Poznań: + 48 61 22 23 997        Warszawa: + 48 22 506 52 42
Kontakt z ekspertem
Sommerrey & Partners Sommerrey & Partners

Rodo

W pytaniach i odpowiedziach

Drogi Użytkowniku,

zagadnienia związane z ochroną danych osobowych pojawiały się już wiele razy i wiele się o tym mówiło. Nigdy wcześniej jednak zmiany w przepisach nie wpływały tak znacząco na prawa i obowiązki przedsiębiorców, jak te spowodowane wejściem w życie Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 (dalej zwanego „RODO”).

Dotychczasowe doświadczenia ze stosowania RODO pokazują, że dla niektórych przedsiębiorców konsekwencje nieprzestrzegania przepisów okazały się bardzo kosztowne. Z jednej strony nałożone zostały kary administracyjne, z drugiej – przedsiębiorcy ponieśli nieodwracalne straty wizerunkowe.

Wypełnij ankietę i sprawdź przygotowanie Twojej firmy do wymogów nakładanych przez przepisy dotyczące ochrony danych osobowych, w tym RODO. Ankieta ma charakter pomocniczy i informacyjny, dlatego bądź szczery wobec siebie. Odpowiadaj zgodnie z prawdą, nawet jeśli posiadasz wiedzę na temat swoich obowiązków, lecz z jakichś względów nie wdrożyłeś ich w życie. Twoje odpowiedzi posłużą jako źródło wiedzy o procesach oraz staną się punktem wyjścia do dalszej analizy procedur w Twojej organizacji w zakresie m.in.: określenia podstaw przetwarzania danych, wyboru podmiotów biorących udział w procesach, zawarcia umów powierzenia, sposobów reakcji na przypadki naruszeń bezpieczeństwa, czy zastosowanych zabezpieczeń technicznych i organizacyjnych. Mamy nadzieję, że wyniki ankiety posłużą Ci w budowaniu skutecznego systemu ochrony, a sama ankieta będzie narzędziem do weryfikacji aktualnej sytuacji oraz wprowadzenia zmian.

Być może – po otrzymaniu raportu – zdecydujesz się na skorzystanie z porady naszego eksperta, dlatego ważne jest, aby otrzymał on od Ciebie rzetelne informacje. To od nich bowiem zależy jak najpełniejsze dostosowanie Twojej działalności do wymogów związanych z ochroną danych osobowych. Dane, które przekażesz za pośrednictwem formularza, nie są nikomu przekazywane. Służą wyłącznie do wygenerowania i przesłania Tobie raportu. Mogą one zostać przekazane naszemu ekspertowi jedynie w sytuacji, gdy zdecydujesz się skorzystać z porady naszego eksperta.

Czy w ramach swojej działalności przetwarzasz dane osobowe pracowników, współpracowników, kontrahentów, klientów, dostawców itp.?

(1 z 9)

Dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej; możliwa do zidentyfikowania osoba fizyczna to taka, którą można bezpośrednio albo pośrednio zidentyfikować, w szczególności na podstawie imienia i nazwiska, numeru identyfikacyjnego, danych o lokalizacji, identyfikatora internetowego (adres IP) lub jednego bądź kilku szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Przez przetwarzanie danych osobowych rozumieć należy operację lub zestaw operacji wykonywanych na danych osobowych, np. zbieranie, utrwalanie, przesyłanie, modyfikowanie, przechowywanie, pobieranie, przeglądanie, udostępnianie, usuwanie lub niszczenie.

Twoja odpowiedź: 
Nasza wskazówka

Pamiętaj, że przetwarzanie danych osobowych to każde działanie wykonywane na danych osobowych. Już samo posiadanie danych osobowych w systemach informatycznych, jak i w formie papierowej, jest przetwarzaniem. Jeśli przetwarzasz dane osobowe, jesteś ich administratorem, a więc musisz zapewnić im bezpieczeństwo.

Nasza wskazówka

Zastanów się, czy na pewno nie przetwarzasz żadnych danych osobowych. W obecnych realiach naprawdę trudno jest prowadzić działalność w oderwaniu od przetwarzania danych osobowych, którymi są m.in. dane pracowników.

(więcej informacji na ten temat można uzyskać w raporcie końcowym po zakończeniu quizu)

Czy dokonałeś wyodrębnienia procesów przetwarzania danych osobowych i możesz wykazać podstawę prawną przetwarzania danych osobowych w ramach każdego z wyodrębnionych procesów?

(2 z 9)

W każdej organizacji występują procesy, w których dochodzi do przetwarzania danych osobowych. Proces to nic innego, jak Twoje działanie podejmowane w związku z prowadzoną przez Ciebie działalnością z wykorzystaniem danych osobowych. Jeśli prowadzisz wysyłkę newslettera to zbierasz do tego celu adresy e-mail, jeśli korzystasz z monitoringu wizyjnego – zbierasz dane w postaci wizerunku. Dlatego nazwij to działanie: odpowiednio procesem wysyłki newslettera, procesem obsługi monitoringu wizyjnego. W każdym z tych procesów administrator danych osobowych musi przetwarzać dane w sposób zgodny z prawem oraz w oparciu o jedną z podstaw, o których mowa w art. 6 ust. 1 RODO, np. zgoda osoby, której dane dotyczą czy też niezbędność przetwarzania do wykonania umowy, której stroną jest osoba, której dane dotyczą.

Twoja odpowiedź: 
Nasza wskazówka

To bardzo dobrze! Wyodrębnienie procesów przetwarzania danych to podstawowa czynność przy dostosowaniu swojej działalności do wymogów związanych z ochroną danych osobowych.

Nasza wskazówka

Niedobrze. Powinieneś przeanalizować to, co robisz w ramach swojej działalności gospodarczej i  jakie podejmowane przez Ciebie czynności wymagają korzystania z danych osobowych. Prawidłowe ustalenie procesów przetwarzania danych osobowych pozwoli Ci także uporządkować te procesy i pomoże w ustaleniu, jakiego rodzaju dane są przetwarzane, w jakim celu, gdzie są przesyłane etc.

Nasza wskazówka

Zapewne udało Ci się wyodrębnić procesy, ale nie masz pewności co do podstaw przetwarzania danych w każdym z nich, bądź też nie jesteś pewien co do tego, czy dokonałeś tego prawidłowo. Wyodrębnienie procesów przetwarzania może stanowić punkt wyjścia przy wdrażaniu przepisów regulujących ochronę danych osobowych. Dlatego dokonaj ponownie inwentaryzacji danych, zobacz jakie dane przetwarzasz i pogrupuj je w odpowiednie procesy.

(więcej informacji na ten temat można uzyskać w raporcie końcowym po zakończeniu quizu)

Czy wypełniasz obowiązek informacyjny w stosunku do osób, których dane osobowe pozyskałeś w chwili wejścia w posiadanie takich danych osobowych?

(3 z 9)

Zgodnie z art. 13 i 14 RODO – w zależności od źródła pozyskania danych osobowych (bezpośrednio lub pośrednio) – administrator zobowiązany jest przekazać wskazany w tych przepisach zestaw informacji osobie, której dane przetwarza.

Twoja odpowiedź: 
Nasza wskazówka

Doskonale! Wypełnienie obowiązku informacyjnego względem podmiotów danych to jeden z podstawowych obowiązków administratorów danych osobowych. Klauzula informacyjna powinna być okresowo weryfikowana pod kątem aktualności przetwarzanych danych, zakresu, celu czy charakteru przetwarzanych danych, a także realizowanych praw podmiotów danych.

Nasza wskazówka

Niedobrze. Udzielenie informacji podmiotowi, którego dane przetwarzasz, to jeden z podstawowych, najważniejszych obowiązków nałożonych na administratora danych. To także podstawowe prawo osoby, której dane dotyczą do bycia poinformowanym. Brak udzielenia tej informacji może mieć poważne konsekwencje dla administratora, nie tylko wizerunkowe, ale i finansowe.

Nasza wskazówka

Prawdopodobnie dysponujesz klauzulą informacyjną, ale nie wiesz do końca komu ją przekazać, w jaki sposób i czy zawiera odpowiednie informacje o Tobie jako administratorze, o prawach przysługujących podmiotom danych, czy też wyodrębnionych procesach i podstawach przetwarzania. Dlatego zweryfikuj posiadane klauzule w oparciu o art 13 i 14 RODO oraz sposób, za pośrednictwem którego informujesz o przetwarzaniu przez Ciebie danych.

(więcej informacji na ten temat można uzyskać w raporcie końcowym po zakończeniu quizu)

Czy prowadzisz i aktualizujesz rejestr czynności przetwarzania?

(4 z 9)

Rejestr czynności przetwarzania to podstawowy dokument prowadzony przez administratora, w którym znajdują się informacje w szczególności o tym, jakie dane osobowe przetwarzasz, w jakim celu, w jaki sposób je zabezpieczasz. Katalog obowiązkowych informacji, jakie powinien zawierać rejestr, znajduje się w art. 30 RODO. Obowiązek prowadzenia rejestru trzeba realizować, gdy przetwarzanie spełnia choćby jedną z następujących przesłanek: 1) może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, 2) nie ma charakteru sporadycznego, 3) obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.

Twoja odpowiedź: 
Nasza wskazówka

Brawo! Pamiętaj, że rejestr wymaga bieżącej weryfikacji i aktualizacji, dlatego dokonuj jego okresowej kontroli. Miej także na uwadze, że treści w nim zawarte stanowią podstawę weryfikacji prawidłowości przetwarzania przez organ nadzoru.

Nasza wskazówka

Niedobrze! Prowadzenie rejestru czynności przetwarzania danych osobowych to jeden z podstawowych obowiązków administratorów. Jego brak nie tylko utrudnia Ci kontrolę nad przetwarzanymi danymi, ale może również stanowić naruszenie przepisów dotyczących ochrony danych osobowych.

Nasza wskazówka

Być może nie wiesz, czy pewne procesy wymagają umieszczenia w rejestrze lub też jakie dane powinny się w nim znaleźć. Prowadzenie rejestru nie tylko pozwoli Ci wypełnić obowiązek prawny, ale również uporządkuje procesy, których dokonujesz na danych osobowych. Zweryfikuj zatem, jakie dane przetwarzasz i czy możesz pogrupować je w określone procesy, np. proces rekrutacji pracowników.

(więcej informacji na ten temat można uzyskać w raporcie końcowym po zakończeniu quizu)

Czy ustaliłeś okresy przechowywania poszczególnych kategorii dokumentów i danych w nich zawartych?

(5 na 9)

Dane osobowe powinny być przechowane przez okres nie dłuższy niż jest to niezbędne do celów, w których dane są przetwarzane. Ustalenie okresu retencji jest uzależnione od celu, w jakim przetwarzasz dane osobowe. Inny będzie okres retencji dla np. danych klientów sklepu internetowego, którzy kupili produkt, a inny dla nagrań z monitoringu wizyjnego.

Twoja odpowiedź: 
Nasza wskazówka

Brawo! Upewnij się tylko, czy prawidłowo ustaliłeś ramy czasowe przechowywania danych osobowych, w szczególności czy długość okresu uzależniłeś od celu przetwarzania.

Nasza wskazówka

Niedobrze! Brak określenia okresu retencji danych osobowych naraża Cię na ryzyko przetwarzania danych przez okres dłuższy (bądź krótszy), niż jest to wymagane. Takie postępowanie może stanowić podstawę do stwierdzenia przez organ nadzorczy naruszenia przepisów ochrony danych osobowych.

Nasza wskazówka

Być może nie jesteś pewien, czy w sposób prawidłowy ustaliłeś ramy czasowe przetwarzania danych osobowych lub nie wiesz ile one wynoszą. Ustalenie okresu retencji jest uzależnione od celu, w jakim przetwarzasz dane osobowe. Zweryfikuj, w jakim celu przetwarzasz dane osobowe oraz czy ów cel dalej posiadasz.

(więcej informacji na ten temat można uzyskać w raporcie końcowym po zakończeniu quizu)

Czy wiesz, jak postąpić, gdy osoba skieruje do Ciebie zapytanie o przetwarzanie jej danych osobowych?

(6 na 9)

Osoba, której dane dotyczą, może żądać od administratora udzielenia jej informacji o tym, czy i w jaki sposób przetwarza jej dane osobowe. Osobie takiej przysługują następujące prawa: prawo dostępu do treści swoich danych, prawo do ich sprostowania, prawo do usunięcia, prawo ograniczenia przetwarzania, prawo do przenoszenia danych, prawo wniesienia sprzeciwu, prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania (jeżeli przetwarzanie odbywa się na podstawie zgody), którego dokonano na podstawie zgody przed jej cofnięciem. Administrator jest zobowiązany do udzielenia odpowiedzi na takie zapytania w racjonalnie określonym terminie, co do zasady w terminie nie dłuższym niż 30 dni.)

Twoja odpowiedź: 
Nasza wskazówka

Brawo! Pamiętaj, że w Twojej organizacji musi istnieć realny mechanizm pozwalający na realizację praw przysługujących podmiotom danych.

Nasza wskazówka

To niedobrze. Z prawem każdej osoby, której dane przetwarzasz, związany jest Twój obowiązek udzielenia odpowiedzi na złożone zapytanie. Czas na taką odpowiedź jest ograniczony, a brak odpowiedzi może stanowić podstawę do wszczęcia postępowania przez organ nadzorczy.

Nasza wskazówka

Prawdopodobnie masz świadomość, że musisz odpowiadać na zapytania, lecz nie wiesz w jakim terminie, w jakim zakresie, czy też w jaki sposób to robić. Zweryfikuj, czy w Twojej organizacji posiadasz realne mechanizmy pozwalające na wywiązanie się przez Ciebie z nałożonego obowiązku.

(więcej informacji na ten temat można uzyskać w raporcie końcowym po zakończeniu quizu)

Czy opracowałeś procedurę postępowania w przypadku naruszenia ochrony danych osobowych (wykrywanie, ocena, monitoring, zgłaszanie incydentów)?

(7 na 9)

Naruszeniem ochrony danych osobowych jest sytuacja, w której dochodzi do naruszenia bezpieczeństwa prowadzącego do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Twoja odpowiedź: 
Nasza wskazówka

Brawo! Prawidłowa procedura związana z naruszeniami ochrony danych pozwala nie tylko wykrywać je odpowiednio wcześnie, a także reagować na nie. Pozwala to również wykazać przed organem nadzoru, że administrator jest świadom swoich obowiązków wynikających z przepisów o ochronie danych osobowych.

Nasza wskazówka

Niedobrze! Pamiętaj, że przetwarzane dane osobowe podlegają ochronie, a naruszenie ich bezpieczeństwa może mieć negatywne konsekwencje. Dlatego stwórz procedurę na wypadek wystąpienia naruszenia. Istnienie jasnej procedury pozwoli Ci  między innymi obrać kierunek działań w zakresie ustalenia kręgu osób, których prawa mogły zostać naruszone.

Nasza wskazówka

Być może nie jesteś pewien, czy opracowane przez Ciebie procedury rzeczywiście działają. Zgodnie z RODO, naruszenie ochrony danych osobowych powinno być zgłoszone do organu nadzorczego, jednak nie później niż w terminie 72 godzin od stwierdzenia naruszenia.

(więcej informacji na ten temat można uzyskać w raporcie końcowym po zakończeniu quizu)

Czy powierzasz przetwarzanie danych osobowych i zawierasz stosowne umowy w tym zakresie?

(8 na 9)

Powierzeniem danych osobowych do przetwarzania jest sytuacja, w której administrator korzysta z usług innego podmiotu i w ramach tych usług przekazuje mu do przetwarzania dane osobowe swoich klientów, kontrahentów, pracowników etc. Przykładem takiej sytuacji jest np. korzystanie z usług biura księgowo-kadrowego czy informatyka.

Twoja odpowiedź: 
Nasza wskazówka

Brawo! Jeśli masz świadomość, że powierzenie danych osobowych do przetwarzania wiąże się z koniecznością zawarcia stosownych umów powierzenia, to jesteś na dobrej drodze do spełnienia wymogów wymaganych przez RODO.

Nasza wskazówka

Niedobrze! Przekazanie danych innym podmiotom bez uprzedniego zawarcia stosownej umowy powierzenia stanowi jedno z poważniejszych naruszeń ochrony danych osobowych.

Nasza wskazówka

Być może zawarłeś umowy powierzenia, jednak nie zrobiłeś tego ze wszystkimi podmiotami lub też nie jesteś pewien co do minimalnej treści takich umów. Dokonaj weryfikacji podmiotów, jak i umów, które zwarłeś z tymi podmiotami.

(więcej informacji na ten temat można uzyskać w raporcie końcowym po zakończeniu quizu)

Czy zadbałeś o odpowiednie rozwiązania techniczne niezbędne do prawidłowej ochrony danych osobowych?

(9 na 9)

RODO nie wskazuje, jakie środki bezpieczeństwa powinni stosować administratorzy, nakłada jednak na nich obowiązek wdrożenia odpowiednich, adekwatnych środków technicznych i organizacyjnych, które zapewniają skuteczną realizację zasad ochrony danych oraz pozwalają spełnić wymogi rozporządzenia oraz chronić prawa osób, których dane dotyczą. Przykładem rozwiązań technicznych, służących zapewnieniu ochrony danych osobowych, są: zamykane ognioodporne szafy; szyfrowane dyski w urządzeniach przenośnych, szyfrowane połączenia, zabezpieczenie sieci komputerowej odpowiednim poziomem haseł, regularne sporządzanie kopii bezpieczeństwa wszystkich danych. Natomiast środkami organizacyjnymi są przykładowo wszelkie procedury wdrożone w organizacji, nadanie upoważnień, przeprowadzanie regularnych szkoleń dla pracowników, odbieranie od pracowników oświadczeń o zobowiązaniu do zachowania poufności danych.

Twoja odpowiedź: 
Nasza wskazówka

To świetnie! Wdrożenie odpowiednich środków technicznych i organizacyjnych to podstawowy obowiązek administratora wiążący się z koniecznością zabezpieczenia przetwarzanych przez administratora danych.

Nasza wskazówka

Niedobrze. Brak wdrożenia odpowiednich środków bezpieczeństwa stanowi jedno z najpoważniejszych naruszeń ochrony danych osobowych, mogących skutkować nałożeniem kary administracyjnej przez organ nadzorczy.

Nasza wskazówka

Pamiętaj, że wdrożenie środków bezpieczeństwa to nie tylko zapewnienie np. szaf zamykanych na klucz, ale również skonstruowanie określonych procedur pracy na danych osobowych.

(więcej informacji na ten temat można uzyskać w raporcie końcowym po zakończeniu quizu)
Dziękujemy za udzielenie wszystkich odpowiedzi.

Szanowni Państwo,

Dziękujemy, że skorzystaliście Państwo z zaproponowanego przez nas rozwiązania – sprawdzenia przygotowania swojej organizacji do zgodności z przepisami o ochronie danych osobowych. Jeśli chcą Państwo otrzymać pełną wersję raportu zawierającą rozszerzone wskazówki do udzielonych odpowiedzi, prosimy o pozostawienie swoich danych, celem przesłania raportu na wskazany adres e-mail.

Jednocześnie wierzymy, że wypełnienie ankiety będzie jeśli nie pierwszym Państwa krokiem w budowaniu systemu ochrony danych osobowych, to chociaż wskazówką wyznaczającą kierunek dalszych Państwa działań.
Prosimy pamiętać, że informacje znajdujące się w ankiecie mają charakter ogólny i poglądowy a wyniki otrzymane w rezultacie wypełnienia ankiety mają jedynie znaczenie informacyjne. Dlatego też niniejszy raport nie stanowi porady prawnej, a zawarte w nim wyniki nie mogą być uznane za ocenę stopnia przygotowania Państwa organizacji w zakresie znajomości i prawidłowego stosowania przepisów o ochronie danych osobowych, a tym samym nie może być podstawą wysuwania jakichkolwiek roszczeń wobec kancelarii Sommerrey & Partners.

Rekomendujemy, aby przed podjęciem działań biznesowych, czy decyzji związanych z ochroną danych osobowych, skontaktowali się Państwo z naszym ekspertem i omówili treści zawarte w raporcie.

Jesteśmy dla Państwa dostępni pod numerem tel. 61 22 23 997, a także pod adresem e-mail: kancelaria@sp-legal.pl.

Sprawdź swoją skrzynkę.

Na podany adres mailowy właśnie wysłaliśmy raport zawierający podsumowanie quizu.

Ponadto jesteśmy dla Państwa dostępni pod numerem tel. 61 22 23 997, a także pod adresem e-mail: kancelaria@sp-legal.pl.

Kontakt

Kontakt z ekspertem
×

Jeśli potrzebujesz wsparcia ekspertów, wypełnij poniższy formularz kontaktowy

Zobacz wszystkich ekspertów