• ul. Oławska 4/2, Wrocław
  • sekretariat@bojarski.net.pl
  • tel/fax 71 341 87 41  |  71 364 85 78
  • kom. 882 149 198

RODO

WDRAŻANIE PROCEDUR

RODO

Oferujemy wykonanie ogółu czynności związanych z audytem istniejącej dokumentacji, procedur, umów oraz dostosowanie do RODO.

RODO - informacja

Od dnia 25 maja 2018 r. wejdą w życie zmiany w ochronie danych osobowych w związku z Rozporządzeniem Parlamentu Europejskiego i Rady Unii Europejskiej 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych.

Przypominamy o konieczności dostosowania dokumentacji z zakresu ochrony danych, klauzul zgód oraz stosowanych środków technicznych i organizacyjnych służących ochronie danych do wymogów prawnych.

RODO - zmiany

RODO wprowadza m.in. następujące zmiany w ochronie danych osobowych:

  1. większe uprawnienia dla osób, których dane dotyczą

  2. zastąpienie ABI inspektorem ochrony danych

  3. doprecyzowanie obowiązków podmiotów przetwarzających dane

  4. obowiązek informowania o wycieku danych osobowych Prezesa Urzędu Ochrony Danych Osobowych w ciągu 72 godzin od stwierdzenia naruszeń

  5. wprowadzenie surowych kar za złamanie przepisów o ochronie danych osobowych

Wdrożenia Ochrony Danych

Proponujemy wsparcie w zakresie wdrożenia ochrony danych, dostosowanie istniejącej dokumentacji do zmian w prawie, przygotowania umów oraz realizację audytów z zakresie ochrony danych. 

Prowadzimy szkolenia z zakresu ochrony danych. 

Realizujemy bieżące doradztwo w zakresie ochrony danych dla firm, pełnimy funkcję Administratorów Bezpieczeństwa Informacji.

Kancelaria posiada wieloletnie doświadczenie we wdrażaniu procedur związanych z ochroną danych osobowych w przedsiębiorstwie.

RODO - Główne zmiany

Główne zmiany przewidziane przepisami RODO Rozporządzenia Parlamentu Europejskiego i Rady Unii Europejskiej 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, które wejdzie w życie od dnia 25 maja 2018 r

  1. RODO będzie głównym aktem prawnym dotyczącym ochrony danych osobowych, jednolitym dla państw członkowskich UE. Będzie go uzupełniała polska ustawa o ochronie danych osobowych, która jednak przyjmie inny kształt od obecnie obowiązującej;

  2. Zmodyfikowane zostały obowiązki informacyjne względem osób, których dane są przetwarzane: m.in. nowa formuła zgody na przetwarzanie, informowanie o wycieku danych osobowych (art. 34 RODO) itp., a także zasady bezpieczeństwa przetwarzania danych: pseudonimizacja i szyfrowanie danych osobowych, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów, zdolność do przywrócenia dostępności, regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych (art. 32);

  3. Zastąpienie ABI inspektorem danych osobowych (IOD), którego funkcja będzie podobna do ABI, ale będzie miał nowe obowiązki w firmie, w której zostanie powołany. Obecni ABI ulegną przekształceniu w IOD. Ich głównym obowiązkiem będzie dostosowanie sytuacji u administratora do przepisów, monitorowanie przetwarzania danych, udzielanie zaleceń co do ochrony danych, zapewnienie kontaktu z osobami, których dane są przetwarzane, oraz współpraca z Prezesem UODO. Wyznaczenie fakultatywne, a obligatoryjne w określonych sytuacjach;

  4. Zastąpienie GIODO Prezes Urzędu Ochrony Danych Osobowych;

  5. Dane wrażliwe ulegają rozszerzeniu o dane genetyczne i biometryczne;

  6. Obowiązek informowania Prezesa UODO o wycieku danych osobowych w ciągu 72 godzin od stwierdzenia naruszeń. Jeżeli naruszenie stwierdzi podmiot przetwarzający (procesor) – ma obowiązek niezwłocznie zgłosić to administratorowi. Formalne wymogi zgłoszenia (art. 33 RODO);

  7. Pojawienie się kar pieniężnych za złamanie przepisów o ochronie danych osobowych (nawet do 20 mln euro lub 4% wartości globalnego przychodu). Kary mają być proporcjonalne, odstraszające i skuteczne; ich wysokość zależeć będzie od wielu czynników;

  8. Trzy rodzaje postępowań kontrolnych Prezesa UODO, w tym możliwość kontroli bez uprzedniego zawiadomienia. Sankcje za utrudnienia przy kontroli;

  9. Nowe przepisy dotyczące przetwarzania danych osobowych małoletnich (musi być zgoda rodzica na przetwarzanie danych małoletniego od lat 13);

  10. Brak obowiązku rejestrowania zbiorów danych oraz posiadania dokumentacji sztywnie określonej przepisami; odpowiednie polityki ochrony danych powinny być jednak wdrożone, jeżeli wymagają tego czynności przetwarzania. Ogólnie są rekomendowane dla przedsiębiorców;

  11. Administratorzy danych osobowych sami będą decydowali o środkach zabezpieczających dane osobowe. Nie będzie regulacji dotyczących długości i złożoności haseł, ich zmiany oraz konkretnych środków technicznych. Mogą się natomiast pojawić wytyczne i dobre praktyki, które będą przedstawiały optymalne rozwiązania w tym przedmiocie, stanowiąc zalecenia dla administratorów (będą wydawane przez Prezesa UODO);

  12. Obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych (art. 30 RODO). W rejestrze uwzględnia się: dane ADO, cele przetwarzania, kategorie danych osobowych i kategorie osób, których dane te dotyczą, kategorie odbiorców, przekazanie danych do państwa trzeciego, planowane terminy usunięcia poszczególnych kategorii danych, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa. Rejestr prowadzi także podmiot przetwarzający (procesor).

  13. Dokonanie przez ADO oceny skutków dla ochrony danych, jeżeli przetwarzanie  ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych (art. 35 RODO). Wysokie ryzyko naruszenia praw i wolności występuje w szczególności jeżeli przetwarzanie wiąże się z użyciem nowych technologii, gdy operacje przetwarzania są nowe i administrator wcześniej nie dokonywał oceny ich skutków lub gdy przetwarzanie miało miejsce w odleglej perspektywie czasowej.

  14. Prezes UODO będzie weryfikował, jak administratorzy dbają o realizację obowiązków wynikających z RODO, przez co zasadne jest opisanie wdrożonych rozwiązań w wewnętrznej dokumentacji (Polityce bezpieczeństwa);

  15. 15. Pojawia się możliwość uzyskania certyfikatu od uprawnionej organizacji, że administrator właściwie postępuje z danymi osobowymi. Dokładniejsza regulacja dotycząca certyfikacji znajdzie się w nowej ustawie o ochronie danych osobowych;

  16. Zmiany następują w umowach powierzenia. Dopuszczalna będzie umowa w formie pisemnej oraz elektronicznej. Elementy umowy zostały wskazane w art. 28 ust. 3 RODO: przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Podpowierzenie może mieć miejsce wyłącznie w przypadku uprzedniej ogólnej lub szczegółowej pisemnej zgody administratora;

  17. Profilowanie jest czynnością wchodzącą w zakres przetwarzania danych osobowych, a więc musi występować podstawa do przetwarzania, aby móc np. budować profile użytkowników (pod warunkiem, że profile zawierać będą dane osobowe).

Oprócz RODO obowiązywać będzie nowa ustawa o ochronie danych osobowych, która aktualnie jest na etapie projektu. Obecny projekt zakłada m.in.:

  1. Zastąpienie dobrych praktyk wydanych przez Prezesa UODO rekomendacjami. W rekomendacjach mogą się pojawić wskazania co do elementów polityki bezpieczeństwa, wymogów częstotliwości zmiany hasła itp. Rekomendacja mają być konsultowane z przedstawicielami branż, do których będą adresowane

  2. Zmianę w zakresie odpowiedzialności karnej za złamanie przepisów o ochronie danych osobowych. Wg projektu istnieć będą tylko 2 rodzaje przestępstw: udaremnianie lub utrudnianie kontroli Prezesa UODO oraz przetwarzanie bez podstawy prawnej danych sensytywnych wymienionych w art. 9 RODO

  3. Zgłoszenia inspektorów ochrony danych (IOD) będą mogły być dokonywane w formie elektronicznej z wykorzystaniem elektronicznego podpisu kwalifikowanego bądź podpisu potwierdzonego profilem zaufanym ePUAP

  4. Certyfikację prowadzić będzie Prezes UODO. Opłata za jego przeprowadzenie to trzykrotność przeciętego miesięcznego wynagrodzenia za pracę (ok.12 tys. zł)

  5. Prezes UODO będzie mógł działać z własnej inicjatywy, jak i w wyniku złożenia skargi. W przypadku skargi Prezes UODO będzie mógł: nałożyć karę finansową, udzielić upomnienia lub nakazać ograniczenie przetwarzania danych przez administratora

  6. Uregulowanie procedury kontrolnej. Zapewniono m.in., że kontrola może trwać maksymalnie 1 miesiąc; postępowania kontrolne będą mogły być niezapowiadane

  7. Dochodzenie roszczeń z tytułu ochrony danych osobowych na drodze cywilnej (sprawy będą prowadzone przez sądy okręgowe)