Piątek, 15 lutego 2019
Strona główna
Masz pytania? Infolinia RODO:
22 487 86 70 lub +48 724 570 436

Promocje Pokaż/ukryj

PAKIET UE (RODO): DOKUMENTACJA + E-SZKOLENIE Z CERTYFIKACJĄ 5 OSÓB + CONSULTING PRAWNY - 199 zł + 23% VAT
199 PLN 799 PLN

Biura rachunkowe - Pakiet RODO: Dokumentacja + E-szkolenie z Certyfikacją 5 osób + Rejestry Czynności + Consulting Prawny - 189 zł +23% VAT
189 PLN 750 PLN

Szkolenie RODO VIP - 25 lutego 2019 r. Warszawa - z pakietem dokumentacji + konsulting + e-szkolenie 10 osób - 399 zł +23% VAT
399 PLN 1190 PLN





Business Woman in Office

Jeśli mają Państwo pytania dotyczące oferty zapraszamy na infolinię, pon.- pt. w godz. 9 -17, tel.: 22 487-86-70 lub +48 724 570 436

Dział Sprzedaży:

zapytanie@rbdo.pl

Dział Prawny:
faq@rbdo.pl

Biuro RBDO
ul. Kopalniana 22a/7
01-321 Warszawa
NIP: 118-165-16-57
Regon: 140741937



OCHRONA DANYCH OSOBOWYCH UE: (2) Nowe procedury wprowadzone przez rozporządzenie z 27 kwietnia 2016

ebooka) Terytorialny zakres zastosowania

Doprecyzowany został określony w art. 3 rozporządzenia terytorialny zakres zastosowania – gdzie jako bardzo szerokie kryterium określono działalność prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego dane w Unii – ale niezależnie od tego, czy samo przetwarzanie odbywa się w Unii. Podstawowym zatem kryterium kwalifikującym dany podmiot pod unijne prawo ochrony danych jest wykonywanie działalności na terenie jakiegokolwiek państwa członkowskiego, chociażby samo
przetwarzanie miało miejsce już poza UE. Art. 3 ust. 2 rozporządzenia precyzuje, że wystarczy by sama czynność przetwarzania była choćby związana z „oferowaniem towarów lub usług” osobom przebywającym na terenie Unii lub monitorowaniem zachowania osób przebywających na terenie Unii, by przepisy rozporządzenia miały zastosowanie do podmiotu prowadzącego taką działalność.

b) Rozróżnienie skali działalności

Za właściwy kierunek uznać należy zawarte w ustępie 13 preambuły rozróżnienie na kategorię mikroprzedsiębiorstw (a także małych i średnich) jako podmiotów zatrudniających mniej niż 250 pracowników, co do których powinny znaleźć zastosowanie mniej rygorystyczne wymogi, w tym przypadku dotyczące „rejestrowania czynności przetwarzania”.

Dodać należy, że brak rozróżnienia pod względem skali prowadzonej działalności był jedną z największych wad dotychczasowego stanu prawnego, wystarczy zwrócić uwagę na fakt, że w rozumieniu polskiej ustawy bez względu na to, czy administrator przetwarza dane np. miliona klientów, czy stu klientów – jest on takim samym administratorem danych, który musi spełnić dokładnie te same wymagania od strony formalnej (pomijając przepisy regulujące specyficzne branże), w nowym unijnym rozporządzeniu co prawda ten problem nie został całkowicie rozwiązany, ale już samo dostrzeżenie problemu różnic w skali działalności należy uznać za krok w dobrym kierunku.

Sam „próg” zatrudnienia 250 pracowników ściśle jest związany z określonym w art. 30 rozporządzenia obowiązkiem „rejestrowania czynności przetwarzania”, o nczym poniżej. Otwarte pozostaje pytanie, czy stworzone przez rozporządzenie możliwości przyjęcia odrębnych „kodeksów postępowania” stworzonych w myśl art. 40 rozporządzenia np. na potrzeby specyficznej grupy drobnych przedsiębiorców działających w określonej branży wpłyną na ułatwieniewykonywania poszczególnych obowiązków wynikających z rozporządzenia – właśnie w kontekście skali prowadzonej działalności. By to stwierdzić, należy jednak poczekać na praktykę zatwierdzania przez organy nadzorujące
konkretnych kodeksów postępowania.

Pewien problem interpretacyjny może też sprawiać zawarte między innymi w art. 37 kryterium „przetwarzania danych na dużą skalę”, czego niestety nie doprecyzowano w rozporządzeniu, a stanowi jedno z kryteriów przesądzających o zaistnieniu obowiązku wyznaczenia inspektora ochrony danych, lub braku takiego obowiązku.

c) Obowiązek „rejestrowania czynności przetwarzania”

Art. 30 rozporządzenia wprowadza obowiązek prowadzenia przez administratora
danych „rejestru czynności przetwarzania”, który zawiera:

• imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych

• cele przetwarzania;

• opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;

• kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;

• gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;

• jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;

• jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust.1 rozporządzenia (między innymi stosowanie zatwierdzonego kodeksu postępowania, o którym mowa w art. 40 lub zatwierdzonego mechanizmu certyfikacji)

Kto ma obowiązek prowadzenia „rejestru czynności przetwarzania” ?

• Przedsiębiorca lub podmiot zatrudniający powyżej 250 osób

• Przedsiębiorca lub podmiot zatrudniający mniej niż 250 osób, jeżeli”

– przetwarzanie, którego dokonuje, może powodować ryzyko naruszenia praw
lub wolności osób, których dane dotyczą

– przetwarzanie nie ma charakteru sporadycznego

– obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust 1 rozporządzenia (pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne, a także dane dotyczących zdrowia, seksualności lub orientacji seksualnej). Oraz dane, o których mowa w art. 10 rozporządzenia (dane o naruszeniach prawa i wyrokach skazujących)

W praktyce może się okazać problematyczne, w jaki sposób należy interpretować sformułowanie o „sporadycznym charakterze” przetwarzania. Czy np. przypadku sprzedaży internetowej do niezarejestrowanych kupujących będzie można jeszcze mówić o „sporadyczności”, ale już w przypadku częstej praktyki polegającej na umożliwieniu klientom zakładania własnych kont, profili na serwisie sprzedażowym będzie to wykluczone.

d) Obowiązek zgłoszenia naruszenia ochrony danych osobowych do organu
nadzorczego

Art. 33 ust. 1 rozporządzenie nakłada na administratora obowiązek niezwłocznego zgłoszenia do organu nadzorczego (w Polsce GIODO) naruszenia ochrony danych osobowych. Takie zgłoszenie administrator musi wykonać niezwłocznie, ale nie później niż w 72 godziny po stwierdzeniu naruszenia (a gdy administrator przekroczy ten termin, administrator musi do zgłoszenia dołączyć wyjaśnienie przyczyn
opóźnienia).

Zgłoszenia nie należy dokonywać, jeżeli jest „mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych” – a zatem to na administratorze będzie ciążył ciężar oceny wraz z odpowiedzialnością z tym związaną (ocena prawdopodobieństwa ryzyka naruszenia praw lub wolności). Należy także pamiętać, że administrator jest zobowiązany do dokumentowania wszelkich naruszeń ochrony danych osobowych w ramach swojej dokumentacji wewnętrznej (niezależnie od tego czy dane naruszenia podlegało zgłoszeniu, czy nie). Jeżeli ryzyko naruszenia praw i wolności danej osoby jest wysokie administrator musi poinformować także tą osobę, chyba że zachodzą wyjątki przewidziane w art. 34 ust. 3 rozporządzenia.

e) Ogólne obowiązki administratora danych osobowych

Art. 35 rozporządzenia wprowadza obowiązek dokonywania „oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych” w sytuacjach, gdy dany rodzaj przetwarzania ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. W praktyce natomiast należy spodziewać się wydania przez GIODO w związku z ustępami 4 oraz 5 wspomnianego artykułu podania do publicznej wiadomości wykazów rodzajów operacji przetwarzania które pod taki obowiązek będą podlegały, oraz takich, których przetwarzanie z takimi obowiązkami nie będzie się wiązało.

Efektem oceny, o której mówi wyżej wymieniony przepis może być skierowanie przez administratora wniosku o konsultacje, co do którego GIODO będzie miał obowiązek ustosunkować się w terminie nie dłuższym niż 8 tygodni ( z możliwością przedłużenia tego terminu maksymalnie o dodatkowe 6 tygodni).

Art. 24 rozporządzenia nakłada na administratora danych obowiązek wdrożenia „odpowiednich środków technicznych i organizacyjnych” – by przetwarzanie odbywało się zgodnie z rozporządzeniem i aby móc to wykazać. Dalej rozporządzenie wskazuje, że o ile jest to „proporcjonalne” jako wyżej wymienione środki należy rozumieć „przyjęcie odpowiednich polityk ochrony danych”. Natomiast jako rozwiązanie związane z minimalizacją potencjalnego ryzyka polegającego na tym, że w danym przypadku środki przyjęte przez danego administratora mogły by zostać uznane za niewystarczające, w art. 24 ust.  3 przewiduje możliwość stosowania:

– zatwierdzonych kodeksów postępowania, o których mowa w art. 40 rozporządzenia
lub
– zatwierdzonego mechanizmu certyfikacji, o którym mowa w 42 rozporządzenia

f) Zatwierdzone kodeksy postępowania, oraz monitorowanie zatwierdzonych kodeksów postępowania przez podmioty akredytowane przez właściwy organ nadzorczy. Artykuł 40 i 41 rozporządzenia.

Z uwagi na specyfikę różnych sektorów działalności, często charakteryzujących się wyjątkowymi, właściwymi dla siebie zasadami postępowania, ale także uwzględniając szczególne potrzeby mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw, rozporządzenie przewiduje w art. 40 możliwość tworzenia „kodeksów postępowania”.

Kodeksy postępowania rozporządzenie dzieli na dwie kategorie:

• zatwierdzone kodeksy postępowania w trybie art. 40 ust. 5 rozporząd zenia (zatwierdzenia będzie dokonywał organ nadzorczy, a więc w Polsce GIODO, po przedłożeniu projektu kodeksu), zatwierdzony kodeks postępowania będzie przez GIODO rejestrowany i publikowany

• powszechnie obowiązujące kodeksy postępowania zgodnie z art. 40 ust. 9 rozporządzenia to takie kodeksy postępowania, które zostały w drodze aktu wykonawczego Komisji Europejskiej uznane za powszechnie obowiązujące w całej Unii – może to mieć miejsce jeżeli np. GIODO, w związku ze stwierdzeniem, że kodeks dotyczy postępowania w więcej niż jednym państwie członkowskim przekaże go przed zatwierdzeniem do Europejskiej Rady Ochrony Danych, która to rada następnie (w przypadku wydania pozytywnej opinii) przekaże go  Komisji Europejskiej

Co ciekawe, monitorowaniem przestrzegania zatwierdzonych kodeksów postępowania będzie mógł się zajmować nie tylko GIODO, ale także podmiot, który został przez GIODO akredytowany – taki podmiot posiadający akredytację będzie mógł zawiesić lub wykluczyć danego administratora lub podmiot przetwarzający z grona podmiotów stosujących kodeks, przy czym będzie jedynie musiał poinformować o tym GIODO, jako organ nadzorczy.

g) Proces dobrowolnej certyfikacji oraz podmioty certyfikujące certyfikacji także organ ochrony). Wprowadzenie „Europejskiego jakości ochrony danych”

Alternatywną do przyjmowania zatwierdzonych kodeksów postępowania przyjęcie dobrowolnego zatwierdzonego mechanizmu certyfikacji oraz jakości.

Certyfikacji dokonuje albo podmiot akredytowany (przez GIODO krajową jednostkę akredytującą), albo GIODO jako organ nadzorczy podstawie ustalonych kryteriów (a jeżeli te kryteria są zatwierdzone Europejską Radę Ochrony Danych, może to skutkować „europejskim jakości ochrony danych” jako efektem „wspólnej certyfikacji”.)

Administrator (lub podmiot przetwarzający) w celu uzyskania certyfikacji udzielić podmiotowi dokonującemu certyfikacji wszelkich informacji wszelkiego dostępu do swoich czynności przetwarzania, które dostęp są niezbędne do przeprowadzenia procedury certyfikacji.

Certyfikacji można dokonać na maksymalny okres 3 lat, po nastąpić jej przedłużenie lub

Akredytacja podmiotów certyfikujących:

Warunki uzyskania akredytacji do dokonywania certyfikacji rozporządzenie art. 43 ust. 2 określa jako:

– wykazanie w sposób satysfakcjonujący wykazały właściwemu organowi nadzorczemu
swojej niezależność i wiedzy fachowej w dziedzinie podlegającej certyfikacji;

– zobowiązanie się do przestrzegania właściwych kryteriów mechanizmu certyfikacji,
zatwierdzonego przez organ nadzorczy dysponowanie procedurami wydawania, okresowego przeglądu i cofa nią certyfikacji, znaków jakości i oznaczeń w dziedzinie ochrony danych;

– dysponowanie procedurami i strukturami, które pozwalają rozpatrywać skarg i na naruszenie warunków certyfikacji przez administratora lub podmiot przetwarzający lub na sposób wdrożenia lub wdrażania certyfikac ji przez administratora lub podmiot przetwarzający, oraz które zapewniają przejrzystość tych procedur i struktur dla osób, których dane dotyczą, i opinii publicznej;

oraz

– wykazanie w sposób satysfakcjonujący organowi nadzorczemu, ż e ich
zadania i obowiązki nie powodują konfliktu interesów.

h) Wyznaczenie wewnętrznego inspektora ochrony danych


Rozporządzenie nie posługuje się nazwą znaną z polskiej ustawy z 1997 roku –
„administratora bezpieczeństwa informacji – ABI”, a sformułowaniem „inspektor
ochrony danych”.

Wyznaczenie wewnętrznego inspektora ochrony danych jest w rozumieniu art.
37 rozporządzenia obligatoryjne następujących przypadkach:

– przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w
zakresie sprawowania przez nie wymiaru sprawiedliwości;

– główna działalność administratora lub podmiotu przetwarzającego polega na
operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele
wymagają regularnego i systematycznego monitorowania osób, których dane
dotyczą, na dużą skalę, lub

– główna działalność administratora lub podmiotu przetwarzającego polega na
przetwarzaniu na dużą skalę szczególnych kategorii danych osobowyc h, o
których mowa w art. 9 ust. 1 rozporządzenia, oraz danych o sobowych
dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10
rozporządzenia.

Na uwagę zasługuje fakt (przy utożsamieniu obecnego pojęcia ABI a pojęciem inspektora ochrony), że rozporządzenie może położyć kres obecnie stosowanej praktyce „masowego ABI” tzn. osoby, która podejmuje się pełnienia funkcji ABI w kilkudziesięciu różnych podmiotach.

Powyższa konkluzja wynika z faktu, że rozporządzenie wyraźnie zastrzega wyjątkowe sytuacje, w których kilka podmiotów może wyznaczyć jednego inspektora, dotyczą one wyłącznie:

– w ramach grupy przedsiębiorstw (ale tylko pod warunkiem, że można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej), której definicja znajduje się w art. 4 oraz precyzowana jest w preambule do rozporządzenia

– w organie lub podmiocie publicznym ( ale tylko z uwzględnieniem struktury organizacyjnej i wielkości)

– zrzeszenia lub podmioty reprezentujące określone kategorie administratorów (ale tylko w sytuacji, gdy nie zachodzą przesłanki określone w art. 37 ust. 1

i) Uregulowanie wieku pozwalającego na wyrażenie zgody na przetwarzanie
danych w celu „usług społeczeństwa informacyjnego”.

Rozporządzenie w art. 8 odnosząc się do „usług społeczeństwa informacyjnego” bezwzględnie zakazuje przetwarzania danych osobowych dzieci (jeżeli podstawą przetwarzania ma być zgoda, a nie np. realizacja zawartej umowy) poniżej 13 lat bez uzyskania zgody (lub jej zaaprobowania) rodzica lub opiekuna prawnego (domyślnie rozporządzenie ustala tą granicę na lat 16, ale zezwala państwu członkowskiemu na obniżenie tego wieku do 13 lat), i jednocześnie nakłada na administratora (np. operatora serwisu internetowego pozyskującego zgody) „podjęcie rozsądnych starań, by zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała”.

Jednocześnie, rozporządzenie ustala, że osoba po ukończeniu 16 roku życia może sama wyrazić zgodę na przetwarzanie jej danych osobowych w przypadku usług społeczeństwa informacyjnego i nie jest konieczne jej zaaprobowanie przez jej opiekuna prawnego – państwo członkowskie natomiast nie może tej granicy podwyższyć (może ją jedynie obniżyć do 13 roku życia).


Autor materiału:

kcieniakKarol Cieniak – Dyrektor Działu Prawnego RBDO, Specjalizacja ochrona danych, rejestracja zbiorów, audyty systemów przetwarzania danych osobowych

Absolwent prawa Akademii Leona Koźmińskiego w Warszawie. Bogate, kilkuletnie doświadczenie w zakresie doradztwa i wdrożeń z ochrony danych osobowych w spółkach, korporacjach oraz instytucjach.

Kilkaset zrealizowanych wdrożeń, audytów oraz dziesiątki szkoleń gwarantuje najwyższe kompetencje z zakresu ochrony danych osobowych.

Źródło:
W przypadku cytowania artykułu prosimy o bezwzględne zamieszczenie poniższych danych:

Wszelkie Prawa zastrzeżone – RBDO.PL
Rejestracja i Bezpieczeństwo Danych Osobowych
www.rbdo.pl

Po wejściu w życie rozporządzenia UE – kary za brak procedur przetwarzania danych wzrosną do 4% przychodu za ubiegły rok a ilość kontroli znacznie się zwiększy!

Już teraz warto poznać przegląd zmian jakie czekają na firmy po okresie vacatio legis rozporządzenia:

  • Czy Twoja firma będzie zobligowana do powołania Inspektora Ochrony Danych?
  • Jakie procedury będą obowiązywały –  np. zgłoszenie incydentu do 72 godzin!
  • Jakie nowe terminy i organy powołuje rozporządzenie unijne?

NIE MASZ PEWNOŚCI CZY TWOJA FIRMA SPEŁNIŁA OBOWIĄZKI OCHRONY DANYCH


Rekomendujemy wdrożenie jednego z poniższych wariantów, w zależności od Państwa potrzeb:

CDa) podstawowy element wymagany w niemal każej firmie i jednostce orgaznizacyjnej  – Dokumentacja ochrony danych dla firm, szkół lub organizacji – w ofercie za 99 zł netto + 23% VAT

b) jesli posiadasz dodatkowo zbiory podlegające rejestracji do GIODO  – zamów Dokumentację z Instrukcją zgłoszenia do GIODO – w ofercie za 149 zł netto + 23% VAT

c) jeśli chcesz zlecić audyt i rejestrację zbiorów prawnikowi wówczas zamów audyt z dokumentacją i rejestracją zbiorów do GIODO – 699 zł netto + 23% VAT

d) jeśli szukasz kompleksowej usługi ze szkoleniem wyznaczonej osoby – wówczas zamów kompleksowe wdrożenie ze szkoleniem + 12 m-cy wsparcia prawnego – 2690 z ł netto + 23% VAT


W przypadku pytań zapraszamy do kontaktu pod mailem: biuro@rbdo.pl lub numerem infolinii czynnej od poniedziałku do piątku w odz. 9 – 17.:  (22) 487 86 70


OBEJRZYJ VIDEO KANCELARII RBDO Z PREZENTACJĄ OFERTY


Zaufali nam m.in.

Zapytaj o wdrożenie

Infolinia
Jeśli potrzebują Państwo więcej informacji jakie wdrożenie wybrać, prosimy o kontakt na infolinię (czynna 9-17) lub przesłanie wiadomości przez formularz.

Infolinia: 222-905-320
Na Państwa pytanie odpowiemy w ciągu najbliższych godzin.
Zapewniamy Państwu najwyższą jakość usług. Do każdego zamówienia zapewniamy wsparcie prawnika - bez żadanego limitu!

Zaufało nam już ponad 5000 firm, instytucji i jednostek organizacyjnych!
Zapraszamy do współpracy!