Ochrona danych osobowych

Ochrona danych osobowych staje się istotnym elementem prowadzonej działalności gospodarczej. Praktycznie każdy przedsiębiorca przetwarza dane osobowe: swoich pracowników, kontrahentów, partnerów biznesowych. Są to wszystkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, co sprawia, iż praktycznie każda informacja może być uznana za daną osobową.
Przepisy regulujące przetwarzanie danych osobowych wprowadzają szereg obowiązków, których naruszenie skutkować może odpowiedzialnością zarówno cywilną jak i karną.

 

Audyt zgodności przetwarzania danych osobowych z przepisami

Celem audytu jest badanie procesów przetwarzania danych osobowych oraz weryfikacja tak ustalonego stanu faktycznego z dokumentami oraz z obowiązującymi przepisami i dobrymi praktykami. W ten sposób pomożemy Państwu nie tylko uzyskać obiektywną ocenę faktycznego funkcjonowania w obszarze przetwarzania danych osobowych, ale również wskazać na potencjalne ryzyka związane z ewentualnymi nieprawidłowościami.

W ramach audytu zgodności przetwarzania danych osobowych z przepisami oferujemy:

  • analizę procesów takich jak rekrutacja, sprzedaż czy marketing pod kątem zgodności z przepisami oraz dobrymi praktykami;
  • weryfikację dokumentacji pod kątem spełniania wymogów formalnych;
  • ocenę celu i związanego z nim zakresu przetwarzania danych osobowych dla realizacji zamierzeń biznesowych;
  • badanie adekwatności zastosowanych środków ochrony: fizycznych, technicznych i organizacyjnych;
  • zweryfikujemy współpracę z podmiotami zewnętrznymi, takimi jak podwykonawcy czy dostawcy, w zakresie prawidłowości powierzenia przetwarzania danych osobowych;

Efektem przeprowadzonego badania jest indywidualny raport przekazywany Klientowi, zawierający wnioski z audytu w odniesieniu do przyjętych kryteriów, które wyznaczają przepisy prawa, dobre praktyki oraz potrzeby biznesowe Klienta. Jest to wybór zalecany w przypadku podmiotów, które nie podejmowały do tej pory żadnych działań związanych z ustaleniem zgodności z prawem przetwarzania danych osobowych. Opracowany raport może być wykorzystany podstawa do skupienia uwagi na obszarach, w których problematyka ta była pomijana np. kadr czy IT.

Audyt zgodności przetwarzania danych osobowych z RODO

Do 25 maja 2018 roku podmioty przetwarzające dane, w szczególności przedsiębiorcy mają czas na dostosowanie się do nowej unijnej regulacji dotyczącej ochrony danych osobowych. Od tego dnia zacznie obowiązywać rozporządzenie z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO), które zastąpi dotychczas obowiązującą dyrektywę 95/46/WE, a w konsekwencji również polską ustawę o ochronie danych osobowych. Rozporządzenie to będzie stosowane jednolicie i bezpośrednio w całej Unii Europejskiej, co oznacza, że polski ustawodawca, poza pewnymi aspektami, nie będzie musiał uchwalać, tak jak było dotychczas, aktu implementującego rozporządzenie do polskiego porządku prawnego.

Przedsiębiorcy powiązani z podmiotami funkcjonującymi na terenie innych krajów Unii będą mogli wprowadzić jednolite rozwiązania bazujące na unijnym rozporządzeniu. Nie można jednak pominąć pewnej swobody jaką prawodawca unijny pozostawił państwom członkowskim. Zmianie ulegną również przepisy Kodeksu pracy w zakresie rozszerzenia katalogu danych, które może przetwarzać pracodawca (art. 88 RODO), co znajdzie swoje odzwierciedlenie w procesie rekrutacji oraz przetwarzania danych pracowników. Przedsiębiorcy nie mogą zatem polegać wyłącznie na praktykach i regułach przetwarzania danych narzuconych przez powiązane kapitałowo podmioty, bowiem mogą one nie odpowiadać w pełnym zakresie przepisom polskiego prawa.

W toku dedykowanych spotkań z pracownikami poszczególnych działów ustalone zostaną faktyczne zagrożenia i nieprawidłowości. Należy mieć bowiem na uwadze, iż nawet wdrożenie prawidłowych zasad organizacyjnych związanych z przetwarzaniem danych osobowych nie jest równoznaczne z ich przestrzeganiem. Tymczasem administrator danych osobowych ponosi odpowiedzialność za faktycznie występujące nieprawidłowości. W takim przypadku celem audytu będzie próba zidentyfikowania nieprawidłowości, analiza ryzyka związanego z ich występowaniem oraz rekomendacje zmierzające do ich wyeliminowania. Całość będzie miała charakter kompleksowy obejmujący funkcjonowanie danego podmiotu.

Podsumowaniem badania będzie indywidualny raport przedstawiony podczas spotkania z kadrą zarządzającą. Obejmować on będzie w szczególności:

  • ocenę obecnie funkcjonujących środków technicznych i organizacyjnych;
  • określenie wymagań wynikających z RODO mających zastosowanie do badanego podmiotu;
  • określenie i zaprojektowanie procedur jakie muszą być wdrożone w celu spełniania wymagań wynikających z RODO, dostosowanych do struktury organizacyjnej Klienta;
  • określenie możliwości uwzględniania zasad ochrony danych w fazie projektowania i domyślnej ochrony danych;
  • określenie istnienia obowiązku wyznaczenia inspektora ochrony danych;
  • określenie istnienia obowiązku prowadzenia rejestru czynności przetwarzania danych.

Raport pozwoli wskazać obszary, które wymagać będą reakcji polegającej na dostosowaniu do wymagań RODO. Na tej podstawie możliwa będzie ocena wpływu regulacji nie tylko na poszczególny elementy struktury badanego podmiotu, ale także kompleksowe przedstawienie problemu. W innym przypadku może dojść do sytuacji, w których wyeliminowanie problemu w jednym obszarze funkcjonowania doprowadzi do jego powstania takiego problemu w innym. Przykładem może być nieprawidłowe skonstruowanie zgody na przetwarzanie danych osobowych w celach marketingowych. Nie można bowiem zapominać, iż w takim przypadku powstać może także problem związany ze świadczeniem usług drogą elektroniczną oraz wykorzystaniem telekomunikacyjnych urządzeń końcowych, o których mowa w ustawie Prawo telekomunikacyjne.

Sporządzenie dokumentacji

Posiadanie odpowiednich dokumentów jest wynikającym z przepisów prawa wymogiem, jaki muszą spełniać podmioty przetwarzające dane osobowe. Wiele podmiotów oferuje usługi w zakresie udostępnienia gotowych wzorów takich dokumentów jak Polityka Bezpieczeństwa Przetwarzania Danych Osobowych, jednak my wychodzimy z założenia, że nasi Klienci są wyjątkowi. Nie istnieją dwa takie same dokumenty: każdy przedsiębiorca inaczej konstruuje zasady funkcjonowania swojego biznesu, a ochrona danych osobowych wymaga właśnie takiego indywidualnego podejścia.

Przygotujemy kompleksową, indywidualną dokumentację związaną z ochroną danych osobowych, spełniającą wymogi ustawy o ochronie danych osobowych, aktów wykonawczych, przepisów regulujących funkcjonowanie danej branży, ale także w oparciu o dobre praktyki wynikające np. z norm ISO takich jak 27001.

W ramach obsługi prawnej przygotujemy i wdrożymy takie dokumenty jak:

  • Polityka Bezpieczeństwa Przetwarzania Danych Osobowych;
  • Instrukcja Zarządzania Systemem Informatycznym;
  • Upoważnienia do przetwarzania danych osobowych;
  • Upoważnienia do przebywania w obszarze przetwarzania danych osobowych;
  • Umowy powierzenia przetwarzania danych osobowych;
  • Klauzule: informacyjne, zgody na przetwarzanie danych osobowych.

Wdrożenie procedur

Posiadanie odpowiedniej dokumentacji stanowi tylko o spełnieniu wymogów formalnych przewidzianych przepisami prawa. Jeżeli jednak pracownicy nie wiedzą co zrobić z otrzymanym podaniem o pracę nie zawierającym zgody na przetwarzanie danych osobowych czy kontrahent wysyła sprzeciw co do przetwarzania jego danych, nieprawidłowe działania mogą skutkować poniesieniem odpowiedzialności cywilnej - odszkodowawczej, a nawet karnej.

Dlatego zapewniamy naszym Klientom wsparcie w procesie wdrażania zasad ochrony danych osobowych:

  • rejestrujemy zbiory danych osobowych w rejestrze prowadzonym przez GIODO;
  • negocjujemy w imieniu naszych Klientów umowy powierzenia przetwarzania danych osobowych czy umowy o zachowaniu poufności;
  • pomagamy wdrożyć środki techniczne i organizacyjne zapewniające bezpieczeństwo danych;
  • pomagamy określić zasady wysyłania newsletterów, prowadzenia akcji marketingowych czy promocyjnych, a także zasad rekrutacji;
  • w przystępny sposób szkolimy pracowników, wykonując w tym zakresie nałożony ustawą na administratora danych obowiązek.

Administrator Bezpieczeństwa Informacji i Inspektor ochrony danych osobowych

Obecnie Administratorzy Bezpieczeństwa Informacji wspierają administratorów danych osobowych w wykonywaniu wynikających z przepisów obowiązków. W przyszłości, po wejściu w życie regulacji RODO zastąpią ich Inspektorzy Ochrony Danych Osobowych. Nie można jednak zapomnieć, iż ustanowienie takiego pomocnika nie zwalnia administratora danych osobowych z odpowiedzialności za naruszenie zasad ich przetwarzania.

Dlatego w ramach naszej działalności oferujemy usługi, które pozwolą wesprzeć ABI czy Inspektorów w wypełnianiu ich obowiązków związanych z ochrona danych osobowych, a jednocześnie będą dla Klientów informacją jak wywiązują się z powierzonych im obowiązków. Zapewniamy m.in.:

  • udział podczas kontroli GIODO;
  • weryfikację legalności, celowości i adekwatności przetwarzania danych osobowych;
  • inwentaryzację zbiorów danych;
  • korespondencję z podmiotami, których dane są przetwarzane w zakresie związane z realizacją takich uprawnień jak prawo do informacji, prawo sprzeciwu czy  prawo do bycia zapomnianym;
  • wsparcie w sytuacja kryzysowych: kradzież, zniszczenie czy udostępnienie danych osobowych, skargi, etc.

Zgodność systemów IT a privacy by design oraz privacy by default

Nowe przepisy rozporządzenia w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, które wejdą w życie w maju 2018 r. nakładają na administratorów danych realizację takich zasad jak privacy by design czy privacy by default.

Administrator danych jest zobowiązany, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób wdrożyć odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń.

Idea privacy by desgin nie dotyczy tylko i wyłącznie systemów informatycznych, ale to właśnie ich dostosowanie może może być najbardziej koszto- i czasochłonne. Dlatego już na etapie projektowania systemu informatycznego należy określić realizację obowiązków zapewniających ochronę danych osobowych. Wychodząc naprzeciw potrzebom naszych Klienów oferujemy:

  • weryfikację spełniania przez systemy IT wymogów w zakresie ochrony danych osobowych;
  • negocjacje z dostawcami oprogramowania w zakresie uwzględnienia potrzeb wynikających z przepisów;
  • konstruowanie umów na wykonanie i dostawę oprogramowania uwzględniających realizację przez wykonawcę wymogów RODO;
  • nadzór nad wdrażaniem systemów IT.

Dodatkowych informacji udzieli

Paweł Tański

Paweł Tański

szef sekcji / radca prawny

Kariera

Radca prawny. Szef Sekcji Nowych Technologii w Kancelarii SDO, absolwent kilku kierunków studiów (prawo, politologia, europeistyka).

 

Specjalista w zakresie prawa autorskiego, własności intelektualnej oraz szeroko rozumianego prawa nowych technologii, łączący rozległą wiedzę prawniczą z praktyczną znajomością zagadnień o charakterze informatycznym, wynikającą z wieloletniego doświadczenia m.in. w administrowaniu sieciami komputerowymi. Realizuje wraz z zespołem prawników SDO znaczące projekty dla klientów działających w branży IT oraz e-commerce, w tym obejmujące zagadnienia ochrony własności intelektualnej, danych osobowych.

 

Naukowo zainteresowany wpływem prawa nowych technologii na istniejące dziedziny prawa, w szczególności na prawo ochrony własności intelektualnej, prawo informatyczne oraz postępowanie cywilne. W Kancelarii SDO zajmuje się głównie obsługą klientów z branży nowych technologii, IT i reklamy. Uczestniczył również, już jako członek zespołu SDO, w wybranych projektach typu due-diligence.

 

Od 2005 r. pracuje również jako administrator sieci komputerowych. Prywatnie fan ASG i pasjonat gotowania.

 

Specjalizacja:

  • prawo nowych technologii i prawo informatyczne
  • prawo własności intelektualnej
  • prawo gospodarcze
  • ochrona danych osobowych

 

Kontakt:
e-mail: ptanski@sdo.com.pl
nr tel.: 698 494 917

SDO i Partnerzy, Spółka Partnerska Radców Prawnych i Adwokatów

Adres: Narutowicza 12 (I piętro)
70-240 Szczecin
tel.: +48 91 421 09 40
Fax +48 91 487 39 56
info@sdont.pl
Scroll Up