Wspieramy Karkonoską Grupę GOPR
Spotkajmy się na szklaku
Art.28 w ust.3 wskazuje , że oprócz umowy powierzenia, proces ten może się odbywać na podstawie innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego. Pozostaje zatem wątpliwość jakie wymogi w świetle art.28 taki instrument musi spełnić i jak wygląda praktyka w tym zakresie. Tworzenie mechanizmów porozumień czy też porozumień administracyjnych zawierających wszelkie postanowienia art. 28 uważam za nieporozumienie. #RODO #powierzanie #umowy
Podczas prowadzonych warsztatów i szkoleń z Inspektorami Ochrony Danych wskazywałem na braki w zakresie przypisania dla tych czynności niezbędnych kompetencji. Niezbędnym dostawca takich informacji jest dokładne prześledzenie zadań IOD zapisanych w art. 39 ust. 1 lit.b RODO w brzmieniu : „monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty”. A zatem kompetencja audytora wypływa wprost z zapisów rozporządzenia ogólnego i wymaga od osób wykonujących czynności IOD doskonalenia… Czytaj dalej
Jednym z podstawowych elementów jakim musieli stawić czoła pracodawcy w obliczu pandemii było podjęcie decyzji o pracy zdalnej w obliczu pandemii, jako elementu podnoszącego poziom ochrony zdrowia pracowników przy jednoczesnym kontunuowaniu działalności. Dla niektórych środowisk praca zdalna została narzucona przez akty prawne ( np. edukacja). W tej sytuacji warto podjąć się analizy roli Inspektora Ochrony Danych w podmiotach zobowiązanych do stosowania przepisów rozporządzenia ogólnego podczas przetwarzania danych w pracy zdalnej.
Po pierwsze warto zaznaczyć, że musi być to rola aktywna, gdyż obecny stan nie zwalnia podmioty z odpowiedzialności za ochronę danych osobowych, w tym nie zawiesza odpowiedzialności opisanej w rozporządzeniu… Czytaj dalej
Zgodnie z art. 32 i motywem 83 rozporządzenia ogólnego jednym z najbardziej istotnych elementów wpływających na przetwarzanie danych jest ocena ryzyka. Oczywiście może przyjąć podejście ilościowe lub jakościowe do ryzyka, budując kolejny mocno sformalizowany katalog zamierzeń wymagający nakładu czasu i użycia zasobów. Wykonanie analiz ryzyka, jego ocena i szacowanie przynoszą wielu Administratorom wiele trudności wynikających z :
a) braku adekwatnej metodyki analizy ryzyka, idącej bardzo daleko w kierunku teorii ryzyka,
b) nieadekwatnego katalogu ryzyka i podatności,
c) kolejnej formalizacji w organizacji,
d) niezrozumienia roli oceny ( szacowania ryzyka) w procesach przetwarzania danych.
W konsekwencji w części organizacji robimy ocenę ryzyka… Czytaj dalej
Wielu pracodawców mierzy się obecnie z istotnym wyzwaniem jakim jest właściwa organizacja pracy zdalnej. W organizacjach, posiadających doświadczanie w takiej organizacji pracy nie jest to problem zasadniczy a jedynie bieżące analizowanie ryzyka i modyfikowanie przyjętych wcześniej polityk oraz procedur wewnętrznych. Warto zaznaczyć, że sposób wykonywania pracy zdalnej nie jest tożsamy z definicją telepracy w rozumieniu art. 675 § 1 KP.
Praca zdalna jest istotnym wyzwaniem dla podmiotów nie posiadających takiego doświadczenia, dla których bezpieczeństwo informacji do tej pory nie zafunkcjonowało w kulturze organizacyjnej a także opracowano i wdrożono wewnętrznych procedur i polityk bezpieczeństwa informatycznego. Nie dostrzegli potrzeby przeanalizowania wprowadzenia przepisów… Czytaj dalej
Praktyka stosowania rozporządzenia ogólnego RODO przynosi administratorom szereg nieoczekiwanych problemów związanych ze stosowaniem powierzania danych zgodnie z art. 28. Wskazana tam dominacja administratora opisana w art.1 cyt: „Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą” pozostaje bardzo często w konflikcie z jednoznacznym stanowiskiem podmiotu przetwarzającego, szczególnie z branży informatycznej dostawców oprogramowania o zasięgu ogólnopolskim. W zasadzie można byłoby taką sytuację spuentować ….albo na naszych warunkach, albo kupcie sobie inne… Czytaj dalej
W świetle dyskusji nad poziomem wdrożenia przepisów RODO warto podjąć dyskusję nad stworzeniem jednolitego dokumentu określającego pozycję i rolę Inspektora Ochrony Danych. Wielokrotnie poruszany problem niezależności IOD, jego kompetencji oraz relacji z Administratorem jest dużym wyzwaniem stosowania przepisów rozporządzenia #rodo. W wielu przypadkach IOD jest pracownikiem obarczonym wewnętrznymi przepisami organizacji w zakresie obowiązków i uprawnień, planów urlopów itd. Niekiedy też staje się menagerem ochrony danych, wykonawcą administracyjnym wielu czynności związanym z dokumentacją ochrony danych. A w świetle art. 39 ma być audytorem, czyli działać obiektywnie i niezależnie oraz oceniać proces zgodności działań z RODO.
Uważam, że jest to dzisiejsze wyzwanie dla Urzędu Ochrony Danych Osobowych.
Leszek Malinowski
trener Event Szkolenia i Consulting
Urząd Ochrony Danych Osobowych nałożył już szereg kar, w tym karę pieniężną dla organu jednostki samorządowej.
| Czego dotyczy | Wysokość Zł | Wysokość Euro |
| Obowiązek informacyjny | Ok.1 mln zł | 220 tys. Euro |
| Nielegalne przetwarzanie PESEL | 55 tys. Zł | 13 tys. Euro |
| Niewłaściwe zabezpieczenie techniczne i organizacyjne | Ok. 2,8 mln zł | 660 tys. Euro |
| Niewłaściwe zabezpieczenie techniczne i organizacyjne | Ok. 2, mln zł | 440 tys. Euro |
| Prowadzenie BIP, niewłaściwe powierzenie danych | 40 tys. |
Statystyka skrg była dynamiczna i przedstawiała się nastepująco:
Do maja 2018 – 1000 skarg
31.12.2018 – 4000 skarg
Rok 2019 – 7500 skarg
„Podręcznik Inspektora Ochrony Danych” to zbiór wytycznych dla IOD dotyczących sposobu zapewnienia zgodności z ogólnym rozporządzeniem o ochronie danych (RODO).
dostęp internetowy:
Wytyczne w sprawie przejrzystości na mocy rozporządzenia 2016/679.
Wytyczne dotyczące ustalenia wiodącego organu nadzorczego właściwego dla administratora lub podmiotu przetwarzającego.
Wytyczne dotyczące inspektorów ochrony danych (‘DPO’) Wytyczne dotyczące prawa do przenoszenia danych
Wytyczne w sprawie oceny skutków dla ochrony danych.
Wytyczne w sprawie powiadomień o naruszeniu ochrony danych osobowych na mocy rozporządzenia 2016/679.
Wytyczne w sprawie powiadomień o naruszeniu ochrony danych osobowych na mocy rozporządzenia 2016/679.