Tel.: (+48) 696 655 124

Nasze podejście do ochrony danych osobowych

Z pewnością wiele osób zadaje sobie pytanie jak prawidłowo zabezpieczać dane osobowe? Odpowiedz na to pytanie jest prosta. Dane osobowe należy zabezpieczać za pomocą środków technicznych i organizacyjnych odpowiednich (adekwatnych) do ryzyka naruszenia praw lub wolności osób, których te dane dotyczą. Jest to tzw. podejście oparte na ryzyku. Dobranie odpowiednich środków technicznych i organizacyjnych ma zapewnić nie tylko bezpieczeństwo danych osobowych, ale również prawa i wolności osób fizycznych, których dane są przetwarzane przez danego administratora.

Outsourcing IOD

Wypełnianie obowiązków Inspektora Ochrony Danych w danej organizacji przez specjalistę zewnętrznego w ramach umowy o świadczenie usług.

Jeśli jest coś, czego nie potrafimy zrobić wydajniej, taniej i lepiej niż nasi konkurenci, to nie ma sensu, żebyśmy to robili; powinniśmy zatrudnić do wykonania tej pracy kogoś, kto zrobi to lepiej.

Nazwa outsourcing pochodzi z języka angielskiego i jest skrótem od trzech słów: outside, resource, using. Oznacza ona korzystanie z zewnętrznych źródeł. Outsourcing polega na przekazywaniu zadań, funkcji, projektów i procesów do realizacji firmie zewnętrznej.

Zgodnie z art. 39 ust. 1 lit. b RODO inspektor ochrony danych jest odpowiedzialny za monitorowanie przestrzegania przepisów o ochronie danych w organizacji. Monitorowanie to uwzględnia nie tylko przepisy RODO, ale również przepisy krajowe oraz unormowania wewnętrzne organizacji w zakresie ochrony danych osobowych.

Zgodnie z art 37 ust. 5 RODO Inspektor Ochrony Danych powinien posiadać niezbędną wiedzę fachową na temat prawa i praktyk w dziedzinie ochrony danych osobowych. Powinien wykazywać zrozumienie procedur, narzędzi informatycznych, a przede wszystkim procesów w danej organizacji. Inspektor Ochrony Danych podlega bezpośrednio najwyższemu kierownictwu organizacji oraz ma gwarancję niezależności. Obowiązuje również zakaz wydawania instrukcji, co do sposobu wykonywania jego obowiązków.

Audyt RODO

Organizacja wdrożyła wymagane przepisami RODO środki techniczne i organizacyjne, aby zapewnić bezpieczeństwo przetwarzania danych osobowych, ale nie wie czy środki te są odpowiednie i zapewniają wymagany poziom bezpieczeństwa. Powinna więc dokonać odpowiedniego sprawdzenia, czyli przeprowadzić audyt ochrony danych. Organizacja może przeprowadzić ten audyt własnymi siłami, ale lepiej będzie jak w tym zakresie skorzysta z pomocy wykwalifikowanego specjalisty zewnętrznego.

Wyrażone w RODO podejście oparte na ryzyku określa sposób, w jaki należy podchodzić do przetwarzania danych – w każdej sytuacji, kiedy zbieramy i korzystamy z danych osobowych, musimy przede wszystkim analizować ryzyko, jakie może to spowodować dla prywatności osób, których te dane dotyczą.

Informowanie osób, których dane dotyczą, o wykorzystywaniu ich danych osobowych (prowadzeniu operacji przetwarzania) i celach, dla których jest ono prowadzone, jest niezbędne dla zapewnienia rzetelności i przejrzystości przetwarzania danych osobowych.

Każda osoba powinna mieć kontrolę nad dotyczącymi jej danymi osobowymi, niezależnie od tego kto i w jakim celu te dane przetwarza. RODO przyznaje szereg uprawnień podmiotom danych:

  • prawo do bycia poinformowanym o operacjach przetwarzania,
  • prawo dostępu do swoich danych,
  • prawo do sprostowania/uzupełnienia danych,
  • prawo do usunięcia danych (prawo do bycia zapomnianym),
  • prawo do przenoszenia danych,
  • prawo do sprzeciwu,
  • prawo do tego, by nie podlegać profilowaniu.

Zgoda jest często mylnie traktowana jako podstawowa, najważniejsza przesłanka przetwarzania danych osobowych. Tymczasem jest jedną z kilku równoważnych podstaw prawnych – tak jak obowiązek wynikający z przepisu prawa, realizacja umowy czy też uzasadniony interes administratora danych. Złą praktyką jest pozyskiwanie zgody jako warunku zawarcia umowy o świadczenie usług.

Dokumentacja RODO

RODO kładzie bardzo duży nacisk na dokumentowanie czynności przetwarzania danych osobowych. Jest to jeden z podstawowych sposobów wykazywania przez administratora danych osobowych zgodności prowadzonych przez siebie działań na danych osobowych z wymogami RODO oraz prowadzenia prawidłowej polityki w zakresie ochrony danych osobowych (zasada rozliczalności).

RODO nie zawiera precyzyjnych wytycznych w zakresie dokumentowania czynności przetwarzania. Jedynym zdefiniowanym obowiązkiem określonym w art. 30 RODO jest rejestrowanie czynności przetwarzania, którego efektem jest prowadzenie przez administratora lub podmiot przetwarzający rejestru czynności przetwarzania lub rejestru kategorii przetwarzania.

Dane osobowe muszą być przetwarzane w sposób zapewniający ich odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych i organizacyjnych. Każdy, kto przetwarza dane osobowe, musi więc odpowiednio je zabezpieczać, tak by uniemożliwić ich nieuprawnione udostępnienie.

To rożnego rodzaju rozwiązania o charakterze sprzętowym oraz programowym (m.in. urządzenia, systemy, oprogramowanie), które służą zapewnieniu odpowiedniego poziomu bezpieczeństwa danych. Mogą one mieć charakter podstawowych zabezpieczeń fizycznych bądź logicznych.

To rożnego rodzaju rozwiązania o charakterze sprzętowym oraz programowym (m.in. urządzenia, systemy, oprogramowanie), które służą zapewnieniu odpowiedniego poziomu bezpieczeństwa danych. Mogą one mieć charakter podstawowych zabezpieczeń fizycznych bądź logicznych.

Szkolenia RODO

Każda osoba przed dopuszczeniem do pracy z danymi osobowymi winna być poddana przeszkoleniu i zapoznana z przepisami RODO oraz ustawą o ochronie danych osobowych. Za przeprowadzenie szkolenia w tym zakresie odpowiada bezpośrednio administrator danych lub jeśli został wyznaczony Inspektor Ochrony Danych. W przypadku przeprowadzania szkolenia wewnętrznego z zakresu ochrony danych osobowych wskazane jest udokumentowanie odbycia takiego szkolenia.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46.WE (ogólne rozporządzenie o ochronie danych osobowych).

Wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w przepisach prawa, to również w w prawie tym może zostać wskazany administrator danych lub lub mogą zostać określone konkretne kryteria jego wyznaczania.

W momencie pozyskiwania danych osobowych administrator jest obowiązany spełnić obowiązek informacyjny, czyli poinformować osobę, której dane dotyczą, o tym, kim jest, w jakich celach będzie przetwarzał pozyskane dane, na jakich podstawach prawnych oraz szeregu innych informacji związanych z przetwarzaniem tych danych.

Co o nas mówią

Zapoznaj się z opiniami i uwagami naszych Klientów.

error: Treść jest chroniona!!
pl_PLPolski