System zgłoszeń naruszeń prawa na podstawie ustawy o sygnalistach. Pytania i odpowiedzi

Jakie podmioty są zobowiązane do wdrożenia procedur?

Podmioty zobligowane do wdrożenia procedur o ochronie sygnalistów od dnia 25 września 2024 roku to:

> Jednostki budżetowe

> Firmy zatrudniające minimum 50 pracowników

> Firmy niezależnie od ilości pracowników – które posiadają status instytucji obowiązanej na
podstawie ustawy AML, czyli takie jak:

– biura rachunkowe
– pośrednicy w obrocie nieruchomościami,
– podmioty świadczące usługi w zakresie kryptowalut,
– przedsiębiorcy w zakresie realizującym płatności w gotówce o wartości większej niż 10 000 euro,
– instytucje finansowe,
– kantory wymiany walut,
– lombardy
– instytucje kredytowe i ich oddziały,
– spółdzielcze kasy oszczędnościowo-kredytowe (SKOKi),
– krajowe instytucje płatnicze,
– agentów rozliczeniowych,
– fundusze inwestycyjne,
– alternatywne spółki inwestycyjne,
– firmy inwestycyjne,
– zakłady ubezpieczeń,
– pośredników ubezpieczeniowych,
– podmioty prowadzące działalność kantorową oraz świadczące
– podmioty świadczące usługi w zakresie wymiany walut wirtualnych,
– instytucje pożyczkowe,
– przedsiębiorcy prowadzący działalność w zakresie gier losowych,
– operatorów pocztowych

Kary grzywny za brak procedur

W myśl art. 58 ustawy o ochronie sygnalistów kto, będąc odpowiedzialnym za ustanowienie procedury zgłoszeń wewnętrznych, wbrew przepisom ustawy procedury tej nie ustanawia lub ustanawia ją z istotnym naruszeniem wynikających z ustawy wymogów, podlega karze grzywny (jest to kara do 5.000 zł).

Uniemożliwianie lub utrudnianie zgłoszenia sygnaliście oznaczać będzie karę grzywny, ograniczenia wolności lub pozbawienia wolności do roku, natomiast za utrudnianie zgłoszenia sygnaliście z wykorzystaniem przemocy, groźby bezprawnej lub podstępu grozi kara grzywny, ograniczenia wolności albo pozbawienia wolności do lat trzech.

Zamów procedury w promocji!na stronie: https://rbdo.com.pl/sklep/
Czytaj dalej System zgłoszeń naruszeń prawa na podstawie ustawy o sygnalistach. Pytania i odpowiedzi

Biura rachunkowe obowiązane do wdrożenia procedur o ochronie sygnalitsów

Biura rachunkowe są podmiotami objętymi przepisami ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu dotyczy art. 23 ust. 3 ustawy o ochronie sygnalistów, zatem muszą stosować przepisy o ochronie sygnalistów niezależnie od ilości osób wykonujących w nich pracę zarobkową. Będą one musiały stosować ustawę o ochronie sygnalistów już od jej wejścia w życie, tj. od 25 września 2024 r.

Biuro rachunkowe jako podmiot prawny objęty ustawą o ochronie sygnalistów powinno mieć przygotowany rejestr zgłoszeń wewnętrznych, zawierający dane z art. 29 ust. 4 tej ustawy, wypełniany w sytuacji, gdy wpłynie zgłoszenie.

W myśl art. 58 ustawy o ochronie sygnalistów kto, będąc odpowiedzialnym za ustanowienie procedury zgłoszeń wewnętrznych, wbrew przepisom ustawy procedury tej nie ustanawia lub ustanawia ją z istotnym naruszeniem wynikających z ustawy wymogów, podlega karze grzywny (jest to kara do 5.000 zł).

Od dnia 25 września 2024 r. biura rachunkowe są objęte obowiązkiem przygotowania i wdrożenia procedury przyjmowania zgłoszeń określającej tryb postępowania na wypadek wystąpienia takiego zgłoszenia oraz wszelkiej dokumentacji zabezpieczającej je na wypadek kontroli wykonywania przepisów ustawy o ochronie sygnalistów.

Czytaj dalej Biura rachunkowe obowiązane do wdrożenia procedur o ochronie sygnalitsów

Ustawa o ochronie sygnalistów

PODSTAWY PRAWNE, WDRAŻANIE I DZIAŁANIA NASTĘPCZE
Zgodnie z ustawą z dnia 14 czerwca 2024 r. o ochronie sygnalistów, organizacje
prywatne oraz jednostki sektora publicznego miały obowiązek wdrożenia systemu
ochrony sygnalistów do dnia 25 września 2024 r. Przepisy te mają na celu
zapewnienie ochrony osób zgłaszających nieprawidłowości oraz stworzenie
transparentnych i bezpiecznych procedur zgłoszeniowych. Jeśli dana organizacja do
tej pory nie wdrożyła wymaganych procedur, powinna niezwłocznie przeprowadzić
finalizację systemu zgłoszeń sygnalistów, przygotować wymaganą dokumentację,
przeprowadzić konsultacje wewnętrzne z organizacjami reprezentującymi
pracowników i jak najszybciej uruchomić odpowiednie mechanizmy. Definicję
sygnalisty znajdziemy w art. 2 ustawy, zgodnie z którym sygnalistą jest osoba
fizyczna zgłaszająca lub publicznie ujawniająca informacje o naruszeniach prawa w
kontekście zawodowym, mająca uzasadnione podstawy, by sądzić, że informacje te
są prawdziwe.


Obowiązki organizacji

Na mocy ustawy, podmioty prawne muszą podjąć następujące kroki:

1. Opracowanie procedury zgłoszeń wewnętrznych

Każda organizacja musi opracować wewnętrzne procedury umożliwiające
pracownikom zgłaszanie naruszeń. Zgodnie z art. 4 ustawy, procedura ta
powinna obejmować zasady zgłaszania, rozpatrywania oraz ochrony danych
osobowych sygnalistów.

2. Konsultacje z przedstawicielami pracowników

Projekt procedury zgłoszeń wewnętrznych powinien zostać skonsultowany ze
związkami zawodowymi lub przedstawicielami osób świadczących pracę na
rzecz podmiotu prawnego. Jest to wymagane, aby zapewnić, że procedury są
zgodne z oczekiwaniami i potrzebami pracowników (art. 5 ustawy).

3. Stworzenie kanałów zgłoszeń

Organizacje muszą stworzyć kanały zgłoszeń, które mogą być pisemne lub
ustne. Rekomendujemy oparcie systemu zgłoszeń na platformach zgłoszeń,
które są najbezpieczniejsze z punktu widzenia ryzyka ujawnienia tożsamości
sygnalisty. Zgodnie z Art. 6 ustawy, kanały te powinny gwarantować
anonimowość oraz bezpieczeństwo zgłaszającego.

4. Ochrona tożsamości sygnalisty

Art. 56 ustawy jasno określa, że ujawnienie tożsamości sygnalisty, osoby
pomagającej w dokonaniu zgłoszenia lub osoby powiązanej z sygnalistą,
podlega surowym sankcjom. Naruszenie tego przepisu może skutkować
grzywną, karą ograniczenia wolności albo pozbawienia wolności do roku.

5. Ogłoszenie procedury

Procedura zgłoszeń powinna zostać ogłoszona w sposób przyjęty w danym
podmiocie prawnym. Przyjmuje się, że terminem granicznym w tym przypadku
jest 25 września bieżącego roku.

6. Upoważnienie odpowiednich jednostek lub osób

Organizacje muszą upoważnić wewnętrzną jednostkę organizacyjną lub osobę
w ramach struktury organizacyjnej podmiotu prawnego, lub podmiot
zewnętrzny, do przyjmowania zgłoszeń wewnętrznych (art. 8 ustawy).
Dodatkowo, należy upoważnić bezstronną jednostkę lub osobę do
podejmowania działań następczych w celu rozpatrzenia zgłoszeń (art. 9
ustawy).

7. Utworzenie rejestru zgłoszeń

Każda organizacja jest zobowiązana do utworzenia i prowadzenia rejestru
zgłoszeń, który będzie zawierał wszystkie zgłoszenia wraz z informacją
o podjętych działaniach (art. 10 ustawy).

Wdrażanie procedur

Wdrożenie procedur wynikających z ustawy o sygnalistach może napotkać szereg
trudności. Przede wszystkim, organizacje muszą zapewnić poufność zgłoszeń, co

wiąże się z koniecznością inwestycji w odpowiednie narzędzia technologiczne
i szkolenia dla personelu. Art. 5 ustawy wymaga, aby kanały zgłoszeniowe były
bezpieczne i gwarantowały anonimowość zgłaszającego, co może stanowić
wyzwanie dla wielu firm. Kluczowe jest również stworzenie zaufanego środowiska, w
którym pracownicy będą czuli się bezpiecznie zgłaszając naruszenia. Dodatkowym
wyzwaniem jest dostosowanie wewnętrznych regulaminów i polityk do nowych
wymagań prawnych oraz zapewnienie, że wszyscy pracownicy są świadomi swoich
praw i obowiązków jako potencjalni sygnaliści.

Działania następcze

Po zgłoszeniu naruszenia, organizacje muszą podjąć odpowiednie działania
następcze. Ustawa w art. 7 wymaga, aby każde zgłoszenie było dokładnie zbadane,
a w przypadku potwierdzenia naruszeń, podjęte zostały kroki naprawcze. Ważnym
elementem jest również ochrona sygnalisty przed jakimikolwiek formami represji.
Organizacje muszą więc monitorować sytuację i zapewnić, że sygnalista nie jest
dyskryminowany ani w żaden sposób szykanowany. Kluczowe jest także
raportowanie wyników dochodzenia i podjętych działań do odpowiednich organów
nadzoru, co dodatkowo wymaga precyzyjnego zarządzania dokumentacją
i komunikacją.

Możliwości świadczenia usług

W celu zapewnienia zgodności z ustawą o sygnalistach, organizacje mogą
skorzystać z usług specjalistycznych firm, które oferują kompleksowe wsparcie w
zakresie tworzenia i zarządzania kanałami zgłoszeniowymi oraz prowadzenia działań
następczych. Powołany zespół ekspertów z różnych branż może pomóc w projektowaniu i wdrażaniu systemów zgłoszeniowych, poprzez dostarczenie bezpiecznych i poufnych platform do zgłaszania nieprawidłowości. Platformy te są zaprojektowane tak, aby minimalizować yzyko ujawnienia tożsamości sygnalisty.
——————–

Jakie podmioty są zobowiązane do wdrożenia procedur?

Podmioty zobligowane do wdrożenia procedur o ochronie sygnalistów od dnia 25 września 2024 roku to:

> Jednostki budżetowe

> Firmy zatrudniające minimum 50 pracowników

> Firmy niezależnie od ilości pracowników – które posiadają status instytucji obowiązanej na
podstawie ustawy AML, czyli takie jak:

– biura rachunkowe
– pośrednicy w obrocie nieruchomościami,
– podmioty świadczące usługi w zakresie kryptowalut,
– przedsiębiorcy w zakresie realizującym płatności w gotówce o wartości większej niż 10 000 euro,
– instytucje finansowe,
– kantory wymiany walut,
– lombardy
– instytucje kredytowe i ich oddziały,
– spółdzielcze kasy oszczędnościowo-kredytowe (SKOKi),
– krajowe instytucje płatnicze,
– agentów rozliczeniowych,
– fundusze inwestycyjne,
– alternatywne spółki inwestycyjne,
– firmy inwestycyjne,
– zakłady ubezpieczeń,
– pośredników ubezpieczeniowych,
– podmioty prowadzące działalność kantorową oraz świadczące
– podmioty świadczące usługi w zakresie wymiany walut wirtualnych,
– instytucje pożyczkowe,
– przedsiębiorcy prowadzący działalność w zakresie gier losowych,
– operatorów pocztowych

Kary grzywny za brak procedur

W myśl art. 58 ustawy o ochronie sygnalistów kto, będąc odpowiedzialnym za ustanowienie procedury zgłoszeń wewnętrznych, wbrew przepisom ustawy procedury tej nie ustanawia lub ustanawia ją z istotnym naruszeniem wynikających z ustawy wymogów, podlega karze grzywny (jest to kara do 5.000 zł).

Uniemożliwianie lub utrudnianie zgłoszenia sygnaliście oznaczać będzie karę grzywny, ograniczenia wolności lub pozbawienia wolności do roku, natomiast za utrudnianie zgłoszenia sygnaliście z wykorzystaniem przemocy, groźby bezprawnej lub podstępu grozi kara grzywny, ograniczenia wolności albo pozbawienia wolności do lat trzech.

Zamów procedury w promocji!na stronie: https://rbdo.com.pl/sklep/

SYGNALISTA – donosiciel czy bohater? KRÓTKA HISTORIA SYGNALISTÓW

Skąd się wzięli sygnaliści?

Na początku kilka słów o historii, skąd się wzięli sygnaliści? Otóż pierwszymi w
historii co ważne udokumentowanymi sygnalistami byli w 1777 roku – marynarze!
Dokładniej 19 lutego 1777 roku dziesięciu marynarzy amerykańskiej floty wojennej
zebrało się pod podkładem USS Warren, aby podpisać petycję do Kongresu
Kontynentalnego, w której opisali niewłaściwe zachowania komandora – Eska
Hopkinsa – najpotężniejszego komandora w marynarce kontynentalnej. Petycja miała
oczywiście swoje skutki. Hopkins został zawieszony, a następnie zwolniony. Jednak
nie obyło się bez konsekwencji dla marynarzy – Hopkins złożył wobec nich sprawę o
zniesławienie. Dwóch z dziesięciu sygnalistów trafiło do więzienia. Jednak tu znów
przyszedł z pomocą Kongres Kontynentalny, który uchwalił ustawę chroniącą
marynarzy – dzięki temu mogli oni wyjść na wolność.
Czytaj dalej SYGNALISTA – donosiciel czy bohater? KRÓTKA HISTORIA SYGNALISTÓW

Raport kontroli NIK 22-04-2024: Szkoły, jednostki samorządowe mają poważne problemy z ochroną danych

Najnowszy raport NIK – Najwyższej Izby Kontroli, z województwa podlaskiego, wskazuje na poważne zaniedbania dotyczące ochrony danych osobowych w jednostkach samorządowych – w tym w szkołach oraz przychodniach medycznych. Urząd nakazał pilną potrzebę dokonania zmian. Skala dotyczy kilkunastu tysięcy publicznych instytucji. Według Najwyższej Izby Kontroli, wyniki postępowania kontrolnego mogą być wierzchołkiem góry lodowej. Liczba instytucji publicznych z naruszeniami przepisów RODO może bowiem sięgać kilkunastu tysięcy. NIK nie zamierza jednak ograniczać się do słów – kontrola, ograniczona początkowo do 12 podlaskich samorządów, ma teraz objąć wszystkie polskie samorządy.

NIK o zwiększeniu bezpieczeństwa ochrony danych osobowych przechowywanych w jednostkach samorządowych w formie elektronicznej

Wieloletnie zaniedbania dotyczące ochrony danych osobowych, nieświadomość zagrożeń, brak jednoznacznych wytycznych, używanie domen publicznych bez stosownych umów gwarantujący bezpieczeństwo – to w ocenie NIK sprawia, że podstawowe elementy systemu ochrony danych osobowych w jednostkach samorządowych były nieskuteczne. NIK rekomenduje szybką potrzebę zmian. Najwyższa Izba Kontroli szacuje, że skala nieprawidłowości może dotyczyć kilkunastu tysięcy publicznych instytucji. Biorąc pod uwagę skalę problemu, NIK rozszerza postępowanie kontrolne na wszystkie samorządy w kraju i dokonuje rozpoznania w innych sferach działalności publicznej.

Jak podkreśla sama NIK:

„Najwyższa Izba Kontroli zdiagnozowała systemowy charakter nieprawidłowości w dziedzinie ochrony i przetwarzania danych, w tym danych osobowych w jednostkach samorządowych. Dlatego kontrola będzie rozszerzona o wszystkie jednostki samorządu terytorialnego w Polsce”.

43 proc. szkół z naruszeniami

Ustalenia kontroli Najwyższej Izby Kontroli w samorządach województwa podlaskiego wskazują między innymi, że aż 43 proc. szkół lokuje swoje adresy e-mail w domenach komercyjnych. Niewiele lepszymi statystykami może pochwalić się sektor publicznej opieki zdrowotnej oraz ośrodki pomocy społecznej – odpowiednio 32 proc. i 28 proc.

45 jednostek podlegających pod samorządy korzystało z komercyjnych skrzynek pocztowych, bez odpowiedniej umowy powierzenia przetwarzania danych osobowych. Komunikacja służbowa powinna odbywać się za pomocą dedykowanej do tego skrzynki mailowej. Korzystanie z prywatnej skrzynki pocztowej w celach służbowych nie należy do dobrych praktyk bezpieczeństwa.

Nie tylko szkoły, ale tez inne jednostki organizacyjne z uchybieniami

Ryzyka stwierdzono również w przypadku ośrodków kultury, bibliotek, powiatowych inspektorów nadzoru budowlanego, powiatowych stacji sanitarno-epidemiologicznych, domów pomocy społecznej, powiatowych centrów pomocy rodzinie, przychodni psychologiczno-pedagogicznych, centrów usług wspólnych i innych.

Biorąc pod uwagę ustalenia kontroli oraz fakt, że oprócz głównych adresów mailowych przypisanych do jednostki, niejednokrotnie pracownicy tych instytucji publicznych również użytkowali adresy mailowe w domenach komercyjnych jako adresy służbowe, Najwyższa Izba Kontroli szacuje, że skala nieprawidłowości może dotyczyć kilkunastu tysięcy publicznych instytucji oraz kilkudziesięciu tysięcy adresów mailowych, które nie powinny być wykorzystywane do celów służbowych. Wskazuje to na ryzyko, że dziennie na takie adresy mailowe może wpływać tysiące wiadomości, w tym część z nich zawierających dane osobowe szczególnie chronione. Stąd też postępowanie kontrolne rozszerzone zostanie na wszystkie jednostki samorządowe w kraju. Ma ono wyeliminować nieprawidłowości i zagwarantować pozytywne zmiany w usługach publicznych, w całym sektorze samorządowym. Znamienne jest, że niejednokrotnie jednostki samorządowe na nieodpowiednio zabezpieczone adresy mailowe otrzymywały wiadomości z ministerstw, organów nadzoru oraz instytucji nadrzędnych, co wskazuje na powszechną niską świadomość o stosowaniu bezpiecznych narzędzi i instrumentów w sposób odpowiedni zabezpieczających dane osobowe obywateli.

Oprócz jednostek samorządowych Najwyższa Izba Kontroli prowadzi rozpoznanie dotyczące innych branż i resortów. Dane uzyskane z dziewięciu sądów apelacyjnych wskazują, że problem może dotyczyć korespondowania za pośrednictwem poczty elektronicznej z biegłymi sądowymi, którzy podają adresy mailowe znajdujące się na bezpłatnych domenach komercyjnych, co może świadczyć o dużym ryzyku, że nie zawarli oni umowy przetwarzania danych osobowych z właścicielem domeny, podobny problem dotyczyć może też tłumaczy przysięgłych, ławników, mediatorów i kuratorów sądowych.

Źródło:
https://www.nik.gov.pl/najnowsze-informacje-o-wynikach-kontroli/bezpieczenstwo-ochrony-danych-osobowych-w-jst.html

Aktualności Centrali NFZ – środki na na podniesienie poziomu bezpieczeństwa systemów teleinformatycznych.

Wsparcie cyberbezpieczeństwa w placówkach medycznych zostało ogłoszone na stronach NFZ 30 maja 2022 roku (link: https://www.nfz.gov.pl/aktualnosci/aktualnosci-centrali/wsparcie-cyberbezpieczenstwa-w-placowkach-medycznych,8211.html ).

Zgodnie z informacją nawet 900 tys. zł mogą otrzymać z NFZ placówki medyczne na podniesienie poziomu bezpieczeństwa systemów teleinformatycznych.
O środki mogą wnioskować szpitale, które realizują świadczenia w ramach leczenia szpitalnego, rehabilitacji leczniczej, lecznictwa uzdrowiskowego o
raz opieki psychiatrycznej i leczenia uzależnień.
Finansowane są wydatki poniesione od 29 kwietnia do 31 grudnia 2022 r. Środki na ten cel pochodzą z Funduszu Przeciwdziałania COVID-19.

Niestety incydenty zagrażające cyberbezpieczeństwu placówek medycznych nasiliły się. Ma to związek m.in. z wojną w Ukrainie. Szczególnie niebezpieczne i groźne w skutkach mogą być cyberataki na szpitale. Atak hakerski na infrastrukturę informatyczną szpitala może kosztować zdrowie, a nawet życie pacjentów, dlatego tak ważne jest maksymalne zabezpieczenie tych systemów m.in. przed próbami włamań.

Atak, który może kosztować życie
– Wyciek danych, w tym danych osobowych pacjentów, blokowanie systemu informatycznego, czy szyfrowanie plików przez cyberprzestępców mogą prowadzić do paraliżu i ogromnych strat w podmiotach leczniczych. Mogą także uniemożliwić przeprowadzanie planowanych operacji, co zagraża bezpośrednio życiu i zdrowiu pacjentów – zaznacza Jarosław Olejnik, dyrektor w Centrali NFZ, który od lat zajmuje się sprawami bezpieczeństwa, w tym bezpieczeństwa informatycznego.

Dlatego, jak dodaje dyrektor Olejnik, NFZ oferuje szpitalom dodatkowe wsparcie finansowe na podniesienie poziomu bezpieczeństwa systemów informatycznych. Chodzi nawet o 900 tys. zł.

Kto może otrzymać środki?
Wsparcie jest przeznaczone dla szpitali, które wykonują świadczenia w zakresach:

leczenie szpitalne
rehabilitacja lecznicza
lecznictwo uzdrowiskowe
opieka psychiatryczna i leczenie uzależnień.
Wysokość środków zależy od wartości kontraktu placówki z NFZ. Wsparcie wynosi od ponad 240 tys. zł do nawet 900 tys. zł.

Co finansujemy?
Zakup i wdrożenie systemów teleinformatycznych oraz związanych z nimi usług musi dotyczyć podniesienia poziomu bezpieczeństwa w placówkach leczniczych, nie samej informatyzacji.

Za otrzymane środki szpital może kupić i uruchomić:

urządzenia, oprogramowanie i usługi teleinformatyczne, które zapobiegają, wykrywają lub zwalczają cyberataki, np.
systemy do tworzenia kopii danych,
systemy antywirusowe,
systemy kontroli dostępu administracyjnego i zarządzania uprawnieniami,
urządzenia i oprogramowanie zabezpieczające sieć (firewall),
systemy zapewniające bezpieczeństwo poczty elektronicznej.
urządzenia i oprogramowanie oraz wsparcie eksperckie dotyczące cyberbezpieczeństwa,
technologie, które ułatwiają precyzyjne monitorowanie bezpieczeństwa infrastruktury IT,
skany podatności, które pozwalają identyfikować zagrożenia we własnym środowisku IT,
opracowania wraz z przekazaniem praw autorskich dokumentacji systemu zarządzania bezpieczeństwem informacji,
a także przeprowadzić szkolenia z cyberbezpieczeństwa dla kadry zarządzającej i pracowników.

Środki na ten cel pochodzą z Funduszu Przeciwdziałania COVID-19. Obejmują wydatki ponoszone od 29 kwietnia do 31 grudnia 2022 roku.

Co zrobić, aby otrzymać dofinansowanie?

Aby skorzystać z finansowania, trzeba do 30 listopada 2022 r. złożyć do Dyrektora właściwego oddziału wojewódzkiego NFZ wniosek o zawarcie umowy. Do wniosku koniecznie należy dołączyć raport z Systemu Statystyki Ochrony Zdrowia, który potwierdza wypełnienie ankiety badającej poziom bezpieczeństwa systemów teleinformatycznych.

Warunkiem uzyskania wsparcia przez szpital jest zawarcie umowy i złożenie w siedzibie właściwego oddziału Funduszu, nie później niż do 16 grudnia 2022 r., kilku dokumentów:

wniosku o wypłatę finansowania, którego wzór określony jest w załączniku nr 3 do zarządzenia Prezesa NFZ,
specyfikacji finansowania, której wzór określony jest w załączniku nr 4 do zarządzenia Prezesa NFZ,
kopii dokumentów, które potwierdzają nabycie i sfinansowanie w okresie od 29 kwietnia 2022 roku do 31 grudnia 2022 roku przedmiotu finansowania (kopie dokumentów potwierdzone za zgodność z oryginałem), wyniku audytu bezpieczeństwa.

Pobierz Zarządzenie:
Zarzadzenie 68_2022_BBIiCD

8000 zł kary dla administratora Wspólnoty mieszkaniowej za brak procedur RODO

Administrator Danych Osobowych Wspólnoty Mieszkaniowejmusi zapłacić 8000   zł za brak prawisłowych procedur RODO wobec stosowania monitoringu wizyjnego. ADO odwołał się do sądu w sprawie kary i przegrał.

 

Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę na decyzję prezesa Urzędu Ochrony Danych Osobowych, który nałożył karę administracyjną 8 tys. zł na spółkę administrującą wspólnotą mieszkaniową.

Czytaj dalej 8000 zł kary dla administratora Wspólnoty mieszkaniowej za brak procedur RODO

20 tysięcy euro kary za naruszenie RODO dla firmy zatrudniającej 9 pracowników

Francuski organ nadzorczy nałożył 20 tysięcy euro kary pieniężnej na firmę zatrudniającą 9 pracowników, działającą jako biuro tłumaczeń (https://www.cnil.fr/fr/uniontrad-company-20-000-euros-damende-pour-videosurveillance-excessive-des-salaries).

Powodem nałożenia kary było umieszczenie w pomieszczeniu biurowym kamer, które w trybie ciągłym rejestrowały stanowiska pracy 6 tłumaczy wykonujących swoją pracę w tym samym pomieszczeniu biurowym.

Warto przypomnieć, że także w Polsce obowiązująca wykładnia (zaprezentowana choćby w wytycznych Prezesa UOD: https://uodo.gov.pl/pl/383/354), zgodnie z którą pracodawca nie może wykorzystywać monitoringu np. do ciągłego obserwowania pracownika wykonującego swoją pracę – np. nie jest właściwe rozlokowania kamer tak, by obejmowały biuro i monitor pracownika (chyba, że zachodzą wyjątkowe, uzasadniające to okoliczności np. związane z charakterem określonej funkcji).

Francuska firma, nie tylko umieściła kamery w nieodpowiednich miejscach, ale także nie zrealizowała wobec pracowników obowiązku informacyjnego, wymaganego przez art. 13 RODO.

Na uwagę zasługuje argumentacja co do wysokości kary – CNIL (francuski odpowiednik Prezesa UODO) ograniczył jej wysokość z uwagi na małą skalę działalności i sytuację finansową firmy, która za ostatni rok wykazała stratę – warto jednak zwrócić uwagę, że 20 tysięcy euro to wciąż dotkliwa kwota.

Choć sytuacja miała miejsce we Francji, kara została nałożona za błąd który także w Polsce musiałby być uznany za naruszenie RODO.

 

Księgi wejść i wyjść oraz przepustki, a RODO

Systemy przepustkowe/ewidencje wejść i wyjść powszechnie stosowane są nie tylko przez urzędy lub inne podmioty publiczne, ale także przez część prywatnych przedsiębiorstw – zwłaszcza tam, gdzie w codziennej działalności wykorzystywany jest istotny majątek, a liczba osób „przewijających” się przez przedsiębiorstwo jest bardzo wysoka. Zapisywanie danych w księdze wejść i wyjść jest także standardem obiektach przeznaczonych na komercyjny wynajem powierzchni biurowych. Czynnikiem, który powoduje konieczność weryfikacji takiej procedury jako zgodnej z RODO jest pozyskiwanie danych osoby, której dane są pozyskiwane w celu zaewidencjonowania wejścia na teren obiektu. Czytaj dalej Księgi wejść i wyjść oraz przepustki, a RODO

Zapraszamy do wdrożenia PPK – Pracownicze Plany Kapitałowe

Odnośnie PPK – Pracowniczych Planów Kapitałowych, przedstawiam Państwu propozycję wdrożenia PPK – Pracowniczych Planów Kapitałowych z udziałem PZU TFI.

Proponuję wybór PZU TFI wraz z osobistym wsparciem wdrożenia – atuty PZU TFI :

– ma obniżone opłaty za zarządzanie kapitałem z 0,5% do 0,31% w skali roku
– ma dużą sieć oddziałów w Polsce, co jest istotne dla pracowników i ich obsługi w zakresie rachunków PPK
– jest największą grupą kapitałową w Europie Środkowo Wschodniej – w ub. roku 3,5 mld zysku i stabilną pozycję
– ma siedzibę w Polsce, aby kapitał w skali długoterminowej był blsiko
– jest Partnerem społecznym w wielu akcjach na rzecz bezpieczeństwa i zdrowia w Polsce
– Posiada w pełni zintegrowane API do programów księgowo -kadrowych do prowadzenia PPK
– Posiada bardzo wygodny i porosty Panel PPK dla Pracodawcy do zarządzania PPK
– 2500 Konsultantów w całej Polsce oraz sprawną Infolinię dla Pracodawców i Uczestników PPK dostępnę 7 dni w tygodniu!

W przypadku akceptacji niniejszej propozycji – wygeneruję dla Państwa LINK do rejestracji firmy w PZU TFI w celu uzyskania dostępu do Panelu PPK z deklaracjami i narzędziami zarządzania PPK.

Bez względu czy w danej firmie będą osoby przystepujące do PPK lub nie – spełnią Państwo ustawowy obowązek wdrożeniowy i uzyskają dostęp do panleu z deklaracjami i gotowość PPK – nie poniosą Państwo żadnych opłat wdrożeniowych!

Do aktywacji konta PPK dla firmy, proszę o przesłanie następujących danych:

1. Regon firmy
2. Ilość zatrudnionych osób
3. Imię i nazwisko oraz funkcja osoby zatwierdzającej
4. Mail i telefon komórkowy osoby zatwierdzającej

Zapraszam także na szkolenia PPK:

https://rbdo.com.pl/sklep/kategoria/ppk-pracownicze-plany-kapitalowe

Serdecznie Pozdrawiam,
Łukasz Cieniak
Doradca ds. PPK – Pracownicze Plany Kapitałowe

T: +48 664 484 218
Infolinia: 22 487 86 70

DoradcyPrawa.pl Łukasz Cieniak | Oficjalny Dystrybutor PZU TFI SA
ul.Kopalniana 22A/7
01-321 Warszawa
NIP: PL 118-165-16-57

Urzędy Ochrony Danych w Europie nakładają coraz więcej kar finansowych

W Polsce  pojawia się coraz więcej kar za uchybienia RODO – m.in. za brak zawarcia Umowy Powierzenia Danych. Oto przegląd kar:

>> 16 października 2019 roku  – Polski Urząd Ochrony Danych nałożył 201 tys. zł kary na firmę ClickQuickNow Sp. z o.o. z siedzibą w Warszawie, za utrudnianie wypisania się z listy wysyłkowej

>> W październiku 2019 roku 40 tys. zł kary na burmistrza Aleksandrowa Kujawskiego za brak umowy powierzenia przetwarzania danych osobowych z podmiotami, którym przekazywał dane.

>> We wrześniu 2019 roku 2,8 miliona złotych kary na spółkę Morele.net za niewystarczające zabezpieczenie danych osobowych.

>> W maju 2019 roku prawie 56 tys. zł na Związek Piłkarski za opublikowanie na swojej stronie internetowej danych osobowych sędziów piłkarskich.

>> W marcu 2019 r. blisko 1 mln zł za zaniedbanie obowiązku informacyjnego przez spółkę Bisnode

Zobacz inne kary kary i uzasadnienia: Czytaj dalej Urzędy Ochrony Danych w Europie nakładają coraz więcej kar finansowych

Progi dużej skali w kontekście wyznaczenia IODO dla podmiotów wykonujących działalność medyczną

Jak powszechnie wiadomo, RODO nie przewiduje szczegółowych progów, z których przekroczeniem powiązana jest definicja dużej skali – ściśle związana z kolei z obowiązkiem wyznaczenia Inspektora Ochrony Danych Osobowych. Choć na etapie projektu RODO proponowano konkretne liczby (5000 rekordów w ciągu 12 miesięcy) [Link], to jednak ostatecznie zrezygnowano z wpisania tak szczegółowego rozwiązania do rozporządzenia. Argumentowano to tym, że wpisanie tego „na sztywno” było by zbyt mało elastyczne – z drugiej jednak strony spowodowało to znaczną niepewność wśród podmiotów zobowiązanych – ponieważ nawet wytyczne grupy roboczej art. 29 w sprawie IODO [Link] jedynie parafrazowały wskazówki z preambuły (jednoosobowa praktyka lekarska lub jednoosobowa kancelaria prawna – brak dużej skali, szpital, bank ubezpieczyciel – duża skala). Czytaj dalej Progi dużej skali w kontekście wyznaczenia IODO dla podmiotów wykonujących działalność medyczną

Szkoła, a przetwarzanie danych osobowych

Podmiotem zobowiązanym do wypełniania obowiązków wynikających z przepisów o ochronne danych osobowych będzie szkoła – jako jednostka organizacyjna reprezentowana w tym zakresie przez dyrektora. Oczywiście mogą zdarzyć się sytuacje w których jako administratora będzie należało uznać np. stowarzyszenie lub fundację prowadzącą szkołę, będą one jednak należały do rzadkości. Czytaj dalej Szkoła, a przetwarzanie danych osobowych