8000 zł kary dla administratora Wspólnoty mieszkaniowej za brak procedur RODO

Administrator Danych Osobowych Wspólnoty Mieszkaniowejmusi zapłacić 8000   zł za brak prawisłowych procedur RODO wobec stosowania monitoringu wizyjnego. ADO odwołał się do sądu w sprawie kary i przegrał.

 

Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę na decyzję prezesa Urzędu Ochrony Danych Osobowych, który nałożył karę administracyjną 8 tys. zł na spółkę administrującą wspólnotą mieszkaniową.

Czytaj dalej 8000 zł kary dla administratora Wspólnoty mieszkaniowej za brak procedur RODO

20 tysięcy euro kary za naruszenie RODO dla firmy zatrudniającej 9 pracowników

Francuski organ nadzorczy nałożył 20 tysięcy euro kary pieniężnej na firmę zatrudniającą 9 pracowników, działającą jako biuro tłumaczeń (https://www.cnil.fr/fr/uniontrad-company-20-000-euros-damende-pour-videosurveillance-excessive-des-salaries).

Powodem nałożenia kary było umieszczenie w pomieszczeniu biurowym kamer, które w trybie ciągłym rejestrowały stanowiska pracy 6 tłumaczy wykonujących swoją pracę w tym samym pomieszczeniu biurowym.

Warto przypomnieć, że także w Polsce obowiązująca wykładnia (zaprezentowana choćby w wytycznych Prezesa UOD: https://uodo.gov.pl/pl/383/354), zgodnie z którą pracodawca nie może wykorzystywać monitoringu np. do ciągłego obserwowania pracownika wykonującego swoją pracę – np. nie jest właściwe rozlokowania kamer tak, by obejmowały biuro i monitor pracownika (chyba, że zachodzą wyjątkowe, uzasadniające to okoliczności np. związane z charakterem określonej funkcji).

Francuska firma, nie tylko umieściła kamery w nieodpowiednich miejscach, ale także nie zrealizowała wobec pracowników obowiązku informacyjnego, wymaganego przez art. 13 RODO.

Na uwagę zasługuje argumentacja co do wysokości kary – CNIL (francuski odpowiednik Prezesa UODO) ograniczył jej wysokość z uwagi na małą skalę działalności i sytuację finansową firmy, która za ostatni rok wykazała stratę – warto jednak zwrócić uwagę, że 20 tysięcy euro to wciąż dotkliwa kwota.

Choć sytuacja miała miejsce we Francji, kara została nałożona za błąd który także w Polsce musiałby być uznany za naruszenie RODO.

 

Księgi wejść i wyjść oraz przepustki, a RODO

Systemy przepustkowe/ewidencje wejść i wyjść powszechnie stosowane są nie tylko przez urzędy lub inne podmioty publiczne, ale także przez część prywatnych przedsiębiorstw – zwłaszcza tam, gdzie w codziennej działalności wykorzystywany jest istotny majątek, a liczba osób „przewijających” się przez przedsiębiorstwo jest bardzo wysoka. Zapisywanie danych w księdze wejść i wyjść jest także standardem obiektach przeznaczonych na komercyjny wynajem powierzchni biurowych. Czynnikiem, który powoduje konieczność weryfikacji takiej procedury jako zgodnej z RODO jest pozyskiwanie danych osoby, której dane są pozyskiwane w celu zaewidencjonowania wejścia na teren obiektu. Czytaj dalej Księgi wejść i wyjść oraz przepustki, a RODO

Zapraszamy do wdrożenia PPK – Pracownicze Plany Kapitałowe

Odnośnie PPK – Pracowniczych Planów Kapitałowych, przedstawiam Państwu propozycję wdrożenia PPK – Pracowniczych Planów Kapitałowych z udziałem PZU TFI.

Proponuję wybór PZU TFI wraz z osobistym wsparciem wdrożenia – atuty PZU TFI :

– ma obniżone opłaty za zarządzanie kapitałem z 0,5% do 0,31% w skali roku
– ma dużą sieć oddziałów w Polsce, co jest istotne dla pracowników i ich obsługi w zakresie rachunków PPK
– jest największą grupą kapitałową w Europie Środkowo Wschodniej – w ub. roku 3,5 mld zysku i stabilną pozycję
– ma siedzibę w Polsce, aby kapitał w skali długoterminowej był blsiko
– jest Partnerem społecznym w wielu akcjach na rzecz bezpieczeństwa i zdrowia w Polsce
– Posiada w pełni zintegrowane API do programów księgowo -kadrowych do prowadzenia PPK
– Posiada bardzo wygodny i porosty Panel PPK dla Pracodawcy do zarządzania PPK
– 2500 Konsultantów w całej Polsce oraz sprawną Infolinię dla Pracodawców i Uczestników PPK dostępnę 7 dni w tygodniu!

W przypadku akceptacji niniejszej propozycji – wygeneruję dla Państwa LINK do rejestracji firmy w PZU TFI w celu uzyskania dostępu do Panelu PPK z deklaracjami i narzędziami zarządzania PPK.

Bez względu czy w danej firmie będą osoby przystepujące do PPK lub nie – spełnią Państwo ustawowy obowązek wdrożeniowy i uzyskają dostęp do panleu z deklaracjami i gotowość PPK – nie poniosą Państwo żadnych opłat wdrożeniowych!

Do aktywacji konta PPK dla firmy, proszę o przesłanie następujących danych:

1. Regon firmy
2. Ilość zatrudnionych osób
3. Imię i nazwisko oraz funkcja osoby zatwierdzającej
4. Mail i telefon komórkowy osoby zatwierdzającej

Zapraszam także na szkolenia PPK:

https://rbdo.com.pl/sklep/kategoria/ppk-pracownicze-plany-kapitalowe

Serdecznie Pozdrawiam,
Łukasz Cieniak
Doradca ds. PPK – Pracownicze Plany Kapitałowe

T: +48 664 484 218
Infolinia: 22 487 86 70

DoradcyPrawa.pl Łukasz Cieniak | Oficjalny Dystrybutor PZU TFI SA
ul.Kopalniana 22A/7
01-321 Warszawa
NIP: PL 118-165-16-57

Urzędy Ochrony Danych w Europie nakładają coraz więcej kar finansowych

W Polsce  pojawia się coraz więcej kar za uchybienia RODO – m.in. za brak zawarcia Umowy Powierzenia Danych. Oto przegląd kar:

>> 16 października 2019 roku  – Polski Urząd Ochrony Danych nałożył 201 tys. zł kary na firmę ClickQuickNow Sp. z o.o. z siedzibą w Warszawie, za utrudnianie wypisania się z listy wysyłkowej

>> W październiku 2019 roku 40 tys. zł kary na burmistrza Aleksandrowa Kujawskiego za brak umowy powierzenia przetwarzania danych osobowych z podmiotami, którym przekazywał dane.

>> We wrześniu 2019 roku 2,8 miliona złotych kary na spółkę Morele.net za niewystarczające zabezpieczenie danych osobowych.

>> W maju 2019 roku prawie 56 tys. zł na Związek Piłkarski za opublikowanie na swojej stronie internetowej danych osobowych sędziów piłkarskich.

>> W marcu 2019 r. blisko 1 mln zł za zaniedbanie obowiązku informacyjnego przez spółkę Bisnode

Zobacz inne kary kary i uzasadnienia: Czytaj dalej Urzędy Ochrony Danych w Europie nakładają coraz więcej kar finansowych

Progi dużej skali w kontekście wyznaczenia IODO dla podmiotów wykonujących działalność medyczną

Jak powszechnie wiadomo, RODO nie przewiduje szczegółowych progów, z których przekroczeniem powiązana jest definicja dużej skali – ściśle związana z kolei z obowiązkiem wyznaczenia Inspektora Ochrony Danych Osobowych. Choć na etapie projektu RODO proponowano konkretne liczby (5000 rekordów w ciągu 12 miesięcy) [Link], to jednak ostatecznie zrezygnowano z wpisania tak szczegółowego rozwiązania do rozporządzenia. Argumentowano to tym, że wpisanie tego „na sztywno” było by zbyt mało elastyczne – z drugiej jednak strony spowodowało to znaczną niepewność wśród podmiotów zobowiązanych – ponieważ nawet wytyczne grupy roboczej art. 29 w sprawie IODO [Link] jedynie parafrazowały wskazówki z preambuły (jednoosobowa praktyka lekarska lub jednoosobowa kancelaria prawna – brak dużej skali, szpital, bank ubezpieczyciel – duża skala). Czytaj dalej Progi dużej skali w kontekście wyznaczenia IODO dla podmiotów wykonujących działalność medyczną

Szkoła, a przetwarzanie danych osobowych

Podmiotem zobowiązanym do wypełniania obowiązków wynikających z przepisów o ochronne danych osobowych będzie szkoła – jako jednostka organizacyjna reprezentowana w tym zakresie przez dyrektora. Oczywiście mogą zdarzyć się sytuacje w których jako administratora będzie należało uznać np. stowarzyszenie lub fundację prowadzącą szkołę, będą one jednak należały do rzadkości. Czytaj dalej Szkoła, a przetwarzanie danych osobowych

Zakaz kserowania dowodów osobistych ?

Od pewnego czasu w mediach krążą informacje, że od dnia 12 lipca absolutnie zakazane jest kserowanie dowodów osobistych – nie jest to jednak informacja w 100 % prawdziwa.

Prawdą jest, że z dniem 12 lipca 2019 roku w życie weszła ustawa o dokumentach publicznych, która zawiera art. 58 o następującej treści: „Kto  wytwarza,  oferuje,  zbywa  lub przechowuje  w celu zbycia replikę dokumentu  publicznego,  podlega  grzywnie,  karze  ograniczenia  wolności  albo pozbawienia wolności do lat 2.”

Co do zasady obowiązuje więc zakaz wykonywania replik dokumentów publicznych (ale od tej zasady przewidziano wyjątki – o czym poniżej). Czytaj dalej Zakaz kserowania dowodów osobistych ?

UODO: Wykaz operacji oceny skutków przetwarzania dla ich ochrony

Dnia  8 lipca 2019 roku opublikowany został Komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony.

Brak wykonania oceny skutków zagrożony jest karą pieniężną od 0 do 10 milionów euro.

Organ nadzorczy wskazuje, że „Co do zasady, przetwarzanie spełniające przynajmniej dwa z niżej wymienionych kryteriów będzie wymagać oceny skutków dla ochrony danych.Czytaj dalej UODO: Wykaz operacji oceny skutków przetwarzania dla ich ochrony

UODO zakazuje wyrywkowych kontroli trzeźwości wśród pracowników – komentarz RBDO.

Prezes Urzędu Ochrony Danych Osobowych wypowiedział się na temat dopuszczalność poddawania pracowników wyrywkowym badaniom alkomatem.

Organ nadzorczy w oparciu o art. 17 ust. 3 ustawy o wychowaniu w trzeźwości i przeciwdziałaniu alkoholizmowi, w związku z art. 22[1b] kodeksu pracy stwierdził, że pracodawca nie ma prawa do poddawania pracowników wyrywkowym badaniom na zawartość alkoholu we krwi – może on jedynie wezwać policję do zakładu pracy, by to jej przedstawiciel poddał pracownika badaniu trzeźwości – ale wyłącznie w konkretnym przypadku, gdy zaszło uzasadnione podejrzenie co stanu trzeźwości.

Czytaj dalej UODO zakazuje wyrywkowych kontroli trzeźwości wśród pracowników – komentarz RBDO.

800 tys. zł kary za nie określone czasowe przechowywanie danych

Duński organ nadzorczy nałożył karę w wysokości 1.5 miliona koron duńskich (ok 800 tysięcy złotych) na firmę produkującą i sprzedającą meble.

Powodem nałożenia kary pieniężnej było niezachowanie przez ukaraną firmę zasady ograniczenia czasu przechowywania danych – dane 385 tysięcy byłych klientów były przechowywane w systemach informatycznych „na zawsze”, bez zakreślenia okresu, przez który będą konieczne do osiągnięcia celów zgodnych z prawem.

Choć firma przechowywała jedynie imiona, nazwiska, adresy, nr telefonów oraz maile i historię zamówień – to nie wskazała okresu, po którym będą one usuwane.

Należy pamiętać, że za podobne naruszenia kary pieniężne może stosować także polski organ nadzorczy, wobec krajowych przedsiębiorców.

Źródło: RBDO

UODO: Szacowanie ryzyka jest obowiązkiem Administratora Danych z zaleceniem metodologii ENISA

W najnowszych wytycznych wydanych przez Prezesa UODO dotyczących naruszeń ochrony danych osobowych podkreślono, że „Wprowadzenie procedur umożliwiających stwierdzanie i ocenę naruszeń pod kątem wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych jest obowiązkiem administratora niezależnie od zaistnienia naruszenia ochrony danych osobowych.” – https://uodo.gov.pl/pl/138/1029

Jako jedną z metodologii klasyfikacji naruszeń Prezes UODO zaleca metodologię stworzoną w oparciu o wytyczne Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA).

PS.

Warto podkreślić, że dokumentacja RBDO która powstała w 2018 roku bardzo precyzyjnie odnosi się do niniejszych dwóch zaleceń.

Zarówno analiza  ryzyka jest rozpisana i zawiera konkretne przykłady, jak również metodologią kalsyfikacji naruszeń, jaką przyjęliśmy jest właśnie stworzoną w oparciu o wytyczne Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA).

Jeśli w swojej dokumentacji  RODO nie posiadają Państwo analizy szacowania ryzyka i nie posiadają Państwo klasyfikacji naruszeń wg Agencji ENISA zapraszamy do zakupu naszej dokumentacji,

ZAMÓWIENIE MOŻNA ZŁOŻYĆ NA STRONIE HTTPS://RBDO.COM.PL/SKLEP/PRODUKT/DOKUMENTACJA-PRZETWARZANIA-DANYCH-OSOBOWYCH

LUB POD ADRESEM BIURO@RBDO.PL – PRZESYŁAJĄC DANE DO FAKTURY PRO FORM

Okazja. Kompleksowy pakiet procedur przeciwdziałania praniu pieniędzy „Mikro AML” – w cenie 500 zł !

13 lipca 2018 roku weszła w życie znowelizowana Ustawa o Przeciwdziałaniu Praniu Pieniędzy i Finansowaniu Terroryzmu, która nakłada na instytucje obowiązane szereg obowiązków.

Firma Incaso Group, która specjalizuje się w tej dziedzinie od 2003 roku, przygotowała kompleksowe rozwiązanie, które pozwala zaoszczędzić czas, pieniądze i zyskać bezpieczeństwo prowadzonej działalności.

W skład oferty wchodzą:

– certyfikowane szkolenia e-learningowe,
– procedura wewnętrzna dostosowana do profilu działalności,
– ocena ryzyka za 2018 rok,
– jednostanowiskowy program iAML wzbogacony o bazę PEP (pracowników zajmujących eksponowane stanowisko polityczne), listę ostrzeżeń KNF, listy sankcyjne, kraje i branże podwyższonego ryzyka.

Ponieważ już w lipcu minie rok od momentu dostosowania się do wymogów ustawy, Nasza firma przygotowała specjalną akcję rabatową i koszt całego rozwiązania wyniesie 500,00 zł netto.

ZOBACZ PREZENTACJĘ ROZWIĄZANIA TUTAJ :
PROMOCJA_MIKRO_2019 rabat

 

Zamów w sklepie: Pakiet Procedur Mikro AML

lub wyślij dane do Faktury Pro forma na biuro@rbdo.pl

RODO Informator: UODO – prawo do uzyskania kopii danych osobowych nie musi być realizowane poprzez sporządzenia kopii nośnika.

W decyzji ZSZZS.440.660.2018z dnia 22 marca 2019 roku Prezes Urzędu Ochrony Danych Osobowych stanął na stanowisku, że wykonanie obowiązku określonego w art. 15 ust. 3 RODO, czyli wydanie kopii danych osobowych może być spełnione zarówno poprzez wykonanie kopii lub odpisu całego dokumentu (nośnika) na którym znajdują się dane osobowe oraz inne dane, jak i poprzez podanie wnioskującemu jedynie treści jego danych osobowych, z pominięciem informacji znajdujących się w nośniku, które nie stanowią danych osobowych. Czytaj dalej RODO Informator: UODO – prawo do uzyskania kopii danych osobowych nie musi być realizowane poprzez sporządzenia kopii nośnika.