Przygotuj Swój Dział IT na RODO. FAQ część 1

Odpowiedzi na pytania, które padły podczas pierwszego szkolenia w ramach naszego cyklu webinarów o RODO.


1. Czy obraz z systemów monitoringu CCTV też stanowi dane osobowe? Jak odnieść się do problemu zapisu z monitoringu i usunięcia wizerunku jednej z osób na zapisanym materiale?

Zasadniczo podstawą przetwarzania danych będzie zgoda. Jeśli chcę skorzystać z czyjejś usługi, chcę komuś coś zlecić, przekazać moje dane na jakieś cele – wyrażam konkretną zgodę. Natomiast w przypadku danych z monitoringu, zgoda nie jest wymagana, jeśli te dane zbieramy w słusznym i uzasadnionym interesie jednostki. W tym kontekście zapis z monitoringu służy zapewnieniu właściwego poziomu bezpieczeństwa. Jeśli dane z monitoringu wykorzystujemy do pewnego określonego celu (w tym wypadku zapewnienia bezpieczeństwa jednostkom), to jak najbardziej mamy prawo odmówić żądaniu ich usunięcia i dalej je przetwarzać w tym uzasadnionym zakresie.

2. A co z np. trenerami osobistymi, którzy często nie prowadzą spisu swoich klientów w systemach informatycznych? Czy muszą zacząć prowadzić taki spis i go zabezpieczać?

W pewnym sensie jest to źle postawione pytanie. „Skoro nie prowadzę spisu elektronicznego, to czy nie muszę…”. RODO nie określa w jakiej formie dane osobowe mają być spisywane. Każdy z nas, jako administrator danych osobowych albo organizacja, która będzie otrzymywać jakieś dane osobowe i będzie je przetwarzała na jakiejkolwiek podstawie, będzie musiała zabezpieczać te dane oraz w odpowiedni sposób wywiązywać się z nałożonych obowiązków. Nie ma żadnych wyłączeń kto może/nie musi wywiązywać się z tych obowiązków.

Nagranie pierwszego szkolenia.

3. Czy zabezpieczenie kopii zapasowych w chmurze za pomocą hasła jest wystarczającym zabezpieczeniem?

Jest to także pytanie z rodzaju „Czy jak zrobię X to będę w porządku?”. RODO w ogólne nie definiuje ochrony danych osobowych w taki sposób. RODO mówi, że masz chronić dane: mają być bezpieczne, chronione na wysokim poziomie, nikt nie może się do nich włamać. To Administrator danych osobowych musi ocenić, czy to w jaki sposób przechowuje i zabezpiecza dane jest odpowiednie. A jeżeli ktoś się na włamie, wykradnie, zmieni lub zmodyfikuje dane – to będzie to oznaczać, że zabezpieczenia były nieprawidłowe. Stosowanie haseł podwyższa poziom bezpieczeństwa, ale nie jest powiedziane, że tylko taka metoda zabezpieczenia będzie wystarczająca. Prawdopodobnie w większości przypadków nie będzie.

4. Czy jeśli przetwarzamy dane takie jak dane firm, to czy podlega to prawu RODO?

Podejście do tego problemu jest mieszane. Dane osobowe dotyczą danych osób fizycznych – nie dotyczą firm. Dane spółki Xopero Software S.A. to nie są dane osobowe. Natomiast dane osobowe indywidualnych osób wchodzących w skład organizacji, imienne maile służbowe – to jak najbardziej tak. Bo w tym przypadku są to informacje przypisane do danej osoby fizycznej, które do niej prowadzą i umożliwiają identyfikację.

5. Wizytówki – czy także do nich stosuje się zapisy RODO?

Wizytówki zawierają dane, które oczywiście są danymi osobowymi. Ale w tym przypadku występuje dorozumiana zgoda na przetwarzanie danych osobowych. Jeśli ktoś przekazuje wizytówkę, to robi to dobrowolnie i wyraża zgodę żebym te dane przetwarzał – na cele naszej wzajemnej współpracy biznesowej (dając wizytówkę, pozwalam tej osobie aby się ze mną kontaktowała w celach biznesowych).

6. Czy tabliczka na drzwiach z imieniem nazwiskiem oraz stanowiskiem są danymi osobowymi i czy takie tabliczki w urzędach zostaną zdjęte.

W tym przypadku mówimy o przetwarzaniu danych osobowych w jakimś określonym celu, więc można je przetwarzać zgodnie z prawem. Jeśli ktoś jest zatrudniony na umowę o pracę w urzędzie i ma tam pewną funkcję, wtedy można jego dane w celu tego zatrudnienia przetwarzać. Wykazywanie jego danych (na tabliczkach) jest uzasadnione. A więc tabliczki nie zostaną zdjęte.

7. Jak się ma postępowanie sądowe w przypadku danych osobowych, które zostały wcześniej usunięte na żądanie właściciela danych?

Nie ma takiej opcji. Twórcy RODO przewidzieli, że może zaistnieć sytuacja w której jakiś podmiot będzie próbował wykorzystać zapisy Rozporządzenia przeciwko organizacjom, które posiadają dane osobowe nt. tego podmiotu i który przykładowo ma zobowiązania finansowe wobec takiej organizacji.

Np. by posłużyć się zapisami RODO w celu zablokowania obowiązku zapłaty. Skoro organizacja nie będzie posiadać danych osobowych, nie będzie w stanie pozwać taki podmiot do sądu.

Prawo do bycia zapomnianym jest ograniczone szeregiem wyjątków. Administrator może odmówić wykonania prawa do bycia zapomnianym – np. z uwagi na konieczność dochodzenia roszczeń lub obrony przed tymi roszczeniami.

8. RODO a przechowywanie danych pracowników i ich archiwizacja. Co jeśli ktoś zażąda ich usunięcia?

Prawo do bycia zapomnianym nie może ingerować w obowiązki wynikające z prawa np. cele pracownicze, ZUS-owskie lub podatkowe. Nie może w żaden sposób wymuszać na Administratorze naruszenia prawa.

9. Czy jeśli otrzymam od Xopero maila pod którym podpisał się inżynier Xopero (czyli podał swoje dane osobowe), a ja chciałbym ten mail przesłać dalej do klienta – mogę to zrobić, czy musze mieć stosowną zgodę tego inżyniera?

Sytuacja podobna jak z wizytówkami. Mówimy tutaj o dorozumianej zgodzie w ramach współpracy trójstronnej. Dobra umowa o współpracy powinna zawierać taki zapis i precyzować łańcuch zgód. Jest to o tyle istotne ponieważ dziś dane osobowe podczas realizacji zlecenia są przetwarzane przez kilka podmiotów (lub działów) w firmie: np. sprzedaż > wdrożenie > wsparcie techniczne > gwarancja.

10. Czy dana typu imię i nazwisko, plus stanowisko w firmie jest daną osobową?

Tak, dane pracownika są danymi osobowymi. Nawet samo imię i nazwisko wystarczy, żeby zidentyfikować osobę.

11. Co jest strasznego w tym że wyciekną dane osobowe? Jakie są konsekwencje? Doprecyzowuję: jakie są konsekwencje dla właściciela danych? Czemu tak zależy ustawodawcy na ich ochronie?

Po pierwsze: kary administracyjne sięgające 20-40 milionów EU. Po drugie: obowiązek powiadomienia, w czasie 72 godzin od wykrycia wycieku danych (modyfikacji itd.), podmiotu nadzorczego i każdej z osób której dotyczy wyciek danych. Realizacja tego wymogu będzie bardzo kosztowana, przypuszczalnie w przypadku dużego wycieku danych może nawet pogrążyć taki podmiot finansowo.

12. Czy możecie Państwo powiedzieć coś więcej na temat przechowywania klucza szyfrowania w innym miejscu niż dane (ostatni slajd)?

W kontekście rozwiązań Xopero, kiedy mówimy o przechowywaniu klucza szyfrującego w innym miejscu niż dane, to musimy pamiętać o tym, że mamy dwa rodzaje kluczy. Pierwszy klucz, to klucz domyślny. W momencie kiedy zostanie utworzony, jest automatycznie zapisywany w bazie danych na serwerze backupowym. W naszym rozwiązaniu chmurowym serwer bazodanowy oraz serwer backupu są od siebie fizycznie odseparowane. W przypadku rozwiązań do backupu lokalnego bywa różnie: zależy od decyzji samego klienta. Natomiast drugą opcją jest definicja własnego klucza szyfrującego, gdzie użytkownik ma możliwość wprowadzenia własnego hasła – i tego klucza nigdzie nie przechowujemy. Wtedy obowiązek zabezpieczenia takiego klucza szyfrującego spada na użytkownika i to od niego zależy, gdzie on będzie przechowywany. Dane są szyfrowane algorytmem AES o kluczu długości 256 bitów i w tym przypadku, jak wiemy, jest to technologicznie niemożliwe do odszyfrowania.

13. Czy można „wynająć” Inspektora Ochrony Danych na zasadzie outsourcingu (o ile jeden IOD ma prawo obsługiwać wiele różnych niepowiązanych firm)?

Tak, nie ma tutaj przeciwskazań. IOD może być jak najbardziej z zewnątrz.

—-

Czytaj część drugą.