Stosowanie rodo w księgowości obowiązki w zakresie ochrony danych osobowych

Transkrypt

1 Stosowanie rodo w księgowości obowiązki w zakresie ochrony danych osobowych Prowadzący: dr Dariusz Wasiak i mgr inż. Tomasz Radziszewski Leximum Jabłoński i Wspólnicy sp. z o.o. sp. k.

2 Dzień dobry: kontrola i co dalej? (1) Ustawa z dnia 10 marca 2018 r. o ochronie danych osobowych (DzU z 2018 r., poz ze zm.) stanowi, że: Kontrolę przeprowadza upoważniony przez Prezesa Urzędu Ochrony Danych Osobowych: pracownik Urzędu, członek lub pracownik organu nadzorczego państwa członkowskiego Unii Europejskiej w przypadku, o którym mowa w art. 62 rozporządzenia 2016/679, zwany kontrolującym (art. 79 ust. 1 uodo). Kontrolę przeprowadza się po okazaniu imiennego upoważnienia wraz z legitymacją służbową, a w przypadku kontrolującego, o którym mowa w art. 79 ust. 1 pkt 2, po okazaniu imiennego upoważnienia wraz z dokumentem potwierdzającym tożsamość (art. 81 ust. 1 uodo).

3 Dzień dobry: kontrola i co dalej? (2) Rada Ministrów określi, w drodze rozporządzenia, wzór legitymacji służbowej pracownika Urzędu, mając na względzie potrzebę zapewnienia możliwości identyfikacji osób uprawnionych do przeprowadzania kontroli oraz wykonywania innych czynności służbowych (art. 47 uodo). Dotychczasowe przepisy wykonawcze wydane na podstawie art. 22a ustawy uchylanej w art. 175 zachowują moc do dnia wejścia w życie przepisów wykonawczych wydanych na podstawie art. 47 niniejszej ustawy, jednak nie dłużej niż 12 miesięcy od dnia jej wejścia w życie (art. 165 uodo).

4 Dzień dobry: kontrola i co dalej? (3) Imienne upoważnienie do przeprowadzenia kontroli zawiera: wskazanie podstawy prawnej przeprowadzenia kontroli; oznaczenie organu; imię i nazwisko, stanowisko służbowe kontrolującego oraz numer legitymacji służbowej, a w przypadku kontrolującego, o którym mowa w art. 79 ust. 1 pkt 2, imię i nazwisko oraz numer dokumentu potwierdzającego tożsamość; określenie zakresu przedmiotowego kontroli; oznaczenie kontrolowanego; wskazanie daty rozpoczęcia i przewidywanego terminu zakończenia czynności kontrolnych; podpis Prezesa Urzędu; pouczenie kontrolowanego o jego prawach i obowiązkach; datę i miejsce wystawienia upoważnienia.

5 Dzień dobry: kontrola i co dalej? (4) Kontrolujący ma prawo: wstępu w godzinach od 6.00 do na grunt oraz do budynków, lokali lub innych pomieszczeń; wglądu do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli; przeprowadzać oględziny miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych; żądać złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchiwać w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu faktycznego; zlecać sporządzanie ekspertyz i opinii.

6 Dzień dobry: kontrola i co dalej? (5) W celu realizacji swoich zadań Prezes Urzędu ma prawo dostępu do informacji objętych tajemnicą prawnie chronioną, chyba że przepisy szczególne stanowią inaczej (art. 64). Prezes Urzędu może upoważnić do udziału w kontroli osobę posiadającą wiedzę specjalistyczną, jeżeli przeprowadzenie czynności kontrolnych wymaga takiej wiedzy. Przepisy art. 80 i art. 81 ust. 2 stosuje się (art. 82 ust. 1 uodo).

7 Dzień dobry: kontrola i co dalej? (6) Strona może zastrzec informacje, dokumenty lub ich części zawierające tajemnicę przedsiębiorstwa, przedstawiane Prezesowi Urzędu. W takim przypadku strona jest obowiązana przedstawić Prezesowi Urzędu również wersję dokumentu niezawierającą informacji objętych zastrzeżeniem (art. 65 ust. 1 uodo). W przypadku nieprzedstawienia wersji dokumentu niezawierającej informacji objętych zastrzeżeniem zastrzeżenie uważa się za nieskuteczne. Prezes Urzędu może uchylić zastrzeżenie, w drodze decyzji, jeżeli uzna, że informacje, dokumenty lub ich części nie spełniają przesłanek do objęcia ich tajemnicą przedsiębiorstwa.

8 Dzień dobry: kontrola i co dalej? (7) Czynności kontrolnych dokonuje się w obecności kontrolowanego lub osoby przez niego upoważnionej. Kontrolowany jest obowiązany do pisemnego wskazania osoby upoważnionej do reprezentowania go w trakcie kontroli (art. 83 ust. 1 2 uodo).

9 Dzień dobry: kontrola i co dalej? (8) W razie nieobecności kontrolowanego lub osoby przez niego upoważnionej upoważnienie do przeprowadzenia kontroli oraz legitymacja służbowa lub dokument potwierdzający tożsamość mogą być okazane: osobie czynnej w lokalu przedsiębiorstwa w rozumieniu art. 97 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny lub przywołanemu świadkowi, jeżeli jest funkcjonariuszem publicznym w rozumieniu art ustawy z dnia 6 czerwca 1997 r. Kodeks karny, niebędącemu pracownikiem Urzędu albo osobą, o której mowa w art. 80 ust. 1 (art. 83 ust. 3 uodo).

10 Dzień dobry: kontrola i co dalej? (9) W uzasadnionych przypadkach przebieg kontroli lub poszczególne czynności w jej toku, po uprzednim poinformowaniu kontrolowanego, mogą być utrwalane przy pomocy urządzeń rejestrujących obraz lub dźwięk. Informatyczne nośniki danych (w rozumieniu ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne), na których zarejestrowano przebieg kontroli lub poszczególne czynności w jej toku, stanowią załącznik do protokołu kontroli (art. 84 ust. 4 uodo).

11 Dzień dobry: kontrola i co dalej? (10) W razie jakichkolwiek wątpliwości należy potwierdzić kontrolę w UODO, choćby telefonicznie!!! w szczególności te niezapowiedziane. Wynika to z obowiązku, o którym mowa w art. 25 rodo.

12 Dane Dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ( osobie, której dane dotyczą ). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie takiego identyfikatora, jak: imię i nazwisko; numer identyfikacyjny; dane o lokalizacji; identyfikator internetowy; jeden lub kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

13 Przetwarzanie danych Przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany. Do operacji tych zalicza się: zbieranie; utrwalanie; organizowanie, porządkowanie; przechowywanie; adaptowanie lub modyfikowanie; pobieranie; przeglądanie; wykorzystywanie; ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie; dopasowywanie lub łączenie; ograniczanie; usuwanie lub niszczenie (art. 4 rodo)

14 Zmiany wprowadzone przez rodo w sektorze finansów publicznych Ustawa z dnia 29 września 1994 r. o rachunkowości (tekst jedn. DzU z 2018 r., poz. 395 ze zm.). Ustawa z dnia 27 sierpnia 2009 r. o finansach publicznych (tekst jedn. DzU z 2017 r., poz ze zm.). Ustawa z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (tekst jedn. DzU z 2018 r., poz. 217 ze zm.). Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy (tekst jedn. DzU z 2018 r., poz. 917 ze zm.). Ustawa z dnia 10 stycznia 2018 r. o zmianie niektórych ustaw w związku ze skróceniem okresu przechowywania akt pracowniczych oraz ich elektronizacją (DzU z 2018 r., poz. 357). Krajowe standardy rachunkowości?

15 Typowe naruszenia ochrony danych w księgowości Do typowych i niestety wciąż aktualnych naruszeń ochrony danych należy zaliczyć : brak szkoleń stanowiskowych pracowników; niezabezpieczenie dokumentacji; dostęp do pomieszczeń pod nieobecność urzędnika; niewłaściwy sposób niszczenia dokumentów; udostępnianie informacji osobom nieuprawnionym; przesyłanie i odbieranie informacji za pośrednictwem otwartych i; pracę zabieraną do domu ; brak identyfikacji użytkownika systemu udostępnianie haseł; wymianę informacji z koleżanką lub kolegą z pracy; a także np. przenoszenie dokumentów, w tym nośników pomiędzy budynkami lub pokojami;..

16 Niezbędne składowe polityki bezpieczeństwa danych Zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych (motyw 26 rodo). Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa wyżej, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych (art. 24 rodo).

17 Legalność przetwarzania danych (1) Ochrona wynikająca z rodo powinna mieć zastosowanie do osób fizycznych niezależnie od ich obywatelstwa czy miejsca zamieszkania w związku z przetwarzaniem ich danych osobowych. Przepisy rodo nie dotyczą przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej (motyw 14 rodo).

18 Legalność przetwarzania danych (2) Wszelkie przetwarzanie danych osobowych powinno być zgodne z prawem i rzetelne (motyw 39 rodo, art. 5 7 rodo). Szczególnej ochrony danych osobowych wymagają dzieci, gdyż mogą one być mniej świadome ryzyka, konsekwencji, zabezpieczeń i praw przysługujących im w związku z przetwarzaniem danych osobowych (motyw 38 rodo). Przepisy rodo nie mają zastosowania do danych osobowych osób zmarłych. Państwa członkowskie mogą przyjąć przepisy o przetwarzaniu danych osobowych osób zmarłych (motyw 27 rodo).

19 Legalność przetwarzania danych (3) Przepisy rodo mają zastosowanie między innymi do działań sądów i innych organów wymiaru sprawiedliwości, niemniej prawo Unii lub prawo państwa członkowskiego może doprecyzować operacje i procedury przetwarzania danych osobowych przez sądy i inne organy wymiaru sprawiedliwości. Właściwość organów nadzorczych nie powinna dotyczyć przetwarzania danych osobowych przez sądy w ramach sprawowania wymiaru sprawiedliwości tak by chronić niezawisłość sprawowania wymiaru sprawiedliwości (motyw 20 rodo).

20 Legalność przetwarzania danych (4) Przepisy rodo nie mają zastosowania do przetwarzania danych osobowych przez osobę fizyczną w ramach działalności czysto osobistej lub domowej, czyli bez związku z działalnością zawodową lub handlową. Działalność osobista lub domowa może między innymi polegać na korespondencji i przechowywaniu adresów, podtrzymywaniu więzi społecznych oraz działalności internetowej podejmowanej w ramach takiej działalności. Przepisy rodo mają jednak zastosowanie do administratorów lub podmiotów przetwarzających, którzy udostępniają środki przetwarzania danych osobowych na potrzeby takiej działalności osobistej lub domowej (motyw 18 rodo).

21 Zasada rozliczalności Administrator jest odpowiedzialny za przestrzeganie przepisów rodo i musi być w stanie wykazać ich przestrzeganie ( rozliczalność ) (art. 5 rodo). Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych (art. 7 rodo).

22 Podstawy przetwarzania danych Art. 6 rodo dane tzw. zwykłe. Art. 9 rodo dane szczególnej kategorii (sensytywne): szczególne kategorie danych osobowych zasługujące na większą ochronę powinny być przetwarzane do celów zdrowotnych wyłącznie w przypadkach, gdy jest to niezbędne do realizacji tych celów z korzyścią dla osób fizycznych i ogółu społeczeństwa (motyw 53 rodo); z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego niezbędne może być przetwarzanie szczególnych kategorii danych osobowych bez zgody osoby, której dane dotyczą (motyw 54 rodo); przetwarzanie danych osobowych przez organy publiczne do celów określonych w prawie konstytucyjnym lub prawie międzynarodowym publicznym oficjalnie uznanych związków wyznaniowych odbywa się w interesie publicznym (motyw 55 rodo); Art. 9 ust. 2 rodo. Art. 10 rodo dane o naruszeniach prawa w zgodzie z art. 6 ust. 1 rodo.

23 Dane szczególnej kategorii (1) Do danych dotyczących zdrowia należy zaliczyć wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą. Do danych takich należą: informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej; numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby fizycznej do celów zdrowotnych; informacje pochodzące z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych; wszelkie informacje, na przykład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła, którym może być na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne in vitro (motyw 35 rodo).

24 Dane szczególnej kategorii (2) Zdrowie publiczne w kontekście działań władzy publicznej należy interpretować jako wszystkie elementy związane ze zdrowiem, mianowicie: stan zdrowia, w tym zachorowalność i niepełnosprawność; czynniki warunkujące stan zdrowia; potrzeby w zakresie opieki zdrowotnej; zasoby opieki zdrowotnej; oferowane usługi opieki zdrowotnej i powszechny dostęp do nich; wydatki na opiekę zdrowotną i sposób jej finansowania oraz przyczyny zgonów. Przetwarzanie danych dotyczących zdrowia z uwagi na względy interesu publicznego nie powinno skutkować przetwarzaniem danych osobowych do innych celów przez strony trzecie, takie jak pracodawcy czy zakłady ubezpieczeń i banki (motyw 54 rodo).

25 Dane szczególnej kategorii (3) Dane dotyczące zdrowia oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej (w tym o korzystaniu z usług opieki zdrowotnej) ujawniające informacje o stanie jej zdrowia (art. 4 pkt 15 rodo). Dane genetyczne należy zdefiniować jako dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, uzyskane z analizy próbki biologicznej danej osoby fizycznej, w szczególności z analizy chromosomów, kwasu dezoksyrybonukleinowego (DNA) lub kwasu rybonukleinowego (RNA) lub z analizy innych elementów umożliwiających pozyskanie równoważnych informacji.

26 Upoważnienia do przetwarzania danych Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego (art. 29 rodo).

27 Obowiązek informacyjny Art. 11 rodo Art. 13 rodo Art. 14 rodo

28 Obowiązek informacyjny a zawierane umowy Modelowy proces realizacji obowiązku informacyjnego w związku z zawartymi umowami z uwzględnieniem wyłączeń, o których mowa w art. 13 i 14 rodo.

29 Umowa powierzenia przetwarzania danych Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które: podlegają prawu Unii lub prawu państwa członkowskiego; wiążą podmiot przetwarzający i administratora; określają przedmiot i czas trwania przetwarzania; określają charakter i cel przetwarzania; określają rodzaj danych osobowych; określają kategorie osób, których dane dotyczą; określają obowiązki i prawa administratora (art. 28 rodo).

30 Udostępnianie danych Organy publiczne, którym ujawnia się dane osobowe w związku z ich prawnym obowiązkiem sprawowania funkcji publicznej (takich jak organy podatkowe, organy celne, finansowe jednostki analityki finansowej, niezależne organy administracyjne czy organy rynków finansowych regulujące i nadzorujące rynki papierów wartościowych), nie powinny być traktowane jako odbiorcy, jeżeli otrzymane przez nie dane osobowe są im niezbędne do przeprowadzenia określonego postępowania w interesie ogólnym zgodnie z prawem Unii lub prawem państwa członkowskiego. Żądanie ujawnienia danych osobowych, z którym występują takie organy publiczne, powinno zawsze mieć formę pisemną, być uzasadnione, mieć charakter wyjątkowy, nie powinno dotyczyć całego zbioru danych ani prowadzić do połączenia zbiorów danych. Przetwarzając otrzymane dane osobowe, takie organy powinny przestrzegać mających zastosowanie przepisów o ochronie danych, zgodnie z celami przetwarzania (motyw 31 rodo).

31 Nowy pracownik Modelowy proces wprowadzenia nowego pracownika do organizacji bez szkody dla pracownika i pracodawcy w związku z możliwością wystąpienia naruszeń ochrony danych.

32 Zgoda na przesyłanie faktury Art. 106n ustawy z dnia 11 marca 2004 r. o podatku od towarów i usług (tekst jedn. DzU z 2017 r., poz ze zm.) 1. Stosowanie faktur elektronicznych wymaga akceptacji odbiorcy faktury. 2. W przypadku przesyłania lub udostępniania temu samemu odbiorcy jednocześnie więcej niż jednej faktury elektronicznej dane wspólne dla poszczególnych faktur mogą zostać podane tylko raz, o ile dla każdej faktury są dostępne wszystkie te dane.

33 Kryteria ustalania retencji danych Ustawa z dnia 29 września 1994 r. o rachunkowości (tekst jedn. DzU z 2018 r., poz. 395 ze zm.). Ustawa z dnia 27 sierpnia 2009 r. o finansach publicznych (tekst jedn. DzU z 2017 r., poz ze zm.). Ustawa z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (tekst jedn. DzU z 2018 r., poz. 217 ze zm.). Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy (tekst jedn. DzU z 2018 r., poz. 917 ze zm.). Ustawa z dnia 10 stycznia 2018 r. o zmianie niektórych ustaw w związku ze skróceniem okresu przechowywania akt pracowniczych oraz ich elektronizacją (DzU z 2018 r., poz. 357).

34 Usuwanie danych Modelowy proces usuwania danych przy uwzględnieniu praw jednostki.

35 Niszczenie dokumentacji Skuteczne niszczenie dokumentacji w rozumieniu normy DIN oraz zdefiniowanego procesu w organizacji. Nadmierne niszczenie dokumentów. Podmiot zewnętrzny w procesie niszczenia dokumentów.

36 Monitoring pracowników Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy a ustawa z dnia 10 marca 2018 r. o ochronie danych osobowych i rodo.

37 Monitoring klientów Art. 7, 31, 42, 47, 49, 51 Konstytucji Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r. (DzU nr 78, poz. 483 ze zm.). Art. 6 ust. 1 lit. a, b, c, e, f rodo? Art. 9 ust. 2 lit. b rodo? Art. 11 rodo? Art. 13 rodo? Art. 14 rodo?

38 Rejestr czynności przetwarzania Każdy administrator oraz gdy ma to zastosowanie przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają (art. 30 rodo).

39 Ocena skutków dla ochrony danych Jeżeli dany rodzaj przetwarzania w szczególności z użyciem nowych technologii ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę. Dokonując oceny skutków dla ochrony danych, administrator konsultuje się z inspektorem ochrony danych, jeżeli został on wyznaczony (art. 35 rodo).

40 Uprzednie konsultacje Jeżeli ocena skutków dla ochrony danych, o której mowa w art. 35 rodo, wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator konsultuje się z organem nadzorczym (art. 36 rodo).

41 Rodzaje incydentów a obowiązek zgłaszania naruszeń W przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia (art. 33 rodo).

42 Metodyka obsługi incydentów Omówienie modelowej procedury obsługi incydentów i jej zasięgu oddziaływania w organizacji.

43 Realizacja praw jednostki Omówienie modelowej procedury realizacji praw jednostki i jej zasięgu oddziaływania w organizacji.

44 Przejrzystość Administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem w szczególności gdy informacje są kierowane do dziecka udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14, oraz prowadzić z nią wszelką komunikację (art. 12 rodo).

45 Procedura rozpatrywania wniosków w zakresie ochrony (z nawiązaniem do art. 12 rodo) Omówienie modelowej procedury realizacji rozpatrywania wniosków w zakresie ochrony.

46 Audyt według rodo Audyt realizowany w ramach własnych zasobów (pracowników) zakres, oczekiwania i rzeczywistość. Audyt realizowany za pośrednictwem podmiotów zewnętrznych zakres, oczekiwania i rzeczywistość.

47 Audyt w ramach kontroli finansowej Ustawa z dnia 11 maja 2017 r. o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym (DzU z 2017 r., poz ze zm.) a przepisy rodo.

48 Zamówienia publiczne Ustawa z dnia 29 stycznia 2004 r. Prawo zamówień publicznych (tekst jedn. DzU 2018, poz ze zm.): modelowy proces realizacji obowiązku informacyjnego; wyłączenia spod elektronizacji postępowania; e-dokumenty; e-podpis; kwalifikowany podpis elektroniczny osób upoważnionych.

49 Informacja publiczna Ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej (tekst jedn. DzU z 2018 r., poz ze zm.) a ochrona danych osobowych. Projekt ustawy o jawności życia publicznego a ochrona danych osobowych.

50 Rola inspektora ochrony danych Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania tych zadań. Nie jest on odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. Inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego (art. 38 rodo). Modelowy proces działania IOD w instytucjach publicznych z uwzględnieniem przypadków notorycznego braku realizowania zaleceń wydanych administratorowi danych.

51 Certyfikacja Certyfikacja jest dobrowolna, a proces jej uzyskania musi być przejrzysty. Certyfikacja nie wpływa na spoczywający na administratorze lub podmiocie przetwarzającym obowiązek przestrzegania rodo i pozostaje bez uszczerbku dla zadań i uprawnień organów nadzorczych (art. 42 rodo).

52 Omówienie wybranego orzecznictwa. Orzecznictwo

53 Dokumentacja ochrony danych osobowych na kanwie ustawy z 1997 r. W czym nam może jeszcze pomóc dokumentacja ochrony danych sporządzona na podstawie ustawy z 1997 r.?

54 Efektywne modele ochrony danych Prezentacja dwóch modeli realizowania efektywnej ochrony danych.

55 Zasady kryptograficzne Modelowy proces szyfrowania danych. Przypadki konieczności stosowania zasad kryptograficznych.

56 Odpowiedzialność Pracownicza Administracyjna Karna Cywilna Społeczna (wizerunkowa)

57 Dziękujemy za uwagę Dariusz Wasiak tel Tomasz Radziszewski tel