Zaufanie jest jedną z najważniejszych wartości. Dlatego dziś przekazując gdziekolwiek swoje dane, czyli najdroższy surowiec XXI wieku, zawsze powinniśmy wybierać tylko takie podmioty, którym ufamy.
Idąc dalej, przedsiębiorca, który chce aby klient mu zaufał, powinien zapewnić odpowiedni poziom bezpieczeństwa dla pobieranych i przetwarzanych danych osobowych.
Jak więc szybko zweryfikować, czy dany podmiot w ogóle zastanawiał się nad tym aby zabezpieczać pozyskiwane dane osobowe ?
W tym celu kontynuując wątek z poprzednich dwóch postów:
przyjrzymy się bliżej obowiązkom jakie spoczywają na Administratorze Danych Osobowych.
Obowiązkom, które łatwo zweryfikować, ponieważ np. jeśli wchodzisz z kimś w interakcję, przekazujesz mu dane i Administrator Danych Osobowych, który je pobiera nie spełnia obowiązku informacyjnego, czyli nie przekazuje Ci klauzuli informacyjnej,
którą zgodnie z art. 13 i 14 RODO, zobowiązany jest przekazać podczas zbierania lub pozyskania danych,
to zapomnij, że w jego organizacji wdrożono jakiekolwiek procedury dotyczące bezpieczeństwa.
Zacznijmy jednak od samego początku. Kim jest Administrator ?
Zgodnie z samą definicją zawartą w RODO jest to:
"osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; "
Administrator, czyli właściciel zbieranych danych tj. spółka, osoba prowadząca jednoosobową działalność gospodarczą lub np. Wójt Gminy.
I na tym ADO spoczywają wymienione odpowiednio w poniższych artykułach Rozporządzenia o Ochronie Danych Osobowych (RODO) obowiązki. Obowiązki, które powinien spełniać każdy ADO, niestety rzeczywistość jest trochę inna.
Poniżej zebraliśmy i opisaliśmy krótko najważniejsze z nich:
Obowiązek informowania z art. 13 i 14 RODO, który aby dobrze wypełnić najlepiej zacząć od wypełniania art. 30 RODO, czyli:
"Każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają."
W takim rejestrze identyfikuje się cele przetwarzania danych, podstawy prawne, okres ich przechowywania, dzięki czemu w łatwy sposób można w dalszej kolejności przygotować politykę informacyjną, w której umieszcza się wymagane przepisami, czytelne i łatwe w zrozumieniu klauzule informacyjne.
Realizacja żądań z art. 15-22 RODO - każdy podmiot zobowiązany jest do realizacji przysługujących osobom fizycznym praw zapisanych w RODO. W tym celu powinien opracować dedykowane procedury, ułatwiające sprawną realizację obowiązku. Zadzwoń, sprawdź czy zostaniesz zidentyfikowany ? Jeśli nie, prawdopodobnie jeśli podasz się za kogoś znajomego, możesz uzyskać jego dane.
Zgodnie z Art. 24 RODO: " administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane."
Najlepszym sposobem realizacji tego obowiązku jest wdrożenie odpowiednich polityk i procedur, które zapewnią realizację zapisanego w artykule 1 RODO podstawowego prawa osób fizycznych, czyli: prawa do ochrony danych osobowych.
Art. 25 RODO - ADO uwzględnia ochronę danych w fazie projektowania oraz zapewnia domyślną ochronę danych. Krótko mówiąc, na każdym etapie procesu, ADO zawsze jako wartość nadrzędną stawia ochronę danych.
Art. 28 RODO - "Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą."
W tym celu przed powierzeniem danych, zawsze powinniśmy przeprowadzić sprawdzenie kontrahenta, któremu powierzamy dane i co ważniejsze, proces ten udokumentować.
Art. 31 RODO - "Administrator i podmiot przetwarzający oraz – gdy ma to zastosowanie – ich przedstawiciele na żądanie współpracują z organem nadzorczym w ramach wykonywania przez niego swoich zadań." Tutaj nie trzeba nic dodawać, dodamy tylko, że za brak współpracy z Urzędem, w Polsce nałożono już kilka kar. (https://www.rodo.pl/post/podsumowanie-kar-rodo-2020).
Art. 32 RODO - "Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne".
W tym celu każdy ADO powinien przeprowadzać cykliczną analizę ryzyka i na jej podstawie usprawniać swoje zabezpieczenia techniczne i organizacyjne.
Jeśli natomiast wynik analizy ryzyka jest bardzo wysoki:
Art. 35 RODO - "Jeżeli dany rodzaj przetwarzania ... z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych."
Ocena Skutków Ochrony Danych znana jako OSOD lub DPIA, tj. pogłębiona analiza ryzyka dla danego procesu.
Obowiązki związane z incydentami w zakresie RODO.
Art. 33 RODO - "W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu".
Art. 34 RODO - "Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu."
Jeśli otrzymałeś więc komunikat, że Twoje dane z jakiejś firmy wyciekły, to mimo, że to nie do końca sympatyczna informacja, to i tak dobrze świadczy o danym podmiocie. W dzisiejszym świecie nie ma zabezpieczeń nie do złamania, natomiast otrzymanie komunikatu o wycieku świadczy o tym, że firma profesjonalnie podchodzi do bezpieczeństwa i na pewno wprowadzi środki zaradcze, które uniemożliwią dostanie się do jej systemów w przyszłości. Potencjalnie więc firma, która miała wyciek, jest firmą bezpieczniejszą.
Art. 38 RODO - Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. - piszemy o tym tutaj https://www.rodo.pl/post/obowiazki-iod,
natomiast sam wątek dotyczący relacji ADO - IOD, rozwiniemy w naszym kolejnym artykule już w następnym tygodniu.
Na koniec przypominamy, że wszystkie powyższe obowiązki, w celu wykazania rozliczalności w przypadku kontroli, każdy Administrator powinien dokumentować.
Pozdrawiamy,
Zespół rodo.pl
źródła: