Ta strona korzysta z ciasteczek - więcej
Masz pytania? Infolinia RODO: 22 487 86 70 | +48 724 570 436
lub napisz: biuro@rbdo.pl


Szkolenie UE RODO – Rejestry Czynności przetwarzania zastąpią rejestrację w GIODO w 2018 roku

Prezentujemy Państwo fragment szkolenia z nowych procedur ochrony danych UE RODO –  zrealizowany w Warszawie w październiku 2017. Nasz ekspert Karol Cieniak, Dyrektor Działu Prawngo, omawiał obowiązej prowadzenia rejestru czynności przetwrzania danych osobowych oraz dla danych powierzonych – Rejestru kategorii czynności przetwarzania.

Zapraszamy do obejrzenia fragmentów:

Ogólne podstawy ochrony danych osobowych

SŁOWNICZEK AKTÓW PRAWNYCH

  • Ilekroć w części informacyjnej, pytaniach testowych lub wariantach odpowiedzi pojawiają się poniższe sformułowania:

 

  • RODO, Rozporządzenie UE – należy przez to rozumieć Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Tekst mający znaczenie dla EOG)

 

  • uodo, ustawa o ochronie danych osobowych – należy przez to rozumieć ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 1997 Nr 133 poz. 883 z późn. zm.)

 

  • rozporządzenie do art. 39a uodonależy przez to rozumieć rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. Nr 100, poz. 1024)

Czytaj dalej Ogólne podstawy ochrony danych osobowych

Wymagania w zakresie dokumentacji wewnętrznej ochrony danych osobowych

Każdy podmiot przetwarzający dane osobowe – zarówno administrator danych osobowych, jak i podmiot, któremu powierzono przetwarzanie danych osobowych w trybie art. 31 uodo (o czym szerzej w części VIII) – jest zobowiązany do prowadzenia w formie pisemnej dokumentacji wewnętrznej, wymaganej przez rozporządzenie do art. 39a uodo z 2004 roku

  • Na wymaganą przez rozporządzenie dokumentację przetwarzania danych osobowych składają się:

Polityka bezpieczeństwa (wymagana nawet, jeżeli przetwarzanie danych  osobowych odbywa się wyłącznie w formie papierowej). Polityki bezpieczeństwa nie należy mylić z „polityką prywatności”, która jest dokumentem niewymaganym wprost przez powszechnie obowiązujące przepisy, a stanowi jedynie zwyczajową formę realizacji tzw. „obowiązków informacyjnych”, o czym szerzej w części V Czytaj dalej Wymagania w zakresie dokumentacji wewnętrznej ochrony danych osobowych

Podstawy prawne przetwarzania danych osobowych – obowiązujące

Rodzaje podstaw prawnych w oparciu o które możliwe jest przetwarzanie danych osobowych „ZWYKŁYCH”

Ustawa o ochronie danych osobowych, w art. 23 ust. 1 przewiduje pięć głównych podstaw prawnych – są one od siebie odrębne i niezależne, wystarczy spełnienie przynajmniej jednej z nich:

  • zgoda na przetwarzanie danych osobowych – zgodnie z art. 23 ust. 1 pkt 1 uodo, istnieje możliwość przetwarzania danych osobowych w oparciu o wyrażona zgodę na przetwarzanie danych osobowych. Zgoda na przetwarzanie danych osobowych może zostać wyrażona w dowolnej formie, o ile chodzi o dane osobowe „zwykłe”, (w przypadku danych osobowych „wrażliwych” zgoda musi być udzielona na piśmie, zgodnie z art. 27 ust. 2 pkt 1 uodo. Zgodnie z art. 7 pkt 5 uodo, zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści – dlatego zawsze musi wiązać się z konkretną czynnością oznaczającą wyrażenie konkretnego oświadczenia woli (np. odhaczenie „checkboxa”, wysłanie maila lub choćby „kliknięcie” w określony link).

Czytaj dalej Podstawy prawne przetwarzania danych osobowych – obowiązujące

Obowiązek zgłoszeniowy do GIODO do maja 2018 roku

Obowiązek zgłoszenia zbioru danych do rejestru
prowadzonego przez GIODO

  • Każdy zbiór danych osobowych trzeba zgłosić do rejestru prowadzonego przez GIODO – chyba, że w danym przypadku zachodzi którakolwiek z podstaw do zwolnienia z tego obowiązku określona w art. 43 uodo.
  • W przypadku przetwarzania zbioru danych osobowych, który nie jest zwolniony z obowiązku zgłoszeniowego, zgłoszenia najprościej dokonać korzystając z oficjalnego, urzędowego serwisu „eGiodo”, generując formularz zgłoszeniowy i wysyłając go do GIODO w formie papierowej lub elektronicznej
  • Legalność przetwarzania zbioru danych „zwykłych” następuje z chwilą zgłoszenia, a zbioru danych „wrażliwych” (o których stanowi art. 27 ustawy, np. danych o stanie zdrowia) dopiero z chwilą dokonania wpisu zgłoszonego zbioru do rejestru przez GIODO, czyli dopiero po zarejestrowaniu zbioru danych w GIODO

Czytaj dalej Obowiązek zgłoszeniowy do GIODO do maja 2018 roku

Obowiązek informacyjny

Realizacja obowiązków informacyjnych względem
osób, których dane są przetwarzane

Ustawa o ochronie danych osobowych, w art. 24  oraz art. 25 przewiduje obowiązki informacyjne, które można podzielić na:

  • Obowiązki informacyjne w przypadku zbierania danych osobowych od osoby, której one dotyczą,– zgodnie z art. 24 ust. 1 uodo, (bezpośrednio)
  • Obowiązki informacyjne w przypadku zbierania danych osobowych nie od osoby, której one dotyczą, – zgodnie z art. 25 ust. 1 uodo, (pośrednio)

Pomiędzy wyżej określonymi obowiązkami informacyjnym drobne różnice, natomiast w przetwarzającej części odnoszą się one to przekazania podobnego zakresu informacji. Czytaj dalej Obowiązek informacyjny

Uprawnienia osób, których dane dotyczą

Uprawnienia osób, których dane są przetwarzane

Ustawa o ochronie danych osobowych, w art. 32 przewiduje uprawnienia do kontroli przez osobę, której dane dotyczą przetwarzania jej danych osobowych. Na uprawnienia te składają się w szczególności:

  • prawo do uzyskania wyczerpującej informacji, czy zbiór danych istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna – jej miejsca zamieszkania oraz imienia i nazwiska;
  • prawo do uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze
  • prawo do uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych;
  • prawo do uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie w tajemnicy informacji niejawnych lub zachowania tajemnicy zawodowej

Czytaj dalej Uprawnienia osób, których dane dotyczą

Administrator bezpieczeństwa informacji (ABI) do maja 2018 roku

Funkcja Administratora Bezpieczeństwa Informacji (ABI)

  • Każdy administrator danych osobowych (ADO) może wyznaczyć ABI, nie jest to jednak obowiązkowe.
  • Plusem wyznaczenia ABI jest brak obowiązku zgłaszania zbioru danych do GIODO (co może mieć znacznie w sytuacji, w której określony podmiot nie jest zwolniony z tego obowiązku na podstawie art. 43 ust. 1 uodo (np. przetwarza wyłącznie zbiory danych osobowych własnych pracowników).
  • Minusem wyznaczenia ABI jest obowiązek jego zgłoszenia przez administratora danych osobowych do imiennego rejestru (w ciągu 30 dni od jego powołania), obowiązek prowadzenia jawnego rejestru przetwarzanych danych osobowych (np. na stronie internetowej) oraz sporządzania szczegółowych raportów ze sprawdzeń przeprowadzanych zgodnie z warunkami określonymi w rozporządzeniu w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji.

 

  • W przypadku przyjęcia wariantu bez wyznaczania ABI, nie zachodzi obowiązek sporządzania sprawozdań ze sprawdzeń oraz prowadzenia jawnego rejestru przetwarzanych zbiorów danych osobowych.

Czytaj dalej Administrator bezpieczeństwa informacji (ABI) do maja 2018 roku

Umowa powierzenia przetwarzania danych osobowych


  • Art. 31 uodo przewiduje możliwość „powierzenia przetwarzania” przez administratora danych w drodze pisemnej umowy podmiotowi zewnętrznemu
  • Umowę powierzenia przetwarzanie często zawiera się w sytuacjach korzystania z usług zewnętrznego biura rachunkowego lub hostingodawcy (ponieważ już samo „przechowywanie” danych osobowych stanowi ich „przetwarzanie w rozumieniu ustawy o ochronie danych osobowych”)

Warunki jakie musi spełniać umowa powierzenia przetwarzania:

  • Pisemność (umowa powierzenia przetwarzania musi być zawarta na piśmie)
  • Określenie celu powierzenia
  • Określenie zakresu powierzenia

Należy pamiętać, że jeżeli podmiot, któremu dane osobowe powierzono ma mieć prawo do dalszego powierzania innym podmiotom, to taki uprawnienie musi być wyraźnie zapisane w umowie.
Czytaj dalej Umowa powierzenia przetwarzania danych osobowych

Sankcje za nieprzestrzeganie przepisów o ochronie danych osobowych w obecnym stanie prawnym i od 25 maja 2018 roku

Sankcje administracyjne w dotychczasowym stanie prawnym

  • Po zakończeniu przez GIODO czynności kontrolnych istnieje możliwość wydania przez GIODO decyzji wzywającej do usunięcia uchybień
  • Należy też zwrócić uwagę, że GIODO posiada możliwość wydania decyzji zakazującej przetwarzania danych, co w praktyce może wiązać się z brakiem możliwości prowadzenia działalności.
  • Na odrębnych zasadach, jako grzywnę przymuszającą za niewykonanie decyzji GIODO może nałożyć karę finansową w wysokości do 10 000 zł (w przypadku osób fizycznych)lub 50 000 zł (w przypadku osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej) za każde naruszenie (lecz nie więcej niż 50 000 zł w przypadku osób fizycznych) i 200 000 zł w przypadku osób prawnych.
  • Grzywny przymuszające nakładane są przez GIODO w trybie ustawy o postępowaniu egzekucyjnym w administracji (art. 121)
  • Mogą one być nałożone dopiero w sytuacji, gdy ADO zignoruje wcześniej wydaną decyzję wzywającą do usunięcia określonych naruszeń Czytaj dalej Sankcje za nieprzestrzeganie przepisów o ochronie danych osobowych w obecnym stanie prawnym i od 25 maja 2018 roku

Więcej informacji

Kontakt

Pon.-pt.: 9:00 - 17:00

Dział Sprzedaży: zapytanie@rbdo.pl

Dział Prawny: faq@rbdo

Telefon: 22 487 86 70 lub +48 724 570 436

Szkolenia Certyfikowane