Z dziennika tłumaczki. Rozważania o RODO

Podobne dokumenty
Z dziennika tłumaczki. Rozważania o RODO

Z dziennika tłumaczki. Rozważania o RODO

Ochrona danych osobowych w biurach rachunkowych

Z dziennika tłumaczki. Rozważania o RODO

Z dziennika tłumaczki. Rozważania o RODO

POLITYKA PRYWATNOŚCI

Opracował Zatwierdził Opis nowelizacji

ZAŁĄCZNIK SPROSTOWANIE

POLITYKA PRYWATNOŚCI

POLITYKA PRYWATNOŚCI

Załącznik nr 5 do Polityki bezpieczeństwa

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Nowe przepisy i zasady ochrony danych osobowych

Sprawdzenie systemu ochrony danych

Z dziennika tłumaczki. Rozważania o RODO. Odcinek 15 - zgłoszenie naruszenia

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

PRELEGENT Przemek Frańczak Członek SIODO

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

I. Postanowienia ogólne

zwana dalej Administratorem

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

Załącznik Nr 4 do Umowy nr.

Załącznik nr 4 do Umowy nr /PDH/2018 z dnia.. ( Umowa ) UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA PRYWATNOŚCI W PIAST GROUP SP. Z O.O.

Umowa powierzenia przetwarzania danych osobowych nr..

Umowa wzajemnego powierzenia przetwarzania danych przy realizacji zlecenia transportowego

Umowa powierzenia przetwarzania danych osobowych,

Rola biura rachunkowego w nowym modelu ochrony danych osobowych

Polityka Ochrony Danych Osobowych. Magdalena Młynarczyk Lege Artis Biuro Obrotu Nieruchomościami

RODO w praktyce psychologicznej. adw. dr Maciej Bocheński Uniwersytet Jagielloński Krakowska Izba Adwokacka

ZASADY POWIERZANIA DANYCH OSOBOWYCH FIRMY ELEKTROMONTAŻ RZESZÓW S.A. z dnia 25 maja 2018r.

Powierzenie przetwarzania danych osobowych w stosunkach pracy. Wybrane zagadnienia.

8 sposobów na więcej czasu w ciągu dnia

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH

Z dziennika tłumaczki. Rozważania o RODO

Radom, 13 kwietnia 2018r.

Uchwała wchodzi w życie z dniem uchwalenia.

Radca Prawny Anna Matusiak-Wekiera. Kancelaria Radcy Prawnego Anna Matusiak-Wekiera

Liczą się proste rozwiązania wizyta w warsztacie

Podanie danych jest niezbędne do zawarcia umów, świadczenia usług oraz rozliczenia prowadzonej działalności.

Przemysław Bańko Dyrektor ds. Bezpieczeństwa Smart In

POLITYKA PRYWATNOŚCI

Podział sieci na podsieci wytłumaczenie

Dane osobowe w hotelarstwie Czy RODO to rewolucja? Gdańsk 21 listopada

Rozdział 4 Procedura DPIA (Data Protection Impact Assessment)

Kwestia spójności Rozporządzenia o Ochronie Danych Osobowych z polskim systemem prawnym. Przepisy sektorowe

Ochrona danych osobowych w biurach rachunkowych

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

Unijne rozporządzenie o ochronie danych osobowych (RODO) konsekwencje dla centrów danych. Kraków, dnia 22 lutego 2017 r.

Temat nr 1: Kosztorysowanie i ofertowanie Wprowadzenie. Podstawy kosztorysowania

PORADNIK PRAWNY DOTYCZĄCY STOSOWANIA W APTECE PRZEPISÓW RODO

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Temat nr 1: Kosztorysowanie i ofertowanie Wprowadzenie. Kosztorysowanie w budownictwie

Umowa powierzenia przetwarzania danych osobowych nr...

RODO W ORGANIZACJI- JAK PRAWIDŁOWO PRZYGOTOWAĆ SIĘ ORAZ UNIKNĄĆ KAR PIENIĘŻNYCH

DANE OSOBOWE W DZIAŁALNOŚCI SERWISÓW AGD. Łódź, 21 września 2018 roku

Z dziennika tłumaczki. Rozważania o RODO

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. Niniejsza umowa została zawarta w Kluczborku w dniu. r. roku przez:

Nowe wymagania dla systemów informatycznych wynikające z ogólnego rozporządzenia o ochronie dany

Formularz wniosku o udzielenie informacji dotyczących przetwarzania danych osobowych

Zwiększ swoją produktywność

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Załącznik Nr 4b Umowa powierzenia przetwarzania danych osobowych stanowiąca uzupełnienie Umowy Nr..

Wydawanie upoważnień do przetwarzania danych osobowych 1

1. Rodzaj danych osobowych, które możemy przechowywać

Z dziennika tłumaczki. Rozważania o RODO

PINTA WROCŁAW POLITYKA PRYWATNOŚCI. Niniejsza Polityka prywatności zawiera informacje związane z przetwarzaniem danych osobowych

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

UMOWA POWIERZENIA ( Umowa )

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Załącznik numer 1 do OWS POLITYKA PRYWATNOŚCI SPIS TREŚCI. 1. Postanowienia ogólne. 2. Podstawy przetwarzania danych.

Regulamin usługi szkoleniowej

POLITYKA PRYWATNOŚCI

B U R E A U V E R I T A S P O L S K A S P. Z O. O. RODO PO ROKU P D P / I S M & B C M T E A M L E A D E R

ARKUSZ SAMOOCENY KONTROLI ZARZĄDCZEJ URZĘDU GMINY I MIASTA NOWE SKALMIERZYCE

Technologia Infromacyjna i Prawo w służbie ochrony danych - #RODO2018

Prelegent : Krzysztof Struk Stanowisko: Analityk

Ochrona danych osobowych

Umowa powierzenia przetwarzania danych osobowych. Szkolenie. Katowice, 14 listopada 2018

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

POLITYKA PRYWATNOŚCI

NOWE PRZEPISY DOTYCZĄCE BEZPIECZEŃSTWA DANYCH OSOBOWYCH. Agnieszka Wiercińska-Krużewska, adwokat, senior partner 21 września 2017 r.

POLITYKA PRYWATNOŚCI. 1. Postanowienia ogólne

Dane osobowe w stacji demontażu. Marcin Witaszek Polski Związek Przemysłu Motoryzacyjnego

20 lat doświadczeń w wykonywaniu funkcji ABI. ewolucja funkcji od administratora do inspektora

SZCZEGÓŁOWY HARMONOGRAM KURSU

1 Podstawowe informacje o programie

Chroń Dane Osobowe. Personal Data Protection Officer. Konrad Gałaj-Emiliańczyk

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W FUNDACJI CENTRUM IMIENIA PROF. BRONISŁAWA GEREMKA

Umowa o powierzeniu przewarzania danych osobowych. Umowa. powierzenia przetwarzania danych osobowych

Umowa powierzenia przetwarzania danych osobowych

Projekt prowadzi Instytut Psychologii hanowerskiego uniwersytetu Leibnitza.

- WZÓR UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. Umowa Powierzenia Przetwarzania Danych Osobowych

POLITYKA PRYWATNOŚCI LANDINGHERO.com

Transkrypt:

Z dziennika tłumaczki. Rozważania o RODO Odcinek 9 - Analiza stanu obecnego Poniedziałek 21 maja 2018 r. - Zostały 4 dni do RODO Drogi Dzienniku! Zastanawiam się, kiedy do Międzynarodowej Klasyfikacji Chorób zostanie dopisana nowa jednostka chorobowa: RODOza. Albo może ostre zapalenie wyrostka RODOwego. Objawy: napady paniki, RODOwstręt, nadmierna pobudliwość i hiperaktywność związane ze zbliżającym się terminem 25 maja. ;-) Ja już mam lekarstwo na tę przypadłość. Tabletka. O przepraszam, tabelka. Tak, obiecana tabelka. Tym razem nieco większy egzemplarz - porządny plik w excelu. Już Ci pokazuję. Tu masz link. Ale uwaga - to wersja robocza. Chciałabym ją jeszcze skonsultować z koleżankami i kolegami po fachu, żeby sprawdzić, czy niczego nie przeoczyłam. Ten plik to próba uporządkowania i udokumentowania tego, co się dzieje z danymi osobowymi w ramach mojej działalności. Docelowo ma też zawierać dokumentację, która pokazuje, jakie kroki podjęłam, żeby dostosować moją działalność do wymogów rozporządzenia. A jeżeli nie zdążę zrobić wszystkiego do 25 maja, to też jakie kroki zamierzam podjąć w najbliższej przyszłości. Dlaczego tworzę taką dokumentację? Przypominam Ci zasadę rozliczalności, którą omówiłam w załączniku z głównymi założeniami: Art. 5 Zasady dotyczące przetwarzania danych osobowych 2. Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie ( rozliczalność ). Nie tylko muszę dostosować swoją działalność do zasad rozporządzenia, ale też muszę być w stanie wykazać, że przestrzegam tych wszystkich zasad oraz że wdrożyłam odpowiednie środki organizacyjne i techniczne. Czyli ta dokumentacja nie tylko służy moim potrzebom wewnętrznym, ale też jest pewnego rodzaju zabezpieczeniem w przypadku kontroli.

Jeżeli jestem administratorem, to wdrożenie odpowiednich środków technicznych i organizacyjnych jest moim obowiązkiem. To wynika m.in. z art. 24.1. Artykuł 24 - Obowiązki administratora 1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. 2. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych. 3. Stosowanie zatwierdzonych kodeksów postępowania, o których mowa w art. 40, lub zatwierdzonego mechanizmu certyfikacji, o którym mowa w art. 42, może być wykorzystane jako element dla stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków. Zgodnie z ust. 1 jako administrator muszę wdrożyć środki techniczne i organizacyjne, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia. Podstawą podjęcia konkretnych działań będzie więc analiza tych poszczególnych elementów, czyli konkretnie analiza stanu obecnego. To będzie pierwszy element mojej dokumentacji. Czy moja dokumentacja to pełna polityka ochrony danych osobowych, o której mowa w ust. 2? Trudno powiedzieć. Rozporządzenie nie daje twardych wytycznych, co do zakresu czy formy takiej polityki ochrony danych osobowych, ani też nie wskazuje kryteriów bądź sytuacji, kiedy wdrożenie takiej polityki jest wymagane. Każdy musi ocenić we własnym zakresie. Ale można powiedzieć, że mój plik to coś w rodzaju minipolityki ochrony danych osobowych. W ust. 3 jest też mowa o kodeksach postępowania i mechanizmach certyfikacji. W tej chwili takich dokumentów dla branży tłumaczeniowej nie ma. Gdyby istniały, to wskazywałyby już bardziej konkretne rozwiązania, które można by wprowadzić, aby działać zgodnie z rozporządzeniem. Ale ich nie ma i nie wiemy, czy i kiedy będą. Na razie więc każdy musi się dostosować we własnym zakresie i szukać zaleceń w różnych źródłach. Niestety, powoduje to, że powstaje miszmasz, każdy robi co innego i każdy też co innego doradza. Ja stwierdziłam, że na razie przygotuję niezbędne minimum. Nie będę tworzyć obszernej dokumentacji, która potem może się okazać niepotrzebna, albo nie do końca zgodna z zaleceniami kodeksów czy mechanizmów certyfikacji. Niech będzie praktycznie i do rzeczy.

No właśnie. Zajrzyjmy teraz do załączonego pliku. Zawiera on kilka arkuszy. Pierwszy arkusz to wykaz poszczególnych części dokumentacji. Jest tam też informacja o ostatniej aktualizacji. W wyżej cytowanym artykule jest przecież mowa o tym, że: Artykuł 24 - Obowiązki administratora 1. (...) Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Rozporządzenie nakłada na mnie obowiązek okresowego sprawdzenia, czy moje procedury są odpowiednie i w razie potrzeby zaleca ich aktualizację. Co roku przejrzę więc dokumentację i sprawdzę, czy wszystko się zgadza, a jakby się coś zmieniło w ciągu roku, to też zapiszę. Jeżeli pewnych rzeczy nie zdążę zrobić do 25 maja albo coś okaże się niewystarczające, to też będę to stopniowo aktualizować. Drugi arkusz Firma zawiera dane mojej firmy i krótki opis mojej działalności. Tyle ;-) Przejdźmy do trzeciego arkusza Zbiory_procesy. Nie przestrasz się, na pierwszy rzut oka wygląda to okropnie. To jest tabelka prezentująca moją sytuację: jestem tłumaczem przysięgłym, prowadzę biuro, mam sekretarkę, podzlecam od czasu do czasu tłumaczenia czy korekty, przyjmuję zlecenia nie tylko od biur tłumaczeń i organów wymiaru sprawiedliwości, ale także klientów indywidualnych, którzy przychodzą do biura. To tak w skrócie. Inni tłumacze może mają swoją działalność zorganizowaną inaczej, ale pewnie wiele elementów jest wspólnych. Każdy jednak musi dostosować dokumentację do charakterystyki swojej sytuacji. Lista czynności może być dłuższa, krótsza, w innej kolejności itd. Jak zauważyłeś, mam tutaj nie tylko opis zbiorów danych osobowych, ale także opis procesu przetwarzania danych osobowych - od momentu, kiedy wchodzą one w moje posiadanie, do momentu, kiedy je trwale usunę. Jest to bardzo istotne, bo filozofia rozporządzenia skupia się nie na zbiorach, tylko na procesach: co dokładnie z tymi danymi robimy, jak je przetwarzamy. Pierwsza kolumna zawiera więc opis poszczególnych etapów i czynności, podczas których przetwarzam dane osobowe. Od momentu zapytania po wykonanie tłumaczenia, rozliczenie z klientem i archiwizację. Druga kolumna wskazuje zbiory danych, a trzecia miejsce ich przechowywania. To miejsce się zmienia na każdym etapie procesu przetwarzania. Widzisz też, że podzieliłam np. skrzynkę pocztową na różne zbiory, m.in. wg rodzaju zleceniodawcy i wg stanu obsługi zapytania/zlecenia. Będzie to ważne ze względu na dalsze kolumny: moja rola (administrator/podmiot przetwarzający), okres przechowywania, cel, podstawa prawna itd. Tak samo zrobiłam ze zbiorem bieżących zleceń. Wychodzi bardzo szczegółowa tabela, ale mam nadzieję, że obejmuje ona wszystkie rodzaje danych osobowych, z którymi mam do czynienia w mojej działalności i wszystkie procesy ich przetwarzania. Jak mi coś jeszcze wpadnie do głowy, to uzupełnię.

Pytasz, dlaczego tak szczegółowo opisałam korespondencję mailową? No właśnie. Różne wiadomości i ich załączniki mają różne okresy przechowywania. Jak nie zacznę oddzielać zapytań od zleceń potwierdzonych, to powstanie problem z usuwaniem wiadomości ze zleceniami, których nie przyjęłam. Nieprzyjętych zleceń nie będę mogła przechowywać tak długo jak przyjętych, bo nie będę miała do tego podstawy prawnej. Na razie wpisałam miesięczny okres przechowywania, więc pod koniec następnego miesiąca po prostu zamierzam usunąć wszystkie przeterminowane wiadomości w folderze Zapytania. Muszę też dopilnować, żeby przenosić wiadomości wysłane do odpowiedniego folderu. Jak już tłumaczenie jest potwierdzone, to przeniosę je do potwierdzonych, podzielonych z kolei na trzy rodzaje klientów. Niezła zabawa, prawda? Zobaczymy, czy to pomoże mi pilnować terminów usunięcia. Nie wyobrażam sobie, że będę ciągle musiała przeglądać całą skrzynkę, żeby usuwać przeterminowane maile. Jeżeli są już uporządkowane w folderach, wystarczyć skasować maile w danym folderze. No i cóż mogę jeszcze dodać. W ostatnich dniach rozpisałam wszystko, co wiem na temat tych poszczególnych rubryk. I teraz je wypełnię wg mojej najlepszej wiedzy. Po kolei miejsce przechowywania, okres przechowywania, moja rola (administrator/podmiot przetwarzający), cel i powiązana z celem podstawa prawna oraz komu udostępniam dane. Świetne ćwiczenie podsumowujące ;-). Arkusz Zbiory_procesy z analizą stanu faktycznego jest podstawą do dalszych działań, takich jak spełnienie obowiązku informacyjnego, wdrożenie środków organizacyjnych i technicznych, analiza ryzyka i ustalenie, kiedy potrzebna jest umowa powierzenia. Jak widzisz, do każdego z tych działań jest w pliku odpowiedni arkusz: Arkusz Info: opis, w jaki sposób zamierzam spełnić obowiązek informacyjny i obsługiwać zapytania dot. przetwarzanych danych osobowych Arkusz Powierzenie: lista osób czy jednostek, którym powierzam przetwarzanie danych osobowych Arkusz Upoważnienie: lista osób upoważnionych przeze mnie do przetwarzania danych osobowych Arkusz Ryzyko: zagadnienia związane z analizą ryzyka Arkusz Środki techniczne i organizacyjne: środki, które już zostały wdrożone i których wdrożenie jest planowane Arkusz Naruszenia: zwięzła procedura zgłaszania naruszeń (oby nie była potrzebna, ale coś powinno być...) W następnych dniach napiszę Ci więcej o zadaniach związanych z tymi poszczególnymi tematami i uzupełnię arkusze. Jeszcze jedna uwaga. Proszę, nie myl tego pliku z dokumentacją z rejestrem czynności przetwarzania danych osobowych ani z polityką prywatności. O rejestrze czynności napiszę Ci za kilka dni. O polityce prywatności pewnie jutro, kiedy omówię obowiązek informacyjny.

Czy to tyle na dzisiaj? Hmm, zastanawiam się, czy przypadkiem czegoś w tym pliku nie przeoczyłam. Jak mi się coś jeszcze przypomni, to go uzupełnię. Może eksperci jeszcze coś podpowiedzą? Najważniejsze, że jestem w stanie wykazać, że dokładam wszelkich starań, aby pracować zgodnie z RODO. Dużo rzeczy wyjdzie w praniu, kiedy powstaną standardowe rozwiązania, mechanizmy certyfikacji i kodeksy. Posiadanie takiej dokumentacji jest ważne. Będzie on nie tylko podkładką w przypadku kontroli, ale także będę mogła ją przedstawić, gdy administrator zażąda ode mnie gwarancji przestrzegania przepisów w zakresie ochrony danych osobowych. Administrator bowiem powinien wybrać taki podmiot przetwarzający, który zapewnia przestrzeganie wymogów RODO: Artykuł 28 - Podmiot przetwarzający 1. Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą. Póki nie ma mechanizmów certyfikacji ani kodeksów stosowna dokumentacja może być taką gwarancją. Dobrze jest włożyć trochę wysiłku, aby zawierała ona odpowiednie informacje. Poza tym nie zamierzam podpisywać z klientami umów powierzenia, jeżeli nie jestem odpowiednio przygotowana do tego, żeby spełnić wymagania klienta w zakresie ochrony danych osobowych. Moje przygotowania na pewno się przydadzą, kiedy zgłosi się do mnie taki wymagający klient. Ale teraz naprawdę już dosyć na dzisiaj. Do jutra! Twoja Tłumaczka Prawa autorskie zastrzeżone.

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres