Wdrożenie RODO

Jest to Rozporządzenie o Ochronie Danych Osobowych (RODO), z angielskiego General Data Protection Regulation (GDPR), Parlamentu Europejskiego i Rady (UE). RODO wprowadza ujednolicone zasady przetwarzania i ochrony danych osobowych na terytorium całej Unii Europejskiej, również w Polsce. Firmy i instytucje publiczne, jako administratorzy danych osobowych lub też podmioty przetwarzające, powinny osiągnąć zgodność z RODO do 25 maja 2018 r.

Wymagania Rozporządzenia o Ochronie Danych Osobowych to m.in. analiza ryzyka, dokonywanie oceny skutków dla ochrony danych (data protection impact assessment), zasada prywatności w fazie projektowania (privacy by design), zasada prywatności w ustawieniach domyślnych (privacy by default), prawo do przenoszenia danych, prawo do bycia zapomnianym oraz  audyty bezpieczeństwa RODO. RODO to także nowe, wysokie kary finansowe nakładane na podmioty, które nie spełniają wymagań dotyczących bezpiecznego przetwarzania danych osobowych.

Aktualności

Narzędzia open source wspierające monitorowanie i obsługę incydentów bezpieczeństwa dla rozwiązań IT

Niezależnie od tego czy mamy do czynienia z małą firmą, czy dużą korporacją, liczba incydentów związanych z bezpieczeństwem rośnie z roku na rok. Wszystkie incydenty potrzebują skutecznego zarządzania. W szczególności te, które skutkują koniecznością sięgania po środki nadzwyczajnej rangi, takie jak plany utrzymania ciągłości działania firmy. Jak zatem skutecznie monitorować i przeciwdziałać incydentom bezpieczeństwa? Rozważania […]

Więcej
„Nadmiarowe” dane osobowe

W RODO znacznie szerzej niż w dotychczasowej praktyce zostały zdefiniowane dane osobowe – są to zgodnie z art. 4 ust. 1 RODO: informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających […]

Więcej
Certyfikacja i akredytacja na gruncie RODO

Nowelizacja przepisów dotyczących ochrony danych osobowych wprowadza nowość w zakresie standardów ochrony danych w postaci certyfikatów potwierdzających zgodność podmiotu z przepisami o ochronie danych. Certyfikaty mają zachęcać administratorów danych i podmioty przetwarzające do wdrażania ochrony danych do ich organizacji i postępowania w zgodzie z przepisami. Mechanizmy certyfikacji i akredytacji ustanowione w RODO i właściwych przepisach […]

Więcej
Wpływ RODO na zmiany w Kodeksie Pracy

Nowe Rozporządzenie o ochronie danych osobowych (RODO) niejako wymusiło na lokalnym ustawodawcy wprowadzenie zmian do wielu obowiązujących aktów prawnych. Duże zmiany zapowiada projekt Kodeksu Pracy, który także będzie musiał zostać dostosowany do wymogów Rozporządzenia. Nowelizacja dotyczyć ma przede wszystkim art. 221kp, który mówi o zasadach przetwarzania przez pracodawców danych kandydatów do pracy oraz pracowników. Zgodnie […]

Więcej
Czas wejścia w życie przepisów:
  • 00

    dni

  • 00

    godz.

  • 00

    min.

  • 00

    sek.

Najczęstsze pytania

Interesuje mnie umowa powierzenia (interpretacja art. 28 ust. 3 pkt e i f konkretnie charakter obowiązku udzielenia pomocy admnistratorowi przez podmiot przetwarzajacy). Czy pomoc ta powinna być udzielona bez uiszczenia dodatkowych opłat, czy jednak powinna być płatna?

RODO nie odnosi się bezpośrednio do kwestii o których Pani pisze. Temat ewentualnych odpłatności powinien być ustalony na etapie konstrukcji współpracy między stronami, niekoniecznie w samej umowie powierzenia, choć nie ma ku temu wyraźnych przeciwskazań. Odpowiednie zapisy dotyczące wynagrodzenia mogą pojawić się także w umowie głównej, do której umowa powierzenia nawiązuje poprzez realizację wymogu art. 28 ust. 3 pkt a RODO. Nie znajdziemy w przepisach RODO odpowiedzi na to pytanie, projekt polskiej ustawy na ten moment także nie odnosi się do tego zagadnienia, a co za tym idzie, żadna z ewentualności nie jest tutaj wyeliminowana i pozostaje do ustalenia między administratorem danych i podmiotem przetwarzającym.

Czy Procesor może kopiować i przechowywać (archiwizować) zgody klientów, które zbiera dla swojego Administratora danych. Oryginały zgód są wysyłane do Administratora danych.

Zasady współpracy między administratorem danych a podmiotem przetwarzającym określone powinny być w umowie powierzenia przetwarzania danych osobowych. Tam, zgodnie z zapisami RODO, podmiot przetwarzający nie decyduje o celach i środkach przetwarzania, ale jedynie realizuje czynności przetwarzania, które zostały wyraźnie zlecone przez administratora. Co za tym idzie, to administrator powinien w umowie uregulować charakter czynności, które podmiot przetwarzający może na powierzonych danych wykonywać. Jeżeli administrator ma potrzebę by kopie zgód były archiwizowane przez administratora, to taki charakter czynności przetwarzania może być w umowie zawarty i może w ten sposób funkcjonować. Wydaje się jednak, że skoro podmiot przetwarzający ma jedynie zgody zebrać, a zebrane wysłać do administratora to nie ma celu, który za kopiowaniem i archiwizacją po stronie procesora by przemawiał. Chyba że, podmiot przetwarzający do takiej archiwizacji byłby zobowiązany przepisami prawa, ale wtedy powinien o tym powiadomić administratora danych i zakres tych czynności powinien zostać dokładnie określony w umowie.

GIODO – kto go zastąpi i jak będzie funkcjonował?

Już dziś wiadomo, że zmianie ulegnie nazwa urzędu. GIODO, po wejściu w życie unijnych przepisów, będzie nosił nazwę Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Co do zakresu wykonywanych przez Urząd Ochrony Danych Osobowych obowiązków, podstawową zmianę stanowi zniesienie dwuinstancyjności postępowania oraz skrócenie terminu rozpatrywania spraw do 30 dni – tak zakłada projekt polskiej ustawy. Ministerstwo Cyfryzacji, które prowadzi prace nad projektem ustawy, zakłada że czas, jaki obecnie musi upłynąć w ramach rozpatrywania sprawy przez GIODO jest zdecydowanie zbyt długi, dlatego też wprowadzono ramy czasowe, które mają usprawnić prace. PUODO będzie miał także zastępców, którzy mają pomagać mu w wypełnianiu obowiązków. Urząd będzie uprawniony do przeprowadzania kontroli oraz nakładania naprawdę wysokich sankcji.

Zajmuję się marketingiem w branży doradczej B2B. Dla naszych klientów i innych gości organizujemy wydarzenia promujące nasze usługi. Czy pozyskane dane w ramach wydarzenia mogę wykorzystać do zaproszenia ich na wydarzenie w następnym kwartale?

Tak, jeżeli dane osobowe są służbowymi danymi kontaktowymi osoby, z którą Państwo współpracowaliście, lub też są danymi ogólnie dostępnymi, to nie ma przeszkód, aby te służbowe dane wykorzystać po raz kolejny. Należy jednak pamiętać o retencji danych. Zgodnie z RODO, każda kategoria danych wykorzystywanych w procesach biznesowych powinna zostać określona odpowiednim terminem retencji danych, po upływie którego dane należy w odpowiedni sposób usunąć, zgodnie z zasadą celowości – dane przetwarzane są tylko do mementu zrealizowania celu, w ramach którego zostały zebrane. Warto także wziąć pod uwagę możliwość występowania wśród zebranych przez Państwa danych, danych osób fizycznych lub osób fizycznych prowadzących działalność gospodarczą. Każda z tych kwestii wymaga dodatkowego rozważenia na gruncie przepisów RODO.

Kiedy wejdzie w życie polska ustawa precyzująca przepisy unijne?

Najnowszy projekt polskiej ustawy o ochronie danych osobowych pochodzi z 12 września br. Projekt ten doręczono ponad 200 podmiotom, które po zapoznaniu się z projektem mogą zgłaszać swoje uwagi do projektu ustawy w ramach 30-dniowych konsultacji społecznych. Konsultacje te potrwają do 13 października 2017 r. i każdy może wziąć w nich udział. Po etapie konsultacji i wprowadzeniu ostatecznych poprawek, projekt trafi do Sejmu. Kiedy stanie się aktem obowiązującym? Nie wiemy, przypuszczalnie podaje się okres końca roku. Polska ustawa o ochronie danych jednak, zgodnie z założeniami GDPR, jest tylko dokumentem uzupełniającym. Bez względu na termin jej wejścia w życie, od 25 maja 2018r. obowiązywać będzie Rozporządzenie Unijne.