Cofnięcie upoważnienia do przetwarzania
Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Rozporządzenie RODO.
Jest rzeczą oczywistą, to co napisane zostało na wstępie. Tak samo jak to, iż administrator powinien przestrzegać zasad przetwarzania danych określonych przepisem art. 5 Rozporządzenia RODO. Nie jest jednak, już tak kategoryczna świadomość administratorów, iż nie przestrzeganie ww. zasad oraz brak możliwości wykazania ich przestrzegania, stanowi podstawę do pociągnięcia ich do odpowiedzialności na gruncie RODO.
Cofnięcie upoważnienia do przetwarzani danych osobowych.
Przekładając powyższe na tematykę opracowania, czyli weryfikację poprawności cofnięcia upoważnienia wskazujemy na zasadność wprowadzenia i stosować odpowiednich reguł, procedur postępowania. Procedury, które pozwolą na stworzenie gwarancji poprawności realizacji ww. obowiązku administratora w szerszym aspekcie, aniżeli tylko i wyłącznie ograniczenie się do formalnego wydania dokumentu zawierającego oświadczenie o cofnięciu upoważnienia dla osoby byłego pracownika, zleceniobiorcy, wykonawcy.
Ustanie podstawy prawnej statuującej polecenie przetwarzania.
Zazwyczaj w tym zakresie administratorzy, jako pracodawcy, zleceniodawcy, zamawiający znają swoje obowiązki i w sposób skuteczny i zgodny z prawem dokonują rozwiązania więzi prawnej łączącej ich z osobą pracownika, zleceniobiorcy, wykonawcy. Należy mieć jednak świadomość tego, iż rozwiązanie umowy, jej wygaśnięcie nie jest elementem wystarczającym na gruncie przepisów Rozporządzenia RODO, aby uznać iż wszystkie zadania administratora danych osobowych związane z organizacją procesu przetwarzania danych, zostały skutecznie zrealizowane.
Cofnięcie udzielonego upoważnienia do przetwarzania danych osobowych.
Pomimo, iż procedura wydaje się być oczywista i klarowna, niestety wciąż administratorzy danych osobowych skłonni są do pozostawania w przekonaniu, iż wystarczającym jest tylko i wyłącznie wygaszenie podstawy prawnej statuującej polecenie przetwarzania. Cofnięcie upoważnienia do przetwarzania jest elementem, który nie jest dostrzegany, jako konieczny. Powagi sprawie dodaje fakt, iż struktura organizacyjna administratora w sposób istotny wpływa na zakres czynności koniecznych do realizacji dla osiągnięcia efektu końcowego. Rodzaj czynności powinien bowiem uwzględniać takie zmienne jak:
- Przetwarzanie danych jedynie w siedzibie administratora
- Przetwarzanie danych poza siedzibą administratora
- Korzystanie z systemów informatycznych z wykorzystaniem zdalnego dostępu
- Korzystanie z systemów informatycznych z wykorzystaniem korespondencji elektronicznej
Stałe monitorowanie kanałów dostępu.
Stałe monitorowanie kanałów dostępu, pomimo prawidłowego wykonania ww. kroków, jest wciąż obowiązkiem administratora, który to musi mieć w świadomości fakt, iż podjął swoje działania względem osoby byłego pracownika, zleceniobiorcy, wykonawcy, w różnych okolicznościach stanu faktycznego. Często właśnie aspekt psychologiczny, relacje interpersonalne panujące w firmie, okoliczności podjęcia decyzji o rozwiązaniu więzi prawnej łączącej z pracownikiem, zleceniobiorcą, wykonawcą, mogą podnosić ryzyko wystąpienia prób nieuprawnionego dostępu do zasobów firmy. Zwracamy jednak uwagę na coś co również jest niedostrzegane. Nie zawsze takim byłym pracownikiem, zleceniobiorcą, czy wykonawcą kierują negatywne przesłanki i złe zamiary, czasami jest to po prostu ludzka ciekawość. Ciekawość przejawiająca się np. w tym, czy cofnięto mu uprawnienia do logowania się do poczty służbowej, czy wciąż aktywne jest przekierowanie poczty elektronicznej, czy nadal posiada aktywny login do systemu zamówień. Cofnięcie upoważnienia do przetwarzania formalne nie jest, jak widzimy jedyną czynnością, jaką należy wykonać.
Konsekwencje poniesie przede wszystkim administrator .
Administratorzy, jako przedsiębiorcy powinni mieć świadomość tego, iż to oni poniosą najdotkliwsze konsekwencje swoich zaniechań.
- Biznesowe
- Wizerunkowe
- Finansowe
Studium przypadku – czyli z życia wzięte.
Identyfikator
Pracownik, zleceniobiorca, wykonawca któremu wydane zostało upoważnienie do odbioru / dostarczania próbek / wyników badań laboratoryjnych, wyposażony został w indywidualny identyfikator, pozwalający jednostkom współpracującym z laboratorium na identyfikację tożsamości osoby uprawnionej do pobrania materiału / dostarczenia wyników, tymczasem jednak administrator nie podjął kroków w zakresie wycofania z obrotu ww. identyfikatora, nie poinformował podmiotów kooperujących z faktem wygaszenia upoważnienia do wykonywania ww. obowiązków przez byłego swojego pracownika, zleceniobiorcę, wykonawcę.
Zdalny dostęp
Pracownik, zleceniobiorca, wykonawca któremu wydane zostało upoważnienie do odbioru / dostarczania próbek / wyników badań laboratoryjnych, wyposażony został w indywidualny identyfikator, pozwalający jednostkom współpracującym z laboratorium na identyfikację tożsamości osoby uprawnionej do pobrania materiału / dostarczenia wyników, tymczasem jednak administrator nie podjął kroków w zakresie wycofania z obrotu ww. identyfikatora, nie poinformował podmiotów kooperujących z faktem wygaszenia upoważnienia do wykonywania ww. obowiązków przez byłego swojego pracownika, zleceniobiorcę, wykonawcę.
Zmiana stanowiska
Pracownik, zleceniobiorca, wykonawca zaangażowany był w procesy administratora, piastując wysokie stanowisko służbowe, przez co zarządzał on zadaniami w ramach procesów, a co za tym idzie miał wgląd i nadzór nad poprawnością ich realizacji, przeglądu dokonywał z wykorzystaniem systemu informatycznego wewnętrznego, tymczasem jednak, po przeniesieniu ww. osoby na inne niżej sytuowane stanowisko, nie zostały zmienione jego uprawnienia w ww. systemie.
Prywatny laptop
Przedstawiciel handlowy odpowiedzialny za utrzymanie prawidłowych relacji z klientami, oraz budowanie bazy nowych klientów, wykorzystywał do pracy prywatny sprzęt komputerowy. Milczące przyzwolenie administratora wynikało z faktu oszczędności, jakie dzięki temu wygenerowano – nie musiał wyposażać pracownika w służbowy telefon, laptop oraz z faktu, iż ww. przedstawiciel osiągał znacząco lepsze wyniki w realizacji zakładanych mu planów sprzedażowych, właśnie ze względu na swoją umiejętność organizacji pracy i dostępność dla klientów. Niestety jednak po rozstaniu się z ww. pracownikiem administrator pozbawiony został nie tylko bazy klientów, obsługiwanych przez przedstawiciela, jak i musi zaakceptować fakt, iż przedstawiciel może podjąć próbę wykorzystania posiadanych informacji np. kontaktując się z konkurencją.
Elektroniczny obieg dokumentów
Pracownik, zleceniobiorca, wykonawca, jako osoba uprawniona do zarządzania systemem elektronicznego obiegu dokumentacji w firmie, tworzył go od podstaw, budował i rozbudowywał. Jego obowiązkiem było także czuwanie nad poprawnością funkcjonowania systemu i reagowanie w sytuacjach kryzysowych. Z tego względu system wyposażony został w komunikator informujący jego administratora o nieprawidłowym i prawidłowym działaniu. Niestety jednak nie zostały wygaszone uprawnienia administratora na skutek, czego automatycznie wciąż system przesyła do niego komunikaty informujące go o poprawności wprowadzenia do systemu kolejnych to dokumentów firmowych np. decyzje o przyznaniu nagrody, drafty umów, treści umów zawartych z kooperantami, skończywszy na aktach osobowych pracowników.
Uprawnienia administratora
Pracownik jednostki medycznej otrzymał prawo dostępu do systemu teleinformatycznego, jednak zakres jego uprawnień w systemie nie został dostosowany do faktycznie realizowanych przez niego obowiązków, przez co miał on możliwość tworzenia kont innym użytkownikom, co miało miejsce w sytuacji, kiedy to pracownik służby informatycznej, nie był obecny w pracy, lub zachodziła „potrzeba” szybkiego stworzenia dostępu dla nowego pracownika.
Procedura do wygaszania uprawnień pracowników czeklista sprawdzająca
Potrzebujesz wsparcia oddzwonimy ...
Zgodnie z art. 13 RODO Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U.UE.L.2016.119.1) [dalej „RODO”] informuje się co następuje. Administratorem Danych Osobowych [dalej ADO] jest: Przedsiębiorstwo Wielobranżowe Aleksandra Kubik ul. Obrońców Westerplatte 13 lok 37, 42-200 Częstochowa, NIP: 9491984104, REGON: 368912262, Adres kontaktowy email: biuro@prostetorodo.pl Numer telefonu kontaktowego: 694494240.
Pana/Pani dane osobowe udostępnione za pośrednictwem „Formularza na stronie WWW” przetwarzane będą w celu: przesyłania informacji handlowych dotyczących produktów, usług, promocji i wydarzeń związanych z działalnością ADO, w tym marketingu bezpośredniego, na podstawie art. 6 ust. 1 lit. a) RODO w związku z art. 398 Ustawy z dnia 12 lipca 2024 r. Prawo komunikacji elektronicznej [Dz.U. z 2024r., poz. 1221] adekwatnie do dokonanego wyboru za pośrednictwem rozmów telefonicznych lub wiadomości SMS/MMS, korespondencji elektronicznej, ewentualnego dochodzenia roszczeń i obrony przed ewentualnymi roszczeniami, na podstawie art. 6 ust. 1 lit. f) RODO –przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez ADO. Podanie przez Pana/Panią danych osobowych Pana/Pani dotyczących jest dobrowolne, aczkolwiek ich nie podanie skutkuje brakiem możliwości realizacji celów przetwarzania, o jakich mowa w niniejszym dokumencie.
Pani/Pana dane osobowe będą udostępniane uprawnionym na podstawie przepisów prawa podmiotom i organom publicznym adekwatnie do charakteru sprawy w szczególności: zewnętrznej kancelarii prawnej oraz podmiotom, z którymi ADO zawarł umowy powierzenia przetwarzania danych osobowych, które są podmiotami działającymi na zlecenie i w jego imieniu, w szczególności są nimi: podmiot zewnętrzny świadczący usług IT, podmiot zewnętrzny świadczący usługi hostingowe. Pani/Pana dane przetwarzać będziemy, dopóki istnieć będzie potrzeba realizacji celu, w jakim zostały pozyskane, z zastrzeżeniem jednak, iż w przypadku kiedy przetwarzanie danych realizowane jest na podstawie art. 6 ust. 1 lit a) RODO ma Pani/Pan prawo w dowolnym momencie wycofać wyrażoną zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. W celu wycofania zgody prosimy o przesłanie emial: biuro @ prostetorodo.pl można także stosowne oświadczenie przekazać na adres siedziby ADO.
Ma Pani/Pan prawo do: żądania od ADO dostępu do danych osobowych Pani/Pana dotyczących, żądania od ADO sprostowania danych osobowych Pani/Pana dotyczących, żądania od ADO usunięcia danych osobowych Pani/Pana dotyczących, żądania od ADO ograniczenia przetwarzania danych osobowych Pani/Pana dotyczących, wniesienia sprzeciwu wobec przetwarzania danych osobowych Pani/Pana dotyczących, żądania od ADO przeniesienia danych osobowych Pani/Pana dotyczących, cofnięcia zgody w dowolnym momencie bez konsekwencji dla przetwarzania, którego dokonano przed jej cofnięciem, jeśli dane zbierane są na podstawie zgody. Zakres każdego z tych praw oraz sytuacje, z których można z nich skorzystać, wynikają z przepisów RODO. Z praw tych może Pan/Pani skorzystać składając wniosek u ADO. Ma Pani/Pan prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, gdy uzna Pani/Pan, iż przetwarzanie danych osobowych Pani/Pana dotyczących narusza przepisy RODO. W związku z przetwarzaniem Pani/Pana danych nie będzie Pani/Pan podlegać decyzjom, które opierać się będą wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu. Pani/Pana dane nie są przekazywane poza Europejski Obszar Gospodarczy.