REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Wdrożenie RODO - problemy prawne i informatyczne

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
RK Legal
Od 18 lat wspieramy biznes naszych klientów
Wdrożenie RODO - problemy prawne i informatyczne
Wdrożenie RODO - problemy prawne i informatyczne

REKLAMA

REKLAMA

Od wejścia w życie RODO minął już ponad miesiąc, ale temat wdrożenia odpowiednich procedur wciąż jest jednym z najpopularniejszych w przedsiębiorstwach. Nadal brakuje jednoznacznych odpowiedzi na wiele pytań, a część rozwiązań jest dopiero wypracowywana m.in. przez powołaną przy Ministerstwie Cyfryzacji Grupę Roboczą ds. RODO. Większość zainteresowanych tematyką skupia się jednak na rozwiązaniach prawnych – przygotowaniu odpowiednich formułek i zgód dla klientów. Tymczasem większość danych przetwarzana jest dziś głównie w systemach informatycznych i to od nich powinniśmy zacząć przygotowanie do wdrożenia RODO w każdej firmie.

RODO rewolucja?

Wbrew panującej w ostatnich miesiącach RODO-gorączce, już według przepisów obowiązujących przed 25 maja 2018 roku każdy administrator danych był zobowiązany do posiadania i praktycznego stosowania polityki bezpieczeństwa danych osobowych oraz instrukcji zarządzania systemami informatycznymi. W praktyce instrukcja ta była opisem środków technicznych i organizacyjnych służących do zapewnienia bezpieczeństwa danych osobowych. Dotyczyła więc głównie spraw związanych z IT.

REKLAMA

Autopromocja

REKLAMA

Krzysztof Podolski, head of IT Department w kancelarii RK Legal przypomina, że już w 2007 r. GIODO (czyli poprzednik dzisiejszego PUODO) opublikował na stronie dokument „ABC zasad bezpieczeństwa przetwarzania danych osobowych przy użyciu systemów informatycznych” (https://giodo.gov.pl/487/id_art/3910/j/pl):

Można tam znaleźć bardzo praktyczne informacje i zalecenia dla ochrony systemów informatycznych. Chociaż RODO w oczywisty sposób zmienia kilka poprzednich regulacji, jak np.: zniesienie konieczność zgłaszania zbiorów danych osobowych do UODO, to jednak bez zmian pozostają fundamenty działania systemów informatycznych: poufność, integralność, dostępność oraz rozliczalność. Choć publikacja po-chodzi z 2007 roku to jednak jasno wskazuje jakie są rekomendacje urzędu w wielu podstawowych aspektach, jak np.: złożoność haseł czy czas ich wygasania. W podstawowych kwestiach technicznych związanych z IT, RODO nie wprowadza rewolucji. Wiele przedsiębiorstw, które miały już wdrożone odpowiednie procedury, musi po wejściu w życie Rozporządzenia, dokonać korekty w swojej dokumentacji, ale absolutnie nie musi jej tworzyć od początku.

Polecamy: WARSZTAT: BIZNES z RODO Jak efektywnie funkcjonować w nowych realiach prawnych

Dalszy ciąg materiału pod wideo

Polecamy: INFORLEX Biznes

Nowe systemy, a zasady prywatności

To co zmienia dotychczasowe podejście do przetwarzania danych osobowych w systemach IT, to wprowadzenie zasad: „Privacy by desgin” i „Privacy by default”. Obydwie z nich oznaczają, że już na etapie tworzenia i wdrażania systemów, konieczne jest wbudowanie mechanizmów ochrony danych osobowych, które muszą być domyślnie zaimplementowane od początku ich stosowania. Istotnym elementem obu reguł jest także ograniczenie zbierania nadmiarowych danych. Oznacza to, że firmy mogą gromadzić i posługiwać się jedynie tymi danymi, które są niezbędne do prowadzenia ich działalności.

Prawo do bycia zapomnianym

REKLAMA

Firmy, na mocy RODO, są zobowiązane do umożliwienia osobom, których dane przechowują i przetwarzają w swoich zbiorach m.in. skorzystania z prawa do bycia zapomnianym. W praktyce oznacza to, że możemy zażądać usunięcia wszystkich danych na nasz temat, np.: z bazy systemu hotelowego po zakończeniu swojego pobytu.

Należy jednak pamiętać o tym, że nigdy nie znikniemy od razu ze wszystkich systemów. Inne przepisy prawa pozwalają lub wręcz nakazują przechowywać nasze dane nawet przez kilka czy kilkanaście lat. Na przykład ustawa o podatku od towarów i usług, nakłada konieczność przechowywania dokumentów na potrzeby kontroli przez okres 5 lat. Takie przepisy zapewniają przedsiębiorcom przesłankę legalizującą zbieranie danych i pozwalają przetwarzać je tak długo, jak wynika to z odrębnych regulacji – podkreśla Krzysztof Podolski, z kancelarii RK Legal

Zmiany w systemach informatycznych po wejściu w życie RODO

RODO w swym założeniu nie narzuca żadnych konkretnych środków bezpieczeństwa (systemów czy konkretnych programów), jakie musi wdrożyć organizacja, aby zabezpieczać dane osobowe w systemach IT. Jednak, aby zminimalizować ryzyko naruszenia praw i wolności osób fizycznych w myśl art. 32 Rozporządzenia należy stosować, np:

  • pseudonimizację, szyfrowanie oraz anonimizację danych osobowych,
  • zapewnienie poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
  • możliwość szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Pomimo dużego poziomu ogólności jakie występują w Rozporządzeniu, kluczowa zmiana polega na wprowadzeniu wprost zapisów o procesie ciągłej aktualizacji posiadanych procedur i dostosowania ich do zmieniających się wyzwań i zagrożeń bezpieczeństwa – podkreśla Krzysztof Podolski, z kancelarii RK Legal


Instrukcja przetwarzania danych w systemach informatycznych

W ocenie Krzysztofa Podolskiego, szefa Departamentu IT w kancelarii RK Legal najskuteczniejszym sposobem zapewnienia zgodności z przepisami RODO jest wdrożenie Instrukcji przetwarzania danych w systemach informatycznych. Taki dokument pozwala w jednym miejscu zebrać wszelkie konieczne zasady, procedury i instrukcje, które dotyczą bezpieczeństwa danych osobowych w systemach IT, m.in:

  • Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności
  • Opis stosowanych metod i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem
  • Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu
  • Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania
  • Sposobu, miejsca oraz okresu przechowywania:
    • elektronicznych nośników informacji zawierających dane osobowe 
    • kopii zapasowych
  • Sposobów zabezpieczenia systemu informatycznego przed działalnością szkodliwego oprogramowania oraz dostępu do sieci Internet
  • Sposobu odnotowywania informacji przez systemy informatyczne o operacjach przeprowadzanych przez użytkownika na danych osobowych
  • Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służą-cych do przetwarzania danych
  • Procedurę zarządzania incydentami w systemach informatycznych
  • Procedury dotyczące bezpieczeństwa fizycznego oraz systemów monitoringu

Należy jednak pamiętać, że wdrożenie polityki bezpieczeństwa danych osobowych i instrukcji zarządzania danymi w systemach informatycznych to dopiero początek drogi dla każdej organizacji. Wszelkie dokumenty i procedury muszą być regularnie sprawdzane i aktualizowane, gdyż w każdej organizacji wraz z upływem czasu następują zmiany w procesach biznesowych. Aktualizacja zmian powinna odbywać się przynajmniej raz w roku przy okazji rekomendowanych przeglądów rocznych całości dokumentacji dotyczących bezpieczeństwa danych osobowych przetwarzanych w przedsiębiorstwie – dodaje Podolski.

Zapisz się na newsletter
Chcesz uniknąć błędów? Być na czasie z najnowszymi zmianami w podatkach? Zapisz się na nasz newsletter i otrzymuj rzetelne informacje prosto na swoją skrzynkę.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

REKLAMA

Księgowość
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Uproszczenia w podatku od spadków i darowizn. Nowe przepisy coraz bliżej wejścia w życie

Senat przyjął nowelizację ustawy o podatku od spadków i darowizn. Nowe przepisy mają uprościć formalności przy sprzedaży majątku otrzymanego od najbliższej rodziny oraz zlikwidować comiesięczne deklaracje podatkowe przy rentach prywatnych. Ustawa wraca teraz do Sejmu.

Zaczynasz działalność gospodarczą? Tak można obniżyć składki ZUS na początku działania firmy [komunikat ZUS]

Rozpoczęcie własnej działalności gospodarczej wiąże się z kosztami, szczególnie na starcie. Dlatego początkujący przedsiębiorcy mogą skorzystać z ulg, które pozwalają płacić niższe składki na ubezpieczenia społeczne albo nie płacić ich wcale. Do najważniejszych form wsparcia należą: ulga na start, preferencyjne składki, „Mały ZUS Plus” czy wakacje składkowe.

Darowizna dla córki z konta firmowego taty: Czy taki przelew korzysta ze zwolnienia podatkowego? KIS wyjaśnia

Skarbówka potwierdził, że przekazanie środków pieniężnych bezpośrednio z konta firmowego spółki, której darczyńca jest wspólnikiem, na konto obdarowanego – przy spełnieniu ustawowych formalności – może korzystać ze zwolnienia z podatku od darowizn. To jest dobra wiadomość dla podatników.

Ulga dla spadkobierców i przejrzystość dla podatników. Nowości w ustawie podatku od spadków i darowizn już wkrótce

Jest projekt nowelizacji ustawy o podatku od spadków i darowizn, który umożliwi przywrócenie terminu zgłoszenia spadku w wyjątkowych przypadkach oraz doprecyzuje moment powstania obowiązku podatkowego. Zmiany mają uprościć procedury, zwiększyć przejrzystość i wspierać sukcesję firm rodzinnych.

REKLAMA

KSeF 2.0: firmy będą miały tylko 4 miesiące na testy. Co warto zrobić już teraz?

W czerwcu 2025 r. – zgodnie z harmonogramem – Ministerstwo Finansów udostępniło dokumentację interfejsu API KSeF 2.0. Jest to jednak materiał dla integratorów systemów i dostawców oprogramowania. Firmy wciąż czekają na udostępnienie środowiska testowego, które zaplanowano na koniec września. Konkretne testy będą więc mogły zacząć się dopiero w październiku. Tymczasem obowiązek korzystania z Krajowego Systemu e-Faktur dla części firm wchodzi już w lutym – oznacza to niewiele czasu na przygotowanie.

Projekt ustawy wdrażającej obowiązkowy KSeF po pierwszym czytaniu w Sejmie. Co się zmienia? [komentarz eksperta]

W dniu 9 lipca 2025 r., Sejm przeprowadził pierwsze czytanie i skierował do prac w komisji finansów projekt ustawy zakładającej wdrożenie obowiązkowego Krajowego Systemu e-Faktur (KSeF). Wszystkie kluby i koła poselskie zapowiedziały dalsze prace nad projektem. Prace legislacyjne wchodzą w końcową fazę. Z coraz większą pewnością możemy więc stwierdzić, że obowiązkowy KSeF będzie wdrażany w dwóch etapach - od 1 lutego 2026 i od 1 kwietnia 2026 r.

Podatek u źródła 2025: Objaśnienia podatkowe ministra finansów dot. statusu rzeczywistego właściciela. Praktyczne szanse i nieoczywiste zagrożenia

Po latach oczekiwań i licznych postulatach ze strony środowisk doradczych oraz biznesowych, Ministerstwo Finansów opublikowało długo zapowiadane objaśnienia dotyczące statusu rzeczywistego właściciela w kontekście podatku u źródła (WHT). Teraz nadszedł czas, by bardziej szczegółowo przyjrzeć się poszczególnym zagadnieniom. Dokument z 3 lipca 2025 r., opublikowany na stronie MF 9 lipca, ma na celu rozwianie wieloletnich wątpliwości dotyczących stosowania klauzuli „beneficial owner”. Choć sam fakt publikacji należy ocenić jako krok w stronę większej przejrzystości i przewidywalności, nie wszystkie zapisy spełniły oczekiwania.

Polski podatek cyfrowy jeszcze w tym roku? Rząd nie ogląda się na Brukselę

Choć Komisja Europejska wycofała się z planów nałożenia podatku cyfrowego, Polska idzie własną drogą. Minister cyfryzacji Krzysztof Gawkowski zapowiada, że projekt ustawy będzie gotowy do końca roku.

REKLAMA

KSeF 2026: koniec z papierowymi fakturami, zmiany w obiegu dokumentów i obsłudze procesu sprzedaży w firmie

W przyszłym roku w Polsce zostanie uruchomiony obowiązkowy system fakturowania za pomocą Krajowego Systemu e-Faktur (KSeF). Obowiązek ten wejdzie w życie na początku 2026 roku i wynika z procedowanego w Parlamencie projektu ustawy o zmianie ustawy o podatku od towarów i usług. Aktualny postęp prac legislacyjnych nad projektem, oznaczonym numerem druku 1407, można śledzić na stronach Sejmu.

Składki ZUS dla małych firm w 2025 roku - preferencje: ulga na start, mały ZUS plus i wakacje składkowe

Ulga na start, preferencyjne składki, czy „Mały ZUS plus”, a także wakacje składkowe – to propozycje wsparcia dla małych przedsiębiorców. Korzyści to możliwość opłacania niższych składek lub ich brak. Warto też zwrócić uwagę na konsekwencje z tym związane. ZUS tłumaczy kto i z jakich ulg może skorzystać oraz jakie są zagrożenia z tym związane.

REKLAMA