10 Wrz

Czym są czynności przetwarzania w rejestrze czynności?

Rejestr czynności przetwarzania jest tematem pojawiającym się właściwie na każdym moim szkoleniu i w większości dyskusji. O zasadach tworzenia i prowadzenia rejestru pisałam tutaj. Jednakże już na pierwszy rzut oka, można zauważyć, że przyjęłam inną zasadę tworzenia rejestru, niż podany na stronach urzędu ochrony danych osobowych wzór: wyjaśnienia Prezesa UODO jak prowadzić rejestr czynności

Na stronie zostały zamieszczone Wskazówki i wyjaśnienia dotyczące obowiązku z art. 30 ust. 1 i 2 RODO, przygotowane przez pracowników UODO, Panią Monikę Młotkiewicz oraz dr inż Andrzeja Kaczmarka. W podanym przykładzie autorzy posługują się “czynnościami na danych” bardzo szczegółowo rozbijając je dla poszczególnych zbiorów. Wynika to z interpretacji “czynności przetwarzania”, jako zespołu powiązanych ze sobą operacji na danych, wykonywanych przez jedną lub kilka osób, które można określić w sposób zbiorczy, w związku z celem, w jakim te czynności są podejmowane.

W 2016 roku, pod patronatem GIODO, ukazał się bardzo dobry i prosty poradnik Wykonywanie obowiązków ABI, przyszłego inspektora ochrony danych, w świetle ogólnego rozporządzenia o ochronie danych osobowych, pod redakcją “autorytetów RODO”, m.in. dr Edyty Bielak-Jomaa, Piotra Drobka, dr Macieja Kaweckiego. W poradniku jeden z rozdziałów został poświęcony zagadnieniu prowadzenia rejestru czynności przetwarzania, w którym dr inż. Andrzej Kaczmarek wyjaśnia: Read More

28 Sie

Czy z prawnikiem lub kancelarią prawną trzeba podpisać powierzenie danych w związku z obsługą prawną?

Temat umów powierzenia jest bardzo aktualny. Niektóre przypadki są bardzo proste i jednoznaczne, np. powierzenie danych do biura rachunkowego, inne wymagają dłuższego rozważania. Przyznaję, że niektóre tematy są tak skomplikowane, że nie znając biegle danych przepisów sektorowych, sama mam z nimi problemy. Jednym z bardziej skomplikowanych zagadnień jest korzystanie z obsługi prawnej.

Zgodnie z artykułem 28 RODO, jeżeli administrator danych korzysta z usług innych podmiotów, które przetwarzają dla niego dane, do powinien przed zleceniem usług, podpisać umowę powierzenia danych (lub skorzystać z innego dopuszczalnego instrumentu prawnego). W związku z tym wielu administratorów zaczęło się zastanawiać, czy jeżeli korzysta z obsługi prawnej, np. radcy prawnego lub kancelarii, to musi zawrzeć umowę powierzenia. Bardzo często kancelarie i radcy prawni odmawiają zawarcia umowy powierzenia danych na obsługę prawną. Czy słusznie? W związku z pojawiającymi się wątpliwościami, został opracowany Poradnik dla radców prawnych i adwokatów: Ogólne rozporządzenie o ochronie danych osobowych (RODO). Autorami poradnika są adw. Xawery Konarski, adw. dr Grzegorz Sibiga, r.pr. Dominika Nowak, adw. Katarzyna Syska, Iga Małobęcka – osoby znane w branży, które od lat zajmują się zagadnieniami ochrony danych.

Read More

22 Sie

Studia podyplomowe dla IOD – co polecam

Szkolenia, szkoleniami, ale jeżeli chcecie na poważnie zajmować się ochroną danych osobowych i być profesjonalnym IOD, prędzej czy później trzeba będzie zdobyć kierunkowe wykształcenie. Jeżeli już zaczynacie o tym myśleć, to polecam Wam BARDZO dobre studia podyplomowe w Lublinie. Taniej niż w Warszawie, a przede wszystkim postawiono na konkrety. To są studia, na których nie tylko zrozumiecie dlaczego, ale dowiecie się jak pewne rzeczy zrobić.

Pamiętajcie, że IOD musi ciągle się kształcić i podnosić swoje kwalifikacje (tak, tak ja też to robię, chociaż miny współuczestników wskazują, że są zaskoczeni, że “ktoś taki” uczy się też od innych). Kilka lat temu zrobiłam studia podyplomowe z ochrony danych. Byłam już doświadczonym praktykiem i powiem szczerze, że radziłam sobie z większością problemów, spotykanych w codziennej pracy ówczesnego ABI. Jednak ciągle brakowało mi pewności siebie w dyskusjach z innymi ekspertami. Brakowało mi też w CV czegoś co potwierdzałoby moje wysokie kwalifikacje. Dzisiaj jestem już krok dalej i sama wykładam, ucząc innych, jak przełożyć przepisy na praktykę. Dlatego wiem, że studia dają bardzo dużo. Układają wiedzę w głowie, pozwalają zrozumieć jakie były intencje wprowadzenia konkretnych zapisów. Dużo łatwiej pracuje się z przepisami, gdy ma się doskonale opanowaną teorię (mówię to nie tylko jako ekspert odo, ale także matematyk).

Wraz z Łukaszem Wojciechowskim, który jest dla mnie jedynym z najlepszych ekspertów odo, jakich kiedykolwiek spotkałam, który potrafi opowiadać o RODO w sposób zabawny i fascynujący, zapraszamy Was na studia podyplomowe do Lublina. Wśród wykładowców znajdziecie świetnych praktyków (w tym mnie i Łukasza). Pomożemy Wam zrozumieć RODO i stosować je w praktyce.

Wszystkie informacje dotyczące nowego kierunku, programu, kadry i odpłatności za studia dostępne są na stronie internetowej Centrum Studiów Podyplomowych WSEI w Lublinie.

 

08 Sie

Czy IOD może wyjechać na wakacje?

Do napisania tego wpisu skłoniły mnie powtarzające się pytania od moich studentów (studia w Białymstoku już trwają, ale macie jeszcze możliwość zapisać się na moje zajęcia w Lublinie) oraz wpis cenionego przeze mnie prawnika i blogera, Wojtka Wawrzaka na jego firmowym fejsbuku (ponieważ jest to post publiczny, z profilu prowadzonego pod hasłem “osoba publiczna” pozwalam sobie na cytat):

Kiedyś przychodzi ten czas, gdy czujesz, że już naprawdę musisz odpocząć. U mnie przyszedł w czerwcu. Po szalonym półroczu wypełnionym nauką, egzaminem zawodowy, a potem RODO. Był taki moment, gdy nad tym całym RODO pracowałem dla klientów po 10-12 godzin dziennie i gdy to szaleństwo się skończyło, poczułem, że w końcu muszę odpocząć.

W założeniach przerwach miała trwać dwa miesiące. W praktyce przez lipiec kończyłem jeszcze to, co obiecałem, że zrobię. Uporałem się z tym, co pilne, resztę w porozumieniu z klientami odłożyłem na wrzesień. Po to, by chociaż ten jeden miesiąc porządnie odpocząć.

(….) Po raz pierwszy od grudnia 2014 r., gdy zacząłem pracować na swoim, poczułem, że potrzebuję totalnego odpoczynku.

Sam w pewnym momencie dałem się ponieść kultowi pracy, byciu wiecznie zajętym, zaangażowaniu ponad swoje siły. Czasem okazuje się, że danie sobie prawa do odpoczynku jest trudniejsze niż ciągłe ciśnięcie na 100%. Daję sobie jednak takie prawo. Potrzebuję i chcę odpocząć. Jestem przekonany, że wyjdzie mi to tylko na dobre. Tym bardziej, że na jesień mam kilka wyzwań… ale o tym już innym razem.

Co prawda Wojtek nie jest IOD, ale ten post… Długo nie dawał mi spokoju. Jego sytuacja i problemy niczym nie różnią się od sytuacji IOD, który sam jest sterem, żeglarzem, okrętem. Wojtek jest profesjonalistą, który świadczy usługi doradcze od 4 lat, jego dostępność niczym nie różni się od dostępności IOD. Kiedy idzie na urlop, nie ma osoby, która byłaby w stanie skutecznie go zastąpić (gdyby było inaczej, nie miałby problemu z urlopem). Dokładnie takie same problemy ma przeciętny IOD, szczególnie ten obsługujący podmioty publiczne lub działający jako firma zewnętrzna. Większość moich studentów pracuje w podmiotach publicznych i obawiają się, że gdy pójdą na urlop “świat się zawali”. Poza tym nagle, gdy zbliża się weekend lub dni wolne pracownicy przypominają sobie o zdarzeniach, które mogą stanowić naruszenia poufności. A na urlopie, to już na pewno będzie naruszenie (kto pracuje jako IOD, wie o czym mówię). Jak żyć?  Read More

01 Sie

Rejestr kategorii przetwarzania zgodny z RODO

Najłatwiej powiedzieć, że rejestr kategorii przetwarzania, to spis umów powierzenia danych osobowych prowadzony przez procesora (podmiot, któremu dane są powierzane). Jest to bardzo pomocne narzędzie, pomagające “zapanować” nad powierzanymi danymi. Nie każdy podmiot przetwarzający ma obowiązek prowadzenia rejestru kategorii przetwarzania, jednak polecamy klientom, aby to robili (tak samo polecamy im opracowanie i prowadzenie rejestru czynności przetwarzania. Są to dwa narzędzia, które pomagają administratorom danych zapewnić skuteczny nadzór nad zgodnością przetwarzania danych z RODO.

Jak wspomniałam, nie każdy podmiot przetwarzający ma obowiązek prowadzenia rejestru kategorii przetwarzania. Dokładanie tak samo, jak przy rejestrze czynności zwolnione są te podmioty, które zatrudniają mniej niż 250 pracowników (chyba że przetwarzanie nie ma charakteru sporadycznego i może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą; lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1; lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO).

Jednak z doświadczenia wiem, że te wyłączenia nie do końca są trafione. Mam klientów, którzy spełniają warunki zwolnienia z prowadzenia rejestru kategorii przetwarzania, ale liczba umów powierzenia sięga kilkuset i więcej. Wówczas rejestr kategorii przetwarzania pomaga im skutecznie zarządzać powierzonymi danymi. Read More

18 Lip

Prawo do usuwania danych – jak i kiedy można z niego skorzystać?

RODO rozbudziło Wasze apetyty na korzystanie ze swoich praw do prywatności! Dostaję bardzo dużo wiadomości z pytaniami, jak skorzystać z prawa do usuwania danych, a także sposobu w jaki realizują lub nie to prawo, różne podmioty. Ponieważ macie sporo wątpliwości w tym zakresie, szczególnie wtedy, gdy administrator danych odmawia prawa do usunięcia danych (lub gdy działacie w imieniu administratora i dokonujecie analizy, czy prawo do usunięcia przysługuje), postanowiłam opisać prawo do usuwania danych w formie pytań i odpowiedzi.

Czy każdemu przysługuje prawo do usuwania danych?

Tak, każda osoba fizyczna ma prawo do wnioskowania o usuwanie jej danych. Uwaga nie jest to prawo przysługujące firmom i przedsiębiorcom (na mocy RODO). Zawsze masz prawo wnioskować, jednak nie zawsze to prawo będzie Ci przysługiwać.

Kiedy administrator danych ma obowiązek usunąć dane na mój wniosek?

Zgodnie z artykułem 17 RODO, administrator danych ma obowiązek bez zbędnej zwłoki usunąć Twoje dane, gdy oto prosisz, jeżeli: Read More

09 Lip

Jakie obowiązki ma Inspektor Ochrony Danych?

Nowelizacja „starej” ustawy o ochronie danych osobowych, wprowadzona w 2015 roku miała przygotować administratorów danych osobowych do RODO. Wprowadziła nową, niż dotychczasowa, rolę Administratora Bezpieczeństwa Informacji. Generalny Inspektor Ochrony Danych w wypowiedziach związanych z nowelizacją przepisów, podkreślał, że zmiany mają przygotować przedsiębiorców na projektowane Rozporządzenie o ochronie danych (RODO). Rolę i obowiązki ABI określono w rozdziale  (Zabezpieczenie danych osobowych) „starej” ustawy o ochronie danych osobowych (Dz.U. 2016 poz. 922).

Wśród obowiązków ABI było zapewnienie przestrzegania przepisów o ochronie danych osobowych, w szczególności poprzez:

a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,

b) nadzorowanie opracowania i aktualizowania dokumentacji oraz przestrzegania zasad w niej określonych,

c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;

a także prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych.

Sposób realizacji obowiązków ABI określały dwa rozporządzenia wykonawcze do ustawy:

  • Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji
  • Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych

Jednocześnie ustawa dawała możliwość powierzenia ABI innych obowiązków, jeżeli nie naruszy to prawidłowego realizowania przez niego swoich głównych zadań, związanych z nadzorem nad zgodnością przetwarzania danych.

Mówiąc krótko, dotychczasowe przepisy dosyć szczegółowo określały zakres obowiązków ABI.

Jak wyglądają obowiązki nowego ABI, czyli Inspektora Ochrony Danych w świetle przepisów RODO? Read More

20 Cze

Umowy zlecenia a RODO

Czy zgodnie z RODO należy prosić zleceniobiorcę o wyrażenie zgody na przetwarzanie jego danych osobowych? Jak powinna brzmieć zgoda zleceniobiorcy i gdzie należy ją umieścić? Jak wypełnić obowiązek informacyjny wobec niego?

To tylko kilka wątpliwości, które przewijają się w Waszych mailach do mnie w związku ze zmianami wynikającymi z RODO. Przede wszystkim chciałabym podkreślić, że RODO to nie rewolucja, a ewolucja dotychczasowych zasad ochrony danych osobowych i w zakresie legalności przetwarzania danych osobowych zleceniobiorców nic nie uległo zmianie. Read More

05 Cze

Czy trzeba prosić o zgodę na przetwarzanie danych w związku z wystawieniem faktury

Na wstępie należy podkreślić, że zgoda to nie jedyna podstawa do legalnego przetwarzania danych. Tak naprawdę po zgodę sięgamy dopiero wtedy, gdy nie mamy innej przesłanki legalizującej przetwarzanie. Skupię się na danych zwykłych, czyli takich danych, które są zbierane do wystawienia faktury.

Zgodnie z art. 6 RODO:
1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; Read More

23 Maj

Pakiet RODO PLUS – dla małych przedsiębiorców

Jeżeli:

  • Prowadzisz jednoosobową działalność gospodarczą lub małą firmę
  • Zatrudniasz kilku pracowników / masz kilku podwykonawców
  • Wszyscy straszą Cię RODO, a Ty nie wiesz co z tym zrobić i nigdzie nie możesz otrzymać pomocy (lub nie możesz jej otrzymać w rozsądnej cenie)
  • Zależy Ci, aby jak najszybciej dostosować swoją działalność do RODO
  • Twoja działalność nie wymaga bardzo skomplikowanych procedur w zakresie ochrony danych, bo właściwie niewiele danych przetwarzacie (w odróżnieniu od biur rachunkowych, czy agencji reklamowych)

Zainteresuje Cię “Pakiet RODO PLUS”. Są to wytyczne i wzory dokumentów służące do samodzielnego przygotowania się na wymagania RODO oraz zapewnienia zachowania poufności przez osoby, które pomagają Ci świadczyć usługi.

“Pakiet RODO PLUS” jest skierowany do tych drobnych przedsiębiorców, którzy chcieliby łatwo oraz szybko “ogarnąć temat RODO”.

Nie zatrudniasz pracowników? Nie przepłacaj, zamów Pakiet RODO w wersji podstawowej

“Pakiet RODO PLUS” zawiera 18 dokumentów elektronicznych w wersji edytowalnej:

  1. Skrócona informacja dla właściciela
  2. Zgoda na przetwarzanie danych osobowych
  3. Obowiązek informacyjny
  4. Ocena skutków dla ochrony danych
  5. Stosowane zasady i środki bezpieczeństwa
  6. Procedury postępowania oraz zarządzania incydentami
  7. Zgłoszenia naruszenia do organu nadzorczego
  8. Zawiadomienie osób o naruszeniu poufności ich danych
  9. Ewidencja naruszeń
  10. Wniosek o udostępnienie danych
  11. Odnotowanie informacji o udostępnieniu
  12. Umowa powierzenia przetwarzania danych osobowych
  13. Rejestr czynności przetwarzania
  14. Oświadczenie o zachowaniu poufności dla pracownika
  15. Upoważnienie do przetwarzania danych osobowych
  16. Formularz zamówienia usługi przez klienta z zapisami powierzenia danych
  17. Rejestr kategorii przetwarzania danych osobowych
  18. Zasady zachowania poufności dla pracowników

Powyższe wzory z wytycznymi mają pomóc Ci zrozumieć wymagania RODO oraz samodzielnie dostosować się do nich.

Cena całego pakietu to 499 zł + 23 % VAT (613,77 zł brutto)

Read More