Twoja tożsamość będzie lepiej chroniona. 25 maja w UE zacznie obowiązywać Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO). O szczegółach informuje Ministerstwo Cyfryzacji. Wiedzę na ten temat można zdobyć m.in. podczas szkoleń – płatnych, ale również darmowych.

Fot. Kazimierz Netka.

Checklista, czyli jak przygotować się do RODO. Co przedsiębiorca może zrobić, co każdy obywatel wiedzieć powinien…

Te cztery litery: RODO są dość tajemnicze. Niewiele osób wie, co to za skrót. A powinniśmy mieć sporo wiedzy na ten temat, bowiem za nieco ponad trzy tygodnie dość znacząco zmienią one zapisywanie i rozpowszechnienie informacji o obywatelach Unii Europejskiej.

W pociągu do Gdańska z Elbląga młoda pani czyta notatki. Tak, jakby przygotowywała się do egzaminu.

Jadę na szkolenie dotyczące ubezpieczeń – mówi, odpowiadająć na nasze pytanie.

Też jadę na szkolenie. W sprawie RODO. Wie Pani, co to jest RODO?

Nie wiem…

W sferze ubezpieczeń znajomość zasad RODO – rozporządzenia o ochronie danych osobowych ma niebagatelne znaczenie. Niewiele czasu pozostało na poznanie tych nowych przepisów, dotyczących ochrony informacji o osobach. Kto nie będzie przestrzegał tych przepisów, dostanie karę, nawet 20 mln euro. Bo to przepisy unijne…

Można powiedzieć, że na firmy, instytucje padł blady strach. Stowarzyszenia przedsiębiorców starają się dostarczyć właścicielom i dyrektorom przedsiębiorstw jak najwięcej wiedzy na temat RODO, Organizują szkolenia, płatne, ale też bezpłatne…

Stowarzyszenie „Pracodawcy Pomorza” i Ricoh Polska zaprosili 23 marca na konferencję pt. „Checklista przed RODO” dotyczącą nowych regulacji w zakresie bezpieczeństwa danych osobowych. O RODO mówili m.in.: Mariusz Królczyk – prawnik zarządzający w Kancelarii Prawnej Griffin; Adam Hallmann – Regional Sales Manager Ricoh Polska oraz Daniel Gajkowski z firmy RICOH. Wspólnie ze stowarzyszeniem Pracodawcy Pomorza przedstawili nowe uregulowania dotyczące ochrony danych osobowych, zwane w skrócie: RODO.

Już sama nazwa jednego z elementów, jakie powinny być w każdej firmie, brzmi dla wielu wręcz przerażająco: czeklista. Kojarzy się z czekistami – funkcjonariuszami policji politycznej, wsławionymi w Rosji Radzieckiej prześladowaniem ludzi po rewolucji październikowej. Niestety, RODO też wprowadza rewolucję. W ochronie danych osobowych. Przewidziana jest nawet samokrytyka, a także… samodoniesienie – wtedy kara może być niższa. Czeklista zaś, to wykaz tego, co należy w firmie sprawdzić. Angielski wyraz: check, po polsku znaczy: sprawdź.

 

Fot. Kazimierz Netka

Na sprawdzenie mamy niewiele czasu, bo niespełna miesiąc. Nowe przepisy RODO wejdą w życie 25 maja 2018 roku.

RODO dobrze rokuje, bo pozwoli, zachęcić do zrobienia porządku w firmowej dokumentacji dotyczącej personaliów osób zatrudnionych i klientów. Do tej pory w mikro, małych i średnich firmach mało kto się tym przejmował. Lepiej jest w firmach dużych – mówił Mariusz Królczyk – założyciel Kancelarii Prawnej Griffin w Gdańsku.

A więc, jak sprawdzić, czy firma jest gotowa do RODO – do funkcjonowania według przepisów, które zaczną obowiązywać już niebawem? Przede wszystkim, trzeba wiedzieć, że dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. RODO dotyczy chronienia informacji identyfikacyjnych osób fizycznych; zabezpieczania tych informacji przed dostępem osób niepowołanych. Ma zapobiegać gromadzeniu tych danych bez potrzeby, bez odpowiednich podstaw prawnych. Dlatego, trzeba zwracać uwagę nawet na adresy emailowe, jeśli zawierają one imiona i nazwiska. Nawet tablice rejestracyjne pojazdów mogą zawierać dane, które będą podlegały ochronie. Jeśli po takich danych można zidentyfikować osobę, idąc „po nitce do kłębka”, to podlegają takie dane ochronie według RODO – rozporządzenia o ochronie danych osobowych. Tu od razu nasuwa się pytanie: a co z wideorejestratorami, coraz częściej używanymi przez kierowców? Czy wideorejestrator trzeba zarejestrować?

Wraz z unijnym rozporządzeniem dotyczącym RODO, wchodzi w życie E-privacy – nowe rozporządzenie uszczegółowiające. E-privacy to rozporządzenie w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej. Jest zharmonizowane z RODO; bardziej szczegółowe od RODO, obowiązuje tak jak RODO.

Przez rozporządzenie e-privacy regulowany jest telemarketing. Połączenia telefoniczne powinny być dokonywane z telefonów ze zidentyfikowanymi numerami bądź też z użyciem specjalnego prefiksu, który pozwoli użytkownikowi rozpoznać, że połączenie ma charakter marketingowy. Alternatywnie, państwa członkowskie mogą też wprowadzić specjalne publicznie dostępne rejestry pozwalające na zarejestrowanie swojego numeru telefonu jako nieprzyjmującego połączeń marketingowych (takie rozwiązanie sprawdza się już od wielu lat w Wielkiej Brytanii).

Istotne jest bezpieczne powierzanie danych kontrahentom. Musimy mieć pewność, że nasi klienci – kooperanci będą je należycie chronić. Trzeba będzie zawierać stosowne umowy na piśmie; sprawdzać, czy podmiot, któremu powierzamy dane osobowe, zapewnia ich bezpieczne przechowywanie; czy umieszcza je na wiarygodnym serwerze, możliwym do sprawdzenia; czy na serwerze, zarejestrowanym poza Unią Europejską – na przykład w Kambodży.

 

Fot. Kazimierz Netka

Bezpiecznej niż bywa w Europie, jest w USA. Tam Instytut Privacy anonimowo sprawdza, czy firmy zabezpieczają dane osobowe.

W Unii Europejskiej zatrudnieni zostaną w firmach specjaliści w skrócie zwani ADO, czyli administratorzy danych osobowych. ADO wyda upoważnienia konkretnym osobom do przetwarzania danych osobowych.

Oto zapis artykułu 2, dotyczący obowiązków podmiotu przetwarzającego dane: 1. Jeżeli przetwarzanie ma być dokonywane w imieniu administratorów, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i ochroniło prawa osób, których dane dotyczą.

Trzeba będzie przestrzegać odpowiednich standardów. Postępować według zasad, reguł. Ich jest kilka.

 

Fot. Kazimierz Netka

Zasada przejrzystości: działam w sposób zrozumiały dla osoby, której dane dotyczą. Firmy będą informowały, że zmieniają zasady, że będą bardziej przejrzyści. Odpowiednie komunikaty będą kierowane również do dzieci. Jeśli przyjdzie kontrola, trzeba będzie wykazać, że informacje zostały przesłane do klientów.

Zasada wieczności: przechowywać można dane wyłącznie przez czas niezbędny do osiągnięcia celu przetwarzania. Chodzi o to, by dane osobowe nie były trzymane przez kogoś bardzo długo, czyli na przykład na zawsze. Tak być nie może. Oczywiście, są wyjątki, np. jeśli chodzi o akta byłych pracowników. Te materiały firmy muszą przechowywać przez pół wieku. Do tego momentu, do którego klient może wystąpić z roszczeniami.

Zasada zgodności z prawem: polega na zbieraniu danych w konkretnych, wyraźnych i prawnie uzasadnionych celach, nie przetwarzaniu ich dalej niezgodnie z tymi celami. Muszą być podstawy prawne do przechowywania danych. Teraz za wysłanie oferty bez pozwolenia odbiorcy, można dostać grzywnę. Oto typowe podstawy uprawniające do przetwarzania danych osobowych: zgoda osoby, której dane dotyczą – checkbox; umowa z osobą lub podjęcie działań poprzedzających zawarcie umowy; obowiązek prawny ciążący na administratorze np. przez księgowość; prawnie uzasadnione interesy administracji lub osoby trzeciej np. przez sądy.

Zasada minimalizacji danych: chodzi o to, by nie gromadzić ich bez potrzeby. Na przykład, do zawarcia umowy o pracę nie są potrzebne informacje z dowodu osobistego. Ale w jakiś sposób trzeba sprawdzić, kiom rozmawiamy. Żeby wnieść sprawę do sądu, potrzebny jest pesel.

Niektóre instytucje teraz nie chronią należycie danych osobowych swych klientów. Są narażone na to, że poszkodowani będą żądać rekompensat. Przychodnie mogą stać się eldorado dla prawników, reprezentujących osoby, których dane personalne zostały naruszone.

Zasada czystego biurka: chodzi o to, by na stanowisku pracy nie zostawiać dokumentów, zawierających czyjeś dane, bo ktoś nieupoważniony mógłby je zobaczyć. To samo dotyczy wglądu w ekran komputera, na którym wyświetlane są informacje personalne.

Prawo nie będzie działać wstecz, czyli nie trzeba będzie wykreślać, zamazywać, wycinać z dokumentów już istniejących tych informacji, które zostaną uznane za niekoniecznie potrzebne wraz z wejściem w życie RODO – czyli po 25 maja 2018 roku.

Prawo do bycia zapomnianym w internecie. Wywalczenie tego nie jest łatwe. Sprawy o wymazywanie zapisów z portali społecznościowych trwają od lat. Znany jest problem Hiszpana, który bardzo chciał, by o nim świat zapomniał i żądał usunięcia z internetu informacji o sobie. Google przegrało z nim sprawę w sądzie.

Warto znać procedury zgłaszania incydentów bezpieczeństwa do organu nadzorczego. Tu znaczenie ma samodonos na siebie, jeśli wyciekną dane osobowe. ADO – administrator danych osobowych w firmie – musi w ciągu 72 godzin od uzyskania wiadomości o wycieku informacji o człowieku – zawiadomić o tym wycieku odpowiedni organ. Powstaje polska ustawa dotycząca ochrony danych osobowych. Wprowadza ja Ministerstwo Cyfryzacji.

 

Fot. Kazimierz Netka

Zagadnienie ochrony personaliów jest więc dość skomplikowane. Dlatego, organizowane są seminaria, na których wiedza o RODO jest przekazywana.

– Zapraszam na szkolenie po 25 maja – zachęcał mecenas Mariusz Królczyk.

Przepisy mogą być uciążliwe dla małych firm, bo im trudniej niż dużym. Ustawa ma jednak złagodzić powinności dla mikro, małych przedsiębiorców. Firmy, instytucje będą musiały prowadzić rejestry czynności przetwarzania (RCP) danych. celem prowadzenia RCP jest możliwość pełnienia nadzoru i monitorowania procesów przetwarzania danych osobowych przez organ nadzorczy. Kto musi takie rejestry posiadać? W dużych firmach będą musiały zostać stworzone stanowiska dla inspektorów ochrony danych. Na obecnym etapie przygotowań do RODO istotna jest „To do list” – czyli lista „do zrobienia”. Oto propozycje planu działań: udokumentuję jakie dane osobowe posiadam, jakie jest źródło ich pochodzenia oraz komu je udostępniam; zwrócę szczególną uwagę na audyt informatyczny; zbadam podstawę prawną przetwarzania danych osobowych – zweryfikuję ją i udokumentuję; sprawdzę posiadane zgody osób fizycznych lub pozyskam te zgody oraz wskażę w dokumentacji, w jaki sposób je uzyskałem; przygotuję klauzule zgody, klauzule informacyjne, dostosuję stronę www oraz stopkę email; zrobię listę wszystkich administratorów danych; stworzę procedurę postępowania przy realizacji praw osób fizycznych i umożliwię ich egzekwowanie, np. prawa do bycia zapomnianym; stworzę procedurę reagowania na naruszenia ochrony danych osobowych i raportowania do organu nadzorczego; uzupełnię braki w dokumentacji np. założę rejestry: czynności, upoważnień i upoważnienia, naruszeń, umowy powierzenia przetwarzania danych; sprawdzę wdrożenie i funkcjonowanie procedur i zasad ochrony danych osobowych w odniesieniu do osób mających dostęp do danych.

Krótsza „To do list” wskazuje, że należy stworzyć: procedurę zarządzania użytkownikami i dostępem (ewidencja osób upoważnionych); rejestr operacji przetwarzania danych osobowych; politykę monitorowania i reagowania na naruszenia ochrony danych; rejestr incydentów, politykę zarządzania kopiami zapasowymi; standardy zabezpieczeń; trzeba sprawdzić, czy kluczowe dane przechowywane są na bezpiecznych serwerach. Źródło: www.kancelaria-griffin.pl

Oto, co trzeba zrobić w razie kontroli: udowodnić, że dane były właściwie administrowane, przechowywane, że było sprawdzenie ich bezpieczeństwa. Trzeba wykazać że: dane zostały pozyskane na podstawie zgód osób lub przepisów prawa; osoby przetwarzające dane mają do tego pisemne upoważnienie; jest prowadzony rejestr incydentów; incydenty są zgłaszane do organu nadzoru w przewidzianym 72-godzinnym terminie.

 

Fot. Kazimierz Netka

Jak uniknąć kary – jak obniżać karę? Przede wszystkim trzeba pokazać, że w firmie istnieje „rozliczalność” z nieprzestrzegania ochrony danych osobowych. Warto wiedzieć, że kary się nie sumują. Pamiętajmy o samodonosie – w ciągu 72 godzin. Nie unikać odpowiedzialności. Pokażmy, że mamy dobre procedury, przeszkolonych pracowników. Warto już teraz pod tym katem przeprowadzić audyt w firmie – radził, podczas szkolenia Mariusz Królczyk – założyciel Kancelarii Prawnej Griffin w Gdańsku.

Warto brać wzór z firm, które maja już sporo doświadczenia. Jak to jest w Ricoch – dowiedzieliśmy się m.in. dzięki informacjom, które przekazał nam Janusz Kozakiewicz – Technology Salesman, Sales Department w Ricoh Polska Sp. z o.o., a podczas szkolenia 23 marca przedstawił Daniel Gajkowski – Product Manager w Ricoh Polska:

 

Fot. Kazimierz Netka

Etapy budowy bezpiecznego środowiska – na podstawie firmy RICOH, czyli bezpieczeństwo dokumentowe w kontekście RODO

Etapy budowy bezpiecznego środowiska – zapewnienie bezpiecznego „przechowalnictwa” informacji o osobach.

Oto, co ma znaczenie: renoma producenta i dostawcy usług; uświadomiony i przeszkolony personel; skonfigurowane uwierzytelnianie; autoryzacja i uprawnienia użytkowników; szyfrowanie dysku twardego i komunikacji; nadpisywanie danych dyskowych; bezpieczny wydruk; szyfrowany skan; autoryzacja kopii.

Oto opinia na temat RICOH, przedstawiona przez Daniela Gajkowskiego: Z naszej analizy wynika, że ​​Ricoh przywiązuje wielką wagę do możliwości szybkiego oraz bezpiecznego dostępu do informacji. Ta kwestia ma duże znaczenie już na etapie projektowania. Firma ta oferuje innowacyjne, dopasowane do konkretnych potrzeb rozwiązania zarządzania dokumentami i infrastrukturą druku. Zostały one określone jako zgodnie z najlepszymi praktykami branżowymi oraz opracowane na podstawie wiedzy zdobytej w trakcie współpracy z klientami na całym świecie” – powiedział Robert Palmer, ResearchDirector, Imaging, Printing, and DocumentSolutions w IDC.

Oto zabezpieczenie poprzez skonfigurowane uwierzytelnienie: MFP podczas wprowadzenia poprawnego loginu i kilkukrotnie błędnego hasła zablokuje danego użytkownika. Odblokowanie następuję po ustalonym interwale czasowym lub po autoryzacji administratora.

Przykład zastosowania: administrator ma możliwość odczytania logów dotyczących między innymi informacji o: workflow użytkownika, a w tym o kopiowaniu, przechowywaniu, drukowaniu, faksowaniu i skanowaniu; logowaniu i wylogowywaniu; operacjach wykonywanych na dokumentach; czynnościach serwisowych; naruszeniach prawa dostępu, atakach i walidacji firmware’u.

 

Fot. Kazimierz Netka

Bezpieczeństwo zarządzania. Przykład zastosowania: administrator może zablokować dostęp do serwera dokumentów, zabezpieczając tym samym wszystkie dane przechowywane.

Bezpieczeństwo komunikacji. Przykład zastosowania: jeśli przedsiębiorstwo realizuje proces skanu do folderu sieciowego za pomocą protokołu SMB, należy wyłączyć port.

Bezpieczeństwo dokumentu. PDF z szyfrowym hasłem. Przykład zastosowania: administrator może ustawić PDF zabezpieczony hasłem jako domyślny format skanowania. Dzięki temu, jeśli użytkownik wykona skan poufnego dokumentu (np. listy płac lub prowizji) i pomyli adres e-mail, to osoba, która go otrzyma nie będzie w stanie go otworzyć. Daje to administratorowi czas na usunięcie wiadomości z serwera.

PDF z szyfrowym podpisem. Przykład zastosowania: włączenie funkcji skanowania z podpisem cyfrowym zapewnia bezpieczeństwo i wiarygodność przechowywanego w systemie.

Kontrola nieautoryzowanej kopii. Przykład zastosowania: uruchomienie funkcjonalności kontroli kopii zapobiega powielaniu dokumentów i pozwoli na jednoznaczną identyfikację oryginału; odróżnienie go od kopii.

Możemy się spodziewać, że portale społecznościowe, instytucje, będą prosiły nas o sprawdzenia, o zezwolenia na przekazywanie wiadomości. Oto przykład korespondencji wysyłanej przez Twittera: Uważamy, że użytkownicy Twittera powinni być poinformowani o tym, jakie informacje na ich temat gromadzimy i w jaki sposób je wykorzystujemy, oraz wiedzieć, jak mogą zarządzać dostępnością swoich danych. Aby zwiększyć przejrzystość naszych procedur oraz przygotować się na nowe przepisy prawa dotyczące ochrony danych, wchodzące w życie w przyszłym miesiącu, zaktualizowaliśmy naszą Politykę prywatności. Dzięki temu nasi użytkownicy będą mogli samodzielnie decydować o tym, w jaki sposób gromadzimy i wykorzystujemy ich informacje osobiste. Zachęcamy do zapoznania się z naszymi zasadami w całości, ale najważniejsze aktualizacje są następujące: Więcej informacji na temat ustawień dotyczących przetwarzania Twoich danych osobowych; więcej informacji o tym, w jaki sposób udostępniamy Twoje publiczne dane na szeroką skalę i w czasie rzeczywistym, w tym poprzez nasze narzędzia deweloperskie; większa przejrzystość i kontrola w kwestii udostępniania danych naszym partnerom, a ponadto większa przejrzystość w kwestii udostępniania danych, która ma na celu ochronę zainteresowanych osób, przestrzeganie prawa, zapewnienie zgodności z interesem publicznym oraz uczynienie Twittera społecznością jeszcze bardziej bezpieczną i przyjazną dla wszystkich użytkowników. Zaktualizowaliśmy również nasze Zasady użytkowania, aby stworzyć jeden wspólny zbiór zasad dotyczących korzystania z Twittera i usługi Periscope oraz upewnić się, że nasi użytkownicy mają uprawnienia do treści, które udostępniają we wszystkich naszych usługach. Zachęcamy do zapoznania się z tymi dokumentami w całości oraz kontaktu z nami w przypadku pytań, zgodnie z procedurą opisaną w Polityce prywatności. Nowe Zasady i Polityka prywatności wchodzą w życie 25 maja 2018 r. Korzystanie z naszych usług w tym terminie lub po jego upływie jest równoznaczne z akceptacją tych aktualizacji. Pamiętaj, że możesz zarządzać tym, które z Twoich danych gromadzimy, i w jaki sposób je wykorzystujemy, korzystając z ustawień, które opisaliśmy w zaktualizowanej wersji zasad. Możesz też dezaktywować swoje konto na Twitterze. To Ty decydujesz o tym, czy, i w jaki sposób, będziemy przetwarzać Twoje dane osobowe – napisał Twitter.

Warto też zapisywać się na szkolenia. Czasami trochę one kosztują. Ofertę składa np. Agencja Rozwoju Pomorza (ARP): Przygotuj firmę do RODO! Zapraszamy na intensywne warsztaty przygotowujące do skutecznego wdrożenia wymagań unijnego Rozporządzenia Ogólnego o Ochronie Danych Osobowych RODO. Szkolenie odbędzie się w dniach 15-16 maja 2018 r. w godz. 9.00-16.00 w siedzibie Agencji Rozwoju Pomorza. Na przykładzie przedsiębiorstwa (case study) uczestnicy poznają zasady i wymagania wynikające z RODO oraz nauczą się wdrażać je w swoich firmach pracując na konkretnych dokumentach.

Kazimierz Netka

Dodaj komentarz

Twój adres email nie zostanie opublikowany.