Obostrzenia dotyczące ochrony danych osobowych odnoszą się przede wszystkim do firm IT! To firmy informatyczne, poza dostępem do danych pracowników czy klientów, wdrażając systemy ERP czy CRM u kontrahentów, mają dostęp do milionów posiadanych przez nich danych osobowych.

W umowie wdrożeniowej IT należy zawrzeć zapisy dotyczące ochrony danych osobowych. Konieczne jest również zawarcie dodatkowej umowy o powierzeniu przetwarzania danych osobowych przez firmę informatyczną, która będzie miała dostęp do danych osobowych zamawiającego oprogramowanie.

Jakie obowiązki wynikają z RODO?

Rozporządzenie o Ochronie Danych Osobowych, czyli popularne RODO to unijny akt prawny obowiązujący także w Polsce. RODO dotyczy każdego, kto przetwarza dane osobowe obywateli UE w celach innych niż czysto osobiste lub domowe. Wszystkie obowiązki opisane w RODO mają jeden podstawowy cel, tj. ochronę prywatności użytkowników.

Zgodnie z art. 32 RODO organizacje przetwarzające dane osobowe zobowiązane są wdrożyć odpowiednie środki techniczne i organizacyjne, w tym w stosownym przypadku:

  • pseudonimizacje i szyfrowanie,
  • zagwarantować zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
  • zagwarantować zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
  • zapewnić regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Oprócz stosownej dokumentacji opisującej procedury związane z przetwarzaniem danych osobowych, warto posiadać odpowiednie rejestry:

  • czynności przetwarzania danych osobowych (dla roli administratora),
  • kategorii czynności przetwarzania danych osobowych (dla roli procesora).

W IT ochrona danych już przy projektowaniu systemu

W branży IT poszanowanie prywatności odbiorcy musi być uwzględniane już na etapie założeń. Dzięki takiemu działaniu będzie domyślne i pozwoli chronić dane w jak największym stopniu. Istnieją dwie zasady mające uwzględniać ochronę danych osobowych już podczas najwcześniejszych działań przy wprowadzaniu nowego systemu informatycznego.

Pierwszą z nich jest zasada privacy by default, która oznacza wdrożenie ustawień zapewniających ochronę danych osobowych jako domyślnych ustawień systemu IT czy oprogramowania. Jakakolwiek zmiana tych ustawień powinna następować jedynie na wyraźne polecenie użytkownika.

Druga, czyli zasada privacy by design sprowadza się do uwzględniania jak najpełniejszej ochrony danych osobowych już na etapie projektowania.

Podsumowanie

Bezpieczeństwo danych osobowych jest niezwykle poważna sprawą. RODO nakłada na podmioty informatyczne szereg obowiązków. Nawet usuwanie danych z systemów musi przebiegać w odpowiedni sposób.

Kancelaria Szołajski Legal Group pomoże Twojej firmie informatycznej zadbać o bezpieczeństwo danych osobowych. Od kilkunastu lat uczestniczymy w procesach negocjacji umów IT oraz wspieramy przedsiębiorców na etapie ich realizacji. Dobrze rozumiemy problemy i wyzwania branży informatycznej.

Zapraszamy do kontaktu.

Autor artykułu

Marcin Szołajski

Radca prawny

Specjalista z zakresu Prawa zamówień publicznych, Prawa własności intelektualnej oraz z zakresu Sukcesji w firmach Rodzinnych. Doradza Wykonawcom składającym oferty w postępowaniu o udzielenie zamówienia publicznego oraz reprezentuje Wykonawców w postępowaniach przed Krajową Izbą Odwoławczą. Reprezentuje konsumentów w sporach sądowych z instytucjami finansowymi (Bankami) w zakresie udzielonych kredytów „frankowych” oraz sprzedaży obligacji GetBack. Wspiera Twórców i Nabywców praw autorskich w procesie prawidłowego przenoszenia praw do utworów i udzielania stosownych licencji. Przeprowadza skuteczne procedury Sukcesji w firmach Rodzinnych. Czytaj więcej

Już 12 października ważny dla Frankowiczów wyrok TSUE!

Warto skorzystać z licencji open source w umowie wdrożeniowej

Na taki wyrok czekaliśmy! TSUE potwierdza prawa Frankowiczów