Obowiązki serwisów AGD w zakresie bezpieczeństwa baz danych

PRZETWARZANIE DANYCH OSOBOWYCH KLIENTÓW
PRZEZ SERWISY SPRZĘTU AGD
Agnieszka Wiercińska-Krużewska
15 września 2016 r.
Przepisy prawa i przydatne informacje
• ustawa z dnia 29 sierpnia 1997 r. o ochronie danych
osobowych
• rozporządzenie Ministra Spraw Wewnętrznych i
Administracji z dnia 29 kwietnia 2004 r. w sprawie
dokumentacji przetwarzania danych osobowych oraz
warunków technicznych i organizacyjnych, jakim powinny
odpowiadać urządzenia i systemy informatyczne służące
do przetwarzania danych osobowych
• Unijne rozporządzenie o ochronie danych osobowych nr
2016/679 (będzie stosowane od 25 maja 2018 r.)
• Strona eduGIODO: https://edugiodo.giodo.gov.pl/
• Strona GIODO – odpowiedzi na pytania:
http://www.giodo.gov.pl/266/
Definicja danych osobowych
Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej
lub możliwej do zidentyfikowania osoby fizycznej
Osoba możliwa do zidentyfikowania to osoba, której tożsamość
można określić bezpośrednio lub pośrednio, w szczególności
poprzez powołanie się na specyficzne czynniki określające jej
cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe
lub społeczne
Informacje o osobach fizycznych – przedsiębiorcach oraz spółkach
cywilnych są danymi osobowymi, przy czym do danych
ujawnionych w CEiDG stosuje się tylko wybrane części ustawy o
ochronie danych osobowych (dotyczące zabezpieczania danych)
Przykłady danych osobowych
Imię i
nazwisko
Numer IP
Numer
telefonu
Adres
pocztowy
Adres
email
Inne definicje dotyczące danych osobowych
Zbiór danych osobowych
Każdy posiadający strukturę zestaw danych o charakterze
osobowym, dostępnych według określonych kryteriów
Przetwarzanie danych
Jakiekolwiek operacje wykonywane na danych osobowych, takie
jak zbieranie, utrwalanie, przechowywanie, opracowywanie,
zmienianie, udostępnianie i usuwanie
Administrator danych
Podmiot decydujący o celach i środkach przetwarzania danych
Podmiot przetwarzający
Podmiot, który przetwarza dane osobowe na zlecenie
administratora, na podstawie pisemnej umowy, wyłącznie w
celach wskazanych w tej umowie
Administrator bezpieczeństwa informacji (ABI)
Osoba wyznaczona w danej organizacji do zapewniania
przestrzegania przepisów o ochronie danych
Główne zasady przetwarzania danych osobowych
zasada ochrony interesów osoby, której dane dotyczą
zasada adekwatności danych (dane muszą być aktualne,
prawdziwe i przydatne z punktu widzenia celu ich
przetwarzania)
stosowanie czterech elementarnych filarów przetwarzania
danych
Filary zgodnego z prawem przetwarzania
danych osobowych
A. Podstawy prawne przetwarzania
danych (np. za zgodą, w celu zawarcia
i wykonania umowy, na podstawie
przepisów prawa)
B. Obowiązki informacyjne (należy
poinformować osoby, których dane są
przetwarzane o przetwarzaniu ich
danych osobowych)
C. Zabezpieczenie danych osobowych
D. Zgłoszenie zbioru danych osobowych
do rejestracji (z wyjątkami)
A
B
C
D
Dane osobowe klientów w serwisach sprzętu AGD
Dane
przechowywane
w sprzęcie AGD
oddawanym do
naprawy
Dane
otrzymywane
bezpośrednio od
klientów
Dane
otrzymywane od
producentów
sprzętu AGD
Dane osobowe
klientów w
posiadaniu
serwisów
sprzętu AGD
Dane osobowe klientów w serwisach sprzętu AGD
Zbieranie danych
osobowych
Klient serwisu
Powierzenie przetwarzania
danych osobowych
Producent/dystrybutor sprzętu
(administrator danych klientów)
Przekazanie danych w
związku z naprawą
sprzętu (np. w karcie
naprawy sprzętu)
Pisemna umowa powierzenia
przetwarzania danych
Serwis jest
administratorem danych
osobowych klienta
Serwis jest podmiotem
przetwarzającym dane osobowe
na zlecenie producenta
(administratora) w związku z
wykonywaniem naprawy sprzętu
Dane otrzymywane bezpośrednio od klientów
Dane otrzymywane bezpośrednio od klientów
• Serwis jest administratorem danych osobowych klientów
• Serwis ponosi odpowiedzialność za odpowiednie przetwarzanie
danych osobowych
• Przetwarzanie danych zgodnie z celem ich zebrania
• Serwis powinien poinformować klientów (np. w dokumencie
przyjęcia sprzętu do naprawy)
• że jest administratorem ich danych osobowych
• o swoim adresie
• o celu przetwarzania danych
• o prawach klienta związanych z przetwarzaniem danych
• Odpowiednie zabezpieczanie danych osobowych
• Jeżeli dane osobowe klienta są zbierane do celów wykonania
naprawy, to nie ma konieczności uzyskiwania zgody klienta na
przetwarzanie danych osobowych
Dane zawarte w sprzęcie oddawanym do naprawy
• W niektórych nowoczesnych (inteligentnych)
urządzeniach AGD przechowywane są dane osobowe ich
użytkowników
• Dane te nie powinny być odczytywane lub kopiowane
przez serwisy AGD, chyba że jest to niezbędne do
wykonanie naprawy
• Dane nie mogą być wykorzystywane w innych celach niż
wykonanie naprawy
• Jeżeli zachodzi potrzeba usunięcia danych z urządzenia, to
w miarę możliwości należy o tym poinformować klienta
Dane otrzymywane od producentów sprzętu AGD
• Serwisy otrzymują dane osobowe klientów od
producentów sprzętu AGD najczęściej na podstawie
umowy powierzenia przetwarzania danych osobowych
• Umowa powierzenia przetwarzania danych powinna być
zawarta na piśmie
• Administratorem danych osobowych jest producent
• Serwisy nie mogą przetwarzać danych osobowych w
innych celach niż to wynika z umowy (np. we własnych
celach marketingowych)
• Dane muszą być zwrócone lub usunięte na żądanie
producenta (administratora danych)
Zgłoszenie zbioru danych do GIODO
• zbiory danych zgłaszają administratorzy danych
• wyjątki od obowiązku zgłoszenia zbiorów
• gdy dane są przetwarzane tylko w celu wystawienia faktury,
rachunku lub prowadzenia sprawozdawczości finansowej
jeżeli dane są przetwarzane także w innych celach, np. marketingowych trzeba zgłosić zbiór danych
• zbiory danych pracowników i osób świadczących usługi (np. na
umowie zlecenia)
• gdy powołany został administratora bezpieczeństwa informacji
(ABI) - tj. osoba odpowiedzialna za zapewnianie przestrzegania
przepisów o ochronie danych w organizacji
• wniosek zgłoszenia zbioru danych jest dostępny na stronie GIODO:
https://egiodo.giodo.gov.pl/personal_data_register.dhtml
• można go wypełnić przez Internet, a następnie wydrukować,
podpisać i wysłać pocztą do GIODO
Zabezpieczanie danych osobowych
• Polityka bezpieczeństwa
• Instrukcja zarządzania systemem informatycznym
służącym do przetwarzania danych osobowych
• Upoważnienia do przetwarzania danych osobowych
• Ewidencja osób upoważnionych do przetwarzania danych
• Dokumenty i procedury są obowiązkowe dla wszystkich
podmiotów, które przetwarzają dane osobowe
• Dokumenty i procedury potrzebne także w odniesieniu do
zbiorów danych pracowników i innych zbiorów danych
Polityka bezpieczeństwa
• Elementy polityki bezpieczeństwa
• wykaz budynków i pomieszczeń, w których przetwarzane są
dane osobowe
• wykaz zbiorów danych osobowych wraz ze wskazaniem
programów stosowanych do przetwarzania tych danych
• opis struktury zbiorów danych
• sposób przepływu danych pomiędzy poszczególnymi
systemami
• środki techniczne i organizacyjne niezbędne dla zapewnienia
poufności, integralności i rozliczalności przetwarzanych
danych
• Wskazówki praktyczne dotyczące przygotowania polityki
bezpieczeństwa na stronie GIODO:
https://edugiodo.giodo.gov.pl/mod/resource/view.php?id=39
Instrukcja zarządzania systemem informatycznym
• Wybrane elementy instrukcji
• procedury nadawania uprawnień do przetwarzania danych i
rejestrowania tych uprawnień w systemie informatycznym
stosowane metody i środki uwierzytelnienia
• procedury tworzenia kopii zapasowych zbiorów danych
• sposób, miejsce i okres przechowywania elektronicznych
nośników informacji zawierających dane osobowe oraz kopii
zapasowych
• sposób zabezpieczenia systemu informatycznego przed
działalnością szkodliwego oprogramowania
• procedury wykonywania przeglądów i konserwacji systemów
oraz nośników informacji
• Wskazówki praktyczne dotyczące przygotowania instrukcji na
stronie GIODO:
https://edugiodo.giodo.gov.pl/mod/resource/view.php?id=39
Kontrola GIODO
• GIODO nie nakłada kar finansowych za niezgodne z
prawem przetwarzania danych
• GIODO wydaje decyzje, w których nakazuje przywrócenie
stanu zgodnego z prawem
• np: zastosowanie dodatkowych środków
zabezpieczających, usunięcie danych, zawarcie umowy
powierzenia przetwarzania danych na piśmie
• Tylko w przypadku, gdy decyzja GIODO nie zostanie
wykonana, GIODO może nałożyć grzywnę w celu
przymuszenia przedsiębiorcy do wykonania decyzji
• W przypadku osób fizycznych wysokość grzywny wynosi
do 10 tys. zł, a osób prawnych – do 50 tys. zł
Unijne rozporządzenie o ochronie danych osobowych
nr 2016/679
• Rozporządzenie będzie stosowane od 25 maja 2018 r.
• Zastąpi polską ustawę o ochronie danych osobowych
• Nie będzie tak szczegółowych przepisów o zabezpieczaniu
danych ani obowiązku zgłaszania zbiorów danych do rejestracji
• Będą surowe kary za nieprzestrzeganie przepisów o ochronie
danych osobowych, np. za przetwarzanie danych bez podstawy
prawnej, za brak informowania osób, których dane się
przetwarza, o przetwarzaniu ich danych
• Kary będą nakładane w wysokości nawet do 20 mln euro albo
do 4% rocznego światowego obrotu z poprzedniego roku
• Wysokość kar będzie się różnić w zależności od np. wagi i czasu
trwania naruszenia, umyślności naruszenia, poprzednich
naruszeń prawa ochrony danych
DANE KONTAKTOWE
Agnieszka Wiercińska-Krużewska
adwokat, starszy partner
Tel. +48 22 201 00 00
Email: [email protected]
WKB Wierciński, Kwieciński, Baehr Sp.k.
Warszawa
ul. Polna 11
00-633 Warszawa
Tel. +48 22 201 00 00
Poznań
ul. Paderewskiego 7
61-770 Poznań
Tel. +48 61 855 32 20
[email protected]
www.wkb.com.pl