FAQ

Dane osobowe to wszelkie informacje dotyczące konkretnej osoby, za pomocą których bez większego wysiłku można tę osobę zidentyfikować, chociaż nie jest ona wyraźnie wskazana. Możliwą do zidentyfikowania jest taka osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności poprzez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

Dane osobowe szczególnej kategorii to grupa danych osobowych określana jako tzw. “dane wrażliwe”, które podlegają szczególnym zasadom przetwarzania i ochrony, ujawniające m.in.: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne i biometryczne, dane dotyczące stanu zdrowia, seksualności lub orientacji seksualnej. Dane te, co do zasady nie mogą być przetwarzane, choć istnieją określone wyjątki, np. w przypadku osób, które udzielą na to wyraźnej zgody lub danych upublicznionych przez osobę, której dane dotyczą. Przetwarzanie danych osobowych szczególnej kategorii możliwe jest również do celów profilaktyki zdrowotnej lub medycyny pracy, oceny zdolności pracownika do pracy, diagnozy medyczne, zapewnienia opieki zdrowotnej i leczenia, a także w przypadku pełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą.

Administratorem Danych Osobowych (ADO) jest każdy podmiot (organ publiczny, jednostka, osoba fizyczna lub prawna lub przedsiębiorstwo) zobowiązany do przestrzegania ustawy o ochrone danych osobowych, który decyduje o celach i środkach przetwarzania danych osobowych, samodzielnie lub wspólnie z innymi podmiotami. Jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii Europejskiej lub w prawie państwa członkowskiego, to również w prawie UE lub państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.

Współadministrator danych osobowych to administrator danych osobowych, który wspólnie z innym administratorem (lub administratorami) ustala cele i sposoby przetwarzania danych osobowych. Warunkiem konstytutywnym bycia współadministratorem jest fakt zawarcia, w sposób przejrzysty, porozumienia pomiędzy administratorami w zakresie przetwarzania danych przez obie strony, zgodnie z wytycznymi wynikającymi z RODO. W szczególności chodzi o realizację praw osób, których dane są przetwarzane. Współadministratorzy zobligowani są do wyznaczenia punktu kontaktowego dla osób, których dane przetwarzają. Rozwiązanie to znajdzie zastosowanie m.in. w przypadku grup kapitałowych lub podmiotów, które nie są powiązane kapitałowo i organizacyjnie, ale realizują wspólne projekty.

Inspektor Ochrony Danych (IOD) to osoba fizyczna wspierająca Administratora Danych Osobowych (ADO) w realizacji obowiązków dotyczących ochrony danych osobowych, doradzania i monitorowania tych przepisów, określania oceny skutków ochrony danych, a także pełnienia funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych osobowych oraz pełnienia funkcji punktu kontaktowego dla osób których dane dotyczą, we wszelkich sprawach związanych z przetwarzaniem danych oraz wykonywaniem praw przysługujących im na mocy RODO oraz innych przepisów.

Podpisane przez osobę uprawnioną do reprezentowania podmiotu zgłaszającego zawiadomienie o wyznaczeniu nowego Inspektora Ochrony Danych (IOD) należy zgłosić Prezesowi UODO w ciągu 14 dni, wskazując imię, nazwisko oraz adres poczty e-mail lub numer telefonu inspektora. Dodatkowo: imię i nazwisko oraz adres zamieszkania, w przypadku, gdy administratorem lub podmiotem przetwarzającym dane jest osoba fizyczna; nazwę przedsiębiorstwa oraz adres prowadzenia działalności gospodarczej, w przypadku, gdy administratorem danych osobowych jest osoba fizyczna prowadząca działalność gospodarczą; pełną nazwę i adres siedziby firmy, w przypadku innym niż wyżej wymienione lub numer identyfikacyjny REGON, jeżeli został nadany. Zawiadomienie należy przygotować w formie elektronicznej przy użyciu kwalifikowanego podpisu elektronicznego lub podpisu potwierdzonego Profilem Zaufanym ePUAP. Imię, nazwisko oraz dane służbowe dane kontaktowe IOD należy ponadto umieścić w treści witryny internetowej przedsiębiorstwa. W ogólnym przypadku należy postępować zgodnie z instrukcjami UODO.

Polityka ochrony danych osobowych to podstawowy, wewnętrzny dokument organizacji (akt prawny) wiążący pracowników przetwarzających danych do stosowania procedur ochrony danych osobowych oraz postępowania zgodnego z wymogami RODO, w przypadku przetwarzania, zabezpieczania, zgłaszania incydentów i podejmowania odpowiednich działań w przypadku ich wykrycia oraz analizy danych osobowych. Wdrożenie zasad polityki ochrony danych i procedur spoczywa na Administratorze Danych Osobowych (ADO). Wymagana lista dokumentacji ochrony danych osobowych zamieszczona jest na stronie internetowej UODO.

Rejestr czynności przetwarzania to dokument informujący o tym, w jakich celach przetwarzane są dane osobowe, kogo dotyczą, jaki jest ich zakres, komu są ujawniane oraz w jakim okresie będą przechowywane. Rejestr, oprócz danych Administratora Danych Osobowych (ADO), powinien zawierać informacje o sposobie zabezpieczania danych osobowych oraz informacje o przekazywaniu danych poza Unię Europejską, jeśli takie transfery mają miejsce. Rozróżnia się rejestr czynności przetwarzania dla ADO, który wszelkie informacje o przetwarzaniu danych oraz rejestr czynności dla podmiotu przetwarzającego, w którym zawarte są informacje przetwarzaniu danych w imieniu ADO i zakres przetwarzania, a także rodzaj danych podlegających przetwarzaniu.

Zasady przetwarzania danych osobowych winny zapewniać zgodność z prawem (identyfikacja podstaw prawnych przetwarzania), rzetelność (obowiązek informacyjny), przejrzystość (transparentna komunikacja z osobami przetwarzającymi dane), ograniczeniem celu (przetwarzanie zgodnie z celem, dla którego dane są zbierane), minimalizacją danych (zakres zbierania wyłącznie niezbędnych danych) i ich prawidłowością (aktualizacja i weryfikacja danych) oraz ograniczeniem przechowywania (okres zasadnego przetrzymywania danych w zasobach i ich usuwanie), a także integralnością i poufnością (środki ochrony danych). Administrator Danych Osobowych (ADO) zobligowany jest do przestrzegania w/w zasad, co określane jest jako “zasada rozliczalności” (zgodność z RODO i dokumentacja ją potwierdzająca).

Zgodnie z rozporządzeniem RODO przetwarzanie danych osobowych uzależnione jest od wyraźnej zgody na przetwarzanie przez osobę, której dane dotyczą, w wyjątkiem procesu usunięcia danych. Rozporządzenie określa okres przechowywania danych jako okres, w których istnieje cel przetwarzania tych danych lub do momentu żądania zaprzestania dalszego przetwarzania. Istotne jest, aby zgoda obejmowała możliwość przetwarzania danych w przyszłości pod warunkiem zachowania tego samego celu przetwarzania.

Aby trwale i ostatecznie usunąć dane należy fizyczne zniszczyć nośnik na którym się znajdują, w sposób uniemożliwiający ich odtworzenie. Jeśli dane zawarte są na dokumentach papierowych należy zniszczyć je w niszczarce, pamiętając o odpowiedniej klasie urządządzenia (zgodnie z normą DIN 66399). Sprawa komplikuje się w przypadku nośników elektronicznych, z których zwykłe usunięcie danych (pomimo wielokrotnego napisania danych innymi danymi) może nie być wystarczające. W większości wypadków zniszczenie fizyczne np. dysku twardego lub pendrive’a, uniemożliwiające ponowne ich użycie, gwarantuje trwałe i ostateczne usunięcie danych. W przypadku nośników magnetycznych należy użyć silnego pola magnetycznego.

Zgodnie z art. 32 unijnego Rozporządzenia o Ochronie Danych Osobowych (RODO) bezpieczeństwo danych powinny być zagwarantowane odpowiednio do ryzyka naruszenia praw lub wolności osób fizycznych. Obowiązek analizy ryzyka powinien zatem uwzględniać stan wiedzy technicznej, koszt jego implementacji oraz charakter i zakres przetwarzania danych osobowych. W praktyce obowiązek ten jest obligatoryjny i powinien być stosowany przez administratorów danych osobowych w każdym przypadku, a jego zaniechanie może doprowadzić do incydentu naruszenia ochrony danych.

Analiza DPIA, zgodnie art. 35 RODO, to analiza oceny skutków planowanych procesów przetwarzania danych, którą administrator danych osobowych musi dokonać przed rozpoczęciem przetwarzania. Ocena taka powinna zawierać co najmniej opis planowanych operacji i celów przetwarza, proporcjonalność operacji przetwarzania w stosunku do celów, skutki ryzyka naruszenia praw lub wolności osób, których dane dotyczą oraz planowane środki zabezpieczające ryzyko. Zatem obowiązek dokonywania DPIA zależy od tego, czy w procesie przetwarzania występują czynniki zwiększające prawdopodobieństwo wystąpienia incydentu.

Zapewnienie zgodności z RODO, zgodnie z zasadą "privacy by design" (nazywaną "zasadą prywatności w fazie projektowania”), oznacza, że administrator danych powinien wdrożyć odpowiednie środki techniczne i organizacyjne, zanim rozpocznie przetwarzanie danych osobowych. To zasada, w myśl której administrator powinien uwzględnić ochronę danych w fazie projektowania, uwzględniając stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych. Administrator zapewniając odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja (w celu skutecznej realizacji zasad ochrony danych), minimalizacja danych czy nadanie przetwarzaniu niezbędnych zabezpieczeń, zobowiązanych jest spełnić wymogi RODO, aby chronić prawa osób, których dane dotyczą.

Zasada "privacy by default" (zwana również "domyślną zasadą prywatności") wymaga od administratorów danych wdrożenia odpowiednich środków technicznych i organizacyjnych, aby domyślnie przetwarzane były tylko te dane, które są niezbędne do osiągnięcia celu przetwarzania. Inaczej mówiąc "privacy by default" przewiduje szeroką, domyślną ochronę prywatności danych osobowych użytkowników danego systemu lub oprogramowania, która może być rozszerzona wyłącznie na podstawie zmiany ustawień dokonanych przez administratora systemu, na żądanie osoby lub osób przetwarzających dane.

Naruszenie ochrony danych osobowych to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Innymi słowy to każdy incydent, który narusza przepisy RODO.

Zgłaszanie naruszeń ochrony danych osobowych jest istotnym krokiem w zapewnieniu odpowiedniej ochrony prywatności i przestrzeganiu przepisów dotyczących ochrony danych. W większości jurysdykcji naruszenia ochrony danych osobowych powinny być zgłaszane, gdy doszło do naruszenia bezpieczeństwa danych osobowych, a prawdopodobnie naruszenie to spowoduje wysokie ryzyko dla praw i wolności osób fizycznych. W Unii Europejskiej, zgodnie z Rozporządzeniem Ogólnym o Ochronie Danych (RODO), naruszenia ochrony danych osobowych powinny być zgłaszane do lokalnego organu nadzorczego ds. ochrony danych, takiego jak Urząd Ochrony Danych Osobowych (UODO) w Polsce. Termin zgłoszenia to "niezwłocznie" lub w niektórych przypadkach do 72 godzin. Osoby fizyczne, których dane były naruszone, także powinny zostać poinformowane o incydencie.

Art. 57 RODO określa precyzyjnie zadania Prezesa Urzędu Ochrony Danych Osobowych (UODO), do których należą m. in.: monitorowanie i egzekucja stosowania RODO przez inne podmioty, upowszechnianie wiedzy o ryzyku, zabezpieczeniach i prawach związanych z przetwarzaniem, doradztwo w zakresie ochrony danych osobowych, rozpatrywanie skarg i prowadzenie postępowań, orzekanie decyzji oraz ustalanie i nakładanie kar administracyjnych za naruszenia przepisów RODO. UODO to państwowy organ nadzorczy, który stoi na straży przepisów RODO w Polsce.

Proces kontrolny przeprowadzany przez inspektora Urzędu Ochrony Danych Osobowych (UODO) obejmuje szereg kroków mających na celu zapewnienie zgodności z przepisami o ochronie danych osobowych. Na początku inspektor UODO informuje organizację o planowanej kontroli, co umożliwia podmiotowi przetwarzającemu dane odpowiednie przygotowanie się na wizytę. Powiadomienie to zawiera zazwyczaj cele kontroli, zakres danych, które będą poddane weryfikacji, a także czas i miejsce przeprowadzenia kontroli.

Wizyta inspektora stanowi kluczowy etap procesu. Podczas wizyty inspektor UODO odwiedza siedzibę organizacji i przeprowadza dogłębne badanie procedur oraz praktyk związanych z przetwarzaniem danych osobowych. Inspektorzy mogą żądać dostępu do dokumentów i dowodów związanych z przetwarzaniem danych, a także przeprowadzać wywiady z odpowiedzialnymi za przetwarzanie danych, aby uzyskać pełny obraz sposobu, w jaki dane są gromadzone, przetwarzane i chronione.

Kolejnym krokiem jest weryfikacja zgodności z przepisami o ochronie danych. Inspektorzy UODO analizują praktyki organizacji pod kątem zgodności z obowiązującymi przepisami, takimi jak Rozporządzenie Ogólne o Ochronie Danych (RODO) w przypadku Unii Europejskiej, lub lokalne ustawy o ochronie danych. Badana jest m.in. zgodność zasad przetwarzania danych, wyrażanie zgody przez osoby, których dane dotyczą, oraz bezpieczeństwo danych.

Inspektorzy dokonują także oceny ryzyka związanego z przetwarzaniem danych osobowych. Weryfikują, czy istnieją potencjalne zagrożenia dla bezpieczeństwa danych i prywatności osób fizycznych oraz czy organizacja podejmuje odpowiednie środki w celu minimalizacji tych ryzyk. W przypadku stwierdzenia naruszeń lub braków w zabezpieczeniach danych, inspektorzy zobowiązani są zgłosić takie naruszenia do odpowiednich organów nadzorczych.

Po przeprowadzeniu kontroli inspektor UODO sporządza szczegółowy raport, który zawiera jego ustalenia oraz zalecenia dotyczące poprawy ochrony danych osobowych w organizacji. Zalecenia te mają na celu pomóc organizacji w dostosowaniu się do przepisów o ochronie danych oraz wzmocnieniu ochrony prywatności osób fizycznych.

W przypadku wykrycia poważnych naruszeń ochrony danych osobowych lub braku zgodności z przepisami, UODO może nałożyć sankcje finansowe lub wymagać wprowadzenia działań naprawczych przez organizację w celu dostosowania się do przepisów.

Warto podkreślić, że proces kontrolny może różnić się w zależności od specyfiki kraju i lokalnych przepisów. Inspektorzy UODO działają zgodnie z prawem i przestrzegają określonych procedur, aby zapewnić skuteczną ochronę danych osobowych i prywatności osób fizycznych.

Polityka kluczy to rozwiązanie organizacyjne, które ma na celu kontrolę i ewidencję dostępu do pomieszczeń oraz innych fizycznych zabezpieczeń, w których znajdują się nośniki z danymi osobowymi zarówno w wersji papierowej jak i elektronicznej. Polityka kluczy to szereg procedur postępowania z kluczami, kartami dostępowymi do pomieszczeń oraz szaf, w których przetwarzane są dane osobowe w celu zabezpieczenia do nich dostępu osobom nieupoważnionym.

Polityka czystego biurka to rozwiązanie organizacyjne, którego celem jest zapewnienie poufności danych osobowych, przetwarzanych przez osoby upoważnione w trakcie wykonywania obowiązków służbowych lub pracowniczych, polegające na usuwaniu z niezabezpieczonego miejsca pracy danych osobowych w wersji papierowej oraz na elektronicznych nośnikach danych osobowych jak również stosowaniu wygaszaczy ekranu w przypadku korzystania z urządzeń wyświetlających dane osobowe. Spis reguł dotyczących pozostawiania stanowiska pracy bez kontroli w sposób zabezpieczający przetwarzane dane osobowe przed dostępem osób nieupoważnionych.

Obowiązek informacyjny to nic innego jak poinformowanie osoby, której dane osobowe są przetwarzane o takim fakcie, ze wskazaniem danych kontaktowych administratora danych osobowych (ADO) oraz (o ile występuje) inspektora ochrony danych osobowych (IOD). Informacja taka powinna zawierać ponadto cele i podstawę prawną przetwarzania, ujawnienia danych innym podmiotom czy transfer danych poza UE, a także okres przechowywania danych i prawa przysługujące osobom, których dane dotyczą. Należy również poinformować o możliwości wglądu, poprawiania i usunięcia danych (o ile to możliwe), tj. prawie do bycia zapomnianym (zgodnie z RODO). Informacja ponadto powinna wskazywać czy dane osobowe są gromadzone wobec wymogów prawa czy też ich podanie jest dobrowolne oraz czy będą wykorzystywane do zautomatyzowanych procesów podejmowania decyzji. Generalnie ADO musi spełnić obowiązek informacyjny (często uformowany w postaci klauzul informacyjnych, polityk prywatności lub regulaminów) przed rozpoczęciem procesu przetwarzania danych w stosunku do każdej osoby, której dane będą przetwarzane, by ta osoba wiedziała co dzieje się z jej danymi.

Osoby, których dane osobowe są przetwarzane, mają wiele praw, które zostały ustanowione w celu ochrony ich prywatności i kontroli nad danymi osobowymi. Poniżej zestawienie kluczowych praw, jakie przysługują tym osobom w związku z przetwarzaniem ich danych:

• prawo do informacji – osoba ma prawo być poinformowana o tym, że jej dane osobowe są przetwarzane, jakie są cele przetwarzania, jakie kategorie danych są przetwarzane, kto jest administratorem danych, jak długo dane będą przechowywane i czy dane będą przekazywane do innych podmiotów,
• prawo dostępu – osoba ma prawo uzyskać potwierdzenie, czy jej dane osobowe są przetwarzane, oraz dostęp do treści tych danych oraz informacji o sposobie ich przetwarzania,
• prawo do sprostowania – osoba ma prawo żądać poprawienia lub uzupełnienia nieprawidłowych lub niekompletnych danych osobowych,
• prawo do usunięcia (tzw. "prawo do bycia zapomnianym") – osoba ma prawo zażądać usunięcia swoich danych osobowych, jeśli istnieje jeden z określonych prawem powodów, np. gdy dane nie są już niezbędne do celów, dla których zostały zebrane,
• prawo do ograniczenia przetwarzania – osoba może zażądać ograniczenia przetwarzania swoich danych osobowych, na przykład w sytuacji, gdy podważa ich poprawność lub kwestionuje legalność przetwarzania,
• prawo do przenoszenia danych – osoba ma prawo otrzymać swoje dane osobowe w strukturalnym, powszechnie używanym formacie i przesłać je innemu administratorowi danych, jeśli przetwarzanie opierało się na zgodzie lub umowie i odbywało się w sposób zautomatyzowany,
• prawo do wniesienia sprzeciwu – osoba ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania swoich danych osobowych w przypadku, gdy przetwarzanie odbywa się w oparciu o prawnie uzasadniony interes administratora lub w celach marketingowych,
• prawo do sprzeciwu wobec zautomatyzowanego podejmowania decyzji – osoba ma prawo nie być poddana decyzjom podejmowanym wyłącznie na podstawie zautomatyzowanego przetwarzania danych, w tym profilowaniu, jeśli te decyzje mają dla niej istotne skutki prawne lub podobnie istotnie ją dotyczą,
• prawo do cofnięcia zgody – w przypadku, gdy dane są przetwarzane na podstawie zgody, osoba ma prawo w każdym czasie cofnąć swoją zgodę na przetwarzanie danych; cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania danych przed jej wycofaniem,
• prawo do złożenia skargi – osoba, której dane osobowe są przetwarzane, ma prawo złożyć skargę do organu nadzorczego ds. ochrony danych, jeśli uważa, że przetwarzanie jej danych osobowych narusza przepisy o ochronie danych.

Warto zaznaczyć, że prawa te mogą być różnie realizowane w zależności od jurysdykcji, w której obowiązują przepisy dotyczące ochrony danych osobowych, takie jak RODO w Unii Europejskiej. Organizacje przetwarzające dane osobowe powinny być świadome i respektować te prawa, zapewniając odpowiednie mechanizmy umożliwiające ich realizację przez osoby, których dane dotyczą.

Szkolenie z ochrony danych osobowych powinno zawierać różnorodne zagadnienia, które pomogą uczestnikom zrozumieć znaczenie ochrony danych osobowych, przepisów prawnych związanych z przetwarzaniem danych oraz odpowiedzialności wynikających z przetwarzania danych osobowych. Oto kilka kluczowych tematów, które powinny być objęte takim szkoleniem:

1. Wprowadzenie do ochrony danych osobowych:
   • wyjaśnienie podstawowych terminów i definicji związanych z ochroną danych osobowych,
   • omówienie znaczenia ochrony danych osobowych dla prywatności i bezpieczeństwa osób fizycznych.
2. Przepisy prawne dotyczące ochrony danych osobowych:
   • zapoznanie uczestników ze stosownymi przepisami prawymi, takimi jak RODO w Unii Europejskiej, oraz lokalnymi ustawami o ochronie danych w odpowiedniej jurysdykcji,
   • wyjaśnienie podstawowych zasad przetwarzania danych osobowych, w tym zasad zgodności, celu, minimalizacji danych i ograniczenia przechowywania danych.
3. Podstawowe obowiązki administratora danych:
   • omówienie roli i odpowiedzialności administratora danych w przetwarzaniu danych osobowych,
   • wyjaśnienie procedur do przestrzegania praw osób, których dane są przetwarzane, w tym prawa do informacji, dostępu i usunięcia danych.
4. Bezpieczeństwo danych:
   • wyjaśnienie znaczenia odpowiednich środków bezpieczeństwa i zabezpieczeń danych osobowych przed nieautoryzowanym dostępem, utratą, uszkodzeniem czy ujawnieniem,
   • przedstawienie zasad korzystania z haseł, uwierzytelniania i monitorowania dostępu do danych.
5. Procedury zgłaszania naruszeń ochrony danych osobowych:
   • wyjaśnienie, jak identyfikować i zgłaszać naruszenia ochrony danych osobowych, zarówno wewnętrznie w organizacji, jak i odpowiednim organom nadzorczym.
6. Profilowanie i zautomatyzowane podejmowanie decyzji:
   • omówienie zasad profilowania danych osobowych i wpływu na podejmowanie decyzji na podstawie automatycznych procesów przetwarzania danych.
7. Sankcje za naruszenia ochrony danych:
   • przedstawienie konsekwencji prawnych i sankcji, jakie mogą wynikać z naruszenia przepisów o ochronie danych osobowych.
8. Przykłady praktyczne i studia przypadków:
   • przeprowadzenie praktycznych ćwiczeń i prezentacja rzeczywistych przypadków związanych z ochroną danych osobowych.
9. Kultura ochrony danych osobowych:
   • Zachęcanie do świadomości i wdrażania kultury ochrony danych osobowych w organizacji.

Szkolenie powinno być odpowiednio dostosowane do odbiorców i kontekstu, w którym przetwarzane są dane osobowe. Może być skierowane zarówno do pracowników, którzy na co dzień przetwarzają dane, jak i do kadry zarządzającej odpowiedzialnej za polityki ochrony danych w organizacji.

Zgodnie z RODO każda osoba, która odpowiedzialna jest za przetwarzanie danych lub będzie miała dostęp do przetwarzanych danych, z upoważnieniem od administratora danych osobowych, powinna być zaznajomiona zarówno z przepisami rozporządzenia, jak i wewnętrznymi aktami prawnymi i środkami bezpieczeństwa, do których powinna się stosować w miejscu przetwarzania danych osobowych.

Upoważnienie do przetwarzania danych osobowych to formalne uprawnienie udzielone przez administratora danych osobowych (np. firma, instytucja, organizacja) osobie lub podmiotowi trzeciemu, które pozwala na przetwarzanie danych osobowych w jego imieniu i zgodnie z jego wytycznymi.

W kontekście przetwarzania danych osobowych, administrator danych jest podmiotem decydującym o celach i sposobach przetwarzania danych. Upoważnienie jest stosowane, gdy administrator danych chce powierzyć przetwarzanie danych innemu podmiotowi, ale nadal zachowuje odpowiedzialność za zgodne z przepisami ochrony danych osobowych przetwarzanie.

Upoważnienie do przetwarzania danych osobowych powinno być zawarte w formie umowy, w której określone są szczegóły dotyczące zadań i zakresu przetwarzania danych, środków bezpieczeństwa, obowiązków strony przetwarzającej oraz zobowiązania do przestrzegania przepisów ochrony danych osobowych. Upoważnienie to nie zwalnia administratora danych z odpowiedzialności za prawidłowe przetwarzanie danych i zabezpieczenie ich przed nieuprawnionym dostępem czy utratą.

Oświadczenie o zachowaniu poufności danych osobowych to dokument, w którym osoba lub pracownik zobowiązuje się do przestrzegania zasad poufności i ochrony danych osobowych, do których ma dostęp w związku z wykonywanymi obowiązkami lub funkcją.

Takie oświadczenie jest szczególnie istotne w przypadku osób pracujących w firmach, organizacjach czy instytucjach, które mają dostęp do poufnych danych osobowych klientów, pacjentów, partnerów biznesowych lub innych osób. Przez podpisanie oświadczenia, pracownik lub osoba zobowiązuje się do przestrzegania odpowiednich procedur i zabezpieczeń w celu ochrony danych osobowych przed nieuprawnionym dostępem, utratą, uszkodzeniem czy ujawnieniem.

Oświadczenie o zachowaniu poufności danych osobowych jest dokumentem ważnym z punktu widzenia ochrony prywatności i bezpieczeństwa danych. Jego podpisanie jest często wymagane w ramach procedur związanych z dostępem do poufnych danych osobowych lub zatrudnienia w miejscach, gdzie przetwarzane są dane osobowe.

Obszar przetwarzania danych osobowych odnosi się do przestrzeni, w której dane osobowe są gromadzone, przetwarzane, przechowywane, udostępniane lub używane w określonym celu. Może to obejmować różne środowiska, takie jak systemy informatyczne, bazy danych, pliki papierowe, chmury danych, itp.

W kontekście ochrony danych osobowych, obszar przetwarzania danych osobowych to wskazanie, gdzie i jakie dane osobowe są przetwarzane. Jest to szczególnie ważne, ponieważ pozwala zidentyfikować, kontrolować i zabezpieczyć dane osobowe przed nieuprawnionym dostępem, utratą lub niepożądanym ujawnieniem.

Obszar przetwarzania danych osobowych może obejmować: systemy informatyczne, serwery i centra danych, dokumenty papierowe, aplikacje i strony internetowe, wewnętrzne i zewnętrzne procesy oraz Przekazywanie danych osobowych do podmiotów trzecich.

Każda organizacja przetwarzająca dane osobowe powinna dokładnie zdefiniować i monitorować swój obszar przetwarzania danych osobowych, aby zapewnić skuteczną ochronę danych i zgodność z przepisami o ochronie danych osobowych.

Umowa powierzenia przetwarzania danych osobowych, znana również jako umowa DPA (Data Processing Agreement), to umowa zawierana między administratorem danych osobowych (lub podmiotem, który decyduje o celach i środkach przetwarzania danych) a podmiotem przetwarzającym dane osobowe w imieniu administratora.

Głównym celem umowy powierzenia przetwarzania danych jest określenie zasad i warunków, na jakich podmiot przetwarzający będzie przetwarzał dane osobowe w imieniu administratora danych. Administratorem danych jest podmiot, który jest odpowiedzialny za prawidłowe przetwarzanie danych osobowych, natomiast podmiot przetwarzający jest zewnętrznym wykonawcą lub usługodawcą powierzonym zadaniem przetwarzania danych w imieniu administratora.

Elementy, które powinny być uwzględnione w umowie powierzenia przetwarzania danych osobowych, to m.in.: określenie stron umowy, opis celu i charakteru przetwarzania danych, warunki przetwarzania danych, obowiązki podmiotu przetwarzającego, audyty i kontrole, współpracę z organami nadzorczymi oraz usuwanie i przekazywanie danych.

Umowa powierzenia przetwarzania danych osobowych jest ważnym dokumentem w procesie przetwarzania danych osobowych przez podmioty zewnętrzne, umożliwiając administratorom danych zachowanie kontroli nad danymi osobowymi i zapewnienie ich odpowiedniej ochrony.

Zewnętrzny nośnik danych osobowych to fizyczne urządzenie lub medium, na którym przechowywane są dane osobowe poza wewnętrznymi systemami i infrastrukturą organizacji. Może to być różnorodne urządzenie, na którym dane osobowe są zapisywane, takie jak:

• zewnętrzny dysk twardy (zewnętrzny HDD) – jest to przenośny dysk twardy, który można podłączyć do komputera za pomocą portu USB lub innych interfejsów; zewnętrzny HDD może być wykorzystywany do przechowywania i transferu danych osobowych poza wewnętrznymi systemami firmy,
• pamięć USB (pendrive) – to małe, przenośne urządzenie z interfejsem USB, które umożliwia przechowywanie i przenoszenie danych osobowych w formie plików,
• karty pamięci – karty pamięci, takie jak karty SD lub microSD, są często wykorzystywane w różnych urządzeniach, takich jak aparaty fotograficzne czy smartfony, i mogą zawierać dane osobowe,
• dyski SSD (Solid State Drive) – podobnie jak zewnętrzne dyski twarde, dyski SSD mogą być przenośnymi nośnikami danych osobowych, oferującymi wyższą szybkość odczytu i zapisu,
• dysk optyczny – w tym przypadku mowa o nośnikach takich jak płyty CD, DVD lub Blu-ray, które również mogą być używane do przechowywania danych osobowych,
• dysk sieciowy NAS (Network-Attached Storage) – jest to urządzenie podłączone do sieci lokalnej, na którym można przechowywać dane osobowe i udostępniać je wielu użytkownikom.

Zewnętrzne nośniki danych osobowych mają zalety i są używane w różnych kontekstach, ale wiążą się również z pewnymi ryzykami. Przenośne urządzenia mogą być łatwiej zagubione, skradzione lub naruszone, co może prowadzić do nieautoryzowanego dostępu do danych osobowych i naruszenia prywatności. Dlatego ważne jest, aby organizacje odpowiednio zabezpieczały zewnętrzne nośniki danych osobowych i wprowadzały odpowiednie polityki i procedury w celu minimalizacji ryzyka związanego z ich używaniem.

Anonimizacja dokumentów to proces, w którym dane są nieodwracalnie przekształcane do postaci uniemożliwiającej ich bezpośrednie przyporządkowanie do danej osoby fizycznej. Inaczej mówiąc, anonimizacja oznacza, że nie jest możliwe ustalenie, jakiej osoby fizycznej dotyczy dany dokument. Co ciekawe, choć przepisy RODO nie zawierają definicji "anonimizacji danych osobowych", to pojęcie to można spotkać np. na gruncie ustawy o świadczeniu usług drogą elektroniczną. Po dokonaniu anonimizacji administrator danych osobowych nie posiada w zasadzie żadnej technicznej możliwości przywrócenia ich do postaci pierwotnej, a takie dokumenty nie podlegają zasadom ochrony danych (m. in. RODO).

Ochrona pomieszczeń, sprzętu, infrastruktury czy personelu wymaga zabezpieczenia fizycznego przed bezpośrednim działaniem czynników zewnętrznych, np. przed pożarem lub kradzieżą. Najogólniej zabezpieczenia fizyczne możemy podzielić na pasywne (utrudniające wystąpieniu zagrożenia, np. sejfy) oraz aktywne (wykrywające i przeciwdziałające zagrożeniom w czasie rzeczywistym, np. monitoring) – są to po prostu wszelkie zabezpieczenia, które utrudniają dostęp do danych osobowych osobom nieuprawnionym.

Zabezpieczenia fizyczne danych osobowych odnoszą się do środków i procedur mających na celu ochronę danych osobowych przed dostępem, kradzieżą, uszkodzeniem lub utratą w środowiskach fizycznych, takich jak biura, serwerownie, magazyny czy przenośne nośniki danych. Te zabezpieczenia są istotne, ponieważ dane osobowe mogą być podatne na różnego rodzaju zagrożenia fizyczne, a ich niewłaściwe zabezpieczenie może prowadzić do naruszenia prywatności i ochrony danych.

Wdrażanie odpowiednich zabezpieczeń fizycznych danych osobowych jest kluczowe dla zapewnienia poufności, integralności i dostępności danych oraz dla zapobiegania przypadkom naruszeń ochrony danych osobowych. Organizacje powinny regularnie przeglądać swoje procedury i środki zabezpieczeń, aby dostosować je do ewentualnych zmian w zagrożeniach i technologiach oraz aby spełniać obowiązujące przepisy ochrony danych.