Polskie Wydawnictwo Muzyczne - Ochrona danych osobowych

Ochrona danych osobowych

Szkolenie wstępne dla pracowników Polskiego Wydawnictwa Muzycznego (PWM)

Szkolenie ma na celu:

 

Ochrona danych w PWM

Dlaczego PWM chroni dane osobowe?

1) Oczekują tego nasi klienci, ale także i inni pracownicy PWM.

PWM, w ramach swojej działalności przetwarza dane osobowe swoich pracowników, klientów, autorów, kompozytorów oraz kontrahentów. Dane osobowe, każdej z tych kategorii osób mogą zostać wykorzystane  w celach niezgodnych z prawem np. kradzieży tożsamości. 

Pierwszym celem tego szkolenia jest poinformowanie Ciebie, jak ochronić dane osobowe, aby spełnić wymagania, które pozwolą także i Tobie chronić swoje dane osobowe. 

2) Takie jest prawo

Polskie prawo ochrony danych osobowych nakłada na PWM pewne obowiązki. Aby realizacja tych obowiązków była możliwa, musisz mieć świadomość, że te obowiązki istnieją, mieć podstawową wiedzę z zakresu danych osobowych oraz umieć zidentyfikować, kiedy takie obowiązki się pojawiają.

Zwrócenie uwagi na te obowiązki oraz wyjaśnienie Twojej roli w procesach dotyczących ochrony danych jest drugim celem tego szkolenia.

 

Ustawa o ochronie danych osobowych

Podstawowym polskim aktem prawnym regulującym kwestię prywatności jest Ustawa o ochronie danych osobowych. Ustawa wyjaśnia na przykład, kto to jest administrator danych osobowych, czym jest umowa powierzenia oraz jakie są kompetencje Generalnego Inspektora Ochrony Danych Osobowych. Ten akt prawny wyznacza również podstawowe obowiązki, jakie mają wszystkie podmioty przetwarzające dane osobowe.

PWM nie wymaga od Ciebie dobrej znajomości ustawy o ochronie danych osobowych. Powinieneś wiedzieć, że taki akt istnieje oraz jaka jest jego rola.

W razie potrzeby, jeżeli chcesz sięgnąć do źródła prawnego, aktualną wersję ustawy (tzw. tekst ujednolicony) znajdziesz zawsze na stronie Internetowego Systemu Aktów Prawnych pod tym adresem:

http://isip.sejm.gov.pl/DetailsServlet?id=WDU19971330883

Ustawę o ochronie danych osobowych nazywamy w skrócie "UODO".

GDPR — Unijna reforma prawa ochrony danych osobowych

Obecnie europejska struktura ochrony danych opiera się na Dyrektywie 95/46/WE i implementujących ją krajowych aktach prawnych (ustawa o ochronie danych jest takim aktem). Dyrektywa zawiera ogólne zasady dotyczące ochrony i przetwarzania danych osobowych i jest skierowana do państw członkowskich, które dopiero na jej podstawie tworzą krajowe przepisy.

Dyrektywa została uchwalona w 1995 roku, większość implementujących ją krajowych aktów prawnych weszło w życie niewiele później (polska ustawa o ochronie danych osobowych pochodzi z 1997 roku). Przez ostatnie 20 lat nieco się jednak zmieniło, na przykład w zakresie przetwarzania i przekazywania danych osobowych z wykorzystaniem Internetu i nowych technologii. Dodatkowo, akty prawne krajów UE w zakresie ochrony danych różnią się od siebie i niekiedy w zupełnie inny sposób regulują te same kwestie. To wszystko stało się impulsem do dokonania poważnej, europejskiej reformy prawa ochrony danych osobowych.

Prawo obecnie Prawo po 25 maja 2018 r.

Unia Eurpejska

Dyrektywa 95/46/WE o ochronie danych

 

Polska

Ustawa o ochronie danych osobowych

Unia Europejska

Rozporządzenie Parlamentu Europejskiego i Rady(UE) 2016/679 (GDPR)

Uwaga: Tabela zawiera pewne uproszczenie: w Polsce dalej będzie akt prawny o nazwie "Ustawa o ochronie danych", lecz jego znaczenie będzie dużo mniejsze niż obecnie. Głównym aktem prawnym, regulującym prawa i obowiązki w zakresie przetwarzania danych osobowych, będzie GDPR.

Na czym polegają zmiany?

Podstawową zmianą będzie zastąpienie Dyrektywy i krajowych przepisów jednym aktem prawnym, wspólnym dla wszystkich państw członkowskich Unii Europejskiej – Rozporządzeniem Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych, zwanym potocznie GDPR – General Data Protection Regulation. W prawie unijnym rozporządzenie to akt prawny, który obowiązuje bezpośrednio w krajach członkowskich. Oznacza to, że Sejm nie będzie musiał uchwalać żadnych dodatkowych ustaw ani innych aktów prawnych – nowe prawo będzie bezpośrednio wiązało podmioty, które przetwarzają dane. Nie będzie już ustawy o ochronie danych osobowych w obecnym kształcie; dla Kowalskiej w Polsce, Smitha w Wielkiej Brytanii, Garcii w Hiszpanii i Dimitrova w Bułgarii podstawowym aktem regulującym kwestię ochrony jego lub jej danych osobowych będzie właśnie to rozporządzenie.

Kiedy nowe prawo będzie stosowane?

GDPR zostało przyjęte przez Parlament Europejski w kwietniu 2016 roku. Nowe prawo będzie stosowane od 25 maja 2018 roku.

Co ta zmiana oznacza dla PWM?

GDPR wprowadza sporo zmian związanych z ochroną danych osobowych. Jedną z największych zmian dla polskich przedsiębiorców jest wprowadzenie kar finansowych za uchybienia w realizacji obowiązków wynikających z tego aktu prawnego.

 

Co musicie wiedzieć o GDPR?

Możecie spotkać się z następującymi nazwami nowego aktu prawnego:

GDPR General Data Protection Regulation
RODO, rozporządzenie Rozporządzenie o Ochronie Danych Osobowych

Zapamiętajcie, że rozporządzenie wejdzie w życie w maju 2018 roku.

Więcej o nowym prawie oraz o tym, czego oczekuje od Ciebie PWM w związku z jego wprowadzeniem, dowiesz się w kolejnych częściach szkolenia.

GDPR — Kary finansowe

Nowe uprawnienia GIODO

Wraz z rozpoczęciem stosowania GDPR, od 25 maja 2018, GIODO (Generalny Inspektor Ochrony Danych Osobowych) będzie miał możliwość nakładania bardzo wysokich kar finansowych za uchybienia przy przetwarzaniu danych osobowych.

Maksymalna wysokość kar to 20 000 000 euro (dwadzieścia milionów EUR) lub 4% obrotu globalnego - w zależności, która z tych liczb jest wyższa. Uchybienia będą więc zagrożone znacznym ryzykiem finansowym, którego PWM chce uniknąć.

Co będzie karane

Kary będą mogły być nakładane m. in. za następujące uchybienia:

  • Wycieki danych osobowych,
  • Brak odpowiedniego zabezpieczenia danych (nawet, jeżeli nie doszło do wycieku),
  • Niezrealizowanie uprawnień informacyjnych wobec osób, których dane są zbierane.

Rodzaj uchybienia będzie tylko jednym z czynników, które będą brane pod uwagę przy ustalaniu wysokości kary. GIODO będzie musiał wziąć pod uwagę również inne czynniki. Oto niektóre z nich:

  • działania podjęte przez administratora lub procesora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
  • stopień współpracy z organem nadzorczym;
  • sposób, w jaki organ nadzorczy dowiedział się o naruszeniu.

Jednym z aspektów, który będzie brany pod uwagę przy wymierzaniu kary, będą środki, które ADO podjął w celu uniknięcia uchybienia. Takim środkiem jest np. przeszkolenie pracowników. Dlatego PWM zależy, aby wszyscy pracownicy mieli świadomość swoich obowiązków w zakresie ochrony danych osobowych.

GDPR — Podejście na zasadzie ryzyka

Co zmienia GDPR?

Podstawową zmianą, którą wprowadzi GDPR, jest podejście do prywatności na zasadzie ryzyka. W praktyce oznacza to, że ten akt prawny nie daje szczegółowych wytycznych jak zabezpieczać dane (tak jak to było do tej pory), wprowadzając w zamian obowiązek zastosowania "odpowiednich środków technicznych i organizacyjnych" w zależności od kategorii danych, które mają zostać objęte ochroną. Innymi słowy - zabezpieczenia mają być odpowiednie do ryzyka, jakie wiąże się z przetwarzaniem danego zestawu danych osobowych.


Obowiązek oceny, jakie jest ryzyko, jest po stronie administratora danych osobowych (czyli, w naszym przypadku, PWM). Podobnie jest z oceną, jakie zabezpieczenia zastosować – ona również należy do administratora. 

Takie subiektywne ujęcie obowiązków stwarza ryzyko po stronie PWM. Dlatego zależy nam, aby pracownicy PWM zdawali sobie sprawę, że ochrona danych osobowych, które przetwarzamy, staje się szalenie ważna. 

Jak oceniać ryzyko?

Pojawia się więc pytanie - jak realizować nowe obowiązki, aby nie narazić się na kary finansowe?

W ramach przygotowań do GDPR możecie zetknąć się z tzw. PIA — Privacy Impact Assessment. Jest to narzędzie służące do oceny oddziaływania projektów na ochronę danych osobowych. PWM, przygotowując się do nowego prawa, będzie korzystał z PIA do oceny niektórych projektów. Więcej informacji na ten temat uzyskasz od Administratora Bezpieczeństwa Informacji.

Od kiedy będzie obowiązywać nowe prawo ochrony danych osobowych (GDPR)?

  • Już obowiązuje
  • 1 stycznia 2017 r.
  • 25 maja 2017 r.
  • 25 maja 2018 r.

Jaką maksymalną wysokość kary przewiduje GDPR za naruszenie prawa ochrony danych osobowych?

  • Maksymalnie 100.000 złotych
  • Maksymalnie 20.000.000 euro
  • GDPR przewiduje wyłącznie odpowiedzialność karną
  • Maksymalnie 1.000.000 euro
  • Każdy kraj może sam ustalić wysokość maksymalnych kar finansowych

Administrator Bezpieczeństwa Informacji

Administrator Bezpieczeństwa Informacji (ABI)

ABI, czasem zwany również DPO (Data Protection Officer) jest osobą wyznaczoną przez ADO, nadzorującą przestrzeganie zasad ochrony danych osobowych w strukturze organizacyjnej administratora danych.

ABI chętnie odpowie na wszelkie pytania i wątpliwości dotyczące ochrony danych osobowych. Rolą ABI jest również ocena projektów pod kątem ich oddziaływania na ochronę danych oraz obsługa incydentów związanych z danymi osobowymi. 

Przedstawiciel ABI w Polskim Wydawnictwie Muzycznym

W PWM rolę ABI pełni Maciej Chodorowski, pracownik Omni Modo - firmy doradczej specjalizującej się w ochronie informacji.

Skontaktujesz się z ABI mailowo lub telefonicznie:

[email protected]   |   508 388 242



Podstawowe pojęcia

Dane osobowe

Co to są dane osobowe?

Nie ma ściśle ustalonego katalogu informacji, które są danymi osobowymi. Zgodnie z definicją ustawową, dane osobowe to

"wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej".


Informacja może więc jednocześnie być daną osobową z punktu widzenia jednego podmiotu, a nie być z nią z punktu widzenia innego. Przykładem będzie wewnętrzny numer identyfikacyjny klienta. Jeżeli PWM nada Adamowi Kowalskiemu numer klienta 123456, to dla PWM ten numer będzie daną osobową, ponieważ łatwo mogą sprawdzić, kto się pod tym numerem kryje — będzie to dla nich "informacja dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej". Dla osób z zewnątrz, które nie są w stanie połączyć numeru klienta z konkretną osobą fizyczną, nie będzie to dana osobowa, ponieważ dla nich jest to jedynie ciąg cyfr.


Następujące informacje należy ZAWSZE uważać za dane osobowe:

  • imię i nazwisko,
  • PESEL, 
  • numer i seria dokumentu tożsamości (paszport, dowód osobisty).


Następujące informacje MOGĄ być danymi osobowymi:

  • wygląd zewnętrzny, linie papilarne, wzrost, waga, wiek
  • adres e-mail,
  • adres IP komputera,
  • MAC (Adres sieciowy) urządzenia mobilnego,
  • status majątkowy, lista zaległości finansowych,

Kiedy te informacje będą dla nas danymi osobowymi? Wtedy, kiedy dotyczą zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Ustalenie, czy konkretna informacja to dane osobowe jest czasem trudna — jeżeli w ramach obowiązków służbowych napotkasz taką konieczność, skontaktuj się z ABI, który pomoże ustalić, które informacje stanowią dane osobowe.

Przetwarzanie danych

Przez przetwarzanie danych osobowych rozumiemy wszystkie operacje, które dokonywane są na danych. Przetwarzaniem będzie więc zbieranie danych, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie.

Dane wrażliwe

DANE WRAŻLIWE

Istnieje specjalna kategoria danych osobowych, którą nazywamy danymi wrażliwymi. Przetwarzanie danych, które znajdują się w tej kategorii, jest objęte większymi obostrzeniami oraz wymaga wyższych zabezpieczeń.

Art. 27 ustawy o ochronie danych osobowych:

Zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

Jest to lista wyczerpująca, zatem inne dane, np. informacja o wynagrodzeniu lub numer PESEL, nie są danymi wrażliwymi.

 

Co robić, gdy pojawią się dane wrażliwe?

Skontaktuj się z ABI.

Administrator danych osobowych

Administrator danych osobowych

Podmiot, który podejmuje decyzje dotyczące przetwarzania danych. Administrator danych osobowych to w skrócie ADO.

Ustalenie, kto jest ADO danego zbioru danych jest niezwykle istotne. ADO ma obowiązek chronić interesy osób, których dane przetwarza. Jest odpowiedzialny za przetwarzanie danych osobowych i za kontrolę nad tym przetwarzaniem. Administratorami mogą być organy władzy publicznej i samorządowej, podmioty gospodarcze lub osoby fizyczne prowadzące działalność gospodarczą, jeśli decydują one o celach i środkach przetwarzania. W przypadku uchybień, to administrator danych jest podmiotem, do którego zgłosi się GIODO w celu wyjaśnień.

Podmiot przetwarzający

Przy wykonywaniu działalności biznesowej PWM korzysta z podmiotów zewnętrznych, które na nasze zlecenie wykonują określone czynności. Jeżeli w ramach tych czynności przetwarzane są dane osobowe, dochodzi do tzw. powierzenia danych osobowych, czyli sytuacji, w której podmiot (osoba) inna niż ADO ma dostęp do danych. Podmiot zewnętrzny, który na zlecenie administratora danych osobowych przetwarza dane, nazywamy procesorem.

Gdy PWM dokonuje powierzenia danych osobowych innemu podmiotowi, musimy spełnić następujące obowiązki:

  • należy podpisać umowę, regulującą obowiązki procesora (tzw. umowa powierzenia),
  • należy kontrolować, czy procesor swoje obowiązki wykonuje, tj. czy stosowane przez niego zasady przetwarzania danych osobowych są zgodne z prawem i umową powierzenia.

Pamiętaj! 

Jeżeli Ty lub Twój dział zleca podmiotom zewnętrznym czynności, w ramach których przetwarzane są dane osobowe, musisz zadbać, aby powyższe obowiązki były spełnione.

Aktualny wzór umowy powierzenia oraz odpowiedzi na wszelkie pytania otrzymasz od Działu Kadr lub ABI 

W jakiej roli występuje PWM?

PWM będzie występować w obu rolach. PWM będzie Administratorem Danych Osobowych następujących danych osobowych:

  • Dane pracowników
  • Dane osobowe Klientów ( w tym klientów sklepu internetowego)
  • Dane osobowe autorów, kompozytorów oraz dyrygentów
  • Dane osobowe osób biorących udział w konkursach
  • Dane osób odwiedzających siedzibę PWM
  • Dane kontrahentów lub ich pracowników


Obowiązki informacyjne

Kiedy należy informować o przetwarzaniu danych?

Istnieją trzy sytuacje, w których administrator danych jest zobowiązany do przekazania informacji osobie, której dane dotyczą: 

  • obowiązek informacyjny przy zbieraniu danych osobowych bezpośrednio od osoby, której dane dotyczą (art. 24 uodo) 
  • obowiązek informacyjny przy zbieraniu danych osobowych z innych źródeł niż osoba, której dane dotyczą (art. 25 uodo)
  • obowiązek informacyjny realizowany na wniosek osoby, której dane dotyczą (art. 33 uodo)

Zbieranie danych bezpośrednio — art. 24 uodo

Administrator Danych powinien poinformować osobę, której dane zbiera o:

  • adresie swojej siedziby i pełnej nazwie,
  • celu zbierania danych,
  • o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,
  • prawie dostępu do treści swoich danych oraz ich poprawiania,
  • dobrowolności albo obowiązku podania danych, a jeśli taki obowiązek istnieje, o jego podstawie prawnej.


Przykład obowiązku informacyjnego, który powinien zostać spełniony przy okazji zbierania danych w celach marketingowych:

Administratorem dobrowolnie podanych danych osobowych jest Polskie Wydawnictwo Muzyczne  z siedzibą w Krakowie (31-111) przy ul. Krasińskiego 11a. Dane osobowe będą przetwarzane w celu wykonania umowy o współpracy. Dane osobowe będą udostępniane podmiotom upoważnionym na podstawie przepisów prawa. Posiada Pani/Pan prawo dostępu do treści swoich danych oraz ich poprawiania.

Zbieranie danych z innych źródeł — art. 25 uodo

W przypadku zbierania danych osobowych nie od osoby, której one dotyczą, należy przekazać tej osobie, bezpośrednio po utrwaleniu zebranych danych: 

  • informacje wymagane przy zbieraniu danych osobowych bezpośrednio od osoby, której dane dotyczą (z wyjątkiem informacji o dobrowolności albo obowiązku podania danych) oraz 
  • informacje o źródle danych, zakresie zebranych danych i uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8 uodo (prawo do żądania zaprzestania danych osobowych oraz prawo do sprzeciwu wobec przetwarzania danych osobowych).


Przykład obowiązku informacyjnego, który powinien zostać spełniony wobec osób, których dane DP otrzymało w celach marketingowych:

Administratorem dobrowolnie podanych danych osobowych jest Polskie Wydawnictwo Muzyczne  z siedzibą w Krakowie (31-111) przy ul. Krasińskiego 11a. Pani/Pana dane osobowe w zakresie imienia, nazwiska i nr telefonu zostały przekazane przez XYZ Sp. z o.o., z siedzibą w Warszawie (00-000) przy ul. Wróblewskiego 1 (Kontrahent) i będą przetwarzane w celach marketingowych. Dane osobowe będą udostępniane podmiotom upoważnionym na podstawie przepisów prawa. Posiada Pani/Pan prawo dostępu do treści swoich danych oraz ich poprawiania.

Równocześnie informujemy Panią/Pana o prawie wniesienia, w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5 Ustawy, pisemnego, umotywowanego żądania zaprzestania przetwarzania danych ze względu na szczególną sytuację oraz o prawie wniesienia sprzeciwu wobec przetwarzania danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5 Ustawy, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania danych osobowych innemu administratorowi danych.

Udzielanie informacji na wniosek osoby

Administrator Danych jest zobowiązany do udzielania informacji na wniosek osoby, której dane dotyczą, a szczególności do poinformowania: 

  • jakie prawa jej przysługują 
  • jakie dane osobowe zawiera zbiór 
  • z jakiego źródła zebrano dane 
  • w jakim celu i zakresie dane są przetwarzane 
  • w jaki sposób oraz komu dane zostały udostępnione

Informacji tych należy udzielić w terminie 30 dni. Na wniosek osoby, której dane dotyczą, informacje są udzielane na piśmie. Z prawa do uzyskania tych informacji można korzystać nie częściej niż raz na 6 miesięcy.

Konsultacje z ABI

Treść klauzul z informacjami oraz odpowiedzi na wnioski osób, których dane dotyczą, zawsze podlega uzgodnieniu z ABI.

Które kategorie informacji mogą stanowić dane osobowe?

  • Imię
  • Adres e-mail
  • Informacja o stanie konta
  • Zainteresowania
  • Adres IP

Wskaż, które dane stanowią dane wrażliwe

  • pochodzenie rasowe lub etniczne
  • dane dotyczące skazań
  • kod genetyczny
  • przekonania religijne
  • PESEL
  • Dane o stanie zdrowia
  • Dane o wynagrodzeniu

Administrator danych osobowych - wskaż prawdziwe zdania

  • Musi zadbać, aby przetwarzanie danych osobowych było zgodne z prawem.
  • Jest odpowiedzialny za naruszenia danych osobowych, które przetwarza.
  • To podmiot, który decyduje, w jakim celu i jakimi środkami przetwarzać dane osobowe.
  • Przed rozpoczęciem przetwarzania zawsze musi to zgłosić do GIODO
  • Powinien zawrzeć umowy powierzenia z firmami, którym powierza przetwarzanie danych osobowych.

Na czym polega powierzenie przetwarzania danych osobowych?

  • Podmiot „z zewnątrz” przetwarza dane osobowe w celu i zakresie określonym przez administratora danych osobowych
  • Administrator danych osobowych sprzedaje dane osobowe innemu podmiotowi
  • Podmioty wymieniają się danymi osobowymi między sobą

Obowiązki pracowników

Wprowadzenie i odpowiedzialność pracowników

Rola pracowników w zabezpieczeniu danych

PWM, jako administrator danych jest zobowiązany, aby zapewnić odpowiedni poziom bezpieczeństwa przetwarzanych danych osobowych. To jednak od zachowania osób dopuszczonych do przetwarzania danych osobowych zależy wywiązanie się przez PWM z tego obowiązku.

Pamiętaj! Jako osoba przetwarzająca dane osobowe również odpowiadasz za odpowiednie zabezpieczenie danych osobowych.

UODO (art. 39 ust. 2) zobowiązuje osoby, które zostały upoważnione do przetwarzania danych, do zachowania w tajemnicy tych danych osobowych oraz sposobów ich zabezpieczenia.

W tej części szkolenia:

  • poznasz wewnętrzne zasady zabezpieczenia danych, 
  • dowiesz się, czego oczekujemy od Ciebie jako pracownika PWM,
  • Poznasz dobre praktyki i narzędzia, które pozwolą Ci lepiej chronić dane w pracy i w domu.

Odpowiedzialność pracowników

Za uchybienia związane z ochroną danych osobowych odpowiada co do zasady administrator tych danych. W przypadku stwierdzenia, że do naruszenia doszło z winy (umyślnej lub nieumyślnej) pracownika, może on ponieść odpowiedzialność porządkową (dyscyplinarną) lub karną.

Naruszenie ochrony danych osobowych przez pracownika może skutkować postawieniem mu zarzutu popełnienia jednego z przestępstw określonych w rozdziale 8 uodo lub przestępstwa określonego w art. 266 kodeksu karnego.

Art. 51 uodo 

  • ust. 1 – Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
  • ust. 2 – Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

 Art.  52 uodo 

  • Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.


Dodatkowo, zgodnie z art. 100 § 2 pkt 5 kodeksu pracy, pracownik jest obowiązany przestrzegać tajemnicy określonej w odrębnych przepisach. Dane osobowe, którym PWM nadaje charakter poufny, mają charakter takiej tajemnicy. Ujawnienie tajemnicy przedsiębiorstwa, w zależności od zakresu ujawnionych danych osobowych oraz nastawienia pracownika dopuszczającego się nieuprawnionego ujawnienia danych, może zostać uznane za naruszenie lub ciężkie naruszenie obowiązków pracowniczych. Może to skutować upomnieniem, naganą lub dyscyplinarnym zwolnieniem z pracy. 

Generalny Inspektor Ochrony Danych Osobowych

Na straży ochrony danych osobowych stoi Generalny Inspektor Ochrony Danych Osobowych. Na nieprawidłowości w zakresie zgodności przetwarzania danych z przepisami o ochronie danych osobowych zwraca również uwagę podczas kontroli Państwowa Inspekcja Pracy. Zawiadamia ona Generalnego Inspektora Ochrony Danych Osobowych o stwierdzonych w czasie kontroli nieprawidłowościach w tym zakresie.

Wewnętrzne dokumenty dotyczące ochrony danych osobowych

Wewnętrzne polityki i procedury

Jako pracownik/współpracownik PWM jesteś zobowiązana/y do zapoznania się z tymi dokumentami i przestrzegania obowiązków z nich wynikających.

  • Polityka Bezpieczeństwa Danych Osobowych
  • Instrukcja Zarządzania Systemem Informatycznym

Zachowanie danych w poufności

Zabezpieczenie dokumentów

Dbaj, aby dokumenty zawierające dane osobowe (klientów, pracowników czy kontrahentów) nie znajdowały się w miejscach ogólnodostępnych, w których możliwe będzie zapoznanie się z nimi przez osoby do tego nieupoważnione. 

Dokumenty w formie elektronicznej przechowuj w przeznaczonych do tego miejscach. Jeżeli do przechowywania takich plików wyznaczone jest miejsce w zasobach sieciowych PWM, unikaj przechowywania ich na komputerze lub w ogólnodostępnych folderach.

Zachowaj poufność danych

Nie przekazuj danych osobowych osobom, które nie są upoważnione do przetwarzania danych osobowych (również w ramach PWM).

Nigdy nie wysyłaj informacji służbowych ze swojej prywatnej skrzynki e-mail.

Osoby, które nie są pracownikami lub stałymi współpracownikami firmy, mogą poruszać się wyłącznie w towarzystwie opiekuna. Jeśli na obszarze biura spotkasz nieznaną Ci osobę, nie wahaj się zapytać, czy można jej w czymś pomóc. W razie potrzeby zaprowadź ją na recepcję lub do osoby, do której się udaje.

Upoważnienie do przetwarzania danych

Jeżeli w ramach Twoich obowiązków służbowych przetwarzasz dane osobowe, niebawem otrzymasz upoważnienie do przetwarzania danych. Jeżeli masz wątpliwości, spytaj się przełożonego, do przetwarzania jakich danych jesteś upoważniony.

Pamiętaj, że dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, a zatem nie tylko imię, nazwisko, PESEL, ale również informacje o miejscu pracy, zainteresowaniach itp.

Chroniąc dane osobowe budujesz dobrą reputację PWM.

Bezpieczne hasło

Jak stworzyć dobre hasło?

Korzystaj z zasad mnemotechniki tworząc hasła trudne do złamania, ale łatwe do zapamiętania. Układaj hasło wykorzystując cyfry, znaki specjalne oraz pierwsze litery fragmentu ulubionego wiersza lub piosenki np. 100%LOmTjjZ („100% Litwo Ojczyzno moja, Ty jesteś jak zdrowie” przy czym rzeczowniki pisane są z dużych liter). 

Stosuj unikatowe hasła, czyli różne dla każdego z systemów. 

Chroń hasła — nie przechowuj ich w miejscach dostępnych dla innych, np. na kartce przy monitorze. Nie dziel się hasłami ze współpracownikami. 

Atakujący są w stanie sprawdzić ponad 5 mln haseł na sekundę. Aby opóźnić złamanie hasła powinno być ono: 

  • niesłownikowe (nie należy stosować haseł typu: Qwerty, kasia123, sunny, ynnus ) 
  • nieszablonowe (nie należy stosować haseł typu: MojeTajneHasłoDoFacebooka) 
  • długie i skomplikowane (powinno zawierać minimum 8 znaków w tym małe i duże litery oraz cyfry lub znaki specjalne).

Zarządzanie hasłami

Trzymanie haseł zapisanych w przeglądarce to jeden z największych błędów, jakie może zrobić użytkownik komputera. Nawet, jeżeli dostęp do Twojego systemu operacyjnego jest zabezpieczony hasłem, w łatwy sposób można je obejść i otrzymać dostęp do danych zapisanych na dysku, w tym do wszystkich haseł zapisanych w przeglądarce.

Trudno jednak wymagać, aby pamiętać wszystkie hasła do kont i serwisów, z których się korzysta. Ustawienie wszędzie tego samego hasła to również bardzo zły pomysł.

Jest jedno rozwiązanie - programy do zarządzania hasłami. Aplikacja przechowuje wszystkie Twoje hasła, jednocześnie ograniczając dostęp do nich... hasłem. Jedno silne hasło daje dostęp do zapisanych haseł. W praktyce wygląda to tak, że po zalogowaniu się do Twojego komputera logujesz się do tego programu i od tego momentu masz dostęp do zapisanych haseł. Logowanie się z nowego urządzenia wymaga dodatkowego potwierdzenia, co zabezpiecza konto przed przejęciem.

Zapytaj informatyka, jaki program do zarządzania hasłami jest preferowany w PWM.

Zabezpieczenie danych osobowych

Jak zabezpieczyć dane osobowe — wskazówki praktyczne

Poniżej znajdziesz informacje, jak zabezpieczyć swój komputer, dyski oraz konta przed dostępem osób nieuprawnionych oraz przed utratą danych. Informacje zawarte w tej części możesz zastosować zarówno w pracy, jak i do ochrony swoich danych na prywatnych urządzeniach.

6 podstawowych zasad zabezpieczenia danych

  • Szyfruj załączniki do e-maili, które zawierają dane osobowe.
  • Blokuj komputer, gdy od niego odchodzisz. 
  • Dokładnie sprawdzaj do kogo adresujesz wiadomość zawierającą  dane osobowe.Uważaj na automatyczne uzupełnianie adresatów z listy kontaktowej.
  • Nie zostawiaj dokumentów na biurku po zakończeniu pracy i podczas dłuższych przerw.
  • Zamykaj na klucz meble i pomieszczenia, w których przechowujesz dokumenty. 
  • Nie wyrzucaj dokumentów do koszy na śmieci. Korzystaj z niszczarki. Wydruki robocze, błędne lub zdezaktualizowane niezwłocznie również niszcz przy użyciu niszczarki lub w inny skuteczny sposób.

Szyfrowanie dysków twardych i przenośnych

Korzystasz z komputera służbowego poza biurem? Warto rozważyć zaszyfrowanie dysku. Znacznie utrudni to dostęp do danych zapisanych w urządzeniu osobom postronnym, na przykład w razie kradzieży urządzenia.

UWAGA! Szyfrowania urządzeń służbowych nie należy podejmować samodzielnie. Skontaktuj się z informatykiem, który udzieli pomocy w zabezpieczeniu danych.

Zgłaszanie naruszeń

Zgłaszanie naruszeń

W wypadku kradzieży lub utraty sprzętu IT natychmiast poinformuj o tym informatyka oraz ABI.

W przypadku podejrzenia naruszenia ochrony danych osobowych poinformuj swojego przełożonego oraz ABI.

Jakie naruszenia zgłaszać?

Przykłady naruszeń, które MUSZĄ być zgłoszone:

  • zniknięcie dokumentów, zawierających dane osobowe (np. z szafy, z biurka),
  • ślady mechanicznego uszkodzenia zamka do szuflady,
  • próby podłączenia przez współpracowników prywatnych dysków pamięci,
  • próby wyłudzenia danych do logowania do Twojego konta służbowego.

Kto sprawuje nadzór nad ochroną danych osobowych w Polsce?

  • Główny Inspektor Ochrony Danych Osobowych
  • Generalny Inspektor Ochrony Danych Osobowych
  • Narodowy Rzecznik Ochrony Danych Osobowych
  • Generalny Dyrektor Ochrony Danych Osobowych

Co powinien zrobić pracownik w przypadku otrzymania zawierającego dane osobowe dokumentu, który jest przeznaczony dla innego pracownika?

  • Nic, może go zostawić na swoim biurku
  • Wszystkie odpowiedzi są prawidłowe
  • Powinien niezwłocznie przekazać dokument właściwemu pracownikowi
  • Może pozostawić go w miejscu ogólnodostępnym, by właściwy pracownik mógł go łatwo znaleźć