robotem (podmiotem przetwarzającym). Administrator decyduje w tej relacji o tym jakie operacje na danych osobowych administratora i w jaki sposób mają być wykonane przez podmiot przetwarzający, a podmiot przetwarzający wyłącznie robi to, co administrator zdecydował. Administrator „programuje” to co i w jaki sposób ma robić procesor, którego jedynym zadaniem  jest to wykonać. Procesor jest pozbawiony w tym zakresie swobody działania.

Ważne jest zrozumienie, że dla relacji administrator-procesor nie wystarczy sama możliwość określenia celów przetwarzania danych osobowych ale także – co równie istotne –  sposobów przetwarzania (np. zabronienia korzystania z nowych podwykonawców lub użycia nowych narzędzi). Każdorazowo należy się zatem zastanowić co w danej relacji administrator może „kazać” zrobić podmiotowi przetwarzającemu i przez ten pryzmat oceniać tę relację.

To nie koniec, bo w praktyce występuje także często relacja administrator – administrator. Relację tę można zobrazować jako powierzenie przetwarzania danych osobowych przez jedną osobę komuś innemu, a oba te podmioty są w stosunku do siebie niezależne. Niezależność ta może się przejawiać zarówno w odmiennych celach przetwarzania danych osobowych lub posiadaniu po prostu własnych celów ale także w możliwości decydowania o sposobach przetwarzania danych.

Aby pod kątem prawnym uregulować tę relację warto zawrzeć porozumienie, które jednoznacznie potwierdzi, że mamy do czynienia z taką właśnie relacją, w czym jej upatrujemy i jakie ogólne warunki współpracy sobie stawiamy. Dokument ten, choć nie jest obligatoryjny, w mojej ocenie jest bardzo istotny z tego powodu, że pozwoli wykazać, że dany stosunek został przeanalizowany od kątem przepływu danych osobowych, zdefiniowany i uregulowany.

Na końcu wskazać trzeba na możliwość wystąpienia relacji współadministrowania, która charakteryzuje się tym, że dwa lub więcej podmiotów wspólnie określają cele i sposoby przetwarzania. Musi zatem występować w tej relacji silne powiązanie i możliwość współdecydowania o procesach przetwarzania danych osobowych. Relacja ta będzie występowała stosunkowo najrzadziej, a jej najbardziej powszechnym przykładem jest funkcjonowanie spółek ściśle powiązanych w ramach jednej grupy kapitałowej. Obrazując tę relację można wyobrazić sobie dwie „ręce” tego samego człowieka, które wspólnie przetwarzają dane osobowe.

Przykład:

Jako prosty przykład dla opisanych relacji weźmy niedużą firmę szyjącą damskie torebki. Firma ta będzie dla potrzeb niniejszej analizy składała się z szefowej, kilkunastoosobowej załogi pracowników produkcji, pracownika sekretariatu będącego swoistym asystentem szefowej oraz osoby zajmującej się wyłącznie sprzedażą i dystrybucją. Wszystkie te osoby zatrudnione są na podstawie umowy o pracę, jednak przedstawiciel handlowy pozostaje w relacji B2B pomimo że pracuje w siedzibie firmy i korzysta w całości z jej zasobów. Firma ta korzysta z zewnętrznych usług kadrowych i obsługi prawnej w postaci kancelarii adwokackiej. Ponadto zewnętrzna firma w weekendy sprząta pomieszczenia w których znajduje się jej siedziba.

Zarówno pracownikom zatrudnionym na umowę o pracę jak i przedstawicielowi handlowemu pozostającemu w relacji B2B powinny zostać udzielone upoważnienia do przetwarzania danych osobowych. W stosunku co do pracowników, z którymi firma zawarła umowy o pracę, sprawa jest jasna. Przedstawiciel handlowy pozostający w relacji B2B działa jednak także jako przedstawiciel firmy, jest tak samo traktowany jak pozostali pracownicy i ma dostęp do zasobów firmy. Także jemu dajemy upoważnienie.

Pracownikom produkcyjnym wystarczy bardzo wąskie upoważnienie obejmujące swoim zakresem wyłącznie podstawowe dane innych pracowników i ewentualnie podstawowe dane osób kupujących torebki – o ile proces produkcyjny jest zorganizowany w ten sposób, że jest to wymagane. Obsługa sekretariatu będzie miała szerokie upoważnienie, bo jest prawą ręką szefowej. Będzie ono obejmowało dostęp do danych finansowych, kadrowych, pracowniczych. To przez tę osobę przechodzą bowiem wszystkie dokumenty w firmie. Przedstawiciel handlowy nie powinien mieć natomiast dostępu do danych kadrowych czy danych rekrutacyjnych. Nie są one mu do niczego potrzebne. Powinien mieć jednak dostęp do danych kontrahentów firmy.

Obsługa kadrowa występuje w stosunku do firmy w relacji podmiotu przetwarzającego, więc należałoby zawrzeć z nią umowę powierzenia. Całość danych obsługa kadrowa otrzymuje od naszej firmy, która określa dokładnie co i w jaki sposób obsługa kadrowa ma zrobić. Gdy firma tak zdecyduje obsługa kadrowa będzie musiała zaprzestać przetwarzania tych danych. Firma może się także nie zgodzić na pewne procesy przetwarzania danych osobowych, które chce wprowadzić obsługa kadrowa, np. przechowywanie danych na serwerach w Bangladeszu.

Inaczej jest w stosunku do kancelarii adwokackiej. Adwokat ma dużą niezależność wobec swojego klienta pomimo, że świadczy na jego rzecz usługi. Dla przykładu można wskazać, że kancelaria może przechowywać udostępnione mu dane osobowe w swoich wewnętrznych aktach nawet wtedy, gdy współpraca się zakończy. Wynika to z przepisów prawa. W tym przypadku warto zawrzeć porozumienie regulujące relację administrator-administrator.

Firma sprzątająca ma teoretyczną możliwość dostępu do danych osobowych. Oczywistym jest bowiem, że w pomieszczeniu biurowym będą dokumenty takie dane zawierające, a posprzątać to pomieszczenie przecież trzeba! Nie dochodzi jednak tutaj do powierzenia danych osobowych – firma nie zleca obsłudze sprzątającej żadnych operacji na danych osobowych. Dla bezpieczeństwa warto jednak byłoby tutaj zawrzeć w tym przypadku umowę o zachowaniu w poufności danych do których dostęp firma sprzątająca może uzyskać przy okazji wykonywania umowy.

Na koniec przestroga i przypomnienie o tym, że systemu ochrony danych osobowych nie można przekleić ze wzorów lub od kogoś innego. Każdy podmiot jest inny i wymaga indywidualnego podejścia. Powyższe wskazówki mają wyłącznie pomóc rozróżniać występujące na polu ochrony danych osobowych stosunki i dawać propozycje ich uregulowania. Nie należy ich jednak traktować jako sprawdzony przepis na skuteczny i zgodny z RODO system ochrony danych osobowych. Aby taki stworzyć trzeba wszystko dobrze poznać i przeanalizować, a to wymaga pracy.

RODO – aspekty praktyczne dla mikro i małych przedsiębiorców – Świnoujście – 28 listopada 2018 roku.

Centrum Usługowo Doradcze w Świnoujściu orac CNO Legal zapraszają na szkolenie poświęcone tematyce ochrony danych osobowych, które poprowadzi nasz kolega mec. Daniel Ostaszewski.

Seminarium organizowane jest przez Centrum Usługowo-Doradcze w Świnoujściu  w ramach projektu „Transgraniczna Sieć Centrów Usługowo-Doradczych w  Euroregionie POMERANIA wraz z Powiatem  Märkisch- Oderland  w ramach Interregu VA”.

Szkolenie przeznaczone jest  dla mikro i małych przedsiębiorców, ich przedstawicieli oraz  specjalistów z nimi współpracujących, kadry kierowniczej i pracowników jak również dla administratorów danych osobowych, administratorów bezpieczeństwa informacji, osób odpowiedzialnych za przetwarzanie danych osobowych w organizacji.

Udział w szkoleniu pozwoli uczestnikom na uzyskanie niezbędnej wiedzy oraz  przeanalizowanie (w znaczeniu praktycznym) zasad przetwarzania danych osobowych wynikających z bieżącego stanu prawnego w kontekście pół roku obowiązywania rozporządzenia unijnego.

Więcej informacji na stronie miasta Swinoujście – www.swinoujscie.pl

1 2 3