Wielkość tekstu
Kontrast serwisu

Mikroporady są czymś wyjątkowym. Są jak poradniki na półce każdego polskiego mikro przedsiębiorcy. W świecie Internetu są małym zakamarkiem praktycznej wiedzy, w którym można znaleźć prawie wszystko o prowadzeniu małej firmy.

Aby chronić naszą niezależność, nigdy nie publikowaliśmy i nie będziemy publikować reklam. Utrzymujemy się z darowizn o średniej wysokości 20 zł, w tym także z wpłat z 1% Podatku.

Proszę, pomóż nam zbierać pieniądze i ulepszać Mikroporady. Czytaj więcej...

Porada: Jak współpracować w zakresie ochrony danych osobowych z firmą tworzącą aplikacje internetowe?

Planując stworzenie aplikacji internetowej (np. firmowej strony internetowej) powinniśmy, jeszcze przed wyborem firmy-wykonawcy, która ją dla nas stworzy, do opisu w zapytaniu ofertowym, jej funkcjonalności, dodać konkretne założenia i wymagania. Wymagania te będą musiały być spełnione, aby w pełni zabezpieczyć wymogi tzw. RODO – ochrony danych osobowych, które będą przetwarzane za pomocą tej aplikacji.

Powyższą ochronę określa Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej RODO) oraz ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych. Warto również pamiętać o dalej obowiązujących aktach wykonawczych takich jak Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, Rozporządzenie Ministra administracji i cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji i Rozporządzenie Ministra administracji i cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych.

  1. Dostęp do danych osobowych.

Przepisy przewidują zarówno to obligatoryjne tzw. „funkcjonalności aplikacji”, jak i te fakultatywne, czy też konieczne, lecz zależne od dokonanych wyborów w ramach tych pierwszych.

Podstawowym wymogiem ww. przepisów jest zapewnienie dostępu tylko upoważnionym pracownikom czy osobom współpracujących z administratorem danych osobowych (ADO) do danych osobowych przetwarzanych za pomocą aplikacji, wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia, czyli zalogowaniu się. Jeżeli dostęp będzie posiadała więcej niż jedna osoba to aplikacja musi posiadać możliwość przydzielenia oddzielnych identyfikatorów dostępu dla każdej z tych osób. Aplikacja taka powinna również posiadać funkcjonalność umożliwiającą nadawanie użytkownikom różnych poziomów uprawnień tak, aby posiadali oni dostęp wyłącznie do tych danych oraz tych funkcjonalności aplikacji, które są niezbędne do wykonywania obowiązków nałożonych na te osoby.

Przedsiębiorca powinien również mieć na uwadze wynikające z ww. przepisów obowiązki, co do posiadania i wdrożenia wewnątrz przedsiębiorstwa właściwej dokumentacji, w której powinny znaleźć się zapisy nie tylko opisujące sposób przetwarzania danych osobowych, ale także właśnie wskazanie i opis środków technicznych i organizacyjnych zapewniających ochronę przetwarzania danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Na dokumentację tę składają się, co najmniej polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym. Wprawdzie przepisy wyodrębniają te dwa zakresy dokumentów identyfikując je odrębnie, lecz nie stoi na przeszkodzie, aby przedsiębiorca połączyły je w jeden jednolity dokument w postaci np. regulaminu bezpieczeństwa informacji chronionych. Istotne jest tu to, aby postanowienia regulacji wewnętrznej uwzględniały wymogi przepisane ww. regulacjami, w tym również obejmowały i mogły być stosowane przy tworzeniu i korzystaniu z właściwych aplikacji. Wówczas osobny dokument byłby powtórny dla klientów, kontrahentów, tych, których dane będą przetwarzane w postaci Polityki bezpieczeństwa umieszczonej na stronie internetowej.

Kolejnymi funkcjonalnościami, które powinniśmy zostać wzięte pod uwagę są zgodnie z § 7 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych są:

  • zapewnienie odnotowywania przez aplikację daty pierwszego wprowadzenia danych, (kiedy powstał dany rekord w bazie),
  • identyfikatora użytkownika, który wprowadził dane osobowe do aplikacji (chyba, że dostęp do aplikacji i przetwarzanych w niej danych będzie posiadała wyłącznie jedna osoba), pod pojęciem „identyfikatora użytkowania” w rozumieniu ww. przepisów rozumie się ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym,
  • źródła danych, w przypadku zbierania danych, nie od osoby, której one będą dotyczyć (np. zakup bazy),
  • informacji o odbiorcach danych, którym dane osobowe będą mogły zostać udostępnione, dacie i zakresie tego udostępnienia
  • oraz sprzeciwu wobec przetwarzania danych osobowych w przypadkach, gdy będziemy zamierzać przetwarzać te dane w celach marketingowych lub przekazywać innym firmom czy partnerom.

Dodatkowo aplikacja powinna umożliwiać sporządzenie i wydrukowanie czytelnego raportu zawierającego w powszechnie zrozumiałej formie powyższe informacje, dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym (pracowników, kontrahentów, konsumentów). W przypadku przetwarzania danych osobowych, w co najmniej dwóch systemach informatycznych, wymagania określone przepisami RODO, mogą być realizowane w jednym z nich lub w odrębnym systemie informatycznym przeznaczonym do tego celu.

  1. Tworzenie odpowiednio silnych haseł.

Jeżeli chodzi o funkcjonalność aplikacji to powinna ona umożliwiać również ustawienie wymuszenia długości hasła, które będzie służyło do uwierzytelnienia się przez pracownika czy osobę współpracującą z firmą (min. 6 znaków), jego złożoności (kombinacja małych i wielkich liter, cyfr lub znaków specjalnych – min. trzy z tych czterech grup) oraz jego okresowej zmiany (nie rzadziej, niż co 30 dni). Pod pojęciem „hasła” w świetle przepisów ww. Rozporządzenia zgodnie z § 2 pkt 3 rozumie się ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym

W przypadku, gdy aplikacja będzie umożliwiać rejestrację użytkowników zewnętrznych (klientów, użytkowników portali), można zastosować tzw. badanie siły hasła, aby tychże użytkowników nie wystraszyć, a tym samym nie stracić ustawiając wymuszenie. Tacy użytkownicy i tak będą posiadali dostęp wyłącznie do swoich danych wprowadzonych podczas rejestracji i to oni mogą decydować jak złożonym hasłem będą chcieli je zabezpieczyć. Rejestracja takiego użytkownika oraz uwierzytelnianie, a tym samym przesyłanie danych w sieci publicznej, powinny być zabezpieczone poprzez środki ochrony kryptograficznej (np. protokół SSL).

Uwzględniając kategorie przetwarzanych danych oraz zagrożenia, przepisy przewidują trzy możliwe do wprowadzenia i zastosowania wymagane poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym. Zgodnie z § 6 ust 1 Rozporządzenia (wymienionego w pkt 2), uwzględniając kategorie przetwarzanych danych oraz zagrożenia wprowadzono trzy poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym:

  1. podstawowy;
  2. podwyższony;
  3. wysoki.

Natomiast zgodnie z § 6 ust 2 i 3 Rozporządzenia (wymienionego w pkt 2) poziom, co najmniej podstawowy stosuje się, gdy w systemie informatycznym nie są przetwarzane dane oraz żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną. Poziom, co najmniej podwyższony stosuje się, gdy w systemie informatycznym przetwarzane są dane osobowe oraz żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną.

  1. Usuwanie danych.

Ważną kwestią jest również możliwość usunięcia danych. Jeżeli osoba, której dane będą przetwarzane w aplikacji będzie chciała usunąć z niej swoje dane osobowe lub zażąda tego od nas, albo zostanie osiągnięty cel przetwarzania tych danych, to aplikacja powinna umożliwiać ich proste, wybiórcze usunięcie. Czynność taka powinna być dokonana w sposób uniemożliwiający ponowne odtworzenie treści usuniętych danych, czyli tak, aby po usunięciu tych danych niemożliwe było zidentyfikowanie osoby, której one dotyczyły. Dopuszczalne jest zanonimizowanie takich danych pamiętając, że adres IP lub adres e-mail mogą stanowić dane osobowe. Oczywiście należy mieć na uwadze również przepisy prawa, które mogą określać prowadzoną przez nas działalność i stanowić o możliwości gromadzenia określonych danych przez określony czas, a tym samym uniemożliwiać usuwanie pewnych danych przed upłynięciem tego czasu (np. okres na reklamację, gwarancję, sytuację spraw sądowych).

Pamiętać również należy o tym, że zgodnie z art. 18 RODO osoba, której dane dotyczą, ma prawo żądania od administratora ograniczenia przetwarzania w następujących przypadkach:

  • osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych;
  • przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
  • administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;
  • osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.

 

  1. Zawarcie umowy.

Gdy już określimy niezbędne dla nas wszystkie wymogi, możemy dokonać wyboru odpowiedniego wykonawcy, który wszystkie te wymogi będzie w stanie zastosować w naszej aplikacji. Trzeba też zastrzec w umowie o wykonanie usług/dzieła lub o współpracy, poza określeniem konkretnie powyższych funkcjonalności, zapisy o tym, że aplikacja musi być zgodna z wymogami RODO oraz ustawy o ochronie danych osobowych.

Jeżeli firma będąca wykonawcą będzie miała przez jakiś czas dostęp do już wykonanej i wdrożonej aplikacji lub jako współpracujący usługodawca będzie odpowiadała za jej serwis lub nawet udostępni swój serwer, na którym ta aplikacja będzie się znajdować (hosting), czyli tym samym będzie posiadała dostęp do danych osobowych, które będą przetwarzane za pomocą tejże aplikacji (sama możliwość wglądu do danych osobowych jest już ich przetwarzaniem), konieczne będzie zawarcie w umowie zapisów określonych w art. 28 RODO mówiących o powierzeniu danych osobowych do przetwarzania innemu podmiotowi. Wybierając firmę do stworzenia aplikacji i wiedząc, że będzie to się wiązało w przyszłości z dostępem do przetwarzanych w niej danych osobowych musimy sprawdzić czy taka firma, stosuje odpowiednie środki techniczne i organizacyjne, których zadaniem jest zabezpieczenie powierzonych danych stosownie do przepisów, o których mowa w Rozdziale II RODO oraz w Rozporządzeniu. Stosowne oświadczenie należy zawrzeć w tzw. umowie powierzenia pamiętając jednak, że warto jest to również sprawdzić. W takiej umowie powinien zostać również jasno określony cel oraz zakres powierzanych danych. Taki dostawca, usługodawca staje się t.zw. Partnerem Zaufanym.

Powyższe elementy mają charakter elementów obligatoryjnych. Przepisy RODO mają charakter ius cogens (bezwzględnie obowiązujących), co oznacza, że znajdują one zastosowanie z mocy prawa. Nie mniej, to w interesie przedsiębiorcy, jako działającego zgodnie z miernikiem podwyższonej zawodowej staranności, jest, aby właściwe zapisy znalazły się nawet powtórzone również w umowie. Powinny także się lepiej zabezpieczyć, a więc umowę powierzenia powinniśmy uzupełnić jeszcze np. o zapisy dotyczące odpowiedzialności za wyrządzenie szkód (kary umowne), możliwość przeprowadzenia przez nas lub audytora kontroli przetwarzania danych, czy też wprowadzić wymogi i sposób postępowania z danymi osobowymi po rozwiązaniu umowy. Przedsiębiorca powinien pamiętać, że w świetle ww. regulacji posiada status administratora (ADO), a to wiąże się z konkretnymi nałożonymi na niego obowiązkami, pod rygorem określonej odpowiedzialności, o której stanowi rozporządzenie RODO.

Przedsiębiorca jest, zatem obowiązany:

  • Przeszkolić personel a w tym zarówno pracowników jak i współpracowników (na umowach cywilnoprawnych) oraz samozatrudnionych, stałych usługodawców t.zw. Partnerów Zaufanych;
  • stosować środki techniczne i organizacyjne zapewniające ochronę przetwarzania danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem;
  • wprowadzić regulację wewnętrzną, ewidencję, rejestry (cele przetwarzania, opis kategorii osób, których dane dotyczą, opis kategorii danych osobowych). 

Wybór właściwych środków i narządzi celem realizacji ww. obowiązku przepisy RODO pozostawiają administratorowi danych, a więc przedsiębiorcy. W praktyce będzie to uzależnione m.in. od rozmiaru przedsiębiorstwa, charakteru prowadzonej działalności, czy środków finansowych, które przedsiębiorca może dedykować dla realizacji ochrony i zabezpieczeń; każdorazowo jednak przy uwzględnieniu określonych przepisami kryteriów i parametrów ochrony.

 

Podstawa prawna:

  1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej RODO), (t.j. Dz.Urz.UE.L 2016 Nr 119, str. 1);
  2. Ustawa z dnia 10 maja 2018 r. ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000);
  3. Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. 2004, Nr 100, poz. 1024);
  4. Rozporządzenie Ministra administracji i cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. z 2015 poz.745);
  5. Rozporządzenie Ministra administracji i cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz.U. z 2015 poz.719).
Może zaoszczędzimy Ci czasu? Może podejmiesz szybciej lepszą decyzję?
przekaż darowiznę Pomóż młodym mikro firmom.

6% od dochodu - odlicza płatnik podatku od osób fizycznych
10% od dochodu - odlicza płatnik podatku od osób prawnych
Dlaczego warto?
Dowód wpłaty jest dokumentem uprawniającym do odliczeń w rocznym zeznaniu podatkowym (podstawa - Ustawa o PIT)

 
 

Pomóż Nam Działać Szybciej. Jeśli nie My razem, to kto? Bo kiedy, jeśli nie teraz?

Serwis Mikroporady.pl od ponad 2 lat cotygodniowo wysyła 2 biuletyny aktualizacyjne z nowymi wzorami dokumentów i poradami do 60.000 zarejestrowanych użytkowników

Przekaż ico-1procent Podatku PIT

KRS: 0000318482 - Wpisz w Deklaracji

Dlaczego warto?

wpłać darowiznę

Odlicz Darowiznę od Dochodu: • do 6% dochodu - osoby fizyczne
• do 10% dochodu - osoby prawne



Wspieraj Mikroporady.pl

Najmniejsze i rodzinne Firmy są najważniejszym „nerwem” naszej gospodarki a mają ograniczony dostęp do fachowej pomocy. My to zmieniamy - przygotowujemy dla nich kompleksowe wsparcie – wzory umów z orzecznictwem i komentarzami, porady, instrukcje,regulaminy, kazusy. W odpowiedzi na przesyłane pytania udzielamy dodatkowych porad, wyjaśnień i interpretacji.

Bez ograniczeń i bezpłatnie, bo chcemy żyć w świecie, gdzie solidarnie wspiera się słabszych. Jest to możliwe dzięki zaangażowaniu ludzi takich jak Ty. Liczy się każda pomoc, jednorazowa wpłata lub comiesięczna.

dalej
 

Zapisz się na Biuletyn

Co tydzień bezpłatny Biuletyn Aktualizacyjny z nowymi wzorami dokumentów, instrukcjami, poradami, przygotowywanymi przez zespół prawników z aktualnym stanem prawnym.

Fundacja Akademia Liderów i Mikroporady ® udzielają pomocy mikro firmom bezpłatnie i bez ograniczeń.
Nie wyświetlamy żadnych reklam, nie pobieramy opłat od użytkowników, nie udostępniamy pozostawionych danych.

 
x

Jeśli czytasz teraz nasze Porady i pomagają, wspomóż nas darowizną 30 zł.