Uncategorized
Zgodnie z art. 32 i motywem 83 rozporządzenia ogólnego jednym z najbardziej istotnych elementów wpływających na przetwarzanie danych jest ocena ryzyka. Oczywiście może przyjąć podejście ilościowe lub jakościowe do ryzyka, budując kolejny mocno sformalizowany katalog zamierzeń wymagający nakładu czasu i użycia zasobów. Wykonanie analiz ryzyka, jego ocena i szacowanie przynoszą wielu Administratorom wiele trudności wynikających z :
a) braku adekwatnej metodyki analizy ryzyka, idącej bardzo daleko w kierunku teorii ryzyka,
b) nieadekwatnego katalogu ryzyka i podatności,
c) kolejnej formalizacji w organizacji,
d) niezrozumienia roli oceny ( szacowania ryzyka) w procesach przetwarzania danych.
W konsekwencji w części organizacji robimy ocenę ryzyka… Czytaj dalej
Wielu pracodawców mierzy się obecnie z istotnym wyzwaniem jakim jest właściwa organizacja pracy zdalnej. W organizacjach, posiadających doświadczanie w takiej organizacji pracy nie jest to problem zasadniczy a jedynie bieżące analizowanie ryzyka i modyfikowanie przyjętych wcześniej polityk oraz procedur wewnętrznych. Warto zaznaczyć, że sposób wykonywania pracy zdalnej nie jest tożsamy z definicją telepracy w rozumieniu art. 675 § 1 KP.
Praca zdalna jest istotnym wyzwaniem dla podmiotów nie posiadających takiego doświadczenia, dla których bezpieczeństwo informacji do tej pory nie zafunkcjonowało w kulturze organizacyjnej a także opracowano i wdrożono wewnętrznych procedur i polityk bezpieczeństwa informatycznego. Nie dostrzegli potrzeby przeanalizowania wprowadzenia przepisów… Czytaj dalej
Praktyka stosowania rozporządzenia ogólnego RODO przynosi administratorom szereg nieoczekiwanych problemów związanych ze stosowaniem powierzania danych zgodnie z art. 28. Wskazana tam dominacja administratora opisana w art.1 cyt: „Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą” pozostaje bardzo często w konflikcie z jednoznacznym stanowiskiem podmiotu przetwarzającego, szczególnie z branży informatycznej dostawców oprogramowania o zasięgu ogólnopolskim. W zasadzie można byłoby taką sytuację spuentować ….albo na naszych warunkach, albo kupcie sobie inne… Czytaj dalej
W świetle dyskusji nad poziomem wdrożenia przepisów RODO warto podjąć dyskusję nad stworzeniem jednolitego dokumentu określającego pozycję i rolę Inspektora Ochrony Danych. Wielokrotnie poruszany problem niezależności IOD, jego kompetencji oraz relacji z Administratorem jest dużym wyzwaniem stosowania przepisów rozporządzenia #rodo. W wielu przypadkach IOD jest pracownikiem obarczonym wewnętrznymi przepisami organizacji w zakresie obowiązków i uprawnień, planów urlopów itd. Niekiedy też staje się menagerem ochrony danych, wykonawcą administracyjnym wielu czynności związanym z dokumentacją ochrony danych. A w świetle art. 39 ma być audytorem, czyli działać obiektywnie i niezależnie oraz oceniać proces zgodności działań z RODO.
Uważam, że jest to dzisiejsze wyzwanie dla Urzędu Ochrony Danych Osobowych.
Leszek Malinowski
trener Event Szkolenia i Consulting
Urząd Ochrony Danych Osobowych nałożył już szereg kar, w tym karę pieniężną dla organu jednostki samorządowej.
Czego dotyczy | Wysokość Zł | Wysokość Euro |
Obowiązek informacyjny | Ok.1 mln zł | 220 tys. Euro |
Nielegalne przetwarzanie PESEL | 55 tys. Zł | 13 tys. Euro |
Niewłaściwe zabezpieczenie techniczne i organizacyjne | Ok. 2,8 mln zł | 660 tys. Euro |
Niewłaściwe zabezpieczenie techniczne i organizacyjne | Ok. 2, mln zł | 440 tys. Euro |
Prowadzenie BIP, niewłaściwe powierzenie danych | 40 tys. |
Statystyka skrg była dynamiczna i przedstawiała się nastepująco:
Do maja 2018 – 1000 skarg
31.12.2018 – 4000 skarg
Rok 2019 – 7500 skarg
„Podręcznik Inspektora Ochrony Danych” to zbiór wytycznych dla IOD dotyczących sposobu zapewnienia zgodności z ogólnym rozporządzeniem o ochronie danych (RODO).
dostęp internetowy:
Wytyczne w sprawie przejrzystości na mocy rozporządzenia 2016/679.
Wytyczne dotyczące ustalenia wiodącego organu nadzorczego właściwego dla administratora lub podmiotu przetwarzającego.
Wytyczne dotyczące inspektorów ochrony danych (‘DPO’) Wytyczne dotyczące prawa do przenoszenia danych
Wytyczne w sprawie oceny skutków dla ochrony danych.
Wytyczne w sprawie powiadomień o naruszeniu ochrony danych osobowych na mocy rozporządzenia 2016/679.
Wytyczne w sprawie powiadomień o naruszeniu ochrony danych osobowych na mocy rozporządzenia 2016/679.
Inspektorzy Ochrony Danych wyznaczeni przez Administratorów na podstawie ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości mają od dnia 05.06.2019 r. nowe obowiązki.
http://prawo.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20190001041
Pod podanym niżej linkiem można zapoznać się z pierwszymi decyzjami Prezesa Urzędu ochrony danych w związku ze stosowaniem przepisów rozporządzenia ogólnego.
Rzeczpospolita w dniu 25.03.2019 roku podała następującą informację :
We wtorek Edyta Bielak-Jomaa, prezes Urzędu Ochrony Danych Osobowych ogłosi informację o nałożeniu pierwszej kary za nieprawidłowe przetwarzanie danych osobowych. Rzeczpospolita jako pierwsza dotarła do szczegółów tego postępowania. Z decyzji wydanej 15 marca wynika, że warszawska spółka gromadząca ogólnodostępne w Internecie dane osób prowadzących działalność podane przez nich w CEiDG KRS, GUS, CEPiK, Monitorze Sądowym i Gospodarczym tworzyła z tego bazy danych pozwalające na weryfikację wiarygodności tych podmiotów.