Ustawa o ochronie danych osobowych, (dyrektywa UE z 95 roku a także RODO) w ogóle nie posługuje się takim pojęciem jak „baza danych” – jest to sformułowanie używane w ustawie o ochronie baz danych, natomiast przepisy o ochronie danych osobowych mają charakter szczególny w stosunku do tej ustawy.
Z art. 1 ustawy o ochronie baz danych wynika, że baza danych może posiadać cechy „utworu” i na tej podstawie podlegać pod ochronę wynikającą z ustawy o prawie autorskim i prawach pokrewnych – jak zakładam stąd stosowanie do obrotu bazami danych „licencji”, o której stanowi art. 41 ustawy o prawie autorskim i prawach pokrewnych – jednak w żaden sposób nie ogranicza to ochrony wynikającej z przepisów o ochronie danych osobowych, które mają charakter szczególny w stosunku do wyżej przytoczonych regulacji. Czytaj dalej Zbiór danych a baza danych – potoczne mylenie pojęć
SN: „czy dopuszczalne jest nałożenie kary pieniężnej, na podstawie art. 209 ust. 1 pkt 25 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. nr 171, poz. 1800 ze zm.) w związku z art. 172 ust. 1 i art. 174 pkt 1 tej ustawy, na przedsiębiorcę telekomunikacyjnego, w sytuacji gdy zlecił on przeprowadzenie akcji promującej jego usługi innemu podmiotowi, który wykonał to zlecenie używając dla celów marketingu bezpośredniego automatycznych systemów wywołujących bez uzyskania na to zgody abonentów lub użytkowników końcowych będących adresatami takich działań?”
OPINIA:
Co do zasady – SN poprawnie stwierdził odnosząc się do konkretnej sprawy, że zobowiązany do pozyskania zgody był zlecający działania marketingowe, choć „zamieszanie” mogą budzić poczynione na marginesie uzasadnienia rozważania sugerujące że przy jednym działaniu zgodę muszą pozyskiwać niezależnie od siebie zarówno zleceniodawca jak i zleceniobiorca – choć w mojej ocenie jest to raczej nieporozumienie spowodowane wyciągnięciem jednego zdania w oderwaniu od całościowego kontekstu rozważań SN: Czytaj dalej SN: O karach na call center za brak zgód
W art. 24 ust. 1 projektu ustawy ochronie danych osobowych z dnia 28 marca 2017 roku (dalej jako „PUODO”) wskazano, że nowy organ nadzorczy będzie dysponował możliwością wydania postanowienia, zobowiązującego podmiot, któremu jest zarzucane naruszenie przepisów o ochronie danych osobowych, do ograniczenia przetwarzania danych osobowych – jeszcze przed wydaniem decyzji kończącej postępowanie.
Zarówno stomatolog prowadzący działalność jako osoba fizyczna, jak i spółki prowadzące podobnego rodzaju działalność w większej skali są administratorami danych osobowych – przede wszystkim swoich pacjentów, ale także osób przez siebie zatrudnionych – a w konsekwencji zobowiązane są one do realizacji obowiązków określonych w przepisach dotyczących ochrony danych osobowych.
Serdecznie zapraszamy gabinety stomatologiczne i medyczne do zapoznania się z ofertą wdrożenia procedur systemu ochrony danych osobowych zabezpieczających podmiot – https://rbdo.com.pl/sklep/
Ministerstwo Cyfryzacji opublikowało projekt nowej ustawy o ochronie danych osobowych. Zakłada on powołanie nowego organu nadzorczego – Prezesa Urzędu Ochrony Danych z szerokimi kompetencjami nakładania administracyjnych kar w wysokości do 20 mln euro lub większych do 4% światowego obrotu firmy! Warto jednak już dziś zapoznać się z głównymi założeniami nowej ustawy, ponieważ przewiduje ona nieznane dotąd w Polsce mechanizmy nakładania bardzo wysokich kar w trybie jednoinstancyjnej decyzji organu nadzorczego.
Każdy kantor musi realizować obowiązek przeciwdziałania praniu pieniędzy. Poza samą analizą transakcji i klientów należy również legitymować się aktualnym dyplomem uczestnictwa w szkoleniu, procedurą wewnętrzną oraz rejestrem transakcji zagrożonych.
Do kantoru należy ocena, czy operacje zamiany zlecane przez klienta stanowią elementy składowe jednej transakcji, czy też stanowią oddzielne transakcje. Pociąga to za sobą obowiązek rejestracji.
Każdy zbiór danych osobowych trzeba zgłosić do rejestru prowadzonego przez GIODO – chyba, że w danym przypadku zachodzi którakolwiek z podstaw do zwolnienia z tego obowiązku określona w art. 43
W przypadku przetwarzania zbioru danych osobowych, który nie jest zwolniony z obowiązku zgłoszeniowego, zgłoszenia najprościej dokonać korzystając z oficjalnego, urzędowego serwisu „eGiodo”, generując formularz zgłoszeniowy i wysyłając go do GIODO w formie papierowej lub elektronicznej
Legalność przetwarzania zbioru danych „zwykłych” następuje z chwilą zgłoszenia, azbioru danych „wrażliwych”(o których stanowi art. 27 ustawy, np. danych o stanie zdrowia) dopiero z chwilą dokonania wpisu zgłoszonego zbioru do rejestru przez GIODO, czylidopiero po zarejestrowaniu zbioru danych w GIODO
Rodzaje podstaw prawnych w oparciu o które możliwe jest przetwarzanie danych osobowych „ZWYKŁYCH”
Ustawa o ochronie danych osobowych, w art. 23 ust. 1 przewiduje pięć głównych podstaw prawnych – są one od siebie odrębne i niezależne, wystarczy spełnienie przynajmniej jednej z nich:
zgoda na przetwarzanie danych osobowych– zgodnie z art. 23 ust. 1 pkt 1 uodo, istnieje możliwość przetwarzania danych osobowych w oparciu o wyrażona zgodę na przetwarzanie danych osobowych. Zgoda na przetwarzanie danych osobowych może zostać wyrażona w dowolnej formie, o ile chodzi o dane osobowe „zwykłe”, (w przypadku danych osobowych „wrażliwych” zgoda musi być udzielona na piśmie, zgodnie z art. 27 ust. 2 pkt 1 uodo. Zgodnie z art. 7 pkt 5 uodo, zgoda nie może być domniemanalub dorozumiana z oświadczenia woli o innej treści – dlatego zawsze musi wiązać się z konkretną czynnością oznaczającą wyrażenie konkretnego oświadczenia woli (np. odhaczenie „checkboxa”, wysłanie maila lub choćby „kliknięcie” w określony link). Czytaj dalej Podstawy prawne przetwarzania danych osobowych
W katalogu Instytucji Obowiązanych są także takie podmioty, które wprawdzie bezpośrednio nie przeprowadzają transakcji, ale mogą przyjmować dyspozycje lub zlecenia do przeprowadzania transakcji, uczestniczyć w ich przygotowaniu, lub mieć wiedzę o przeprowadzanych transakcjach. Do tej grupy Instytucji Obowiązanych należą fundacje, stowarzyszenia i przedsiębiorcy.
Każdy podmiot przetwarzający dane osobowe – zarówno administrator danych osobowych, jak i podmiot, któremu powierzono przetwarzanie danych osobowych w trybie art. 31 uodo (o czym szerzej w części VIII) – jest zobowiązany do prowadzenia w formie pisemnejdokumentacji wewnętrznej, wymaganej przez rozporządzenie do art. 39auodoz 2004 roku
Na wymaganą przez rozporządzenie dokumentację przetwarzania danych osobowych składają się:
– Polityka bezpieczeństwa(wymagana nawet, jeżeli przetwarzanie danych osobowych odbywa się wyłącznie w formie papierowej). Polityki bezpieczeństwa nie należy mylić z „polityką prywatności”, która jest dokumentem niewymaganym wprost przez powszechnie obowiązujące przepisy, a stanowi jedynie zwyczajową formę realizacji tzw. „obowiązków informacyjnych”, o czym szerzej w części V Czytaj dalej Wymagania w zakresie dokumentacji wewnętrznej ochrony danych osobowych
Wciąż bardzo rozpowszechnione jest przekonanie, że obowiązki w zakresie ochrony danych osobowych są nowością, która została wprowadzona dopiero przed kilkoma laty, lub wręcz miesiącami. Jest to błędne przekonanie, ponieważ ustawa o ochronie danych osobowych obowiązuje już od blisko 20 lat – weszła w życie dokładnie z dniem 30 kwietnia 1998 roku.
Oczywiście zakres obowiązków związanych z ochroną danych osobowych zmieniał się na przestrzeni lat, wciąż obowiązujące rozporządzenie do art. 39a uodo, zawierające szczegółowe wymagania, jakie spełniać musi dokumentacja, prowadzona przez każdego administratora danych osobowych (czyli w szczególności polityka bezpieczeństwa oraz instrukcja zarządzania systemem ) weszło w życie dopiero z dniem 1 maja 2004 roku, czyli z dniem wejścia Polski do Unii Europejskiej, nie było jednak ono do tej pory modyfikowane, w odróżnieniu do ustawy o ochronie danych osobowych, która była poddawana wielu zmianom. Czytaj dalej Ogólne podstawy ochrony danych osobowych 2017
W celu uregulowania procedur przeciwdziałaniu pieniędzy w biurze rachunkowym lub innym podmiocie obowiązanym z sektora małych i średnich przedsiębiorstw – najtańszym rozwiązaniem jest zakup promocyjnego pakietu iAML dystrybuowanego przez firmę RBDO. Cena pakietu to zaledwie 299 PLN netto (standardowo 999 PLN netto). Jest to narzędzie dedykowane dla biur rachunkowych oraz innych podmiotów obowiązanych.
Zestaw eBOX iAML zawiera
I. Szkolenie okresowe
Zdobędziesz wiedzę uczestnicząc w szkoleniu online.
Opracowane pod kątem spełnienia wymogów prawnych, uwieńczone wygenerowaniem DYPLOMU ważnego 12 miesięcy do kolejnej sesji aktualizacyjnej!
Szkolenie jest autoryzowane przez ekspertów legitymujących się certyfikatami International Compliance Association.
II. Procedura wewnętrzna
Wprowadzisz zasady działania zgodne z obowiązującymi przepisami
Dopasowana do odpowiednich Instytucji Obowiązanych procedura jest niezbędnym ustawowym elementem do wypełnienia. Stanowi zapis konkretnych działań służących przeciwdziałaniu praniu pieniędzy w firmie. Należy dołączyć je do bazowej dokumentacji firmowej.
III. Rejestr transakcji Analizuje relacje i transakcje oraz generuje formularze powiadomień do GIIF
Program iAML analizuje i monitoruje dane pod kątem podmiotu oraz zawieranych przez niego transakcji. Prowadzi własny rejestr oraz generuje raporty do GIIF – Generalnego Inspektora Informacji Finansowej.
Pozwala na import danych z programów: Subiekt, Optima, Symfonia oraz plików z innych systemów w formatach (xml, csv, uni, ple). Działa w środowisku MS Windows.
Gdy zostanie wykryta transakcja wysokiego ryzyka, system iAML wygeneruje zestaw formularzy i powiadomień do GIIF, aby wypełnić założenia Twojej procedury
Gotowe rozwiązanie znacznie tańsze od budowanego od podstaw
Każdy indywidualny projekt jest wyceniany podobnie jak praca radców prawnych z uwagi na charakter usługi.
Analiza obecnie wdrożonej procedury wewnętrznej to koszt pracy działu prawnego liczony w godzinach lub per storna dokumentu. Ponadto należy dokonać audytu wewnętrznego oraz struktury organizacyjnej podmiotu.
Godzina pracy działu prawnego lub analiza 2 stron dokumentu to równowartość kosztu oferowanego pakietu wraz ze szkoleniem oraz aplikacją do wykonywania środków bezpieczeństwa finansowego.
Proponuje zatem zakup dedykowanego narzędzia iAML, które jest zgodne z obowiązującym prawem i przygotowane pod kątem biur rachunkowych, biegłych rewidentów oraz doradców podatkowych.
To najtańsze i za razem bardzo profesjonalne rozwiązanie, zdecydowanie wyprzedzające oczekiwania GIIF.
Narzędzie iAML rekomenduje Pani Halina Kozak (biegły rewident oraz doradca podatkowy), która jest współtwórcą narzędzi. Dołożyła starań aby narzędzie było spójne z prawem i nie obciążało mocno zapracowanych specjalistów.
Zapraszamy do kontaktu w dogodnym terminie – aml@rbdo.pl
Rozwiązanie wdrożenia procedur przeciwdziałania praniu pieniędzy – iAML jest idealne dla małych i średnich przedsiębiorstw – pozwala oszczędzić czas i znacznie większe środki na dedykowane rozwiązania.
Nasz Partner Incaso Group – pomaga szybko i niskim kosztem wypełnić obowiązek ustawowy
– wzór procedury z załącznikami do uzupełnienia (WYDRUKOWANE),
– aplikacja jednostanowiskowa (helpdesk),
– szkolenie e-learning dla 2 osób (certyfikacja).
– wzór procedury z załącznikami do uzupełnienia,
– aplikacja jednostanowiskowa (helpdesk),
– szkolenie e-learning dla 2 osób (certyfikacja).
Wiedza zdobyta podczas szkolenia, opracowana przez Incaso Group oraz procedura wewnętrzna i prosty w obsłudze program iAML pozwoli Państwu w sposób kompleksowy spełnić wszystkie ustawowe obowiązki przeciwdziałania praniu pieniędzy oraz być w pełni przygotowanym na procedur UE wynikające z IV Dyrektywy AML – która zacznie być stosowana już w 2017 roku!
W 2017 roku zostanie zastosowana IV Dyrektywa Unijna dotycząca przeciwdziałaniu praniu pieniędzy – która w znacznym stopniu zaostrzy restrykcje w tym obszarze szczególnie względem biur rachunkowych. W wyniku nowelizacji dotyczącej przeciwdziałaniu brudnych pieniędzy – w 2017 roku pośród instytucji obowiązanych – obok m.in. biegłych rewidentów, doradców podatkowych – znajdą się̨ podmioty zajmujące się usługowym prowadzeniem ksiąg rachunkowych. Zgodnie z nimi księgowi jako należący do jednej z kategorii tzw. desygnowanych firm i zawodów niefinansowych, powinni także być aktywnym elementem systemu przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. Zostało już niewiele czasu do adaptacji przepisów i wdrożenia procedur przeciwdziałania praniu pieniędzy w biurze rachunkowym! Czytaj dalej Biura rachunkowe w obliczu IV Dyrektywy AML – przeciwdziałaniu praniu pieniędzy – która zacznie obowiązywać w 2017 roku!
PYTANIE: Zanim dostanę zawału z powodu wysokości kary jaka mi grozi, chciałbym się dowiedzieć od Państwa, czy ja mam obowiązek brania udziału w tej zabawie z ochroną danych.
Przede wszystkim co znaczy termin „przetwarzanie” danych osobowych? Mam sklep i w systemie wystawiam faktury klientom. Dane tych podmiotów są dostępne w sieci i system sam je pobiera, gdy tego porzebuję. Mam dwoje pracowników na etacie.
Całość obsługuje biuro rachunkowe na podstawie zawartej umowy. Moim zdaniem, ja nie „przetwarzam” danych osobowych. Jesli jest inaczej, proszę spróbować mi to wyjaśnić, wskazując odpowiednie ustępy w aktach prawnych?
KONSULTANT RBDO: Dzień dobry, Definicja przetwarzania danych zawarta w ustawie o ochronie danych osobowych jest bardzo szeroka, zgodnie z art. 7 pkt 2 ustawy należy przez to rozumieć „jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych;”.
Jeżeli natomiast chodzi o kary finansowe nakładane w trybie administracyjnym, to taka kara może być nałożona wyłącznie jako grzywna „przymuszająca” do wykonania poprzednio już wydanej decyzji – np. kontrola została zakończona wydaniem decyzji wzywającej do usunięcia określonych naruszeń, a podmiot w stosunku do którego wydano decyzję zignorował ją. Oczywiście należy też pamiętać, że teoretycznie dość rygorystycznie została określona odpowiedzialność karna za nieprzestrzeganie przepisów ustawy w jej rozdziale 8.
Wskazane byłoby raczej zwrócić uwagę na to, czy przetwarzanie danych osobowych w danym przypadku mieści się w katalogu zwolnień od obowiązku zgłoszeniowego zawartym w art. 43 ust. 1 ustawy (nawet jeżeli przetwarza się zbiór danych zwolniony z obowiązku zgłoszeniowego, reszta obowiązków – w szczególności obowiązek prowadzenia dokumentacji wewnętrznej – pozostaje).
W praktyce, w przypadku prowadzenia sklepu internetowego dokonuje się zgłoszenia „zbioru danych klientów” do GIODO – w szczególności dlatego, że jest to czynność jednorazowa, a pozwala zminimalizować ewentualne ryzyko.
PUBLIKACJE OTRZYMAJĄ PAŃSTWO NA E-MAIL PODANY W FORMULARZU!
Wkrótce skontaktuje się z Państwem przedstawiciel firmy RBDO – aby zaproponować preferencją ofertę współpracy oraz możliwe warianty wdrożeń systemu przetwarzania danych osobowych.
RBDO – Rejestracja i Bezpieczeństwo Danych Osobowych zapewnia kompleksowe wdrożenia z zakresu ochrony i przetwarzania danych osobowych – przeprowadzamy audyty, wdrożenia dokumentacji, rejestracje zbiorów danych do GIODO, doradztwo dla ABI (Administratorów Bezpieczeństwa Informacji).
Zespół RBDO (specjaliści prawa, adwokaci) rekomenduje produkty i usługi gwarantujące spełnienie wymogów ustawy ochrony danych osobowych. Proponujemy zróżnicowaną ofertę dla firm, instytucji oraz organizacji.