Firmy handlowe i usługowe, Prawo gospodarcze i spory sądowe

Polityka Bezpieczeństwa dziś i po 25 maja 2018 roku (RODO) cz. II

Leszek Przybyłka
adwokat, doradca podatkowy

Leszek Przybyłka

Wybierz datę i czas spotkania

Twoja rezerwacja

{service_name}
{reservation_date} · {reservation_time}

Lokalizacja

{location_name}

Clients

{reservation_capacity}

Prawnik

{employee_name}

Cena

{reservation_price}
Your cart is empty.

Łącznie: 0

Informacje

Wymagane pola są oznaczone *.

Podsumowanie zamówienia

Metoda płatności

  • Pay with your credit card via Stripe. Use the card number 4242424242424242 with CVC 123, a valid expiration date and random 5-digit ZIP-code to test a payment.

W toku...

·

Dzisiejszy wpis jest kontynuacją cyklu artykułów pt. „Polityka Bezpieczeństwa dziś i po 25 maja 2018 roku (RODO)”. W ostatnim artykule [link do artykułu] omówione zostały kwestie zawiązane z dokumentami Polityki Bezpieczeństwa oraz Instrukcji Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych.

 

Polityka Bezpieczeństwa i wskazana powyżej instrukcja to dwa podstawowe dokumenty, które winna posiadać każda organizacja pracująca z danymi osobowymi. Jak już podkreślono, organizacja ta nie musi w swej działalności prowadzić akcji marketingowych, a co za tym idzie posiadać zbiory danych wymagające rejestracji w GIODO. Zbiór danych pracowników, choć korzysta z wyłączenia rejestracyjnego w GIODO, powinien być niezależnie od braku przytoczonego obowiązku rejestracji tak czy tak chroniony, a jednym z podstawowych wymogów do spełnienia w tym przypadku, po pierwsze jest posiadanie Polityki Bezpieczeństwa, po drugie jej implementacja do zasad funkcjonowania przedsiębiorstwa.

Co jeszcze powinno znaleźć się w dokumencie Polityki Bezpieczeństwa?

Już na obecnym etapie, niezależnie od zmian, które przewiduje Rozporządzenie o Ochronie Danych Osobowych Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO – GDPR) Polityka Bezpieczeństwa powinna zawierać dodatkowo:

 

– Procedurę postępowania w przypadku wystąpienia naruszenia – tzw. system reakcji na incydenty,

– Ścieżkę podstępowania w przypadku wystąpienia wniosku informacyjnego od osoby, której dane dotyczą;

– Ścieżkę postepowania w przypadku złożenia sprzeciwu co do przetwarzania danych osobowych do celów marketingu bezpośredniego.

Jakie zmiany będą obowiązywać w treści dokumentacji po 25 maja 2018 roku?

 

 

Niezależnie od powyższego przytoczone Rozporządzenie Parlamentu Europejskiego i Radu (UE), które zacznie obowiązywać  w europejskim i bezpośrednio polskim porządku prawnym, bez potrzeby implementacji,  z dniem 25 maja 2018 r. wymaga zmiany treści dotychczasowej dokumentacji w postaci dodania doń nowych elementów. Wskazane Rozporządzenie nie traktuje wprost o obowiązku posiadania dokumentu Polityka Bezpieczeństwa, jednak „upgrade” dotychczasowej dokumentacji wydaje się być najlepszym rozwiązaniem w celu spełnienia obowiązków ujętych w Rozporządzeniu.

 

Patrząc na treść art. 24 RODO traktującego o obowiązkach administratora:

 

„1.Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

 

Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.”
Polityka Bezpieczeństwa po nowemu powinna zawierać dotychczasowe przemyślenia danej organizacji w zakresie ochrony danych osobowych i tajemnicy przedsiębiorstwa, w tym także wynikające ze specyfiki danej branży, ale jednocześnie powinna spełniać wymogi przewidziane dla nowych rozwiązań ujętych w RODO, tj. na przykładzie egzemplifikacji:

 

– kwestie spełnienia nowego rodzaju obowiązków informacyjnych oraz praw osób, których dane dotyczą, w tym „prawa do bycia zapomnianym”;

– zasad privacy by design oraz privacy by default;

– notyfikacji organowi nadzorczemu wystąpienia incydentu w zakresie przetwarzania danych osobowych;

– notyfikacji osobie, której dane dotyczą incydentu dotyczącego naruszenia lub wycieku danych jej dotyczących,

– prawa do przenoszalności danych;

– oceny skutków dla przetwarzania danych osobowych (privacy impact assessment).

 

Leszek Przybyłka, adwokat Kraków, czerwiec 2017 roku

bbb

Polecane artykuły

23
paź
Podatki
Jakie wydatki możesz odliczyć od podatku, prowadząc własną działalność?

Przedsiębiorcy, poza zwiększaniem swoich przychodów, mogą również skorzystać z możliwości obniżenia podatku dochodowego poprzez uwzględnianie kosztów uzyskania przychodu.

10
paź
Podatki
Kontrola podatkowa w firmie – jak się przygotować i co warto wiedzieć

Kontrola podatkowa, czynności sprawdzające, postępowanie podatkowe - to narzędzia weryfikacji przestrzegania prawa podatkowego przez przedsiębiorców.

12
lip
Firmy handlowe i usługowe
Dlaczego warto korzystać z usług adwokata przy zakładaniu firmy ?

Stare przysłowie mówi, że „lepiej zapobiegać niż leczyć”. Przysłowie to idealnie odpowiada na pytanie, dlaczego warto korzystać z usług adwokata przy zakładaniu firmy.