Zadania lidera organizacji w kontekście RODO

  

Dzisiejszy wpis dotyczyć będzie wdrożenia RODO od strony organizacyjnej.

Projekt dostosowania firmy do RODO to zadanie dla kadry zarządzającej i jej obowiązek. Decyzja o uruchomieniu działań w kierunku wdrożenia należy do najwyższego kierownictwa.

W pierwszej kolejności warto, aby lider organizacji podwyższył swoją wiedzę na temat RODO. Pozwoli mu to lepiej zrozumieć, jakie znaczenie nowe przepisy o ochronie danych osobowych będą mieć dla jego organizacji, a także dokonać bardziej świadomej selekcji w zakresie oferty podmiotów świadczących usługi wsparcia przy wdrożeniu RODO.

W ostatnim czasie łatwiej jest chyba usłyszeć o RODO niż o nim nie słyszeć, ale nie oznacza to jeszcze, że każde źródło wiedzy na jego temat jest wiarygodne.

Czytaj dalej

Odpowiedzialność z RODO to nie tylko kary pieniężne

  

Od dnia 25 maja 2018 r. przetwarzanie danych osobowych niezgodnie z RODO może skutkować odpowiedzialnością administratora nie tylko w formie administracyjnej kary pieniężnej. Co prawda o karach mówi się najwięcej, ale nie są to jedyne możliwe skutki nieprzestrzegania nowych przepisów o ochronie danych osobowych.

Zacznijmy jednak od historii z życia wziętej.

W społeczeństwie informacyjnym większość ludzi udostępnia na swój temat duże ilości danych, nie mając do końca świadomości możliwych konsekwencji. Klasycznym tego przykładem jest nastolatka, której ojciec odebrał list z reklamą produktów dla mam. Początkowo bardzo się zdenerwował, że firma kieruje do jego młodziutkiej córki tego rodzaju korespondencję. Później okazało się jednak, że dziewczyna rzeczywiście była w ciąży.

Osobiście jestem zwolennikiem dzielenia się informacjami o sobie z innymi, pod warunkiem, że każda osoba ma świadomość skutków swoich działań i, w razie potrzeby, może skorzystać z przysługujących jej praw do usunięcia danych lub ograniczenia ich przetwarzania. Te dwa cele realizuje RODO, z jednej strony przez rozszerzony obowiązek informacyjny administratora, z drugiej nowy katalog uprawnień osoby, której dane dotyczą.

Czytaj dalej

Obowiązek zgłaszania naruszeń – jak i kiedy realizować?

  

Jednym z nowych zadań, jakie RODO nakłada na administratorów, jest obowiązek zgłaszania naruszeń ochrony danych osobowych do organu nadzorczego. W Polsce organem tym ma być Prezes Urzędu Ochrony Danych Osobowych (w skrócie PUODO).

Dlaczego firma będzie musiała zgłaszać przypadki naruszeń ochrony danych? Chodzi oczywiście o zapewnienie większej kontroli nad danymi osobowymi i zmniejszenie negatywnych skutków naruszenia dla praw i wolności osób, których dane dotyczą.

W niektórych krajach europejskich, np. w Holandii, obowiązek zawiadamiania organu o naruszeniach ochrony danych osobowych istniał już wcześniej, ale dla administratorów działających w Polsce jest to nowość. Oznacza to, że polskie firmy nie posiadają na chwilę obecną stosownych procedur i nie są przygotowane do właściwej realizacji obowiązku zgłaszania naruszeń. Nie dotyczy to oczywiście tych firm, które zdążyły się już dostosować do RODO. Z kolei przedsiębiorcy telekomunikacyjni już wcześniej mieli obowiązek zgłaszania naruszeń do GIODO, ale wynikał on z innych przepisów.

Najpóźniej w dniu 25 maja 2018 r. każda firma powinna być już w pełni gotowa na realizację obowiązku zgłaszania naruszeń do PUODO. Zgodnie z RODO, zgłoszenie naruszenia powinno nastąpić bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Jak widać, termin jest krótki. Dodatkowo, jego bieg liczony jest w godzinach zegarowych, a nie roboczych. Oznacza to, że jeżeli do stwierdzenia naruszenia doszłoby np. w piątek o godz. 12.00, termin na dokonanie zgłoszenia upłynie w poniedziałek o godz.12.00.

Czytaj dalej

Prawo do bycia zapomnianym vs. obowiązki firm farmaceutycznych z zakresu Pharmacovigilance

  

Uznałem, że warto, aby co pewien czas na blogu pojawiał się wpis, w którym będę omawiać bardziej szczegółowo wybrane zagadnienie z RODO w kontekście działalności firm z konkretnych sektorów. Informacje zawarte w takich wpisach będą jednak z całą pewnością przydatne również dla innych firm, ponieważ takie odniesienie do realiów pozwoli im lepiej zrozumieć funkcjonowanie wybranych przepisów RODO w praktyce.

Dzisiejszy wpis dedykowany jest dla firm farmaceutycznych. Na przykładzie realizowanych przez nie obowiązków w ramach Pharmacovigilance (w skrócie PV), tj. monitorowania bezpieczeństwa produktów leczniczych, omówię, jak powinno wyglądać podejście firmy do prawa do bycia zapomnianym. Ponieważ obowiązek zapewnienia bezpieczeństwa produktu dotyczy nie tylko leków, ale także wyrobów medycznych, kosmetyków oraz suplementów diety, ten post może być pomocny również dla wytwórców tych produktów.

Czytaj dalej

Jak Manchester United przygotowuje się do RODO?

  

Dzisiejszy wpis na blogu poświęcony będzie studium przypadku.

W kontekście RODO wiele mówi się o bankach, ubezpieczycielach czy serwisach społecznościowych. Okazuje się, że nowe przepisy będą mieć zastosowanie także do drużyn sportowych, w tym popularnych klubów piłkarskich.

W związku ze zbliżającym się rozpoczęciem stosowania RODO, wiele z nich rozpoczęło już stosowne przygotowania. Wśród nich jest angielski klub Manchester United.

Podczas jednego z meczów Premier League rozgrywanych przed własną publicznością, na elektronicznym banerze za bramką na słynnym stadionie Old Trafford pojawił się napis: „Manutd.com/StayUnited you must opt-in again to continue receiving emails from Man Utd”. Czyli – jeżeli chcesz w dalszym ciągu otrzymywać maile od Manchesteru United, musisz ponownie wyrazić zgodę na stronie Manutd.com/StayUnited. O tym, że wyświetlenie powyższego baneru miało związek z RODO, możemy się przekonać po wejściu na stronę internetową klubu, gdzie w zakładce „StayUnited” podano informację o zmianach w prawie. Co ciekawe, za wyrażenie zgody (albo jej cofnięcie) przed dniem 31 marca 2018 r. można wygrać rękawice bramkarskie z autografem Davida de Gei… 🙂

Czytaj dalej

RODO a wielkość firmy

  

W pierwszym wpisie na blogu wskazałem, że RODO dotyczy każdej firmy i nie ma w tym zakresie wyjątków. Nowych przepisów będą musiały przestrzegać zarówno wielkie międzynarodowe korporacje działające na obszarze Unii, jak i mniejsze lokalne firmy, zatrudniające kilkunastu pracowników, a także osoby prowadzące jednoosobową działalność gospodarczą.

Może zadajesz sobie teraz, Czytelniku, pytanie czy RODO może nakładać takie same obowiązki na podmioty, które tak bardzo się od siebie różnią.

Niektóre obowiązki rzeczywiście będą dotyczyć wszystkich firm w jednakowym stopniu, np. udzielanie imiennych upoważnień osobom, które mają zostać dopuszczone do przetwarzania danych osobowych czy dokumentowanie przypadków naruszeń ochrony danych.

RODO nie różnicuje również zakresu uprawnień osoby, której dane dotyczą, w zależności od wielkości firmy, która przetwarza jej dane. Każdemu takiemu uprawnieniu odpowiada zaś adekwatny obowiązek po stronie administratora. Pewne wyłączenia dla małych i średnich firm przewiduje projekt nowej ustawy o ochronie danych osobowych.

Czytaj dalej

RODO – obalamy mity

  

Wokół RODO narosło kilka mitów, czyli obiegowych informacji, które niewiele mają wspólnego z rzeczywistością. Często wywołują one więcej szkody niż pożytku, wprowadzając niepotrzebny zamęt. Tymczasem, na niespełna 3 miesiące przed rozpoczęciem stosowania RODO potrzebna jest rzetelna wiedza na jego temat, przekazywana w sposób zrozumiały dla nie-prawników.

Z niedawnego komunikatu GIODO wynika, że większość polskich przedsiębiorców wciąż nie wie, co powinna zrobić, aby dostosować się do RODO. Funkcjonowanie mitów z pewnością nie ułatwia im zadania, ponieważ często kieruje ich uwagę na niewłaściwe tory.

Czytaj dalej

Co się kryje pod skrótem „RODO”?

  

Witam Cię na blogu ABC RODO!

W pierwszym wpisie wyjaśniam, co kryje się pod skrótem „RODO”.

RODO to unijne rozporządzenie nr 2016/679 z dnia 27 kwietnia 2016 r. o ochronie danych osobowych, które będzie obowiązywać w jednakowym brzmieniu we wszystkich krajach członkowskich EU i dotyczyć wszystkich administratorów, czyli podmiotów, które przetwarzają dane osobowe w związku z prowadzoną przez siebie działalnością.

Z zakresu RODO wyłączono jedynie przetwarzanie danych w ramach działalności czysto osobistej lub domowej, np. w celu prowadzenia prywatnej korespondencji lub przechowywania adresów dla podtrzymywania więzi społecznych.

Czytaj dalej

1 4 5 6