REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Wdrożenie RODO - problemy prawne i informatyczne

Kancelaria RK Legal
Od 13 lat wspieramy biznes naszych klientów
Wdrożenie RODO - problemy prawne i informatyczne
Wdrożenie RODO - problemy prawne i informatyczne

REKLAMA

REKLAMA

Od wejścia w życie RODO minął już ponad miesiąc, ale temat wdrożenia odpowiednich procedur wciąż jest jednym z najpopularniejszych w przedsiębiorstwach. Nadal brakuje jednoznacznych odpowiedzi na wiele pytań, a część rozwiązań jest dopiero wypracowywana m.in. przez powołaną przy Ministerstwie Cyfryzacji Grupę Roboczą ds. RODO. Większość zainteresowanych tematyką skupia się jednak na rozwiązaniach prawnych – przygotowaniu odpowiednich formułek i zgód dla klientów. Tymczasem większość danych przetwarzana jest dziś głównie w systemach informatycznych i to od nich powinniśmy zacząć przygotowanie do wdrożenia RODO w każdej firmie.

RODO rewolucja?

Wbrew panującej w ostatnich miesiącach RODO-gorączce, już według przepisów obowiązujących przed 25 maja 2018 roku każdy administrator danych był zobowiązany do posiadania i praktycznego stosowania polityki bezpieczeństwa danych osobowych oraz instrukcji zarządzania systemami informatycznymi. W praktyce instrukcja ta była opisem środków technicznych i organizacyjnych służących do zapewnienia bezpieczeństwa danych osobowych. Dotyczyła więc głównie spraw związanych z IT.

REKLAMA

Autopromocja

Krzysztof Podolski, head of IT Department w kancelarii RK Legal przypomina, że już w 2007 r. GIODO (czyli poprzednik dzisiejszego PUODO) opublikował na stronie dokument „ABC zasad bezpieczeństwa przetwarzania danych osobowych przy użyciu systemów informatycznych” (https://giodo.gov.pl/487/id_art/3910/j/pl):

Można tam znaleźć bardzo praktyczne informacje i zalecenia dla ochrony systemów informatycznych. Chociaż RODO w oczywisty sposób zmienia kilka poprzednich regulacji, jak np.: zniesienie konieczność zgłaszania zbiorów danych osobowych do UODO, to jednak bez zmian pozostają fundamenty działania systemów informatycznych: poufność, integralność, dostępność oraz rozliczalność. Choć publikacja po-chodzi z 2007 roku to jednak jasno wskazuje jakie są rekomendacje urzędu w wielu podstawowych aspektach, jak np.: złożoność haseł czy czas ich wygasania. W podstawowych kwestiach technicznych związanych z IT, RODO nie wprowadza rewolucji. Wiele przedsiębiorstw, które miały już wdrożone odpowiednie procedury, musi po wejściu w życie Rozporządzenia, dokonać korekty w swojej dokumentacji, ale absolutnie nie musi jej tworzyć od początku.

Polecamy: WARSZTAT: BIZNES z RODO Jak efektywnie funkcjonować w nowych realiach prawnych

Dalszy ciąg materiału pod wideo

Polecamy: INFORLEX Biznes

Nowe systemy, a zasady prywatności

To co zmienia dotychczasowe podejście do przetwarzania danych osobowych w systemach IT, to wprowadzenie zasad: „Privacy by desgin” i „Privacy by default”. Obydwie z nich oznaczają, że już na etapie tworzenia i wdrażania systemów, konieczne jest wbudowanie mechanizmów ochrony danych osobowych, które muszą być domyślnie zaimplementowane od początku ich stosowania. Istotnym elementem obu reguł jest także ograniczenie zbierania nadmiarowych danych. Oznacza to, że firmy mogą gromadzić i posługiwać się jedynie tymi danymi, które są niezbędne do prowadzenia ich działalności.

Prawo do bycia zapomnianym

REKLAMA

Firmy, na mocy RODO, są zobowiązane do umożliwienia osobom, których dane przechowują i przetwarzają w swoich zbiorach m.in. skorzystania z prawa do bycia zapomnianym. W praktyce oznacza to, że możemy zażądać usunięcia wszystkich danych na nasz temat, np.: z bazy systemu hotelowego po zakończeniu swojego pobytu.

Należy jednak pamiętać o tym, że nigdy nie znikniemy od razu ze wszystkich systemów. Inne przepisy prawa pozwalają lub wręcz nakazują przechowywać nasze dane nawet przez kilka czy kilkanaście lat. Na przykład ustawa o podatku od towarów i usług, nakłada konieczność przechowywania dokumentów na potrzeby kontroli przez okres 5 lat. Takie przepisy zapewniają przedsiębiorcom przesłankę legalizującą zbieranie danych i pozwalają przetwarzać je tak długo, jak wynika to z odrębnych regulacji – podkreśla Krzysztof Podolski, z kancelarii RK Legal

Zmiany w systemach informatycznych po wejściu w życie RODO

RODO w swym założeniu nie narzuca żadnych konkretnych środków bezpieczeństwa (systemów czy konkretnych programów), jakie musi wdrożyć organizacja, aby zabezpieczać dane osobowe w systemach IT. Jednak, aby zminimalizować ryzyko naruszenia praw i wolności osób fizycznych w myśl art. 32 Rozporządzenia należy stosować, np:

  • pseudonimizację, szyfrowanie oraz anonimizację danych osobowych,
  • zapewnienie poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
  • możliwość szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Pomimo dużego poziomu ogólności jakie występują w Rozporządzeniu, kluczowa zmiana polega na wprowadzeniu wprost zapisów o procesie ciągłej aktualizacji posiadanych procedur i dostosowania ich do zmieniających się wyzwań i zagrożeń bezpieczeństwa – podkreśla Krzysztof Podolski, z kancelarii RK Legal


Instrukcja przetwarzania danych w systemach informatycznych

W ocenie Krzysztofa Podolskiego, szefa Departamentu IT w kancelarii RK Legal najskuteczniejszym sposobem zapewnienia zgodności z przepisami RODO jest wdrożenie Instrukcji przetwarzania danych w systemach informatycznych. Taki dokument pozwala w jednym miejscu zebrać wszelkie konieczne zasady, procedury i instrukcje, które dotyczą bezpieczeństwa danych osobowych w systemach IT, m.in:

  • Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności
  • Opis stosowanych metod i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem
  • Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu
  • Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania
  • Sposobu, miejsca oraz okresu przechowywania:
    • elektronicznych nośników informacji zawierających dane osobowe 
    • kopii zapasowych
  • Sposobów zabezpieczenia systemu informatycznego przed działalnością szkodliwego oprogramowania oraz dostępu do sieci Internet
  • Sposobu odnotowywania informacji przez systemy informatyczne o operacjach przeprowadzanych przez użytkownika na danych osobowych
  • Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służą-cych do przetwarzania danych
  • Procedurę zarządzania incydentami w systemach informatycznych
  • Procedury dotyczące bezpieczeństwa fizycznego oraz systemów monitoringu

Należy jednak pamiętać, że wdrożenie polityki bezpieczeństwa danych osobowych i instrukcji zarządzania danymi w systemach informatycznych to dopiero początek drogi dla każdej organizacji. Wszelkie dokumenty i procedury muszą być regularnie sprawdzane i aktualizowane, gdyż w każdej organizacji wraz z upływem czasu następują zmiany w procesach biznesowych. Aktualizacja zmian powinna odbywać się przynajmniej raz w roku przy okazji rekomendowanych przeglądów rocznych całości dokumentacji dotyczących bezpieczeństwa danych osobowych przetwarzanych w przedsiębiorstwie – dodaje Podolski.

Autopromocja

REKLAMA

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:

REKLAMA

QR Code
Podatek PIT - część 2
certificate
Jak zdobyć Certyfikat:
  • Czytaj artykuły
  • Rozwiązuj testy
  • Zdobądź certyfikat
1/9
Są kosztem uzyskania przychodu:
koszty reprezentacji, w szczególności poniesione na usługi gastronomiczne, zakup żywności oraz napojów, w tym alkoholowych
udzielone pożyczki, w tym stracone pożyczki
wydatki na wystrój wnętrza biurowego nie będące wydatkami reprezentacyjnymi
wpłaty dokonywane do pracowniczych planów kapitałowych, o których mowa w ustawie o pracowniczych planach kapitałowych – od nagród i premii wypłaconych z dochodu po opodatkowaniu podatkiem dochodowym
Następne
Księgowość
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Znaczenie ESG w zatrudnianiu osób z niepełnosprawnościami. Od kiedy i jak wdrażać nowe przepisy?

Od 2024 roku duże przedsiębiorstwa publiczne w Unii Europejskiej, takie jak spółki giełdowe, banki oraz zakłady ubezpieczeń, zostaną zobligowane do raportowania kwestii środowiskowych, społecznych oraz związanych z zarządzaniem (ESG) na mocy nowych wytycznych dyrektywy CSRD. 

Uszkodzenie towarów w transporcie lub niedostarczenie ich na czas. Kiedy przewoźnik może się powołać na siłę wyższą? Prawo przewozowe, Konwencja CMR, kodeks cywilny

Klęski żywiołowe takie jak powódź, śnieżyce, nawalne opady deszczu, zamknięcie granicy, strajki, zamieszki i inne tego typu nadzwyczajne zdarzenia mogą spowodować problemy z transportem towarów, w tym z dostarczeniem ich na czas bądź utratą lub uszkodzeniem. Przewoźnik nie ma wpływu na ich wystąpienie i nie jest w stanie zapobiec ich konsekwencjom. Czy takie okoliczności dają podstawy do powołania się na siłę wyższą?

InPost startuje z bezpośrednimi przesyłkami z Polski do maszyn Paczkomat® lub punktu PUDO w 7 europejskich krajach

Grupa InPost uruchomiła usługę dostaw międzynarodowych pomiędzy Polską a Francją, Hiszpanią, Portugalią, Włochami, Belgią, Holandią oraz Luksemburgiem (usługa cross network). Umożliwi to zarówno sklepom internetowym, jak i klientom indywidualnym szybką wysyłkę i dostawy za granicę, przy najniższej na rynku cenie. Usługa jest dostępna dla biznesowych i indywidualnych klientów InPost

To już pewne: takie będą wszystkie nowe terminy dotyczące obowiązku e-fakturowania. Jest nowa ustawa o KSeF

5 listopada Ministerstwo Finansów opublikowało rządowy projekt ustawy dotyczący obowiązkowego wystawiania faktur w Krajowym Systemie e-Faktur (KSeF).  W ten sposób realizuje część reformy z Krajowego Planu Odbudowy i Wzmacniania Odporności - KPO. Znane są już wszystkie terminy wdrożenia fakturowania w systemie KSeF.

REKLAMA

Prof. Modzelewski: Dlaczego wdrożenie obowiązkowego KSeF skończy się fiaskiem; nie usunięto zasadniczych błędów faktur ustrukturyzowanych

Opublikowano wreszcie nowelizację nowelizacji przepisów dotyczących faktur ustrukturyzowanych. Wbrew wcześniejszym zapowiedziom Ministra Finansów (które podatnicy przyjęli z ulgą i zadowoleniem), nie usunięto zasadniczych błędów tej koncepcji, a proponowane zmiany mają charakter wręcz kosmetyczny. Czyli dalej forsowany jest absurdalny, kosztowny, szkodliwy politycznie i w sumie niewdrażalny projekt niewiadomego autorstwa, który doprowadzi do całkowitej destrukcji systemu rozliczeń i dokumentowania sprzedaży i zakupów w obrocie gospodarczym – pisze prof. dr hab. Witold Modzelewski z Instytutu Studiów Podatkowych. 

Prof. Modzelewski: Dlaczego wdrożenie obowiązkowego KSeF skończy się fiaskiem; nie usunięto zasadniczych błędów faktur ustrukturyzowanych

Opublikowano wreszcie nowelizację nowelizacji przepisów dotyczących faktur ustrukturyzowanych. Wbrew wcześniejszym zapowiedziom Ministra Finansów (które podatnicy przyjęli z ulgą i zadowoleniem), nie usunięto zasadniczych błędów tej koncepcji, a proponowane zmiany mają charakter wręcz kosmetyczny. Czyli dalej forsowany jest absurdalny, kosztowny, szkodliwy politycznie i w sumie niewdrażalny projekt niewiadomego autorstwa, który doprowadzi do całkowitej destrukcji systemu rozliczeń i dokumentowania sprzedaży i zakupów w obrocie gospodarczym – pisze prof. dr hab. Witold Modzelewski z Instytutu Studiów Podatkowych. 

Wdrażanie ustawy o sygnalistach. Ważna data dla firm: 1 stycznia 2025 r.

Ustawa o sygnalistach weszła w życie 25 września 2024 r. Na jej mocy wiele firm ma obowiązek wyznaczenia osoby, która będzie przyjmowała zgłoszenia wewnętrzne od pracowników. Stan zatrudnienia należy pierwszy raz ustalić na dzień 1 stycznia 2025 r. i również na ten dzień trzeba mieć przygotowaną procedurę zgłoszeń wewnętrznych chroniącą sygnalistów. Dotyczy to tych podmiotów, których dotyczą przepisy ustawy o ochronie sygnalistów z uwagi na zatrudnienie co najmniej 50 osób.

Czy prawo pozwala zwolnić pracownika i zastąpić go sztuczną inteligencją? Adwokat: nie ma specjalnych przepisów ale etat może być zlikwidowany, gdy firma wprowadza automatyzację

Czy pracodawca ma prawo zwolnić pracowników i zastąpić ich przez sztuczną inteligencję? Jak mówi adwokat Marek Jarosiewicz, wspólnik w kancelarii Wódkiewicz & Sosnowski sytuacja jest delikatna, bo sztuczna inteligencja, szczególnie w kontekście rynku pracy, wymaga jeszcze dużego doprecyzowania. – Przedsiębiorca ma prawo unowocześniać procesy w swojej firmie. Z etycznego punktu widzenia jednak powoływanie się na sztuczną inteligencję przy redukcji etatów może być wątpliwe – przyznaje mecenas Jarosiewicz. 

REKLAMA

Koniec realnych zysków z lokat bankowych. W 2025 r. inflacja będzie spadała szybciej niż stopy procentowe?

Zanotowane we wrześniu 2024 r. przyspieszenie inflacji to zła informacja dla oszczędzających na lokatach bankowych. Osoby posiadające przeciętne lokaty w bankach znowu zaczynają realnie tracić, czyli przegrywać z inflacją. Oprocentowanie depozytów przestaje bowiem chronić siłę nabywczą zaoszczędzonych pieniędzy przed zgubnym działaniem inflacji. Dalsze przyspieszenie inflacji i spodziewane obniżki stóp procentowych to scenariusz, który działa na niekorzyść bankowych ciułaczy.

Jak działa ulga na zabytki? Można odliczyć wpłaty na fundusz remontowy, ale też wydatki na prace konserwatorskie, restauratorskie i roboty budowlane przy zabytku nieruchomym wpisanym do rejestru zabytków

Ulga na zabytki to forma preferencji podatkowej dostępna dla podatników PIT, którzy rozliczają się według skali podatkowej, podatku liniowego lub ryczałtu. Aby móc z niej skorzystać, konieczne jest posiadanie statusu właściciela lub współwłaściciela zabytkowej nieruchomości. Można odliczyć wpłat na fundusz remontowy oraz wydatki na prace konserwatorskie, restauratorskie i roboty budowlane.

REKLAMA