REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Na czym polega domyślna ochrona danych?

Ochrona danych osobowych Fot. Shutterstock
Ochrona danych osobowych Fot. Shutterstock
fot. Shutterstock

REKLAMA

REKLAMA

Jak stosować mechanizmy domyślnej ochrony danych i ochrony danych w fazie projektowania? Przedstawiamy wnioski z wytycznych Europejskiej Rady Ochrony Danych

Ochrona danych w fazie projektowania oraz ta domyślna (data protection by design, data protection by deflaut – DPbDD) stanowią mechanizmy pozwalające administratorowi odpowiednio wcześnie „zaszyć” zasady bezpieczeństwa informacji oraz sposoby realizacji praw i wolności osób, których dane dotyczą, w projektowane czynności przetwarzania, w tym w ramach ustalania specyfikacji produktu lub usługi, ich testowania, utrzymania, rozwoju lub usuwania.

REKLAMA

Polecamy: Nowa matryca stawek VAT

Wytyczne 4/2019 Europejskiej Rady Ochrony Danych stanowią cenne narzędzie, pozwalające odejść od dotychczasowego rozumienia DPbDD jako klauzul generalnych na rzecz traktowania tych mechanizmów jako praktycznego instrumentu wspierającego administratora w ustanawianiu technicznych i organizacyjnych środków ochrony danych, które pozwolą mu skutecznie realizować:

  1. zasady przetwarzania danych osobowych (art. 5 RODO),
  2. prawa osób, których dane dotyczą (art. 12–22 RODO),
  3. wolności osób, których dane dotyczą (Karta praw podstawowych Unii Europejskiej).

Wskazany cel administrator powinien osiągnąć dzięki stosowaniu podejścia opartego na ryzyku (wspólne dla art. 24, 25, 32 i 35 RODO) dla zdefiniowanych zasobów (osoby fizyczne, poprzez ochronę ich danych osobowych) i zagrożeń (prawa i wolności osób, których dane dotyczą) z uwzględnieniem istniejących warunków przetwarzania (charakter, zakres, kontekst i cele przetwarzania).

Jasny przekaz informacji

Od początku komunikacji z osobami, których dane dotyczą, administrator musi jasno i zrozumiale wskazywać, w jaki sposób będzie gromadzić, wykorzystywać i udostępniać ich informacje. Przejrzystość polega na umożliwieniu osobom, których dane dotyczą, zrozumienia – a w razie konieczności skorzystania – z praw przysługujących im na mocy art. 15–22 RODO. Implementacja omawianej zasady w ramach mechanizmów DPbDD powinna obejmować następujące elementy:

Dalszy ciąg materiału pod wideo
  1. jasność komunikacji – informacje powinny być sformułowane jasnym i prostym językiem, zwięźle i zrozumiale,
  2. semantyka – komunikacja powinna mieć jasne znaczenie dla danej grupy odbiorców,
  3. dostępność – informacje powinny być łatwo dostępne dla osoby, której dane dotyczą,
  4. kontekstowość – informacje powinny być przekazywane w odpowiednim czasie i w odpowiedniej formie,
  5. istotność – przekazywane powinny być informacje mające znaczenie i zastosowanie do konkretnej osoby, której dotyczą dane,
  6. uniwersalne projektowanie – informacje powinny być dostępne dla wszystkich, obejmować użycie języków nadających się do odczytu maszynowego w celu ułatwienia i zautomatyzowania czytelności i przejrzystości,
  7. zrozumiałość – osoby, których dane dotyczą, powinny rozumieć, czego mogą oczekiwać w odniesieniu do przetwarzania ich danych osobowych, w szczególności, gdy tymi osobami są dzieci lub inne grupy szczególnie narażone,
  8. wielokanałowość – informacje powinny być dostarczane w różnych kanałach i mediach (innych niż tekst), aby zwiększyć prawdopodobieństwo ich skutecznego dotarcia do osoby, której dane dotyczą.

REKLAMA

Administrator danych opracowuje politykę prywatności w celu spełnienia wymogów przejrzystości. Polityka prywatności nie powinna zawierać dużej ilości tekstu, którego zrozumienie jest trudne dla przeciętnej osoby. Powinna być napisana jasnym i zwięzłym językiem, aby ułatwić użytkownikowi strony internetowej zrozumienie sposobu przetwarzania jego danych osobowych. Zatem administrator danych dostarcza informacji w sposób wielowarstwowy, w którym podkreśla się najważniejsze punkty. Stosuje menu w formie listy rozwijalnej oraz linki do innych podstron w celu dalszego wyjaśnienia pojęć zawartych w polityce, a także klipy wideo objaśniające najważniejsze punkty informacji.

Dostęp do polityki prywatności nie może być utrudniony dla osób, których dane dotyczą. Powinna być ona udostępniana i widoczna na wszystkich podstronach danej strony internetowej, w taki sposób, aby osobę, której dane dotyczą, dzieliło tylko jedno kliknięcie od dostępu do informacji. Dostarczane informacje są również opracowywane zgodnie z najlepszymi praktykami i standardami projektowania uniwersalnego, tak aby były dostępne dla wszystkich.

Niezbędne informacje muszą być dostarczane we właściwym kontekście, we właściwym czasie. To oznacza, że sama polityka prywatności na stronie internetowej nie jest wystarczająca, aby administrator danych mógł spełnić wymogi przejrzystości. Administrator danych opracowuje przepływ informacji. Przedstawia osobie, której dane dotyczą, istotne komunikaty w odpowiednich kontekstach, korzystając np. z fragmentów informacji lub wyskakujących okienek. Na przykład administrator – zwracając się do osoby, której dane dotyczą, o wprowadzenie jej danych osobowych – informuje ją, w jaki sposób dane osobowe będą przetwarzane i dlaczego ich przetwarzanie jest niezbędne.

Zgodność z prawem

Administrator danych powinien określić ważną podstawę prawną przetwarzania danych osobowych w ramach danej operacji przetwarzania. Implementacja omawianej zasady w ramach mechanizmów DPbDD powinna obejmować następujące elementy:

  1. istotność – każda operacja przetwarzania powinna opierać się na właściwej podstawie prawnej przetwarzania,
  2. rozróżnienie – administrator danych powinien dokonać rozróżnienia między podstawą prawną stosowaną dla każdej operacji przetwarzania,
  3. określoność celu – odpowiednia podstawa prawna powinna być wyraźnie powiązana ze szczególnym celem przetwarzania,
  4. niezbędność – przetwarzanie powinno być konieczne, aby cel był zgodny z prawem. Jest to obiektywny test, który obejmuje bezstronną ocenę realnych alternatyw osiągnięcia celu,
  5. autonomia – osobie, której dane dotyczą, należy przyznać najwyższy możliwy stopień autonomii w odniesieniu do kontroli danych osobowych,
  6. wycofanie zgody – wycofanie zgody powinno być równie łatwe jak jej wyrażenie. Jeśli tak nie jest, każda udzielona zgoda jest nieważna,
  7. wyważenie interesów – w przypadku, gdy podstawą prawną przetwarzania jest prawnie uzasadniony interes, administrator danych musi przeprowadzić obiektywne ważenie interesów (osoba, której dane dotyczą, vs administrator danych). Administrator danych powinien ujawnić wynik przeprowadzonego testu interesów,
  8. wstępne określenie – podstawę prawną określa się przed rozpoczęciem przetwarzania danych,
  9. zaprzestanie – jeżeli podstawa prawna przestaje mieć zastosowanie, przetwarzanie danych zostaje odpowiednio przerwane,
  10. dopasowanie – w przypadku ważnej zmiany podstawy prawnej przetwarzania faktyczne przetwarzanie musi być dostosowane do nowej podstawy prawnej,
  11. konfiguracja domyślna – przetwarzanie musi być ograniczone do tego, co ściśle uzasadnia podstawa prawna,
  12. podział odpowiedzialności – w każdym przypadku, gdy przewiduje się współadministrowanie, strony muszą w jasny i przejrzysty sposób rozdzielić swoje obowiązki wobec osoby, której dane dotyczą.

REKLAMA

Bank planuje zaoferować usługę mającą na celu poprawę efektywności zarządzania wnioskami kredytowymi. Ideą usługi jest to, że bank po uzyskaniu zgody klienta może uzyskać dane od władz publicznych na jego temat. Mogą to być na przykład dane podatkowe z administracji podatkowej. Początkowo te dane osobowe są niezbędne do podjęcia działań na wniosek osoby, której dane dotyczą, przed zawarciem umowy. Klient może zawrzeć umowę, przekazując informacje od administracji podatkowej we własnym zakresie.

Wdrażając zasadę zgodności z prawem, administrator danych uświadamia sobie, że nie może wykorzystać przesłanki niezbędności do wykonania umowy (art. 6 ust. 1 lit. b RODO) dla tej części przetwarzania, która wiąże się z gromadzeniem danych osobowych bezpośrednio od organów podatkowych. Bank stwierdza, że ta część przetwarzania musi opierać się na zgodzie. Bank przedstawia zatem informacje o przetwarzaniu danych w sposób ułatwiający osobom, których dane dotyczą, zrozumienie, jakie przetwarzanie jest obowiązkowe, a jakie fakultatywne. Domyślna konfiguracja wniosku nie pozwala na pobranie danych bezpośrednio ze źródeł innych niż sama osoba, której dane dotyczą. Natomiast opcja bezpośredniego pobierania informacji jest przedstawiona w sposób niezniechęcający osoby, której dane dotyczą.

Każda udzielona zgoda jest przetwarzana elektronicznie w sposób udokumentowany, a osoby, których dane dotyczą, w łatwy sposób są informowane na temat przysługujących im praw, w szczególności możliwości wycofania wyrażonej zgody. Administrator danych dokonał wcześniej oceny wymogów DPbDD i włącza wszystkie te kryteria do specyfikacji wymagań dotyczących przetargu na zakup platformy. Jest świadomy, że jeżeli nie uwzględni wymogów DPbDD w przetargu, późniejsze dostosowanie platformy może być dla niego zbyt kosztowne lub w ogóle niemożliwe.

Interesujesz się tematyką RODO w firmie? Polecamy serwis e-firma

Autopromocja

REKLAMA

Źródło: o2.pl

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:

REKLAMA

QR Code
Moja firma
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Zgodność z prawem i standardami. Przykłady dobrych praktyk w compliance

Compliance stało się nieodłącznym elementem zarządzania każdą odpowiedzialną organizacją. Choć pojęcie to bywa różnie używane, jego istota jest jasna: chodzi o zapewnienie, że firma działa zgodnie z przepisami prawa, regulacjami branżowymi oraz wewnętrznymi zasadami i procedurami. Compliance jest więc fundamentem odpowiedzialności prawnej i etycznej w biznesie, ale jego zastosowanie może się różnić w zależności od branży, regionu, a także charakteru działalności firmy.

Dwa ważne terminy dla przedsiębiorców. Z czym księgowi muszą zdążyć przed końcem stycznia

Najbliższe tygodnie nie dadzą księgowym wytchnienia - terminy. Maraton obowiązków rozliczeniowych za 2024 rok rozpoczyna wystawienie formularzy PIT-11. Są sporym wyzwaniem zarówno dla księgowych, jak i płatników – zawierają szereg danych dochodowych istotnych dla prawidłowego rozliczenia podatników, a jednocześnie czas na ich wystawienie jest bardzo krótki.

Pozytywne oceny na Facebooku oraz opinie influencerów znacząco zwiększają sprzedaż

Social media odgrywają coraz większą rolę w skutecznym marketingu. Choć niemal trzy czwarte Polaków nie kupuje bezpośrednio na tych platformach, to polecenia znajomych, influencerów i testerów odgrywają coraz większą rolę przy decyzjach zakupowych.

Najmniejsze firmy coraz gorzej oceniają koniunkturę gospodarczą. Obawiają się spadku sprzedaży swoich produktów i redukują plany inwestycyjne

Jaka koniunktura? Dynamika polskiego wzrostu gospodarczego od dekad opiera się na najmniejszych firmach, które najłatwiej dostosowują się do zmieniającej się rzeczywistości.

REKLAMA

By uciec przed komornikiem, płacą pod stołem. Ale czy tylko dlatego. Gdzie najczęściej pracuje się na czarno, czym to grozi

Wypłacanie wynagrodzenia pod stołem,  w celu ukrycia dochodów pracownika i uniemożliwienia egzekucji komorniczej wiąże się z poważnymi konsekwencjami dla firmy. Jednak praktyka ta wciąż jest stosowana. Takie działania naruszają przepisy prawa pracy, podatkowego i karnego, a także zagrażają reputacji i stabilności firmy. Jakie są skutki prawne i biznesowe, potencjalne zagrożenia tego typu działań.

Skutki zawarcia układu w postępowaniu restrukturyzacyjnym

Przyjęcie i zatwierdzenie układu zmienia sytuację prawną wierzycieli. Odtąd mogą oni realizować swoje uprawnienia jedynie zgodnie z treścią układu. Powoduje to umorzenie pierwotnych postępowań zabezpieczających i egzekucyjnych. Układ powinien objąć wszystkich wierzycieli, których roszczenia podlegają restrukturyzacji.

"Umowa z Mercosurem korzystna dla Polski" Jest jeden warunek [WYWIAD]

Jak Polska może stać się liderem wzrostu gospodarczego w Europie? Czy płaca minimalna zabija klasę średnią? Czy umowa z Mercosurem jest zagrożeniem, a może szansą dla Polski? Czy Polska zyska na prezydenturze Trumpa i niestabilnym świecie? Gość Infor.pl - prof. Marcin Piątkowski.

Architekci nowej ery pracy. Zmiana paradygmatu roli działu HR w organizacji

Sztuczna inteligencja wkrótce zmieni to, jak żyjemy, spędzamy wolny czas, a już na pewno to, jak pracujemy. Warto zadać sobie pytanie, kto w erze AI będzie kierował organizacjami i zapewni, że funkcjonowanie pracowników stanie się lepsze niż dotychczas? Odpowiedzią są działy HR. W erze, gdy pracownicy oczekują od firm większego zaangażowania w kwestie społeczne, dział HR powinien wrócić do swoich korzeni i położyć większy nacisk na słowo human, stając się tym samym strażnikiem ludzkości poprzez działania koncentrujące się w równym stopniu na człowieku, jak i na biznesie. Jednak te poczynania należy zacząć od siebie.

REKLAMA

Zbliża się obowiązek stosowania przez firmy Europejskiego Aktu o Dostępności: co to oznacza w praktyce. Kto skorzysta, jakie nowe obowiązki dla firm i przedsiębiorców

Zbliża się obowiązek stosowania przez firmy Europejskiego Aktu o Dostępności: co to oznacza w praktyce. Kto skorzysta, jakie nowe obowiązki dla firm i przedsiębiorców. Wielkimi krokami nadchodzi Europejski Akt o Dostępności (European Accessibility Act – EAA), który zacznie obowiązywać już od czerwca 2025 roku. Dyrektywa drastycznie zmieni sposób funkcjonowania produktów w przestrzeni cyfrowej.

ZUS: 1,4 mln przedsiębiorców z ulgami w ramach wakacji składkowych

Ponad 1,6 mln przedsiębiorców złożyło wnioski o zwolnienie z obowiązku opłacenia składek za wskazany miesiąc. Chodzi o wakacje składkowe. ZUS poinformował, że do tej pory przyznano już 1,4 mln ulg. Informacje o tym widnieją na profilach płatnika na Platformie Usług Elektronicznych ZUS.

REKLAMA