Tło strzałki Strzałka
przejdź
przejdź
0 0
dni
0 0
godz
0 0
min
0 0
sek
Skorzystaj z promocji!
  2. Serwis Prawny
  3. Ochrona danych
  4. Zgłoszenie o naruszeniach i organ nadzorczy - ochrona danych osobowych

Zgłoszenie o naruszeniach i organ nadzorczy - ochrona danych osobowych

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Organ nadzorczy to przynajmniej jeden organ publiczny chroniący prawa osób w związku z przetwarzaniem danych osobowych. Aktualnie organem sprawującym nadzór nad ochroną danych osobowych jest GIODO. Organów nadzorczych może być więcej niż jeden w państwie. Również zgłoszenie o naruszeniach podlega organom nadzorczym.

Organ ten ma działać niezależnie. Nie będzie mógł podejmować działalności gospodarczej. Powołanie będzie odbywało się w przejrzystej procedurze, aby wybrany był neutralny. Kandydować na ten urząd może osoba posiadająca odpowiednie umiejętności, kwalifikacje w dziedzinie ochrony danych osobowych oraz doświadczenie. Zasady ustanowienia organu nadzorczego określa wprost rozporządzenie RODO. Tzw. wiodący organ nadzorczy będzie wspierał organy powołane w większej liczbie. Celem ich powołania będzie skuteczna współpraca państw członkowskich, a to ma przyczynić się bezpośrednio do zwiększenia bezpieczeństwa ochrony danych osobowych na terenie UE.

Organy nadzorcze w każdym państwie UE będą miały takie same zadania i uprawnienia.

Uwaga!

Do 25 maja 2018 roku Polska będzie musiała zawiadomić organy UE o przyjętych zmianach w prawie oraz - tak jak każde państwo członkowskie - ustanowić organ nadzorczy.

Kompetencje organu nadzorczego

Do przykładowych kompetencji organu nadzorczego w związku z ochroną przetwarzania danych przez przedsiębiorcę będą należeć:

  • prowadzenie postępowań wyjaśniających
  • prowadzenie postępowań naprawczych
  • współpraca z innymi organami nadzoru państw członkowskich
  • nakładanie kar
  • udzielanie zezwoleń (w tym na klauzule umowne) i zaleceń
  • przyjmowanie standardowych klauzul
  • prowadzenie wykazów oceny skutków naruszeń
  • zachęcanie do sporządzania kodeksów postępowania
  • zachęcanie do ustanawiania mechanizmów certyfikacji
  • publikowanie kryteriów akredytacji kodeksów postępowań
  • zatwierdzanie wiążących reguł korporacyjnych
  • branie udziału w pracach Europejskiej Rady Ochrony Danych
  • prowadzenie wewnętrznych rejestrów naruszeń
  • doradztwo
  • udzielanie uprzednich konsultacji
  • monitorowanie przestrzegania wdrożonego kodeksu postępowań
  • doradztwo
  • zgłoszenie o naruszeniach organom wymiaru sprawiedliwości
  • wprowadzenie czasowego lub definitywnego ograniczenia przetwarzania danych
  • egzekwowanie przepisów rozporządzenia unijnego o ochronie danych osobowych
  • upowszechnianie wiedzy w społeczeństwie
  • przyjmowanie skarg
  • udostępnianie rejestrów od administratorów i podmiotu przetwarzającego dane.


Państwa członkowskie (władze) będą mogły określić dodatkowe kompetencje organu nadzorczego, zgodne z prawem UE i prawem wewnętrznym (krajowym), niesprzecznym z rozporządzeniem. Nie powinni jednak wykraczać poza pewne ramy proceduralne. Będzie wymagane od państw członkowskich stanie na straży przestrzegania niniejszego rozporządzenia. Po powyższych kompetencjach można wnioskować o nowych obowiązkach i odpowiedzialności przedsiębiorcy będącego podmiotem przetwarzającym dane w swojej firmie względem państwa i UE. Do obowiązków przedsiębiorców będzie należeć stosowanie dobrych praktyk, minimalizowanie powstawania incydentów na danych osobowych, tworzenie dokumentacji z czynności z danymi osobowymi, tworzenie wykazów powierzeń, przygotowywanie zestawień zbiorów, informowanie osób, których przetwarzane dane dotyczą, zawieranie umów powierzenia przetwarzania danych osobowych, rozsądny marketing, pseudonimowanie i szyfrowanie danych oraz właściwe ich zabezpieczenie, jeśli są w formie papierowej.

Organ nadzorczy będzie egzekwował i stosował przepisy RODO. Dlatego ważne, aby dobrze przygotować się na nadchodzące zmiany.

Obowiązki związane z przetwarzaniem danych osobowych

Przedsiębiorcy, tworząc ocenę skutków dla ochrony danych, która to będzie ich nowym obowiązkiem, będą zobligowani również do konsultacji jej wyniku z organem nadzorczym, szczególnie kiedy nie posiadają w swoim przedsiębiorstwie właściwych technicznych możliwości bezpieczeństwa danych. Ponadto konsultacje z organem nadzorczym powinny być pomocą dla administratorów danych osobowych, np. przy przygotowywaniu aktu w postaci kodeksu postępowania, który w rozporządzeniu RODO jest zalecany każdemu przedsiębiorstwu przetwarzającemu dane osobowe.

Ocena ryzyka przetwarzania danych osobowych

Bezpieczeństwo przetwarzania danych powinno odbywać się z uwzględnieniem aktualnego stanu wiedzy technicznej. Stopień bezpieczeństwa powinien być właściwy dla skali ryzyka w przetwarzaniu danych osobowych.

Bezpieczeństwo przetwarzania danych osobowych może być zagwarantowane poprzez:

  • pseudonimizację - czyli szyfrowanie danych osbowych

  • stałe zapewnienie poufności, integralności i odporności systemów przetwarzających dane

  • możliwość szybkiego przywrócenia dostępu do danych w razie incydentów

  • regularne testowanie i ocenianie środków technicznych zapewniających bezpieczeństwo.

W związku z powyższym tak istotne jest zapewnienie odpowiedniego zaplecza technicznego i osób o właściwych kompetencjach w swoim przedsiębiorstwie. Koniecznym wydaje się szkolenie dla wszystkich pracowników, nawet tych niebezpośrednio przetwarzających dane osobowe w firmie.

Przykład 1.

Jeśli pracownicy biura rachunkowego drukują dokumenty zawierające dane osobowe klientów firmy, nie powinni oni pozostawiać ich w drukarce przez dłuższy czas, ponieważ mogłoby to spowodować dostęp do danych osobowych przez osoby niepowołane.

Bardzo ważna jest ocena ryzyka związanego z przetwarzaniem danych osobowych. Będzie mogła podlegać konsultacji z opisanym wyżej organem nadzorczym, który egzekwuje prawo, dlatego warto przygotować się na współpracę i wystrzegać się:

  • przypadkowego i niezgodnego z prawem zniszczenia danych osobowych

  • utraty danych osobowych

  • modyfikacji danych z własnej inicjatywy

  • nieuprawnionego ujawnienia innej osobie danych osobowych

  • nieuprawnionego dostępu innych osób do danych

  • niewłaściwego przechowywania danych osobowych.

Wypracowanie postępowania względem danych osobowych może okazać się pomocne. Rozporządzenie proponuje stworzenie właściwych kodeksów postępowania i mechanizmów działań, obligując tym samym organy nadzorcze do ich kontroli.

Zgłoszenie o naruszeniach ochrony danych osobowych

Kluczem jednak do właściwego przetwarzania danych jest obowiązek zgłoszenia wszelkich naruszeń. Będzie dotyczył zarówno administratorów, jak i osoby przetwarzające dane, nawet jeśli nie wywołały żadnych negatywnych skutków dla osoby, której dane dotyczą.

W razie naruszenia ochrony danych osobowych fakt ten będzie podlegał zgłoszeniu organowi nadzorczemu.  Nie będzie natomiast wymagał zgłoszenia, jeśli ryzyko naruszenia praw i wolności jest mało prawdopodobne.

Jeżeli jednak ryzyko jest znaczne, będzie należało je zgłosić w ciągu 72 godzin organowi nadzorczemu, a po upływie tego okresu będzie wymagane również dołączenie stosownych wyjaśnień i przyczyn opóźnienia zgłoszenia. Ma to charakter dowodowy, dokumentacja pozwoli organowi nadzorczemu rozstrzygnąć, czy zostały zrealizowane zasady bezpieczeństwa danych osobowych i czy stosowne będzie nałożenie kary - a kary będą znaczne!

Zgłoszenie organowi nadzorczemu o naruszeniu powinno zawierać:

  • opis naruszenia, kategorie i liczbę osób, których dane dotyczą

  • dane inspektora ochrony danych.

Kolejnym etapem jest zawiadomienie osób, których dane dotyczą, o wystąpieniu takiego naruszenia.  Zawiadamia się je, gdy ryzyko naruszenia praw i wolności osób fizycznych jest wysokie. Dokonuje tego administrator danych osobowych. Zawiadomienie o incydencie osoby, której dane dotyczą, musi zawierać te same elementy jak w przypadku, gdy zgłaszane jest to organowi nadzorczemu ale z pominięciem opisu charakteru naruszenia i wykazywania innych, pozostałych osób, których naruszenie dotyczy.

Nie występuje konieczność zawiadamiania osoby, gdy:

  • administrator wcześniej zastosował środki szyfrujące dane  (pseudonimizacja),

  • wyeliminował prawdopodobieństwo wysokiego ryzyka naruszenia (dokonał oceny),

  • uczyniłby niewspółmierny wysiłek dla poinformowania z osobna każdej osoby, której dotyczyłoby naruszenie (wówczas wydaje publiczny komunikat).

Polecamy:

Najważniejsze zmiany w wynagrodzeniach i Kodeksie pracy

RODO, rozporządzenie o ochronie danych osobowych a...
Profilowanie według RODO a sprzedaż przez internet
Listopad 2024
21
Czwartek
  • Dzień ustawowo wolny od pracy
  • Dzień ustawowo wolny od pracy
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT UE (elektroniczna)
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. Zaświadczenie o niekaralności - jak je uzyskać i ile kosztuje?
  2. Monitoring pracowników - jakie formalności, żeby zamontować kamery w firmie?
  3. 7 zasad, które warto znać, jak zaliczyć wpłatę otrzymaną od kontrahenta
  4. RODO - czyli jakie dane podlegają ochronie danych osobowych?
  5. Wymeldowanie z pobytu stałego - jak wymeldować siebie lub inną osobę?
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Ochrona danych

Odpowiedzialność odszkodowawcza w RODO - co warto wiedzieć?

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

Prowadzisz biuro rachunkowe? Nie może Cię zabraknąć na tym wydarzeniu!
Konferencja "Zmiany podatkowe 2025"
Zapraszamy na Global Leadership Summit Polska 2024!
No Code Days 2024 – klucz do świata technologii bez programowania
KONFERENCJA KADRY PŁACE 2024/2025 – bieżące problemy oraz nowe wyzwania na 2025 rok Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów