Inflacja we wrześniu 2020 r. Komentarz do danych GUS

Nastąpiło spowolnienie wzrostu cen żywności i napojów bezalkoholowych do 2,8% (z 3% w sierpniu), a także spadek cen odzieży i obuwia o 2%.

Istotny dla gospodarstw domowych jest, utrzymujący się, wzrost cen w zakresie użytkowania mieszkania o 7,3%, wynikający ze wzrostu cen w zakresie wywozu śmieci. Znacząco wzrosły także ceny w edukacji (o 5,8%) oraz w łączności (o 5,5%), co wynika przede wszystkim ze zwiększonego zapotrzebowania na nie w dobie pandemii (zdalna praca czy edukacja). Ceny nośników energii wzrosły o 4,6% (rok do roku) głównie za sprawą rosnących cen energii elektrycznej o 11,7%.

Odnotowano spowolnienie spadku cen paliw do prywatnych środków transportu (-9,2% wobec -12,3% w sierpniu), co przełożyło się na wyhamowanie spadku cen transportu (-4,9% wobec -7,1% w sierpniu).

W ocenie MRPiT w październiku można spodziewać się zbliżonego tempa inflacji, co będzie wynikiem wzrostu cen w usługach, w tym w edukacji. Oczekujemy zbliżonego wzrostu cen żywności i dalszego hamowania spadku cen paliw.

Źródło:

gov.pl

MF: Polska dołączyła do Paneuropejskiego Funduszu Gwarancyjnego dot. COVID 19

Jak czytamy na stronie: https://www.gov.pl/web/finanse/polska-dolaczyla-do-paneuropejskiego-funduszu-gwarancyjnego-dot-covid-19

Głównym celem funduszu jest finansowanie operacji o wysokim profilu ryzyka. Bank skorzysta przy tym z pokrycia ryzyka w ramach gwarancji udzielonych przez państwa członkowskie.

Fundusz będzie mieć określone, indywidualne cele i kryteria kwalifikowalności. Okres inwestycji Funduszu będzie trwać do końca 2021 r. z możliwością przedłużenia.

Wsparcie będzie oparte na instrumentach finansowych, które będą wdrażane zgodnie z potrzebami i we współpracy z krajowymi instytucjami finansowymi oraz bankami rozwoju (w Polsce – Bank Gospodarstwa Krajowego).

Jak wygląda wsparcie finansowe

Udział Polski w Funduszu otworzy możliwość skorzystania ze wsparcia finansowego przez polskie podmioty, które zmagają się ze skutkami pandemii COVID-19. Wsparcie to będzie udzielane bezpośrednio lub pośrednio przez krajowe instytucje finansowe, takie jak:

Będą one korzystać z takich instrumentów, jak: pożyczki, inwestycje kapitałowe i quasi-kapitałowe, udziały w ryzyku, zakup papierów wartościowych zabezpieczonych aktywami oraz gwarancje.

Więcej informacji na stronie Europejskiego Banku Inwestycyjnego (strona w jęz. angielskim) (przyp. red.: https://www.eib.org/en/press/all/2020-126-eib-board-approves-eur-25-billion-pan-european-guarantee-fund-to-respond-to-covid-19-crisis.htm).

Zainteresowanych prosimy o kontakt z warszawskim biurem EBI (strona w jęz. angielskim) (przyp. red.: https://www.eib.org/en/infocentre/contact/offices/ue/poland.htm).

Źródło: www.gov.pl/web/finanse

Body leasing a RODO zasady przetwarzania danych wynajmowanych pracowników

Rozważając kwestię konieczności zawarcia umowy powierzenia pomiędzy ADO 1 (pracodawca outsourcujący) i ADO 2 (odbiorca usługi leasingu pracowniczego), należy wyróżnić przetwarzanie danych na dwóch płaszczyznach. Pierwsza płaszczyzna to przetwarzanie danych należących do ADO 2 przez oddelegowanego pracownika zatrudnionego przez ADO 1. Druga – przetwarzanie danych oddelegowanego pracownika, którego dane przetwarzane są zarówno przez ADO 1, jak i ADO 2.

Upoważnienie dla oddelegowanego pracownika czy umowa powierzenia pomiędzy ADO 1 i ADO 2?

Należy podkreślić, że umowa body leasingu zawierana pomiędzy przedsiębiorcami (ADO 1 i ADO 2) dotyczy przede wszystkim wynajmu (współ)pracowników, a nie przetwarzania danych osobowych. Jednakże przetwarzanie danych bardzo często będzie nierozerwalnie związane z realizacją tej umowy.

Czy w takiej sytuacji ADO 1 i ADO 2 powinni podpisać umowę powierzenia?

Po pierwsze wszystko zależy od tego, czy przy realizacji swoich obowiązków na rzecz ADO 2 oddelegowany pracownik będzie uczestniczył w przetwarzaniu danych osobowych – zakładamy, że odpowiedź jest twierdząca.

Po drugie musimy wiedzieć z jakiej infrastruktury oddelegowany pracownik będzie korzystał. Jeżeli oddelegowany pracownik będzie świadczył usługi w ramach infrastruktury odbiorcy usług i leasingu pracowniczego, czyli ADO 2 (w szczególności w jego siedzibie, na sprzęcie stanowiącym jego własność, według jego procedur), to nie będzie konieczności zawarcia umowy powierzenia, a zajdzie konieczność upoważnienia oddelegowanego pracownika do przetwarzania danych osobowych. Upoważnienie (z którego wynikałoby polecenie przetwarzania danych) powinien nadać odbiorca usług i leasingu pracowniczego, czyli ADO 2.

Natomiast w sytuacji, w której oddelegowany pracownik świadczyłby usługi przy użyciu infrastruktury pracodawcy outsourcującego, tj. ADO 1 (w jego pomieszczeniach lub na jego sprzęcie), zajdzie konieczność zawarcia pomiędzy ADO 1 i ADO 2 umowy powierzenia danych, o której mowa w art. 28 RODO – jej przedmiotem byłyby wówczas dane osobowe przetwarzane przez ADO 2, do których dostęp uzyska oddelegowany pracownik. W takiej umowie ADO 2 powinien być wskazany jako administrator, a ADO 1 jako podmiot przetwarzający. Zawarcie umowy powierzenia nie oznacza, że pracownik oddelegowany nie powinien otrzymać upoważnienia do przetwarzania danych osobowych, jednak w takim modelu upoważnienie powinno zostać nadane przez podmiot przetwarzający, tj. ADO 1.

Przepływ danych pracownika oddelegowanego – umowa powierzenia pomiędzy ADO 1 i ADO 2?

Warto przypomnieć, że body leasingu nie reguluje żadna ustawa, a tym samym przepisy prawa w żaden sposób nie rozstrzygają kwestii relacji w zakresie przetwarzania danych oddelegowanego pracownika pomiędzy pracodawcą outsourcującym (ADO 1) a odbiorcą usługi leasingu pracowniczego (ADO 2). Jeżeli ADO 1 podpisał z pracownikiem umowę o pracę, to na ADO 1 spoczywają wszystkie obowiązki wynikające z przepisów z zakresu prawa pracy, w tym z Kodeksu pracy. Dużą część tych obowiązków w przypadku body leasingu będzie wykonywał co do zasady ADO 2 jako odbiorca usługi leasingu pracowniczego, w imieniu pracodawcy outsourcującego (ADO 1) – oczywiście zakres tych obowiązków powinna określać umowa pomiędzy ADO 1 i ADO 2 dotycząca body leasingu.

W związku z powyższym należy wskazać, że pracodawca, który podpisał umowę o pracę (ADO 1), jako administrator powierza przetwarzanie danych osobowych swojego pracownika podmiotowi, który jest jego klientem, czyli odbiorcą usługi leasingu pracowniczego (ADO 2), a na rzecz którego ten pracownik będzie faktycznie świadczyć usługi.

Pandemia koronawirusa sprzyja wynajmowaniu biur na godziny

Day office to nowa usługa, która pojawiła się w czasie pandemii. Może być praktycznym rozwiązaniem m.in. dla tych, którzy na co dzień pracują z domu, ale od czasu do czasu potrzebują przestrzeni biurowej. Dotyczy to zarówno freelancerów, jak i zatrudnionych na etatach w firmach, które umożliwiają pracę zdalną.

Model day office będzie coraz bardziej popularny, szczególnie w dobie koronawirusa, kiedy wiele firm oddelegowało swoich pracowników do pracy zdalnej, a praca w trybie home office przez pięć dni w tygodniu nie zawsze jest możliwa.

Rynek biur elastycznych dopiero rozwija się w Polsce. Przybywa operatorów i rośnie standard świadczonych usług. W Europie Zachodniej czy w Stanach Zjednoczonych jest to bardzo popularna forma najmu powierzchni biurowej, z której korzystają zarówno freelancerzy, małe firmy, jak i duże organizacje.

Najwięcej nowoczesnych powierzchni biurowych powstaje w Warszawie, ale dynamicznie rozwija się także rynek biur serwisowanych w innych miastach regionalnych. Jak wskazuje raport CBRE „Rynek biur elastycznych w Polsce 2019”, warszawski rynek na razie pozostawia w tyle inne miasta. W ubiegłym roku podaż elastycznej powierzchni biurowej przekroczyła 150 tys. mkw. W Krakowie, drugim pod względem wielkości rynku, jest to ok. 40 tys. mkw. Eksperci już we wrześniu 2019 roku prognozowali co-workingowy boom w stolicy, bo według zapowiedzi operatorów takich przestrzeni do pracy w ciągu dwóch lat planowane jest dostarczenie blisko 19 tys. nowych biurek do wynajęcia. W Warszawie odsetek elastycznych przestrzeni w biurowych powierzchniach w ogóle jest większy niż np. w Barcelonie czy Berlinie.

Według raportu Walter Herz „Rynek powierzchni biurowych. Polska – I połowa 2020” miasto stołeczne dysponuje ponad połową nowoczesnych powierzchni biurowych. Ze względu na obecną sytuację związaną z COVID-19 aktywność najemców oraz zapotrzebowanie na powierzchnie w pierwszym półroczu było niższe niż w latach ubiegłych, ale to nie zniechęca inwestorów. Wysokie zapotrzebowanie na powierzchnie biurowe w długim okresie powoduje stały przyrost podaży. W Warszawie w budowie znajduje się obecnie 690 tys. m2 powierzchni biurowych. Drugim co do wielkości rynkiem powierzchni biurowych jest Kraków, a najbardziej dynamicznie segment nieruchomości biurowych na wynajem rozwija się w Katowicach.

Źródło

Newseria.pl

Konsultacje podatkowe w sprawie korekty cen transferowych

Ministerstwo Finansów poinformowało, że propozycje opinii, wniosków i uwag do projektu objaśnień podatkowych w zakresie korekt cen transferowych wraz ze szczegółowym ich uzasadnieniem należy zgłaszać w nieprzekraczalnym terminie do 6.11.2020 r. w formie elektronicznej na adres: [email protected].

Konsultacje podatkowe obejmują projekt objaśnień podatkowych w zakresie cen transferowych dotyczących korekt cen transferowych. Ma to związek z obowiązującymi od 1.1.2019 r. przepisami ustaw podatkowych, które regulują kwestie związane z dokonywaniem korekty cen transferowych między podmiotami powiązanymi:

  1. art. 11e w zw. z art. 12 ust. 3aa i art. 15 ust. 1ab PDOPrU oraz art. 23q  w zw. z art. 14 ust. 1ca i art. 22 ust. 1ab PDOFizU – regulują warunki dokonywania korekty cen transferowych;
  2. art. 12 ust. 3l pkt 2 i art. 15 ust. 4k pkt 2 PDOPrU oraz art. 14 ust. 1o i art. 22 ust. 7e PDOFizU – regulują moment ujęcia korekty cen transferowych w księgach podatkowych.

Konsultacje podatkowe są otwarte dla wszystkich podmiotów.

Aktualne ograniczenia dla firm i zasady bezpieczeństwa sanitarnego w związku z epidemią COVID-19

Ograniczenia dla firm i zasady bezpieczeństwa sanitarnego w związku z epidemią COVID-19

  • Ogólne zasady wprowadzania ograniczeń
  • Jaka działalność jest ograniczona
  • Ograniczenia dla firm w strefie czerwonej
  • Ograniczenia dla firm w strefie żółtej
  • Jakie zasady obowiązują w sklepach i punktach usługowych
  • Jakie zgromadzenia są zakazane
  • Jakie są zasady przemieszczania się
  • Kogo dotyczy obowiązek zasłaniania ust i nosa
  • Jak dodatkowo zabezpieczać pracowników
  • Zasady odbywania kwarantanny i izolacji domowej
  • Wynagrodzenie za czas odbywania kwarantanny
  • Jakie są ograniczenia w pracy urzędów publicznych

Szczegółowe omówienie powyższych zagadnień – na stronie https://www.biznes.gov.pl/pl/firma/sprawy-urzedowe/chce-przestrzegac-przepisow-szczegolnych/co-oznacza-wprowadzenie-stanu-epidemii-dla-przedsiebiorcow

Źródło: www.biznes.gov.pl


Ministerialny projekt zmiany ustawy Kodeks postępowania administracyjnego

Istotą proponowanej zmiany jest nowelizacja przepisu art. 217 ustawy z 14.6.1960 r. – Kodeks postępowania administracyjnego (t.j. Dz.U. z 2020 r. poz. 256 ze zm; dalej: KPA) tak by umożliwić wydawanie przez organy administracji zaświadczeń w sposób zautomatyzowany. Jednocześnie zachowana zostanie możliwość wydawania zaświadczeń w dotychczasowej papierowej formie.
Jak podnosi się w uzasadnieniu w obecnym stanie prawnym nie jest możliwe w pełni zautomatyzowane wydawanie zaświadczeń przez organy administracji publicznej. Zaświadczenie będzie mogło przybrać formę dokumentu elektronicznego, opatrzonego kwalifikowaną pieczęcią elektroniczną.
Głównym uzasadnieniem zmiany jest okoliczność związana z ilością zaświadczeń wydawanych przez Krajowy Rejestr Karny. W obecnym stanie prawnym każde zaświadczenie musi być sporządzane przez pracownika. To powoduje wydłużenie wydawania zaświadczenia, a wymóg opatrzenia zaświadczenia podpisem przyporządkowanym do osoby fizycznej – pracownika organu upoważnionego do wydawania zaświadczeń, jest w opinii projektodawcy zbyt restrykcyjny (https://bip.kprm.gov.pl/kpr/bip-rady-ministrow/prace-legislacyjne-rm-i/prace-legislacyjne-rady/wykaz-prac-legislacyjny/r97830136,Projekt-ustawy-o-zmianie-ustawy-Kodeks-postepowania-administracyjnego-oraz-niekt.html).
Proponowane usprawnienie procesu wydawania zaświadczeń ma zostać osiągnięte przez wprowadzenie do KPA możliwości automatycznego przygotowywania treści zaświadczenia i opatrywania zaświadczeń w formie elektronicznej kwalifikowaną pieczęcią elektroniczną. Dokument elektroniczny sporządzany byłby automatycznie przez system teleinformatyczny, bez ingerencji człowieka. Poświadczeniem, które pozwoli na zapewnienie autentyczności pochodzenia zaświadczenia oraz integralności zawartych w nim danych ma być kwalifikowana pieczęć elektroniczna.
Efektem proponowanych zmian ma być możliwość zapewnienia większego stopnia automatyzacji procesu przetwarzania danych.
Projekt wymagać będzie dostosowania systemów teleinformatycznych do nowej usługi webservice min. przez Służbę Kontrwywiadu Wojskowego, Agencję Wywiadu, Służbę Więziennictwa, Służbę Więzienną; sądy powszechne. Wstępne koszty wprowadzenia ustawy są planowane na ok. miliard złotych.
Nowe przepisy wejdą w życie po 14 dniach od daty ich ogłoszenia w Dzienniku Ustaw.

Koronawirus: Pożyczka płynnościowa dla firm w ramach pomocy rządowej

W związku z epidemią koronawirusa rząd już od kilku miesięcy uruchamia kolejne programy pomocowe dla przedsiębiorców. Oprócz świadczeń postojowych i zwolnienia ze składek ZUS, firmy mogą korzystać również z bezzwrotnych dotacji i pożyczek.

Szczególnym programem, który cieszy się nieustającą popularnością wśród małych firm jest tzw. pożyczka płynnościowa z oprocentowaniem 0%.

Przypomnijmy, że pożyczka płynnościowa skierowana jest do mikro, małych i średnich przedsiębiorstw. Pożyczka płynnościowa umożliwia sfinansowanie wydatków związanych z utrzymaniem bieżącej działalności firmy i zapewnieniem jej płynności finansowej. Środki uzyskane z pożyczki mogą więc zostać przeznaczone m.in. na:

  • zobowiązania publiczno-prawne (składki ZUS, podatki),
  • wypłatę wynagrodzeń pracowników, 
  • spłatę zobowiązań handlowych, 
  • zakup towarów,
  • czynsze i opłaty za lokal,
  • inne wydatki niezbędne do zapewnienia ciągłości w prowadzeniu działalności. 

Okres spłaty pożyczki wynosi aż 6 lat. Co istotne, przedsiębiorca zobowiązany jest do spłaty jedynie zaciągniętego kapitału i nie płaci od pożyczki żadnych odsetek. Za udzielenie i obsługę pożyczki płynnościowej nie są pobierane również żadne opłaty i prowizje.

Choć okres spłaty wynosi aż 72 miesiące, to przedsiębiorca może również uzyskać 6 miesięcy karencji w spłacie pożyczki. Dodatkowo, w pierwszym i drugim roku spłaty pożyczki, firma może wydłużyć okres spłaty o dodatkowe 2 miesiące.

W ramach pożyczki płynnościowej, każda firma może otrzymać nawet 15 mln zł nieoprocentowanych środków.

Pożyczki płynnościowe skierowane są do wszystkich firm, niezależnie od branży. Uzyskanie pożyczki nie jest uzależnione od konkretnego spadku przychodów, a jedynie od oświadczenia, że epidemia koronawirusa zagroziła płynności finansowej w firmie.

Do tej pory, w ramach dwóch kolejnych naborów, przedsiębiorcy skorzystali już z pożyczek płynnościowych na łączną kwotę ponad 1 mld zł. Łączna pula środków przeznaczonych na nieoprocentowane pożyczki dla firm zwiększy się jednak już wkrótce aż do 2,15 mld zł. W ostatnich dniach uruchomiony został bowiem kolejny, trzeci już nabór wniosków.

Podobnie jak w przeszłości, tak i tym razem pożyczki płynnościowe uruchamiane będą przez Bank Gospodarstwa Krajowego, lecz finalnie wypłacane będą przez lokalne instytucje współpracujące z BGK. Oznacza to, że w poszczególnych województwach, nabory mogą być uruchamiane w różnych terminach.

Na dzień dzisiejszy, z nowej puli środków skorzystać mogą już przedsiębiorcy z pięciu województw.

Źródło:

zus.pl

Top 10 najczęstszych błędów przy zgłaszaniu i obsłudze naruszeń ochrony danych osobowych

Kiedy w ogóle mamy do czynienia z naruszeniem?

Zgodnie z RODO „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

W sposób bardziej przystępny można powiedzieć, że z naruszeniem ochrony danych osobowych mamy do czynienia, kiedy spełnione są trzy przesłanki:

  1. naruszenie bezpieczeństwa dotyczy danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez podmiot, którego to zdarzenie dotyczy;
  2. skutkiem naruszenia bezpieczeństwa jest zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych,
  3. naruszenie zaistnieje na skutek nieprzestrzegania zasad bezpieczeństwa danych osobowych.
Ważne

Tylko administrator danych może zgłosić naruszenie ochrony danych osobowych – w żadnym wypadku zgłaszającym nie powinien być podmiot przetwarzający ani inny podmiot, który administratorem nie jest.

Najczęstsze błędy przy zgłaszaniu i obsłudze naruszeń

1. Problemy z określeniem daty stwierdzenia naruszenia.

Przypominamy, że RODO zakłada konieczność zgłoszenia naruszenia ochrony danych organowi nadzorczemu w ciągu 72 godzin od jego stwierdzenia. Stwierdzenia, które nie zawsze będzie tożsame z wykryciem. i nie chodzi o to, aby administratorzy celowo wydłużali czas niezbędny na działania wyjaśniające (z czego powinni się później „wytłumaczyć” w zgłoszeniu do UODO), ale aby najpierw dokonali analizy zdarzenia, a dopiero potem podejmowali decyzje co do jego dalszego procedowania.

Przykładowo, 24 sierpnia pracownik działu HR poinformował dział IT o trudnościach w dostępie do folderu klienta. W następnym dniu dział IT pochylił się nad zgłoszeniem, zaklasyfikowanym początkowo jako niespecjalnie pilne, na skutek czego odkrył w logach systemowych dot. ostatniej modyfikacji zawartości plików aktywność nieznanego użytkownika. Po powzięciu informacji o potencjalnym dostępie osób trzecich do folderu, niezwłocznie poinformował o tym inspektora ochrony danych. Inspektor podjął działania wyjaśniające, na skutek których w dniu 26 sierpnia stwierdził naruszenie ochrony danych osobowych. Czas na ewentualne zgłoszenie tego naruszenia Prezesowi UODO minie 29 sierpnia.

2. Niewłaściwe wskazywanie charakteru naruszenia.

Jaka jest różnica pomiędzy naruszeniem poufności, dostępności i integralności danych?

Naruszenie poufności jest wtedy, kiedy dane osobowe zostaną ujawnione nieuprawnionej osobie – przykład: przypadkowe wysłanie danych osobowych klienta do osoby postronnej; atak hakerski, w wyniku którego osoby trzecie uzyskują dostęp do danych przechowywanych w systemach administratora.

Z naruszeniem dostępności będziemy mieć do czynienia, gdy czasowo bądź trwale utracimy dane osobowe lub gdy ulegną one zniszczeniu – przykładowo na skutek pożaru w organizacji; kradzieży nośnika zawierającego bazy danych klientów administratora (przy braku kopii zapasowej) czy w wyniku przerwy w dostawie prądu, która uniemożliwi nam dostęp do danych.

UODO wskazuje jednak, że nie każda czasowa niedostępność danych będzie naruszeniem, a wyłącznie taka, która stworzy ryzyko dla praw i wolności osób fizycznych, choćby w przypadku szpitala brak dostępu danych pacjentów może prowadzić do uniemożliwienia przeprowadzenia operacji medycznej.

Z kolei jak podkreśla UODO, w przypadku kilkugodzinnego braku dostępu spółki medialnej do swoich systemów i niemożliwości wysyłania newslettera do abonentów, istnieje natomiast niskie prawdopodobieństwo naruszenia praw lub wolności osób fizycznych. Z kolei naruszenie integralności to nic innego jak nieautoryzowana zmiana treści danych osobowych. UODO wskazuje na następujący przykład: „Pracownik dla żartu zmienia nazwiska klientów poprzez dopisanie litery „s” na końcu każdego z nich.”

Uwaga
jedno naruszenie może dotyczyć naruszenia np. poufności i dostępności jednocześnie, chociażby wtedy, gdy na skutek działania złośliwego oprogramowania nie tylko osoba trzecia uzyska dostęp do danych administratora, ale również dane zostaną utracone, a kopii zapasowych brak.

3.Niewłaściwe oszacowanie prawdopodobieństwa naruszenia praw i wolności osób, których dane dotyczą.

Zgodnie z RODO naruszenie ochrony danych osobowych zawsze zgłaszamy organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych (art. 33 RODO). Natomiast jeśli naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, oprócz zgłoszenia naruszenia organowi nadzorczemu, administrator o takim naruszeniu zawiadamia również osobę, której dane dotyczą.

W tym miejscu zamiast zamęczać Państwa szczegółowym opisem metodyki rekomendowanej przez Europejską Agencję ds. Bezpieczeństwa Sieci i Informacji (ENISA), z którą można zapoznać się tu , zapraszamy do skorzystania z przygotowanego przez nas narzędzia – Kalkulatora wagi naruszeń , które pomoże Państwu ustalić, czy dane naruszenia powinno podlegać zgłoszeniu do Prezesa UODO, a jeśli tak, to czy o naruszeniu powinniśmy poinformować również osoby, których dane dotyczą.

4. Niepoprawne poinformowanie osób, których dane dotyczą o zaistniałym naruszeniu.

Jeżeli zaistniałe w naszej organizacji naruszenie wiąże się z obowiązkiem poinformowania o nim osób, których dane dotyczą, musimy pamiętać, żeby informacja, którą w tym zakresie administrator przekaże osobom, których dotyczyło naruszenie, zawierała wszystkie wymagane przez RODO elementy, tj. wskazanie:

  • charakteru naruszenia,
  • imienia, nazwiska i danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji,
  • opisu możliwych konsekwencji naruszenia ochrony danych osobowych (patrz: pkt 5),
  • opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym (jeśli ma zastosowanie) środków zastosowanych w celu minimalizacji ewentualnych negatywnych skutków naruszenia.

5. Pobieżne wskazywanie możliwych konsekwencji dla osób, których dane dotyczą.

Sam UODO zwraca uwagę, że administratorzy mają tendencję do bardzo ogólnego opisu możliwych konsekwencji naruszenia w komunikacie adresowanych do osób fizycznych. Unikajmy zatem wskazywania, że skutkiem naruszenia mogła być strata finansowa czy utrata poufności danych, a postawmy na praktyczne podejście i sformułujmy te konsekwencje w sposób jak najbardziej precyzyjny i zrozumiały dla odbiorcy, przykładowo: mimo podjętych przez nas działań istnieje ryzyko, że dane osobowe zostaną wykorzystane w celu podszycia się pod Panią/Pana.

Może to wynikać z faktu, że:

  • istnieją instytucje pozabankowe, które umożliwiają realizację procedury uzyskania kredytu przez Internet lub telefonicznie i wymagają jedynie podania podstawowych danych identyfikacyjnych, w tym numeru PESEL, bez okazywania dokumentów,
  • pewni dostawcy różnego rodzaju usług dopuszczają skuteczne zawarcie umowy na dostawę usługi (np. telewizja kablowa, telefon, Internet) bez konieczności okazywania dokumentu tożsamości, a jedynie po podaniu podstawowych danych identyfikacyjnych,
  • samorządy lub inne instytucje administracji publicznej udostępniają niektóre swoje usługi w oparciu o identyfikację użytkownika za pomocą numeru PESEL, • istnieją systemy rejestracji pacjenta, do których dostęp można uzyskać telefonicznie podając numer PESEL,
  • osoby, które  uzyskały  dostęp  do  Pani/Pana  danych,  mogą  podejmować  próby wyłudzenia środków finansowych zgromadzonych na Pani/Pana prywatnych kontach bankowych podszywając się pod instytucje finansowe za pomocą SMS-ów,

Powyższe może doprowadzić do:

  • uzyskanie przez osoby trzecie kredytów na Pani/Pana szkodę,
  • powstania w stosunku do Pani/Pana zadłużenia w przypadku nieopłacania nabytych usług przez nieuczciwe osoby,
  • ograniczenie możliwości korzystania z praw obywatelskich i usług kierowanych do ogółu obywateli (np. głosowania w ramach budżetu obywatelskiego, internetowej rejestracji wizyt w urzędach),
  • uzyskanie dostępu do korzystania ze świadczeń opieki zdrowotnej oraz danych o stanie zdrowia,
  • uzyskanie dostępu do środków finansowych zgromadzonych na Pani/Pana prywatnych kontach bankowych.

6. Brak faktycznego przeprowadzenia deklarowanych w zgłoszeniu środków mających zminimalizować ryzyko ponownego wystąpienia naruszenia.

We formularzu zgłoszenia naruszenia do Prezesa UODO w rubryce 9B administratorzy powinni wskazać środki bezpieczeństwa zastosowane lub proponowane w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia. Przykładowo, jeśli naruszenie polegało na niezgodnym z procedurami udostępnieniem nagrania z monitoringu osobie postronnej (praktyczne wskazówki na temat udostępniania nagrań monitoringu znajdziesz w artykule: „Udostępnianie danych z monitoringu praktyczne wskazówki”), wówczas w przedmiotowej rubryce można wskazać, że pracownicy co prawda są szkoleni i zaznajamiani z procedurami odnoszącymi się do zarządzania systemem monitoringu, natomiast w wyniku stwierdzonego naruszenia komunikacja w tym zakresie zostanie ponowiona (np. poprzez rozesłanie maili), a kluczowi pracownicy odbędą dedykowane temu zagadnieniu szkolenie. Brzmi dobrze i na pewno zrobi to dobre wrażenie na pracownikach UODO, natomiast nie zapominajmy, że możemy zostać poproszeni o przedstawienie potwierdzenia podjęcia deklarowanych działań – np. poprzez przesłanie potwierdzenia wysłania maila do pracowników z przypomnieniem najważniejszych zasad czy dowodu przeprowadzenia szkolenia stacjonarnego.

7. Brak dokładnego opisu naruszenia

Lakoniczne wskazanie w formularzu naruszenia przebiegu zdarzenia (przykładowo: „zagubiono dokument”, „skierowano wiadomość e-mail do dużej grupy osób”, „utrata dostępu do danych pacjentów”) rodzą po stronie UODO konieczność podejmowania dodatkowych czynności w celu ustalenia stanu faktycznego. Wówczas UODO podejmuje kontakt z administratorem/inspektorem ochrony danych, co nie tylko wydłuża cały proces, ale również zwraca uwagę Urzędu na naszą organizację. Dla dobra zarówno administratora, jak i UODO, warto dbać o to, aby wypełniane przez nas zgłoszenia były kompletne i zawierały możliwie szczegółowy opis zdarzenia i okoliczności naruszenia.

8. Nieprowadzenie rejestru naruszeń.

Jeżeli w wyniku analizy naruszenia ochrony danych osobowych administrator doszedł do wniosku, że prawdopodobieństwo zaistnienia ryzyka naruszenia praw i wolności osób fizycznych jest małe, nie musi on zgłaszać naruszenia do Prezesa UODO. Nie zmienia to natomiast faktu, że takie naruszenie powinno zostać odnotowane w prowadzonym przez administratora rejestrze naruszeń, o którym mowa w art. 33 ust. 5 RODO i który stanowi niezbędny element każdej dokumentacji ochrony danych osobowych. Co więcej, poza odnotowaniem w rejestrze okoliczności naruszenia, jego skutków oraz podjętych działań zaradczych, administrator powinien dysponować dowodem na przeprowadzenie analizy naruszenia, w wyniku której podjął decyzję o niezgłaszaniu naruszenia Prezesowi UODO – w razie ewentualnej kontroli pracownicy UODO mogą jak najbardziej o taki dokument poprosić.

9. Problem z określeniem w formularzu zgłoszenia naruszenia „przybliżonej liczby wpisów danych osobowych, których dotyczy naruszenie”.

W samym formularzu UODO podpowiada uzupełniającemu, że „jednej osobie można przypisać kilka wpisów, np. kilka transakcji”. Mimo tego wielu ma problem z uzupełnieniem tego pola, czemu trudno się dziwić. UODO podpowiada, że w razie wątpliwości co do uzupełnienia liczby wpisów warto wskazać Urzędowi metodologię, którą się posiłkowaliśmy. Przykładowo, gdy przedmiotem naruszenia są akta osobowe pracownika, wówczas wpisujemy, że naruszenie dotyczy w przybliżeniu 15 wpisów, przy czym za wpis rozumiemy dokument znajdujące się w aktach pracowniczych, na których widniały dane naszego pracownika. Nie rekomendujemy traktowania liczby wpisów jako liczby wszystkich danych osobowych, które znajdowały się w (przykładowo) zagubionych dokumentach, ponieważ bardzo często będzie to jeśli nie bardzo trudne, to wręcz niemożliwe.

10. Wypełnianie zgłoszeń w sposób rutynowy, w oparciu o wcześniej przygotowane zgłoszenia.

Sam UODO zwraca uwagę, że duża część wypełnianych przez administratorów danych zgłoszeń jest sporządzana w sposób niedbały i szablonowy, ewidentnie zawierających informacje nieścisłe i prawdopodobnie właściwe dla wcześniej zgłaszanych naruszeń, a przez brak staranności i pójście na skróty niespójnych i wzajemnie sobie przeczących. Takie podejście również generuje po stronie UODO konieczność wyjaśniania tych nieścisłości i prowadzenia z administratorem dalszej korespondencji w sprawie naruszenia.

Co dalej?

Jeśli zidentyfikowałeś choć jeden ze wskazanych wyżej błędów, które mogą występować w Twojej organizacji przy obsłudze i zgłaszaniu naruszeń do Prezesa UODO – nie martw się, nie jesteś sam, a wręcz jesteśmy gotowi się założyć, że mało która organizacja takich problemów nie ma. Jeśli czujesz niedosyt i chciałbyś dowiedzieć się więcej o tym, jak zorganizować proces obsługi naruszeń w Twojej organizacji, polecamy lekturę przygotowanego przez UODO poradnika „Obowiązki administratorów związane z naruszeniami ochrony danych osobowych” oraz wytycznych Grupy Roboczej Art. 28 dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679.

Projekt nowelizacji PZP w wersji z 1.10.2020 r.

Przewiduje on zmianę m.in. przepisów PZP. Analiza treści projektu prowadzi do wniosku, że w dalszym ciągu prawodawca dąży do „udoskonalenia” (i słusznie) zwłaszcza przepisów dotyczących udzielenia zamówień klasycznych o wartości mniejszej od progów unijnych w nowym trybie udzielania zamówień, jakim jest tryb podstawowy. Można pokusić się nawet o stwierdzenie, że rezygnacja z trybu przetargu nieograniczonego nie jest zadaniem tak prostym, jak mogło się początkowo wydawać. Zamawiający muszą zatem na bieżąco „monitorować” przebieg prac legislacyjnych, aby przygotować się we właściwy sposób do prowadzenia postępowań krajowych od 1.1.2021 r.

Tryb podstawowy wariant 2 – „ciąg dalszy” doprecyzowywania przepisów

Zasadnicze zmiany zawarte w projekcie odnoszą się do wariantu 2 trybu podstawowego, czyli przewidzenia przez zamawiającego na podstawie art. 275 pkt 2 PZP wyboru najkorzystniejszej oferty z możliwością prowadzenia negocjacji. Wariant 2 jest według PZP procedurą udzielenia zamówienia, w której w odpowiedzi na ogłoszenie o zamówieniu oferty mogą składać wszyscy zainteresowani wykonawcy, a następnie zamawiający może prowadzić negocjacje w celu ulepszenia treści ofert, które podlegają ocenie w ramach kryteriów oceny ofert, o ile przewidział taką możliwość. Po złożeniu ofert zamawiający ma więc dwie możliwości, a mianowicie:

1) może on wybrać najkorzystniejszą ofertę bez negocjacji albo

2) prowadzić negocjacje w celu ulepszenia treści ofert, które podlegają ocenie w ramach kryteriów oceny ofert, o ile przewidział taką możliwość, a po zakończeniu negocjacji zamawiający zaprasza wykonawców do składania ofert dodatkowych.

Z nowej wersji projektu nowelizacji PZP wynika, że w wariancie 2 zamawiający w zaproszeniu do negocjacji będzie wskazywał kryteria oceny ofert w ramach których będą prowadzone negocjacje w celu ulepszenia treści ofert (zob. dodany art. 289 ust. 5 PZP), podobnie jak miejsce, termin i sposób prowadzenia negocjacji. Zamawiający będzie miał obowiązek poinformowania równocześnie wszystkich wykonawców, którzy w odpowiedzi na ogłoszenie o zamówieniu złożyli oferty, o:

1) wykonawcach, których oferty nie zostały odrzucone oraz o punktacji przyznanej ofertom w każdym kryterium oceny ofert i łącznej punktacji,

2) wykonawcach, których oferty zostały odrzucone,

3) wykonawcach którzy nie zostali zakwalifikowani do negocjacji oraz o punktacji przyznanej ich ofertom w każdym kryterium oceny ofert i łącznej punktacji, w przypadku, o którym mowa w art. 288 ust. 1 PZP

– podając uzasadnienie faktyczne i prawne.

Ponadto, zmiana w art. 293 ust. 1 polega na doprecyzowaniu, że w wariancie 2 trybu podstawowego wykonawca nie musi brać udziału w negocjacjach, a zamawiający zaprasza do składania ofert dodatkowych (nazwanych w pierwotnie uchwalonej PZP – ostatecznymi) wszystkich wykonawców, których oferty złożone w odpowiedzi na ogłoszenie o zamówieniu nie zostały odrzucone. Zamawiający będzie wyznaczał termin na złożenie ofert dodatkowych z uwzględnieniem czasu potrzebnego na przygotowanie tych ofert, z tym że termin ten nie może być krótszy niż 5 dni od dnia przekazania zaproszenia do składania ofert dodatkowych.

W wariancie 2 trybu podstawowego wykonawca może (ale nie musi) złożyć ofertę dodatkową, która zawiera nowe propozycje w zakresie treści oferty podlegających ocenie w ramach kryteriów oceny ofert wskazanych przez zamawiającego w zaproszeniu do negocjacji. Z projektowanego art. 296 ust. 2 zd. 2 PZP wynika teraz wyraźnie, że oferta dodatkowa nie może być mniej korzystna w żadnym z kryteriów oceny ofert wskazanych w zaproszeniu do negocjacji niż oferta złożona w odpowiedzi na ogłoszenie o zamówieniu. Wyjaśniono również, że oferta przestaje wiązać wykonawcę, w zakresie w jakim wykonawca złoży ofertę dodatkową zawierającą korzystniejsze propozycje w ramach każdego z kryteriów oceny ofert wskazanych w zaproszeniu do negocjacji. Oznacza to, że oferta dodatkowa stanowi jedynie wyjątkowo dopuszczalną zmianę pierwotnie oferowanych elementów oferty, które podlegają ocenie w ramach kryteriów oceny ofert wskazanych przez zamawiającego w zaproszeniu do negocjacji. W pozostałym zakresie wykonawca jest nadal związany ofertą złożoną w odpowiedzi na ogłoszenie o zamówieniu w BZP. Oferta dodatkowa nie jest samoistną ofertą, tylko modyfikacją oferty złożonej w odpowiedzi na ogłoszenie o zamówieniu, wykonawca pozostaje związany ofertą dodatkową wyłącznie do upływu terminu związania ofertą złożoną w odpowiedzi na ogłoszenie. Dodatkowo, w art. 296 ust. 2 zd. 4 proponuje się unormowanie wprost, że oferta dodatkowa, która jest mniej korzystna w którymkolwiek z kryteriów oceny ofert wskazanych w zaproszeniu do negocjacji niż oferta złożona w odpowiedzi na ogłoszenie o zamówieniu podlega odrzuceniu. W przypadku odrzucenia oferty dodatkowej wykonawca pozostaje związany ofertą złożoną w odpowiedzi na ogłoszenie o zamówieniu.

Tryb podstawowy wariant 3 – co nowego ?

W zakresie wariantu 3 trybu podstawowego zwraca się w projekcie uwagę na wyodrębnienie 3 etapów:

  1. w pierwszym etapie – w odpowiedzi na ogłoszenie o zamówieniu w BZP oferty mogą składać wszyscy zainteresowani wykonawcy,

  2. w drugim etapie – zamawiający prowadzi negocjacje w celu ulepszenia treści ofert,

  3. w trzecim etapie – wykonawcy składają oferty ostateczne, a zamawiający dokonuje wyboru oferty najkorzystniejszej, przy czym do składania ofert ostatecznych zamawiający zaprasza wszystkich wykonawców, których oferty złożone w odpowiedzi na ogłoszenie o zamówieniu nie zostały odrzucone, i którzy brali udział w negocjacjach.

Doprecyzowuje się w przypadku wariantu 3, że opis potrzeb i wymagań zawiera informację, czy zamawiający przewiduje możliwość ograniczenia liczby wykonawców, których zaprosi do negocjacji, stosując kryteria oceny ofert. Zamawiający poinformuje równocześnie każdego z wykonawców z osobna o:

1) odrzuceniu jego oferty albo

2) w przypadku, o którym mowa w art. 288 ust. 1 PZP, o niezakwalifikowaniu jego oferty do negocjacji oraz o przyznanej punktacji w każdym kryterium oceny oferty i łącznej punktacji

– podając uzasadnienie faktyczne i prawne.

Termin związania ofertą

Istotne doprecyzowanie w projekcie ustawy dotyczy terminu związania ofertą przez wykonawcę. Zarówno w odniesieniu do postępowań o wartości mniejszej od progów unijnych, jak i gdy wartość jest równa lub przekracza progi unijne, dookreślono, że wykonawca jest związany ofertą od upływu terminu składania ofert, przy czym pierwszym dniem terminu związania ofertą jest dzień, w którym upływa termin składania ofert.

[Projekt: https://legislacja.rcl.gov.pl/docs//2/12336304/12702327/12702328/dokument468526.pdf]

Wydawnictwo C.H.Beck

ul. Bonifraterska 17
00-203 Warszawa
E-mail: [email protected]
NIP: 522-010-50-28,
KRS: 0000155734
Sąd Rejonowy dla m. st. Warszawy
w Warszawie
Kapitał Spółki: 88 000 zł

Inne produkty Legalis

Infolinia: 22 311 22 22

Zobacz także

© 2024 Legalis Księgowość Kadry Biznes

Wypróbuj Legalis Księgowość Kadry Biznes

Zadzwoń: 22 311 22 22

lub zostaw swoje dane, a Doradca przeprowadzi szkolenie z obsługi i uruchomi dostęp:

W polu numeru telefonu należy stosować wyłącznie cyfry (min. 9).

W polu numeru NIP należy stosować wyłącznie cyfry (min. 10).

Wyślij
Oferta nie jest dostępna dla osób fizycznych nieprowadzących działalności gospodarczej.

* Pola wymagane
Administratorem danych osobowych jest Wydawnictwo C.H.Beck sp. z o.o., Warszawa, ul. Bonifraterska 17, kontakt: daneosobowe[at]beck.pl. Dane przetwarzamy w celu marketingu własnych produktów i usług, w celach wskazanych w treści zgód, jeśli były wyrażane, w celu realizacji obowiązków prawnych, oraz w celach statystycznych. W sytuacjach przewidzianych prawem, przysługują Ci prawa do: dostępu do swoich danych, otrzymania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, cofnięcia zgody oraz wniesienia sprzeciwu wobec przetwarzania danych. Pełne informacje w Polityce prywatności.

Zaloguj się do Systemu Legalis