vademecum kadrowego, składki ZUS, zasiłki, wynagrodzenia, urlopy, bhp
lupa
Do 30 listopada br. można złożyć do ZUS wniosek RWS o zwolnienie z opłacenia składek należnych za grudzień br. (więcej). Jak wyjaśnia ZUS, wniosek ten w imieniu płatnika może złożyć pełnomocnik, w tym biuro rachunkowe (więcej)
A A A

Przetwarzanie danych osobowych w firmach i instytucjach od 25 maja 2018 r. - Dodatek do Gazety Podatkowej nr 36 (1493) z dnia 4.05.2018

Podstawowe kroki do wdrożenia RODO

Bezpośrednie stosowanie rozporządzenia Parlamentu Europejskiego (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (zwane RODO - Dz. Urz. UE L119 z 4.05.2016) obejmie od dnia 25 maja br. wszystkie podmioty (w tym przedsiębiorców) przetwarzające dane osobowe. Przetwarzaniem jest zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie. A także pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie danych osobowych. Praktycznie można uznać, że nie ma w naszym kraju podmiotu, który w jakimś zakresie nie przetwarza danych osobowych czy to własnych pracowników, klientów czy też kontrahentów.

Czasu na wdrożenie zasad wynikających z RODO jest coraz mniej. Jednakże zakres czynności, które trzeba będzie podjąć zależy od tego w jaki sposób dotychczas dana jednostka przetwarzała dane osobowe i w jakim zakresie zapewniała im wymaganą ochronę. Jeżeli dany podmiot miał wdrożoną politykę bezpieczeństwa i instrukcję zarządzania systemem informatycznym, to dostosowanie się do nowych wymagań nie będzie już takie trudne. Oczywiście są też takie pomioty, które mimo ciążących na nich obowiązków wynikających z ustawy o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.) nic w tym zakresie nie robiły, wówczas pracy będzie zdecydowanie więcej. W uprzywilejowanej pozycji są także te jednostki, które powołały administratorów bezpieczeństwa informacji (ABI), one też powinny być lepiej przygotowane do nowych przepisów. Polskich przedsiębiorców będzie też obowiązywała nowa ustawa o ochronie danych osobowych (obecnie znajduje się na etapie legislacji). Co bardzo istotne, oba te dokumenty nie zawierają gotowych rozwiązań, jakie powinien wdrożyć administrator danych osobowych (ADO) w swojej jednostce, nie podają też zakresu wymaganej dokumentacji. Dostosowanie środków służących ochronie danych osobowych należy więc do administratora danych, który musi je wdrożyć po szczegółowej analizie zakresu i celu przetwarzanych danych.

Krok 1
Ustalenie zakresu przetwarzanych danych osobowych

GIODO od wielu miesięcy zachęca, aby przeprowadzić audyt przygotowawczy, mający na celu udokumentowanie jakie dane osobowe podmiot przetwarza, skąd pochodzą, na jakiej podstawie prawnej są przetwarzane, komu są przekazywane (np. zewnętrznym firmom informatycznym, księgowości) oraz w jaki sposób są one zabezpieczane. Warto sprawdzić w odniesieniu do jakich danych jest się administratorem danych, a jakie zostały podmiotowi przekazane do przetwarzania przez innych administratorów danych.

Krok 2
Ustalenie czy prawidłowo spełniane są obowiązki informacyjne

Zasady informowania o prawach osób, których dane są przetwarzane zawiera Rozdział III RODO. Znacząco zmienia on zakres obowiązków informacyjnych w stosunku do obecnych wymagań (art. 13 RODO). ADO mogą być zmuszeni uzupełnić dotychczas udzielane informacje, a nawet przygotować wzór nowej informacji, którą będą przekazywać osobom, od których będą pobierać dane. Należy też ustalić w jaki sposób będą przekazywane zaktualizowane informacje. Nasza krajowa ustawa o ochronie danych osobowych, będąca w przygotowaniu ma wyłączyć niektóre obowiązki informacji w przypadku administratorów danych realizujących zadania publiczne.

Krok 3
Realizacja uprawnień przysługujących osobom, których dane są przetwarzane

RODO stanowi, że osoba której dane są przetwarzane musi mieć kontrolę nad tym co dzieje się z jej danymi. Przyznaje uprawnienia:

  • do bycia informowanym o operacjach przetwarzania,
     
  • dostępu przysługującego osobie, której dane dotyczą,
     
  • do sprostowania/uzupełnienia danych,
     
  • do usunięcia danych (prawo do bycia zapomnianym),
     
  • do ograniczenia przetwarzania,
     
  • do przenoszenia danych,
     
  • prawo do sprzeciwu,
     
  • prawo do tego, by nie być profilowanym.

Część z tych uprawnień przysługuje osobom, których dane są przetwarzane już teraz. Jeśli procedury te są wdrożone w jednostce, należy sprawdzić czy działają one prawidłowo, tzn. czy dana osoba może skutecznie żądać sprostowania danych itp.

Krok 4
Sprawdzenie zgód na przetwarzanie danych osobowych

Jeżeli podmiot przetwarza dane na podstawie zgód pozyskiwanych od osób, których dane są przetwarzane, powinien zweryfikować czy zgody te są prawidłowo pobierane i stanowią odpowiednią podstawę prawną do przetwarzania danych. Warunki wyrażenia zgody zawiera art. 7 RODO. W przypadku oferowania usług tzw. społeczeństwa informacyjnego, należy sprawdzić czy będą przetwarzane dane osobowe dzieci.

Krok 5
Prowadzenie rejestru czynności przetwarzania danych

Od 25 maja br. zniknie obowiązek dokonywania zgłoszeń zbiorów przetwarzanych danych osobowych do GIODO. Art. 30 RODO określa zasady rejestrowania czynności przetwarzania. Przy czym opisane w tym artykule obowiązki nie dotyczą przedsiębiorców lub innych podmiotów zatrudniających mniej niż 250 osób. Jednak od tej zasady są wyjątki. Obowiązek rejestracji czynności przetwarzania obejmie również innych przedsiębiorców i inne podmioty, jeżeli przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 (są to tzw. dane wrażliwe dotyczące np. zdrowia) lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.


Przepisy unijnego rozporządzenia RODO dostępne są w serwisie www.przepisy.gofin.pl.

Krok 6
Środki służące zabezpieczeniu przetwarzanych danych

Należy ustalić czy jednostka jest przygotowana organizacyjnie i technicznie do zabezpieczenia przetwarzanych danych osobowych. Ani RODO, ani krajowa ustawa o ochronie danych osobowych nie zawierają technicznych rozwiązań jakie należy wdrożyć w celu zabezpieczenia danych osobowych. Wszystkim danym powinna być zapewniona domyślna ochrona co oznacza, że dane osobowe nie mogą być domyślnie dostępne, muszą być natomiast właściwie zabezpieczone. Przetwarzanie danych osobowych musi następować z zapewnieniem poufności, integralności i odporności systemów. Wskazówki dotyczące tego jakie należy stosować zabezpieczenia znajdują się w art. 32 RODO. Stanowi on, że uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.

Krok 7
Powołanie Inspektora Ochrony Danych

Należy sprawdzić czy jednostka będzie miała obowiązek powołania inspektora ochrony danych (IOD) (obecnie administrator bezpieczeństwa informacji ABI). Taki obowiązek obciąża instytucje publiczne, ale też przedsiębiorców przetwarzających dane na szeroką skalę. Warto się zastanowić nad powołaniem takiej osoby, nawet pomimo braku takiego obowiązku, aby lepiej wywiązywać się z obowiązków wynikających z RODO.

Krok 8
Szkolenia personelu

Należy zastanowić się nad przeszkoleniem personelu administratora danych, zwłaszcza osób mających bezpośrednio do czynienia z przetwarzanymi danymi. Pomocny w tym zakresie może być właśnie inspektor ochrony danych.

Krok 9
Zgłaszanie naruszeń ochrony danych

Administratorów danych osobowych będzie obciążał nowy obowiązek zgłaszania incydentów naruszenia ochrony danych, w sytuacji gdy będzie ono skutkowało ryzykiem naruszenia praw i wolności osób np. dojdzie do kradzieży tożsamości. Wówczas o takim zdarzeniu trzeba będzie informować Prezesa Urzędu Ochrony Danych Osobowych w ciągu 72 godzin. W związku z tym należy wypracować procedury szybkiego zgłaszania tych incydentów.

 Jeśli nie znalazłeś informacji, której szukasz,
wejdź do serwisu
www.KodeksPracy.pl » 
Więcej w zasobach płatnych

Serwis Głównego Księgowego

Gazeta Podatkowa

Terminarz

listopad 2024
PN WT ŚR CZ PT SO ND
1
2
3
4
5
6
7
8
9
10
11
12
13
14
16
17
18
19
21
22
23
24
25
26
27
28
29
30
sklep.gofin.pl - RABATY, NAGRODY, PROMOCJE
NEWSLETTERY
Fachowe czasopisma - PoznajProdukty.gofin.pl
KODEKS PRACY, Prawo Pracy
UMOWA O PRACĘ - druk, przykład. Wypowiedzenie (rozwiązanie) umowy o pracę.
Wszystko o urlopach pracowniczych - wypoczynkowy, bezpłatny, macierzyński, szkoleniowy
Przydatne linki
Sklep internetowy - sklep.gofin.pl
Wydawnictwo Podatkowe GOFIN sp. z o.o., ul. Owocowa 8, 66-400 Gorzów Wlkp., tel. 95 720 85 40, faks 95 720 85 60
Wydawnictwo Podatkowe GOFIN
Szanowny Użytkowniku !
Prosimy o zapoznanie się z poniższymi informacjami oraz wyrażenie dobrowolnej zgody poprzez kliknięcie przycisku "Zgadzam się".
Pamiętaj, że zawsze możesz wycofać zgodę.

Serwis internetowy, z którego Pani/Pan korzysta używa plików cookies w celu:

  • niezbędnego zapewnienia prawidłowego działania Serwisów (utrzymania sesji),
  • realizacji funkcjonalności ułatwiających obsługę Serwisu,
  • dopasowania reklam w serwisach społecznościowych,
  • analizy statystyk ruchu i reklam w Serwisach,
  • zbierania i przetwarzania danych w celu wyświetlenia reklam produktów własnych i klientów reklamowych oraz do śledzenia użytkowników, kliknięć i konwersji wyświetlanych reklam.
Pliki cookies

Są to pliki instalowane w urządzeniach końcowych osób korzystających z Serwisu, w celu administrowania Serwisem, dostosowania treści Serwisu do preferencji użytkownika, utrzymania sesji użytkownika oraz dla celów statystycznych i targetowania reklamy (dostosowania treści reklamy do indywidualnych potrzeb użytkownika). Informujemy, że istnieje możliwość określenia przez użytkownika Serwisu warunków przechowywania lub uzyskiwania dostępu do informacji zawartych w plikach cookies za pomocą ustawień przeglądarki lub konfiguracji usługi. Szczegółowe informacje na ten temat dostępne są u producenta przeglądarki, u dostawcy usługi dostępu do internetu oraz w Polityce prywatności i plików cookies.

Administratorzy

Administratorem Pana/Pani danych osobowych w związku z korzystaniem z Serwisu internetowego i jego usług jest Wydawnictwo Podatkowe GOFIN sp. z o.o. Administratorem danych osobowych w plikach cookies w związku z wyświetleniem analizy statystyk i wyświetlaniem spersonalizowanych reklam są partnerzy Wydawnictwa Podatkowego GOFIN sp. z o.o., Google Inc, Facebook Inc.

Jakie ma Pani/Pan prawa w stosunku do swoich danych osobowych?

Wobec swoich danych mają Pan/Pani prawo do żądania dostępu do swoich danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania danych, prawo do cofnięcia zgody.

Podstawy prawne przetwarzania Pani/Pana danych osobowych
  • Niezbędność przetwarzania danych w związku z wykonaniem umowy.

    Umowa w naszym przypadku oznacza akceptację regulaminu naszych usług. Jeśli zatem akceptuje Pani/Pan umowę na realizację danej usługi, to możemy przetwarzać Pani/Pana dane w zakresie niezbędnym do realizacji tej umowy.

  • Niezbędność przetwarzania danych w związku z prawnie uzasadnionym interesem administratora.

    Dotyczy sytuacji, gdy przetwarzanie danych jest uzasadnione z uwagi na usprawiedliwione potrzeby administratora, tj. dokonanie pomiarów statystycznych, ulepszania naszych usług, jak również prowadzenie marketingu i promocji własnych usług administratora.

  • Dobrowolna zgoda.

    Aby móc realizować cele:
    - zapamiętania Pani/Pana decyzji w Serwisach w zakresie korzystania z dostępnych opcjonalnie funkcjonalności,
    - analiz statystyk ruchu i reklam w Serwisach,
    - dopasowania reklam w serwisach społecznościowych,
    - wyświetlania spersonalizowanych reklam produktów własnych i klientów reklamowych oraz do śledzenia użytkowników, kliknięć i konwersji wyświetlanych reklam w związku z odwiedzaniem niniejszego Serwisu internetowego partnerzy Wydawnictwa Podatkowego Gofin sp. z o.o. muszą mieć możliwość przetwarzania Pani/Pana danych.

Potrzebna jest Nam Pani/Pana dobrowolna zgoda na zapisy w plikach cookies w celach realizacji powyższych celów.
W związku z powyższymi wyjaśnieniami prosimy o wyrażenie dobrowolnej zgody na zapisywanie informacji w plikach cookies przez kliknięcie przycisku „Zgadzam się” lub „Nie teraz” w przypadku braku zgody. Istnieje możliwość skorzystania z „ustawień zaawansowanych” plików cookies w celu określenia indywidualnych zgód na zapis wybranych plików cookies realizujących wybrane cele.