Archiwum kategorii: aktualnosci

Jak uniknąć kar nakładanych przez Państwową Inspekcję Pracy?

Data:2018-04-11

 

Podczas kontroli przeprowadzonych przez Państwową Inspekcję Pracy w 2017 roku, inspektorzy PIP wykryli, że ponad połowa spośród skontrolowanych pracodawców nie utworzyła etatowej służby bhp, ani nie powierzyła specjalistom spoza zakładu pracy pełnienia zadań służby bhp » więcej

. Poinformował o tym Jakub Chojnicki – dyrektor Departamentu Nadzoru i Kontroli Głównego Inspektoratu Pracy, podczas obrad Rady Ochrony Pracy, która zebrała się w Sejmie 19.03.2018r. Działanie służby bhp w przedsiębiorstwach było jednym z głównych tematów podczas ostatniego posiedzenia Rady.
 

Za nieprzestrzeganie przepisów z zakresu bezpieczeństwa i higieny pracy, również tych dotyczących realizacji zadań służby bhp, grozi przedsiębiorcy kara grzywny w wysokości nawet do 30 tysięcy zł. Jednak łatwo można uniknąć takiej kary. Pracodawca zatrudniający do 100 pracowników nie musi tworzyć etatowej służby bhp. Wystarczy, że powierzy zadania służby bhp specjaliście spoza zakładu pracy, co zwykle jest znacznie tańszym i wygodniejszym rozwiązaniem, niż zatrudnianie dodatkowego pracownika na etat.
 

Pastorius sp. z o.o. oferuje usługi w zakresie realizacji zadań służby bhp przez zewnętrznego specjalistę o odpowiednich kwalifikacjach. Zakres usług zawsze jest dostosowany do wielkości firmy i profilu działalności. Zapraszamy do kontaktu z nami i współpracy.
(źródło: www.pip.gov.pl)

Jak zrealizować obowiązek usunięcia danych z kopii zapasowych

Data:2017-11-20

 

Jak zrealizować obowiązek usunięcia danych z kopii zapasowych, kiedy klient będzie chciał skorzystać z nowego prawa do bycia zapomnianym?

 

Pojawienie się tego zapisu w RODO spędza sen z powiek większości pracowników działów IT. Bardzo często kopie zapasowe są przechowywane w sposób uniemożliwiający dostęp do poszczególnych elementów bazy danych. Możliwe jest tylko całościowe przywrócenie kopii bazy danych. Nierzadko zdarza się również, że kopia pochodzi z systemu, którego już nie utrzymujemy, a przechowywana jest tylko dlatego, że przepisy tego wymagają (niektóre dane kadrowe muszą być przechowywane do 50 lat). Jak w takich przypadkach spełnić powyższe wymaganie? » więcej

 

Rozwiązanie tego zagadnienia podaje dr Wojciech Wiewiórski obecnie pełniący funkcję zastępcy Europejskiego Inspektora Ochrony Danych, a wcześniej w latach 2010-2014 będący Generalnym Inspektorem Danych Osobowych w wywiadzie dla CRN. Dane najczęściej są poprawiane w bazie produkcyjnej a nie w jej kopiach. W momencie awarii i odtworzenia bazy danych, „stare” dane wracały i były przetwarzane niezgodnie z prawem. Jako rozwiązanie problemu rekomendowane jest wprowadzenia procedur, które pozwolą na rejestrację wprowadzonych zmian w momencie rozpoczęcia backupu. Kiedy dojdzie do odtworzenia kopii bazy, należy odpowiednimi metodami organizacyjnymi nanieść zmiany, które są odnotowane. Dopiero po wprowadzeniu aktualizacji można odtworzoną bazę z danymi osobowymi uznać i podłączyć jako produkcyjną.

 

Idąc tym tokiem rozumowania można przyjąć, że w momencie zgłoszenia wykonania prawa do bycia zapomnianym, nie powoduje to automatycznie wymogu modyfikacji kopii baz danych, a jedynie uruchomienie procedur rejestrujących wprowadzane zmiany.

Jest bardzo źle z polityką bezpieczeństwa w firmach

Data:2017-06-26

 

CRN opublikował badania, które w jednoznaczny sposób pokazują w jak tragicznym stanie jest wiedza pracowników na temat szeroko pojętej ochrony danych osobowych.
Mając na względzie, że już tylko niecały rok pozostał do sądnego dnia 25 maja 2018 (w tym dniu zacznie obowiązywać RODO), sytuacja wygląda bardzo poważnie. » więcej

 

Oto kilka cyfr z tego badania (Censuswide dla Sharpe Europe): około 20 procent badanych wbrew zaleceniom polityki bezpieczeństwa przechowuje dane w niezabezpieczonej chmurze, mniej więcej tyle samo wykorzystuje strony do wymiany plików, a prawie 30 procent zabiera pracę do domu wbrew zasadom obowiązującym w firmach. Około 8 procent ma nieuprawniony dostęp do informacji poufnych, a to tylko forma cyfrowa. Ponad połowa pracowników pozostawia wydruki na ogólnodostępnych drukarkach co w znaczny sposób umożliwia dostęp do nich osobom niepowołanym. Nagminne też jest wykorzystywanie prywatnych urządzeń w dostępie do firmowej sieci i zasobów. Za to oczywiście odpowiadają już działy IT, które taką możliwość dają. Tymczasem około 70 procent dyrektorów i menadżerów IT uważa, że nie zdąży z wprowadzeniem koniecznych zabezpieczeń przed powyższą magiczną datą.

 

Bezpieczeństwo naszych danych osobowych to jedna strona medalu. Druga to niewątpliwie bardzo dotkliwe kary, które UE przewidziała za nie zastosowanie się do wymogów RODO oraz przepisów szczegółowych krajów członkowskich. Warto wykorzystać ten czas aby odpowiednio przygotować się do RODO.

Koniec drogich sms i telefonicznych naciągaczy

Data:2017-03-27

 

W maju 2018 roku zacznie obowiązywać unijne rozporządzenie, w skrócie zwane RODO lub ePrivacy. Wpływ tego rozporządzenia na branżę internetową i telekomunikacyjną został przeanalizowany przez specjalistów zajmujących się doradztwem w dziedzinie cyberbezpieczeństwa. Jakie zmiany nas czekają? » więcej

 

Obecnie obowiązujące przepisy dotyczą wyłącznie operatorów telekomunikacyjnych. Nowe przepisy zostaną rozszerzone również na pozostałych dostawców usług on-line, czyli operatorzy VoIP, komunikatory czy dostawcy usług e-mail. Co ciekawe przepisy będą dotyczyć zarówno przedsiębiorstw mających swoją siedzibę w UE jak i poza nią, o ile świadczą oni swoje usługi obywatelom UE. Najistotniejszą zmianą, która dotknie głównie firmy telemarketingowe jest całkowity zakaz wysyłania niechcianych wiadomości elektronicznych zarówno poprzez sms, e-mail czy w końcu telefonicznie. Mamy nadzieję, że to posunięcie definitywnie ukróci nachalny marketing, który dotyka nas obecnie na co dzień.

 

Kolejne zmiany dotyczyć będą e-marketingu w sensie rozszerzenia tej definicji. Rozróżnione zostaną formy komunikacji B2C- adresowana do indywidualnych użytkowników i B2B- adresowana do firm. W przypadku B2C bezwzględnie konieczna będzie uprzednia zgoda na przesyłanie informacji marketingowej, natomiast w przypadku B2B UE pozostawia to w gestii krajów członkowskich. Inną ciekawostką, ale związaną z tematem jest wyrok Trybunału Sprawiedliwości UE z 15 marca 2017. Dotyczy on abonentów, którzy wyrazili zgodę na przetwarzanie danych w rejestrze abonentów. Okazuje się, że taka zgoda obowiązuje w całej Unii, ponieważ zdaniem Trybunału wymogi odnośnie ochrony danych obowiązują w całej Unii. W praktyce oznacza to, że przedsiębiorstwa telekomunikacyjne mogą przekazywać sobie dane abonentów bez ich dodatkowej zgody.

(źródło: Interia)

 

Zwracajmy uwagę na to, kto kopiuje nasz dowód osobisty

Data:2017-01-26

 

W wielu miejscach możemy spotkać się z faktem kopiowania naszego dowodu osobistego. W pewnych miejscach może to już uchodzić za naturalne, np. w bankach czy u operatorów telekomunikacyjnych. Natomiast u usługodawców takich jak wypożyczalnie sprzętu jest to już działanie niczym nie uzasadnione » więcej

, chociaż niestety w pewnych ramach zgodne z prawem. Sugerujemy jednak aby wykazać się wzmożoną czujnością i asertywnością.

 

Nigdzie nie występuje przepis prawa, który nakazuje kopiowanie dokumentu tożsamości w momencie zawierania umowy. Równie skuteczne jest spisanie potrzebnych informacji z takiego dokumentu w zakresie potrzebnym do ewentualnych roszczeń. Bank i operatorzy telekomunikacyjni są do tego uprawnieni na mocy odrębnych przepisów, ale w sytuacji wypożyczalni nart, może to już stanowić złamanie ustawy o ochronie danych osobowych, ponieważ wykracza poza zasadę adekwatności, celowości, zasady legalizmu a nawet ograniczenia czasowego przetwarzania danych osobowych. Wynika to z tego, że usługodawca gromadzi dane nadmierne niż to konieczne do zawarcia umowy. Ponadto nie można przetwarzać danych dłużej niż to niezbędne do zrealizowania usługi, więc jeśli już zgodzimy się na skserowanie dowodu, zadbajmy o to aby po dokonaniu zwrotu sprzętu, ksero naszego dokumentu trafiło do niszczarki.

 

W razie wątpliwości lepiej zrezygnować z usługi niż zostać narażonym na kradzież tożsamości. GIODO radzi, aby zawsze gdy ktoś chce skserować nasz dowód osobisty, zapytać na jakiej podstawie prawnej chce przetwarzać nasze dane osobowe w ten sposób zgromadzone. Alternatywa to zamazanie danych niepotrzebnych na skserowanej kartce lub optymalnie – skłonienie usługodawcy do spisania tylko tych danych, które są niezbędne do podpisania umowy

 

25 maja 2018 – sądny dzień? Na pewno dla niektórych

Data:2016-11-22

 

W tym dniu zacznie wprost obowiązywać unijne ogólne rozporządzenie o ochronie danych osobowych (GDPR). UE nieustająco dąży do ulepszenia i ułatwienia kontroli nad swoimi danymi osobom fizycznym. Wiążą się z tym nowe obowiązki dla firm » więcej

, rozbudowane w stosunku do aktualnie obowiązującej ustawy o ochronie danych osobowych.

 

Pan Paweł Makowski z biura GIODO twierdzi, że: „nowe przepisy będą rewolucją”. Czy na pewno i dla każdego? Na zdecydowanie lepszej pozycji wyjściowej są firmy, które już zadbały o zgodność z aktualnie obowiązującymi przepisami. Dostosowanie dokumentacji, procedur i oprogramowania będzie zdecydowanie prostsze i na pewno mniej kosztowne dla takich przedsiębiorców, zwłaszcza jeśli posiadają w firmie ABI’iego. Jest to tylko jeden z argumentów dlaczego nie warto czekać na maj 2018 a lepiej już rozpocząć przygotowania do tej daty. Rozpoczęcie prac w tym czasie może spowodować, że np. nie zdążymy wymienić oprogramowania, w którym przetwarzane są dane osobowe. Nowe regulacje wymagają, że odpowiednia ochrona informacji musi zostać zaimplementowana już na etapie projektowania aplikacji. Dlatego już teraz łatwo wskazać krytyczne obszary, które będą wymagały dostosowania. Należą do nich bez wątpienia wspomniany szeroko rozumiany obszar IT, dział marketingu i sprzedaży, a także procedury komunikacji z klientami.

 

Przedsiębiorcom, którzy nie dostosują się do nowej rzeczywistości i narażą dane osobowe swoich pracowników i klientów na wyciek lub utratę, będą grozić naprawdę surowe kary.

 

UE bardzo poważnie podchodzi do tematu ochrony tych danych. Pan Paweł Makowski przestrzega: „Górny próg kar sięga 20 mln euro lub 4 procent światowego obrotu firmy”. Uspokaja równocześnie, że „Dojdzie do tego wyłącznie w sytuacjach, w których wnikliwa analiza wykaże rażące naruszenie przepisów”, lecz wg aktualnej wiedzy nie ma precyzyjnej definicji „rażącego naruszenia”…

Przykłady naruszeń, za które grożą kary wg nowego rozporządzenia unijnego

Data:2016-08-21

 

Według nowego rozporządzenia unijnego, organ państwowy odpowiedzialny za ochronę danych osobowych, będzie mógł nałożyć na podmiot bardzo wysokie kary. Poniżej przedstawiamy kilka przykładów naruszeń, za które takie kary mogą zostać nałożone.

 

Brak umów powierzenia danych – np. jeśli księgowość prowadzi biuro rachunkowe » więcej

, musimy mieć z nim podpisaną umowę powierzenia danych. Nie uwzględnienie ochrony danych osobowych na etapie projektowania aplikacji – każdy projekt musi zawierać taką ochronę jako integralną część projektu. Inne przykłady to między innymi brak rejestru czynności przetwarzania danych osobowych, niezgłoszenie incydentu na danych osobowych, czy naruszenie statusu inspektora danych osobowych (nowa nazwa aktualnego administratora bezpieczeństwa informacji).

 

Jeszcze większe kary będą za np. naruszenie zasady celowości, co oznacza zbieranie nadmiarowych lub niepotrzebnych danych. Kolejne to łączenie zgód takich jak zgoda marketingowa oraz zgoda na przesyłanie informacji handlowych drogą elektroniczną. Wreszcie przetwarzanie danych, zwłaszcza wrażliwych, bez wyraźnej podstawy prawnej.

 

Jak widać z powyższego szykują się spore zmiany. Warto już teraz przygotować wymaganą dokumentację ODO, odpowiednio opisać i zmodyfikować procesy zabezpieczenia danych w firmie, przeszkolić pracowników czy zadbać o odpowiednie klauzule informacyjne i zgody. Zapraszamy do współpracy!

Tarcza prywatności przyjęta – od teraz transfer danych do USA będzie bezpieczny

Data:2016-07-27

 

Jakiś czas temu zostało unieważnione porozumienie Safe Harbour. Teraz w jego miejsce, 12 lipca 2016 roku Komisja Europejska przyjęła program Tarcza Prywatności UE-USA. Program ten umożliwia przekazywanie danych pomiędzy Unią Europejską a USA. Porozumienie ma zapewnić obywatelom UE ochronę » więcej

ich danych osobowych w momencie przekazywania ich do USA, a przedsiębiorcom jasne przepisy prawa i ramy w jakich mogą się poruszać.

 
Departament Handlu USA ma prowadzić regularne przeglądy i aktualizacje przedsiębiorstw uczestniczących w programie. Firmy, które nie będą przestrzegać zasad zostaną usunięte z listy oraz mogą się liczyć z odpowiednimi sankcjami. Co istotne, dostęp do tych danych będzie ograniczony dla organów publicznych w USA. Dodatkowo będzie podlegał specjalnym regulacjom i będzie możliwi tylko pod nadzorem. Władze USA zapewniają, że inwigilacja danych osobowych przekazywanych w ramach w/w programu nie będzie miała miejsca. Warto również wspomnieć, że obywatele będą mili sporo możliwości odwoławczych oraz będą mogli skorzystać z kilku mechanizmów rozstrzygania sporów.

 

Co roku mechanizm działania Tarczy zostanie zweryfikowany przez obydwie strony, a od 1 sierpnia amerykańskie firmy będą mogły występować o wydanie certyfikatu przynależności do Tarczy Prywatności.

 

Rozporządzenie o ochronie danych osobowych przyjęte przez Parlament Europejski!

Data:2016-04-20

 

14 kwietnia 2016 Parlament Europejski przyjął rozporządzenie w sprawie ochrony danych osobowych osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnego przepływu tych danych oraz dyrektywy w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów » więcej

zapobiegania przestępczości, prowadzenia postępowań itd.

 

Głosowanie to zwieńczyło cztery lata pracy nad przebudową zasad ochrony danych osobowych w Unii Europejskiej. Nowe rozporządzenie uchyli w całości aktualnie obowiązującą dyrektywę. Ma to na celu zapewnienie wysokiego i ujednoliconego poziomu ochrony danych w całej Unii. Postanowienia tegoż rozporządzenia stosowane będą bezpośrednio we wszystkich krajach członkowskich dwa lata po jego wejściu w życie, czyli 20 dni po opublikowaniu w Dzienniku Urzędowym UE. Tyle samo czasu będą miały wszystkie kraje na dostosowanie swoich przepisów wewnętrznych.

 

Z najważniejszych zmian jakie wniesie rozporządzenie to między innymi: prawo do przenoszenia danych do innego usługodawcy, ustanowienie Europejskiej Rady Ochrony Danych, która zastąpi Grupę Roboczą Art. 29, nakładanie administracyjnych kar pieniężnych (nawet do 4% obrotu światowego danego przedsiębiorstwa) i ich zdecydowane egzekwowanie.

 

 

Czy powołanie Administratora Bezpieczeństwa Informacji to dobra decyzja?

Data:2016-03-11

 

Administrator bezpieczeństwa informacji jest gwarantem, że dane osobowe, które posiadamy w naszych zbiorach są przetwarzane zgodnie z prawem. Minister Lewiński podkreślał na spotkaniu z mediami, że „GIODO postrzega ABI jako swojego sojusznika i zachęca administratorów danych do ich powoływania”. Jak ogólnie wiadomo » więcej

, nowelizacja ustawy o ochronie danych osobowych, która weszła w życie w styczniu 2015 roku daje ABIm nowe uprawnienia, ale równocześnie stawia przed nimi nowe wymagania.

 

Obecnie głównym zadaniem Administratora bezpieczeństwa informacji jest efektywny nadzór nad przestrzeganiem nowych przepisów o ochronie danych osobowych. Dlatego osoba powołana na to stanowisko powinna podlegać bezpośrednio kierownikowi jednostki organizacyjnej (prezesowi, właścicielowi, dyrektorowi). Decydując się na ten krok, administrator danych pozyskuje w firmie kompetentną osobę, która ze względu na swoją wiedze zapewni kompleksowe przestrzeganie nowych przepisów i dzięki temu w znacznym stopniu zminimalizuje prawdopodobieństwo wystąpienia incydentu.

 

Postęp technologiczny, nasilające się zjawiska związane z kradzieżą tożsamości, wymagają aby ABI dysponował również odpowiednią wiedzą informatyczną, tak aby w pełni kompetentny sposób mógł zweryfikować lub doradzić w kwestii zabezpieczenia systemów informatycznych działających w przedsiębiorstwie. Co raz częściej dane wędrują poza firmę na wszelkiego rodzaju urządzeniach przenośnych takich jak laptopy, tablety czy nawet telefony komórkowe (oprogramowanie CRM lub mobilny sprzedawca).

 

Podsumowując – ABI to wartość dodana w każdym przedsiębiorstwie, nie tylko ze względu na wymogi ustawowe.