Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Bezpieczeństwo danych osobowych. Praktyczny przewodnik

Bezpieczeństwo danych osobowych. Praktyczny przewodnik
 

Katarzyna Ułasiuk, Michał Sztąberek

Cena: 148,00 zł

Zamów

Polecamy

Realizacja praw osób, których dane dotyczą, na podstawie rodo

Realizacja praw osób, których dane dotyczą, na podstawie rodo
 

Marlena Sakowska-Baryła, Bogdan Fischer

Cena: 128,00 zł

Zamów

Prawa podmiotów w systemach informatycznych

05-12-2017 Autor: Mariola Więckowska

Dopiero co mieliśmy dwa lata na przygotowanie się do wymogów rodo, a już pozostało tylko kilka miesięcy. Czas najwyższy, aby przygotować nasze systemy informatyczne do wypełniania praw podmiotów danych.

 

Rodo wzmacnia część obowiązujących praw i jednocześnie wprowadza zupełnie nowe prawa. Ten artykuł ma pomóc dostosować systemy informatyczne do wypełniania każdego z opisanych w nim praw.

Prawo do poinformowania zwłaszcza przy zbieraniu danych (art. 12 ust. 1, 5 i 7, art. 13 i art. 14)

To powszechnie wypełniane prawo, a właściwie prawa, rozszerzono o szereg nowych kategorii wiadomości, które należy podawać podmiotowi danych w sposób przejrzysty, przy użyciu prostego i zwięzłego języka. Ze względu na zakres wymaganych informacji, część z nich znajdzie się w klauzulach informacyjnych, a część, np. dotycząca czasu przetwarzania danych czy zasady profilowania, trafi do regulaminu lub polityki prywatności. Zapoznanie się z dokumentem i akceptację jego zapisów potwierdza się podczas przekazywania danych do przetwarzania.

Pamiętaj:
Dostosuj klauzule informacyjne i politykę prywatności do nowego zakresu informacji wymaganych przez rodo. Pamiętaj o przejrzystej formie informacji.

Prawo dostępu przysługujące osobie, której dane dotyczą (art. 15)

Podmioty danych mają prawo do uzyskania dostępu lub potwierdzenia, jakie ich dane są przetwarzane przez administratora.

W zależności od możliwości systemu wybierz odpowiednie rozwiązanie:

1. „Zrób to sam”, czyli podmiot danych sam ma dostęp i możliwość pobrania wymaganych prawem informacji.
2. System mieszany, czyli do części informacji podmiot sam ma wgląd, natomiast pozostała część jest przetwarzana procesowo i przekazywana w ciągu 30 dni do osoby, której prawo dotyczy.
3. Obsługa procesowa polegająca na ręcznym przygotowaniu danych przez pracownika organizacji.

Pamiętaj:
Zadbaj o poufność i bezpieczeństwo podczas dostarczania wymaganych informacji.

Jeśli wnioski powtarzają się często, to administrator w uzasadnionych przypadkach może naliczyć rozsądną opłatę.

Pamiętaj:
Zaimplementuj do tego celu odpowiedni proces w organizacji.

Prawo do sprostowania (art. 16)

Większość danych możemy zwykle zmienić samodzielnie. Są jednak kategorie danych, które ze względów bezpieczeństwa wymagają dodatkowej weryfikacji podmiotu danych lub udokumentowania konieczności sprostowania danych.

Pamiętaj:
W zależności od kategorii danych zastosuj odpowiednie środki techniczne i organizacyjne w systemach informatycznych i obsłudze podmiotów danych, zapewnij odpowiedni poziom bezpieczeństwa (np. dodatkową weryfikację), a także pamiętaj o zasadzie rozliczalności.

Prawo do usunięcia danych (art. 17)

To wcześniej stosowane prawo popularnie zwane „prawem do bycia zapomnianym” zostało szerzej opisane i doprecyzowane oraz związane z obowiązkiem powiadamiania.

Pamiętaj:
Opisz zasady wykonania tego prawa prostym i jasnym językiem. Pamiętaj o zasadzie rozliczalności. Umożliw złożenie w systemie wniosku o usunięcie danych osobowych. Zapewnij szczegółową weryfikację czy dane powinny być usunięte (w zależności od celu przetwarzania danych) przez odpowiednią walidację danych przez system lub jednocześnie przez czynnik ludzki. Zastosuj środki techniczne, które pozwolą na wygenerowanie zdarzenia lub powiadomienia innych administratorów i systemów o konieczności usunięcia danych.

W dobie big data wykonanie tego prawa może stwarzać problem, gdyż są to bazy, których założeniem jest gromadzenie dużej ilości danych a nie selektywne ich usuwanie. Dlatego tak ważne staje się stosowanie zasady ochrony danych już w fazie projektowania.

Pamiętaj:
Zastosuj już podczas zbierania i przekazywania danych do baz big data odpowiednie środki bezpieczeństwa, takie jak pseudonimizacja oraz minimalizacja zakresu przetwarzania danych.

Prawo do ograniczenia przetwarzania (art. 18)

Bez zgody podmiotu danych przetwarzanie zostaje ograniczone tylko do przechowywania danych.

Pamiętaj:
Oznacz dane o ograniczonym przetwarzaniu w systemie informatycznym, aby nie były uwzględniane w innych operacjach przetwarzania. W zależności od systemu określ i przeanalizuj możliwe implementacje tego prawa, pamiętając o konieczności poinformowania podmiotu danych o zniesieniu ograniczenia przetwarzania.

Obowiązek powiadomienia (art. 19)

Zawarty w art. 19 rodo obowiązek powiadomienia dotyczy zarówno ograniczenia przetwarzania, jak i sprostowania lub usunięciu danych osobowych. Administrator jest również zobowiązany powiadomić administratorów, którym dane zostały udostępnione, jednak z uwzględnieniem dostępnej technologii i kosztów realizacji powiadamiania.

[...]

Autorka pracuje w Grupie Allegro jako ABI; pomaga wykorzystywać nowe technologie informatyczne w zgodzie z obowiązującymi zasadami ochrony i bezpieczeństwa danych osobowych.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

______________________________________________________________________________________________________________________________________

Informacje o cookies © 2017 PRESSCOM Sp. z o.o.