Odpowiedzi eksperta na najczęściej zadawane pytania związane z tematyką RODO.

Nasza firma realizuje usługi na podstawie przepisów prawa, czy powinienem uzyskać zgodę na przetwarzanie danych osobowych od naszych klientów?

Nie.

W takim przypadku firma powinna spełnić obowiązek informacyjny zgodnie z Artykułem 24 ust. 1 ustawy stanowiącym, iż w przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o:

• adresie swojej siedziby i pełnej nazwie, a w przypadku, gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku,
• celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,
• prawie dostępu do treści swoich danych oraz ich poprawiania,
• dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

Poczta elektroniczna utrzymywana jest u zewnętrznego dostawcy. Zasady nakazują przekazywanie danych osobowych w zaszyfrowanych załącznikach, ale klienci czasami przesyłają dane osobowe w treści wiadomości pocztowej. Czy powinniśmy podpisać z firmą hostingową usługi poczty elektronicznej umowę powierzenia danych osobowych?

Tak.

Firma biorąca udział w zapewnieniu działania poczty elektronicznej przetwarza wasze dane osobowe w zakresie: przesyłania, składowania, archiwizowania, serwisowania i naprawy.

Co powinno się znaleźć w umowie powierzenia?

To zależy od typu zadań jakie ma realizować odbiorca danych. Typowy zakres umowy powinien zawierać:

– określenie stron administratora danych oraz firmy realizującej przetwarzanie,

– zasady dalszego powierzania,
– cel przetwarzania,
– miejsce przetwarzania (gospodarczy obszar UE),
– obowiązki firmy w zakresie ochrony danych,
– zasady zwrotu danych osobowych,
– informacje o typach danych przetwarzanych przez firmę,
– określenie czasu trwania umowy,
– zasady komunikacji,
– zasady zgłaszania incydentów,
– zasady realizacji kontroli i audytów,
– zasady przyznawania dostępu pracownikom firmy hostingującej,
– kary umowne.

Czy na publikacje wizerunku potrzebna jest zgoda jego właściciela?

Tak, ale nie zawsze.

Ustawa o ochronie danych osobowych ogólnie reguluje zasady legalności przetwarzania danych osobowych. Wskazanych jest pięć przypadków:

• zgoda właściciela,
• przepis prawa,
• umowa,
• przetwarzanie dla dobra publicznego,
• prawnie usprawiedliwiony cel.

Biorąc pod uwagę wyłącznie ustawę o ochronie danych osobowych potrzebujemy zgody właściciela.

Zwracając uwagę na inne przepisy uzyskujemy możliwość publikacji wizerunku, jeżeli przedstawiona osoba uzyskała zapłatę za pozowanie. (Art. 81 pkt 1 Ustawy o prawie autorskim) Nie musimy uzyskiwać zgody jeżeli fotografia przedstawia osobę powszechnie znaną, zdjęcie/film wykonano w związku z pełnieniem przez nią funkcji publicznej w szczególności politycznej, społecznej czy zawodowej. A także osoby stanowiące szczegół całości takiej jak zgromadzenie, krajobraz czy impreza publiczna.

Czy można przekazywać dane osobowe faxem?

Nie.
Korzystanie z FAXu niesie za sobą ryzyko wycieku danych osobowych poprzez podsłuchanie transmisji, brak możliwości rozliczalności źródła wiadomości oraz brak kontroli nad automatyczne wydrukowanym dokumentem.

Czy pracownicy firmy powinni podpisać zgodę na przetwarzanie danych osobowych?

Nie.

Legalność przetwarzania danych pracowników oraz osób, które starają się o pracę określona została w Art. 23. ( 3). Jest to konieczne do realizacji umowy gdy osoba, której dane dotyczą jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą. Ponieważ z pracownikami została podpisana umowa o pracę nie jest wymagane, aby dodatkowo zbierać zgody na przetwarzanie danych osobowych.

Czy na wezwanie jednostki nadrzędnej powinniśmy udostępnić dane osobowe?

Tak w przypadku, gdy jednostka nadrzędna posiada podstawę prawną dostępu do danych osobowych.

Czy wolno przekazywać dane osobowe przez telefon?

Oczywiście, jeżeli jesteśmy pewni kto jest przy drugiej słuchawce, oraz że jest do tej wiadomości uprawniony.

Czy mogę skorzystać z hostingu w Kanadzie? Na stronie ma być sklep internetowy.

Nie. Kanada nie należy do Europejskiego Obszaru Gospodarczego i korzystanie z takiego hostingu może być realizowane po uzyskaniu zgody GIODO (Art. 48.).

Czy Szwajcaria jest krajem trzecim w rozumieniu Art. 45 ?

Tak. Szwajcaria nie należy do Europejskiego Obszaru Gospodarczego i nie jest państwem członkowskim Unii Europejskiej.

Komisja stwierdziła jednak, że Szwajcaria zapewnia odpowiedni stopień ochrony danych osobowych: Decyzja Komisji 2000/518/WE z dnia 26 lipca 2000 r. na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady w sprawie właściwej ochrony danych osobowych w Szwajcarii (Dz.U. L 215 z 25.8.2000, s. 1.
Ale decyzja ta obowiązuje do 24 maja 2018. Po tej dacie przekazywanie danych osobowych do Szwajcarii musi się odbywać na podstawie RODO.

Czy kopie danych osobowych wynoszone do skrytki bankowej powinny być zaszyfrowane?

Tak. Dane w postaci elektronicznej opuszczające obszar przetwarzania powinny zostać zabezpieczone przed nieuprawnionym dostępem. Stosuje się w tym celu szyfrowanie danych.

Czy wygaszacz powinien być chroniony hasłem?

Nie jest to prawnie wymagane zabezpieczenie, ale biorąc pod uwagę ryzyko nieuprawnionego dostępu zalecamy stosowanie tego mechanizmu.

Czy dane firmy (podmiotu gospodarczego) to dane osobowe?

Nie, jeżeli zakres danych, który przetwarzamy jest taki sam jak w publicznym rejestrze CEiDG. W przypadku, gdy w firmie znajdują się dodatkowe dane takie jak: nazwiska pracowników, adresy do wysyłki, telefony pracowników, wzory podpisów, numery kont bankowych, adresy mailowe, informacje o zobowiązaniach, traktujemy takie informacje jak dane osobowe.

Pytania i odpowiedzi z zakresu zarządzania ryzykiem.

Jakie są sposoby postępowania z ryzykami ?

Możliwe są cztery sposoby postępowania z ryzykiem:

• Akceptacja ryzyka  – w sytuacji gdy skutki zadziałania zagrożenia są akceptowalne przez kierownictwo,  jego występowanie może zostać zaakceptowane bez wdrożenia odpowiedniego zabezpieczenia, zmniejszającego skutki w przypadku jego wystąpienia.
• Przeniesienie ryzyka  – ryzyko można przenieść na inny podmiot,  np. wykupić polisę w firmie ubezpieczeniowej, a tym samym w przypadku zaistnienia szkody (skutek) zrekompensować ją wypłatą ubezpieczenia.
• Uniknięcie ryzyka – aby uniknąć ryzyka możemy wyeliminować aktywa lub procesy posiadające określone podatności (słabości), a tym samym narażające nas na określone ryzyko. Jeśli proces np. przetwarzania danych możemy zorganizować tak, aby nie korzystać z pewnych „słabych” aktywów, mamy do czynienia z unikaniem ryzyka.
• Zabezpieczenie przed ryzykiem – typowym postępowaniem z ryzykiem jest  zastosowanie zabezpieczenia technicznego lub organizacyjnego . Przykładem zabezpieczenia technicznego jest firewall (UTM) zabezpieczający przez zagrożeniami z Internetu lub system gaśniczy zabezpieczający przed rozprzestrzenianiem się pożaru. Natomiast zabezpieczeniami organizacyjnymi są wdrożone procedury zarządzania systemami informatycznymi, instrukcje użytkowania sprzętu komputerowego itp.,  czyli polityki bezpieczeństwa informacji, polityki zarządzania ciągłością działania.

Dlaczego należy stosować metodykę szacowania i oceny ryzyka ryzyka?

Podstawową zasadą w zarządzaniu jest posiadanie metod pomiaru wskaźników charakteryzujących zarządzany obszar. Stąd się wzięło powiedzenie: „to, co mierzalne  jest zarządzalne”. W związku z tym należy przyjąć metodę szacowania ryzyka, w wyniku której szacujący ryzyko będzie mógł przypisać mu pewną wartość liczbową. Metoda powinna definiować wartość, dla której poziom ryzyka jest akceptowalny. Dla wszystkich ryzyk powyżej wartości akcept

owalnej należy przygotować plan (sposób) postępowania.

Oczywiście najlepiej jak metodyka będzie jak najprostsza i dopasowana potrzeb organizacji.

Jak reagujemy na ryzyko w zależności od prawdopodobieństwa i skutków jego zmaterializowania?

W zależności od istotności skutków jakie niesie ze sobą zidentyfikowane ryzyko oraz prawdopodobieństwa jego wystąpienia, stosujemy odpowiednie działania lub je tolerujemy.

W przypadku ryzyk o dużym skutku i małym prawdopodobieństwie występowania (przykładem może być pożar, powódź, katastrofa budowlana), zabezpieczeniem jest wdrożenie planów ciągłości działania, zawierających procedury awaryjne i odtworzeniowe.

Jeśli zidentyfikowane ryzyka powodujące duży skutek mogą wystąpić z większym prawdopodobieństwem, niezbędne jest zastosowanie zabezpieczeń obniżających skutek i prawdopodobieństwo wystąpienia (najlepiej do 0). Np. jednym z podstawowych zabezpieczeń przed zainfekowaniem systemu złośliwym oprogramowaniem jest regularne patchowanie i weryfikacja podatności.

Jakie są główne powody niepowodzeń przy wdrażaniu zarządzania ciągłością działania?

Głównymi powodami niepowodzeń we wdrażaniu polityk i planów ciągłości działania, z jakimi spotykają się nasi konsultanci, są między innymi:

– brak odpowiednio przygotowanego, interdyscyplinarnego zespołu projektowego i powierzanie stworzenia planów jednej osobie, która nie rozumie wszystkich najważniejszych procesów biznesowych organizacji;
– brak przekonania osób zarządzających i operacyjnie odpowiedzialnych za przygotowanie planów, co do celowości i potrzeby ich tworzenia, wdrażania, testowania oraz ciągłego udoskonalania;
– brak podejścia procesowego uwzględniającego cykl Deminga;
– brak zaangażowania najwyższego kierownictwa.

Od czego powinniśmy zacząć przy tworzeniu planu ciągłości działania dla naszej firmy?

Pierwszym krokiem jest identyfikacja kluczowych procesów biznesowych (wytwarzających produkt) oraz procesów bezpośrednio je wspierających, które nie dostarczają bezpośrednio produktu klientowi, ale są niezbędne do niezakłóconego funkcjonowanie procesu kluczowego.

Drugim etapem tworzenia polityki zarządzania ciągłością działania jest analiza BIA (buisness impact analisys) kluczowych procesów biznesowych organizacji. Efektem tej analizy powinno być wyłonienie listy procesów krytycznych i określenie akceptowalnych czasów przerw w poszczególnych procesach krytycznych.

Akceptowalny czas przerwy procesu krytycznego to istotny parametr przy tworzeniu planów oraz kluczowe kryterium oceny ich poprawności i skuteczności. Na tej podstawie określamy akceptowalne czasy odtworzenia (RPO i RTO) dla procesów wspierających procesy krytyczne.

W skład planu ciągłości działania wchodzą między innymi procedury odtworzeniowe i awaryjne. Czy one różnią się od siebie?

Procedura awaryjna określa sposób w jaki zapewnimy funkcjonowanie procesu (usługi świadczonej klientom) na minimalnym akceptowalnym poziomie za pomocą środków zastępczych. Np. wystawianie rachunków za pomocą programu excel w przypadku awarii systemu finansowo księgowego i późniejsze ich wprowadzenie po odtworzeniu systemu.

Celem procedury odtworzeniowej jest pełne odtworzenie procesu krytycznego poprzez odtworzenie zasobów niezbędnych do jego funkcjonowania, które uległy awarii.

Przy odtwarzaniu zasobów powinno się uwzględniać odpowiednio:

• liczbę i wymagane kwalifikacje pracowników,
• wyposażenie (w tym biurowe),
• infrastrukturę i systemy IT,
• dane niezbędne do odtworzenia,
• zewnętrznych dostawców usług.