Doradztwo Biznesowe

czyli...

Udzielanie fachowych porad przez firmę „BAJ-Konsulting” na rzecz podmiotów gospodarczych

Zapraszamy do zapoznania się z ofertą

-------------------------------------------------------------------------------


Aktualności



05.10.2018.



W związku z rozpoczęciem procesu zmiany formy działalności firmy, przez najbliższy okres nie będzie aktualizowany dział "Aktualności".

Wkrótce zaprosimy na nasza nową stronę Internetową.




25.05.2018.

RODO - Rejestr czynności przetwarzania

Tym razem kilka słów o nowym wymaganiu RODO tj. rejestrze czynności przetwarzania danych. Rejestr należy utworzyć wraz z opracowywaniem Polityki Bezpieczeństwa. Nie jest, to rejestr w klasycznym tego słowa znaczeniu, czyli nie rejestrujemy w nim każdej czynności związanej z przetwarzaniem danych :-) Rejestr zawiera m.in. informacje: Ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, Nazwę i dane kontaktowe administratora, Czas przetwarzania, itd. Przykłady rejestrów, w tym rejestrów dla szkół, można znaleźć na stronie Internetowej GIODO lub... zwrócić się do nas z zapytaniem :-) Pozdrawiamy - Zespół "BAJ-Konsulting"




02.03.2018.

Projekt ustawy o ochronie danych osobowych wdrażającej RODO

Jak można poczytać na Twitterze Ministerstwa Cyfryzacji, Komitet Stały RM przyjął 2 marca br. projekt ustawy o ochronie danych osobowych wdrażającej RODO. Najwyższy czas, bo czasu do 25 maja pozostało coraz mniej.




23.02.2018.

RODO - ciąg dalszy...

Tym razem parę informacji nt. modnego obecnie hasła w kontekście RODO, czyli "Zarządzanie ryzykiem".
Rozporządzenie Parlamentu Europejskiego o Rady (UE) 2016/679 z 27.04.2016. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu (...), mówi o tym, że każdy podmiot musi samodzielnie ocenić ryzyko jakie niesie ze sobą przetwarzanie danych osobowych dla praw i wolności dla osób, których te dane dotyczą.

Rozporządzenie nie podaje konkretów w tym zakresie. Nie podaje przykładowych metod jak i nie odnosi się wprost do procesu zarządzania ryzykiem, choć wspomina o tym w kilku artykułach, np. w artykule 35 "Ocena skutków dla ochrony danych".

Jak się do tego zabrać, jeśli nigdy nie mieliśmy z tym do czynienia? Można np. skorzystać z poradnika przygotowanego przez GIODO pt. "Jak rozumieć i stosować podejście oparte na ryzyku?". Dostępny jest on na stronie GIODO pod adresem "Poradnik GIODO"
Poradnik został napisany przystępnym językiem i składa się z dwóch części:
1. Jak rozumieć podejście oparte na ryzyku według RODO?
2. Jak stosować podejście oparte na ryzyku?
W części pierwszej przedstawiono teorię, zaś w drugiej praktyczne wskazówki.

Polecam zapoznanie się z poradnikiem wszystkim tym, którzy nie mają na co dzień do czynienia z analizami i zarządzaniem strategicznym. Jego lektura pomoże w zrozumieniu o co chodzi w tym... "Zarządzaniu ryzykiem". Być może po jego lekturze okaże się, że nie musimy korzystać z zewnętrznego wsparcia aby przeprowadzić ocenę ryzyka w naszej organizacji.

Pozdrawiam i życzę powodzenia w analizie ryzyka i zarządzania nim. To naprawdę nie jest skomplikowane.




02.02.2018.

RODO - Inspektor Ochrony Danych ( tzw. DPO - z angielskiego ) - kilka uwag...

Spotkałem się ostatnio ze stwierdzeniem, że Inspektorem Ochrony Danych w danej organizacji, nie może być osoba, która przetwarza dane osobowe?!?!
Kompletna bzdura!

Takie stwierdzenie jest podnoszone przez część firm doradczych (z bardzo niską kulturą biznesową), które poprzez takie stwierdzenie chcą sprawić wrażenie, że jedyne słuszne rozwiązanie, to zlecenie na zewnątrz organizacji funkcji IOD ( DOP ). Naprawdę nieładne posunięcia ... :-(

Na podstawie Wytycznych dotyczących Inspektorów Ochrony Danych określonych przez Grupę Roboczą (Grupa Robocza została powołana na mocy art. 29 dyrektywy 95/46/WE. Jest ona niezależnym organem doradczym w zakresie ochrony danych i prywatności. Zadania grupy określone są w art. 30 dyrektywy 95/46/WE oraz art. 15 dyrektywy 2002/58/WE.)...

Zgodnie z rozporządzeniem - obowiązkiem niektórych administratorów i przetwarzających będzie powołanie Inspektora Ochrony Danych. Taki obowiązek będzie miał miejsce w przypadku wszystkich organów i podmiotów publicznych, jak również w stosunku do podmiotów, które w ramach swojej głównej działalności regularnie i na dużą skalę monitorują osoby lub jeżeli działalność podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych.

Artykuł 38(6) umożliwia Inspektorowi Ochrony Danych wykonywanie "innych zadań i obowiązków". Dalej w artykule widnieje zapis, iż "administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów." Wymóg niepowodowania konfliktu interesów jest ściśle związany z wymogiem wykonywania zadań w sposób niezależny. I choć Inspektorzy Ochrony Danych mogą posiadać inne zadania i obowiązki to jednak te nie mogą powodować konfliktu interesów.
Oznacza to, że Inspektor Ochrony Danych nie może zajmować w organizacji stanowiska pociągającego za sobą określanie sposobów i celów przetwarzania danych. A więc chodzi tu o OKREŚLANIE sposobów i celów przetwarzania danych, a nie o ich przetwarzanie.

Oczywiście, ze względu na indywidualny charakter każdej organizacji ten aspekt powinien być analizowany osobno dla każdego podmiotu.

Podsumowując:
Polecam wszystkim zainteresowanym zapoznanie się z materiałami dotyczącymi RODO, które znajdują się na stronie www.giodo.gov.pl
Znajdziecie tam wszystkie informacje i sami wdrożycie RODO bez zbędnych problemów.

Pozdrawiam i życzę powodzenia w spokojnym wdrażaniu RODO lub przejścia z GIODO na RODO




30.01.2018.

RODO - Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680

RODO - W ostatnim czasie nasiliła się kampania na temat "nowych" przepisów dotyczących ochrony danych osób fizycznych. W materiałach prasowych jak i informacjach internetowych jednym z głównych i najważniejszym z przekazów są kary i ich wysokość. Ma to wywołać strach, niepokój, itp. u odbiorcy takiej wiadomości. Czy naprawdę należy się obawiać tych kar? A jeśli tak, to jakie organizacje powinny się tego obawiać? Poniżej zestawienie najważniejszych danych i zmian w RODO w odniesieniu do GIODO. O karach można poczytać na końcu ...

RODO - Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW

Dyrektywa weszła w życie pierwszego dnia po opublikowaniu w Dzienniku Urzędowym Unii Europejskiej. Do dnia 25 maja 2018 r. przepisy dyrektywy powinny zostać implementowane do polskiego porządku prawnego.

Najważniejsze zmiany:

Wróćmy jeszcze do kar "za naruszenie RODO". Na dziś nic pewnego na ten temat nie można powiedzieć, poza tym, że ich maksymalna wysokość to 20.000.000 euro lub 4 % całkowitego rocznego światowego obrotu z poprzedniego roku. Na konkrety, tj. w oparciu o jaki algorytm będą naliczane i egzekwowane kary musimy poczekać do czasu wejścia w życie nowych przepisów. Dopiero wówczas będzie się można konkretnie odnieść do tego zagadnienia.

Na zakończenie, krótka uwaga: RODO precyzyjnie określa, że kara musi być odstraszająca, adekwatna oraz proporcjonalna, tak aby działała prewencyjnie na administratorów. Najważniejsze jak dla mnie jest tu stwierdzenie: adekwatna i proporcjonalna.