vademecum kadrowego, składki ZUS, zasiłki, wynagrodzenia, urlopy, bhp
lupa
Do 30 listopada br. można złożyć do ZUS wniosek RWS o zwolnienie z opłacenia składek należnych za grudzień br. (więcej). Jak wyjaśnia ZUS, wniosek ten w imieniu płatnika może złożyć pełnomocnik, w tym biuro rachunkowe (więcej)
A A A

Przetwarzanie danych osobowych w firmach i instytucjach od 25 maja 2018 r. - Dodatek do Gazety Podatkowej nr 36 (1493) z dnia 4.05.2018

Ochrona danych na podstawie analizy ryzyka

Unijne rozporządzenie RODO wymaga od administratorów danych i przetwarzających dane podejścia do zasad ochrony danych opartego na ryzyku. To zaś oznacza, że podmioty przetwarzające dane osobowe nie dostaną gotowych rozwiązań, jakie powinny być stosowane w celu ochrony danych (np. zasad kontroli dostępu, szyfrowania czy też monitorowania procesów przetwarzania). Sami będą musieli je określić, po przeprowadzeniu oceny ryzyka.

Analiza ryzyka

Administratorzy danych osobowych (np. spółka z o.o., jednoosobowy przedsiębiorca, szkoła, stowarzyszenie) będą zobowiązani wdrożyć odpowiednie środki techniczne i organizacyjne, aby przetwarzanie danych odbywało się zgodnie z przepisami RODO i aby móc to wykazać. Środki te powinny być w razie potrzeby poddawane przeglądom i uaktualniane. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki te mogą obejmować wdrożenie przez administratora danych odpowiednich polityk bezpieczeństwa. Tak stanowi art. 24 ust. 2 RODO. Środki, o których wspomina rozporządzenie (inaczej zabezpieczenia), będą musiały wynikać z przeprowadzanej cyklicznie analizy ryzyka. To oznacza, że przepisy unijne zobowiązują administratorów danych do samodzielnego przeprowadzania analizy ryzyka procesów przetwarzania danych osobowych. Jeżeli ryzyko jest wysokie, to stosowane środki muszą być do tego poziomu adekwatne. Jeżeli ryzyko jest niskie, to nie będzie wymagane używanie wszystkich dostępnych środków do ochrony tych danych. Podejście oparte na ryzyku opiera się na:

  • ogólnej ocenie ryzyka oraz
     
  • szczegółowej ocenie ryzyka, ukierunkowanej na skutki w zakresie naruszenia praw lub wolności osób fizycznych (tzw. oceny skutków dla ochrony danych).

Ogólną ocenę ryzyka w zakresie bezpieczeństwa przetwarzania informacji, w tym danych osobowych, należy przeprowadzić, biorąc pod uwagę potencjalne negatywne skutki (straty materialne i niematerialne) zarówno dla administratora, jak i osób, których dane dotyczą. Ocenę skutków dla ochrony danych przeprowadza się natomiast wtedy, gdy istnieje wysokie ryzyko naruszenia praw i wolności osób, których dane dotyczą. To oznacza, że nie wszyscy administratorzy danych będą musieli przeprowadzać ocenę skutków, a tylko ci, u których to ryzyko jest bardzo wysokie.

Ocena skutków dla ochrony danych będzie niezbędna np. w przypadku monitorowania na dużą skalę miejsc publicznie dostępnych - w szczególności za pomocą urządzeń optyczno-elektronicznych. Przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli będzie dotyczyć danych osobowych pacjentów lub klientów, dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika. W takich przypadkach ocena skutków dla ochrony danych nie powinna być obowiązkowa.

Jeżeli ocena skutków dla ochrony danych wykaże, że przy braku zabezpieczeń, środków bezpieczeństwa oraz mechanizmów minimalizujących ryzyko - przetwarzanie powodowałoby wysokie ryzyko naruszenia praw lub wolności osób fizycznych, a administrator wyraża opinię, że ryzyka tego nie da się zminimalizować środkami rozsądnymi z punktu widzenia dostępnych technologii i kosztów wdrożenia, wtedy przed rozpoczęciem czynności przetwarzania należy skonsultować się z organem nadzorczym.

Skala ryzyka

Analizując ryzyko, należy brać pod uwagę, z jakim prawdopodobieństwem może wystąpić zdarzenie mające wpływ na przetwarzane dane osobowe oraz jaka będzie waga tego naruszenia. Do naruszenia praw i wolności osób, których dane są przetwarzane, dochodzi np. gdy w wyniku słabo zabezpieczonych systemów komputerowych następuje kradzież danych osobowych. Prawdopodobieństwo i powagę ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, należy określić poprzez odniesienie się do charakteru, zakresu, kontekstu i celów przetwarzania danych. Ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko (motyw 76 RODO).

Ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze zagrożeń, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności jeżeli przetwarzanie może skutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia.

Stosowanie zabezpieczeń

Ochrona danych osobowych powinna nastąpić już w fazie projektowania, tzn. jeszcze przed rozpoczęciem przetwarzania danych należy zaplanować, jakie zabezpieczenia będą użyte. Wszystkim danym powinna być zapewniona domyślna ochrona, co oznacza, że dane osobowe nie mogą być domyślnie dostępne, muszą być natomiast właściwie zabezpieczone. Przetwarzanie danych osobowych musi następować z zapewnieniem poufności, integralności i odporności systemów.

Wskazówki dotyczące tego, jakie zabezpieczenia trzeba będzie stosować, odnajdujemy w art. 32 RODO. Stanowi on, że uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Te środki to:

  • pseudonimizacja i szyfrowanie danych osobowych,
     
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
     
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
     
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Wybór tego, jakie środki mają być stosowane, będzie zależeć od oszacowanego poziomu ryzyka. Administrator danych będzie stosował takie środki, które wyeliminują ryzyko lub zredukują do akceptowalnego poziomu. Co ważne, zgodnie z obowiązującą zasadą rozliczalności proces szacowania ryzyka musi zostać odpowiednio udokumentowany, po to, by administrator danych mógł wykazać, np. w razie kontroli organu nadzorczego, że wdrożył wymagane środki.

Jak informuje GIODO, to inspektor ochrony danych powinien zapewniać administratorowi danych istotne wsparcie w doborze właściwych środków w zakresie zapewnienia odpowiedniego poziomu ochrony danych zgodnie z wymaganiami RODO.

W celu przeprowadzenia w jednostce oceny ryzyka oraz oceny skutków dla ochrony danych warto zapoznać się z rozwiązaniami zaproponowanymi przez GIODO w publikacji "Jak stosować podejście oparte na ryzyku? Poradnik RODO. Część 2." dostępny na stronie www.giodo.gov.pl.

 Jeśli nie znalazłeś informacji, której szukasz,
wejdź do serwisu
www.KodeksPracy.pl » 
Więcej w zasobach płatnych

Serwis Głównego Księgowego

Gazeta Podatkowa

Terminarz

listopad 2024
PN WT ŚR CZ PT SO ND
1
2
3
4
5
6
7
8
9
10
11
12
13
14
16
17
18
19
21
22
23
24
25
26
27
28
29
30
sklep.gofin.pl - RABATY, NAGRODY, PROMOCJE
NEWSLETTERY
Fachowe czasopisma - PoznajProdukty.gofin.pl
KODEKS PRACY, Prawo Pracy
UMOWA O PRACĘ - druk, przykład. Wypowiedzenie (rozwiązanie) umowy o pracę.
Wszystko o urlopach pracowniczych - wypoczynkowy, bezpłatny, macierzyński, szkoleniowy
Przydatne linki
Sklep internetowy - sklep.gofin.pl
Wydawnictwo Podatkowe GOFIN sp. z o.o., ul. Owocowa 8, 66-400 Gorzów Wlkp., tel. 95 720 85 40, faks 95 720 85 60
Wydawnictwo Podatkowe GOFIN
Szanowny Użytkowniku !
Prosimy o zapoznanie się z poniższymi informacjami oraz wyrażenie dobrowolnej zgody poprzez kliknięcie przycisku "Zgadzam się".
Pamiętaj, że zawsze możesz wycofać zgodę.

Serwis internetowy, z którego Pani/Pan korzysta używa plików cookies w celu:

  • niezbędnego zapewnienia prawidłowego działania Serwisów (utrzymania sesji),
  • realizacji funkcjonalności ułatwiających obsługę Serwisu,
  • dopasowania reklam w serwisach społecznościowych,
  • analizy statystyk ruchu i reklam w Serwisach,
  • zbierania i przetwarzania danych w celu wyświetlenia reklam produktów własnych i klientów reklamowych oraz do śledzenia użytkowników, kliknięć i konwersji wyświetlanych reklam.
Pliki cookies

Są to pliki instalowane w urządzeniach końcowych osób korzystających z Serwisu, w celu administrowania Serwisem, dostosowania treści Serwisu do preferencji użytkownika, utrzymania sesji użytkownika oraz dla celów statystycznych i targetowania reklamy (dostosowania treści reklamy do indywidualnych potrzeb użytkownika). Informujemy, że istnieje możliwość określenia przez użytkownika Serwisu warunków przechowywania lub uzyskiwania dostępu do informacji zawartych w plikach cookies za pomocą ustawień przeglądarki lub konfiguracji usługi. Szczegółowe informacje na ten temat dostępne są u producenta przeglądarki, u dostawcy usługi dostępu do internetu oraz w Polityce prywatności i plików cookies.

Administratorzy

Administratorem Pana/Pani danych osobowych w związku z korzystaniem z Serwisu internetowego i jego usług jest Wydawnictwo Podatkowe GOFIN sp. z o.o. Administratorem danych osobowych w plikach cookies w związku z wyświetleniem analizy statystyk i wyświetlaniem spersonalizowanych reklam są partnerzy Wydawnictwa Podatkowego GOFIN sp. z o.o., Google Inc, Facebook Inc.

Jakie ma Pani/Pan prawa w stosunku do swoich danych osobowych?

Wobec swoich danych mają Pan/Pani prawo do żądania dostępu do swoich danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania danych, prawo do cofnięcia zgody.

Podstawy prawne przetwarzania Pani/Pana danych osobowych
  • Niezbędność przetwarzania danych w związku z wykonaniem umowy.

    Umowa w naszym przypadku oznacza akceptację regulaminu naszych usług. Jeśli zatem akceptuje Pani/Pan umowę na realizację danej usługi, to możemy przetwarzać Pani/Pana dane w zakresie niezbędnym do realizacji tej umowy.

  • Niezbędność przetwarzania danych w związku z prawnie uzasadnionym interesem administratora.

    Dotyczy sytuacji, gdy przetwarzanie danych jest uzasadnione z uwagi na usprawiedliwione potrzeby administratora, tj. dokonanie pomiarów statystycznych, ulepszania naszych usług, jak również prowadzenie marketingu i promocji własnych usług administratora.

  • Dobrowolna zgoda.

    Aby móc realizować cele:
    - zapamiętania Pani/Pana decyzji w Serwisach w zakresie korzystania z dostępnych opcjonalnie funkcjonalności,
    - analiz statystyk ruchu i reklam w Serwisach,
    - dopasowania reklam w serwisach społecznościowych,
    - wyświetlania spersonalizowanych reklam produktów własnych i klientów reklamowych oraz do śledzenia użytkowników, kliknięć i konwersji wyświetlanych reklam w związku z odwiedzaniem niniejszego Serwisu internetowego partnerzy Wydawnictwa Podatkowego Gofin sp. z o.o. muszą mieć możliwość przetwarzania Pani/Pana danych.

Potrzebna jest Nam Pani/Pana dobrowolna zgoda na zapisy w plikach cookies w celach realizacji powyższych celów.
W związku z powyższymi wyjaśnieniami prosimy o wyrażenie dobrowolnej zgody na zapisywanie informacji w plikach cookies przez kliknięcie przycisku „Zgadzam się” lub „Nie teraz” w przypadku braku zgody. Istnieje możliwość skorzystania z „ustawień zaawansowanych” plików cookies w celu określenia indywidualnych zgód na zapis wybranych plików cookies realizujących wybrane cele.