Blog ODO 24

W bezpiecznym kierunku – bieżące wsparcie w zakresie RODO

RODO jest stosowane od 25 maja 2018 roku. Tymczasem najnowsze statystyki mówią o tym, że aż połowa polskich organizacji nie poradziła sobie z wdrożeniem przepisów RODO. Co więcej Prezes Urzędu Ochrony Danych Osobowych Edyta Bielak-Jomaa z początkiem września 2018 roku zapowiedziała, że kontrole już się rozpoczęły, a w pierwszej kolejności mogą się ich spodziewać przede wszystkim podmioty medyczne i stosujące monitoring, a także oświata i rejestry publiczne.

Agata Kłodzińska
25 października 2018
Analiza ryzyka dla zasobów przetwarzających dane osobowe

Większość osób kojarzy RODO z prawem, klauzulami zgód i obowiązkiem informacyjnym. Jednak nawet najlepiej wdrożony system ochrony danych od strony prawnej nie chroni w pełni przed incydentami. Artykuł 32 RODO wymaga, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych. Dzięki analizie ryzyka wiemy na przykład, żeby nie zapisywać danych osobowych lokalnie na laptopach, ponieważ w razie kradzieży sprzętu, utracimy je i musimy zgłosić taki incydent Prezesowi UODO. Poniżej odpowiadamy, czym jest analiza ryzyka, kiedy i jak jej dokonywać, a na końcu udostępniamy formularz.

Dr Paweł Mielniczek
16 października 2018
Konsekwencje nieprzestrzegania procedur ochrony danych osobowych

Dla wielu RODO to przede wszystkim astronomiczne kary pieniężne. Ciężko się dziwić, w końcu 20 milionów euro za nieprzestrzeganie zasad dotyczących przetwarzania danych osobowych to odczuwalna sankcja nawet dla największych organizacji. Powszechnie wiadomo również, że ewentualna administracyjna kara pieniężna może zostać nałożona jedynie na administratora danych lub podmiot przetwarzający, czyli w praktyce – na Twojego pracodawcę. Czy powyższe oznacza, że Tobie jako pracownikowi nie grożą żadne sankcje za nieprzestrzeganie obowiązujących w Twoim miejscu pracy procedur?

Agata Kłodzińska
11 października 2018
Identyfikatory a RODO - jakie dane mogą zawierać?

Wśród pracodawców pojawiają się wątpliwości czy noszenie przez pracowników identyfikatorów ze zdjęciem jest zgodne z obecnie obowiązującym prawem. Co do zasady, gdy dany podmiot przetwarza dane osobowe swoich pracowników, niewymienionych w Kodeksie pracy czy też w dalszych przepisach odrębnych, należy powołać się na jedną z podstaw przetwarzania danych wskazaną w RODO. W art. 22 [1] kodeksu pracy, wskazuje się na grupy danych osobowych, których żądać może pracodawca od osoby już zatrudnionej, wówczas nie jest wymagana zgoda pracownika na ich przetwarzanie.

Adw. Katarzyna Kirylczuk
04 października 2018
IOD własny czy z outsourcingu plusy i minusy

Jeśli mamy obowiązek powołać IOD-a w swojej organizacji (lub planujemy go wyznaczyć z innych powodów), stajemy przed wyborem, czy osoba wyznaczona do pełnienia tej funkcji będzie naszym pracownikiem, czy też osobą z zewnątrz: z kancelarii prawnej, wyspecjalizowanej firmy konsultingowej lub prowadzącą jednoosobową działalność gospodarczą. Tym razem porównujemy wady i zalety różnych modeli współpracy z IOD-em. Wiele organizacji w celu ograniczenia kosztów, do pełnienia funkcji IOD-a wyznacza szeregowych pracowników, którzy mają zajmować się ochroną danych obok dotychczasowych obowiązków. Nieprawidłowy wybór IOD-a może jednak stanowić niezgodność z art. 37 ust. 5 RODO, który stanowi: „inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39”.

Dr Paweł Mielniczek
21 września 2018
Ustawa o ochronie danych osobowych - najważniejsze różnice w stosunku do projektu

Po wielu przeprowadzonych konsultacjach społecznych i wynikających z nich zmianach w samym projekcie, ostatecznie ustalony kształt ustawy odbiega znacząco od tego proponowanego początkowo. Powodem jest uwzględnienie przez gospodarza procesu przygotowywania ustawy, a więc Ministerstwo Cyfryzacji, mnogości postulatów zgłaszanych przez aktywnych uczestników prac nad ustawą, reprezentujących różnorodne branże i gałęzie gospodarki. Wobec powyższego w niniejszym podsumowaniu zdecydowano się omówić najważniejsze zmiany, aby podczas zapoznawania się z przepisami ustawy wiedza na temat aktualnego stanu prawnego była całościowa.

Adw. Aleksandra Piotrowska
18 września 2018
Ocena skutków dla ochrony danych (DPIA) udostępniamy formularz

Odpowiadamy, czym jest DPIA, kiedy i jak jej dokonywać, a także udostępniamy przykładowy formularz, za pomocą którego przeprowadzą Państwo ocenę skutków dla ochrony danych w swojej organizacji.

Dr Paweł Mielniczek
24 sierpnia 2018
IOD zamiast ABI – jak powiadomić PUODO

Administrator bezpieczeństwa informacji (ABI) został „zastąpiony” 25 maja tego roku przez inspektora ochrony danych (IOD). RODO zmieniło nie tylko nazwę tej funkcji, ale także wymagania wobec osoby, która miałaby ją pełnić w organizacji oraz rozszerzyła zakres jej obowiązków. Wyznaczenie IOD jest obowiązkowe w określonych sytuacjach wskazanych w europejskim rozporządzeniu. Jeżeli organizacja zobowiązana jest do wyznaczenia IOD, to w Polsce musi powiadomić Prezesa Urzędu Ochrony Danych Osobowych (PUODO) do 31 lipca br.!

Joanna Ożóg
26 lipca 2018
Czy faktury podlegają RODO - najpopularniejsze fakty i mity

Panuje powszechne przekonanie, że faktura, a w szczególności faktura elektroniczna, nie zawiera danych osobowych, w związku z czym nie podlega przepisom europejskiego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. (RODO) oraz najnowszej ustawie o ochronie danych osobowych (z dnia 10 maja 2018 r.). Nic bardziej mylnego, rozprawiamy się z najczęściej spotykanymi wątpliwościami i niedopowiedzeniami na ten temat.

Zespół
ODO 24

21 czerwca 2018
Systemy w służbie ochrony danych

Zastosowane w organizacjach systemy powinny zapewniać poziom bezpieczeństwa adekwatny do wymagań oraz ryzyka, dając gwarancję, że ochrona przetwarzanych danych jest utrzymywana na jak najwyższym poziomie. Systemy te powinny być cyklicznie audytowane oraz dostosowywane do zmieniających się zagrożeń. Rozwiązania ochrony danych, powinny zapewnić między innymi: bezpieczeństwo baz danych oraz aplikacji webowych, analizę i korelację zdarzeń pochodzących z systemów przetwarzających dane a przede wszystkim przeciwdziałanie utracie danych (system Data Loss Prevention) oraz wspomaganie procesów klasyfikacji informacji.

Maciej Kaczmarski
29 maja 2018