RODO FAQ
Najczęściej zadawane pytania z obszaru bezpieczeństwa informacji i ochrony danych osobowych
RODO FAQ - ang. Frequently Asked Questions - Najczęściej Zadawane Pytania.
Tu w RODO FAQ (FAQ – ang. Frequently Asked Questions – najczęściej zadawane pytania) znajdziesz odpowiedzi na najczęstsze pytania z zakresu ochrony danych osobowych, rozporządzenia RODO, Ustawy o ochronie danych osobowych i innych regulacji prawnych, a także z obszaru cyberbezpieczeństwa, informatyki i bezpieczeństwa informacji.
RODO FAQ usługi szkolenia RODO Bydgoszcz
Co kryje się pod hasłem przetwarzanie danych osobowych?
Za przetwarzanie danych osobowych uznaje się wykonywanie jakichkolwiek operacji na danych osobowych, w tym ich: zbieranie, przechowywanie, opracowywanie, zmienianie, udostępnianie czy też usuwanie, zwłaszcza jeżeli realizuje się je w systemach informatycznych.
Dodatkowo, według ustawy instytucja przetwarzająca dane osobowe musi prezentować konkretny i uzasadniony gospodarczo cel ich przetwarzania.
Co to jest RODO?
RODO to rozporządzenie o ochronie danych osobowych.
Tutaj możesz zapoznać się z tym dokumentem.
Jest to rozporządzenie unijne, dlatego każde państwo członkowskie jest zobowiązane do przestrzegania tych przepisów.
RODO doprecyzowuje niektóre zagadnienia, czasem wprowadza nowe pojęcia, a przede wszystkim zastępuje obowiązujące dotychczas w Polsce przepisy ustawy o ochronie danych osobowych z 1997 roku.
RODO zawiera ogólne wytyczne stanowiące, jak należycie chronić dane osobowe, mówi również, że podmioty przetwarzające dane powinny stosować odpowiednie zabezpieczenia – jednak nie wskazuje konkretnych zabezpieczeń – to zadanie należy już do konkretnych podmiotów przetwarzających je.
Wskazanie konkretnych środków zabezpieczeń jest niecelowe w rozporządzeniu, ponieważ różnorodne podmioty podlegają pod RODO – od małych jednoosobowych działalności po duże korporacje. Co znajdzie zastosowanie w małej firmie, nie będzie w ogóle przydatne w drugiej.
Cyberbezpieczeństwo - to trzeba wiedzieć!
Cyberbezpieczeństwo (ang. cybersecurity) – ogół technik, procesów i praktyk stosowanych w celu ochrony sieci informatycznych, urządzeń, programów i danych przed atakami, uszkodzeniami lub nieautoryzowanym dostępem. Cyberbezpieczeństwo bywa także określane jako „bezpieczeństwo technologii informatycznych”.
Cyberbezpieczeństwo to odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy. Stanowi również zespół zagadnień związanych z zapewnianiem ochrony w obszarze cyberprzestrzeni.
Z pojęciem cyberbezpieczeństwa związana jest między innymi ochrona przestrzeni przetwarzania informacji oraz zachodzących interakcji w sieciach teleinformatycznych.
Dla lepszego zrozumienia cyberbezpieczeństwa warto przywołać termin cyberprzestrzeni (ang. cyberspace), który zgodnie z przyjętą na gruncie ustaw o stanach nadzwyczajnych definicją, rozumiany jest jako przestrzeń przetwarzania i wymiany informacji tworzoną przez systemy teleinformatyczne wraz z powiązaniami pomiędzy nimi oraz relacjami z użytkownikami.
Czym jest ochrona danych osobowych?
Ochrona danych osobowych to ochrona informacji dotyczących osób fizycznych przez podmioty, które nimi dysponują. Chodzi tutaj zarówno o pojedyncze informacje stanowiące dane osobowe, jak również o całe zbiory danych. Obowiązek ten wynika z zapisu przepisów, gdyż każda osoba ma prawo do ochrony swoich danych osobowych.
Ochrona danych osobowych, to zabezpieczenie tych danych przed ich utratą, wyciekiem, czy niepowołanym dostępem – niedopuszczenie do sytuacji, aby te dane były przetwarzane przez osoby nie mające do tego upoważnienia.
Przepisy o ochronie danych osobowych nie wskazują konkretnych rodzajów zabezpieczeń, ponieważ co znajdzie zastosowanie w biurze rachunkowym może juz nie być skuteczne w dużej korporacji. Dobór odpowiednich zabezpieczeń zależy od konkretnej firmy.
Dane wrażliwe - co to takiego?
Dane osobowe szczególnej kategorii, które nazywane są też „danymi wrażliwymi”, to grupa danych osobowych podlegająca szczególnym zasadom przetwarzania i ochrony.
Dane wrażliwe to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne, przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej, jak również dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby.
Przetwarzanie danych szczególnej kategorii jest ograniczone, podobnie jak przetwarzanie danych dotyczących wyroków skazujących i czynów zabronionych (art. 10 RODO).
ISO 27001 - co to za norma?
Norma ISO 27001 (lub ISO/IEC 27001) to międzynarodowa norma standaryzująca systemy zarządzania bezpieczeństwem informacji (SZBI). Norma ta określa wymagania dla ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji. Ponadto zawiera wytyczne dotyczące szacowania i postępowania z ryzykiem związanym z bezpieczeństwem informacji.
SZBI ma na celu zabezpieczenie poufności, integralności i dostępności informacji. Swoim zakresem obejmuje on ludzi, procesy i technologie. System Zarządzania Bezpieczeństwem Informacji ISO/IEC 27001 pomaga zidentyfikować zagrożenia związane z naruszeniami bezpieczeństwa informacji. Wpływa on na zmniejszenie prawdopodobieństwa wystąpienia naruszeń. Zastosowanie ISO/IEC 27001 umożliwia szybszą reakcję i ograniczenie potencjalnych, negatywnych skutków, gdy wystąpią zdarzenia niepożądane.
W normie ISO/IEC 27001 wyróżniono jedenaście obszarów, mających wpływ na bezpieczeństwo informacji w organizacji:
1) Polityka bezpieczeństwa;
2) Organizacja bezpieczeństwa informacji;
3) Zarządzanie aktywami;
4) Bezpieczeństwo zasobów ludzkich;
5) Bezpieczeństwo fizyczne i środowiskowe;
6) Zarządzanie systemami i sieciami;
7) Kontrola dostępu;
8) Zarządzanie ciągłością działania;
9) Pozyskiwanie, rozwój i utrzymanie systemów informatycznych;
10) Zarządzanie incydentami związanymi z bezpieczeństwem informacji;
11) Zgodność z wymaganiami prawnymi i własnymi standardami.
Organizacja, która stosuje wymagania ISO/IEC 27001 jest w stanie skuteczniej i efektywniej działać, a zgodność z wymaganiami normy zwiększa korzyści biznesowe. Organizacje działające zgodnie z wymaganiami Systemu Zarządzania Bezpieczeństwem Informacji są bardziej wiarygodne, co przekłada się na wzrost konkurencyjności.
Kiedy konieczna umowa powierzenia przetwarzania danych osobowych?
Administrator danych może powierzyć innemu podmiotowi w drodze umowy zawartej na piśmie tj. umowy powierzenia przetwarzanie danych. Podmiot ten może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie. Musi też spełniać warunki bezpieczeństwa przetwarzania danych, za które ponosi taką samą odpowiedzialność jak ich administrator.
Kiedy mówimy o danych osobowych?
Według rozporządzenia RODO danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Za osobą możliwą do zidentyfikowania uważa się osobę, której tożsamość można określić na podstawie numeru identyfikacyjnego lub też ze względu na unikalne czynniki określające jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
Danymi osobowymi bywają czasem pojedyncze informacje, takie jak numer PESEL albo NIP, które pozwalają odnieść się do konkretnej osoby. Natomiast w większości przypadków pojedyncza informacja nie będzie uważana za dane osobowe, gdyż jest zbyt ogólna albo zaszyfrowana i dopiero zestawienie jej z dodatkowymi danymi pozwoli na identyfikację konkretnej osoby.
Na podstawie tych definicji prawnych bezpośrednio nie wynika, które informacje dokładnie stanowią dane osobowe – nie ma bowiem określonego zakresu informacji uważanych za dane osobowe i w wielu sytuacjach należy dokonać indywidualnej oceny, czy dana informacja jest już cechą osobową, czy też nie.
Kim jest administrator danych osobowych (ADO)?
Administrator danych osobowych to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
W praktyce Administrator danych osobowych to podmiot, który przetwarza dane osobowe, wykorzystując je we własnych celach. Jeżeli uznamy, że nasze dane są przetwarzane przez administratora w sposób niewłaściwy lub są nieaktualne, mamy prawo do ich aktualizacji bądź możemy żądać zaprzestania ich przetwarzania.
Kim jest inspektor ochrony danych (IOD)?
Inspektor ochrony danych to osoba wyznaczona przez administratora danych osobowych, wspierająca go w realizacji obowiązków dotyczących ochrony danych osobowych.
IOD m.in. ma informować administratora i jego pracowników o obowiązkach wynikających z przepisów o ochronie danych, doradzać im w tej sprawie, monitorować przestrzeganie tych przepisów, udzielać zaleceń co do oceny skutków dla ochrony danych, monitorować wykonanie tej oceny, a także współpracować i pełnić funkcję punktu kontaktowego dla organu nadzorczego.
KRI - co to takiego?
Krajowe Ramy Interoperacyjności (KRI) to rozporządzenie Rady Ministrów z dnia 12.04.2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (t. j. Dz. U. z 2017 r. poz. 2247), które skierowane jest do instytucji publicznych.
Tutaj możesz zapoznać się z tym dokumentem.
Przepisy prawne KRI określają wymagania dotyczące wymiany informacji w postaci elektronicznej i systemów IT.
Rozporządzeniem objęte są: urzędy miejskie, urzędy gminne, starostwa powiatowe, powiatowe urzędy pracy, placówki oświatowe, ZUS, organy administracji rządowej, sądy, prokuratury organy kontroli państwowej i wiele innych podmiotów, nie tylko publicznych, ale i tych, które realizują zadania publiczne.
Kto musi wyznaczyć inspektora IOD?
Ogólne rozporządzenie o ochronie danych w art. 37 ust. 1 RODO przewiduje obowiązek wyznaczenia inspektora dla administratorów i podmiotów przetwarzających wówczas, gdy:
- przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości.Przez organy i podmioty publiczne obowiązane do wyznaczenia IOD, o których mowa w art. 37 ust. 1 lit. a RODO, rozumie się jednostki sektora finansów publicznych (np. jednostki samorządu terytorialnego, uczelnie publiczne), instytuty badawcze oraz Narodowy Bank Polski (art. 9 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych).
- główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę,
- główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO oraz danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o których mowa w art. 10 RODO.
W pozostałych przypadkach wyznaczenie inspektora będzie fakultatywne.
Które regulacje prawne w aspekcie ochrony danych osobowych są najistotniejsze?
Najistotniejsze akty prawne z punktu widzenia ochrony danych osobowych to:
Na czym polega anonimizacja dokumentów?
Anonimizacja dokumentów to proces polegający na przekształceniu danych osobowych w sposób uniemożliwiający przyporządkowanie poszczególnych informacji osobistych lub rzeczowych do określonej czy możliwej do zidentyfikowania osoby fizycznej albo w taki sposób, że można tego dokonać jedynie niewspółmiernie dużym nakładem czasu, kosztów i sił.
Przykładem anonimizacji dokumentu w wersji papierowej jest zamalowanie danych osobowych czarnym flamastrem lub wykonanie kserokopii z naklejoną kartką zasłaniającą te dane. W przypadku anonimizacji dokumentu w wersji elektronicznej wystarczy stworzyć kopię dokumentu z usuniętymi danymi osobowymi.
Na czym polega pseudonimizacja dokumentów?
Pseudonimizacja oznacza na gruncie RODO przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji. Równoległym warunkiem jest, by takie dodatkowe informacje były przechowywane osobno i zostały objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
Pseudonimizacja może więc polegać na zamianie posiadanych danych (np. imienia i nazwiska) na ciąg liter albo cyfr, które można rozszyfrować wyłącznie na podstawie przechowywanych oddzielnie informacji (klucza). Takie działanie z pewnością ogranicza ryzyko naruszenia ochrony danych i zwiększa bezpieczeństwo danych. Ponadto, w przeciwieństwie do anonimizacji, pseudonimizacja jest procesem całkowicie odwracalnym i dlatego też dane, które zostały w taki sposób zabezpieczone, w dalszym ciągu muszą być chronione zgodnie z wymogami RODO.
Naruszenie ochrony danych osobowych - co to takiego i co wtedy robić?
Naruszenie ochrony danych osobowych to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Naruszenie to jakikolwiek incydent, który powoduje niezgodność z zasadami przetwarzania danych osobowych, np. dostęp osób postronnych do danych, zniszczenie lub kradzież laptopa, ujawnienie loginów i haseł do kont bankowych.
W przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
NIS2 - czego i kogo dotyczy rozporządzenie?
Dyrektywa NIS2 (Network and Information Systems Directive 2) jest nowelizacją pierwszego europejskiego prawa dotyczącego cyberbezpieczeństwa państw członkowskich Unii Europejskiej oraz podmiotów działających na obszarze UE, które są kluczowe dla bezpieczeństwa sieci i systemów informacyjnych.
Wejdzie w życie w październiku 2024 roku obejmując szerszą niż dotychczas grupę organizacji.
Rozporządzenie będzie miało duże znaczenie dla podmiotów działających w przestrzeni cyfrowej, zarówno w sektorze publicznym, jak i prywatnym.
Profilowanie - na czym polega?
Profilowanie to dowolna forma zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
Ustawa z 10 maja 2018 o ochronie danych osobowych
Ustawa z 10 maja 2018 o ochronie danych osobowych – to polska ustawa, uchwalona przez Sejm RP, regulująca kwestie prawne związane z ochroną danych osobowych, w szczególności zapewniająca stosowanie przepisów ogólnego rozporządzenia o ochronie danych (RODO).