Aktualności

Chwalimy się! Nawiązałyśmy współpracę z fundacją Wrocław Miasto Kobiet w roli ekspertów. A już wkrótce 12 kwietnia zapraszamy na szkolenie z naszym udziałem.

http://wroclawmiastokobiet.pl/index.php/izabela-regucka-i-malgorzata-czernicka-crgconsulting/

RODO w formie gry?

Zastanawialiście się w jaki przystępny sposób można przyswoić przepisy Rozporządzenia o Ochronie Danych Osobowych?

Belgijski oddział stowarzyszenia ISACA przygotował grę planszową, której uczestnicy, pokonując kolejne pola, mierzą się z pytaniami dotyczącymi ochrony danych osobowych.

Gra RODO w polskiej wersji językowej ma trafić do 300 organów samorządowych w Polsce.

https://www.isaca.org/Knowledge-Center/Blog/Lists/Posts/Post.aspx?ID=805

Ostatni dzwonek dla MSP na przygotowanie się do RODO

Zapraszamy serdecznie do obejrzenia i wysłuchania webcastu ,,100 dni do RODO’’, podczas którego ekspert Deloitte Legal adwokat Ewelina Witek wraz z gościem specjalnym – dr Maciejem Kaweckim, Dyrektorem Departamentu Zarządzania Danymi oraz Koordynatorem reformy ochrony danych osobowych w Ministerstwie Cyfryzacji, przybliżyli najważniejsze zagadnienia dotyczące RODO.

https://www.youtube.com/watch?v=6EeLnrZ83dc

Ochrona danych osobowych okiem Komisji Europejskiej

Zapraszamy do zapoznania się z wpisem na stronie KE, gdzie w przystępny  i obrazowy sposób przedstawiono RODO i etapy jego wdrożenia.

http://ec.europa.eu/justice/smedataprotect/index_pl.htm

Przewodnik po RODO dla MSP

„Dla małych i średnich przedsiębiorców mamy prosty i przyjazny przewodnik. Pomoże sprawnie poruszać się po meandrach nowego prawa ochrony danych osobowych, które będzie obowiązywać już od 25 maja 2018 roku.

Dowiecie się z niego:

* jakie obowiązki będą mieli przedsiębiorcy,
* co zmieni się w sposobie ochrony danych osobowych,
* jak przygotować firmę do stosowania nowych przepisów.

Atutem przewodnika przygotowanego są krótkie podrozdziały, podsumowująca sekcja pytań i odpowiedzi oraz wiele praktycznych przykładów mówiących o tym, jak w praktyce dostosować firmę do nowych przepisów.

Autorem poradnika jest ekspert w tej dziedzinie, dr Paweł Litwiński. Przewodnik nie powinien więc być traktowany jako oficjalna wykładnia Ministerstwa Przedsiębiorczości i Technologi w zakresie przepisów o ochronie danych osobowych.”

http://www.mpit.gov.pl/strony/aktualnosci/przewodnik-po-rodo-dla-msp/

Zapraszamy do zapoznania się z nim.

Rekomendacje w zakresie  przetwarzania dokumentacji medycznej

Na stronie internetowej Centrum Systemów Informacyjnych Ochrony Zdrowia opublikowano rekomendacje w zakresie bezpieczeństwa oraz rozwiązań technologicznych stosowanych podczas przetwarzania dokumentacji medycznej w postaci elektronicznej.

„Rekomendacje uwzględniają konieczność przygotowania się podmiotów do wejścia w życie przepisów RODO i uwzględniają zarówno stan prawny obecny jak i stan prawny, który będzie obowiązywał od 25 maja 2018 roku, przy czym w związku z brakiem przepisów krajowych dostosowujących przepisy krajowe do wymogów RODO, CSIOZ deklaruje, że po wejściu ich w życie dokona aktualizacji niniejszego dokumentu.”

 

https://www.csioz.gov.pl/fileadmin/user_upload/rekomendacje_csioz_bezpieczenstwo_wrzesien2017_59cd1e951e9ba.pdf

Żarty się skończyły

Poniżej opisujemy jakie kary za naruszenie zasad przetwarzania danych osobowych będą grozić od 25 maja 2018 r. czyli od dnia obowiązywania Ogólnego rozporządzenia o ochronie danych osobowych (RODO). Wprowadzenie ogromnych kar finansowych jest chyba największą zmianą związaną z wdrożeniem RODO. Kary te mogą sięgać nawet do 20 mln euro lub 4% światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego. Wysokość kar oraz katalog naruszeń, za które mogą być nałożone kary są opisane w art. 83 RODO.

I tak:

Kara do 10 mln Euro lub 2% rocznego obrotu może być zastosowana za :

  • Brak uwzględnienia ochrony danych w fazie projektowania
  • Brak umowy powierzenia przetwarzania danych
  • Brak regulacji wewnętrznych, w tym rejestru czynności przetwarzania danych
  • Niezgłoszenie incydentu godzącego w bezpieczeństwo przetwarzania danych osobowych do organu ochrony danych
  • Naruszenie zasady bezpieczeństwa
  • Naruszenie statusu inspektora ochrony danych dotyczącego niezależności

Kara do 20 mln Euro lub do 4% światowego obrotu rocznego grozi za:

  • Naruszenie zasady celowości przetwarzania danych
  • Łączenie zgód na przetwarzanie danych
  • Brak podstawy prawnej przetwarzania

 

Żarty się skończyły – cd.

Jak będzie ustalana wysokość kar?

W RODO czytamy, że administracyjne kary pieniężne muszą być skuteczne, proporcjonalne i odstraszające. Należy przy tym brać pod uwagę:

  • Charakter, wagę i czas trwania naruszenia
  • Liczbę poszkodowanych osób
  • Rozmiar poniesionej szkody
  • Umyślny lub nieumyślny charakter naruszenia
  • Wcześniejsze naruszenia administratora danych
  • Kategorie danych, których dotyczy naruszenie

Warto także podkreślić, że będzie także możliwość nałożenia kilku kar za każde z wykrytych nieprawidłowości podczas ewentualnej kontroli. W związku z tym, że organ ochrony danych będzie upoważniony do nakładania kar za naruszenie danych osobowych, zmianie będą musiały także ulec przepisy dotyczące postępowania administracyjnego. W tym zakresie państwom członkowskim zostawiono swobodę działania. Warto podkreślić, że w marcu tego roku Ministerstwo Cyfryzacji przedstawiło projekt ustawy regulującej kwestię nowych procedur, jednakże nadal trwają prace nad jej ostatecznym kształtem. Na chwilę obecną za wcześnie jest, aby mówić o zmienionym trybie postępowania administracyjnego z zakresu ochrony danych osobowych.

 

6 obowiązków branży medycznej po wejściu w życie RODO

1. Wyznaczenie Inspektora Ochrony Danych. RODO przewiduje obligatoryjne powołanie Inspektora w sytuacji, gdy główna działalność opiera się na przetwarzaniu danych wrażliwych czyli np. o stanie zdrowia. Przedsiębiorcy z branży medycznej będą musieli zatem powołać Inspektora. Z obowiązku tego będą wyłączeni poszczególni lekarze, natomiast podmioty medyczne już nie. Inspektor ten będzie musiał charakteryzować się odpowiednią wiedzą fachowa i praktyczną, dlatego warto poszukać takiej osoby już dziś.

2. Szacowanie ryzyka i mechanizmy ochrony RODO nie wskazuje konkretnych środków techniczno-organizacyjnych, których przestrzeganie zapewni zgodność z przepisami prawa. To na przedsiębiorcy ciąży obowiązek oszacowania ryzyka i dostosowania wymogów technicznych i organizacyjnych do konieczności środków bezpieczeństwa.

3. Ocena skutków przetwarzania danych. Podmioty medyczne będą zobowiązane przeprowadzić ocenę skutków planowanych operacji dla ochrony danych osobowych w związku z przetwarzaniem danych wrażliwych. Ocena ta będzie musiała zawierać:

  • opis planowanych operacji i celów przetwarzania
  • Ocenę czy operacje te są niezbędne w stosunku do celów
  • Ocenę ryzyka naruszeń praw i wolności
  • Planowane środki w celu zaradzenia ryzyku

4. Obowiązek uprzednich konsultacji z organem nadzorczym. W przypadku gdy dany rodzaj przetwarzanych danych będzie powodował wysokie ryzyko dla ochrony danych, podmiot zobowiązany będzie do konsultacji z organem nadzoru.

5. Utworzenie rejestru czynności przetwarzania. Rejestr czynności musi zawierać:

  • Imię i nazwisko, nazwę, dane kontaktowe administratora
  • Cele przetwarzania
  • Opis kategorii danych
  • Kategorie odbiorców
  • Terminy usunięcia poszczególnych kategorii danych
  • Ogólny opis technicznych i organizacyjnych środków bezpieczeństwa

6. Zgłaszanie naruszeń ochrony danych do GIODO. W przypadku naruszenia podmiot powinien niezwłocznie, nie później niż 72 h po stwierdzeniu naruszenia zgłosić ten fakt organowi nadzorczemu. Aby sprostać temu obowiązku podmioty będą musiały przyjąć wewnętrzną polityką zarządzania incydentem.

Prywatność i bezpieczeństwo danych medycznych

Serdecznie zapraszamy do posłuchania wypowiedzi Wojciecha Wiewiórowskiego – byłego Generalnego Inspektora Ochrony Danych Osobowych, który poruszył kwestie przetwarzania danych w jednostkach medycznych. Wskazał on na różne role, jakie jednostka medyczna pełni- jest zarówno administratorem danych, jak i może być ich procesorem. Wskazał, że jednostka medyczna przetwarza dane osobowe pacjentów w celach medycznych, ale może je przetwarzać także w celach badawczych, naukowych. Omawia także poszczególne cele przetwarzania danych. Polecamy zapoznanie się z tym stanowiskiem.

https://www.youtube.com/watch?v=b80e0NmkgqM

Projekty aktów prawnych implementujących do polskiego porządku prawnego przepisy RODO

14 wrzesnia 2017 r. Ministerstwo Cyfryzacji opublikowało projekty aktów prawnych implementujących do polskiego porządku prawnego przepisy RODO. Projekty te zostaną poddane konsultacjom społecznym. Konieczna będzie zmiana ponad 100 aktów prawnych obowiązujących w chwili obecnej.

http://www.mc.gov.pl/projekty/nowe-prawo-ochrony-danych-osobowych/dokumenty

20 podstawowych Zasad Bezpieczeństwa IT

1. Na bieżąco aktualizuj systemy operacyjne.

2. Systematycznie aktualizuj programy antywirusowe, antymalware i antyspyware.

3. Systematycznie skanuj stacje robocze programami antywirusowymi, antymalware i antyspyware.

4. Pobieraj oprogramowanie wyłącznie ze stron producentów.

5. Nie otwieraj załączników z nieznanych źródeł dostarczanych poprzez korespondencje elektroniczne.

6. Nie zapamiętuj haseł w aplikacjach webowych.

7. Nie zapisuj haseł na kartkach.

8. Nie używaj tych samych haseł w różnych systemach informatycznych.

9. Zabezpieczaj serwery plików czy inne zasoby sieciowe.

10. Zabezpieczaj sieci bezprzewodowe – Access Point.

11. Dostosuj złożoność haseł odpowiednio do zagrożeń.

12. Unikaj wchodzenia na nieznane czy przypadkowe strony internetowe.

13. Nie loguj się do systemów informatycznych w przypadkowych miejscach z niezaufanych urządzeń lub publicznych niezabezpieczonych sieci Wi-Fi.

14. Wykonuj regularne kopie zapasowe.

15. Korzystaj ze sprawdzonego oprogramowania do szyfrowania e-maili lub nośników danych.

16. Szyfruj dane przesyłane pocztą elektroniczną.

17. Szyfruj dyski twarde w komputerach przenośnych.

18. Przy pracy zdalnej korzystaj z szyfrowanego połączenia VPN.

19. Odchodząc od komputera blokuj stację komputerową.

20. Nie umieszczaj w komputerze przypadkowo znalezionych nośników USB. Może znajdować się na nich złośliwe oprogramowanie.

WYCIEK DANYCH WRAŻLIWYCH 50 TYSIĘCY PACJENTÓW POLSKIEGO SZPITALA

W czerwcu tego roku w sieci można było znaleźć dane osobowe oraz medyczne 50 tysięcy pacjentów Samodzielnego Publicznego Zakładu Opieki Medycznej w Kole. Pobrać je i wykorzystać mógł każdy internauta który trafił na adres serwera. Wśród udostępnionych danych pacjentów znajdowały się między innymi takie informacje jak imię, nazwisko, PESEL, adres zamieszkania, grupa krwi czy też wyniki niektórych badań a w przypadku pracowników także dane dokumentów tożsamości czy kont bankowych.

Rzecznik Praw Obywatelskich zwrócił się do Ministra Zdrowia i GIODO o informację nt. działań podjętych w sprawie wycieku danych osobowych pacjentów szpitala i wskazanie, czy resort systemowo interesuje się kwestią zabezpieczania danych.

KONTROLE GIODO W PRZYCHODNIACH I PORADNIACH

Czy wiesz, że GIODO na 2017 rok zaplanował kontrole w przychodniach i poradniach lekarskich, zarówno publicznych, jak i prywatnych? Czy twoja firma jest przygotowana na taką kontrolę?

http://www.giodo.gov.pl/pl/1520290/9771

Z naszą firmą będzie to łatwe i proste. Nasi eksperci brali już udział w takich kontrolach i wiedzą jak postępować. Zapraszamy do kontaktu w celu ustalenia zakresu działań.

RODO – CO SIĘ ZMIENIA?

Parlament Europejski 14 kwietnia 2016 r. przyjął Ogólne rozporządzenie o ochronie danych osobowych (dalej RODO), które wchodzi w życie 25 maja 2018 r. Zastąpi ono Dyrektywę 95/46/WE, a na gruncie polskim Ustawę o ochronie danych osobowych z 1997 r. (Dz.U. 2016 poz. 922).

Regulacje te dość mocno odstawały od możliwości technologicznych, które pojawiły się od czasów ich powstania, a które w dość istotny sposób wpływały na ochronę danych osobowych.

Przede wszystkim RODO wprowadza jednolitość ochrony danych osobowych na terytorium całej Unii Europejskiej, ponieważ jego normy obowiązują wprost we wszystkich Państwach UE, tzn. żadne przepisy krajowe nie są wymagane, aby wdrożyć rozporządzenie w życie. Dotychczasowa Dyrektywa określała tylko niezbędne minimum, a poszczególne Państwa regulowały materię ochrony danych w dość odmienny sposób (np. przepisy niemieckie były dość restrykcyjne, z kolei szwedzkie liberalne). Po wejściu w życie RODO przepisy we wszystkich państwach członkowskich będą jednolite. Oczywiście RODO daje pewną swobodę poszczególnym państwom w niektórych obszarach, takich jak: ustalenia procedury postępowania przed organem nadzoru, natomiast główne normy prawne będą wszędzie takie same.

Na polu harmonizacji RODO wprowadza zasadę „one stop shop”, co oznacza, że postępowanie sądowe czy administracyjne wobec Administratorów Danych, którzy działają w wielu krajach UE, będą prowadzone w wybranym kraju przez osobę, której dane dotyczą. . Ponadto RODO daje także prawo kierowania skarg na firmy z innych państw członkowskich do organu ochrony danych w kraju zamieszkania. RODO wzmacnia prawa osób, których dane dotyczą i w bezpośredni sposób zalicza prawo do ochrony danych osobowych do podstawowych praw i wolności osób fizycznych co w znaczący sposób podnosi rangę danych osobowych.

Należy wskazać, że bez zmian pozostają zasady przetwarzania danych osobowych tj. zasada celowości, adekwatności, ograniczenia czasowego, konieczności wykazania podstawy prawnej przetwarzania, prawo dostępu, korygowania oraz sprzeciwu wobec przetwarzania danych.

Ale jakie tak naprawdę zmiany czekają nas w związku z RODO?

1.Po raz pierwszy akt prawny wprowadza obowiązek zgłaszania naruszeń przez administratora danych do organu nadzoru i do podmiotu danych w terminie 72 h.

2. Ważną zmiana jest obowiązek powołania Data Protection Officer (dalej DPO), który zastąpi dzisiejszych ABI – Administratorów Bezpieczeństwa Informacji. Dotychczas powołanie ABI było dobrowolne, RODO wprowadza obowiązek powołania tej funkcji w wielu instytucjach, przy czym w tym zakresie pozostaje pewna swoboda dla poszczególnych państw UE.

3. RODO modyfikuje również konstrukcję zgody na przetwarzanie danych. Zgodnie z RODO zgoda ta musi być dobrowolna, konkretna, świadoma i jednoznaczna, jednocześnie odchodząc od wymogu pisemności, które było wymogiem w dotychczasowych polskich przepisach w stosunku do tzw. danych wrażliwych. Ponadto ze zgodą na przetwarzanie danych związany jest także obowiązek administratora danych weryfikowania wieku użytkownika usług społeczeństwa informacyjnego.

4. Kolejną, istotną zmianą jest zwiększenie obowiązków informacyjnych skierowanych przez Administratora Danych do osoby, której dane dotyczą. Dodatkowo będzie konieczność przekazania:

– informacji o prawie cofnięcia zgody na przetwarzanie danych

-informacji o prawie do wniesienia skargi na przetwarzanie danych – bezpośredniego kontaktu do DPO

– powiadomienia o profilowaniu (czyli zautomatyzowanego przetwarzania danych osobowych, służącego wykorzystaniu tych danych do oceny określonej osoby fizycznej)

5. Co bardzo istotne RODO zmienia podejście do wymogów bezpieczeństwa ochrony danych osobowych. W dotychczasowych polskich przepisach były wprost wymienione wymogi bezpieczeństwa, których spełnienie gwarantowało uznanie przez organ nadzorczy wypełnienia wymagań i zgodność. RODO wprowadza obowiązek dokonania analizy ryzyka i potencjalnego wpływu zamierzonego przetwarzania danych na prawa i wolności podmiotów danych i nie wprowadza żadnych sztywnych reguł bezpieczeństwa. Z obowiązkiem tym łączą się 2 zasady:

– Zasada „privacy by design” – zasada ochrony danych w fazie projektowania, czyli uwzględniania gwarancji prywatności już na etapie projektowania usług, systemów, aplikacji oraz

– Zasada „privacy by default” czyli zasada ochrony dany jako opcji domyślnej tj. systemowego podejścia do konstruowania usług uwzgledniającego możliwości konfiguracji opcji prywatności przez osobę, której dane dotyczą, z zastrzeżeniem, że prywatność jest stanem wyjściowym.

6. RODO wprowadza prawo podmiotu danych do bycia zapomnianym. Nie jest to co prawda zupełnie nowe rozwiązanie, gdyż bazuje na konstrukcji żądania usunięcia danych, znanej już wcześniej, natomiast zakres jest znacznie szerszy od dotychczasowego.

7. Kolejna nowością jest prawo do przenoszenia danych od jednego administratora do drugiego i związany z tym obowiązek administratora danych przekazania danych, które maja być przenoszone, w ustrukturyzowanym formacie.

8.Zmianą, która ma ogromne znaczenie jest także ograniczenie możliwości profilowania. Zgodnie z RODO, osoba, której dane dotyczą, powinna mieć prawo do tego, by nie podlegać decyzji, która ocenia jej czynniki osobowe opierając się wyłącznie na przetwarzaniu zautomatyzowanym

9. Dość szczegółowo został uregulowany transfer danych do państw trzecich. Z istotnych zmian należy wskazać, iż obowiązki będą spoczywały nie tylko na administratorze danych, ale także na procesorze (podmiocie przetwarzającym dane na zlecenie administratora). W przypadku transferu do państw trzecich musi być zapewnione, że podmiot ten posiada odpowiednie zabezpieczenia. W tym celu może przedstawić odpowiedni certyfikat bezpieczeństwa danych, zezwolenie organu nadzoru na przekazanie danych lub oparcie przekazania o wiążące reguły korporacyjne.

10. Z punktu widzenia administratora danych najdotkliwszą i najbardziej radykalną zmianą jest wprowadzenie kar finansowych za nieprawidłowe przetwarzanie danych, które mogą wynosić do 20 mln Euro, a w przypadku przedsiębiorstwa 4% całkowitego obrotu światowego, z tym że stosuje się wyższą z kar. Niewątpliwie istotnie zwiększa się przez to ryzyko prawne związane z przestrzeganiem przepisów o ochronie danych osobowych.