Szkolenie z Ochrony Danych

Podstawa prawna:
1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE

2. Ustawa z dnia 10 maja 2018r. o ochronie danych osobowych

„Dane osobowe” – oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

 

Przetwarzanie danych osobowych – wyjaśnienie pojęcia

Przetwarzanie danych osobowych oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany takie jak:

zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

 

Gdzie są przetwarzane dane osobowe?

1. w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych

2. w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych

 

Warunki przetwarzania danych osobowych

Pracownik może przetwarzać dane, tylko i wyłącznie w sytuacji, gdy:

1. posiada pisemne upoważnienie do przetwarzania danych osobowych;

2. jest umieszczony w Ewidencji Osób Upoważnionych do przetwarzania danych;

3. w celu i zakresie wskazanym w upoważnieniu;

4. przez okres na jaki upoważnienie zostało udzielone.

Uwaga!

Pracownicy upoważnieni do przetwarzania danych osobowych są zobowiązani do ochrony danych zarówno w trakcie trwania zatrudnienia, jak i po jego ustaniu.

 

Jakie są podstawy prawne  do przetwarzania danych osobowych?

1. osoba, której dane dotyczą, wyrazi na to ZGODĘ, chyba, że chodzi o usunięcie danych

2. niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa

3. konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą

4. niezbędne do wykonania określonych prawem zadań  realizowanych dla dobra publicznego

5. niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

 

Prawa osób, których dane są przetwarzane

1.prawo do bycia poinformowanym o operacjach przetwarzania,

2.prawo dostępu,

3.prawo do sprostowania/uzupełnienia danych,

4.prawo do usunięcia danych,

5.prawo do ograniczenia przetwarzania,

6.prawo do przenoszenia danych,

7.prawo do sprzeciwu,

8.prawo do tego, by nie podlegać profilowaniu

 

 

Obowiązek informacyjny

1.Danych kontaktowych ADO oraz Inspektora Ochrony Danych (jeżeli został powołany), np. e-mail i telefon

2.Gdy przetwarzanie odbywa się na mocy przepisu prawa, należy wskazać ten przepis

3.Gdy przetwarzanie odbywa się na podstawie prawnie uzasadnionego interesu ADO lub strony trzeciej, należy go wskazać

4.Gdy przetwarzanie odbywa się na podstawie zgody podmiotu danych o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem

5.Gdy dane zostały pozyskane nie bezpośrednio od podmiotu danych, źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych

6.Informacji o zamiarze przekazywania danych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję Europejską odpowiedniego stopnia ochrony. W przypadku przekazania do państwa nie gwarantującego odpowiedniego poziomu ochrony należy podać informację o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.

7.Okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu

8.Prawie do żądania od ADO dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych

9.Prawie wniesienia skargi do organu nadzorczego (Obecnie do GIODO)

10.Zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

 

Wzór klauzuli informacyjnej stosowanej po rozpoczęciu stosowania RODO – w przypadku zbierania danych od osoby, której dane dotyczą

Informuję, że:

administratorem Pani/Pana danych osobowych jest Urząd, zwany dalej Administratorem; Administrator prowadzi operacje przetwarzania Pani/Pana danych osobowych,

1)inspektorem danych osobowych u Administratora jest …………., e-mail: ………………., tel. ……………………………

2)Pani/Pana dane osobowe przetwarzane będą w celu ? i nie będą udostępniane innym odbiorcom,

3)podstawą przetwarzania Pani/Pana danych osobowych jest ?,

4)podanie danych jest niezbędne do zawarcia umowy, w przypadku niepodania danych niemożliwe jest zawarcie umowy,

5)posiada Pani/Pan prawo do:

• żądania od Administratora dostępu do swoich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych,
• wniesienia sprzeciwu wobec takiego przetwarzania,
• przenoszenia danych,
• wniesienia skargi do organu nadzorczego, gdy uzna Pani/Pan, iż przetwarzanie danych osobowych Pani/Pana dotyczących narusza przepisy ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r.;
• cofnięcia zgody na przetwarzanie danych osobowych.

1)Pani/Pana dane osobowe nie podlegają zautomatyzowanemu podejmowaniu decyzji, w tym profilowaniu,

2)Pani/Pana dane osobowe będą przechowywane przez ?

………………………………………….

(podpis osoby składającej oświadczenie)

(czytelny podpis rodzica/prawnego opiekuna)

 

Wzór klauzuli zgody na przetwarzanie danych osobowych zgodnej z RODO

1. Wyrażam zgodę na przetwarzanie moich danych osobowych przez administratora danych Urząd w celu ………
2. Podaję dane osobowe dobrowolnie i oświadczam, że są one zgodne z prawdą.
3. Zapoznałem(-am) się z treścią klauzuli informacyjnej, w tym z informacją o celu i sposobach przetwarzania danych osobowych oraz prawie dostępu do treści swoich danych i prawie ich poprawiania.

 

………………………………………….

(podpis osoby składającej oświadczenie)

(czytelny podpis rodzica/prawnego opiekuna)

 

Zasady Bezpieczeństwa Informacji

1. Pracownik jest zobowiązany zachować poufność przetwarzanych danych oraz sposobów ich zabezpieczenia.

2. Dane można wykorzystywać wyłącznie do celów, dla których zostały udostępnione.

3.Dokumenty zawierające informacje podlegające ochronie powinny być  przechowywane na biurku i innych miejscach do tego przeznaczonych, w taki sposób, aby osoba nieuprawniona nie miała do nich dostępu.

4. Nośniki informacji (w formie papierowej i elektronicznej) z danymi podlegającymi ochronie nie można pozostawiać w miejscach ogólnodostępnych i niezabezpieczonych oraz nie należy udostępniać osobom nieupoważnionym.

5. Dokumenty wydrukowane w nadmiernej ilości, a także zawierające błędy lub, które nie są wykorzystywane do żadnych celów należy trwale zniszczyć w sposób uniemożliwiający odtworzenie treści.

6.  Dokumenty zawierające informacje podlegające ochronie, przed wyrzuceniem do kosza należy zanonimizować, w taki sposób, aby nie można było odtworzyć ich treści i zidentyfikować osoby, której dane dotyczą, lub zniszczyć za pomocą niszczarki.

7. Monitor należy usytuować w taki sposób, aby osoby nieupoważnione wchodzące do pomieszczenia nie miały wglądu do  danych na nim wyświetlanych.

8. Przed zalogowaniem się do systemu stacji roboczej należy upewnić się, że w pobliżu nie ma osób trzecich lub urządzeń nagrywających mogących zarejestrować hasła dostępowe do systemów, z których zamierzamy skorzystać. Jeśli występuje takie zagrożenie należy zastosować szczególne środki ostrożności uniemożliwiające zarejestrowanie wpisywanego hasła.

9. Oprogramowanie instaluje tylko i wyłącznie administrator systemu informatycznego, nigdy nie należy robić tego samodzielnie.

10. Używanych identyfikatorów i haseł nie należy udostępniać innym osobom, a w przypadku podejrzenia, że osoba postronna weszła w ich posiadanie, należy dokonać ich zmiany zgodnie z obowiązującymi procedurami.

11. Logowanie do systemu pocztowego przy pomocy internetowej przeglądarki powinno być przeprowadzone na osobistym komputerze, laptopie posiadającym zabezpieczenie antywirusowe.

12. Hasła dostępowe do konta pocztowego, systemów informatycznych należy chronić przed dostępem osób trzecich. Nie zaleca się zapamiętywania ich w przeglądarkach internetowych.

13. Po zakończeniu pracy należy wylogować się ze wszystkich systemów, z których korzystaliśmy.

14. Służbowy adres konta pocztowego należy udostępniać i wykorzystywać wyłącznie w celach służbowych. Przy wysyłaniu informacji drogą elektroniczną konieczne jest dokładne zweryfikowanie jego adresata oraz treści przesyłanych dokumentów.

15. Nie należy przesyłać informacji służbowych z wykorzystaniem  prywatnych nośników oraz wykorzystywać służbowych urządzeń (tj. komputerów, laptopów, telefonów) do prywatnych celów.

16. W przypadku opuszczania stanowiska pracy należy zastosować systemową blokadę komputera, laptopa lub innego elektronicznego nośnika informacji.

17. Przy opuszczaniu miejsca pracy należy zachować „zasadę czystego biurka” – nośniki informacji umieścić w szafach, szufladach i innych do tego przeznaczonych miejscach oraz upewnić się, że pokój jest zamknięty, gdy jesteśmy jedyną osobą  opuszczającą pomieszczenie.

18. Nośniki elektroniczne zawierające  informacje podlegające ochronie, poza miejscem pracy należy zabezpieczyć za pomocą środków kryptograficznych.

19. Poza miejscem pracy, szczególnie w miejscach  publicznych unikać należy rozmów dotyczących informacji służbowych podlegających ochronie.

 

Jakie skutki może nieść za sobą niewłaściwe postępowanie z danymi?

1. Odpowiedzialność porządkowa i dyscyplinarna

Pracownik  ma  obowiązek postępować zgodnie z obowiązującymi w zakładzie pracy regulaminami, politykami czy zarządzeniami, w tym również tymi związanymi z ochroną danych osobowych i RODO. Gdy przetwarzasz dane osobowe w zakresie przekraczającym udzielone Ci upoważnienie, przyznane uprawnienia czy w sposób sprzeczny z przyjętymi w organizacji procedurami, wówczas – zgodnie z przepisami kodeksu pracy – pracodawca ma prawo zastosować wobec Ciebie karę upomnienia lub nagany. W skrajnych przypadkach niesubordynacja pracownika może zostać uznana za ciężkie naruszenie podstawowych obowiązków pracowniczych i skutkować nawet rozwiązaniem umowy w trybie dyscyplinarnym, z winy pracownika

2. Odpowiedzialność odszkodowawcza

W sytuacji, w której nieprawidłowe przetwarzanie danych przez pracownika narazi pracodawcę na szkodę – np. gdy pracodawca będzie zobowiązany do wypłaty odszkodowania na rzecz osoby fizycznej, której prawa i wolności zostały naruszone właśnie na skutek niezgodnego z prawem i procedurami działania pracownika. Wówczas, jeśli bezprawność zachowania (wskutek niewykonania lub nienależytego wykonania obowiązków pracowniczych) i wina pracownika zostaną należycie wykazane, pracownik może zostać pociągnięty do odpowiedzialności materialnej (odszkodowawczej) – na zasadach ogólnych, w granicach rzeczywistej straty pracodawcy.

3. Odpowiedzialność karna

Natomiast w przypadku, gdy naruszenie miałoby charakter umyślnego przestępstwa, wówczas zastosowanie powinny znaleźć przepisy karne, a konkretniej art. 107 Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz. U. z 2019 r. poz. 1781), penalizujący bezprawne przetwarzanie danych osobowych, zgodnie z którym: „1. Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch”. Natomiast jeśli przetwarzanie dotyczy tzw. danych „wrażliwych” (w tym danych dot. zdrowia, seksualności, danych genetycznych, ujawniających pochodzenie rasowe lub etniczne czy przekonania religijne) ustawodawca zaostrzył karę pozbawienia wolności do lat trzech (art. 107 ust. 2)

 

 

Jak bezpiecznie przesyłać dane?

Spakowanie danych do pliku .zip. i zabezpieczenie hasłem.

Jednym z darmowych, najprostszych sposobów zabezpieczenia plików z danymi jest spakowanie ich do programu kompresującego oraz zaszyfrowanie utworzonego pliku hasłem. Do tego celu można użyć programu 7-Zip, który można bezpłatnie pobrać i zainstalować na swoim komputerze. W celu zaszyfrowania dokumentów, należy:

przenieść je do jednego folderu;

następnie  trzeba najechać kursorem na plik lub folder który ma być zaszyfrowany;

kliknąć prawym przyciskiem myszy, a następnie w otwartym oknie należy przejść do zakładki 7-Zip i kliknąć opcję Dodaj do archiwum.

Następnie pojawi się okno programu 7-Zip, w którym można ustawić parametry kompresji oraz szyfrowania.

Należy:

wprowadzić hasło, które będzie zabezpieczać pliki (minimalna, rekomendowana długość hasła to 8 znaków w tym mała, duża litera, znak specjalny i cyfra);

zaznaczyć metodę szyfrowania – algorytm AES-256, który skutecznie utrudnia proces ewentualnej próby łamania zabezpieczenia;

kliknąć przycisk „OK”.

 

 

Szyfrowanie plików pdf, doc i xls.

Aby zabezpieczyć hasłem dokument pdf należy posiadać aplikację Adobe Acrobat Pro DC, która wymaga miesięcznej subskrypcji. Jednak istnieje możliwość zaszyfrowania  dokumentu podczas jego tworzenia z poziomu Microsoft Word. Aby to zrobić, niezbędne jest posiadanie interesującego nas pliku z rozszerzeniem .doc. Po jego uruchomieniu należy:

przejść do zakładki Plik i wybrać opcję Zapisz jako;

wejść w tryb przeglądania i na liście rozszerzeń wybrać PDF (okno zapisywania rozszerzy się o nowe funkcjonalności);

kliknąć w Opcje i zaznaczyć Szyfruj dokument przy użyciu hasła;

kliknąć przycisk „OK”.

 

Po kliknięciu przycisku OK ukaże się okno wpisywania hasła. Należy pamiętać o odpowiedniej ilości znaków (minimalna długość hasła to 8 znaków w tym mała, duża litera, znak specjalny i cyfra). Następnie trzeba potwierdzić, klikając przycisk „OK”.

Na koniec należy zapisać plik, klikając w przycisk Zapisz. Dokument zostaje zabezpieczony hasłem.

 

 

 

Aby zabezpieczyć hasłem dokumenty Microsoft Word i Microsoft Excel należy:

przejść do zakładki Plik i wybrać opcję Chroń dokument (w przypadku Microsoft Excel jest to przycisk Chroń skoroszyt);

wybrać Szyfruj przy użyciu hasła;

wpisać hasło (minimalna długość hasła to 6 znaków w tym mała, duża litera i cyfra);

kliknąć przycisk „OK”.

 

Kontakt w celu odszyfrowania.

Nowo utworzony plik (.zip .doc .xls .pdf) należy wysłać jako załącznik wiadomości  elektronicznej na adres poczty elektronicznej. Równocześnie należy pamiętać o przekazaniu hasła do przesyłanego zaszyfrowanego pliku inną np. drogą telefonicznie lub drugim mailem.