Archiwum kategorii: Dane osobowe

Kolejna kompromitacja Urzędu Miejskiego w Turku

Turek w dobrych rękach a może kolejna kompromitacja Urzędu?

W sierpniu 2017 opisywaliśmy nieudolność Burmistrza Miasta Turku, który przez kilka tygodni nie był w stanie przywrócić działania systemu informatycznego po ataku ransomware i zaszyfrowaniu danych: opis incydentu dostępny jest pod adresem: https://fundacjapb.pl/dane_osobowe_turek/

Każdy rozsądny człowiek wyciągnął by wnioski i zaczął respektować przepisy o ochronie danych osobowych i cyberbezpieczeństwie oraz by nie ponieść takich konsekwencji jak Burmistrz Aleksandrowa Kujawskiego, który został ukarany karą 40 tys. zł m.in. za publikacje w BIP oświadczeń majątkowych po upływie 6 lat obowiązkowego publikowania i brak właściwych umów z podmiotem świadczącym usługę BIP, https://uodo.gov.pl/pl/138/3013

 

26 lutego 2024 roku Delegatura w Białymstoku NIK wysłała pismo do wszystkich jednostek samorządu terytorialnego z informacją o nieprawidłowościach w tym dot. nieprawidłowości polegających na publikacji oświadczeń majątkowych po 6 letnim okresie.

Czy burmistrz Antosik zastosował się do zaleceń NIK i jak wygląda aktualny stan ochrony danych osobowych pracowników i radnych. Okazuje się, że jest nie jedna a kilka stron BIP Urzędu Miejskiego w Turku na których są publikowane oświadczenia majątkowe pracowników i radnych pomimo, że dalsze ich publikowanie po upływie 6 lat stanowi naruszenie przepisów o ochronie danych osobowych  i jest zagrożone karą od grzywny do pozbawieniem wolności do lat trzech. Niektóre strony BIP Urzędu Miejskiego w Turku pomimo upływu kilku lat od zaszyfrowania danych, do dziś nie zostały prawidłowo zabezpieczone.

http://www.bip2.miastoturek.pl/   http://bip.turek.mserwer.pl/dokumenty.php

Na stronie www.bip.miastoturek.pl  publikowane są bez podstawy prawnej oświadczenia majątkowe pracowników i radnych z lat 2013-2016 kilka przykładów poniżej:

https://bip.miastoturek.pl/pliki/miastoturek/zalaczniki/797/pawel-borowski-oswiadczenie-majatkowe-za-2016-r.pdf https://bip.miastoturek.pl/pliki/miastoturek/zalaczniki/795/roman-groblica-oswiadczenie-majatkowe-za-2016-r.pdf https://bip.miastoturek.pl/pliki/miastoturek/zalaczniki/799/mariola-paczesna-oswiadczenie-majatkowe-za-2016-r.pdf https://bip.miastoturek.pl/pliki/miastoturek/zalaczniki/398/maria-kukulska-oswiadczenie-majatkowe-za-2014-rok.PDF https://bip.miastoturek.pl/pliki/miastoturek/zalaczniki/399/maria-gajewska-oswiadczenie-majatkowe-za-2014-rok.PDF https://bip.miastoturek.pl/pliki/miastoturek/zalaczniki/359/magdalena-mrugas-oswiadczenie-majatkowe-za-2013-rok.PDF

 

Na stronie www.bip.turek.mserwer.pl/dokumenty.php  publikowane są do dziś wszystkie oświadczenia majątkowe pracowników i radnych z lat 2004-2012.

Każdy z poszkodowanych może złożyć skargę na burmistrza Antosika do Urzędu Ochrony Danych Osobowych https://uodo.gov.pl/pl/526/2464 a po zakończeniu postępowania przez UODO może wystąpić do sądu o odszkodowanie od Miasta Turek. Burmistrz Antosik lekceważeniem przepisów o ochronie danych osobowych nie tylko kompromituje Turek ale naraża budżet Miasta na kary administracyjne ale też na wypłatę odszkodowań osobom poszkodowanym. Tytułem przykładu za ujawnienie nazwiska w publikowanym wyroku NSA ma zapłacić odszkodowanie 20 tys. zł https://serwisy.gazetaprawna.pl/orzeczenia/artykuly/8676330,brak-anonimizacji-przez-nsa-odszkodowanie-naruszenie-dobr-osobistych.html.

Na szczególną uwagę zasługuje fakt, że burmistrz Antosik jak zrozumie i sobie uświadomi do jakich nieprawidłowości dopuścił to w terminie 72 godzin zobowiązany jest zawiadomić UODO o naruszeniu przepisów ochronie danych osobowych oraz zawiadomić wszystkie osoby poszkodowane, że naruszył ich ochronę danych osobowych i bez podstawy prawnej publikował ich oświadczenia majątkowe. Wynika to wprost z art. 33 ust. 1 i art. 34 ust. 1 RODO.

Jeśli w ciągu 72 godzin Antosik nie zgłosi naruszenia ochrony danych osobowych do Prezesa UODO i nie powiadomi poszkodowanych pracowników i radnych to naraża budżet Miasta na kolejne kary administracyjne.

Naruszenie ochrony danych osobowych (tzw. incydent bezpieczeństwa RODO) w praktyce i potencjalne problemy z organem nadzorczym (Prezesem UODO).

Sytuacja niestety nadal dość częsta w realiach polskich małych, a nawet średnich przedsiębiorstw – nagle okazuje się, że pracownik zgłosił nam problem z komputerem – zaszyfrowany dysk, ewentualnie kradzież laptopa/tabletu/telefonu, względnie zagubienie laptopa/przenośnego nośnika danych z danymi firmowymi, ewentualnie dostajemy informację od kontrahenta, że dostał nie swoją fakturę/umowę/dokument  (ciekaw jest kto dostał jego dokumenty ☹) lub zaobserwował, że w mailu który od nas otrzymał widzi wszystkich innych adresatów tej seryjnej wiadomości lub doszło do udostępnienia w internecie naszych zasobów firmowych (np. katalogu z danymi), a więc mamy typowe  naruszenie ochrony danych osobowych (tzw. incydent bezpieczeństwa RODO) i potencjalne problemy z Prezesem Urzędu Ochrony Danych Osobowych (choć zapewne nie tylko☹).

W praktyce w przypadkach wymienionych pierwszym, niejako naturalnym odruchem jest pomysł zbagatelizowania problemu i próba przeczekania – a nuż rozejdzie się po kościach. No może poza zaszyfrowaniem systemów bo wtedy nagle okazuje się, że np. firma nie może realizować podstawowej działalności biznesowej – owszem można przywrócić dane/systemy z kopii zapasowych, ale nie oszukujmy się – jak wielu małych przedsiębiorców faktycznie dba o odpowiednie/regularne wykonywanie i zabezpieczenie kopii – niestety niewielu. W skrajnych przypadkach nawet proste automatyczne systemy wykonywania kopii typu NAS na niewiele się zdadzą jeżeli również NAS został zaszyfrowany. Co ciekawe często w takiej sytuacji okazuje się, że nasz Pan/Pani informatyk to tak naprawdę jedynie hobbysta komputerowy posiadający średnią wiedzę informatyczną, ot taki „fachowiec”, który ogranicza się do instalacji systemu, antywirusa, zarządzania stroną www., ewentualnie wymianą zepsutego nośnika danych …

Oczywiście w takiej sytuacji wielu przedsiębiorców zaciska zęby i płaci okup za odszyfrowanie danych, niemniej jednak nie mogą mieć pewności co do tego czy dane zostaną faktycznie odszyfrowane oraz czy przestępcy nie wykonali ich kopii … Część zarządzających firmami po szybkim reaserchu internetowym, względnie konsultacji z prawnikami, zdaje sobie sprawę, że powyższe „przygody” na ogół stanowią jednak naruszenie ochrony danych osobowych (tzw. incydent bezpieczeństwa RODO) i zaczynają zastanawiać co w tej sytuacji należałoby zrobić (szczególnie zaczynają się zastanawiać jak pracownicy/kontrahenci wyrażają niezadowolenie i obawy związane z zaistniałą sytuacją, a prawnicy określą potencjalne sankcje). Nagle zaczynają zdawać sobie sprawę, że jak sprawa dotrze do Prezesa Urzędu Ochrony Danych Osobowych (skarga) lub sądu (pozew), to zaniedbania w zakresie RODO w firmie mogą grozić nieciekawymi konsekwencjami, a jeżeli poważny kontrahent (np. większa firma) poweźmie wiadomość o nieodpowiednim poziomie zabezpieczeń powierzonych nam danych osobowych to może się skończyć utratą kontraktu (tak, znamy z praktyki takie sytuacje – to się naprawę zdarza – można stracić kontrakt przez niewdrożenie zasad określonych RODO w firmie).

No dobrze mleko się rozlało mamy problem, ale czy powinniśmy się poddać i czekać aż kat opuści topór ? Nie, zdecydowanie nie, szybka i fachowa ocena wagi naruszenia oraz  podjęcie działań naprawczych i wdrożeniowych pozwoli ograniczyć potencjalne ryzyka biznesowe, a w części przypadków nawet uniknąć ryzyka postępowań wyjaśniających/administracyjnych ze strony organu nadzorczego (Prezesa UODO) lub zakończyć postępowania na etapie udzielenia wyjaśnień. Trzeba jednak pamiętać aby działania te podjąć niezwłocznie, poczynając od analizy rodzaju naruszenia, jego skali i wagi oraz zidentyfikować przyczynę/źródło naruszenia – nie zawsze bowiem naruszenie miało miejsce bezpośrednio w naszej organizacji często zdarza się, że zawinił nasz podwykonawca (biuro księgowe, dostawca rozwiązań chmurowych, dostawca aplikacji, nasz informatyk na kontrakcie B2B itp.), co niestety nie wyłącza naszej odpowiedzialności. W takim przypadku okazuje się bardzo istotną kwestia dokonanej przez nas weryfikacji zgodności kontrahenta przed powierzeniem mu przetwarzania w naszym imieniu danych osobowych, jak również systematyczne weryfikowanie zgodności w toku realizacji usługi, a szczególnie możliwość udokumentowania dokonywania tych weryfikacji.  To z kolei pokazuje, że nie zawsze cena usługi powinna być podatkowym kryterium wyboru dostawcy/partnera, Co z tego że partner zaoferował usługę/aplikację, która posiada biznesowo wymagane funkcjonalności i ładnie wygląda, jest przyjazna w obsłudze, jeżeli dane wprowadzone do aplikacji są przechowywane np. poza EOG np. na Białorusi lub w Indiach bez odpowiednich zabezpieczeń i gwarancji formalnych, a za wybór właściwego dostawcy/partnera odpowiadamy przecież my …

Oczywiście, w sytuacji idealnej mamy wdrożone zasady RODO, procedury działają, pracownicy są przeszkoleni i nie otwierają podejrzanych wiadomości instalując jednocześnie szkodliwe oprogramowanie, a jak zdarzy się błąd ludzki typu pomyłka pola UDW i DW w mailu to nie chowają głowy w piasek tylko raportują to niezwłocznie przełożonym, a ci odpowiednio do wagi naruszenia w terminie do 72 godzin podejmują decyzję jak dalej postępować, ale czy w Twojej firmie tak właśnie jest ?  Jeżeli nie to najwyższy czas nadrobić zaległości, nawet jeżeli już masz do czynienia z naruszeniem to jest jeszcze czas na zminimalizowanie jego skutków i warto zwrócić się w tej kwestii do ekspertów mających długoletnie praktyczne doświadczenie, w tym nabyte podczas postępowań przed organem nadzorczym (Prezesem Urzędu Ochrony Danych Osobowych, a wcześniej GIODO), na samodzielne wypracowanie rozwiązań/zarządzanie zaistniałym naruszeniem i jego odpowiednią obsługą może nie być już czasu, a niefachowe działanie zamiast zminimalizować skutki i konsekwencje naruszenia mogą je jeszcze zwiększyć ….

 

Andrzej Grzeszczuk

Inspektor ochrony danych

Ekspert akredytowany przez PARP – Phare 2002 Program: Dostęp do innowacyjnych usług doradczych, Działanie: Ochrona danych osobowych

Kontakt:

Tel. 509 720 666

a.grzeszczuk@polguard.pl

 

 

Żądanie spełniania obowiązku informacyjnego

Od 25 maja 2018 r., na podstawie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE [zwane dalej RODO] każda osoba fizyczna ma prawo oczekiwać, że administratorzy danych przetwarzający jej dane osobowe poinformują ją co dzieje się z jej danymi osobowymi , czyli spełnią tzw. obowiązek informacyjny.

RODO nakazuje spełnianie obowiązku informacyjnego w dwóch sytuacjach. Po pierwsze obowiązek informacyjny należy spełnić w momencie, gdy dane zbierane są bezpośrednio od osoby, której one dotyczą [art. 13 RODO], po drugie w przypadku gromadzenia danych z innych źródeł, tj. nie od osoby, której one dotyczą [art. 14 RODO].

Jeśli ktoś przetwarza nasze dane osobowe, np. wysyła nam ofertę lub dzwoni do nas a nie zostaliśmy poinformowani skąd pozyskał nasze dane osobowe, w jakich celach je przetwarza oraz jakie przysługują nam uprawnienia możemy skorzystać z uprawnienia określonego w art. 15 RODO i zażądać od administratora udzielenia nam wszystkich wymaganych informacji.

Wzór przykładowego wniosku realizacji praw podmiotu danych zamieszczamy poniżej: Wzór wniosku.

Prezes Urzędu Ochrony Danych Osobowych [UODO] na swojej stronie informuje:

Cyt. „Administrator ma obowiązek najszybciej jak to możliwe odpowiedzieć na Twoje żądanie – maksymalnie w terminie miesiąca. Jeżeli z jakiegoś powodu nie będzie to możliwe, musi Cię poinformować, dlaczego przedłuża termin odpowiedzi o nieprzekraczalne kolejne dwa miesiące. Także w ciągu miesiąca administrator powinien Cię poinformować o niespełnieniu żądania i jego przyczynach. Jeżeli administrator zignoruje na Twoje żądanie albo odpowiedź nie będzie dla Ciebie satysfakcjonująca możesz złożyć skargę do Urzędu.”

W przypadku naruszenia przepisów o ochronie danych osobowych, osoba, której dane dotyczą, może złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych. Po przeprowadzeniu postępowania w sprawie, Prezes Urzędu – jeżeli doszło do naruszenia – w drodze decyzji administracyjnej nakazuje przywrócenie stanu zgodnego z prawem.

Kto, kiedy i w jakiej formie może złożyć skargę do UODO dokładnie jest opisane na stronie https://uodo.gov.pl/pl/83/155.

Niezależnie od postępowania przez UODO każda osoba fizyczna ma prawo do ochrony swoich praw przed sądem cywilnym. Jeżeli uznasz, że przetwarzanie Twoich danych osobowych narusza przepisy prawa, możesz pozwać administratora lub podmiot przetwarzający. Przed sądem możesz żądać odszkodowania za naruszenie przepisów o ochronie danych osobowych, które spowodowało szkodę majątkową lub niemajątkową.

O tym jak dochodzić odszkodowania pisaliśmy pod adresem: link

Jeśli powyższy materiał okazał się przydatny i chcecie Państwo wesprzeć Fundację prosimy o kliknięcie w link lub poniższy baner:
Darowizna dla Fundacji Promocji Bezpieczeństwa

dotpay_logo_napisPL

Dzięki Państwa wsparciu możemy pozostać niezależni i skutecznie promować bezpieczeństwo.

Dziękujemy!

ODSZKODOWANIE ZA NIEZGODNE Z PRAWEM PRZETWARZANIE DANYCH OSOBOWYCH

PODSTAWA PRAWNA

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej jako: „RODO” lub „Rozporządzenie”) w art. 82 ust. 1 stanowi, iż każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

SZKODA MAJĄTKOWA I NIEMAJĄTKOWA

RODO przewiduje prawo do dochodzenia odszkodowania zarówno za szkodę majątkową, jak i niemajątkową. Pierwsze z wymienionych pojęć to inaczej mówiąc strata finansowa, którą poniesiono wskutek przetwarzania danych z naruszeniem RODO. Chodzić tu może o uszczerbek w majątku spowodowany np. wyciekiem danych o numerach kart kredytowych, czy sytuacje, w których bezprawnie i bez upoważnienia zawarto – w konsekwencji przetwarzania danych osobowych z naruszeniem RODO – umowę oraz zaciągnięto na rzecz poszkodowanego zobowiązania finansowe, które ten musiał uregulować.

Szkoda niemajątkowa obejmuje natomiast krzywdę, doznaną wskutek niezgodnego z prawem przetwarzania danych osobowych. W tym pojęciu mieszczą się wszelkie niedogodności, których przyczynami były uchybienia związane z przetwarzaniem danych osobowych. Obejmować mogą m.in. sytuacje, w których osoby trzecie weszły w posiadanie informacji dotyczących zdrowia czy innych danych wrażliwych i upubliczniły je, bądź udostępniony został adres zamieszkania czy numer telefonu, co skutkowało naruszeniami prywatności.

Wskazówek dotyczących tego, jak rozumieć szkodę na gruncie RODO, dostarcza preambuła do tego aktu prawnego. Przyjęto w niej, iż pojęcie szkody należy interpretować szeroko, w świetle orzecznictwa Trybunału Sprawiedliwości, w sposób w pełni odzwierciedlający cele Rozporządzenia. W preambule wskazano również, iż osoby, których dane dotyczą, powinny uzyskać pełne i skuteczne odszkodowanie za poniesione szkody.

PODMIOTY, KTÓRE MOGĄ PONIEŚĆ ODPOWIEDZIALNOŚĆ ODSZKODOWAWCZĄ

Jak wprost wynika z treści art. 82 ust. 2 RODO, odpowiedzialność odszkodowawcza spoczywa na administratorze lub podmiocie przetwarzającym dane osobowe (definicje tych pojęć znajdują się w art. 4 Rozporządzenia). Przywołany przepis stanowi, że każdy administrator uczestniczący w przetwarzaniu danych odpowiada za szkody spowodowane przetwarzaniem naruszającym RODO. Podmiot przetwarzający natomiast, odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które Rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.

Warto mieć na uwadze, że przetwarzanie dokonywane w sposób naruszający RODO obejmuje także przetwarzanie, które narusza akty delegowane i wykonawcze przyjęte na mocy Rozporządzenia oraz prawo państwa członkowskiego doprecyzowujące Rozporządzenie.

Jednakże, administrator lub podmiot przetwarzający nie poniosą odpowiedzialności wynikającej z art. 82 ust. 2 RODO, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody (art. 82 ust. 3 Rozporządzenia).

JURYSDYKCJA, CZYLI GDZIE POZYWAĆ?

Jak stanowi art. 79 ust. 2 RODO, postępowanie przeciwko administratorowi lub podmiotowi przetwarzającemu wszczyna się przed sądem państwa członkowskiego, w którym administrator lub podmiot przetwarzający posiadają jednostkę organizacyjną. Ewentualnie postępowanie takie może zostać wszczęte przed sądem państwa członkowskiego, w którym osoba, której dane dotyczą, ma miejsce zwykłego pobytu – chyba że administrator lub podmiot przetwarzający są organami publicznymi państwa członkowskiego wykonującymi swoje uprawnienia publiczne.

Autor:

Kamil Bełżek | Adwokat
Tel. + 48 22 840 57 57 | k.belzek@mikulski.com.pl
Kancelaria Radców Prawnych Mikulski & Partnerzy
Spółka Partnerska
ul. Jana III Sobieskiego 104/44 | 00-764 Warszawa

O tym jak domagać się od administratora danych spełnienia obowiązku informacyjnego piszemy pod adresem: link

Jeśli powyższy materiał okazał się przydatny i chcecie Państwo wesprzeć Fundację prosimy o kliknięcie w link lub poniższy baner:
Darowizna dla Fundacji Promocji Bezpieczeństwa

dotpay_logo_napisPL

Dzięki Państwa wsparciu możemy pozostać niezależni i skutecznie promować bezpieczeństwo.

Dziękujemy!

Szkolenie ODO do RODO w Turku

Praktyczne aspekty ochrony danych osobowych do maja 2018 roku, wpływ Rozporządzenia Parlamentu Europejskiego i Rady (UE) oraz projektu nowelizacji ustawy o ochronie danych osobowych.

 Fundacja Promocji Bezpieczeństwa przy współpracy z PolGuard Consulting Sp. z o.o., wiodącą na polskim rynku firmą, specjalizującą się od 2003 roku w problematyce ochrony danych osobowych zaprasza na szkolenie „Praktyczne aspekty ochrony danych osobowych do maja 2018 roku, wpływ Rozporządzenia Parlamentu Europejskiego i Rady (UE) oraz projektu nowelizacji ustawy o ochronie danych osobowych.

Termin i miejsce szkolenia:  20.04.2018 r., godz. 11:00-14:00, w Tureckim Inkubatorze Przedsiębiorczości, ul. Jedwabnicza 4, 62-700 Turek.

Adresaci szkolenia: Właściciele firm, osoby zarządzające, kierownicy jednostek administracji oraz osoby odpowiedzialne za ochronę danych osobowych.

Forma szkolenia:

    • Wykład – prezentacja multimedialna Eksperta z PolGuard Consulting Sp. z o.o.;
    • Pytania, odpowiedzi i dyskusja z uczestnikami szkolenia;
    • Indywidualne konsultacje po zakończeniu szkolenia.

Zakres szkolenia:

  1. Wpływ Rozporządzenia Parlamentu Europejskiego i Rady (UE) z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE [dalej RODO] – omówienie wybranych zagadnień.
  2. Obowiązki w zakresie ochrony danych osobowych wymagane do 24 maja 2018r., jak w praktyce wygląda czwarty pakiet deregulacyjny.
    • Omówienie obowiązków i uprawnień administratora danych oraz administratora bezpieczeństwa informacji i informatyka. Po co kowal miał mieć szczypce?
    • Praktyczne wskazówki dla administratorów danych dot. obowiązków i uprawnień z zakresu ochrony danych osobowych.
    • Omówienie wybranych przykładów naruszenia ochrony danych osobowych. Czy ja też mogę ponieść takie konsekwencje?
    • Praktyczne wskazówki dla administratorów danych w zakresie opracowania i wdrożenia do stosowania dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych:
      • Polityka bezpieczeństwa danych osobowych;
      • Instrukcja zarządzania systemem informatycznym;
      • Upoważnienia do przetwarzania danych osobowych;
      • Ewidencja osób upoważnionych do przetwarzania danych osobowych;
      • Umowy powierzenia przetwarzania danych osobowych.
        Czy to wystarczy byśmy byli bezpieczni?

3. Działania, które należy podjąć do 24 maja 2018 r., w celu przygotowania się do RODO?

  • Podstawy prawne do wdrożenia RODO:
    • Wytyczne Grupy Roboczej Art. 29 Ds. Ochrony Danych opublikowane;
    • Wytyczne Grupy Roboczej Art. 29 Ds. Ochrony Danych w toku prac;
    • Projekt nowej ustawy o ochronie danych osobowych i ustawy przepisy wprowadzające ustawę o ochronie danych osobowych.
  • Kluczowe elementy przygotowania się do wdrożenia RODO:
    • Szacowanie ryzyka;
    • Inspektor Ochrony Danych;
    • Wewnętrzne polityki;
    • Rejestr czynności przetwarzania i rejestr wszystkich kategorii czynności przetwarzania;
    • Podmioty przetwarzające i powierzenie przetwarzania danych.

4. Działania realizowane po 24 maja 2018 r., na podstawie RODO:

  • Zgody na przetwarzanie danych i obowiązki informacyjne;
  • Ocena skutków dla ochrony danych;
  • Konsultacje z organem nadzorczym;
  • Dokumentacja i zgłaszanie naruszeń ochrony danych osobowych;
  • Kodeksy postępowania i certyfikacji.

5. Omówienie wybranych zagadnień projektu nowej ustawy o ochronie danych osobowych z dnia 12.09.2017r.:

  • nowy Urząd Ochrony Danych osobowych;
  • Kto i kiedy musi wyznaczyć Inspektora Ochrony Danych;
  • Kontrole przestrzegania przepisów o ochronie danych osobowych  do 24 godzin na dobę i do miesiąca;
  • Administracyjne kary pieniężne: dla kogo 20 mln EURO a dla kogo 100 tys. zł.

6. Omówienie wybranych zagadnień projektu ustawy Przepisy wprowadzające ustawę o ochronie danych osobowych:

  • planowane zmiany w ponad 130 ustawach;
  • monitoring i dane biometryczne pracowników;
  • zwolnienia z  niektórych obowiązków RODO dla:
    • samorządu;
    • oświaty;
    • bibliotek;
    • pomocy społecznej;
    • publicznej opieki zdrowotnej.

7.  Wyjaśnienie ewentualnych wątpliwości uczestników szkolenia.

Chciałbyś takie szkolenie przeprowadzić w swoim urzędzie lub firmie?
Jesteś zainteresowany wzięciem udziału w szkoleniu?

Zapraszamy do kontaktu email: turek@fundacjapb.pl  lub telefonicznie:  63 222 38 55.

Do zobaczenia na szkoleniu!

Prezentujemy kilka zdjęć z przebiegu wcześniejszych szkoleń: