Poczynając od:

• administracyjnych typu grzywna:
• dla osób prawnych do 50 000,00 zł za każde uchybienie, ale nie więcej niż 200 tys. zł w jednym postępowaniu egzekucyjnym
• dla osób fizycznych do 10 000,00 zł za każde uchybienie, ale nie więcej niż 50 tys. zł w jednym postępowaniu egzekucyjnym;
• kończąc na pozbawieniu wolności nawet do 2 lat – za przestępstwa w powyższym zakresie.

Stając przed problemem wdrożenia systemu ochrony danych osobowych w firmach należy sobie odpowiedzieć na trzy zasadnicze pytania:

1. Czy podlegamy pod ustawę O ochronie danych osobowych?

Tu mogą być przydatne pytania pomocnicze:

• Czy prowadzę działalność gospodarczą, bądź podmiot jest jednostką organizacyjną gromadzącą dane osobowe członków i współpracowników (np. kościoły, stowarzyszenia, itp.),
• Czy przetwarzam dane osób fizycznych (zbieram, przechowuję, wykorzystuję, itp.),
• Czy zbieram dane w systemie informatycznym albo w tradycyjnych zbiorach (np. kartoteki, skorowidzach, itp.),
• Czy istnieje wyjątek wyłączający stosowanie ustawy, np.:
  • Podmiot ma siedzibę w państwie poza UE i wykorzystuje środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania danych,
  • Podmiot wykonuje prasową działalność dziennikarską w rozumieniu ustawy z dnia 26 stycznia 1984 r. – Prawo prasowe (Dz. U. Nr 5, poz. 24, z późn. zm.) oraz do działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą – za wyjątkiem art. 14-19 i 36 ust.1

Podsumowując: 

Pod ustawę o ochronie danych osobowych podlega każda firma zatrudniająca choćby jednego pracownika lub posiadająca w jakiejkolwiek formie dane Klientów będących osobami fizycznymi.

Pod ustawę podlegają też wszystkie podmioty przetwarzające dane osobowe swoich Klientów, np. hotele, spółdzielnie, placówki edukacyjne typu przedszkola i szkoły, placówki medyczne oraz wiele innych.

Każdy z takich podmiotów musi posiadać odpowiednią dokumentację, na którą składają się między innymi:

• Polityka Bezpieczeństwa Danych Osobowych
• Instrukcja Zarządzania Systemem Informatycznym
• Ewidencja osób upoważnionych do przetwarzania danych osobowych oraz wiele innych.

2. Czy zbiory, które przetwarzamy podlegają zgłoszeniu do GIODO?

Zgłoszenia do GIODO nie wymagają bazy danych klientów, jeżeli:

• w firmie powołano ABI a dany zbiór nie zawiera danych wrażliwych,
• tworzone są w związku z zatrudnieniem u ADO, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,
• dotyczącą osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,
• przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,
• zawierających dane powszechnie dostępne,
• przetwarzane są w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiem zbiorów zawierających dane wrażliwe.

Zgłoszenia do GIODO wymagają bazy danych, gdy:

• zawierają dane wrażliwe – niezależnie od powołania ABI,
• w firmie nie powołano ABI, a gromadzone są dane inne niż wskazane w poprzednim punkcie.

Jeśli stwierdzimy, że zbiory, które przetwarzamy nie podlegają zgłoszeniu u GIODO, to do wykonania mamy następujące czynności:

•  sporządzić dokumentację ochrony danych osobowych
  • Polityka bezpieczeństwa ochrony danych osobowych
  • Instrukcja zarządzania systemem informatycznym
• zapewnić w firmie przestrzeganie przepisów dotyczących ochrony danych osobowych.

 Jeśli stwierdzimy, że zbiory danych osobowych podlegają zgłoszeniu u GIODO, to musimy odpowiedzieć sobie na trzecie pytanie:

3. Czy korzystniejsze jest dla nas powołanie Administratora Bezpieczeństwa Informacji (ABI), czy nie?

Kilka porad, kiedy lepiej jest powołać ABI a kiedy NIE:

• ABI sprawdzi się w firmach, w których tworzonych jest wiele zbiorów danych osobowych – dzięki jego powołaniu nie będzie trzeba ich rejestrować u GIODO, co uprości procedurę.
• ABI ważny będzie także w firmach, w których osób upoważnionych do przetwarzania danych osobowych (np. pracowników) jest wielu. Będzie on bowiem nie tylko odpowiedzialny za ich przeszkolenie, ale także będzie odbierał i reagował na zgłoszenia naruszeń zasad ochrony danych osobowych w firmie.
• Z uwagi na fakt, że jedną z kluczowych funkcji ABI jest prowadzenie okresowych audytów przestrzegania zasad przetwarzania danych osobowych (zwanych sprawdzeniami), gwarantować to będzie, że dane osobowe w firmie przetwarzane są zgodnie z prawem. To zaś wyklucza negatywne konsekwencje związane z ewentualnym naruszeniem procedur w tym zakresie.
• ABI zgodnie z nowymi przepisami stanie się osobą podległą bezpośrednio zarządowi skupiając w swoich obowiązkach i kompetencjach niemalże wszystkie zadania z zakresu ochrony danych osobowych w firmie. Odciąży to kierownictwo od wykonywania tychże zadań.
• W małych firmach korzystniejsze może się okazać nie powoływanie ABI, gdyż ograniczy to ilość dodatkowych obowiązków i sprawdzeń. Należy jednak wówczas rejestrować zbiory  w GIODO.

Jeśli zdecydujemy się, że nie powołujemy ABI, to: 

• wykonywanie części zadań ABI przejdzie na ADO (Administrator Danych Osobowych) – czyli właściciela lub  zarząd, chyba że wyznaczono jednego z członków zarządu do tych zadań, do którego obowiązków będzie należało:
• zapewnienie przestrzegania zasad ochrony danych osobowych:
  • sprawdzenie zgodności przestrzegania danych osobowych z przepisami o ochronie danych osobowych
  • zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych
• nadzorowanie opracowania i aktualizowania dokumentacji:
  • Polityka bezpieczeństwo ochrony danych osobowych
  • Instrukcja zarządzania systemem informatycznym
• nie przechodzi jednak na ADO:
  • obowiązek prowadzenia rejestru,
  • wykonywanie sprawdzeń.
• ​wystąpi konieczność rejestracji zbiorów danych osobowych u GIODO.

Jeśli zdecydujemy się, że powołujemy ABI, to:

• zbiory danych osobowych nie podlegają rejestracji u GIODO, chyba, że są to zbiory danych wrażliwych,
• u GIODO należy zarejestrować Administratora Bezpieczeństwa Informacji (ABI), do którego obowiązków będzie należało:
  • to co ADO, plus dodatkowo
  • prowadzenie rejestru zbiorów danych osobowych w firmie,
  • obowiązkowe i systematyczne przeprowadzanie kontroli w firmie dotyczące przestrzegania przepisów ochrony danych sobowych,
  • sporządzanie sprawozdań z przeprowadzonych kontroli,
  • dokonywanie w firmie kontroli na żądanie GIODO.

Kurs, który Państwu proponujemy to niezbędna wiedza oraz zestaw kompletnych narzędzi gotowych do wykorzystania od zaraz.

Dokumenty te wymagają jedynie uzupełnienia o dane firmy i informacje specyficzne dla firmy, czyli są to „gotowce” do natychmiastowego wykorzystania.

Jeśli chodzi o stosowanie w praktyce znowelizowanej ustawy, to Generalny Inspektor Ochrony Danych Osobowych, zapowiedział po 30 czerwca surowsze jej egzekwowanie (30 czerwca mija termin przejściowy dotyczący stosowania nowych przepisów).

 Inspektorzy GIODO mogą sprawdzać prawidłowość przetwarzania danych osobowych u każdego przedsiębiorcy przetwarzającego dane pracowników oraz klientów. 

Przechowywanie zbiorów danych osobowych jest obwarowane licznymi normami prawnymi, których nieprzestrzeganie grozi poważnymi sankcjami (grzywnami od 10.000 do 50.000 zł. za każde uchybienie (np. brak dokumentacji). 

 

 Kurs składa się z:

1.      Kompletnej dokumentacji dotyczącej ochrony danych osobowych w firmie, niezbędnej do spełnienia wymogów formalnych dotyczących znowelizowanej ustawy O ochronie danych osobowych.

Wykaz wzorów dokumentów:

• Polityka bezpieczeństwa ochrony danych osobowych
• Polityka prywatności
• Umowa o powierzenie przetwarzania danych osobowych
• zał. 1 Instrukcja zarządzania systemem informatycznym
• zał. 2 Wykaz programów zastosowanych do przetwarzania danych osobowych
• zał. 3 Struktura zbiorów danych osobowych
• zał. 4 Rejestr udostępnień
• zał. 5 Wniosek o nadanie upoważnienia do przetwarzania danych osobowych
• zał. 6 Upoważnienie dla pracownika wraz z oświadczeniem
• zał. 7 Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe
• zał. 8 Wyznaczenie ABI
• zał. 9 Rejestr osób upoważnionych do przetwarzania danych osobowych
• zał. 10 Rejestr podmiotów, którym powierzono przetwarzanie danych osobowych
• zał. 11 Rejestr zbiorów danych

Każdy dokument jest w formie edytowalnej.

2. Zestawu komentarzy do wzorów dokumentów.

Wykaz komentarzy do wzorów dokumentów:

• Polityka bezpieczeństwa ochrony danych osobowych
• zał. 1 Instrukcja zarządzania systemem informatycznym
• Są to dwa kluczowe dokumenty określające zasady ochrony danych osobowych w przedsiębiorstwie. Pierwszy z nich reguluje m.in. sposób pracy z danymi osobowymi w firmie, w tym tworzenie i zarządzanie zbiorami danych osobowych.
• W instrukcji natomiast określa się m.in. procedury nadawania i zmiany uprawnień do przetwarzania danych, zasady
• posługiwania się hasłami, zabezpieczenia w ochronie danych osobowych. Dokumenty te stanowią "konstytucję" przetwarzania danych osobowych w firmie, którym posługiwać musi się każda osoba uczestnicząca w procesie zbierania i wykorzystywania tychże danych.
• Oferujemy przykłady dokumentów, na bazie których możliwe jest zbudowanie własnej dokumentacji w firmie.
• Dzięki komentarzom będziecie Państwo w stanie samodzielnie stworzyć dokumentacje niezbędną w Państwa firmie lub instytucji.

3. Schemat oraz opis postępowania przy wprowadzaniu systemu ochrony danych osobowych w firmie.

4. Nagrania wideo ze szkolenia „Przetwarzanie danych osobowych”.

• Materiał składa się z 23 wideo nagrań, których łączny czas wynosi 5 godzin i 28 minut bezcennej wiedzy.
• Szczegółowa zawartość szkolenia:
• Film 1: Obowiązki zarządu na etapie tworzenia spółki

5.  Skrypt ze szkolenia „Przetwarzanie danych osobowych”.

Tematy poruszane w skrypcie:

• 1. Podstawy prawne ochrony danych osobowych.
• 2. Zakres obowiązywania ustawy.
• a. Firmy, które miały powołanego ABI przed 1 stycznia 2015
• b. Firmy, które nie miały powołanego ABI przed 1 stycznia 2015
• 3.  Schemat postępowania dla firm.
• 4.  Jak stwierdzić, czy firma podlega pod ustawę O ochronie danych osobowych?
• 5.  Jak stwierdzić, czy zbiory, które przetwarza firma podlegają zgłoszeniu u GIODO?
• 6. Dokumentacja dotycząca ochrony danych osobowych.
• a. Polityka bezpieczeństwa
• b. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych
• c. Pozostałe dokumenty (załączniki)
• 7. Najczęstsze błędy w zakresie przetwarzania danymi osobowymi.
• 8. Rejestracja zbiorów danych osobowych.
• a. Podstawowe zasady
• b. Wyłączenia obowiązku rejestracji
• c. Rejestracja zbiorów danych osobowych
• d. Odmowa rejestracji
• 9. Jak stwierdzić, czy korzystniejsze jest dla firmy powołanie ABI czy nie?
• 10. Podmioty przetwarzające dane osobowe.
• a. Administrator danych osobowych
• b. Administrator Bezpieczeństwa Informacji
• i. Powołanie ABI
• ii. Pozycja ABI
• iii. Funkcje ABI
• c.       Procesor
• 11.   Podstawowe pojęcia dotyczące ochrony danych osobowych.
• a. Dane osobowe
• b. Zbiór danych
• c. Przetwarzanie danych
• d. System informatyczny
• e. Zabezpieczenie danych w systemie informatycznym
• f.  Usuwanie danych
• g. Zgoda osoby, której dane dotyczą
• h. Odbiorca danych
• i.  Państwo trzecie
• 12.   Podział danych osobowych.
• a. Dane niewrażliwe
• b. Dane wrażliwe
• 13.   Zasady przetwarzania danych osobowych.
• a. Zasada autonomii informacyjnej
• b. Zasada rzetelności
• c. Zasada legalności
• d. Zasada celowości
• e. Zasada ograniczenia czasowego
• f.  Zasada adekwatnego przetwarzania danych
• g. Niedopuszczalność ostatecznych rozstrzygnięć
• h. Zasada konstrukcji numerów porządkowych bez ukrytych znaczeń
• 14.   Obowiązki administratora danych osobowych.
• a. Obowiązki informacyjne
• b. Obowiązek uzupełniania lub sprostowania danych
• c. Obowiązek zachowania szczególnej staranności (zasada rzetelności)
• d. Zakaz wydawania ostatecznych rozstrzygnięć
• e. Obowiązek zabezpieczenia danych
• f.  Obowiązek rejestracji zbiorów lub ABI
• g. Obowiązek współpracy z GIODO
• h.  Obowiązek wyznaczenia przedstawiciela w RP
• 15.   Prawa osób, których dane dotyczą.
• a. Prawo do kontroli przetwarzania danych
• b. Prawo zaciągania informacji
• c. Prawo do uzupełniania i sprostowania informacji
• d. Prawo do wglądu do dokumentacji medycznej
• 16.   Procedura przetwarzania danych osobowych.
• 17.   Outsourcing przetwarzania danych osobowych.
• 18.   Warunki techniczne i organizacyjne przetwarzania danych osobowych.
• a. Warunki techniczne i systemowe
• b. Szczególne warunki techniczne i systemowe
• 19.   Odpowiedzialność związana z przetwarzaniem danych osobowych
• a. Odpowiedzialność karna
• b. Odpowiedzialność administracyjna
• c. Odpowiedzialność cywilna
• d. Odpowiedzialność dyscyplinarna
• 20.   Generalny Inspektor Ochrony Danych Osobowych
• a. GIODO
• b. Podstawowe zadania GIODO
• c. Postępowanie przed GIODO
• i. Kontrolne
• ii. Administracyjne
• d. Kontrola administratora danych osobowych
• 21.   Dane osobowe w służbie zdrowia
• a. Dane i dokumentacja medyczna
• b. Numery porządkowe
• c. System informacji o ochronie zdrowia
• d. Outsourcing danych medycznych

6.      Prezentacja ze szkolenia

• (168 slajdów)

Dzięki temu kursowi będziecie Państwo w stanie sami stwierdzić czy,:

• podlegacie pod ustawę O ochronie danych osobowych,
• czy zbiory, które przetwarzacie podlegają zgłoszeniu u GIODO czy nie, oraz
• czy korzystniejsze jest dla Państwa powołanie ABI czy nie.

Będziecie w stanie także stworzyć własną dokumentację dotyczącą ochrony danych osobowych w swojej firmie, spełniając wymogi formalne dotyczące znowelizowanej ustawy.