LexDigital

4 lata RODO

25 maja minęła czwarta rocznica stosowania RODO. To dobry moment na “update” co do aktualnych wyzwań w obszarze ochrony danych osobowych. Wraz z Zespołem LexDigital przygotowaliśmy dla Was krótki materiał! Życzymy wszystkiego bezpiecznego z okazji RODO-urodzin!

4 lata RODO

WERYFIKACJA PRZESTRZEGANIA PRZEPISÓW DOTYCZĄCYCH

Od maja 2018 roku, tj. od początku stosowania przepisów RODO Urząd Ochrony Danych Osobowych (UODO), podejmował działania związane ze sprawdzeniem kwestii przestrzegania przepisów dotyczących prawidłowego wyznaczenia i funkcjonowania inspektów ochrony danych.

Działania te były podejmowane zarówno w ramach prowadzonych postępowań, jak i w reakcji na zgłaszane do UODO przypadki nieprzestrzegania przepisów dotyczących inspektorów ochrony danych.

Sprawdzeniu podlegały m.in. kwestie związane z:

  • obowiązkiem wyznaczenia inspektora,
  • zgłoszenia organowi nadzorczemu wyznaczenia lub odwołania inspektora,
  • opublikowania imienia i nazwiska inspektora na stronie internetowej,
  • usytuowania inspektora w strukturze organizacji,
  • włączania go w sprawy ochrony danych osobowych,
  • a także ewentualnego występowania konfliktu interesów.

W większości sytuacji weryfikacja ta wypadała pozytywnie i nie dawała Prezesowi UODO podstaw do zastosowania uprawnień naprawczych. Jedynie w kilku przypadkach UODO w toku czynności kontrolnych stwierdził nieprawidłowości w zakresie występowania konfliktu interesów np. pełnienia funkcji IOD przez sekretarza gminy, czy też niekonsultowania z inspektorem podejmowanych operacji przetwarzania danych osobowych.

Dotychczasowe doświadczenia organu nadzorczego w zakresie weryfikacji funkcjonowania danych posłużyły do sformułowania listy szczegółowych zagadnień (27. pytań), do których - wraz z przedstawieniem odpowiednich dowodów - muszą odnieść się wezwani administratorzy i podmioty przetwarzające.

Organ nadzorczy - korzystając ze swoich uprawnień - kieruje przygotowaną listę pytań do podmiotów, zarówno z sektora publicznego, jak i prywatnego.

Co ważne, zapytania kierowane są również do podmiotów, które nie wyznaczyły inspektora ochrony danych.

Administratorzy mogą zatem stanąć przed koniecznością udzielenia odpowiedzi na kierowane przez UODO pytania, a także mogą spodziewać się kontroli w swoich siedzibach.

KONIEC SZAREJ STREFY W OBSZARZE PLIKÓW COOKIES

Przedsiębiorstwa na co dzień prowadzące działalność w Internecie uzyskują coraz większe korzyści biznesowe, dzięki pozostawianiu przez nas tj. użytkowników sieci, śladów cyfrowych w postaci danych osobowych oraz informacji o różnego rodzaju preferencjach.

Ostatnie miesiące postawiły na nogi spółki wykorzystujące technologie identyfikujące użytkownika (np. pliki cookies) na swoich serwisach czy w sklepach internetowych oraz niejednego inspektora ochrony danych. Pierwsze sygnały pojawiły się ze strony aktywistów walczących o prywatność użytkowników w sieci. Aktywiści rozpoczęli masową wysyłkę zapytań do Administratorów danych chcąc uzyskać informacje o podstawach prawnych przetwarzania ich danych po wejściu na stronę, o liście podmiotów, którym dane zostały udostępnione lub zawierające żądania realizacji prawa do usunięcia danych lub wycofania zgody. Do tej pory nie zwracano większej uwagi na te działania, teraz okazuje się, że krótka informacja o tym, że strona korzysta z plików cookies przeglądarki nie jest wystarczająca.

W efekcie złożonych przez aktywistów żądań i braku ich realizacji (często również braku odpowiedzi co jest bezpośrednim naruszeniem wymagań RODO) osoby te składały skargę do organu nadzorczego (UODO). W grudniu 2021 roku Prezes UODO wydał pierwszą w Polsce decyzję w obszarze korzystania z technologii bazującej na plikach cookies. Decyzja wskazuje, iż przetwarzanie danych osobowych pochodzących z plików cookies może się odbywać tylko na podstawie zgody użytkownika strony. Nie można opierać tych działań na podejściu, iż użytkownik może zarządzać zgodami w ustawieniach swojej przeglądarki. Spod rygoru zgody są wyłączone tzw. niezbędne pliki cookies, natomiast każdy inny rodzaj musi zostać opatrzony zgodą użytkownika.

W Europie liczby zakończonych oraz trwających postępowań w sprawie plików cookies biją na alarm, np. francuski organ nadzorujący ochronę danych osobowych (CNIL) nałożył kary w wysokości 150 mln euro dla Google i 60 mln euro dla Facebooka (łącznie 210 mln euro grzywny) za utrudnienie użytkownikom odrzucenia plików cookie, które zbierają informacje o ich aktywności w internecie.

Mając na uwadze powyższe informacje można założyć, że 2022 rok, czyli czwarty rok obowiązywania przepisów RODO, będzie czasem intensywnych działań w obszarze zarządzania plikami cookies.

DECYZJE ORGANÓW NADZORCZYCH

Przez ostatnie 4 lata organy nadzorcze Państw należących do Unii Europejskiej wydały wiele decyzji o nałożeniu kar za nieprzestrzeganie RODO. Łącznie w krajach UE i Wielkiej Brytanii nałożono ponad 1100 kar.

Polski Urząd Ochrony Danych Osobowych (UODO) w ciągu ostatnich 4 lat wydał 37 decyzji o nałożeniu kar finansowych: 8 w 2019 roku, 11 w 2020 roku, 15 w 2021 i 3 w okresie od stycznia do kwietnia 2022, na łączną kwotę ponad 3 mln euro (prawie 14 mln złotych).


Polecane

4 lata RODO

4 lata RODO

25 maja minęła czwarta rocznica stosowania RODO. To dobry moment na “update” co do aktualnych wyzwań w obszarze ochrony danych osobowych. Wraz z Zespołem LexDigital przygotowaliśmy dla Was krótki materiał! Życzymy wszystkiego bezpiecznego z okazji RODO-urodzin!

Testy penetracyjne w perspektywie RODO

Testy penetracyjne w perspektywie RODO

​Przy analizie zgodności naszej organizacji z rozporządzeniem RODO warto zwrócić uwagę na techniczne środki bezpieczeństwa przetwarzania danych osobowych. W erze technologii nie powinniśmy bagatelizować zagrożeń wynikających z użytkowania skomplikowanych systemów informatycznych i na bieżąco testować podatność naszych wewnętrznych i zewnętrznych systemów. Skutecznym narzędziem umożliwiającym zdiagnozowanie luk i błędów są testy penetracyjne nazwane również pentestami.

DPIA (Data Protection Impact Assessment) - Ocena skutków dla ochrony danych

DPIA (Data Protection Impact Assessment) - Ocena skutków dla ochrony danych

Kiedy administrator danych ma obowiązek przeprowadzenia oceny skutków dla ochrony danych? Jaka jest rola Inspektora ochrony danych w procesie wykonywania oceny skutków dla ochrony danych? Wytyczne Urzędu Ochrony Danych Osobowych w zakresie rodzajów operacji przetwarzania danych wymagających DPIA? W jaki sposób należy przeprowadzić DPIA?

Popularne

Wdrożenie ISO

Wdrożenie ISO

Uzyskanie certyfikatu zgodności z wytycznymi międzynarodowych norm ISO 9001, ISO/IEC 27001 czy ISO 22301 jest dowodem stosowania przez wybraną organizację wysokich standardów zarządzania oraz troski o bezpieczeństwo informacji czy ochronę danych. Pozwala m.in. na efektywne wykorzystywanie zasobów, wyeliminowanie lub ograniczanie sytuacji kryzysowych, optymalizację przebiegu procesów, umacnianie kontaktów z klientami, czy podnoszenie jakości świadczonych usług i produkowanych wyrobów.

Kontakt z UODO

Kontakt z UODO

W każdej organizacji przetwarzającej znaczące ilości danych osobowych kontakt z organem nadzorczym jest nieunikniony. Utrzymywanie odpowiednich relacji, wysokiego poziomu merytorycznego korespondencji oraz spełnianie wymogów proceduralnych ma bezpośredni wpływ na wynik spraw i postępowań. Profesjonalna komunikacja może często skrócić czas potrzebny na podjęcie decyzji przez Urząd, pomaga uchronić się od kar i problemów prawnych.

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

Biofarm Fibar Group Apart Wykop.pl PhytoPharm Veolia Cuf-podatki Netguru GetHero Tesgas GPD Agency Golden Submarine Pixers Pearson UEP