wtorek, Styczeń 14, 2020
Facebook
Home Tagi Wpis otagowany "ochrona danych osobowych"

ochrona danych osobowych

Bez nart i bez dowodu nie poszusujesz?

13 stycznia rozpoczęly się w Polsce ferie zimowe. Na potęgę wypożyczamy sprzęt sportowy, a eksperci ChronPESEL.pl ostrzegają: brak rozwagi w tej sytuacji może skończyć się utratą danych osobowych!

Jak podaje Urząd Ochrony Danych Osobowych, do urzędników docierają sygnały, że w wypożyczalniach sprzętu zimowego wciąż żąda się od klientów pozostawienia w zastaw dowodu osobistego. Prezes UODO przypomina: to niezgodne z prawem! I dodaje, by nie tylko nie pozostawiać w wypożyczalniach dowodów osobistych, paszportów, praw jazdy czy legitymacji, ale też nie godzić się na ich kopiowanie.

Pozostawiony bez kontroli dokument lub co gorsza – skopiowany, może posłużyć złodziejowi do kradzieży tożsamości i zaciągnięcia kredytu na nasze dane. W 2017 r. doszło do blisko 50 tys., a w 2018 roku – do 70 tys. prób wyłudzenia kredytu w bankach na skradzione dane. Dokładna liczba wyłudzeń nie jest znana. Instytucje finansowe ujawniają jedynie przypadki, w których wyłudzeniom kredytów udało się zapobiec. Te kwoty również się wahają – od ponad 300 milionów złotych do ponad 2 miliardów złotych rocznie.

Dobry zwyczaj: wypożyczaj… ale za kaucją

Pamiętajmy, że od lipca 2019 r., zgodnie z Ustawą o dokumentach publicznych, firmy nie mogą już kopiować dowodów osobistych, paszportów, praw jazdy, kart pojazdu czy legitymacji, jeśli nie jest to prawnie uzasadnione. Dodatkowo w sukurs przychodzi nam RODO: w dowodzie osobistym jest bowiem nazwisko, imię, PESEL, data i miejsce urodzenia, płeć, wiek, zdjęcie, czyli dane osobowe, które powinny być chronione. Zgodnie z RODO zaś można przetwarzać takie informacje tylko w określonym celu.

Tu musimy wykazać się zarówno asertywnością, jak i dużą czujnością oraz znajomością prawa. W wypożyczalni sprzętu zimowego nikt nie może żądać od nas pozostawienia dowodu osobistego. Komunikat UODO wyraźnie to potwierdza. Powołajmy się również na ustawę o dokumentach publicznych, a zamiast dowodu wpłaćmy kaucję za sprzęt. Pracownik wypożyczalni może też spisać nasze dane kontaktowe – radzi Bartłomiej Drozd, ekspert Serwisu ChronPESEL.pl.

Przetwarzanie? Zgoda, ale na moich warunkach

Analogiczna sytuacja jak na stoku może nas spotkać w hotelu czy pensjonacie. Eksperci ChronPESEL.pl podkreślają, że przy meldunku równie często tracimy swój dowód z oczu.

Wielu z nas nie wie, że od kilku lat obiekty tego typu nie mają obowiązku meldunku swoich gości na pobyt czasowy. Nie powinniśmy godzić się więc na kopiowanie dowodu osobistego czy pozostawiania go na recepcji, a jeśli ktoś żąda od nas tego, lepiej taki fakt zgłosić do odpowiedniego urzędu – radzi Bartłomiej Drozd i dodaje: – Podawanie numeru PESEL czy adresu zamieszkania w wielu instytucjach jest koniecznością. Mamy z tym do czynienia na co dzień w szpitalach, przychodniach i urzędach. Jednak, jeśli ktoś oczekuje takich informacji przy innej okazji zawsze upewnijmy się, w jaki sposób podane przez nas dane będą wykorzystywane i czy możemy je potem usunąć.

Warto wiedzieć, że ChronPESEL.pl to usługa zwiększająca ochronę przed konsekwencjami utraty danych osobowych. Jej użytkownik otrzymuje informację o bezprawnym użyciu jego numeru PESEL oraz asystę i pomoc prawną, pozwalającą na uniknięcie kłopotów związanych z wyłudzeniem kredytów, pożyczek itp. na jego dane. Platforma została uruchomiona przez Kaczmarski Group i wykorzystuje m.in. dane Krajowego Rejestru Długów.

Coraz częściej nasza praca związana jest z częstymi wyjazdami. Co ciekawe, wartość rynku podróży służbowych z roku na rok rośnie (wzrost o 4,1%) – wynika z raportu „Podróże służbowe. Raport 2019”. Eksperci z ODO 24 przypominają, że podczas takich wyjazdów należy chronić cenne firmowe informacje i posiadane dane osobowe. Tym bardziej w okresie letnim, gdy więcej osób przemieszcza się za pomocą pociągów czy samolotów.
Pracownik w podróży

Niektórzy unikają ich jak ognia, inni chętnie z nich korzystają, ponieważ pozwalają oderwać się od codziennej rutyny. Podróże służbowe, bo o nich mowa, stanowią idealne okazje dla złodziei. Często w trakcie przemieszczania się z miejsca na miejsca, aby nie tracić czasu, pracujemy w pociągu lub samolocie. Odpisujemy na maile czy analizujemy dokumenty tworząc przy tym idealną przestrzeń do działań dla oszustów. Dokumenty niedbale położone na podkładce czy niezabezpieczone ekrany to wręcz zaproszenie do podejrzenia, co na nich jest. 

Zgodnie z RODO każdy podmiot przetwarzający dane musi zapewnić ich odpowiednie zabezpieczenie, w tym przed ich zniszczeniem, nieuprawnioną zmianą i dostępem. Dlatego pracodawcy, oprócz zadbania o przygotowanie pracownika do zrealizowania biznesowego celu wyjazdu czy zapewnienia mu warunków noclegowych, powinni pomyśleć także o ich przeszkolenie w zakresie zabezpieczenia informacji. Każda wyjeżdżająca osoba powinna być świadoma zagrożeń, jakie na nią czekają w miejscach publicznych oraz na co zwracać uwagę w swoim otoczeniu.

W podróży służbowej nie powinno się zostawiać niezablokowanego komputera oraz korzystać z niezabezpieczonych sieci Wi-Fi. Co więcej, każda firma powinna udostępnić wyjeżdzającym pracownikom specjalnie filtry prywatyzujące, które przykleja się na ekran przenośnych urządzeń (smartfon, tablet, laptop). Uniemożliwiają one zapoznanie się z treścią wyświetlaną na ekranie pod kątem – mówi Joanna Ożóg, ODO 24. – Pracownicy powinni również zwracać uwagę na to, co mówią podczas rozmów telefonicznych. Niewskazane jest omawianie szczegółów dotyczących projektów, jak również informacji odnoszących się do funkcjonowania organizacji, ponieważ nieświadomie mogą zostać przekazane informacje, które ktoś przypadkowy wykorzysta na naszą niekorzyść – dodaje.

Przeczytaj także:

Wyjazdy a pracodawca

Według najnowszego badania firmy Hotailors, aż 95 proc. respondentów wyjeżdża w celach biznesowych. Co więcej, większość z nich jest w takiej podróży przynajmniej raz w miesiącu. Jak firma powinna zadbać o dane osobowe pracownika wyjeżdzającego w taką podróż?

Podróż służbowa w świetle art. 775 § 1 Kodeksu pracy to nic innego jak wykonywanie na polecenie pracodawcy zadania poza miejscowością, w której znajduje np. siedziba pracodawcy. Dlatego według unijnego rozporządzenia niepotrzebna jest dodatkowa zgoda osób zatrudnionych na przetwarzanie ich danych, gdyż podstawę w tym zakresie stanowi obowiązek prawny ciążący na pracodawcy na gruncie przepisów prawa pracy. Sprawa ma się nieco inaczej, gdy zlecamy zorganizowanie ich podmiotom zewnętrznym np. biurom podróży ­– wskazuje Joanna Ożóg, ODO 24. – W procesie organizacji wyjazdu na sprecyzowanych przez pracodawcę warunkach, co do zasady to biura podróży będą pełnić rolę podmiotu przetwarzającego. Konieczne jest więc zawarcie umowy powierzenia danych osobowych, w której zgodnie z art. 28 ust. 3 RODO określony zostanie, m.in. przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych czy kategorie osób, których dane dotyczą – dodaje.

Nierzadko podróże służbowe przedłużane są w związku z okresem wakacyjnym. Jeżeli pracownicy wysyłani są w atrakcyjne miejsce niejednokrotnie korzystają z okazji, przedłużając pobyt w celach odpoczynku. Wówczas pracodawca musi być pewny, że firmowy sprzęt jest odpowiednio zabezpieczony, np. hasłem. Ważne, aby było ona wystarczająco złożone. Co więcej, warto je regularnie zmieniać.Jest to niezbędna czynność, ponieważ tak naprawdę każde, nawet to najsilniejsze hasło posiadając odpowiednią ilość czasu można złamać.

Źródło: ODO 24

25 maja 2018 roku weszło w życie Ogólne Rozporządzenie o Przetwarzaniu Danych, zwane przez wielu po prostu RODO. Głównym jego celem jest przede wszystkim, podniesie poziomu ochrony danych osobowych osób fizycznych. Wraz ze zmianami w prawie pojawiło się również wiele wątpliwości oraz nieprawdziwych informacji, dlatego też bardzo ważne jest poznanie pięciu najważniejszych faktów, dzięki którym zrozumienie RODO będzie łatwiejsze. W razie jakichkolwiek wątpliwości można skontaktować się z doradcami np. na tej stronie internetowej — gptogatus.pl.

Kogo dotyczy RODO?

Przede wszystkim trzeba zdawać sobie sprawę z tego, że ochrona, o której mowa wiąże się z osobami fizycznymi, jednak same dane wykorzystywane są przez różne podmioty. Dlatego też w szczególności one muszą dostosować się do zmian w prawie. Dotyczy to zarówno pracodawców, przedsiębiorców działających na terenie UE, organizacji pozarządowych, jak i podmiotów leczniczych. Zatem wszędzie, gdzie pozostawia się swoje dane i gdzie mogą one być następnie przetwarzane.

O jakie dane osobowe chodzi?

Dane osobowe, którymi dysponują firmy, czy choćby przychodnie to nie samo imię i nazwisko, ale również miejsce zamieszkania, czy pesel. Ochronie podlegają adresy e-mailowe oraz numery komórkowe, które często są niezbędne podczas rejestracji. Nie dotyczy to z kolei telefonów służbowych. Z kolei miejsce pracy zostanie już uwzględnione.

Czym jest przetwarzanie danych osobowych?

W kontekście RODO zwrócona została szczególna uwaga na kwestię związaną z przetwarzaniem danych. Jednak nie każdy zdaje sobie sprawę, czym ono jest. Zatem warto wyjaśnić, że to operacja, która wykorzystuje dane osobowe w celu ich:

  • zebrania,
  • utrwalenia,
  • pobrania,
  • wykorzystywania,
  • przesłanie dalej,
  • przechowywania itd.

Główne zasady RODO

Zgodnie z RODO najważniejsze staje się przetwarzanie danych osobowych w sposób, który jest zawsze zgodny z aktualnym prawem. Wszelkie zasady narzucane przez np. firmę muszą zostać przedstawione tak, aby klient rozumiał, co będzie działo się z danymi, które udostępni. Ideą RODO jest także naturalne zmniejszenie powodów, dla których dane zostają zbierane, a następnie przechowywane. Nie ma już dochodzić do sytuacji, kiedy są one wykorzystywane wbrew naszej woli.

Ochrona danych — jakie obowiązki ma Administrator?

Głównym obowiązkiem Administratorów jest wcielenie w życie wszystkich działań, których celem będzie maksymalizacja bezpieczeństwa danych osobowych, które mają być przez niego przetwarzane. I jak już wcześniej było wskazane, muszą umieć udowodnić, że tak postępują. Niestety RODO nie narzuca żadnych konkretnych działań, co w wielu przypadkach może rodzić wątpliwości. Wskazano jednak, aby podmiot zawsze dbał o zabezpieczenie danych, pytał o zgodę przed ich pobraniem oraz, co najważniejsze miał potwierdzenie​, że uzyskał zgodę na ich przekazanie. Innym obowiązkiem Administratora staje się informowanie, do jakich celów i na jak długi czas dane mają zostać pobrane. Prowadzi to do konieczności prowadzenia rejestru czynności przetwarzania danych osobowych.

Czy zdajemy sobie sprawę z tego, jaki jest prawdziwy cel wydawanych w sklepach „kart stałego klienta”? Oczywiście jednym z głównych powodów tworzenia programów lojalnościowych jest przywiązanie klienta do danej marki. Jednak kryje się za tym coś więcej. Często dla przedsiębiorcy równie ważne są nasze dane osobowe, które pozostawimy wypełniając specjalny formularz rejestracyjny.

Zniżka na wagę danych

Zazwyczaj, aby móc dostać kartę, która uprawnia do zbierania punktów i różnego rodzaju zniżek musimy podać swoje imię i nazwisko, dokładny adres zamieszania, płeć oraz aktualny adres e-mail.

Żądanie od nas podstawowych danych w celu uczestnictwa w programie lojalnościowym wydaje się sensowne skoro chcemy korzystać z preferencyjnych warunków u sprzedawcy. Najważniejszy jest zachowanie zdrowego rozsądku. Upewniajmy się, że zakres zbieranych informacji jest adekwatny do celu ich przetwarzania. Przykładowo, jeżeli chcemy otrzymać kartę stałego klienta np. w drogerii to pytanie o nasz ulubiony zapach lub kosmetyk do pielęgnacji będzie jak najbardziej uzasadnione, natomiast prośba o podanie naszego miejsca urodzenia lub nazwiska rodowego matki już nie – mówi adw. Anna Dmochowska, ekspert ds. ochrony danych, ODO 24.

Unijne rozporządzenia o ochronie danych osobowych (RODO) w katalogu zasad dotyczących ich przetwarzania wyraźnie zaznacza w jakim celu wszelkie informacje mogą być przetwarzane. Art. 5 ust.1 lit. b RODO stanowi, że — „dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”)”. Taki zapis jasno ogranicza dowolność w zakresie zbierania i przetwarzania danych.

Warto być czujnym

Właściciel sklepu, który zbiera informacje o nas staje się ich administratorem i nie może ich wykorzystywać w innym celu niż wymienił w formularzu, który wypełniliśmy. Dlatego tak ważnie jest dokładnie czytanie regulaminów i warunków uczestnictwa w programach lojalnościowych – wskazuje adw. Anna Dmochowska, ekspert ds. ochrony danych, ODO 24. Zwróćmy również uwagę, że przedsiębiorca, co o zasady nie może tak zdobytych danych przekazywać innym firmom, które będą prowadzić własne działania marketingowe. Musiałaby zostać bowiem wyrażona odrębna zgoda na rzecz takich administratorów – dodaje.

Decydując się na wyrobienie karty stałego klienta powinniśmy upewnić się, że przedstawiono nam do wglądu lub poinformowano o polityce prywatności. Pamiętajmy, że zgoda musi być jasno określona i doprecyzowana, nie może być ona w żaden sposób domniemana. Często w takich przypadkach możemy spotkać dwa rodzaje zgód – jedna dotyczy samego administratora, a druga np. sieci do której poszczególny sklep należy.

Dlatego zawsze lepiej wziąć dany formularz ze sobą do domu lub uzupełnić go przez internet dzięki czemu będziemy mogli się z nim szczegółowo zapoznać. Mamy wówczas pewność, że nic nam nie umknęło. Co więcej, bezpieczniejsze jest uzupełnianie takich dokumentów w miejscu, w którym mamy pewność, że nikt nieupoważniony nie spisze naszych danych. Pamiętajmy, że w sklepie spotykamy wiele osób i tak naprawdę nie wiemy, jakie mają one zamiary. – podsumowuje adw. Anna Dmochowska, ekspert ds. ochrony danych, ODO 24

Ministerstwo Cyfryzacji zwraca uwagę na konieczność zachowania najwyższej ostrożności w reagowaniu na wszelkie otrzymywane wiadomości związane z dostosowaniem Państwa organizacji do RODO.

Z informacji, jakie otrzymujemy wynika, że obok licznych wiadomości informujących Państwa o przetwarzaniu danych osobowych są również takie, które mogą być ukierunkowane na oszustwa.

Do wiadomości takich należą w szczególności:

– Informacje zawierające linki bądź załączniki z dokumentami z których skorzystanie zapewnić ma pozornie pełną zgodność z RODO, a faktycznie może skutkować zainstalowaniem tzw. wirusa na Państwa urządzeniu.

Co zrobić, gdy taką wiadomość dostaniemy? 

Prosimy o dokładne zapoznanie się z nią. Nie należy reagować na wiadomości lub SMS-y z niewiadomego lub podejrzanego źródła.

– Oferty usług doradczych w obszarze ochrony danych osobowych z informacją, że odmowa skorzystania z usług skutkować może złożeniem skargi do Prezesa Urzędu Ochrony Danych Osobowych. Może to być próba oszustwa.

Nieprawdziwe informacje o prawnej konieczności nabycia szaf zapewniających zgodność z RODO, krat w oknach, szczególnych kategorii niszczarek, nakładek na ekrany monitorów, kłódek oraz innych dedykowanych RODO rozwiązań. RODO nie stawia takich wymogów.

– Informacje o obowiązkowych egzaminach na Inspektorów Ochrony Danych, obowiązkowych certyfikatach oraz obowiązkowych szkoleniach.RODO nigdzie nie mówi o obowiązkowych egzaminach czy szkoleniach.
Jednocześnie wszystkim administrującym danymi osobowymi zwracamy szczególną uwagę na sposób realizacji obowiązków wynikających z RODO.

– Kierowane w ostatnim czasie liczne wiadomości informujące Państwa klientów, usługobiorców itd. o przetwarzaniu danych, powinny co do zasady być kierowane na adres mailowy adresata takiej wiadomości.

Wysyłanie takich informacji np. do wszystkich klientów, bez dodania ich adresów email lub wysyłanie tzw. kopii ukrytej może się wiązać z naruszeniem przepisów RODO.

 

Źródło: kurier.pap.pl

W maju ukaże się na rynku wydanie specjalne magazynu „Personel i Zarządzanie” poświęcone w całości zagadnieniom ochrony danych osobowych, zgodnie z wymogami nowej ustawy RODO w zarządzaniu kadrami. Redakcja przygotowała aż 14 eksperckich artykułów, przygotowanych przez prawników, specjalistów IT, którzy dzielą się swoją wiedzą i doświadczeniami w zakresie wprowadzania dyrektyw RODO w działaniach HR.

Wśród najważniejszych zagadnień, czytelnicy znajdą odpowiedzi na pytania:

  •  jak prawidłowo powinna być sformułowana zgoda na przetwarzanie danych osobowych w celach rekrutacyjnych,
  • czy pracodawca musi uzyskać zgodę pracowników na powierzenia danych przez niezależny podmiot,
  • jak długo można przechowywać CV kandydatów po zakończeniu rekrutacji
  • jak przygotować agencję zatrudnienia do działania zgodnie z RODO
  • jak wybrać dobry program komputerowy, który zapewni bezpieczeństwo przetwarzania danych osobowych pracowników,
  • czy po 25 maja należy zgłaszać incydenty naruszenia integralności posiadanych danych, jakie kary mogą grozić pracodawcy za nieprzestrzeganie przepisów RODO

Dodatkowo polecamy rozmowę z Borysem Stokalskim, prezesem Polskiej Izby Informatyki i Telekomunikacji na temat roli dzialów IT we wdrażaniu RODO.

Wydanie specjalne zostało wzbogacone w odpowiedzi na kilkadziesiąt pytań, które zadane zostały podczas wielu szkoleń i webinariów organizowanych przez INFOR.PL.

Wersja PREMIUM zawiera:

  • Personel i Zarządzanie wydanie specjalne – RODO w HR
  • Pendrive z trzema wideoszkoleniami:
  1. 10 przykazań RODO dla pracodawców
  2. RODO w HR nowe zasady przetwarzania danych osobowych kandydatów i pracowników
  3. RODO w HR

http://sklep.infor.pl/personel-i-zarzadzanie—rodo-w-hr.html

Proces wyborczy niezależnie od szczebla zdecydowanie wymaga przetwarzania danych osobowych. Jednoznaczna identyfikacja wyborcy jest warunkiem oddania głosu tylko jeden raz przez konkretną osobę fizyczną. Czy dane osobowe wyborców są odpowiednio zabezpieczane? Czy zapewnia się poufności danych w procesie rejestracji wyborców? Czy członkowie komisji wyborczej wiedzą jak chronić dane osobowe wyborców? Powyższe aspekty potrafią być bardzo problematyczne.

Przykładowo udając się do lokalu wyborczego i składając własnoręczny podpis w rejestrze wyborców, często udostępniane są nam pełne dane osobowe pozostałych wyborców. Możemy się dowiedzieć m.in. czy ktoś brał udział w wyborach lub też nie. Równie często jesteśmy proszeni o podanie na głos swoich danych osobowych przez przedstawicieli komisji wyborczej, w obecności wielu innych osób. Proces ten zdecydowanie narusza nasze prawo do prywatności. Bardzo często spisy wyborców są pozostawiane bez nadzoru, szczególnie w godzinach małego ruchu w lokalu wyborczym, a zakres danych znajdujący się w spisie to m.in. nazwisko i imiona, imię ojca, datę urodzenia, numer PESEL, adres zamieszkania. Ostatecznie warto zwrócić uwagę na przezroczyste urny wyborcze, gdzie w przypadku nie złożenia kart do głosowania można zobaczyć zaznaczony wybór przez konkretną osobę.

Kolejnym problemem praktycznym jest monitoring wizyjny wykorzystywany w lokalach wyborczych. Często lokale wyborcze są to zaadoptowane pomieszczenia szkół lub urzędów, gdzie prowadzony jest monitoring wizyjny w celu zapewnienia bezpieczeństwa lokalizacji. Przedstawicie komisji wyborczej rzadko kiedy zastanawiają się nad obszarem objętym monitoringiem oraz dostępem do nagrań, gdzie poprzez rejestracje wizualną może dojść do naruszenia podstawowej zasady poufności wyborów.

Ochrona danych osobowych powinna być zapewniona w tak istotnym elemencie życia obywateli jak wybory. Częste lekceważenie podstawowych zabezpieczeń lub niski poziom świadomości członków komisji wyborczej mogą prowadzić do poważnych naruszeń prawa do prywatności. Aspekt ten powinien być szczególnie ważny w świetle nowych przepisów RODO, które zaczną obowiązywać 25 maja 2018 r.

Wszystkie placówki oświatowe mają obowiązek chronić dane osobowe dzieci i ich rodziców. Niestety nie istnieją ściśle określone regulacje co do przetwarzania informacji przez tego typu instytucje, dlatego często dochodzi w nich do naruszeń prawa odnośnie ochrony informacji. Niestety wiele osób nie zdaje sobie z tego sprawy. Co gorsza przedszkola i żłobki nie przykładają wystarczającej wagi do bezpieczeństwa. Jest to ogromny błąd, ponieważ nierzadko posiadają one informacje wrażliwe jak np. dane o chorobach podopiecznych.

Obecna sytuacja pozostawia wiele do życzenia

Opiekunowie chcąc dobrze zajmować się kilkulatkami, powinni dość dużo wiedzieć o dzieciach i ich rodzicach. Istnieje więc uzasadniona potrzeba przetwarzania informacji, która czyni przedszkola i żłobki administratorami danych. Wszystko to powoduje, że dyrektorzy takich placówek są obciążeni dużą odpowiedzialnością. Są oni zobowiązani m.in. do zapewnienia zgodności z prawem wszystkich czynności wykonywanych na zebranych informacjach.

Niestety – w tego typu instytucjach –  często możemy się spotkać z niestosowaniem odpowiednich środków technicznych i organizacyjnych zapewniających wystarczającą ochronę. Może to wynikać z faktu, że nie zostały w nich jeszcze szczegółowo uregulowane kwestie ochrony danych osobowych – wskazuje adw. Łukasz Pociecha, WTB. Dlatego często dochodzi do udostępniania zbiorów informacji osobom nieupoważnionym. Przykładem mogą być np. publikowane na stronach internetowych listy przyjętych dzieci do danej placówki po zakończeniu procesu rekrutacji. Według prawa o ochronie danych osobowych jest to naruszenie. Zaniedbania w kwestii bezpieczeństwa są także pozostawione bez nadzoru pomieszczenia administracyjne – sekretariat, gabinet dyrektora – gdzie przechowywane są akta. Można je w łatwy sposób ukraść i wykorzystać w przestępczych celach – dodaje.

Na co warto zwracać uwagę

Ochrona danych osobowych w przedszkolach odnosi się do wielu kwestii. Już w momencie, gdy rodzic starający się zapisać swoje dziecko do danego oddziału spotyka się z sytuacją przetwarzania informacji. Podczas trwającego naboru musi on udostępnić np. szczegóły dotyczące zatrudnienia, adresy zamieszkania, adresy e-mail, numer PESEL czy informacje o stanie zdrowia dziecka.

Opiekunowie powinni pamiętać, że na wykorzystanie danych muszą wyrazić zgodę. Co więcej, administracja placówki edukacyjnej nie może bez odpowiedniego przyzwolenia opublikować informacji związanych z dziećmi na stronie internetowej (w tym zdjęć wizerunku dzieci) czy przekazać szczegółowych danych o dzieciach np. jednostkom organizującym zajęcia dodatkowe – mówi adw. Łukasz Pociecha, WTB. Warunkiem koniecznym w tym przypadku jest stosowanie się do odpowiednich procedur bezpieczeństwa. Zdarza się, że dyrektorzy lub nauczyciele nie znajdują odpowiedzi na nurtujące ich pytania w aktualnych przepisach. Dlatego dla osiągnięcia skutecznej ochrony prywatności warto jest rozważyć przeprowadzenie szkoleń, tym bardziej, że czeka nas duża rewolucja w przepisach prawa – uzupełnia.

Zmiany prawne wchodzące w życie od maja 2018 r.

Nowe unijne rozporządzenie (RODO) wprowadzi modyfikacje w dotychczasowych przepisach. Przedszkola również będą musiały się do nich dostosować.

Wcześniejsze przepisy stały się bowiem mało aktualne. Niektóre placówki oświatowe być może będą zmuszone do zainwestowania w unowocześniony system ochrony. Z pewnością zaistnieje także konieczność zmiany formularzy, zawierających m.in. oświadczenia zgód na przetwarzanie danych osobowych oraz obowiązek informacyjny, do którego spełnienia zobowiązany jest administrator danych. Co więcej osoba, której dane dotyczą będzie mogła żądać więcej szczegółów na temat operacji związanych z jej informacjami. Wpłynie to zapewne na pojawienie się wielu pytań od rodziców na ten temat – podsumowuje adw. Łukasz Pociecha, WTB.

Nowe przepisy przyjęte zostały w formie rozporządzenia, co oznacza bezpośrednie stosowanie przepisów przez wszystkich przedsiębiorców przetwarzających dane osobowe na terytorium Unii Europejskiej. RODO wejdzie w życie bez konieczności implementacji polską ustawą. Wszystko w celu ujednolicenia zasad ochrony danych osobowych w Unii Europejskiej.

Rozporządzenie to największa zmiana w podejściu do ochrony danych osobowych od dwudziestu lat. RODO wprowadza dużo nowości, o których należy pamiętać:

1. Bezpośrednia odpowiedzialność przetwarzającego dane  

Organizacje przetwarzające dane osobowe pochodzące z innych firm, w trakcie świadczenia usług na ich rzecz (jak na przykład firmy dostarczające rozwiązania w chmurze czy firmy hostingowe), będą ponosić bezpośrednią odpowiedzialność za złamanie zapisów RODO, włączając w to ryzyko otrzymania kary finansowej. Co więcej będą wymagane bardziej restrykcyjne niż dotychczas obowiązki w zakresie tworzenia umów o przetwarzaniu, natomiast odszkodowania i ograniczenia odpowiedzialności najprawdopodobniej będą podlegać renegocjacji.

2. Zgłaszanie naruszeń 

Obowiązkiem administratorów danych będzie zgłaszanie w ciągu 72 godzin od wykrycia do właściwego organu nadzoru przypadków naruszeń, które mogą skutkować zagrożeniem praw i swobód osób, których dane zostały naruszone. Może także wystąpić konieczność zawiadomienia konkretnej osoby, bez zbędnej zwłoki, o przypadku wystąpienia dużego ryzyka naruszenia jej praw lub swobód.

3. Nowe i rozszerzone prawa obywateli 

Przepisami RODO wprowadzone zostaje:

  • „prawo do bycia zapomnianym” (skierowane do obywateli, którzy życzą sobie, by ich dane osobowe zostały usunięte),
  • uprawnienie do żądania przeniesienia danych
  • oraz wzmocnione prawo dostępu i wglądu obywatela w jego dane.

Osoby, których dane dotyczą, będą także miały rozszerzone prawo sprzeciwu wobec przetwarzania ich danych, w tym prawo do zakazania marketingu bezpośredniego z wykorzystaniem danych osobowych, co ma niebagatelne znaczenie dla firm bazujących na analityce danych.

4. Ograniczenia profilowania 

Wprowadzone zostały ograniczenia w zakresie profilowania włączając w to obowiązek otrzymania zgody na profilowanie przed rozpoczęciem zbierania danych, surowy obowiązek informowania o profilowaniu oraz konieczność akceptacji braku zgody na profilowanie.

5. Wyznaczenie Inspektora Ochrony Danych Osobowych

Obowiązkiem niektórych firm zarówno kontrolujących, jak i przetwarzających dane, będzie wyznaczenie Inspektora Ochrony Danych Osobowych. Osoba ta musi dysponować wiedzą ekspercką w zakresie ochrony danych osobowych.

6. Obowiązkowa inwentaryzacja danych i wymagania związane z dokumentacją

Kontrolujący i przetwarzający dane będą zobowiązani od przygotowania i utrzymania wszechstronnych rejestrów dotyczących przetwarzanych danych, uwzględniających m.in.: powody przetwarzania danych, kategorie podmiotów danych i danych osobowych, adresatów danych, rejestry międzynarodowych transferów danych, rejestry naruszeń i incydentów, rozwój i utrzymanie zasad ochrony prywatności dla każdej linii produktowej, przechowywanie potwierdzonych zgód na przetwarzanie danych itd.

7. Zgody

Przepisami RODO zostają wprowadzone nowe lub uzupełnione zasady uzyskiwania ważnych i weryfikowalnych zgód na przetwarzanie danych osobowych od osób, których dane dotyczą.

8. Rozbudowanie obowiązku informacyjnego 

Przepisy RODO wskazują liczne informacje, które muszą być uwzględnione w komunikacji sposobu przetwarzania danych osobowych kierowanej do osób, których dane dotyczą.

9. Ocena wpływu ochrony danych

Wykonanie takiej analizy będzie obowiązkowe przed podjęciem działań „wysokiego ryzyka”, takich jak na przykład profilowanie na dużą skalę czy wykorzystanie danych szczególnych kategorii (takich jak dane dotyczące zdrowia).

10. Transfer danych poza Unię Europejską 

Niedostosowanie się do zakazu przesyłania danych, bez zachowania odpowiedniego poziomu zabezpieczeń, będzie zagrożone możliwością nałożenia bardzo wysokich kar finansowych.

źródło: www.pwc.pl

  1. Każde przedsiębiorstwo  lub  inna  jednostka  organizacyjna  zatrudniająca  choćby jednego pracownika lub  posiadająca  w  jakiejkolwiek  formie  dane  swoich Klientów  będących osobami fizycznymi, przetwarza dane osobowe w rozumieniu ustawy o ochronie danych osobowych.
  2. Sklepy internetowe, biura rachunkowe, hotele, spółdzielnie, urzędy, stowarzyszenia, placówki  edukacyjne,  przychodnie medyczne  i  przetwarzają  dane  osobowe. Wszystkie podmioty usługowe i handlowe  przetwarzające  dane  osobowe  swoich  Klientów,  podlegają  ustawie o ochronie danych osobowych.
  3. Podmiot przetwarzający dane osobowe musi posiadać odpowiednią dokumentację, w  tym  szczególnie  dokument  Polityki  Bezpieczeństwa,  Instrukcję  Zarządzania Systemem  Informatycznym  oraz  Ewidencję  osób  upoważnionych  do przetwarzania danych osobowych.

Zgodnie z art. 6 ust. 1 ustawy o ochronie danych osobowych, za dane osobowe uważa się:  „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. Sformułowanie to oznacza, iż za dane osobowe uważa się w szczególności
dane osobowe pracowników – co znajduje oparcie w art. 22 [1 ] § 5 kodeksu pracy stanowiącym wprost, że danych pracowników zatrudnianych przez pracodawcę „stosuje się przepisy o ochronie danych osobowych”.  Co więcej, tezę o zakwalifikowaniu danych pracowników, jako danych osobowych w rozumieniu ustawy potwierdza brzmienie art. 43 ust. 3 pkt 4 ustawy o ochronie danych osobowych, stanowiącego o zwolnieniu z obowiązku rejestracji zbioru danych przetwarzanych w związku z zatrudnieniem świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się – skoro zatem ustawa w wyżej wspomnianym przepisie uznaje dane przetwarzane w związku z zatrudnieniem za zbiór danych, to, zgodnie z art. 7 pkt 1 ustawy który definiuje pojęcie zbioru danych jako „zestawu danych o charakterze osobowym”, należy uznać dane zatrudnianych pracowników za dane osobowe w rozumieniu ustawy o ochronie danych osobowych, a w konsekwencji, poddanych wymogom związanym z prowadzeniem
dokumentacji, o jakiej mowa w rozdziale 5 ustawy o ochronie danych osobowych, przez co należy rozumieć w szczególności dokumentację wymaganą przez rozporządzenie, o którym mowa w art. 39a ustawy o ochronie danych osobowych.
Również dane klientów – nawet jeżeli ich zakres ogranicza się do numerów telefonów należy uznać za dane osobowe, interpretację taką potwierdzają: GIODO w decyzji DIS-DEC-42/1511, oraz Wojewódzki Sąd Administracyjny w Warszawie w wyroku II SA/Wa
1598/09 gdzie przyjęto pogląd, iż pomimo faktu, że informacje o numerze telefonu nie określają bezpośrednio tożsamości osoby, to jednak dają możliwość określenia tożsamości tych osób np. poprzez bezpośredni kontakt z osobą, która jest jego posiadaczem. Opowiedziano się zatem w sposób zdecydowany za zakwalifikowaniem tego typu informacji jako danych osobowych w rozumieniu ustawy. Powyższe uwagi
zachowują aktualność również w odniesieniu do adresów e-mail, co zostało wprost potwierdzone w stanowisku rzecznika prasowego GIODO z dnia 7 maja 2010 r. (http://www.giodo.gov.pl/330/id_art/3529/j/pl/).

Na niecały kwartał  przed rozpoczęciem stosowania RODO, poziom wiedzy i zrozumienia nowych obowiązków prawnych przez przedsiębiorców jest niski – wynika z raportu Kantar Public przeprowadzonego dla Generalnego Inspektora Ochrony Danych Osobowych.

Raport dowodzi, że o ile przedsiębiorcy wiedzą, iż niebawem w całej Unii Europejskiej będzie stosowane ogólne rozporządzenie o ochronie danych (RODO), to jedynie 19% z nich potrafi wskazać, że nastąpi to 25 maja 2018 roku. 24% badanych firm w ogóle nie wie, od kiedy będzie stosowane RODO – nie są w stanie wskazać nawet miesiąca, w którym to nastąpi. Ponadto jedynie 31% przedsiębiorców zna powody wprowadzenia nowych regulacji. Jeszcze mniej, bo zaledwie 72%, sprawdziło i wie, w jakim zakresie powinno się do nowych zmian dostosować.

Wiedza na poziomie podstawowym

Największe braki w wiedzy dotyczą nowych obowiązków – mimo że ponad połowa badanych słyszała o każdym z nich, to najczęściej nie wie dokładnie, jak je rozumieć i na czym ma polegać ich realizacja.

Przykładowo świadomość istnienia obowiązku zgłaszania organowi nadzorczemu w ciągu 72 godzin przypadków naruszeń związanych z przetwarzaniem danych ma 68% badanych przedsiębiorstw. Jednak jak tego dokonać w praktyce – wie 41% firm.

Aż 75 proc. badanych zdaje sobie sprawę z tego, że wielu administratorów będzie miało obowiązek wyznaczenia inspektora ochrony danych, lecz tylko 49% przedsiębiorców wie, na czym ten wymóg polega. 26% słyszało o tym, ale nie zna szczegółów regulacji w tym zakresie.

Jednak najwięcej trudności ze zrozumieniem sprawia przedsiębiorcom kwestia profilowania. 41 proc. badanych nawet nie zdaje sobie sprawy z istnienia określonych wymogów w tym zakresie, a 37% nie wie, jak je stosować w praktyce.

Wśród najmniejszych firm (1-9 zatrudnionych) najmniej znane jest podejście oparte na ryzku i obowiązek przeprowadzania oceny skutków dla ochrony danych – 51% nigdy o tym nie słyszało w kontekście wprowadzanej w maju 2018 r. reformy. Niezrozumiałe są dla nich również kwestie zapewnienia ochrony danych osobowych w fazie projektowania (np. usług czy aplikacji) oraz rozbudowane obowiązki informacyjne.

Działania dostosowawcze opóźnione

Z odpowiedzi respondentów wynika, że zaledwie 38% przedsiębiorstw podjęło przygotowania do dostosowania swojej działalności w zakresie przetwarzania danych osobowych do RODO. W swoich odpowiedziach 13% firm deklaruje, że zajmie się tym w I kwartale 2018 roku. Na około pół roku przed rozpoczęciem stosowania RODO, duża grupa przedsiębiorców dopiero planuje rozpocząć takie działania.

Raport pokazuje, że im mniejsza firma, tym mniejsza świadomość zmian w prawie ochrony danych osobowych. Ponadto mniejsze firmy częściej niechętnie podchodzą do RODO. Traktują je jako źródło dodatkowych i uciążliwych obowiązków. Dla wielu motywacją do stosowania nowych przepisów będą wysokie kary finansowe – przyznaje to połowa badanych.

źródło: www.giodo.gov.pl

Obowiązek rejestracji zbioru jest jednym z podstawowych obowiązków, jakie nakłada na administratora danych ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2014 r. poz. 1182 z późn. zm.; dalej jako: ustawa). Zgodnie z art. 40 ustawy administrator danych obowiązany jest zgłosić zbiór danych osobowych do rejestracji, której dokonuje Generalny Inspektor Ochrony Danych Osobowych (dalej: Generalny Inspektor); wyjątki od tej zasady wyliczone zostały w art. 43 ust. 1 i 1a ustawy. Nałożenie na administratorów danych obowiązku rejestracji umożliwia Generalnemu Inspektorowi sprawowanie kontroli nad prawidłowością procesu przetwarzania danych osobowych. W postępowaniu prowadzonym przez Generalnego Inspektora, w związku ze zgłoszeniem zbioru do rejestracji przez administratora danych, należy w szczególności ustalić, czy administrator, przetwarzając dane osobowe, przestrzega zasad ochrony danych osobowych określonych przepisami ustawy i czy prawidłowo zabezpieczył dane w zbiorze, zgodnie z przepisami prawa regulującymi kwestie zabezpieczeń. Rejestracja zbiorów danych, a ściślej: upublicznianie w rejestrze zbiorów danych osobowych, prowadzonym przez Generalnego Inspektora, informacji o zbiorach danych wpisanych do tego rejestru tworzy także korzystne warunki do sprawowania indywidualnej kontroli przetwarzania danych przez samych zainteresowanych, tj. osoby, których dane są przetwarzane w zbiorach wpisanych do rejestru.
Osoby zainteresowane, korzystając z przysługującego każdej osobie prawa do przeglądania rejestru, mogą bowiem na podstawie danych zawartych w rejestrze uzyskać informacje, czy konkretny administrator danych zarejestrował podlegające obowiązkowi rejestracji zbiory, w których ich dane są przetwarzane, a także – w jakim zakresie, celu i w oparciu o jaką przesłankę legalności przetwarza ich dane w zarejestrowanych zbiorach.

źródło: giodo.gov.pl

28 stycznia to wyjątkowy dzień dla każdego z nas. Tego dnia w Europie obchodzony jest Dzień Ochrony Danych Osobowych. Niemal w każdej sekundzie informacje o nas są zbierane i wykorzystywane przez różnego rodzaju podmioty, niekiedy nawet w celu popełnienia przestępstwa. Powinniśmy je odpowiednio chronić. Dane osobowe to nie tylko adres, telefon czy numer PESEL, ale również inne cenne informacje. 

Vademecum ochrony danych osobowych

Nie bez powodu 28 stycznia wybrano na Dzień Ochrony Danych Osobowych. Tego dnia w 1981 r. przyjęto Konwencję Rady Europy Nr 108. Była to prawdziwa rewolucja w ochronie danych osobowych, bo przepisy w niej zawarte nałożyły na wszystkie kraje członkowskie zobowiązanie do stworzenia odpowiedniego ustawodawstwa w tym zakresie – mówi, Maciej Kaczmarski, Fundacja Wiedza To Bezpieczeństwo. Dzięki tej Konwencji, każdemu – niezależnie od obywatelstwa – przysługuje ochrona praw i wolności, tych związanych z danymi osobowymi  – dodaje.

Z czasem jednak rozbieżności w ustawodawstwach państw Unii spowodowały konieczność ich ujednolicenia. W 1990 r. rozpoczęto prace nad zmianami. Ich efektem było wydanie Dyrektywy Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/WE), której zaś następcą zostało RODO, czyli  europejskie rozporządzenie o ochronie danych osobowych. Najważniejszym podmiotem w świetle nowych przepisów stał się obywatel, czyli osoba której dane dotyczą. Przyznaje mu się m.in. prawo do niepodlegania decyzji opierającej się wyłącznie na zautomatyzowanym przetwarzaniu czy do bycia zapomnianym. Ponadto wszelkie informacje powinny być do niego kierowane w sposób precyzyjny i zrozumiały.

Jak to wygląda w Polsce?

Pierwszym aktem prawnym w Polsce gwarantującym ochronę danych osobowych była Konstytucja z 1997 r., a dokładnie art. 47 i 51. Kolejnym, była ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Pozwoliły one na późniejsze wprowadzenie – w kwietniu – i ratyfikowanie w maju 2002 r. Konwencji Nr 108 Rady Europy oraz określenie prawnych norm obrotu danymi. Nowelizacja regulacji nastąpiła po dwóch latach, kiedy weszły w życie przepisy o zmianie ustawy o ochronie danych osobowych oraz ustawy o wynagrodzeniu osób zajmujących kierownicze stanowiska państwowe.

Czy wiemy czym są dane osobowe?

Wiele osób wiąże pojęcie danych osobowych jedynie z imieniem, nazwiskiem oraz numerem PESEL.  Są to spore uproszczenia, prawdopodobnie wynikające z tego, że w przepisach z 1997 r. za dane osobowe uważano informacje „pozwalające na określenie tożsamości tej osoby”, dopiero później termin ten rozszerzono na „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. Aby uzmysłowić sobie, czym są te dane osobowe i jak wiele informacji nimi jest, wystarczy włączyć swój telefon i komputer. Znajdziemy na nich numery telefonów naszych znajomych, służbową korespondencję, zdjęcia, zapisy o naszej lokalizacji  – czyli inne dane niż pozwalające na „określenie tożsamości”, które także powinny podlegać ochronie.

Według art. 6 ust. 1 ustawy z dnia 29 sierpnia 1997 r., za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Co to oznacza? To, że możemy określić tożsamość osoby opierając się na wyglądzie, imieniu, nazwisku, numerze PESEL, numerze legitymacji, kolorze oczu, odciskach palców, nawykach ubiorowych, stanowisku służbowym, a nawet poprzez pozycję społeczną – wszystko to może zostać uznane za nasze dane osobowe.

– Warto jednak podkreślić, że nie jest to stały zestaw – wszystko zależy bowiem od podmiotu – wskazuje ekspert Fundacji Wiedza To Bezpieczeństwo. Dobrym przykładem może być nasze imię i nazwisko. Każdy z nas chciałby być wyjątkowy. Niestety może się zdarzyć, że Janów Kowalskich jest kilka, a nawet kilkanaście na całym świecie. W takim przypadku samo imię i nazwisko nie stanowi danych osobowych, jeśli nie jest powiązane z innymi informacjami – uzupełnia Maciej Kaczmarski, Fundacja Wiedza To Bezpieczeństwo.

Przed udostępnieniem jakiejkolwiek informacji, która w jakiś sposób nas dotyczy warto się dwa razy zastanowić. Bezmyślność może drogo kosztować i któregoś dnia możemy się dowiedzieć, że np. mamy bardzo duży kredyt, podpisaliśmy umowę na telefon lub nawet braliśmy udział w przestępstwie.

 

Rok 2017 możemy uznać jako przełomowy w zakresie przygotowań do wdrożenia europejskiego rozporządzenia o ochronie danych osobowych (RODO). Ustawodawca przedstawił projekt regulacji krajowych odnoszących się do planowanych zmian, a firmy informatyczne rozpoczęły przygotowania mające na celu dostosowanie swoich rozwiązań do nowych wymogów. Niestety, nie obeszło się również bez wpadek.

RODO  jako główny punkt zainteresowania

W nowym projekcie założenia, które przyświecały prawodawcy to przede wszystkim chęć podwyższenia poziomu prywatności obywateli, w tym przyznanie im nowych, nieznanych dzisiaj skutecznych mechanizmów ochrony przed naruszeniami, przy jednoczesnym poszanowaniu interesów przedsiębiorców. Krajowe przepisy udzielą kompetencji Prezesowi Urzędu Ochrony Danych Osobowych (następcy GIODO) do opracowywania i udostępniania na swojej stronie internetowej dobrych praktyk przetwarzania danych, zawierających rekomendowane środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania informacji.

Należy również zauważyć, iż GIODO rozpoczęło cykl szkoleń przygotowujących zarówno administratorów danych jak i obecnych ABI do wywiązywania się z przepisów RODO.

-W mijającym roku wiele firm i organizacji intensywnie przygotowywało się i wdrażało rozwiązania, które pozwolą im spełnić wymogi ustawodawcy. Poza działalnością GIODO pomocne okazały się również instytucje i firmy edukujące w zakresie ochrony danych osobowych. Warte odnotowania są działania Fundacji Wiedza To Bezpieczeństwo – mówi Krzysztof Kiewicz, ODO24. Przeprowadzona kampania społeczno-edukacyjna „Potencjalnie nieBezpieczni”, której byliśmy partnerem wzbudziła duże zainteresowanie mediów. Dzięki temu udało nam się dotrzeć do szerokiego grona przedsiębiorców szukających informacji na temat nadchodzących zmian – dodaje.

 Branża IT nie „zaspała”

Naturalną rzeczą jest, iż rewolucja w przepisach regulujących kwestie ochrony danych osobowych wymusi również zmiany w eksploatowanych już systemach teleinformatycznych. Jednym z podstawowych problemów było i będzie, zapewnienie systemom IT funkcjonalności przedstawionej w art. 17 ust. 1 RODO, tj. prawa do bycia zapomnianym. W tym przypadku konieczne jest przeszukanie wszystkich zasobów teleinformatycznych, co będzie nie lada wyzwaniem, gdyż dane mogą być nie tylko w bazach, ale również w plikach tekstowych zlokalizowanych na komputerach użytkowników, plikach ze skanami dokumentów itp.

Poważnie do tego problemu podszedł m.in. IBM oferując rozwiązania typu SIEM, takie jak:

  • IBM Security Guardium. Zbiór narządzi, które rozwiązuje problemy jakie wiążą się z dostosowaniem obszaru IT do postanowień RODO. Umożliwia m.in. przeszukiwanie zasobów informatycznych w celu zidentyfikowania danych, a następnie wspiera ich klasyfikowanie. Umożliwia również stałe monitorowanie pod kątem zgodności dostępu do danych.
  • IBM QRadar. Ułatwia konsolidowanie logów z eksploatowanych w organizacji systemów.

Również firma Hewlett Packard posiada w swojej ofercie oprogramowanie wspierające obszar IT w zakresie dostosowania do RODO. Jest to platforma zabezpieczająca HPE SecureData umożliwiająca m.in. zaawansowane mechanizmy szyfrowania czy też pseudononimizacji, jak również zabezpieczenia danych w chmurach publicznych. Ciekawym rozwiązaniem jest też oprogramowanie GREENmod oferowane przez firmę TUKAN IT. Narzędzie to wspomaga klasyfikowanie dokumentów oraz określanie stopnia ich poufności tuż przed zapisaniem ich na komputerze.

Wycieki danych…

Szerokim echem w mediach odbił się wyciek danych osobowych i medycznych setek pacjentów oraz informacji finansowych należących do dziesiątek szpitali, obsługiwanych przez podmiot zewnętrzny. W efekcie możliwe było poznanie m.in. historii chorób pacjentów, czy też kondycji finansowej poszczególnych placówek medycznych. Kontrola przeprowadzona przez GIODO wykazała liczne nieprawidłowości m.in. w rozwiązaniach i procedurach.

Kolejny duży wyciek – tyczący się aż 50 tys. osób – miał miejsce w firmie InPost. Oprócz danych osobowych pracowników, ujawniono również opisy zabezpieczeń fizycznych obiektów należących do firmy, a także konfiguracje umożliwiające zarządzanie paczkomatami.

W 2017 roku w Stanach Zjednoczonych doszło do największego w historii ujawnienia danych. Zdarzenie to dotyczyło około 200 milionów osób. Na jaw wyszły  m.in. adresy, dane kart kredytowych oraz numery ubezpieczenia społecznego.

-Podsumowując rok 2017 należy uznać go za kluczowy w kontekście przygotowań do wdrożenia wymagań RODO. Zrewolucjonizowane podejście do zabezpieczania danych osobowych zostało dostrzeżone nie tylko przez administratorów danych, ale również branżę IT dostarczającą narzędzia i usługi w tym zakresie – wskazuje Krzysztof Kiewicz, ODO 24. Nie bez znaczenia pozostaje również fakt głośnych spraw związanych z wyciekami danych, jak również podjętymi z nimi interwencjami GIODO, gdzie w każdej tego typu sytuacji podejmowana jest żywa dyskusja nt. bezpieczeństwa informacji oraz ryzyka jakie czyhają na każdego z nas – dodaje.

Mimo to nie są zainteresowani jej pogłębianiem – pokazuje Raport „Egzamin z wiedzy finansowej”. W teście wiedzy praktycznej niemal co drugi badany nie jest w stanie udzielić poprawnej odpowiedzi na połowę zadanych pytań. Dodatkowo, jedna trzecia respondentów mówi, że w ogóle tematy finansowe ich nie interesują.

Jak wygląda faktyczna wiedza Polaków o finansach? Badanie przygotowane przez firmę Maison & Partners dla Kapitalni.org pokazuje, że nasza znajomość tej tematyki jest niewielka.

Test zawierał 27 pytań z zakresu praw konsumenta, gospodarowania budżetem domowym, pożyczania i zadłużenia, a także oszczędzania i ochrony danych. Wyniki nie są dobre. Blisko co drugi badany (47 proc.) nie jest w stanie udzielić dobrych odpowiedzi na połowę zadanych pytań, a 14 proc. respondentów uzyskuje w teście mniej niż 7 punktów – udzielając tym samym błędnych odpowiedzi na ponad 75 proc. zadanych pytań. Średnia z testu wiedzy finansowej wyniosła 13,45 pkt, co oznacza, że ledwo go zaliczyliśmy, uzyskując ocenę 3 z minusem. Nikomu nie udało się odpowiedzieć poprawnie na wszystkie zadane pytania.

Deklaracje a rzeczywistość

– Obszary, z którymi mamy kłopoty, mimo deklarowanej wysokiej wiedzy na ten temat, to pożyczki, kredyty i zadłużenia. Ponad połowa badanych ma problem z udzieleniem poprawnych odpowiedzi na 50 proc. pytań testowych z tego zakresu. Słabo wypadamy także w pytaniach dotyczących oszczędzania, chociaż połowa Polaków ocenia dobrze swoją wiedzę w tym temacie, to rzeczywista wiedza jest zdecydowanie niższa – mówi dr hab. Dominika Maison. Test z tego zakresu okazuje się trudny dla większości badanych. Aż 89 proc. Polaków nie jest w stanie określić kwoty należnej im po wygaśnięciu lokaty – nie pamiętamy, że od dochodów kapitałowych płacimy podatek. Co ciekawe, dość dobrze radzimy sobie z pytaniami dotyczącymi ochrony danych osobowych.

Brak wiedzy i chęci jej pogłębiania

– Większość Polaków nie jest zainteresowana pogłębianiem swojej wiedzy finansowej, pomimo że widzi jej przydatność. Skąd taka rozbieżność? Niestety najprawdopodobniej z doświadczenia. Większości ludzi „edukacja finansowa” kojarzy się z nudnymi programami w telewizji lub radiu oraz informacjami przekazywanymi hermetycznym specjalistycznym językiem. Skuteczne kampanie edukacyjne z obszaru wiedzy finansowej muszą mieć atrakcyjną formę, aby mogły konkurować z rozrywkowymi treściami dominującymi w mediach – mówi ekspert.

Blisko 20 proc. osób uważa, że wiedza o finansach jest potrzebna tylko ludziom bogatym. To błędne myślenie. Wiedza w tym zakresie pozwala podejmować nam lepsze decyzje finansowe, sprawniej gospodarować budżetem domowym, inwestować swoje oszczędności. Tym samym procentuje – jesteśmy bardziej świadomymi konsumentami, którzy potrafią wybrać najlepsze dla siebie produkty i pomnażać swoje pieniądze, dlatego nasz status majątkowy się zwiększa.

Poszukiwanie wiedzy

Zdajemy sobie sprawę z obszarów, w których mamy niedostateczną wiedzę. Polacy wskazują, że informacje dotyczące: zasad funkcjonowania systemu emerytalnego, inwestowania pieniędzy oraz wychodzenia z długów – są tymi najbardziej przez nich pożądanymi. Częściej wiedzy finansowej poszukują kobiety, osoby posiadające dzieci, lepiej wykształcone, oceniające lepiej swoją sytuację materialną i uzyskujące wyższe wyniki w teście wiedzy finansowej. W głównej mierze korzystamy ze stron internetowych (50 proc.). Polegamy też na własnych doświadczeniach (34 proc.) lub zdaniu znajomych/rodziny (23 proc.).

 

 

Źródło: materiały prasowe firmy

Działa już bezpłatna aplikacja na smartfon – mObywatel. Rozwiązanie, które przygotowało Ministerstwo Cyfryzacji, zapewnia szybki dostęp do dokumentów w telefonie.

Rozwiązanie zaprezentowane na konferencji prasowej przez minister cyfryzacji Annę Streżyńską ma – zdaniem resortu – przydać się w codziennych sytuacjach. Pierwszą usługą dostępną w aplikacji jest mTożsamość.

Ministerstwo podało jako przykład wykorzystania aplikacji, sytuację stłuczki samochodowej. „Uczestnicy stłuczki, którzy w kilkanaście sekund ściągną na swoje smartfony ze sklepu Google Play aplikację – będą mogli wymienić się informacjami potrzebnymi do rozwiązania sprawy i ujawnią tylko tyle danych, ile wymaga sytuacja, nie więcej” – wyjaśniono w komunikacie ministerstwa.

Za pomocą mTożsamości można potwierdzić swoją tożsamość w kontaktach z innymi obywatelami. Dane wyświetlają się na ekranie telefonu, można je przekazać innej osobie na jej telefon. Można też automatycznie pobrać dane tej osoby i zapisać je w swoim telefonie, pod warunkiem, że obie osoby są użytkownikami aplikacji mObywatel. Wymiana danych jest chroniona certyfikatem wydanym przez Ministerstwo Cyfryzacji.

Aplikacja jest bezpłatna i może z niej skorzystać każdy, kto jest pełnoletni i ma: ważny dowód osobisty, profil zaufany (eGo), smartfon z systemem operacyjnym Android w wersji 6.0 (lub nowszej) wyposażony w Bluetooth i aparat fotograficzny, aktywną aplikację mObywatel, połączenie z internetem.

mTożsamość korzysta z aktualnych danych (znajdujących się w rejestrach państwowych) takich jak: imię, nazwisko, data urodzenia, numeru PESEL, czyli danych z rejestru PESEL, oraz zdjęcia, terminu ważności, numeru dowodu, informacji, kto wydał dokument – czyli danych z Rejestru Dowodów Osobistych. Te dane można w każdej chwili wyświetlić na ekranie smartfona. Natomiast przekazać komuś lub pobrać od kogoś (z telefonu na telefon) można tylko część danych: imię i nazwisko, zdjęcie i numer dowodu oraz informację, kto go wydał.

Dzięki mTożsamości możliwe jest sprawdzenie tożsamości i wymiana danych bez spisywania, skanowania czy fotografowania dowodu osobistego. Ministerstwo Cyfryzacji podkreśla jednak, że wymiana danych jest możliwa tylko pomiędzy użytkownikami aplikacji mObywatel. mTożsamość nie zastąpi też dowodu osobistego w banku, urzędzie, podczas kontroli drogowej lub przekraczania granicy.

Jak podkreśla resort, ze względów bezpieczeństwa dane zapisane w telefonie są zaszyfrowane i podpisane certyfikatem wydanym przez Ministerstwo Cyfryzacji. Certyfikat potwierdza również autentyczność danych. Dostajemy go przy aktywacji aplikacji – jest przypisany do użytkownika i jego telefonu. Dostęp do danych jest zabezpieczony hasłem dostępu, które wybieramy przy aktywacji aplikacji.

Wiarygodność danych innej osoby potwierdza status certyfikatu, który można zobaczyć podczas wymiany danych oraz w historii pobranych danych. Można też sprawdzić aktualność certyfikatu online.

Resort podkreśla, że dane, które pobieramy od innego użytkownika za pomocą mTożsamości, podlegają przepisom o ochronie danych osobowych, dóbr osobistych i prywatności. Nie można więc ich publikować ani udostępniać innym osobom.

– Pracujemy na tym, by już wkrótce w aplikacji mObywatel pojawiły się nowe mDokumenty – mDowód Osobisty czy mPrawo Jazdy – zaznaczyła podczas konferencji prasowej Anna Streżyńska.

Aplikację przygotowało Ministerstwo Cyfryzacji we współpracy z NASK i COI.

aplikację można pobrać tutaj

 

 

Źródło: www.kurier.pap.pl

Dzisiejsze środowisko pracy, praca zdalna i rozwój idei, takich jak IoT, sprawiają, że rośnie liczba gromadzonych przez nas danych oraz zagrożenie nieuprawnionym dostępem do nich.

Europejskie firmy muszą śpieszyć się z poprawą procesów zarządzania danymi – zarówno w zakresie ich wykorzystania, jak i zabezpieczania. Rozporządzenia Unii Europejskiej o ochronie danych osobowych (General Data Protection Regulation – GDPR) daje im czas do maja 2018 roku. W październiku, Europejskim Miesiącu Cyberbezpieczeństwa, zwraca się szczególną uwagę na te zagadnienia i zachęca się firmy do przeanalizowania własnych zabezpieczeń.

Dzisiejsze środowisko pracy, praca zdalna i rozwój idei, takich jak IoT, sprawiają, że rośnie liczba gromadzonych przez nas danych oraz zagrożenie nieuprawnionym dostępem do nich. Niezależnie od zaawansowania technologicznego, ludzie pozostają najsłabszym ogniwem łańcucha zabezpieczeń, zwłaszcza pracując z dala od biura. Dotychczas brak właściwej ochrony mógł doprowadzić do kosztownej utraty reputacji. GDPR przyniesie zwiększenie kar finansowych i działań prawnych. Najwyższy czas, by przedsiębiorstwa oceniły swoje strategie zabezpieczeń oraz ochrony danych.

Istotną rolę w zwiększaniu bezpieczeństwa odgrywa zastosowanie rozwiązań typu zero client. Pomagają one odsunąć zagrożenie zainstalowaniem złośliwego oprogramowania w laptopach oraz wyeliminować wyciek danych w przypadku kradzieży lub zagubienia urządzenia.

Jednak najważniejsze jest, by urządzenia wykorzystywane przez pracowników były odpowiednio zabezpieczone, zwłaszcza biorąc pod uwagę ryzyko płynące z mobilnej i zdalnej pracy. Gartner przewiduje, że w ciągu najbliższych 5 lat wydatki na zwiększenie cyberbezpieczeństwa wzrosną o bilion dolarów. Oznacza to, że firmy będą szukać rozwiązań zabezpieczających ich infrastrukturę IT na każdym poziomie. Urządzenia biznesowe wyposażone w czytniki linii papilarnych i kamery IR mogą spełniać rolę pierwszej linii obrony. Równie istotna jest odporność serca maszyny – jej BIOS –w którym zapisywane są dane dostępowe takie jak System ID i informacje autoryzacyjne sieci. Gwarancję bezpieczeństwa daje własny BIOS stworzony przez producenta urządzenia, o czym często się zapomina.

 

 

 

Źródło: Toshiba

 

Coraz częściej słyszymy o nowych regulacjach, jakie wprowadza europejskie rozporządzenie o ochronie danych osobowych (RODO). Zaczną one obowiązywać od 25 maja 2018 r. Tego dnia wszystkie procesy w firmach powinny być dostosowane do nowych przepisów.  Fundacja Wiedza To Bezpieczeństwo wskazuje, że ich wdrożenie – pod warunkiem dobrego zaplanowania i zdecydowanych działań – zajmie przynajmniej klika miesięcy. A także podpowiada, jak przedsiębiorcy mogą skutecznie przygotować się do stosowania nowego prawa.

Może wydawać się, że wdrożenie odpowiedniego systemu ochrony danych osobowych zgodnego z przepisami RODO jest procesem trudnym. Aby mieć gwarancję, że cała procedura przebiegnie efektywnie, należy odpowiednio wcześnie się do tego przygotować i właściwie zidentyfikować problemy, które mogą się pojawić– mówi adw. Marcin Zadrożny, Ekspert ds. ochrony danych, ODO 24.

Od czego zacząć przygotowania do RODO?

  1. Wybierz sposób wdrożenia

Nowe przepisy można wprowadzić z wykorzystaniem własnych pracowników. Zwłaszcza, jeżeli firma posiada dział bezpieczeństwa lub compliance. Alternatywą jest wybór ekspertów zewnętrznych, którzy posiadają wypracowaną metodologię działań. Przy wdrożeniu RODO niezbędna jest wiedza interdyscyplinarna.

  1. Powołaj zespół wdrożeniowy

Przygotowanie do RODO jest procesem angażującym całą organizację. Dlatego konieczne jest powołanie odpowiedniego zespołu, który będzie czuwał nad całością prac wdrożeniowych.

  1. Stwórz harmonogram

Wskazanie zakresu prac oraz terminów wykonywania poszczególnych etapów przystosowywania firmy do RODO jest elementem, który pozwali określić jaki etap będzie najbardziej pracochłonny i kosztowny oraz od czego należałoby zacząć.

  1. Przeanalizuj ryzyko i przeprowadź DPIA

Unijne rozporządzenie wymusza na przedsiębiorcach dokonanie analizy ryzyka przetwarzania danych, aby zapewnić stopień bezpieczeństwa przetwarzania danych odpowiadający temu ryzyku poprzez wdrożenie odpowiednich zabezpieczeń technicznych i organizacyjnych. Dopiero, na postawie oceny ryzyka firmy mogą zdecydować, jakie zabezpieczenia należy wprowadzić. Ocena skutków przetwarzania dla ochrony danych (DPIA) jest istotnym i nowym narzędziem mającym na celu pomoc administratorom danych w wykazaniu, że podjęto odpowiednie środki w celu zapewnieniu zgodności z RODO.

  1. Dostosuj systemy IT

Systemy IT muszą przede wszystkim realizować prawa osób, których dane dotyczą, a zastosowane środki techniczne i organizacyjne powinny być wynikiem uprzednio wykonanej analizy ryzyka. Dodatkowo administrator danych osobowych powinien zapewnić zdolność do ciągłego zapewnienia poufności, integralności dostępności i odporności systemów i usług przetwarzania oraz powinien regularnie testować, mierzyć, oceniać skuteczność środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania

  1. Organizuj szkolenia

Aby mieć pewność, że nowy system ochrony danych osobowych funkcjonuje sprawnie  nie wystarczy jednorazowa realizacja zadań służących dostosowaniu się do nowych procedur. Konieczne jest przygotowanie wszystkich pracowników upoważnionych do przetwarzania danych i  dostarczenie im odpowiedniej wiedzy. Człowiek, to zawsze najsłabsze ogniwo każdego systemu, w tym systemu ochrony danych osobowych.

  1. Dostosuj klauzule informacyjne

Do tej pory obejmowały one wyłącznie wąski zakres informacji. RODO rozszerza obowiązek informacyjny m.in. o okres przechowywania danych osobowych, informacje o wszystkich prawach przysługujących osobie, której dane dotyczą, cofnięciu zgody na przetwarzanie danych, ewentualnym profilowaniu czy prawie wniesienia skargi do organu nadzorczego – dziś GIODO, a na gruncie stosowania RODO najprawdopodobniej Urzędu Ochrony Danych Osobowych.

  1. Przygotuj wewnętrzne procedury

Wszystkie obowiązujące w firmie zasady powinny zostać uaktualnione, dostosowane i rozbudowane o nowe obowiązki, wynikające z RODO. Należy zwrócić szczególną uwagę na to by dostosować proces przetwarzania danych osobowych pod względem m.in. wymogów legalności, adekwatności i przejrzystości.

  1. Upewnij się, czy Twoja firma musi powołać Inspektora Ochrony Danych

Po wprowadzeniu nowego prawa Inspektor Ochrony Danych (IOD) będzie odpowiednikiem obecnego Administratora Bezpieczeństwa Informacji (ABI). Aktualnie powołanie ABI nie jest obligatoryjne. RODO reguluje tę kwestię w sposób odmienny i wymusza powołanie IOD np. w organach i podmiotach publicznych oraz gdy np. główna działalność podmiotu polega na przetwarzaniu danych osobowych szczególnej kategorii (np. dot. stanu zdrowia) czy wyroków skazujących i naruszeń prawa.

  1. Zaplanuj audyt zamknięcia

… czyli weryfikację i ocenę wszystkich działań dostosowawczych. Warto by firmy przeprowadziły również porównanie aktualnego systemu ochrony z jego stanem sprzed wdrożenia. Audyt zamknięcia ujawnia, które zadania można było wykonać lepiej oraz jakie elementy wymagają jeszcze dopracowania.

 

 

 

Źródło: Fundacja Wiedza To Bezpieczeństwo

Mimo, że w projekcie ustawy o ochronie danych osobowych resort cyfryzacji uwzględnił wiele uwag Konfederacji Lewiatan,  to jednak istotne postulaty przedsiębiorców pozostały bez odpowiedzi, np. w kwestii odwołania od decyzji  Prezesa Urzędu Ochrony Danych Osobowych, czy kar nakładanych na podmioty sektora państwowego w związku z ewentualnymi naruszeniami przepisów o ochronie danych osobowych.

Konfederacja Lewiatan, która monitoruje działania resortu cyfryzacji dotyczące wdrożenia RODO (rozporządzenie o ochronie danych osobowych), przygotowała stanowisko do ustaw je wdrażających. Najwięcej zastrzeżeń budzą zapisy w projekcie ustawy o ochronie danych osobowych. Lewiatan zgłosił uwagi do niemalże każdego artykułu ustawy.

– Projektodawca zdecydował się utrzymać sądowo-administracyjną ścieżkę odwoławczą od decyzji Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Naszym zdaniem sądem kontrolującym decyzje PUODO powinien być Sąd Okręgowy w Warszawie – Sąd Ochrony Konkurencji i Konsumentów (SOKiK), na wzór postępowań odwoławczych od decyzji wydawanych przez prezesa UOKiK oraz prezesa UKE – przekonuje dr Aleksandra Musielak, ekspertka Konfederacji Lewiatan.

Resort cyfryzacji nie zrezygnował z niskiego pułapu kar nakładanych na podmioty sektora państwowego w związku z naruszeniami przepisów o ochronie danych osobowych.

W związku z utrzymaniem postanowień dotyczących nadawania decyzjom PUODO (Prezesa Urzędu Ochrony Danych Osobowych) rygoru natychmiastowej wykonalności oraz ograniczeniom w zakresie zaskarżalności postanowień i decyzji wydawanych przez PUODO w toku postępowania, firmy postulowały przyjęcie koncepcji dwuinstancyjności postępowania przed prezesem.

– Wątpliwości przedsiębiorców wzbudza sposób powoływania i odwoływania PUODO – przez Sejm, za zgodą Senatu, na wniosek premiera.  Postulujemy pozostanie przy aktualnym trybie wyboru organu ds. ochrony danych osobowych, który daje gwarancje jego pełnej niezależności – dodaje Aleksandra Musielak.

W zakresie przepisów wprowadzających ustawę o ochronie danych osobowych najwięcej krytycznych uwag przedsiębiorców dotyczyło zmian w Kodeksie pracy. Konfederacji Lewiatan szczególnie zależy na zapewnieniu, by pracodawcy mogli w jak najszerszym zakresie przetwarzać dane na temat kandydatów do pracy oraz pracowników.

Źródło: Konfederacja Lewiatan

 

Episerver, globalny dostawca platformy do inteligentnego zarządzania treścią, handlem internetowym i marketingiem w chmurze, w imieniu swoich klientów, zwiększył swoje zaangażowanie w ochronę danych osobowych. Jest to możliwe dzięki certyfikacji U.S. Department of Commerce’s EU-U.S. Privacy Shield Framework oraz stworzeniu dla Petera Yeunga, głównego doradcy i wiceprezesa firmy Episerver, nowej roli – globalnego Inspektora ds. Ochrony Danych Osobowych.

Zasady Ochrony Prywatności pomiędzy Europą i USA (EU-U.S. Privacy Shield Framework), opracowane wspólnie przez Komisję Europejską i U.S. Department of Commerce, zapewniają uregulowany system przepływu informacji handlowych pomiędzy Unią Europejską i Stanami Zjednoczonymi. Wskazują jednocześnie, jak globalne organizacje i firmy przetwarzają i chronią dane osobowe obywateli i podmiotów handlowych Unii i Stanów Zjednoczonych. Wdrożenie obu rozwiązań – certyfikacja  EU-U.S. Privacy Shield oraz powołanie Inspektora ds. Ochrony Danych Osobowych – pozwoli Episerver przygotować się do kompleksowego wprowadzenia regulacji o ochronie danych osobowych (RODO/ GDRP), mających wejść w życie w maju 2018 roku.

Episerver codziennie angażuje się w działania, zmierzające do zachowania norm związanych z ochroną danych osobowych – komentuje Peter Yeung, globalny Inspektor ds. Ochrony Danych Osobowych w Episerver. – Bezpieczeństwo oraz ochrona danych osobowych i prywatności powinna poprawiać wyniki biznesowe, a nie utrudniać ich zwiększanie. Certyfikat Ochrony Prywatności to tylko jedna z inicjatyw, mających na celu wzmocnienie zaangażowania firmy Episerver w ochronę danych osobowych, jak również zdobycie pozycji lidera w zakresie zachowania bezpieczeństwa w chmurze.

Informacja ta została zapowiedziana przez niedawne powołanie Sue Bergamo na Chief Information Officer (CIO) oraz Chief Information Security Officer (CISO) w Episerver. Dzięki temu zostanie spełniony cel firmy, zakładający zapewnienie klientom bezpieczeństwo informacji oraz dostępu do platformy Episerver zgodnie z najwyższymi zasadami bezpieczeństwa wewnętrznego oraz wymaganiami dotyczącymi zachowania prywatności.

Episerver konsekwentnie inwestuje w ochronę danych osobowych oraz bezpieczeństwo w chmurze. Już wcześniej zostało uruchomione Centrum Zaufania Episerver (Episerver Trust Center), podkreślające działania firmy w celu kontroli prywatności oraz ochrony danych osobowych klientów.

W erze cyfryzacji, ochrona danych osobowych jest niezwykle ważnym działaniem.  Nasze zaangażowanie w zachowanie norm bezpieczeństwa wykracza nawet poza przyjęty przez nas Certyfikat Ochrony Prywatności – podkreśla Mark Duffell, Prezes i CEO w Episerver. – Nasz ciągły rozwój i osiągane sukcesy wynikają z naszej zdolności do strategicznego inwestowania w nasze produkty, jak również rozpoznawania nowych możliwości inwestycyjnych, zapewniając jednocześnie klientów o bezpieczeństwie oraz łatwości obsługi narzędzia. Staramy się dostarczać bezpieczne narzędzia w chmurze, a nasze kierownictwo sprawi, że obrana przez nas wizja będzie się nadal rozwijać.

Episerver Digital Experience CloudTM oraz Episerver Campaign Optivo, będąca częścią platformy, zaprojektowane są w taki sposób, aby spełniać wymagania dotyczące bezpieczeństwa i ochrony danych osobowych – zarówno na poziomie przedsiębiorstwa, przepisów prawnych jak i regulacji w imieniu upoważnionej przez Episerver globalnej bazy klientów. Firma Episerver monitoruje i sprawdza wszystkie globalne przepisy dotyczące ochrony danych osobowych oraz zapewnia, że podstawy technologiczne, takie jak  Microsoft Azure™ – która już oferuje daleko idącą, operacyjną ochronę danych osobowych, zawiera dodatkowe poświadczenia dotyczące zachowania bezpieczeństwa i prywatności.

 

Źródło; Optivo, an Episerver Company

 

Do grona prawników Kochański Zięba i Partnerzy, w połowie lipca b.r. dołączył Dr Marcin Huczkowski, który objął stanowisko starszego prawnika /senior associate/w ramach sektorowej praktyki Nowych Technologii i Telekomunikacji kierowanej przez mecenasa Pawła Gruszeckiego. Dołączenie Dr Huczkowskiego do zespołu KZP jest naturalną konsekwencją realizacji kolejnego etapu strategii ciągłego rozwoju KZP, a w szczególności jej krakowskiego oddziału.

Dr Marcin Huczkowski jest radcą prawnym, absolwentem Wydziału Prawa i Administracji Uniwersytetu Jagiellońskiego, gdzie w 2013 r. uzyskał tytuł doktora nauk prawnych w zakresie międzynarodowego prawa autorskiego. Studiował również w Instytucie Amerykanistyki i Studiów Polonijnych oraz na Katholieke Universiteit Leuven w Belgii (LL.M. in Intellectual Property), gdzie zdobywał doświadczenie w zakresie europejskiego i międzynarodowego prawa własności intelektualnej.

Od ponad 9 lat mecenas Huczkowski zajmuje się problematyką prawa własności intelektualnej oraz prawa mediów. Specjalizuje się również w zagadnieniach związanych z ochroną danych osobowych, ze szczególnym uwzględnieniem problematyki dotyczącej „wdrożenia” RODO. Posiada duże doświadczenie w obsłudze prawnej podmiotów funkcjonujących na rynku mediów, w tym m.in. wydawców prasowych i książkowych, producentów telewizyjnych, filmowych oraz instytucji kultury i podmiotów działających w branży IT / TMT – głównie w zakresie dotyczącym m.in. implementacji i świadczenia usług serwisowych w odniesieniu do oprogramowania/systemów informatycznych.
Współpracuje także z zespołem fuzji i przejęć w zakresie dotyczącym przeprowadzania badań prawnych oraz sporządzania raportów due diligence, w szczególności w odniesieniu do spółek działających na rynku mediów.

Przed dołączeniem do zespołu KZP Marcin Huczkowski pracował jako senior associate w kancelarii SPCG T. Studnicki, K. Płeszka, Z. Ćwiąkalski, J. Górski w Krakowie oraz w kancelarii WKB Wierciński, Kwieciński, Baehr w Warszawie.

„Dołączenie do zespołu KZP Dr Marcina Huczkowskiego na pewno przyczyni się do wzmocnienia naszej praktyki w zakresie nowych technologii i danych osobowych. Takie wzmocnienie jest szczególnie ważne właśnie teraz, w okresie kiedy nasi klienci i partnerzy biznesowi znajdują się na progu największych zmian prawnych od wielu lat. Ogólne rozporządzenie o ochronie danych  (RODO) oraz Dyrektywa NIS to dopiero początek regulacji, które wymusza na polskich przedsiębiorcach budowę zintegrowanych systemów ochrony danych osobowych oraz usystematyzowane podejście do bezpieczeństwa nie tylko informacji, ale całych sieci i systemów informatycznych” – komentuje mec. Paweł Gruszecki, Partner, Szef Praktyki Nowych Technologii i Telekomunikacji w KZP.

 

 

Źródło: Kochański Zięba i Partnerzy

Konfederacja Lewiatan krytycznie ocenia model sądowo-administracyjnej ścieżki odwoławczej od decyzji prezesa Urzędu Ochrony Danych Osobowych. Sądem, który daje pełne gwarancje obrony praw stron postępowania, w tym przedsiębiorców, powinien być Sąd Ochrony Konkurencji i Konsumentów. 

– Nasze duże wątpliwości wzbudza również brak ochrony przedsiębiorców przed nadmierną kontrolą Prezesa Urzędu w zakresie przestrzegania standardów ochrony danych osobowych. Projekt wyłącza stosowanie ustawy o swobodzie prowadzenia działalności gospodarczej, tym samym przepisów o zawiadomieniu o zamiarze wszczęcia kontroli i znosi zakaz prowadzenia więcej niż jednej kontroli jednocześnie – mówi Aleksandra Musielak, ekspertka Konfederacji Lewiatan.

Niezrozumiałym, w ocenie Konfederacji Lewiatan, jest brak możliwości zawarcia ugody w toku postępowania prowadzonego przez prezesa Urzędu. – Nie zgadzamy się z argumentacją Ministerstwa Cyfryzacji, że istota naruszenia, jakim jest naruszenie przepisów o ochronie danych osobowych wyłącza możliwość stosowania wspomnianej instytucji.  Biorąc pod uwagę m.in. wysokość przewidywanych kar administracyjnych, uzasadnione wydaje się zapewnienie możliwości zawarcia porozumienia miedzy osobą, której prawa zostały naruszone a naruszycielem (potencjalnie przedsiębiorcą). Takie rozwiązanie umożliwi zakończenie postępowania bez konieczności kierowania sporu na drogę sądową – dodaje Aleksandra Musielak.

Przedsiębiorcy są również zaniepokojeni ustaleniem na poziomie 100.000 zł maksymalnych kar za naruszenie przepisów o ochronie danych osobowych przez podmioty publiczne. Konfederacja Lewiatan nie zgadza się z tym, by wspomniane kary były 840 razy mniejsze od  nakładanych na przedsiębiorców.
Źródło: Konfederacja Lewiatan

 

Trybunał Sprawiedliwości UE przyznał każdej osobie „prawo do bycia zapomnianym”, tj. prawo do żądania usunięcia naszych danych osobowych z wyszukiwarki internetowej. „Prawo do bycia zapomnianym” nie ma charakteru bezwzględnego. Użytkownik musi mieć uzasadniony interes do usunięcia dotyczących go danych. Uznaje się, że musi zostać zachowana równowaga pomiędzy poszanowaniem życia prywatnego, a prawem dostępu do informacji. Oznacza to, że nie możemy żądać usunięcia każdej informacji, która w naszej ocenie jest niekorzystna bądź stawia nas w niekorzystnym świetle.

W konsekwencji orzeczenia TS Unia Europejska wprowadziła zmiany w zakresie ochrony prywatności użytkowników Internetu. Rozporządzeniem nr 2016/679 przyznano osobom, których dane dotyczą, prawa żądania od administratora niezwłocznego usunięcia dotyczących ich danych osobowych. Inspiracją do wprowadzonych zmian było założenie, że nawet w przypadku popełnienia przestępstwa sprawcy przysługuje prawo do zatarcia skazania. Tymczasem odpowiednika takiego nie ma w Internecie – w przestrzeni cyfrowej znajdziemy nasze wypowiedzi, fotografie i informacje o sobie sprzed wielu lat. Co więcej, w Internecie mogą być zawarte dane nieprawdziwe czy chociażby szykany np. ze strony konkurencji. Dane te są przechowywane bez ograniczenia czasowego – a co za tym idzie, po latach, mogą negatywnie wpłynąć np. na karierę zawodową danej osoby.

Przepisy rozporządzenia wejdą w życie dopiero 25 maja 2018 r. jednak Google już teraz umożliwił złożenie odpowiedniego wniosku o usunięcie linku zawierającego nasze dane osobowe. Należy pamiętać, iż prawo do bycia zapomnianym nie oznacza, iż dany link czy informacja zostanie zupełnie całkowicie usunięta z jego źródła w Internecie. W praktyce dana strona czy informacja, po wpisaniu naszego imienia i nazwiska, nie będzie po prostu pojawiać się w wynikach wyszukiwania.

Jednakże każda sprawa musi być rozpatrywana indywidualnie, po przeprowadzeniu analizy, czy istnieje podstawa do ubiegania się o usunięcie linka z wyszukiwarki internetowej. Administrator danych tj. Google może odmówić usunięcia danych w określonych sytuacjach np. w przypadku gdy link strony dotyczy informacji o nadużyciach finansowych, postępowaniach karnych, nieprawidłowościach w wykonywanej pracy zawodowej czy też o zachowaniu przedstawicieli władz.

W orzeczeniu Trybunału Sprawiedliwości odnośnie Google Spain SL i Google Inc. wnioskujący Hiszpan zażądał usunięcia z Google informacji o sobie. Kilkanaście lat wcześniej jego nieruchomość została zlicytowana za długi, a informacja o licytacji domu była jedną z pierwszych informacji, która pojawiała się w wynikach wyszukiwania po wpisaniu jego imienia i nazwiska. Hiszpan argumentował, że spłacił już zadłużenie, ułożył sobie życie na nowo i nie chce by dane osobowe dotyczące jego dalekiej przeszłości w dalszym ciągu były udostępniane, bowiem wpływa to negatywnie na jego dobre imię.

Trybunał Sprawiedliwości UE podzielił argumenty skarżącego, żądając by Google usunęło konkretny link z wyników wyszukiwania. Podstawową kwestią było uznanie, że wyszukiwarka internetowa (tj. np. Google, Bing) przetwarza dane osobowe, w związku z czym należy uznać ją za administratora danych.

W praktyce wyegzekwowanie skuteczności takiego wniosku może okazać się niezwykle trudne. Informacje w cyberprzestrzeni są często kopiowane, pojawiają się w różnych miejscach, co oznacza, że będziemy zmuszeni do składania żądań w stosunku do każdej z tych stron indywidualnie. Przepisy mogą nie być w 100% skuteczne, jednakże „prawo do bycia zapomnianym” stanowi istotny krok w celu wzmacniania naszych praw do prywatności i ochrony danych osobowych.

Autor: adwokat Joanna Worona z kancelarii Gardocki i Partnerzy Adwokaci i Radcowie Prawni

Opublikowany w styczniu br. przez Komisję Europejską projekt rozporządzenia ePrivacy zaostrza przepisy dotyczące ochrony prywatności w Internecie. Nowe regulacje w największym stopniu dotkną branżę telekomunikacyjną i internetową, znacznie ograniczając możliwości inwazyjnych działań marketingowych. Wymóg ich przestrzegania ma zapewnić groźba kary sięgająca nawet do 20 milionów euro lub 4 proc. rocznego obrotu firmy.

Rozporządzenie ePrivacy ma wejść w życie 25 maja 2018 roku wspólnie z innymi przepisami dotyczącymi ochrony danych osobowych, które są znane pod skrótem GDPR (General Data Protection Regulation) lub RODO (Rozporządzenie o Ochronie Danych Osobowych). ePrivacy ma zastąpić dyrektywę Komisji Europejskiej dotyczącą prywatności i łączności elektronicznej z 2002 roku. Wpływ tego rozporządzenia na branżę internetową i telekomunikacyjną przeanalizowali specjaliści z firmy Onwelo SA, która zajmuje się m.in. usługami doradczymi i wykonawczymi w zakresie cyberbezpieczeństwa.

Operatorzy VoIP i komunikatory na takich samych prawach jak tradycyjne telekomy

Obecnie obowiązująca unijna dyrektywa w sprawie prywatności w Internecie dotyczy wyłącznie tradycyjnych operatorów telekomunikacyjnych. Nowe przepisy mają to zmienić, bo zostaną nimi objęci także wszyscy inni dostawcy usług łączności online, w tym operatorzy VoIP, komunikatory czy dostawcy usług e-mail. W praktyce dotyczy to takich marek, jak np. WhatsApp, Facebook Messenger, Skype czy Gmail. Rozporządzenie będzie dotyczyć zarówno przedsiębiorstw mających swoją siedzibę na terenie UE, jak i poza nią, o ile firma świadczy swoje usługi (płatne lub darmowe) obywatelom któregoś z krajów UE.

Proponowane przepisy gwarantują poufność zarówno treści wiadomości, jak również metadanych, takich jak np. informacje o czasie wysyłania czy odbierania danych oraz lokalizacji użytkownika. O ile użytkownik nie wyrazi na to zgody, po wejściu nowych przepisów w życie, dane te będą musiały zostać usunięte lub zanonimizowane, chyba że operator będzie ich potrzebował do ściśle określonych celów, np. wystawienia faktury. Dla takich firm, jak np. sieci społecznościowe czy reklamowe, oznacza to poważne konsekwencje, bo bardzo ogranicza możliwości w zakresie targetowania reklam. To może przełożyć się na mniejsze zainteresowanie reklamodawców usługami takich firm” – tłumaczy Rafał Głąb, odpowiedzialny za usługi w zakresie bezpieczeństwa danych w Onwelo.

Telemarketerzy będą mieli trudniej

Projekt rozporządzenia wprowadza też całkowity zakaz wysyłania niechcianych wiadomości elektronicznych jakimikolwiek kanałami komunikacyjnymi: e-mailem, SMS-em, a także telefonicznie. Rozporządzenie nie narzuca państwom członkowskim UE, jak należy wyegzekwować ten zakaz. Podpowiada jednak pewne rozwiązania.

Państwa unijne mogą się np. zdecydować na prowadzenie specjalnych rejestrów, gdzie każdy użytkownik będzie mógł zastrzec swój numer telefonu lub adres e-mail. Bardzo ciekawym planowanym rozwiązaniem jest także wprowadzenie specjalnego prefiksu, którym mają zostać oznaczone numery telefonów wykorzystywanych w celach marketingowych. Oznacza to, że będzie można łatwo rozpoznać, jeśli będzie do nas dzwonił ktoś w ofertą marketingową, a potem po prostu nie odebrać takiego połączenia” – mówi Marcin Baranowski, ekspert ds. bezpieczeństwa IT w firmie Onwelo.

Zmiany dla branży direct e-marketingu

Rozporządzenie ePrivacy wprowadza także pewne zmiany dla firm działających w branży e-marketingu. Przede wszystkim nowe prawo rozszerza definicję e-marketingu. Według niej w jego ramach możemy wyróżnić komunikację B2C – czyli adresowaną do indywidualnych użytkowników, i B2B – czyli taką, której odbiorcą są firmy. W przypadku komunikacji B2C, nadawca wiadomości będzie musiał mieć wyraźną zgodę od odbiorcy na otrzymywanie jego wiadomości. Kwestię komunikacji B2B Komisja Europejska pozostawia w gestii państw członkowskich, zastrzegając jednak, że te mają zapewnić określony poziom ochrony przed niechcianymi wiadomościami.

Podobnie jak we wcześniejszej dyrektywie, również w obecnym rozporządzeniu zgoda użytkowników nie będzie wymagana przy sprzedaży podobnych produktów i usług. Użytkownik jednocześnie cały czas ma prawo do wyrażenia sprzeciwu i łatwego wypisania się z listy adresatów wiadomości marketingowych przesyłanych e-mailem, czyli powinno to funkcjonować w podobny sposób, jak dotychczas” – mówi Rafał Głąb.

Cookies i inne zmiany

W myśl nowych przepisów uproszczone zostaną też zasady dotyczące plików cookies. Te, które nie stanowią zagrożenia dla prywatności i mają ułatwiać użytkownikowi korzystanie ze strony (np. zapamiętując zawartość jego koszyka w sklepie internetowym) nie będą już wymagały zgody użytkownika. Z kolei inne cookies będzie można zaakceptować wprowadzając odpowiednie ustawienia w przeglądarce internetowej. W praktyce najprawdopodobniej oznacza to koniec wyświetlania powiadomień o plikach cookies na stronach internetowych.

Ciekawą proponowaną zmianą w rozporządzeniu ePrivacy jest też umożliwienie operatorom telekomunikacyjnym świadczenia nowych usług w oparciu o zanonimizowane dane ich użytkowników, o ile ci wyrażą zgodę na ich przetwarzanie. Przykładem takich usług jest opracowywanie tzw. map termicznych przez operatorów, które mogłyby pokazywać, ile osób gromadzi się w określonej lokalizacji w danym czasie. Zastosowanie takich map obejmuje np. planowanie nowych projektów infrastrukturalnych czy komunikacyjnych przez samorządy lub przewoźników.

Silne poparcie obywateli krajów UE dla proponowanych zmian

Z opublikowanego w grudniu 2016 roku przez Komisję Europejską raportu z badań opinii publicznej wynika, że obywatele UE chcą zdecydowanie większej ochrony swoich danych osobowych w sieci. Dotyczy to takich obszarów, jak komunikacja przez e-mail i komunikatory, ochrona danych na urządzeniach, monitorowanie zachowania w sieci czy otrzymywanie niechcianych wiadomości i telefonów z ofertą marketingową.

Wedle tych badań 7 na 10 osób uważa, że powinna być zagwarantowana poufność komunikacji przez e-maile oraz za pośrednictwem komunikatorów internetowych. Dla 8 z 10 badanych ważne jest, aby dostęp do prywatnych danych przechowywanych na komputerze, smartfonie czy tablecie był możliwy jedynie za zgodą ich właściciela. Prawie dwie trzecie respondentów uważa, że niedopuszczalne jest, aby ich aktywność online była monitorowana w zamian za swobodny dostęp do niektórych stron. 6 na 10 Europejczyków skarży się też, że otrzymuje zbyt wiele niechcianych telefonów z ofertami handlowymi.

Badania zostały przeprowadzone przez Komisję Europejską w okresie od kwietnia do lipca 2016 roku w ramach prac nad nowymi regulacji w zakresie ochrony danych osobowych i bezpieczeństwa informacji w Internecie. Stanowią one podstawę do tworzenia nowych unijnych regulacji w tym obszarze.

Źródło: Onvelo

W maju 2018 roku wejdzie w życie rozporządzenie GDPR regulujące zasady przechowywania i przetwarzania danych osobowych na terenie Unii Europejskiej. Mimo, że konsekwencje niezastosowania się do rozporządzeń ustalonych przez organy Wspólnoty są niezwykle dotkliwe, jedynie 3% firm działających na rynkach unijnych jest przygotowanych na nadchodzące zmiany. Obecnie, zdecydowana większość organizacji nie spełnia wymogów GDPR oraz nie dysponuje skutecznymi narzędziami umożliwiającymi lokalizowanie danych osobowych wewnątrz organizacji.

(9 marca 2017 r.) – Głównym założeniem rozporządzenia GDPR (General Data Protection Regulation), które wejdzie w życie 28 maja 2018 roku, jest ujednolicenie przepisów o ochronie danych osobowych na terenie Unii Europejskiej. Rozwiązanie to może stanowić ułatwienie dla dużych organizacji operujących w różnych krajach, dla których wprowadzenie jednolitych procedur na wielu rynkach wiąże się z redukcją kosztów i uproszczeniem polityki wewnętrznej. Z drugiej strony, regulacja niesie ze sobą ogromne wyzwania dla firm, które do tej pory nie przywiązywały odpowiedniej wagi do kwestii przetwarzania danych osobowych.

Na podstawie nowego rozporządzenia GDPR:

  • firmy muszą przedstawić zasady polityki ochrony prywatności oraz opisać je przejrzystym i zrozumiałym językiem;
  • firmy i instytucje muszą posiadać wyraźną zgodę na zbieranie wszystkich danych, które gromadzą, a administratorzy danych muszą być w stanie wykazać istnienie takiej zgody, która może być w każdej chwili wycofana;
  • podmioty zatrudniające powyżej 250 pracowników muszą powołać inspektora ochrony danych;
  • użytkownicy zyskają prawo do informacji, kiedy ich dane dostały się w niepowołane ręce;
  • użytkownicy muszą mieć prawo do bycia zapomnianym (oznacza to, że klient może zgłosić się do danej instytucji z prośbą o usunięcie wszystkich informacji, które go dotyczą);
  • użytkownicy muszą mieć prawo do przeniesienia swoich danych do innego usługodawcy.

Nieznajomość zasad wynikających z GDPR może wiązać się z ogromnymi kosztami. W świetle nowego rozporządzenia, organizacje będą zobowiązane do przekazania, w ciągu 72 godzin, właściwym organom i potencjalnie poszkodowanym klientom informacji dotyczących jakiegokolwiek naruszenia bezpieczeństwa ich danych. W innym wypadku, firma może spodziewać się kary w wysokości do 20 milionów Euro, bądź 4% globalnych rocznych obrotów. Co ważne, kary mają charakter administracyjny, dla organu zajmującego się sprawą nie będą więc istotne przyczyny, a sam fakt zaistnienia naruszenia przepisów.

IP niczym PESEL

Z perspektywy biznesu posiadanie dużej ilości danych pozwala lepiej zrozumieć klientów i zmieniające się trendy rynkowe, ale może także wpływać na podejmowanie trafnych decyzji. Nie dziwi zatem fakt, że organizacje powszechnie wdrażają nowe technologie umożliwiające zbieranie informacji, m.in. dotyczących preferencji zakupowych czy aktywności w Internecie. Jednak sposób wykorzystania niektórych rozwiązań umożliwiających masowe gromadzenie i przetwarzanie informacji nie zawsze jest zgodny z regulacjami dotyczącymi ochrony danych osobowych.

Głównym celem GDPR jest zapewnienie prywatności obywatelom Unii Europejskiej, co powoduje, że od maja 2018 roku organizacje z terenu Wspólnoty będą mogły gromadzić i przetwarzać tylko te dane, które są potrzebne w ich działalności. Przykładowo, jeśli firma dotychczas w kontakcie z klientami wykorzystywała wyłącznie takie dane, jak imię, nazwisko i adres mailowy, nie może w swoim formularzu umieszczać prośby o podanie numeru telefonu. Rozporządzenie GDPR przewiduje większą elastyczność w zbieraniu danych, jeśli informacje będą szyfrowane.

Ochrona prywatności i wrażliwych danych jest jednym z priorytetów Unii Europejskiej, co znalazło odzwierciedlenie w ostatecznym kształcie rozporządzenia GDPR. Głównym założeniem regulacji w ramach tzw. privacy by design jest zmniejszenie ilości danych gromadzonych przez firmy i zachęcenie przedsiębiorstw do pozyskiwania tylko tych informacji, które są im potrzebne. To właśnie dane są fundamentem działalności każdej organizacji, dlatego ich ochrona powinna stanowić strategiczny cel współczesnej firmy – mówi Miłosz Trawczyński, Business Consulting Manager w SAS.

Jednym z ważniejszych elementów nowego rozporządzenia jest zaktualizowana definicja danych osobowych. Według regulacji unijnej, dane osobowe to wszystkie informacje dotyczące osoby fizycznej, które umożliwiają jej identyfikację. W rozumieniu GDPR, adres IP oraz identyfikatory zamieszczone w tzw. ciasteczkach (cookies) są więc danymi osobowymi podobnie jak PESEL czy NIP.

Namierzyć dane osobowe

Chcąc upewnić się, że polityka firmy jest zgodna z GDPR organizacje muszą w pierwszej kolejności uporządkować informacje, którymi dysponują oraz zlokalizować wśród nich dane osobowe. W wielu przypadkach będzie to dużym wyzwaniem, gdyż przedsiębiorstwa często nie dysponują odpowiednimi do tego celu narzędziami. Wejście w życie GDPR z pewnością wpłynie na wzrost zainteresowania rozwiązaniami klasy data management.

Technologie do zarządzania danymi umożliwiają identyfikowanie danych osobowych,  analizowanie ich przepływu, regulowanie i rejestrowanie dostępu do informacji, szyfrowanie informacji poufnych, definiowanie zasad zarządzania danymi w organizacji. Po wejściu w życie dyrektywy GDPR firmy będą musiały nie tylko nauczyć się porządkować dane, ale przede wszystkim zapewnić im odpowiednią ochronę. Rozwiązania do zarządzania danymi pozwalają łączyć dane bez potrzeby przenoszenia ich pomiędzy poszczególnymi zbiorami, co znacznie zmniejsza ryzyko zagrożeń dla informacji wrażliwych. Ponadto, możliwe jest zarządzanie incydentami oraz szybkie uzyskanie raportu dotyczącego ewentualnej próby wykradzenia danych, dzięki czemu firma może poinformować o tym fakcie odpowiednie organy.

Rewolucyjne zmiany w biznesie

GDPR znacząco zmieni podejście do profilowania danych. Twórcy rozporządzenia podkreślają, że wykorzystywanie informacji do tworzenia profilu klienta nie może w żaden sposób dyskryminować go i ograniczać jego dostępu do poszczególnych usług. Ma to ogromne znaczenie m.in. dla sektora finansowego, w którym powszechnie wykorzystuje się dane dotyczące klientów np. w procesie skoringu kredytowego (oceny czy klient spełnia warunki udzielenia kredytu).

Po wejściu w życie dyrektywy GDPR klient ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu danych. W praktyce oznacza to, że nie można będzie odmówić wynajmu mieszkania lub udzielenia pożyczki na podstawie informacji dostępnych np. na portalach społecznościowych. Niezgodne z GDPR będzie również wnioskowanie o cechach osoby fizycznej. Przykładowo nie będzie można uznać, że ktoś choruje na daną chorobę na podstawie posiadanych danych o jej objawach. Ten element rozporządzenia GDPR może wpłynąć na pracę towarzystw ubezpieczeniowych, m.in. w zakresie obliczania wysokości składek.

Nie ulega wątpliwości, że GDPR wpłynie na procedury wewnętrzne firm z różnych sektorów gospodarki. Ograniczenia jakie niesie ze sobą nowa regulacja sprawią, że biznes będzie musiał zmienić podejście do przetwarzania, ochrony oraz wykorzystywania danych osobowych. Technologie data management mogą pomóc wypracować nowe modele działania, które będą zgodne z nadchodzącymi normami prawnymi – tłumaczy Miłosz Trawczyński.

Źródło: SAS Institute

 

Rok 2017 to czas, jaki mają polskie firmy na dostosowanie się do nowych unijnych rozporządzeń o ochronie danych osobowych, znanych pod skrótem GDPR (General Data Protection Regulation). Jeśli tego nie zrobią, grożą im kary w wysokości do 20 milionów euro lub 4 proc. rocznego obrotu.

Nowa europejska regulacja będzie obowiązywać od maja 2018 roku we wszystkich krajach UE. Wydaje się to dość odległym terminem, ale skala wyzwań związanych ze spełnieniem wymogów nowych regulacji jest na tyle duża, że przygotowania należy zacząć jak najwcześniej. Odpowiedzi na najczęściej zadawane pytania związane z tymi wyzwaniami przygotowała firma Onwelo SA, która m.in. zajmuje się usługami doradczymi i wykonawczymi w zakresie cyberbezpieczeństwa.

Jakie firmy muszą się dostosować do nowych przepisów?

Nowe przepisy w zakresie ochrony danych osobowych będą obowiązywały każdą firmę, która przetwarza dane osobowe w sposób automatyczny. W tej grupie są np. serwisy społecznościowe, sklepy internetowe, apteki, uczelnie, towarzystwa ubezpieczeniowe czy banki.

Należy pamiętać, że nowe obowiązki dotyczą tych firm i instytucji, które przetwarzają dane osobowe obywateli któregoś z państw UE lub gdy przetwarzanie danych odbywa się choćby w minimalnym stopniu na terenie UE – np. przez fizyczną lokalizację siedziby bądź oddziału firmy na terenie państwa członkowskiego” – tłumaczy Rafał Głąb, odpowiedzialny za usługi w zakresie bezpieczeństwa danych w Onwelo.

Czy muszę zatrudnić odrębną osobę do ochrony danych osobowych?

Wedle regulacji GDPR, wymóg zatrudnienia osoby odpowiedzialnej za ochronę danych osobowych jest obligatoryjny, ale jedynie w kilku przypadkach. Dotyczy to:

  • wszystkich podmiotów publicznych (poza organami sądowymi),
  • firm, których główna działalność polega na przetwarzaniu szczególnych danych osobowych, np. danych etnicznych, rasowych, dotyczących seksualności, poglądów politycznych, religijnych, czy też np. wyroków z przeszłości,
  • firm, które monitorują zachowanie osób i jednocześnie przetwarzają ich dane osobowe (pod tę definicję pochodzi np. Facebook albo Google).

Osoba na stanowisku Inspektora/Oficera Ochrony Danych może być wspólna dla grupy firm czy instytucji, o ile jest z nią zawsze łatwy kontakt niezależnie od geograficznego położenia każdej z firm czy instytucji.

Co to jest „Data Protection Impact Assessment” i czy muszę go mieć?

Każda z firm, która w automatyczny sposób przetwarza dane osobowe i z tego powodu podlega pod nowe regulacje, musi stworzyć sformalizowaną i udokumentowaną ocenę skutków ochrony danych (z ang. – „Data Protection Impact Assessment”).

Takie opracowanie musi zawierać dokładny i systematyczny opis celów przetwarzania danych, a także planowanych operacji z tym związanych. Należy także wyjaśnić jaki to ma związek z działalnością organizacji. Dokument musi zawierać także ocenę, czy operacje przetwarzania są niezbędne i proporcjonalne do wyznaczonych celów, a także oszacowanie ryzyka naruszenia praw lub wolności osób, których dane są przetwarzane. Każda organizacja musi także przedstawić środki planowane w celu zaradzenia potencjalnemu ryzyku. Każdorazowo w przypadku zmiany ryzyka trzeba też korygować DPIA” – wyjaśnia Marcin Baranowski, ekspert ds. bezpieczeństwa IT w firmie Onwelo.

Jeśli ocena wykaże, że ryzyko naruszenia danych osobowych jest wysokie, administrator danych ma obowiązek skonsultowania się z organem nadzorczym przed rozpoczęciem przetwarzania danych. Ten w terminie do 8 tygodni (przedłużalne do 14 tygodni) wydaje pisemne zalecenia, w jaki sposób należy to ryzyko zminimalizować.

Na co jeszcze należy uważać, aby uniknąć kar?

GDPR wprowadza także szereg zmian w już istniejących przepisach dot. ochrony danych osobowych, które będą musiały znaleźć odzwierciedlenie w regulaminach i polityce prywatności firm. Konieczne będzie np. udokumentowanie każdego z miejsc i zakresu przetwarzania danych, uzupełnienie wszystkich wymaganych zgód, w sposób widoczny i jawny, a także wdrożenie narzędzi do monitorowania procesu przetwarzania danych i do alarmowania o wykrytych nieprawidłowościach.

Każdorazowo informacja o naruszeniu danych osobowych będzie musiała być przekazywana do GIODO, a także do wszystkich osób, których dane zostały naruszone. Jeśli kontakt z takimi osobami wymagałby niewspółmiernie dużego wysiłku, będzie można wydać np. publiczny komunikat. Zgłoszenie o naruszeniu danych musi zawierać opis charakteru naruszenia, imię, nazwisko i dane kontaktowe do administratora danych, a także opis możliwych konsekwencji naruszenia oraz środków podjętych w celu zaradzenia naruszeniu danych. Jeśli zgłoszenie o naruszeniu danych osobowych zostanie przekazane po 72 godzinach, będzie także należało dołączyć wyjaśnienie przyczyn opóźnienia” – tłumaczy Rafał Głąb.

Czy należy bać się GDPR?

Nowe przepisy z pewnością będą uciążliwe do wdrożenia, w szczególności dla małych firm czy e-sklepów. Dostosowanie się do nowych regulacji będzie wymagało od nich przejrzenia już istniejących regulacji w zakresie ochrony danych osobowych, istniejących procedur i narzędzi, a następnie uaktualnienia ich w zgodzie z nowymi przepisami. Dla większych firm, które przetwarzają duże ilości danych osobowych i gdzie ryzyko ich naruszenia jest większe, będzie to także duże wyzwanie. Będą one musiały dołożyć wszelkich starań, aby odpowiednio zabezpieczyć przetwarzane przez siebie dane osobowe i tym samym nie narazić się na drakońskie kary.

Przy tym wszystkim należy jednak pamiętać, że nowe regulacje zostaną wprowadzone z myślą o ochronie nas wszystkich i myślę, że to dobrze, że przetwarzające nasze dane osobowe firmy i instytucje będą musiały starać się to robić tak bezpiecznie, jak to tylko możliwe” – podsumowuje Rafał Głąb.

Źródło: www.onwelo.pl

2016 okazał się rokiem coraz bardziej zaawansowanych i niszczących cyberataków. W jaki sposób wpłynie to na cyfrowy świat w przyszłym roku? Portal enterpriseinnovation.net pyta ekspertów firm zajmujących się bezpieczeństwem.

Nowa zimna wojna na cyfrowym polu bitwy
Artykuł 5 Paktu NATO uznaje cyberataki za akty wojny. Coraz więcej krajów jest skłonnych przeprowadzać cyberataki do osiągnięcia swych politycznych celów. Nieuczciwi hakerzy mogą manipulować wydarzeniami, a generalnie cyberterroryzm staje się rosnącym problemem.

Zagrażają nam autonomiczne maszyny
Stoimy wobec widma autonomicznych maszyn zaprojektowanych w celu wyszukiwania podatności na sieciowe ataki. Będzie to rosnące zagrożenie w przyszłym roku, prowadzące do swoistego wyścigu zbrojeń. Samodzielnie funkcjonujące maszyny mogą być tworzone przez nieuczciwych hakerów (w tym również działające na rzecz państw), by szkodzić narodowym cybersystemom uważanym za przeciwników.

Platformy głosowe
Będą się zmieniały sposoby dostępu do sieci, danych i aplikacji. Pojawią się systemy sztucznej inteligencji aktywowane głosem. Istniejący w nich asystenci będą się dostosowywać do zachowań i oczekiwań użytkowników, biorąc pod uwagę ich wcześniejsze doświadczenia. Mogą one nawet ograniczać ich samodzielność. W przyszłym roku znacząco wzrośnie liczba aplikacji takich jak znane nam już Siri czy Alexa, co spowoduje nowe zagrożenia.

Zmiana pokoleniowa
Tak zwani millennialsi są przedstawicielami kulturowej zmiany, której następstw prawdopodobnie nie potrafimy sobie jeszcze wyobrazić. Może ona zagrozić polityce cyberbezpieczeństwa w przedsiębiorstwach, ponieważ ci młodzi ludzie bardzo chętnie dzielą się osobistymi informacjami. ponieważ ciągle zmieniają normy kulturowe, w tym również w pracy, coraz częściej firmowe systemy mogą być narażone na cyberataki.

Ochrona danych
W 2017 roku zabrzmi ostatni dzwonek przed wprowadzeniem Ogólnej Regulacji Ochrony Danych Osobowych ustanowionej przez Komisję Europejską. Wejdzie ona w życie w końcu maja 2018 r. Będzie obowiązywała wszystkie organizacje (instytucje i przedsiębiorstwa), bez względu na ich wielkość. Wpłynie również na wzrost kosztów.
źródło: biznesalert.pl

Imię, nazwisko, adres, numer telefonu – pojedyncze informacje, ale odpowiednio zestawione stają się danymi, które podlegają ustawowej ochronie. Kiedy dane uznajemy za osobowe, a kiedy nie – wyjaśnia specjalista ODO 24.

Danymi osobowymi określa się zbiór informacji o danej osobie, które pozwalają na jej identyfikację. Nie jest to jednak stały zestaw, różni się on w zależności od podmiotu. Co do zasady samo imię i nazwisko nie stanowią danych osobowych, jeśli nie są powiązane z innymi informacjami. Najczęściej nie można na podstawie samego imienia i nazwiska wskazać konkretnej osoby, bo takie same może nosić nawet kilkaset osób. Określenie danych jako osobowe oznacza, że na ich podstawie można szybko określić tożsamość osoby, której dotyczą  – mówi adw. Marcin Zadrożny, specjalista ds. ochrony danych w ODO 24.

O tym czy dane są uważane za osobowe decyduje także to, kto nimi dysponuje. Przykładowo adres IP lub numer telefonu to dla większości z nas tylko ciąg cyfr, ale dla operatorów telekomunikacyjnych, którzy mogą powiązać je z konkretnym użytkownikiem są już danymi osobowymi. Numerem, który uważany jest za daną osobową jest numer PESEL, bo jest unikatowy dla każdej osoby zameldowanej w Polsce. Za dane osobowe jest również uznawany służbowy adres e-mail. Zawiera on bowiem najczęściej imię i nazwisko osoby oraz nazwę firmy lub organizacji, co pozwala na ustalenie tożsamości jego właściciela.

Gdy dane są osobowe to podlegają one regulacjom ustawy o ochronie danych osobowych. Oznacza to, że ich zbieranie i przetwarzanie musi odbywać się zgodnie z prawem. Firmy i organizacje muszą pamiętać m.in. o tym by mieć podstawę prawną przetwarzania takich informacji, spełnić obowiązek informacyjny i adekwatnie zabezpieczać zbiory – mówi adw. Marcin Zadrożny.

Przyjęte przez Unię Europejską nowe rozporządzenie o ochronie danych osobowych rozszerza definicję danych osobowych. Rozporządzenie wprowadza pojęcie pseudonimizacji danych i wskazuje w preambule, że przetworzone w taki sposób dane, które zestawione z dodatkowymi informacjami umożliwiają wskazanie konkretnej osoby, należy uznać za dane osobowe. Sama pseudonimizacja danych to nic innego jak przetwarzanie informacji, w taki sposób by nie było możliwe ich przypisanie do konkretnej osoby bez użycia dodatkowych informacji pod warunkiem, że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Dotychczas żadne regulacje prawne nie definiowały pseudoanimizacji, a przede wszystkim czy dane pseudonimizowane należy chronić tak samo jak dane osobowe – wyjaśnia specjalista ODO 24.

Warto dodać, że ochrona danych nie obejmuje informacji anonimowych, które nie pozwalają na ustalenie tożsamości konkretnej osoby. Takie dane przetwarzane są np. do celów statystycznych lub naukowych.

 

ODO 24

W kwietniu tego roku Parlament Europejski przyjął rozporządzenie wprowadzające największą w historii reformę prawa ochrony danych osobowych. Eksperci eRecruiter zwracają uwagę, że nowe regulacje będą mieć znaczący wpływ także na pracę rekruterów, szczególnie w takich obszarach jak rekrutacje ukryte, bazy kandydatów odrzuconych oraz przechowywanie aplikacji kandydatów wewnątrz firmy. Rozporządzenie będzie obowiązywać we wszystkich krajach Unii Europejskiej od maja 2018 r. i do tego czasu pracodawcy muszą dostosować swoją strukturę organizacyjną i procedury do nowych wymogów.

– Unijna reforma przepisów prawa w zakresie ochrony danych osobowych była konieczna z uwagi na zagrożenia, jakie niosą ze sobą zmiany cywilizacyjne i technologiczne. Jej celem jest zabezpieczenie prywatności osób fizycznych, których dane osobowe są przetwarzane, a więc także kandydatów do pracy. Oznacza to, że adresatami zmian są także pracodawcy, którzy będą musieli z większą troską i uwagą dbać o każdy dokument aplikacyjny, który wpłynie do nich w trakcie procesu rekrutacyjnego. Co więcej, nowe warunki określone w unijnym rozporządzeniu, wpłyną nie tylko na pracę działu HR, ale także na te działy firmy, do których prowadzone są rekrutacje, dział prawny czy IT dbający o dane przechowywane na firmowych serwerach – podkreśla r. pr. Mirosław Gumularz, specjalista ds. ochrony danych osobowych w eRecruiter.

Jakie najważniejsze zmiany przyniosą nowe przepisy i co oznaczają one dla pracodawców i kandydatów?

Po pierwsze, więcej obowiązków informacyjnych

Przeglądanie dokumentów aplikacyjnych, ich selekcja czy rozmowy z kandydatami to etapy procesu rekrutacyjnego, nieodłącznie związane z pozyskiwaniem danych osobowych. W konsekwencji należy wobec kandydata do pracy spełnić obowiązki informacyjne. Pracodawca gromadząc CV staje się administratorem danych osobowych. W związku z tym już obecnie firmy są zobowiązane do przesłania kandydatom m.in. takich informacji jak pełna nazwa firmy oraz adres jej siedziby, cel zbierania danych osobowych czy informacja o podmiotach, którym administrator danych ewentualnie zamierza udostępnić dane osobowe aplikującej osoby. Jednak po wejściu w życie nowych regulacji, przy każdej rekrutacji w ogłoszeniu, bądź innym miejscu dostępnym dla kandydata, firma będzie musiała podać, znacznie rozszerzony i zmodyfikowany, katalog obowiązków informacyjnych. Do nowych obowiązków należy m.in. wskazanie okresu, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu; udzielenie informacji o prawie wniesienia skargi do organu nadzorczego czy informacji o zautomatyzowanym podejmowaniu decyzji, w tym o zasadach ich podejmowania.

Po drugie, prawo kandydata do bycia zapomnianym

Zgodnie z treścią Rozporządzenia osoba, której dane dotyczą, ma prawo zażądać od administratora usunięcia jej danych osobowych, co firma musi niezwłocznie zrobić. Zwłaszcza jeżeli dane nie są już konieczne do celów, w których zostały zebrane. Przedstawiona regulacja wymagać będzie od rekruterów automatyzacji procesów przetwarzania danych, by sprawnie realizować tego typu żądania. Co więcej, informacje muszą zostać usunięte na stałe, a więc spełnienie tego obowiązku może wymagać interwencji działu IT. Taka sytuacja może mieć miejsce wówczas, gdy firma przechowuje dokumenty rekrutacyjne na skrzynkach e-mail a nie w dedykowanym systemie rekrutacyjnym.

Co istotne, realizując obowiązek usunięcia danych osobowych, ich administrator ma obowiązek poinformować pozostałych administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda usunięcia wszelkich łączy do tych danych czy ich kopii.

Po trzecie, prawo do przenoszenia danych do innego usługodawcy

Nowe regulacje unijne dają kandydatowi kolejne prawo dotyczące przeniesienia swoich danych osobowych do innego podmiotu. W praktyce oznacza to, że aplikująca osoba może otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego, dane osobowe jej dotyczące, które dostarczyła administratorowi. Następnie, ma prawo przesłać je innemu podmiotowi bez przeszkód ze strony administratora, któremu dane osobowe dostarczyła w pierwszej kolejności. Wykonując prawo do przenoszenia danych osoba, której dane dotyczą, może zażądać, aby zostały one przesłane przez administratora bezpośrednio do innego administratora, o ile jest to technicznie możliwe. W związku z tym, pracodawcy są zobligowani do implementacji takich rozwiązań informatycznych, które umożliwią pobranie i przenoszenie danych osobowych pomiędzy administratorami danych. Jednak dopiero praktyka stosowania prawa będzie musiała wypracować metody realizacji wskazanych obowiązków.

Po czwarte, prawo do informacji o naruszeniu ochrony danych

W myśl nowych przepisów, pracodawca będzie zobowiązany do poinformowania kandydata o naruszeniu jego ochrony danych osobowych, jeśli może to spowodować wysokie ryzyko naruszenia jego praw lub wolności. Co istotne, nawet gdy administrator danych nie zawiadomi zainteresowanego o naruszeniu, organ nadzorczy, np. GIODO, biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko, może od niego tego zażądać. Takie zawiadomienie zawiera: opis charakteru naruszenia, imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji, możliwe konsekwencje naruszenia ochrony danych osobowych oraz środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych.

Po piąte, wysokie kary pieniężne za naruszenia prywatności kandydatów

Pracodawcy muszą na poważnie podejść do spełnienia wymogów określonych w nowym rozporządzeniu Unii Europejskiej, gdyż stwierdzone naruszenie zasad ochrony danych osobowych może oznaczać poważne konsekwencje. Najbardziej dotkliwe będą te finansowe. Odpowiednia instytucja – w Polsce jest to GIODO – będzie uprawniona do nakładania administracyjnych kar pieniężnych i ich zdecydowanego egzekwowania.  Pracodawca, który naruszy prywatność aplikującej osoby, może zostać zobligowany do zapłacenia kary nawet w wysokości 4% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego!

– Pracodawcy w Polsce mają kilkanaście miesięcy na spełnienie warunków określonych w rozporządzeniu. Łatwiej przyjdzie to firmom, które posiadają odpowiedni system do zarządzania procesami rekrutacyjnymi, niż podmiotom prowadzącym projekty rekrutacyjne w oparciu o skrzynki e-mail i bazy Excel. W takim przypadku dział finansowy musi przygotować rezerwy finansowe albo na odpowiednie zabezpieczenie danych osobowych, albo na kary finansowe, które będą nakładane – mówi Mirosław Gumularz z eRecruiter.

 

eRecruiter

Eksperci

Co czeka branżę Consumer Finance? Prognoza 2020

Początek nowej dekady będzie dla branży pożyczkowej pełen wyzwań. Katarzyna Jóźwik, Dyrektor General...

Polacy puszczają z dymem 105 tysięcy mieszkań rocznie

W bieżącym roku Polacy wydadzą na wyroby tytoniowe około 28 miliardy złotych – wynika z szacunków HR...

Na mieszkanie wydajemy co czwartą złotówkę

Najmocniej w ostatnim roku drożał wywóz śmieci. Według GUS podwyżka opłat wyniosła 31,3%, co więcej ...

To nie jest kraj dla bogatych ludzi – zmiany Małego ZUS-u

Dzięki rozszerzeniu Małego ZUS-u najmniejsi przedsiębiorcy każdego miesiąca zaoszczędzą średnio po k...

PKB Polski rośnie coraz wolniej. Opinia eksperta.

Polska gospodarka zwalnia. Od jakiegoś czasu mówi o tym ekonomiści. Kilka dni temu rządzący politycy...

AKTUALNOŚCI

Nowa Normalność – obowiązkowa lektura na Nowy Rok

"Konwergencja sił społeczno-demograficznych, technologicznych, gospodarczych i środowiskowych przeks...

Prognozowana koniunktura na 2020 rok

Po roku 2019 - kolejnym bardzo dobrym roku w gospodarce Polski, koniunktura w 2020 r. będzie również...

Trendy 2020: Elastyczny styl pracy kusi coraz więcej Polaków

Z najnowszej edycji badania Antal „Aktywność specjalistów i menedżerów na rynku pracy” wynika, że el...

Dlaczego Black Friday jest czarny, czyli #walmartfights, księgowi i kryzys

Już od kilku lat czarny piątek (ang. Black Friday) rozpoczyna sezon wyprzedaży w Polsce. O wiele dłu...

Zniesienie limitu ZUS od 1 stycznia 2020 – znowu prawdopodobne

12 listopada 2019 r. do Sejmu trafił projekt ustawy, przewidującej zniesienie górnego limitu składek...

Nie ma odwrotu od zdrowej żywności. Kupujemy ją ze względu na swoje zdrowie i dobro planety.

W 2020 r. troska o przyszłość naszej planety będzie ważnym argumentem przy podejmowaniu decyzji kons...

Elektryka będziesz musiał naprawić sam!

Trend elektromobilności coraz mocniej zaznacza swoją obecność w wielu krajach oraz w potrzebach i oc...

Smartfon potrzebny jak łopata – polska branża budowlana staje przed wyzwaniem digitalizacji

Chociaż rynek budowlany w Polsce cały czas rośnie, wiele firm i projektów balansuje na granicy rento...

Prezes Personnel Service laureatem Wektora 2019

„Nie jest inżynierem, ale mosty, które buduje od ponad 10 lat, spełniają swoją funkcję doskonale, a ...

Przyszły ferie – uważaj na dowód osobisty i chroń swoje dane!

Bez nart i bez dowodu nie poszusujesz? 13 stycznia rozpoczęly się w Polsce ferie zimowe. Na potęgę w...