Autor: Piotr Balcerzak

Prawo do bycia zapomnianym

W dobie cyfryzacji, kiedy  dane osobowe są przetwarzane i udostępniane na niespotykaną dotąd skalę, pojawiają się nowe wyzwania związane z ochroną prywatności. Jednym z kluczowych aspektów tej ochrony jest prawo do bycia zapomnianym, które zyskało na znaczeniu po wprowadzeniu RODO. Prawo to, chociaż  niełatwe do wdrożenia w praktyce, odgrywa istotną rolę w zapewnieniu, że dane osobowe są przetwarzane w sposób zgodny z oczekiwaniami  osób, których dotyczą.

Prawo do usunięcia danych wywodzi się z prawa do prywatności, które jest jednym z fundamentalnych praw człowieka. Uprawnienie to zyskało na znaczeniu w 2014 roku, kiedy Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wydał wyrok w sprawie Google Spain vs. AEPD i Mario Costeja González. Trybunał orzekł, że obywatele Unii Europejskiej mają prawo do żądania usunięcia z wyników wyszukiwania informacji dotyczących ich osób, jeśli dane te są nieaktualne, nieprawdziwe, niekompletne lub nieistotne. To orzeczenie stało się fundamentem prawa do bycia zapomnianym, które zostało później sformalizowane w RODO.

Osoba fizyczna ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:

  • dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego dzieciom.
  • dane osobowe nie są już niezbędne do celów, dla których zostały zebrane lub w inny sposób przetwarzane;
  • osoba wycofała zgodę, na której opierało się przetwarzanie jej danych  i nie ma innej podstawy prawnej do przetwarzania;
  • osoba, której dane dotyczą wnosi sprzeciw wobec przetwarzania jej danych i  nie istnieją nadrzędne prawnie uzasadnione podstawy do ich przetwarzania lub też osoba wniosła sprzeciw wobec przetwarzania jej danych na potrzeby marketingu bezpośredniego;
  • dane osobowe były przetwarzane niezgodnie z prawem;
  • dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego  w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;

Jeśli administrator upublicznił dane osobowe i ma obowiązek je usunąć, to biorąc pod uwagę dostępną technologię koszt realizacji, zobowiązany jest do podjęcia rozsądnych działań by poinformować administratorów przetwarzających te  dane osobowe, że osoba, której dane dotyczą, żąda by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych lub ich replikacje.

Prawo do bycia zapomnianym nie jest absolutne. Istnieją sytuacje, gdy nie ma zastosowania, w zakresie w jakim przetwarzanie jest niezbędne do m.in. korzystania z prawa do wolności wypowiedzi i informacji, do wywiązania się z obowiązku prawnego,  do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych, czy do ustalenia, dochodzenia lub obrony roszczeń.

Prawo do bycia zapomnianym jest istotnym elementem ochrony danych osobowych w erze cyfrowej. Daje osobom fizycznym kontrolę nad swoimi danymi, umożliwiając im usunięcie żądanych przez nich  informacji. Niemniej jednak realizacja tego prawa wiąże się z licznymi wyzwaniami, zarówno technicznymi, jak i prawnymi. Ostatecznie, przyszłość prawa do bycia zapomnianym będzie zależeć od zdolności do znalezienia równowagi między prawem do prywatności a innymi fundamentalnymi prawami, takimi jak wolność słowa i dostęp do informacji.

Jak skutecznie uzyskać i utrzymać zgodność z RODO w firmie? WEBINAR 12.12.2024

Zgodność z RODO to kluczowy element działalności każdej organizacji przetwarzającej dane osobowe. Utrzymanie zgodności wymaga nie tylko identyfikacji procesów przetwarzania i dostosowania ich do zasad RODO, ale także ich regularnej aktualizacji i monitorowania ryzyk związanych z ochroną danych. W trakcie webinarium dowiedzą się Państwo jak skutecznie uzyskać i utrzymać zgodność z przepisami o ochronie danych osobowych uwzględniając najnowsze zmiany prawne i praktyki rynkowe.

Podczas webinarium omówimy najważniejsze działania prowadzące do zgodności z RODO, w tym przygotowanie i regularne przeglądy dokumentacji, skuteczne przeprowadzanie analizy ryzyka oraz wdrożenie planu utrzymania zgodności. Uczestnicy dowiedzą się, jak skutecznie zaangażować organizację w proces ochrony danych osobowych, jak zarządzać ryzykiem i reagować na zmiany.  Uczestnictwo w webinarium pomoże Państwu w skutecznym zarządzaniu zgodnością z RODO,   co minimalizuje ryzyko regulacyjne, zwiększy bezpieczeństwo przetwarzanych danych osobowych  oraz  pozwala na lepsze pozycjonowanie  firmy na rynku. 

 

 

Agenda spotkania obejmuje między innymi takie obszary jak:

  • Przygotowanie i przeglądy dokumentacji niezbędnej do zapewnienia zgodności z RODO
  • Przeprowadzenie analizy ryzyka
  • Przygotowanie i realizacja planu utrzymania zgodności
  • Zarządzanie naruszeniami ochrony danych osobowych 
  • Budowanie świadomej i odpowiedzialnej organizacji 
  • Sesja pytań i odpowiedzi

Zapraszamy !

Data: Czwartek, 12 Grudnia 2024, godz. 11:00-12:30

Zarejestruj się bezpłatnie!

Spotkanie poprowadzi:

Krzysztof Gołaszewski

Prawnik, MBA Executive. Doświadczony menedżer z praktyką zdobytą w centralnej administracji państwowej oraz w dużych spółkach akcyjnych w sektorze telekomunikacyjnym, energetycznym i bankowym. Jest ekspertem w dziedzinie ochrony danych osobowych, ładu korporacyjnego, zarządzania procesowego, audytu, compliance i etyki biznesu. Jest certyfikowanym oficerem compliance, posiada certyfikat PRINCE-2. Uczestniczył w procesach dostosowania organizacji do RODO, audytach zgodności z prawem ochrony danych osobowych, przygotowywaniach dokumentacji wdrożeniowych, opiniowania umów oraz opiniowania projektów aktów prawnych z punktu widzenia przepisów dotyczących ochrony danych osobowych.

Lex Kamilek a ochrona danych osobowych dzieci – co muszą wiedzieć firmy? WEBINAR 28.11.2024

Ustawa „Lex Kamilek” wprowadza nowe standardy ochrony dzieci przed przemocą i nadużyciami, które wymagają szczególnego uwzględnienia przy przetwarzaniu danych osobowych. Firmy, które prowadzą działalność obejmującą gromadzenie, przetwarzanie lub przechowywanie danych dzieci – takie jak firmy z sektora medycznego, edukacyjnego, turystycznego, rekreacyjnego czy IT – muszą dostosować swoje procedury do nowych przepisów. Wymogi związane z „Lex Kamilek” w połączeniu z RODO stawiają przed przedsiębiorstwami wyzwania w zakresie ochrony prywatności dzieci, jak również weryfikacji pracowników.

Podczas webinaru przeanalizujemy, jak przepisy „Lex Kamilek” wpływają na firmy przetwarzające dane dzieci i jakie są kluczowe aspekty zgodności z RODO. Skupimy się na kwestiach związanych z bezpiecznym przetwarzaniem danych osobowych dzieci, ochroną prywatności w cyfrowym świecie, a także na procesach rekrutacyjnych i obowiązkach pracodawców wobec pracowników mających kontakt z danymi małoletnich. Omówimy także zasady tworzenia polityk bezpieczeństwa danych oraz standardów ochrony małoletnich, które przedsiębiorstwa muszą wdrożyć, aby sprostać nowym wymogom prawnym.

 

Agenda spotkania obejmuje między innymi takie obszary jak:

  • Lex Kamilek a ochrona dzieci w przedsiębiorstwach 
  • RODO i dane dzieci 
  • Rekrutacja i weryfikacja pracowników w firmach przetwarzających dane dzieci 
  • Polityki bezpieczeństwa danych dzieci 
  • Bezpieczne relacje cyfrowe 
  • Kary za naruszenie przepisów 
  • Sesja pytań i odpowiedzi

Zapraszamy do udziału w webinarze, który dostarczy Państwu niezbędnej wiedzy i narzędzi do skutecznego zarządzania ochroną danych osobowych w czasach sztucznej inteligencji.

Data: Czwartek, 28 Listopada 2024, godz. 11:00-12:30

Zarejestruj się bezpłatnie!

Spotkanie poprowadzi:

Katarzyna Stańczak

Prawnik, ekspert z zakresu prawa ochrony danych osobowych. Absolwentka Wydziału Prawa Administracji Uniwersytetu Kardynała Stefana Wyszyńskiego w Warszawie. Ukończyła na tym samym uniwersytecie studia podyplomowe na kierunku Ochrona danych osobowych informacji niejawnych. Od 2018 roku wykładowca na studiach podyplomowych na kierunku Inspektor Ochrony Danych w Wyższej Szkole Bankowej w Toruniu oraz Bydgoszczy. Doświadczenie z zakresu prawa ochrony danych osobowych nabyła w jednej z wiodących warszawskich kancelarii prawnych oraz w kilku firmach konsultingowych. Doradzała klientom m.in. branży produkcyjnej, budowlanej, medycznej oraz pożyczkowej. Wspierała wdrożenie RODO w organizacjach pozarządowych działających na terenie Warszawy. Autorka artykułów branżowych oraz uczestnik licznych wydarzeń poświęconych ochronie danych osobowych.

Ochrona danych osobowych na tle sprawy Morele.net

Implikacje prawne dla administratorów danych

Sprawa spółki Morele.net, związana z wyciekiem danych osobowych klientów, która zakończyła się nałożeniem na administratora kary w wysokości ponad 3,8 mln zł, stanowi istotny precedens w zakresie stosowania przepisów Rozporządzenia o Ochronie Danych Osobowych. Orzeczenia sądów administracyjnych w tej sprawie oraz kolejne postępowania prowadzone przez Prezesa Urzędu Ochrony Danych Osobowych są przykładem dynamicznie rozwijającej się praktyki stosowania prawa w obszarze ochrony danych osobowych.

Decyzja Prezesa UODO i pierwsze rozstrzygnięcia sądów

W wyniku incydentu związanego z wyciekiem danych osobowych 2,2 mln klientów, który miał miejsce w 2018 roku, Prezes UODO nałożył na Morele.net karę administracyjną w wysokości ok. 2,8 mln zł. Organ nadzorczy uznał, że spółka nie zastosowała odpowiednich zabezpieczeń technicznych i organizacyjnych adekwatnych do poziomu ryzyka, co doprowadziło do nieuprawnionego dostępu do danych osobowych. 

Należy podkreślić, że Morele.net nie wdrożyło szeregu kluczowych środków ochronnych, takich jak szyfrowanie danych, dwuskładnikowe uwierzytelnianie czy przeprowadzenie rzetelnej analizy ryzyka uwzględniającej dostęp z sieci publicznych. Co więcej,  brak monitorowania ruchu sieciowego oraz procedur pozwalających na szybkie wykrycie nietypowych zachowań znacząco przyczyniło  się do eskalacji incydentu.

Decyzja Prezesa UODO została zaskarżona przez Morele.net do Wojewódzkiego Sądu Administracyjnego (WSA), który w 2020 roku podtrzymał stanowisko organu nadzorczego. Spółka wniosła skargę kasacyjną do Naczelnego Sądu Administracyjnego (NSA), który uchylił wyrok WSA.

NSA nie zakwestionował wszystkich związanych z naruszeniem ustaleń Prezesa UODO. Zdaniem Sądu Prezes UODO powinien uprawdopodobnić posiadanie wiedzy potrzebnej do przeprowadzenia analizy zabezpieczeń, powinien powołać biegłego albo wytworzyć wewnętrzny dokument stanowiący wnioski z analizy standardu środków bezpieczeństwa stosowanych przez spółkę, do którego administrator mógłby się odnieść w toku postępowania.

Powtórne postępowanie administracyjne i ostateczna decyzja

W odpowiedzi na wyrok NSA, Prezes UODO przeprowadził powtórne postępowanie administracyjne, w ramach którego organ opracował wewnętrzną analizę standardów zabezpieczeń stosowanych przez Morele.net. Dokument ten stał się podstawą do ponownego nałożenia kary, tym razem w wysokości ponad 3,8 mln zł.

Prezes UODO uznał, że chociaż nie powołano biegłego, opracowana analiza była wystarczająca do oceny, czy zastosowane przez administratora środki techniczne i organizacyjne były adekwatne do poziomu ryzyka. Spółka Morele.net kwestionowała wiarygodność tej analizy, podnosząc zarzuty dotyczące stronniczości jej autorów, jednak zarzuty te nie zostały uwzględnione przez organ.

W toku postępowania ustalono, że administrator danych osobowych, mimo upływu znacznego czasu od wycieku, nie był w stanie jednoznacznie określić, jakie dokładnie dane zostały ujawnione osobom nieuprawnionym. Dopiero po incydencie spółka wdrożyła szereg środków, które mogłyby zapobiec nieuprawnionemu dostępowi do danych, co dodatkowo wpłynęło na ocenę organu nadzorczego.

Orzeczenie Wojewódzkiego Sądu Administracyjnego z 2024 r.

16 września 2024 r. WSA ponownie oddalił skargę Morele.net, uznając, że decyzja Prezesa UODO została wydana zgodnie z prawem i na podstawie dostatecznie zgromadzonego materiału dowodowego. Sąd potwierdził, że pracownicy UODO posiadali odpowiednie kwalifikacje i kompetencje do oceny środków ochrony danych osobowych zastosowanych przez spółkę, a organ nie był zobowiązany do powołania biegłego.

Orzeczenie to dodatkowo podkreśla, że nałożenie kary pieniężnej przez Prezesa UODO było w pełni uzasadnione charakterem i wagą naruszenia, a jej wysokość, ustalona na podstawie wytycznych Europejskiej Rady Ochrony Danych (EROD) z maja 2023 roku, była odpowiednia do okoliczności sprawy. Morele.net zapowiedziało złożenie skargi kasacyjnej do NSA, twierdząc, że Prezes UODO nie był uprawniony do podwyższenia kary na etapie powtórnego postępowania.

Znaczenie sprawy Morele.net dla branży

Sprawa Morele.net ma kluczowe znaczenie dla praktyki ochrony danych osobowych w Polsce, zarówno z perspektywy organu nadzorczego, jak i przedsiębiorców. Wyciek danych na tak dużą skalę i kolejne orzeczenia sądowe stanowią wyraźny sygnał, że administratorzy danych są zobowiązani do stosowania zaawansowanych i adekwatnych do ryzyka środków technicznych oraz organizacyjnych.

Warto podkreślić, że niedostosowanie zabezpieczeń do poziomu zagrożeń może skutkować nie tylko utratą zaufania klientów, ale również nałożeniem dotkliwych kar finansowych. Przedsiębiorcy powinni zatem regularnie przeprowadzać analizy ryzyka i aktualizować środki ochrony danych w odpowiedzi na zmieniające się zagrożenia.

Sprawa ta pokazuje, jak istotne jest posiadanie dokumentacji potwierdzającej wdrożenie odpowiednich środków ochrony danych osobowych. Organy nadzorcze oraz sądy będą w swoich decyzjach brały pod uwagę zarówno środki ochrony, jak i dokumentację potwierdzającą przeprowadzanie regularnych audytów bezpieczeństwa.

Sprawa Morele.net jest przestrogą dla administratorów danych, którzy muszą dostosować swoje działania do wymogów RODO. Niedopełnienie obowiązków w zakresie zabezpieczeń technicznych i organizacyjnych może prowadzić do długotrwałych sporów prawnych oraz znaczących sankcji finansowych. Przedsiębiorcy powinni zatem inwestować w odpowiednie środki ochrony danych oraz regularnie monitorować swoje systemy, aby zapobiegać podobnym incydentom w przyszłości.

Implikacje prawne dla administratorów danych

Sprawa spółki Morele.net, związana z wyciekiem danych osobowych klientów, która zakończyła się nałożeniem na administratora kary w wysokości ponad 3,8 mln zł, stanowi istotny precedens w zakresie stosowania przepisów Rozporządzenia o Ochronie Danych Osobowych. Orzeczenia sądów administracyjnych w tej sprawie oraz kolejne postępowania prowadzone przez Prezesa Urzędu Ochrony Danych Osobowych są przykładem dynamicznie rozwijającej się praktyki stosowania prawa w obszarze ochrony danych osobowych.

Decyzja Prezesa UODO i pierwsze rozstrzygnięcia sądów

W wyniku incydentu związanego z wyciekiem danych osobowych 2,2 mln klientów, który miał miejsce w 2018 roku, Prezes UODO nałożył na Morele.net karę administracyjną w wysokości ok. 2,8 mln zł. Organ nadzorczy uznał, że spółka nie zastosowała odpowiednich zabezpieczeń technicznych i organizacyjnych adekwatnych do poziomu ryzyka, co doprowadziło do nieuprawnionego dostępu do danych osobowych. 

Należy podkreślić, że Morele.net nie wdrożyło szeregu kluczowych środków ochronnych, takich jak szyfrowanie danych, dwuskładnikowe uwierzytelnianie czy przeprowadzenie rzetelnej analizy ryzyka uwzględniającej dostęp z sieci publicznych. Co więcej,  brak monitorowania ruchu sieciowego oraz procedur pozwalających na szybkie wykrycie nietypowych zachowań znacząco przyczyniło  się do eskalacji incydentu.

Decyzja Prezesa UODO została zaskarżona przez Morele.net do Wojewódzkiego Sądu Administracyjnego (WSA), który w 2020 roku podtrzymał stanowisko organu nadzorczego. Spółka wniosła skargę kasacyjną do Naczelnego Sądu Administracyjnego (NSA), który uchylił wyrok WSA.

NSA nie zakwestionował wszystkich związanych z naruszeniem ustaleń Prezesa UODO. Zdaniem Sądu Prezes UODO powinien uprawdopodobnić posiadanie wiedzy potrzebnej do przeprowadzenia analizy zabezpieczeń, powinien powołać biegłego albo wytworzyć wewnętrzny dokument stanowiący wnioski z analizy standardu środków bezpieczeństwa stosowanych przez spółkę, do którego administrator mógłby się odnieść w toku postępowania.

Powtórne postępowanie administracyjne i ostateczna decyzja

W odpowiedzi na wyrok NSA, Prezes UODO przeprowadził powtórne postępowanie administracyjne, w ramach którego organ opracował wewnętrzną analizę standardów zabezpieczeń stosowanych przez Morele.net. Dokument ten stał się podstawą do ponownego nałożenia kary, tym razem w wysokości ponad 3,8 mln zł.

Prezes UODO uznał, że chociaż nie powołano biegłego, opracowana analiza była wystarczająca do oceny, czy zastosowane przez administratora środki techniczne i organizacyjne były adekwatne do poziomu ryzyka. Spółka Morele.net kwestionowała wiarygodność tej analizy, podnosząc zarzuty dotyczące stronniczości jej autorów, jednak zarzuty te nie zostały uwzględnione przez organ.

W toku postępowania ustalono, że administrator danych osobowych, mimo upływu znacznego czasu od wycieku, nie był w stanie jednoznacznie określić, jakie dokładnie dane zostały ujawnione osobom nieuprawnionym. Dopiero po incydencie spółka wdrożyła szereg środków, które mogłyby zapobiec nieuprawnionemu dostępowi do danych, co dodatkowo wpłynęło na ocenę organu nadzorczego.

Orzeczenie Wojewódzkiego Sądu Administracyjnego z 2024 r.

16 września 2024 r. WSA ponownie oddalił skargę Morele.net, uznając, że decyzja Prezesa UODO została wydana zgodnie z prawem i na podstawie dostatecznie zgromadzonego materiału dowodowego. Sąd potwierdził, że pracownicy UODO posiadali odpowiednie kwalifikacje i kompetencje do oceny środków ochrony danych osobowych zastosowanych przez spółkę, a organ nie był zobowiązany do powołania biegłego.

Orzeczenie to dodatkowo podkreśla, że nałożenie kary pieniężnej przez Prezesa UODO było w pełni uzasadnione charakterem i wagą naruszenia, a jej wysokość, ustalona na podstawie wytycznych Europejskiej Rady Ochrony Danych (EROD) z maja 2023 roku, była odpowiednia do okoliczności sprawy. Morele.net zapowiedziało złożenie skargi kasacyjnej do NSA, twierdząc, że Prezes UODO nie był uprawniony do podwyższenia kary na etapie powtórnego postępowania.

Znaczenie sprawy Morele.net dla branży

Sprawa Morele.net ma kluczowe znaczenie dla praktyki ochrony danych osobowych w Polsce, zarówno z perspektywy organu nadzorczego, jak i przedsiębiorców. Wyciek danych na tak dużą skalę i kolejne orzeczenia sądowe stanowią wyraźny sygnał, że administratorzy danych są zobowiązani do stosowania zaawansowanych i adekwatnych do ryzyka środków technicznych oraz organizacyjnych.

Warto podkreślić, że niedostosowanie zabezpieczeń do poziomu zagrożeń może skutkować nie tylko utratą zaufania klientów, ale również nałożeniem dotkliwych kar finansowych. Przedsiębiorcy powinni zatem regularnie przeprowadzać analizy ryzyka i aktualizować środki ochrony danych w odpowiedzi na zmieniające się zagrożenia.

Sprawa ta pokazuje, jak istotne jest posiadanie dokumentacji potwierdzającej wdrożenie odpowiednich środków ochrony danych osobowych. Organy nadzorcze oraz sądy będą w swoich decyzjach brały pod uwagę zarówno środki ochrony, jak i dokumentację potwierdzającą przeprowadzanie regularnych audytów bezpieczeństwa.

Sprawa Morele.net jest przestrogą dla administratorów danych, którzy muszą dostosować swoje działania do wymogów RODO. Niedopełnienie obowiązków w zakresie zabezpieczeń technicznych i organizacyjnych może prowadzić do długotrwałych sporów prawnych oraz znaczących sankcji finansowych. Przedsiębiorcy powinni zatem inwestować w odpowiednie środki ochrony danych oraz regularnie monitorować swoje systemy, aby zapobiegać podobnym incydentom w przyszłości.

Kluczowe zagadnienia ochrony danych osobowych w systemach AI – WEBINAR Czwartek 19.09.2024

W obliczu dynamicznego rozwoju sztucznej inteligencji (AI), firmy i organizacje muszą sprostać nowym wyzwaniom związanym z ochroną danych osobowych. Integracja zaawansowanych systemów AI z codziennymi procesami biznesowymi niesie ze sobą ogromny potencjał, ale także rodzi istotne pytania o zgodność z obowiązującymi regulacjami prawnymi. Niniejszy webinar ma na celu omówienie kluczowych zagadnień związanych z ochroną danych osobowych w kontekście AI, w tym regulacji AI Act i RODO.

 

Podczas tego webinaru ekspert z zakresu prawa ochrony danych osobowych oraz technologii AI przedstawi najważniejsze aspekty dotyczące ochrony danych w systemach AI. Skupi się na znaczeniu AI jako przełomowej technologii, kluczowych  postanowieniach AI Act w szczególności w odniesieniu do RODO. Omówi także specyfikę danych wykorzystywanych przez systemy AI oraz zaprezentuje wybrane ryzyka związane z ich stosowaniem. Webinar ten jest idealnym miejscem dla specjalistów ds. ochrony danych osobowych, menedżerów IT oraz wszystkich zainteresowanych tematyką regulacji prawnych w kontekście AI.

 

Agenda spotkania obejmuje między innymi takie obszary jak:

• Znaczenie AI jako przełomowej technologii;

• Najważniejsze zagadnienia AI Act;

• Dane wykorzystywane przez AI;

• Porównanie RODO i AI Act;

• Wybrane ryzyka stosowania systemów AI dla ochrony danych osobowych.

Zapraszamy do udziału w webinarze, który dostarczy Państwu niezbędnej wiedzy i narzędzi do skutecznego zarządzania ochroną danych osobowych w czasach sztucznej inteligencji.

Data: 19 Września 2024 r., godz. 11:00-12:30

Zarejestruj się bezpłatnie!

Spotkanie poprowadzi:

Jarosław W. Mrożek

Radca prawny, konsultant ds. ochrony danych osobowych w Audytel S.A. Doświadczenie zawodowe zdobywał w warszawskich kancelariach prawnych oraz polskich i międzynarodowych spółkach. Doradzał podmiotom z branży produkcyjnej, handlowej, turystycznej i budowlanej.

Aktualnie pełni funkcję Inspektora Ochrony Danych oraz koordynatora ochrony danych w kilku spółkach, oraz innych podmiotach. Jest autorem artykułów branżowych oraz uczestnikiem licznych wydarzeń poświęconych ochronie danych osobowych, procedurom ISO, cyberbezpieczeństwu, przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu.

Posiada praktyczną znajomość przepisów związanych z ochroną danych osobowych, tworzenia dokumentacji zgodnej z RODO, wdrażania projektów związanych z ochroną danych osobowych, sporządzania umów powierzenia, prowadzenia warsztatów i szkoleń z zakresu RODO. Posługuje się biegle jęz. angielskim i francuskim.

Nowe obowiązki przedsiębiorców w związku z wejściem w życie Ustawy o Ochronie Sygnalistów – WEBINAR Czwartek 05.09.2024

25 września br.  wchodzi w życie Ustawa o ochronie sygnalistów, która nakłada na przedsiębiorców szereg nowych obowiązków, mających na celu zapewnienie odpowiedniej ochrony osobom zgłaszającym naruszenia prawa oraz prowadzenie działań następczych związanych ze zgłoszonymi nieprawidłowościami.   Wdrożenie ustawowych obowiązków jest kluczowe nie tylko dla spełnienia wymogów prawnych, ale także dla budowania transparentnej kultury organizacyjnej. 

Webinar skierowany jest do przedsiębiorców, którzy chcą zrozumieć nowe wymagania i skutecznie wdrożyć je w swojej organizacji.   W trakcie spotkania omówione zostaną kluczowe zapisy nowej Ustawy o ochronie sygnalistów i związane z nimi konieczne do wprowadzenia nowe obowiązki przedsiębiorców. Eksperci z dziedziny prawa i ochrony danych osobowych przedstawią szczegółowo, jakie warunki powinny być spełnione, aby sygnaliści mogli korzystać z ochrony prawnej, jakie środki ochrony sygnalistów powinny zostać  wdrożone oraz jakie procedury wewnętrzne powinny  być opracowane w celu efektywnego zgłaszania i rozpatrywania informacji o naruszeniach prawa.  Szczególną uwagę poświęcimy ochronie danych osobowych sygnalistów, podkreślając niezbędne działania, które powinien podjąć administrator danych w dostosowaniu systemu ochrony danych osobowych do nowych przepisów.

Data: 05 Września 2024 r., godz. 11:00-12:30

Zarejestruj się bezpłatnie!

Spotkanie poprowadzą:

Katarzyna Stańczak

Absolwentka Wydziału Prawa Administracji Uniwersytetu Kardynała Stefana Wyszyńskiego w Warszawie. Ukończyła na tym samym uniwersytecie studia podyplomowe na kierunku Ochrona danych osobowych informacji niejawnych. Od 2018 roku wykładowca na studiach podyplomowych na kierunku Inspektor Ochrony Danych w Wyższej Szkole Bankowej w Toruniu oraz Bydgoszczy. Doświadczenie z zakresu prawa ochrony danych osobowych nabyła w jednej z wiodących warszawskich kancelarii prawnych oraz w kilku firmach konsultingowych. Doradzała klientom m.in. branży produkcyjnej, budowlanej, medycznej oraz pożyczkowej. Wspierała wdrożenie RODO w organizacjach pozarządowych działających na terenie Warszawy. Autorka artykułów branżowych oraz uczestnik licznych wydarzeń poświęconych ochronie danych osobowych.

Krzysztof Gołaszewski

Prawnik, MBA Executive. Doświadczony menedżer z praktyką zdobytą w centralnej administracji państwowej oraz w dużych spółkach akcyjnych w sektorze telekomunikacyjnym, energetycznym i bankowym. Jest ekspertem w dziedzinie ochrony danych osobowych, ładu korporacyjnego, zarządzania procesowego, audytu, compliance i etyki biznesu. Jest certyfikowanym oficerem compliance, posiada certyfikat PRINCE-2. Uczestniczył w procesach dostosowania organizacji do RODO, audytach zgodności z prawem ochrony danych osobowych, przygotowywaniach dokumentacji wdrożeniowych, opiniowania umów oraz opiniowania projektów aktów prawnych z punktu widzenia przepisów dotyczących ochrony danych osobowych.

Ochrona danych osobowych w procesie obsługi zgłoszeń sygnalistów

Przed nami ostatnia prosta. Ustawa z dnia 14 czerwca 2024 r. o ochronie sygnalistów została opublikowana w Dzienniku Ustaw 24 czerwca 2024 r. Przepisy wchodzą w życie 25 września 2024 r.

W relatywnie krótkim czasie przedsiębiorcy zatrudniający 50 lub więcej pracowników, wszystkie podmioty sektora publicznego (z wyjątkiem organów gmin lub powiatów liczących do 10 000 mieszkańców) oraz podmioty prawne wykonujący działalność w zakresie usług, produktów i rynków finansowych oraz przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwa transportu i ochrony środowiska zobowiązani są do zorganizowania efektywnego i transparentnego systemu ochrony sygnalistów.

Wychodząc naprzeciw licznym pytaniom i wątpliwościom jak zorganizować proces obsługi zgłoszeń sygnalistów pod kątem wymagań RODO przedstawiam checklistę działań.

  • Przygotowanie procedury zgłoszeń wewnętrznych. Elementy obligatoryjne procedury wskazane są art. 25 ustawy z dnia 14 czerwca 2024 r. o ochronie sygnalistów. Pamiętajmy o możliwości stworzenia wspólnej procedury zgłoszeń wewnętrznych w przypadku podmiotów należących do grupy kapitałowej.
  • Przegląd i ewentualna aktualizacja wpisu dotyczącego procesu obsługi zgłoszeń sygnalistów w rejestrze czynności przetwarzania (ze szczególnym uwzględnieniem na podstawy prawne legalizujące proces). Mając na uwadze możliwość przetwarzania danych osobowych sygnalistów, skłaniałabym się do przyjęcia, iż właściwymi podstawami prawnymi są:
    1. w przypadku przetwarzania danych zwykłych np. danych kontaktowych sygnalisty – art. 6 ust 1 lit c oraz art. 6 ust 1 lit e RODO;
    2. w przypadku przetwarzania danych szczególnych np. informacji o stanie zdrowia – art. 9 ust 2 lit g oraz art. 9 ust 2 lit b RODO.
  • Przygotowanie klauzul obowiązku informacyjnego dedykowanych sygnalistom, osobom postronnym, członkom rodziny zgodnie z art. 13 lub 14 RODO w zależności od źródła pozyskania danych osobowych. W zależności od przyjętego kanału komunikacji należy zastanowić się nad formą oraz momentem spełniania obowiązku informacyjnego.
    1. Jeśli organizacja przygotowała infolinię za pośrednictwem której sygnalista może zgłosić nieprawidłowości – dopełnienie obowiązku informacyjnego powinno nastąpić w formie komunikatu dźwiękowego;
    2. Jeśli organizacja przygotowała dedykowane skrzynki mailowe – dopełnienie obowiązku informacyjnego może nastąpić chociażby w ramach stosownego autorespondera.
  • Przegląd i aktualizacja Polityki retencji.
  • Nadanie upoważnień do przetwarzania danych, w tym przetwarzania danych szczególnych kategorii osobom zaangażowanym w proces.
  • Wykonanie Privacy by design dla procesu obsługi zgłoszeń sygnalistów.
  • Wykonanie DPIA (ocena skutków dla ochrony danych) dla procesu obsługi zgłoszeń sygnalistów zgodnie z Komunikatem Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony tzn. systemy służące do zgłaszania nieprawidłowości (whistleblowing) oraz systemy służące do zgłaszania nieprawidłowości (związanych np. z korupcją, mobbingiem) – w szczególności gdy przetwarzane są w nim dane pracowników.
  • Przyjęcie procedury postępowania z danymi nadmiarowymi i niechcianymi w procesie.
  • Przygotowanie ulotek/broszur informacyjnych w obszarze zgłoszeń sygnalistów oraz szkoleń dla osób zaangażowanych w proces sygnalistów.
  • W przypadku korzystania z usług firm zewnętrznych (system do obsługo zgłoszeń sygnalistów) konieczność zawarcia umowy powierzenia przetwarzania danych osobowych zgodnie z wymaganiami art. 28 RODO. Pamiętajmy także o weryfikacji podmiotu przetwarzającego.
  • Udział IOD w procesie obsługi zgłoszeń sygnalistów. Przyjmując dość konserwatywne stanowisko UODO przyjęłabym iż IOD nie może należeć do komisji rozpatrującej żądanie, w tym nie może zajmować się bezpośrednią obsługą zgłoszenia. Udział IOD powinien ograniczyć się moim zdaniem do konsultacji w zakresie należytego dostępu i zabezpieczenia informacji mogących stanowić dane osobowe w rozumieniu RODO.

Ochrona Sygnalistów

Ufaj, ale sprawdzaj – weryfikacja podmiotów przetwarzających zgodnie z wymogami RODO

Zgodnie z art. 5 ust. 2 RODO każdy administrator ponosi odpowiedzialność za przetwarzanie danych osobowych zgodnie z zasadami i musi być w stanie wykazać ich przestrzeganie („rozliczalność”) – dlatego tak istotne z jego punktu widzenia jest gruntowne zbadanie, jakiemu podmiotowi (i na jakiej podstawie) powierza przetwarzanie danych osobowych. By jeszcze mocniej położyć nacisk na konieczność korzystania z zaufanych podwykonawców należy wziąć pod uwagę art. 28 RODO, zgodnie z którym Administrator korzysta wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Warto zaakcentować, że ocena administratora czy dany dostawca spełnia należyte gwarancje, jest formą oceny ryzyka.

W jaki sposób dokonać weryfikacji podmiotu przetwarzającego?

Odpowiedź jest prosta. Zdroworozsądkowo. Sposób weryfikacji, pytania i ich szczegółowość oraz ewentualny obowiązek przedstawienia stosowanych procedur/polityk mogą różnić w zależności od charakteru powierzenia i zakresu powierzonych danych. Na rynku znane są metody weryfikacji takie jak: bazowanie na ankietach weryfikacyjnych, stacjonarne audyty, audyty systemów informatycznych.

Kiedy dokonać weryfikacji podmiotu przetwarzającego?

Jako dobrą praktykę z zakresu ochrony danych osobowych uznaje się przeprowadzanie weryfikacji przed zawarciem umowy powierzenia oraz w trakcie trwania współpracy w odpowiednich odstępach czasu. Można zatem uznać, że korzystania wyłącznie z usług podmiotów przetwarzających „zapewniających wystarczające gwarancje” jest obowiązkiem ciągłym.

Co powinna obejmować weryfikacja podmiotu przetwarzającego?

Co do zasady weryfikacja podmiotu przetwarzającego powinna dać nam szereg informacji odnośnie posiadania wiedzy fachowej, wiarygodności podmiotu przetwarzającego, jego zasobów oraz reputacji na rynku.

Rola IOD w procesie weryfikacji podmiotu przetwarzającego

IOD dokonuje oceny na podstawie przekazanych mu przez właściciela biznesowego niezbędnych informacji, jaką formę weryfikacji podmiotu przetwarzającego zastosować w konkretnym przypadku. IOD analizuje otrzymane od podmiotu przetwarzającego informacje, ocenia czy jest konieczność dokonania szerszej weryfikacji oraz informuje o wynikach swojej analizy.

Co grozi za brak weryfikacji podmiotu przetwarzającego?

Niedochowanie należytej staranności w wyborze podmiotu przetwarzającego może być dla administratora danych niezwykle kosztowną lekcją, albowiem zagrożone jest karą do 10.000.000 EUR, a w przypadku przedsiębiorstwa – 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. 

 

Zatwierdzone kodeksy postępowania w Polsce na gruncie RODO

Organizacje reprezentujące administratorów lub podmioty przetwarzające dane osobowe mogą opracowywać kodeksy postępowania, aby doprecyzować i ułatwić właściwe stosowanie przepisów RODO w swojej branży. Zasady tworzenia kodeksów zostały opisane w  art. 40 RODO.

Zgodnie z jego brzmieniem, kodeksy powinny regulować kwestię m. in. rzetelnego i przejrzystego przetwarzania, prawnie uzasadnionych interesów realizowanych przez administratorów w określonych kontekstach, zgłaszania organowi nadzorczemu naruszeń ochrony danych osobowych oraz zawiadamiania o takich naruszeniach osób, których dane dotyczą, a także przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych.

Zgodnie z art. 41 ust. 1 RODO bez uszczerbku dla zadań i uprawnień właściwego organu nadzorczego, monitorowaniem przestrzegania kodeksu postępowania może zajmować się podmiot, który dysponuje odpowiednim poziomem wiedzy fachowej w dziedzinie będącej przedmiotem kodeksu i został akredytowany w tym celu przez właściwy organ nadzorczy.

W Polsce zatwierdzono jak dotąd dwa kodeksy postępowania, choć w dacie pisania niniejszego artykułu, organ nadzorczy informuje na swojej stronie internetowej, iż przedłożono mu do zatwierdzenia kolejnych pięć projektów. Projekty te przygotowała Krajowa Izba Doradców Podatkowych, Związek Pracodawców Organizacja Firm Badania Opinii i Rynku, Polska Rada Centrów Handlowych, Sieć Badawcza Łukasiewicz – PORT Polski Ośrodek Rozwoju Technologii oraz Izba Gospodarcza Hotelarstwa Polskiego.

Pierwszy kodeks postępowania, tj. Kodeks postępowania dotyczący ochrony danych osobowych przetwarzanych w małych placówkach medycznych (MPM) (Porozumienie Zielonogórskie) został zatwierdzony przez Prezesa Urzędu Ochrony Danych Osobowych dnia 14 grudnia 2022 r.

Dokument składa się ze 109 stron, zaś w kodeksie znajduje się słowniczek, dwanaście rozdziałów oraz spis załączników, tabel, wykresów i ilustracji.

Kodeks zawiera praktyczne wskazówki dotyczące realizacji obowiązków wynikających z RODO, które uwzględniają specyfikę funkcjonowania małych placówek medycznych. Autorzy kodeksu zwracają uwagę, iż „kodeks ma również na celu zwiększenie zaufania pacjentów do MPM i dać gwarancję, że placówki, które przystępują do kodeksu, zapewniają bezpieczeństwo danych osobowych na odpowiednio wysokim poziomie poprzez stosowanie odpowiednich zasad i instrumentów prawnych ochrony danych przy uwzględnieniu ryzyka dla praw lub wolności pacjentów wynikającego z przetwarzania ich danych osobowych”. Należy zwrócić uwagę, iż kodeks ma zastosowanie wyłącznie do danych osobowych przetwarzanych w związku z działalnością leczniczą małych placówek medycznych (m. in. pacjentów, osób upoważnionych, osób bliskich). Dokument nie dotyczy zaś przetwarzania danych osobowych pracowników, współpracowników, kandydatów do pracy lub innych osób, których dane gromadzi MPM.

Podmiotem monitorującym stosowanie zasad kodeksu jest RS JAMANO Sp. z o.o. Sp. k. Jednym z obowiązków podmiotu monitorującego jest wezwanie placówki do złożenia wyjaśnień w terminie 14 dni, w razie powzięcia informacji o naruszeniu postanowień kodeksu. W zależności od stanu faktycznego, podmiot monitorujący może nakazać osobom odpowiedzialnym za przetwarzanie danych przejście zdalnego szkolenia z zakresu ochrony danych, przeprowadzić czynności sprawdzające w MPM, a nawet zdecydować o wykreśleniu MPM z grupy podmiotów stosujących kodeks.

Zgodnie z kodeksem, małe placówki medyczne mogą przetwarzać dane osobowe pacjentów przede wszystkim jeśli jest to niezbędne do celów profilaktyki zdrowotnej i zapewnienia opieki zdrowotnej na podstawie odpowiednich przepisów prawa, jeśli pacjent wyraził zgodę na przetwarzanie jego danych osobowych oraz MPM posiada prawnie uzasadniony interes w przetwarzaniu danych (dotyczy badań jakości oraz marketingu bezpośredniego MPM, z wyłączeniem marketingu telefonicznego i elektronicznego).

Znaczną część kodeksu poświęcono zagadnieniu wyrażania zgody na przetwarzanie danych. Wyjaśniono, w jakich celach MPM może zbierać zgody na przetwarzanie danych, jak należy zbierać zgody, jakie warunki MPM musi spełnić, by zgoda była ważna oraz w jaki sposób podmiot, którego dane dotyczą, może wycofać zgodę.

Mała placówka medyczna przetwarza przede wszystkim dane osobowe niezbędne do realizacji celów, jakimi są profilaktyka zdrowotna, medycyna pracy, rejestracja i świadczenie usług opieki zdrowotnej oraz ochrona żywotnych interesów osoby, której dane dotyczą. W określonych wypadkach MPM przetwarza także dane osobowe w związku z działaniami marketingowymi oraz realizacją badań klinicznych i naukowych. Na potrzeby kodeksu przyjęto się, że MPM będą przetwarzały przede wszystkim dane wymienione w ustawie z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta i ustawie z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych oraz aktach wykonawczych do nich. W kodeksie zamieszczono tabele danych, których przetwarzanie przez MPM jest obowiązkowe lub możliwe. Tabelę podzielono na kategorie podmiotów, których dane są przetwarzane, tj. dane pacjenta, dane przedstawiciela ustawowego pacjenta, dane osoby upoważnionej przez pacjenta.

Twórcy kodeksu wskazali, iż MPM powinny przeszkolić i upoważnić personel biorący udział w procesie przetwarzania danych osobowych (pisemne upoważnienia dla pracowników, które określają zakres ich dostępu do danych, szkolenia dostosowane do specyfiki danego stanowiska pracy) oraz – w razie konieczności – wyznaczyć inspektora ochrony danych. W kodeksie opisano również jak należy zarządzać ochroną danych w organizacji, komu i na jakich warunkach MPM mogą powierzać przetwarzanie danych osobowych oraz jak należy postępować w przypadku naruszenia ochrony danych osobowych.

Omówiono także kwestię monitoringu wizyjnego. Podkreślono, że decyzję MPM o instalacji systemu monitoringu wizyjnego powinna zawsze poprzedzać analiza zasadności stosowania takiego rozwiązania. Jak wskazują autorzy kodeksu, taka analiza powinna obejmować w szczególności obowiązujące przepisy prawa, analizę ryzyka związanego ze stosowaniem monitoringu oraz test równowagi z motywu 47 RODO. Zwrócono szczególną uwagę na fakt, iż z uwagi na brak odrębnych przepisów prawa, monitoring w MPM nie może obejmować gabinetów lekarskich lub zabiegowych, toalet, szatni lub przebieralni.

Drugi kodeks postępowania, tym razem Kodeks postępowania dla sektora ochrony zdrowia (Polska Federacja Szpitali) został zatwierdzony przez Prezesa Urzędu Ochrony Danych Osobowych dnia 11 grudnia 2023 r.

Kodeks ten różni się swoją strukturą od pierwszego, ponieważ składa się ze 112 stron, z czego  47 stron stanowią załączniki. Wśród nich znajdują się wzór zgody na przetwarzanie danych osobowych, przykładowa procedura analizy ryzyka, której wdrożenie i stosowanie zapewniają realizację podejścia opartego na ryzyku, wykaz zabezpieczeń systemów IT, wykaz norm mających zastosowanie w obszarze bezpieczeństwa informacji i ochrony danych osobowych.

Podmiotem uprawnionym do monitorowania przestrzegania ww. kodeksu jest KPMG Advisory spółka z ograniczoną odpowiedzialnością spółka komandytowa.

Jak wynika z pierwszego rozdziału, kodeks reguluje zasady przetwarzania danych osobowych przez wszystkie podmioty wykonujące działalność leczniczą (PWDL), bez względu na formę prawną prowadzenia działalności, strukturę właścicielską i podmiot tworzący, uczestnictwo w systemie opieki zdrowotnej finansowanym ze środków publicznych oraz zakres i rodzaj prowadzonej działalności leczniczej. Postanowienia kodeksu mają również zastosowanie do podmiotów przetwarzających, które na zlecenie PWDL przetwarzają dane osobowe pozyskane przez PWDL w celu prowadzenia działalności leczniczej.

W kodeksie wskazano, iż podstawą prawną przetwarzania danych osobowych pacjentów w celach zdrowotnych przez PWDL są właściwe przepisy RODO pozostające w związku z przepisami krajowego prawa medycznego. Opisano przypadki przetwarzania danych: w celach zdrowotnych – niewymagających zgody pacjenta, w celach innych niż zdrowotne – niewymagających zgody pacjenta, przypadki zakresu przetwarzanych danych – niewymagających zgody pacjenta  oraz przypadki przetwarzania  danych na podstawie zgody pacjenta.

W kodeksie uregulowano kwestię zasad przetwarzania danych osobowych przez osoby wykonujące zawody medyczne. Zgodnie z tymi zasadami, PWDL jako administrator  decyduje o nadawaniu upoważnień do przetwarzania danych osobowych osobom wykonującym zawód medyczny przetwarzającym dane pacjentów w ramach wykonywania zawodu i jest to jeden ze środków organizacyjnych, którego celem jest zapewnienie odpowiedniej ochrony danych i kontroli nad procesem ich przetwarzania. Zakres przetwarzanych danych powinien być niezbędny do wykonywania zawodu medycznego, w szczególności do udzielania świadczeń opieki zdrowotnej lub musi być powiązany choćby z potencjalną możliwością udzielania świadczeń opieki zdrowotnej. Osoba wykonująca zawód medyczny przetwarzająca dane w ramach czynności wykraczających poza wykonywanie zawodu medycznego powinna w tym zakresie uzyskać upoważnienie administratora wskazane w art. 24 ust. 2 pkt. 2 ustawy o prawach pacjenta i rzeczniku praw pacjenta.

W dokumencie wskazano zasady przekazywania informacji dotyczących pacjenta w stanach nagłych w oparciu o art. 9 ust. 2 lit. c) RODO. Twórcy kodeksu wskazują, iż w przypadku, w którym pacjent nie jest fizycznie albo prawnie zdolny do wyrażenia zgody w odpowiednim czasie, w szczególności gdy jest nieprzytomny lub nie ma możliwości nawiązania z nim kontaktu w wymaganym czasie, PWDL może podjąć kontakt z osobą trzecią, nieupoważnioną przez pacjenta zgodnie z przepisami prawa medycznego, w szczególności zgodnie z art. 26 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta, w tym z osobą bliską, w celu przekazania lub uzyskania danych, w tym danych o stanie zdrowia pacjenta niezbędnych dla ochrony żywotnych interesów pacjenta lub innej osoby, w szczególności ochrony zdrowia lub życia tych osób.

W kodeksie opisano, iż PWDL uprawnione są do stosowania monitoringu w miejscach ogólnodostępnych, takich jak recepcja, szatnia, poczekalnia, stołówka, wejścia do budynku , jeżeli jest to niezbędne dla zapewnienia bezpieczeństwa pacjentów oraz personelu PWDL, miejscach udzielania świadczeń zdrowotnych oraz pobytu pacjentów w zakresie wynikającym z przepisów odrębnych (m. in. oddziały dziecięce, oddziały psychiatryczne, zespół porodowy, anestezjologia i intensywna terapia, pokoje łóżkowe, jeżeli jest to konieczne w procesie leczenia i dla zapewnienia pacjentom bezpieczeństwa).

Ponadto, PWDL może dokonywać utrwalenia przebiegu całości przeprowadzanych na rzecz pacjenta zabiegów lub ich części przy użyciu sprzętu rejestrującego obraz lub obraz i dźwięk w celach zdrowotnych, jeżeli jest to uzasadnione rodzajem wykonywanego świadczenia zdrowotnego jako dokumentacji z przebiegu udzielanego świadczenia zdrowotnego i włączenia utrwalonego obrazu lub obrazu i dźwięku do dokumentacji medycznej pacjenta.

Podsumowując, należy podkreślić, iż przystąpienie do stosowania kodeksu postępowania wiąże się z licznymi korzyściami. Przede wszystkim podmioty, które będą te kodeksy stosowały dają gwarancję prawidłowości stosowania określonych rozwiązań zatwierdzonych przez organ nadzorczy. Rola kodeksów postępowania jest również bardzo istotna przy nakładaniu administracyjnej kary pieniężnej. Należy bowiem mieć na uwadze, iż zgodnie z art. 83 ust. 1 lit. j RODO organ nadzorczy decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca w każdym indywidualnym przypadku należytą uwagę na stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 RODO.

Wytyczne Europejskiej Rady Ochrony Danych dotyczące kodeksów postępowania kładą nacisk na cel opracowania takiego kodeksu. Europejska Rada Ochrony Danych gromadzi w rejestrze wszystkie zatwierdzone kodeksy podstępowania, zmiany i rozszerzenia i udostępnia je opinii publicznej za pomocą odpowiednich środków, np. na swojej stronie internetowej.

 

Zarządzanie dokumentacją ochrony danych – jak spełnić wymagania RODO – Webinar Czwartek, 25 Kwietnia 2024

Zapraszamy na webinar wszystkich, którzy chcą pogłębić swoją wiedzę na temat właściwego prowadzenia dokumentacji zgodnie z RODO. Dzięki swojemu uczestnictwu będziecie Państwo mogli zrozumieć nie tylko wymagania prawne związane ze stosowaniem dokumentacji, ale również dowiedzieć się o praktycznym ich zastosowaniu. Stosowanie właściwej dokumentacji zwiększa bezpieczeństwo przetwarzanych danych osobowych i pozwala uniknąć potencjalnych  kar nakładanych przez regulatora. 

Właściwe prowadzenie dokumentacji ochrony danych osobowych jest jednym z podstawowych obowiązków podmiotów, które je przetwarzają. Zapraszamy na webinar, na którym przedstawimy w jakim zakresie podmioty te zobowiązane są do jej prowadzenia oraz posiadanie jakich dokumentów jest rekomendowane, by można było zgodnie z zasadą rozliczalności wykazać przestrzeganie zasad przetwarzania danych osobowych określonych w RODO.

Uczestnicy dowiedzą się, jaką niezbędną zawartość powinny mieć dokumenty, aby spełnić wymagania określone w RODO oraz jak efektywnie zarządzać tą dokumentacją. Ponadto omówiona zostanie kwestia jak dokumentować zgodność z przepisami oraz jak powinna być prowadzona  dokumentacja naruszeń ochrony danych osobowych.

 

Data: 25 Kwietnia 2024 r., godz. 11:00-12:30

Zarejestruj się bezpłatnie!

Spotkanie poprowadzi:

Krzysztof Gołaszewski

 Doświadczony menedżer z praktyką zdobytą w centralnej administracji państwowej oraz w dużych spółkach akcyjnych w sektorze telekomunikacyjnym, energetycznym i bankowym.
Jest ekspertem w dziedzinie ochrony danych osobowych, ładu korporacyjnego, zarządzania procesowego, audytu, compliance i etyki biznesu.
Jest certyfikowanym oficerem compliance, posiada certyfikat PRINCE-2. Uczestniczył w procesach dostosowania organizacji do RODO, audytach zgodności z prawem ochrony danych osobowych, przygotowywaniach dokumentacji wdrożeniowych, opiniowania umów oraz opiniowania projektów aktów prawnych z punktu widzenia przepisów dotyczących ochrony danych osobowych. Wyróżnia się biegłością w tworzeniu dokumentacji prawnej dotyczącej ochrony danych osobowych.