Kategoria: Blog

Instagram właśnie wprowadził funkcję, która może brzmieć jak niewinna zabawa, a w rzeczywistości jest otwartymi drzwiami do Twojego życia. Instagram Map pozwala znajomym (a czasem… nie tylko im) zobaczyć, gdzie jesteś. W teorii – po to, by łatwiej się spotkać. W praktyce – to gotowy scenariusz na koszmar związany z utratą prywatności.

Funkcja obecnie dostępna jest w USA, a niebawem również globalnie.

Kontrola prywatności:

• Funkcja jest wyłączona domyślnie — użytkownicy muszą wyraźnie się na nią zgodzić.
• Można wybrać grupę odbiorców lokalizacji: wszyscy znajomi, „Close Friends”, wybrane osoby lub nikt.
• Możliwe jest wyłączenie udostępniania lokalizacji w określonych miejscach lub dla konkretnych osób.
• W przypadku kont nastolatków—rodzice mogą być informowani i kontrolować ustawienia lokalizacji.

Dodatkowo, niezależnie od udostępnienia lokalizacji, użytkownicy widzą treści (Stories, Reels, Notatki) opatrzone geotagami — także przez 24 godziny po opublikowaniu

Jak działa Instagram Map?

Aplikacja zapisuje Twoją lokalizację za każdym razem, gdy ją uruchamiasz lub wracasz do niej z tła. Dane trafiają do mapy, na której widać, gdzie się znajdujesz. Ty decydujesz, kto ma dostęp – znajomi, wybrane osoby czy „bliscy znajomi”. Ale pamiętaj: raz udostępnione dane mogą wymknąć się spod kontroli.

Dlaczego to jest groźne?

1. Śledzenie w czasie (prawie) rzeczywistym

Ta funkcja może dać innym wgląd w Twoje codzienne nawyki – gdzie pracujesz, gdzie mieszkasz, gdzie chodzisz na zakupy. Wystarczy kilka dni obserwacji, by stworzyć dokładny profil Twojego życia.

2. Złudne poczucie bezpieczeństwa

„Tylko znajomi widzą moją lokalizację” – to często słyszane uspokojenie. Problem w tym, że wystarczy jedna osoba z dostępem, która udostępni te informacje dalej. Wtedy kontrola nad nimi znika.

3. Raj dla stalkerów

Były partner, toksyczny znajomy czy obsesyjny „fan” – dzięki Instagram Map mogą wiedzieć, gdzie jesteś, i „przypadkiem” wpadać w te same miejsca.

4. Młodzi użytkownicy na celowniku

Nastolatki, często kierujące się presją grupy, mogą włączyć funkcję, nie zdając sobie sprawy z ryzyka. To otwiera furtkę dla ludzi, którzy mają złe intencje.

5. Meta gromadzi jeszcze więcej danych

Pamiętajmy – każda informacja o Twojej lokalizacji to kolejne cegiełki w murze profilowania reklam. Meta już wie, co lubisz oglądać. Teraz będzie wiedzieć, gdzie spędzasz czas.

Jak się chronić używając Instagram Map?

• Wyłącz tę funkcję, jeśli nie masz absolutnej pewności, że chcesz dzielić się swoją lokalizacją.
• Jeśli musisz – ogranicz odbiorców do absolutnego minimum i regularnie przeglądaj listę.
• Wyłącz udostępnianie w miejscach, które chcesz zachować w tajemnicy – szczególnie w domu i pracy.
• Edukuj młodszych użytkowników – konsekwencje mogą być bardzo realne.

Ochrona przed Instagram Map dotyczy również kont firmowych. Jeśli prowadzisz konto firmowe, pamiętaj jednak, że rosnąca widoczność w sieci wiąże się też z większym ryzykiem nieautoryzowanego dostępu. Dlatego warto:

• włączyć uwierzytelnianie dwuskładnikowe,
• stosować silne, unikalne hasło,
• regularnie sprawdzać logowania i uprawnienia administratorów.

Instagram Map to nie jest tylko nowy gadżet. To funkcja, która może wystawić Twoją prywatność na poważne ryzyko. Świadome korzystanie z internetu oznacza kontrolowanie tego, co o nas wiedzą inni – a lokalizacja to jedna z najbardziej wrażliwych informacji, jakie można udostępnić.

Potrzebujesz wsparcia we wdrożeniu RODO w Twojej firmie? Zachęcamy do KONTAKTU.

W ostatnich latach coraz więcej organizacji pozarządowych profesjonalizuje swoje działania i dostosowuje je do wymogów prawa. Choć temat ochrony danych osobowych może wydawać się zarezerwowany dla dużych firm i instytucji publicznych, NGO – jako administratorzy danych – również muszą przestrzegać ustawy o RODO. Co więcej, przy projektach finansowanych ze środków publicznych lub unijnych, kwestie ochrony danych mogą być kluczowym elementem oceny formalnej i merytorycznej.

Obowiązki NGO w zakresie RODO – co trzeba wiedzieć?

Organizacje pozarządowe bardzo często przetwarzają dane osobowe: beneficjentów, wolontariuszy, darczyńców, pracowników, członków stowarzyszeń czy uczestników szkoleń i wydarzeń. W związku z tym są zobowiązane do:

• zapewnienia odpowiedniego poziomu bezpieczeństwa danych,
• realizacji obowiązku informacyjnego,
• zawierania umów powierzenia danych,
• prowadzenia rejestru czynności przetwarzania (jeśli spełnione są określone warunki),
• oraz – w niektórych przypadkach – powołania Inspektora Ochrony Danych (IOD).

IOD – obowiązek czy dobra praktyka?

Powołanie IOD jest obowiązkowe m.in. dla podmiotów publicznych oraz tych organizacji, które przetwarzają dane w sposób wymagający regularnego monitorowania na dużą skalę. Choć wiele NGO formalnie nie musi powoływać IOD, jego obecność może znacząco poprawić poziom zgodności z przepisami RODO i budować zaufanie wśród partnerów i grantodawców.

Co ważne – koszt usługi IOD można zaplanować jako element realizowanego projektu.

IOD w projekcie – jak to zrobić?

Kiedy warto już na etapie wnioskowania uwzględnić koszty związane z obsługą RODO? Jeśli NGO planuje realizację projektu, np. finansowanego ze środków publicznych, funduszy unijnych, grantów krajowych czy międzynarodowych.

W praktyce oznacza to:

• wpisanie usługi IOD jako elementu kosztów zarządzania projektem,
• oszacowanie miesięcznego wynagrodzenia IOD (rynkowo to najczęściej outsourcing),
• opisanie zakresu jego działań: audyt, opracowanie dokumentacji, itp.

Taka praktyka nie tylko ułatwia zgodność z przepisami, ale także pokazuje profesjonalne podejście do zarządzania organizacją i projektem.

Co może zrobić IOD w NGO?

Inspektor Ochrony Danych nie jest tylko „papierowym” doradcą. Jego rola obejmuje:

• bieżące doradztwo w sprawach ochrony danych,
• kontrolę zgodności działań z przepisami RODO,
• przygotowanie i aktualizację dokumentacji,
• reagowanie na incydenty naruszenia danych,
• prowadzenie szkoleń dla pracowników i wolontariuszy,
• kontakt z Urzędem Ochrony Danych Osobowych.

Wnioski

Ochrona danych osobowych w NGO to nie tylko obowiązek, ale i szansa na profesjonalizację działań. Uwzględnienie kosztów obsługi IOD w projektach to praktyczne i coraz częściej stosowane rozwiązanie, które warto znać i wdrażać.

Jeśli chcesz dowiedzieć się więcej o tym, jak realizować obowiązki RODO w organizacji i jak wpisać IOD do projektów – zapraszamy na bezpłatny webinar już 29 lipca o godz. 10:00–11:00.

📌 Temat: RODO w NGO-sach – obowiązki i dobre praktyki
📝 Rejestracja: TUTAJ

12 czerwca 2025 r. w Pałacu Larischów w Krakowie odbyła się międzynarodowa konferencja „Technologie kwantowe. Zagrożenia, wyzwania i szanse dla cyberbezpieczeństwa i ochrony danych osobowych”. Wydarzenie zorganizowane zostało przez Urząd Ochrony Danych Osobowych, Fundację Future Law Lab oraz Uniwersytet Jagielloński. Zgromadziło wybitnych ekspertów z Polski i zagranicy – fizyków, prawników, inżynierów oraz przedstawicieli administracji publicznej i sektora zbrojeniowego.

Konferencję podzielono na cztery sesje panelowe, z których każda dotyczyła innego aspektu wpływu technologii kwantowych na bezpieczeństwo informacji:

• Podejścia techniczne – od komputerów kwantowych do kryptografii postkwantowej
• Polityka i strategia – suwerenność cyfrowa i ramy prawne
• Technologia kwantowa a RODO
• Rozwój kryptografii kwantowej i postkwantowej

Szczególne znaczenie miała ostatnia sesja. Omówiono praktyczne wyzwania i perspektywy związane z rozwojem kryptografii kwantowej oraz jej wpływem na systemy ochrony danych osobowych. W panelu wzięli udział m.in. dr Mirosław Sopek (Quantum Blockchains), gen. dyw. Karol Molenda (Dowódca Wojsk Obrony Cyberprzestrzeni) oraz dr Paweł Przybyłowicz (AGH). W dyskusji uczestniczyła również Mariola Więckowska – członkini Społecznego Zespołu Ekspertów przy Prezesie UODO.

Panel moderował Rafał Prabucki, ekspert ODO Szkolenia oraz członek wspomnianego zespołu eksperckiego. Dzięki jego doświadczeniu i znajomości zarówno regulacji, jak i aktualnych wyzwań technologicznych, rozmowa przebiegła w sposób dynamiczny, a jednocześnie merytoryczny. Uczestnicy poruszali tematy związane z praktyczną adaptacją postkwantowych metod szyfrowania, wpływem standardów międzynarodowych na wdrażanie nowych zabezpieczeń oraz znaczeniem interoperacyjności systemów w świetle gwałtownego rozwoju technologii.

Udział Rafała Prabuckiego w tym wydarzeniu to kolejny przykład zaangażowania ekspertów ODO Szkolenia w debatę publiczną na temat przyszłości ochrony danych osobowych. Cieszymy się, że nasz zespół aktywnie współtworzy przestrzeń wymiany wiedzy na najwyższym poziomie.

Marketing to serce wielu firm – pozwala budować relacje z klientami, zwiększać sprzedaż i promować markę. Jednak w dobie cyfryzacji i rosnącej świadomości konsumentów na temat prywatności, działania marketingowe muszą być zgodne z przepisami o ochronie danych osobowych. Właśnie dlatego warto wiedzieć, jak stosować RODO w marketingu – skutecznie i bezpiecznie.

Czym jest RODO i dlaczego ma znaczenie w marketingu?

RODO obowiązuje od 25 maja 2018 r. i dotyczy każdej firmy, która przetwarza dane osobowe osób fizycznych w UE – również w celach marketingowych.

W praktyce oznacza to, że jeśli:

• wysyłasz newslettery,
• prowadzisz kampanie mailingowe lub SMS-owe,
• profilujesz użytkowników na stronie internetowej,
• zbierasz leady przez formularze kontaktowe,

to RODO ma zastosowanie do Twoich działań.

Zgoda – czy zawsze jest potrzebna?

Nie każda forma marketingu wymaga zgody, ale wiele z nich tak.

Kiedy zgoda jest obowiązkowa?

• Przy wysyłce newslettera lub e-mail marketingu do osób fizycznych (B2C),
• W przypadku marketingu SMS-owego i telefonicznego,
• Przy profilowaniu w celach marketingowych (np. dopasowywanie treści reklam).

Zgoda musi być:
✅ Dobrowolna
✅ Świadoma
✅ Konkretna
✅ Odwoływalna

❗ Nie można ukrywać zgody w regulaminie ani stosować domyślnie zaznaczonych checkboxów.

A co z marketingiem B2B?

W przypadku kontaktów z firmami (np. wysyłka oferty na ogólny adres typu kontakt@ firma.pl), nie zawsze jest wymagana zgoda, ale trzeba zapewnić osobie prawo do sprzeciwu oraz spełnić obowiązek informacyjny. RODO nadal ma zastosowanie, jeśli można zidentyfikować konkretną osobę.

Obowiązek informacyjny – nie zapominaj!

Zbierając dane (np. przez formularz leadowy), musisz poinformować użytkownika o:

• Administratorze danych,
• Celach przetwarzania,
• Podstawie prawnej (np. zgoda lub uzasadniony interes),
• Czasie przechowywania danych,
• Prawach osoby (dostęp, usunięcie, sprzeciw),
• Możliwości cofnięcia zgody.

Ten obowiązek można spełnić np. poprzez link do polityki prywatności.

Retargeting i cookies – jak się zabezpieczyć?

Jeśli korzystasz z narzędzi takich jak Meta Ads, Google Ads, Piksel Facebooka czy remarketing w Google Analytics – przetwarzasz dane osobowe.

Zadbaj o:

• Politykę cookies – jasną i dostępną,
• Baner cookies z opcją wyboru (zgoda na analitykę, reklamę, itp.),
• Zgody na profilowanie, jeśli reklama jest dostosowywana do konkretnego użytkownika.

Uzasadniony interes – kiedy można go stosować?

Niektóre działania marketingowe można oprzeć na uzasadnionym interesie administratora, ale wymaga to uprzedniej analizy ryzyka i oceny równowagi interesów (tzw. test równowagi).

Nie można nadużywać tej podstawy. Jeśli użytkownik nie oczekuje kontaktu marketingowego lub wyraził sprzeciw – należy to uszanować.

Podsumowanie

RODO nie zabrania marketingu – wręcz przeciwnie. Pozwala go prowadzić w sposób odpowiedzialny, transparentny i oparty na zaufaniu.

Kluczowe zasady to:

🔹 Informuj – bądź transparentny wobec użytkowników.
🔹 Uzyskaj zgodę, jeśli to konieczne.
🔹 Szanuj prawa osób – umożliwiaj rezygnację z kontaktu.
🔹 Dokumentuj wszystko – prowadź rejestry zgód i działań

Potrzebujesz wsparcia?

W ODO Magdalena Celeban pomagamy firmom prowadzić działania marketingowe zgodnie z RODO. Przeprowadzamy audyty, przygotowujemy dokumentację i szkolimy zespoły.

📩 Skontaktuj się z nami, jeśli chcesz mieć pewność, że Twoje kampanie są zgodne z prawem – i skuteczne!

---

Urząd Ochrony Danych Osobowych uruchomił nową wersję wyszukiwarki decyzji Prezesa UODO. Narzędzie, dostępne pod adresem https://orzeczenia.uodo.gov.pl, znacząco ułatwia dostęp do orzecznictwa z zakresu ochrony danych osobowych. Zostało zaprojektowane z myślą o przejrzystości, intuicyjnej obsłudze i zaawansowanej funkcjonalności.

Co oferuje nowa wyszukiwarka?

Nowoczesna wyszukiwarka UODO to nie tylko baza decyzji Prezesa Urzędu. To także praktyczne narzędzie dla prawników, inspektorów ochrony danych, naukowców i wszystkich zainteresowanych tematyką RODO. Wśród najważniejszych funkcjonalności znajdują się:

🔍 Zaawansowane filtry wyszukiwania

Użytkownicy mogą filtrować decyzje m.in. według:

• daty wydania,
• sygnatury,
• słów kluczowych,
• rodzaju naruszenia,
• sektora działalności,
• zastosowanego środka naprawczego.

📄 Pełne treści zanonimizowanych orzeczeń

Dostęp do kompletnych treści decyzji umożliwia dogłębną analizę orzecznictwa – nieocenioną dla praktyków i teoretyków ochrony danych.

🔗 Unikalne identyfikatory URN

Każda decyzja otrzymuje indywidualny identyfikator URN (Uniform Resource Name), dzięki któremu można się do niej odwołać, nawet jeśli zmieni swoją lokalizację w sieci lub nie jest dostępna online.

🔄 Regularne aktualizacje

Baza danych jest na bieżąco aktualizowana, co gwarantuje dostęp do najnowszych decyzji i orzeczeń – ważne zarówno dla specjalistów, jak i organizacji dbających o zgodność z RODO.

Współczesna technologia i rozwój

Wyszukiwarka decyzji prezesa UODO jest zbudowana przy użyciu technologii. Projekt będzie dalej rozwijany – w aktualnej wersji wdrożono m.in. możliwość sprawdzenia, czy dana decyzja jest prawomocna.

Szkolenie online – już wkrótce

UODO zapowiedziało także webinarium informacyjne, by omówić funkcjonalności wyszukiwarki oraz praktyczne sposoby jej wykorzystania. Szczegóły dotyczące terminu oraz zapisów zostaną opublikowane na stronie internetowej urzędu oraz w jego kanałach społecznościowych.

Twoja opinia ma znaczenie

Urząd zachęca użytkowników do aktywnego korzystania z wyszukiwarki oraz dzielenia się opiniami, które pomogą w dalszym jej udoskonalaniu.

Sprawdź nową wyszukiwarkę już dziś: https://orzeczenia.uodo.gov.pl

Źródło: www.uodo.gov.pl

---

IOD w ochronie zdrowia – filar odpowiedzialności i bezpieczeństwa danych pacjentów

Ochrona danych osobowych w sektorze medycznym to temat, który nie traci na aktualności – wręcz przeciwnie, z każdym rokiem staje się coraz bardziej złożony i wymagający. Placówki ochrony zdrowia przetwarzają ogromne ilości danych wrażliwych – od informacji o stanie zdrowia, przez historię leczenia, aż po dane genetyczne i biometryczne. W tym kontekście rola Inspektora Ochrony Danych (IOD) nie jest tylko „kolejnym obowiązkiem z RODO”, lecz kluczowym elementem systemu bezpieczeństwa informacji.

Dlaczego IOD jest tak ważny w placówkach medycznych?

Ochrona zdrowia to sektor, w którym potencjalne naruszenie danych osobowych może mieć nie tylko konsekwencje prawne, ale i dramatyczny wpływ na życie pacjenta. Dane medyczne należą do tzw. szczególnych kategorii danych osobowych, a ich przetwarzanie wymaga szczególnej ostrożności.

IOD w tej branży pełni wielowymiarową funkcję:

• monitoruje zgodność działań placówki z RODO i innymi regulacjami (np. ustawą o prawach pacjenta),
• edukuje personel medyczny, który na co dzień przetwarza dane, często w stresujących warunkach,
• wspiera w analizie ryzyka i DPIA (ocenach skutków dla ochrony danych),
• pomaga reagować na incydenty bezpieczeństwa, które mogą wystąpić np. na skutek ataku ransomware, błędu ludzkiego czy niewłaściwego dostępu do dokumentacji.

Współpraca, nie kontrola

W praktyce IOD nie powinien być traktowany jak wewnętrzny „audytor RODO”, którego zadaniem jest piętnowanie błędów. Skuteczny inspektor to partner dla kadry zarządzającej i personelu medycznego – ktoś, kto pomaga zrozumieć przepisy, upraszcza procedury i buduje kulturę ochrony danych w placówce.

IOD w ochronie zdrowia powinien:

• znać specyfikę funkcjonowania placówek medycznych (od przychodni po duże szpitale),
• rozumieć procesy przetwarzania danych w dokumentacji elektronicznej (np. systemy HIS, e-recepty, EDM),
• potrafić ocenić zagrożenia związane z nowymi technologiami – np. zdalnymi konsultacjami, aplikacjami medycznymi czy urządzeniami wearable.

Wyjątkowe wyzwania w sektorze ochrony zdrowia

W porównaniu do innych branż, ochrona danych w ochronie zdrowia ma swoją specyfikę:

• Obowiązkowość przetwarzania danych – większość danych przetwarzanych jest na podstawie przepisów prawa, nie zgody pacjenta. To oznacza, że odpowiedzialność placówki i IOD jest większa, bo nie można przenieść ciężaru decyzyjnego na pacjenta.
• Dostępność danych w sytuacjach kryzysowych – RODO wymaga ochrony, ale też zapewnienia dostępności informacji np. podczas ratowania życia. IOD musi znać granice między bezpieczeństwem a dostępnością.
• Praca w trudnych warunkach organizacyjnych – niedobory kadrowe, napięcia w zespołach, szybki rozwój technologiczny – to wszystko sprawia, że w ochronie zdrowia teoria często przegrywa z praktyką. IOD musi umieć wyważać ryzyko i wspierać praktyczne rozwiązania.

Przyszłość IOD w medycynie – automatyzacja, AI, zdalna opieka

W 2025 roku ochrona zdrowia to coraz bardziej cyfrowy świat. Rozwijają się platformy telemedyczne, elektroniczna dokumentacja jest standardem, a narzędzia AI wspomagają diagnozowanie. Zmieniają się również zagrożenia – od klasycznych wycieków danych po zaawansowane ataki na infrastrukturę IT.

W tym dynamicznym środowisku rola IOD zyskuje nowy wymiar:

• musi znać ryzyka związane z przetwarzaniem danych przez sztuczną inteligencję,
• rozumieć konsekwencje regulacji takich jak AI Act,
• umieć doradzić przy wdrażaniu nowych systemów informatycznych w sposób zgodny z RODO i przepisami branżowymi.

---

Warsztaty dla IOD w ochronie zdrowia – praktyka, nie tylko teoria

Jeśli pełnisz funkcję IOD w placówce medycznej lub współpracujesz z sektorem ochrony zdrowia, zapraszamy Cię na praktyczne warsztaty online.

📅 Data: 26 czerwca 2025 r.
🕙 Godzina: 9.00–16:00
👩‍🏫 Prowadząca: Magdalena Ceban – inspektor, audytorka, trenerka z wieloletnim doświadczeniem w ochronie zdrowia. Poznaj lepiej dr Celeban TUTAJ
📌 Temat: „IOD w ochronie zdrowia – praktyka, wyzwania, dobre wzorce”
💻 Forma: online – bez wychodzenia z gabinetu czy sekretariatu

Zapisz się online!

---

---

Wprowadzenie RODO (Rozporządzenia o Ochronie Danych Osobowych) w maju 2018 roku zrewolucjonizowało sposób, w jaki instytucje i firmy przetwarzają dane osobowe. Placówki medyczne, jako podmioty przetwarzające dane wrażliwe, zostały zobowiązane do szczególnej staranności w zakresie ochrony prywatności pacjentów. Co w praktyce oznacza wprowadzenie RODO w placówkach medycznych?

Dlaczego dane medyczne są szczególne?

Dane osobowe dotyczące zdrowia należą do tzw. szczególnych kategorii danych, których przetwarzanie jest dozwolone tylko w ściśle określonych przypadkach. Zawierają informacje wyjątkowo wrażliwe: historię chorób, wyniki badań, diagnozy, informacje o leczeniu, a czasem także dane genetyczne czy biomedyczne. Ich nieuprawnione ujawnienie mogłoby prowadzić do dyskryminacji, stygmatyzacji lub naruszenia godności osoby.

Obowiązki placówek medycznych wynikające z RODO

Placówki ochrony zdrowia – szpitale, przychodnie, gabinety prywatne – muszą spełnić szereg wymogów:

1. Zasada minimalizacji danych

Placówki mogą gromadzić tylko te dane, które są niezbędne do realizacji celu – np. leczenia pacjenta. Nie powinny więc zbierać informacji „na zapas”.

2. Zabezpieczenie danych

RODO nakłada obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, które zapewnią bezpieczeństwo danych. Chodzi m.in. o:

• systemy informatyczne zabezpieczone hasłami i szyfrowaniem,
• kontrolę dostępu do dokumentacji medycznej,
• szkolenia personelu z zakresu ochrony danych,
• regularne audyty i oceny ryzyka.

3. Zgoda pacjenta – kiedy jest potrzebna?

Wbrew pozorom, placówki medyczne nie zawsze muszą uzyskiwać zgodę pacjenta na przetwarzanie jego danych zdrowotnych. Najczęściej podstawą prawną jest realizacja obowiązku wynikającego z prawa, czyli świadczenie usług medycznych. Zgoda jest natomiast wymagana w przypadku działań marketingowych lub przesyłania danych innym podmiotom nieuprawnionym.

4. Prawo pacjenta do informacji i wglądu

Pacjent ma prawo wiedzieć, kto i w jakim celu przetwarza jego dane, a także ma prawo żądać ich sprostowania, ograniczenia przetwarzania czy nawet ich usunięcia (choć to ostatnie nie zawsze będzie możliwe, np. gdy dokumentacja musi być przechowywana przez określony czas).

5. Rejestr czynności przetwarzania

Placówki muszą prowadzić dokumentację opisującą procesy przetwarzania danych – tzw. rejestr czynności przetwarzania. Jest to dokument pomocny także w przypadku kontroli z Urzędu Ochrony Danych Osobowych.

Wsparcie profesjonalistów – firma ODO

Proces wdrożenia RODO w placówce medycznej może wydawać się skomplikowany, jednak z pomocą specjalistów przebiega sprawnie i skutecznie. Firma ODO oferuje kompleksowe wsparcie w tym zakresie – od wdrożenia wszystkich niezbędnych procedur, przez przeprowadzenie audytu zgodności z RODO, aż po stały nadzór nad poprawnością dokumentacji i codziennych działań. Współpraca z profesjonalnym partnerem to gwarancja bezpieczeństwa i zgodności z obowiązującymi przepisami prawa. Zapraszamy do KONTAKTU.

Najczęstsze problemy i błędy

Mimo że RODO obowiązuje już od kilku lat, nie wszystkie placówki wdrożyły je prawidłowo. Najczęstsze uchybienia to:

• pozostawianie dokumentacji medycznej w miejscach dostępnych dla osób postronnych,
• głośne wyczytywanie danych osobowych w poczekalniach,
• brak odpowiednich polityk prywatności i procedur.

Podsumowanie

RODO to nie tylko obowiązek, ale też szansa na budowanie zaufania między pacjentem a placówką medyczną. Ochrona danych osobowych w sektorze zdrowia powinna być traktowana z największą powagą – nie tylko ze względu na kary, ale przede wszystkim z szacunku do pacjenta. W dobie cyfryzacji i rosnącej liczby zagrożeń związanych z cyberbezpieczeństwem, odpowiednie zarządzanie informacją to fundament nowoczesnej opieki zdrowotnej.

A jeśli Twoja placówka potrzebuje profesjonalnego wsparcia – firma ODO jest gotowa, by przejąć nad tym procesem pieczę.

Wraz z wejściem w życie Dyrektywy Parlamentu Europejskiego i Rady (UE) 2023/970 z dnia 10 maja 2023 roku, znanej jako Dyrektywa o równości i jawności wynagrodzeń, organizacje w Unii Europejskiej stają przed nowymi wyzwaniami. Ma ona na celu wzmocnienie zasady równości wynagrodzeń dla kobiet i mężczyzn. Za tę samą pracę lub pracę o tej samej wartości, wprowadza mechanizmy przejrzystości wynagrodzeń oraz ich egzekwowania. Państwa członkowskie, w tym Polska, mają czas do 7 czerwca 2026 roku na implementację jej przepisów do krajowych porządków prawnych. Jednak już teraz firmy powinny rozpocząć przygotowania. Zwłaszcza w kontekście ochrony danych osobowych, które odgrywają kluczową rolę w realizacji nowych wymogów.

Czym jest Dyrektywa o równości i jawności wynagrodzeń?

Dyrektywa 2023/970 nakłada na pracodawców obowiązek zapewnienia transparentności wynagrodzeń, zarówno na etapie rekrutacji, jak i w trakcie zatrudnienia. Pracownicy zyskają prawo do informacji o swoim indywidualnym wynagrodzeniu oraz średnich poziomach płac w podziale na płeć dla osób wykonujących tę samą pracę lub pracę o podobnej wartości. Pracodawcy zatrudniający ponad 150 osób będą musieli raportować różnice w wynagrodzeniach. W przypadku przekroczenia 5% luki płacowej – będą musieli podejmować działania naprawcze. Co istotne, dyrektywa zakazuje klauzul poufności dotyczących wynagrodzeń. Oznacza to, że pracownicy będą mogli swobodnie ujawniać swoje zarobki w celu dochodzenia równości płac.

Te zmiany mają na celu promowanie sprawiedliwości i eliminację dyskryminacji płacowej. Rodzą jednak pytania o zgodność z przepisami o ochronie danych osobowych, w szczególności z Rozporządzeniem Ogólnym o Ochronie Danych (RODO). Jak pogodzić jawność wynagrodzeń z prywatnością pracowników?

Ochrona danych osobowych w kontekście nowych przepisów

Wynagrodzenie jest niewątpliwie daną osobową w rozumieniu RODO, ponieważ pozwala na bezpośrednie lub pośrednie zidentyfikowanie osoby fizycznej. Przetwarzanie takich danych musi odbywać się zgodnie z zasadami określonymi w art. 5 RODO, w tym zasadą minimalizacji danych, zgodności z prawem oraz ograniczenia celu. Dyrektywa o równości i jawności wynagrodzeń przewiduje, że informacje o płacach mogą być udostępniane, ale w sposób, który nie narusza prywatności poszczególnych pracowników.

Kluczowym wyzwaniem jest sytuacja, w której ujawnienie średnich poziomów wynagrodzeń w małych zespołach mogłoby umożliwić zidentyfikowanie zarobków konkretnych osób. Na przykład, jeśli w firmie na danym stanowisku pracują tylko dwie osoby, podanie średniej płacy w podziale na płeć może de facto ujawnić indywidualne zarobki. Dyrektywa pozostawia państwom członkowskim elastyczność w rozwiązaniu tego problemu. Sugeruje, że w takich przypadkach dostęp do danych mogą mieć jedynie przedstawiciele pracowników, inspektorat pracy lub organy ds. równości, zamiast samych zatrudnionych.

Zgodnie z art. 12 dyrektywy, wszelkie dane osobowe przetwarzane w ramach jej realizacji muszą być zgodne z RODO i wykorzystywane wyłącznie do zapewnienia równości wynagrodzeń, a nie w innych celach. To oznacza, że firmy będą musiały wdrożyć odpowiednie procedury, aby zagwarantować bezpieczeństwo danych i ograniczyć ryzyko ich nieuprawnionego wykorzystania.

Procesowe przygotowanie firm – krok po kroku

Jak skutecznie przygotować się do wejścia w życie przepisów dyrektywy, z jednoczesnym poszanowaniem ochrony danych osobowych? Organizacje powinny rozważyć następujące kroki:

1. Audyt obecnych polityk wynagrodzeń i danych osobowych
   Przeprowadzenie analizy istniejących struktur płacowych oraz procesów przetwarzania danych osobowych związanych z wynagrodzeniami. Warto zweryfikować, czy obecne systemy płacowe są przejrzyste i oparte na obiektywnych, neutralnych płciowo kryteriach. Ponadto czy dane są odpowiednio zabezpieczone.
2. Opracowanie procedur raportowania
   Firmy zatrudniające ponad 150 pracowników powinny przygotować się do regularnego raportowania luki płacowej. W tym celu konieczne będzie stworzenie systemu gromadzenia i analizy danych, który zapewni anonimowość pracowników tam, gdzie to możliwe. Na przykład, dane mogą być agregowane na poziomie kategorii stanowisk, zamiast ujawniać indywidualne zarobki.
3. Dostosowanie procesów rekrutacyjnych
   Dyrektywa wymaga podawania kandydatom informacji o początkowym wynagrodzeniu lub widełkach płacowych przed rozpoczęciem negocjacji. Pracodawcy muszą opracować jasne zasady komunikacji tych informacji, jednocześnie dbając o to, by nie naruszać prywatności obecnych pracowników.
4. Szkolenia dla działów HR i kadry zarządzającej
   Personel odpowiedzialny za wynagrodzenia i rekrutację powinien zostać przeszkolony w zakresie nowych przepisów, a także zasad ochrony danych osobowych. Kluczowe jest zrozumienie, jak odpowiadać na wnioski pracowników o informacje o płacach w sposób zgodny z prawem.
5. Wdrożenie zabezpieczeń technicznych i organizacyjnych
   Zgodnie z RODO, firmy muszą zastosować odpowiednie środki, takie jak szyfrowanie czy pseudonimizacja danych, aby zminimalizować ryzyko wycieku informacji. W przypadku naruszenia ochrony danych pracodawca będzie musiał zgłosić incydent do organu nadzorczego (w Polsce – Prezesa Urzędu Ochrony Danych Osobowych) w ustawowym terminie.
6. Konsultacje z prawnikami i specjalistami ds. ochrony danych
   Warto zaangażować ekspertów, którzy pomogą dostosować wewnętrzne regulaminy i procedury do wymogów dyrektywy oraz RODO, minimalizując ryzyko sankcji.

Prawne konsekwencje i sankcje

Naruszenie przepisów dyrektywy może skutkować karami finansowymi, których wysokość państwa członkowskie określą w ramach implementacji. W Polsce można się spodziewać, że sankcje będą proporcjonalne i odstraszające, zgodnie z wytycznymi UE. Naruszenie zasad RODO może wiązać się z karami – nawet do 20 milionów euro lub 4% rocznego obrotu firmy.

Potrzebujesz wsparcia w zabezpieczeniu interesu firmy i danych pracowników? Zapraszamy do KONTAKTU.

Podsumowanie

Przygotowanie do wejścia w życie Dyrektywy o równości i jawności wynagrodzeń to nie tylko obowiązek prawny, ale także szansa na zbudowanie bardziej sprawiedliwej i transparentnej polityki płacowej. Kluczowe jest jednak znalezienie równowagi między wymogiem jawności a ochroną prywatności pracowników. Firmy, które już teraz zaczną dostosowywać swoje procesy, zyskają przewagę, unikając chaosu i potencjalnych kar w 2026 roku. Warto potraktować to jako okazję do poprawy wizerunku pracodawcy i zwiększenia zaufania wśród pracowników oraz kandydatów. W dobie rosnącej świadomości społecznej dotyczącej równości i sprawiedliwości, takie działania mogą okazać się nie tylko koniecznością, ale i strategiczną inwestycją.

Dyrektywa NIS2 (Network and Information Security Directive 2) to jedno z najważniejszych unijnych regulacji ostatnich lat w zakresie cyberbezpieczeństwa. Na poziomie UE weszła w życie 16 stycznia 2023 roku. Od 18 października 2024 roku powinny ją zacząć stosować państwa członkowskie. W Polsce proces wdrożenia do krajowego prawa wciąż trwa. Projekt nowelizacji Ustawy o krajowym systemie cyberbezpieczeństwa (KSC) jest w toku, a jego pełne przyjęcie planowane jest na 2025 rok. Co to oznacza dla Twojej firmy i jak się do tego przygotować? Wyjaśniamy krok po kroku.

Czym jest NIS2 i kogo dotyczy?

NIS2 to unijna dyrektywa, która zastępuje poprzednią wersję (NIS) i rozszerza obowiązki związane z cyberbezpieczeństwem. Jej celem jest zwiększenie odporności kluczowych sektorów gospodarki na cyberataki. W porównaniu do pierwszej wersji, NIS2 obejmuje więcej podmiotów. Mowa w nim nie tylko o operatorach usług kluczowych, ale także o tzw. podmiotach ważnych, takie jak firmy z sektora energetyki, transportu, zdrowia, finansów, a nawet producenci i dostawcy usług cyfrowych.

W Polsce opóźnienie w transpozycji dyrektywy nie zwalnia z odpowiedzialności. Gdy ustawa zostanie przyjęta, firmy będą musiały szybko dostosować się do nowych wymogów – lepiej więc działać z wyprzedzeniem.

Kluczowe obowiązki wynikające z NIS2

Dyrektywa wprowadza konkretne wymagania, które mogą być wyzwaniem, ale też szansą na podniesienie standardów bezpieczeństwa w organizacji. Oto, co musisz wiedzieć:

Zarządzanie ryzykiem:

1. Analiza ryzyk i polityki bezpieczeństwa IT.
2. Zarządzanie ciągłością działania (np. plany backupu, odzyskiwanie po awarii).
3. Bezpieczeństwo łańcucha dostaw – ocena ryzyka związanego z dostawcami i usługodawcami.
4. Procedury oceny skuteczności środków bezpieczeństwa.
5. Zastosowanie kryptografii i szyfrowania tam, gdzie to odpowiednie.
6. Higiena cybernetyczna i szkolenia dla pracowników.
7. Zarządzanie zasobami ludzkimi, polityka kontroli dostępu i wykorzystanie uwierzytelniania wieloskładnikowego (MFA).\

Reagowanie na incydenty:

1. Procedury wykrywania, obsługi i zgłaszania incydentów.
2. Szybkie raportowanie znaczących incydentów do odpowiednich organów:
3. W ciągu 24 godzin: wstępne powiadomienie („early warning”).
4. W ciągu 72 godzin: szczegółowy raport z oceną incydentu.
5. W ciągu 1 miesiąca: raport końcowy z analizą przyczyn i podjętymi działaniami.

Odpowiedzialność zarządu:

NIS2 wprowadza osobistą odpowiedzialność kadry zarządzającej za przestrzeganie wymogów. Zarząd musi zatwierdzać i nadzorować środki zarządzania ryzykiem, a w przypadku naruszeń może ponosić konsekwencje prawne.

Dlaczego warto działać już teraz?

Choć w Polsce pełna implementacja NIS2 jeszcze nie nastąpiła, opóźnienie legislacyjne nie oznacza, że firmy mogą odłożyć przygotowania na później. Cyberataki nie czekają na zakończenie prac w Sejmie. Według raportów, w 2024 roku liczba incydentów w Polsce wzrosła o 20% w porównaniu do roku poprzedniego. Wdrożenie NIS2 to nie tylko obowiązek, ale też inwestycja w bezpieczeństwo i reputację Twojej organizacji.

Jak Odo Szkolenia może Ci pomóc?

W Odo Szkolenia doskonale rozumiemy wyzwania związane z NIS2. Oferujemy kompleksowe wsparcie, które pomoże Twojej firmie sprostać nowym regulacjom:

• Audyty zgodności – Przeanalizujemy, w jakim stopniu Twoja organizacja spełnia wymogi NIS2, i wskażemy obszary do poprawy.
• Szkolenia szyte na miarę – Przygotujemy Twój zespół i kadrę zarządzającą do zarządzania ryzykiem i reagowania na incydenty.
• Wsparcie we wdrożeniu – Pomożemy Ci stworzyć procedury i systemy zgodne z dyrektywą, byś mógł spać spokojnie.

Nasze usługi są dostępne zarówno stacjonarnie, jak i online – Ty decydujesz, która forma jest dla Ciebie najwygodniejsza. Po każdym szkoleniu otrzymasz certyfikat, który potwierdzi Twoje kompetencje.

Najczęściej zadawane pytania na temat NIS2

Czy szkolenia wystarczą, by być zgodnym z NIS2?
Szkolenia to ważny element, ale pełne wdrożenie wymaga też zmian w procedurach i systemach IT. Oferujemy wsparcie na każdym etapie.

Czy moja firma musi stosować się do NIS2?
Jeśli działasz w sektorze uznanym za kluczowy (np. energetyka, transport, zdrowie) lub ważny (np. usługi cyfrowe, produkcja), prawdopodobnie tak. Dokładny zakres podmiotów określi polska ustawa po jej przyjęciu.

Co się stanie, jeśli nie wdrożę NIS2 na czas?
Po wejściu w życie krajowych przepisów, brak zgodności może skutkować karami finansowymi oraz odpowiedzialnością zarządu – nawet osobistą.

Czy NIS2 dotyczy tylko dużych firm?
Nie, dyrektywa obejmuje także średnie i niektóre małe przedsiębiorstwa, jeśli pełnią kluczowe lub ważne funkcje w gospodarce.

Jakie są pierwsze kroki do wdrożenia NIS2?
Zacznij od audytu obecnych procesów bezpieczeństwa, przeszkolenia zespołu i opracowania planu zarządzania ryzykiem. Tu z pomocą przychodzimy my!

Pierwszy krok do zgodności z NIS2

Nie czekaj, aż nowe przepisy zaskoczą Cię w najmniej odpowiednim momencie. Skontaktuj się z nami już dziś przez www.odoszkolenia.pl i dowiedz się, jak możemy wesprzeć Twoją firmę w przygotowaniach do NIS2. Cyberbezpieczeństwo to nie koszt – to inwestycja w przyszłość Twojego biznesu.

Nielegalny monitoring na oddziale neonatologii.

Prezes Urzędu Ochrony Danych Osobowych, Mirosław Wróblewski, nałożył wysoką karę na Centrum Medyczne Ujastek Sp. z o.o. w Krakowie. Placówka ukarano grzywną w wysokości 1 145 891,25 zł za niezgodne z prawem działania związane z monitoringiem wizyjnym na oddziale neonatologii.

Od 1 do 23 lipca 2023 roku Centrum Medyczne wprowadziło nielegalny monitoring na dwóch salach. Kamery rejestrowały obraz noworodków i ich matek i obejmowały sceny związane z karmieniem i pielęgnacją dzieci. Co istotne, pacjenci i personel nie byli świadomi rejestracji, co stanowiło naruszenie ich prywatności.

Dzieci nie wymagały intensywnej terapii, a ich stan zdrowia nie był zagrożony. Prezes UODO uznał, że monitoring był prowadzony bezprawnie i na placówkę nałożył karę w wysokości 687 534,75 zł.

Brak odpowiednich środków bezpieczeństwa

Kolejnym naruszeniem było zagubienie lub kradzież niezaszyfrowanych kart pamięci z nagraniami z monitoringu. Ponadto urządzenia rejestrujące nie spełniały wymaganych standardów bezpieczeństwa. Analiza ryzyka przeprowadzona przez placówkę nie uwzględniała możliwości utraty danych, co dodatkowo zwiększało zagrożenie dla poufności informacji.

W konsekwencji Prezes UODO nałożył drugą karę w wysokości 458 356,50 zł za brak wdrożenia odpowiednich środków organizacyjnych i technicznych.

Wnioski i konsekwencje

Łączna kwota kary, czyli ponad 1,1 mln zł stanowi jasny sygnał, że ochrona danych osobowych i prywatności pacjentów jest kluczowym elementem działania placówek medycznych. Placówki stosujące monitoring wizyjny mają obowiązek przestrzegania zasad wynikających z RODO. Muszą one jasno informować pacjentów o stosowaniu kamer, określić cel przetwarzania danych oraz ograniczyć zakres nagrywania do absolutnego minimum. Dodatkowo, nagrania powinny być odpowiednio zabezpieczone przed nieautoryzowanym dostępem. Należy przeprowadzać regularne analizy ryzyka oraz wdrażać skuteczne środki techniczne i organizacyjne zapobiegające naruszeniom.

Jeśli potrzebujesz wsparcia w prawidłowym wdrożeniu monitoringu w swojej firmie, zapraszamy do KONTAKTU.

Źródło: www.uodo.gov.pl