RODO od A do Z - Podstawy

podstawy rodo o co chodzi

Zgodnie z głośnymi ostatnimi czasy zapowiedziami, w piątek 25 maja, po czteroletnich dyskusjach weszła w życie ustawa RODO (ang. GDPR), czyli unijne rozporządzenie, dotyczące ochrony danych osób fizycznych. Mimo że zasady zawarte w tym dokumencie zaczęły od niedawna oficjalnie funkcjonować, nadal budzą wiele kontrowersji i jeszcze więcej pytań, na które warto sobie dzisiaj odpowiedzieć.

Echa wprowadzenia zmian nie milkną, ale treść dokumentu wciąż wydaje się niejasna, nieprecyzyjna i tajemnicza. Skrzynki naszych poczt elektronicznych od kilku tygodni są wręcz przepełniane dziesiątkami newsletterów, zwiastujących aktualizację polityki prywatności różnych portali internetowych w dbałości o bezpieczeństwo i poufność naszych danych. Mali i średni przedsiębiorcy obawiają się, że może się to okazać niemałym zagrożeniem dla ich branż, choć w praktyce te obawy są manifestowane mocno na wyrost, o czym pisaliśmy już w innym miejscu.

kogo dotyczy rodo

Kogo dotyczy RODO - czy tylko stron www, czy całej firmy?

Na początek musimy zastanowić się nad tym, czy zamierzamy wdrożyć te procedury jedynie dla naszej strony internetowej, czy też interesuje nas kompleksowe zastosowanie rozporządzenia. Przypadek pierwszy to jedynie wierzchołek góry lodowej, który można zawęzić do kilku podstaw, dotyczących formularzy kontaktowych i rejestracyjnych oraz odpowiednich informacji wyświetlanych na poszczególnych podstronach wraz z opcjami śledzenia ruchu na stronie (poprzez tzw. pliki cookies) oraz informacjami na temat profilowania treści reklamowych. Drugi zaś wymaga gruntownych zmian w strukturze organizacyjnej przedsiębiorstwa wraz z możliwością powołania w jego ramach urzędu administratora (ADO) prowadzącego rejestr czynności przetwarzania (jeżeli firma posiada powyżej 250 pracowników).

wymagane aktualizacje

Wymagane aktualizacje

Nie obejdzie się bez modernizacji wielu elementów w tym obszernej dokumentacji, zawierającej:

  • dokładne wytyczne firmy w odniesieniu do wewnętrznej polityki ochrony danych osobowych,
  • klauzulę dotyczącą realizacji obowiązków informacyjnych,
  • szereg odpowiednich instrukcji i upoważnień zarówno dla pracowników, jak i menedżerów czy kierowników,
  • opis zabezpieczeń sprzętu i dokumentów,
  • topologie sieci komputerowej i zastosowane zabezpieczenia,
  • wykorzystywane oprogramowanie i wewnętrzne ustawienia bezpieczeństwa,
  • określenie przedmiotu przetwarzania tzn. czyje dane, w jakim celu i do jakich instytucji pośredniczącej lub narzędzi podwykonawców w następstwie trafiają,
  • informacje dla pracowników na temat stosowanych urządzeń kontroli np. kart dostępu, monitoringu itp.,
  • rozbudowane załączniki, dołączane do każdej umowy z klientem lub podwykonawcą w formie umowy o powierzenie danych osobowych.

zabezpieczenie sprzętu

Zabezpieczenie sprzętu

Przed wyciekiem informacji należy zabezpieczyć w pierwszej kolejności urządzenia podłączone do sieci internetowej oraz szeroko pojętą elektronikę biurową i narzędzia multimedialne tj. wszelkiego rodzaju routery, switche, serwery, dyski zewnętrzne i SSD, pendrive’y, drukarki, niszczarki, skanery, tablety, laptopy, dokumenty wydrukowane lub napisane ręcznie na papierze, służbowe smartfony, ekrany monitorów, systemy operacyjne, programy antywirusowe itp. Należy wówczas:

  • sformatować dane, czyszcząc zawartość z niepożądanych plików,
  • zmienić hasła i kody dostępu do poszczególnych urządzeń,
  • wyczyścić cache (pamięć podręczną),
  • zaktualizować sterowniki i oprogramowanie,
  • sprawdzić, czy urządzenia drukujące zawierają opcje ponownego wydruku ostatnio wykorzystywanych plików,
  • zabezpieczyć switche przed nieautoryzowanym dostępem do sieci poprzez ustawienie hasła na linii dalekopisu VTY (Virtual Teletype) lub w standardzie protokołów komunikacyjnych SSH (Secure Shell),
  • zadbać o to, by serwery opatrzone były najnowszą wersją protokołu TLS (Transport Layer Security), zapewniającego poufność i integralność transmisji danych,
  • sprawdzić, czy dokumenty zawierają czytelne podpisy i pieczątki służbowe.

procedury bezpieczeństwa

Procedury na wypadek naruszenia zasad

Jeżeli stwierdzono przypadek naruszenia bezpieczeństwa, firmy mają obowiązek szybkiego reagowania do 72 godzin po wykryciu nieprawidłowości. W przeciwnym wypadku narażą się na poważne konsekwencje prawne, których nie sposób skutecznie uniknąć, bowiem nie ulegają rozproszeniu, a spadają bezpośrednio na organ przetwarzający dane, co wyraźnie precyzuje ustawodawca. W związku z powyższym zachodzi konieczność:

1. Profilaktyka:

  • wykonanie szczegółowego audytu i analiza ryzyka,
  • weryfikacja przebiegu procesu decyzyjnego oraz tego, kto ma dostęp do struktur organizacyjnych,
  • zakup nowych narzędzi,
  • aktualizacja systemów operacyjnych,
  • aktualizacja programu antywirusowego,
  • dewaluacja zawartych umów i zastosowanie poprawek „kryzysowych”,

2. Po incydencie

  • zmiana haseł i kodów dostępu,
  • wysłanie maili informacyjnych bezpośrednio do klientów,
  • modernizacja zaplecza technicznego stanowisk biurowych,
  • weryfikacja zgodności baz danych na wypadek brakujących elementów lub nieszczelności zabezpieczeń,

pozostałe zmiany

Pozostałe zmiany

  • Zmianie uległo również ciało decyzyjne. Za kontrolę przestrzegania nowych zasad w Polsce odpowiada od teraz PUODO, czyli Prezes Urzędu Ochrony Danych Osobowych, który zastępuje tym samym dotychczasowo funkcjonujący organ, GIODO.
  • RODO dotyczy wszystkich podmiotów gospodarczych, które gromadzą i przetwarzają dane osobowe swoich klientów, użytkowników swoich usług (np. portali internetowych), zawierają pisemne umowy z kontrahentami, realizują zamówienia publiczne itp. Obejmuje zarówno małe, rodzinne sklepiki osiedlowe, jak i wielkie korporacje o zasięgu globalnym.
  • Unowocześnione regulacje zostały ujednolicone dla wszystkich 28 państw członkowskich Unii Europejskiej. Dotychczasowe procedury w tym zakresie obejmowały przestarzałe regulacje z roku 1995, które wymagały świeżego i pod wieloma względami rewolucyjnego podejścia, uwzględniającego szereg nowoczesnych i na bieżąco modyfikowanych kanałów dystrybucji treści informacyjnych, w tym przede wszystkim sieci internetowej.
  • Rozporządzenie zawiera przede wszystkim teoretyczne zasady przeznaczone do wdrożenia, ale nie podaje żadnych konkretnych wytycznych czy precyzyjnie zorientowanych przepisów. Dzieje się tak z uwagi na zróżnicowanie branż na rynku oraz konieczność permanentnej aktualizacji, powodowanej ich dynamicznym rozwojem. Zostało to skonstruowane w taki sposób, aby nie musieć zmieniać zapisów w przyszłości tylko dlatego, że nastąpił skok technologiczny.
  • Pracodawcy lub przedstawiciele działu HR nadal mają prawo weryfikować prywatne profile na portalach społecznościowych osób ubiegających się o etat na danym stanowisku. W każdym jednak przypadku powinno być to uwzględnione w dokumentach aplikacyjnych oraz samym ogłoszeniu rekrutacyjnym i dokonywane za zgodą zainteresowanych w odpowiedniej klauzuli i check boxie w formularzu rejestracyjnym. Podobnie jest z tzw. background screeningiem, czyli prześwietlaniem życiorysu.

polityka prywatności

  • Za poważniejsze uchybienia (np. wycieki prywatnych baz danych) firmom może grozić kara grzywny w wysokości do 20 milionów euro lub nawet do 4 procent wartości całkowitego obrotu rocznego w skali globalnej. Opcja druga ma zastosowanie w przypadku, gdy wartość owych 4 procent przekracza 20 milionów.
  • RODO daje również możliwość każdorazowego upomnienia się o udostępnienie swoich danych do wglądu, poprzez wystąpienie do administratora serwisu, zarządzającego jego zasobami z wyraźnym żądaniem przekazania ich.
  • Każdy użytkownik zyskuje także prawo do bycia zapomnianym, czyli możliwość usunięcia danych na swój temat z bazy danej firmy na takiej samej zasadzie, jak w przypadku wyrażenia zgody tj. za pośrednictwem specjalnego formularza rezygnacji.
  • Ochronie podlegają między innymi dane klientów sklepów internetowych, bazy mailingowe, nazwiska, adresy i numery telefonów, a także treści prywatnych umów, serwery, zewnętrzne nośniki danych i urządzenia mobilne, identyfikatory służbowe itp.
  • Firmy mają obowiązek bezdyskusyjnego umożliwienia swoim klientom, korzystania z szeregu praw nadawanych przez RODO. Użytkownik poza każdorazową możliwością usunięcia danych może je swobodnie edytować lub przenosić pod kuratelę innych administratorów.

ochrona danych osobowych

  • Profilowanie usług i treści reklamowych względem preferencji konsumentów może być utrudnione z uwagi na ograniczenie automatycznych systemów przetwarzania danych. Opcja ta wymaga jednak zgody własnej użytkownika.
  • Minimalizacja przetwarzania sprawia, że administratorzy mogą gromadzić w swoich zasobach jedynie niezbędne do sprawnego funkcjonowania i interakcji handlowych minimum informacji. Jeżeli dany system nie wymaga np. danych adresowych to nie ma sensu ich podawać.
  • Kształt umów outsourcingowych ulega zmianie. Odtąd powierzanie danych zewnętrznym instytucjom będzie wymagało odpowiednio rozbudowanych i dokładniej sporządzonych treści umów. Dotyczy to między innymi przypadków umów z firmami hostingowymi dla naszych serwerów oraz zatrudniania podwykonawców np. firm kurierskich, którym przekazujemy dane do wysyłki dla klientów zamawiających produkty online.
  • Nie zachodzi dłużej konieczność rejestracji zbiorów danych w GIODO. Odtąd należy prowadzić rejestr takich czynności za pomocą wewnętrznych procedur, na własną rękę.
  • Wprowadzone zostają zasady: privacy by design i privacy by default. Pierwsza z nich obejmuje obowiązek wdrożenia przepisów lub weryfikacji zgodności szkicu projektu z wytycznymi już na etapie planowania poszczególnych procesów np. projektowania strony lub sklepu internetowego, nawet w fazach testowych. To samo dotyczy organizacji akcji marketingowych np. konkursów, do których należy przygotować odpowiednie dokumenty poświadczające wyrażenie zgody np. formularze. Oznacza to, że polityka prywatności stanowi trzon projektu i towarzyszy mu od samego początku, aż do końca w każdej fazie wdrożenia. Wszystko to po to, aby odpowiednio wcześnie przewidywać potencjalne problemy i im zapobiegać. Druga natomiast odnosi się do odpowiedniej formy, nadanej warstwie technicznej projektu, która domyślnie ustawia opcję gromadzenia jedynie tych danych, które okazują się niezbędne w procesie realizacji zamówień, rejestracji do portalu albo skorzystania z dodatkowej opcji danej aplikacji, lub serwisu. Ogranicza to do minimum ryzyko ich ujawnienia.

poufne dane użytkowników

  • Treści zapytań o zgodę na przetwarzanie danych osobowych muszą być zapisane prostym i zrozumiałym dla dowolnego odbiorcy językiem. Formularze powinny ulec rozbudowaniu, zawierając informacje odnośnie do celu (prawnego uzasadnienia), zakresu, czasu i miejsca przechowywania, prawie do przenoszenia pomiędzy konkurencyjnymi usługodawcami, przekazywania poza granice kraju, każdorazowej edycji i usuwania danych.
  • Poza monitorowaniem przestrzegania zasad na bieżąco pojawia się również obowiązek przeprowadzania analizy ryzyka, inwentaryzacji (obejmującej powody przetwarzania, kategorie podmiotów, adresatów, rejestry międzynarodowych transferów, rejestry naruszeń i incydentów, przechowywanie potwierdzonych zgód itp.) oraz skutków ochrony danych w celu udowodnienia sprawności wdrożenia niniejszych restrykcji.
  • Dotychczasowa instytucja administratora bezpieczeństwa informacji (ABI) zostaje zastąpiona przez inspektora ochrony danych (IOD), którego wyznaczenie jest obligatoryjne. Odgrywa on rolę fachowego wsparcia dla administratorów danych i podmiotów przetwarzających. Będą oni działać na rzecz zgodności procedur wewnętrznych firm z nowymi postanowieniami zarówno w sektorze publicznym, jak i prywatnym. Każdy podmiot (osoba fizyczna, prawna, organ publiczny itp.) może jednak uzyskać status administratora danych osobowych (ADO), który zobowiązuje się do prowadzenia dokumentacji, opisującej sposób przetwarzania danych, a także do stosowania środków technicznych i organizacyjnych zapewniających ochronę tychże przed utratą, zniszczeniem, uszkodzeniem, wykradnięciem, niepożądaną zmianą itp., zabezpieczania ich przed udostępnianiem osobom nieupoważnionym, zapewniania dostępu jedynie tym, którzy posiadają odpowiednie pozwolenie i prowadzenia ich rejestru.
  • RODO nie wprowadza zmian w zobowiązaniach do zachowania tajemnicy. Każdy pracownik, aby móc udostępniać dane, musi uzyskać stosowne upoważnienie.
  • Zasady w szczególnym stopniu obejmują ochroną dane dzieci i młodzieży w zależności od kraju w przedziale wiekowym od 13 do 16 lat, w przypadku których wymaganej zgody musi udzielić rodzic lub prawny opiekun.
  • Katalog danych z kategorii „wrażliwych” zostanie poszerzony o dane biometryczne i genetyczne np. pobierane odciski palców lub próbki krwi itp.

tajne informacje osobiste

Dzięki tym kilku prostym punktom dowiedzieliście się, na czym polegają nowe zasady wytyczone przez RODO. Mamy nadzieję, że udało nam się wyczerpać ten temat i nasze wskazówki okażą się pomocne w praktycznym zastosowaniu, ułatwiając waszą pracę w środowisku IT, w branży e-commerce, w marketingu internetowym i nie tylko. Zachęcamy do przyswojenia zasad, zawartych w omawianym dokumencie i śledzenia kolejnych doniesień na jego temat, by uniknąć niechcianych konsekwencji w przyszłości. Jeżeli nadal pewne punkty budzą Wasze wątpliwości i obawiacie się, że możecie nie podołać wyzwaniu nagłej reorganizacji przedsiębiorstwa, zgłoście się do nas. Chętnie pomożemy Wam we wdrożeniu odpowiednich przepisów i wyjaśnimy dokładnie, na czym polegają zmiany i jakie elementy zarówno na stronie internetowej, jak i w firmie należy zmodernizować.