Prowadzenie dokumentacji zależy od sakli, charakteru, profilu i specyfiki prowadzonej działalności. W RODO nie znajdziemy obowiązku prowadzenia dokumentacji ani informacji, że musi się ona składać z Polityki bezpieczeństwa oraz Instrukcji zarządzania systemami informatycznymi – które do tej pory były regulacjami obligatoryjnymi. Jest co prawda wymóg prowadzenia rejestru czynności przetwarzania ale i od tego są wyjątki. Jeżeli zdecydujemy się na prowadzenie dokumentacji to ma być ona adekwatna do prowadzonego przez nas biznesu. W praktyce wiele rozwiązań, zapisów z dotychczas stosowanych regulacji okazuje się być bardzo pomocna. Bo o ile obowiązku prowadzenia dokumentacji nie ma to jednak zdecydowanie lepiej ją mieć, nawet w uproszczonej wersji. Pamiętajmy, że niezależnie do tego czy mamy powołanego Inspektora Ochrony Danych czy nie, czy jesteśmy zobligowani do prowadzenia rejestru czynności przetwarzania czy nie, to dane osobowe musimy chronić i możemy zostać skontrolowani przez organ nadzorczy. Prowadzenie dokumentacji, opisanie pewnych działań czy procedur pomaga w stworzeniu skuteczniejszego systemu bezpieczeństwa informacji oraz redukcji ryzyka. Jest to też przydatne jeśli chodzi o spełnienie zasady rozliczalności, która wymaga umiejętności wykazania, że podmiot spełnia wymogi RODO. Stąd tak jak wspominałem wcześniej, oprócz prowadzenia rejestru czynności przetwarzania, zasadne jest również prowadzenie innych rejestrów czy ewidencji – np. osób upoważnionych do przetwarzania danych, wykazu pomieszczeń w których odbywa się przetwarzanie etc.

autor: Paweł Waniek

To zależy od konstrukcji umowy. Jeżeli umowa dotyczy otrzymywania e-booków na e-maila, to jest to warunek konieczny do spełnienia umowy. Jeżeli natomiast umowa dotyczy szeroko rozumianego otrzymywania przez Zamawiającego pomocy dydaktycznych, książek, poradników, instrukcji etc. to należy określić w umowie czy jednym ze sposobów dostarczania wspomnianych materiałów jest ich przesyłanie na e-maila. Jeśli tego nie zrobiono to na otrzymywanie e-booków na e-maila potrzebna jest zgoda osoby, której takiego e-booka chcemy wysłać.

autor: Paweł Waniek

O tym czy zdecydowaliśmy się spełnić żądanie związane z którymś z przysługujących obywatelowi praw informujemy tylko zainteresowaną osobę w terminie do miesiąca czasu. W uzasadnionych przypadkach termin ten można przedłużyć o dwa miesiące. Należy także prowadzić rejestr obrazujący realizację przez nasz podmiot zadań związanych z korzystaniem przez osoby, których dane dotyczą z przysługujących im praw. Podobnie rzecz wygląda z prowadzeniem rejestru udostępnień danych. Wszystko ma związek z najważniejszą zasadą, którą rządzi się RODO, a więc zasadą rozliczalności. Jedyną sytuacją, w której organ nadzorczy dowiaduje się o podjętym przez nas działaniu związanym z danymi osobowymi jest skarga złożona przez osobę, której dane dotyczą. Może ona bowiem, będąc niezadowoloną z podjętej przez nas decyzji, zdecydować się na taki krok. Mało tego – w przypadku wydania przez nas decyzji negatywnej np. odmowie usunięcia danych, to my musimy tę osobę poinformować o możliwości zgłoszenia skargi do organu nadzorczego. Ten po rozpatrzeniu sprawy może nas zobligować do wydania odmiennej decyzji np. usunięcia danych.

autor: Paweł Waniek

Odpowiadając na to pytanie na gruncie RODO, na pewno należy po stwierdzeniu wystąpienia takich zdarzeń zawiadomić Inspektora Ochrony Danych, Administratora Systemów Informatycznych oraz Zarząd/najwyższe kierownictwo i to niezwłocznie. Każdy Administrator powinien opracować procedurę/zasady zgłaszania naruszeń, gdyż trzeba pamiętać, że mamy 72 godziny na zgłoszenie takiego zdarzenia do organu nadzorczego. Czas liczymy od momentu stwierdzenia danego naruszenia. Oczywiście nie każdy incydent powoduje konieczność poinformowania organu czy też osoby, której dane zostały narażone. Taki obowiązek istnieje w momencie kiedy ryzyko naruszenia praw i wolności osoby, której dane dotyczą jest wysokie. Ważne zatem, żeby ocenić czy i z jak poważnymi skutkami będziemy mieli do czynienia w związku z danym atakiem hackerskim czy innym naruszeniem bezpieczeństwa danych. Wykradzenie kompletu danych osobowych w postaci np. imienia, nazwiska, adresu, nr PESEL, nr telefonu, nr dowodu osobistego etc. jak najbardziej kwalifikuje się do zgłoszenia organowi oraz poinformowania osoby, że jej dane zostały skradzione. Pozostałe działania jakie winien podjąć Administrator to oczywiście wszczęcie postępowania wyjaśniającego mającego na celu ustalenie jak do danego incydentu doszło. Być może okaże się, że np. są potrzebne inwestycje jeśli chodzi o zabezpieczenia informatyczne. W przypadku udanego ataku hackerskiego, włamania do naszej placówki czy innego działania skutkującego wykradzeniem danych osobowych czy kradzieżą środków finansowych lub dóbr materialnych należy również poinformować policję.

autor: Paweł Waniek

to zależy od decyzji Administratora i jest powiązane z udzielaniem/cofaniem zgód oraz formą spełnienia obowiązku informacyjnego. W ramach spełnienia tegoż obowiązku trzeba poinformować osobę, której dane dotyczą także o przysługujących jej prawach m.in. prawo do bycia zapomnianym, nie podlegania profilowaniu, usunięcia, sprostowania danych, ograniczenia ich przetwarzania…jeżeli jest powołany IOD to należy powiadomić zainteresowane osoby, iż wszelkie kwestie związane z ochroną danych – w tym korzystanie z praw, należy załatwiać poprzez kontakt z nim. Wówczas Inspektor otrzymując zgłoszenie podejmie stosowne działania zmierzające do wypełnienia (bądź też nie – jeśli przepis stosownej ustawy mówi inaczej) żądania osoby, której dane dotyczą. Jeżeli znajdowanie się w bazie jest możliwe tylko na zasadzie udzielonej zgody, która zostaje cofnięta, no to w zależności od przyjętych przez Administratora rozwiązań, żądanie zostanie przesłane przez osobę, której dane dotyczą w jeden z dostępnych sposobów.

Obowiązek informacyjny można spełnić na wielu płaszczyznach i do tego namawiam. Mamy do dyspozycji np. tablicę ogłoszeń/informacyjną w naszej placówce, mamy dokumenty papierowe w postaci ulotek, umów/formularzy/ regulaminów załączanych do umów. Można także stworzyć stosowną zakładkę na stronie internetowej. W tych wszystkich miejscach możemy umieścić dane Administratora oraz jeżeli został powołany dane kontaktowane Inspektora Ochrony Danych. Pamiętajmy bowiem, że jeżeli mamy go powołanego, to właśnie on służy jako punkt kontaktowy nie tylko dla organu nadzorczego ale także naszych klientów/petentów/kontrahentów/współpracowników.

Przed stosowaniem linka bym przestrzegał z jednego prostego powodu. Bardzo często przestrzegano i wciąż przestrzega się ludzi przed klikaniem w różnego rodzaju podejrzane linki, mogące zawierać złośliwe oprogramowanie. Myślę, że u wielu budzi to już automatyczny odruch na zasadzie zapalania się w głowie czerwonej lampki ostrzegawczej. Po prostu w tematyce ochrony danych osobowych raczej namawiało się aby w linki nie klikać. To powiedziawszy nie znalazłem do tej pory żadnego oficjalnego zakazu stosowania tej metody jako możliwości wyrażenia zgody i raczej nie spodziewam się znaleźć. Administrator ma tu dowolność – to może być checkbox, link, formularz, który osoba może ściągnąć, wypełnić, a następnie odesłać na maila…najważniejsze by zapewnić, że zgoda faktycznie jest zgodą, a więc jest podejmowana dobrowolnie, świadomie i jej nie wyrażenie nie rości negatywnej konsekwencji dla osoby. Należy także pamiętać, by zagwarantować równie łatwy sposób jej cofnięcia, co udzielenia. Jeśli więc za pomocą linka osoba może nam dać swoją zgodę to również za pomocą linka musi mieć możliwość jej cofnięcia. Naturalnie to nie oznacza, że trzeba stosować tę samą metodę przy odwoływaniu zgody, którą się stosowało przy jej udzielaniu. Ktoś może nam udzielić zgody klikając w checboxa a odwołać ją przy najbliżej wizycie w naszym zakładzie. Ale możliwość odwołania zgody w ten sam sposób, w który się ją udzieliło MUSI istnieć.

Zależy od sytuacji. Pamiętajmy, że dane osobowe dotyczą osób fizycznych. Niemniej jednak faktury i to wcale nie wystawione dla osoby fizycznej, również podlegają pod RODO. Jeżeli bowiem na fakturze mamy „Jak Kowalski s.c. 26-600 Radom, ul. Radomska 76” to co prawda nie ma danych osobowych sensu stricte, gdyż informacje dotyczą firmy. Aczkolwiek jak czytamy w samej definicji danych osobowych – są to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Art. 4 ust. 1 RODO mówi, iż „możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować […]”. Za pomocą takiej faktury jak najbardziej w sposób pośredni możemy zidentyfikować p. Jana Kowalskiego jako TEGO Jana Kowalskiego. A zatem faktory, jak pozostałe dokumenty w formie papierowej zawierające dane osobowe, należy przechowywać w stosowny sposób. Jeżeli zaś chodzi o podstawy prawne dotyczące zamawiania, to przede wszystkim widzę tutaj dwa przypadki, którymi są lit b oraz f w art. 6 ust. 1. Pierwszy przypadek dotyczy zawarcia umowy i podjęcia działań w związku z jej realizacją. Zatem przed dokonaniem zamówienia spisujemy umowę, w której określamy jakie dane nam są potrzebne i do czego. Mamy również drugą możliwość, którą jest przetwarzanie niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią. Pozyskanie danych osobowych w postaci imienia, nazwiska i adresu od Zamawiającego jak najbardziej jest takim prawnie uzasadnionym interesem, gdyż realizując zamówienie musimy wiedzieć gdzie dostarczyć dany produkt oraz komu.

w momencie złożenia takiego żądania przez osobę, której dane dotyczą i uznania go za zasadne przez Administratora, dane należy usunąć zarówno w formie papierowej jak i elektronicznej. Przez usunięcie danych w formie elektronicznej rozumiemy zarówno ich kasację z systemu, ale także backupu, który powinien być usuwany po 72h. Często backup jest wykorzystywany jako archiwum. Jednak dr Maciej Kawecki – Dyrektor Departamentu Zarządzania Danymi, Koordynator reformy ochrony danych osobowych w Ministerstwie Cyfryzacji – prawdopodobnie PRZYSZŁY PREZES URZĘDU OCHRONY DANYCH OSOBOWYCH, zaznaczył, iż backup powinien być przechowywany tylko przez 72 h, przez co retencja danych winna być krótka. Stanowisko obecnego organu nadzorczego (GIODO) również informuje o konieczności usuwania danych z kopii zapasowych: „W odniesieniu do danych przetwarzanych przy użyciu systemów informatycznych obowiązek ich usuwania dotyczy również nośników informatycznych stanowiących kopie bezpieczeństwa. Czynności te należy jednak wykonywać, uwzględniając uwarunkowania techniczne takiego działania, przy jednoczesnym zapewnieniu bezpieczeństwa przetwarzania danych innych osób w ramach tego samego systemu informatycznego”. Zaznaczyć jeszcze należy, iż przed podjęciem decyzji o usunięciu danych, w pierwszej kolejności należy się zorientować czy nie posiadamy jako Administrator podstaw prawnych do tego, aby ów żądanie odrzucić. Może bowiem istnieć przepis szczególny, opisany w ustawie, który zezwoli nam na dalsze przetwarzanie danych mimo, że ustał pierwotny cel, na zasadzie którego je zgromadzono – np. akta byłych pracowników, które przechowujemy 50 lat.

Administrator, jeśli podjął decyzję o usunięciu danych z bazy w związku ze złożeniem przez daną osobę takiego żądania, musi ją o tym poinformować. W takiej informacji zwrotnej należy nawiązać do żądania przedłożonego przez osobę, której dane dotyczą, umieścić oznaczenie Administratora, podstawę prawną na bazie której doszło do usunięcia oraz datę realizacji żądania. Sam fakt możliwości usunięcia danych z bazy to spełnienie obowiązku informacyjnego, który można wykonać na kilka sposobów, z czego kilka przykładowych zostało przeze mnie podanych poniżej.

autor: Paweł Waniek