ICO prawdopodobnie nałoży na Facebook najwyższą możliwą karę

Facebook prawdopodobnie będzie musiał zapłacić Wielkiej Brytanii karę w wysokości 500,000 funtów ($662,900). Kara ta zostanie ona nałożona przez tamtejszy organ ochrony danych osobowych (ang. Information Commissioner’s Office, ICO). Według ICO amerykański gigant nie zapewnił swoim użytkownikom odpowiedniej ochrony prywatności, łamiąc tym samym prawo.

Jak wynika z informacji podanych przez angielskie Biuro Rzecznika Informacji, Facebook nie zabezpieczył należycie danych osobowych swoich użytkowników a także nie ujawniał w jaki informacje te były zbierane przez podmioty zewnętrzne.

Czy jest szansa na porozumienie?

Jak podkreśliła w swoim oświadczeniu Elizabeth Denham, brytyjski Rzecznik Informacji: „Wiara i zaufanie w uczciwość naszych demokratycznych procesów została zakłócona, ponieważ przeciętny wyborca miał małe pojęcie o tym co działo się po drugiej stronie.” Dodała również, że „nowe technologie, które korzystają z analizy danych osobowych do personalizowania informacji, dają ugrupowaniom politycznym możliwość dotarcia do indywidualnych wyborców. Proces ten musi jednak odbywać się z poszanowaniem transparentności, uczciwości i zgodności z prawem.”

Wg organu nadzorczego, wpływ reklam behawioralnych na wybory będące przedmiotem analizy ICO był „znaczący”. Pani rzecznik w swoim oświadczeniu wezwała również do stworzenia kodeksu postępowania, który ma „uszczelnić system”, tak by, „wybory były uczciwe a ludzie rozumieli jak proces mikro – targetowania na nich oddziałuje.”

ICO stwierdziło także, że wyśle notatki z audytu oraz listy ostrzegawcze do jedenastu partii politycznych i wezwie je do dobrowolnej zgody na audyt ich polityki ochrony danych. Wystąpi także o wszczęcie postępowania karnego wobec SCL, spółki matki nieistniejącej już, ale nadal wzbudzającej duże kontrowersje Cambridge Analytica, zajmującej się analizą danych osobowych pod względem preferencji politycznych badanych osób. Przedsiębiorstwo to związane jest ze skandalem dotyczącym wyborów prezydenckich w USA oraz kampanii referendalnej w Wielkiej Brytanii z 2016 roku.

Możliwa kara nałożona na amerykański portal została ujawniona jako część raportu ICO badającego, czy dane osobowe użytkowników zostały niewłaściwe użyte podczas kampanii politycznej w 2016 roku przy okazji referendum w przedmiocie członkostwa Wielkiej Brytanii w Unii Europejskiej. Facebook ma możliwość wypowiedzenia się w przedmiocie kary zanim ICO podejmie ostateczną decyzję dotyczącą jej nałożenia.

Co na To Facebook?

Erin Egan, główny specjalista ds. prywatności Facebooka, wydał oświadczenie, w którym stwierdził, że amerykański gigant powinien był zrobić więcej w celu wyjaśnienia podejrzeń wobec Cambridge Analytica i podjąć działania jeszcze w 2015 roku. Dodał także, że portal społecznościowy ściśle współpracował z ICO w postępowaniu przeciwko firmie analitycznej, podobnie jak w USA i innych państwach. Podkreślił również, że po zapoznaniu się z raportem brytyjskiego organu Facebook postara się odpowiedzieć na niego w jak najkrótszym czasie.

Skandal związany z Cambridge Analytica wybuch na początku bieżącego roku.  Wtedy bowiem pojawiły się pierwsze zarzuty, że Facebook pozwolił na niezgodne z prawem udostępnienie firmie analitycznej danych 50 milionów użytkowników. Ponadto raporty zawierające te informacje podkreślają, że amerykański portal mógł być wykorzystywany jako środek do wpływania na wyborców podczas wyborów prezydenckich w USA w 2016 roku.

Wkrótce wyższe kary

Chociaż planowana kara nałożona przez ICO nie powinna szczególnie zaboleć amerykańskiego giganta (w I kwartale 2018 roku uzyskał on prawie 12 miliardów dolarów przychodu), może być ona przykładem dla państwowych organów zajmujących się ochroną danych osobowych w innych państwach. Ważny jest również aspekt wizerunkowy. Nałożenie kary przez ICO może spowodować starty wizerunkowe marki oraz przełożyć się np. na wyniki giełdowe. Może także otworzyć drogę do indywidualnych postępować cywilnych skierowanych przeciwko Facebookowie.

Nowe unijne prawo dotyczące ochrony danych osobowych (RODO) pozwala nałożyć na przedsiębiorstwo karę w wysokości do 20 milionów euro lub 4 % rocznego obrotu, w zależności od tego, która z nich jest wyższa.

To nie koniec problemów Facebooka. Razem z Google muszą stawić czoła oskarżeniom ze strony Maxa Schrema, który jest aktywistą działającym na rzecz ochrony prywatności. Skargi Schrema mogą doprowadzić do nałożenia bardzo wysokich kar. Twierdzi on bowiem, że amerykański portal oraz należące do niego WhatsApp i Instagram wymuszały na swoich użytkownikach zgodę na wykorzystywanie danych osobowych. Może to być uznane za sprzeczne z RODO. Istnieją także obawy, że amerykańska Federalna Komisja ds. Handlu może nałożyć na Facebooka rekordową karę za sprawę przekazywania danych Cambridge Analytica.

Więcej informacji jest znajduje się tutaj:

https://www.bbc.co.uk/news/technology-44785151

https://www.irishtimes.com/business/technology/facebook-faces-symbolic-500-000-fine-from-uk-regulator-1.3561204

Inspektor Ochrony Danych. Czy warto go powołać?

Od 25 maja 2018 roku w całej Unii Europejskiej zaczęto stosować ogólne rozporządzenie o ochronie danych osobowych (RODO). W istotny sposób zmienia ono obowiązki Administratorów Danych Osobowych (ADO) oraz podmiotów, którym powierzono przetwarzanie takich danych. Warto jednak pamiętać, że RODO przewiduje możliwość powołania osoby, która będzie wspierać organizację w zakresie zgodności jej działań z przepisami o ochronie danych. Taką funkcję pełni osoba na stanowisku Inspektora Ochrony Danych (IOD). Jeżeli jeszcze nie powołałeś IOD, to czas najwyższy zapoznać się z korzyściami płynącymi z obsadzenia tego stanowiska w Twoim przedsiębiorstwie.

Instytucja Inspektora Ochrony Danych jest już de facto znana w polskim obrocie prawnym. Pod rządami ustawy o ochronie danych osobowych funkcjonowała pod nazwą Administrator Bezpieczeństwa Informacji (ABI). Można pokusić się o stwierdzenie, że IOD jest niejako „następcą” ABI-ego. Należy jednak zwrócić uwagę na fakt, że w nowym systemie prawnym pozycja IOD znacznie wzrosła, co najwyraźniej przejawia się w rozszerzonych uprawnieniach i obowiązkach inspektora w porównaniu do ABI-ego. Pojawia się więc pytanie – jak funkcjonuje IOD pod reżimem RODO i czy będzie on przydatny w Twojej organizacji?

Jakie podmioty są zobowiązane do powołania IOD?

Co do zasady stworzenie stanowiska Inspektora Ochrony Danych jest uprawnieniem organizacji. Jednakże w niektórych przypadkach powołanie IOD jest obowiązkowe. Zobligowane do tego są przede wszystkim podmioty publiczne, ale także jednostki działające w sektorze prywatnym, które realizują zadania publiczne, np.: urzędy centralne, jednostki samorządu terytorialnego oraz samorządy zawodowe. Do grona podmiotów zobowiązanych do powołania IOD zaliczyć można również podmioty prywatne, które na dużą skalę przetwarzają dane osobowe. Do tej grupy należy zaliczyć organizacje, które dokonują operacji regularnego i systematycznego monitorowania osób (np.: podmioty zajmujące się tworzeniem reklam behawioralnych) oraz te podmioty, które na dużą skalę przetwarzają dane osobowe szczególnych kategorii, zwłaszcza informacje dotyczących wyroków i naruszeń prawa (np. niepubliczne zakłady opieki zdrowotnej).

Inspektor posiada szeroki zakres obowiązków

IOD ma za zadanie wspierać organizację w dostosowywaniu i przestrzeganiu RODO poprzez realizację powierzonych mu zadań. Powołanie IOD realnie wpływa na poziom bezpieczeństwa danych osobowych w organizacji. Obowiązki inspektora znajdują się głównie w art. 39 unijnego rozporządzenia. Można je podzielić na zadania o charakterze:

  1. informacyjno – doradczym;
  2. nadzorczym;
  3. komunikacyjnych

Zadania o charakterze informacyjno – doradczym

Należy tu wymienić przede wszystkim informowanie o obowiązkach wynikających z RODO oraz innych przepisów unijnych i krajowych, dotyczących ochrony danych osobowych. Związany jest z tym również obowiązek doradzania w tym zakresie ADO. Ponadto IOD jest zobowiązany do realizacji zadań o charakterze informacyjno – doradczym nie tylko wobec osób reprezentujących organizację, ale także w stosunku do osób zatrudnionych przy przetwarzaniu danych osobowych. Najczęściej może to być dokonywane za pomocą szkoleń czy to stacjonarnych czy e-learningowych.

Zadania o charakterze nadzorczym

Zgodnie z art. 39 ust. 1 lit. b RODO IOD ma za zadanie nadzorować także realizację przepisów dotyczących RODO w Twoim przedsiębiorstwie. Działalność ta odbywa się poprzez monitorowanie sytuacji wewnątrz organizacji oraz ocenę przyjętych przez nią polityk w zakresie ochrony danych osobowych. Co do zasady obowiązek ten realizowany jest w formie audytu.

Zadania o charakterze komunikacyjnym

W tym obszarze do obowiązków IOD należy:

  • współpraca z organem nadzorczym oraz
  • pełnienie przez IOD funkcji punktu kontaktowego.

Współpraca z organem nadzorczym będzie najczęściej przejawiać się poprzez współpracę w prowadzeniu postępowań administracyjnych, w szczególności związanych z:

  • naruszeniem ochrony danych,
  • rozpatrywaniem skarg podmiotów danych a także
  • uprzednimi konsultacjami związanymi z oceną skutków.

Obowiązek pełnienia funkcji punktu kontaktowego, to jest on realizowany wobec osób, których dane są przetwarzane przez Twoje przedsiębiorstwo. Podmioty te mają bowiem prawo do kontaktu z IOD we wszystkich sprawach związanych z przetwarzaniem ich danych oraz wykorzystaniem praw przysługujących im na gruncie RODO.

Inspektor zgodnie z art. 38 ust 5 RODO zobowiązany jest również do zachowania tajemnicy lub poufności co do wykonywania swoich zadań. Obowiązek ten może wynikać zarówno z przepisów unijnych, jak i krajowych. W szczególności można wskazać tu przepisy dotyczące zachowania w poufności tajemnic przedsiębiorstwa, tajemnicy bankowej, ubezpieczeniowej, telekomunikacyjnej czy skarbowej.

Na zakończenie wątku obowiązków IOD należy dodać, że zgodnie z art. 38 ust. 6 RODO może on także wykonywać inne zadania i obowiązki, o ile administrator lub procesor zapewnią, że nie będą one powodowały konfliktu interesów. Te dodatkowe zadania lub obowiązki powinny być uznane za narzędzia służące do pełniejszego wykonywania podstawowych obowiązków spoczywających na IOD. Jako przykład można tu podać upoważnienie inspektora do informowania organu nadzorczego w przypadku naruszeń ochrony danych w organizacji zgodnie z art. 33 RODO.

IOD ma być organem niezależnym

Ustawodawca unijny, konstruując instytucję Inspektora Danych Osobowych, postawił sobie za cel zapewnienie mu pełnej niezależności oraz ułatwienie  wykonywania zadań nałożonych na niego przez nowe przepisy. Zgodnie z art. 38 ust 2 RODO, administrator oraz podmiot przetwarzający (procesor) mają wspierać IOD w wypełnianiu jego obowiązków, w szczególności poprzez zapewnienie mu zasobów niezbędnych do wykonywania zadań oraz utrzymania jego fachowej wiedzy. Wsparcie to może mieć formę działania lub zaniechania pewnych działań. Ponadto jednostki organizacyjne posiadające w swoje strukturze IOD muszą pamiętać, że powinien być on właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. Dodatkowo należy udzielić inspektorowi dostępu do wszelkich procesów przetwarzania zachodzących w przedsiębiorstwie oraz związanych z nimi danych.

Najważniejszą gwarancją niezależności IOD wydaje się jednak fakt, że administrator oraz procesor nie mogą wydawać mu żadnych wiążących instrukcji dotyczących wykonywania powierzonych obowiązków. Ponadto nie można ukarać ani odwołać IOD za wykonywanie przez niego zadań.

Z powyższego opisu można odnieść wrażenie, że instytucja Inspektora Ochrony Danych może stać się obciążeniem dla Twojego przedsiębiorstwa. Nic bardziej mylnego. Głównym zadaniem IOD jest bowiem zapewnienie Twojej organizacji zgodności z przepisami RODO. Tylko posiadając dużą dozę niezależności, jest on w stanie sprostać temu zadaniu. Jeżeli więc zatrudnisz na tym stanowisku odpowiedniego specjalistę oraz udzielisz mu gwarancji wymienionych w art. 38 RODO, możesz w znaczny sposób ułatwić sobie spełnienie wymagań dotyczących ochrony danych osobowych w Twojej organizacji.

Powołanie IOD niekoniecznie musi wiązać się z wysokimi kosztami

Rozporządzenie unijne nie określa w jakiej formie ma być powołany IOD. Wobec tego dozwolone jest powołanie go na podstawie wszelkich umów w tym umowy zlecenia, współpracy itp., jak również zarządzenia czy oświadczenia woli ADO.  Szkolenie pracowników czy tworzenie etatu dla specjalisty wiążą się z zwiększeniem kosztów prowadzenia działalności. Szacuje się, że zatrudnienie IOD na etacie może wiązać z wydatkiem ponad 10 tys. złotych miesięcznie. Wpływa na to wiele czynników, ale najważniejszym jest niedobór odpowiednich specjalistów na rynku. To niewątpliwe spory wydatek.

Ratunkiem dla budżetu może być skorzystanie z usługi outsourcingu IOD. Jeżeli nie mamy wystarczających funduszy, by zatrudnić u siebie inspektora lub chcemy obniżyć koszty, usługa ta może okazać się bardzo przydatna. Obecnie wiele podmiotów oferuję taką usługę w dosyć zadowalających cenach (nasza również). Umożliwia to skorzystanie z pomocy fachowców zajmujących się danymi osobowymi za niższe koszty niż w wypadku zatrudnienia ich na pełnym etacie.

Innym sposobem jest zmiana etatu jednego z naszych pracowników do 3/4 oraz zatrudnienia go na etat IOD w 1/4. Oczywiście proporcje zależne są od wielkości przedsiębiorstwa czy podmiotu publicznego. Należy w tym wypadku jednak pamiętać o możliwości powstania konfliktu interesów.

Co jeśli nie IOD?

W przypadku, gdy organizacja nie powoła IOD, ciężar nadzoru na ochroną danych osobowych spoczywa na ADO. ADO samodzielnie nie musi jednak wykonywać wszystkich tych zadań. W tym zakresie istnieje możliwość powołania pełnomocnika ds. ochrony danych osobowych (lub inaczej nazwanej osoby oddelegowanej do wykonywania zadań związanych z odo). Plusem tego rozwiązania dla organizacji jest brak wymogów dot. niezależności przewidzianych dla IOD np. braku konfliktu interesów czy też zakazu karania za merytoryczne wykonywanie swojej funkcji. Osoba taka może być również zatrudniona na innym stanowisku, które jest związane z przetwarzaniem danych (np. w kadrach lub w dziale IT).

Podsumowanie

Reasumując powyższe rozważania, należy stwierdzić, że powołanie Inspektora Danych Osobowych jest zalecanym rozwiązaniem. Posiada on odpowiednie narzędzia do monitorowania procesów przetwarzania danych osobowych w Twoim przedsiębiorstwie, a także pomoże Ci w dostosowaniu Twojej organizacji do wymogów RODO. To bardzo ważna kwestia, albowiem przetwarzanie danych osobowych prowadzone w sposób niezgodny z unijnym rozporządzeniem może spowodować nałożenie na Twoje przedsiębiorstwo wysokiej kary. Nie warto więc zwlekać! Zwłaszcza, że koszty tego rozwiązania można obniżyć, choćby stosując outsourcing IOD.

 

Francuski organ nałożył pierwszą karę po rozpoczęciu stosowania RODO

Krajowa Komisja ds. Informatyki i Wolności (CNIL), francuski organ ochrony danych osobowych, nałożył sankcję w wysokości 250 tys. euro na Optical Center, tamtejszego sprzedawcę okularów. Przedsiębiorca ten działa głównie na terenie Francji, ale jego placówki znajdują się także w Hiszpanii, Kanadzie, Izraelu oraz Luksemburgu.

Przyczyną wymierzenia kary był wyciek danych klientów spółki, którzy dokonywali zakupów poprzez jej stronę internetową. W wyniku tego zdarzenia ponad 334 tysiące dokumentów zawierających dane osobowe użytkowników strony pozostawało bez ochrony. Wśród ujawnionych informacji znajdowały się imiona, nazwiska klientów oraz ich adresy. Jak podkreśliła CNIL, były one powszechnie dostępne po wpisaniu odpowiedniego adresu URL w wyszukiwarce. Ponadto w niektórych przypadkach osoby niepowołane mogły uzyskać dostęp do numerów identyfikacyjnych klientów, numerów ich ubezpieczenia społecznego oraz danych o stanie zdrowia (dotyczących np.: wady wzroku).

Postępowanie przeciwko Optical Center zostało wszczęte w lipcu 2017 roku, przed rozpoczęciem stosowania RODO. Ma to zasadnicze znaczenie, ponieważ unijne prawo przewiduje znacznie wyższe kary niż dotychczasowe francuskie rozwiązania w tej kwestii. RODO zakłada bowiem kary 4 % rocznego obrotu lub do 20 milionów euro, natomiast francuska ustawa o ochronie danych osobowych przewidywała karę do 3 milionów euro. Uchroniło to francuskiego przedsiębiorcę od odpowiedzialności pod reżimem rozporządzenia.

To kolejna sankcja nałożona na tego przedsiębiorcę w ciągu ostatnich kilku lat. W 2015 roku CNIL nałożyła na Optical Center karę w wysokości 50 tysięcy euro. Spowodowana była ona wynikami kontroli przeprowadzonej w przedsiębiorstwie. Okazało się bowiem, że spółka nie spełniała wymagań przewidzianych w francuskiej ustawie o ochronie danych osobowych. Między innymi nie zabezpieczała ona w sposób wystarczający swojej strony internetowej, a także nie przestrzegała zasad ochrony danych wewnątrz firmy.

Jest to najwyższa kara nałożona dotąd przez CNIL. W 2014 roku komisja wymierzyła karę w wysokości 150 tysięcy euro wobec Google za śledzenie i przechowywanie danych użytkowników. Co więcej, w 2017 roku nałożyła sankcję tej w tej samej wysokości na Facebooka w związku ze zmianami w polityce prywatności portalu.

Materiały dla słuchaczy studiów podyplomowych (26 maja 2018r.)

Serdecznie dziękuję za udział w moich wykładach na studiach podyplomowych z ODO przeprowadzonych na UMCS. Poniżej znajduje się link do prezentacji z wykładów.  Archiwa zabezpieczone są tym samym hasłem, które podałem Państwu na wykładach

Edycja 1. Zjazd 11. Prezentacja z wykładów UMCS 26052018

 

 

Sejm przyjął nową ustawę o ochronie danych osobowych

Podczas obrad w dniu 10 maja 2018 r. Sejm uchwalił nową ustawę o ochronie danych osobowych, która doprecyzować unijne rozporządzenie w sprawie ochrony danych osobowych (tzw. RODO).

Więcej informacji o tym co zawiera nowa ustawa znajduje się tutaj.

Za ustawą głosowało 233 posłów, przeciw było 176 posłów,  25 posłów wstrzymało się od głosu.

Senat przyjął ustawę 16 maja 2018 r., oraz została przekazana do Prezydenta.

https://www.senat.gov.pl/aktualnosci/art,10667,60-posiedzenie-dzien-piaty.html

https://www.senat.gov.pl/prace/senat/posiedzenia/przebieg,506,5,glosowania.html

Tekst ustawy

http://orka.sejm.gov.pl/proc8.nsf/ustawy/2410_u.htm

Przebieg prac nad ustawą

 http://www.sejm.gov.pl/Sejm8.nsf/PrzebiegProc.xspid=26582134FFF5DA9CC125826C00345DD5

Komisja Europejska opublikowała sprostowanie RODO

Sprostowanie zmienia treść sześciu motywów i piętnastu artykułów rozporządzenia, jednak w dużej mierze są to zmiany redakcyjne. Dokumenty przygotowane w oparciu o dotychczasowe brzmienie rozporządzenia nie będą wymagały zmiany.

Na uwagę zasługuje fakt zmiany wprowadzonej w definicji danych osobowych, którymi w nowym brzmieniu będą wszelkie informacje o osobie fizycznej. Sprostowanie wprowadza też konsekwentne zastąpienie określenia „naruszenia prawa” określeniem „czyny zabronione” w całym tekście rozporządzenia. W przepisach dotyczących certyfikacji ujednolicono stosowanie zamiennie określenia „kryteria” i „warunki” certyfikacji wprowadzając termin „wymogi certyfikacji”

Treść całego sprostowania znajduje się na stronie:  http://data.consilium.europa.eu/doc/document/ST-8088-2018-INIT/en/pdf , sprostowanie odnoszące się do tekstu polskiego zaczyna się na stronie 258.

Nowa ustawa o ochronie danych osobowych- podsumowanie

5 kwietnia b.r. do Sejmu trafił rządowy projekt nowej ustawy o ochronie danych osobowych. Jak zapewnia Ministerstwo Cyfryzacji, nowa ustawa ma lepiej chronić dane osobowe obywateli i m.in. chronić przed handlem danymi. Do nowych regulacji będą musiały dostosować się wszystkie podmioty, które zbierają i przetwarzają dane osobowe. Zmiany wynikają z konieczności dostosowania przepisów do Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE z dnia 27 kwietnia 2016 (RODO). Co w praktyce oznacza przyjęcie nowej ustawy?

Nowe organy

Zgodnie z projektem, zostanie ustanowiony niezależny organ zajmujący się sprawami ochrony danych osobowych – Prezes Urzędu Ochrony Danych Osobowych (PUODO) oraz organ doradczy – Rada do Spraw Ochrony Danych Osobowych. Nowy organ zastąpi dotychczasowy urząd Generalnego Inspektora Ochrony Danych Osobowych (GIODO). PUODO będzie powoływany na swoją kadencję przez Sejm za zgodą Senatu. Będzie on mógł kierować do organizacji wystąpienia zmierzające do zapewnienia skutecznej ochrony danych osobowych. PUODO będzie mógł również występować do organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych. Będzie też mógł wydawać rekomendacje, jak odpowiednio zabezpieczać dane osobowe. Każdy podmiot będzie musiał jednak sam ocenić ryzyko związane z wyciekiem danych osobowych i dostosować odpowiednie środki zabezpieczające.

Szybsze postępowanie

Jednym z założeń projektu ma być usprawnienie prowadzonych obecnie postępowań. Nowe przepisy mają dać obywatelom nie tylko lepszą ochronę przed nieuczciwymi praktykami, ale uczynić też postępowania w sprawach ochrony danych osobowych szybszymi. Projekt przewiduje także zniesienie dotychczasowej dwuinstancyjności postępowania w sprawach naruszenia przepisów o ochronie danych osobowych. Dzięki temu rozwiązaniu obywatel będzie miał możliwość szybszego uzyskania sądowej ochrony swoich praw.

Proces certyfikacji

W związku z RODO do nowej ustawy dodano także rozdział odnoszący się do certyfikacji. Na mocy tych przepisów certyfikacji dokonywać będzie PUODO oraz organ certyfikujący (podmioty z sektora prywatnego), na wniosek zainteresowanego podmiotu. Kryteria certyfikacji będą udostępnione przez PUODO w Biuletynie Informacji Publicznej. Certyfikacja będzie dokonywana na zasadach określonych w RODO. Do wniosku powinny zostać dołączone dokumenty potwierdzające spełnianie kryteriów certyfikacji oraz, w przypadku certyfikacji dokonywanej przez PUODO, dowód wniesienia opłaty, ustalanej każdorazowo przez organ w wysokości odpowiadającej przewidywanym kosztom poniesionym z tytułu wykonywania tych czynności.

Kontrola przestrzegania przepisów

Projekt nowej ustawy określa sposób przeprowadzania kontroli przestrzegania przepisów o ochronie danych osobowych. Według tych założeń kontrola będzie przeprowadzana przez pracowników Urzędu Ochrony Danych Osobowych, zgodnie z zatwierdzonym przez PUODO planem kontroli, na podstawie uzyskanych informacji lub w ramach monitorowania przestrzegania stosowania RODO. Na mocy nowej ustawy kontrolujący będą mieć prawo do m.in. wglądu do wszelkich dokumentów i informacji mających bezpośredni związek z zakresem kontroli, przeprowadzania oględzin, żądać złożenia wyjaśnień oraz przesłuchiwać w charakterze świadka. Kontrola będzie mogła być również przeprowadzona bez wcześniejszego poinformowania podmiotu kontrolowanego. Z przebiegu kontroli podmiot kontrolujący będzie miał obowiązek sporządzić protokół.

Odpowiedzialność prawna

Podmiot, który naruszy przepisy o ochronie danych osobowych, będzie musiał się liczyć z odpowiedzialnością odszkodowawczą. Istotną rolę w postępowaniu będzie odgrywał PUODO – postępowanie dotyczące tego samego naruszenia, toczące się przed PUODO może spowodować zawieszenie, a nawet umorzenie postępowania sądowego. PUODO będzie mógł również wstąpić do toczącego się procesu w każdym jego stadium za zgodą powoda, wytaczać powództwa na rzecz osoby, której dane dotyczą,  przedstawić sądowi istotny dla sprawy pogląd. Projekt uprawnia PUODO do nakładania kar pieniężnych w drodze decyzji administracyjnej. Za bezprawne przetwarzanie danych osobowych będzie groziła również kara grzywny, kara ograniczenia wolności albo pozbawienia wolności do lat dwóch. Taka sama kara będzie grozić także za udaremnianie lub utrudnianie przeprowadzenia kontroli.

Kodeksy postępowania

Projekt ustawy odnosi się również do kodeksów postępowania, o których mowa w art. 40 RODO. Według założeń rozporządzenia, mają one pomagać  we właściwym stosowaniu przepisów RODO z uwzględnieniem specyfiki różnych sektorów dokonujących przetwarzania oraz szczególnych potrzeb mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw. Każdy projekt kodeksu przed zatwierdzeniem przez PUODO będzie podlegał konsultacjom z zainteresowanymi podmiotami. Przestrzeganie zatwierdzonego kodeksu postępowania będzie monitorowany przez podmiot akredytowany przez PUODO.

Tryb zgłaszania naruszeń ochrony

Projekt nowej ustawy o ochronie danych osobowych stwarza możliwość stworzenia systemu teleinformatycznego, którego celem będzie umożliwienie administratorom dokonywanie zgłoszenia naruszenia ochrony danych osobowych. Prowadzenie systemu w razie jego utworzenia będzie powierzone PUODO. Obowiązek zgłaszania naruszeń wynika z art. 33 RODO. Administrator danych osobowych jest obowiązany do dokumentowania wszelkich naruszeń ochrony danych osobowych, w tym okoliczności naruszenia, jego skutków oraz podjętych działań zaradczych.

Projekt po uchwaleniu zapewni skuteczne stosowanie przepisów RODO, które nakłada na przedsiębiorców szereg obowiązków związanych z ochroną danych osobowych. Dużym ułatwieniem będzie  stworzenie systemu teleinformatycznego, za pomocą którego będzie możliwe zgłaszanie naruszeń ochrony danych. Nowelizacja ma na celu dostosowanie polskiego prawodawstwa do unijnych standardów. W projekcie zmienione zostały postanowienia dotychczas obowiązującej ustawy o ochronie danych osobowych, które są sprzeczne z unijnym rozporządzeniem, a także uaktualniono i dodano niezbędne regulacje.

 

Źródło:

Projekt ustawy o ochronie danych osobowych (: http://www.sejm.gov.pl/sejm8.nsf/druk.xsp?nr=2410😉

Ministerstwo Cyfryzacji (https://www.gov.pl/cyfryzacja/dane-osobowe-obywateli-beda-lepiej-chronione; https://www.gov.pl/cyfryzacja/nowe-prawo-ochrony-danych-osobowych😉

Materiały dla słuchaczy studiów podyplomowych

Serdecznie dziękuję za udział w moich wykładach na studiach podyplomowych z ODO przeprowadzonych na UMCS. Poniżej znajdują się linki do prezentacji z odpowiednich wykładów. Archiwa zabezpieczone są tym samym hasłem które podałem Państwu na wykładach.

  1. Edycja 1. Zjazd dziewiąty. 21 kwietnia 2018 r. Zagraniczny transfer danych osobowych. Praktyczne aspekty ochrony danych osobowych.
  2.  Edycja 2. Zjazd Pierwszy. 22 kwietnia 2018 r. Prawne podstawy ochrony danych osobowych.

 

 

Konferencja RODO SOLUTIONS „Jak promować i sprzedawać zgodnie z RODO i e-Privacy”

Serdecznie zapraszam na konferencję RODO SOLUTIONS „Jak promować i sprzedawać zgodnie z RODO i e-Privacy”. Będę miał przyjemność wystąpić na niej jako jeden z prelegentów. Temat mojego wystąpienia to: „Zbuduj swój RODOCHRON, czyli jakie działania wdrożeniowe powinna podjąć firma, aby zgodnie z RODO realizować marketing i sprzedaż po 25 maja 2018 r.” . Na konferncji, oprócz wartościowych prelekcji, będzie istniała możliwość poznania rozwiązań wspierających w dostosowaniu się do RODO. Poniżej umieszczam informacje od ogranizatora:

Już 25 maja 2018 roku obudzimy się w nowej rzeczywistości RODO/GDPR. Funkcjonowanie działów marketingu i sprzedaży oraz całych przedsiębiorstw związane z pracą na danych osobowych zacznie działać na zupełnie nowych, czasami dużo trudniejszych zasadach. Staniemy przed dylematem, czy na pewno nasze działania prowadzone są zgodnie z prawem i nowymi regulacjami, czy posiadane przez nas bazy klientów są nadal legalne i czy nie narażamy się na ogromne kary, jakie mogą na nas spaść, gdy złamiemy nowe przepisy. O tym, jak poradzić sobie w nowym otoczeniu, nie zagubić się w gąszczu regulacji i obowiązków, ochronić się przed karami i przede wszystkim – zachować ciągłość pracy i nie utracić posiadanych baz danych, dowiecie się Państwo podczas naszego wydarzenia – RODO SOLUTIONS, które odbędzie się jutro, czyli 9 lutego 2018r w Warszawie.

Będzie to wyjątkowe wydarzenie o rozszerzonej formule, gdzie oprócz konferencji zaplanowaliśmy dla Państwa specjalną strefę konsultacji i prezentacji rozwiązań dla RODO. W przerwach pomiędzy wystąpieniami uznanych ekspertów, będzie niepowtarzalna możliwość bezpośrednich rozmów i konsultacji ze specjalistami z dziedziny prawa, IT, marketingu, którzy wskażą Państwu konkretne, praktyczne rozwiązania do zastosowania w Państwa firmach.

Do udziału w konferencji zapraszamy:

– Administratorów Bezpieczeństwa Informacji

– Dyrektorów i managerów ds. CRM i IT

– Dyrektorów i managerów ds. CRM i IT

– Dyrektorów, managerów i pracowników działów marketingu i sprzedaży

– Pracowników działów Compliance

– Specjalistów e-commerce

– Osoby kierujące projektami związanymi z przetwarzanie danych

– Prawników „wewnętrznych” w firmach

– Przedstawicieli podmiotów przetwarzających dane osobowe na zlecenie

– Wszystkie inne osoby zajmujące się ochroną lub przetwarzaniem danych osobowych

 

Podczas wydarzenia uczestnicy dowiedzą się:

– Jakie najistotniejsze zmiany zostaną wprowadzone przez RODO z punktu widzenia marketingu i sprzedaży ?

– Co firma powinna zrobić już, a co może zaczekać do 25 maja 2018 roku?

– Jak sprawdzić, czy bazy marketingowe,  które posiadamy będą legalne po rozpoczęciu stosowania RODO?

– Co powinniśmy zrobić przed 25 maja 2018 r. w relacjach z kontrahentami/ podwykonawcami?

– Jak uzyskać nowe zgody na przetwarzanie danych osobowych i co powinny zawierać?

– Jak poradzić sobie z zakazem automatycznego profilowania klientów (wiek, płeć, zainteresowania)?

– Jak bezpiecznie pozyskiwać dane dla swojego biznesu z zewnętrznych źródeł?

– Jak skutecznie budować relacje z potencjalnym klientem w kontekście wytycznych RODO.

– Personalizacja komunikacji a nowe prawo.

– Dlaczego wg regulacji RODO zaangażowanie klienta staje się kluczowe w 2018 roku.

– A może outsourcing? Kto może być podmiotem przetwarzającym (konieczność weryfikacji podmiotów przetwarzających)?

– Jakie elementy powinna zawierać umowa administratora z przedmiotem przetwarzającym?

– Jak zabezpieczyć się przed karami?

– Jak prowadzić sprzedaż telefoniczną?

– Jakie istotne zmiany wprowadza RODO w branży e-commerce?

– Jakie rozwiązania IT mogą nam pomóc?

W programie liczne case study, praktyczne porady i rozwiązania.

Więcej informacji na stronie www.rodosolutions.pl

 

Rejestr czynności przetwarzania (wzór)

Każdy administrator danych osobowych zatrudniający powyżej 250 osób od 25 maja 2018 r. będzie obowiązany prowadzić rejestr czynności przetwarzania danych osobowych. Obowiązek ten spoczywa również na procesorze. Do prowadzenia rejestru czynności będą również zobowiązane podmioty, które nie zatrudniają 250 osób, jednak: Przetwarzanie, którego dokonują może powodować ryzyko naruszenia praw i wolności dla osób fizycznych; Przetwarzanie to nie ma charakteru sporadycznego oraz dotyczy danych „wrażliwych” (art.9 RODO) Administratorzy spełanijący powyższe warunki są obowiązani prowadzić rejestr czynności przetwarzania danych, natomiast podmioty przetwarzające rejestr kategorii przetwarzania. Mimo wskazania wprost w RODO, jakie podmioty powinny prowadzić rejestr chciałbym Ciebie również zainspirować do stworzenia rejestru czynności…
Więcej przeczytasz: Rejestr czynności przetwarzania (wzór)