Nowe procedury ochrony danych – z obowiązkiem powołania Inspektora Ochrony Danych!

giodoW 2018 roku będą obowiązywać nowe przepisy dotyczące ochrony danych osobowych w jednostakch budżetowych.  Zniesiony zostanie obowiązek zgłaszania rejestru danych do Generalnego Inspektora Ochrony Danych Osobowych.

Informacje ogólne o zmianach w procedurach ochrony danych

Po wejściu do stosowania w dniu 25 maja 2018 r. rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (ogólnego rozporządzenia o ochronie danych, zwanego dalej również „RODO”) rolę fachowego wsparcia dla administratorów danych i podmiotów przetwarzających odgrywać będą inspektorzy ochrony danych (zwani dalej również „DPO” od data protection officer). Zadaniem inspektorów ochrony danych – tak jak obecnie administratorów bezpieczeństwa informacji (ABI) – będzie działanie na rzecz zgodnego z przepisami o ochronie danych przetwarzania danych, zarówno w administracji publicznej, jak i w sektorze prywatnym.

Bez wątpienia przetwarzanie danych osobowych  w jednostkach administracji samorządowej oraz w podległych  instytucjach, placówkach oraz spółkach odbywa się w sposób ciągły i na masową skalę – i każda jednostka budżetowa stanie przed nowymi obowiązkami.

Zanim zaczną obowiązywać nowe procedury Rozporządzenia UE (RODO) warto tez odnotować wiele problemów z obowiązującymi przepisami ochrony danych, co wykazał raport  kontroli NIK w samorządach – ZOBACZ RAPORT >>

Czytaj dalej Nowe procedury ochrony danych – z obowiązkiem powołania Inspektora Ochrony Danych!

Videoszkolenie! Nowe procedury ochrony danych UE (RODO) czerwiec 2017 – Wstęp

rodoPragniemy zaprezentować Państwu fragment szkolenia z procedur ochrony danych – aby przedstawić Państwu przed jakim wyzwaniem staną wszyscy administratorzy danych – właściciele firm, kierownicy jednostek organizacyjnych po zastosowaniu nowych procedur Rozporządzenia UE (RODO) z 27 kwietnia 2016 roku!

Jakie zmiany zaszły w kwestii rejestracji oraz bezpieczeństwa danych osobowych, które obowiązywać będą już w 2018 roku, zagrożone karami do 20 mln euro lub 4% przychodu? Obejrzyj wprowadzenie do  szkolenia z nowych procedur .

Nowe terminy szkoleń z procedur UE RODO Warszawa – Poznań – wyślij delegata firmy i rezerwuj szkolenie tutaj >>

Czytaj dalej Videoszkolenie! Nowe procedury ochrony danych UE (RODO) czerwiec 2017 – Wstęp

Łączenie zgód z uodo, uśude i prawa telekomunikacyjnego – dotychczasowy stan prawny – a co po UE RODO 2018?

Zmiany w prawie UE w zakresie ochrony danych osobowych
Zmiany w prawie UE w zakresie ochrony danychZmiany w prawie UE w zakresie ochrony danych osobowych – Rozporządzenie z dnia 27 kwietnia 2016 roku osobowych

Jak wygląda obecny stan prawny łączenia zgód? Trzy odrębne i niezależne zgody wynikające z trzech odrębnych ustaw. Jaka jest wzajemna relacja pomiędzy zgodami z uodo i uśude?

Czytaj dalej Łączenie zgód z uodo, uśude i prawa telekomunikacyjnego – dotychczasowy stan prawny – a co po UE RODO 2018?

Podstawa prawna przetwarzania pozyskanych danych osobowych w kontekście zmian UE (RODO)

Zmiany w prawie UE w zakresie ochrony danych osobowych
Zmiany w prawie UE w zakresie ochrony danychZmiany w prawie UE w zakresie ochrony danych osobowych – Rozporządzenie z dnia 27 kwietnia 2016 roku osobowych

Podstawa prawna przetwarzania pozyskanych danych osobowych.

  1. Podstawa prawna przetwarzania danych użytkowników serwisu w celu realizacji jego głównych funkcji.
  2. Podstawa prawna wykorzystywania danych użytkowników na w oparciu o udzielone zgody na czynności dodatkowe.
  3. Przepisy przejściowe i dalsze wykorzystywanie zgód udzielonych przed 25 maja 2018 roku po przyjęciu RODO do stosowania.
  4. Zmiany legislacyjne w prawie krajowym, a sposób formułowania i pozyskiwania zgód. Porównanie zmian w uśude.

Czytaj dalej Podstawa prawna przetwarzania pozyskanych danych osobowych w kontekście zmian UE (RODO)

Nowe przepisy ochrony danych i wysokie kary za ich nieprzestrzeganie do 20 mln euro!

prezentacjaJakie zmiany zaszły w kwestii rejestracji oraz bezpieczeństwa danych osobowych, które obowiązywać będą już w 2018 roku, zagrożone karami do 20 mln euro lub 4% przychodu? 

Rozporządzenie UE o ochronie danych z 27 kwietnia 2016 r. (tzw. RODO) zacznie być stosowane w 2018 r. – powstaje nowy organ nadzorczy w Polsce, który będzie egzekwował przepisyn RODO – PREZES URZĘDU OCHRONY DANYCH – będzie mógł nakładać kary finansowe na firmy i jednostki organizacyjne za uchybienia ochrony danych do 20 mln LUB WYŻSZE DO 4% PRZYCHODU! Czytaj dalej Nowe przepisy ochrony danych i wysokie kary za ich nieprzestrzeganie do 20 mln euro!

Zbiór danych a baza danych – potoczne mylenie pojęć

Ustawa o ochronie danych osobowych, (dyrektywa UE z 95 roku a także RODO) w ogóle nie posługuje się takim pojęciem jak „baza danych” – jest to sformułowanie używane w ustawie o ochronie baz danych, natomiast przepisy o ochronie danych osobowych mają charakter szczególny w stosunku do tej ustawy.

Z art. 1 ustawy o ochronie baz danych wynika, że baza danych może posiadać cechy „utworu” i na tej podstawie podlegać pod ochronę wynikającą z ustawy o prawie autorskim i prawach pokrewnych – jak zakładam stąd stosowanie do obrotu bazami danych „licencji”, o której stanowi art. 41 ustawy o prawie autorskim i prawach pokrewnych – jednak w żaden sposób nie ogranicza to ochrony wynikającej z przepisów o ochronie danych osobowych, które mają charakter szczególny w stosunku do wyżej przytoczonych regulacji. Czytaj dalej Zbiór danych a baza danych – potoczne mylenie pojęć

SN: O karach na call center za brak zgód

SN: „czy dopuszczalne jest nałożenie kary pieniężnej, na podstawie art. 209 ust. 1 pkt 25 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. nr 171, poz. 1800 ze zm.) w związku z art. 172 ust. 1 i art. 174 pkt 1 tej ustawy, na przedsiębiorcę telekomunikacyjnego, w sytuacji gdy zlecił on przeprowadzenie akcji promującej jego usługi innemu podmiotowi, który wykonał to zlecenie używając dla celów marketingu bezpośredniego automatycznych systemów wywołujących bez uzyskania na to zgody abonentów lub użytkowników końcowych będących adresatami takich działań?”

OPINIA:

Co do zasady – SN poprawnie stwierdził odnosząc się do konkretnej sprawy, że zobowiązany do pozyskania zgody był zlecający działania marketingowe, choć „zamieszanie” mogą budzić poczynione na marginesie uzasadnienia rozważania sugerujące że przy jednym działaniu zgodę muszą pozyskiwać niezależnie od siebie zarówno zleceniodawca jak i zleceniobiorca – choć w mojej ocenie jest to raczej nieporozumienie spowodowane wyciągnięciem jednego zdania w oderwaniu od całościowego kontekstu rozważań SN: Czytaj dalej SN: O karach na call center za brak zgód

Nie tylko kary finansowe – nowe uprawnienie następcy GIODO – Prezesa Urzędu Ochrony Danych

podpis1W art. 24 ust. 1 projektu ustawy ochronie danych osobowych z dnia 28 marca 2017 roku (dalej jako „PUODO”) wskazano, że nowy organ nadzorczy będzie dysponował możliwością wydania postanowienia, zobowiązującego podmiot, któremu jest zarzucane naruszenie przepisów o ochronie danych osobowych, do ograniczenia przetwarzania danych osobowych – jeszcze przed wydaniem decyzji kończącej postępowanie.

W obecnym stanie prawnym, GIODO może wydać decyzję np. nakazującą usunięcie danych osobowych w dopiero po zakończeniu postępowania, przy czym podmiot, wobec którego taką decyzję wydano jest zobowiązany do jej realizacji dopiero po jej uprawomocnieniu.
Czytaj dalej Nie tylko kary finansowe – nowe uprawnienie następcy GIODO – Prezesa Urzędu Ochrony Danych

Działalność gabinetów stomatologicznych, a wyznaczanie inspektora ochrony danych w świetle reformy przepisów o ochronie danych osobowych

ochrona danych osobowychZarówno stomatolog prowadzący działalność jako osoba fizyczna, jak i spółki prowadzące podobnego rodzaju działalność w większej skali są administratorami danych osobowych – przede wszystkim swoich pacjentów, ale także osób przez siebie zatrudnionych – a w konsekwencji zobowiązane są one do realizacji obowiązków określonych w przepisach dotyczących ochrony danych osobowych.


Serdecznie zapraszamy gabinety stomatologiczne i medyczne do zapoznania się z ofertą wdrożenia procedur systemu ochrony danych osobowych zabezpieczających podmiot – https://rbdo.com.pl/sklep/


Czytaj dalej Działalność gabinetów stomatologicznych, a wyznaczanie inspektora ochrony danych w świetle reformy przepisów o ochronie danych osobowych

Nowy Urząd Ochrony Danych z dużymi kompetencjami nakładania kar do 20 mln euro!

mc-600x241Ministerstwo Cyfryzacji opublikowało projekt nowej ustawy o ochronie danych osobowych. Zakłada on powołanie nowego organu nadzorczego – Prezesa Urzędu Ochrony Danych z szerokimi kompetencjami nakładania administracyjnych kar w wysokości do 20 mln euro lub większych do 4% światowego obrotu firmy!  Warto jednak już dziś zapoznać się z głównymi założeniami nowej ustawy, ponieważ przewiduje ona nieznane dotąd w Polsce mechanizmy nakładania bardzo wysokich kar w trybie jednoinstancyjnej decyzji organu nadzorczego.

Czytaj dalej Nowy Urząd Ochrony Danych z dużymi kompetencjami nakładania kar do 20 mln euro!

Kantory a nowe procedury przeciwdziałania praniu pieniędzy

facebookKażdy kantor musi realizować obowiązek przeciwdziałania praniu pieniędzy. Poza samą analizą transakcji i klientów należy również legitymować się aktualnym dyplomem uczestnictwa w szkoleniu, procedurą wewnętrzną oraz rejestrem transakcji zagrożonych.

Do kantoru należy ocena, czy operacje zamiany zlecane przez klienta stanowią elementy składowe jednej transakcji, czy też stanowią oddzielne transakcje. Pociąga to za sobą obowiązek rejestracji.

Czytaj dalej Kantory a nowe procedury przeciwdziałania praniu pieniędzy

Obowiązek zgłoszenia zbioru danych do rejestru prowadzonego przez GIODO

Szkolenie ochrona danych osobowych
Szkolenie ochrona danych osobowych

Każdy zbiór danych osobowych trzeba zgłosić do rejestru prowadzonego przez GIODO – chyba, że w danym przypadku zachodzi którakolwiek z podstaw do zwolnienia z tego obowiązku określona w art. 43

  • W przypadku przetwarzania zbioru danych osobowych, który nie jest zwolniony z obowiązku zgłoszeniowego, zgłoszenia najprościej dokonać korzystając z oficjalnego, urzędowego serwisu „eGiodo”, generując formularz zgłoszeniowy i wysyłając go do GIODO w formie papierowej lub elektronicznej
  • Legalność przetwarzania zbioru danych „zwykłych” następuje z chwilą zgłoszenia, a zbioru danych „wrażliwych” (o których stanowi art. 27 ustawy, np. danych o stanie zdrowia) dopiero z chwilą dokonania wpisu zgłoszonego zbioru do rejestru przez GIODO, czyli dopiero po zarejestrowaniu zbioru danych w GIODO

Czytaj dalej Obowiązek zgłoszenia zbioru danych do rejestru prowadzonego przez GIODO

Podstawy prawne przetwarzania danych osobowych

Szkolenie ochrona danych osobowych
Szkolenie ochrona danych osobowych

Rodzaje podstaw prawnych w oparciu o które możliwe jest przetwarzanie danych osobowych „ZWYKŁYCH”

Ustawa o ochronie danych osobowych, w art. 23 ust. 1 przewiduje pięć głównych podstaw prawnych – są one od siebie odrębne i niezależne, wystarczy spełnienie przynajmniej jednej z nich:

  • zgoda na przetwarzanie danych osobowych– zgodnie z art. 23 ust. 1 pkt 1 uodo, istnieje możliwość przetwarzania danych osobowych w oparciu o wyrażona zgodę na przetwarzanie danych osobowych. Zgoda na przetwarzanie danych osobowych może zostać wyrażona w dowolnej formie, o ile chodzi o dane osobowe „zwykłe”, (w przypadku danych osobowych „wrażliwych” zgoda musi być udzielona na piśmie, zgodnie z art. 27 ust. 2 pkt 1 uodo. Zgodnie z art. 7 pkt 5 uodo, zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści – dlatego zawsze musi wiązać się z konkretną czynnością oznaczającą wyrażenie konkretnego oświadczenia woli (np. odhaczenie „checkboxa”, wysłanie maila lub choćby „kliknięcie” w określony link). Czytaj dalej Podstawy prawne przetwarzania danych osobowych

Fundacje, stowarzyszenia i przedsiębiorcy a obowiązek wdrożenia procedur AML?

facebookW katalogu Instytucji Obowiązanych są także takie podmioty, które wprawdzie bezpośrednio nie przeprowadzają transakcji, ale mogą przyjmować dyspozycje lub zlecenia do przeprowadzania transakcji, uczestniczyć w ich przygotowaniu, lub mieć wiedzę o przeprowadzanych transakcjach. Do tej grupy Instytucji Obowiązanych należą fundacje, stowarzyszenia i przedsiębiorcy.

Czytaj dalej Fundacje, stowarzyszenia i przedsiębiorcy a obowiązek wdrożenia procedur AML?

Wymagania w zakresie dokumentacji wewnętrznej ochrony danych osobowych

Szkolenie ochrona danych osobowych
Szkolenie ochrona danych osobowych

Wymagania w zakresie dokumentacji wewnętrznej

  • Każdy podmiot przetwarzający dane osobowe – zarówno administrator danych osobowych, jak i podmiot, któremu powierzono przetwarzanie danych osobowych w trybie art. 31 uodo (o czym szerzej w części VIII) – jest zobowiązany do prowadzenia w formie pisemnej dokumentacji wewnętrznej, wymaganej przez rozporządzenie do art. 39a uodo z 2004 roku
  • Na wymaganą przez rozporządzenie dokumentację przetwarzania danych osobowych składają się:

– Polityka bezpieczeństwa (wymagana nawet, jeżeli przetwarzanie danych osobowych odbywa się wyłącznie w formie papierowej). Polityki bezpieczeństwa nie należy mylić z „polityką prywatności”, która jest dokumentem niewymaganym wprost przez powszechnie obowiązujące przepisy, a stanowi jedynie zwyczajową formę realizacji tzw. „obowiązków informacyjnych”, o czym szerzej w części V Czytaj dalej Wymagania w zakresie dokumentacji wewnętrznej ochrony danych osobowych