Polityka Ochrony Danych

Dlaczego warto posiadać Politykę Ochrony Danych?

Ochrona bezpieczeństwa oraz ochrona informacji w dzisiejszych czasach jest niewątpliwie bardzo ważna. Odpowiedni poziom zabezpieczeń może bowiem stanowić przewagę konkurencyjną przedsiębiorstw.

Wraz z postępem technologicznym i wzrostem znaczenia informacji, znacznie wzrosła również skala zbierania i wymiany danych osobowych. Dostrzeżono więc potrzebę modyfikacji uregulowań prawnych w tym zakresie. Dotychczasowe przepisy w zakresie ochrony danych osobowych jasno określały jakie wymagania należy spełnić, aby działania administratora gwarantowały odpowiednią ochronę. Jednak sytuacja zmieniła się po wejściu w życie RODO, które nie zawiera wyraźnych przepisów dotyczących minimalnych standardów zabezpieczeń. Taka sytuacja nakazuje przedsiębiorcom działać w oparciu o własne procedury.

Powszechnie uznaje się, że najsłabszym ogniwem w organizacji jest człowiek. Często to właśnie pracownik stoi za ujawnieniem ważnych dla organizacji informacji. I wcale nie chodzi o to, aby obwiniać konkretne osoby, ale aby skupić się na minimalizacji ryzyka wycieku danych. Poza szkoleniem pracowników, wymierne efekty przynosi właśnie opracowanie i stosowanie odpowiednich procedur dotyczących bezpieczeństwa. Jednolite zasady w tym zakresie świadczą o wysokim poziomie rozwoju firmy. Ich wdrożenie dowodzi uwzględnienia znaczenia informacji w dzisiejszym środowisku biznesowym.

Dokument dotyczący omawianych procedur może nosić różne nazwy: „Polityka Bezpieczeństwa Informacji” czy „Polityka Ochrony Danych”. Niezależenie od tytułu, najważniejszą jej cechą jest to, że jest dostosowana do potrzeb danej organizacji.

Dobrze skonstruowana Polityka posiada kilka zasadniczych zalet.

  1. Odpowiednie procedury pozwalają osiągnąć zgodność z przepisami.

Jak zostało to wspomniane wyżej, dane osobowe stanowią informację i są ważnym zasobem dla firmy. Ich ochrona jest uregulowana przepisami prawnymi, co sprawia, że należy do niej przywiązywać szczególną wagę. Wyciek danych osobowych może nie tylko wpływać na konkurencyjność przedsiębiorstwa, ale również może skutkować karami finansowymi. Z tej perspektywy, zapewnienie odpowiedniego poziomu ochrony jest niezwykle ważne.

Odpowiednia dokumentacja pozwala nam usystematyzować jakie zabezpieczenia posiadamy oraz jakim wymogom prawnym one odpowiadają. Polityka Bezpieczeństwa Informacji w jasny sposób określa w jaki sposób spełniamy ciążące na nas obowiązki i jak umożliwiamy realizację praw osób, których dane przetwarzamy. Co więcej, sama Polityka nie jest obwarowana żadnymi przepisami, co daje nam pole do jej dowolnego kształtowania. Powszechną praktyką jest więc tworzenie kompleksowego dokumentu, który zawiera załączniki takie jak np. rejestr czynności przetwarzania (wymagany w pewnych przypadkach przez RODO). Tego typu dokument może więc stanowić kompletną dokumentację dotyczącą ochrony danych osobowych.

Pamiętajmy również, że RODO wprowadziło zasadę rozliczalności. Polega ona na tym, że to sam administrator danych musi wykazać zgodność z obowiązującymi przepisami. Samo posiadanie Polityki Bezpieczeństwa Informacji może stanowić dla organu nadzorczego dowód, że firma jako administrator danych dokonała należytej staranności w celu zabezpieczenia posiadanych danych i zastosowała środki organizacyjne mające na celu zminimalizowanie ryzyka ich naruszenia.

2. Zapewnia odpowiedni poziom bezpieczeństwa i wpływa na konkurencyjność firmy.

Poza spełnieniem wymogów prawnych, samo zapewnienie bezpieczeństwa informacji stanowi ważną strategię w osiąganiu sukcesów biznesowych. Jest ważne nie tylko dla samej organizacji (aby nie utraciła posiadanych zasobów), ale również dla jej partnerów biznesowych. Spełnianie określonych standardów i udokumentowane posiadanie zabezpieczeń z pewnością sprzyja nawiązywaniu współpracy.

W kontekście danych osobowych warto w tym miejscu odnieść się do umowy powierzenia. Ma ona zastosowanie w przypadku przekazywania danych osobowych innej organizacji, która przetwarza je w imieniu administratora. Powierzenie danych, nakłada na administratora obowiązek korzystania wyłącznie z usług podmiotu, który spełnia wymogi RODO, a więc który wdrożył odpowiednie środki techniczne i organizacyjne.

Posiadanie kompleksowej Polityki Bezpieczeństwa Informacji znowu może stanowić odpowiedni dowód zgodności z przepisami prawa. Odpowiednio skonstruowany dokument opisuje bowiem wdrożone środki i zabezpieczenia, a więc stanowi istotną podstawę do uznania, że zapewniony jest odpowiedni poziom ochrony danych osobowych.

3. Zapewnia poprawne działanie w przypadku sytuacji kryzysowej.

Nie od dzisiaj wiadomo, że w sytuacjach kryzysowych należy działać szybko, a często wpadamy w panikę i nie wiemy, jak się zachować. Może to rodzić nie tylko opóźnienia w reakcji, ale także wpływać na pogorszenie zaistniałej sytuacji.

Aby do tego nie dopuścić należy zawczasu opracować odpowiedni proces. Ważne jest, żeby ustalić do kogo ma trafić informacja w momencie wystąpienia naruszenia bezpieczeństwa, kto za nią odpowiada, w jaki sposób mają postępować pracownicy, jakie są terminy na ewentualne zgłoszenie do organów nadzorczych etc.

Naruszenie bezpieczeństwa informacji nie jest codzienną sytuacją i wprowadza chaos do organizacji. Odpowiednie procedury z pewnością pomagają nawet w niewielkim stopniu nad nim zapanować.

4. Pozwala na bieżące aktualizowanie wiedzy pracowników oraz umożliwia łatwe zapoznanie nowych pracowników z obowiązującymi zasadami.

Wewnętrzny dokument posiada ważną zaletę, jeśli jest dostępny dla pracowników, Ci mogą się z nim zapoznać w każdym czasie, w zależności od potrzeb. Skraca to znacznie czas reakcji w sytuacji kryzysowej (nie trzeba czekać na instrukcje kompetentnej osoby) oraz pozwala na samodzielne dokształcanie się z zakresu zabezpieczeń informacji. Jest to ważne nie tylko z punktu widzenia pracodawcy, ale samego pracownika. Jest on zazwyczaj zobowiązany do zachowania poufności, dostaje upoważnienia do ochrony danych, wobec tego we własnym interesie powinien zapoznać się z polityką firmy z zakresu ochrony informacji. Naruszenie któregoś ze zobowiązań może bowiem skutkować pociągnięciem go do odpowiedzialności.

Kompletne instrukcje są ważne również dla nowych pracowników. Po pierwsze, mogą oni zapoznać się ze wszystkimi procedurami. Po drugie, mówiąc kolokwialnie, w każdym czasie mogą do nich „wrócić”. Jest to szczególnie ważne biorąc pod uwagę ogrom informacji, z jakim nowe osoby muszą się zapoznać przychodząc do organizacji.

Spójna, jednolita polityka firmy dotycząca ochrony informacji jest niewątpliwie bardzo istotna. Jednak warunkiem osiągania ww. korzyści jest jej odpowiednie przygotowanie. Przede wszystkim tworzenie polityki wymaga głębokiego zrozumienia procesów zachodzących w organizacji oraz zidentyfikowania jej odbiorców. Jest to dokument indywidualnie dopasowany do potrzeb każdej firmy, więc nie może być „uniwersalny”. Najczęściej konieczne jest przeprowadzenie audytu i skorzystanie z pomocy profesjonalistów.

Jeszcze ważniejsze jest jednak faktyczne stosowanie procedur opisanych w Polityce.

 W jaki sposób można to skutecznie osiągnąć?

Stosowanie procedur bardzo ściśle wiąże się z ich przygotowaniem. Dobrze opracowana Polityka posiada zalety dla pracowników takie jak: poprawa organizacji pracy, uporządkowanie i ujednolicenie dokumentacji czy poprawa bezpieczeństwa danych, nie tylko klientów, ale również samych pracowników. Dlatego właśnie tak kluczowe jest zidentyfikowanie ich potrzeb w tym obszarze. Jeśli zostaną one zrealizowane, może okazać się, że stosowanie Polityki nie będzie jedynie przymusem związanym z wypełnieniem obowiązków służbowych i przypisaną za nie odpowiedzialnością.

Zapewnienie skutecznego stosowania jest uwarunkowane również bieżącą weryfikacją oraz udoskonalaniem i dostosowywaniem procedur do zmieniających się potrzeb. Aktualizowanie Polityki musi mieć miejsce w każdej organizacji, aby nie stała się ona martwym dokumentem, nie mającym zastosowania do bieżącej działalności.

Po trzecie, procedury są podstawą do szkoleń. Należy edukować pracowników, żeby wprowadzone reguły były dla nich jasne, a ich stosowanie prostsze. Szkolenia są doskonałą okazją do wytłumaczenia przyczyn ich wprowadzania, rozwiania pojawiających się wątpliwości, a także wysłuchania propozycji ewentualnych zmian.

Nie sposób nie docenić znaczenia informacji, w tym danych osobowych, w dzisiejszych czasach. Nie sposób również pominąć kwestii ich zabezpieczenia. Rozwiązania techniczne to jedno, natomiast warto skupić się również na rozwiązaniach organizacyjnych. Wprowadzenie odpowiednich procedur może zminimalizować ryzyko naruszania bezpieczeństwa danych w firmie i w efekcie przyczynić się do jej sprawnego działania.

Autor: Aleksandra Ksionek.

RODO w praktyce

Szkolenie RODO

Zapraszamy wszystkich chętnych do wzięcia udziału w szkoleniu na temat wdrożenia w organizacji ogólnego rozporządzenie o ochronie danych.

Miejsce szkolenia: Centrum Konferencyjne Warszawianka ul. Merliniego 2A Warszawa

Data: 20.06.2017; godz. 10:00-16:00

Koszt: 600 zł netto. Cena obejmuje: uczestnictwo w szkoleniu, materiały szkoleniowe, poczęstunek w przerwach (kawa, herbata, ciastka), obiad oraz  zaświadczenie o ukończeniu szkolenia.

Zgłoszenia można wysyłać na adres kontakt@auraco.pl

Adresaci:

  • kadra kierownicza, która jest odpowiedzialna za kreowanie polityki dotyczącej ochrony danych osobowych,
  • pracownicy odpowiedzialni za realizacją zadań związanych z przetwarzaniem danych osobowych (np. pracownicy działu kard, marketingu, sprzedaży, itd.),
  • administratorzy bezpieczeństwa informacji,
  • przyszli inspektorzy ochrony danych osobowych,
  • osoby zarządzające systemem ochrony danych osobowych

Cel:

Na szkoleniu zostaną zaprezentowane zmiany, jakie ma wprowadzić rozporządzenie UE tzw. ogólne rozporządzenie o ochronie danych w stosunku do obecnie obowiązującego prawa w tym zakresie w Polsce oraz ujednolicające ochronę danych osobowych w państwach członkowskich UE. Szkolenie ma za zadanie przedstawić praktyczne aspekty związane z realizacją obowiązków jakie będą ciążyły na administratorach danych (np.: konieczność zgłaszania incydentów do organu nadzorczego oraz informowanie osób poszkodowanych przed dane zdarzenie) jak i uprawnień oraz praw osób, których dane będą przetwarzane (np.: tzw. prawo do bycia zapomnianym). Poruszone zostaną zagadnienia zawiązane z ewentualnymi karami pieniężnymi nakładanymi na administratorów danych i formy egzekwowania nałożonych kar pieniężnych.

Wymagania wstępne dla uczestników:

Ze względu na temat warsztatu – szkolenie skierowane jest do osób/organizacji, które chcą się przygotować na nadchodzące zmiany. Szkolenie adresujemy nie tylko do osób posiadających podstawową wiedzę na temat danych osobowych, ale i tych bardziej zaawansowanych uczestników, w tym do osób pełniących funkcję Administratorów Bezpieczeństwa Informacji lub przymierzających się do jej pełnienia.

Korzyści:

Osoby uczestniczące w szkoleniu będą miały okazję do zapoznania się ze zmianami stanu prawnego i zakresu obowiązków, wynikających z rozporządzenia, które wejdzie w życie 25 maja 2018 r. Szkolenie dotyczy praktycznych elementów związanych ze stosowaniem nowych przepisów. Pozwoli to na skuteczne i sprawniejsze przygotowanie swojej organizacji do stosowania nowych wymogów prawnych.
Formuła spotkania czyli szkolenie powiązane z możliwością zadawania pytań  i dyskutowania na pewno pozwoli na sukcesywne przyswajanie wiedzy i wymianę doświadczeń z innymi uczestnikami szkolenia. Po zakończeniu warsztatów uczestnicy otrzymają komplet materiałów zawierających opracowania dydaktyczne tematu szkolenia jak i możliwość późniejszego uczestnictwa w indywidualnych konsultacjach.

Metodyka

Szkolenie jest oparte na prezentacji multimedialnej przedstawiającej zestawienie aktualnych i przyszłych regulacji prawnych w zakresie ochrony danych osobowych, uzupełnione o przykłady z praktyki, które będą stanowić podstawę dla prowadzącego, który będzie tematy szczegółowo omawiał, a także je rozwijał. Dodatkową częścią kursu będzie możliwość uczestnictwa w indywidualnych konsultacjach.

Plan szkolenia:

  1. Kto i kiedy stosuje RODO.
  2. Wdrożenie RODO – pierwsze kroki.
  3. Wyjaśnienie podstawowych pojęć z RODO:
    • Nowa definicja danych osobowych – szczególne kategorie danych;
    • Współadministratorzy;
    • Formy przetwarzania danych osobowych;
    • Inne definicje i ich znaczenie dla stosowania RODO w praktyce;
    • Braki definicyjne RODO.
  4. Przetwarzanie danych niewymagające identyfikacji.
  5. Zasady przetwarzania danych w RODO:
    • Zgodność z prawem, rzetelność i przejrzystość;
    • Celowość oraz dopuszczalność zmiany celu;
    • Adekwatność;
    • Czasowość.
  6. Zasada bezpieczeństwa:
    • pseudonimizacja i szyfrowanie danych osobowych;
    • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
    • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
    • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
  7. Administrator oraz współadministrator – obowiązki:
    • obowiązek prowadzenia audytów;
    • przeprowadzenie oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych;
    • analiza ryzyka przetwarzania danych osobowych;
    • zasada privacy by design oraz privacy by default.
  8. Podmiot przetwarzający – obowiązki.
  9. Podstawy przetwarzania danych osobowych:
    • zgoda na przetwarzanie danych – przygotowanie przykładowej klauzuli zgody;
    • pozostałe podstawy przetwarzania danych – w ramach jakich procesów stanowią podstawę przetwarzania;
    • porównanie podstaw prawnych wynikających z ustawy o ochronie danych osobowych a tych wynikających z RODO;
    • nowe wymogi dot. umów powierzenia przetwarzania danych.
  10. Omówienie skutecznego sposobu informowania o korzystanie z praw wynikających z RODO:
    • prawo do sprostowania danych;
    • prawo do bycia zapomnianym;
    • prawo do ograniczonego przetwarzania;
    • prawo do przenoszenia danych;
    • prawo do sprzeciwu.
  11. Nowy kształt obowiązku informacyjnego według RODO:
    • zbieranie danych od osoby, której dane dotyczą;
    • zbieranie danych nie bezpośrednio od osoby, której dane dotyczą.
  12. Obowiązek zgłaszania incydentów:
    • zgłaszanie incydentów PUODO;
    • zgłaszanie incydentów osobie, której dane dotyczą.
  13. Nowa dokumentacja:
    • Rejestr czynności przetwarzania danych;
    • Polityki bezpieczeństwa;
    • Upoważnienia do przetwarzania danych.
  14. Zasady certyfikacji oraz kodeksy postępowania.
  15. Wymagania w zakresie przetwarzania danych w systemach IT:
    • omówienie zabezpieczeń informatycznych zapewniających bezpieczeństwo danych przetwarzanych przy użyciu systemu IT;
    • wdrożenia niezbędnych środków organizacyjnych zabezpieczających dane osobowe przetwarzane w systemach informatycznych;
    • określenie okresu przetwarzania danych w systemach IT;
    • nowe funkcjonalności jakie powinien zapewnić system IT.
  16. Inspektor ochrony danych:
    • kto ma obowiązek wyznaczenia IOD;
    • jakie wymagania powinien spełniać IOD;
    • obowiązki IOD.
  17. Zasady przekazywania danych do państw trzecich.
  18. PUODO (dawniej GIODO):
    • właściwość, zadania i uprawnienia;
    • zasady prowadzenia kontroli;
    • współpraca z innymi organami nadzorczymi.
  19. Europejska rada ochrony danych.
  20. Środki ochrony prawnej:
    • kto może wnieść skargę do PUODO;
    • dochodzenie praw przed sądem;
    • prawo do odszkodowania.
  21. Odpowiedzialność:
    • administratora danych;
    • współadministratora;
    • podmiotu przetwarzającego;
    • osoby upoważnionej.
  22. Sankcje:
    • kryteria nakładania kar pieniężnych;
    • odwoływanie się nałożonych kar pieniężnych.
  23. Przepisy określające tryb postępowania przed PUODO – projekt uzupełniającej RODO polskiej ustawy o ochronie danych osobowych.
  24. Pytania i konsultacje.

(RODO) – oświadczenie dotyczące ochrony danych

rodo reforma ochrony danych

Komisja Europejska – Oświadczenie

Oświadczenie wiceprzewodniczącego Andrusa Ansipa i komisarz Věry Jourovej na rok przed rozpoczęciem stosowania ogólnego rozporządzenia o ochronie danych

Bruksela, 24 maja 2017 r.

W ubiegłym roku zostały przyjęte przez UE nowe unijne standardy ochrony danych. Ich powodzenie zależy nie tylko od dostosowania przez państwa członkowskie przepisów krajowych do nowych zasad, ale również od wiedzy obywateli na temat ich nowych praw i od gotowości przedsiębiorstw w UE do stosowania nowych przepisów, kiedy te wejdą w życie.

Mamy rok na przeprowadzenie we współpracy ze wszystkimi państwami członkowskimi i z przedsiębiorstwami działań niezbędnych do skutecznego wdrożenia nowych standardów. Działania te powinny zostać zintensyfikowane i wzmocnione w celu zapewnienia harmonizacji i uniknięcia rozdrobnienia w realizacji planu. W ciągu najbliższego roku zainicjujemy też ogólnounijną kampanię mającą na celu podnoszenie świadomości Europejczyków w zakresie przysługujących im praw.

Dokładnie za rok Unia Europejska zacznie odnosić korzyści dzięki nowym normom w zakresie ochrony danych. W maju 2018 r. rozpocznie się stosowanie nowych przepisów ogólnego rozporządzenia o ochronie danych. Staną się one solidną podstawą dla rozwoju jednolitego rynku cyfrowego.

Nowe przepisy będą chronić podstawowe prawo obywateli UE do ochrony danych osobowych. Nowe, lepiej zrozumiałe przepisy przyniosą korzyści nam wszystkim. Przykładowo osoba, której dane wpadną w ręce hakerów lub zostaną ujawnione, będzie miała prawo dowiedzieć się o tym możliwie najszybciej.

Nowe przepisy ułatwią również obywatelom składanie skarg i dochodzenie odszkodowań, jeśli uznają oni, że ich prawa nie są przestrzegane. Niezależnie od tego, gdzie przechowywane są dane, konieczne będzie jedynie skontaktowanie się z najbliższym organem ochrony danych. Dzięki karom wynoszącym nawet 4% rocznych obrotów, władze będą w stanie wyegzekwować przestrzeganie nowych przepisów.

Przedsiębiorstwa skorzystają natomiast z większej pewności prawa, gdyż w całej UE wprowadzony zostanie jednolity zbiór przepisów. Przedsiębiorstwa będą miały do czynienia tylko z jednym organem nadzoru – a nie z 28. Nie tylko uprości to procedury, ale wpłynie również na zmniejszenie kosztów. Małe i średnie przedsiębiorstwa korzystać będą z wyłączeń, co ma zapewnić dostosowanie przepisów do potrzeb i możliwości małych firm. Mówiąc bardziej ogólnie, gospodarka oparta na danych może

umożliwić wzrost przedsiębiorstw, modernizację usług publicznych oraz wzmocnienie pozycji obywateli. Gospodarka oparta na danych wspiera wzrost gospodarczy, ułatwia modernizację usług publicznych oraz umacnia pozycję obywateli. Jako że dane nieosobowe nie wchodzą w zakres rozporządzenia o ochronie danych, swobodny przepływ tych danych może być regulowany na szczeblu krajowym lub regionalnym. Jeszcze w 2017 r. Komisja przedstawi wniosek ustawodawczy w celu zagwarantowania swobodnego przepływu danych oraz inny wniosek promujący dostęp do danych i ich wielokrotne wykorzystywanie.

W 2018 roku wysokie normy europejskie w zakresie ochrony danych staną się wreszcie faktem. Nadzwyczaj ważne jest, abyśmy zapewnili ich funkcjonowanie w praktyce.

Kontekst:

Pakiet reform dotyczących ochrony danych osobowych wszedł w życie w maju 2016 r. i będzie miał zastosowanie od maja 2018 r. Obejmuje on ogólne rozporządzenie o ochronie danych i dyrektywę o ochronie danych sektora policji i wymiaru sprawiedliwości w sprawach karnych.

STATEMENT/17/1436

http://europa.eu/rapid/press-release_STATEMENT-17-1436_pl.pdf