Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627. Jak możesz się z nami skontaktować? listownie: ul. Żwirki 17, 90-539 Łódź e-mailem na adres: info@lubasziwspolnicy.pl Jakie masz prawa? 1. dostępu do Twoich danych, 2. ich poprawiania, 3. żądania ich usunięcia, 4. ograniczenia przetwarzania, 5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych. Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi? Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych. Po co nam Twoje dane, czyli w jakim celu je przetwarzamy? 1. odpowiedzi na Twoją wiadomość lub rozwiązania poruszonej przez Ciebie sprawy, 2. marketingowym polegającym na promocji naszych towarów i usług oraz nas samych. Przy czym, ten cel realizujemy, jeżeli w wiadomości do nas poprosiłeś nas o informacje na temat naszych usług. Czy musisz podawać nam swoje dane? Jest to dobrowolne, lecz bez podania Twoich danych kontaktowych nie będziemy mogli odpowiedzieć na Twoją wiadomość i możemy nie móc rozwiązać poruszonej przez Ciebie sprawy. Na jakiej podstawie prawnej przetwarzamy Twoje dane? Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia. Co jes naszym prawnie uzasadnionym interesem? Udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy oraz prowadzenie naszego marketingu. Komu przekażemy Twoje dane? 1. podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas, 2. dostawcom narzędzi służących do analityki działania strony. Jak długo będziemy przetwarzać Twoje dane? 1. przez czas potrzebny na udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy, 2. prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych. Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu? Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane: 1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać, 2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627. Jak możesz się z nami skontaktować? listownie: ul. Żwirki 17, 90-539 Łódź e-mailem na adres: info@lubasziwspolnicy.pl Jakie masz prawa? 1. dostępu do Twoich danych, 2. ich poprawiania, 3. żądania ich usunięcia, 4. ograniczenia przetwarzania, 5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych. Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi? Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych. Po co nam Twoje dane, czyli w jakim celu je przetwarzamy? W celu marketingowym, polegającym na wysyłaniu do Ciebie newsletterów, analizowaniu czy zapoznajesz się z ich treściami, i które z nich najchętniej czytasz. Na tej podstawie możemy dopasowywać treści newslettera do Twoich zainteresowań. Czy musisz podawać nam swoje dane? Jest to dobrowolne. Bez ich podania nie będziesz jednak mógł otrzymywać newslettera. Na jakiej podstawie prawnej przetwarzamy Twoje dane? 1. Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia. Naszym prawnie uzasadnionym interesem jest analizowanie czy zapoznajesz się z naszymi newsletterami, i które z informacji w nich zawartych czytasz najchętniej. 2. Art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy Prawo telekomunikacyjne. Co jest naszym prawnie uzasadnionym interesem? Doskonalenie naszego newslettera poprzez analizowanie czy zapoznajesz się z jego treścią i którymi wiadomościami najbardziej się interesujesz oraz dopasowywanie treści naszego newslettera do Twoich zainteresowań. Komu przekażemy Twoje dane? 1. Dostawcom narzędzi do: a. analityki ruchu na stronie, b. wysyłki newsletterów. 2. Podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych. Jak długo będziemy przetwarzać Twoje dane? Przez czas prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych, albo odwołania zgody na wysyłanie wiadomości na Twój adres e-mail. Odwołanie przez Ciebie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody. Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu? Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane: 1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać, 2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.

Audyt ochrony danych osobowych – co zyskujesz?
Ustawa o ochronie danych osobowych określa obowiązki podmiotów przetwarzających dane osobowe osób fizycznych w związku z działalnością zarobkową lub zawodową oraz uprawnienia jakie przysługują tym osobom, także w przypadku przetwarzania ich danych z naruszeniem przepisów ustawy.

Katalog obowiązków ciążących na administratorze danych osobowych jest niezwykle obszerny, zaś ich prawidłowa identyfikacja może nastręczać wiele problemów i trudności.

Ryzyko związane z niedostosowaniem prowadzonej działalności gospodarczej do ustawowych wymogów i zasad przetwarzania danych osobowych jest znaczące – w grę wchodzić może bowiem ewentualna odpowiedzialność cywilna, administracyjna a nawet karna.

Systematycznie zwiększająca się świadomość społeczeństwa w zakresie uprawnień przysługujących osobom fizycznym w przypadku naruszenia ich praw w procesie przetwarzania danych osobowych oraz wzmożona aktywność kontrolna Generalnego Inspektora Ochrony Danych Osobowych implikuje konieczność zapewnienia zgodności prowadzonego biznesu (m.in. w sferze marketingu, e-commerce, sprzedaży, obsługi klienta, zatrudnienia jak i wielu innych) z przepisami o ochronie danych osobowych.

Podstawowym narzędziem pozwalającym na osiągnięcie przywołanego celu oraz wyeliminowanie wspomnianego ryzyka jest audyt ochrony danych osobowych. Audyt pozwoli ustalić obszary i elementy procesu przetwarzania danych osobowych, które wymagają podjęcia czynności naprawczych i korygujących, zaś wdrożenie rozwiązań zarekomendowanych w ramach audytu zneutralizuje zagrożenia związane z ewentualnymi konsekwencjami kontroli GIODO.

Z drugiej strony, przeprowadzenie audytu i zastosowanie się do sformułowanych w jego wyniku zaleceń z całą pewnością pomoże w zbudowaniu pozytywnego wizerunku danej organizacji w powszechnej w świadomości klientów z danej branży. Oczywistym jest, że dla przedsiębiorcy korzystniej jest gdy jest on postrzegany jest jako dbający o prawa i interesy swoich pracowników, kontrahentów czy klientów.

Czym jest audyt ochrony danych osobowych?
Audyt jest niezależną, dokonywaną przez ekspertów, oceną danej organizacji oraz zachodzących w niej procesów pod względem zgodności z przepisami prawa, standardami czy normami.

Audyt ochrony danych osobowych obejmuje weryfikację procesu przetwarzania danych osobowych pod kątem zgodności z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz z wydanymi na jej podstawie aktami wykonawczymi, w szczególności rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

W ramach czynności audytowych, podmiot audytowany podlega badaniu zarówno od strony formalno-prawnej jak również od strony techniczno-organizacyjnej.

Czynności przeprowadzane przez osoby przeprowadzające audyt ochrony danych osobowych koncentrują się na zweryfikowaniu między innymi czy:

przetwarzanie danych odbywa się zgodnie z prawem, tj. na podstawie ustawowych przesłanek legalizujących przetwarzanie danych osobowych;
opracowano i wdrożono do stosowania dokumentację ochrony danych osobowych;
podmiot audytowany spełnił wszystkie obowiązki określone w przepisach prawa;
spełnione zostały wymagania dotyczące powierzenia przetwarzania danych osobowych innemu podmiotowi;
zbiory danych zostały zgłoszone do rejestracji GIODO.

W toku audytu weryfikacji podlegają stosowane przez podmiot audytowany zabezpieczenia organizacyjne (np. procedury, regulaminy, organizowanie szkoleń dla osób dopuszczonych do przetwarzania danych osobowych), zabezpieczenia fizyczne (np. system alarmowy, system kontroli dostępu do obszaru przetwarzania danych osobowych) czy techniczne (np. system informatyczny).

Audyt ochrony danych osobowych nie powinien ograniczać się do weryfikacji procesu przetwarzania danych osobowych wyłącznie pod kątem zgodności z przepisami prawa. Ważne, aby dokonywana ocena, a przede wszystkim sformułowane w ramach audytu rekomendacje uwzględniały charakter działalności podmiotu audytowanego, branżę w której działa oraz przyjęte w jej ramach dobre praktyki i zachowania.

Kto może podlegać audytowi
Audyt ochrony danych osobowych może zostać przeprowadzony zarówno u podmiotów będących administratorami danych osobowych, jak również u podmiotów przetwarzających dane osobowe na zlecenie (u tzw. procesorów).

Zauważyć należy, że wskazane powyżej role pełnić mogą nie tylko przedsiębiorcy (osoby fizyczne, wspólnicy spółek cywilnych, spółki prawa handlowego), ale również stowarzyszenia, fundacje, spółdzielnie czy nawet wspólnoty mieszkaniowe.

Co równie ważne, przeprowadzany audyt ochrony danych osobowych może obejmować samego zlecającego, jak również jego kontrahenta (tzw. audyt drugiej strony).

Kiedy przeprowadzić audyt?
W kontekście przywołanych powyżej okoliczności, tj. wzrastającej świadomości społeczeństwa w zakresie ochrony danych osobowych, aktywności GIODO oraz korzyści (w tym wizerunkowych) jakie niesie ze sobą dbałość o prawidłowy przebieg procesu przetwarzania danych osobowych, z przeprowadzeniem rzetelnego audytu nie należy zwlekać.

Powyższe uwagi nabierają szczególnego znaczenia wobec dokonanej reformy unijnych przepisów o ochronie danych osobowych. Jak już wspominaliśmy, ogólne rozporządzenie o ochronie danych osobowych będzie stosowane od dnia 25 maja 2018 r. Do tego czasu pozostały niecałe dwa lata, zaś wprowadzone zmiany mają charakter niemalże rewolucyjny. Warto wykorzystać ten okres, aby dostosować prowadzoną działalność do nowych wymogów prawa UE. Przeprowadzenie kompleksowego audytu ochrony danych osobowych pozwoli ustalić jakie obszary i sfery aktywności wymagają zmian i modyfikacji w tym zakresie – podjęcie tych czynności pozwoli na uniknięcie ewentualnych negatywnych konsekwencji niedostosowania procesu przetwarzania danych osobowych do nowych przepisów.

Post Views: 4 275

Lubasz i Wspólnicy » Aktualności » Co to jest i po co się przeprowadza audyt ochrony danych osobowych

Co to jest i po co się przeprowadza audyt ochrony danych osobowych

dr Dominik Lubasz

Jeśli omawiane kwestie dotyczą Państwa sytuacji, prosimy o kontakt bezpośrednio z

Artykuły powiązane

Polityka bezpieczeństwa danych osobowych

Unia Europejska reformuje ochronę danych osobowych