Ta strona korzysta z ciasteczek - więcej
Masz pytania? Zadzwoń: 222-905-320 lub napisz: zapytanie@rbdo.pl


List Prezesa Urzędu Ochrony Danych – „Nawet pensjonaty i warsztaty samochodowe muszą przestrzegać RODO”

Szanowni Państwo,

dziś 25 maja 2018 roku – rozpoczynamy stosowanie przepisów unijnego ogólnego rozporządzenia o ochronie danych, czyli RODO. Kończy się zatem dwuletni okres dostosowawczy, w którym każdy zobowiązany do stosowania jego przepisów, powinien zacząć działać w sposób w pełni z nimi zgodny.

Ten dzień jest znakomitą okazją do podzielenia się z Państwem kilkoma refleksjami na temat przyszłości polskiego systemu ochrony danych osobowych.

Nowy system ochrony danych oparty jest o przepisy europejskiego rozporządzenia, zatem we wszystkich krajach Unii Europejskiej jest ono stosowane bezpośrednio. Do historii przechodzą zaś przepisy dyrektywy 95/46 oraz implementującej ją w polskim porządku prawnym ustawy o ochronie danych osobowych z 1997 r., które przez ostatnich 20 lat były podstawą działania Generalnego Inspektora Ochrony Danych Osobowych. Doświadczenie Urzędu oraz wszystkich, którzy zajmowali się dotąd tą problematyką, zarówno od strony teoretycznej, jak i praktycznej – a więc przedstawicieli świata nauki, administratorów, administratorów bezpieczeństwa informacji i wszystkich, którym bliskie są zagadnienia ochrony danych osobowych i prawa do prywatności, pozwoli na efektywne stosowanie nowych przepisów i zapewni realizację celów rozporządzenia. Dla organu ochrony danych to bezcenny kapitał, którym jak dotąd z troską będę zarządzać.

Za 20-letnią pracę na rzecz ochrony danych osobowych wszystkim chciałabym bardzo serdecznie podziękować.

Nowe prawo, które od dziś w sposób jednolity będzie regulowało prawa wszystkich osób przebywających na terenie Unii Europejskiej i obowiązki podmiotów, które gromadzą i wykorzystują ich dane osobowe, powinno lepiej odpowiadać na potrzeby i wyzwania XXI wieku. Ustanawia ono bowiem nowe mechanizmy ochrony danych, a organom nadzorczym daje nowe, jednakowe uprawnienia do egzekwowania działania zgodnego z prawem.

O tym europejskim wymiarze RODO przypomina odbywające się dziś w Brukseli pierwsze posiedzenie Europejskiej Rady Ochrony Danych zrzeszającej szefów wszystkich unijnych organów ochrony danych osobowych. Jednym z jej zadań będzie zaś czuwanie nad zapewnieniem spójnego stosowania nowego prawa.

Warto raz jeszcze przypomnieć, że ta nowa regulacja dotyczy wszystkich. Jej przepisy muszą bowiem stosować te podmioty, które pozyskują i wykorzystują dane osobowe w związku z działalnością zarobkową, zawodową, realizacją zadań publicznych bądź celów statutowych. Muszą więc ich przestrzegać i duże korporacje – np. firmy ubezpieczeniowe czy instytucje finansowe, i wszystkie urzędy, placówki oświaty, służby zdrowia czy organizacje pozarządowe, i sklepy internetowe, i wreszcie niewielkie rodzinne przedsiębiorstwa, jak warsztaty samochodowe czy pensjonaty.

Przez ostatnie 20 lat rzeczywistość zmieniła się diametralnie. Wiele zagrożeń dla prywatności, z jakimi dziś spotykamy się na co dzień, po prostu nie istniało. Telefonia komórkowa, Internet mobilny, serwisy społecznościowe czy Internet rzeczy to tylko cztery najbardziej widoczne symbole tych zmian. Postępująca globalizacja i cyfryzacja to bowiem jedne z powodów, dla których niezbędna stała się reforma systemu ochrony naszych danych.

Nowe prawo służy zapewnieniu wysokiego poziomu ochrony danych i uelastycznia prawne mechanizmy – odchodzi bowiem od szczegółowego regulowania niektórych zagadnień na poziomie aktów normatywnych. Wyznacza cele, które należy osiągnąć. Można to jednak zrobić w sposób dostosowany do specyfiki swojego działania.

Spełnienie określonych w RODO standardów od administratorów będzie wymagało odpowiedzialności, kreatywności i samodzielności, codziennej refleksji nad tym, jak ochronę danych uczynić częścią zarządzania instytucją, a nie jedynie formalnym obowiązkiem. Niezbędne będzie też jednocześnie podnoszenie świadomości pracowników.

Zdaję sobie sprawę z tego, że na początku wszystkie te działania mogą sprawiać trudności. Uważam jednak, że w dłuższej perspektywie podjęcie tego wysiłku się opłaci, a w przyszłości może być nawet źródłem oszczędności. Urząd jest gotowy wspierać administratorów w realizacji tego wyzwania.

Uporządkowanie procesów przetwarzania danych osobowych, które obecnie stały się „paliwem” gospodarki, i stworzenie modelu zarządzania całością informacji mogą być źródłem wyraźnej przewagi konkurencyjnej i podstawą budowania właściwego wizerunku w oczach klientów i kontrahentów.

Warto też uzmysłowić sobie, że RODO to także wymierne korzyści i nowe uprawniania dla każdego z nas. Przede wszystkim zwiększa ono naszą kontrolę nad tym, kto i co robi z naszymi danymi osobowymi. Każdy bowiem, kto przetwarza nasze dane, będzie nas musiał prostym, klarownym i zrozumiałym językiem poinformować m.in. o tym, jakie nasze dane, na jakiej podstawie, w jakim celu i jak długo będzie wykorzystywał, jakie w związku z tym przysługują nam prawa. Gdy utracona zostanie kontrola nad nimi, też zostaniemy o tym poinformowani.

W ten sposób zyskamy również spokój. Dziś bowiem niektórzy są zaniepokojeni, że jakiś podmiot ma ich dane, a tymczasem wynika to np. z ciążących na nim obowiązków prawnych, albo z naszej zgody, której niefrasobliwie bądź nieświadomie udzieliliśmy. Często o tym nie wiemy, gdyż po prostu nie jesteśmy o tym wystarczająco informowani. Teraz będzie inaczej.

Nowe rozwiązania, jak choćby „prawo do bycia zapomnianym” czy „prawo do przenoszenia danych”, na pewno przyczynią się do lepszej ochrony naszej prywatności.

Na straży wykonania tych praw i obowiązków stać będzie silny i niezależny organ nadzorczy – Prezes Urzędu Ochrony Danych Osobowych, wyposażony w niezbędne do tego narzędzia.

Oczywiście wśród nich najwięcej emocji budzą kary. Chciałabym jednak zaznaczyć, że jest to jeden z wielu mechanizmów zapewniania zgodności z prawem, z których organ nadzorczy będzie korzystał tak, jak ze wszystkich innych swoich uprawnień. Przepisy RODO określają zaś wiele różnych czynników, które będziemy brać pod uwagę, podejmując decyzję o nałożeniu i wysokości kary.

Szanowni Państwo, od dziś zaczynamy zatem działać w nowej, zreformowanej rzeczywistości. Jestem pewna, że wszyscy dołożymy wszelkich starań, aby zadanie właściwej obrony prywatności w tych nowych warunkach wypełnić jak najlepiej.

Źródło: UODO

https://uodo.gov.pl/pl/138/257

UE RODO: Śniadanie biznesowe z przedsiębiorcami z województwa lubuskiego

Eksperci RBDO spotkali się z delegacjami firm z województwa lubuskiego – największymi producentami w regionie. Podczas spotkania omawiana została strategia przygotowania się do zmian w ochronie danych osobowych.

W maju przyszłego roku będą przyjęte do stosowania unijne przepisy – Rozporządzenie o Ochronie Danych Osobowych, tzw. RODO. Zmienią się zasady przetwarzania, wykorzystywania i przechowywania naszych danych. Kto je naruszy zapłaci wysoką karę nawet do 20 mln euro – wymierzane jednoinstancyjnie przez nowy Urząd Ochrony Danych. Do zmiany musi się przygotować budżetówka, a także firmy prywatne.

Fragmenty: Szkolenie UE RODO – Procedura oceny ryzyka jako jeden z kluczowych elementów RODO

Prezentujemy Państwu fragment szkolenia z nowych procedur ochrony danych UE RODO –  zrealizowany w Warszawie w październiku 2017. 

Nasz ekspert Karol Cieniak, Dyrektor Działu Prawngo RBDO, w tej części  omawia obowiązek przeprowadzania analizy ryzyka DPIA. 

Zapraszamy do obejrzenia fragmentów – wstęp o analizie ryzyka:

Szkolenie UE RODO – Rejestry Czynności przetwarzania zastąpią rejestrację w GIODO w 2018 roku

Prezentujemy Państwo fragment szkolenia z nowych procedur ochrony danych UE RODO –  zrealizowany w Warszawie w październiku 2017. Nasz ekspert Karol Cieniak, Dyrektor Działu Prawngo, omawiał obowiązej prowadzenia rejestru czynności przetwrzania danych osobowych oraz dla danych powierzonych – Rejestru kategorii czynności przetwarzania.

Zapraszamy do obejrzenia fragmentów:

Ogólne podstawy ochrony danych osobowych

SŁOWNICZEK AKTÓW PRAWNYCH

  • Ilekroć w części informacyjnej, pytaniach testowych lub wariantach odpowiedzi pojawiają się poniższe sformułowania:

 

  • RODO, Rozporządzenie UE – należy przez to rozumieć Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Tekst mający znaczenie dla EOG)

 

  • uodo, ustawa o ochronie danych osobowych – należy przez to rozumieć ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 1997 Nr 133 poz. 883 z późn. zm.)

 

  • rozporządzenie do art. 39a uodonależy przez to rozumieć rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. Nr 100, poz. 1024)

Czytaj dalej Ogólne podstawy ochrony danych osobowych

Wymagania w zakresie dokumentacji wewnętrznej ochrony danych osobowych

Każdy podmiot przetwarzający dane osobowe – zarówno administrator danych osobowych, jak i podmiot, któremu powierzono przetwarzanie danych osobowych w trybie art. 31 uodo (o czym szerzej w części VIII) – jest zobowiązany do prowadzenia w formie pisemnej dokumentacji wewnętrznej, wymaganej przez rozporządzenie do art. 39a uodo z 2004 roku

  • Na wymaganą przez rozporządzenie dokumentację przetwarzania danych osobowych składają się:

Polityka bezpieczeństwa (wymagana nawet, jeżeli przetwarzanie danych  osobowych odbywa się wyłącznie w formie papierowej). Polityki bezpieczeństwa nie należy mylić z „polityką prywatności”, która jest dokumentem niewymaganym wprost przez powszechnie obowiązujące przepisy, a stanowi jedynie zwyczajową formę realizacji tzw. „obowiązków informacyjnych”, o czym szerzej w części V Czytaj dalej Wymagania w zakresie dokumentacji wewnętrznej ochrony danych osobowych

Podstawy prawne przetwarzania danych osobowych – obowiązujące

Rodzaje podstaw prawnych w oparciu o które możliwe jest przetwarzanie danych osobowych „ZWYKŁYCH”

Ustawa o ochronie danych osobowych, w art. 23 ust. 1 przewiduje pięć głównych podstaw prawnych – są one od siebie odrębne i niezależne, wystarczy spełnienie przynajmniej jednej z nich:

  • zgoda na przetwarzanie danych osobowych – zgodnie z art. 23 ust. 1 pkt 1 uodo, istnieje możliwość przetwarzania danych osobowych w oparciu o wyrażona zgodę na przetwarzanie danych osobowych. Zgoda na przetwarzanie danych osobowych może zostać wyrażona w dowolnej formie, o ile chodzi o dane osobowe „zwykłe”, (w przypadku danych osobowych „wrażliwych” zgoda musi być udzielona na piśmie, zgodnie z art. 27 ust. 2 pkt 1 uodo. Zgodnie z art. 7 pkt 5 uodo, zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści – dlatego zawsze musi wiązać się z konkretną czynnością oznaczającą wyrażenie konkretnego oświadczenia woli (np. odhaczenie „checkboxa”, wysłanie maila lub choćby „kliknięcie” w określony link).

Czytaj dalej Podstawy prawne przetwarzania danych osobowych – obowiązujące

Obowiązek zgłoszeniowy do GIODO do maja 2018 roku

Obowiązek zgłoszenia zbioru danych do rejestru
prowadzonego przez GIODO

  • Każdy zbiór danych osobowych trzeba zgłosić do rejestru prowadzonego przez GIODO – chyba, że w danym przypadku zachodzi którakolwiek z podstaw do zwolnienia z tego obowiązku określona w art. 43 uodo.
  • W przypadku przetwarzania zbioru danych osobowych, który nie jest zwolniony z obowiązku zgłoszeniowego, zgłoszenia najprościej dokonać korzystając z oficjalnego, urzędowego serwisu „eGiodo”, generując formularz zgłoszeniowy i wysyłając go do GIODO w formie papierowej lub elektronicznej
  • Legalność przetwarzania zbioru danych „zwykłych” następuje z chwilą zgłoszenia, a zbioru danych „wrażliwych” (o których stanowi art. 27 ustawy, np. danych o stanie zdrowia) dopiero z chwilą dokonania wpisu zgłoszonego zbioru do rejestru przez GIODO, czyli dopiero po zarejestrowaniu zbioru danych w GIODO

Czytaj dalej Obowiązek zgłoszeniowy do GIODO do maja 2018 roku


Więcej informacji

Kontakt

Pon.-pt.: 9:00 - 17:00

Dział Sprzedaży: zapytanie@rbdo.pl

Dział Prawny: faq@rbdo

Telefon: 222-905-320

Szkolenia Certyfikowane