Stosowanie rodo w księgowości obowiązki w zakresie ochrony danych osobowych

Podobne dokumenty
RODO w praktyce psychologicznej. adw. dr Maciej Bocheński Uniwersytet Jagielloński Krakowska Izba Adwokacka

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej Sp. z o.o.

Szkolenie podstawowe z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 dla wolontariuszy świadczących pomoc na rzecz podopiecznych

Kontrola przestrzegania przepisów o ochronie danych osobowych. zasady, zakres, przebieg. Piotr Glen Inspektor ochrony danych

PRAWA PODMIOTÓW DANYCH - PROCEDURA

Szkolenie podstawowe z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 dla wolontariuszy świadczących pomoc na rzecz podopiecznych

I. Podstawowe Definicje

Ograniczenia w wykorzystywaniu baz danych związane ze zautomatyzowanym przetwarzaniem danych oraz wykorzystaniem chmury obliczeniowej w świetle RODO

POLITYKA OCHRONY DANYCH OSOBOWYCH

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

Dane osobowe w stacji demontażu. Marcin Witaszek Polski Związek Przemysłu Motoryzacyjnego

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH

UMOWA O UDOSTĘPNIANIE DANYCH OSOBOWYCH. reprezentowanym przez Dyrektora [ ], zwanym dalej jako Przedszkole Nr ; a

PORADNIK PRAWNY DOTYCZĄCY STOSOWANIA W APTECE PRZEPISÓW RODO

Ochrona danych osobowych w kontekście RODO dla e-commerce i marketingu

Technologia Infromacyjna i Prawo w służbie ochrony danych - #RODO2018

Polityka prywatności zawierająca informacje dotyczące przetwarzania dla poszczególnych kategorii podmiotów danych. (klauzule informacyjne)

KLAUZULA INFORMACYJNA DLA KANDYDATÓW DO PRACY (REKRUTACJA) Data: r. Wersja 2

Ochrona danych osobowych w organizacjach pozarządowych (od 25 maja 2018)

POLITYKA PRYWATNOŚCI Wersja 1.0 z dn Informacje ogólne

ZASADY POWIERZANIA DANYCH OSOBOWYCH FIRMY ELEKTROMONTAŻ RZESZÓW S.A. z dnia 25 maja 2018r.

leczniczego w kontekście RODO

inny podmiot, który przetwarza dane osobowe w imieniu administratora;

Niepełnosprawność: szczególna kategoria danych osobowych

Magdalena Jacolik Mgr Prawa Europejskiego Aliant Krzyżowska Międzynarodowa Kancelaria Prawna

DANE OSOBOWE W DZIAŁALNOŚCI SERWISÓW AGD. Łódź, 21 września 2018 roku

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

rodo. ochrona danych osobowych.

Rola biura rachunkowego w nowym modelu ochrony danych osobowych

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

WPROWADZENIE DO RODO OGÓLNE UNIJNE ROZPORZĄDZENIE O OCHRONIE DANYCH. - Leszek Zając

NOWE PRZEPISY DOTYCZĄCE BEZPIECZEŃSTWA DANYCH OSOBOWYCH. Agnieszka Wiercińska-Krużewska, adwokat, senior partner 21 września 2017 r.

Wdrożenie Rozporządzenia o Ochronie Danych Osobowych w ZHP Chorągwi Wielkopolskiej im. Powstańców Wielkopolskich

Pakiet RODO MEDFOOD GROUP Sp. Z O.O.

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

Przemysław Bańko Dyrektor ds. Bezpieczeństwa Smart In

POLITYKA OCHRONY DANYCH OSOBOWYCH

Przesłanki przetwarzania danych osobowych zgodnie z prawem. dr Jarosław Greser

POLITYKA PRYWATNOŚCI

Nadzór nad przetwarzaniem danych osobowych zgodnie z RODO

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Polityka Ochrony Danych Osobowych w Dietetica- Ewa Stachowska

Umowa powierzenia przetwarzania danych osobowych,

3) ograniczenie przetwarzania oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;

REASEKURACJA A IDD i RODO. Anna Tarasiuk, radca prawny, partner

Opracował Zatwierdził Opis nowelizacji

Monitorowanie systemów IT

Umowa nr powierzenia przetwarzania danych osobowych w związku z realizacją

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej sp. z o.o. w Nowej Soli.

Nadzór nad przetwarzaniem kadrowych danych osobowych zgodnie z RODO

Czym jest RODO? Jak można skorzystać z przysługujących praw? Kim jest administrator danych osobowych (ADO) Kim jest podmiot przetwarzający?

POLITYKA OCHRONY PRYWATNOŚCI

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH ( Umowa Powierzenia")

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH - WZÓR. zawarta w dniu... w. pomiędzy:

Polityka Bezpieczeństwa Danych Osobowych

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Ochrona danych osobowych w biurach rachunkowych

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

POLITYKA PRYWATNOŚCI

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W W FIRMIE MIROSŁAWA BANDYK PROWADZĄCEGO DZIAŁALNOŚĆ GOSPODARCZĄ POD NAZWĄ BUD MI-K F.R.B.

Nowe przepisy i zasady ochrony danych osobowych

POLITYKA PRZETWARZANIA DANYCH OSOBOWYCH W KANCELARII: PATRYCJA JANKOWSKA KANCELARIA RADCY PRAWNEGO. Warszawa, r.

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Dworek Bielin Sp. z o.o.

POLITYKA PRYWATNOŚCI

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. zawarta w dniu... pomiędzy zwana dalej Przetwarzającym

PRELEGENT Przemek Frańczak Członek SIODO

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. Niniejsza umowa została zawarta w Kluczborku w dniu. r. roku przez:

inny podmiot, który przetwarza dane osobowe w imieniu administratora;

Umowa nr ADO/.../... powierzenia przetwarzania danych osobowych

Zarządzenie nr 38 Rektora Uniwersytetu Jagiellońskiego z 30 maja 2018 roku. w sprawie: ochrony danych osobowych w Uniwersytecie Jagiellońskim

Opracowanie dotyczące zasad ochrony danych osobowych po zmianach wprowadzanych przez rozporządzenie RODO

Spis treści. Wykaz skrótów... Wprowadzenie...

Szkolenie. Ochrona danych osobowych

PROCEDURA REALIZACJI PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ VISUS II SP.Z O.O. W STARACHOWICACH

ZAŁĄCZNIK SPROSTOWANIE

KLAUZULA INFORMACYJNA DLA OSÓB Z KTÓRYMI ZAWARTO UMOWY CYWILNOPRAWNE (DOSTAWY, USŁUGI I ROBOTY BUDOWLANE) Data: r.

POLITYKA PRYWATNOŚCI SERWISU

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA PRYWATNOŚCI W PIAST GROUP SP. Z O.O.

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. Miejskim Szpitalem Zespolonym w Olsztynie, Olsztyn, ul. Niepodległości 44

Ochrona Danych Osobowych wg RODO

RODO w firmie transportowej RADCA PRAWNY PAWEŁ JUDEK

Ustawa. o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw

Europejski Fundusz Rolny na rzecz Rozwoju Obszarów Wiejskich: Europa inwestuje w obszary wiejskie

w Grupie 3S REGULAMIN PRZETWARZANIA DANYCH OSOBOWYCH

Umowa powierzenia przetwarzania danych osobowych. nr.. zawarta w dniu...

Strony postanowiły zawrzeć umowę o następującej treści:

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH Szkoły Podstawowej nr 3 im. Henryka Brodatego w Złotoryi

POLITYKA BEZPIECZEŃSTWA

POLITYKA REALIZACJI PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ

Umowa powierzenia przetwarzania danych osobowych

ZASADY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Procedura realizacji praw osób fizycznych

Ochrona danych osobowych w biurach rachunkowych

Radom, 13 kwietnia 2018r.

RODO Nowe zasady przetwarzania danych osobowych. radca prawny Piotr Kowalik Koszalin, r.

USTAWA z dnia 29 października 2010 r. o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw 1)

Pierwsze doświadczenia w wykonywaniu funkcji IODy

Transkrypt:

Stosowanie rodo w księgowości obowiązki w zakresie ochrony danych osobowych Prowadzący: dr Dariusz Wasiak i mgr inż. Tomasz Radziszewski Leximum Jabłoński i Wspólnicy sp. z o.o. sp. k.

Dzień dobry: kontrola i co dalej? (1) Ustawa z dnia 10 marca 2018 r. o ochronie danych osobowych (DzU z 2018 r., poz. 1000 ze zm.) stanowi, że: Kontrolę przeprowadza upoważniony przez Prezesa Urzędu Ochrony Danych Osobowych: pracownik Urzędu, członek lub pracownik organu nadzorczego państwa członkowskiego Unii Europejskiej w przypadku, o którym mowa w art. 62 rozporządzenia 2016/679, zwany kontrolującym (art. 79 ust. 1 uodo). Kontrolę przeprowadza się po okazaniu imiennego upoważnienia wraz z legitymacją służbową, a w przypadku kontrolującego, o którym mowa w art. 79 ust. 1 pkt 2, po okazaniu imiennego upoważnienia wraz z dokumentem potwierdzającym tożsamość (art. 81 ust. 1 uodo).

Dzień dobry: kontrola i co dalej? (2) Rada Ministrów określi, w drodze rozporządzenia, wzór legitymacji służbowej pracownika Urzędu, mając na względzie potrzebę zapewnienia możliwości identyfikacji osób uprawnionych do przeprowadzania kontroli oraz wykonywania innych czynności służbowych (art. 47 uodo). Dotychczasowe przepisy wykonawcze wydane na podstawie art. 22a ustawy uchylanej w art. 175 zachowują moc do dnia wejścia w życie przepisów wykonawczych wydanych na podstawie art. 47 niniejszej ustawy, jednak nie dłużej niż 12 miesięcy od dnia jej wejścia w życie (art. 165 uodo).

Dzień dobry: kontrola i co dalej? (3) Imienne upoważnienie do przeprowadzenia kontroli zawiera: wskazanie podstawy prawnej przeprowadzenia kontroli; oznaczenie organu; imię i nazwisko, stanowisko służbowe kontrolującego oraz numer legitymacji służbowej, a w przypadku kontrolującego, o którym mowa w art. 79 ust. 1 pkt 2, imię i nazwisko oraz numer dokumentu potwierdzającego tożsamość; określenie zakresu przedmiotowego kontroli; oznaczenie kontrolowanego; wskazanie daty rozpoczęcia i przewidywanego terminu zakończenia czynności kontrolnych; podpis Prezesa Urzędu; pouczenie kontrolowanego o jego prawach i obowiązkach; datę i miejsce wystawienia upoważnienia.

Dzień dobry: kontrola i co dalej? (4) Kontrolujący ma prawo: wstępu w godzinach od 6.00 do 22.00 na grunt oraz do budynków, lokali lub innych pomieszczeń; wglądu do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli; przeprowadzać oględziny miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych; żądać złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchiwać w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu faktycznego; zlecać sporządzanie ekspertyz i opinii.

Dzień dobry: kontrola i co dalej? (5) W celu realizacji swoich zadań Prezes Urzędu ma prawo dostępu do informacji objętych tajemnicą prawnie chronioną, chyba że przepisy szczególne stanowią inaczej (art. 64). Prezes Urzędu może upoważnić do udziału w kontroli osobę posiadającą wiedzę specjalistyczną, jeżeli przeprowadzenie czynności kontrolnych wymaga takiej wiedzy. Przepisy art. 80 i art. 81 ust. 2 stosuje się (art. 82 ust. 1 uodo).

Dzień dobry: kontrola i co dalej? (6) Strona może zastrzec informacje, dokumenty lub ich części zawierające tajemnicę przedsiębiorstwa, przedstawiane Prezesowi Urzędu. W takim przypadku strona jest obowiązana przedstawić Prezesowi Urzędu również wersję dokumentu niezawierającą informacji objętych zastrzeżeniem (art. 65 ust. 1 uodo). W przypadku nieprzedstawienia wersji dokumentu niezawierającej informacji objętych zastrzeżeniem zastrzeżenie uważa się za nieskuteczne. Prezes Urzędu może uchylić zastrzeżenie, w drodze decyzji, jeżeli uzna, że informacje, dokumenty lub ich części nie spełniają przesłanek do objęcia ich tajemnicą przedsiębiorstwa.

Dzień dobry: kontrola i co dalej? (7) Czynności kontrolnych dokonuje się w obecności kontrolowanego lub osoby przez niego upoważnionej. Kontrolowany jest obowiązany do pisemnego wskazania osoby upoważnionej do reprezentowania go w trakcie kontroli (art. 83 ust. 1 2 uodo).

Dzień dobry: kontrola i co dalej? (8) W razie nieobecności kontrolowanego lub osoby przez niego upoważnionej upoważnienie do przeprowadzenia kontroli oraz legitymacja służbowa lub dokument potwierdzający tożsamość mogą być okazane: osobie czynnej w lokalu przedsiębiorstwa w rozumieniu art. 97 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny lub przywołanemu świadkowi, jeżeli jest funkcjonariuszem publicznym w rozumieniu art. 115 13 ustawy z dnia 6 czerwca 1997 r. Kodeks karny, niebędącemu pracownikiem Urzędu albo osobą, o której mowa w art. 80 ust. 1 (art. 83 ust. 3 uodo).

Dzień dobry: kontrola i co dalej? (9) W uzasadnionych przypadkach przebieg kontroli lub poszczególne czynności w jej toku, po uprzednim poinformowaniu kontrolowanego, mogą być utrwalane przy pomocy urządzeń rejestrujących obraz lub dźwięk. Informatyczne nośniki danych (w rozumieniu ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne), na których zarejestrowano przebieg kontroli lub poszczególne czynności w jej toku, stanowią załącznik do protokołu kontroli (art. 84 ust. 4 uodo).

Dzień dobry: kontrola i co dalej? (10) W razie jakichkolwiek wątpliwości należy potwierdzić kontrolę w UODO, choćby telefonicznie!!! w szczególności te niezapowiedziane. Wynika to z obowiązku, o którym mowa w art. 25 rodo.

Dane Dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ( osobie, której dane dotyczą ). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie takiego identyfikatora, jak: imię i nazwisko; numer identyfikacyjny; dane o lokalizacji; identyfikator internetowy; jeden lub kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Przetwarzanie danych Przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany. Do operacji tych zalicza się: zbieranie; utrwalanie; organizowanie, porządkowanie; przechowywanie; adaptowanie lub modyfikowanie; pobieranie; przeglądanie; wykorzystywanie; ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie; dopasowywanie lub łączenie; ograniczanie; usuwanie lub niszczenie (art. 4 rodo)

Zmiany wprowadzone przez rodo w sektorze finansów publicznych Ustawa z dnia 29 września 1994 r. o rachunkowości (tekst jedn. DzU z 2018 r., poz. 395 ze zm.). Ustawa z dnia 27 sierpnia 2009 r. o finansach publicznych (tekst jedn. DzU z 2017 r., poz. 2077 ze zm.). Ustawa z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (tekst jedn. DzU z 2018 r., poz. 217 ze zm.). Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy (tekst jedn. DzU z 2018 r., poz. 917 ze zm.). Ustawa z dnia 10 stycznia 2018 r. o zmianie niektórych ustaw w związku ze skróceniem okresu przechowywania akt pracowniczych oraz ich elektronizacją (DzU z 2018 r., poz. 357). Krajowe standardy rachunkowości?

Typowe naruszenia ochrony danych w księgowości Do typowych i niestety wciąż aktualnych naruszeń ochrony danych należy zaliczyć : brak szkoleń stanowiskowych pracowników; niezabezpieczenie dokumentacji; dostęp do pomieszczeń pod nieobecność urzędnika; niewłaściwy sposób niszczenia dokumentów; udostępnianie informacji osobom nieuprawnionym; przesyłanie i odbieranie informacji za pośrednictwem otwartych e-maili; pracę zabieraną do domu ; brak identyfikacji użytkownika systemu udostępnianie haseł; wymianę informacji z koleżanką lub kolegą z pracy; a także np. przenoszenie dokumentów, w tym nośników pomiędzy budynkami lub pokojami;..

Niezbędne składowe polityki bezpieczeństwa danych Zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych (motyw 26 rodo). Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa wyżej, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych (art. 24 rodo).

Legalność przetwarzania danych (1) Ochrona wynikająca z rodo powinna mieć zastosowanie do osób fizycznych niezależnie od ich obywatelstwa czy miejsca zamieszkania w związku z przetwarzaniem ich danych osobowych. Przepisy rodo nie dotyczą przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej (motyw 14 rodo).

Legalność przetwarzania danych (2) Wszelkie przetwarzanie danych osobowych powinno być zgodne z prawem i rzetelne (motyw 39 rodo, art. 5 7 rodo). Szczególnej ochrony danych osobowych wymagają dzieci, gdyż mogą one być mniej świadome ryzyka, konsekwencji, zabezpieczeń i praw przysługujących im w związku z przetwarzaniem danych osobowych (motyw 38 rodo). Przepisy rodo nie mają zastosowania do danych osobowych osób zmarłych. Państwa członkowskie mogą przyjąć przepisy o przetwarzaniu danych osobowych osób zmarłych (motyw 27 rodo).

Legalność przetwarzania danych (3) Przepisy rodo mają zastosowanie między innymi do działań sądów i innych organów wymiaru sprawiedliwości, niemniej prawo Unii lub prawo państwa członkowskiego może doprecyzować operacje i procedury przetwarzania danych osobowych przez sądy i inne organy wymiaru sprawiedliwości. Właściwość organów nadzorczych nie powinna dotyczyć przetwarzania danych osobowych przez sądy w ramach sprawowania wymiaru sprawiedliwości tak by chronić niezawisłość sprawowania wymiaru sprawiedliwości (motyw 20 rodo).

Legalność przetwarzania danych (4) Przepisy rodo nie mają zastosowania do przetwarzania danych osobowych przez osobę fizyczną w ramach działalności czysto osobistej lub domowej, czyli bez związku z działalnością zawodową lub handlową. Działalność osobista lub domowa może między innymi polegać na korespondencji i przechowywaniu adresów, podtrzymywaniu więzi społecznych oraz działalności internetowej podejmowanej w ramach takiej działalności. Przepisy rodo mają jednak zastosowanie do administratorów lub podmiotów przetwarzających, którzy udostępniają środki przetwarzania danych osobowych na potrzeby takiej działalności osobistej lub domowej (motyw 18 rodo).

Zasada rozliczalności Administrator jest odpowiedzialny za przestrzeganie przepisów rodo i musi być w stanie wykazać ich przestrzeganie ( rozliczalność ) (art. 5 rodo). Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych (art. 7 rodo).

Podstawy przetwarzania danych Art. 6 rodo dane tzw. zwykłe. Art. 9 rodo dane szczególnej kategorii (sensytywne): szczególne kategorie danych osobowych zasługujące na większą ochronę powinny być przetwarzane do celów zdrowotnych wyłącznie w przypadkach, gdy jest to niezbędne do realizacji tych celów z korzyścią dla osób fizycznych i ogółu społeczeństwa (motyw 53 rodo); z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego niezbędne może być przetwarzanie szczególnych kategorii danych osobowych bez zgody osoby, której dane dotyczą (motyw 54 rodo); przetwarzanie danych osobowych przez organy publiczne do celów określonych w prawie konstytucyjnym lub prawie międzynarodowym publicznym oficjalnie uznanych związków wyznaniowych odbywa się w interesie publicznym (motyw 55 rodo); Art. 9 ust. 2 rodo. Art. 10 rodo dane o naruszeniach prawa w zgodzie z art. 6 ust. 1 rodo.

Dane szczególnej kategorii (1) Do danych dotyczących zdrowia należy zaliczyć wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą. Do danych takich należą: informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej; numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby fizycznej do celów zdrowotnych; informacje pochodzące z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych; wszelkie informacje, na przykład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła, którym może być na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne in vitro (motyw 35 rodo).

Dane szczególnej kategorii (2) Zdrowie publiczne w kontekście działań władzy publicznej należy interpretować jako wszystkie elementy związane ze zdrowiem, mianowicie: stan zdrowia, w tym zachorowalność i niepełnosprawność; czynniki warunkujące stan zdrowia; potrzeby w zakresie opieki zdrowotnej; zasoby opieki zdrowotnej; oferowane usługi opieki zdrowotnej i powszechny dostęp do nich; wydatki na opiekę zdrowotną i sposób jej finansowania oraz przyczyny zgonów. Przetwarzanie danych dotyczących zdrowia z uwagi na względy interesu publicznego nie powinno skutkować przetwarzaniem danych osobowych do innych celów przez strony trzecie, takie jak pracodawcy czy zakłady ubezpieczeń i banki (motyw 54 rodo).

Dane szczególnej kategorii (3) Dane dotyczące zdrowia oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej (w tym o korzystaniu z usług opieki zdrowotnej) ujawniające informacje o stanie jej zdrowia (art. 4 pkt 15 rodo). Dane genetyczne należy zdefiniować jako dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, uzyskane z analizy próbki biologicznej danej osoby fizycznej, w szczególności z analizy chromosomów, kwasu dezoksyrybonukleinowego (DNA) lub kwasu rybonukleinowego (RNA) lub z analizy innych elementów umożliwiających pozyskanie równoważnych informacji.

Upoważnienia do przetwarzania danych Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego (art. 29 rodo).

Obowiązek informacyjny Art. 11 rodo Art. 13 rodo Art. 14 rodo

Obowiązek informacyjny a zawierane umowy Modelowy proces realizacji obowiązku informacyjnego w związku z zawartymi umowami z uwzględnieniem wyłączeń, o których mowa w art. 13 i 14 rodo.

Umowa powierzenia przetwarzania danych Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które: podlegają prawu Unii lub prawu państwa członkowskiego; wiążą podmiot przetwarzający i administratora; określają przedmiot i czas trwania przetwarzania; określają charakter i cel przetwarzania; określają rodzaj danych osobowych; określają kategorie osób, których dane dotyczą; określają obowiązki i prawa administratora (art. 28 rodo).

Udostępnianie danych Organy publiczne, którym ujawnia się dane osobowe w związku z ich prawnym obowiązkiem sprawowania funkcji publicznej (takich jak organy podatkowe, organy celne, finansowe jednostki analityki finansowej, niezależne organy administracyjne czy organy rynków finansowych regulujące i nadzorujące rynki papierów wartościowych), nie powinny być traktowane jako odbiorcy, jeżeli otrzymane przez nie dane osobowe są im niezbędne do przeprowadzenia określonego postępowania w interesie ogólnym zgodnie z prawem Unii lub prawem państwa członkowskiego. Żądanie ujawnienia danych osobowych, z którym występują takie organy publiczne, powinno zawsze mieć formę pisemną, być uzasadnione, mieć charakter wyjątkowy, nie powinno dotyczyć całego zbioru danych ani prowadzić do połączenia zbiorów danych. Przetwarzając otrzymane dane osobowe, takie organy powinny przestrzegać mających zastosowanie przepisów o ochronie danych, zgodnie z celami przetwarzania (motyw 31 rodo).

Nowy pracownik Modelowy proces wprowadzenia nowego pracownika do organizacji bez szkody dla pracownika i pracodawcy w związku z możliwością wystąpienia naruszeń ochrony danych.

Zgoda na przesyłanie faktury Art. 106n ustawy z dnia 11 marca 2004 r. o podatku od towarów i usług (tekst jedn. DzU z 2017 r., poz. 1221 ze zm.) 1. Stosowanie faktur elektronicznych wymaga akceptacji odbiorcy faktury. 2. W przypadku przesyłania lub udostępniania temu samemu odbiorcy jednocześnie więcej niż jednej faktury elektronicznej dane wspólne dla poszczególnych faktur mogą zostać podane tylko raz, o ile dla każdej faktury są dostępne wszystkie te dane.

Kryteria ustalania retencji danych Ustawa z dnia 29 września 1994 r. o rachunkowości (tekst jedn. DzU z 2018 r., poz. 395 ze zm.). Ustawa z dnia 27 sierpnia 2009 r. o finansach publicznych (tekst jedn. DzU z 2017 r., poz. 2077 ze zm.). Ustawa z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (tekst jedn. DzU z 2018 r., poz. 217 ze zm.). Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy (tekst jedn. DzU z 2018 r., poz. 917 ze zm.). Ustawa z dnia 10 stycznia 2018 r. o zmianie niektórych ustaw w związku ze skróceniem okresu przechowywania akt pracowniczych oraz ich elektronizacją (DzU z 2018 r., poz. 357).

Usuwanie danych Modelowy proces usuwania danych przy uwzględnieniu praw jednostki.

Niszczenie dokumentacji Skuteczne niszczenie dokumentacji w rozumieniu normy DIN oraz zdefiniowanego procesu w organizacji. Nadmierne niszczenie dokumentów. Podmiot zewnętrzny w procesie niszczenia dokumentów.

Monitoring pracowników Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy a ustawa z dnia 10 marca 2018 r. o ochronie danych osobowych i rodo.

Monitoring klientów Art. 7, 31, 42, 47, 49, 51 Konstytucji Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r. (DzU nr 78, poz. 483 ze zm.). Art. 6 ust. 1 lit. a, b, c, e, f rodo? Art. 9 ust. 2 lit. b rodo? Art. 11 rodo? Art. 13 rodo? Art. 14 rodo?

Rejestr czynności przetwarzania Każdy administrator oraz gdy ma to zastosowanie przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają (art. 30 rodo).

Ocena skutków dla ochrony danych Jeżeli dany rodzaj przetwarzania w szczególności z użyciem nowych technologii ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę. Dokonując oceny skutków dla ochrony danych, administrator konsultuje się z inspektorem ochrony danych, jeżeli został on wyznaczony (art. 35 rodo).

Uprzednie konsultacje Jeżeli ocena skutków dla ochrony danych, o której mowa w art. 35 rodo, wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator konsultuje się z organem nadzorczym (art. 36 rodo).

Rodzaje incydentów a obowiązek zgłaszania naruszeń W przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia (art. 33 rodo).

Metodyka obsługi incydentów Omówienie modelowej procedury obsługi incydentów i jej zasięgu oddziaływania w organizacji.

Realizacja praw jednostki Omówienie modelowej procedury realizacji praw jednostki i jej zasięgu oddziaływania w organizacji.

Przejrzystość Administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem w szczególności gdy informacje są kierowane do dziecka udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14, oraz prowadzić z nią wszelką komunikację (art. 12 rodo).

Procedura rozpatrywania wniosków w zakresie ochrony (z nawiązaniem do art. 12 rodo) Omówienie modelowej procedury realizacji rozpatrywania wniosków w zakresie ochrony.

Audyt według rodo Audyt realizowany w ramach własnych zasobów (pracowników) zakres, oczekiwania i rzeczywistość. Audyt realizowany za pośrednictwem podmiotów zewnętrznych zakres, oczekiwania i rzeczywistość.

Audyt w ramach kontroli finansowej Ustawa z dnia 11 maja 2017 r. o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym (DzU z 2017 r., poz. 1089 ze zm.) a przepisy rodo.

Zamówienia publiczne Ustawa z dnia 29 stycznia 2004 r. Prawo zamówień publicznych (tekst jedn. DzU 2018, poz. 1986 ze zm.): modelowy proces realizacji obowiązku informacyjnego; wyłączenia spod elektronizacji postępowania; e-dokumenty; e-podpis; kwalifikowany podpis elektroniczny osób upoważnionych.

Informacja publiczna Ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej (tekst jedn. DzU z 2018 r., poz. 1330 ze zm.) a ochrona danych osobowych. Projekt ustawy o jawności życia publicznego a ochrona danych osobowych.

Rola inspektora ochrony danych Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania tych zadań. Nie jest on odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. Inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego (art. 38 rodo). Modelowy proces działania IOD w instytucjach publicznych z uwzględnieniem przypadków notorycznego braku realizowania zaleceń wydanych administratorowi danych.

Certyfikacja Certyfikacja jest dobrowolna, a proces jej uzyskania musi być przejrzysty. Certyfikacja nie wpływa na spoczywający na administratorze lub podmiocie przetwarzającym obowiązek przestrzegania rodo i pozostaje bez uszczerbku dla zadań i uprawnień organów nadzorczych (art. 42 rodo).

Omówienie wybranego orzecznictwa. Orzecznictwo

Dokumentacja ochrony danych osobowych na kanwie ustawy z 1997 r. W czym nam może jeszcze pomóc dokumentacja ochrony danych sporządzona na podstawie ustawy z 1997 r.?

Efektywne modele ochrony danych Prezentacja dwóch modeli realizowania efektywnej ochrony danych.

Zasady kryptograficzne Modelowy proces szyfrowania danych. Przypadki konieczności stosowania zasad kryptograficznych.

Odpowiedzialność Pracownicza Administracyjna Karna Cywilna Społeczna (wizerunkowa)

Dziękujemy za uwagę Dariusz Wasiak tel. 503 031 715 Tomasz Radziszewski tel. 509 202 997