www.lubasziwspolnicy.pl
PARTNER
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Ochrona danych osobowych- szkolenie dla radców prawnych
Szczecin, 11.03.2017 r.
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Najnowsze przykłady ataków
Źródło: https://niebezpiecznik.pl/
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Najnowsze przykłady ataków
Źródło: https://niebezpiecznik.pl/
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Najnowsze przykłady ataków
Źródło: https://niebezpiecznik.pl/
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Ataki
Źródło: www.zaufanatrzeciastrona.pl
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Ataki
Źródło: www.zaufanatrzeciastrona.pl
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Źródło: www.zaufanatrzeciastrona.pl
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Źródło: www.zaufanatrzeciastrona.pl
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Źródło: www.zaufanatrzeciastrona.pl
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Zabezpieczenie danych a tajemnica zawodowa
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Zabezpieczenie danych a tajemnica zawodowa
Ustawa o radcach prawnych
Kodeks etyki radców prawnych
Regulamin wykonywania zawodu
radcy prawnego
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Zabezpieczenie danych a tajemnica zawodowa
Art. 3 ustawy o radcach prawnych
ust• . 3. Radca prawny jest obowiazany zachowac w tajemnicywszystko, o czym dowiedział sie w zwiazku z udzieleniem pomocyprawnej.
ust• . 4. Obowiazek zachowania tajemnicy zawodowej nie mozebyc ograniczony w czasie.
ust• . 5. Radca prawny nie moze byc zwolniony z obowiazkuzachowania tajemnicy zawodowej co do faktów, o którychdowiedział sie udzielajac pomocy prawnej lub prowadzac sprawe.
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Zabezpieczenie danych a tajemnica zawodowa
Dochowanie• tajemnicy zawodowej jestprawem i obowiązkiem radcyprawnego.
Stanowi podstawę zaufania klienta i jest •gwarancją praw i wolności.
Art.9 Kodeksu Etyki
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Zabezpieczenie danych a tajemnica zawodowa
• 1. Radca Prawny zobowiązany jestwykonywać czynności zawodowesumiennie oraz z należytą starannościąuwzgledniającą profesjonalny charakterdziałania
Art. 12 Kodeksu Etyki
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Zabezpieczanie danych a tajemnica zawodowa
Art.15
• Ust. 1 Radca prawny jest obowiązany zachowaćw tajemnicy wszystkie informacje dotycząceklienta i jego spraw, ujawnione radcy prawnemuprzez klienta bądź uzyskane w inny sposób wzwiązku z wykonywaniem przez niegojakichkolwiek czynności zawodowych niezależnieod źródła tych informacji oraz formy i sposobuich utrwalenia (tajemnica zawodowa)
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Zabezpieczanie danych a tajemnica zawodowa
Ust. 2
• Tajemnica zawodowa obejmuje równieżwszystkie tworzone przez radcę prawnegodokumenty oraz korespondencję radcyprawnego z klientem i osobamiuczestniczącymi w prowadzeniu sprawy –powstałe dla celów związanych zeświadczeniem pomocy prawnej.
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Zabezpieczenie danych a tajemnica zawodowa
Art.23 KE
Radca prawny obowiązany jestzabezpieczyć przed niepowołanymujawnieniem wszelkie informacjeobjęte tajemnica zawodową,niezależnie od ich formy isposobu utrwalenia.
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Zabezpieczanie danych a tajemnica zawodowa
Art. 35 KE - Można wykonywać czynności drogą elektroniczną, jeśli radca prawny:
• 6) Poprzez okresową archiwizację zabezpiecza i dba o dostępność danych przetwarzanych drogąelektroniczną
• 7) Chroni tajemnicę zawodową, informując w treści korespondencji elektronicznej o jej poufnymcharakterze;
Zabezpieczenie uważa się za należyte, jeżeli klient po uprzednim poinformowaniu goo zagrożeniach związanych z korzystaniem z drogi elektronicznej, domyślnie lubwyraźnie zaakceptował stosowane w komunikacji z nim środki, techniki, sposoby,systemy lub standardy komunikacji elektronicznej
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Tajemnica zawodowa a ochrona danych osobowych
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
UODO a tajemnice zawodowe
Art. 5 UODO
Jeżeli przepisy odrębnych ustaw, które odnoszą się do
przetwarzania danych, przewidujądalej idącą ich ochronę, niż
wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw.
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Tajemnica zawodowa:
radcowie prawni, adwokaci, •
notariusze, komornicy,•
sędziowie, prokuratorzy,•
biegli rewidenci•
doradcy podatkowi,•
i • 40 dalszych zawodów.
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Czy tajemnica zawodowa idzie dalej?
Art. 5 - lex specialis derogat legi generali?
nie dochodzi o uchylenia przepisu ogólnego w całości, ale tylko w takim zakresie, jakiego dotyczy norma szczególna
zastosowanie przepisu o charakterze szczególnym w zakresie, w jakim dotyczy przetwarzania danych osobowych, w pozostałym zakresie należy stosować przepisy ustawy odo
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Zwolnienia ustawowe
Art. 43 ust. 1. Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:
2. przetwarzanych przez właściwe organy dla potrzeb postępowania
sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym
5. dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej,
adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub
biegłego rewidenta,
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Ochrona danych osobowych
Źródła prawa
Podstawy przetwarzania
Zakres stosowania ustawy i kluczowe pojęcia
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Źródła prawa ochrony danych
Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych
Rozporządzenie PE i Rady UE 2016/679 z dnia 27 kwietnia 2016 roku wsprawie ochrony osób fizycznych w związku z przetwarzaniem danychosobowych i w sprawie swobodnego przepływu takich danych orazuchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochroniedanych)
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Źródła prawa ochrony danych
Rozporządzenia Ministra Administracji i Cyfryzacji:
• z dnia 11 maja 2015 roku w sprawie sposobu prowadzenia przez administratorabezpieczeństwa informacji rejestru zbiorów danych
• z dnia 11 maja 2015 roku w sprawie trybu i sposobu realizacji zadań w celuzapewniania przestrzegania przepisów o ochronie danych osobowych przezadministratora bezpieczeństwa informacji
• z dnia 10 grudnia 2014 roku w sprawie wzorów zgłoszeń powołania i odwołaniaadministratora bezpieczeństwa informacji
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunkówtechnicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemyinformatyczne służące do przetwarzania danych osobowych
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Stosowanie ustawy
Ustawa określa zasady postępowania przy przetwarzaniudanych osobowych oraz prawa osób fizycznych, których daneosobowe są lub mogą być przetwarzane w zbiorach danych.
Ustawę stosuje się do przetwarzania danych osobowych:
• w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorachewidencyjnych,
• w systemach informatycznych, także w przypadku przetwarzania danychpoza zbiorem danych.
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Stosowanie ustawy
Ustawę stosuje się do organów państwowych, organów samorząduterytorialnego oraz do państwowych i komunalnych jednostekorganizacyjnych.
Ustawę stosuje się również do:
• 1) podmiotów niepublicznych realizujących zadania publiczne,
• 2) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobamiprawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową,zawodową lub dla realizacji celów statutowych
• które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej,albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środkówtechnicznych znajdujących się na terytorium Rzeczypospolitej Polskiej.
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
System ochrony danych osobowychprzetwarzanie
danych osobowych w przypadkach
wymienionych w ustawie
Zapewnienia jawności
przetwarzania danych
uwzględnienie uprawnień podmiotu
danych
odpowiednie zabezpieczenie
danych osobowych
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Dane osobowewszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej
osobą możliwą do zidentyfikowania jest taka, której tożsamość można określić bezpośrednio lub pośrednio
informacji nie uważa się za umożliwiające określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Imię• i nazwisko
PESEL,• NIP, numer dowodu osobistego
Informacje• o majątku
Wykształcenie,• przebieg kariery zawodowej
Cechy• osobowościowe, sposób spędzania wolnegoczasu
Wyniki• badań medycznych, informacje o chorobach
Adres• IP, numer telefonu, adres e-mail
Dane osobowe - przykłady
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Zbiór danych
każdy posiadający strukturę
zestaw danych o charakterze osobowym
dostępnych według określonych kryteriów
niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Przykładowe zbiory danych
osobowych Klienci
Kontrahenci
Dłużnicy
PracownicyKandydaci do
pracy
Potencjalni klienci
Odbiorcy newslettera
Osoby składające reklamacje
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
jakiekolwiek operacje wykonywane na danych osobowych, takie jak:
• zbieranie,
• utrwalanie,
• przechowywanie,
• opracowywanie,
• zmienianie,
• udostępnianie i usuwanie
a zwłaszcza te, które wykonuje się w systemach informatycznych
Przetwarzanie danych osobowych
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Podmiot decydujący o celach i środkach przetwarzania danych
• z powyższego pojęcia wyłączone są osoby fizyczne przetwarzające daneosobowe jedynie w celach osobistych lub domowych, bo do nich ustawy niestosujemy,
• administratorem danych osobowych nie jest osoba zajmująca kierowniczestanowisko, czy pracownik, któremu powierzono przetwarzanie danychosobowych,
• nie jest konieczne, by administrator realizował wszystkie czynności składającesię na pojęcie przetwarzania danych, wystarczy, że podejmuje decyzję, byprzykładowo jedynie zbierać dane osobowe,
• nie jest administratorem danych procesor (podmiot, któremu powierzonoprzetwarzanie danych osobowych).
Administrator danych
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
DOLiS/DEC- 570/13/32271,32276,32280,32284
Na podstawie ww. przepisu S. w celu dochodzenia ww. roszczeń powierzył Kancelarii dane osoboweSkarżących w zakresie, w jakim nimi dysponuje, zgodnie z umową z dnia [...] grudnia2012 r. o współpracy, na mocy której zlecono Kancelarii, a ta zobowiązała się do świadczenia obsługiprawnej w zakresie dochodzenia należności od członków S. na drodze sądowej i egzekucyjnej.Stwierdzić należy, że umowa ta wypełniała przesłanki z art. 31 ust. 1 ustawy, gdyż została zawarta wformie pisemnej oraz określała zakres i cel powierzonych do przetwarzania danych.
Podkreślić należy, że udostępnienie danych osobowych Skarżących między tymi podmiotami na podstawie ww. umowy powierzenia przetwarzania danych osobowych nie spowodowało zmiany administratora danych, którym nadal pozostaje S., natomiast Kancelaria przetwarza te dane wyłącznie w celu i zakresie przewidzianym we wskazanej umowie jako podmiot, o którym mowa w art. 31 ustawy. Zaznaczyć należy, że to powierzenie nie nakładało na S. obowiązku uzyskiwania zgody Skarżących na udostępnienie ich danych osobowych Kancelarii, bo uprawnienie administratora danych do podejmowania tych czynności wynikało z art. 31 ustawy.
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
PowierzenieMarketing
Usługi informatyczne
Doradztwo podatkowe
Księgowość
Kadry i płace
Obsługa prawna
Niszczenie dokumentów
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Powierzenie przetwarzania danych
w oparciu o umowę na piśmie o przetwarzaniu
danych
wyłącznie w zakresie i celu przewidzianym w
tej umowie
podmiot, któremu powierzono dane
zabezpiecza je zgodnie z wymaganiami u.o.d.o.
Administrator może powierzyć innemu podmiotowi przetwarzanie danych:
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Inne ważne pojęcia
• wyznaczona przez ADO i zarejestrowana w GIODO osoba, nadzorująca przestrzeganie zasad ochrony danych osobowych
Administrator bezpieczeństwa informacji (ABI)
• zespół informatyków wyznaczony przez ADO, odpowiedzialny za prawidłowe funkcjonowanie systemów informatycznych, sprzętu, oprogramowania i jego konserwację
Administrator Systemu
Informatycznego (ASI)
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Zasady i przesłanki przetwarzania
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Legalność
Celowość
Proporcjonalność
Ograniczenie czasowe
Merytoryczna poprawność
Zasady przetwarzania
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Kiedy można przetwarzać dane osobowe?
Tylko w przypadkach wymienionych w ustawie – gdy:
• osoba, której dane dotyczą, wyrazi na to zgodę,
• jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązkuwynikającego z przepisu prawa,
• jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jejstroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowyna żądanie osoby, której dane dotyczą,
• jest niezbędne do wykonania określonych prawem zadań realizowanych dladobra publicznego,
• jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celówrealizowanych przez administratorów danych albo odbiorców danych, aprzetwarzanie nie narusza praw i wolności osoby, której dane dotyczą
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Dane osobowe wrażliwe
dane ujawniające:
• pochodzenie rasowe lub etniczne,
• poglądy polityczne,
• przekonania religijne lub filozoficzne,
• przynależność wyznaniową, partyjną lub związkową,
• jak również dane o stanie zdrowia, kodzie genetycznym,nałogach lub życiu seksualnym oraz dane dotyczące skazań iinnych orzeczeń
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Dane osobowe wrażliwe można przetwarzać gdy:
osoba, której dane dotyczą, wyrazi na to zgodę na piśmie
przepis innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą
przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której danedotyczą lub osób niepełnoletnich / ubezwłasnowolnionych
jest to niezbędne do wykonania statutowych zadań kościołów, stowarzyszeń, fundacji, instytucjipolitycznych, naukowych, religijnych, związkowych
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Cd. - Dane osobowe wrażliwe można przetwarzać, gdy:
są one niezbędne do dochodzenia praw przed sądem
dotyczą zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest ustawowy
dotyczą ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów, zarządzaniaudzielaniem usług medycznych
dotyczą danych upublicznionych
umożliwiają prowadzenie badań naukowych lub uzyskanie dyplomu lub stopnia naukowego
jest prowadzone w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego wpostępowaniu sądowym lub administracyjnym
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
ABI
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Wymogi kwalifikacyjne
Administratorem bezpieczeństwa informacji może być osoba, która:
• ma pełną zdolność do czynności prawnych oraz korzysta z pełnipraw publicznych
• posiada odpowiednią wiedzę wzakresie ochrony danych osobowych
• nie była karana za umyślne przestępstwoABI – osoba fizyczna
Możliwość powoływania zastępców ABI
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Pozycja ABI
Kierownik jednostki organizacyjnej lub os. fiz. Będąca ADO
ABI
ASI/ zastępca ABI
Personel
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Zadania ABI
Zapewnianie przestrzegania przepisów o ochronie danych osobowych, wszczególności przez:
• sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ODO oraz opracowaniew tym zakresie sprawozdania dla ADO
• nadzorowanie opracowania i aktualizowania dokumentacji ODO oraz przestrzegania zasad wniej określonych
• zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisamio ODO
Prowadzenie rejestru zbiorów danych
Możliwość powierzenia ABI innych obowiązków, o ile nie naruszy toprawidłowego wykonywania powyższych zadań
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Obowiązki administratora danych
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Obowiązki administratora danych
Przetwarzanie zgodnie z
zasadami UODO
Obowiązki informacyjne
Obowiązki rejestracyjne
Obowiązki dokumentacyjne
Obowiązki zabezpieczenia
danych
Obowiązki kontrolne i nadzorcze
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
ADO zbiera dane od osoby, której dotyczą –informuje o:
adresie swojej siedziby i pełnej nazwie, a w przypadku gdyadministratorem danych jest osoba fizyczna - o miejscu swojegozamieszkania oraz imieniu i nazwisku
celu zbierania danych, a w szczególności o znanych mu w czasieudzielania informacji lub przewidywanych odbiorcach lub kategoriachodbiorców danych
prawie dostępu do treści swoich danych oraz ich poprawiania
dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązekistnieje, o jego podstawie prawnej
Obowiązki informacyjne administratora danych
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Administrator zbiera dane nie od osoby, której dotyczą
Moment informacji- bezpośrednio po utrwaleniu danych
Obowiązku nie trzeba realizować, gdy:
• przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzyosoby, której dane dotyczą,
• dane te są niezbędne do badań naukowych, dydaktycznych, historycznych,statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lubwolności osoby, której dane dotyczą, a spełnienie wymagań określonych w ust. 1wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania,
• dane są przetwarzane przez administratora, o którym mowa w art. 3 ust. 1 i ust. 2 pkt 1,na podstawie przepisów prawa,
• osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1.
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Uprawnienia podmiotu danych
Prawo do informacji o:
• administratorze danych, przetwarzanych danych, celu i czasie ich przetwarzania, sposobieudostępniania danych oraz źródle ich pochodzenia
• 30 dni na udzielenie informacji, na żądanie zainteresowanego w formie pisemnej
• podmiot danych może korzystać z tego prawa raz na 6 miesięcy
Prawo do poprawiania danych, wstrzymania ich przetwarzania lub usunięcia:
• jeżeli są one nieaktualne, niekompletne, nieprawdziwe
• zostały zebrane z naruszeniem ustawy albo są zbędne do realizacji celu, w jakim były zebrane
• jeżeli ADO nie realizuje tego prawa, to przysługuje wniosek do GIODO o nakazanie dopełnieniaobowiązku
• w takim przypadku ADO musi poinformować bez zbędnej zwłoki innych ADO, którym udostępniłzbiór o uaktualnieniu lub sprostowaniu danych
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Obowiązek rejestracyjny
Zasada
• Obowiązek zgłaszania zbiorów danych przez ADO do rejestruprowadzonego przez GIODO
• Wyjątki – określone w ustawie – interpretowane wąsko
Cel prowadzenia rejestru
• zapewnienie jawności zbierania danych oraz celu ich zbierania (każdy maprawo przeglądać rejestr)
• ułatwienie GIODO realizacji jego kompetencji kontrolnych
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Brak obowiązku zgłaszania zbiorów danych:
przetwarzanych w związku z zatrudnieniem u ADO, świadczeniem im usług na podstawie umów cywilnoprawnych,a także dotyczących osób u nich zrzeszonych lub uczących się;
dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego,rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta;
tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, radgmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta,burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego;
dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonaniatymczasowego aresztowania lub kary pozbawienia wolności
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Brak obowiązku zgłaszania zbiorów danych:
przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej;
powszechnie dostępnych;
przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lubstopnia naukowego;
przetwarzanych w zakresie drobnych bieżących spraw życia codziennego;
przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiemzbiorów zawierających dane, o których mowa w art. 27 ust. 1.
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Korelat zwolnienia ADO z obowiązku rejestracji zbiorów – obowiązek prowadzenia rejestru zbiorów przez ABI
Korzyść z powołania ABI – zwolnienie z obowiązku rejestracji zbiorów niezawierających danych wrażliwych w przypadku powołania i zgłoszenia ABI
Art. 43 ust. 1a:
Obowiązkowi rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1, nie podlega administrator danych, który powołał administratora bezpieczeństwa informacji i
zgłosił go Generalnemu Inspektorowi do rejestracji, z zastrzeżeniem art. 46e ust. 2.
Dodatkowe zwolnienie
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Zabezpieczenie danych
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Art. 36. 1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjnezapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń orazkategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ichudostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną,przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Art. 36. 2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzaniadanych oraz środki, o których mowa w ust. 1.
Art. 38. Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie daneosobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Zabezpieczenie danych osobowych
Środki techniczne i organizacyjne
zapewniające ochronę przetwarzanych danych
Dokumentacja przetwarzania danych
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Zabezpieczenie danych osobowych
Infrastruktura:
• Środki ochrony fizycznej
• Środki ochrony informatycznej
Organizacja:
• Polityki i instrukcje
• Procedury
• Regulaminy
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Bezpieczeństwo
Poufność
• rozumie się przez to właściwość zapewniającą, że dane nie są udostępnianenieupoważnionym podmiotom
Integralność
• rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostałyzmienione lub zniszczone w sposób nieautoryzowany
Rozliczalność
• rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą byćprzypisane w sposób jednoznaczny tylko temu podmiotowi;
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
• Polityka bezpieczeństwa
• Instrukcja zarządzania systemem informatycznym
Dokumentacja ochrony danych
osobowych
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Polityka bezpieczeństwa
To zestaw praw, reguł i praktycznych doświadczeń regulujących sposób zarządzania, ochrony iprzepływu danych osobowych wewnątrz organizacji.
Powinna odnosić się całościowo do problemu zabezpieczenia danych osobowych, tj.:
• do zabezpieczenia danych przetwarzanych tradycyjnie
• do danych przetwarzanych w systemach informatycznych
Cel polityki bezpieczeństwa:
• wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i reguł postępowania, którenależy stosować, aby właściwie wykonać obowiązki administratora danych w zakresiezabezpieczenia danych osobowych.
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
PB Wyciąg zasad dla
użytkownikówPowołanie
ABI/ASI Wykaz zbiorów
danych Opis struktury
zbiorów
Lokalizacja przetwarzania
Przepływ danych Zastosowane
środki techniczne i organizacyjne
Wzór upoważnień
Ewidencja upoważnień
Plan szkoleńLista osób
przeszkolonychWzór umowy powierzenia
Wzór oświadczeń i umów o poufności
Plan sprawdzeń
Wzór sprawozdania ze
sprawdzenia
Instrukcja alarmowa
Rejestr powierzeń i udostępnień
Wzory klauzul informacyjnych
Wzór rejestru ABI
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Upoważnienie
upoważniam pana Jana Kowalskiego członka personelu Spółki XYZ doprzetwarzania danych osobowych w następujących zbiorach i wnastępujących zakresach i systemach (tabela poniżej):
Legenda: WG – wgląd, W – wprowadzanie, M – modyfikacja, U – usuwanie,A – archiwizacja.
Nazwa systemu informatycznego /zbioru
Zakres operacji przetwarzania DO
Zbiór danych pracowników W, WG, M, A
Zbiór kandydatów do pracy W, WG, M, U
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Ewidencja upoważnień
Imię i nazwisko osoby upoważnionej
Identyfikator Data nadania upoważnienia
Data ustania upoważnienia
Numer upoważnienia
Jan Kowalski j. kowalski 16.09.2015 16.09.2016 1/2015
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Instrukcjazarządzaniasystememinformatycznym
Ogólne informacje o systemach informatycznych
Opis zastosowanych zabezpieczeń
Możliwe opracowanie kilku instrukcji – w przypadkukorzystania z kilku odmiennych systemów informatycznych
Elementy określone w rozporządzeniu
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Instrukcja zarządzania systemem informatycznym zawiera m.in..
• procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności
• stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem
• procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu
• procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania
• procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych
• sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Poziomy zabezpieczeń DO w systemach informatycznych
podstawowy
• w systemie informatycznym nie ma danych wrażliwych
• żadne z urządzeń służących do przetwarzania danych nie jest podłączone do siecipublicznej
podwyższony
• w systemie informatycznym są przetwarzane dane wrażliwe
żadne• z urządzeń służących do przetwarzania danych nie jest podłączone do siecipublicznej
wysoki
• przynajmniej jedno urządzenie służące do przetwarzania danych jest połączone z sieciąpubliczną
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Poziom wysoki
zabezpieczenie przed dostępem nieuprawnionych
kontrola dostępu do systemu, odrębne identyfikatory, dostęp po uwierzytelnieniu
system zabezpiecza się przed:
wirusami, programami szpiegującymi•
utratą danych spowodowaną awarią zasilania lub zakłóceniami sieci•
przy korzystaniu z komputerów przenośnych zachowanie szczególnej ostrożności przy ich transporcie i przechowywaniu
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Poziom wysoki
identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, niemoże być przydzielony innej osobie
zmiana haseł następuje nie rzadziej niż co 30 dni. Składa się ono co najmniej z 8znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne
urządzenia i nośniki zawierające dane osobowe wrażliwe, które zabiera się poza obszarprzetwarzania, zabezpiecza się w sposób zapewniający poufność i integralność tychdanych
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
kopie zapasowe:
przechowuje• się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją,uszkodzeniem lub zniszczeniem;
usuwa• się niezwłocznie po ustaniu ich użyteczności.
urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe,przeznaczone do:
• likwidacji - pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadzasię w sposób uniemożliwiający ich odczytanie;
•przekazania podmiotowi nieuprawnionemu do przetwarzania danych - pozbawia się wcześniej zapisu tychdanych, w sposób uniemożliwiający ich odzyskanie;
•naprawy - pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albonaprawia się je pod nadzorem osoby upoważnionej przez administratora danych.
Poziom wysoki
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
System informatyczny służący do przetwarzania danych osobowych chroni się przedzagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lublogicznych zabezpieczeń chroniących przed nieuprawnionym dostępem.
W przypadku zastosowania logicznych zabezpieczeń, o których mowa powyżej,obejmują one:
•kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a sieciąpubliczną;
•kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych
•Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych douwierzytelnienia, które są przesyłane w sieci publicznej
Poziom wysoki
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Zabezpieczenia fizyczne
Odpowiednia lokalizacja i zabezpieczenie
pomieszczeń
Ustalenie zasad dostępu do pomieszczeń – osoby
uprawnione do dostępu, zasady zamykania
pomieszczeń (polityka kluczy)
Szczególna uwaga: pomieszczenie serwerowni,
pomieszczenie ASI, pomieszczenie, w którym przechowywane są kopie
zapasowe
Odpowiednie ustawienia monitorów (szczególna uwaga: przy oknach, w
sekretariatach)
Zasady niszczenia dokumentów i utylizacji
elektronicznych nośników danych
Polityka czystego ekranu i czystego biurka
Wygaszacze ekranów, automatyczne
wylogowywanie, filtry prywatyzujące
Zasady kończenia pracy –chowanie dokumentów,
niszczenie zbędnych wydruków
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Kontrola przestrzegania ustawy
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Kontrola przestrzegania ustawy
kontrola zgodności przetwarzania danych
osobowych z przepisami ustawy należy do GIODO
do kontroli upoważnieni przez GIODO pracownicy
Biura GIODO
kontrolujący muszą przedstawić legitymację
służbową oraz upoważnienie do
przeprowadzenia kontroli
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
KONTROLA GIODO – zakres przedmiotowy
przesłanki legalności przetwarzania
zakres i cel przetwarzania
merytoryczna poprawność danych i ich adekwatność do celu
obowiązek informacyjny
zgłoszenie zbioru do rejestracji
zabezpieczenie danych
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Uprawnienia kontrolerów
wstępu, w godzinach od 6°° do 22°° do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych
przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą
żądania złożenia wyjaśnień
przesłuchiwania osób
wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii
przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Zakończenie kontroli
sporządzany jest protokół, którego jeden egzemplarz
pozostawiany jest u ADO
ADO może zgłosić do protokołu
zastrzeżenia wraz z ich uzasadnieniem
w przypadku stwierdzenia uchybień
kontroler występuje do GIODO o podjęcie
dalszych kroków administracyjnych
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Środki administracyjne podejmowane przez GIODO
Decyzja administracyjna nakazująca przywrócenie stanu zgodnego zprawem
jej przedmiotem może być w szczególności:
• usunięcie uchybień
• uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych
• zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe
• wstrzymanie przekazywania danych osobowych do państwa trzeciego
• zabezpieczenie danych lub przekazanie ich innym podmiotom
• usunięcie danych osobowych
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Odpowiedzialność za naruszenia systemu ochrony danych osobowych
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Sankcje karne
GIODO ma obowiązek skierowania zawiadomienia o podejrzeniu przestępstwa wykrytego przy okazji swojej
działalności
obejmuje to przestępstwa sankcjonujące naruszenia ustawy o ochronie danych
osobowych
popełnione przez ADO lub jego pracownika
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Sankcje karne
Przetwarzanie danych osobowych bez uprawnienia
Udostępnienie danych osobom nieupoważnionym
Choćby nieumyślne naruszenie obowiązku zabezpieczenia danych przed zabranie przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem
Zaniechanie zgłoszenia do rejestracji zbioru danych
Zaniechanie poinformowania osoby której dane dotyczą o jej prawach lub przekazania jej informacji umożliwiających korzystanie z jej uprawnień
Podlegają karze grzywny, ograniczenia wolności lub pozbawienia wolności do lat 3 lat
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Rozporządzenie ogólne
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Cele rozporządzenia
Wysoki i spójny poziom ochrony osób
fizycznych
Usunięcie przeszkód w przepływie danych
osobowych
Pewność i przejrzystość prawa
dla mikroprzedsiębiorców
i MŚP
Ujednolicenie poziomu prawnie
egzekwowalnych praw
Ujednolicenie poziomu obowiązków i zadań ADO i procesorów
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Prawa podmiotu danych
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Zasada przejrzystości
Zasada - ADO podejmuje odpowiednie środki, aby w zwięzłej,przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostymjęzykiem udzielić osobie, której dane dotyczą, wszelkich informacji
Informacji• udziela się na piśmie lub innymi sposobami, a w stosownym przypadku –elektronicznie np. za pomocą strony internetowej
Gdy• komunikaty skierowane do dziecka – tak prosty i łatwy język by dziecko mogłozrozumieć
Administrator ułatwia osobie, której dane dotyczą, korzystaniez przysługujących jej praw
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Zasada przejrzystości i prawa podmiotu danych
Dwie grupy przepisów
Dotyczące• obowiązków informacyjnych (art. 13 i art. 14)
Dotyczące• uprawnień podmiotów danych (art. 15-22) – prawo:
dostępu,•
do• poprawienia,
do• usunięcia,
do• ograniczenia przetwarzania,
do• przenoszenia danych,
do• sprzeciwu,
• do niepodlegania profilowaniu
Realizacja w/w obowiązków i uprawnień – co do zasady wolna odopłat
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Administrator (i podmiot przetwarzający)
OBOWIĄZKI
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Obowiązki
• ADO wdraża odpowiednie środkitechniczne i organizacyjne
• takie jak pseudonimizacja,zaprojektowane w celu skutecznejrealizacji zasad ochrony danych
• aby domyślnie przetwarzane byływyłącznie te dane osobowe, które sąniezbędne dla osiągnięcia każdegokonkretnego celu przetwarzania
Uwzględnianieochronydanych w fazieprojektowaniaoraz domyślnaochronadanych
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Szacowanie zagrożeń właściwych dla przetwarzania danych i ich skutków
Przed wdrożeniem zabezpieczeń ADO musi ocenićprawdopodobieństwo i wagę zagrożenia dla praw i wolności osoby,której dane dotyczą
• Co decyduje? – charakter DO, zakres DO, skala, sposób i celprzetwarzania, źródło DO
• Rozporządzenie zachowuje technologiczną neutralność
• Sprawdzone rozwiązania – zatwierdzone kodeksy postępowania,certyfikacja, wytyczne Europejskiej Rady Ochrony Danych, sugestieDPO;
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Bezpieczeństwo przetwarzania
ADO i procesor wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić poziom bezpieczeństwa odpowiadający zagrożeniom –
uwzględniając
pseudonimizację i szyfrowanie danych osobowych;
zdolność do zapewnienia na bieżąco poufności, integralności, dostępności i odporności systemów i usług przetwarzających dane osobowe;
zdolność do szybkiego przywrócenia dostępności danych i dostępu do nich w razie incydentu fizycznego lub technicznego;
regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Obowiązki
ADO prowadzi rejestr podlegających mu czynności przetwarzania •danych osobowych.
• W rejestrze tym zamieszcza się następujące informacje:
imię i• nazwisko lub nazwę oraz dane kontaktowe ADO oraz wszelkich współadministratorów, przedstawiciela administratora oraz DPO;
cele przetwarzania;•
opis kategorii osób, których dane dotyczą, oraz kategorii danych •osobowych;
kategorie odbiorców, którym dane osobowe zostały lub zostaną •ujawnione,
planowane terminy usunięcia poszczególnych kategorii danych;•
ogólny opis technicznych i• organizacyjnych środków bezpieczeństwa;
Rejestrowanie czynności przetwarzania
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu
W przypadku naruszenia ODO, ADO bez zbędnej zwłoki –jeżeli to wykonalne, nie później niż 72 h po stwierdzeniunaruszenia – zgłasza je organowi nadzorczemu
chyba że jest mało prawdopodobne, by naruszenie toskutkowało zagrożeniem dla praw i wolności osóbfizycznych
do zgłoszenia przekazanego organowi nadzorczemu poupływie 72 godzin dołącza się wyjaśnienie przyczynopóźnienia
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych
Jeżeli naruszenie ochrony danych osobowych może nieść duże zagrożenie dla praw i wolności osób fizycznych, ADO bez zbędnej zwłoki zawiadamia podmiot danych o takim naruszeniu.
Zawiadomienie napisane jasnym i prostym językiem
Zawiadomienie nie jest wymagane, jeżeli:
•ADO wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych, których dotyczy naruszenie;
•ADO przedsięwziął następnie środki eliminujące prawdopodobieństwo dużego zagrożenia dla praw i wolności osoby, której dane dotyczą,
•lub wymagałoby ono niewspółmiernie dużego wysiłku.
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Inspektor ochrony danych
Obligatoryjne powołanie inspektora ochrony danych (DPO), gdy:
• przetwarzania dokonuje organ lub podmiot publiczny (z wyjątkiemsądów w zakresie sprawowania przez nie wymiaru sprawiedliwości)
• główna działalność administratora lub podmiotu przetwarzającegopolega na operacjach przetwarzania, które ze względu na swójcharakter, zakres lub cele wymagają regularnego i systematycznegomonitorowania osób, których dane dotyczą na dużą skalę
• główna działalność administratora lub podmiotu przetwarzającegopolega na przetwarzaniu na dużą skalę danych osobowychszczególnych kategorii, a także danych o wyrokach skazujących i oprzestępstwach.
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Administracyjne kary pieniężne
Możliwość nakładania kar – organ nadzorczy
• Zależne od okoliczności
• Oceniane indywidualnie
• Stosowane obok lub zamiast środków określonych w art.58 ust. 2 RODO
Nałożenie kary i jej wysokość:
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
Administracyjne kary pieniężne
Naruszenia przepisów dotyczących następujących kwestii podlegają zgodnie administracyjnej karze
pieniężnej w wysokości do:
10 000 000 EUR, a w przypadku
przedsiębiorstwa – w wysokości do 2 %
lub
20 000 000 EUR, ao w przypadku
przedsiębiorstwa – w wysokości do 4 %
jego całkowitego rocznego
światowego obrotu z poprzedniego roku
obrotowego, przy czym zastosowanie ma kwota wyższa:
www.lubasziwspolnicy.plwww.PortalPrawaIT.com
www.PortalODO.com
DZIĘKUJEMY ZA UWAGĘ!
dr Dominik Lubaszradca prawny
[email protected]. kom.: +48 509 824 632
Katarzyna Witkowskaprawnik
[email protected] tel. kom.: + 48 512 987 244
Top Related