Archiwa kategorii: Newsy prawne

Ustawa przyjęta przez sejm!

Informujemy, że 10.05.2018 sejm przyjął ustawę o ochronie danych osobowych, która dostosowuje polskie prawo do RODO.

Za przyjęciem ustawy głosowało 233 posłów, przeciw było 176, a 25 wstrzymało się od głosu. Tym samym ustawa została przegłosowana i zgodnie z prawem została przekazana do Senatu do dalszego rozpatrzenia.

Przypomnijmy, że ustawa określa m.in. wprowadzenie nowego organu nadzorczego- Prezesa Urzędu Ochrony Danych Osobowych i zasady jego funkcjonowania. Nowa funkcja zastąpi istniejącą funkcję GIODO. Kolejne zmiany dotyczą m.in. zniesienia dwuinstancyjność postępowania w sprawach o naruszenie przepisów o ochronie danych osobowych czy wprowadzenie prawa do bycia zapomnianym.

Pełny tekst ustawy dostępny jest już teraz w EduStrefie, w zakładce BAZA WIEDZY- PRZEPISY PRAWNE.  Zapraszamy TUTAJ.

INFORMUJEMY, ŻE 10.10.2018

 

Certyfikaty RODO w zamówieniach publicznych

Certyfikat RODO to pewnego rodzaju zaświadczenie o zgodności firmowych systemów z zasadami przetwarzania danych osobowych. Artykuł 42 Rozporządzenia o Ochronie Danych Osobowych mówi, iż

Państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja zachęcają – w szczególności na szczeblu Unii – do ustanawiania mechanizmów certyfikacji oraz znaków jakości i oznaczeń w zakresie ochrony danych osobowych mających świadczyć o zgodności z niniejszym rozporządzeniem operacji przetwarzania prowadzonych przez administratorów i podmioty przetwarzające. Przy tym uwzględnia się szczególne potrzeby mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw.

Tego typu certyfikaty będą wydawane właścicielom firm zarówno przez Prezesa Urzędu Ochrony Danych Osobowych (do którego będzie należało ustalenie kryteriów przyznania certyfikatu), ale także przez firmy prywatne po uzyskaniu odpowiedniego dokumentu z Polskiego Centrum Akredytacji. O certyfikat będą mogli się ubiegać administratorzy danych osobowych, jak i tzw. procesorzy, czyli podmioty zewnętrzne, którym powierzane są dane osobowe w celu ich dalszego przetwarzania.

Obowiązek posiadania certyfikatu

Posiadanie certyfikatu nie jest jednak obowiązkowe, o czym traktuje punkt 3 artykułu 42:

„Certyfikacja jest dobrowolna, a proces jej uzyskania musi być przejrzysty.”

W większej mierze będzie on stanowił pewnego rodzaju przywilej. Certyfikat ten wesprze nie tylko przedsiębiorców, ale również pomoże klientom łatwiej zidentyfikować podmioty, które są sumienne, godne zaufania i przekonywające, a także profesjonalnie dbają o powierzone im dane osobowe – co jednoznacznie nie wskazuje na to, aby podmioty, które nie będą ubiegać się o przyznanie certyfikatu przetwarzają dane w sposób niezgodny z RODO. Niestosowanie się do przepisów znajdujących się w rozporządzeniu skutkuje bowiem wielomilionowymi karami finansowymi, co samo w sobie powinno być wystarczającym bodźcem do przestrzegania zapisów RODO.

Niemniej jednak podmioty, które posiadają certyfikat zgodności z RODO, mogą być korzystniej traktowane w przetargach o wykonanie zamówienia. Według Urzędu Zamówień Publicznych brak certyfikatu RODO nie może być podstawą odrzucenia oferty. UZP koncentruje się bardziej na tym, czy certyfikat RODO w ogóle może być jednym z warunków udziału w postępowaniu lub stanowić pozacenowe kryterium oceny ofert. Podsumowuje, że wszystko tak naprawdę zależy od przedmiotu zamówienia. Jeżeli ma ono związek z ochroną danych osobowych, to odpowiedź jest twierdząca.

Czy warto ubiegać się o certyfikat?

Jako że jest to kwestia dobrowolna, a jego przyznanie wymaga sporo pracy i dużego nakładu finansowego, nie jest to rzecz niezbędna. Aczkolwiek duże, europejskie przedsiębiorstwa mogłyby nadwerężyć swoją reputację za brak certyfikatu, co nie wpłynęłoby na pozytywny odzew konsumentów. Warto zwrócić uwagę na fakt, że jego posiadanie może przyczynić się do łagodniejszego wyroku w przypadku, gdy organ nadzorczy będzie musiał wziąć pod uwagę przyznanie kary.

Po więcej informacji zapraszamy na szkolenia RODO z ekspertami ApexNet -> TUTAJ

Jak RODO wpłynie na pracę działu Human Resources (HR)?

Od 25.05.2018 r. zacznie mieć zastosowanie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – RODO). Będzie to skutkować istotnymi zmianami m.in. w zakresie przetwarzania danych osobowych pracowników i kandydatów do pracy, co wpłynie znacząco na pracę działów HR. Istotne są nie tylko przepisy samego RODO, ale także planowane zmiany w kodeksie pracy.
Przetwarzanie danych osobowych przez pracodawcę
Zgodnie z projektowanym art. 221 § 1 kodeksu pracy pracodawca może żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:
1) imię (imiona) i nazwisko;
2) datę urodzenia;
3) adres do korespondencji;
4) adres poczty elektronicznej albo numer telefonu;
5) wykształcenie;
6) przebieg dotychczasowego zatrudnienia.
Pracodawca może przetwarzać inne dane osobowe kandydata do pracy, gdy dotyczą one stosunku pracy i osoba ubiegająca się o zatrudnienie wyrazi na to zgodę w oświadczeniu złożonym w postaci papierowej lub elektronicznej. Brak zgody nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia. W zakresie danych wymienionych w znowelizowanym art. 221 § 1 kodeksu pracy nie będzie potrzebna klauzula zgody na przetwarzanie danych osobowych tak często wymagana obecnie w procesach rekrutacyjnych. Jeżeli jednak dane kandydata do pracy mają zostać wykorzystane w rekrutacji na inne stanowisko pracy, to należy uzyskać zgodę na przetwarzanie jego danych osobowych na potrzeby innego ogłoszenia. Zgoda taka będzie potrzebna także wtedy, gdy CV ma zostać wykorzystane także na potrzeby przyszłych rekrutacji.
Obowiązki pracodawcy wobec kandydata
Pracodawca ma obowiązek spełnić wobec kandydata do pracy obowiązek informacyjny zgodnie z wymogami RODO. Pracodawca ma obwiązek poinformować kandydata m.in. o swoich danych kontaktowych oraz danych inspektora ochrony danych osobowych (jeżeli został powołany), celu i podstawie prawnej przetwarzania, o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją, a także o okresie przechowywania danych i prawach osoby, której dane dotyczą, w szczególności prawie dostępu do danych osobowych dotyczących swojej osoby, żądania ich sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawie do sprzeciwu czy wniesienia skargi do organu nadzorczego (szczegółowy zakres obowiązku informacyjnego reguluje art. 13 ust. 1 i 2 RODO). Konieczność zrealizowania obowiązku informacyjnego zgodnie z RODO wyklucza możliwość przeprowadzenia tzw. rekrutacji ukrytych. Każda osoba, która aplikuje w procesie rekrutacyjnym musi wiedzieć, komu powierza swoje dane osobowe.
Jeżeli pracodawcy korzystają z usług portali rekrutacyjnych, to nie można również zapominać o konieczności zawarcia umowy o powierzeniu przetwarzania danych osobowych. Z portalami rekrutacyjnymi należy zawrzeć umowę powierzenia przetwarzania danych osobowych zgodną z RODO (przepisy szczegółowo wymieniają katalog elementów, jakie umowa taka powinna zawierać). Ponadto, zgodnie z art. 28 ust. 1 RODO administrator danych osobowych może korzystać wyłącznie z usług podmiotów przetwarzających, które zapewniają wystarczające gwarancje, by przetwarzanie
chroniło prawa kandydatów. Przed powierzeniem danych Administrator Danych Osobowych musi więc ocenić, czy poziom stosowanych zabezpieczeń jest odpowiedni.
Od osoby już zatrudnionej, pracodawca będzie mógł się domagać podania:
1) adresu zamieszkania;
2) numeru PESEL, a w przypadku jego braku – rodzaju i numeru dokumentu potwierdzającego tożsamość;
3) innych danych osobowych pracownika, a także danych osobowych dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych będzie konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy.
Wymóg uzyskania zgody na przetwarzanie danych
Do pracowników również ma zastosowanie wymóg uzyskania zgody (w postaci papierowej lub elektronicznej) na przetwarzanie innych danych, o ile dotyczą one stosunku pracy (przetwarzanie danych osobowych związanych ze sferą intymną człowieka takich jak dane o nałogach, stanie zdrowia oraz o życiu seksualnym lub orientacji seksualnej, nie będzie możliwe nawet za zgodą pracownika). Brak zgody nie może wywoływać negatywnych konsekwencji dla pracownika, np. być podstawą wypowiedzenia stosunku pracy lub jego rozwiązania bez wypowiedzenia przez pracodawcę. Projekt zakłada również, że pracodawca może przetwarzać adres do korespondencji, poczty elektronicznej i numer telefonu już po nawiązaniu stosunku pracy, tylko wówczas, gdy pracownik wyrazi na to zgodę w oświadczeniu złożonym w postaci papierowej lub elektronicznej. Pracodawca musi wobec pracownika spełnić obowiązek informacyjny z art. 13 ust. 1 i 2 RODO, a zatem stosowna klauzula informacyjna musi zostać przekazana pracownikowi wraz z umową o pracę.
Prawo do bycia zapomnianym
Projektowane zmiany dotyczą również kwestii bardziej szczegółowych, jak dopuszczalność stosowania monitoringu w pracy czy pozyskiwania danych biometrycznych. Interesująca jest kwestia stosowania wobec pracowników tzw. „prawa do bycia zapomnianym” szczegółowo uregulowanego w RODO. Prawo to ma bowiem ograniczone zastosowanie do pracowników, których dane zawarte w aktach osobowych muszą być przechowywane przez okres 50 lat od zakończenia stosunku pracy. Przez ten okres pracownik nie może zatem skutecznie powołać się na „prawo do bycia zapomnianym” w zakresie danych zawartych w jego aktach osobowych.

Anna Żmijewska
Ekspert RODO, prowadząca szkolenia w ApexNet.pl

Informacje na temat szkoleń z RODO znajdziesz TUTAJ

7 zasad przetwarzania danych według RODO

Przedsiębiorcy mają coraz mniej czasu, aby przygotować się do RODO i wdrożyć nowe przepisy nakładające na nich szereg wymogów. Unijne rozporządzenie wprowadza wiele zasad przetwarzania danych osobowych, które stanowią fundament RODO, a także są otoczką dla pozostałych przepisów. Reguły te staną się wytycznymi nowych obowiązków dla administratorów oraz innych podmiotów przetwarzających dane osobowe.

Co warto wiedzieć o RODO? Poniżej  7 zasad przetwarzania danych według RODO:

1. Zasada zgodności z prawem, przejrzystości i rzetelności. 

art. 5 ust. 1 lit. a

Dane osobowe muszą być:

- przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);

Prawidłowa realizacja obowiązków informacyjnych jest warunkiem niezbędnym dla osiągnięcia zgodności z zasadą rzetelności i przejrzystości.

2. Zasada ograniczenia celu przetwarzania.

art. 5 ust. 1 lit. b

Dane osobowe muszą być:

- zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”);

Zgodnie z zapisami RODO dalsze przetwarzanie danych do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych jest traktowane jako zgodne z prawem oraz pierwotnymi celami.

3. Zasada minimalizacji danych.

art. 5 ust. 1 lit. c

Dane osobowe muszą być: (…)

- adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);

Zgodnie z zasadą minimalizacji danych, zakres przetwarzanych danych powinien być taki jaki jest niezbędny do osiągnięcia określonego celu przetwarzania danych. Innymi słowy, każdy podmiot przetwarzający dane musi dokonać selekcji danych i wybrać tylko taką ich ilość oraz rodzaj, jakie są dla niego niezbędne.

4. Zasada prawidłowości danych.

art. 5 ust. 1 lit. d

Dane osobowe muszą być: (…)

- prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);Przestrzeganie zasady prawidłowości danych sprowadza się do tego, aby stworzone zostały odpowiednie rozwiązania techniczne oraz organizacyjne umożliwiające korygowanie nieprawidłowych lub nieaktualnych danych.

5. Zasada ograniczenia przechowywania danych.

art. 5 ust. 1 lit. e

Dane osobowe muszą być:

- przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);

Głównym celem zasady ograniczenia przechowania danych jest ograniczenie do minimum czasu przechowania danych osobowych. Osiągniecie tego będzie możliwe poprzez wdrożenie odpowiednich procedur wyznaczających terminy przechowania danych (okresy retencji) lub procedur określających terminy okresowych przeglądów danych.

6. Zasada integralności i poufności.

art. 5 ust. 1 lit. f

Dane osobowe muszą być:

- przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

Realizacja zasady integralności i poufności danych będzie więc polegała na wdrożeniu odpowiednich środków technicznych i organizacyjnych, które zapewnią bezpieczeństwo danych. „Odpowiednie środki” będą zawsze pojęciem niedookreślonym. Najprawdopodobniej zostaną w pewnym zakresie doprecyzowane w drodze dobrych praktyk, które ma wydać regulator – Prezes Urzędu Ochrony Danych Osobowych (nazwa organu wg projektu nowej UODO)

7. Zasada rozliczalności.

art. 5 ust. 2

Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).

Administrator będzie więc musiał wykazać, że określone decyzje odnoszące się do procesów przetwarzania danych osobowych zostały przeanalizowane z punktu widzenia zgodności z ogólnymi zasadami przetwarzania danych, a przede wszystkim, że są z nimi zgodne.

 

Aneta Sieradzka, Ph.D, MBA

Partner Zarządzający Sieradzka&Partners, ekspert RODO w ApexNet

Zapraszamy na szkolenia pani Anety Sieradzkiej, więcej informacji znajduje się TUTAJ.

RODO przeds

 

Poradnik dla małych i średnich przedsiębiorców

RODO, czyli Rozporządzenie o Ochronie Danych Osobowych to w ostatnim czasie najgorętszy i prawdopodobnie najczęściej wybierany temat do rozmów wśród przedsiębiorców, ale też i zwykłych użytkowników codziennych wydarzeń, będących świadkami fali naruszeń ochrony danych osobowych. Nierzadko przekładają się one na brak skutecznego egzekwowania odpowiedzialności wśród podmiotów przetwarzających dane, a co za tym idzie – coraz częstsza samowolka w zarządzaniu prywatnymi informacjami każdego z nas. Żaden szanujący się przedsiębiorca nie dopuści do utraty klienta z powodu nieprawidłowego przetwarzania jego danych, ale jak do tego nie dopuścić? Jakie będą nowe prawa podmiotów danych? Kto i w jaki sposób może przetwarzać informacje o konsumentach?

Zapraszamy do zapoznania się z poradnikiem ochrony danych osobowych, przygotowanym dla małych i średnich przedsiębiorców przez Polską Agencję Rozwoju Przedsiębiorczości. Znajdują się w nim zarówno fundamentalne informacje przedstawiające to, czym jest RODO, jak i cenne wskazówki mówiące o ryzyku jego wdrażania, a także obowiązkach i zgodach na przetwarzanie danych osobowych.

Poradnik dla przedsiębiorców wdrażających RODO

Zapraszamy do lektury :)

Wdrażanie RODO w małych i dużych przedsiębiorstwach

Rozporządzenie o Ochronie Danych Osobowych (RODO) to wprowadzony przez Unię istotny akt prawny. Nowe przepisy, nowe obowiązki, ale też szereg sankcji finansowych i różne rodzaje odpowiedzialności stają się fundamentem do wdrożenia RODO w przedsiębiorstwach. Różnice we wprowadzeniu RODO wiążą się ze specyfikacją firmy, rzadziej z jej wielkością. Najważniejsza w procesie wdrożenia RODO jest analiza ryzyka, podczas której należy zidentyfikować i zbadać potencjalne zagrożenia. Analiza ta ma za zadanie obniżyć negatywny wpływ ryzyka na to, jak funkcjonuje dany podmiot, co służy również ograniczaniu i przeciwdziałaniu ryzyka. Istotą RODO jest zmiana podejścia do ochrony danych osobowych tzw. risk-based approach czyli podejście oparte na ryzyku – jest to pewien mechanizm, który ma na celu różnicowanie ryzyka związanego z przetwarzaniem danych przez administratorów.

Zgodnie z art. 32 Rozporządzenia o Ochronie Danych Osobowych administrator i podmiot przetwarzający (procesor) są zobligowani do zapewnienia odpowiednich środków organizacyjnych i technicznych. Środki te mają być odpowiednie w stosunku do stanu wiedzy technicznej, kosztu wdrożenia oraz charakteru, zakresu, kontekstu i celu przetwarzania, a także ryzyka naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.

Aby zatem dokonać odpowiedniego doboru środków organizacyjnych i technicznych  administrator i procesor muszą najpierw ustalić, jakie ryzyka dla poufności istnieją w ich organizacji, integralności i dostępności danych.

Inne zagrożenia będą zatem dotyczyć sklepu stacjonarnego, a inne internetowego. Oczywiście duże przedsiębiorstwa mają z reguły bardziej skomplikowaną strukturę zarówno organizacyjną, jak i techniczną, stąd proces wdrażania RODO jest w nich bardziej kosztowny i czasochłonny. Ponadto, wciąż nie jest wykluczone, że małe i średnie przedsiębiorstwa (MŚP) zostaną zwolnione z obowiązku poinformowania o zaistnieniu incydentu osoby, której dane dotyczą bądź obowiązku wydania kopii danych. Będą one jednak zobligowane do spełnienia ograniczonego obowiązku informacyjnego.

Żeby jednak móc skorzystać z powołanych ograniczeń dane przedsiębiorstwo będzie musiało spełnić następujące kryteria:

  • zatrudniać do 250 osób
  • nie przetwarzać danych szczególnych kategorii, np. danych o stanie zdrowia (a takie znajdują się w zwolnieniach lekarskich)
  • a także nie będzie udostępniać danych

Decyzja odnośnie utrzymania wskazanych wyżej zwolnień dla MŚP zostanie ostatecznie podjęta przez Komisję Europejską, dlatego też aby mieć pewność co do tej kwestii, trzeba poczekać na ostateczną treść zmienianej w związku z RODO polskiej ustawy o ochronie danych osobowych.

Ryzyko, jakie niesie za sobą nieprzestrzeganie postanowień RODO

W związku z nową regulacją prawną Rozporządzenia o Ochronie Danych Osobowych, zarówno osobie, której dane dotyczą, jak również organom  nadzorczym przyznano szereg uprawnień, które pozwalają na ukaranie podmiotu, który przetwarza dane osobowe niezgodnie z RODO.

Uprawnienia osoby, której dane dotyczą to:

        a) każda osoba, której dane dotyczą, ma prawo wnieść skargę do jednego organu nadzorczego (w szczególności w państwie członkowskim, w którym znajduje się m.in. miejsce jej zwykłego pobytu),  jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczących nie jest zgodne z RODO. W związku z powyższym uprawnieniem, organ nadzorczy wydaje decyzję administracyjną dotyczącą naruszenia praw osoby, której te prawa dotyczą, a która podlega zaskarżeniu na drodze sądowej;

        b) każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku przetwarzania danych niezgodnego z RODO, ma prawo uzyskać od administratora lub podmiotu przetwarzającego na zlecenie odszkodowania za poniesioną szkodę;

Uwolnienie się przez administratora lub podmiot przetwarzający od winy jest możliwe pod warunkiem, iż podmioty te wykażą brak ich winy w zdarzeniu, które doprowadziło do powstania szkody.

Kary pieniężne i inne sankcje

RODO zakłada zarówno kary pieniężne, jak i inne sankcje za nieprzestrzeganie zasad przetwarzanie danych osobowych. Kary pieniężne mogą być nakładane obok lub zamiast środków, takich jak m. in.: ostrzeżenia, upomnienia, nakazanie administratorowi lub podmiotowi przetwarzającemu wykonania lub powstrzymania się od dokonywania określonych czynności, mające na celu przetwarzanie danych zgodnie z RODO. Organ nadzorczy ma obowiązek zapewnić, aby nakładanie kar pieniężnych za naruszenia RODO było w każdym przypadku skuteczne, proporcjonalne i odstraszające.

W zależności od kategorii naruszenia organ nadzorczy może nałożyć karę w wysokości do 10 000 000 albo 20 000 000 euro, a w przypadku przedsiębiorstwa, do 2% albo 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa) – za naruszenie określonych w RODO obowiązków.

Ponadto, nieprzestrzeganie przez administratora lub podmiot przetwarzający nakazu podjęcia określonych czynności, mających na celu przywrócenie przetwarzania danych zgodnie z RODO orzeczonego przez organ nadzorczy na podstawie art 58 RODO, podlega karze pieniężnej sięgającej 20 000 000 euro, a w przypadku przedsiębiorstwa – sięgającej 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa).

 

Anna Żmijewska

Ekspert RODO, prowadząca szkolenia w ApexNet.pl

 

Czy konieczne jest stworzenia w firmie stanowiska Inspektora Ochrony Danych Osobowych?

25 maja 2018 roku wchodzi w życie rozporządzenie unijne traktujące o ochronie danych osobowych, tzw. RODO. W jego treści pojawią się zapisy dotyczące Inspektora Ochrony Danych Osobowych (IODO) – jest to naturalny następca Administratora Danych Osobowych, czyli jednostki organizacyjnej, organu lub samodzielnego podmiotu decydującego o celach i środkach przetwarzania danych osobowych (art. 7 pkt 4 – „Ilekroć w ustawie jest mowa o administratorze danych – rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych,”). Administrator Danych Osobowych jest podmiotem praw i obowiązków, sprawującym władzę nad przetwarzaniem danych osobowych przez zaciąganie zobowiązań i rozporządzanie prawami. Wszystkie osoby, które sprawują obowiązki Administratora Bezpieczeństwa Informacji, by zachować swój obecny status, powinny zostać zgłoszone w terminie do trzech miesięcy po wprowadzeniu RODO (do 25 sierpnia) do organu nadzorczego, czyli Generalnego Inspektora Danych Osobowych (GIODO). Nieustannie sprawuje on kontrolę nad zgodnością przetwarzania danych osobowych z przepisami ustawy, prowadzi jawny i ogólnokrajowy rejestr zbiorów danych osobowych, a także rozpatruje skargi i wydaje decyzje administracyjne.

Kto musi wprowadzić Inspektora Danych Osobowych?

Każdy pracownik może stać się IODO, pod warunkiem, iż jest on spoza organizacji.  Nie wszyscy administratorzy są zobowiązani do wprowadzenia inspektora w swojej firmie. Obowiązek dotyczy jedynie organów wypełniających ustawowe przesłanki art. 5 kpa i art. 9 ustawy o finansach publicznych. Dotyczy to administratorów przetwarzających dane sensytywne (grupa szczególnie chronionych danych, takich jak np.: pochodzenie, filozofia, wiara) na masową skalę. Przykładem są administratorzy, którzy prowadzą na przykład sklep internetowy na bardzo dużą skalę, a co za tym idzie ich profilowanie jest wykonywane na dużą skalę (tzw. Cookies).

Główna działalność administratora polega na operacjach przetwarzania danych, które ze względu na swój charakter wymagają regularnego i systematycznego monitorowania (nadzór nad ruchem w sieci, ilością wejść na stronę itd.). Grupa przedsiębiorstw będzie mogła wyznaczyć jednego IODO, o ile będą mieli zagwarantowany z nim dobry kontakt. Firma może mieć tylko jednego Inspektora Danych Osobowych (zamiast kilku w różnych działach) pod warunkiem, iż będzie on stale dostępny pod ustalonymi wcześniej kanałami komunikacyjnymi (e-mail, telefon). W wypadku podmiotów publicznych ilość jednostek będzie ograniczona do  kilku (maksymalnie do 9). Mowa tu o Administratorach, którzy są jednostkami organizacyjnymi szeroko rozumianej administracji publicznej.

Od 25 maja nie będzie obowiązku rejestracji zbirów w organie nadzorczym, zamiast tego powstanie za to obowiązek prowadzenia rejestru czynności przetwarzania.

Rola IODO, a osoby trzecie

Rola Inspektora Ochrony Danych Osobowych będzie niebagatelna. Poza reprezentacją Administratora Danych Osobowych ma on pełnić także nadzór nad przestrzeganiem powszechnie obowiązujących i wewnętrznych przepisów, a także dokonywać szacowania ryzyka w zakresie ochrony danych w oparciu o metody audytu. IODO będzie również przeprowadzał ocenę skutków wdrożenia nowych rozwiązań dla ochrony danych osobowych, a ponad to będzie na nim spoczywać obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych w związku z likwidacją obowiązku rejestracji zbiorów danych osobowych w GIODO.

Zmianie ulegnie fakt, iż inspektorzy nie będą już więcej uwidoczniani w jawnym rejestrze. Administratorzy Danych Osobowych będą mieli jednak obowiązek umieszczenia w Biuletynie Informacji Publicznej (BIP) lub na swoich stronach internetowych następujących danych IODO: imienia, nazwiska, numeru telefonu oraz adresu e-mail. Inspektor będzie bowiem skrzynką kontaktową pomiędzy Administratorem, a osobami trzecimi, właścicielami danych osobowych oraz pomiędzy organem nadzoru.

W  wielu jednostkach to IODO będzie odpowiedzialny za tworzenia dokumentacji ochrony danych osobowych, udzielanie odpowiedzi na pytania osób trzecich i właścicieli danych osobowych oraz za współpracę z podmiotami przetwarzającymi. Zadania, a także obowiązki, jakie nakłada na IODO Rozporządzenie danych osobowych są bardzo obszerne, dlatego tez winien on być przez ADO niezwłocznie, prawidłowo I na bieżąco włączany we wszystkie sprawy dotyczące ochrony danych osobowych. Jest to pewna kwestia skutecznej współpracy – Administrator działa tak naprawdę w dobrej wierze i z własnej woli, toteż musi on być nieustannie informowany o innowacjach, wdrożeniach, programach czy profilach działalności funkcjonujących w firmie. IODO gwarantuje za to poprawność wykonywanej pracy, szczególnie w przypadku kontroli – jest on odpowiedzialny za swoją pracę, dlatego wszystkie informacje muszą być pełne i zgodne z prawdą.

Podsumowanie Eksperta

Inspektor Ochrony Danych Osobowych nie powinien wykonywać innych obowiązków poza obowiązkami inspektora, mimo, że RODO pozwala łączyć tę funkcję z innymi (o ile nie będą ze sobą kolidować). IODO nie powinien podlegać presji, naciskom czy instrukcjom ADO. Nie będzie on ani odwoływany, ani karany za wypełnianie swoich zadań przez administratora, ponosi on jednak odpowiedzialność za swoje czyny: jeśli inspektorem zostaje pracownik firmy, to ciąży na nim odpowiedzialność pracownicza, gdzie w przypadku niezgodności ponosi on karę w postaci trzech pensji wynagrodzenia. Jest inspektorem zostaje osoba z zewnątrz firmy, to wszelką odpowiedzialność zawiera się w umowie – może to być odpowiedzialność gwarancyjna czy kara umowna.

Podmiot przetwarzający podlegać będzie najwyższemu kierownictwu administratora lub podmiotowi przetwarzającemu, natomiast IODO będzie zobligowany do zachowania tajemnicy lub poufności przy wykonywaniu zadań; będzie tez musiał wypełniać swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze kontekst, charakter, zakres i cele przetwarzania.

 

Małgorzata Czartoryska

Ekspert RODO, prowadząca szkolenia w ApexNet.pl

Nowe wysokości progów unijnych oraz nowy średni kurs złotego

1 stycznia 2018 roku weszły w życie rozporządzenia dotyczące zamówień klasycznych dla robót budowlanych oraz dostaw i usług. W przypadku zamówień sektorowych zmienione zostały wartości progowe stosowania dyrektywy sektorowej, natomiast z rozporządzenia Komisji dotyczącego zamówień w dziedzinach obronności i bezpieczeństwa wynika, że zawyżone zostały wartości progowe zamówień na dostawy i usługi oraz roboty budowlane.

Średni kurs złotego w stosunku do euro, będący fundamentem przeliczania wartości zamówień publicznych, wynosi 4,3117.