Czym są dane osobowe i jak zadbać o ich bezpieczeństwo – najważniejsze informacje!

Czym są dane osobowe i jak zadbać o ich bezpieczeństwo - najważniejsze informacje!

W poprzednim artykule poruszyłem temat RODO oraz konsekwencji związanych z wprowadzeniem nowego rozporządzenia.

W naszej codziennej pracy bardzo ważne jest, aby zdawać sobie sprawę czym są dane osobowe oraz kiedy mówimy o ich przetwarzaniu. W dzisiejszym artykule przybliżę czym są dane osobowe, kto może je przetwarzać, jakich zasad powinniśmy się trzymać przetwarzając dane oraz w jaki sposób dbać o ich bezpieczeństwo.

Zdaję sobie sprawę, że tematyka nie należy do najbardziej ciekawych i z tego miejsca mogę obiecać, że tym artykułem kończę krótki cykl o danych osobowych ? Zachęcam jednak do lektury, bo każdy z nas znajduje się po dwóch stronach barykady – raz przetwarzamy dane naszego klienta a innym razem sami jesteśmy klientem i to nasze dane są przetwarzane. W każdej sytuacji warto znać swoje prawa oraz i obowiązki jakie wiążą się z danymi tak aby odpowiednio zadbać o nasze i czyjeś bezpieczeństwo.

Co to są dane osobowe?

Dane osobowe to wszelkie informacje odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej niezależnie od jej wieku bądź narodowości.

Osobą zidentyfikowaną jest taka osoba, której tożsamość znamy, którą możemy wskazać spośród innych osób. Osobą możliwą do zidentyfikowania jest taka osoba, której tożsamości nie znamy, ale możemy poznać, korzystając z tych środków, które mamy.

Przykłady:

  • osoba zidentyfikowana: pracownik, którego dane osobowe przetwarza pracodawca; abonent, który podał swoje dane osobowe w celu rejestracji swojego numeru; osoba, która w formularzu kontaktowym podaje swoje imię, nazwisko oraz adres e-mail,
  • osoba możliwa do zidentyfikowania: potencjalny kontrahent, którego posiadamy tylko numer ewidencyjny w CEIDG, nadawca listu poleconego na podstawie numeru przesyłki;

Kto może przetwarzać dane osobowe?

Przetwarzanie danych osobowych to bardzo ogólne sformułowanie, oznaczające jakiekolwiek operacje wykonywane na danych osobowych, m.in.:

  • zbieranie;
  • przechowywanie;
  • usuwanie;
  • opracowywanie;
  • udostępnianie.

Jeżeli przedsiębiorca przetwarza dane osobowe, to może to robić jako jeden z dwóch kategorii podmiotów:

  • administrator danych;
  • podmiot przetwarzający dane.

Administrator danych to taki podmiot, który decyduje o celach i sposobach przetwarzania danych. Innymi słowy, decyduje o tym, po co (cele) i jak (sposoby) wykorzystać dane osobowe. Administratorem jest:

  • pracodawca w stosunku do danych osobowych swoich pracowników;
  • sprzedawca w stosunku do danych osobowych swoich klientów;

Administratorem danych osobowych w Simapce.pl jest Team4U Sp. z o.o. bądź podmiot, który za pośrednictwem Simapki.pl realizuje określone procesy np. Operatorzy telekomunikacyjni w zakresie rejestracji tzw. numerów na kartę.

Podmiot przetwarzający dane osobowe nie decyduje o celach i środkach przetwarzania danych – działa na podstawie umowy z administratorem danych. Administrator danych może albo sam przetwarzać dane, albo skorzystać z usług zewnętrznego podmiotu, który te dane będzie przetwarzał dla niego np.

  • biuro rachunkowe przetwarza na zlecenie dane osobowe przekazane mu w tym celu przez klientów;
  • podmiot realizujący model sprzedaży produktów Administratora

W stosunku do procesów prowadzonych z wykorzystaniem Simapki.pl wszyscy Partnerzy współpracujący z Team4U są właśnie tzw. podmiotami przetwarzającymi.

Kiedy można przetwarzać dane osobowe?

Dane osobowe można przetwarzać wyłącznie wtedy, gdy istnieje tzw. podstawa prawna przetwarzania danych. W przypadku przedsiębiorców, typowymi podstawami przetwarzania danych zwykłych są:

  • zgoda osoby, której dane dotyczą;
  • przetwarzanie danych jest niezbędne do wykonania umowy z osobą, której dane dotyczą lub do podjęcia działań poprzedzających zawarcie umowy, na żądanie tej osoby;
  • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze np. w zakresie danych Klienta zgodnie z przepisami o rachunkowości;
  • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów np. marketing własnych produktów.

Dane w Simapce.pl są przetwarzane w związku z realizacją łączącej umowy oraz regulaminów natomiast w zakresie rejestracji numerów prepaid przetwarzanie odbywa się w zw. z przepisami Ustawy o prawie telekomunikacyjnym.

Ile danych osobowych można zbierać?

RODO wprowadza tzw. zasadę minimalizacji danych osobowych. Zgodnie z nią, można przetwarzać wyłącznie takie dane osobowe, które są niezbędne do osiągniecia celu przetwarzania danych. Przetwarzanie danych powinno wiec zostać ograniczone do takich danych, bez których nie można osiągnąć celu przetwarzania.

Celem przetwarzania danych w Simapce.pl jest realizacja określonej usługi wobec czego przetwarzanie np. danych o sytuacji rodzinnej, czy finansowej osoby której dane dotyczą, nie będą dopuszczalne.

Model usług Simapki.pl określa zakres niezbędnych informacji dlatego nie należy wykraczać poza zdefiniowane ramy – szczególnie w zakresie dokonywania rejestracji numerów prepaid.

 Szczególną uwagę zwracamy na:

  1. Pobieranie od Abonentów jedynie tych danych, które są konieczne do przeprowadzenia procesu rejestracji imienia i nazwiska oraz numeru PESEL, jeżeli Abonament go posiada, albo nazwy, serii i numeru dokumentu potwierdzającego tożsamość, a w przypadku cudzoziemca, który nie jest obywatelem państwa członkowskiego UE albo Konfederacji Szwajcarskiej – numeru paszportu lub karty pobytu.
  2. Dokładną weryfikację przekazanych danych z informacjami zawartymi
    w dokumencie potwierdzającym tożsamość Abonenta.
  3. W przypadku jakichkolwiek wątpliwości powstrzymanie się od dokonywania rejestracji i odesłanie Abonenta do właściwego punktu Operatora.

Jak długo przechowywać dane?

Dane osobowe nie powinny być przechowywane w nieskończoność, bez ograniczenia czasowego. Jeżeli podstawą przetwarzania danych osobowych jest zgoda, wówczas dane osobowe mogą być przetwarzane tak długo, aż zgoda nie zostanie odwołana. Po odwołaniu zgody, przez okres czasu odpowiadający okresowi przedawnienia roszczeń, jakie może podnosić Team4U bądź jakie mogą być podnoszone wobec Team4U. Obecnie okres ten wynosi 10 lat. Podobnie w przypadku danych zgromadzonych wobec faktu zawarcia umowy.

W przypadku danych przedsiębiorców okres przedawnienia co do zasady wynosi nie dłużej, niż 3 lata i rożni się w zależności od tego, jakiej umowy dotyczyło przetwarzanie danych.

Oczywiście istnieją przepisy szczególne określające czas, przez jaki powinny być przechowywane dane osobowe, przykładowo przepisy o rachunkowości nakazują przechowywać dowody księgowe umów handlowych, roszczeń dochodzonych w postępowaniu cywilnym lub objętych postępowaniem karnym albo podatkowym przez 5 lat od początku roku następującego po roku obrotowym, w którym operacje, transakcje, postępowanie zostały ostatecznie zakończone, spłacone, rozliczone lub przedawnione.

Zakres ochrony danych osobowych

Aby skutecznie móc chronić dane osobowe każdy pracownik powinien znać osoby odpowiedzialne za  nadzór nad prawidłowością  procesu przetwarzania danych oraz ich uprawnień. Tym samym należy wskazać, że osobą kontaktową w razie jakichkolwiek wątpliwości związanych z ochroną danych osobowych w Team4U jest:

Inspektor Ochrony Danych/Administrator Bezpieczeństwa Informacji (IOD/ABI) – Marcin Kaleta; 791 204 765; m.kaleta@itls.pl.’

Warto zapamiętać!

  • Wszelkie naruszenia lub incydenty zagrażające bezpieczeństwu lub godzące w prywatność osób których dane mogą znaleźć się w ramach usług Simapka.pl powinny być niezwłocznie zgłaszane bezpośrednio Team4U Sp. z o.o.

Upoważnienie do przetwarzania danych

Każdy podmiot działający z upoważnienia naszego Partnera bądź Team4U mający dostęp do danych osobowych gromadzonych w Simapka.pl przetwarza je wyłącznie na polecenie Team4U. Wobec powyższego praca z danymi jest możliwa tylko po uzyskaniu upoważnienia do przetwarzania danych osobowych.

Należy podkreślić, że za bieżącą, operacyjną ochronę danych osobowych odpowiada każda osoba przetwarzająca te dane w zakresie zgodnym z upoważnieniem, kompetencjami lub rolą sprawowaną w procesie przetwarzania. Tym samym każdy pracownik w ramach swoich codziennych obowiązków, jest odpowiedzialny za bezpieczeństwo informacji.

Upoważniony do przetwarzania danych osobowych jest zobowiązany w szczególności do:

  1. Zachowania w poufności danych osobowych przetwarzanych w Simapka.pl oraz informacji o sposobach ich zabezpieczenia;
  2. Ochrony danych osobowych przed nieuprawnionym dostępem, ujawnieniem, modyfikacją, zniszczeniem lub zniekształceniem;
  3. Informowania o każdym przypadku bądź podejrzeniu naruszenia zasad lub środków ochrony danych;
  4. Przechowywania dokumentów lub nośników informacji zawierających dane osobowe w miejscu niedostępnym dla osób spoza grona podmiotów i osób upoważnionych do ich przetwarzania;
  5. Niepozostawiania informacji zawierających dane osobowe przy urządzeniach służących do wydruku, do których mogą mieć dostęp osoby nieupoważnione tj. przy kopiarkach, drukarkach czy faksach;
  6. Pracy w systemach informatycznych służących do przetwarzania danych jedynie na przypisanych kontach oraz zachowania poufności udostępnionych mu haseł oraz kodów dostępu;
  7. Odpowiedniego zabezpieczenia pomieszczenia obejmującego obszar przetwarzania jeżeli nie pozostaje w nim inna osoba upoważniona, zarówno w godzinach pracy, jak i po jej zakończeniu;
  8. Niepozostawiania bez nadzoru jakichkolwiek dokumentów zawierających dane osobowe;
  9. Niszczenia nieprzydatnych dokumentów zawierających informacje chronione w sposób uniemożliwiający ich ponowne odczytanie.

Warto zapamiętać!

Każda osoba pracująca z danymi osobowymi musi uzyskać stosowne upoważnienie.

  • Każdy upoważniony pracownik musi bezwzględnie przestrzegać wskazanego
    w upoważnieniu zakresu dostępu do danych w ramach odpowiednich kategorii zbiorów.
  • Każdy upoważniony pracownik jest zobowiązany do zachowanie należytej ostrożności
    w codziennej pracy z danymi osobowymi.

Zasady przetwarzania danych osobowych

Team4U dba, aby wszelkie procesy przetwarzania danych osobowych były zgodne z prawem, rzetelne oraz przejrzyste.  Bezpośrednio wiążę się to także z koniecznością zachowania przez wszystkich partnerów Simapki.pl odpowiednich zasad bezpieczeństwa. Otóż każdy partner Team4U powinien pamiętać, że:

  1. Ma obowiązek w jasny i wyraźny sposób informować wszystkich zainteresowanych o tym, w jaki sposób są wykorzystywane ich dane.
  2. Powinien formułować przekazywane informacje jasnym i prostym językiem bez niepotrzebnego cytowania aktów prawnych.
  3. Powinien stale dbać o merytoryczną wartość posiadanych informacji oraz wprowadzać odpowiednie aktualizacje ich treści jeżeli zajdzie jakakolwiek ich zmiana.
  4. Powinien zachować wszelkie środki ostrożności prze przetwarzaniu danych zapewniające ich odpowiednią poufność.

Warto zapamiętać!

  • Każdy pracujący z danymi osobowymi powinien przestrzegać zasad zgodności z prawem przetwarzania danych osobowych;
  • Dane zgromadzone w zakresie współpracy z Team4U nie mogą być wykorzystywane dla swoich osobistych celów.
  • Pracownicy nie powinni wykorzystywać sprzętu służbowego do osobistego użytku.
  • Pracownicy nie mogą dzielić się informacjami dostępnymi w ramach wykonywanych obowiązków z osobami trzecimi.

Obszar przetwarzania danych osobowych

Dane osobowe należy przetwarzać tylko w wyznaczonych do tego pomieszczeniach lub strefach na, które składają się m.in. pomieszczenia oraz ich części, gdzie prowadzona jest działalność i gdzie mogą się znaleźć dane osobowe.

Zasadniczo dopuszczalna jest praca z danymi poza wskazanymi miejscami, ale tylko jeżeli jest to niezbędne do realizacji celu przetwarzania lub gdy pracownik wykorzystuje do tego udostępnione urządzenie przenośne.

Warto zapamiętać!

  • W obszarze przetwarzania co do zasady przebywać mogą jedynie osoby do tego upoważnione bądź pod kontrolą osoby uprawnionej.
  • Ochrona obszarów przetwarzania powinna być gwarantowana przez odpowiednie fizyczne zabezpieczenia wejścia (np. monitoring) zapewniające, że tylko osoby upoważnione mogą uzyskać do nich dostęp.
  • Należy stale nadzorować pobyt osób nie będących pracownikami/współpracownikami.

Udostępnienie danych osobowych

Coraz częściej zdarzają się przypadki wyłudzania danych osobowych. Wobec tego uczulamy na wszelkie bezprawne próby wejścia  w posiadanie przetwarzanych w ramach modelu usług Team4U informacji.

Warto zapamiętać!

  • Udostępnienie danych osobowych gromadzonych w Simapce.pl osobie nieupoważnionej do przetwarzania może nastąpić wyłącznie za zgodą Team4U Sp. z o.o. oraz zgodnie z przepisami prawa.
  • Należy dokonań weryfikacji każdego przypadku udostępnienia danych przed jego zrealizowaniem.

Postępowanie w przypadku naruszenia lub podejrzenia naruszenia ochrony danych osobowych

Jedną  z najważniejszych kwestii o jakich należy pamiętać w codziennej pracy jest reagowanie na wszelkie naruszenia zasad bezpieczeństwa. Przed przystąpieniem do pracy każdy pracownik powinien sprawdzić stan urządzeń służących do przetwarzania danych oraz dokonać oględzin obszaru przetwarzania w celu sprawdzenia, czy nie zaszły okoliczności wskazujące na naruszenie zasad ochron informacji lub zastosowanych środków bezpieczeństwa. Takimi okolicznościami są, m.in. nieuprawniony dostęp, kradzież sprzętu, zalogowanie się do systemu z użyciem hasła innego pracownika, ujawnienie wirusów komputerowych lub innych programów; inne wydarzenia losowe wskazujące bezpośrednio na naruszenie zasad lub środków bezpieczeństwa ochrony danych.

Warto zapamiętać!

W przypadku stwierdzenia zaistnienia podejrzenia naruszenia ochrony danych osobowych w Simapce.pl każdy Partner jest zobowiązany do natychmiastowego poinformowania o tym fakcie Team4U.

W przypadku naruszenia ochrony danych należy powstrzymać się od wszelkich działań mogących spowodować zniszczenie śladów potencjalnego naruszenia, zabezpieczyć obszar, w którym doszło do naruszenia oraz wykonywać polecenia osób odpowiedzialnych ze bezpieczeństwo informacji.

Powierzenie przetwarzania danych osobowych

Partnerzy Team4U na podstawie wiążącej umowy przetwarzają dane osobowe w imieniu i na rzecz Team4U Sp. z o.o. Tym samym jako podmiot, któremu został przekazany proces przetwarzania w tym gromadzenia danych osobowych klientów oraz odbiorców produktów oferowanych przez Team4U bądź jej Partnerów użytkownicy występują niejako w roli zleceniobiorcy w zakresie określonych obowiązków obejmujących przetwarzanie danych osobowych. Wobec powyższego:

  • Partnerzy mogą przetwarzać otrzymane dane osobowe tylko na udokumentowane polecenie Team4U i tylko w zakresie jaki wynika z udzielonych dostępów do systemów Team4U, czyli Simapki.pl.
  • Wszyscy Partnerzy są zobligowani do zapewnienia, że wszelkie osoby, które zostały upoważnione do przetwarzania otrzymanych danych zobowiązały się do zachowania całkowitej poufności. Team4U ograniczył i właściwie kontroluje, dostęp do swoich systemów, niemniej w ramach dostępu do danych każdy Partner powinien stosować tożsame środki zaradcze. Tym samym najważniejszymi elementami ochrony danych pozostaje:
    • ograniczenie dostępu do danych przez osoby nieupoważnione;
    • stosowanie podstawowych zasad bezpieczeństwa czyli
      • poufności danych – dostęp do danych powinny mieć jedynie osoby upoważnione;
      • prywatności oraz poufności haseł i kodów dostępu do systemów – czyli nieudostępnianie swoich haseł i kodów do systemów Team4U osobom nieuprawniony i logowanie się do systemów z wykorzystaniem własnych danych dostępowych;
      • zamkniętego pomieszczenia – ograniczanie ryzyka dostępu do pomieszczeń biura/sklepu w trakcie nieobecności personelu;
      • czystego kosza – nieprzydatne dokumenty w postaci zamówień, rachunków, umów (czyli te które mogą zawierać dane osobowe należy niszczyć w sposób uniemożliwiający odtworzenie ich treści);
    • stała kontrola obszaru przetwarzania czyli miejsc gdzie znajduje się sprzęt oraz dokumenty które mogą zawierać dane osobowe;
    • zgłaszanie wszelkich przepadków incydentów naruszenia ochrony danych, w szczególności tych dotyczących klientów usług
  • Wsparcie Team4U w ramach wywiązania się z obowiązku odpowiadania na żądania osób, których dane dotyczą. Jeżeli ktokolwiek czyjego dane są przetwarzane są przez Team4U, zechce uzyskać informacje na temat dotyczących go procesów przetwarzania, to każdy Partner zobligowany jest do udzielenia wszelkiej niezbędnej pomocy w tym zakresie poprzez przekazanie takiego żądania bezpośrednio do Team4U bądź udzielenie odpowiedzi. Warto pamiętać, że:
    • administratorem wszystkich danych w systemach Team4U jest Team4U Sp. z o.o. bądź Partner Team4U
    • dane przetwarzane są jedynie w celu realizacji usług dostępnych w Simapka.pl.
    • podanie danych jest dobrowolne niemniej konieczne do realizacji poszczególnej usługi;
    • dane gromadzone z wykorzystaniem pl nie są udostępniane podmiotom trzecim poza podmiotami uprawnionymi;
    • każdej osobie fizycznej przysługuje prawo dostępu do danych, możliwość ich poprawiania, sprostowania, wniesienia sprzeciwu wobec przetwarzania oraz ograniczenia przetwarzania.
  • po zakończeniu współpracy zależnie od decyzji Team4U każdy Partner zobowiązany jest do usunięcia lub zwrotu wszelkich danych osobowych oraz usunięcia wszelkich ich istniejących kopii, oczywiście poza dokumentami koniecznymi do wykazania prowadzenia współpracy. Tym samym zalecamy, aby dane dotyczące w szczególności korzystających z usług Simapki.pl były przechowywane jedyne w systemach informatycznych Team4U, co zdecydowanie zabezpieczy i uprości całą procedurę.

Co więcej pomoc będzie mogła dotyczyć także innych obowiązków, w tym kwestii związanych z bezpieczeństwem przetwarzania, zgłaszaniem naruszeń ochrony danych osobowych. Podkreślamy jednocześnie, że jeżeli zauważone zostaną:

  • jakiekolwiek anomalie w działaniu pl lub dostępu do danych;
  • włamanie do pl;
  • lub uznacie, że jakakolwiek inna okoliczność może naruszać bezpieczeństwo danych np. kradzież dokumentów,

w takich sytuacjach warto przekazać odpowiednią informacje. Pozwoli nam to ograniczyć ryzyko wystąpienia poważnego naruszenia i odpowiednio szybko zareagować.

Odpowiedzialność

Niewłaściwe przetwarzanie danych osobowych klientów i partnerów Team4U może wiązać się z konkretną odpowiedzialnością. Katalog kar z tytułu naruszenia ochrony danych osobowych to m.in. kara do 20 mln Euro nakładana przez organ publiczny, którym jest  Prezes Urzędu Ochrony Danych Osobowych – PUODO.

Wobec tego warto stosować się do przedstawionych zasad w celu ograniczenia wystąpienia potencjalnej odpowiedzialności zarówno Team4U Sp. z o.o. jak i każdego Partnera.

Warto pamiętać, że przepisy obowiązują wszystkich przedsiębiorców, wobec czego zastosowanie podanych zasad może bezpośrednio wpłynąć na zgodność działalności z przepisami prawa.