Procesy przetwarzania danych osobowych w organizacji

Zapewnienie zgodności procesów przetwarzania danych osobowych w organizacji z przepisami RODO wymaga od administratora zwiększenia kontroli nad przetworzonymi danymi poprzez ich identyfikację, analizę źródeł przetwarzanych informacji oraz kontrolę poziomu ryzyka i stosowanych zabezpieczeń.

Procesy przetwarzania danych osobowych w organizacji

Tomasz Wackowski

11 czerwca 2019

Zapewnienie zgodności procesów przetwarzania danych osobowych w organizacji z przepisami RODO wymaga od administratora zwiększenia kontroli nad przetworzonymi danymi poprzez ich identyfikację, analizę źródeł przetwarzanych informacji oraz kontrolę poziomu ryzyka i stosowanych zabezpieczeń.

Nadzór nad przetwarzaniem danych osobowych w organizacji

W odróżnieniu od obowiązującej do 25 maja 2018 roku dotychczasowej ustawy o ochronie danych osobowych, unijne rozporządzenie RODO nie narzuca na administratora konkretnych środków bezpieczeństwa, które musiałby zastosować w swojej organizacji.

Zgodnie z art. 24 oraz art. 25 RODO, każdy administrator powinien zastosować odpowiednie i adekwatne do zagrożeń i do kategorii przetwarzanych w organizacji danych osobowych środki bezpieczeństwa, zarówno techniczne jak i organizacyjne. Cała odpowiedzialność za zastosowanie odpowiednich środków bezpieczeństwa spoczywa na administratorze danych osobowych. Dlatego też RODO wymusza na administratorze przeanalizowanie rodzaju przetwarzanych danych osobowych pod kątem zagrożeń. Zastosowane środki bezpieczeństwa powinny bezpośrednio wynikać z przeprowadzonej analizy ryzyka i podnieść stopień zabezpieczenia przetwarzanych informacji.

Szacowanie ryzyka w organizacji

Określenie i zastosowanie przez administratora odpowiednich środków bezpieczeństwa do rodzaju przetwarzanych w jego organizacji danych osobowych oparte jest o analizę ryzyka.

Wdrażając unijne rozporządzenie administrator powinien przyjąć metodykę szacowania ryzyka odpowiadającą profilowi działalności organizacji i przetwarzanych w niej informacji. RODO nie narzuca w tej sprawie żadnych konkretnych rozwiązań. Administrator może się oprzeć na wytycznych rekomendowanych przez Urząd Ochrony Danych Osobowych. Powinna ona określać, jakie są lub jakie powinny być zastosowane środki bezpieczeństwa w celu ochrony przetwarzanych danych osobowych i zabezpieczenia procesów biznesowych pod kątem bezpieczeństwa fizycznego, bezpieczeństwa informatycznego i bezpieczeństwa osobowego.

Szacowanie ryzyka odbywa się w kontekście bezpieczeństwa osoby fizycznej (tzn. dokonujemy analizy konsekwencji wycieku, kradzieży lub przetwarzania danych w sposób nieuprawniony). Określamy, jakie potencjalne zagrożenia mogą wyniknąć z takich incydentów i wdrażamy odpowiednie zabezpieczenia techniczne i organizacyjne.

W przypadku kontroli UODO, administrator będzie mógł udowodnić i wykazać, że na podstawie przeprowadzonej analizy ryzyka wdrożył w organizacji odpowiednie środki bezpieczeństwa, dostosowane do jej działalności i do przewidzianych zagrożeń. Środki zastosowane do zapewnienia bezpieczeństwa powinny być systematycznie sprawdzane i aktualizowane poprzez audyty bezpieczeństwa. Każda taka kontrola przeprowadzona przez administratora lub osoby przez niego wyznaczone powinna być odpowiednio udokumentowana, a jej wyniki brane pod uwagę przy kolejnej analizie ryzyka.

Bezpieczeństwo przetwarzania danych

W rozporządzeniu RODO w art. 25 ust. 1, jednym z wymienionych zabezpieczeń wykorzystywanych w procesach przetwarzania danych jest pseudonimizacja i szyfrowanie danych osobowych. Zabezpieczenia te stosujemy tylko w takich przypadkach, gdzie stosowanie tych rozwiązań jest niezbędne i podniesie poziom bezpieczeństwa. Administrator powinien określić, które informacje i dane osobowe w jakich sytuacjach należy szyfrować oraz zastosować wobec nich pseudonimizację.

Pseudonimizacja według RODO — o czym należy wiedzieć

RODO wymaga od administratora zapewnienia w organizacji:

  • poufności — czyli bezpieczeństwa danych (dane nigdy nie dostaną się w niepowołane ręce osób lub instytucji do tego nieupoważnionych),

  • integralności — czyli nienaruszalność danych (nie ma możliwości nieuprawnionych zmian, usuwania, modyfikacji, tworzenia nieautoryzowanych kopii przetwarzanych informacji).

Administrator analizując procesy przetwarzania danych osobowych w organizacji powinien uniemożliwić kopiowanie i wynoszenie poza teren przetwarzania całych baz danych oraz korzystania z prywatnych zewnętrznych nośników informacji niezarejestrowanych w zasobach technicznych organizacji. Warto zadbać o zastosowanie technicznych środków bezpieczeństwa uniemożliwiających tworzenie nieautoryzowanych kopii danych osobowych (może to być np. oprogramowanie blokujące porty w komputerach poszczególnych użytkowników). Zarówno przetwarzane dane osobowe powinny być integralne, jak i cały system służący do przetwarzania danych powinien być zabezpieczony przed nieautoryzowanym dostępem zarówno system IT jak i tradycyjny papierowy.

Przetwarzane dane osobowe w organizacji muszą być dostępne zawsze wtedy, kiedy trzeba, ale tylko dla osób do tego uprawnionych i tylko w zakresie przyznanych przez administratora uprawnień i praw dostępu. Żadna awaria nie może uniemożliwić przerwania ciągłości pracy i dostępu do tych informacji.

Podstawową metodą zrealizowania przez administratora tych wymogów jest systematyczne tworzenie backupów, czyli zapasowych kopii bezpieczeństwa przetwarzanych informacji i danych osobowych w organizacji. Administrator powinien zapewnić bezpieczne przechowywanie tworzonych kopii bezpieczeństwa. Powinny być przechowywane w innym pomieszczeniu niż serwer, w którym są tworzone. Administrator powinien systematycznie testować przechowywane kopie bezpieczeństwa, które powinny być testowane przynajmniej raz na rok. Dlatego też w organizacji powinna zostać stworzona polityka tworzenia przechowywania i testowania kopii bezpieczeństwa w organizacji.

Dokumentacja przetwarzania danych osobowych

Niektóre obowiązki administratora danych nałożone przez RODO znajdują odzwierciedlenie w dokumentach, o których mowa w rozporządzeniu:

  • umowy powierzenia (art. 28 RODO)

  • upoważnienia do przetwarzania danych osobowych (art. 29 RODO)

  • rejestr czynności przetwarzania (art. 30 RODO)

  • prowadzenie rejestru naruszeń (art. 33 RODO)

  • ocena skutków dla ochrony danych osobowych (art. 35 RODO)

Administrator danych osobowych musi wiedzieć i mieć stosowną informację określającą, jakie dane osobowe przetwarza. Zgodnie z art. 13 i 14 RODO pojawił się rozszerzony obowiązek informacyjny, który administrator musi spełnić wobec klientów. Wszystko zależy od tego, czy dane osobowe zbierane są bezpośrednio od osób których dane dotyczą, czy z innych źródeł. Wszystkie osoby, których dane przetwarzamy powinny wiedzieć, kto jest administratorem danych osobowych, w jakim celu te dane są przetwarzane, na jakiej podstawie, czy podanie danych jest obowiązkowe czy dobrowolne, jak długo będą przechowywane.

Obowiązek informacyjny realizowany jest przez administratora danych np. za pomocą polityk prywatności, klauzul informacyjnych. Obowiązek ten przekazujemy osobom w momencie pierwszego zbierania ich danych osobowych.

Dlatego też aspekt ten wpływa na funkcjonalność naszych systemów przetwarzających dane osobowe zarówno tradycyjnych, papierowych, jak i teleinformatycznych. Zawsze administrator musi wiedzieć, kiedy dane zostały wprowadzone do systemu i w jakim zakresie. Musimy mieć możliwość odnotowania w systemie zgody klienta i mieć informację, czy jego dane przetwarzamy na podstawie zgody klienta, czy na podstawie realizacji zawartej umowy.

Jednym z najważniejszych obowiązków dokumentacyjnych wynikających z RODO jest prowadzenie przez administratora danych rejestru czynności przetwarzania danych osobowych. Jest to wykaz operacji i aktywności, które zachodzą w organizacji przy przetwarzaniu danych osobowych. W rejestrze trzeba opisać bardziej szczegółowe aktywności procesów zachodzących przy przetwarzaniu danych osobowych. Przykładowo, analizując zbiór danych pracowników, w rejestrze czynności należy rozbić ten zbiór na poszczególne czynności (np.: od prowadzenia ewidencji pracowników, prowadzenia rozliczeń z pracownikami, prowadzenie rejestru wypadków itp.).

Jeśli przetwarzamy dane jako podmiot przetwarzający na podstawie podpisanych umów powierzenia przetwarzania danych osobowych, administrator powinien prowadzić rejestr kategorii wszystkich czynności przetwarzania danych dokonywanych w imieniu innych administratorów.

Dla określonych operacji procesów (profilowanie, wykorzystywanie nowych technologii), musimy przeprowadzić ocenę skutków przetwarzania. Ponadto, jeśli z naszej analizy ryzyka wyniknie, że któryś proces ma bardzo duży stopień ryzyka to wtedy takie zagadnienie powinniśmy poddać ocenie.

Ocena skutków przetwarzania danych osobowych

Naruszenia ochrony danych osobowych

Obowiązkowym dokumentem wynikającym z zapisów RODO (art. 24 pkt. 2) jest prowadzenie przez administratora polityki ochrony danych. RODO nakazuje administratorowi prowadzenie polityki ochrony danych proporcjonalnie do zakresu jego działania pamiętając, że unijne rozporządzenie wymaga przeglądu środków zabezpieczeń i ich aktualizowania.

Unijne rozporządzenie wniosło nowy obowiązek zgłaszania naruszeń ochrony danych osobowych.

Administrator powinien poinformować pracowników, że są zobowiązani do zgłaszania wszelkich incydentów i zdarzeń w organizacji, które mogą mieć wpływ na ochronę danych osobowych. Następnie osoba odpowiedzialna za bezpieczeństwo danych osobowych w organizacji oceni, czy dany incydent kwalifikuje się jako naruszenie ochrony danych osobowych.

Administrator zobowiązany jest niezwłocznie, najpóźniej w ciągu 72 godzin od naruszenia zgłosić je do UODO, dokonując analizy/ czy i jakie dane zostały utracone lub ujawnione. Należy pamiętać, że nie każdy incydent będzie kwalifikował się jako naruszenie. Dlatego też jednym z obowiązków dokumentacyjnych wynikający z RODO jest prowadzenie rejestru incydentów oraz wdrożenie instrukcji postępowania w przypadku wystąpienia podejrzenia incydentu naruszenia ochrony danych osobowych, aby pracownicy wiedzieli, do kogo zgłaszać, w jaki sposób i w jakim terminie wszelkie podejrzenia incydentów.

Samo naruszenie zgłaszane jest do UODO poprzez stronę internetową za pomocą dedykowanego formularza.

[można podlinkować artykuły dot. naruszeń, zgłoszenie naruszenia do UODO, incydent, jak zgłosić naruszenie]

Kiedy powierzamy innemu podmiotowi do przetwarzania dane osobowe to warto mieć w swojej dokumentacji wykaz podmiotów przetwarzających. Obowiązkiem administratora jest posiadanie zgodnie z art. 28 RODO umów powierzenia przetwarzania danych osobowych. Podmiotami przetwarzającymi, z którymi powinniśmy podpisać umowę powierzenia przetwarzania danych osobowych to np. biura rachunkowe lub zewnętrzna firma informatyczna obsługująca nasze systemy IT.

Czy przekazywanie danych osobowych za granicę jest bezpieczne?

Kiedy chcemy lub musimy wyznaczyć Inspektora Ochrony Danych, powinniśmy oprócz oficjalnego zgłoszenia do UODO podać dane kontaktowe inspektora, zarówno w miejscu spełnienia obowiązku informacyjnego oraz w polityce prywatności. Osoby, których dane dotyczą, powinny mieć możliwość łatwego kontaktu z inspektorem.

Czy można wyznaczyć zastępcę inspektora ochrony danych osobowych?

W swojej działalności administrator może spotkać się z żądaniami ograniczenia przetwarzania lub usunięcia danych osób, których dane dotyczą. Żądania te powinny być skutecznie realizowane. Procedura załatwiania żądań osób, których dane dotyczą, powinna być również jednym z obowiązkowych dokumentów w organizacji. Powinna być opisana w niej ścieżka załatwiania i realizacji takich zadań. Na wszelkie pytania dotyczące danych osobowych powinniśmy odpowiedzieć niezwłocznie najpóźniej w ciągu miesiąca.

Wniosek o przeniesienie danych osobowych

Zgoda na przetwarzanie danych osobowych

Jeśli realizujemy przetwarzanie danych osobowych w oparciu o zgodę osoby, której dane dotyczą, powinniśmy zweryfikować posiadane klauzule zgód. Zgoda osoby, której dane dotyczą, jest jedną z przesłanek legalności przetwarzania danych osobowych, ale warto pamiętać, że wcale nie jedyną. Nie trzeba mieć zawsze zgody osoby, której dane przetwarzamy. Zwłaszcza jeśli realizujemy umowy między stronami, a przetwarzanie danych jest niezbędne do realizacji tej umowy albo realizujemy obowiązki prawne (np. na podstawie kodeksu pracy), gdzie przepisy prawa mówią, jakie dane musi podać osoba, której dane dotyczą.

Zgoda jest dobrowolnym oświadczeniem woli, nie może być domniemana, dorozumiana wymuszona. Nową formą wyrażenia zgody jest wyraźne działanie potwierdzające. Musi być napisana prostym językiem, osoba, której dane dotyczą, musi wiedzieć na co się zgadza. Należy pamiętać, aby checkboxy lub okienka służące do akceptacji nie były domyślnie zaznaczone. Osoba, której dane dotyczą musi świadomie i dobrowolnie zaznaczyć zgodę.

Treść zgody i obowiązki informacyjne według RODO

Zgoda powinna być sformułowana prostym i jasnym językiem. Osoba, której dane dotyczą, powinna w dowolnym momencie wycofać złożoną wcześniej zgodę. Wycofanie zgody powinno być tak łatwe, jak jej wyrażenie.

Szkolenia pracowników z zakresu bezpieczeństwa i ochrony danych osobowych

Zawsze najsłabszym ogniwem w systemie bezpieczeństwa i ochrony danych osobowych w organizacji jest człowiek, a zwłaszcza osoba nieprawidłowo przeszkolona.

Obowiązkiem administratora danych jest zapewnienie skutecznych szkoleń pracowników z zakresu bezpieczeństwa przetwarzania informacji i danych osobowych. Administrator powinien mieć potwierdzenie odbytych szkoleń przez swoich pracowników oraz upoważnić pracownika do przetwarzania danych osobowych. Oprócz potwierdzenia odbycia szkolenia pracownik powinien podpisać dokument zawierający klauzulę poufności w zakresie przetwarzanych przez siebie danych osobowych.

Szkolenia z ochrony danych osobowych — RODO

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia
o którym mowa w akrtykule?

Udostępnij:

Popularne tematy

Blogi tematyczne

Prawo konsumenckie 2020
Blog prawny dla firm
Blog prawa e-commerce
Prawo konsumenckie
RODO Magazyn
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO

Newsletter RODO

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach prawnych. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!