Cofnięcie upoważnienia do przetwarzania
Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Rozporządzenie RODO.
Jest rzeczą oczywistą, to co napisane zostało na wstępie. Tak samo jak to, iż administrator powinien przestrzegać zasad przetwarzania danych określonych przepisem art. 5 Rozporządzenia RODO. Nie jest jednak, już tak kategoryczna świadomość administratorów, iż nie przestrzeganie ww. zasad oraz brak możliwości wykazania ich przestrzegania, stanowi podstawę do pociągnięcia ich do odpowiedzialności na gruncie RODO.
Cofnięcie upoważnienia do przetwarzani danych osobowych.
Przekładając powyższe na tematykę opracowania, czyli weryfikację poprawności cofnięcia upoważnienia wskazujemy na zasadność wprowadzenia i stosować odpowiednich reguł, procedur postępowania. Procedury, które pozwolą na stworzenie gwarancji poprawności realizacji ww. obowiązku administratora w szerszym aspekcie, aniżeli tylko i wyłącznie ograniczenie się do formalnego wydania dokumentu zawierającego oświadczenie o cofnięciu upoważnienia dla osoby byłego pracownika, zleceniobiorcy, wykonawcy.
Ustanie podstawy prawnej statuującej polecenie przetwarzania.
Zazwyczaj w tym zakresie administratorzy, jako pracodawcy, zleceniodawcy, zamawiający znają swoje obowiązki i w sposób skuteczny i zgodny z prawem dokonują rozwiązania więzi prawnej łączącej ich z osobą pracownika, zleceniobiorcy, wykonawcy. Należy mieć jednak świadomość tego, iż rozwiązanie umowy, jej wygaśnięcie nie jest elementem wystarczającym na gruncie przepisów Rozporządzenia RODO, aby uznać iż wszystkie zadania administratora danych osobowych związane z organizacją procesu przetwarzania danych, zostały skutecznie zrealizowane.
Cofnięcie udzielonego upoważnienia do przetwarzania danych osobowych.
Pomimo, iż procedura wydaje się być oczywista i klarowna, niestety wciąż administratorzy danych osobowych skłonni są do pozostawania w przekonaniu, iż wystarczającym jest tylko i wyłącznie wygaszenie podstawy prawnej statuującej polecenie przetwarzania. Cofnięcie upoważnienia do przetwarzania jest elementem, który nie jest dostrzegany, jako konieczny. Powagi sprawie dodaje fakt, iż struktura organizacyjna administratora w sposób istotny wpływa na zakres czynności koniecznych do realizacji dla osiągnięcia efektu końcowego. Rodzaj czynności powinien bowiem uwzględniać takie zmienne jak:
- Przetwarzanie danych jedynie w siedzibie administratora
- Przetwarzanie danych poza siedzibą administratora
- Korzystanie z systemów informatycznych z wykorzystaniem zdalnego dostępu
- Korzystanie z systemów informatycznych z wykorzystaniem korespondencji elektronicznej
Stałe monitorowanie kanałów dostępu.
Stałe monitorowanie kanałów dostępu, pomimo prawidłowego wykonania ww. kroków, jest wciąż obowiązkiem administratora, który to musi mieć w świadomości fakt, iż podjął swoje działania względem osoby byłego pracownika, zleceniobiorcy, wykonawcy, w różnych okolicznościach stanu faktycznego. Często właśnie aspekt psychologiczny, relacje interpersonalne panujące w firmie, okoliczności podjęcia decyzji o rozwiązaniu więzi prawnej łączącej z pracownikiem, zleceniobiorcą, wykonawcą, mogą podnosić ryzyko wystąpienia prób nieuprawnionego dostępu do zasobów firmy. Zwracamy jednak uwagę na coś co również jest niedostrzegane. Nie zawsze takim byłym pracownikiem, zleceniobiorcą, czy wykonawcą kierują negatywne przesłanki i złe zamiary, czasami jest to po prostu ludzka ciekawość. Ciekawość przejawiająca się np. w tym, czy cofnięto mu uprawnienia do logowania się do poczty służbowej, czy wciąż aktywne jest przekierowanie poczty elektronicznej, czy nadal posiada aktywny login do systemu zamówień. Cofnięcie upoważnienia do przetwarzania formalne nie jest, jak widzimy jedyną czynnością, jaką należy wykonać.
Konsekwencje poniesie przede wszystkim administrator .
Administratorzy, jako przedsiębiorcy powinni mieć świadomość tego, iż to oni poniosą najdotkliwsze konsekwencje swoich zaniechań.
- Biznesowe
- Wizerunkowe
- Finansowe
Studium przypadku – czyli z życia wzięte.
Identyfikator
Pracownik, zleceniobiorca, wykonawca któremu wydane zostało upoważnienie do odbioru / dostarczania próbek / wyników badań laboratoryjnych, wyposażony został w indywidualny identyfikator, pozwalający jednostkom współpracującym z laboratorium na identyfikację tożsamości osoby uprawnionej do pobrania materiału / dostarczenia wyników, tymczasem jednak administrator nie podjął kroków w zakresie wycofania z obrotu ww. identyfikatora, nie poinformował podmiotów kooperujących z faktem wygaszenia upoważnienia do wykonywania ww. obowiązków przez byłego swojego pracownika, zleceniobiorcę, wykonawcę.
Zdalny dostęp
Pracownik, zleceniobiorca, wykonawca któremu wydane zostało upoważnienie do odbioru / dostarczania próbek / wyników badań laboratoryjnych, wyposażony został w indywidualny identyfikator, pozwalający jednostkom współpracującym z laboratorium na identyfikację tożsamości osoby uprawnionej do pobrania materiału / dostarczenia wyników, tymczasem jednak administrator nie podjął kroków w zakresie wycofania z obrotu ww. identyfikatora, nie poinformował podmiotów kooperujących z faktem wygaszenia upoważnienia do wykonywania ww. obowiązków przez byłego swojego pracownika, zleceniobiorcę, wykonawcę.
Zmiana stanowiska
Pracownik, zleceniobiorca, wykonawca zaangażowany był w procesy administratora, piastując wysokie stanowisko służbowe, przez co zarządzał on zadaniami w ramach procesów, a co za tym idzie miał wgląd i nadzór nad poprawnością ich realizacji, przeglądu dokonywał z wykorzystaniem systemu informatycznego wewnętrznego, tymczasem jednak, po przeniesieniu ww. osoby na inne niżej sytuowane stanowisko, nie zostały zmienione jego uprawnienia w ww. systemie.
Prywatny laptop
Przedstawiciel handlowy odpowiedzialny za utrzymanie prawidłowych relacji z klientami, oraz budowanie bazy nowych klientów, wykorzystywał do pracy prywatny sprzęt komputerowy. Milczące przyzwolenie administratora wynikało z faktu oszczędności, jakie dzięki temu wygenerowano – nie musiał wyposażać pracownika w służbowy telefon, laptop oraz z faktu, iż ww. przedstawiciel osiągał znacząco lepsze wyniki w realizacji zakładanych mu planów sprzedażowych, właśnie ze względu na swoją umiejętność organizacji pracy i dostępność dla klientów. Niestety jednak po rozstaniu się z ww. pracownikiem administrator pozbawiony został nie tylko bazy klientów, obsługiwanych przez przedstawiciela, jak i musi zaakceptować fakt, iż przedstawiciel może podjąć próbę wykorzystania posiadanych informacji np. kontaktując się z konkurencją.
Elektroniczny obieg dokumentów
Pracownik, zleceniobiorca, wykonawca, jako osoba uprawniona do zarządzania systemem elektronicznego obiegu dokumentacji w firmie, tworzył go od podstaw, budował i rozbudowywał. Jego obowiązkiem było także czuwanie nad poprawnością funkcjonowania systemu i reagowanie w sytuacjach kryzysowych. Z tego względu system wyposażony został w komunikator informujący jego administratora o nieprawidłowym i prawidłowym działaniu. Niestety jednak nie zostały wygaszone uprawnienia administratora na skutek, czego automatycznie wciąż system przesyła do niego komunikaty informujące go o poprawności wprowadzenia do systemu kolejnych to dokumentów firmowych np. decyzje o przyznaniu nagrody, drafty umów, treści umów zawartych z kooperantami, skończywszy na aktach osobowych pracowników.
Uprawnienia administratora
Pracownik jednostki medycznej otrzymał prawo dostępu do systemu teleinformatycznego, jednak zakres jego uprawnień w systemie nie został dostosowany do faktycznie realizowanych przez niego obowiązków, przez co miał on możliwość tworzenia kont innym użytkownikom, co miało miejsce w sytuacji, kiedy to pracownik służby informatycznej, nie był obecny w pracy, lub zachodziła „potrzeba” szybkiego stworzenia dostępu dla nowego pracownika.
Procedura do wygaszania uprawnień pracowników czeklista sprawdzająca
Potrzebujesz wsparcia oddzwonimy ...
Administratorem Danych Osobowych (ADO) Pana/Pani danych jest: Przedsiębiorstwo Wielobranżowe Aleksandra Kubik ul. Obrońców Westerplatte 13 lok 37, 42–200 Częstochowa, NIP: 9491984104, REGON: 368912262. Można się z nami kontaktować w następujący sposób: listownie: Aleksandra Kubik PW ul. Obrońców Westerplatte 13 lok 37, 42–200 Częstochowa, za pomocą adresu e–mail: kamil@informatyka–serwis.pl, telefonicznie: 606 126 875.
Pani/Pana dane wysłane za pomocą formularza kontaktowego przetwarzać będziemy w celu prowadzenia z korespondencji telefonicznej i odpowiedzi na ewentualne pytania, na podstawie art. 6 ust. 1 lit. f) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [dalej RODO] tj. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Podanie przez Panią/Pana danych osobowych jest dobrowolne aczkolwiek niezbędne do zrealizowania kontaktu telefonicznego i udzielenia odpowiedzi na ewentualne pytania. Brak ich podania skutkuje brakiem możliwości zrealizowania powyższego.
Pani/Pana dane osobowe będą udostępniane uprawnionym na podstawie przepisów prawa podmiotom
i organom publicznym oraz podmiotom, z którymi ADO zawarł umowy powierzenia przetwarzania danych osobowych w szczególności: zewnętrzny podmiot usług IT, zewnętrzny hostingodawca.
Pani/Pana dane przetwarzać będziemy,dopóki istnieć będzie potrzeba kontaktu, jak również w celu archiwizacji korespondencji do czasu istnienia tej potrzeby po naszej stronie, nie dłużej niż 15 lat z upływem na koniec roku kalendarzowego w którym wypada usunięcie danych lub też do czasu realizacji wniesionego przez Ciebie sprzeciwu lub żądania usunięcia danych.
Ma Pani/Pan prawo do: żądania od ADO dostępu do danych osobowych Pani/Pana dotyczących, żądania od ADO sprostowania danych osobowych Pani/Pana dotyczących, żądania od ADO usunięcia danych osobowych Pani/Pana dotyczących, w sytuacji, gdy przetwarzanie danych nie następuje w celu wywiązania się z obowiązku wynikającego z przepisu prawa, żądania od ADO ograniczenia przetwarzania danych osobowych Pani/Pana dotyczących,wniesienia sprzeciwu wobec przetwarzania danych osobowych Pani/Pana dotyczących, żądania od ADO przeniesienia danych osobowych Pani/Pana dotyczących, cofnięcia zgody w dowolnym momencie bez konsekwencji dla przetwarzania, którego dokonano przed jej cofnięciem, jeśli dane zbierane są na podstawie zgody – zakres każdego z tych praw oraz sytuacje, z których można z nich skorzystać, wynikają z przepisów RODO.
Z praw tych może Pan/Pani skorzystać składając wniosek u Administratora. Ma Pani/Pan prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, gdy uzna Pani/Pan, iż przetwarzanie danych osobowych Pani/Pana dotyczących narusza przepisy RODO. Pani/Pana dane nie będą podlegały zautomatyzowanemu podejmowaniu decyzji, w tym o profilowaniu.