Tematy - RODO, Ochrona danych osobowych - INFOR.PL

Dostrzegając rynkową potrzebę wsparcia firm w zakresie możliwości wykazania spełnienia wymogów nowego unijnego Rozporządzenia Ogólnego o Ochronie Danych (RODO), które będzie w pełni stosowane od 25 maja 2018 r., Polskie Centrum Badań i Certyfikacji przy współpracy z Rödl & Partner i Cybercom Poland zdecydowały się na rozpoczęcie wspólnej inicjatywy zmierzającej do certyfikacji firm (administratorów danych i podmiotów przetwarzających) w zakresie ochrony danych osobowych pod kątem RODO.

Ministerstwo Cyfryzacji opublikowało na witrynie internetowej Rządowego Centrum Legislacji projekt nowej ustawy o ochronie danych osobowych, której podstawowym celem jest implementacja RODO do polskiego porządku prawnego. Projekt znajduje się w fazie konsultacji publicznych, można się więc spodziewać, że zajdą w nim jeszcze pewne zmiany. Przedsiębiorstwa mają czas na przygotowanie się do nowych regulacji do maja 2018 r.

Unijne Rozporządzenie o Ochronie Danych Osobowych (RODO) oznacza dla przedsiębiorców rewolucję, wprowadza bowiem szeroki wachlarz zmian i nowych obowiązków, których niedopełnienie podlegać będzie dotkliwym karom. Od dnia 25 maja 2018 r. każdy administrator danych podlegać będzie nowym przepisom, które ujednolicą regulacje prawne dotyczące ochrony danych osobowych w całej Unii Europejskiej.

Nowe przepisy o ochronie danych osobowych, które zaczną obowiązywać od maja 2018 roku, przewidują stworzenie branżowych kodeksów postępowania w tym zakresie. Mają ułatwić administratorom wdrażanie i stosowanie się do nowej regulacji, która na poziomie przyjętej dyrektywy jest dość ogólna. Kodeksy nie będą obowiązkowe, ale w razie kontroli lub incydentów naruszenia bezpieczeństwa mogą zapewnić przychylność GIODO. Część branż już przesłała je do zaopiniowania.

Horrendalne kary finansowe, którymi Unia straszy podmioty przetwarzające dane osobowe, spędzają sen z powiek wielu administratorom danych. Dotychczasowe procedury przetwarzania i formułki działające pod starą ustawą mogą nie wystarczyć pod rządami RODO. Z pomocą przedsiębiorcom spieszą organizacje sektorowe, tworząc kodeksy postępowania.

Od maja 2018 roku, czyli od wejścia w życie nowych unijnych przepisów, kary dla przedsiębiorców za naruszenie ochrony danych osobowych będą znacznie bardziej dotkliwe niż obecnie. Choć na przygotowanie firmy mają coraz mniej czasu, 23 proc. z nich nie ma świadomości wprowadzenia koniecznych zmian – wynika z badań Fundacji Wiedza to Bezpieczeństwo. 42 proc. badanych twierdzi, że w ich firmach nigdy nie doszło do incydentu naruszenia danych.

Z dniem 25 maja 2018 r. zacznie obowiązywać Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, zwane potocznie RODO. Rozporządzenie, z racji jego bezpośredniego stosowania w krajach członkowskich UE, ujednolici przepisy dotyczące ochrony danych osobowych na terenie Unii (obecnie każde państwo unijne w ramach prawodawstwa krajowego ma własne uregulowania dotyczące ochrony danych osobowych).

Jednoinstancyjność postępowania czy pozbawienie stron środków zaskarżenia w przypadku niektórych postanowień to tylko niektóre z uproszczeń, jakie zostały zaproponowane w projekcie procedury w sprawie naruszenia przepisów o ochronie danych osobowych. Ich zasadność, szczególnie tych wspomnianych, może jednak budzić bardzo poważne wątpliwości.

RODO – czyli Rozporządzenie Ogólne o Ochronie Danych – ma ujednolicić poziom ochrony danych i zapewnić poczucie pewności prawnej w zakresie przetwarzania danych osobowych we wszystkich krajach Unii Europejskiej. RODO nakłada też nowe obowiązki na przedsiębiorców. Z uwagi na dotkliwe kary administracyjne za nieprzestrzeganie postanowień RODO, warto już teraz przygotować się do nadchodzących regulacji.

Model postępowania przed prezesem nowego urzędu w sprawie naruszenia przepisów o ochronie danych osobowych, nie zabezpiecza właściwie interesów przedsiębiorców. Wątpliwości budzi możliwość wstrzymania wykonania decyzji urzędu, ale tylko w zakresie dotyczącym administracyjnej kary pieniężnej, nie zaś, np. w sytuacji ograniczenia lub zakazu przetwarzania danych osobowych. Projekt ustawy o ochronie danych osobowych, mimo minusów, stara się jednak wyjść naprzeciw oczekiwaniom przedsiębiorców - uważa Konfederacja Lewiatan.

Jak informuje Stowarzyszenie Polskich Brokerów Ubezpieczeniowych i Reasekuracyjnych ostatnio coraz więcej klientów interesuje się ubezpieczeniem od cyberryzyka (tj. od skutków kradzieży lub wycieku danych, w tym danych osobowych). To zainteresowanie będzie rosło także wskutek zmian w prawie dotyczącym ochrony danych osobowych. Od 2018 roku bowiem wchodzi w życie nowe unijne rozporządzenie Parlamentu Europejskiego i Rady (UE) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (...) - tzw. rozporządzenie GDPR, które nakłada nowe obowiązki na administratorów danych osobowych.

27 kwietnia 2016 r. Parlament Europejski i Rada (UE) przyjęły rozporządzenie numer 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Rozporządzenie zostało opublikowane w Dzienniku Urzędowym Unii Europejskiej w dniu 5 maja 2016 r. Przepisy rozporządzenia znajdą zastosowanie począwszy od dnia 25 maja 2018 r.

Nowe unijne rozporządzenie regulujące zasady ochrony danych osobowych, które ma ujednolicić przepisy obowiązujące w tym zakresie w 28 państwach Unii Europejskiej wejdzie w życie pod koniec maja 2018 roku. Głównym celem nowych przepisów jest zapewnienie większej prywatności podmiotowi danych. Na podmioty przetwarzające dane osobowe będzie nałożonych więcej obowiązków informacyjnych. Podmioty te będą też musiały oceniać wpływ tego przetwarzania na prywatność. Wymaga to m.in. zmian w procedurach korporacyjnych, w tym np. zmian w systemach IT. Podmiotom, które będą naruszać nowe przepisy grozić będą wysokie kary.

Duża część przedsiębiorców wie o unijnych zmianach przepisów w zakresie ochrony danych osobowych. Co trzecia firma nie ma jednak świadomości, ile czasu przewidziano na dostosowanie się do nowych regulacji, a jedynie 15 proc. podjęło jakiekolwiek działania w tym zakresie. Skala zmian, jakie czekają przedsiębiorstwa jest ogromna.

Technologie chmurowe pozwalają nie tylko obniżyć koszty i przyspieszyć niektóre procesy, lecz także zwiększyć bezpieczeństwo przechowywanych danych. Rośnie świadomość przedsiębiorców na temat tych zalet, choć wciąż zbyt mało mówi się o kwestiach prawnych związanych z chmurą. Prawnicy podkreślają, że użytkownicy chmury chronieni są zarówno przez przepisy prawa i umowy międzynarodowe, jak i przez odpowiednie postanowienia w umowach z dostawcami technologii.

Celem compliance jest zapewnienie zgodności działalności przedsiębiorcy z wszelkiego rodzaju normami prawnymi lub przyjętymi standardami. W tym celu wykorzystuje się takie metody jak np. analizy prawne, systemy kontroli jakości, wewnętrzne zasady nadzoru lub monitoring, zwane środkami compliance.

Zgodnie z art. 40 z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, z wyjątkiem przypadków wskazanych w art. 43 ustawy. Podmiotem określonej w przepisie normy prawnej jest każdy administrator danych, przez którego zgodnie z art. 7 pkt 4 ustawy rozumie się organ, jednostkę organizacyjną, podmiot lub osobę fizyczną lub osobę prawną , które decydują o celach i środkach przetwarzania danych osobowych.

Przedstawiamy podsumowanie najważniejszych zmian w polskich przepisach prawnych, które miały miejsce w maju br. Zmiany dotyczą zakresu regulacji dotyczących odnawialnych źródeł energii, wysyłkowej sprzedaży produktów leczniczych, prowadzenia rejestrów zbiorów danych osobowych, ochrony danych osobowych.

W dniu 16 marca 2015 r. Prezydent skierował do Trybunału Konstytucyjnego wniosek w trybie kontroli prewencyjnej w sprawie nowelizacji ustawy prawo o ustroju sądów powszechnych. We wniosku Prezydent zarzucił ustawie niezgodność z konstytucją nowych przepisów, dotyczących uprawnień Ministra Sprawiedliwości w ramach kontroli administracyjnej. Jednym z powodów, dla których wniosek został skierowany, była ochrona danych osobowych. Zdaniem Prezydenta, nowe przepisy mogą spowodować naruszenie prawa do ochrony danych, w tym danych wrażliwych.

Co jakiś czas serwisy informacyjne donoszą o wycieku danych. Problem ten dotyczy zarówno wielkich korporacji, małych firm jak i organów państwa. Niekiedy do utraty informacji dochodzi przez przypadek lub nieuwagę, a innym razem, w efekcie działania hakerów. Czy można się w jakiś sposób bronić przed takim zjawiskiem? W pewnym stopniu tak: np. rozwijając systemy teleinformatyczne.

Coraz częściej „zwykły” użytkownik mediów społecznościowych zaczyna dostrzegać pewną niepokojącą dla siebie korelację. "Zagrałem w jakąś grę na Facebooku, a potem zacząłem dostawać dziwne maile. Jak to się stało? Przecież ja się na nic takiego nie zapisywałem". Z perspektywy osób zajmujących się administrowaniem profili, takie reakcje fanów nie są pożądane. Z drugiej strony, zależy nam na pozyskaniu danych osobowych, adresów mailowych jak największej grupy. Jak zrealizować swój cel zgodnie z prawem i poszanowaniem użytkowników Facebooka?

Coraz częściej podnoszone są głosy, że zgoda jako przesłanka legalizująca przetwarzanie danych jest nadużywana i staje się, nie do końca słusznie, centralną, kluczową przesłanką. Dlatego też, coraz częściej mówi się o potrzebie odwoływania się do pozostałych przesłanek przetwarzania, w tym do przesłanki prawnie usprawiedliwionego celu.

Coraz bardziej popularna staje się instalacja inteligentnych liczników do pomiaru zużycia prądu, wody czy gazu. Jedną z ich podstawowych funkcji jest zdalny odczyt tego zużycia, a następnie przekazanie danych do usługodawcy.

Zdaniem Generalnego Inspektora Danych Osobowych prawnicy są jedną z grup o najsłabszej świadomości na temat tego, jak powinny być zabezpieczone dane osobowe przed nielegalnym dostępem, a część z nich pozostaje w błędnym przekonaniu, że obowiązek zachowania tajemnicy zawodowej zwalnia ich ze stosowania ustawy o ochronie danych osobowych.

Na początku 2015 r. weszła w życie część przepisów ustawy o ułatwieniu wykonywania działalności gospodarczej, w tym m.in. przepisy zmieniające ustawę o ochronie danych osobowych. Podstawowym celem nowelizacji jest poprawienie warunków wykonywania działalności gospodarczej, w tym m.in. poprzez przyjęcie rozwiązań mających zredukować lub względnie uprościć liczne obowiązki spoczywające na przedsiębiorcach. Zmiany objęte nowelizacją dotyczą także obowiązków przedsiębiorców w zakresie ochrony przetwarzania danych osobowych.

Paradoksem internetu - sieci zaprojektowanej do bezpośredniego kontaktu pomiędzy użytkownikami - jest to, że korzystamy z niej głównie za pomocą pośredników w postaci wyszukiwarek, serwisów społecznościowych, czy dostawców poczty elektronicznej. Co to oznacza w praktyce?

Ustawa z 7 listopada 2014 roku o ułatwieniu wykonywania działalności gospodarczej wprowadza od 1 stycznia 2015 r. istotne zmiany w ustawie o ochronie danych osobowych.

W dniu 9 lipca 2014 r. Wojewódzki Sąd Administracyjny w Warszawie wydał ważny dla osób, których wizerunki objęte zostały monitoringiem, wyrok w sprawie o sygn. akt II SA/Wa 2393/13. Istota problemu, z którym zmierzył się sąd, sprowadzała się do rozstrzygnięcia, czy system monitoringu wizyjnego, pozwalający na identyfikację osób fizycznych, jest zbiorem danych osobowych podlegającym przepisom ustawy o ochronie danych osobowych.

O możliwości powierzania mówi art. 31 ustawy o ochronie danych osobowych stanowiąc, że administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Do czego sprowadza się istota powierzenia? Jakie rodzi obowiązki dla stron? Jak kształtuje się podział odpowiedzialności w przypadku skorzystania z niej?

RODO, Ochrona danych osobowych

Certyfikacja administratorów danych i podmiotów przetwarzających – następny krok do zgodności z RODO

Dane osobowe po nowemu, czyli implementacja RODO od 2018 r.

Przedsiębiorcy muszą wdrożyć RODO do 25 maja 2018 r. Jak się przygotować?

GIODO opiniuje pierwsze branżowe kodeksy ochrony danych osobowych

RODO, czyli restrykcyjne przepisy o ochronie danych osobowych i ogromne kary za ich naruszenie

Nowe przepisy o ochronie danych osobowych od maja 2018 roku

RODO a nowe obowiązki dla przedsiębiorców

Projekt procedury w sprawie naruszenia przepisów o ochronie danych osobowych wymaga znaczących poprawek

Nowe przepisy o ochronie danych osobowych (RODO) - co trzeba wiedzieć, jak się przygotować

Firmy obawiają się kar za naruszenie prywatności

Polisy od cyberataków

Reforma ochrony danych osobowych w UE od 25 maja 2018 roku

Ochrona danych osobowych w UE - jednolite przepisy od maja 2018 roku

Firmy muszą wdrożyć nowe przepisy dotyczące danych osobowych

Ochrona danych przechowywanych w chmurze - przepisy i umowy

Compliance w firmie - ochrona danych osobowych

Zgłoszenie danych osobowych

Podsumowanie zmian w prawie w maju 2015 r.

Nowelizacja ustawy o sądach powszechnych narusza zasady ochrony danych osobowych?

Wyciek firmowych danych a bezpieczeństwo teleinformatyczne

Ochrona danych osobowych na Facebooku a działalność gospodarcza

Przesłanka prawnie usprawiedliwionego celu administratora danych – jak z niej korzystać?

Inteligentne sieci a prawo do prywatności

Sprawdź, jak Twój prawnik chroni dane osobowe

Ułatwienia dla przedsiębiorców w zakresie obowiązków związanych z ochroną danych osobowych

Prywatność w internecie – czy to jest w ogóle możliwe?

Ochrona danych osobowych 2015 – zmiana przepisów, nowe obowiązki i nowe korzyści

Monitoring a ochrona danych osobowych

Ochrona danych osobowych przy outsourcingu