RODO. KANCELARIA ADWOKATÓW i RADCÓW PRAWNYCH Jarosiński, Kuliński i Partnerzy

Podobne dokumenty
UMOWA O UDOSTĘPNIANIE DANYCH OSOBOWYCH. reprezentowanym przez Dyrektora [ ], zwanym dalej jako Przedszkole Nr ; a

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH

POLITYKA OCHRONY DANYCH OSOBOWYCH

REASEKURACJA A IDD i RODO. Anna Tarasiuk, radca prawny, partner

Dane osobowe w hotelarstwie Czy RODO to rewolucja? Gdańsk 21 listopada

Wdrożenie Rozporządzenia o Ochronie Danych Osobowych w ZHP Chorągwi Wielkopolskiej im. Powstańców Wielkopolskich

Szkolenie podstawowe z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 dla wolontariuszy świadczących pomoc na rzecz podopiecznych

Polityka Ochrony Danych Osobowych w Dietetica- Ewa Stachowska

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH - WZÓR. zawarta w dniu... w. pomiędzy:

PORADNIK PRAWNY DOTYCZĄCY STOSOWANIA W APTECE PRZEPISÓW RODO

Ograniczenia w wykorzystywaniu baz danych związane ze zautomatyzowanym przetwarzaniem danych oraz wykorzystaniem chmury obliczeniowej w świetle RODO

ZASADY POWIERZANIA DANYCH OSOBOWYCH FIRMY ELEKTROMONTAŻ RZESZÓW S.A. z dnia 25 maja 2018r.

POLITYKA OCHRONY PRYWATNOŚCI

Szkolenie podstawowe z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 dla wolontariuszy świadczących pomoc na rzecz podopiecznych

Europejski Fundusz Rolny na rzecz Rozwoju Obszarów Wiejskich: Europa inwestuje w obszary wiejskie

Rola biura rachunkowego w nowym modelu ochrony danych osobowych

Backup & Storage - organizacyjne i prawne aspekty korzystania z usługi

POLITYKA PRYWATNOŚCI SERWISU

NOWE PRZEPISY DOTYCZĄCE BEZPIECZEŃSTWA DANYCH OSOBOWYCH. Agnieszka Wiercińska-Krużewska, adwokat, senior partner 21 września 2017 r.

Dane osobowe w stacji demontażu. Marcin Witaszek Polski Związek Przemysłu Motoryzacyjnego

Pakiet RODO MEDFOOD GROUP Sp. Z O.O.

Polityka prywatności zawierająca informacje dotyczące przetwarzania dla poszczególnych kategorii podmiotów danych. (klauzule informacyjne)

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. zawarta w dniu... pomiędzy zwana dalej Przetwarzającym

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. Miejskim Szpitalem Zespolonym w Olsztynie, Olsztyn, ul. Niepodległości 44

DANE OSOBOWE W DZIAŁALNOŚCI SERWISÓW AGD. Łódź, 21 września 2018 roku

KLAUZULA INFORMACYJNA DLA KANDYDATÓW DO PRACY (REKRUTACJA) Data: r. Wersja 2

w Grupie 3S REGULAMIN PRZETWARZANIA DANYCH OSOBOWYCH

I. Podstawowe Definicje

PRAWA PODMIOTÓW DANYCH - PROCEDURA

POLITYKA BEZPIECZEŃSTWA

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

POLITYKA PRZETWARZANIA DANYCH OSOBOWYCH W KANCELARII: PATRYCJA JANKOWSKA KANCELARIA RADCY PRAWNEGO. Warszawa, r.

Umowa powierzenia przetwarzania danych osobowych,

inny podmiot, który przetwarza dane osobowe w imieniu administratora;

ZP Załącznik nr 4 UMOWA NR ZP O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W W FIRMIE MIROSŁAWA BANDYK PROWADZĄCEGO DZIAŁALNOŚĆ GOSPODARCZĄ POD NAZWĄ BUD MI-K F.R.B.

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH ( Umowa Powierzenia")

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. Niniejsza umowa została zawarta w Kluczborku w dniu. r. roku przez:

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Strony postanowiły zawrzeć umowę o następującej treści:

POLITYKA OCHRONY DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Dworek Bielin Sp. z o.o.

REGULAMIN KORZYSTANIA Z PANELU UBEZPIECZAJĄCEGO I UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH UBEZPIECZONYCH PRZEZ TU ZDROWIE SA

PRZETWARZANIE DANYCH OSOBOWYCH KLIENTÓW PRZEZ SERWISY SPRZĘTU AGD Agnieszka Wiercińska-Krużewska 15 września 2016 r.

POLITYKA PRYWATNOŚCI HOTELU SZRENICOWY DWÓR

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej sp. z o.o. w Nowej Soli.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Magdalena Jacolik Mgr Prawa Europejskiego Aliant Krzyżowska Międzynarodowa Kancelaria Prawna

RODO w Hodowli, czy nas dotyczy? Doradca Podatkowy Marek Rudy nr wpisu Wojciech Nowakowski

Ochrona danych osobowych w kontekście RODO dla e-commerce i marketingu

Umowa nr powierzenia przetwarzania danych osobowych w związku z realizacją

POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE OCHRONY DANYCH OSOBOWYCH

Umowa powierzenia przetwarzania danych osobowych

Polityka Bezpieczeństwa Danych Osobowych

RODO W WYKONYWANIU ZAWODU RADCY PRAWNEGO

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

Szacowanie ryzyka dla operacji przetwarzania danych. Praktyki dla zarządzających bezpieczeństwem i inspektorów

Już teraz powinieneś pomyśleć o przygotowaniu Twojej firmy na czekające ją zmiany w zakresie ochrony danych osobowych.

Ogólna Polityka Prywatności. 1 Postanowienia Ogólne

REGULAMIN uczestnictwa w projekcie o charakterze koncepcyjnym pt. Szkoła Orłów. Słownik pojęć

RODO w firmie transportowej RADCA PRAWNY PAWEŁ JUDEK

Umowa powierzenia przetwarzania danych osobowych

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

Czym jest RODO? Jak można skorzystać z przysługujących praw? Kim jest administrator danych osobowych (ADO) Kim jest podmiot przetwarzający?

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

J. Gawronek-Woźniczka Radca prawny Uchwała Nr 897/18 Zarządu Województwa Małopolskiego z dnia 24 maja 2018 r.

Polityka Ochrony Danych Osobowych. w Luxe Property S.C.

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. zawarta w.,... pomiędzy:

POLITYKA OCHRONY DANYCH OSOBOWYCH

Ochrona danych osobowych w biurach rachunkowych

1. Niniejsza Polityka prywatności określa zasady przetwarzania i ochrony Twoich danych osobowych w

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

Pakiet RODO dla Komunalnej Energetyki Cieplnej "KOMEC" Sp. z o.o.

inny podmiot, który przetwarza dane osobowe w imieniu administratora;

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Umowa powierzenia przetwarzania danych osobowych

Procedura postępowania reklamacyjnego dotyczącego danych osobowych w SentiOne Sp. z o. o.

Umowa powierzenia przetwarzania danych osobowych. nr.. zawarta w dniu...

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

Regulamin powierzania przetwarzania danych osobowych w JAS-FBG S.A. z dnia 24 maja 2018 r.

Uchwała wchodzi w życie z dniem uchwalenia.

Polityka bezpieczeństwa informacji

Obowiązek informacyjny Kancelarii Ostrowski i Wspólnicy sp. k. jako Administratora Danych Osobowych.

Ważne: nasza strona wykorzystuje pliki cookies

POLITYKA PRYWATNOŚCI Wersja 1.0 z dn Informacje ogólne

POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE OCHRONY DANYCH OSOBOWYCH

POLITYKA OCHRONY DANYCH OSOBOWYCH w Fundacji TDJ na Rzecz Edukacji i Rozwoju

Polityka Cookies I. DEFINICJE

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

Ogólna Polityka Prywatności 1 Postanowienia Ogólne

zwaną/ym dalej Przetwarzającym, reprezentowaną/ym przez

CZĘŚĆ I PODSTAWOWE INFORMACJE O RODO

Polityka Ochrony Danych Osobowych. Magdalena Młynarczyk Lege Artis Biuro Obrotu Nieruchomościami

Transkrypt:

INFORMATOR RODO KANCELARIA ADWOKATÓW i RADCÓW PRAWNYCH Jarosiński, Kuliński i Partnerzy

-2Co zmienia RODO? Rewolucja, jaką wprowadza Ogólne rozporządzenie o ochronie danych osobowych* potocznie zwane RODO, polega przede wszystkim na tym, że nie ma uniwersalnej metody na wdrożenie jego regulacji w każdym przedsiębiorstwie. Nie istnieją wzory dokumentacji, które można byłoby pobrać z Internetu i zastosować na przysłowiowej zasadzie kopiuj-wklej. RODO wskazuje, że przedsiębiorca ma mieć system ochrony danych osobowych uszyty na własną miarę. Stworzenie takiego systemu wymaga dogłębnej analizy działalności danego przedsiębiorstwa pod kątem ochrony danych osobowych. Przeprowadzenie rzetelnego audytu i w jego następstwie dokonanie oceny ryzyka pozwoli na wychwycenie zagrożeń, jakie występują w kontekście przetwarzania danych osobowych w badanym przedsiębiorstwie, a w konsekwencji umożliwi przygotowanie dokumentacji i wdrożenie procedur zapewniających należytą ochronę danych osobowych zgodną z wymogami RODO. Przedsiębiorca, który przed 25 maja 201 8 r. tj. przed datą wejścia w życie RODO należycie przeprowadzi powyższe działania nie będzie musiał obawiać się kar pieniężnych sięgających nawet 20 milionów euro, do których nałożenia uprawniony będzie PUODO (obecny GIODO) w przypadku niezgodnego z RODO przetwarzania danych osobowych. Na kolejnych stronach przedstawiamy uproszczony schemat procedury wdrożenia RODO. * ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 201 6/679 z dnia 27 kwietnia 201 6 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

-3UPROSZCZONY SCHEMAT WDROŻENIA RODO W PRZEDSIĘBIORSTWIE I. Uświadom sobie, że przetwarzasz dane osobowe. Wielu przedsiębiorców nie zdaje sobie sprawy, że przetwarza dane osobowe. Wynika to przede wszystkim z nieznajomości definicji pojęć takich jak: dane osobowe, przetwarzanie danych osobo- wych, administrator danych osobowych, procesor. Poznanie tych pojęć pozwoli dokonać odpowiedzi na pytanie czy w przedsiębiorstwie należy wdrożyć RODO? Dane osobowe - oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ( osobie, której dane dotyczą ); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Na przykład: imię i nazwisko, adres zamieszkania, nr PESEL. Przetwarzanie danych osobowych - oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Na przykład: zbieranie danych osobowych swoich pracowników, zbieranie danych kklientów w celu zawarcia, realizacji umowy.

-4Administrator danych osobowych - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania. Podmiot przetwarzający dane (procesor) - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Jeżeli zatem zbierasz lub przechowujesz dane dotyczące np. imienia, nazwiska, adresu zamieszkania, numer PESEL swoich pracowników czy kontrahentów, to oznacza, że przetwarzasz ich dane osobowe. Udzielenie pozytywnej odpowiedzi na to pytanie powoduje konieczność podjęcia kolejnych kroków. II. Przeprowadź audyt. Wdrożenie RODO wymaga ustalenia m. in.: jakie dane przetwarzane są w przedsiębiorstwie, czyje są to dane i jak zostały pozyskane; na jakiej podstawie prawnej odbywa się przetwarzanie danych osobowych; jakie zabezpieczenia fizyczne, technologiczne i organizacyjne stosowane są dla zabezpieczenia danych; czy spełniony został obowiązek informacyjny wobec osób, których dane są przetwarzane; czy istnieje dokumentacja wymagana przez dotychczasowe przepisy prawa. Przeprowadzenie rzetelnego audytu wymaga skrupulatnego przeanalizowania każdego aspektu działalności przedsiębiorstwa - po- cząwszy od lokalizacji budynku poprzez szczegółowy wywiad z pracownikami poszczególnych działów przedsiębiorstwa, a skoń-

-5- czywszy na ustaleniu lokalizacji serwerów, na których przechowywane są dane osobowe. Powyższe działania są niezbędne do tego, aby prawidłowo zrealizować kolejne kroki związane z wdrożeniem RODO. Uzyskane podczas audytu informacje pozwolą określić, jakie czynności należy podjąć, żeby przetwarzać dane osobowe zgodnie z przepisami oraz ustalić, jakie wymogi wprowadzane przez RODO nas dotyczą. III. Dokonaj analizy ryzyka. Wdrażanie RODO opiera się na zarządzaniu ryzykiem, wobec czego aby wykazać, że przetwarzamy dane osobowe zgodnie z nowymi przepisami konieczne jest przeprowadzenie analizy ryzyka. W tym celu przydatne mogą okazać się wypracowane w dziedzinach in- nych niż ochrona danych osobowych metody oceny ryzyka. Analiza ryzyka pozwoli nam następnie prawidłowo tym ryzykiem zarządzać oraz podjąć działania zmierzające do minimalizacji ryzyka, a jeżeli to możliwe do jego usunięcia. IV. Stwórz dokumentację. RODO w odróżnieniu od dotychczas obowiązującej ustawy o ochronie danych osobowych nie określa dokumentów dotyczących ochrony danych osobowych, jakie musi posiadać każdy przedsiębiorca. Ale czy to oznacza, że polityka bezpieczeństwa czy instrukcja zarządzania systemami informatycznymi odchodzą w zapomnienie? Absolutnie nie. RODO wymaga, aby przedsiębiorca w razie kontroli wykazał, że przetwarza dane osobowe zgodnie z przepisami. Podstawowym instrumentem do udowodnienia, że przedsiębiorstwo spełnia wymogi RODO jest właśnie przedstawienie odpowiedniej dokumentacji.

-6- Poniżej przedstawiono wyliczenie podstawowych dokumentów, jakie mogą okazać się przydatne dla wykazania zgodności przetwarzania danych z przepisami prawa. Przy czym ich treść musi być każ- dorazowo dopasowana do konkretnego przedsiębiorcy. Spełnienie tego wymogu umożliwia przeprowadzony uprzednio audyt oraz analiza ryzyka. Przykładowa dokumentacja: Polityka bezpieczeństwa; Klauzule zgód; Klauzule informacyjne; Ewidencja procesorów; Ewidencja osób upoważnionych do przetwarzania danych osobowych; Instrukcja zarządzania systemami informatycznymi; Wzory zgód na przetwarzanie danych osobowych; Umowy o powierzenie przetwarzania danych; Rejestr czynności przetwarzania. V. Wprowadź procedury w praktyce. Samo stworzenie dokumentacji nie zapewni zgodności działalności przedsiębiorstwa z RODO. Do informacji wynikających z dokumenta- cji należy się stosować. Zatem opisane w wyżej wymienionych dokumentach procedury należy rzeczywiście wdrożyć w życie.

-7- VI. Przeszkól pracowników. Nawet najlepsze specjalistyczne systemy bezpieczeństwa zapewniające ochronę danych osobowych nie zagwarantują należytej ochrony, jeżeli zawiedzie czynnik ludzki. Dlatego istotnym aspektem wdrażania RODO jest przeszkolenie pracowników, zwłaszcza tych upoważnionych do przetwarzania danych osobowych. Każdy pracownik powinien zapoznać się z dokumentacją traktującą o procedurach związanych z przetwarzaniem danych osobowych w przedsiębiorstwie, aby wiedzieć jak nie naruszać danych osobowych, wykonując swoje obo- wiązki pracownicze np. jak często zmieniać hasło na komputerze, czy wolno zabierać komputer służbowy do domu, czy można zostawiać dokumenty na biurku oraz co robić, gdy dojdzie do naruszenia danych osobowych np. pracownik zaleje laptop, zgubi nośnik z danymi osobowymi. VII. Monitoruj i aktualizuj. Często przedsiębiorcy pytają, czy jednorazowe przeprowadzenie wyżej opisanych procedur jest wystarczające dla zapewnienia zgodności przetwarzania danych z RODO. Niestety jednorazowe podjęcie takiego działania jest niewystarczające. Należy nieustannie monitorować czy np. nie zmieniły się procesy przetwarzania, kategorie przetwarzanych danych osobowych, czy zmienił się cel przetwarzania danych oraz podstawa prawna. W razie wystąpienia jakichkolwiek modyfikacji należy dopasować do nich istniejące procedury i dokumentację. Przyjmuje się, że co najmniej raz w roku każdy przedsiębiorca powinien dokonać ponownej analizy i uaktualnień. Przy czym u niektórych przedsiębiorców, ze względu na przedmiot i skalę ich działalności, tego rodzaju działania należy przeprowadzać z większą częstotliwością.

-8- VIII. Kary nakładane przez PUODO czy jest czego się bać? Największym motywatorem do dokonania zmian w przedsiębiorstwie jest obawa przed karami, jakie może nałożyć PUODO (obecny GIODO). Zgodnie z RODO kary te mogą przedstawiać się następująco: Adminitracyjna kara pieniężna w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa m. in. za naruszenie: podstawowych zasad przetwarzania, w tym warunków zgody, praw osób, których dane dotyczą Adminitracyjna kara pieniężna w wysokości do 1 0 000 000 EUR, a w przypadku przedsiębiorstwa w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa m. in. za naruszenie: Przy czym pamiętać należy, że powyżej zostały przedstawione górne granice kar administracyjnych. Karę natomiast będzie określał PUODO stosownie m. in. do rodzaju naruszenia, jego skali i skutków. Co istotne, w związku z procedurą wdrażania RODO obecny GIODO, a przyszły PUODO uzyska dodatko- przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 1 1, 25 39 oraz 42 i 43 RODO we środki pieniężne, które będą m. in. przeznaczone na zwiększenie liczby przeprowadzanych w przedsiębiorstwach kontroli. PUODO może rozpocząć kontrole już od 26 maja 201 8 r. Przy czym kary administracyjne to nie jedyna zmora przedsiębiorcy. Naruszenie danych osobowych da-

-9- nej osoby rodzi po stronie administratora odpowiedzialność cywilnoprawną. Co oznacza, że wystąpienie naruszenia rodzi ryzyko konieczności zapłaty odszkodowania osobie, której dane osobowe prze- twarzaliśmy w sposób sprzeczny z prawem. W niektórych zawodach dodatkowo naruszenie przepisów RODO będzie powodowało skutki na gruncie postępowania dyscyplinarnego. IX. Podsumowanie Z każdymi zmianami wprowadzanymi w przedsiębiorstwie wiąże się konieczność poniesienia kosztów. Przy czym odpowiedzialność grożąca za nieprzestrzeganie przepisów o ochronie danych osobowych, a w szczególności wysokie kary pienięż- ne, jakie wprowadza RODO, działają na wyobraźnie przedsiębiorców i motywują do tego, aby zainwestować w dostosowanie swojego przedsiębiorstwa do nowych przepisów. 45-047 Opole, ul. Waryńskiego 2, tel./fax (0-77) 456-56-1 1, 456-56-21 e-mail: kancelaria@jk.opole.pl Ilustracje: licencja CC0 pixabay.com by louisehoffmann83, treeex6, moritz320, geralt, rawpixel. Ikony: Flaticon Basic License freepik.com

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres