SPOTKANIE PROGRAMOWE AGENTÓW TURYSTYCZNYCH

Transkrypt

1 Ochrona Informacji Dane Osobowe Arkadiusz Kostrzewski SPOTKANIE PROGRAMOWE AGENTÓW TURYSTYCZNYCH

2 Rejestracja zbiorów danych osobowych w GIODO krok po kroku

3 Czy muszę rejestrować zbiór? TAK NIE

4 Niestety ku niepocieszeniu przedsiębiorców, obowiązek rejestracji został wprost wpisany do UODO, a dokładnie w art. 40 tej ustawy, który mówi, że administrator jest obowiązany zgłosić zbiór danych do rejestracji GIODO, chyba że zachodzi jeden z wyjątków przewidzianych w UODO (przykładem takiego wyjątku mogą być dane przetwarzane w celu zatrudnienia pracownika u administratora danych). Wyjątki te określa art. 43 ust. 1 UODO, zatem to właśnie z tym przepisem powinien zaznajomić się przedsiębiorca, aby mieć pewność czy musi występować do GIODO czy też nie.

5 Rejestracja zbioru danych osobowych Przedsiębiorcy mogą rozpocząć przetwarzanie danych osobowych zawartych w zbiorze danych dopiero po zgłoszeniu tegoż zbioru do GIODO.

6 Zanim zarejestrujesz wniosek - zebranie danych w zgodzie z którąś z przesłanek określonych w art. 23 ust. 1 UODO (w przypadku danych wrażliwych będzie to art. 27 ust. 2 UODO) - dopełnienie obowiązków informacyjnych (art. 24 i 25 UODO) - podjęcie środków technicznych niezbędnych do zabezpieczenia przetwarzanych danych osobowych (art. 36 ust. 1 UODO oraz przepisy wskazane w rozporządzeniu) - podjęcie środków organizacyjnych niezbędnych do zabezpieczenia przetwarzanych danych osobowych (art. 36, art. 37, art. 38, art. 39 oraz przepisy wskazane w rozporządzeniu)

7 Zanim zarejestrujesz wniosek - zadbanie o legalne powierzenie przetwarzania danych osobowych, jeżeli firma ma zamiar wykorzystywać w procesie przetwarzania danych także inne firmy (np. w przypadku hostingu, biura rachunkowego, call center)dopełnienie obowiązków informacyjnych (art. 24 i 25 UODO) - udostępniać dane osobowe zgodnie z wymogami UODO

8 Przystępując do wypełnienia nowego wniosku, musimy już na samym początku określić czy będziemy rejestrować nowy zbiór, w którym przetwarzać będziemy tylko dane zwykłe (zgłoszenie na podstawie art. 40 UODO) czy też wrażliwe (zgłoszenie danych przetwarzanych na podstawie jednej z przesłanek wskazanych w art. 27 UODO). W przypadku, kiedy nasze zgłoszenie ma na celu dokonanie aktualizacji istniejącego już zbioru, należy zaznaczyć opcję nr 2, gdzie mowa jest o aktualizacji z art. 41 ust. 2 UODO.

9 Część A

10 Następnym krokiem jest nazwanie zgłaszanego zbioru np. baza marketingowa, newsletter, etc. Dalej wskazujemy administratora danych, a więc przedsiębiorcę prowadzącego zbiór, który dokonuje zgłoszenia. W tym miejscu należy określić jej nazwę, adres siedziby oraz podać nr REGON

11 Część A i B

12 Część B (pytanie nr 2) wypełniana jest tylko wtedy, gdy mamy do czynienia z przedstawicielstwem firmy mającej siedzibę za granicą, a ściślej w tzw. państwie trzecim, czyli państwie, które nie należy do Europejskiego Obszaru Gospodarczego.

13 Część B

14 Kolejnym zagadnieniem, do którego należy się ustosunkować jest określenie czy powierzamy dane z rejestrowanego zbioru danych innym podmiotom Jeśli tak, to wpisujemy ich nazwy oraz adres siedziby. Przykładem takiego powierzenia jest korzystanie z CRM sykon firmy PIRO S.C.

15 Część B 15

16 Część B jest jednym z najważniejszych w całym wniosku rejestracyjnym. W tym miejscu należy wskazać przesłankę (podstawę), zgodnie z którą przetwarzamy dane osobowe z rejestrowanego zbioru. Należy podkreślić, że każda przesłanka ma charakter w pełni autonomiczny i samodzielny. Wystarczy zatem, że firma wskaże przynajmniej jedną z nich, aby mogła w sposób zgodny z obowiązującym prawem przetwarzać dane osobowe dla potrzeb i w zakresie wynikającym z tego tytułu

17 Część B

18 Czas teraz na część C wniosku. W pierwszym pytaniu należy określić cel, dla którego przetwarzane będą dane osobowe. Jednym z celów jest np. wysyłka firmowego newslettera czy też obsługa reklamacji. Kiedy już wskażemy cel przetwarzania danych osobowych, musimy przystąpić do określenia osób, których dane przetwarzamy. Jednak tu trzeba określić krąg osób których dane są przetwarzane w sposób właściwy dla każdego z tytułów przetwarzania, że w tym miejscu napiszemy np. klienci, dłużnicy, osoby składające reklamację etc. W kolejnym punkcie określamy jakie dane będą przetwarzane w obrębie zgłaszanego zbioru. Część danych jest zasugerowana w formularzu, jeśli jednak ich nie ma, możemy oczywiście dopisać je samodzielnie. Często należy wpisać adres , numer IP, które mogą być uznane jako dana osobowa.

19 Część C

20 Część C

21 Część C

22 Część C

23 Dwa ostatnie pytania w części C wniosku rejestracyjnego, dotyczą danych wrażliwych. W pierwszym pytaniu należy wskazać jakie dane będą przetwarzane w ramach zgłaszanego zbioru. Przykładem może być informacja o nałogach pracownika albo stanie zdrowa. Jeśli jednak nasza firma takich danych nie przetwarza, należy zostawić te pola puste (podobnie jak następne, w którym wskazuje się przesłankę legalizującą przetwarzanie danych wrażliwych).

24 Część C

25 Kolejna część wniosku za nami, przejdźmy zatem do części D. Zaczynamy od pytania, w którym przedstawiamy w jaki sposób zbieramy dane. Możemy wybrać spośród dwóch odpowiedzi, a więc czy zbieramy dane bezpośrednio od osoby, której dane dotyczą (taka sytuacja ma miejsce np. w przypadku strony umowy albo osoby rejestrującej się na stronie internetowej) lub też z innego źródła (np. z zakupionej legalnie bazy danych).

26 Część D

27 Gdy już wskazaliśmy sposób pozyskiwania danych, jesteśmy pytani o to, czy udostępniamy je innym podmiotom niż tzw. podmioty uprawnione. Innym podmiotem może być firma, z którą administrator danych współpracuje, przy czym należy pamiętać o tym, by takie udostępnianie odbywało się w sposób legalny. Jeśli dane osobowe będziemy udostępniać, to w następnym pytaniu należy wskazać podmioty, którym dane będziemy udostępniać. Należy w tym miejscu wpisać nazwę i siedzibę firmy, ew. podać kategorie tych podmiotów np. partnerzy biznesowi.

28 Część D

29 Część D

30 Ostatnie pytanie w tej części wniosku dotyczy sytuacji, w której administrator danych przekazuje dane z rejestrowanego zbioru do państw trzecich. Jeżeli takie przekazywanie ma miejsce, to wpisujemy tu nazwy tych państw. Należy jednak pamiętać o tym, że UODO przewiduje szereg obostrzeń związanych z transferem danych za granicę.

31 Część D

32 Część E wniosku rejestracyjnego została poświęcona zabezpieczeniom stosowanym przez administratora danych osobowych a więc naszą firmę. Na początek należy wskazać czy dane przetwarzane są centralnie (upraszczając: w jednym miejscu np. w siedzibie firmy) czy w tzw. architekturze rozproszonej (np. firma ma kilka lokalizacji, a dodatkowo dane są powierzone do przetwarzania innym podmiotom). Następnie musimy zaznaczyć, czy dane przetwarzane będą wyłącznie w wersji papierowej, czy też przy wykorzystaniu systemów informatycznych. Pierwsza sekcja z części E kończy się pytaniem czy komputer służący do przetwarzania danych połączony jest z Internetem. Po odznaczeniu powyższych informacji przechodzimy do wskazania konkretnych zabezpieczeń jakie stosuje firma zgłaszająca zbiór..

33 Część E

34 Zabezpieczenia podzielone są na kilka rodzajów od fizycznych (np. monitoring wizyjny, dozór zlecony wyspecjalizowanym firmom), poprzez środki sprzętowe (np. przypisanie komputerów do konkretnych osób, hasła i loginy, automatyczne wyłącznie sprzętu), regulacje służące do ochrony baz danych (np. stosowanie różnych poziomów uprawnień, kwestie związane z uwierzytelnianiem), a skończywszy na opisie środków organizacyjnych (np. przeszkolenie personelu,, danych osobowych, wdrożenie regulaminów). Przed wypełnieniem tej części należy również wskazać, czy został powołany administrator bezpieczeństwa informacji tzw. ABI, czyli osoba odpowiedzialna za nadzór nad bezpieczeństwem danych osobowych, przy czym funkcję tę może pełnić pracownik administratora danych albo inna osoba np. z firmy zewnętrznej, a także czy wdrożono dokumenty m.in. politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych.

35

36 Przed nami już ostatnia część wniosku rejestracyjnego część F. Znajduje się tam tylko jedno pytanie, a mianowicie administrator danych proszony jest o wskazanie poziomu stosowanych zabezpieczeń. Zgodnie z wcześniej przywoływanym rozporządzeniem istnieją trzy poziomy: podstawowy, podwyższony i wysoki (wystarczy należy wybrać jeden). Tym co decyduje o tym, jakie zabezpieczenia musi zastosować firma, wynika właśnie z ww. poziomów, które z kolei powiązane są m.in. z tym jakie dane przetwarza administrator danych, a także czy system informatyczny połączony jest z Internetem.

37 Część F

38 Część F

39 Część F

40 W związku z wejściem w życie w dniu 1 stycznia 2007 r. ustawy z dnia 16 listopada 2006 r. o opłacie skarbowej (Dz. U. Nr 225, poz z późn. zm.), obowiązkowi uiszczenia opłaty skarbowej nie podlegają: zgłoszenie zbioru danych do rejestracji oraz zgłoszenie zmian informacji zawartych w zgłoszeniu, a także załączniki składane z ww. zgłoszeniami.

41 Warto wiedzieć

42 Tak więc, wobec wymogów realnej konkurencji, wzrostu jakości pracy i usług, poszanowania prawa i oczekiwań pracowników i klientów niezbędne jest skuteczne opanowanie całego zakresu ochrony danych osobowych w firmie.

43 Dziękuje za uwagę