close
menu
 

5 sierpnia 2024

RODO: Przewodnik po Ochronie Danych Osobowych

Rozporządzenie Ogólne o Ochronie Danych Osobowych (RODO) to prawo Unii Europejskiej, które weszło w życie 25 maja 2018 roku. Jest to kompleksowy zestaw zawierający przepisy dotyczące danych osobowych obywateli Unii Europejskiej oraz regulację ich przetwarzania. RODO to najsurowsze i najbardziej rozbudowane rozporządzenie o ochronie danych osobowych na świecie.

Kogo dotyczy?

Prawo dotyczy każdego mieszkańca UE oraz każdego przedsiębiorcy, którego działalność polega na oferowaniu produktów lub usług osobom fizycznym na terenie UE, niezależnie od tego, gdzie dochodzi do przetwarzania danych osobowych.

Zasady RODO obejmują także firmy, które mają swoje główne siedziby poza Europą, ale świadczą usługi dla mieszkańców krajów UE. Takie przedsiębiorstwa zobowiązane są do powołania swojego przedstawiciela w Unii Europejskiej.

Obowiązek przestrzegania przepisów RODO dotyczy zarówno dużych i małych korporacji, stowarzyszeń, organizacji, organów administracji i w niektórych przypadkach osób prywatnych.

RODO obejmuje całą Unię Europejską, ma zastosowanie do wszystkich państw członkowskich oraz krajów Europejskiego Obszaru Gospodarczego, takich jak Islandia, Liechtenstein, Norwegia i Wielka Brytania.

Rodzaje danych

Istnieją dwa rodzaje danych - osobowe i nieosobowe.

  • Dane osobowe - Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania żyjącej osoby fizycznej.
    RODO dzieli dane osobowe na:
    • zwykłe dane osobowe
    • szczególne dane osobowe (dawniej dane wrażliwe takie jak pochodzenie, przynależność religijna, związkowa, dane dotyczące zdrowia, genetyczne itp.)
  • Dane nieosobowe - nigdy nie są powiązane ze zidentyfikowaną lub możliwością identyfikowania osoby fizycznej. Kategoria ta obejmuje również dane, które początkowo były klasyfikowane jako dane osobowe, ale usunięto z nich powiązanie z osobą fizyczną.

Przykłady danych osobowych

Rozporządzenie o Ochronie Danych Osobowych ma zastosowanie do przetwarzania danych osobowych. Podmioty gospodarcze mają obowiązek chronić następujące dane osobowe:

  • Dane osobowe pracownika (imię i nazwisko, adres, data urodzenia itp.),
  • Informacje o klientach/pacjentach/mieszkańcach (bazy danych marketingowych, dokumentacja medyczna, dane kontaktowe),
  • Niepubliczne dane osobowe partnerów biznesowych i dostawców,
  • Dane osobowe, które są przekazywane osobom trzecim i przez nie przetwarzane (księgi rachunkowe, rejestry kredytowe, marketing bezpośredni),
  • Obrazy i nagrania dźwiękowe,
  • Dane zaszyfrowane: adresy IP, adresy MAC, pliki cookie (jeśli można je powiązać z osobą fizyczną),
  • Fotografie osób fizycznych,
  • Nagrania wideo.

Co to jest przetwarzanie danych osobowych?

Za przetwarzanie danych osobowych uznaje się różne rodzaje działań związanych z danymi osobowymi: gromadzenie, rejestrowanie, klasyfikowanie, strukturyzowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, odzyskiwanie, sprawdzanie, wykorzystywanie, ujawnianie przez przesyłanie, rozpowszechnianie lub udostępnianie, zestawianie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Zasady RODO mają zastosowanie do firm, które przetwarzają dane osobowe w całości lub częściowo, stosując przetwarzanie zautomatyzowane lub ręczne, a także jeśli dane są częścią mającego ustaloną strukturę systemu przechowywania.

W jakim charakterze można przetwarzać dane osobowe?

Przedsiębiorcy mogą przetwarzać dane osobowe jako:

  • administrator danych - czyli podmiot, który decyduje o tym, po co (cele) i jak (środki, sposoby) przetwarzać dane osobowe. Administratorem może więc być:
    • zakład pracy w stosunku do danych osobowych swoich pracowników
    • właściciel strony internetowej w stosunku do danych osób, które zaprenumerowały newsletter
  • podmiot przetwarzający dane, czyli jako:
    • administrator, który sam przetwarza dane
    • przetwarzający dane, który jako podmiot zewnętrzny będzie przetwarzał dane w imieniu i na rzecz administratora i na podstawie zawartej z nim pisemnej umowy

Przetwarzającym dane może być:

  • biuro rachunkowe, które przetwarza dane osobowe klientów przedsiębiorstwa/instytucji współpracującej z nim
  • przedsiębiorstwo IT zajmujące się profesjonalnie przechowywaniem lub niszczeniem danych osobowych dostarczonych przez klientów

W roli administratora lub podmiotu przetwarzającego dane osobowe zawsze występuje firma, a nie jej pracownik. Pracownik, który zajmuje się przetwarzaniem danych osobowych w firmie, powinien być upoważniony do czynności w tym zakresie.

Cel RODO

Celem Rozporządzenia o Ochronie Danych Osobowych jest ochrona prywatności obywateli. Dlatego podmioty gospodarcze są zobowiązane do ochrony danych osobowych obywateli i nie mogą ich przetwarzać ani sprzedawać stronom trzecim bez ich zgody.
W przeszłości firmy sprzedawały sobie nawzajem dane bez zgody osób, których te dane dotyczyły. RODO stworzyło jednolitą normę ochrony danych osobowych w UE.
Rozporządzenie zaktualizowało także wcześniejsze przepisy, tak aby były one dostosowane do realiów nowoczesnego społeczeństwa cyfrowego.

Prawa osób fizycznych

RODO ma na celu pomoc obywatelom UE w zrozumieniu, w jaki sposób wykorzystywane są ich dane i w jaki sposób mogą składać skargi i odwołania. Celem jest zapewnienie osobom fizycznym kontroli nad ich danymi osobowymi. Obywatelom przysługują następujące prawa:

  • prawo do bycia poinformowanym,
  • prawo dostępu do danych,
  • prawo do sprostowania danych,
  • prawo do usunięcia danych/bycia zapomnianym,
  • prawo do ograniczenia przetwarzania danych,
  • prawo do przenoszenia danych,
  • prawo do sprzeciwu oraz prawa związane ze zautomatyzowanym podejmowaniem decyzji i profilowaniem.

Siedem zasad RODO

RODO opiera się na siedmiu zasadach dotyczących przetwarzania danych osobowych.

  • Zasada legalności,
  • Zasada celowości,
  • Zasada minimalizacji danych,
  • Zasada prawidłowości danych,
  • Zasada ograniczenia przechowywania danych,
  • Zasada integralności i poufności,
  • Zasada rozliczalności.

Naruszenia RODO - kary finansowe

W przypadku naruszenia RODO, na podmioty zobowiązane mogą być nałożone dwa rodzaje kar pieniężnych.

  • Niższy poziom wynosi do 10 milionów euro lub 2% rocznego światowego dochodu z poprzedniego roku, jeśli kwota ta jest wyższa. Naruszenia związane z prowadzeniem dokumentacji, bezpieczeństwem danych itp.
  • Wyższy poziom wynosi do 20 milionów euro lub 4% rocznego światowego dochodu z poprzedniego roku fiskalnego, jeśli kwota ta jest wyższa. Kary te są zazwyczaj nakładane za naruszenia zasad ochrony danych, podstawy prawnej przetwarzania danych, zakazu przetwarzania danych wrażliwych, odmowy przyznania praw osobom, których dane dotyczą, lub przekazywania danych do krajów spoza UE.

Kary wynikające z RODO mogą być nakładane na wszystkie rodzaje przedsiębiorstw, od dużych do małych.

Kary są ustalane dla każdego przypadku z osobna i muszą być skuteczne, proporcjonalne i odstraszające. Istnieje katalog kryteriów, na podstawie którego ustala się odpowiednio wysoką karę pieniężną. Pod uwagę brane są następujące kryteria:

  • czy naruszenie było umyślne,
  • liczba osób poszkodowanych w wyniku naruszenia,
  • jakiego rodzaju działania podjęła firma, aby ograniczyć szkody,
  • zakres współpracy z władzami itp.

Kary pieniężne związane z RODO w Polsce

Od czasu wprowadzenia RODO na polskie firmy nałożono 74 kary na łączną kwotę 3 567 509 euro. Średnia kara w naszym kraju wynosi 52 246 euro. Oto kilka najwyższych kar w historii Polski:

2022-01-19 - 1 000 000 EURO (4,9 mln PLN)
Fortum Marketing and Sales Polska S.A.

Za niewdrożenie odpowiednich środków, zapewniających bezpieczeństwo danych osobowych oraz brak weryfikacji podmiotu je przetwarzającego. Z kolei podmiot przetwarzający otrzymał karę w wysokości 250 tys. zł.

2019-09-10 - 660 000 EURO
Morele.net

Za wyciek danych osobowych ponad 2 mln klientów.

2020-12-14 - 443 000 EURO (1,6 mln PLN)
Virgin Mobile Polska

Za brak wdrożonych odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych.

2024-03-12 - 326 000 EURO (1,4 mln PLN)
Santander Bank Polska S.A.

Za brak zgłoszenia naruszenia ochrony danych.

2021-04-22 - 245 000 EURO (1,1 mln PLN)
Cyfrowy Polsat S.A.

Za dostarczenie do niewłaściwego odbiorcy przesyłki z danymi osobowymi klientów operatora.

2020-12-17 - 235 300 EURO (1 mln PLN)
ID Finance Poland Sp. z o.o.

Za brak odpowiedniej reakcji na sygnał o lukach w jej zabezpieczeniach, co doprowadziło do utraty danych klientów.

5 kroków do zabezpieczenia danych w celu zapewnienia zgodności z RODO

  1. Przeprowadzenie audytu danych - Musisz wiedzieć, jakiego rodzaju dane osobowe generuje firma i gdzie są one przechowywane.
  2. Wdrożenie wytycznych dotyczących postępowania z dokumentami - Stwórz zestaw zasad określających sposób postępowania z danymi osobowymi.
  3. Przeszkolenie pracowników - Każdy pracownik powinien wiedzieć, jak należy postępować z danymi osobowymi.
  4. Szyfrowanie danych - RODO zaleca, aby wszystkie nośniki i urządzenia zewnętrzne były szyfrowane.
  5. Ochrona danych przed wyciekami i zagrożeniami z wewnątrz - Zapobieganie utracie danych to kompleksowa strategia, którą należy wdrożyć nie tylko ze względu na RODO, ale również dlatego, że dane są jednym z najcenniejszych zasobów posiadanych przez firmy. Zabezpiecz dane i sposoby komunikacji, takie jak poczta elektroniczna, dane przechowywane w chmurze, komunikatory, wydruki, napędy USB, urządzenia mobilne itp.

Jak dostosować się do RODO, korzystając z rozwiązań Safetica?

Safetica pomaga monitorować przepływ danych w firmowym środowisku IT, a także w momencie, gdy dane opuszczają sieć firmy. Możesz określić szczegółowe zasady, które pomogą Ci zachować zgodność z RODO. Safetica pozwala zobaczyć, w jaki sposób pracownicy pracują z danymi osobowymi i innymi danymi wrażliwymi. Dzięki temu możesz wyeliminować ryzyko celowego wykorzystania danych w sposób niewłaściwy, a także przypadkowego naruszenia zasad. W przypadku zagrożenia bezpieczeństwa system przekazuje powiadomienie w czasie rzeczywistym.

#data loss protection #dlp informacja #rodo safetica #wyciek danych

Autorem tekstu jest Joanna Świerczyńska

Mateusz Piątek

Mateusz Piątek
senior product manager Safetica / Holm Security / Senhasegura

Masz pytania?
Skontaktuj się ze mną:
piatek.m@dagma.pl
532 570 255

Skuteczna ochrona przed wyciekiem danych

Sprawdź

Podobne wpisy:

arrow_forward_ios
30 października 2024
Nowe wektory ataku i jak im Zapobiegać - Podcast Porozmawiajmy o IT
#dlp informacja safetica
30 października 2024
Czy odkryłeś już nową Safetica?
#dlp informacja safetica
09 października 2024
Wzmocnienie zapobiegania utracie danych (DLP) w AWS
#dlp informacja safetica
24 września 2024
Safetica uhonorowana miejscem na cenionej liście MES Midmarket 100
#data loss protection #dlp nagrody i wyróżnienia safetica #wyciek danych wydarzenie
09 września 2024
Czy istnieje RODO w mediach społecznościowych?
#data loss protection #dlp informacja safetica #wyciek danych
29 sierpnia 2024
„Safetica spełnia wszystkie nasze oczekiwania” - case study - Bank Spółdzielczy w Kraśniku
case study #data loss protection #dlp safetica #wyciek danych
arrow_forward_ios