System zgłoszeń naruszeń prawa na podstawie ustawy o sygnalistach. Pytania i odpowiedzi

Jakie podmioty są zobowiązane do wdrożenia procedur?

Podmioty zobligowane do wdrożenia procedur o ochronie sygnalistów od dnia 25 września 2024 roku to:

> Jednostki budżetowe

> Firmy zatrudniające minimum 50 pracowników

> Firmy niezależnie od ilości pracowników – które posiadają status instytucji obowiązanej na
podstawie ustawy AML, czyli takie jak:

– biura rachunkowe
– pośrednicy w obrocie nieruchomościami,
– podmioty świadczące usługi w zakresie kryptowalut,
– przedsiębiorcy w zakresie realizującym płatności w gotówce o wartości większej niż 10 000 euro,
– instytucje finansowe,
– kantory wymiany walut,
– lombardy
– instytucje kredytowe i ich oddziały,
– spółdzielcze kasy oszczędnościowo-kredytowe (SKOKi),
– krajowe instytucje płatnicze,
– agentów rozliczeniowych,
– fundusze inwestycyjne,
– alternatywne spółki inwestycyjne,
– firmy inwestycyjne,
– zakłady ubezpieczeń,
– pośredników ubezpieczeniowych,
– podmioty prowadzące działalność kantorową oraz świadczące
– podmioty świadczące usługi w zakresie wymiany walut wirtualnych,
– instytucje pożyczkowe,
– przedsiębiorcy prowadzący działalność w zakresie gier losowych,
– operatorów pocztowych

Kary grzywny za brak procedur

W myśl art. 58 ustawy o ochronie sygnalistów kto, będąc odpowiedzialnym za ustanowienie procedury zgłoszeń wewnętrznych, wbrew przepisom ustawy procedury tej nie ustanawia lub ustanawia ją z istotnym naruszeniem wynikających z ustawy wymogów, podlega karze grzywny (jest to kara do 5.000 zł).

Uniemożliwianie lub utrudnianie zgłoszenia sygnaliście oznaczać będzie karę grzywny, ograniczenia wolności lub pozbawienia wolności do roku, natomiast za utrudnianie zgłoszenia sygnaliście z wykorzystaniem przemocy, groźby bezprawnej lub podstępu grozi kara grzywny, ograniczenia wolności albo pozbawienia wolności do lat trzech.

Zamów procedury w promocji!na stronie: https://rbdo.com.pl/sklep/
Czytaj dalej System zgłoszeń naruszeń prawa na podstawie ustawy o sygnalistach. Pytania i odpowiedzi

Biura rachunkowe obowiązane do wdrożenia procedur o ochronie sygnalitsów

Biura rachunkowe są podmiotami objętymi przepisami ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu dotyczy art. 23 ust. 3 ustawy o ochronie sygnalistów, zatem muszą stosować przepisy o ochronie sygnalistów niezależnie od ilości osób wykonujących w nich pracę zarobkową. Będą one musiały stosować ustawę o ochronie sygnalistów już od jej wejścia w życie, tj. od 25 września 2024 r.

Biuro rachunkowe jako podmiot prawny objęty ustawą o ochronie sygnalistów powinno mieć przygotowany rejestr zgłoszeń wewnętrznych, zawierający dane z art. 29 ust. 4 tej ustawy, wypełniany w sytuacji, gdy wpłynie zgłoszenie.

W myśl art. 58 ustawy o ochronie sygnalistów kto, będąc odpowiedzialnym za ustanowienie procedury zgłoszeń wewnętrznych, wbrew przepisom ustawy procedury tej nie ustanawia lub ustanawia ją z istotnym naruszeniem wynikających z ustawy wymogów, podlega karze grzywny (jest to kara do 5.000 zł).

Od dnia 25 września 2024 r. biura rachunkowe są objęte obowiązkiem przygotowania i wdrożenia procedury przyjmowania zgłoszeń określającej tryb postępowania na wypadek wystąpienia takiego zgłoszenia oraz wszelkiej dokumentacji zabezpieczającej je na wypadek kontroli wykonywania przepisów ustawy o ochronie sygnalistów.

Czytaj dalej Biura rachunkowe obowiązane do wdrożenia procedur o ochronie sygnalitsów

Ustawa o ochronie sygnalistów

PODSTAWY PRAWNE, WDRAŻANIE I DZIAŁANIA NASTĘPCZE
Zgodnie z ustawą z dnia 14 czerwca 2024 r. o ochronie sygnalistów, organizacje
prywatne oraz jednostki sektora publicznego miały obowiązek wdrożenia systemu
ochrony sygnalistów do dnia 25 września 2024 r. Przepisy te mają na celu
zapewnienie ochrony osób zgłaszających nieprawidłowości oraz stworzenie
transparentnych i bezpiecznych procedur zgłoszeniowych. Jeśli dana organizacja do
tej pory nie wdrożyła wymaganych procedur, powinna niezwłocznie przeprowadzić
finalizację systemu zgłoszeń sygnalistów, przygotować wymaganą dokumentację,
przeprowadzić konsultacje wewnętrzne z organizacjami reprezentującymi
pracowników i jak najszybciej uruchomić odpowiednie mechanizmy. Definicję
sygnalisty znajdziemy w art. 2 ustawy, zgodnie z którym sygnalistą jest osoba
fizyczna zgłaszająca lub publicznie ujawniająca informacje o naruszeniach prawa w
kontekście zawodowym, mająca uzasadnione podstawy, by sądzić, że informacje te
są prawdziwe.


Obowiązki organizacji

Na mocy ustawy, podmioty prawne muszą podjąć następujące kroki:

1. Opracowanie procedury zgłoszeń wewnętrznych

Każda organizacja musi opracować wewnętrzne procedury umożliwiające
pracownikom zgłaszanie naruszeń. Zgodnie z art. 4 ustawy, procedura ta
powinna obejmować zasady zgłaszania, rozpatrywania oraz ochrony danych
osobowych sygnalistów.

2. Konsultacje z przedstawicielami pracowników

Projekt procedury zgłoszeń wewnętrznych powinien zostać skonsultowany ze
związkami zawodowymi lub przedstawicielami osób świadczących pracę na
rzecz podmiotu prawnego. Jest to wymagane, aby zapewnić, że procedury są
zgodne z oczekiwaniami i potrzebami pracowników (art. 5 ustawy).

3. Stworzenie kanałów zgłoszeń

Organizacje muszą stworzyć kanały zgłoszeń, które mogą być pisemne lub
ustne. Rekomendujemy oparcie systemu zgłoszeń na platformach zgłoszeń,
które są najbezpieczniejsze z punktu widzenia ryzyka ujawnienia tożsamości
sygnalisty. Zgodnie z Art. 6 ustawy, kanały te powinny gwarantować
anonimowość oraz bezpieczeństwo zgłaszającego.

4. Ochrona tożsamości sygnalisty

Art. 56 ustawy jasno określa, że ujawnienie tożsamości sygnalisty, osoby
pomagającej w dokonaniu zgłoszenia lub osoby powiązanej z sygnalistą,
podlega surowym sankcjom. Naruszenie tego przepisu może skutkować
grzywną, karą ograniczenia wolności albo pozbawienia wolności do roku.

5. Ogłoszenie procedury

Procedura zgłoszeń powinna zostać ogłoszona w sposób przyjęty w danym
podmiocie prawnym. Przyjmuje się, że terminem granicznym w tym przypadku
jest 25 września bieżącego roku.

6. Upoważnienie odpowiednich jednostek lub osób

Organizacje muszą upoważnić wewnętrzną jednostkę organizacyjną lub osobę
w ramach struktury organizacyjnej podmiotu prawnego, lub podmiot
zewnętrzny, do przyjmowania zgłoszeń wewnętrznych (art. 8 ustawy).
Dodatkowo, należy upoważnić bezstronną jednostkę lub osobę do
podejmowania działań następczych w celu rozpatrzenia zgłoszeń (art. 9
ustawy).

7. Utworzenie rejestru zgłoszeń

Każda organizacja jest zobowiązana do utworzenia i prowadzenia rejestru
zgłoszeń, który będzie zawierał wszystkie zgłoszenia wraz z informacją
o podjętych działaniach (art. 10 ustawy).

Wdrażanie procedur

Wdrożenie procedur wynikających z ustawy o sygnalistach może napotkać szereg
trudności. Przede wszystkim, organizacje muszą zapewnić poufność zgłoszeń, co

wiąże się z koniecznością inwestycji w odpowiednie narzędzia technologiczne
i szkolenia dla personelu. Art. 5 ustawy wymaga, aby kanały zgłoszeniowe były
bezpieczne i gwarantowały anonimowość zgłaszającego, co może stanowić
wyzwanie dla wielu firm. Kluczowe jest również stworzenie zaufanego środowiska, w
którym pracownicy będą czuli się bezpiecznie zgłaszając naruszenia. Dodatkowym
wyzwaniem jest dostosowanie wewnętrznych regulaminów i polityk do nowych
wymagań prawnych oraz zapewnienie, że wszyscy pracownicy są świadomi swoich
praw i obowiązków jako potencjalni sygnaliści.

Działania następcze

Po zgłoszeniu naruszenia, organizacje muszą podjąć odpowiednie działania
następcze. Ustawa w art. 7 wymaga, aby każde zgłoszenie było dokładnie zbadane,
a w przypadku potwierdzenia naruszeń, podjęte zostały kroki naprawcze. Ważnym
elementem jest również ochrona sygnalisty przed jakimikolwiek formami represji.
Organizacje muszą więc monitorować sytuację i zapewnić, że sygnalista nie jest
dyskryminowany ani w żaden sposób szykanowany. Kluczowe jest także
raportowanie wyników dochodzenia i podjętych działań do odpowiednich organów
nadzoru, co dodatkowo wymaga precyzyjnego zarządzania dokumentacją
i komunikacją.

Możliwości świadczenia usług

W celu zapewnienia zgodności z ustawą o sygnalistach, organizacje mogą
skorzystać z usług specjalistycznych firm, które oferują kompleksowe wsparcie w
zakresie tworzenia i zarządzania kanałami zgłoszeniowymi oraz prowadzenia działań
następczych. Powołany zespół ekspertów z różnych branż może pomóc w projektowaniu i wdrażaniu systemów zgłoszeniowych, poprzez dostarczenie bezpiecznych i poufnych platform do zgłaszania nieprawidłowości. Platformy te są zaprojektowane tak, aby minimalizować yzyko ujawnienia tożsamości sygnalisty.
——————–

Jakie podmioty są zobowiązane do wdrożenia procedur?

Podmioty zobligowane do wdrożenia procedur o ochronie sygnalistów od dnia 25 września 2024 roku to:

> Jednostki budżetowe

> Firmy zatrudniające minimum 50 pracowników

> Firmy niezależnie od ilości pracowników – które posiadają status instytucji obowiązanej na
podstawie ustawy AML, czyli takie jak:

– biura rachunkowe
– pośrednicy w obrocie nieruchomościami,
– podmioty świadczące usługi w zakresie kryptowalut,
– przedsiębiorcy w zakresie realizującym płatności w gotówce o wartości większej niż 10 000 euro,
– instytucje finansowe,
– kantory wymiany walut,
– lombardy
– instytucje kredytowe i ich oddziały,
– spółdzielcze kasy oszczędnościowo-kredytowe (SKOKi),
– krajowe instytucje płatnicze,
– agentów rozliczeniowych,
– fundusze inwestycyjne,
– alternatywne spółki inwestycyjne,
– firmy inwestycyjne,
– zakłady ubezpieczeń,
– pośredników ubezpieczeniowych,
– podmioty prowadzące działalność kantorową oraz świadczące
– podmioty świadczące usługi w zakresie wymiany walut wirtualnych,
– instytucje pożyczkowe,
– przedsiębiorcy prowadzący działalność w zakresie gier losowych,
– operatorów pocztowych

Kary grzywny za brak procedur

W myśl art. 58 ustawy o ochronie sygnalistów kto, będąc odpowiedzialnym za ustanowienie procedury zgłoszeń wewnętrznych, wbrew przepisom ustawy procedury tej nie ustanawia lub ustanawia ją z istotnym naruszeniem wynikających z ustawy wymogów, podlega karze grzywny (jest to kara do 5.000 zł).

Uniemożliwianie lub utrudnianie zgłoszenia sygnaliście oznaczać będzie karę grzywny, ograniczenia wolności lub pozbawienia wolności do roku, natomiast za utrudnianie zgłoszenia sygnaliście z wykorzystaniem przemocy, groźby bezprawnej lub podstępu grozi kara grzywny, ograniczenia wolności albo pozbawienia wolności do lat trzech.

Zamów procedury w promocji!na stronie: https://rbdo.com.pl/sklep/

SYGNALISTA – donosiciel czy bohater? KRÓTKA HISTORIA SYGNALISTÓW

Skąd się wzięli sygnaliści?

Na początku kilka słów o historii, skąd się wzięli sygnaliści? Otóż pierwszymi w
historii co ważne udokumentowanymi sygnalistami byli w 1777 roku – marynarze!
Dokładniej 19 lutego 1777 roku dziesięciu marynarzy amerykańskiej floty wojennej
zebrało się pod podkładem USS Warren, aby podpisać petycję do Kongresu
Kontynentalnego, w której opisali niewłaściwe zachowania komandora – Eska
Hopkinsa – najpotężniejszego komandora w marynarce kontynentalnej. Petycja miała
oczywiście swoje skutki. Hopkins został zawieszony, a następnie zwolniony. Jednak
nie obyło się bez konsekwencji dla marynarzy – Hopkins złożył wobec nich sprawę o
zniesławienie. Dwóch z dziesięciu sygnalistów trafiło do więzienia. Jednak tu znów
przyszedł z pomocą Kongres Kontynentalny, który uchwalił ustawę chroniącą
marynarzy – dzięki temu mogli oni wyjść na wolność.
Czytaj dalej SYGNALISTA – donosiciel czy bohater? KRÓTKA HISTORIA SYGNALISTÓW

05-2024! UODO nakłada 240 tys. zł kary za zgubionego pendrive’a


Prezes Urzędu Ochrony Danych Osobowych nałożył blisko 240 tys. zł kary na firmę gastronomiczną z Kolbuszowej (województwo podkarpackie), której pracownik zgubił pendrive z danymi osobowymi.

Jak podaje w komunikacie Urząd Ochrony Danych Osobowych (UODO), pracownik firmy zgubił pendrive’a, na którym znajdowały się niezaszyfrowane pliki zawierające dane osobowe innego pracownika, a mianowicie imię i nazwisko, adres, obywatelstwo, płeć, data urodzenia, numer PESEL, seria i numer paszportu, numer telefonu, adres e-mail, zdjęcia oraz dane dotyczące wysokości zarobków. Na pendrive’ie były też zaszyfrowane pliki z danymi finansowymi.

Firma posiadała rejestr ryzyka czy potwierdzenia przeprowadzania monitorowania procedur RODO. Problemem okazały się jednak zasady korzystania z zewnętrznych nośników danych, w tym ich szyfrowanie. O tym, jak szyfrować pliki, firma informowała pracowników na filmie instruktażowym. A to, jak zauważył UODO, przerzucało na nich odpowiedzialność za sposób przetwarzania danych.

UODO: film instruktażowy o szyfrowaniu plików to za mało

Co więcej zdaniem Prezesa UODO firma źle oceniła ryzyko dla danych. Założono, że nośniki danych mogą być skradzione albo zniszczone – nie wzięto jednak pod uwagę tego, że nośnik można po prostu zgubić bez złych intencji. Do tego, pomimo zakładania wystąpienia różnych zdarzeń, nie wdrożono rozwiązań kryptograficznych dla ochrony danych osobowych na zewnętrznych nośnikach. – Film instruktażowy „w jaki sposób szyfrować pliki na pendrive oraz jakiego programu do tego celu użyć” to za mało wobec zakresu danych przetwarzanych na takich nośnikach — podkreślono w komunikacie.
Kolejny problem polegał na tym, że firma nie dopełniła obowiązku regularnego mierzenia, testowania i oceniania skuteczności zastosowanych środków bezpieczeństwa.

O zgubieniu pendrive’a poinformowała sama firma, a w czasie postępowania współpracowała z Prezesem UODO, co miało istotny wpływ na ostateczny wymiar kary. – Gdyby nie to, kara byłaby znacznie wyższa — zaznacza Urząd. Jak dodano, wysokość kary jest też m.in. wypadkową dużych obrotów firm.

Raport kontroli NIK 22-04-2024: Szkoły, jednostki samorządowe mają poważne problemy z ochroną danych

Najnowszy raport NIK – Najwyższej Izby Kontroli, z województwa podlaskiego, wskazuje na poważne zaniedbania dotyczące ochrony danych osobowych w jednostkach samorządowych – w tym w szkołach oraz przychodniach medycznych. Urząd nakazał pilną potrzebę dokonania zmian. Skala dotyczy kilkunastu tysięcy publicznych instytucji. Według Najwyższej Izby Kontroli, wyniki postępowania kontrolnego mogą być wierzchołkiem góry lodowej. Liczba instytucji publicznych z naruszeniami przepisów RODO może bowiem sięgać kilkunastu tysięcy. NIK nie zamierza jednak ograniczać się do słów – kontrola, ograniczona początkowo do 12 podlaskich samorządów, ma teraz objąć wszystkie polskie samorządy.

NIK o zwiększeniu bezpieczeństwa ochrony danych osobowych przechowywanych w jednostkach samorządowych w formie elektronicznej

Wieloletnie zaniedbania dotyczące ochrony danych osobowych, nieświadomość zagrożeń, brak jednoznacznych wytycznych, używanie domen publicznych bez stosownych umów gwarantujący bezpieczeństwo – to w ocenie NIK sprawia, że podstawowe elementy systemu ochrony danych osobowych w jednostkach samorządowych były nieskuteczne. NIK rekomenduje szybką potrzebę zmian. Najwyższa Izba Kontroli szacuje, że skala nieprawidłowości może dotyczyć kilkunastu tysięcy publicznych instytucji. Biorąc pod uwagę skalę problemu, NIK rozszerza postępowanie kontrolne na wszystkie samorządy w kraju i dokonuje rozpoznania w innych sferach działalności publicznej.

Jak podkreśla sama NIK:

„Najwyższa Izba Kontroli zdiagnozowała systemowy charakter nieprawidłowości w dziedzinie ochrony i przetwarzania danych, w tym danych osobowych w jednostkach samorządowych. Dlatego kontrola będzie rozszerzona o wszystkie jednostki samorządu terytorialnego w Polsce”.

43 proc. szkół z naruszeniami

Ustalenia kontroli Najwyższej Izby Kontroli w samorządach województwa podlaskiego wskazują między innymi, że aż 43 proc. szkół lokuje swoje adresy e-mail w domenach komercyjnych. Niewiele lepszymi statystykami może pochwalić się sektor publicznej opieki zdrowotnej oraz ośrodki pomocy społecznej – odpowiednio 32 proc. i 28 proc.

45 jednostek podlegających pod samorządy korzystało z komercyjnych skrzynek pocztowych, bez odpowiedniej umowy powierzenia przetwarzania danych osobowych. Komunikacja służbowa powinna odbywać się za pomocą dedykowanej do tego skrzynki mailowej. Korzystanie z prywatnej skrzynki pocztowej w celach służbowych nie należy do dobrych praktyk bezpieczeństwa.

Nie tylko szkoły, ale tez inne jednostki organizacyjne z uchybieniami

Ryzyka stwierdzono również w przypadku ośrodków kultury, bibliotek, powiatowych inspektorów nadzoru budowlanego, powiatowych stacji sanitarno-epidemiologicznych, domów pomocy społecznej, powiatowych centrów pomocy rodzinie, przychodni psychologiczno-pedagogicznych, centrów usług wspólnych i innych.

Biorąc pod uwagę ustalenia kontroli oraz fakt, że oprócz głównych adresów mailowych przypisanych do jednostki, niejednokrotnie pracownicy tych instytucji publicznych również użytkowali adresy mailowe w domenach komercyjnych jako adresy służbowe, Najwyższa Izba Kontroli szacuje, że skala nieprawidłowości może dotyczyć kilkunastu tysięcy publicznych instytucji oraz kilkudziesięciu tysięcy adresów mailowych, które nie powinny być wykorzystywane do celów służbowych. Wskazuje to na ryzyko, że dziennie na takie adresy mailowe może wpływać tysiące wiadomości, w tym część z nich zawierających dane osobowe szczególnie chronione. Stąd też postępowanie kontrolne rozszerzone zostanie na wszystkie jednostki samorządowe w kraju. Ma ono wyeliminować nieprawidłowości i zagwarantować pozytywne zmiany w usługach publicznych, w całym sektorze samorządowym. Znamienne jest, że niejednokrotnie jednostki samorządowe na nieodpowiednio zabezpieczone adresy mailowe otrzymywały wiadomości z ministerstw, organów nadzoru oraz instytucji nadrzędnych, co wskazuje na powszechną niską świadomość o stosowaniu bezpiecznych narzędzi i instrumentów w sposób odpowiedni zabezpieczających dane osobowe obywateli.

Oprócz jednostek samorządowych Najwyższa Izba Kontroli prowadzi rozpoznanie dotyczące innych branż i resortów. Dane uzyskane z dziewięciu sądów apelacyjnych wskazują, że problem może dotyczyć korespondowania za pośrednictwem poczty elektronicznej z biegłymi sądowymi, którzy podają adresy mailowe znajdujące się na bezpłatnych domenach komercyjnych, co może świadczyć o dużym ryzyku, że nie zawarli oni umowy przetwarzania danych osobowych z właścicielem domeny, podobny problem dotyczyć może też tłumaczy przysięgłych, ławników, mediatorów i kuratorów sądowych.

Źródło:
https://www.nik.gov.pl/najnowsze-informacje-o-wynikach-kontroli/bezpieczenstwo-ochrony-danych-osobowych-w-jst.html

Urząd Ochrony Danych nie odpuszcza Morele.net i podnosi karę do 3,8 mln złotych! Nowe: 08.02.2024

Urząd Ochrony Danych Osobowych nałożył 3,8 mln zł kary na sklep internetowy Morele.net. Ma to związek z atakiem hakerskim i wyciekiem danych klientów z 2018 roku. „Rzeczpospolita” informuje, że Urząd Ochrony Danych Osobowych w tej kwestii nie odpuszcza.

Po tym, jak NSA w 2023 r. uchylił decyzję prezesa UODO, urząd ponownie przeprowadził postępowanie i jeszcze podniósł karę. Wykazało ono, że do naruszenia ochrony danych osobowych doszło przez brak zastosowania przez Morele.net odpowiednich zabezpieczeń” – cztamy w „Rzeczpospolitej”.Dziennik przedstawiając ustalenia pokontrolne, pisze, że „administrator m.in. nie szyfrował części danych, nie dysponował wystarczającym uwierzytelnianiem, nie przeprowadził analizy ryzyka, która uwzględniałaby np. zagrożenia związane z możliwością logowania się do systemu z sieci publicznej.
Dziennik przedstawiając ustalenia pokontrolne, pisze, że „administrator m.in. nie szyfrował części danych, nie dysponował wystarczającym uwierzytelnianiem, nie przeprowadziłWyciekło 2,2 mln kont użytkowników

Wyciek danych ze sklepu miał miejsce w październiku 2018 r. Haker uzyskał wtedy dostęp do bazy danych klientów Morele.net, ale również do dziesięciu powiązanych sklepów internetowych. analizy ryzyka, która uwzględniałaby np. zagrożenia związane z możliwością logowania się do systemu z sieci publicznej”

Łącznie wyciekło 2,2 mln kont użytkowników. Już w listopadzie do klientów zaczęły trafiać informacje o konieczności dokonania dodatkowej opłaty z linkami do fałszywych bramek płatności.

UODO: PESEL lepiej chroniony, ale nie można na tym poprzestać

Od 17 listopada 2023 roku można zastrzec numer PESEL, aby przeciwdziałać zaciąganiu zobowiązań na nasze dane. Zdaniem UODO to dopiero pierwszy krok na drodze do skuteczniejszej ochrony naszych danych w tym zakresie. Numer PESEL jest kluczową daną osobową dla Polaków – podkreślił w komunikacie Urząd Ochrony Danych Osobowych. PESEL jednoznacznie nas identyfikuje, pozwala ustalić szereg informacji na nasz temat, dlatego powinien podlegać szczególnej ochronie – podkreśla prezes UODO Jan NowakRozpoczynając od piątku, 17 listopada, obywatele będą uprawnieni do zablokowania swojego numeru PESEL. Zgodnie z przepisami ustawy, której głównym celem jest minimalizowanie skutków kradzieży tożsamości, od 2024 roku instytucje, w tym banki, kancelarie notarialne oraz inne branże usługowe będą zobowiązane do sprawdzenia, czy numer PESEL danej osoby został już zablokowany, zanim udzielą na przykład kredytu.

Lepsza ochrona obywateli przed nadużyciami związanymi z kradzieżą obywateli – to główny cel ustawy z dnia 7 lipca 2023 r. o zmianie niektórych ustaw w celu ograniczania skutków kradzieży tożsamości, której cześć przepisów weszła 17 listopada br. w życie. Nowe regulacje umożliwią obywatelom zastrzeżenie nr PESEL w aplikacji mObywatel, za pośrednictwem strony internetowej obywatel.gov.pl, w dowolnym urzędzie gminy, na poczcie czy w placówce bankowej. Osoby, które zdecydują się na taki krok zabezpieczą się przed wykorzystaniem ich numeru PESEL np. do zaciągnięcia pożyczki na ich dane. Wiele instytucji będzie natomiast miało obowiązek sprawdzenia przed dokonaniem niektórych czynności (np. przed udzieleniem pożyczki czy kredytu) czy dana osoba zastrzegła swój PESEL. Czytaj dalej UODO: PESEL lepiej chroniony, ale nie można na tym poprzestać

UODO: Nowa Ustawa o weryfikacji zastrzeżenia numeru PESEL od 2024 roku

Nowa Ustawa o weryfikacji zastrzeżenienia numeru PESEL wchodzi w życie od 1 czerwca 2024 roku. podmioty takie jak banki, instytucje kredytowe lub notariusze przed zawarciem umowy lub podjęciem czynności będą musiały sprawdzać w rejestrze, czy PESEL danej osoby został zastrzeżony

Ustawa m.in. umożliwia obywatelom zastrzeżenie nr PESEL. Wiele instytucji przed dokonaniem pewnych czynności (takich jak np. udzielenie pożyczki, lub kredytu), będzie miało obowiązek sprawdzenia czy dana osoba zastrzegła swój PESEL. „Większość Polaków pytana, co wchodzi w skład danych osobowych, wskazuje przede wszystkim PESEL (92 proc.), a dopiero potem imię i nazwisko (90 proc.), czy adres zamieszkania (84 proc.). Dobitnie pokazuje to badanie Krajowego Rejestru Długów i serwisu ChronPESEL.pl przeprowadzone w maju tego roku pod patronatem Urzędu Ochrony Danych Osobowych” – zwrócił uwagę, cytowany w komunikacie UODO, rzecznik prasowy urzędu Adam Sanocki.

Nowelizacja niektórych przepisów, mająca na celu ograniczenie skutków kradzieży tożsamości, umożliwia teraz jednostkom zablokowanie swojego numeru PESEL. Zmiany te wynikają z ustawy modyfikującej kilka innych ustaw. Głównym celem jest zwalczanie praktyk, takich jak nielegalne uzyskiwanie środków finansowych poprzez zaciąganie kredytów na czyjeś dane bez zgody i wiedzy tej osoby. Ponadto, nowe regulacje mają na celu eliminowanie tzw. SIM swappingu, czyli procedury tworzenia kopii karty SIM, którą następnie można wykorzystać do nielegalnego autoryzowania transakcji.

Nowe obowiązki od czerwca Od 1 czerwca 2024 roku podmioty takie jak banki, instytucje kredytowe lub notariusze przed zawarciem umowy lub podjęciem czynności będą musiały sprawdzać w rejestrze, czy PESEL danej osoby został zastrzeżony.

Ustawa stanowi, że obywatele nie będą obciążani za zobowiązanie, które zostało zaciągnięte bez ich wiedzy mimo istniejącego zastrzeżenia. Rozwiązania dotyczące samego zastrzegania numeru PESEL i cofnięcia takiego zastrzeżenia wejdą w życie już w piątek. Zgodnie z ustawą będzie mógł tego dokonać każdy pełnoletni posiadacz numeru PESEL za pomocą e-usługi, aplikacji mObywatel – będzie usługa „Zastrzeż PESEL” – lub osobiście w urzędzie gminy, w banku krajowym, spółdzielczej kasie oszczędnościowo-kredytowej lub na poczcie.

Numer PESEL jest kluczową daną osobową dla Polaków – podkreślił w komunikacie Urząd Ochrony Danych Osobowych. PESEL jednoznacznie nas identyfikuje, pozwala ustalić szereg informacji na nasz temat, dlatego powinien podlegać szczególnej ochronie – podkreśla prezes UODO Jan NowakRozpoczynając od piątku, 17 listopada, obywatele będą uprawnieni do zablokowania swojego numeru PESEL. Zgodnie z przepisami ustawy, której głównym celem jest minimalizowanie skutków kradzieży tożsamości, od czerwca 2024 roku instytucje, w tym banki, będą zobowiązane do sprawdzenia, czy numer PESEL danej osoby został już zablokowany, zanim udzielą na przykład kredytu

Nowe technologie a ochrona danych osobowych – konferencja UODO i ZUS listopad 2023

W dniu 22 listopada w siedzibie Centrali Zakładu Ubezpieczeń Społecznych w Warszawie odbędzie się konferencja pod nazwą „Nowe technologie a ochrona danych osobowych”, współorganizowana przez Zakład Ubezpieczeń Społecznych oraz Urząd Ochrony Danych Osobowych. Wydarzenie to jest częścią obchodów jubileuszu 90-lecia Zakładu Ubezpieczeń Społecznych.

Konferencja skupi się na dyskusji nad wpływem najnowszych technologii na ochronę danych osobowych w erze cyfrowej. Celem jest stworzenie przestrzeni do dialogu i współpracy między różnymi instytucjami zajmującymi się kwestiami ochrony danych osobowych. Patronat Honorowy nad obchodami jubileuszowymi objął Prezydent Rzeczypospolitej Polskiej Andrzej Duda.

W panelach dyskusyjnych wezmą udział eksperci i naukowcy zajmujący się tematyką ochrony danych osobowych. Konferencja zapewni okazję do wymiany poglądów i doświadczeń między uczestnikami. Planowane jest przeprowadzenie wydarzenia w godzinach 10:00–16:30 w centrali ZUS przy ul. Szamockiej 3, 5 w Warszawie. Program konferencji „Nowe technologie a ochrona danych osobowych” będzie dostępny w dniu konferencji na kanale Elektronicznego ZUS na platformie YouTube. Link do transmisji będzie udostępniony w odpowiednim miejscu w dniu wydarzenia.

Brak zgłoszenia incydentu RODO mimo odnalezienia danych – 16 tys. zł kary – uzasadnione przez Sąd

Wojewódzki Sąd Administracyjny w Warszawie przyznał rację Urzędowi Ochrony Danych Osobowych, który doszedł do wniosku, że skoro administrator nie dopełnił swoich obowiązków i nie zgłosił ryzyka naruszenia danych osobowych, to należy nałożyć na niego karę. I nie ma znaczenia to, że w późniejszym czasie zgubione dokumenty się odnalazły, bo przez pewien czas pozostawały poza kontrolą.

Chodzi o sprawę, którą WSA w Warszawie badał w kwietniu 2023 r. Prezes UODO w 2022 r. zadecydował o nałożeniu na administratora kary w wysokości niemal 16 tys. zł. W ocenie urzędu, dopuścił się on naruszenia przepisów ze względu na nieprawidłową reakcję po zgubieniu dokumentów. 

Dokument się znalazł, ale naruszenie i tak trzeba było zgłosić. Jak wskazano w komunikacie, w toku czynności wyjaśniających w trakcie postępowania ujawniono, że doszło do zagubienia dokumentu z akt osobowych pracownika spółki. Wówczas administrator uznał, że co prawda doszło do naruszenia ochrony danych osobowych polegającego na utracie z winy pracodawcy świadectwa pracy jednego z pracowników, jednak nie zgłosił tego naruszenia do UODO. Uznał bowiem, że nie wiąże się to z zagrożeniem naruszenia prawa. Z taką interpretacją nie zgodził się UODO, który zadecydował o nałożeniu kary. Ostatecznie sprawę musiał jednak zbadać warszawski WSA. 

Utrata kontroli nad dokumentem 

Sąd przyznał jednak rację urzędowi. W uzasadnieniu wyroku (sygn. akt II SA/Wa 127/22) przypomniano, że naruszenie ochrony danych osobowych jest przesłanką do zgłoszenia zdarzenia. W przypadku naruszenia bardzo ważny jest bowiem czas reakcji. Administrator ma obowiązek zgłosić naruszenie do organu nadzorczego bez zbędnej zwłoki, jednak nie później niż w terminie 72 godzin od stwierdzenia naruszenia. W sytuacji, w której istnieje wysokie ryzyko dla praw lub wolności osób, których dane są objęte naruszeniem, administrator powinien zawiadomić o zdarzeniu także te osoby. Ważne jest to, że nic konkretnego nie musi się zdarzyć, by mimo wszystko doszło do naruszenia RODO. 

– WSA podtrzymał stanowisko UODO zawarte w odpowiedzi na skargę, że ów dokument znajdował się poza kontrolą administratora, ponieważ nie miał on wiedzy, gdzie się znajduje, jaki jest zakres jego treści, kto ma do niego dostęp i czy nie został on zniszczony. Administrator akceptował zgubienie świadectwa pracy pracownika wraz z konsekwencjami dla ochrony danych. Dopiero wydanie administracyjnej kary pieniężnej spowodowało zintensyfikowanie poszukiwań dokumentu. Takie działanie, w ocenie UODO, może także świadczyć o lekceważącym stosunku do przepisów dotyczących ochrony danych osobowych – zaznacza w komunikacie UODO. 

Z tego względu skarga administratora została oddalona jako nieuzasadniona. 

52 tys. zł kary za naruszenie RODO dla Spółdzielni Mieszkaniowej

Urząd ds. Ochrony Danych Osobowych nałożył karę pieniężną w wysokości prawie 52 tys. złotych na spółdzielnię mieszkaniową. Powodem była brak zgłoszenia organowi nadzorczemu naruszenia związane z ochroną danych osobowych oraz niepoinformowanie osoby, której dane zostały naruszone. Dodatkowo, administratorowi nakazano powiadomienie o naruszeniu ochrony danych osobowych podmiotu, których te dane dotyczą.
Czytaj dalej 52 tys. zł kary za naruszenie RODO dla Spółdzielni Mieszkaniowej

Aktualności Centrali NFZ – środki na na podniesienie poziomu bezpieczeństwa systemów teleinformatycznych.

Wsparcie cyberbezpieczeństwa w placówkach medycznych zostało ogłoszone na stronach NFZ 30 maja 2022 roku (link: https://www.nfz.gov.pl/aktualnosci/aktualnosci-centrali/wsparcie-cyberbezpieczenstwa-w-placowkach-medycznych,8211.html ).

Zgodnie z informacją nawet 900 tys. zł mogą otrzymać z NFZ placówki medyczne na podniesienie poziomu bezpieczeństwa systemów teleinformatycznych.
O środki mogą wnioskować szpitale, które realizują świadczenia w ramach leczenia szpitalnego, rehabilitacji leczniczej, lecznictwa uzdrowiskowego o
raz opieki psychiatrycznej i leczenia uzależnień.
Finansowane są wydatki poniesione od 29 kwietnia do 31 grudnia 2022 r. Środki na ten cel pochodzą z Funduszu Przeciwdziałania COVID-19.

Niestety incydenty zagrażające cyberbezpieczeństwu placówek medycznych nasiliły się. Ma to związek m.in. z wojną w Ukrainie. Szczególnie niebezpieczne i groźne w skutkach mogą być cyberataki na szpitale. Atak hakerski na infrastrukturę informatyczną szpitala może kosztować zdrowie, a nawet życie pacjentów, dlatego tak ważne jest maksymalne zabezpieczenie tych systemów m.in. przed próbami włamań.

Atak, który może kosztować życie
– Wyciek danych, w tym danych osobowych pacjentów, blokowanie systemu informatycznego, czy szyfrowanie plików przez cyberprzestępców mogą prowadzić do paraliżu i ogromnych strat w podmiotach leczniczych. Mogą także uniemożliwić przeprowadzanie planowanych operacji, co zagraża bezpośrednio życiu i zdrowiu pacjentów – zaznacza Jarosław Olejnik, dyrektor w Centrali NFZ, który od lat zajmuje się sprawami bezpieczeństwa, w tym bezpieczeństwa informatycznego.

Dlatego, jak dodaje dyrektor Olejnik, NFZ oferuje szpitalom dodatkowe wsparcie finansowe na podniesienie poziomu bezpieczeństwa systemów informatycznych. Chodzi nawet o 900 tys. zł.

Kto może otrzymać środki?
Wsparcie jest przeznaczone dla szpitali, które wykonują świadczenia w zakresach:

leczenie szpitalne
rehabilitacja lecznicza
lecznictwo uzdrowiskowe
opieka psychiatryczna i leczenie uzależnień.
Wysokość środków zależy od wartości kontraktu placówki z NFZ. Wsparcie wynosi od ponad 240 tys. zł do nawet 900 tys. zł.

Co finansujemy?
Zakup i wdrożenie systemów teleinformatycznych oraz związanych z nimi usług musi dotyczyć podniesienia poziomu bezpieczeństwa w placówkach leczniczych, nie samej informatyzacji.

Za otrzymane środki szpital może kupić i uruchomić:

urządzenia, oprogramowanie i usługi teleinformatyczne, które zapobiegają, wykrywają lub zwalczają cyberataki, np.
systemy do tworzenia kopii danych,
systemy antywirusowe,
systemy kontroli dostępu administracyjnego i zarządzania uprawnieniami,
urządzenia i oprogramowanie zabezpieczające sieć (firewall),
systemy zapewniające bezpieczeństwo poczty elektronicznej.
urządzenia i oprogramowanie oraz wsparcie eksperckie dotyczące cyberbezpieczeństwa,
technologie, które ułatwiają precyzyjne monitorowanie bezpieczeństwa infrastruktury IT,
skany podatności, które pozwalają identyfikować zagrożenia we własnym środowisku IT,
opracowania wraz z przekazaniem praw autorskich dokumentacji systemu zarządzania bezpieczeństwem informacji,
a także przeprowadzić szkolenia z cyberbezpieczeństwa dla kadry zarządzającej i pracowników.

Środki na ten cel pochodzą z Funduszu Przeciwdziałania COVID-19. Obejmują wydatki ponoszone od 29 kwietnia do 31 grudnia 2022 roku.

Co zrobić, aby otrzymać dofinansowanie?

Aby skorzystać z finansowania, trzeba do 30 listopada 2022 r. złożyć do Dyrektora właściwego oddziału wojewódzkiego NFZ wniosek o zawarcie umowy. Do wniosku koniecznie należy dołączyć raport z Systemu Statystyki Ochrony Zdrowia, który potwierdza wypełnienie ankiety badającej poziom bezpieczeństwa systemów teleinformatycznych.

Warunkiem uzyskania wsparcia przez szpital jest zawarcie umowy i złożenie w siedzibie właściwego oddziału Funduszu, nie później niż do 16 grudnia 2022 r., kilku dokumentów:

wniosku o wypłatę finansowania, którego wzór określony jest w załączniku nr 3 do zarządzenia Prezesa NFZ,
specyfikacji finansowania, której wzór określony jest w załączniku nr 4 do zarządzenia Prezesa NFZ,
kopii dokumentów, które potwierdzają nabycie i sfinansowanie w okresie od 29 kwietnia 2022 roku do 31 grudnia 2022 roku przedmiotu finansowania (kopie dokumentów potwierdzone za zgodność z oryginałem), wyniku audytu bezpieczeństwa.

Pobierz Zarządzenie:
Zarzadzenie 68_2022_BBIiCD