Strefa wiedzy

W tej publikacji zostały przedstawione podstawowe  informacje w zakresie RODO, niezbędne każdemu podmiotowi, który przetwarza dane osobowe oraz blog.

RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dyrektywa obowiązująca od 25 maja 2018 r.

Ustawa o ochronie danych osobowych – ustawa z dnia 10 maja 2018 r.  o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000)

Dyrektywa Policyjna – Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r., termin zaimplementowania 6 maja 2018 r.

Ustawa z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r., poz. 125), obowiązująca od 6 lutego 2019 r. 

Przepisy prawa sektorowego zawierające zapisy dotyczące bezpieczeństwa i ochrony danych osobowych m.in. Kodeks Pracy, Kodeks cywilny,
ustawa o świadczeniu usług drogą elektroniczną.

Dane osobowe –  to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, którą można zidentyfikować,
w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny (np. PESEL),  dane o lokalizacji, identyfikator internetowy
(np. adres IP) lub innych szczególnych czynników określających cechy fizyczne, fizjologiczne, psychiczne, ekonomiczne (np. informacje finansowe),
kulturowe lub społeczną tożsamość osoby fizycznej.

Przetwarzanie danych – oznacza operację wykonywaną na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany taką jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. 
Przykłady przetwarzania: pozyskiwanie formularza z danymi osobowymi w formie papierowej lub elektronicznie na stronie www, przechowywanie danych na dysku twardym lub w chmurze, wyszukiwanie danych na stronie internetowej, przesyłanie danych pocztą elektroniczną, usuwanie danych z dysku.

Organ nadzorczy – organ państwowy kontrolujący przestrzeganie przepisów o ochronie danych osobowych. Na terytorium Polski, od 25 maja 2018 r. jest
nim Prezes Urzędu Ochrony Danych osobowych (PUODO).

Administrator danych  – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala
cele  i sposoby przetwarzania danych osobowych.
Przykłady administratora: pracodawca w stosunku do swoich pracowników, bank w stosunku do swoich klientów, stowarzyszenia, KZP, partie polityczne oraz wspólnoty w stosunku do swoich członków, jednostka oświatowa w stosunku do danych swoich uczniów.

Podmiot przetwarzający – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
Przykłady podmiotu przetwarzającego: podmiot wykonujący usługi teleinformatyczne, usługi księgowe, kadrowo-płacowe, archiwizacyjne.

Inspektor ochrony danych osobowych (IOD)– ekspert w dziedzinie ochrony danych osobowych (niektóre podmioty posiadają wymóg obligatoryjnego powołania IOD m.in. podmioty publiczne).

Odbiorca danych – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie
od tego czy jest stroną trzecią. Odbiorcą danych jest więc podmiot działające poza strukturą administratora, któremu przekazywane są dane osobowe.
Przykłady odbiorcy: podmioty świadczące usługi wspomagające np. dostawcy usług teleinformatycznych oraz podmioty, którym ujawnia się dane osobowe na podstawie przepisów prawa np. ZUS, US, podmiot leczniczy.

Pseudonimizacja – oznacza  przetworzenie danych osobowych w taki sposób, by nie można było ich przypisać konkretnej osobie, której dane dotyczą bez użycia dodatkowych informacji (dodatkowe informacje powinny być przechowywane osobne i właściwie zabezpieczone). Psedominizacja stanowi jeden ze środków zabezpieczających dane osobowe i jest procesem odwracalnym.

Anonimizacja – to nieodwracalne przetworzenie danych osobowych w taki sposób, by nie można ich było przypisać konkretnej osobie.

Naruszenie ochrony danych – to naruszenie bezpieczeństwa informacji dotyczące danych osobowych poprzez przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w innych sposób przetwarzanych.

Analiza ryzyka – proces pomagający określić czy występuje zagrożenie pojawienia się naruszenia ochrony danych osobowych dla określonych zasobów w organizacji. Analizę ryzyka w szczególności wykonujemy w stosunku do procesów oraz zasobów wspierających (poczta elektroniczna, laptop, komórka), poprzez analizę zabezpieczeń oraz ich ocenę.

DPIA – ocena skutków dla ochrony danych to proces, który pomaga w zarządzaniu ryzykiem naruszenia praw i wolności osób fizycznych w przypadku przetwarzania danych o wysokim ryzyku. Proces ten opisuje w szczególności sposób przetwarzania danych, niezbędność oraz ich proporcjonalność.

  • zasada zgodności z prawem, rzetelności i przejrzystości: określa, że gromadzenie i przetwarzanie danych osobowych jest dozwolone tylko wtedy, gdy odbywa się w oparciu o podstawę prawną, zgodną w obowiązującymi przepisach prawnymi danego kraju członkowskiego UE, a przede wszystkim z RODO, na podstawie co najmniej jednej z przesłanek wskazanych w rozporządzeniu: dla danych zwykłych art. 6 ust. 1 lit a-f RODO, dla danych szczególnych art. 9 RODO oraz dla danych karnych art. 10 RODO,
  • zasada ograniczenia celu przetwarzania która określa, że dane osobowe są przetwarzane w sytuacji gdy istnieje konkretny, wyraźny i prawnie uzasadniony cel
    i przetwarzanie odbywa się tylko w tym celu,
  • zasada minimalizacja danych oznacza przetwarzanie tylko tych danych osobowych, które są niezbędne ze względu na cel ich zbierania,
  • zasada prawidłowości, która nakazuje usunąć lub sprostować dane, które z jakichkolwiek przyczyn okazałyby się nieprawidłowe,
  • zasada ograniczenia przechowywania, która nakłada obowiązek przechowywania danych osobowych przez okres nie dłuższy niż jest to niezbędne do celów przetwarzania,
  • zasada integralności i poufności danych, która wskazuje przetwarzanie danych osobowych stosując odpowiednie środki techniczne i organizacyjne, tak by zapewniały adekwatne bezpieczeństwo danych osobowych, w tym poufność, integralność oraz dostępność
    Poufność oznacza, że do danych nie ma dostępu osoba nieupoważniona
    Integralność polega na tym, że dane nie zostaną przypadkowo zniszczone albo uszkodzone
    Dostępność polega na tym, że dane są dostępne dla osób upoważnionych
  • zasada rozliczalności, zgodnie z którą administrator jest odpowiedzialny za przestrzeganie zasad i musi być wstanie wykazać ich przestrzeganie poprzez udokumentowanie realizacji obowiązków zgodnie z RODO

RODO zapewnia każdej osobie szereg praw, które chronią podstawowe prawa i wolność osoby fizycznej oraz pozwalają kontrolować sposób przetwarzania danych, do takich praw zaliczamy: 
Prawo do uzyskania informacji – osoba, której dane dotyczą ma prawo do uzyskania informacji o sposobie przetwarzania danych osobowych przez podmiot. Obowiązek informacyjny powinien zawierać, m.in. dane administratora, cel w jakim dane będą przetwarzane, podstawę prawną, okres przetwarzania danych osobowych.
Prawo dostępu do danych – osoba, której dane dotyczą ma prawo dostępu do informacji oraz potwierdzenia przetwarzania jej danych osobowych po złożeniu odpowiedniego wniosku.
Przykład: podmiot danych może zwrócić się do administratora o kopię danych zawierającą zakres przetwarzanych danych osobowych.
Prawo do sprostowania danych – osoba, której dane dotyczą ma prawo do poprawy oraz uzupełnienia swoich danych osobowych gdy są nieprawidłowe lub niekompletne.
Przykład: podmiot danych ma możliwość uzupełnienia adresu e-mail w profilu klienta w celu realizacji umowy sprzedaży.
Prawo do usunięcia danych – osoba, której dane dotyczą ma prawo zażądać usunięcia z bazy swoich danych osobowych, w szczególności w sytuacji gdy nie występują już podstawy prawne przetwarzania, gdy dane nie są potrzebne do realizacji celu w jakim zostały zebrane lub gdy dane zostały pozyskane niezgodnie z prawem.
Prawo do ograniczenia przetwarzania – osoba, której dane dotyczą wskazuje, że wystąpiły przesłanki określone w art. 18 RODO dla ograniczenia przetwarzania jej danych. Ograniczenie przetwarzania to przechowywanie danych osobowych w celu ich przyszłego przetwarzania , obejmuje m.in. czasowe przeniesienie danych osobowych do innego systemu przetwarzania, uniemożliwienie użytkownikowi dostępu do wybranych danych.
Prawo do przenoszenia danych –  umożliwia osobie, której dane dotyczą otrzymania w powszechnie używanym formacie danych jej dotyczących lub przesłania danych osobowych nowemu administratorowi, jeżeli będzie to możliwe technicznie.

Typowe zagrożenia w cyberprzestrzeni:
Metoda socjotechniczna – atak polegający na manipulacji zachowaniem człowieka. Nadawcy bazują przede wszystkim na emocjach i umyśle odbiorcy.
Przykład: nawiązanie kontaktu telefonicznego , w którym rozmówca przedstawia ofertę i nakłania do natychmiastowego podjęcia decyzji, wielokrotnie w ten sposób dodatkowo pozyskując dane osobowe.
Phishing (z ang. wędkarstwo) – oszustwo polegające na wyłudzeniu poufnych informacji od użytkowników podszywając się pod różnego rodzaju instytucje i firmy.
Przykładem phishingu jest podszycie się pod bank i prośba o aktualizację danych konta bankowego pod pretekstem błędu systemu i utraty danych lub przesłanie informacji od nieznanej firmy o niezapłaconej fakturze za produkty, które nie zostały zamówione.
Sniffing (z ang. podsłuchiwanie) – atak przy użyciu specjalnego oprogramowania lub urządzenia służącego do przechwytywania informacji lub śledzenia ruchu sieciowego. Zadaniem hakera jest przechwycenie pakietu danych i przekazanie go docelowemu odbiorcy, tak aby ofiara nie zorientowała się, że dane zostały przekazane. W ten sposób mogą zostać przechwycone wiadomości mailowe, dane konta bankowego, login i hasło.
Spoofing – atak na systemy teleinformatyczne polegający na podszywaniu się pod inny element systemu informatycznego. Cechą spoofingu oprócz wykradania informacji jest dodatkowo instalowanie szkodliwego oprogramowania poprzez kliknięcie przez odbiorcę w link przekierowujący lub przycisk na stronie.
Wirusy, robaki, konie trojańskie – złośliwe oprogramowanie, które powoduje niepożądane zmiany w komputerze oraz oprogramowaniu.

Podstawowe zasady bezpieczeństwa teleinformatycznego:
1. Nie udostępniaj swoich danych osobowych nieznanym odbiorcom
2. W sytuacji otrzymania podejrzanego maila od nieznanego adresata nie otwieraj załączników oraz linków wiadomości, gdyż wielokrotnie mają one za zadanie zainstalować złośliwe oprogramowanie
3. Podczas przesyłania wiadomości do wielu odbiorców stosuj opcję kopii ukrytej wiadomości, pole UDW, co sprawia, że odbiorca widzi tylko swój adres pomimo, że informacja jest przesyłana do wielu odbiorców
4. Przesyłając wiadomość zawierającą dane osobowe zaszyfruj przesyłany plik
5. Aplikacje oraz urządzenia takie jak komputer, laptop, telefon, dysk zewnętrzny zabezpiecz mocnym hasłem. Mocne hasło oznacza minimum 8 znaków zawierających małe i duże litery, cyfry oraz znak specjalny
6. Nie udostępniaj innym osobom swojego loginu i hasła do urządzeń oraz oprogramowania
7. Regularnie aktualizuj oprogramowanie, w szczególności system operacyjny, przeglądarkę oraz program antywirusowy
8. Na urządzeniach mobilnych skonfiguruj kontrolę dostępu oraz wyłączaj nieużywane usługi takie jak WI-FI, Bluetooth
9. W opcjach przeglądarki internetowej nie włączaj opcji zapisywania haseł
10. Loguj się tylko na adresy stron www posiadające certyfikaty bezpieczeństwa
11. Unikaj łączenia się z publicznymi sieciami WI-FI.

Blog

Rola podmiotu w przetwarzaniu danych osobowych

admin 6 kwietnia, 2022

Każda organizacja jako podmiot administrujący danymi osobowymi może występować w poszczególnych procesach w następujących rolach: jako administrator, współadministrator oraz jako podmiot przetwarzający. Odpowiednia kwalifikacja podmiotowa

Czytaj więcej»