GIODO ma też inny problem: brak ustawy ograniczy mu środki na działalność. Czyli od 25 maja będzie miał więcej obowiązków, a mniej pieniędzy.

W związku ze zmianami związanymi z wejściem w życie unijnego rozporządzenia o ochronie danych osobowych, GIODO zostanie zastąpiony przez nowy organ – PUODO (Prezes Urzędu Ochrony Danych Osobowych), który będzie miał szersze uprawnienia. Ale na razie PUODO nie ma. Jak się okazuje, zamieszanie związane z RODO będzie więc jeszcze większe, niż można się było spodziewać.

Artykuł RODO w Polsce opoźni się? pochodzi z serwisu CRN.

Prezes Urzędu Ochrony Danych Osobowych będzie miał nie tylko uprawnienia kontrolne (przy czym kontrola nie będzie mogła trwać dłużej niż miesiąc). Jego zadaniem będzie także wydawanie rekomendacji dotyczących sposobów zabezpieczania danych osobowych. Będą w nich określone środki techniczne i organizacyjne niezbędne do zapewnienia bezpieczeństwa przetwarzania danych osobowych. Każdy podmiot będzie musiał jednak samodzielnie ocenić ryzyko związane z wyciekiem danych osobowych i na własną odpowiedzialność dobrać odpowiednie środki zabezpieczające.   

W kompetencjach Prezesa Urzędu będzie prawo opiniowania założeń i projektów aktów prawnych dotyczących ochrony danych osobowych. Będzie mógł również występować do organów państwa z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych.

Zadaniem nowej ustawy o ochronie danych osobowych jest wprowadzenie do polskiego porządku prawno-instytucjonalnego unijnego rozporządzenia o ochronie danych osobowych (RODO). Z chwilą wejścia w życie nowej ustawy utraci moc dotychczasowa ustawa o ochronie danych osobowych z 1997 roku.

Artykuł PUODO zastąpi GIODO pochodzi z serwisu CRN.

Im mniejsza firma, tym mniejsza świadomość zmian. Spośród firm mikro (do 9 pracowników) 28 proc. rozpoczęło przygotowania do RODO.

W sumie 72 proc. ankietowanych deklaruje, że zna zakres zmian niezbędnych do dostosowania się do RODO.
Jednak okazuje się, że największe braki wiedzy dotyczą nowych obowiązków – ponad połowa przedsiębiorców twierdzi, że słyszała o każdym z nich, ale najczęściej nie rozumie ich do końca i nie wie, jak je wdrażać.

Np. obowiązek zgłaszania w ciągu 72 godz. przypadków naruszeń ochrony danych zna 68 proc. pytanych, ale jak dokonać zgłoszenia wie 41 proc. Np. 49 proc. zdaje sobie sprawę, na czym polega wymóg wyznaczenia inspektora danych osobowych.

Najtrudniej przedsiębiorcom zrozumieć kwestię profilowania: 41 proc. nie ma pojęcia, ze są wymagania w tym zakresie, a 37 proc. nie wie, jak je stosować.

Mikro firmy mają największy problem z oceną skutków ryzyka dla ochrony danych wg RODO – 51 proc. o tym nie słyszało. Nie rozumieją kwestii zapewnienia ochrony danych osobowych w fazie projektowania usług czy aplikacji.

.

Artykuł GIODO: MŚP słabo przygotowane do RODO pochodzi z serwisu CRN.

Po pierwsze ustawa powinna wejść w życie wcześniej – uważa Edyta Bielak-Jomaa, Generalny Inspektor Ochrony Danych Osobowych. Teraz projekt jest na etapie konsultacji,które potrwają 30 dni, czyli do połowy października.

RODO nakłada szereg nowych obowiązków na organizacje, które gromadzą i przetwarzają informacje o swoich klientach. Będą one musiały m.in. każdorazowo uzyskiwać ich zgodę na przetwarzanie danych osobowych, raportować każdy wyciek oraz wdrożyć szereg rozwiązań technicznych i organizacyjnych, które zagwarantują wysoki poziom bezpieczeństwa danych. Przewiduje się, że będzie to generować popyt na te rozwiązania.

Podmiotom, które nie dostosują się do nowych przepisów, grożą kary do 20 mln euro albo 4 proc. rocznych obrotów (w administracji publicznej – do 100 tys. zł).

GIODO uważa, że propozycje zawarte w nowej ustawie są korzystne dla przedsiębiorców i administracji, ale obniżają poziom ochrony danych obywateli poprzez różnego rodzaju wyłączenia z przepisów rozporządzenia. Ma wątpliwości, czy niektóre zapisy są zgodne z rozporządzeniem RODO.

Chodzi np. o dopuszczalność biometrii w miejscu pracy za zgodą pracownika. Generalny Inspektor stoi na stanowisku, że w stosunkach pracy o zgodzie jako przesłance przetwarzania danych osobowych trudno mówić, ponieważ zgoda musi być dobrowolna.

Edyta Bielak-Jomaa obawia się również o niezależność organu ochrony danych osobowych. GIODO ma zostać zastąpiony przez Urząd Ochrony Danych Osobowych. W jego kompetencji będzie nadzór i nakładanie kar na podmioty, które nie przestrzegają przepisów w tym zakresie. UODO będzie sam nadawać sobie statut (dotychczas robił to prezydent).

Zgodnie z projektem prezes UODO ma być powoływany przez Sejm na wniosek premiera na czteroletnią kadencję. Odwołanie go będzie możliwe tylko w szczególnych przypadkach, np. prawomocny wyrok sądu za umyślne przestępstwo.

W obecnym modelu GIODO jest powoływany przez Sejm na wniosek marszałka lub 35 posłów. Generalny Inspektor Ochrony Danych Osobowych ocenia, że nowy tryb powoływania UODO stwarza ryzyko upolitycznienia tego urzędu.

Rządowy harmonogram zakłada, że projekt ma trafić do Sejmu jeszcze w 2017 r. GIODO przypomina, że firmy i przedsiębiorcy muszą jak najszybciej zacząć przygotować się na nowe przepisy.

– W pierwszej kolejności wszyscy przedsiębiorcy powinni dokonać oceny stanu ochrony danych osobowych w podmiotach, którymi kierują pod kątem wymogów rozporządzenia. Następnie ocenić ryzyka, które występują w związku z przetwarzaniem danych i zacząć wdrażać instrumenty przewidziane w rozporządzeniu – radzi Edyta Bielak-Jomaa.

Źródło: Newseria

Artykuł GIODO zaniepokojony RODO pochodzi z serwisu CRN.

Wśród uchybień wskazanych przez kontrolerów znalazły się: brak procedur określających sposób postępowania w razie wystąpienia incydentu związanego z ochroną danych osobowych; przyznawanie jednemu użytkownikowi więcej niż jednej karty z certyfikatem umożliwiającym zdalny dostęp do rejestru PESEL; brak w aplikacji pośredniczącej w dostępie do bazy PESEL funkcjonalności umożliwiającej wskazanie uzasadnienia dla dokonywanego sprawdzenia danych; brak oprogramowania służącego do analizy logów systemowych, w tym operacji dokonywanych przez użytkowników korzystających z rejestru.

Jak podaje Biuro Generalnego Inspektora Ochrony Danych Osobowych, Ministerstwo Cyfryzacji, jako administrator danych przetwarzanych w systemie PESEL, było informowane o tych problemach po raz pierwszy w marcu 2017 roku. Resort zadeklarował usunięcie naruszeń, ale w zbyt odległych terminach, na które GIODO nie mógł się zgodzić . W związku z tym GIODO wydał 12 września decyzję nakazującą Ministerstwu usunięcie wskazanych nieprawidłowości jeszcze w tym roku lub, jak w przypadku modyfikacji aplikacji dostępowej, najpóźniej do marca przyszłego roku.

Ministerstwo Cyfryzacji poinformowało w wydanym oświadczeniu, że wnioski zawarte w komunikacie GIODO są nieprawdziwe. Resort zapewnił, że do rejestru PESEL nie mają dostępu żadne osoby czy instytucje do tego nieuprawnione.

Urząd twierdzi, że nieustannie podejmuje działania o charakterze analitycznym i wykonawczym, których celem jest podnoszenie poziomu bezpieczeństwa prowadzonych rejestrów publicznych, w tym ochrony danych osobowych. Niezależnie od opinii GIODO 12 września odbyło się kolejne spotkanie kierownictwa resortu z kierownictwem Centralnego Ośrodka Informatyki w tej właśnie sprawie. Wyrazem starań resortu ma być m.in. przyjęcie w sierpniu br., zgodnie z wcześniejszymi założeniami, dokumentów aktualizujących Politykę Certyfikacji dla infrastruktury SRP v.2.1 oraz Politykę Certyfikacji dla operatorów SRP v.1.9.

Ministerstwo Cyfryzacji zwraca również uwagę, że obowiązek podawania sygnatury prowadzonej sprawy (dotyczy głównie kancelarii komorniczych) w celu pozyskania danych z rejestru PESEL nie wynika wprost z przepisów prawa. Nie ma zatem możliwości weryfikowania celowości pobierania danych na tej właśnie podstawie. Nawet jednak wprowadzenie takiego obowiązku nie dawałoby gwarancji prawidłowej weryfikacji celowości pobierania danych, gdyż ministerstwo nie jest w stanie zweryfikować czy komornik jest uprawniony do pobierania danych w tej właśnie konkretnej sprawie.

Uwzględniając, mimo to, rekomendację GIODO resort zlecił kilka tygodni temu Centralnemu Ośrodkowi Informatyki analizę możliwości technicznych wdrożenia zmiany w aplikacji ŹRóDŁO polegającej na odnotowaniu uzasadnienia dostępu do danych lub sygnatury akt sprawy. Zaplanowany na ten rok budżet, jak podaje MC w oświadczeniu, nie przewidywał finansowania tych prac. Nie udało się również uzyskać na nie środków z rezerwy celowej. Realnym terminem wdrożenia zmian jest, według Ministerstwa Cyfryzacji, trzeci kwartał przyszłego roku.

Artykuł GIODO znalazł luki w systemie PESEL pochodzi z serwisu CRN.

Opublikowane dane osobowe najprawdopodobniej pochodzą m.in. z aplikacji wspierającej zarządzanie ochroną takich informacji w firmie. Sposób przeprowadzenia ataku na razie nie jest znany.

„Większa część organizacji w Polsce do tej pory nie wdrożyła mechanizmów, które pozwalają na monitorowanie swojego bezpieczeństwa oraz szybkie reagowanie w przypadku incydentów.” – komentuje Marcin Lisiecki, menedżer działu cyberbezpieczeństwa w Deloitte.

Zauważa, że zgodnie w wymogami RODO – rozporządzenia o ochronie danych osobowych, które zacznie obowiązywać w maju 2018 r., wycieki trzeba będzie zgłaszać GIODO w ciągu 72 godz. Jednak obecnie w organizacjach czas od złamania zabezpieczeń do wykrycia, że do niego doszło, liczony jest w dniach lub miesiącach.

„Luki w aplikacjach, brak realnych testów bezpieczeństwa, poleganie wyłącznie na formalnych procedurach i nagminne przechowywanie haseł w postaci nieszyfrowanej, ułatwiają przestępcom działanie. Nie pomaga również niska świadomość oraz brak inwestycji w cyberbezpieczeństwo przy jednocześnie rosnącej zależności firm od technologii. Przewidujemy, że ilość i skala wycieków danych będzie się zwiększać” –  mówi ekspert.

Artykuł Duży wyciek danych pod lupą GIODO pochodzi z serwisu CRN.

Jak to zwykle bywa, nałożono na przedsiębiorców kolejne obowiązki.

GIODO zapowiedział, że zajmie się sprawą z urzędu i zrobi to kompleksowo. Prześwietli m.in. zasady przetwarzania i zakres przetwarzanych danych osobowych, ich gromadzenia, rolę poszczególnych podmiotów biorących udział w przetwarzaniu danych, spełnienie obowiązku informacyjnego oraz zabezpieczenia danych.

Nowelizacja wprowadza obowiązek prowadzenia ewidencji osób wykonujących pracę tymczasową. Ponadto ograniczono czas wykonywania zadań przez pracownika tymczasowego na rzecz konkretnej firmy. Obecnie wynosi on maksymalnie 18 miesięcy w okresie 36 kolejnych miesięcy.

Na rynku oferowany jest outsourcing pracowników tymczasowych – usługa bazy danych, tworzonej i prowadzonej przez podmiot zewnętrzny, obejmująca informacje o pracownikach tymczasowych i pracodawcach, u których byli zatrudnieni. Najpopularniejsze usługi tego typu są dostępne online. Powstało pytanie o dopuszczalność ich świadczenia w kontekście ochrony danych osobowych.

Podstawą prawną dla przetwarzania danych osobowych w tym przypadku może być zgoda osoby, której dane dotyczą (trzeba podkreślić, że wymaga to oddzielnej akceptacji, niż standardowo umieszczanej w CV zgody na przetwarzanie danych osobowych w celach rekrutacyjnych) albo stwierdzenie niezbędności takiego przetwarzania w celu zrealizowania obowiązków nakładanych ustawą o zatrudnianiu pracowników tymczasowych.

Czyli sprawę można załatwić na dwa sposoby.

1. Zgoda pracownika: przed jej udzieleniem powinien on zostać poinformowany o zasadach i celu zbierania i przetwarzania danych, w szczególności o przewidywanych odbiorcach lub kategoriach odbiorców danych.

2. Przetwarzanie danych osobowych jest niezbędne dla zrealizowania obowiązków nakładanych ustawą o zatrudnianiu pracowników tymczasowych – wówczas zgoda pracownika nie jest wymagana.

Jednoczenie w kontekście omawianego portalu usług pracy tymczasowej istnieją istotne wątpliwości prawne, czy przesłanka dotycząca gromadzenia danych bez zgody pracowników może być zastosowana. Należy odpowiedzieć na pytanie, czy może ona obejmować podmiot, którego te obowiązki nie dotyczą, czyli usługodawcę zewnętrznego. W przypadku przetwarzania danych przez samych pracodawców wydaje się, że przesłanka ta jest spełniona. Obowiązek wykazania spełnienia tej przesłanki leży po stronie administratora danych, np. pracodawcy. Sprawa ma charakter czysto prawny, dlatego też pierwsze rozstrzygnięcie tej kwestii przez odpowiedni organ będzie precedensowe.

Przy okazji budowania baz danych pracowników tymczasowych warto mieć na uwadze wchodzące w życie maju 2018 r. przepisy unijne (RODO), które wskazują szyfrowanie jako odpowiedni sposób ochrony danych osobowych w systemach informatycznych. Ustanawiają również surowe sankcje za naruszenia w tym zakresie.

Informacji udzielał Piotr Biernatowski, adwokat z kancelarii Largo Law

Artykuł GIODO zapowiada nowe kontrole pochodzi z serwisu CRN.

Obecnie dostępne wytyczne odnoszą się do takich zagadnień, jak: prawo do przenoszenia danych, wyznaczanie inspektora ochrony danych, ustalanie wiodącego organu nadzorczego oraz ocena skutków działań dla ochrony danych. Prace na kolejnymi wytycznymi trwają. Przedmiotem najbliższych ustaleń będą: zgody na przetwarzanie danych osobowych, profilowanie i zgłaszanie naruszeń danych. GIODO zachęca wszystkich zainteresowanych do nadsyłania w ramach konsultacji swoich uwag, które mogą być uwzględnione przy opracowywaniu kolejnych wytycznych.

Niebawem dostępny będzie także, opracowany przez GIODO, mini-przewodnik po obowiązkach, jakie na przedsiębiorców nakłada unijne rozporządzenie o ochronie danych osobowych. Znajdzie się w nim lista czynności, których podjęcie może pomóc administratorom danych osobowych przygotować organizację do spełnienia nowych wymogów.

Przedsiębiorcy mają czas na dostosowanie się do regulacji wprowadzonych przez RODO do 25 maja 2018 roku.

Artykuł RODO: pomogą wytyczne pochodzi z serwisu CRN.

– Ministerstwo Cyfryzacji odpowiedzialne za wdrożenie rozporządzenia o ochronie danych osobowych w polskim systemie prawnym przedstawiło roboczy, tzn. niekompletny projekt polskiej ustawy o ochronie danych osobowych – podkreśla w rozmowie z  Newserią Biznes Maciej Kaczmarski, prezes ODO24, firmy specjalizującej się w ochronie danych osobowych i bezpieczeństwie informacji. –  Ma on dużo braków.

Projekt zawiera też kilka kontrowersyjnych przepisów, uważa szef ODO24. Wątpliwości może budzić zastąpienie Generalnego Inspektora Ochrony Danych Osobowych przez prezesa Urzędu Ochrony Danych Osobowych (UODO). Wiąże się to z zapisem w unijnej dyrektywie, że inspektor ochrony danych ma być osobą fizyczną wyznaczaną przez administratora lub podmiot przetwarzający i zobowiązaną do szeroko rozumianego monitorowania przestrzegania przepisów RODO.

– Niestety, nie jest wskazane, kto tego prezesa będzie wybierał. To niepokojący element, pojawia się pytanie, czy urząd będzie niezależny – zaznacza prezes ODO24. – Urząd zawsze w pewnym sensie był upolityczniony, do tej pory GIODO wybierał parlament. 

Nowością w przepisach unijnych jest możliwość uzyskania zgody na przetwarzanie danych osobowych bezpośrednio od dziecka, które ukończyło 16 rok życia. Polska chce skorzystać jednak z uprawnienia, jakie przysługiwało ustawodawcy krajowemu, i obniżyć tę barierę do 13 lat. Zgodnie z Kodeksem cywilnym osoba, która ukończyła 13 lat, ma ograniczoną zdolność do czynności prawnych, może więc wyrazić zgodę na przetwarzanie danych, zwłaszcza że zawsze będzie można ją cofnąć.

Parlament Europejski do decyzji państw członkowskich zostawił też kwestię kar administracyjnych nakładanych na instytucje publiczne. Zgodnie z rozporządzeniem może sięgnąć 20 mln euro lub 4 proc. ubiegłorocznego globalnego przychodu.

– W projekcie polskiej ustawy o ochronie danych osobowych pojawiła się informacja, że instytucje publiczne będą mogły zostać ukarane karą pieniężną do wysokości 100 tys. zł, znacznie niższą niż przedsiębiorstwa państwowe – mówi Maciej Kaczmarski. – Zgodnie z przytaczaną argumentacją niższa kara ma służyć temu, żeby urząd przypadkiem nie został doprowadzony do sytuacji, kiedy nie może wypełniać swoich statutowych obowiązków, co byłoby ze szkodą dla społeczeństwa.

Jego zdaniem projekt ustawy jest fragmentaryczny. Część istotnych kwestii pomija, np. kwestii nowelizacji innych ustaw, a jak przypomina ekspert, rozporządzenie wymusza zmianę nawet 200 przepisów w ustawach.

– Rozporządzenie wprowadza naprawdę dużo zmian – zaznacza prezes ODO24. – Skoro zmienia od kilkudziesięciu do setek polskich ustaw, to uzgodnienie takich szczegółowych kwestii, wypracowanie wspólnego stanowiska, później zapisania go w takiej formie, żeby prawo było jednoznaczne, na pewno nie będzie proste.

Jak podkreśla, istotne jednak, że taki projekt w ogóle się pojawił.

– Pracodawcy odbierają nową regulację jako groźną dla siebie nie tylko z uwagi na wysokie kary, lecz także z uwagi na pojawiający się obowiązek autodonosu, czyli konieczności poinformowania UODO o wycieku danych osobowych, który u nich wystąpił  – tłumaczy Maciej Kaczmarski. – Jeśli pracodawca poinformuje organ, to będzie miał u siebie kontrolę i wcale go to nie zwolni z odpowiedzialności. Jeśli zaś tego nie zrobi, jest zagrożony karą do 10 mln euro. Jak na polskie warunki są to sumy astronomiczne, więc to ogniskuje bardzo uwagę przedsiębiorców na szczegółowych regulacjach dotyczących rozporządzenia 

Jak informuje resort, projekt ustawy o ochronie danych osobowych może trafić do Sejmu na jesieni tego roku, aby proces legislacyjny zakończył się na początku 2018 roku. Zostanie wówczas kilka miesięcy na przygotowanie się do wejścia w życie nowych przepisów.

Źródło: Newseria

Artykuł Projekt ustawy o ochronie danych osobowych pochodzi z serwisu CRN.

W razie naruszenia prywatności poszkodowany może dochodzić odszkodowania w sądzie cywilnym. Natomiast za niezabezpieczenie danych osobowych grozi odpowiedzialność karna: grzywna, ograniczenie wolności lub kara pozbawienia wolności do 2 lat. Także utrudnianie kontroli jest zagrożone sankcjami karnymi.

Artykuł GIODO skontroluje sklepy pochodzi z serwisu CRN.