fbpx

Materiały dla słuchaczy studiów podyplomowych (E5Z5)

Serdecznie dziękuję za udział w moich wykładach na studiach podyplomowych z ODO przeprowadzonych na UMCS. Poniżej znajdują się linki do prezentacji z moich wykładów. Archiwum zabezpieczone jest tym samym hasłem, które podałem Państwu na wykładach.

Materiały: Prezentacja UMCS ODO 20200229 E5Z5

Zapraszam również do zapisania się na nasz newsletter: RODO Informator

KURS RODO OD A DO Z (PRE-ORDER)

Osoby, które na co dzień zajmujące się zarządzaniem ochroną danych osobowych, mające bezpośrednią styczność z projektowaniem procesów odo lub pełniące funkcje Inspektora Ochrony Danych powinny posiadać bardziej szczegółową więdzę na temat ochrony danych osobowych niż zwykli pracownicy. Nasze szkolenie stworzone zostało dla osób wykonujących zadania które, związane są z doradztwem, monitorowaniem oraz zarządzaniem ochroną danych osobowych.

Kurs kompleksowo omawia zagadnienia ochrony danych osobowych zgodnie z RODO. Niezbędna wiedza merytoryczna rozszerzona została o przydatne przykłady sytuacji i problemów, których stosowanie RODO sprawia pewne trudności praktyczne. Dodatkowo kurs zawiera w sobie praktyczne materiały, jak szablony klauzul informacyjnych, sprawdzających się w różnych procesach zachodzących w organizacjach (rekrutacja, zatrudnienie, monitoring wizyjny).

Szkolenie jest przystępne w odbiorze – wzbogacone zostało o bardziej przyswajalny i łatwiejszy do zapamiętania sposób przedstawiania informacji – przekaz multimedialny.

Nasz kurs przygotuje również osoby chcące rozpocząc karierę zawodową w ochronie danych osobowych na wykonywanie ich zadań Inspektorów Ochrony Danych.

Kurs składa się z 115 lekcji  pogrupowanych tematycznie w 12 modułów:

  • Wstęp (5 lekcji)
  • Zagadnienia podstawowe (13 lekcji)
  • Obowiązki administratorów danych osobowych (27 lekcji)
  • Zasady zabezpieczeń, czyli podejście oparte na zasadzie ryzyka (13 lekcji)
  • Naruszenia ochrony danych (6 lekcji)
  • Rekrutacja (RODO a wybrane procesy w organizacjach) (7 lekcji)
  • Marketing B2B i B2C ( RODO a wybrane procesy w organizacjach) (6 lekcji)
  • Monitoring pracownika i monitoring wizyjny (RODO a wybrane procesy w organizacjach) (10 lekcji)
  • Jak przeprowadzić audyt RODO? (RODO w praktyce) (3 lekcje)
  • Jak wdrożyć RODO? (12 lekcji)
  • Organ nadzoru oraz odpowiedzialność prawna(5 lekcji)

Dodatkowo znajdziemy tam multimedialnych analiz konkretnych przypadków/sytuacji, które pomogą w zrozumieniu całości materiału i ułatwią jego zapamiętanie (tzw. Case study).

Co więcej kurs wzbogacono o 9 praktycznych materiałów dodatkowych do pobrania, w tym:

  • Wzory zgód w procesie rekrutacji i marketingu;
  • Wzór klauzuli informacyjnej w przypadku rekrutacji;
  • Wzór klauzuli informacyjnej w przypadku monitoringu;
  • Wzór klauzuli informacyjnej przy umowie o cywilnoprawnej;
  • Wzór umowy powierzenia danych osobwych

Kurs zakończony jest testem wiedzy składającym się z 10 pytań (wielokrotnego wyboru lub prawda/fałsz). Każdy z osób zdających otrzyma także imienny certyfikat.

Kup kurs w przedsprzedaży: KURS RODO OD A DO Z (PRE-ORDER)

Materiały dla słuchaczy studiów podyplomowych (E5Z3)

Serdecznie dziękuję za udział w moich wykładach na studiach podyplomowych z ODO przeprowadzonych na UMCS. Poniżej znajdują się linki do prezentacji z moich wykładów. Archiwum zabezpieczone jest tym samym hasłem, które podałem Państwu na wykładach.

Materiały: Prezentacja UMCS ODO 20191207 E5Z3

Zapraszam również do zapisania się na nasz newsletter: RODO Informator

KOLEJNA KARA POD REŻIMEM RODO. SPÓŁKA ZAPŁACI 201 TYS. ZŁOTYCH.

Po raz kolejny Prezes Urzędu Ochrony Danych Osobowych skorzystał z uprawnienia przewidzianego przez RODO, jakim jest nałożenie administracyjnej kary pieniężnej na podmiot naruszający treść RODO. Sankcje nałożono na spółkę ClickQuickNow, która oferuje rozwiązania marketingowe.

CO STWIERDZONO W RAMACH KONTROLI?

Urząd Ochrony Danych Osobowych przeprowadził kontrolę spółki w pierwszym kwartale 2019 roku. Jak wskazano w decyzji spółka nie zapewniła odpowiednich środków technicznych i organizacyjnych, które umożliwiałyby realizację praw podmiotów danych. W przedmiotowej sprawie organ nadzoru stwierdził naruszenia z zakresie:

  • Znaczące utrudnianie przez spółkę prawa do wycofania zgody na przetwarzanie danych osobowych

RODO przewiduje w swojej treści zasadę, zgodnie z którą wycofanie zgody na przetwarzanie danych osobowych powinno być dla podmiotu tych danych równie łatwe jak jej udzielenie. Ponadto administrator ma obowiązek ułatwiać osobom realizację ich praw (o czym traktuje art. 12 ust. 2 RODO).

W przypadku ClickQuickNow zastosowano rozwiązanie, którego proces realizacji prawa do wycofania zgody polegał nie tylko na konieczności kliknięcia w podany link, ale także uzupełnieniu przyczyny wycofania zgody (czego żadne przepisy nie przewidują). W przypadku braku podania przyczyny cały proces realizacji prawa był przerywany. By zakończyć rzeczony proces koniecznym było wysłanie dodatkowej wiadomości e-mail na dedykowany adres poczty elektronicznej, pomimo faktu, że treść komunikatu przesyłanego osobie fizycznej wskazywała na jego zakończenie.

  • Naruszenie prawa do żądania usunięcia danych osobowych („prawa do bycia zapomnianym”)

Z treści decyzji wynika również, że spółka ignorowała wnioski osób, które nie były jej klientami o usunięcie ich danych osobowych. W związku z tym przetwarzała je nie mając podstawy prawnej, co jest naruszeniem przepisów RODO.

Przy tym zarzucie sama spółka broni się przekonaniem, że tego typu żądania wysyłane przez osoby za pomocą e-maila nie umożliwiały właściwej i pewnej identyfikacji podmiotów.

WYMIAR KARY

Za powyższe stwierdzone naruszenia Prezes UODO nałożył na spółkę karę w wysokości 201 559,50 zł. Ponadto organ nadzoru nakazał dostosowanie procesów realizacji praw osób, których dane są przetwarzane oraz sposobów wycofywania zgód do wymogów zgodnych z RODO.

Warto odnotować, że Prezes Urzędu Ochrony Danych Osobowych nie uwzględnił żadnych okoliczności łagodzących, które mogłyby mieć wpływ na wymiar kary. Uznał też wszystkie wskazane działania ClickQuickNow za umyślne.

PODSUMOWANIE

Kara nałożona decyzją Prezesa UODO jest wyraźnym ostrzeżeniem dla administratorów przetwarzających dane przed traktowaniem ochrony danych osobowych jedynie w kontekście posiadania odpowiedniej dokumentacji czy procedur. Równie ważne jest również odpowiednie dostosowanie procesów, jakie zachodzą w firmie i jakie – w tym wypadku – przybrały postać realizacji praw podmiotów danych.

 

Materiały dla słuchaczy studiów podyplomowych (E5Z2)

Serdecznie dziękuję za udział w moich wykładach na studiach podyplomowych z ODO przeprowadzonych na UMCS. Poniżej znajdują się linki do prezentacji z moich wykładów. Archiwum zabezpieczone jest tym samym hasłem, które podałem Państwu na wykładach.

Materiały: Prezentacja UMCS ODO 20191123 E5Z2

Zapraszam również do zapisania się na nasz newsletter: RODO Informator

Pierwsza kara dla urzędu za naruszenie RODO

Prezes Urzędu Ochrony Danych Osobowych po przeprowadzeniu kontroli w Urzędzie Miasta Aleksandrowa Kujawskiego stwierdził szereg naruszeń przepisów RODO i nałożył na burmistrza miasta karę wynoszącą 40 tys. złotych. Jest to pierwsza kara nałożona na urząd publiczny.

 

Uchybienia stwierdzone przez PUODO dotyczą:

  • umów powierzenia
  • zasady ograniczonego przechowywania danych
  • tworzenia kopii zapasowych i przeprowadzania analizy ryzyka
  • rejestru czynności przetwarzania

 

Umowy powierzenia

Umowy powierzenia zostały wprowadzone przez RODO z artykułem 28 ust. 3 w celu zalegalizowania procesu przekazywania danych pomiędzy podmiotami oraz zachowania poufności danych. Przepis ten został naruszony przez Urząd Miasta w związku z brakiem zawarcia takich umów z dwoma spółkami. W jednym przypadku nie sformalizowano przekazywania danych w przypadku udostępniania biuletynu BIP urzędu z serwerów spółki, a w drugim przypadku serwisowana tego biuletynu oraz dostarczania oprogramowania do jego stworzenia. Brak umów stanowił również naruszenie zasady przetwarzania danych zgodnie z prawem (art. 5 ust. 1 lit. a) oraz zasadę poufności (art. 5 ust. 1 lit. f).

 

Zasada ograniczonego przechowywania danych

Zgodnie z rozporządzeniem, należy systematycznie monitorować, czy podstawa prawna do przetwarzania przez nas danych nadal obowiązuje. Dane osobowe mogą być zbierane tylko w wyraźnie określonym i prawnie uzasadnionym celu. Jeżeli natomiast cel ten ustał, dane takie należy usunąć bądź zanonimizować. Okres przechowywania (retencji) może wynikać wprost z przepisów prawa, a jeżeli w danym przypadku nie jest on uregulowany, to administrator powinien go określić samodzielnie, adekwatnie do celów w jakich te dane przetwarza. Urząd Miasta w Aleksandrowie nie wprowadził procedur takiego przeglądu, i tak na stronie BIP widniały oświadczenia majątkowe najważniejszych urzędników z 2010 r., pomimo tego że dozwolony okres ich przechowywania wynosi 6 lat. W związku z powyższym naruszona została wynikająca z art. 5 ust. 1 lit. e zasada ograniczonego przechowywania danych.

 

Tworzenie kopii zapasowych i przeprowadzanie analizy ryzyka

Administrator, zgodnie z art. 32 ust. 1 lit. b i c  ma obowiązek zapewnić poufność, integralność, dostępność i odporność systemów i usług przetwarzania, a także zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. Oznacza to konieczność ochrony danych przed ich uszkodzeniem i zniszczeniem, a także konieczność zapewnienia możliwości przywrócenia uszkodzonych danych do stanu umożliwiającego ich przetwarzanie. Celowi temu służy między innymi opracowanie i wdrożenie procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania. Podczas omawianej kontroli PUODO, analizując publikację zapisów posiedzeń rady miejskiej w serwisie Youtube, zauważył, że w BIP widnieją jedynie linki do tych nagrań. Urząd nie posiadał żadnych dodatkowych kopii materiałów, które zobowiązany jest publikować, a więc w razie utraty danych zapisanych na Youtube, nie byłby w stanie wywiązać się ze swoich obowiązków. Ponadto RODO wprowadza obowiązek szacowania ryzyka związanego z przetwarzaniem danych osobowych w celu zapewnienia bezpieczeństwa przetwarzania. Po przeprowadzeniu analizy ryzyka możemy stwierdzić czy mamy do czynienia z wysokim ryzykiem i czy konieczne jest przeprowadzenie oceny skutków. Pomaga również w doborze odpowiednich zabezpieczeń. Urząd miasta nie przeprowadził takiej analizy w związku z publikacją nagrań z posiedzeń rady wyłącznie w zewnętrznym serwisie. Niezastosowanie się do powyższych wymogów stanowiło naruszenie zasady integralności i poufności (art. 5 ust. 1 lit. f) oraz zasady rozliczalności (art. 5 ust. 2).

 

Rejestr czynności przetwarzania

Rejestr czynności przetwarzania pozwala na stałą weryfikację swojej działalności w zakresie przetwarzania danych osobowych oraz poddawanie ocenie każdego nowo wprowadzanego lub modyfikowanego procesu już na jego najwcześniejszym etapie. Prowadzone przez administratorów i przetwarzających rejestry pozwalają im usystematyzować wykonywane czynności oraz całościowo spojrzeć na wykonywane operacje przetwarzania danych osobowych pod względem zgodności zarówno z celami biznesowymi, jak i wymaganiami prawnymi. Kontrola PUODO wykazała istotne braki w prowadzonym przez Urząd Miasta rejestrze czynności przetwarzania. Przede wszystkim nie było w nim wskazanych wszystkich odbiorców danych. Brakowało również wskazania planowanego terminu usunięcia danych dla niektórych czynności przetwarzania.

 

Biorąc pod uwagę, że limit kar dla administracji wynosi 100 tysięcy złotych, omawiana kara jest karą wysoką. Ponadto PUODO nakazał podjęcie działań mających na celu usunięcie stwierdzonych naruszeń w ciągu 60 dni.

Obowiązek informacyjny na gruncie RODO

Tylko osoba, która została należycie poinformowana, może skutecznie podejmować decyzje dotyczące przetwarzania jej danych osobowych. Z tego względu obowiązek informacyjny jest jedną z podstawowych powinności administratora danych osobowych. Odpowiedź na pytania, kiedy i w jaki sposób należy spełnić obowiązek informacyjny jest jednym z kluczowych zagadnień dla administratorów danych osobowych.  Moment spełnienia obowiązku informacyjnego oraz zakres […] Artykuł Obowiązek informacyjny na…
Przeczytaj więcej tutaj: Obowiązek informacyjny na gruncie RODO
Artykuł pojawił się pierwszy raz na stronie eRODO.pl

Prowadzenie sprawdzenia przez IOD

Aby odpowiednio wdrożyć przepisy RODO w danym przedsiębiorstwie niezbędne jest podjęcie uprzednich działań o charakterze przygotowawczym. Takie działania najczęściej przyjmują postać sprawdzenia zgodności. Pomimo dość częstych wątpliwości, z jakimi spotykamy się wśród korzystających z naszych usług firm, audyt wydaje się być niezbędnym etapem całego wdrożenia RODO. Między innymi jego celem jest określenie, w jakich czynnościach są w ogóle przetwarzane dane…
Przeczytaj więcej tutaj: Prowadzenie sprawdzenia przez IOD
Artykuł pojawił się pierwszy raz na stronie Skuteczny IOD

RODO w szkole

RODO wprowadziło niemałe zamieszanie w wielu instytucjach w kraju. Ochrona danych natychmiast stała się tematem najważniejszym, a nawet budzącym obawy dla wielu podmiotów z różnych sektorów. Tym bardziej, że za nieprzestrzeganie przepisów wynikających z RODO grożą potężne kary finansowe, które obecnie stały się faktem (link do artykułu o karach). Szkoła jako placówka edukacyjna również przetwarza dane osobowe. Są to dane…
Przeczytaj więcej tutaj: RODO w szkole
Artykuł pojawił się pierwszy raz na stronie Skuteczny IOD

Dane zwykłe a dane wrażliwe

Dane osobowe jako wszelkie informacje o zidentyfikowanej bądź też możliwej do zidentyfikowania osobie fizycznej określała już uprzednio obowiązująca Dyrektywa 95/46/WE. Sama definicja nie uległa zmianie nawet wskutek rozpoczęcia stosowania RODO. Obecnie obowiązujące Rozporządzenie znacząco rozszerza nam jednak zarówno zakres przykładowo wskazanych danych zwykłych, jak i katalog danych podlegających szczególnej ochronie  tj. danych wrażliwych, sprawiając, że […] Artykuł Dane zwykłe a…
Przeczytaj więcej tutaj: Dane zwykłe a dane wrażliwe
Artykuł pojawił się pierwszy raz na stronie eRODO.pl