utworzone przez Anna Zamojcin | kwi 17, 2023
5 niezbędnych dokumentów dla sklepu internetowego – jakie polityki i regulaminy musisz posiadać?
Sklep internetowy to nie tylko witryna sprzedażowa, ale również podmiot, który działa w ramach prawa. Dlatego też, aby funkcjonować legalnie i zapewnić ochronę zarówno dla właściciela, jak i dla klientów, sklep musi spełnić pewne wymagania prawne i prowadzić odpowiednią dokumentację. Poniżej przedstawiam listę niezbędnych dokumentów, polityk i regulaminów, które powinny być obecne w każdym sklepie internetowym:
I. Regulamin sklepu internetowego – co to jest i dlaczego jest potrzebny?
Regulamin sklepu internetowego – dokument obowiązkowy – jest to podstawowy dokument określający zasady funkcjonowania sklepu internetowego, relacji między sprzedawcą a klientami oraz przede wszystkim, regulujący zasady sprzedaży. W regulaminie powinny znaleźć się informacje dotyczące m.in. oferty sklepu, zamówień, płatności, dostawy, reklamacji oraz zwrotów.
II. Polityka prywatności – jakie informacje powinna zawierać i dlaczego jest ważna?
Polityka prywatności – dokument obowiązkowy – określający zasady gromadzenia i przetwarzania danych osobowych klientów. Polityka prywatności powinna zawierać informacje o celach i sposobach przetwarzania danych osobowych, ich ochronie oraz o prawach klientów w zakresie ochrony danych osobowych.
III. Polityka cookies – co to jest i jakie informacje powinna zawierać?
Polityka cookies – dokument obowiązkowy – określający zasady gromadzenia i przetwarzania danych związanych z plikami cookies. Polityka cookies powinna zawierać informacje o celach i sposobach przetwarzania danych, o rodzajach wykorzystywanych plików cookies oraz o prawach klientów w zakresie ich ochrony.
IV. Formularz odstąpienia od umowy – co to jest i dlaczego jest ważny?
Formularz odstąpienia od umowy – jest wymagany przez prawo konsumenckie i umożliwia klientowi odstąpienie od zawartej umowy bez podania przyczyny. W formularzu powinny znaleźć się informacje dotyczące sposobu odstąpienia od umowy, adresu do zwrotu towaru oraz danych kontaktowych sprzedawcy.
V. Formularz reklamacji – co to jest i jakie informacje powinien zawierać?
Formularz reklamacji natomiast umożliwia klientowi zgłoszenie wadliwego towaru lub niezgodności z umową. Powinien zawierać informacje o produkcie, wady lub niezgodności z umową, a także dane kontaktowe klienta i ewentualnie sposób reklamacji.
Dlaczego dostępność tych dokumentów jest ważna dla sklepu internetowego?
Wszystkie te dokumenty powinny być dostępne dla klientów w łatwy sposób, np. poprzez linki na stronie sklepu lub w stopce strony. Zapewnienie łatwego dostępu do tych dokumentów i formularzy jest niezwykle ważne, ponieważ pomaga to w rozwiązywaniu problemów związanych z transakcjami, a także zapewnia klientom poczucie bezpieczeństwa i pewności, że ich prawa są chronione. Profesjonalna dokumentacja sklepu internetowego buduje zaufanie klienta do sprzedawcy i daje mu pewność, że transakcja jest dokonywana w legalnym sklepie, w którym nie zostanie oszukany. Ponadto wszystkie polityki i regulaminy powinny być napisane w jasny i zrozumiały sposób, aby klienci mogli łatwo zapoznać się z ich treścią.
Nieprzestrzeganie obowiązku posiadania tych dokumentów może skutkować poważnymi konsekwencjami prawno-finansowymi dla sklepu internetowego, a także wpłynąć negatywnie na jego reputację wśród klientów.
Pamiętaj także, że oprócz załączonych do platformy sprzedażowej dokumentów powinieneś też zadbać o odpowiednie zapisy na stronie przy formularzach zbierających dane osobowe twoich klientów i użytkowników strony takich jak: formularz kontaktowy, zapis na newsletter, założenie konta użytkownika itp. Mowa tu o odpowiednich zgodach jeśli takowe są wymagane oraz skróconych klauzulach informacyjnych.
Podsumowując, sklep internetowy musi prowadzić odpowiednią dokumentację, polityki i regulaminy, aby spełnić wymagania prawne oraz zapewnić ochronę zarówno dla właściciela, jak i dla klientów.
Nie trać czasu na szukanie informacji o wymaganej dokumentacji dla swojego sklepu internetowego – teraz już wiesz, jakie dokumenty, polityki i regulaminy powinny się w nim znajdować. Pamiętaj, że posiadanie profesjonalnej dokumentacji może pomóc w budowaniu zaufania i zwiększeniu sprzedaży. Jeśli szukasz gotowego kompletu dokumentów to zajrzyj do na tą stronę. A jeśli chcesz dowiedzieć się więcej na temat e-commerce, zapraszamy do przeczytania kolejnego artykułu na naszym blogu! Kliknij tutaj, aby przejść do niego teraz.
Tu mnie znajdziesz:
Dołącz do mnie na Facebooku
Nie omieszkaj wbić się na instagram
YT A tu obejrzysz porady wideo
utworzone przez Anna Zamojcin | lis 24, 2022
Przykłady naruszeń danych osobowych
Kiedy powinniśmy zgłosić do UODO a kiedy nie naruszenie danych osobowych, które miało miejsce w naszej firmie. Czy są jakieś okoliczności łagodzące lub sytuacje w których ten sam incydent zamiast do Prezesa Urzędu Ochrony Danych Osobowych trafi tylko do naszego wewnętrznego rejestru. Poniżej znajdziesz przykłady naruszeń danych osobowych czyli kilka przykładów incydentów oraz przesłanek, które mogą być wiążące do podjęcia decyzji o zgłoszeniu naruszenia do UODO, lub odstąpienia od tej czynności. Pamiętaj, by nie stosować ich bezkrytycznie – zawsze musisz samodzielnie dokonać oceny sytuacji.
Zgubienie lub kradzież laptopa
Kradzież lub zgubienie sprzętu to częste sytuacje. Odpowiednia ocena zależy od wdrożonych zabezpieczeń a także odpowiedniej edukacji osób.
- Nie zgłaszamy, jeżeli laptop był wyłączony lub w stanie hibernacji oraz włączone było szyfrowanie wszystkich dysków znajdujących się w urządzeniu.
- Zgłaszamy, jeżeli co najmniej jeden z dysków nie był zaszyfrowany lub w sytuacji, gdy komputer był uruchomiony lub w stanie uśpienia.
Zgubienie lub kradzież dysku przenośnego lub pamięci pendrive
- Nie zgłaszamy, jeżeli dysk lub pendrive były w całości zaszyfrowane (nie tylko pojedyncze pliki)
- Zgłaszamy, jeżeli dysk lub pendrive nie były w całości zaszyfrowane lub istnieją co do tego wątpliwości.
Pozostawiony otwarty sejf lub zamykana szafa z dokumentami osobowymi pracowników
- Nie zgłaszamy, jeżeli pracownik o niedopatrzeniu się szybko zorientował i natychmiast wrócił i zamknął szafę, lub monitoring potwierdził, że nikt nie miał do niej i pomieszczenia dostępu.
- Zgłaszamy, jeżeli istnieje prawdopodobieństwo, podejrzenie lub pewność, że ktoś miał dostęp do szafy lub nawet samego pomieszczenia.
Niewłaściwie zaadresowana poczta elektroniczna
- Nie zgłaszamy, jeżeli z adresu jak i treści poczty nie wynika jednoznacznie kto jest odbiorcą (na przykład wysyłamy mail na alias pocztowy) i nie zwiera w treści żadnych danych osobowych
- Zgłaszamy, gdy prawowity odbiorca, lub inne osoby są identyfikowalne
Aktywne konta pracowników, którzy już nie są zatrudnieni
Jakakolwiek utrata kontroli nad danymi jest już sama w sobie naruszeniem. W większych firmach zdarza się, że przez niedopatrzenie odchodzącemu pracownikowi nie zostanie zablokowany dostęp do służbowego konta lub poczty.
- Nie zgłaszamy, jeżeli na podstawie logów z serwera potwierdzimy, że nikt nie miał dostępu do konta od chwili rozwiązania współpracy z pracownikiem
- Zgłaszamy, gdy istnieje prawdopodobieństwo nieuprawnionego dostępu
Podanie danych przez telefon niezweryfikowanemu rozmówcy
Wyłudzenia przez telefon nie są niczym nowym i nadal są powszechne. Ktoś dzwoniący do księgowej może podawać się za pracownika ZUS i pytać o dane osobowe pracowników. Ważne jest odpowiednie szkolenie Twojej kadry oraz stosowanie zdroworozsądkowej zasady ograniczonego zaufania.
- Nie zgłaszamy, jeżeli pracownik w porę zorientował się w zagrożeniu i oszacujemy ryzyko na podstawie udostępnionych w ten sposób danych na niskie.
- Zgłaszamy, w każdym innym przypadku.
Niepoprawne usunięcie danych z nośników elektronicznych
Nie usunęliśmy odpowiednio danych z telefonu, tabletu czy komputera pracownika przed przekazaniem sprzętu innej osobie, oddaniem do serwisu lub odsprzedażą. Pamiętaj, że samo formatowanie dysku nie wystarcza, a niektóre nośniki wymagają fizycznego zniszczenia.
- Nie zgłaszamy, gdy dane na nośniku były niekompletne lub zanonimizowane.
- Zgłaszamy w każdym innym przypadku.
Wyrzucenie dokumentów na śmietnik
O sytuacji takiej mówimy nawet wtedy, gdy pracownik wyrzuci odręczne notatki do zwykłego kosza na śmieci w biurze, nie mówiąc już o wyrzucaniu całych segregatorów na śmietnik.
- Nie zgłaszamy, gdy pracownik szybko poprawił swój błąd lub gdy mamy pewność (np. z zapisu monitoringu), że nikt nie miał do danych dostępu.
- Zgłaszamy, gdy nie ma pewności co do tego czy ktoś miał dostęp do wyrzuconych danych lub potwierdzimy taki fakt.
Zgłoszenie naruszenia
Przykłady naruszeń danych osobowych nie wyczerpują całego katalogu zdarzeń które mogą wystąpić w Twojej firmie. Postępowanie gdy wykryjesz naruszenie ochrony danych osobowych powinno być jasną spisaną procedurą czynności, które należy wykonać krok po kroku. Jeżeli zatrudniasz parę osób, pamiętaj, by przypisać kto jest za wykonanie danej czynności odpowiedzialny, oraz kto będzie podejmował decyzje. Postaraj się, aby decyzyjne zawsze były co najmniej dwie osoby, na wypadek, gdyby jedna z nich była chora lub na urlopie. Jest to o bardzo ważne. Jeżeli naruszenie będzie musiało być zgłoszone do Urzędu Ochrony Danych Osobowych, to masz na to tylko 72 godziny od momentu jego wykrycia. Przykłady naruszeń danych osobowych.
Niezależnie od tego, każdy incydent musi być odnotowany w wewnętrznym rejestrze – możesz go prowadzić na przykład w dedykowanym arkuszu kalkulacyjnym czy dokumencie tekstowym. Procedurę zgłaszania incydentu znajdziesz w pakietach dokumentacji RODO dla firm. Jeśli prowadzisz jednoosobową firmę to optymalny będzie Pakiet dokumentacji RODO dla jednoosobowej firmy, natomiast dla przedsiębiorców zatrudniających pracowników odpowiedni będzie Pakiet dokumentacji RODO dla firm zatrudniających pracowników.
Polecany artykuł: 72 godziny na zgłoszenie naruszenia
Tu mnie znajdziesz:
Dołącz do mnie na Facebooku
Nie omieszkaj wbić się na instagram
YT A tu obejrzysz porady wideo
utworzone przez Anna Zamojcin | paź 27, 2022
RODO w procesie rekrutacji
Bez względu na to, w jaki sposób pracodawca będzie poszukiwał kandydatów do pracy, proces rekrutacji zawsze będzie wiązał się z pozyskiwaniem przez niego danych osobowych zawartych w dokumentach rekrutacyjnych (CV, listach motywacyjnych, świadectwach pracy, listach referencyjnych, zaświadczeniach itd.).
Podczas tego procesu musisz kierować się kilkoma zasadami:
- Pracodawca powinien przetwarzać tylko takie dane, które są niezbędne ze względu na cel ich zbierania – pamiętaj więc aby w ogłoszeniu prosić tylko o takie dane które są zasadne do poprawnej oceny kandydata, zakres tych danych został wyraźnie wskazany w art. 22 Kodeksu pracy.
- Dane osobowe nie mogą być zbierane na zapas – oznacza to, że nie możesz zbierać CV jeśli nie prowadzisz aktualnie naboru na konkretne stanowisko.
- Żądanie przez pracodawcę od kandydatów do pracy informacji wykraczających poza to, co przede wszystkim przewidują przepisy prawa pracy może naruszać prywatność kandydata np. prośba o podanie kontaktu do byłego pracodawcy w celu uzyskania opinii.
Jakich danych może żądać pracodawca od kandydata w toku rekrutacji
Zakres danych wskazany został w art. 22 Kodeksu pracy
- identyfikacyjne (imię, nazwisko, imiona rodziców, data urodzenia);
- kontaktowe (adres zamieszkania)
- dane o wykształceniu, umiejętnościach, doświadczeniu zawodowym (ukończonych szkołach oraz studiach, przebytych szkoleniach i kursach, poprzednich pracodawcach, zajmowanych stanowiskach oraz obowiązkach zawodowych)
Jest to katalog danych, których pracodawca może żądać od kandydata do pracy, w celu podjęcia działań zmierzających do zawarcia z nim umowy. Co istotne,
z uwagi na specyfikę procesu rekrutacji, do zawarcia tej umowy wcale nie musi ostatecznie dojść. RODO w procesie rekrutacji.
Jakich danych pracodawca nie może żądać od kandydata do pracy?
- danych wykraczających poza zakres, który został wskazany w przepisach prawa,
- danych nadmiarowych, w szczególności takich, które nie mają związku z celem, jakim jest zatrudnienie pracownika (np. danych o stanie cywilnym, wyznaniu, poglądach religijnych czy orientacji seksualnej).
Wyjątki określone prawem np. wymóg niekaralności
- nauczyciele (art. 10 ust. 8a ustawy – Karta Nauczyciela),
- straż graniczna (art. 31 ust. 1 ustawy o Straży Granicznej),
- detektywi (art. 29 ust. 2 ustawy o usługach detektywistycznych),
- osoby ubiegającej się o zatrudnienie w podmiotach sektora finansowego
rodo w procesie rekrutacji wymaga dostosowania do wielu przepisów także sektorowych
Czy pracodawca musi poinformować kandydatów do pracy o przetwarzaniu ich danych osobowych?
Tak, tego wymaga RODO w procesie rekrutacji. Każdy potencjalny pracodawca, który zbiera dane od kandydatów do pracy, jest zobowiązany poinformować te osoby o:
- pełnej nazwie i adresie swojej siedziby,
- danych kontaktowych inspektora ochrony danych (o ile go wyznaczył),
- celu przetwarzania danych oraz podstawie prawnej przetwarzania,
- znanych mu w chwili gromadzenia danych odbiorcach danych (rozumianych szeroko) lub ich kategoriach,
- zamiarze transgranicznego przetwarzania danych (o ile taki istnieje),
- okresie, przez który dane będą̨ przetwarzane bądź kryteriach ustalania tego okresu,
- przysługujących jej prawach do żądania dostępu do danych, w tym otrzymania ich kopii, ich sprostowania, usunięcia lub ograniczenia ich przetwarzania,
- prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność́ z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem (jeżeli dane są zbierane na podstawie zgody),
- prawie wniesienia skargi do Prezesa UODO,
- dobrowolności lub obowiązku podania danych i konsekwencjach ich nie podania.
Pracodawca ma obowiązek poinformować kandydata do pracy o tych okolicznościach w chwili pozyskiwania tych danych w sposób jasny, czytelny i łatwo dostępny dla kandydata. Może to zrobić np. w treści ogłoszenia o pracę lub w informacji zwrotnej bezpośrednio po otrzymaniu od kandydata aplikacji do pracy. Pamiętaj zatem aby w Twojej dokumentacji systemowej znalazł się wzór klauzuli informacyjnej dla kandydatów do pracy.
Czy kandydat musi wyrazić zgodę na przetwarzanie danych osobowych?
NIE. Dotychczasowe praktyki polegające na umieszczeniu na CV przez kandydata zgody na przetwarzanie jego danych osobowych nie są prawidłowe. Dane kandydata przetwarzane są na podstawie przepisów prawa (art 6.1.b) zawartych w Kodeksie Pracy w art. 22, a nie na podstawie wyrażonej zgody.
Są jednak pewne wyjątki kiedy zgoda jest wymagana:
- Przetwarzanie danych wrażliwych dotyczących stanu zdrowia (o ile administrator nie legitymuje się przepisem prawa, który zobowiązuje go do ich przetwarzania tego typu danych np. policja)
- Wykorzystanie CV kandydata do celu jakim jest przyszła rekrutacja.
Ważne jest aby kandydat został poinformowany o możliwości i sposobie wycofania zgody. Sposób wycofania zgody powinien być równie łatwy, jak było jej wyrażenie. Zgoda na przetwarzanie danych np. w celu kolejnych rekrutacji może być wycofana w dowolnym momencie. W takiej sytuacji pracodawca traci uprawnienie do dalszego przetwarzania tych danych i powinien niezwłocznie je usunąć. O prawie do wycofania zgody pracodawca powinien poinformować́ kandydata w momencie pozyskania jego danych.
O co więc chodzi z tymi formułkami RODO na CV?
Jest to pozostałość z poprzednich regulacji z 1997 roku, w ramach których wymagało się umieszczenia zgody na życiorysie kandydata, pod rygorem niewykorzystania przez pracodawcę CV w procesie rekrutacji. Aktualnie przepisy nie wymagają już zgody kandydata na wykorzystanie jego danych, gdyż odbywa się to na innej podstawie prawnej tj. na zapisach Kodeksu Pracy.
Oczywiście zdarza się, że kandydat umieści w swoim CV dane ponad to czego się od niego wymaga i co jest przewidziane przepisami prawa, np. zdjęcie czy datę urodzenia, a odpowiedzią na to jest odpowiednio opracowana klauzula informacyjna. Wystarczy dodać w niej zapis o treści: „Podanie innych danych w zakresie nieokreślonym przepisami prawa, zostanie potraktowane jako zgoda ( 6 ust. 1 lit a RODO) na przetwarzanie tych danych osobowych. Wyrażenie zgody w tym przypadku jest dobrowolne, a zgodę tak wyrażoną można odwołać w dowolnym czasie.” Widzisz więc, że RODO w procesie rekrutacji nie jest zbyt skomplikowane i wystarczy znać kilka podstawowych zasad którymi należy się kierować podczas poszukiwania praciwników.
Jeśli prowadzisz firmę i nie posiadasz jeszcze pakietu dokumentów w którym znajdziesz min. instrukcje i dokumenty związane z procesem rekrutacji, to zajrzyj do naszego sklepu online w którym znajdziesz dokumentację przygotowaną przez specjalistów zgodną z obowiązującym prawem.
Tu mnie znajdziesz:
Dołącz do mnie na Facebooku
Nie omieszkaj wbić się na instagram
YT A tu obejrzysz porady wideo
utworzone przez Anna Zamojcin | paź 18, 2022
Monitoring zgodny z RODO
Monitoring wizyjny nie jest czymś niezwykłym. Przedsiębiorcy wprowadzają go, aby podnieść bezpieczeństwo obiektu czy jako materiał dowodowy w przypadku konfliktu czy naruszeń jakie miały miejsce na terenie firmy czy instytucji.
Czy monitoring podlega RODO?
Niezależnie od celu, w jakim monitoring jest wdrożony, jest on narzędziem, w którym przetwarzamy biometryczne dane wizerunku różnych osób, zatem monitoring musi być zgodny z RODO. Wyzwaniem jest nie tyle odpowiednie rozmieszczenie kamer, ile prawidłowe postępowanie z nagraniami. Ważna informacja dla właścicieli monitoringu to taka, że w opinii Prezesa Urzędu Ochrony Danych Osobowych „przepisy o monitoringu nie zezwalają na nagrywanie dźwięku towarzyszącego zdarzeniom. Takie uprawnienia posiadają jedynie służby porządkowe i specjalne na podstawie ustaw regulujących ich działalność
Gdzie umieścić rejestrator monitoringu?
Kamery monitoringu prawie zawsze są podłączone do systemu, który pozwala na nagrywanie obrazu. Każdy sprzedawca tego typu rozwiązań oferuje swoje produkty, które najczęściej są zgodne z powszechnymi standardami. Jednym z nich jest zapis nagrań w postaci plików DAW. Lokalne rejestratory to urządzenia z odpowiednie dużymi i szybkimi dyskami oraz specjalistycznym oprogramowaniem do przechowywania, odtwarzania i zarządzania zapisanymi danymi.
Podstawowy problem z tego typu urządzeniami polega na tym, że większość z nich nie szyfruje danych zapisywanych na dyskach. Oznacza to, że niepowołana osoba, która uzyska dostęp do dysków, może podłączyć je do innego rejestratora tego samego producenta, lub nawet do zwykłego domowego komputera, uzyskując tym samym dostęp do zapisanych nagrań. Wymiana rejestratora na nowy model może być kosztowna, a czasem niemożliwa. W takim przypadku przedsiębiorcy powinni skupić się na fizycznej ochronie dostępu do samego rejestratora.
Wybór odpowiednich środków ochrony zależy od możliwości przedsiębiorcy i warunków technicznych budynku czy pomieszczenia. Moim zdaniem warte rozważenia są następujące metody:
- Umieszczenie rejestratora w widocznym, publicznym miejscu. Może być nim na przykład główny hol albo recepcja biura. Dzięki temu każdy dostęp do nagrań będzie odbywał się na oczach innych osób, a podejrzanie zachowanie może zwrócić uwagę pracowników.
- Zamknij rejestrator w szafie teleinformatycznej i zabezpiecz do niej dostęp dwoma zamkami. Najlepiej niech będą to dwie kłódki. Fabryczny zamek do szaf teleinformatycznych jest dość standardowy i nawet amator w prosty sposób go otworzy. Nie przechowuj kluzy do kłódek w jednym miejscu – najlepiej, aby do otwarcia szafy potrzebna była obecność dwóch osób, z których każda dysponuje tylko jednym z kluczy.
- Zainstaluj rejestrator w pomieszczeniu z kontrolą dostępu. Może być to zamek elektromagnetyczny otwierany za pomocą karty zbliżeniowej. Jako dodatkowe zabezpieczenie zamykaj pomieszczenie na klucz, który udostępniany jest tylko powołanym osobom wedle ścisłej procedury.
Pamiętaj, że jeżeli nie możesz wyeliminować ryzyka, to należy je zminimalizować.
Rejestracja obrazu z kamer w innej lokalizacji
Często przedsiębiorcy oprócz zapisywania obrazu z kamer lokalnie stosują także systemy pozwalające na przesłanie obrazu do rejestratorów znajdujących się w innej lokalizacji. Jeżeli znajduje się tam fizyczny rejestrator, pamiętaj o wdrożeniu zasad bezpieczeństwa jak dla lokalnego urządzenia. Najczęściej jednak w tego typu rozwiązaniach stosuje się oprogramowanie zainstalowane na zwykłym komputerze czy wirtualnym serwerze. Musisz zatem pamiętać o wszystkich dobrych praktykach związanych z zabezpieczeniem komputera, w tym o odpowiedniej kontroli dostępu, monitorowaniu czy szyfrowaniu dysków, na których zapisywane są jakiekolwiek dane.
Wielu przedsiębiorców zapomina, że należy także odpowiednio zabezpieczyć kanał komunikacji między siedzibą firmy a zdalną serwerownią. Przesyłanie niezabezpieczonego obrazu w sieci lokalnej czy poprzez internet może spowodować jego podsłuchanie. W tym celu zalecane jest szyfrowanie ruchu. Niestety rozwiązanie takie może być dość kosztowne. Im lepszej jakości obraz będzie nagrywany, tym więcej pasma potrzebujesz na jego przesłania. W efekcie im większa będzie jakość obrazu, tym mocniejsze urządzenie do szyfrowania potrzebujesz. Alternatywny rozwiązaniem może być wykupienie usługi transmisji danych pomiędzy łączącymi dwie lokalizacje od operatora telekomunikacyjnego. Usługa taka zapewnia izolowany logicznie kanał komunikacji poprzez sieć operatora. Może to być rozwiązanie tańsze niż samodzielne szyfrowanie ruchu przesyłanego poprzez Internet. monitoring zgodny z rodo
Monitoring wizyjny w chmurze
Bardzo dobrym rozwiązaniem będzie zastosowanie monitoringu wizyjnego w systemie chmurowym, ale czy to da nam pewność, że nasz monitoring jest zgodny z RODO?. Na zestaw taki składają się kamery IP, oprogramowanie, łącze internetowe, serwer w chmurze. polega to na tym, że obraz rejestrowany przez kamery jest automatycznie przesyłany na zewnętrzny serwer i zapisywany w ramach przyznanego limitu miejsca. Eliminuje to konieczność posiadania własnego rejestratora, a tym samym – przynajmniej teoretycznie – obniża koszt zakupu i wykonania całego systemu monitoringu.
W ten sposób eliminujesz niebezpieczeństwo związane z niepowołanym dostępem osób trzecich do fizycznego rejestratora. Zazwyczaj dostawcy takich rozwiązań bardzo dobrze zabezpieczają cały system czyniąc go bezpiecznym i niezawodnym. Tutaj jedynym zagrożeniem może być utrata danych do logowania, lub pozyskanie ich przez osoby niepowołane, które w ten sposób uzyskają dostęp do nagrań z monitoringu.
Oczywiście jak każde rozwiązanie tak i to ma swoje wady. Po pierwsze żadna usługa chmurowa nie gwarantuje 100% ochrony zapisu i można sobie wyobrazić sytuację, w której obraz z kamer zostaje zniszczony czy przechwycony w celu ustalenia np. stanu posiadania właściciela monitorowanego budynku i po drugie w wersji płatnej, czyli takiej z której możemy korzystać z kilkunastu kamer oraz przechowywać nagrany obraz przez okres dłuższy niż jeden dzień – jest to dość spory wydatek.
W każdy przypadku trzeba przeanalizować ryzyko oraz przeliczyć ewentualne wydatki oraz określić własne potrzeby jakie wiążą się z każdym systemem monitoringu. Bez względu na to, na co się zdecydujemy należy pamiętać, aby był to monitoring zgodny z RODO. W artykule Hosting zgodny z RODO dowiedz się więcej na temat hostingu i jego zabezpieczenia
Jeśli prowadzisz firmę i nie posiadasz jeszcze pakietu dokumentów systemowych RODO, to zajrzyj do naszego sklepu online w którym znajdziesz dokumentację przygotowaną przez specjalistów zgodną z obowiązującym prawem.
Tu mnie znajdziesz:
Dołącz do mnie na Facebooku
Nie omieszkaj wbić się na instagram
YT A tu obejrzysz porady wideo
utworzone przez Anna Zamojcin | paź 11, 2022
Jak skutecznie usunąć dane osobowe?
Gdy wygaśnie Twoje prawo do przetwarzania danych osobowych musisz je usunąć. Samo ich przechowywanie jest czynnością przetwarzania, co do której musisz mieć podstawę. Dlatego dane, których przetwarzać już nie możesz – musisz zniszczyć. Ale jak skutecznie usnąć dane osobowe? Czasem będzie się wiązało to z ich anonimizacją, innym razem z fizycznym zniszczeniem samego nośnika. Niszczenie danych lub nośników, na których zostały one zapisane, to czynności, które powinien znać każdy administrator. Musisz zatem poznać bezpieczne i skuteczne metody niszczenia nośników danych. Przyjrzyjmy się sytuacjom, gdy dane zapisaliśmy na papierze, płycie CD czy dysku HDD.
Jak zniszczyć dane papierowe?
Jeżeli przetwarzasz dane w formie papierowej to niszczenie dokumentów najlepiej przeprowadzać w niszczarce. Ceny dobrych niszczarek do dokumentów poufnych rozpoczynają się już od 500 złotych. Niszczarka musi być zgodna z normą DIN 66399. W jej ramach zdefiniowane jest 7 poziomów bezpieczeństwa w niszczeniu dokumentów. Różnią się one między sobą szerokością, długością i powierzchnią paska ścinki powstającego jako wynik niszczenia dokumentu.
Aby skutecznie zniszczyć dane papierowe wybierz niszczarkę stosując się do prostych zasad:
- Nie stosuj niszczarek o najniższych poziomach bezpieczeństwa P-1 i P-2. Tworzą one paski o praktycznie nielimitowanej długości. Pamiętasz film „Operacja Argo” i scenę, w której dzieci sklejają z pasków w całość dokumenty zniszczone w ambasadzie USA? To właśnie ten typ niszczarki. W dzisiejszych czasach powinno się w nich niszczyć jedynie dokumenty zawierające korespondencję wewnętrzną.
- Urządzenia o poziomie P-3 i wyższym tworzą ścinki, a nie paski. Ponadto poza dokumentami papierowymi można w nich niszczyć nośniki danych takie jak płyty CD/DVD czy plastikowe identyfikatory. Urządzenia o poziomie P-3 należy używać, gdy niszczone są zwykłe dane osobowe, lub wrażliwe i poufne dokumenty firmowe.
- Niszczarki o poziomie P-4 należy stosować do trwałego niszczenia dokumentów i nośników danych zawierających szczególne kategorie danych osobowych, na przykład dane medyczne.
- Urządzenia o poziomie P-5 do P-7 stosuje się do niszczenia dokumentów, którym nadawane są rządowe lub wojskowe klasyfikacje poufności i tajności. Oczywiście nic nie stoi na przeszkodzie, by stosować je także w małej firmie. Pamiętaj jednak, że są to już urządzenia droższe i niekoniecznie najmniejsze.
Jak usunąć dane z komputera z dysku twardego?
O ile płytę CD czy DVD możesz zniszczyć w niszczarce, samodzielne fizyczne zniszczenie dysku twardego z Twojego komputera jest niewykonalne. Rozmontowanie dysku talerzowego na części nie oznacza zniszczenia danych. Są one nadal zapisane w formie magnetycznej na specjalnych talerzach. Zatem samo ich usunięcie z obudowy dysku twardego nie spowoduje zniszczenia zapisanych na nich danych.
Możesz usunąć dane z komputera z dysku twardego poprzez wielokrotne nadpisanie wszystkich sektorów dysku. Inaczej mówiąc nadpisywane są wszystkie miejsca na talerzach dysku, które przechowują dane. Każdy z takich sektorów może przyjąć binarną wartość 0 lub 1. Wszystkie Twoje pliki to dla komputera wielkie uporządkowane zbiory zer i jedynek. Operację usuwania danych przez nadpisywanie należy wykonywać zewnętrznymi programami do tego przeznaczonymi.
Istnieje co najmniej kilkanaście standardów pozwalających usunąć dane osobowe przez wielokrotne nadpisanie sektorów dysku twardego. Jednym z nich jest DoD 5220.22-M. Jest to standard opublikowany przez U.S. Department of Defense (DoD). Jego podstawowa wersja zakłada nadpisanie dysku w trzech cyklach. W pierwszym z nich wszystkie sektory nośnika są nadpisywane zerami. W drugim cyklu program czyszczący nadpisuje wszystkie sektory jedynkami. W trzecim zaś ponownie każdy sektor zapisywany jest w sposób losowy zerem lub jedynką. Na koniec wykonywany jest jeszcze czwarty, kontrolny cykl weryfikujący.
Oryginalny standard DoD 5220.22-M składa się zatem z trzech cykli nadpisywania danych. W 2001 roku został on w specyfikacji DoD 5220.22-M ECE rozszerzony do siedmiu cykli. Oba te standardy, bardzo rozpowszechnione, nie są już uważane za w pełni bezpieczne. Co więcej są wysoce nieskuteczne w przypadku dysków SSD. Oryginalny DoD 5220.22-M nie jest uznawany za skuteczny już od 2001 roku. Jego nowsze wydania od 6 maja 2019 roku nie znajdują się w dozwolonych metodach w jednostkach rządowych Stanów Zjednoczonych. Obecnie wymaga się stosowania metod opisanych w NIST SP 800-88.
Kolejnym narzędziem za pomocą którego możemy usunąć dane z dysku magnetycznego jest Hardwipe – bezpłatne narzędzie, z pomocą którego trwale usuniemy poufne dane przechowywane na dysku twardym (bez możliwości ich odzyskania). Możesz również oczyszczanie dysku z danych powierzyć wyspecjalizowanej firmie, która skutecznie zniszczy dane osobowe zmagazynowane na dyskach twardych.
Pamiętaj aby z procesu niszczenia danych osobowych sporządzić raport lub protokół, który spełni zasadę rozliczalności z tego procesu. Wzór takiego raportu znajdziesz tu: protokół zniszczenia
Więcej na temat usuwania danych osobowych oraz wygaśnięcia prawa do ich przetwarzania znajdziesz w innym moim tekście pod tym linkiem
Jeśli prowadzisz firmę i nie posiadasz jeszcze pakietu dokumentów systemowych RODO, to zajrzyj do naszego sklepu online w którym znajdziesz dokumentację przygotowaną przez specjalistów zgodną z obowiązującym prawem.
Tu mnie znajdziesz:
Dołącz do mnie na Facebooku
Nie omieszkaj wbić się na instagram
YT A tu obejrzysz porady wideo
utworzone przez Anna Zamojcin | paź 12, 2021
Służbowa Komórka i laptop a RODO
W ostatnich latach głośnym echem przez media przeszła sprawa aplikacji FaceApp pozwalającej na modyfikację wizerunku osoby ze zdjęcia. Niezwykle popularna stała się funkcja pozwalająca zobaczyć, jak osoba ze zdjęcia może wyglądać za 20-30 lat. Odezwały się głosy urzędników z Ministerstwa Cyfryzacji o niebezpieczeństwie utraty danych z telefonu, czy specjalistów od bezpieczeństwa z Niebezpiecznika o tym, jak sprzedajemy swoje dane w zamian za darmowe aplikacje.
A co jeżeli w taki sam nierozważny sposób używamy służbowego telefonu? Czy narażamy się na wyciek danych, incydent przetwarzania, kary i utratę reputacji? Zdecydowanie tak, dlatego musisz zmienić swoje przyzwyczajenia i na początek wdrożyć proste zasady używania komórki i laptopa.
Zanim zajmę się samymi aspektami korzystania ze służbowego telefonu, muszę jasno odpowiedzieć na bardzo często powtarzające się pytanie – kiedy mówimy o przetwarzaniu danych osobowych? Odpowiedź jest prosta: zawsze, chyba że mamy do czynienia z jednym z wyłączeń zdefiniowanych w RODO. Zatem bardziej słuszne jest pytanie – kiedy nie przetwarzasz danych osobowych? Nie przetwarzasz danych osobowych używając komórki prywatnej do prywatnych celów.
Prywatny sprzęt do celów służbowych
Pojęcie „służbowy telefon” czy „służbowy laptop” bardzo często pojawia się w słowniku osób zatrudnionych w korporacjach. Wiele z nich kusiło możliwością wykorzystywania sprzętu służbowego do celów prywatnych, stosując to jako zachętę do podjęcia pracy. Natomiast osoby pracujące w modelu b2b często do pracy wykorzystywały swoje urządzenia, a nie te dostarczone przez zleceniodawcę. Doprowadzało to do sytuacji w której dane prywatne były przechowywane razem z danymi służbowymi.
Łączenie funkcji telefonu służbowego i prywatnego jest wygodne, ale może być niebezpieczne z punktu widzenia RODO. Dane prywatne i służbowe zaczynają się na nim mieszać. RODO nie jest rozporządzeniem zawierającym detale techniczne, mówiące jak należy wdrażać zawarte w nim zapisy. To przedsiębiorca ma podejmować odpowiednie decyzje, uwzględniając charakter branży, zakres przetwarzanych danych czy zagrożenia. Zatem nie znajdziemy w nim pojęć urządzenia prywatnego czy służbowego. Pracodawca, który wyraził zgodę na wykorzystywanie przez pracownika prywatnych urządzeń do wykonywania obowiązków służbowych musi zastosować odpowiednie procedury, polityki i uwzględnić sytuację w analizie ryzyka.
Poniżej kilka rad, na jakie aspekty przede wszystkim zwracać uwagę i jak wdrożyć proste zasady używania komórki i laptopa u siebie i swoich pracowników.
Jak zabezpieczyć komórkę i laptopa
Na początku zadbaj o bezpieczeństwo fizyczne urządzenia i zapisanych w nim danych. Poniżej znajdziesz zasady, które musisz sobie przyswoić niezależnie od tego, czy to Twoje urządzenie prywatne, czy służbowe:
- Zabezpiecz dostęp do komputera silnym hasłem (co najmniej kilkanaście znaków w tym duże i małe litery, cyfry i znaki specjalne). Jak takie hasło stworzyć możesz przeczytać tutaj. Alternatywnie użyj managera haseł. Pamiętaj by nie stosować tego hasła nigdzie indziej.
- W urządzeniach mobilnych zastosuj również alfanumeryczne hasło. Jeżeli zdecydujesz się na kod PIN, niech będzie on co najmniej 6-cyfrowy. Zastosowanie dodatkowo biometrii, czyli odcisku palca lub rozpoznawania twarzy, także jest bezpieczne. Co do zasady musisz mieć ustawione możliwie najsilniejsze zabezpieczenie. Sprawdź jednak, jak awaryjnie się je wyłącza (np. w iPhone wystarczy 5 razy szybko kliknąć przycisk z prawej strony, którym normalnie blokujesz telefon).
- Jeżeli Twój telefon na to pozwala, włącz opcję przywracania ustawień fabrycznych po 10 nieudanych próbach logowania.
- Włącz szyfrowanie dysków, pamięć telefonu czy wymiennych kart pamięci. Na komputerach musisz je włączyć samodzielnie (BitLocker w Windows, FileVault w MacOS). Pamiętaj, że szyfrowanie nic nie da, jeżeli nadal będziesz komputer usypiać po skończonej pracy. W takim stanie klucze szyfrujące są nadal w pamięci urządzenia. Musisz je albo wyłączyć, albo hibernować.
- Telefony i tablety Apple mają domyślnie włączone szyfrowanie pamięci, tak samo nowsze urządzenia z Androidem. W starych musisz to zabezpieczenie włączyć samodzielnie. Nie zapomnij o wyjmowalnych kartach pamięci!
- W przypadku zgubienia czy kradzieży telefonu skorzystaj z dostarczonych przez producentów narzędzi pozwalających na zlokalizowanie urządzenia. Koniecznie wymuś jego wyczyszczenie i przywrócenie do ustawień fabrycznych zdalnie, gdyby tylko zguba zalogowała się do sieci GSM albo WiFi.
- W żadnym wypadku nie dawaj urządzenia do rąk nieznajomym, a już na pewno, gdy jest ono odblokowane. Odchodząc od komputera pamiętaj by go zablokować, a gdy odchodzisz na dłużej wyłączaj lub hibernuj.
Poczta, kalendarz, kontakty – zasady współdzielenia
Bardzo wygodnym rozwiązaniem jest wykorzystywanie tego samego urządzenia do obsługi prywatnej i służbowej poczty, kalendarza czy książki adresowej. Niemniej chwila nieuwagi może skończyć się incydentem, który co najmniej musisz odnotować w rejestrze incydentów. Wystarczy, że wyślesz e-mail z prywatnej skrzynki zamiast służbowej, lub zapiszesz dane kontaktowe w złej książce adresowej. Dlatego wprowadź proste i czytelne zasady oddzielania danych prywatnych i służbowych.
Aby uniknąć takich sytuacji, postaraj się korzystać z oddzielnych aplikacji do czynności prywatnych i służbowych. Tak robię ja. Do poczty prywatnej na telefonie czy laptopie wykorzystuję Apple Mail, czyli wbudowaną aplikację w MacOS czy iOS. Do służbowej zaś, ponieważ korzystam z pakietu Office365, mam na urządzeniach zainstalowanego klienta Microsoft Outlook. Ty możesz zainstalować dowolną inną aplikację pocztową do swojej skrzynki. W przypadku kalendarza przyjęłam zasadę, że korzystam tylko z usługi z Office365 zarówno do celów prywatnych, jak i służbowych, ewentualnie zapisuje wydarzenia bezpośrednio w wewnętrznym kalendarzu telefonu.
Prywatne spotkania i tak wpływają na wydarzenia służbowe, a dzięki temu nie ryzykuję zapisania służbowego spotkania z danymi klienta w prywatnym kalendarzu. Pilnuję jednak, żeby raczej nie wpisywać danych osobowych w prywatne spotkania. W przypadku, gdy zatrudniasz osoby możesz w regulaminie zakazać takiego współdzielenia kalendarza. Stwórz regulamin który będzie zawierać spisane wszystkie zasady korzystania z urządzeń w firmie. Służbowa komórka i laptop a rodo
Uprawnienia aplikacji na telefonie
Jest takie powiedzenie, że jednym z dwóch największych kłamstw Internetu jest stwierdzenie „przeczytałem i akceptuję warunki użytkowania„. Niestety prawda jest taka, że niewiele osób zawraca sobie głowę przeczytaniem polityki prywatności. Często nie jest ona napisana najprostszym językiem, mimo że RODO to narzuca. Prowadzi to do sytuacji, że powierzamy nasze dane, często bardzo osobiste, firmom trzecim i tracimy w ten sposób nad nimi kontrolę, a także naszą prywatność.
Jako społeczeństwo mamy nawyk dość lekkomyślnego zgadzania się na dostęp do zgromadzonych na urządzeniu danych o nas i osobach trzecich. Udostępniamy je aplikacji i jej twórcom bez świadomości co się z nimi będzie działo. Jest to ignorancja która powoduje, że nie zapala nam się w głowie żółta ostrzegawcza lampka, gdy aplikacja kalkulatora prosi o dostęp do książki adresowej czy zdjęć. A powinna, bo przecież po co kalkulatorowi dostęp do tych danych?
Warto zachować czujność, gdy nowo zainstalowana na telefonie aplikacja prosi o dostęp do poczty, książki adresowej, kalendarza, zdjęć lub plików. Niebezpieczna może być też zgoda na monitorowanie wykonywanych na telefonie czynności. Aplikacje bankowe czy pozwalające na zamówienie przewozu często proszą o dostęp do książki adresowej, aby ułatwić przelewy czy wybór miejsca docelowego podróży. Zadaj sobie pytanie czy na pewno tego potrzebujesz. Ja rekomenduję, aby takiej zgody nie udzielać, jeżeli jednak chcesz z tych funkcjonalności korzystać, zadbaj o dopełnienie wszystkich wymogów formalnych, które stawia RODO.
Zarówno w życiu prywatnym, jak i w pracy zawodowej, trzeba z wyprzedzeniem myśleć i rozumieć jak działają aplikacje czy strony, którym przekazujemy jakieś dane. Zwracaj uwagę na to, czy masz uzasadniony cel, w którym je przekazujesz i podpisaną umowę powierzenia. Jeżeli aplikacja prosi o dostęp do zasobów pomyśl, czy na pewno jest to konieczne. W szczególności odmawiaj takiego dostępu, gdy wykorzystujesz ją do celów prywatnych. Łatwo w ten sposób możesz udostępnić dane osobowe klientów czy partnerów biznesowych.
Znane jest powiedzenie „lepiej zapobiegać niż leczyć„. Pasuje ono także do ochrony danych osobowych i samego ich przetwarzania. Lepiej zmienić swoje nawyki i nauczyć się nowych bezpiecznych zachowań, niż usuwać skutki incydentu. Wyciek danych może uszczuplić nie tylko Twój portfel, ale co ważniejsze nadszarpnąć reputację. Karę może nałożyć UODO, zadośćuczynienia domagać może się sam poszkodowany. Dlatego przede wszystkim przejrzyj swój telefon oraz laptop i cofnij uprawnienia aplikacjom, które nie są Ci niezbędne. Z części z nich po prostu zrezygnuj. Możesz też zakupić oddzielne urządzenia i całkowicie odseparować swoje sprawy zawodowe od prywatnych.
Potrzebujesz pomocy w sprawach bezpieczeństwa danych osobowych? Napisz do mnie. Chętnie pomogę Tobie, i Twojej firmie w dostosowaniu do wymogów i przepisów RODO
Jeśli prowadzisz firmę jednoosobową i nie posiadasz jeszcze systemy ochrony danych to tu znajdziesz gotowy pakiet dokumentacji RODO dla jednoosobowej działalności która pozwoli Ci bez wysiłku wdrożyć RODO w Twojej firmie.
Natomiast jeśli zatrudniasz pracowników to odpowiedni będzie dla Ciebie pakiet RODO dla pracodawców w którym znajdziesz dokumentację niezbędną do zachowania zgodności z rozporządzeniem o ochronie danych osobowych.
Tu mnie znajdziesz:
Dołącz do mnie na Facebooku
Nie omieszkaj wbić się na instagram
YT A tu obejrzysz porady wideo