PODSTAWY WIEDZY W ZAKRESIE OCHRONY DANYCH OSOBOWYCH


Obowiązujące przepisy prawa w zakresie ochrony danych osobowych

 

Rozporządzenie Parlamentu Europejskiego i Rady UE (RODO) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych  czytaj więcej….

Ustawa o ochronie danych osobowych z dnia 10 maja 2018r. czytaj więcej …..

OBOWIĄZKI PODMIOTÓW PRZETWARZAJĄCYCH DANE OSOBOWE:


Zgodnie z obowiązującym RODO każdy Podmiot nawet ten najmniejszy, która zajmuje się przetwarzaniem danych osobowych zobowiązany jest do posiadania wymaganej przez RODO dokumentacji:

Polityki Bezpieczeństwa opisującej min.:

  • analizę ryzyka,
  • rejestr czynności przetwarzania danych osobowych/Rejestr kategorii czynności przetwarzanych danych  osobowych,
  • zasady uwzględniania ochrony danych osobowych w fazie projektowania rozwiązań biznesowych oraz domyślnej ochrony danych osobowych,
  • wzór oświadczenia o przeszkoleniu przez Administratora danych osobowych osób, które będą dopuszczone do przetwarzania danych osobowych,
  • wzór upoważnienia przez Administratora danych osobowych osób, które będą dopuszczone do przetwarzania danych osobowych,
  • wzór wykazu osób upoważnionych do przetwarzania danych osobowych,
  • wzory wymaganych zgód i obowiązków informacyjnych w zakresie zbierania danych osobowych,
  • zasady informowania Klientów i Pracowników o istnieniu w siedzibie podmiotu systemu nagrywania na kamery przemysłowe wizerunku osób przebywających w pomieszczeniach,
  • wzór umowy powierzenia danych do przetwarzania przez podmioty trzecie,
  • prawa osób których dane osobowe są przetwarzane,
  • zasady monitorowania i reagowania na naruszenia ochrony danych,
  • zasady zgłaszania incydentów do organu nadzorczego i osobom których ochrona danych została naruszona.
  • zasady przeprowadzania kontroli w zakresie bezpieczeństwa danych osobowych celem zagwarantowania przetwarzania danych osobowych zgodnie z obowiązującymi przepisami prawa.

Polityki Zarządzania Systemem Informatycznym opisującej m.in.:

  • procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności,
  • stosowane metody i środki uwierzytelnienia oraz zasady związane z ich zarządzaniem i użytkowaniem,
  • zasady rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu informatycznego,
  • zasady tworzenia kopii zapasowych  danych osobowych oraz programów i narzędzi programowych służących do ich przetwarzania danych osobowych.
  • zasady wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych osobowych w systemach informatycznych,
  • zasady użytkowania komputerów przenośnych podczas przetwarzania danych osobowych,
  • standardy zabezpieczeń systemów informatycznych służących do przetwarzania danych osobowych,
  • zasady stosowania zabezpieczeń kryptograficznych podczas przesyłania danych osobowych przez sieć internetową.

Podstawowe definicje

Co to są dane osobowe ?
Dane osobowe – rozumie się informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Dotyczy to także danych służbowych osób fizycznych np. służbowy adres e-mail lub telefon.
Przykłady:
  • Imię i nazwisko.
  • PESEL, NIP.
  • Adres zameldowania.
  • Nr i seria dokumentu tożsamości.
  • Adres e-mail.
Kto to jest Administrator Danych Osobowych?
Administrator danych osobowych  – rozumie się osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.
Co to jest UODO?

Urząd Ochrony Danych Osobowych (UODO) – jest to organ nadzorczy powołany  do spraw ochrony danych osobowych w Polsce i działający na podstawie ustawy o ochronie danych osobowych z dnia 10 maja 2018r.r.

Do jego zadań należy m.in. :

  • Przeprowadzanie kontroli w podmiotach w zakresie zgodności przetwarzania danych z przepisami RODO.
  • Wydawanie decyzji administracyjnych (w tym nakładanie kar finansowych)  i rozpatrywanie skarg od Klientów w sprawach nieprawidłowego przetwarzania ich danych osobowych przez podmioty.
  • Prowadzenie rejestru Inspektorów Ochrony Danych.

 

 

Co to jest przetwarzanie danych osobowych?

Przetwarzanie danych osobowych – rozumie się operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. W myśl powyższej definicji, czynnością przetwarzania będzie praktycznie wszystko, co robimy z danymi osobowymi. Należy zwrócić uwagę na fakt, że również samo przechowywanie danych osobowych jest traktowane jako ich przetwarzanie. Podobnie niszczenie/usuwanie danych osobowych jest czynnością przetwarzania.

 

CO GROZI PODMIOTOM KTÓRE PRZETWARZAJĄ DANE OSOBOWE NIEZGODNIE Z PRZEPISAMI RODO


W przypadku nie wykonywania w/w obowiązków grożą sankcje finansowe lub karne które mogą być nałożone przez Prezesa UODO na Właściciela podmiotu.

ZAMIANY W RODO


Jedną z nowych zasad, które obowiązują do 25 maja 2018r.  jest obowiązek wyznaczenia w Podmiocie osoby odpowiedzialnej za kontrolowanie wykonywania w/w obowiązków tj. Inspektora Ochrony Danych (IOD). Oczywiście IOD nie musi być pracownikiem tej firmy, ale może to być osoba z innej firmy (wynajęcie IOD), która będzie odpowiedzialna na kontrolowanie w/w obowiązków wynikających z RODO.

Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:

  • przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.