Po 2018 roku każdy przedsiębiorca stanął przed ważnym zadaniem, którym było wdrożenie RODO. Obowiązki dotyczyły zarówno małych jak i dużych firm. Działalności, które dopiero co powstały, ale także takich, które już istniały. Firm, które przetwarzają bardzo dużo danych osobowych, ale także i działalności, w których dane osobowe przetwarzane są tylko przy okazji głównej działalności. RODO obowiązuje każdego bez wyjątku.

Na co zwrócić uwagę wdrażając RODO

Z uwagi na powszechny obowiązek stosowania RODO, każdy przedsiębiorca powinien dostosować swoją firmę do obecnych uwarunkowań prawnych. Chodzi o zapewnienie należytej ochrony danych osobowych.

W założeniu RODO powinno być proste, tak aby każdy mógł sam przygotować swoją firmę do obecnych wymagań. Każdy przedsiębiorca najlepiej zna przecież swoją organizacje.

Proces samodzielnego wdrożenia RODO w swojej firmie przedstawiliśmy w tym artykule. Wystarczy poświęcić odrobinę ze swojego cennego czasu.

Warto zatem zbadać w jakich obszarach przetwarzamy dane osobowe, zdiagnozować procesy przetwarzania, zweryfikować komu i na jakiej podstawie te dane są udostępniane.

Każdy przedsiębiorca odpowiedzialny jest za zapewnienie należytej ochrony danych osobowych, na których pracuje. Rozliczyć nas może z tego Prezes Urzędu Ochrony Danych.

Wdrożenie RODO – pomoc profesjonalistów

Fundacja od momentu powstania, czyli od 2014 roku, zajmuje się ochroną danych osobowych w społeczeństwie cyfrowym. Nasi specjaliści uczestniczką w konferencjach branżowych, są adwokatami i radcami prawnymi, którzy specjalizują się w ochronie danych osobowych.

Jeszcze przed uchwaleniem RODO analizowaliśmy te przepisy wypracowując rozwiązania dla przedsiębiorców, których obsługujemy. Obecnie stale poszerzamy swoją wiedzę w zakresie ochrony danych osobowych. Cały tekst rozporządzenia RODO znajduje się na strona Urzędu Ochrony Danych Osobowych pod tym adresem.

Wdrożenie RODO rozpoczyna wypełnienie przez klienta ankiety audytowej. Przygotowaliśmy ją w oparciu o rozmowy z naszymi klientami. Pozwala ona zdiagnozować obszary, na których przetwarzane są dane osobowe.

Następnie analizujemy udzielone nam informacje i w oparciu o nie przygotowujemy dedykowane dokumenty. Klient otrzymuje pliki w formie elektronicznej edytowalnej, z których może swobodnie korzystać.

Lista dedykowanych dokumentów znajduje się w opisie naszej oferty.

W całym procesie wprowadzenia RODO klient ma kontakt ze specjalistą Fundacji. Pomagamy na każdym etapie – wyjaśniamy wątpliwości, gdyby takie się pojawiły.

Nasza oferta została dostosowana do oczekiwań przedsiębiorców, wypracowana na bazie kontaktów z klientami. Zapraszamy do kontaktu z prawnikami Fundacji:

Artykuł Wdrożenie RODO pochodzi z serwisu .

Jedną z kluczowych koncepcji Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [dalej: RODO] jest podejście oparte na ryzyku naruszenia praw lub wolności osób. Ryzyku, które z różnym prawdopodobieństwem i wagą zagrożeń, może prowadzić do uszczerbku fizycznego albo do szkód majątkowych lub niemajątkowych.

W szczególności przetwarzanie danych osobowych może skutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości. Skutkiem tych naruszeń może być m.in. strata finansowa, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową. Może to być również wszelka inna znaczna szkoda, zarówno gospodarcza jak i społeczna. Naruszenie danych osobowych może prowadzić też do sytuacji, w której.osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi.

Stąd tak ważna jest w ochronie danych osobowych ocena ryzyka.

Szacowanie ryzyka

W związku z tym jeden z motywów RODO mówi, iż w celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z zapisami Rozporządzenia administrator lub podmiot przetwarzający powinni oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki minimalizujące to ryzyko.

Środki takie powinny zapewnić odpowiedni poziom bezpieczeństwa, w tym poufność, oraz uwzględniać stan wiedzy technicznej oraz koszty ich wdrożenia w stosunku do ryzyka i charakteru danych osobowych podlegających ochronie. RODO nie narzuca więc określonych środków ani procedur w zakresie ochrony, pozostawiając ich wybór administratorom i podmiotom przetwarzającym. Oceniając ryzyko w zakresie bezpieczeństwa danych, administrator lub podmiot przetwarzający powinien wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych. Chodzi m.in. o przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Takie rozwiązanie, poparte analizą i weryfikacją zagrożeń oraz oceną ich wagi, umożliwia koncentrację środków (w tym organizacyjnych, finansowych itd.) na czynnościach przetwarzania związanych z najwyższym ryzykiem. Powoduje to, że ocena ryzyka naruszenia danych osobowych nabiera szczególnego znaczenia w działalności przedsiębiorstwa.

Właściwa ocena ryzyka i stosowanie adekwatnych środków ochrony

Dość intuicyjnie można stwierdzić, iż inne środki ochrony będziemy stosowali w przypadku posiadania bazy danych klientów sklepu internetowego, zawierającej historię zakupów, adresów oraz przelewów, a inne – w przypadku prowadzenia niewielkiej działalności usługowej w postaci punktu stacjonarnego, gdzie większość danych znajduje się w szafie w formie papierowej. Podsumowując, należy stwierdzić, iż podejście oparte na ryzyku zobowiązuje do dostosowania środków ochrony przetwarzania danych osobowych do skali ryzyka.

Podejście oparte na ryzyku zapewnia identyfikację, ocenę oraz odpowiednie postępowanie z zagrożeniami podczas wszystkich etapów przetwarzania danych osobowych. Skutkiem prawidłowego zarządzania zidentyfikowanymi zagrożeniami powinno być prawidłowe zabezpieczenie przetwarzania danych osobowych poprzez zapewnienie adekwatnych środków bezpieczeństwa. Środki te powinny uwzględniać zarówno zdefiniowane ryzyko naruszenia praw i wolności osób, których dane dotyczą. Ważne są też możliwości organizacyjne oraz koszty ich wdrożenia w danej organizacji.

Ocena ryzyka – jak przeprowadzić ją prawidłowo?

Przedmiotem analizy ryzyka z jednej strony są aktywa jakimi dysponuje organizacja (budynki, pomieszczenia, ich dostępność dla osób trzecich, serwery itd.), a z drugiej czynności przetwarzania (operacje na danych osobowych).

Oceniając zasoby należy uwzględnić możliwe zagrożenia oraz podatność, czyli słabe punkty mogące powodować naruszenia bezpieczeństwa (słabe punkty).

Korelację pomiędzy zagrożeniem a podatnością prezentuje poniższy przykład:

Prawdopodobieństwo i wielkość ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, należy określać przez odniesienie się do charakteru, zakresu, kontekstu i celów przetwarzania danych. Ryzyko należy oszacować na podstawie obiektywnej i rzeczowej analizy, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko.

Brak jednego prawidłowego wzoru postępowania

Nie ma jednej, określonej przepisami, metody szacowania ryzyka, w związku z tym możemy je oceniać na sposób ilościowy i jakościowy. Najprostszą metodą szacowania ryzyka w ogóle, stosowaną również w m.in. w ocenie ryzyka zawodowego, jak również bezpieczeństwa infrastruktury jest określenie wpływu danego zagrożenia poprzez odzwierciedlenie relacji między prawdopodobieństwem danego zdarzenia a skutkami, jakie może wywołać dla ochrony danych.

Jest to oczywiście tylko przykładowy sposób określania ryzyka naruszenia ochrony danych. Równie często stosowana jest skala pięciostopniowa, bądź ocena biorąca pod uwagę więcej czynników mających wpływ na wynik.

W praktyce dokument zawierający przeprowadzoną analizę ryzyka powinien zawierać:

• opis przyjętej metody analizy ryzyka, w szczególności skalę ryzyka i matrycę jego oceny;
• kryteria akceptacji ryzyka;
• źródła danych i uzyskanych podczas identyfikacji zagrożeń informacji;
• analizę ryzyka;
• zalecenia i wnioski z przeprowadzonej analizy.

Określając ryzyko naruszenia ochrony danych musimy również brać pod uwagę sposób postępowania ze zdiagnozowanym wpływem zagrożeń na proces przetwarzania.

Przykład oceny ryzyka naruszenia ochrony danych:

Taka ocena ryzyka skutkuje koniecznością podjęcia działań zapobiegawczych w stosunku do wszystkich czynności przetwarzania. Ryzyko ocenione jako duże wymaga podjęcia działań niezwłocznie, jest to również podstawa do wdrożenia rozwiązań wymagających wysokich nakładów finansowych. Ryzyko ocenione jako średnie również wymaga wdrożenia przynajmniej podstawowych działań zapobiegawczych, jednakże.mogą to być działania wprowadzane stopniowo, w miarę możliwości organizacyjnych i ekonomicznych organizacji. Ryzyko to jest akceptowalne, jeżeli środki zapobiegawcze okazałyby się wysoce kosztowne, przekraczające możliwości finansowe organizacji.

Artykuł 24 RODO nakłada obowiązek wdrożenia środków technicznych i organizacyjnych w zakresie ochrony danych, które będą uwzględniały.wszystkie czynniki mające wpływ na bezpieczeństwo przetwarzanych danych, a więc ich charakter, zakres, kontekst i cele przetwarzania jak również ryzyko naruszenia praw i wolności osób, których dane są przetwarzane. Środki te powinny uwzględniać różne prawdopodobieństwo i wagę każdego zidentyfikowanego zagrożenia, aby przetwarzanie odbywało się zgodnie z przepisami.

Konsekwencje jakie niesie ze sobą ocena ryzyka

Ryzyko możemy albo zaakceptować, jeżeli zostało ocenione jako małe lub niskie. Możemy ubezpieczyć się od skutków wywołanych materializacją ryzyka lub delegować ryzyko poprzez np. przekazanie niektórych realizowanych procesów podmiotom zewnętrznym (outsourcing), dbając oczywiście o odpowiednie zapisy w umowach dotyczących mitygacji skutków naruszenia ochrony danych. Kolejnym sposobem radzenia sobie z ryzykiem jest jego redukcja. Zredukować możemy słabe punkty naszych zasobów (zmniejszenie podatności), co będzie skutkowało mniejszym prawdopodobieństwem wystąpienia danego zdarzenia lub, co zdecydowanie trudniejsze, poprzez ograniczenie lub zupełną eliminację czynności mogących skutkować naruszeniem bezpieczeństwa przetwarzania danych.

Przepisy RODO nie wskazują wymaganych w konkretnym przypadku środków czy rozwiązań, które należy zastosować w celu minimalizacji ryzyka naruszenia ochrony praw i wolności osób, których dane są przetwarzane. Dlatego też należycie przeprowadzona ocena ryzyka jest tak istotna z punktu widzenia prowadzonej działalności gospodarczej. Tylko bowiem właściwa analiza zagrożeń pozwoli podjąć odpowiednie kroki, aby im zapobiec.

Ocena skutków dla ochrony danych (DPIA)

Gdy operacje przetwarzania danych mogą wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, administrator ma obowiązek oceny skutków dla ochrony danych (DPIA – Data Protection Impact Assessment). Ma to na celu oszacowania w szczególności źródła, charakteru, specyfiki i powagi tego ryzyka. Wyniki tej analizy należy oczywiście uwzględnić przy określaniu środków stosowanych.dla zabezpieczenia procesu przetwarzania danych by móc wykazać, że przetwarzanie odbywa się zgodnie z RODO. W praktyce analiza ryzyka wszystkich czynności przetwarzania danych w organizacji wskazuje nam, które czynności wiążą się z wysokim (dużym) ryzykiem naruszenia praw lub wolności osób fizycznych. Dla takich czynności właśnie należy przeprowadzić pogłębioną analizę ryzyka, czyli określoną w artykule 35 RODO ocenę skutków dla ochrony danych.

O istotności oceny ryzyka i następującej po niej oceny skutków przekonywała Prezes Urzędu Ochrony Danych, dr Edyta Bielak-Jomaa.

Należy przy tym zaznaczyć, że analizę taką należy przeprowadzić przed wdrożeniem RODO w swoim przedsiębiorstwie, ale zalecane jest również częstsze prowadzenie tego typu działań celem stałego monitorowania poziomu zabezpieczeń. Pomagamy w tym naszym Klientom świadcząc dla Nich m.in. usługę wsparcia Inspektora Ochrony Danych.

Artykuł Ocena ryzyka przetwarzania danych pochodzi z serwisu .

Jak było dotychczas i co się zmienia?

Obecnie obowiązująca ustawa z 1997 roku o ochronie danych osobowych nie przewidywała żadnych kar finansowych za jej nieprzestrzeganie. Zawiera ona sankcje administracyjne i karne. Przykładowo zgodnie z art. 49 ust. 1 ustawy o ochronie danych osobowych: „Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2”.

Kiedy zacznie obowiązywać RODO, oprócz zmiany całego systemu postrzegania danych osobowych i ich ochrony, zmienią się również prawne konsekwencje nieprzestrzegania tych przepisów. W rozporządzeniu zrezygnowano z sankcji karnych, co nie oznacza jednak, że przedsiębiorcy nie muszą się niczym przejmować. Wprowadzono bowiem środki dyscyplinujące o charakterze administracyjnym oraz administracyjne kary pieniężne.

Niewątpliwie w niektórych przypadkach lekceważone kary administracyjne mogą być dla przedsiębiorców bardziej kłopotliwe niż sankcje pieniężne, ponieważ te drugie poza finansową dolegliwością nie mają wpływu na funkcjonowanie podmiotu przetwarzającego dane osobowe.

Wśród sankcji administracyjnych wskazanych w art. 58 rozporządzenia wymienia się m.in.:

a) ostrzeżenia wydawane administratorowi lub podmiotowi przetwarzającemu dotyczących możliwości naruszenia przepisów niniejszego rozporządzenia poprzez planowane operacje przetwarzania;

b) udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania;

c) nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia;

d) nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów niniejszego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu;

e) nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych;

f) wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania;

g) nakazanie na mocy art. 16, 17 i 18 sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania oraz nakazanie na mocy art. 17 ust. 2 i art. 19 powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono;

h) cofnięcie certyfikacji lub nakazanie podmiotowi certyfikującemu cofnięcia certyfikacji udzielonej na mocy art. 42 lub 43, lub nakazanie podmiotowi certyfikującemu nieudzielania certyfikacji, jeżeli jej wymogi nie są spełnione lub przestały być spełniane.

Najbardziej dotkliwe sankcje mogą spowodować bardzo poważne utrudnienia w funkcjonowaniu Państwa przedsiębiorstwa. Pragnę zwrócić uwagę w szczególności na punkt f) powyżej. W przypadku jego zastosowania, w wielu przypadkach oznaczałoby to w zasadzie uniemożliwienia prowadzenia działalności w ogóle. Często bowiem bez przetwarzania danych nie możecie wykonywać Państwo swoich obowiązków zawodowych.

Kary pieniężne – istotna nowość

Tak jak wskazałem powyżej, dotychczas nie było kar finansowych. Obecnie natomiast będą one mogły być one stosowane jako jedyna sankcja dla przedsiębiorcy, ale także będą mogły towarzyszyć wyżej opisanym karom administracyjnym – być wymierzone obok tych kar, jako dodatkowa dolegliwość dla przedsiębiorcy. RODO dopuszcza łączenie kar.

Z uwagi na obszerność tematu, kwestia wysokości kar finansowych i sposobu ich wymierzania omówiona została w tym artykule.

Od kiedy zaczną obowiązywać przepisy o karach?

Podobnie jak całe ogólne rozporządzenie o ochronie danych osobowych, tak i omówione wyżej przepisy dyscyplinujące, ze wszystkimi ich możliwymi konsekwencjami zaczną obowiązywać już 25 maja 2018 roku. Dlatego tak ważne jest jak najszybsze przeprowadzenie audytu zgodności procesów związanych z administrowaniem danymi osobowymi w Państwa przedsiębiorstwach z wymogami RODO jeszcze przed tą datą. Ze swojej strony, jako Fundacja, oferujemy Państwu bezpłatny audyt, który pomoże znaleźć te obszary, które wymagają poprawy. Nasza oferta znajduje się pod tym linkiem. Znajduje się tam również formularz kontaktowy – ewentualnie mogą Państwo wysłać do nas zapytanie w formie e-mail na adres: kontakt@fundacjaentropia.pl

Artykuł Kary za niedostosowanie swojej działalności do RODO pochodzi z serwisu .