PILNE

Dane naszych klientów są bezpieczne

11/08/2018 11:25
Prawo, naszych klientów bezpieczne - zdjęcie, fotografia

Z Ryszardem Myśliwskim - pełnomocnikiem zarządu Otwockiego Przedsiębiorstwa Wodociągów i Kanalizacji ds. ZSZ ISO rozmawia Andrzej Idziak

- 25 maja br. weszło w życie Ogólne Rozporządzenie o Ochronie Danych Osobowych. W jakim zakresie przetwarzacie dane swoich klientów?

- Ściślej rzecz biorąc, rozporządzenie weszło w życie 24 maja 2016 r., a od 25 maja tego roku znajduje swoje zastosowanie w praktyce. Wszystkie podmioty gromadzące i przetwarzające dane osobowe miały więc 2 lata na przygotowanie i dostosowanie się do nowych przepisów. Nasza spółka już w maju 2014 r. wprowadziła „Politykę bezpieczeństwa informacji” oraz opracowała instrukcję, jak pracować z systemem informacji oraz zarządzać zasobami informatycznymi służącymi do przetwarzania danych osobowych.

Kiedy w 2010 r. wdrożyliśmy zintegrowany system zarządzania ISO, a w szczególności normę zarządzania jakością PN-EN ISO 9001, musieliśmy zmodyfikować naszą procedurę identyfikacji oraz ocenę zgodności z wymaganiami prawnymi odnoszącymi się do naszej działalności. Również jeżeli chodzi o wymagania indywidualne wynikające np. z podjętych decyzji, potrzeb czy oczekiwań zainteresowanych. Pomogło nam to przeprowadzić analizę naszych procedur i przygotować się do wymogów RODO oraz bieżących aktualizacji przepisów prawa.
Zakres przetwarzania danych w naszej spółce zależy od kategorii osób, których dane dotyczą. Kategorie, którymi się posługujemy to: klienci, potencjalni pracownicy i współpracownicy, pracownicy i współpracownicy, w tym - byli pracownicy i współpracownicy oraz członkowie ich rodzin, potencjalni dostawcy i ich pracownicy bądź współpracownicy, dostawcy i ich pracownicy i współpracownicy, i tak dalej. Wszystkie kategorie zostały zidentyfikowane zgodnie z obowiązującą w naszym przedsiębiorstwie „Polityką ochrony danych osobowych”.

- O jakiej skali liczbowej mówimy, jeżeli chodzi o przetwarzanie danych w przypadku takiego przedsiębiorstwa jak Wasze?
- W zależności od kategorii są to różne liczby. Najliczniejszą grupę stanowią klienci indywidualni i zbiorowi (wspólnoty oraz spółdzielnie mieszkaniowe) - to ponad 7000 umów, następnie firmy i zakłady - to ponad 300 podmiotów i w końcu ponad 100 klientów reprezentujących instytucje administracji użyteczności publicznej. Liczną kategorię stanowią również nasi pracownicy i współpracownicy oraz członkowie ich rodzin.

Zgodnie z obowiązującą ustawą o zamówieniach publicznych jesteśmy zobowiązani również do przetwarzania danych osobowych naszych wykonawców i podwykonawców. Nie jest to może duża skala, ale i ona poddana jest ścisłym rygorom ochrony danych. W ramach prowadzonej przez nas działalności zdarza się także, że powierzamy przetwarzanie danych osobowych również innym podmiotom (np. towarzystwu ubezpieczeniowemu, przychodni medycyny pracy, kancelarii prawnej czy firmie ochroniarskiej). Robimy to oczywiście na zasadach określonych w umowie oraz zgodnie z przepisami regulującymi przetwarzanie danych osobowych określonymi w szczególności przez RODO.

- Jak w OPWiK realizowana jest kwestia wypełnienia obowiązku informacyjnego?
- Zgodnie z art. 13 i 14 Ogólnego rozporządzenia o ochronie danych na naszej stronie internetowej jest umieszczona klauzula informująca  klientów, kto jest administratorem ich danych, na jakiej podstawie, w jakim celu i na jaki okres. Informujemy również o ich prawach, tzn. dostępie do treści swoich danych, możliwości ich sprostowania lub ograniczenia przetwarzania, jak również o prawie do wniesienia sprzeciwu wobec ich przetwarzania, prawie do ich przeniesienia oraz wniesienia skargi do organu nadzorczego.
Obowiązek informacyjny realizowany jest również wobec osób ubiegających się o zatrudnienie w naszym przedsiębiorstwie, w stosunku do wykonawców lub zleceniobiorców, jak również w przypadku, kiedy dane osobowe zbierane są w sposób inny niż od osoby, której one dotyczą.

- Przetwarzanie danych osobowych bezpośrednio wiąże się ich bezpieczeństwem. Jak są chronione dane klientów OPWiK?
- Za bezpieczeństwo pozyskanych przez nas danych odpowiada administrator, czyli w naszej strukturze organizacyjnej zarząd spółki, Inspektor Ochrony Danych pełni zaś funkcję doradczą. Ten pierwszy  musi zapewnić zasoby od strony organizacyjnej, drugi - zadbać o kwestie techniczne i ludzkie. W praktyce wygląda to tak, że zarząd podejmuje stosowne zarządzenia, zabezpiecza środki finansowe na zakup odpowiednich narzędzi, a ja - po przeprowadzeniu konkretnej analizy - proponuję adekwatne i rozsądne z ekonomicznego punktu widzenia rozwiązania techniczne oraz dbam o przeszkolenie pracowników zajmujących się zbieraniem i przetwarzaniem danych osobowych. W ramach działań organizacyjnych mieści się monitoring „Polityki ochrony danych osobowych”, opieka nad środowiskiem informatycznym ze strony kierownika komórki ds. IT oraz zbieranie od osób upoważnionych oświadczeń o zachowaniu poufności danych osobowych, sposobie ich zabezpieczenia i czynnościach, jakim są poddawane zgodnie z art. 30 RODO. Od strony technicznej wprowadzone zostały m.in.: zabezpieczenia, które zapewniają poufność przetwarzanych danych osobowych, ich integralność oraz rozliczalność.

Mogę zapewnić, że wszystkie podejmowane przez nas działania, zarówno organizacyjne, jak i techniczne, są skuteczne i odpowiednio chronią dane osobowe i inne przed „wyciekiem” na zewnątrz.

- Czy RODO dyktuje stosowanie określonych technologii lub  procesów?

- Nie. RODO ustanawia jedynie rozległy zbiór norm i wymogów, które należy spełnić przy przetwarzaniu danych osobowych, ale nie narzuca konkretnych technologii, procesów czy systemów. W celu zapewnienia bezpieczeństwa przetwarzanych danych oraz ich zgodności z rozporządzeniem, przedsiębiorstwa mogą stosować różnego rodzaju środki techniczne i organizacyjne.

- Czy prowadzicie analizę ryzyka i podatności na ewentualne zagrożenia?
- Oczywiście. W ramach „Procedury zarządzania ryzykiem”, zarówno kierownictwo OPWiK, kierownicy komórek organizacyjnych, jak i pozostali pracownicy oraz współpracownicy spółki, doskonale zdają sobie sprawę z ewentualnego ryzyka związanego z przetwarzaniem danych i wiedzą, jak reagować w sytuacjach kryzysowych. Przeanalizowane zostały i oszacowane pod tym kątem zarówno zasoby informatyczne - komputery, na których przechowywane są dane, aplikacje stosowane do ich przetwarzania, jak również pomieszczenia, w których chronione są zasoby informacyjne. System został poddany także weryfikacji pod względem podatności na hipotetyczne zagrożenia oraz ewentualne skutki, jakie może wywołać utrata danych osobowych. Zidentyfikowany poziom ryzyka takich sytuacji w spółce został oszacowany na poziomie średnim i wysokim, co oznacza, że przy okresowym i stałym monitorowaniu procesów przetwarzania danych - prawdopodobieństwo wystąpienia zdarzeń kryzysowych jest znikome.

- Czy z wejściem w życie RODO wprowadziliście w OPWiK jakieś szczególne kroki wzmacniające bezpieczeństwo danych?

- Jak już wspomniałem wcześniej, samo szacowanie ryzyka wymagało od nas stworzenia odpowiednich procedur zarządzania. Musieliśmy bowiem zidentyfikować procesy, w których dochodzi do przetwarzania danych i określić, jak powinien wyglądać właściwy sposób ich przetwarzania. Zidentyfikować zagrożenia i słabości, jakie występują we wszystkich procesach i ocenić ich skutki. To była ogromna praca, podczas której opracowaliśmy procedurę oceny skutków, wprowadziliśmy arkusze ocen i wreszcie sposób przeprowadzania audytów zgodności. Te wszystkie poczynania zostały wykonane po to, aby nasz system bezpieczeństwa danych był maksymalnie szczelny. Wprowadziliśmy także dodatkowe zabezpieczenia systemu informatycznego, ale o nich, proszę wybaczyć, ze względów bezpieczeństwa. nie chciałbym mówić…

- Dziękuję za rozmowę.

Reklama

Dane naszych klientów są bezpieczne komentarze opinie

Dodajesz jako: |
Reklama

Ogłoszenia PREMIUM

Chcesz coś sprzedać lub kupić, oferujesz usługi, szukasz pracownika lub pracy?

Dodaj swoje drobne ogłoszenie w naszym serwisie. Zapraszamy!

Dodaj ogłoszenie
Reklama


 Reklama


25 maja 2018 roku weszło w życie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku tzw. RODO. Nowe prawo nakłada na nas obowiązek uzyskania Twojej zgody na przetwarzanie przez nas danych osobowych w plikach cookies

Oświadczam, iż zapoznałem sie z Polityką prywatności i zgadzam się na zapisywanie i przechowywanie w mojej przeglądarce internetowej tzw. plików cookies oraz na przetwarzanie zaszyfrowanych w nich danych osobowych pozostawianych w czasie korzystania z innych stron internetowych, serwisów oraz parametrów zapisywanych w plikach cookies w celach marketingowych, w tym na profilowanie i w celach analitycznych przez iotwock.info, oraz ZAUFANYCH PARTNERÓW.

Administratorzy danych / Podmioty którym powierzenie przetwarzania powierzono

"WBB" PAŚNICZEK IRENEUSZ JÓZEF z siedzibą w Otwock 05-400, WSPANIAŁA 35 B.,

Cele przetwarzania danych

1.marketing, w tym profilowanie i cele analityczne
2.świadczenie usług drogą elektroniczną
3.dopasowanie treści stron internetowych do preferencji i zainteresowań
4.wykrywanie botów i nadużyć w usługach
5.pomiary statystyczne i udoskonalenie usług (cele analityczne)


Podstawy prawne przetwarzania danych


1.marketing, w tym profilowanie oraz cele analityczne – zgoda
2.świadczenie usług drogą elektroniczną - niezbędność danych do świadczenia usługi
3.pozostałe cele - uzasadniony interes administratora danych


Odbiorcy danych

Podmioty przetwarzające dane na zlecenie administratora danych, w tym podmioty ZAUFANI PARTNERZY, agencje marketingowe oraz podmioty uprawnione do uzyskania danych na podstawie obowiązującego prawa.

Prawa osoby, której dane dotyczą

Prawo żądania sprostowania, usunięcia lub ograniczenia przetwarzania danych; prawo wycofania zgody na przetwarzanie danych osobowych. Inne prawa osoby, której dane dotyczą.

Informacje dodatkowe

Więcej o zasadach przetwarzania danych w "Polityce prywatności"