Co to jest przetwarzanie danych osobowych. Dowiedz się więcej.

Prowadząc działalność biznesową, każdy przedsiębiorca gromadzi liczne informacje o swoich klientach i kontrahentach. Niektóre z nich stanowią dane, które należy przetwarzać zgodnie z określonymi zasadami oraz zapewnić im właściwą ochronę. Dotyczy to m.in. danych osobowych.

Co znaczy przetwarzanie danych?

Przetwarzanie danych osobowych jest bardzo pojemną definicją, która traktuje różnego rodzaju operacje wykonywane na danych osobowych lub zestawach danych od chwili ich pozyskania do czasu trwałego ich usunięcia. Przetwarzanie danych obejmuje działania takie jak:

  1. zbieranie informacji,
  2. utrwalanie,
  3. organizowanie,
  4. porządkowanie,
  5. przechowywanie danych,
  6. adaptowanie lub modyfikowanie,
  7. pobieranie,
  8. przeglądanie,
  9. wykorzystywanie,
  10. ujawnianie poprzez przesłanie,
  11. rozpowszechnianie lub innego rodzaju udostępnianie,
  12. dopasowywanie lub łączenie,
  13. ograniczanie,
  14. usuwanie i niszczenie.

Warto zwrócić uwagę na to, że przetwarzanie danych to nie tylko czynności zautomatyzowane, ale także niezautomatyzowane. Prawo stanowi, że niezależnie od operacji i wykorzystywanych nośników, operacje na danych podlegają ochronie. Na uwagę zasługuje także to, że przechowywanie danych w ewidencji systemów informatycznych to także ich przetwarzanie.   

Jak cofnąć zgodę na przetwarzanie danych?

Wycofanie zgody dotyczy tylko tych osób, które ją wyraziły i aby ją cofnąć, należy poinformować przedstawiciela firmy o żądaniu zaprzestania przetwarzania danych osobowych. Wówczas zgoda powinna być usunięta automatycznie. W przypadku informacji wysyłanych drogą elektroniczną, najczęściej znaleźć można link przekierowujący do odpowiedniego formularza, gdzie można zrezygnować z uprzednio wyrażonej zgody. Najskuteczniejszą metodą jest jednak wystosowanie pisma do administratora danych osobowych z żądaniem zaprzestania przetwarzania danych osobowych. W przypadku, kiedy zgody marketingowe były rozszerzone na inne podmioty, należy zobowiązać administratora danych o udostępnienie informacji, komu zostały one przekazane i wysłać tam takie samo żądanie.

RODO wymusiło prawdziwą rewolucję w podejściu do procesów związanych z przetwarzaniem danych osobowych. Przetwarzając dane każda firma ma obowiązek objęcia ich odpowiednim poziomem ochrony. W projektowaniu rozwiązań wykorzystujących rozwiązania IT wykorzystuje się zasadę Privacy by design (nazywaną też „zasadą prywatności w fazie projektowania”), która stała się wymaganiem prawnym w momencie rozpoczęcia stosowania RODO.

•	Ochrona danych osobowych

Zasada Privacy by design

Privacy by design to ochrona prywatności na każdym etapie tworzenia oraz istnienia technologii, która obejmuje przetwarzanie danych. To każda część projektu IT, który związanych jest z przetwarzaniem danych osobowych. Składa się na nią planowanie, zmiana, budowa i rozwój procesów, usług, serwisu, współpracy oraz wprowadzenie nowych funkcjonalności w rozwiązaniach IT.

Zgodnie z powyższą zasadą, należy zapewnić odpowiednią ochronę danych osobowych i prywatności osób fizycznych. Precyzuje to art. 25 ust. 1 Rozporządzenia RODO: „uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą”.

Przepis ten mówi o tym, że już na etapie projektowania systemu, a także na etapie wykorzystania go do przetwarzania danych, administrator jest zobowiązany wprowadzić odpowiednie środki organizacyjne i techniczne, które taką ochronę zapewnia oraz projektując działania powinien brać pod uwagę „stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia”.

Praktyczne podejście do projektowania w myśl powyższej zasady powinno uwzględniać:

  • Zasadę minimalizacji – projekt IT powinien gromadzić tyle danych, ile jest potrzebnych do jego realizacji.
  • Działania zgodne z przepisami prawa – uzyskanie zgody przed podjęciem działań.

Etapy przetwarzania danych osobowych w projektach IT

Projektowanie rozwiązań z obszaru IT, aby być zgodne z zasadami przetwarzania danych osobowych, powinno zostać przeprowadzone w następujących etapach:

  • Etap pierwszy

Ocena ryzyka przetwarzania danych w procesie przy wykorzystaniu określonych narzędzi i technologii.

  • Etap drugi

Planowanie bezpieczeństwa, na które składa się wybór środków i zakresu, w którym będą przetwarzane dane.

  • Etap trzeci

Ciągły monitoring i wdrażanie odpowiednich zmian, zgodnych z przepisami prawnymi w całym cyklu projektu IT.

O czym trzeba pamiętać przetwarzając dane osobowe?

  • Podstawa prawna do korzystania z danych

Przetwarzanie danych osoby fizycznej, wymaga wyrażenia przez nią zgody. Poza tym każdy przedsiębiorca, aby mógł przetwarzać i przechowywać dane osobowe, musi mieć podstawę prawną, która upoważnia go do tego upoważnia. W razie problemów to właśnie na przedsiębiorcy ciąży obowiązek wykazania, że ma taką zgodę.

  • Informowanie o przetwarzaniu danych

Osoba fizyczna poinformowana do czego będą wykorzystywane jej dane przez przedsiębiorcę oraz jakie ma prawa w zakresie przetwarzania i rezygnacji. Warunki zostały wskazane w przepisach, art.6 Rozporządzenia.

  • Zgoda na piśmie

Zgoda musi być wyrażona na piśmie, choć może przybierać także inną formę. Może być wyrażona za pomocą oświadczenia, ale także poprzez zaznaczenie checkbox’a na stronie internetowej – to dość częsta praktyka. Ważne, aby osoba fizyczna samodzielnie podjęła decyzję o zgodzie na przetwarzanie danych osobowych oraz ich przechowywanie.

  • Tylko kluczowe dane

Firma może zbierać tylko takie dane, które są niezbędne z punktu widzenia wykonywanej umowy.

Obowiązki informacyjne przedsiębiorcy

Każda firma, która przetwarza i przechowuje dane, ma obowiązek poinformować każdego zainteresowanego w jasny i zrozumiały sposób o tym, jak przetwarza dane oraz o samym fakcie ich przetwarzania, celu, zakresie, a także prawach i obowiązkach przysługujących osobie fizycznej w zakresie bezpieczeństwa danych.

Transfer danych poza Unię Europejską

Firma przesyłająca dane poza Unię Europejską np. do Chin lub Ameryki Północnej, musi sprawdzić obowiązujące tam systemy bezpieczeństwa i ochrony danych.

Dobre praktyki w zakresie bezpieczeństwa IT

Skoncentrowanie się na urządzeniach końcowych, jest jednym z elementów skutecznej strategii cyberbezpieczeństwa, ponieważ stanowią one najważniejszy element sieci. Niezależnie od posiadanych zabezpieczeń ważna jest edukacja użytkowników w temacie bezpieczeństwa sieci. Jest to kolejny krok do prawidłowego zabezpieczenia danych.

Podstawowa wiedza z zakresu dobrych praktyk dotyczących bezpieczeństwa sieci to:

Wdrażaj backup danych – zaplanowanie regularnych backupów danych, gwarantuje bezpieczeństwo plików, które przechowywane są na danym urządzeniu. W przypadku tworzenia backupu warto wykorzystać dyski SSD, które są mniej awaryjne od tradycyjnych dysków twardych HDD.

Korzystaj z oprogramowania tylko z legalnego źródła – pirackie oprogramowania często są źródłem problemów. Darmowe programy mogą zawierać wirusy, które potrafią przejąć dane firmowe, a to stanowi bezpośrednie zagrożenie dla firmy.

Wgraj oprogramowanie antywirusowe – Istnieje wiele programów, które oferują antywirusy dla przedsiębiorstw. Dzięki zaktualizowanemu programowi antywirusowemu można uniknąć zainfekowania komputera. Warto sprawdzić czy oprogramowanie wyposażone jest w tzw. zaporę ogniową, która zwiększa bezpieczeństwo w sieci.

Ogranicz dostęp do urządzeń – jeśli uprawnienia do instalacji oprogramowania mają być nadane więcej niż jednej osobie, ważne jest, aby użytkownik miał obowiązek przejścia przez uwierzytelnianie wieloskładnikowe. Rejestrowanie zdarzeń i monitoring zapewniają bezpieczeństwo procesów.

Kontroluj aplikacje – ograniczenie możliwości wgrywania aplikacji użytkownikom końcowym, znacznie wpływa na bezpieczeństwo sieci.

Szyfruj dysk i pamięci przenośne – włączone szyfrowanie dysku twardego spowoduje, że dane w nim przechowywane będą bezpieczne. Skradzione urządzenie przestanie być zagrożeniem dla bezpieczeństwa firmowego. Dane nie będą dostępne dla złodzieja. Warto włączyć szyfrowanie także na wszystkich nośnikach zewnętrznych np. pamięci USB, aby zabezpieczyć się na wypadek wycieku danych.

Korzystaj z zasilaczy awaryjnych – na wypadek braku prądu, warto zabezpieczyć się przed nagłym wyłączeniem komputera i skorzystać z zasilacza, który pozwoli na szybkie zapisanie danych, nim komputer zostanie wyłączony. Każda sytuacja w której następuje nagłe odcięcie od prądu, stanowi ryzyko utraty danych.

Podsumowanie – przetwarzanie danych osobowych

Zapewnienie ochrony danych wrażliwych jest zapisane w przepisach prawa i jest istotnym obowiązkiem nałożonym na przedsiębiorcę. Każda instytucja musi w szczególny sposób chronić dane i nie ma prawa przetwarzać ich, ani przechowywać bez wiedzy właściciela. Niedopełnienie formalności z tym związanych może skutkować poważnymi konsekwencjami, a przede wszystkim wysokimi karami.