Szanowni Państwo!

Jednym z najważniejszych wymagań RODO jest obowiązek dostosowania sposobów przetwarzania danych osobowych oraz zabezpieczeń danych do poziomu ryzyka, które jest nierozerwalnie związane z wykonywaniem konkretnych operacji. Środki służące zabezpieczeniu danych osobowych, jak i zasady przetwarzania powinny być adekwatne do występujących w organizacji zagrożeń. Adekwatność zaś powinien ocenić sam administrator, ponieważ to on najlepiej zna sposób funkcjonowania swojego przedsiębiorstwa.

Oznacza to ni mniej, ni więcej, iż to na Tobie drogi czytelniku ciąży obowiązek ocenienia jakie środki zabezpieczenia danych przedsięwziąć i jakie procedury zastosować, aby mieć pewność pozostawania w zgodności z przepisami RODO. Bądź jednak uważny, ponieważ nie istnieją żadne cudowne „niszczarki dokumentów zgodne z RODO”, „szafki zgodne z RODO”, czy pasujące dla każdego przedsiębiorstwa „uniwersalne polityki bezpieczeństwa informacji zgodne z RODO”. Coś, co jest uniwersalnym rozwiązaniem, zazwyczaj nigdy nie pasuje wprost do żadnej konkretnej sytuacji faktycznej, dlatego większość ofert zakupu czegoś od razu gwarantującego spójność z unijnym Rozporządzeniem może być wydatkiem całkowicie zbędnym.

Chcąc więc jak najlepiej spełnić wszystkie wymagania RODO, powinieneś zrozumieć istotę przetwarzania danych w Twoim przedsiębiorstwie i zdefiniować cały „cykl życia” danych. Potem zaś konieczne jest (będąc bogatszym o uzyskaną uprzednio wiedzę) dokonanie oceny, jakie ryzyko dla praw i wolności osób fizycznych może spowodować konkretna operacja przetwarzania danych osobowych. Na końcu zaś (a zatem po dokonaniu analizy ryzyka) możliwe dopiero staje się przygotowanie adekwatnych środków postępowania z danymi i środków zabezpieczających.

W uproszczeniu należy przyjąć następującą kolejność działań:

  1. zrozumienie procesów przetwarzania
  2. dokonanie analizy ryzyka operacji przetwarzania dla praw i wolności osób fizycznych
  3. zastosowanie odpowiednich środków postępowania i środków zabezpieczających

Jak samodzielnie dokonać przedmiotowej analizy ryzyka operacji przetwarzania dla praw i wolności osób fizycznych? Nie jest to zadania proste i nie istnieje żaden szablon takiej oceny, a w szczególności nie ma żadnego cudownego wzoru obudowanego w tabelki Excela, z którego można bezrefleksyjnie korzystać.

Jednakże można wyodrębnić i przedstawić ogólny sposób postępowania, który w moim przekonaniu jest najlepszym i najbardziej zgodnym z przepisami RODO przykładem kolejności i rodzajów działań, celem przeprowadzenia analizy ryzyka. Kilka kolejnych wpisów będzie więc poświęcone metodologii sporządzania przedmiotowej analizy. Zaczynajmy!

Piotr Potocki

Informacja

Jowita Kania-Stachura10 sierpnia 2018Komentarze (0)

Szanowni Państwo!
Milczeliśmy, ale mieliśmy ważny powód.
W dniu 10 sierpnia 2018 r. Kancelaria Kania Stachura Toś s.c. zakończyła audyt organizacyjno-prawny zgodności z RODO sposobów przetwarzania danych osobowych w dużym przedsiębiorstwie będącym potentatem na rynku polskim w zakresie transportu kolejowego towarów.

Przedmiotowy audyt był ogromnym wyzwaniem i tym bardziej jest nam miło poinformować, iż zakończył się sukcesem. Nie sposób przecenić wiedzy i doświadczenia, jakie zdobyliśmy w trakcie realizacji tego zadania.
A teraz dość tego chwalenia się – bierzemy się do pracy. Nowe wpisy niebawem.

Szanowni Państwo!

Mimo, że przygotowywaliśmy się w kancelarii starannie do wejścia w życie RODO, maj i połowa czerwca był dla nas bardzo intensywnym czasem, bowiem zostaliśmy zasypani pracą do wykonania „na wczoraj”. Stąd nasze milczenie. Mamy jednak nadzieję powrócić do normalnego rytmu pracy i nie zaniedbywać w najbliższym czasie czytelników naszego bloga.

Dzisiaj chcielibyśmy odpowiedzieć zbiorczo na najczęściej pojawiające się w komentarzach pytanie, które w uproszczeniu brzmi: „czy przedsiębiorcy prowadzący jednoosobową działalność gospodarczą są zobowiązani przestrzegać RODO?”

Odpowiedź jest jedna – tak. RODO dotyczy wszystkich przedsiębiorców, którzy przetwarzają dane osób fizycznych. Obowiązki ciążące na konkretnym przedsiębiorcy będą jednak różne i zależą między innymi od tego, jaka jest skala i rodzaj działalności gospodarczej, jakie dane przedsiębiorca zbiera, jak je przetwarza (czyli co z nimi robi), i komu je przekazuje.

Największe problemy z identyfikacją swoich obowiązków (zapewne w związku z trudniejszym dostępem do pomocy prawnej) mają ci najmniejsi, naprawdę jednoosobowi przedsiębiorcy, prowadzący małą myjnię samochodową, czy gabinet kosmetyczny. Wyobraźmy więc sobie Panią Barbarę, która ma jednoosobową firmę drukującą materiały reklamowe. Pani Barbara nie zatrudnia żadnych pracowników, jej klientami bywają osoby fizyczne, których dane wykorzystuje wyłącznie po to, by wystawić fakturę, a wystawione faktury przekazuje księgowej. Jakie czynności powinna podjąć, aby spać spokojnie po wejściu w życie RODO?

Otóż nasza Pani Barbara powinna:

  • przygotować informację, o której mowa w art. 13 RODO – informacja ta może być przekazana klientom w dowolnej formie np. wydrukowana i wywieszona w biurze albo zawarta w stopce maila,
  • zawrzeć z księgową umowę powierzenia danych.

To od strony formalnej, a od strony praktycznej, Pani Barbara powinna zadbać o zabezpieczenie swojego komputera hasłem, a dokumenty papierowe przechowywać tak aby osoby postronne nie miały do nich dostępu (np. w zamykanej na klucz szafce). Tylko tyle.

Mam nadzieję, że przynajmniej część Państwa wątpliwości udało nam się dzisiaj rozwiać.

Komentarze

Jowita Kania-Stachura25 maja 2018Komentarze (0)

Szanowni Państwo!

Przepraszamy, że nie odpowiadamy na bieżąco na wszystkie komentarze i prosimy o chwilę cierpliwości. Nie chcemy Państwa zbywać, a rzetelna odpowiedź wymaga chwili namysłu, więc trochę to trwa. Obiecujemy, że na wszystkie pytania odpowiemy.

Szanowni Państwo!

Ci z Państwa, którzy zetknęli się z nasza kancelarią wiedzą, że blog dotyczący RODO to nie jedyny blog prowadzony przez naszych prawników. Moja znakomita wspólniczka, radczyni prawna dr Agnieszka Grabowska –Toś, już od kilku lat prowadzi bloga http://jakim-prawem.pl/, w którym dzieli się z czytelnikami swoją olbrzymią wiedzą teoretyczną i praktyczną dotyczącą branży deweloperskiej (i proszę mi wierzyć to nie jest promocja, czy podlizywanie się – serio jest dobra).

Nic więc dziwnego, że od pewnego czasu byliśmy „subtelnie” namawiani do zajęcia się tematem RODO dla deweloperów. Przy okazji dostaliśmy po głowie od doświadczonej blogerki, że dużo u nas teorii, a mało praktyki. Dziś, nie będzie więc teoretyzowania tylko kilka praktycznych wskazówek dla deweloperów, które sprawią, że łatwiej będzie Państwu poradzić sobie z samym wdrożeniem RODO.

Od czego więc zacząć?
Najważniejszym działaniem na etapie wdrażania postanowień RODO jest zidentyfikowanie procesów przepływu danych osobowych w strukturze organizacyjnej dewelopera czyli określenie źródeł ich pochodzenia (skąd pochodzą), wskazanie kategorii danych osobowych (czyje dane), sposobów przetwarzania (co z nimi robimy) i kanałów wyjścia danych na zewnątrz, a więc poza strukturę organizacyjną dewelopera (gdzie je przekazujemy).

W trakcie wykonywania tych czynności tworzymy własną mapę powiązań – sieć zależności pomiędzy danymi osobowymi oraz identyfikujemy całe procesy przetwarzania danych. Na podstawie tych informacji możemy opracować rejestr czynności przetwarzania, wskazać odbiorców danych osobowych, czy w końcu zidentyfikować newralgiczne miejsca, w których może dojść do naruszenia bezpieczeństwa danych.

Jak więc przystąpić do identyfikacji procesów przepływu danych osobowych? W kontekście deweloperów jest to wbrew pozorom proste zadanie. W pierwszej kolejności trzeba usiąść i pogadać czyli zorganizować spotkania osób, które mają największą wiedzę związaną z procesami pozyskiwania, przetwarzania i przekazywania danych. Najlepiej jest na to spotkanie zaprosić przedstawiciela działu handlowego, informatyka, osobę odpowiedzialną za politykę kadrową w firmie i osobę odpowiedzialną za sporządzenie i zawieranie umów (prezes oczywiście też jest zawsze mile widziany). Na pewno pomocne byłoby zaproszenie osoby z zewnątrz posiadającej wiedzę specjalistyczną, a więc np. znającego temat prawnika, który po pierwsze takie spotkanie mógłby poprowadzić, a po drugie będzie wiedział co z zebranymi informacjami dalej zrobić. W trakcie takiego spotkania każda z zaproszonych osób powinna opowiedzieć, jak według niej wygląda kwestia przepływu danych w organizacji w szczególności w zakresie prac, które sama wykonuje.

Jak zauważyliśmy, deweloperzy jako źródło pozyskiwania danych, wskazują często na komunikatory internetowe na stronach internetowych, wiadomości mailowe, firmy pośrednictwa handlu nieruchomościami, klientów (którzy sami przychodzą do biura sprzedaży) oraz telefony od zainteresowanych osób.

Oznaczając podmioty, którym dane są powierzane, mowa jest o bankach prowadzących rachunki mieszkaniowe, komornikach, firmach księgowo-kadrowych, a także o podmiotach zajmujących się obsługą sieci teleinformatycznej oraz naprawą lub niszczeniem sprzętu komputerowego, wynajmowaniem serwerów, a także prowadzeniem monitoringu wizyjnego.

Wskazując na procesy przetwarzania danych osobowych, deweloperzy mają do czynienia z przetwarzaniem danych osobowych w związku z realizacją stosunku pracy, zapewnieniem członkom rodzin pracowników dodatkowych świadczeń, zawieraniem umów handlowych z kontrahentami, zawieraniem umów rezerwacyjnych, deweloperskich, przedwstępnych, przenoszących własność nieruchomości.

Dokonanie identyfikacji czyli burza mózgów, o której piszemy powyżej jest pierwszym krokiem do dalszych prac związanych z procesem wdrażania RODO. Jak więc Państwo widzicie rozmowy nic nie zastąpi! O tym co zrobić dalej z zebranymi informacjami, niebawem.