Aktualności

Nowa Narodowa Strategia Bezpieczeństwa Cybernetycznego w USA

Administracja Biden-Harris opublikowała 2 marca 2023 r. Narodową Strategię Bezpieczeństwa Cybernetycznego, której celem jest zapewnienie korzyści płynących z bezpiecznego ekosystemu cyfrowego dla wszystkich Amerykanów. Strategia ta pozwoli na nowo wyobrazić sobie cyberprzestrzeń, aby odzwierciedlić amerykańskie wartości, w tym bezpieczeństwo gospodarcze, dobrobyt, poszanowanie praw człowieka, podstawowe wolności, zaufanie do demokracji, instytucji demokratycznych oraz sprawiedliwe i zróżnicowane społeczeństwo. Aby zrealizować tę wizję, musi nastąpić zasadnicza zmiana w podziale ról, obowiązków i zasobów Stanów Zjednoczonych w cyberprzestrzeni.

Cyber_security_strategy-1024x512 Nowa Narodowa Strategia Bezpieczeństwa Cybernetycznego w USA

Strategia ma na celu przywrócenie równowagi w zakresie odpowiedzialności za obronę cyberprzestrzeni poprzez przeniesienie ciężaru z osób fizycznych, małych przedsiębiorstw i samorządów na organizacje, które mają największe możliwości i najlepszą pozycję do zmniejszenia ryzyka dla wszystkich.

Konieczne jest również dostosowanie bodźców, aby sprzyjać inwestycjom długoterminowym przy jednoczesnym planowaniu odpornej przyszłości. Obejmuje to wykorzystanie wszystkich narzędzi władzy państwowej w celu ochrony bezpieczeństwa narodowego, bezpieczeństwa publicznego i dobrobytu gospodarczego.

Administracja Biden-Harris podjęła znaczące kroki w celu zabezpieczenia cyberprzestrzeni i naszego ekosystemu cyfrowego, w tym strategię bezpieczeństwa narodowego, rozporządzenie wykonawcze nr 14028 – Poprawa bezpieczeństwa cybernetycznego kraju, Memorandum Bezpieczeństwa Narodowego nr 5 – Poprawa bezpieczeństwa cybernetycznego systemów sterowania infrastrukturą krytyczną, Memorandum M-22-09 – Przejście rządu Stanów Zjednoczonych do zasad bezpieczeństwa cybernetycznego opartych na zasadzie zerowego zaufania oraz Memorandum Bezpieczeństwa Narodowego nr 10 – Promowanie wiodącej roli Stanów Zjednoczonych w dziedzinie obliczeń kwantowych przy jednoczesnym ograniczaniu zagrożeń dla podatnych na zagrożenia systemów kryptograficznych.

Opierając się na tych działaniach, Narodowa Strategia Bezpieczeństwa Cybernetycznego ma na celu ponowne wyobrażenie sobie cyberprzestrzeni jako narzędzia do osiągnięcia celów kraju przy jednoczesnym odzwierciedleniu jego wartości. Strategia będzie wymagała fundamentalnych zmian w sposobie, w jaki Stany Zjednoczone przydzielają role, obowiązki i zasoby w cyberprzestrzeni.

Strategia ma na celu budowanie i wzmacnianie współpracy wokół pięciu filarów: ochrony infrastruktury krytycznej, zakłócania i likwidacji podmiotów stanowiących zagrożenie, kształtowania sił rynkowych w celu zwiększenia bezpieczeństwa i odporności, inwestowania w odporną przyszłość oraz tworzenia partnerstw międzynarodowych w celu realizacji wspólnych celów.

Pięć filarów:

Obrona infrastruktury krytycznej w USA.

Filar ten skupia się na zapewnieniu Amerykanom pewności co do dostępności i odporności infrastruktury krytycznej i podstawowych usług poprzez rozszerzenie stosowania minimalnych wymogów dotyczących bezpieczeństwa cybernetycznego w sektorach krytycznych, umożliwienie współpracy publiczno-prywatnej oraz obronę i modernizację sieci federalnych.

Przerwanie i rozbicie podmiotów stanowiących zagrożenie.

Filar ten ma na celu uniemożliwienie złośliwym podmiotom cybernetycznym zagrażania bezpieczeństwu narodowemu lub publicznemu Stanów Zjednoczonych poprzez strategiczne wykorzystanie wszystkich narzędzi władzy państwowej w celu przerwania działalności przeciwników, zaangażowanie sektora prywatnego w działania mające na celu przerwanie działalności oraz kompleksowe zajęcie się zagrożeniem związanym z oprogramowaniem ransomware.

Kształtowanie sił rynkowych w celu zwiększenia bezpieczeństwa i odporności.

Filar ten ma na celu zwiększenie zaufania do ekosystemu cyfrowego poprzez nałożenie odpowiedzialności na osoby, które są w stanie najlepiej ograniczyć ryzyko, oraz przeniesienie konsekwencji słabego bezpieczeństwa cybernetycznego na osoby najbardziej narażone. Obejmuje to promowanie prywatności i bezpieczeństwa danych osobowych, przeniesienie odpowiedzialności za oprogramowanie i usługi oraz zapewnienie, że federalne programy dotacji promują inwestycje w bezpieczną i odporną infrastrukturę.

Inwestowanie w odporną przyszłość.

Filar ten skupia się na strategicznych inwestycjach i skoordynowanych, wspólnych działaniach mających na celu przewodzenie światu w zakresie innowacji bezpiecznych i odpornych technologii i infrastruktury nowej generacji. Obejmuje to zmniejszenie systemowych słabych punktów technicznych, nadanie priorytetu badaniom i rozwojowi w zakresie bezpieczeństwa cybernetycznego oraz rozwój zróżnicowanych i solidnych krajowych pracowników sektora cybernetycznego. Jednym z narzędzi są testy penetracyjne i testy podatności.

Tworzenie partnerstw międzynarodowych w celu realizacji wspólnych celów.

Filar ten ma na celu wzmocnienie odpowiedzialnego zachowania państwa w cyberprzestrzeni oraz spowodowanie, że nieodpowiedzialne zachowanie będzie izolowane i kosztowne. Odbywa się to poprzez wykorzystanie międzynarodowych koalicji i partnerstw, zwiększenie zdolności partnerów do obrony przed zagrożeniami cybernetycznymi oraz stworzenie bezpiecznych i godnych zaufania globalnych łańcuchów dostaw.

Wnioski

Wraz z wdrażaniem strategii, można się spodziewać wprowadzenia nowych wymagań prawnych i regulacji, w celu zapewnienia, że organizacje spełniają wymagania strategii.

Firmy będą musiały śledzić i dostosowywać się do zmieniających się przepisów, aby uniknąć sankcji i zabezpieczyć się przed ryzykiem.

Będą musiały wdrożyć nowoczesne technologie i narzędzia, aby zapewnić, że ich pracownicy są odpowiednio przeszkoleni i że systemy są zabezpieczone przed atakami i zagrożeniami.

Wdrożenie Narodowej Strategii Bezpieczeństwa Cybernetycznego będzie wymagało współpracy pomiędzy sektorem prywatnym i publicznym. Firmy i instytucje będą musiały ściśle współpracować z rządem, aby zapewnić, że ich systemy są zgodne z wymaganiami strategii i że działania podejmowane w celu zwiększenia cyberbezpieczeństwa są skoordynowane i skuteczne.

Wniosek jest taki, że wdrażanie Narodowej strategii bezpieczeństwa cybernetycznego będzie wymagało od firm i instytucji dużych nakładów finansowych i czasowych, ale jest to konieczne, aby zapewnić bezpieczeństwo w cyfrowej przestrzeni.

Ponadto, wdrożenie strategii będzie wymagać od firm i instytucji spełnienia określonych standardów i regulacji związanych z cyberbezpieczeństwem.

Wymagania te mogą dotyczyć zarówno ochrony prywatności, jak i bezpieczeństwa danych oraz obowiązku zgłaszania naruszeń bezpieczeństwa.

Jak możemy pomóc?

Nasz zespół koncentruje się na dostarczaniu wysokiej jakości usług cyberbezpieczeństwa i ochrony danych osobowych. Co nas wyróżnia:

  1. Bardzo dobra znajomość obowiązujących przepisów i regulacji. Nasi eksperci są na bieżąco z aktualnymi przepisami i regulacjami dotyczącymi ochrony danych i cyberbezpieczeństwa, aby zapewnić klientom najlepsze wsparcie. Doskonale znamy i monitorujemy przepisy w EU, UK i USA i innych krajach trzecich.
  2. Długoletnie doświadczenie w branży. Zapewniamy naszym klientom profesjonalne doradztwo i rozwiązania.
  3. Znajomość najnowszych narzędzi i technologii. Wiedza na temat najnowszych narzędzi i technologii w dziedzinie cyberbezpieczeństwa jest niezbędna, aby zapewnić naszym klientom skuteczną ochronę.
  4. Umiejętność dostosowywania rozwiązań. Nasza firma jest w stanie dostosować swoje rozwiązania do indywidualnych potrzeb każdego klienta, aby zapewnić mu najlepsze rezultaty.
  5. Wsparcie i opieka 24/7. Oferujemynaszym klientom wsparcie i opiekę przez całą dobę, aby zapewnić im poczucie bezpieczeństwa.

Inwestując w usługi ochrony danych i cyberbezpieczeństwa, zyskasz nie tylko pełne zabezpieczenie swoich danych, ale także poprawisz swoją reputację i zbudujesz zaufanie swoich klientów.


Copyright 2023 MQX Polska Sp. z o.o. All rights reserved

Czytaj więcej

Zasada “zgodność z prawem, rzetelność i przejrzystość”

Wdrożenie RODO — Inspektor Ochrony Danych wyjaśnia;

Zasada “zgodność z prawem, rzetelność i przejrzystość” jest zasadą, która wynika z art. 5 ust. 1 pkt a) Ogólnego Rozporządzenia o Ochronie Danych (RODO) i dotyczy przetwarzania danych osobowych. Oznacza ona, że przetwarzanie danych osobowych powinno być wykonywane w sposób zgodny z prawem, rzetelnie i przejrzysty dla osób, których dane dotyczą.

rodo-szkolenie-gdpr-1024x683 Zasada "zgodność z prawem, rzetelność i przejrzystość"
Wdrożenie RODO

Aby wdrożyć tę zasadę, należy:

  1. Upewnić się, że przetwarzanie danych osobowych jest zgodne z obowiązującymi przepisami prawa, w tym z RODO i innymi odpowiednimi aktami prawnymi.
  2. Zadbać o rzetelność przetwarzania danych osobowych, co oznacza, że dane powinny być prawdziwe, aktualne i odpowiednie do celów, w jakich są przetwarzane.
  3. Zagwarantować przejrzystość przetwarzania danych osobowych, co oznacza, że osoby, których dane dotyczą, powinny mieć łatwy dostęp do informacji na temat tego, jak ich dane są przetwarzane i w jakim celu.

Przykłady:

  • Firma X przetwarza dane osobowe swoich pracowników, aby móc wypłacać im wynagrodzenie. Aby zastosować zasadę “zgodność z prawem, rzetelność i przejrzystość”, firma X powinna upewnić się, że przetwarzanie danych jest zgodne z obowiązującymi przepisami prawnymi, a dane są prawdziwe i aktualne.
  • Sklep internetowy Y przetwarza dane klientów, aby móc wysyłać im oferty promocyjne. Aby zastosować zasadę “zgodność z prawem, rzetelność i przejrzystość”, sklep Y powinien informować klientów o tym, jakie dane o nich są przetwarzane, w jakim celu i czy będą one udostępniane innym podmiotom. Klienci powinni mieć możliwość wycofania zgody na przetwarzanie danych w każdej chwili.

Wdrożenie zasady “zgodność z prawem, rzetelność i przejrzystość

Kamienie milowe wdrożenia zasady “zgodność z prawem, rzetelność i przejrzystość” to:

  1. Opracowanie i wdrożenie polityki bezpieczeństwa danych osobowych, która będzie zgodna z obowiązującymi przepisami prawnymi i zagwarantuje bezpieczeństwo danych osobowych.
  2. Przeszkolenie pracowników odpowiedzialnych za przetwarzanie danych osobowych w zakresie obowiązujących przepisów prawnych i standardów dotyczących ochrony danych osobowych.
  3. Stworzenie i wdrożenie procedur przetwarzania danych osobowych, które będą zgodne z obowiązującymi przepisami prawnymi i zagwarantują rzetelność i przejrzystość przetwarzania danych osobowych.
  4. Stworzenie i regularne aktualizowanie dokumentacji dotyczącej przetwarzania danych osobowych, w tym informacji dotyczących celów i podstaw prawnych przetwarzania danych oraz informacji o osobach, którym dane są udostępniane.
  5. Regularne monitorowanie i audytowanie procesów przetwarzania danych osobowych w celu weryfikacji zgodności z obowiązującymi przepisami prawnymi i standardami dotyczącymi ochrony danych osobowych.

Co jeszcze trzeba wdrożyć?

Aby wdrożyć zasadę “zgodność z prawem, rzetelność i przejrzystość”, oprócz kamieni milowych wymienionych w poprzednim odpowiedzi, należy wykonać jeszcze kilka kluczowych kroków:

  1. Określenie zakresu przetwarzania danych osobowych: Należy dokładnie określić, jakie dane osobowe są przetwarzane i w jakim celu.
  2. Zgoda na przetwarzanie danych: Wdrożenie procedury uzyskiwania zgody na przetwarzanie danych osobowych, która będzie jasna i przejrzysta dla osób, których dane dotyczą.
  3. Weryfikacja legalności przetwarzania danych: Weryfikacja, czy przetwarzanie danych jest zgodne z obowiązującymi przepisami prawnymi, takimi jak RODO.
  4. Ochrona danych osobowych: Wdrożenie odpowiednich środków bezpieczeństwa, takich jak szyfrowanie danych, aby zapewnić ochronę danych osobowych.
  5. Raportowanie naruszeń bezpieczeństwa danych: Wdrożenie procedury raportowania naruszeń bezpieczeństwa danych, w celu szybkiego i skutecznego reagowania na takie sytuacje.
  6. Współpraca z inspektorem ochrony danych: Współpraca z inspektorem ochrony danych, aby zapewnić zgodność z obowiązującymi przepisami prawnymi i zagwarantować ochronę danych osobowych.
  7. Regularne aktualizacje: Regularne aktualizacje polityki bezpieczeństwa danych i procedur przetwarzania danych, aby zapewnić zgodność z obowiązującymi przepisami prawnymi i standardami ochrony danych osobowych.

Wnioski i zalecenia

Podsumowując, wdrożenie zasady “zgodność z prawem, rzetelność i przejrzystość” jest kluczowe dla zapewnienia ochrony danych osobowych i spełnienia wymogów prawnych wynikających z RODO. Wdrożenie tej zasady wymaga wykonania kilku kluczowych kroków, takich jak określenie zakresu przetwarzania danych osobowych, uzyskanie zgody na przetwarzanie danych, weryfikacja legalności przetwarzania danych, ochrona danych osobowych, raportowanie naruszeń bezpieczeństwa danych, współpraca z inspektorem ochrony danych i regularne aktualizacje.

Dla osób odpowiedzialnych za wdrożenie tej zasady ważne jest, aby dokładnie zrozumieć wymagania prawne i stosować się do nich, aby uniknąć ewentualnych konsekwencji prawnych i zapewnić ochronę danych osobowych.

Ponadto, należy stale monitorować zmiany w przepisach prawnych i dostosowywać politykę bezpieczeństwa danych i procedury przetwarzania danych do aktualnych wymogów.

Źródła:

https://www.rocketlawyer.com/gb/en/quick-guides/data-protection-principles
https://tortoiseandharesoftware.com/blog/gdpr-principles-lawfulness-fairness-and-transparency/
https://www.i-scoop.eu/gdpr/gdpr-personal-data-processing-principles/
https://www.morganlewis.com/pubs/2018/09/the-edata-guide-to-gdpr-what-is-processing-and-how-can-it-be-done-lawfully-fairly-and-transparently
https://www.onetrust.com/blog/gdpr-principles/
https://www.liquidweb.com/blog/data-protection-principles/
https://www.burges-salmon.com/news-and-insight/legal-updates/gdpr-data-protection-principles
https://www.dpocentre.com/the-data-protection-act-2018-the-7-principles-of-the-gdpr/
https://www.galaxkey.com/blog/the-6-gdpr-privacy-principles-and-encryptions-primary-role/
https://propelfwd.com/what-are-the-7-principles-of-gdpr/
https://cloudian.com/guides/data-protection/data-protection-principles-7-core-principles-of-the-gdpr/
https://www.accountablehq.com/post/principles-of-the-gdpr
Czytaj więcej

Zasada minimalizacji danych

Minimalizacja danych a Wdrożenie RODO — Inspektor Ochrony Danych wyjaśnia;

RODO-szkolenie-marketing--1024x681 Zasada minimalizacji danych
rodo szkolenie, rodo konferencja, rodo dla kadry hr

Minimalizacja danych to zasada określona w przepisach RODO, która wymaga, aby administratorzy danych przetwarzali jedynie niezbędne dane osobowe w odniesieniu do celów, w jakich dane te są przetwarzane. Oznacza to, że administratorzy danych powinni ograniczać liczbę danych osobowych, jakie zbierają, przechowują i wykorzystują do jedynie tych danych, które są niezbędne w celu wykonania konkretnych zadań.

Przykłady zastosowania zasady minimalizacji danych

W branży finansowej minimalizacja danych oznacza, że banki powinny zbierać jedynie niezbędne informacje, takie jak imię i nazwisko, adres, numer telefonu i historię kredytową, aby umożliwić świadczenie usług finansowych. Nie powinny zbierać informacji, które nie są niezbędne do tego celu, takich jak preferencje dotyczące podróży, ulubione jedzenie itp.

W branży medycznej minimalizacja danych oznacza, że lekarze i inne osoby z branży medycznej powinny zbierać jedynie informacje niezbędne do wykonania skutecznej opieki medycznej, takie jak historia choroby, informacje o stanie zdrowia, dane kontaktowe i informacje dotyczące ubezpieczenia zdrowotnego. Nie powinni zbierać informacji, które nie są niezbędne do wykonania tych zadań, takich jak ulubione kolory czy muzyka.

W innych branżach minimalizacja danych może oznaczać ograniczanie zbierania informacji dotyczących klientów i konsumentów tylko do tych, które są niezbędne do świadczenia usług i produktów. Na przykład w branży e-commerce minimalizacja danych może oznaczać zbieranie tylko informacji niezbędnych do realizacji zamówienia, takich jak adres dostawy i informacje o płatności, a nie dodatkowych informacji.

Przykłady z branży ICT i IT

Firma informatyczna, która zbiera i przetwarza dane osobowe klientów, powinna zbierać tylko te dane, które są niezbędne do realizacji usługi. Na przykład, imię, nazwisko i adres e-mail klienta wystarczą do utworzenia konta i komunikacji, a dodatkowe informacje takie jak numer telefonu czy adres zamieszkania nie są niezbędne.

Przykłady z branży prawniczej

Kancelaria prawna, która prowadzi sprawy związane z ochroną danych osobowych, powinna zbierać tylko te dane, które są niezbędne do prowadzenia sprawy. Na przykład, imię, nazwisko i adres klienta są niezbędne do kontaktu i przeprowadzenia analizy, a dodatkowe informacje takie jak numer telefonu czy historia medyczna nie są potrzebne.

Przykłady z branży badawczej

Instytut badawczy, który prowadzi badania naukowe, powinien zbierać tylko te dane, które są niezbędne do realizacji badań. Na przykład, wiek, płeć i miejsce zamieszkania badanych wystarczą do analizy demograficznej, a dodatkowe informacje takie jak historia medyczna czy zarobki nie są potrzebne.

Przykłady z branży marketingowej i reklamowej

Agencja reklamowa, która tworzy kampanie marketingowe dla swoich klientów, powinna zbierać tylko te dane, które są niezbędne do skutecznego targetowania odbiorców. Na przykład, wiek, płeć i miejsce zamieszkania wystarczą do segmentacji grupy docelowej, a dodatkowe informacje takie jak zainteresowania czy historia zakupów nie są niezbędne.

Zasada minimalizacji danych wyrażona jest w art. 5 ust. 1 lit. c GDPR oraz art. 4 ust. 1 lit. c rozporządzenia (UE) 2018/1725, zgodnie z którym dane osobowe powinny być adekwatne, istotne oraz ograniczone do tego, co niezbędne w odniesieniu do celów, w których są przetwarzane. Zdefiniowana w art. 5 (1) (c) ogólnego rozporządzenia o ochronie danych (GDPR) minimalizacja danych (wyrażana w oficjalnych dokumentach UE jako minimalizacja danych) jest trzecią zasadą związaną z przetwarzaniem danych osobowych. Te zasady ochrony danych dotyczą głównie administratora danych, zdefiniowanego przez GDPR jako osoba fizyczna lub prawna, organ publiczny, agencja lub inny organ, który określa cele i środki przetwarzania danych osobowych. Ograniczanie celów jest drugą zasadą z art. 5 GDPR, która obejmuje zasady przetwarzania danych osobowych, jeśli stosuje się podejście sześciu zasad.

Środki techniczne i organizacyjne a zasada minimalizacji danych

Zasada ta stanowi, że odpowiednie środki techniczne i organizacyjne powinny zapewnić, że co do zasady przetwarzasz tylko te dane osobowe, które są wymagane do przetwarzania dla konkretnych rozważanych celów przetwarzania.

Wdrożenie zasady minimalizacji danych wymaga odpowiedniego połączenia środków technicznych i organizacyjnych. Oto kilka środków, które mogą być wdrożone w firmie, aby przestrzegać tej zasady:

  1. Ocena ryzyka: firma powinna wykonać ocenę ryzyka w celu określenia, jakie dane są niezbędne do realizacji jej celów biznesowych i jakie dane są niepotrzebne.
  2. Polityka i procedury dotyczące minimalizacji danych: należy stworzyć politykę i procedury dotyczące minimalizacji danych, aby zapewnić jasne i powtarzalne zasady dotyczące zbierania, przetwarzania i przechowywania danych.
  3. Ochrona danych: należy wdrożyć odpowiednie środki techniczne, takie jak szyfrowanie danych i zabezpieczenia systemu informatycznego, aby zapewnić bezpieczeństwo danych i zapobiec ich nieautoryzowanemu dostępowi.
  4. Edukacja: ważne jest, aby wszyscy pracownicy byli odpowiednio edukowani w zakresie zasady minimalizacji danych i wiedzieli, jak ją stosować w swojej codziennej pracy.
  5. Monitoring i raportowanie: firma powinna monitorować i raportować swoje działania związane z minimalizacją danych, aby mieć pewność, że zasada jest stosowana zgodnie z wymaganiami i aby w razie potrzeby wprowadzić dalsze usprawnienia.

Minimalizacja danych — wnioski

Pamiętaj, że wdrożenie zasady minimalizacji danych powinno być dostosowane do indywidualnych potrzeb i wymagań firmy, dlatego warto skonsultować się z ekspertem w dziedzinie ochrony danych osobowych.  

Ograniczenie do istotnych informacji wymaganych dla celów przetwarzania danych. Zasadniczo oznacza to, że dane nie mogą być przetwarzane, jeśli nie ma potrzeby ich przetwarzania dla realizacji wymienionych celów. Ma oznaczać, że wymagane jest upewnienie się, że dane osobowe są dokładne i aktualne wszędzie tam, gdzie są potrzebne.

Zasada minimalizacji danych mówi, że organizacje powinny przetwarzać dane osobowe tylko w takim zakresie, jaki jest rzeczywiście potrzebny do osiągnięcia celu przetwarzania danych. Przejrzystość wymaga od organizacji ograniczenia się do minimalnej ilości danych osobowych, które są im potrzebne w ramach zadania przetwarzania i jego celu (celów).

Cytowane źródła

https://id4d.worldbank.org/guide/data-protection-and-privacy-laws
https://gdpr-text.com/en/read/article-5/
https://edps.europa.eu/data-protection/data-protection/glossary/d_en
https://www.dataguise.com/gdpr-knowledge-center/data-minimization/
https://www.cloudsponge.com/blog/gdpr-data-minimization-principle/
https://www.futurelearn.com/info/courses/general-data-protection-regulation/0/steps/32412
https://cloudian.com/guides/data-protection/data-protection-principles-7-core-principles-of-the-gdpr/
https://www.2b-advice.com/en/blog/what-is-data-minimization/
https://www.i-scoop.eu/gdpr/gdpr-personal-data-processing-principles/
Czytaj więcej

Jakie są główne zasady ochrony danych w RODO?

Wdrożenie RODO — Inspektor Ochrony Danych wyjaśnia;

Zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO), wszystkie podmioty i organizacje, bez względu na ich formę prawną, muszą przestrzegać zasad ochrony danych. Obejmuje to:

  1. Administratorów danych – jest to podmiot lub organizacja, która decyduje o celach i środkach przetwarzania danych osobowych. Przykładami administratorów danych są firmy, instytucje publiczne, organizacje non-profit, stowarzyszenia, spółdzielnie mieszkaniowe itp.
  2. Przetwarzających dane – są to podmioty lub organizacje, które w imieniu administratora danych przetwarzają dane osobowe. Przykładami przetwarzających danych są firmy outsourcingowe, dostawcy usług IT itp.
  3. Inspektorów ochrony danych (DPO) – są to specjaliści odpowiedzialni za monitorowanie przestrzegania przepisów RODO przez administratorów danych i przetwarzających danych.
rodo-szkolenie-marketing-1024x683 Jakie są główne zasady ochrony danych w RODO?

Odpowiedzialność prawna każdego podmiotu lub organizacji w procesie przetwarzania danych zależy od wielu zasad i czynników w odniesieniu do danych osobowych. Administrator danych jest odpowiedzialny za zapewnienie, że przetwarzanie danych osobowych jest zgodne z przepisami RODO, podczas gdy przetwarzający dane wykonuje przetwarzanie na jego polecenie. Inspektor ochrony danych jest odpowiedzialny za monitorowanie przestrzegania przepisów i doradzanie administratorom danych i przetwarzającym dane w zakresie ich obowiązków wynikających z RODO.

Zasady ochrony danych zgodnie z RODO

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679, znane jako RODO, zawiera następujące zasady dotyczące ochrony danych osobowych:

Zasada przejrzystości wymaga od administratorów danych, aby przedstawili jasne i zrozumiałe informacje o tym, jak przetwarzają dane osobowe.

Zasada ograniczenia celu wymaga od administratorów danych, aby przetwarzali dane osobowe wyłącznie w określonych, wcześniej zdefiniowanych i uzasadnionych celach.

Zasada minimalizacji danych wymaga od administratorów danych, aby przetwarzali tylko te dane osobowe, które są niezbędne do osiągnięcia określonego celu.

Zasada prawdziwości wymaga od administratorów danych, aby zapewnili, że dane osobowe są aktualne i prawdziwe.

Zasada ograniczenia czasu przechowywania wymaga od administratorów danych, aby przechowywali dane osobowe tylko przez określony, uzasadniony okres czasu.

Zasada bezpieczeństwa wymaga od administratorów danych i przetwarzających dane, aby zastosowali odpowiednie środki techniczne i organizacyjne w celu zabezpieczenia danych osobowych przed nieuprawnionym dostępem, zniszczeniem, zmianą, ujawnieniem lub innymi nielegalnymi działaniami.

Zasada integralności i poufności wymaga od administratorów danych i przetwarzających dane, aby zapewnili integralność i poufność danych osobowych.

Zasada odpowiedzialności wymaga od administratorów danych i przetwarzających dane, aby byli odpowiedzialni za stosowanie się do przepisów RODO i za ewentualne szkody wynikające z niezgodnego z prawem przetwarzania danych osobowych.

Zasada ograniczania przetwarzania wymaga od administratorów danych, aby udostępniali dane osobowe tylko wtedy, gdy istnieje uzasadnione prawne uzasadnienie lub wyraźna zgoda osoby, której dane dotyczą.

Zasada przenoszenia danych do państwa trzeciego lub organizacji międzynarodowej wymaga od administratorów danych, aby zapewnili odpowiednie zabezpieczenia danych osobowych przed ich przeniesieniem do państwa trzeciego lub organizacji międzynarodowej.

Zasada informowania o naruszeniu bezpieczeństwa danych osobowych wymaga od administratorów danych, aby niezwłocznie powiadomili organ nadzorczy i osoby, których dane dotyczą, w przypadku wystąpienia naruszenia bezpieczeństwa danych osobowych.

Zasada prawa do dostępu, poprawiania, usuwania i ograniczania przetwarzania danych wymaga od administratorów danych, aby umożliwili osobom, których dane dotyczą, dostęp do swoich danych, a także prawo do ich poprawiania, usuwania i ograniczania przetwarzania.

Zasada prawa do sprzeciwu wymaga od administratorów danych, aby umożliwili osobom, których dane dotyczą, prawo do wyrażenia sprzeciwu wobec przetwarzania ich danych.

Zasada prawa do przenoszenia danychwy maga od administratorów danych, aby umożliwili osobom, których dane dotyczą, prawo do przeniesienia ich danych do innego administratora danych.

Zasada prawa do wniesienia skargi do organu nadzorczego wymaga od administratorów danych, aby umożliwili osobom, których dane dotyczą, prawo do wniesienia skargi do organu nadzorczego, gdy uważają, że ich dane są przetwarzane niezgodnie z przepisami RODO.

Artykuł 5 Zasady dotyczące przetwarzania danych osobowych

  1. Dane osobowe muszą być:

a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);

b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”);

c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);

d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);

e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);

f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

Pamiętaj: 2.   Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).

Wnioski — pamiętaj, aby wdrażać zasady RODO

Przepisy RODO są bardzo szczegółowe i zawierają wiele różnych zasad dotyczących ochrony danych osobowych. Mogą one ulec zmianie i rozszerzeniu w miarę potrzeb i zmian w branży, więc ważne jest, aby stale śledzić i stosować się do aktualnych przepisów. Oprócz powyższych zasad istnieją także inne zasady i wytyczne dotyczące konkretnych sytuacji i branż, takie jak zasady dotyczące przetwarzania danych w branży medycznej czy finansowej.

Zasady ochrony danych dotyczą więc administratora danych (w tym jego pracowników i osoby na umowach B2B) zdefiniowane w RODO jako osoba fizyczna lub prawna, organ rządowy, agencja lub inny organ, który określa cele i środki przetwarzania danych osobowych. Ograniczanie celów jest drugą zasadą w art. 5 RODO, który obejmuje zasady przetwarzania danych osobowych, jeśli stosuje się podejście sześciu zasad. Zgodne z prawem przetwarzanie danych musi być zgodne ze wszystkimi zasadami ochrony danych implikowanymi przez ogólne przepisy o ochronie danych. Uczciwość jest nadal częścią tego wymogu, który stanowi, że dane osobowe muszą być przetwarzane w sposób zgodny z prawem, uczciwy i przejrzysty, zgodnie z art. 5 RODO. Zasady ochrony danych powinny być przestrzegane przez podmioty przetwarzające.

Zasada ta wymaga, aby dane osobowe były przetwarzane w sposób zgodny z prawem, rzetelny i przejrzysty w odniesieniu do osoby, której dane dotyczą. Jest to zestaw trzech różnych słów, z których każde ma określone znaczenie. Przejrzystość dotyczy m.in. przekazywania osobom, których dane dotyczą, informacji o tożsamości administratorów i celu przetwarzania, a także dodatkowych informacji, które pozwolą im upewnić się, że proces ten jest rzetelny i przejrzysty w stosunku do osoby, której dane dotyczą, oraz ich prawa do otrzymania potwierdzenia i informacji o dotyczących ich danych osobowych, które są przetwarzane.Ta zasada jest pierwszą i najważniejszą, ponieważ wymaga, aby dane osobowe były przetwarzane zgodnie z prawem, w sposób rozsądny i sprawiedliwy oraz przy zapewnieniu przejrzystości. Zgodnie z tą zasadą musisz zbierać dane zgodnie z prawem, przetwarzać dane tylko tak, jak obiecałeś osobom, których one dotyczą, i z góry informować o zbieraniu danych.

Ograniczenia celu — musisz przetwarzać dane tylko dla uzasadnionego celu, który jest jasno określony dla osoby, której dane dotyczą w momencie zbierania danych. Minimalizacja danych — należy zbierać i przetwarzać tylko tyle danych, ile jest absolutnie niezbędne do osiągnięcia określonych celów. Ograniczenia w przechowywaniu danych — dane umożliwiające identyfikację osoby można przechowywać tylko przez czas niezbędny do realizacji określonych celów.

Wymaga to m.in. zapewnienia, że czas, przez który przechowujesz dane umożliwiające identyfikację osoby, jest ograniczony do ściśle określonego okresu (patrz również zasady dotyczące limitu przechowywania poniżej). Zasada minimalizacji danych oznacza, że administrator danych musi ograniczyć zbieranie danych osobowych do tych, które są bezpośrednio istotne i potrzebne do osiągnięcia określonego celu. Zasada minimalizacji danych wyrażona jest w art. 5 ust. 1 lit. c GDPR oraz art. 4 ust. 1 lit. c rozporządzenia (UE) 2018/1725, który stanowi, że dane osobowe powinny być odpowiednie, właściwe i ograniczone do tych, które są niezbędne do celów, w których są przetwarzane.

Niezależnie od tego, czy Państwa firma jest administratorem danych, czy też podmiotem przetwarzającym dane, przestrzeganie tych zasad jest ustawowym obowiązkiem, który gwarantuje zgodne z prawem przetwarzanie danych osobowych. GDPR podkreśla tę zasadę jako centralny punkt, podczas gdy DPD dotyka jej jako zamierzonego rozważenia przez podmioty przetwarzające dane w celu przejrzystego przetwarzania danych.

Cytowane źródła

https://edps.europa.eu/data-protection/data-protection/glossary/d_en
https://cloudian.com/guides/data-protection/data-protection-principles-7-core-principles-of-the-gdpr/
https://www.privado.ai/post/what-are-the-7-principles-of-gdpr
https://www.i-scoop.eu/gdpr/gdpr-personal-data-processing-principles/
https://www.fit4privacy.com/blog/eu-gdpr-principles-explained
http://www.dataprotection.ie/en/individuals/data-protection-basics/principles-data-protection 5
https://gdpr.eu/what-is-gdpr/
https://vinciworks.com/blog/six-principles-of-gdpr-that-you-need-to-know-about/
https://rodosecurity.pl/wdrozenie-rodo

Czytaj więcej

Radca Prawny

wdrożenie-rodo-audyt-rodo-jak-wdrozyc-rodo Radca Prawny

Radca prawny / adwokat / doktor prawa

Twój zakres obowiązków (praca zdalna);

  • obsługa prawna klientów biznesowych
  • opiniowanie umów i innych dokumentów pod kątem celów biznesowych oraz zgodności z prawem
  • przygotowywanie umów, raportów, opinii prawnych, procedur, itp. przy współpracy z naszym zespołem RODO Security Polska

Nasze wymagania;

  • uprawnienia radcy prawnego lub adwokata lub doktora prawa
  • doświadczenie w zakresie przepisów ochrony danych osobowych “RODO”
  • minimum 2-letnie doświadczenie zawodowe
  • bardzo dobra znajomość j. angielskiego lub j. niemieckiego
  • umiejętność dokonywania analizy prawnej
  • komunikatywność i bardzo dobra organizacja pracy

Oferujemy;

  • wysokie wynagrodzenie
  • współpracę z doświadczonymi Radcami Prawnymi i Adwokatami w projektach na rynku w Polsce i Europie
  • udział w interesujących projektach ze wsparciem doświadczonych prawników
  • zdobywanie nowych umiejętności i możliwość rozwoju
  • pozyskanie specjalistycznej wiedzy
  • atrakcyjne wynagrodzenie zależne od posiadanych kompetencji na umowę B2B
  • przyjazną atmosferę pracy i wsparcie zespołu
Czytaj więcej

Nowelizacja Kodeksu pracy podpisana. Praca zdalna.

Informacja w sprawie ustawy z dnia 1 grudnia 2022 r. o zmianie ustawy – Kodeks pracy oraz niektórych innych ustaw

Ustawa dotyczy głównie dwóch podstawowych zagadnień prawnych:

  1. umożliwienia pracodawcom prowadzenia w miejscu pracy kontroli pracowników na obecność w ich organizmach alkoholu lub środków działających podobnie do alkoholu;
  2. wprowadzenia pracy zdalnej jako stałej formy świadczenia pracy umocowanej w Kodeksie pracy, (przy jednoczesnym uchyleniu regulacji pracy zdalnej w ustawie z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych) oraz uchylenia dotychczasowej regulacji dotyczącej telepracy.

Kontrola trzeźwości oraz kontrola na obecność w organizmie środków działających podobnie do alkoholu (art. 221c-221h Kodeksu pracy) – jeżeli będzie to niezbędne do zapewnienia ochrony życia i zdrowia pracowników lub innych osób lub ochrony mienia, pracodawca wprowadzi kontrolę trzeźwości pracowników. Kontrola trzeźwości nie może naruszać godności oraz innych dóbr osobistych pracownika i obejmuje badanie przy użyciu metod niewymagających badania laboratoryjnego za pomocą urządzenia posiadającego ważny dokument potwierdzający jego kalibrację lub wzorcowanie.

Wprowadzenie kontroli trzeźwości, grupę lub grupy pracowników objętych kontrolą trzeźwości i sposób przeprowadzania kontroli trzeźwości, w tym rodzaj urządzenia wykorzystywanego do kontroli, czas i częstotliwość jej przeprowadzania, ustala się w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy. O wprowadzeniu kontroli trzeźwości pracodawca informuje pracowników w sposób przyjęty u danego pracodawcy nie później niż 2 tygodnie przed rozpoczęciem jej przeprowadzania.

Pracodawca nie dopuszcza pracownika do pracy, jeżeli kontrola trzeźwości wykaże obecność alkoholu w jego organizmie wskazującą na stan po użyciu alkoholu albo stan nietrzeźwości albo zachodzi uzasadnione podejrzenie, że pracownik stawił się do pracy w stanie po użyciu alkoholu albo w stanie nietrzeźwości lub spożywał alkohol w czasie pracy. Na żądanie pracodawcy lub pracownika niedopuszczonego do pracy badanie stanu trzeźwości pracownika przeprowadzi uprawniony organ powołany do ochrony porządku publicznego. Organ ten przeprowadza badanie przy użyciu metod niewymagających badania laboratoryjnego albo zleca przeprowadzenie badania krwi, jeżeli zachodzi jedna z przesłanek wymienionych w ustawie. W przypadku, gdy wynik badania nie wskazuje na stan po użyciu alkoholu albo stan nietrzeźwości pracownika, okres niedopuszczenia pracownika do pracy jest okresem usprawiedliwionej nieobecności w pracy, za który pracownik zachowuje prawo do wynagrodzenia. Ustawa szczegółowo reguluje kwestię przebiegu ww. badań oraz przetwarzania danych osobowych osób uczestniczących w badaniu.

Analogiczne regulacje wprowadzono w przypadku kontroli pracowników na obecność środków działających podobnie do alkoholu.

Warunki i metody przeprowadzania badań na obecność alkoholu w organizmie pracownika oraz badań na obecność w organizmie pracownika środków działających podobnie do alkoholu przez pracodawcę oraz przez uprawniony organ powołany do ochrony porządku publicznego lub zlecanych przez ten organ, sposób dokumentowania badań przeprowadzanych lub zlecanych przez uprawniony organ powołany do ochrony porządku publicznego oraz wykaz środków działających podobnie do alkoholu zostaną określone w rozporządzeniu ministra właściwego do spraw zdrowia w porozumieniu z ministrem właściwym do spraw wewnętrznych oraz ministrem właściwym do spraw pracy.

Przepisy dotyczące kontroli trzeźwości oraz kontroli na obecność w organizmie środków działających podobnie do alkoholu dotyczące pracowników, stosuje się odpowiednio do pracodawców organizujących pracę wykonywaną przez osoby fizyczne na innej podstawie niż stosunek pracy oraz osoby fizyczne prowadzące na własny rachunek działalność gospodarczą, a także do osób fizycznych wykonujących pracę na innej podstawie niż stosunek pracy oraz osób fizycznych prowadzących na własny rachunek działalność gospodarczą, których praca jest organizowana przez tych pracodawców.

Praca zdalna została uregulowana w rozdziale IIc dodanym do działu drugiego Kodeksu pracy. Praca zdalna może być wykonywana całkowicie lub częściowo w miejscu wskazanym przez pracownika i każdorazowo uzgodnionym z pracodawcą, w tym pod adresem zamieszkania pracownika, w szczególności z wykorzystaniem środków bezpośredniego porozumiewania się na odległość. Uzgodnienie między stronami umowy o pracę dotyczące wykonywania pracy zdalnej przez pracownika może nastąpić przy zawieraniu umowy o pracę albo w trakcie zatrudnienia. Uzgodnienie może być dokonane z inicjatywy pracodawcy albo na wniosek pracownika złożony w postaci papierowej lub elektronicznej. Praca zdalna może być również wykonywana na polecenie pracodawcy:

  1. w okresie obowiązywania stanu nadzwyczajnego, stanu zagrożenia epidemicznego albo stanu epidemii oraz w okresie 3 miesięcy po ich odwołaniu lub
  2. w okresie, w którym zapewnienie przez pracodawcę bezpiecznych i higienicznych warunków pracy w dotychczasowym miejscu pracy pracownika nie jest czasowo możliwe z powodu działania siły wyższej

– jeżeli pracownik złoży bezpośrednio przed wydaniem polecenia oświadczenie w postaci papierowej lub elektronicznej, że posiada warunki lokalowe i techniczne do wykonywania pracy zdalnej.

Pracodawca może w każdym czasie cofnąć ww. polecenie wykonywania pracy zdalnej, z co najmniej dwudniowym uprzedzeniem. W przypadku zmiany warunków lokalowych i technicznych uniemożliwiającej wykonywanie pracy zdalnej pracownik informuje o tym niezwłocznie pracodawcę. W takim przypadku pracodawca niezwłocznie cofa polecenie wykonywania pracy zdalnej.

Zasady wykonywania pracy zdalnej określa się w porozumieniu zawieranym między pracodawcą i zakładową organizacją związkową, a w przypadku gdy u pracodawcy działa więcej niż jedna zakładowa organizacja związkowa – w porozumieniu między pracodawcą a tymi organizacjami. Jeżeli nie jest możliwe uzgodnienie treści porozumienia z wszystkimi zakładowymi organizacjami związkowymi, pracodawca uzgadnia treść porozumienia z organizacjami związkowymi reprezentatywnymi w rozumieniu art. 25 ust. 1 lub 2 ustawy o związkach zawodowych, z których każda zrzesza co najmniej 5% pracowników zatrudnionych u pracodawcy. Jeżeli w terminie 30 dni od dnia przedstawienia projektu porozumienia przez pracodawcę nie dojdzie do zawarcia porozumienia, pracodawca określa zasady wykonywania pracy zdalnej w regulaminie, uwzględniając ustalenia podjęte z zakładowymi organizacjami związkowymi w toku uzgadniania porozumienia. Jeżeli u danego pracodawcy nie działają zakładowe organizacje związkowe, pracodawca określa zasady wykonywania pracy zdalnej w regulaminie po konsultacji z przedstawicielami pracowników wyłonionymi w trybie przyjętym u danego pracodawcy.

Wykonywanie pracy zdalnej jest dopuszczalne także w przypadku, gdy nie zostało zawarte porozumienie ze związkami zawodowymi albo nie został wydany regulamin. W takim przypadku pracodawca określa zasady wykonywania pracy zdalnej odpowiednio w poleceniu wykonywania pracy zdalnej albo w porozumieniu zawartym z pracownikiem.

W przypadku podjęcia pracy zdalnej każda ze stron umowy o pracę może wystąpić z wiążącym wnioskiem, złożonym w postaci papierowej lub elektronicznej, o zaprzestanie wykonywania pracy zdalnej i przywrócenie poprzednich warunków wykonywania pracy. Strony ustalają termin przywrócenia poprzednich warunków wykonywania pracy, nie dłuższy niż 30 dni od dnia otrzymania wniosku. W razie braku porozumienia przywrócenie poprzednich warunków wykonywania pracy następuje w dniu następującym po upływie 30 dni od dnia otrzymania wniosku. Pracodawca jest obowiązany uwzględnić wniosek pracownika, o którym mowa w art. 1421 § 1 pkt 2 i 3 Kodeksu pracy, pracownicy w ciąży, pracownika wychowującego dziecko do ukończenia przez nie 4. roku życia, a także pracownika sprawującego opiekę nad innym członkiem najbliższej rodziny lub inną osobą pozostającą we wspólnym gospodarstwie domowym, posiadającymi orzeczenie o niepełnosprawności albo orzeczenie o znacznym stopniu niepełnosprawności, o wykonywanie pracy zdalnej, chyba że nie jest to możliwe ze względu na organizację pracy lub rodzaj pracy wykonywanej przez pracownika. O przyczynie odmowy uwzględnienia wniosku pracodawca informuje pracownika w postaci papierowej lub elektronicznej w terminie 7 dni roboczych od dnia złożenia wniosku przez pracownika.

Ustawa wskazuje jakich prac nie obejmuje praca zdalna (np. prac szczególnie niebezpiecznych) a także przewiduje możliwość wykonywania okazjonalnie pracy zdalnej na wniosek pracownika, w wymiarze nieprzekraczającym 24 dni w roku.

Ustawa wskazuje do czego w związku z pracą zdalną pracodawca jest obowiązany (np. jest obowiązany zapewnić pracownikowi wykonującemu pracę zdalną materiały i narzędzia pracy, w tym urządzenia techniczne, niezbędne do wykonywania pracy zdalnej, zapewnić pracownikowi wykonującemu pracę zdalną instalację, serwis i konserwację narzędzi pracy, w tym urządzeń technicznych, niezbędnych do wykonywania pracy zdalnej lub pokryć koszty z tym związane, a także pokryć koszty energii elektrycznej oraz usług telekomunikacyjnych, pokryć inne koszty bezpośrednio związane z wykonywaniem pracy zdalnej, jeżeli zwrot takich kosztów został określony w porozumieniu ze związkami zawodowymi, regulaminie, poleceniu albo porozumieniu z pracownikiem dotyczącym wykonywania pracy zdalnej, czy zapewnić pracownikowi wykonującemu pracę zdalną szkolenia i pomoc techniczną niezbędne do wykonywania tej pracy).

Strony mogą ustalić zasady wykorzystywania przez pracownika wykonującego pracę zdalną materiałów i narzędzi pracy, w tym urządzeń technicznych, niezbędnych do wykonywania pracy zdalnej, niezapewnionych przez pracodawcę, spełniających wymagania określone w Kodeksie pracy. W takim przypadku pracownikowi wykonującemu pracę zdalną przysługuje ekwiwalent pieniężny w wysokości ustalonej z pracodawcą. Powyżej wskazane koszty oraz ekwiwalent może zostać zastąpiony ustalonym ryczałtem.

Pracodawca ma ponadto m.in. prawo przeprowadzać kontrolę wykonywania pracy zdalnej przez pracownika, kontrolę w zakresie bezpieczeństwa i higieny pracy lub kontrolę przestrzegania wymogów w zakresie bezpieczeństwa i ochrony informacji, w tym procedur ochrony danych osobowych, na zasadach określonych w porozumieniu ze związkami zawodowymi, regulaminie, poleceniu albo porozumieniu z pracownikiem dotyczącym wykonywania pracy zdalnej. Kontrolę przeprowadza się w porozumieniu z pracownikiem w miejscu wykonywania pracy zdalnej w godzinach pracy pracownika.

Kontrolę na obecność alkoholu lub środków działających podobnie do alkoholu wprowadza się także dla niektórych funkcjonariuszy, nowelizując w tym celu ustawy: o Policji, o Straży Granicznej, o Państwowej Straży Pożarnej, o Służbie Więziennej, o Służbie Ochrony Państwa oraz o Straży Marszałkowskiej.

Ponadto, do ustaw: o Policji, o Straży Granicznej, o Państwowej Straży Pożarnej, o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu, o Centralnym Biurze Antykorupcyjnym, o Służbie Więziennej, o Krajowej Administracji Skarbowej oraz o Służbie Ochrony Państwa, wprowadzono instytucję pracy zdalnej.

Zmiany wprowadzane w pozostałych ustawach mają co do zasady charakter wynikowy.

Ustawa wejdzie w życie po upływie 14 dni od dnia ogłoszenia z wyjątkiem przepisów dotyczących pracy zdalnej i uchylanej telepracy – przepisy te wejdą w życie po upływie 2 miesięcy od dnia ogłoszenia.

Źródło: https://www.prezydent.pl/aktualnosci/wydarzenia/nowelizacja-kodeksu-pracy-podpisana,64037

Czytaj więcej

Plan kontroli sektorowych UODO na 2023 rok

Urząd Ochrony Danych Osobowych przyjął plan kontroli sektorowych na 2023 rok. Z kontrolą muszą się liczyć przetwarzający dane przy użyciu internetowych czy mobilnych aplikacji oraz  organy przetwarzające dane osobowe w systemach SIS i VIS.

Szczegółowy plan kontroli sektorowych UODO na rok 2023 obejmuje:

  1. Organy przetwarzające dane osobowe w Systemie Informacyjnym Schengen i Wizowym Systemie Informacyjnym – przetwarzanie danych osobowych SIS/VIS na podstawie przepisów ustawy z dnia 24 sierpnia 2007 r. o udziale Rzeczpospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym (Dz. U. z 2021 r. poz. 1041), aktów wykonawczych oraz przepisów Unii Europejskiej.
  2. Podmioty przetwarzające dane osobowe przy użyciu aplikacji mobilnych – sposób zabezpieczenia i udostępniania danych osobowych przetwarzanych w związku z użytkowaniem aplikacji.
  3. Podmioty przetwarzające dane osobowe przy użyciu aplikacji internetowych (webowych) – sposób zabezpieczenia i udostępniania danych osobowych przetwarzanych w związku z użytkowaniem aplikacji.

Tekst został opublikowany na stronach UODO
https://uodo.gov.pl/pl/138/2614

Czytaj więcej

1,25 mln euro na gminę Lizbona za wielokrotne naruszenia prawa ochrony danych osobowych

Portugalski organ ochrony danych („CNPD”) opublikował w dniu 14 grudnia 2021 r. swoją decyzję w sprawie nr 2021/569, w której nałożył 1,25 mln euro na gminę Lizbona za wielokrotne naruszenia prawa, a w szczególności art. 5 ust. 1 lit. a), c) i e), 6, 9 ust. 1, 13 i 35 ogólnego rozporządzenia o ochronie danych (rozporządzenie (UE) 2016/679) („RODO”), za przetwarzanie wrażliwych danych osobowych protestujących z naruszeniem zasad ochrony danych.

Tło decyzji 

W szczególności decyzja dotyczy postępowania Gminy w zakresie zbierania danych osobowych protestujących, w tym danych wrażliwych, w przypadku składania przez nich protestów oraz udostępniania tych danych wewnętrznie i zewnętrznie osobom trzecim. 

Ustalenia CNPD

W szczególności CNPD uznała, że ​​Urząd Miasta, wysyłając zawiadomienia o demonstracjach protestacyjnych, zawierające dane osobowe protestujących, do zewnętrznych podmiotów trzecich, służb wewnętrznych oraz doradców Rady Miejskiej, przetwarzał wrażliwe dane osobowe bez podstawy prawnej. Ponadto CNPD stwierdziła, że ​​Gmina Miejska podjęła się przetwarzania bez poinformowania odpowiednich osób, których dane dotyczą, bez określenia polityki ochrony ich danych osobowych oraz bez przeprowadzenia oceny skutków dla ochrony danych (ang. DPIA) wymaganej w tej sytuacji.

W związku z tym CNPD określił, że grzywna w wysokości 1,25 mln euro jest sumą 225 grzywien za różne naruszenia, których dopuściła się gmina od 2018 r., a mianowicie:

  • 111 naruszeń art. 5 ust. 1 lit. a, art. 6 i art. 9 ust. 1 lit. a RODO;
  • 111 naruszeń art. 5 ust. 1 lit. c);
  • naruszenie art. 13 ust. 1 i 2 RODO;
  • naruszenie art. 35 ust. 3 RODO; oraz
  • naruszenie art. 5 ust. 1 lit. e RODO.

Ponadto, w odniesieniu do licznych grzywien, CNPD zauważyła, że ​​czas trwania naruszeń i liczba osób, których dane dotyczą, są czynnikami zaostrzającymi grzywny, ponieważ ujawniają one uporczywy brak zobowiązań prawnych, które Gmina miała spełnić. 

CNPD zauważył ponadto, że grzywny związane z każdym naruszeniem są wymienione w pkt 255 do 266 decyzji. 

Wyniki

Ostatecznie w decyzji zauważono, że grzywna w wysokości 1,25 mln EUR staje się ostateczna i wykonalna, jeśli nie zostanie zaskarżona sądowo przez gminę, i musi zostać zapłacona w ciągu maksymalnie dziesięciu dni po jej sfinalizowaniu, wraz z przesłaniem odpowiednich dowodów płatności do CNPD. 

Możesz przeczytać informację prasową tutaj i pobrać decyzję tutaj, oba są dostępne tylko w języku portugalskim. 

Czytaj więcej

“Strony internetowe regularnie próbują nakłonić użytkowników do zaakceptowania ich śledzących plików cookie, stosunkowo utrudniając ich odrzucenie. W czwartek francuski organ nadzorczy ds. ochrony danych zaatakował takie sztuczki – znane w branży technologicznej jako „ciemne wzorce” – nakładając grzywny na Facebooka , Google i YouTube w łącznej wysokości 210 milionów euro (238 milionów dolarów).

Agencja, znana jako CNIL, stwierdziła, że ​​działania firm naruszają francuską ustawę o ochronie danych. Oprócz tych grzywien – 60 milionów euro na Facebooka i 150 milionów euro na Google i jego firmę zajmującą się strumieniowym przesyłaniem wideo – dał im trzy miesiące na zmianę sposobu działania ich mechanizmów akceptowania/odrzucania plików cookie lub nałożenie dalszych kar w wysokości 100 000 euro dziennie.

Trudny europejski system ochrony prywatności w Internecie naprawdę wszedł w ruch w zeszłym roku, kiedy grzywny na mocy wcześniej budzącego obawy Ogólnego Rozporządzenia o Ochronie Danych (RODO) wyniosły ponad 1 miliard euro, głównie dzięki karom kinowym na Amazon i WhatsApp , nałożonych w Luksemburgu i odpowiednio w Irlandii.

Ostatnie grzywny nałożone przez CNIL zostały jednak poparte innym aktem prawnym UE: dyrektywą o prywatności i łączności elektronicznej, która została transponowana do prawa francuskiego jakieś dwie dekady temu. Ta starożytna (w czasach internetu) księga zasad, popularnie znana jako „prawo plików cookie”, miała zostać zastąpiona pięć lat temu, chociaż proces legislacyjny wielokrotnie się zatrzymywał.”

Źródło: https://fortune.com/2022/01/06/france-cookie-law-facebook-google/

Czytaj więcej

Morgan Stanley, ugoda na 60 mln dolarów za naruszenie bezpieczeństwa danych osobowych

(Bloomberg) – “Morgan Stanley zgodził się zapłacić 60 milionów dolarów za rozstrzygnięcie pozwu zbiorowego konsumentów, którzy twierdzą, że firma nie chroni ich danych osobowych. Umowa, jeśli zostanie zatwierdzona przez sędziego federalnego na Manhattanie, rozwiąże roszczenia dotyczące dwóch naruszeń bezpieczeństwa, które naruszyły dane osobowe 15 milionów obecnych i byłych klientów, według grupy z nich, która pozwała w lipcu 2020 r. Klienci twierdzili, że informacje są przechowywane w zamkniętych centrach danych i na serwerach komputerowych w lokalizacjach oddziałów, które zostały wymienione.

Dane przechowywane na sprzęcie wycofanego z użytku centrum danych, w tym numery ubezpieczenia społecznego klientów i daty urodzenia, nie zostały całkowicie wyczyszczone, a sprzęt zaginął. Twierdzili, że luka w oprogramowaniu pozostawiła dane na starych serwerach w postaci niezaszyfrowanej.

„Wcześniej powiadamialiśmy wszystkich potencjalnie dotkniętych tymi sprawami klientów w związku z tymi sprawami, które miały miejsce kilka lat temu, i cieszymy się, że możemy rozwiązać ten powiązany spór” – poinformował bank w poniedziałkowym oświadczeniu.

Strony ogłosiły w listopadzie, że doszły do ​​ugody w zasadzie, bez ujawniania szczegółów. Morgan Stanley nadal odrzuca roszczenia, według sądu, który złożył w piątek wniosek o zatwierdzenie ugody. 

Analisa Torres, sędzia okręgowy Stanów Zjednoczonych, musi podpisać umowę, zanim wejdzie ona w życie.

Sprawa to Tillman i in. przeciwko Morgan Stanley Smith Barney LLC, 20-cv-5914, Sąd Okręgowy Stanów Zjednoczonych, Okręg Południowy Nowego Jorku (Manhattan). 

Andrei Vittorio.”

Pierwszy incydent dotyczył likwidacji dwóch centrów danych zarządzania majątkiem przez firmę Morgan Stanley. Sprzedawcy banku, firmie Triple Crown, powierzono wyczyszczenie lub zniszczenie niezaszyfrowanego sprzętu komputerowego przed usunięciem go z centrów. Później okazało się, że sprzęt ten zawierał dane nawet po tym, jak opuścił kontrolę dostawcy. Według Morgan Stanley sprzedawca usunął urządzenia i odsprzedał je stronie trzeciej bez zezwolenia.

Drugie zdarzenie dotyczyło wymiany i usunięcia sprzętu w oddziałach w ramach programu odświeżania sprzętu. Bankowi nie udało się zlokalizować niektórych z tych urządzeń, które – z powodu usterki oprogramowania – mogły zawierać na dyskach wcześniej usunięte informacje w postaci niezaszyfrowanej.

Zgodnie z proponowaną ugodą klienci mają prawo do co najmniej dwuletniego ubezpieczenia od oszustw, a także mogą ubiegać się o zwrot do 10 000 USD z tytułu strat z własnej kieszeni. Bank zapewnił również, że zmodernizuje swoje praktyki w zakresie bezpieczeństwa danych.

Czytaj więcej
0
0