W bezpiecznym kierunku – bieżące wsparcie w zakresie RODO
RODO jest stosowane od 25 maja 2018 roku. Tymczasem najnowsze statystyki mówią o tym, że aż połowa polskich organizacji nie poradziła sobie z wdrożeniem przepisów RODO. Co więcej Prezes Urzędu Ochrony Danych Osobowych Edyta Bielak-Jomaa z początkiem września 2018 roku zapowiedziała, że kontrole już się rozpoczęły, a w pierwszej kolejności mogą się ich spodziewać przede wszystkim podmioty medyczne i stosujące monitoring, a także oświata i rejestry publiczne.
Analiza ryzyka dla zasobów przetwarzających dane osobowe
Większość osób kojarzy RODO z prawem, klauzulami zgód i obowiązkiem informacyjnym. Jednak nawet najlepiej wdrożony system ochrony danych od strony prawnej nie chroni w pełni przed incydentami. Artykuł 32 RODO wymaga, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych. Dzięki analizie ryzyka wiemy na przykład, żeby nie zapisywać danych osobowych lokalnie na laptopach, ponieważ w razie kradzieży sprzętu, utracimy je i musimy zgłosić taki incydent Prezesowi UODO. Poniżej odpowiadamy, czym jest analiza ryzyka, kiedy i jak jej dokonywać, a na końcu udostępniamy formularz.
Konsekwencje nieprzestrzegania procedur ochrony danych osobowych
Dla wielu RODO to przede wszystkim astronomiczne kary pieniężne. Ciężko się dziwić, w końcu 20 milionów euro za nieprzestrzeganie zasad dotyczących przetwarzania danych osobowych to odczuwalna sankcja nawet dla największych organizacji. Powszechnie wiadomo również, że ewentualna administracyjna kara pieniężna może zostać nałożona jedynie na administratora danych lub podmiot przetwarzający, czyli w praktyce – na Twojego pracodawcę. Czy powyższe oznacza, że Tobie jako pracownikowi nie grożą żadne sankcje za nieprzestrzeganie obowiązujących w Twoim miejscu pracy procedur?
Identyfikatory a RODO - jakie dane mogą zawierać?
Wśród pracodawców pojawiają się wątpliwości czy noszenie przez pracowników identyfikatorów ze zdjęciem jest zgodne z obecnie obowiązującym prawem. Co do zasady, gdy dany podmiot przetwarza dane osobowe swoich pracowników, niewymienionych w Kodeksie pracy czy też w dalszych przepisach odrębnych, należy powołać się na jedną z podstaw przetwarzania danych wskazaną w RODO. W art. 22 [1] kodeksu pracy, wskazuje się na grupy danych osobowych, których żądać może pracodawca od osoby już zatrudnionej, wówczas nie jest wymagana zgoda pracownika na ich przetwarzanie.
IOD własny czy z outsourcingu plusy i minusy
Jeśli mamy obowiązek powołać IOD-a w swojej organizacji (lub planujemy go wyznaczyć z innych powodów), stajemy przed wyborem, czy osoba wyznaczona do pełnienia tej funkcji będzie naszym pracownikiem, czy też osobą z zewnątrz: z kancelarii prawnej, wyspecjalizowanej firmy konsultingowej lub prowadzącą jednoosobową działalność gospodarczą. Tym razem porównujemy wady i zalety różnych modeli współpracy z IOD-em. Wiele organizacji w celu ograniczenia kosztów, do pełnienia funkcji IOD-a wyznacza szeregowych pracowników, którzy mają zajmować się ochroną danych obok dotychczasowych obowiązków. Nieprawidłowy wybór IOD-a może jednak stanowić niezgodność z art. 37 ust. 5 RODO, który stanowi: „inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39”.
Ustawa o ochronie danych osobowych - najważniejsze różnice w stosunku do projektu
Po wielu przeprowadzonych konsultacjach społecznych i wynikających z nich zmianach w samym projekcie, ostatecznie ustalony kształt ustawy odbiega znacząco od tego proponowanego początkowo. Powodem jest uwzględnienie przez gospodarza procesu przygotowywania ustawy, a więc Ministerstwo Cyfryzacji, mnogości postulatów zgłaszanych przez aktywnych uczestników prac nad ustawą, reprezentujących różnorodne branże i gałęzie gospodarki. Wobec powyższego w niniejszym podsumowaniu zdecydowano się omówić najważniejsze zmiany, aby podczas zapoznawania się z przepisami ustawy wiedza na temat aktualnego stanu prawnego była całościowa.
Ocena skutków dla ochrony danych (DPIA) udostępniamy formularz
Odpowiadamy, czym jest DPIA, kiedy i jak jej dokonywać, a także udostępniamy przykładowy formularz, za pomocą którego przeprowadzą Państwo ocenę skutków dla ochrony danych w swojej organizacji.
IOD zamiast ABI – jak powiadomić PUODO
Administrator bezpieczeństwa informacji (ABI) został „zastąpiony” 25 maja tego roku przez inspektora ochrony danych (IOD). RODO zmieniło nie tylko nazwę tej funkcji, ale także wymagania wobec osoby, która miałaby ją pełnić w organizacji oraz rozszerzyła zakres jej obowiązków. Wyznaczenie IOD jest obowiązkowe w określonych sytuacjach wskazanych w europejskim rozporządzeniu. Jeżeli organizacja zobowiązana jest do wyznaczenia IOD, to w Polsce musi powiadomić Prezesa Urzędu Ochrony Danych Osobowych (PUODO) do 31 lipca br.!
Czy faktury podlegają RODO - najpopularniejsze fakty i mity
Panuje powszechne przekonanie, że faktura, a w szczególności faktura elektroniczna, nie zawiera danych osobowych, w związku z czym nie podlega przepisom europejskiego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. (RODO) oraz najnowszej ustawie o ochronie danych osobowych (z dnia 10 maja 2018 r.). Nic bardziej mylnego, rozprawiamy się z najczęściej spotykanymi wątpliwościami i niedopowiedzeniami na ten temat.
Systemy w służbie ochrony danych
Zastosowane w organizacjach systemy powinny zapewniać poziom bezpieczeństwa adekwatny do wymagań oraz ryzyka, dając gwarancję, że ochrona przetwarzanych danych jest utrzymywana na jak najwyższym poziomie. Systemy te powinny być cyklicznie audytowane oraz dostosowywane do zmieniających się zagrożeń. Rozwiązania ochrony danych, powinny zapewnić między innymi: bezpieczeństwo baz danych oraz aplikacji webowych, analizę i korelację zdarzeń pochodzących z systemów przetwarzających dane a przede wszystkim przeciwdziałanie utracie danych (system Data Loss Prevention) oraz wspomaganie procesów klasyfikacji informacji.
