Odpowiedzi eksperta

Czy osoba pracująca zdalnie z domu powinna mieć dodatkowe upoważnienie do przetwarzania danych osobowych?

Tak, nie tylko upoważnienie, ale również określone zasady bezpiecznego przetwarzania danych w domu. Należy zwrócić uwagę na zasady blokowania stacji, przechowywania dokumentów tradycyjnych, zasady drukowania i niszczenia dokumentów.

Czy można wykorzystać czytnik biometryczny (linii papilarnych), aby zapewnić dostęp do stołówki?

Przetwarzanie danych biometrycznych zgodnie z art.9 jest zabronione. Wyjątki dotyczą sytuacji, w której przekazywanie danych określone jest przepisami prawa lub gdy udzielona została zgoda na wykorzystanie linii papilarnych na czytniku.  Dodatkowo proces przetwarzania musi być zgodny z zasadami minimalizacji danych – Artykuł 5 ust. 1 lit.c RODO.

Czy Urząd powinien mieć podpisaną umowę powierzenia na BIP?

Jeżeli na stronie znajdują się dane osobowe należy podpisać umowę przetwarzania . Więcej w decyzji PUODO dotyczącej naruszenia w Urzędzie w Aleksandrowie Kujawskim.

Czy pracodawca może zmusić pracownika do pomiaru temperatury w związku z profilaktyką rozprzestrzeniania się wirusa COVID-19?

Pracodawca może wprowadzić pomiar, ale wyłącznie na zasadzie dobrowolności. Brak jednoznacznych przepisów regulujących takie uprawnienia pracodawcy.  Ogólny zapis znajduje się w Kodeksie Pracy Art. 207   1. § 1. Pracodawca jest obowiązany przekazywać pracownikom informacje o działaniach ochronnych i zapobiegawczych podjętych w celu wyeliminowania lub ograniczenia zagrożeń. Jeżeli pracodawca ma zamiar wprowadzić obowiązkowe badanie temperatury zgodnie z Art. 17 specustawy, powinien takie działania skonsultować z Głównym Inspektorem Sanitarnym, który może wydać odpowiednie zalecenie.

Nasza firma realizuje usługi na podstawie przepisów prawa, czy powinienem uzyskać zgodę na przetwarzanie danych osobowych od naszych klientów?

Nie.

W takim przypadku firma powinna spełnić obowiązek informacyjny zgodnie z Artykułem 24 ust. 1 ustawy stanowiącym, iż w przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o:

  • adresie swojej siedziby i pełnej nazwie, a w przypadku, gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku,
  • celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,
  • prawie dostępu do treści swoich danych oraz ich poprawiania,
  • dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

Poczta elektroniczna utrzymywana jest u zewnętrznego dostawcy. Zasady nakazują przekazywanie danych osobowych w zaszyfrowanych załącznikach, ale klienci czasami przesyłają dane osobowe w treści wiadomości pocztowej. Czy powinniśmy podpisać z firmą hostingowa usługi poczty elektronicznej umowę powierzenia danych osobowych?

Tak.

Firma biorąca udział w zapewnieniu działania poczty elektronicznej przetwarza dane osobowe w zakresie: przesyłania, składowania, archiwizowania, serwisowania i naprawy.

Co powinno się znaleźć w umowie powierzenia?

To zależy od typu zadań jakie ma realizować odbiorca danych. Typowy zakres umowy powinien zawierać:

– określenie stron administratora danych oraz firmy realizującej przetwarzanie,

– zasady dalszego powierzania,
– cel przetwarzania,
– miejsce przetwarzania (gospodarczy obszar UE),
– obowiązki firmy w zakresie ochrony danych,
– zasady zwrotu danych osobowych,
– informacje o typach danych przetwarzanych przez firmę,
– określenie czasu trwania umowy,
– zasady komunikacji,
– zasady zgłaszania incydentów,
– zasady realizacji kontroli i audytów,
– zasady przyznawania dostępu pracownikom firmy hostingującej,
– kary umowne.

Czy na publikacje wizerunku potrzebna jest zgoda jego właściciela?

Tak, ale nie zawsze.

Ustawa o ochronie danych osobowych ogólnie reguluje zasady legalności przetwarzania danych osobowych. Wskazanych jest pięć przypadków:

  • zgoda właściciela,
  • przepis prawa,
  • umowa,
  • przetwarzanie dla dobra publicznego,
  • prawnie usprawiedliwiony cel.

Biorąc pod uwagę wyłącznie ustawę o ochronie danych osobowych potrzebujemy zgody właściciela.

Zwracając uwagę na inne przepisy uzyskujemy możliwość publikacji wizerunku, jeżeli przedstawiona osoba uzyskała zapłatę za pozowanie. (Art. 81 pkt 1 Ustawy o prawie autorskim) Nie musimy uzyskiwać zgody jeżeli fotografia przedstawia osobę powszechnie znaną, zdjęcie/film wykonano w związku z pełnieniem przez nią funkcji publicznej w szczególności politycznej, społecznej czy zawodowej. A także osoby stanowiące szczegół całości takiej jak zgromadzenie, krajobraz czy impreza publiczna.

Czy można przekazywać dane osobowe faxem?

Nie.
Korzystanie z FAXu niesie za sobą ryzyko wycieku danych osobowych poprzez podsłuchanie transmisji, brak możliwości rozliczalności źródła wiadomości oraz brak kontroli nad automatyczne wydrukowanym dokumentem.

Czy pracownicy firmy powinni podpisać zgodę na przetwarzanie danych osobowych?

Nie w przypadku działań związanych z realizacją umowy o pracę.

Legalność przetwarzania danych pracowników oraz osób, które starają się o pracę określona została w Art. 23. ( 3). Jest to konieczne do realizacji umowy gdy osoba, której dane dotyczą jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą. Ponieważ z pracownikami została podpisana umowa o pracę nie jest wymagane, aby dodatkowo zbierać zgody na przetwarzanie danych osobowych. Ale mogą się pojawić inne zdarzenia nie wynikające z umowy np. wykorzystanie wizerunku do umieszczenia na stronie internetowej, wykorzystanie prywatnego telefonu w ramach procesu komunikacji w planie ciągłości działania.

Czy na wezwanie jednostki nadrzędnej powinniśmy udostępnić dane osobowe?

Tak w przypadku, gdy jednostka nadrzędna posiada podstawę prawną dostępu do danych osobowych.

Czy wolno przekazywać dane osobowe przez telefon?

Oczywiście, jeżeli jesteśmy pewni kto jest przy drugiej słuchawce, oraz że jest do tej wiadomości uprawniony.

Czy mogę skorzystać z hostingu w Kanadzie? Na stronie ma być sklep internetowy.

Nie. Kanada nie należy do Europejskiego Obszaru Gospodarczego i korzystanie z takiego hostingu może być realizowane po wprowadzeniu przez firmę hostingową:

  • mechanizmów kontrolnych zapewniających zgodność z Privacy Shield,
  • zatwierdzonego mechanizmu certyfikacji,
  • zatwierdzonego kodeksu postępowania,
  • standardowych klauzul umownych przyjętych przez Komisję Europejską,
  • wiążących reguł korporacyjnych.

Czy Szwajcaria jest krajem trzecim w rozumieniu Art. 45 ?

Tak. Szwajcaria nie należy do Europejskiego Obszaru Gospodarczego i nie jest państwem członkowskim Unii Europejskiej.

Komisja stwierdziła jednak, że Szwajcaria zapewnia odpowiedni stopień ochrony danych osobowych: Decyzja Komisji 2000/518/WE z dnia 26 lipca 2000 r. na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady w sprawie właściwej ochrony danych osobowych w Szwajcarii (Dz.U. L 215 z 25.8.2000, s. 1.
Ale decyzja ta obowiązuje do 24 maja 2018. Po tej dacie przekazywanie danych osobowych do Szwajcarii musi się odbywać na podstawie RODO.

Czy kopie danych osobowych wynoszone do skrytki bankowej powinny być zaszyfrowane?

Tak. Dane w postaci elektronicznej opuszczające obszar przetwarzania powinny zostać zabezpieczone przed nieuprawnionym dostępem. Stosuje się w tym celu szyfrowanie danych.

Czy wygaszacz powinien być chroniony hasłem?

Nie jest to prawnie wymagane zabezpieczenie, ale biorąc pod uwagę ryzyko nieuprawnionego dostępu zalecamy stosowanie tego mechanizmu.

Czy dane firmy w formie jednoosobowej działalności gospodarczej to dane osobowe?

Tak. Nazwa firmy, NIP, Regon, dane właściciela firmy pozwalają na identyfikację osoby fizycznej i  stanowią dane osobowe.

Czy możemy przechowywać dane osobowe w chmurach publicznych?

Tak, jeżeli:

–  chmura jest rozproszona na terenie EOG (np. Dropbox – pozwala wskazanie lokalizacji przechowywania plików, Microsoft Azure – gwarantuje przetwarzanie danych w Irlandii i Holandii),

– firma jest w programie Privacy Shield  (np. Google Drive, Amazon Web Services).

 

Jakie są sposoby postępowania z ryzykami ?

Możliwe są cztery sposoby postępowania z ryzykiem:

Akceptacja ryzyka  – w sytuacji gdy skutki zadziałania zagrożenia są akceptowalne przez kierownictwo,  jego występowanie może zostać zaakceptowane bez wdrożenia odpowiedniego zabezpieczenia, zmniejszającego skutki w przypadku jego wystąpienia.

Przeniesienie ryzyka  – ryzyko można przenieść na inny podmiot,  np. wykupić polisę w firmie ubezpieczeniowej, a tym samym w przypadku zaistnienia szkody (skutek) zrekompensować ją wypłatą ubezpieczenia.

Uniknięcie ryzyka – aby uniknąć ryzyka możemy wyeliminować aktywa lub procesy posiadające określone podatności (słabości), a tym samym narażające nas na określone ryzyko. Jeśli proces np. przetwarzania danych możemy zorganizować tak, aby nie korzystać z pewnych „słabych” aktywów, mamy do czynienia z unikaniem ryzyka.

Zabezpieczenie przed ryzykiem – typowym postępowaniem z ryzykiem jest  zastosowanie zabezpieczenia technicznego lub organizacyjnego . Przykładem zabezpieczenia technicznego jest firewall (UTM) zabezpieczający przez zagrożeniami z Internetu lub system gaśniczy zabezpieczający przed rozprzestrzenianiem się pożaru. Natomiast zabezpieczeniami organizacyjnymi są wdrożone procedury zarządzania systemami informatycznymi, instrukcje użytkowania sprzętu komputerowego itp.,  czyli polityki bezpieczeństwa informacji, polityki zarządzania ciągłością działania.

 

Dlaczego należy stosować metodykę szacowania i oceny ryzyka ryzyka?

Podstawową zasadą w zarządzaniu jest posiadanie metod pomiaru wskaźników charakteryzujących zarządzany obszar. Stąd się wzięło powiedzenie: „to, co da się zmierzyć jest zarządzalne”. W związku z tym należy przyjąć metodę szacowania  ryzyka, w wyniku której oceniający ryzyko będzie mógł przypisać mu pewną wartość liczbową. Metoda powinna definiować wartość, dla której poziom ryzyka jest akceptowalny. Dla wszystkich ryzyk powyżej wartości akceptowalnej należy przygotować plan postępowania.

Oczywiście najlepiej jak metodyka będzie jak najprostsza i dopasowana potrzeb organizacji.

Jak reagujemy na ryzyko w zależności od prawdopodobieństwa i skutków jego zmaterializowania?

W zależności od istotności skutków jakie niesie ze sobą zidentyfikowane ryzyko oraz prawdopodobieństwa jego wystąpienia, stosujemy odpowiednie działania lub je tolerujemy.

W przypadku ryzyk o dużym skutku i małym prawdopodobieństwie występowania (przykładem może być pożar, powódź, katastrofa budowlana), zabezpieczeniem jest wdrożenie planów ciągłości działania, zawierających procedury awaryjne i odtworzeniowe.

Jeśli zidentyfikowane ryzyka powodujące duży skutek mogą wystąpić z większym prawdopodobieństwem, niezbędne jest zastosowanie zabezpieczeń obniżających skutek i prawdopodobieństwo wystąpienia (najlepiej do 0). Np. jednym z podstawowych zabezpieczeń przed zainfekowanie systemu złośliwym oprogramowaniem jest regularne patchowanie i weryfikacja podatności.

 

Jakie są główne powody niepowodzeń przy wdrażaniu zarządzania ciągłością działania?

Głównymi powodami niepowodzeń we wdrażaniu polityk i planów ciągłości działania, z jakimi spotykają się nasi konsultanci, są między innymi:

– brak odpowiednio przygotowanego, interdyscyplinarnego zespołu projektowego i powierzanie stworzenia planów jednej osobie, która nie rozumie wszystkich najważniejszych procesów biznesowych organizacji;
– brak przekonania osób zarządzających i operacyjnie odpowiedzialnych za przygotowanie planów, co do celowości i potrzeby ich tworzenia, wdrażania, testowania oraz ciągłego udoskonalania;
– brak podejścia procesowego uwzględniającego cykl Deminga;
– brak zaangażowania najwyższego kierownictwa.

 

Od czego powinniśmy zacząć przy tworzeniu planu ciągłości działania dla naszej firmy?

Pierwszym krokiem jest identyfikacja kluczowych procesów biznesowych (wytwarzających produkt) oraz procesów bezpośrednio je wspierających, które nie dostarczają bezpośrednio produktu klientowi, ale są niezbędne do niezakłóconego funkcjonowanie procesu kluczowego.

Drugim etapem tworzenia polityki zarządzania ciągłością działania jest analiza BIA (buisness impact analisys) kluczowych procesów biznesowych organizacji. Efektem tej analizy powinno być wyłonienie listy procesów krytycznych i określenie akceptowalnych czasów przerw w poszczególnych procesach krytycznych.

Akceptowalny czas przerwy procesu krytycznego to istotny parametr przy tworzeniu planów oraz kluczowe kryterium oceny ich poprawności i skuteczności. Na tej podstawie określamy akceptowalne czasy odtworzenia (RPO i RTO) dla procesów wspierających procesy krytyczne.

 

W skład planu ciągłości działania wchodzą między innymi procedury odtworzeniowe i awaryjne. Czy one różnią się od siebie?

Procedura awaryjna określa sposób w jaki zapewnimy funkcjonowanie procesu (usługi świadczonej klientom) na minimalnym akceptowalnym poziomie za pomocą środków zastępczych. Np. wystawianie rachunków za pomocą programu excel w przypadku awarii systemu finansowo księgowego i późniejsze ich wprowadzenie po odtworzeniu systemu.

Celem procedury odtworzeniowej jest pełne odtworzenie procesu krytycznego poprzez odtworzenie zasobów, które uległy awarii, niezbędnych do jego funkcjonowania.

Przy odtwarzaniu zasobów powinno się uwzględniać odpowiednio:

  • liczbę i wymagane kwalifikacje pracowników,
  • wyposażenie (w tym biurowe),
  • infrastrukturę i systemy IT,
  • dane niezbędne do odtworzenia,
  • zewnętrznych dostawców usług.