Reklama

Rozporządzenie Ogólne O Ochronie Danych w każdej organizacji

2018-06-13 09:54

Sylwia Kochman
Niedziela Ogólnopolska 24/2018, str. 44-45

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (rozporządzenie ogólne) zobowiązuje każdego przedsiębiorcę do ochrony danych osobowych przez niego przetwarzanych. Tak naprawdę szeroko rozumiana ochrona danych osobowych obowiązuje każdą organizację już od 1997 r. W praktyce często jest jednak tak, że dopiero zapisy rozporządzenia ogólnego motywują nas do uregulowania odrębnymi procedurami przepływu danych osobowych w organizacji i poza nią. Zacznijmy zatem od podstaw.

Jakie dane osobowe przetwarza przedsiębiorca?

W pierwszej kolejności trzeba określić, co należy uznać za dane osobowe. Ogólnie mówiąc, za dane osobowe uznamy każdy czynnik, za pomocą którego jesteśmy w stanie zidentyfikować konkretną osobę fizyczną. Przedsiębiorcom bardzo często wydaje się, że jeśli mają podstawowe dane osobowe swoich klientów, np. imię, nazwisko, telefon czy e-mail, to nie przetwarzają danych osobowych. Nic bardziej mylnego. Do samego procesu przetwarzania danych dochodzi już na etapie zbierania danych osobowych od osoby, której dane te dotyczą, zatem zbieranie danych osobowych w celu zawarcia umowy czy wystawienia faktury również wyczerpuje katalog przetwarzania danych osobowych. Do takiego standardowego katalogu danych osobowych przetwarzanych przez przedsiębiorców można zaliczyć dane osobowe pracowników, dane osobowe klientów indywidualnych, dane osobowe klientów instytucjonalnych, kontrahentów, usługodawców podwykonawców. Jeśli przedsiębiorca zatrudnia pracowników, oni również przetwarzają dane osobowe jego klientów czy kontrahentów. W zależności od rodzaju prowadzonej działalności gospodarczej przedsiębiorca może przetwarzać zarówno dane osobowe tzw. zwykłe, jak i dane osobowe szczególne. Co do zasady, wszystko to, co nie mieści się w katalogu danych osobowych szczególnych, można zaliczyć do katalogu danych zwykłych. Do szczególnej kategorii danych osobowych będziemy zaliczać informacje o pochodzeniu rasowym lub etnicznym danej osoby, informacje w zakresie jej poglądów politycznych, przekonań religijnych lub światopoglądowych, przynależności do związków zawodowych, danych genetycznych, danych biometrycznych, stanu zdrowia, seksualności czy orientacji seksualnej. Na szczególną uwagę zasługują również informacje o danych dotyczących wyroków skazujących i naruszeń prawa. Generalizując, firma handlowo-usługowa z reguły nie będzie przetwarzała szczególnej kategorii danych osobowych względem swoich klientów, ale już indywidualna praktyka lekarska – tak. Na samym początku zaznajamiania się z problematyką rozporządzenia ogólnego każdy przedsiębiorca musi odpowiedzieć sobie na pytanie, jaką ja kategorię danych osobowych przetwarzam i względem kogo (dla przykładu: względem klientów, pracowników, podwykonawców). Oczywiście, rozporządzenie ogólne ma zastosowanie względem wszystkich przedsiębiorców, aczkolwiek taka wstępna analiza jest konieczna, by spojrzeć na swoją organizację jakby z „lotu ptaka”.

Kto jest „właścicielem” danych osobowych?

Jeśli przedsiębiorca już określi, jakie dane osobowe przetwarza i względem jakiej grupy osób, musi przeanalizować, czy jest administratorem tych danych, czy wchodzi w rolę podmiotu przetwarzającego. Jest to niezwykle istotne z punktu widzenia określenia odpowiedzialności za zbiór, a raczej za czynność przetwarzania. Administratorem danych jest ten, kto decyduje o celach i sposobach przetwarzania danych osobowych. Dla przykładu, jeśli przedsiębiorca zatrudnia pracowników, jest administratorem danych osobowych względem tych danych osobowych i jego „własność” względem tego zbioru nie zmienia się, nawet jeśli przedsiębiorca zleca prowadzenie obsługi kadrowo-płacowej innemu podmiotowi, tj. zewnętrznej księgowości. Zewnętrzne biuro rachunkowe uzyskuje status podmiotu przetwarzającego względem danych pracowniczych swojego klienta. To, że zewnętrzne biuro księgowe przetwarza dane osobowe pracowników swojego klienta, nie oznacza, że biuro księgowe jest administratorem tych danych – administratorem danych osobowych swoich pracowników pozostaje pracodawca. Oczywiście, to tylko jeden z wielu przykładów. Tak naprawdę w interesie każdej organizacji jest rozeznać swoją rolę w procesie przetwarzania danych i odpowiedzieć sobie na pytanie, czy jestem administratorem tych danych, czy wchodzę w rolę procesora – czyt. podmiotu przetwarzającego. To właściwie drugi aspekt, po kategorii przetwarzanych danych, który każdy przedsiębiorca powinien wziąć pod uwagę w momencie zaznajamiania się z rozporządzeniem ogólnym.

Reklama

Inspektor Ochrony Danych

Niektórzy przedsiębiorcy mogą być zobowiązani do wyznaczenia Inspektora Ochrony Danych. Będą o tym decydować przesłanki, na podstawie których przedsiębiorca powinien przeanalizować zasadność bądź brak zasadności wyznaczenia w organizacji Inspektora Ochrony Danych. Po pierwsze – przedsiębiorca powinien odpowiedzieć sobie na pytanie, czy jego główna działalność jest zorientowana na takie operacje przetwarzania, które wymagają regularnego i systematycznego monitorowania osób na dużą skalę. Z drugiej strony – należy przeanalizować, czy główna działalność przedsiębiorcy polega na przetwarzaniu szczególnych kategorii danych osobowych na dużą skalę. Tutaj wyjaśnienia wymaga pojęcie dużej skali. Niestety, nigdzie nie znajdziemy tzw. widełek, co traktować jak dużą skalę przetwarzania, a co jak małą. Co do zasady, nie powinno się uznawać przetwarzania na dużą skalę w przypadku indywidualnej praktyki lekarskiej czy pojedynczego prawnika. Tutaj każdego przedsiębiorcę należy odwołać do wytycznych Grupy Roboczej art. 29 ds. ochrony danych. Wspomniana Grupa Robocza art. 29 wydała wiele wytycznych, które w sposób zrozumiały dają informację zwrotną w zakresie tego, jak rozumieć przepisy rozporządzenia ogólnego. Wracając do konieczności wyznaczenia Inspektora Ochrony Danych, przykładowo, w pierwszą grupę przesłanek dotyczących monitorowania mogą się wpisać organizacje śledzące nasze zachowania w sieci. W drugą grupę przesłanek mogą się z kolei wpisać niepubliczne zakłady opieki zdrowotnej. Jeśli się okaże, że przedsiębiorca będzie zobowiązany do wyznaczenia Inspektora Ochrony Danych, powinien podjąć decyzję, kto takim Inspektorem Ochrony Danych miałby u niego zostać.

Art. 37 przedmiotowego rozporządzenia ogólnego wskazuje, że Inspektor Ochrony Danych ma mieć stosowne kwalifikacje zawodowe oraz fachową wiedzę w zakresie prawa i praktyk w odniesieniu do ochrony danych osobowych. Ogromnie istotna w całej sprawie będzie wiedza branżowa. Krótko mówiąc, inna będzie problematyka przetwarzania danych osobowych w szpitalu, urzędzie miasta, domu pomocy społecznej, przedsiębiorstwie produkcyjno-handlowo-usługowym czy firmie transportowej. Niektóre branże będą wykorzystywać zabezpieczenia w postaci nowych technologii (np. biometryka), inne pozostaną przy dotychczasowych, tradycyjnych sposobach przetwarzania danych osobowych. Z praktycznego punktu widzenia Inspektor Ochrony Danych będzie stał na straży przestrzegania oraz stosowania odpowiednich polityk ochrony danych. Odpowiednie polityki ochrony danych to wypracowane w organizacji procedury, które z jednej strony powinny uwzględniać normy rozporządzenia ogólnego, z drugiej – muszą być adekwatne do posiadanych aktywów, zasobów. Tylko i wyłącznie Inspektor Ochrony Danych, który zna organizację, w której został wyznaczony, jest w stanie zharmonizować system bezpieczeństwa osobowego.

Podsumowując

Każdy przedsiębiorca powinien się wyposażyć w tzw. odpowiednie polityki ochrony danych, które pozwolą mu usystematyzować dotychczasowy przepływ danych osobowych w organizacji, a także poza nią. Powinien również zastanowić się nad funkcją Inspektora Ochrony Danych, nawet jeśli wprost z przepisów nie wynika, że jest zobligowany do wyznaczenia osoby pełniącej tego rodzaju funkcję. Funkcja Inspektora Ochrony Danych pozwoli również uporządkować wszystkie dotychczasowe procedury związane z bezpieczeństwem osobowym.

Wszelkiego rodzaju decyzje przedsiębiorcy w kontekście harmonizacji bezpieczeństwa przepływu danych dobrze jest podejmować w oparciu o rozeznanie, krótko mówiąc: jaką mam podstawę prawną przetwarzania danych osobowych, w jakim celu dane osobowe przetwarzam, jaki jest katalog odbiorców, którym dane osobowe są przekazywane, przez jaki okres jestem zobligowany do przechowywania danych osobowych oraz czy w mojej organizacji powinien się pojawić Inspektor Ochrony Danych, czy może jestem wprost na mocy przepisów rozporządzenia ogólnego zobligowany do jego wyznaczenia.

Sylwia Kochman
Audytor wiodący systemu zarządzania bezpieczeństwem informacji. Wykładowca i konsultant cyklicznych szkoleń organizowanych przez Stowarzyszenie Księgowych w Polsce – dla oddziałów terenowych. Ekspert w zakresie przetwarzania danych w sektorze publicznym i niepublicznym.

„Chciałem cię zabić”

2019-01-08 11:58

Witold Gadowski
Niedziela Ogólnopolska 2/2019, str. 27


Archiwum prywatne

Długo stał na korytarzu, przestępował z nogi na nogę, schodził trzy stopnie niżej, aby za chwilę powrócić pod same drzwi. Wcześniej wielokrotnie widział tę scenę w wyobraźni. Czuł, jak naciska klamkę, wchodzi do środka... Dalej nie starczało mu już odwagi, by przewidywać, co się stanie. Teraz wreszcie stał przed tymi drzwiami. Przemógł chęć ucieczki i był tu... Uniesiona w górę dłoń lekko zadrżała. W końcu mruknął coś do siebie, przełknął ślinę i nacisnął dzwonek. Otworzył mu wysoki, niemal równy mu wzrostem mężczyzna. Miał bujną szpakowatą czuprynę i głębokie bruzdy pod dużymi niebieskimi oczami. Jego nieogolone policzki były blade jak u człowieka, który jest bardzo zmęczony.

– Dzień dobry, jestem... – zaczął.

– Wiem, kim jesteś – przerwał mu starszy mężczyzna i krótkim gestem dłoni zaprosił go do wnętrza mieszkania.

Z korytarza wyjrzały dwie zaciekawione twarze ślicznych dziewcząt, bez skrępowania patrzyły mu prosto w oczy.

– Moje córki – na twarzy gospodarza pojawił się wątły uśmiech.

Weszli do przestronnego pokoju. Był pełen słonecznego światła i ciężkich, staromodnych mebli. Smugi światła wydobywały obraz wirowania drobinek kurzu, które kłębiły się tuż nad podłogą. Usiedli przy przedwojennym dębowym stole.

– Palisz? – starszy mężczyzna wyciągnął ku niemu paczkę czerwonych Marlboro.

– Nie, dziękuję – odruchowo pokręcił głową.

Rozległ się trzask zapałki i starszy chciwie zaciągnął się papierosem. Słyszał, jak dziewczyny cicho szepczą za drzwiami, nie był jednak w stanie złowić sensu ich ożywionego trajkotania.

Przybysz miał ściśnięte szczęki, z trudem przeciskały się przez nie słowa. Ukradkiem spoglądał na szpakowatego gospodarza i musiał przyznać, że za młodu był zapewne bardzo przystojny. Do teraz jego twarz zachowała harmonijne, szlachetne rysy. Córki urodę odziedziczyły pewnie po nim.

Pokój był urządzony ze smakiem, regały z tysiącami książek, masywne biurko, na którym stała prawdziwa lampa od Tiffany’ego. Młody sam robił szklane witraże, potrafił więc rozpoznać precyzyjne, ręcznie wykonywane łączenia różnokolorowych kawałków barwnego szkła. W tym pokoju królował człowiek, który dobrze wiedział, czym są wyrafinowanie i dobry smak.

– Chciałem cię zabić! – powoli uniósł twarz, tak aby dojrzeć wyraz źrenic człowieka, który siedział naprzeciw.

Szpakowaty mężczyzna zgarbił się, ale ani na moment nie opuścił wzroku, wytrzymał jego spojrzenie. W pokoju zaległo ciężkie milczenie. Nawet drobiny kurzu sprawiały wrażenie, jakby zastygły w swoim bezrozumnym tańcu. Miast oczekiwanego przerażenia przybysz dojrzał, jak gospodarz spogląda na niego z rosnącym zaciekawieniem. Czuł, jak dyskretnie omiata go ciepłym spojrzeniem, wpatruje się w jego twarz, przygląda się jego dłoniom. Coś w myślach precyzyjnie szacuje.

Czytał jego ostatnią książkę. Wzruszała go i przez to jeszcze bardziej go nienawidził. Przez wiele nocy przewracał kolejne kartki, aby chwilę potem rzucać książką z rozmachem o ścianę i mleć w ustach najwulgarniejsze przekleństwa. Nienawidził tej patetycznej, napuszonej frazy, nie mógł znieść pewności, z jaką autor wypowiadał swoje ostateczne sądy. Gdyby wtedy był w pokoju obok, z całą pewnością dźgnąłby go nożem i spokojnie spoglądał na krew, która sączyłaby się z rany. Zapamiętał nawet fragment, za który najbardziej go nienawidził: „Brat Andrzej wiedział, że umrze – skromnie, bez komunikowania tego komukolwiek i rozgłaszania o nadchodzącej nieuchronności, czekał na ostatni moment. Uśmiechał się jak człowiek nie tylko pogodzony z opuszczeniem swojej doczesnej postaci, ale także rozliczony ze wszystkim, co w życiu zrobił i pomyślał, ze wszystkim, czego kiedykolwiek pragnął i czego nigdy nie osiągnął. Nadchodząca śmierć przynosiła mu poczucie coraz większej i coraz bardziej bezwarunkowej wolności”.

– Pieprzony obserwator! – młody czytelnik warczał w myślach, wspominając opis ostatnich chwil brata Andrzeja.

Gospodarz nadal palił papierosa i ciągle patrzył na niego, tak jakby starał się zapamiętać najdrobniejszy szczegół jego oblicza. Wyglądał jak człowiek, który chce się nauczyć tego, co widzi, i wbić sobie ten widok w najbardziej wytrzymałe struktury pamięci. Głosy dziewcząt za drzwiami dawno już umilkły. Znudzone zapewne poszukały sobie bardziej stosownej dla ich wieku rozrywki. W wypełnionym już wieczornym półmrokiem pokoju nagle rozległy się słowa przybysza:

– Matka nigdy mi o tobie nie opowiadała. Gdy byłem mały, mówiła, że zginąłeś w wypadku samochodowym, tuż przed moim narodzeniem – młodzieniec przerwał i nerwowo wstał z fotela. Zaczął krążyć po rozległym pokoju, aż w końcu zatrzymał się tuż przed oknem. Gospodarz widział teraz jego barczyste plecy obrysowane gasnącym światłem dnia.

– Kiedyś, jak byłem już w liceum, znalazłem wasze zdjęcia ze studiów. Wtedy powiedziała mi prawdę – młodzieniec zaśmiał się nerwowo. – Wtedy dowiedziałem się, że żyjesz. Była bardzo dumna, ale wymusiłem na niej, aby opowiedziała mi całą prawdę.

Gospodarz niepewnie podniósł się ze swojego fotela.

– Nie, jeszcze nie teraz! – warknął przybysz. Ciągle stał przed oknem, wpatrując się w pierwsze zapalone latarnie. – Jeszcze ja chcę mówić!

– Ale ja...

– Jeszcze chwila! – przybysz ponownie brutalnie mu przerwał.

– Wiem, że nie wiedziałeś. Dałeś jej przecież pieniądze na skrobankę, a potem zniknąłeś. Nigdy więcej jej nie zobaczyłeś.

– Pięć lat temu napisała do mnie list – głos gospodarza był spokojny i cichy, brzmiał jak bardziej chropawa wersja tembru młodzieńca.

Młody mężczyzna odwrócił się zaskoczony.

– List?

– Tak. Napisała do wydawnictwa. Opisała mi ciebie, twoje studia...

– Zmarła dwa miesiące temu – młodzieniec znów mu przerwał, tym razem jednak jego głos nie był już tak zimny jak kilka minut wcześniej. Podszedł do fotela i znów usiadł naprzeciw gospodarza. – Nie wiedziałem, że cię znalazła. Szukałem wśród waszych starych znajomych ze studiów. W końcu dowiedziałem się, że wyjechałeś do Łodzi, że założyłeś rodzinę. Przez te wszystkie lata życzyłem ci śmierci. Modliłem się, aby Bóg zesłał na ciebie śmiertelną chorobę, uderzył cię nieszczęściem. Przez te wszystkie lata nienawidziłem cię najmocniej, jak tylko potrafiłem.

– Wiem – szpakowaty mężczyzna znów skurczył się w ramionach.

– Skąd ty to możesz wiedzieć?! Przyjechałem tu... – młody głos zawisł na chwilę w powietrzu.

Zaskoczony gospodarz dostrzegł łzy w oczach młodzieńca.

– Przyjechałem tu, aby cię przeprosić, aby...

– Przeprosić? – starszy stuknął się dłonią w czoło.

– Tak. I prosić, byś mi wybaczył.

– Ja tobie?!

– Tak.

Starszy mężczyzna ukrył twarz w dłoniach, jego plecy zadrgały w bezgłośnym szlochu.

***

Kiedy z wielkiego okna na powrót zaczęły się sączyć pierwsze promienie porannego słońca, młody mężczyzna wstał i pocałował gospodarza w dłoń.

– Dziękuję.

– To ja dziękuję – odpowiedział gospodarz. – Wyzwoliłeś mnie z więzienia mojej bezsenności – dodał, zauważywszy pytające spojrzenie młodzieńca. – Od dwudziestu lat nie mogłem spać. Myślałem o dziecku, które się nie narodziło, o jego małych rączkach, ustach, sercu. Potem, pięć lat temu, gdy dowiedziałem się, że jednak istniejesz, dziękowałem Bogu, napisałem tę książkę, a teraz przyniosłeś mi wolność.

Młodzieniec cicho przeszedł przez korytarz – dziewczyny spokojnie spały w swoim pokoju. Zamknął drzwi najciszej jak umiał i lekko zbiegł po schodach.

CZYTAJ DALEJ

Reklama

Zakopane: zmiana terminu koncertu "Heliosów"

2019-01-17 10:57

Redakcja

Z powodu żałoby narodowej koncert rodziny Lassaków „Heliosów” z Zakopanego, który miał się odbyć w sobotę 19 stycznia, został przeniesiony na niedzielę 20 stycznia. Zapraszamy po Mszy Świętej o godzinie 11:30 do Kościoła Świętego Antoniego Padewskiego, ul. Bulwary Słowackiego 33.

CZYTAJ DALEJ

Reklama

Koncert kolęd 2019 300x300 nowy termin

Reklama

Najczęściej czytane

W związku z tym, iż od dnia 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) uprzejmie Państwa informujemy, iż nasza organizacja, mając szczególnie na względzie bezpieczeństwo danych osobowych, które przetwarza, wdrożyła System Zarządzania Bezpieczeństwem Informacji w rozumieniu odpowiednich polityk ochrony danych (zgodnie z art. 24 ust. 2 przedmiotowego rozporządzenia ogólnego). W celu dochowania należytej staranności w kontekście ochrony danych osobowych, Redaktor Naczelna Tygodnika Katolickiego „Niedziela” wyznaczyła w organizacji Inspektora Ochrony Danych.
Więcej o polityce prywatności czytaj TUTAJ.

Rozumiem