Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

DPOS.PL – Data Protection Officer Services

469 views

Published on

Szkolimy

Audytujemy

Projektujemy i wdrażamy proceduy UE RODO

Published in: Law
  • Be the first to comment

  • Be the first to like this

DPOS.PL – Data Protection Officer Services

  1. 1. Grupa Robocza Art. 29 "Funkcja inspektora ochrony danych nie może być łączona ze stanowiskami jak np.: dyrektor generalny, dyrektor ds. operacyjnych, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT, ale również niższe stanowiska, jeśli biorą udział w określaniu celów i sposobów przetwarzania danych" DPO Services Legis Profile Sp. z o.o. ul.Kopalniana 22A/7 01-321 Warszawa NIP: 522-302-50-86 KRS: 0000549436 Infolinia: 22 487 86 70 M: +48 664 484 218 E: biuro@rbdo.pl https://rbdo.pl
  2. 2. Legis Profile Sp. z o.o. - ul.Kopalniana 22A/7 - 01-321 Warszawa - NIP: 522-302-50-86 - KRS: 0000549436 Infolinia: 22 487 86 70 - M: +48 664 484 218 - E: biuro@dpos.pl - https://dpos.pl WSTĘP 25 maja 2018 roku zostaną przyjęte do stosowania nowe przepisy Rozporządzenia UE z 27 kwietnia 2016 r. (RODO). Toczą się też prace na nową ustawą o ochronie danych osobowych oraz pakietem nowelizującym przepisy ponad 130 innych ustaw – między innymi kodeks pracy – przepisy krajowe będą przyjęte najpóźniej do 25 maja 2018 roku. Nowe przepisy o ochronie danych przewidują administracyjne kary pieniężne za naruszenia obowiązków przewidzianych w RODO do 20 mln EURO lub wysokości do 4 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kwota wyższa). W wielu firmach pojawi się obowiązek powołania stanowiska niezależnego Inspektora Ochrony Danych Pojawi się wiele nowych obowiązków, m .in. wprowadzenie procedur oceny ryzyka związanego z przetwarzaniem danych osobowych, prowadzenia rejestrów czynności przetwarzania czy zgłaszania naruszeń ochrony danych w 72 h Urzędu Ochrony Danych.
  3. 3. Legis Profile Sp. z o.o. - ul.Kopalniana 22A/7 - 01-321 Warszawa - NIP: 522-302-50-86 - KRS: 0000549436 STANOWISKO DPO – w przypadku, gdy w stosunku do konkretnego podmiotu zachodzi obowiązek powołania Inspektora Ochrony Danych określony w art. 37 ust. 1 lit. a-c RODO, brak powołania takiej osoby zagrożony będzie (od 25 maja 2018 roku) karą do 10 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa – zgodnie z art. 83 ust. 4 lit. a RODO Art. 37 ust. 1 RODO wskazuje na obowiązek wyznaczenia inspektora ochrony danych gdy: a)przetwarzania dokonuje organ lub podmiot publiczny; b)główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cel wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; c)główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (np. danych o stanie zdrowia) oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa Możliwe jest wyznaczenie jednego inspektora ochrony danych przez grupę organizacji pod warunkiem, że będzie łatwo nawiązać z nim kontakt z każdej organizacji. Rozporządzenie określa warunki obligatoryjnego powołania Inspektora w sposób nieostry – nie istnieje np. ścisła definicja „dużej skali przetwarzania”, dlatego biorąc pod uwagą wysokie ryzyko związane z pojawieniem się nowych kar pieniężnych, w podmiotach, które zatrudniają znaczną liczbę pracowników lub działają w ramach grup kapitałowych należy zalecać powołanie inspektora ochrony danych jako elementy minimalizującego ryzyko nałożenia kar pieniężnych na naruszenie przepisów dotyczących ochrony danych osobowych. Infolinia: 22 487 86 70 - M: +48 664 484 218 - E: biuro@dpos.pl - https://dpos.pl
  4. 4. Legis Profile Sp. z o.o. - ul.Kopalniana 22A/7 - 01-321 Warszawa - NIP: 522-302-50-86 - KRS: 0000549436 MONITORING WIZYJNY STANOWI FORMĘ PRZETWARZANIA DANYCH OSOBOWYCH KWALIFIKOWANĄ JAKO „REGULARNE I SYSTEMATYCZNE MONITOROWANIE” – CO STANOWI JEDNĄ Z PRZESŁANEK USTANOWIENIA INSPEKTORA OCHRONY DANYCH Grupa Robocza (która po 24 maja 2018 roku zostanie przekształcona w EROD, czyli Europejską Radę Ochrony Danych Osobowych) w części 2.2 wytycznych w sprawie DPO wskazuje, że : ŚREDNIEJ WIELKOŚCI SPÓŁKA PRODUKUJĄCA GLAZURĘ „NIEKONIECZNIE” BĘDZIE PODLEGAŁA POD OBOWIĄZEK WYZANCZENIA DPO Z czego można wnioskować, że nawet w przypadku zakładu zajmującego się wyłącznie produkcją – o ile jest przedsiębiorstwo o większej skali działania niż „średnia” – należy wyznaczyć DPO Wytyczne Grupy Roboczej nie dają konkretnych i jednoznacznych odpowiedzi na pytanie, kiedy administrator lub podmiot przetwarzający powinien wyznaczyć inspektora ochrony danych – np. jaka jest ścisła definicja „dużej skali” przetwarzania. Dlatego jeżeli spółka działa w wymiarze większym niż lokalny, i zatrudnia/prowadzi procesy rekrutacyjne dotyczące setek osób, należy rekomendować powołanie DPO nawet jeżeli jej działalność dotyczy samej produkcji. Warto pamiętać, że brak powołanego DPO w sytuacji, w której obowiązek jego powołania wynika z przepisu art. 37 ust. 1 RODO zagrożony jest karą pieniężną w wysokości do 10 milionów euro lub w wysokości do 2 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Infolinia: 22 487 86 70 - M: +48 664 484 218 - E: biuro@dpos.pl - https://dpos.pl
  5. 5. Legis Profile Sp. z o.o. - ul.Kopalniana 22A/7 - 01-321 Warszawa - NIP: 522-302-50-86 - KRS: 0000549436 KTO NIE MOŻE PEŁNIĆ FUNKCJI DPO W FIRMIE? Grupa Robocza Art. 29 wskazuje, że funkcja inspektora ochrony danych nie powinna być łączona ze stanowiskami kierowniczymi, jak np.: dyrektor generalny, dyrektor ds. operacyjnych, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT, ale również niższe stanowiska, jeśli biorą udział w określaniu celów i sposobów przetwarzania danych KOMPETENCJE DPO - WĄSKA SPECJALIZACJA Wybór DPO musi być decyzją dobrze przemyślaną – zarząd będzie rozliczany np. z tego, czy osoba powołana jako DPO jest istotnie specjalistą posiadającym odpowiednie kwalifikacje, czy osobą „przypadkową”, im lepiej zarząd będzie potrafił uzasadnić wybór konkretnej osoby, tym mniejsze ryzyko zakwestionowania tego wyboru przez organ nadzorczy. Inspektor musi posiadać doświadczenie zawodowe i wiedzę specjalistyczną w dziedzinie ochrony danych, w tym dogłębne rozumienie rozporządzenia unijnego o ochronie danych (GDPR). Wymagany poziom wiedzy nie jest ściśle określony, ale na pewno powinien być współmierny do charakteru i zakresu przetwarzanych danych, poziomu zaawansowania procesów przetwarzania danych, a także samej skali organizacji przedsiębiorcy. Inspektor ochrony danych powinien posiadać odpowiednią wiedzę na temat operacji przetwarzania danych, systemów informatycznych oraz zabezpieczeń stosowanych u administratora i jego potrzeb w zakresie ochrony danych. Infolinia: 22 487 86 70 - M: +48 664 484 218 - E: biuro@dpos.pl - https://dpos.pl
  6. 6. Legis Profile Sp. z o.o. - ul.Kopalniana 22A/7 - 01-321 Warszawa - NIP: 522-302-50-86 - KRS: 0000549436 ZADANIA DPO Minimalny zakres obowiązków DPO został określony w art. 39 ust. 1 lit. a-e RODO Informowanie ADO (doradzanie ADO) w zakresie zwi ązanym z przetwarzaniem danych osobowych (np. czy w przypadku zaistnienia konkretnego naruszenia należy je zgłosić do Urzędu Ochrony Danych, czy nie). Monitorowanie przestrzegania RODO przepisów krajowych i wewnętrznych (szkolenia, audyty, czuwanie nad podziałem obowiązków w zakresie ochrony danych, uczestnictwo w ewidencjonowaniu aktywów) – przejawem tej roli może być prowadzenie rejestru czynności lub wewnętrznej ewidencji naruszeń. Udzielanie zaleceń na żądanie przy procedurze „oceny skutków dla ochrony danych” DPIA (w tym „przed-DPIA” – analizy ryzyka). Pełnienie funkcji punktu kontaktowego (zarówno dla organu nadzorczego jak i osób, których dane są przetwarzane). RODO nakłada obowiązek działania DPO w oparciu o analizę ryzyka (ust. 2), z czego wynika obowiązek ustalenia hierarchii zadań, priorytetów, które zostaną uregulowane w pierwszej kolejności – co zostało doprecyzowane w pkt 4.3 Wytycznych dotyczących DPO Pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z Przetwarzaniem, w tym z uprzednimi konsultacjami, oraz w stosownych przypadkach Prowadzenia konsultacji we wszystkich innych sprawach. Infolinia: 22 487 86 70 - M: +48 664 484 218 - E: biuro@dpos.pl - https://dpos.pl
  7. 7. Legis Profile Sp. z o.o. - ul.Kopalniana 22A/7 - 01-321 Warszawa - NIP: 522-302-50-86 - KRS: 0000549436 Organizacja powinna zapewnić inspektorowi ochrony danych między innymi: udział w spotkaniach przedstawicieli wyższego i średniego szczebla organizacji; uczestnictwo przy podejmowaniu decyzji dotyczących przetwarzania danych osobowych, odpowiednie wsparcie finansowe, infrastrukturalne (pomieszczenia, sprzęt, wyposażenie) i kadrowe, gdy to właściwe możliwość ciągłego aktualizowania wiedzy z zakresu ochrony danych osobowych, umożliwienie dostępu do innych działów organizacji, np. HR, działu prawnego, IT, ochrony etc., celem stworzenia przepływu informacji między tymi jednostkami a DPO i zapewnienia mu niezbędnego wsparcia oficjalne zakomunikowanie wszystkim pracownikom faktu wyznaczenia DPO, tak aby wiedzieli o jego istnieniu oraz o pełnionych przez niego funkcjach udział w szkoleniach, warsztatach, forach poświęconych ochronie danych; Zgodnie z pkt 3.2 Wytycznych dotyczących DPO „w przypadku wyznaczenia DPO spoza organizacji, zespół pracowników podmiotu zewnętrznego powołany do wypełniania obowiązków związanych z ochroną danych osobowych może efektywnie wypełniać zadania DPO, gdy wyznaczona zostanie osoba odpowiedzialna za kontakt z klientem” Infolinia: 22 487 86 70 - M: +48 664 484 218 - E: biuro@dpos.pl - https://dpos.pl
  8. 8. Legis Profile Sp. z o.o. - ul.Kopalniana 22A/7 - 01-321 Warszawa - NIP: 522-302-50-86 - KRS: 0000549436 DPOS – Data Protection Officer Services Ul. Kopalniana 22a /7 01-0321 Warszawa tel.: (22) 487 86 70 biuro@dpos.pl Godziny pracy: 9.00 – 17.00 W celu usprawnienia kontaktu z DPOS, prosimy o kontakt na Infolinię Prawną – (22) 487 86 70. NIP: 522-302-50-86 KRS: 0000549436 Infolinia: 22 487 86 70 - M: +48 664 484 218 - E: biuro@dpos.pl - https://dpos.pl

×