2 tygodni temu
Koniec roku to dobry moment, aby zweryfikować zgodność z RODO w organizacji i przygotować się na to, co przyniesie kolejny okres. Dla ułatwienia tego procesu sporządziliśmy listę zagadnień, na które warto zwrócić uwagę właśnie teraz.
Na co zwrócić uwagę w RODO na koniec 2024 roku?
Dane osobowe w ZFŚS – obowiązkowy przegląd min. 1 raz w roku
Każdy pracodawca, u którego funkcjonuje Zakładowy Fundusz Świadczeń Socjalnych, jest zobowiązany do dokonania przeglądu dokumentacji zawierającej dane osobowe, zgromadzonej na jego potrzeby. Minimalna częstotliwość przeglądu to raz w roku. Dlatego pracodawcy, którzy w bieżącym roku jeszcze go nie przeprowadzili – mają czas tylko do końca grudnia. Dowiedz się więcej.
Dane osobowe przy PFRON – obowiązkowy przegląd
Pracodawcy, którzy:
- zatrudniają pracowników z niepełnosprawnością,
- dokonują wpłat na Państwowy Fundusz Rehabilitacji Osób Niepełnosprawnych
- lub w inny sposób realizują cele ustawy o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych
do 6.05.2024 r. zobowiązani byli przeprowadzić przegląd przydatności przetwarzanych na ten cel danych osobowych. Pracodawcy, którzy zapomnieli o tym obowiązku powinni działać jak najszybciej. jeżeli przegląd został już pomyślnie zakończony, przedstawiciele organizacji mogą odetchnąć z ulgą – kolejny taki przegląd, dopiero za 5 lat.
Ważne wdrożenie: whistleblowing
W tym roku doczekaliśmy się wejścia w życie ustawy o ochronie sygnalistów. Podmioty zatrudniające co najmniej 50 osób musiały wprowadzić wewnętrzne procedury, które umożliwiają pracownikom i współpracownikom zgłaszanie nieprawidłowości. Tego zadania nie ułatwiała nieprecyzyjność przepisów. A szczególnie, jeżeli organizacja planowała wspólne wykorzystanie rozwiązań i narzędzi w grupie kapitałowej.
Koniec roku to dobra okazja do refleksji i spojrzenia na wdrożone rozwiązania, w szczególności w kontekście stanowiska UODO. Pracodawcy powinni upewnić się, czy błędnie nie poprzestali wyłącznie na przyjęciu procedury i, odpowiednio zadbali o aspekty ochrony danych osobowych. W tym zakresie warto sprawdzić, czy:
- prawidłowo informujemy o przetwarzaniu danych osobowych sygnalistów, ale także innych osób, których dane przetwarzamy w ramach systemu zgłaszania naruszeń prawa?
- udokumentowaliśmy analizę ryzyka i ocenę skutków dla ochrony danych (DPIA), które wykazały zielone światło dla tego procesu przetwarzania?
- nadaliśmy upoważnienia do przetwarzania danych osobowych?
- (jeśli ma to zastosowanie) zawarliśmy umowy powierzenia przetwarzania i zweryfikowaliśmy procesorów?
Prawo komunikacji elektronicznej – uważny marketing
Listopad 2024 roku – szumne wejście w życie Prawa komunikacji elektronicznej. Nowa ustawa reguluje m.in. kwestie dotyczące marketingu bezpośredniego. A tym samym, motywuje przedsiębiorców do przeanalizowania sposobu odbierania zgód marketingowych na wysyłanie informacji handlowych.
Warto sprawdzić, czy dotychczasowe zgody nie straciły ważności, bo sankcje przewidziane dla przedsiębiorców mogą być dotkliwe. Przypominamy, iż prowadzenie marketingu bezpośredniego bez ważnej zgody jest zagrożone karą finansową w wysokości do 3% przychodu osiągniętego w poprzednim roku kalendarzowym lub do 1 000 000 zł, przy czym zastosowanie ma kwota wyższa.
Obszar marketingu powinien być oceniany całościowo – poza zgodami, na liście kontrolnej powinny znaleźć się również regulaminy, w tym m.in. usługi newslettera.
Aktualizacja dokumentacji RODO
Rok 2024 obfitował w wiele nowości w obszarze przetwarzania danych. Kończąc „porządki” w obszarze ochrony danych – warto sprawdzić, czy wewnętrzna dokumentacja RODO, w tym w szczególności rejestr czynności przetwarzania, uwzględniają ich wdrożenie. jeżeli nie – to najwyższy czas na aktualizację.
2025 w ochronie danych osobowych – na co się przygotować?
e-Doręczenia
Już od 01.04.2025 r. przedsiębiorcy wpisani do KRS będą zobowiązani do wdrożenia e-Doręczeń – obowiązkowej elektronizacji formy kontaktu przedsiębiorców z organami publicznymi. Możliwe będzie także przesyłanie poczty pomiędzy przedsiębiorcami.
Uwaga: od 01.01.2025 r. składając wniosek o wpis do rejestru przedsiębiorców, nowe podmioty będą zobowiązane do podania danych w celu utworzenia adresu do doręczeń.
To duże wyzwanie, wymagające „zgrania” kilku obszarów, w tym również RODO i bezpieczeństwa informacji. Przedsiębiorcy, którzy nie zaplanowali jeszcze tego procesu, powinni działać jak najszybciej.
Przed startem e-skrzynki, konieczne będzie:
- przeanalizowanie ryzyka dla tego nowego procesu przetwarzania danych,
- zabezpieczenie przepływu danych (wewnątrz organizacji, w tym do osób, które będą obsługiwały proces i na zewnątrz – w zależności od wybranego wariantu wdrożenia)
- aktualizacja dokumentacji wewnętrznej.
To jeden z tych obszarów, gdzie ochrona danych i IT zdecydowanie powinny iść w parze. W ten sposób zabezpieczamy ochronę elektronicznej korespondencji z organami i podmiotami publicznymi oraz odpowiednią gradację.
NIS2
Choć termin na implementację unijnej dyrektywy w zakresie cyberbezpieczeństwa już minął, kilka państw UE wdrożyło przepisy do krajowych porządków prawnych. W Polsce niedawno opublikowano zaktualizowany projekt ustawy o krajowym systemie cyberbezpieczeństwa i można się spodziewać, iż jego przyjęcie nastąpi w przyszłym roku. Oznaczać to będzie sporo nowych obowiązków dla podmiotów zobowiązanych, m.in. zgłoszenia do odpowiedniego rejestru oraz wdrożenia systemu cyberbezpieczeństwa (m.in. opracowanie niezbędnej dokumentacji i przeprowadzanie audytów).
Zakres nowych obowiązków jest szeroki, dlatego wiele organizacji już teraz przygotowuje się do ich wdrożenia. Dobrą praktyką jest zaplanowanie pierwszego kroku – oceny, czy dana organizacja będzie podmiotem zobowiązanym.
Data Act
W przyszłym roku wejdzie w życie Data Act (Akt w sprawie danych) – regulacja, której celem jest pełniejsze wykorzystanie potencjału danych zbieranych w Europie oraz zwiększenie konkurencyjności rynku UE.
Nowe przepisy wprowadzą m.in. wymogi dla dostawców usług przetwarzania danych (np. w modelu SaaS). Mają one ułatwić eksport danych przez użytkowników, zapewnienić interoperacyjności oraz umożliwienić zmiany dostawcy. Zmiana obejmie również standardy dotyczące treści umów. Pojawią się wymogi, które zapewniają klientom:
- możliwość szybkiej i sprawnej zmiany dostawcy,
- maksymalnych okresów wypowiedzenia,
- a także zniesienie możliwości nakładania opłat za zmianę dostawcy.
Regulacja może wymusić modyfikację istniejących umów, wprowadzenie dodatkowych funkcjonalności, a w niektórych przypadkach – choćby zmianę sposobu działania systemu lub narzędzi.
Ważnym aspektem będą również zmiany dotyczące Internetu rzeczy – przepisy zapewnią użytkownikom większy dostęp do danych generowanych przez inteligentne urządzenia i możliwość ich wykorzystania.
Zapraszamy również na bezpłatny webinar na którym nasi eksperci rozwiną temat bezpieczeństwa informacji, a także podsumują 2024 rok i opiszą wyzwania na 2025 rok.
Zapisz się na webinar >>
