Dane osobowe po 25 maja 2018 - PowerPoint Presentation

Slide1

Dane osobowe po 25 maja 2018

Slide2

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

Wyższość prawa UE nad polskim, co powoduje konieczność stosowania Rozporządzenia RODO.

Nowa ustawa o ochronie danych osobowych.

Zmiany od 25 maja 2018.

Slide3

Główne zmiany

Inspektor ochrony danych zamiast ABI,

Brak zgłaszania zbiorów danych do GIODO,

W przypadku powołania inspektora ochrony danych osobowych prowadzenie rejestru czynności przetwarzania danych osobowych, za które odpowiada administrator danych.

Zbieranie zgód na przetwarzanie danych.

Zmiany dot. polityki bezpieczeństwa.

Slide4

Zgoda na przetwarzanie danych

Zgody złożone przed 25 maja 2018 zachowują ważność,

 RODO wskazuje na konieczność uprzedniego poinformowania osoby fizycznej o

 możliwości wycofania zgody w dowolnym momencie

.

Zgody te są ważne jeśli zawierają powyższą klauzulę.

Slide5

Zgoda na przetwarzanie danych według RODO

Może mieć formę pisemną (w tym elektroniczną) lub ustną,

polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej lub na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego,

polegać na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych.

Slide6

Ogólne rozporządzenie o ochronie danych wprost wskazuje, że milczenie osoby fizycznej, okienka domyślnie zaznaczone lub niepodjęcie działania nie mogą być uznane za wyrażenie zgody na przetwarzanie danych.

Slide7

jeżeli administrator planuje przetwarzać dane osobowe w innym celu niż ten, w którym dane osobowe zostały zebrane,

powinien poinformować osobę, której dane dotyczą, o tym innym celu oraz udzielić jej pozostałych stosownych informacji.

Informacje powinny zostać podane w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.

Slide8

Co powinna zawierać informacja

danych organizacji, w tym danych kontaktowych i informacji o przedstawicielu jeśli jest;

danych kontaktowych inspektora ochrony danych;

celu przetwarzania danych i podstawie prawnej;

odbiorcach danych lub kategorii odbiorców jeśli występują;

okresie przechowywania danych;

prawie osoby do żądania informacji, prawie do cofnięcia zgody i sposobie w jaki można to zrobić, prawie do wniesienia skargi do organu nadzorczego;

tym, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;

Slide9

Prawo do bycia zapomnianym

Zgodnie z zapisami w artykule 17. RODO osoby, których dane są przetwarzane mają prawo do zgłoszenia administratorom żądania o ich natychmiastowe usunięcie.

Równocześnie administrator ma obowiązek natychmiast taką prośbę spełnić - o ile spełniony zostanie jeden z poniższych warunków:

Slide10

dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;

osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie (...) i nie ma innej podstawy prawnej przetwarzania;

Slide11

Inne uprawnienia osób, których dane dotyczą

prawo do informacji o tym, jakie dane i w jakich celach są przetwarzane, a w przypadku zautomatyzowanego podejmowania decyzji (w tym profilowania) – także do informacji o zasadach ich podejmowania, znaczeniu i przewidywanych konsekwencjach takiego przetwarzania (zgodnie z art. 12, 13 i 14);

prawo do udostępniania i przeniesienia danych (zgodnie z art. 15 i 20);

prawo do poprawienia i usunięcia danych (zgodnie z art. 16 i 17);

prawo do wycofania zgody w każdym momencie, zgłoszenia sprzeciwu lub żądania ograniczenia przetwarzania danych (zgodnie z art. 7, 18 i 21);

prawo do ludzkiej interwencji i zakwestionowania decyzji w sytuacji, kiedy system mówi „nie” (zgodnie z art. 22)

Slide12

Inspektor ochrony danych osobowych

Czy organizacja musi go powoływać?

Nie zawsze jest to wymagane – grafika.

Inspektora musi powoływać organizacja przetwarzająca dane wrażliwe (art. 9 ust. 1 RODO) oraz

Organizacja, która przetwarza dane dot. wyroków (art.10).

Slide13

Pomimo braku obowiązku

Warto ich wyznaczyć.

Inspektorzy ochrony danych mogą bowiem znacznie ułatwić przestrzeganie nowych przepisów oraz odegrać istotną rolę w pośredniczeniu pomiędzy zainteresowanymi stronami (np. organem ochrony danych osobowych, podmiotami danych oraz poszczególnymi jednostkami w ramach jednej organizacji).

Slide14

Inspektor

Możliwość powołania jednego inspektora dla kilku podmiotów,

Może być to pracownik organizacji, ale także osoba z zewnątrz, także zlecona usługa.

Ważne, żeby to była niezależna (coś na kształt samodzielnego stanowiska)

Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań

Slide15

Aby w sposób należyty wykonywać swoje obowiązki inspektor ochrony danych powinien wykazywać się wiedzą zarówno teoretyczną, jak i praktyczną dotyczącą ogólnego rozporządzenia o ochronie danych oraz przepisów krajowych regulujących przetwarzanie danych.

Slide16

Zgodnie z RODO,

nie ma obowiązku rejestracji

inspektora ochrony danych w organie nadzorczym, a samo powołanie takiej osoby przez administratora będzie wystarczające dla przyjęcia wszelkich skutków, jakie z tym faktem wiąże rozporządzenie o ochronie danych.

RODO przewiduje natomiast

obowiązek publikowania danych kontaktowych inspektora ochrony danych

oraz poinformowania o jego powołaniu i przekazanie odpowiednich danych kontaktowych DPO organowi nadzorczemu

Slide17

Zadania Inspektora

M.in. obowiązek prowadzenia rejestru czynności przetwarzania danych,

Rejestru nie trzeba prowadzić, gdy zatrudnia się mniej niż 250 pracowników.

Slide18

Polityki bezpieczeństwa

Rozporządzenie nie wprowadza formalnego obowiązku prowadzenia dokumentacji przetwarzania danych osobowych przez wszystkich administratorów danych.

Jednak zgodnie z nim, aby wykazać, że jego regulacje są przestrzegane, administrator danych powinien przyjąć wewnętrzne polityki i wdrożyć odpowiednie środki, by zapewnić skuteczną ochronę danych osobowych.

Slide19

Oznacza to, że wprawdzie formalnie nie będziesz trzeba wdrażać polityki bezpieczeństwa, jednakże polski organ nadzorczy będzie weryfikował, jak administratorzy dbają o realizację obowiązków, które wynikają z rozporządzenia unijnego.

Aby wykazać, że odpowiednie środki w celu skutecznej ochrony danych osobowych zostały wdrożone, administrator będzie musiał wprowadzić wewnętrzną politykę bezpieczeństwa.

W razie kontroli taką politykę można przedstawić organowi nadzorczemu.

Slide20

Zasady chronienia danych

Polityki bezpieczeństwa zastąpi analiza ryzyka.

Uchylone zostanie rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024), na podstawie którego tworzono Politykę bezpieczeństwa i Instrukcje zarządzania systemem informatycznym.

W większości organizacji pozarządowych te dokumenty były podstawą do określenia obowiązków w zakresie danych osobowych

Slide21

Nie znaczy to jednak, że z chwilą uchylenia rozporządzenia z dnia 29 kwietnia 2004 r. wszystkie Polityki i Instrukcje stracą moc.

Jeżeli analiza ryzyka przeprowadzona w organizacji pozarządowej potwierdzi, że są one wystarczające, będzie można je również stosować po 25 maja 2018.

Slide22

Zgodnie art. 24 RODO, przystępując do wdrożenia „odpowiednich środków technicznych i organizacyjnych” (zapewniających zgodność przetwarzania danych z prawem), administrator powinien uwzględnić:

charakter, zakres, kontekst i cele przetwarzania,

stan wiedzy technicznej i koszt wdrażania oraz

ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia.

Slide23

Analiza ryzyka

Co warto wziąć pod uwagę:

w ilu lokalizacjach organizacja ma swoją siedzibę?

czy w każdej lokalizacji organizacja prowadzi działalność związaną z przetwarzaniem danych osobowych?

ile osób ma dostęp do danych osobowych?

czy osoby mające dostęp do danych to tylko pracownicy, czy też

wolonatiusze

lub osoby z zewnątrz?

dane ilu osób są przetwarzane?

czy są to dane o charakterze wrażliwym – jeżeli tak, to jakim?

Slide24

Czy jako organizacja jesteśmy w stanie wskazać i obronić podstawę prawną dla każdego rodzaju danych i każdego celu, w jakim dane są przetwarzane?

Czy te podstawy prawne zostały zebrane w jednym miejscu (choćby wewnętrznym dokumencie)?

Kto i jak często weryfikuje, czy w organizacji nie pojawiają się dane przetwarzane bez podstawy prawnej (np. folder z niestandardową korespondencją, pozostałości po zamkniętej już rekrutacji)?

Jeśli jedną z podstaw przetwarzania danych jest zgoda, w jaki sposób jest ona zbierana, jak jest dokumentowana i kto kontroluje, czy nie została odwołana?

Jaka procedura jest uruchamiana w przypadku odwołania zgody?

Slide25

Czy jako organizacja potraficie wskazać cel każdego procesu w organizacji, który angażuje dane osobowe?

Kto i w jaki sposób weryfikuje, czy dane w organizacji nie są przetwarzane dłużej, niż to niezbędne do realizacji założonego celu?

Czy terminy usuwania danych w systemach informatycznych są z góry ustalane?

Jeśli tak, od czego zależy długość tych terminów? Jeśli nie, jak często przydatność danych jest weryfikowana?

Czy oprogramowanie, z którego korzysta organizacja, pozwala na usunięcie danych wtedy, kiedy przypada wyznaczony termin lub dane okazują się nieprzydatne?

Slide26

W jaki sposób systemy informatyczne działające w organizacji zostały zabezpieczone przed nieuprawnionym dostępem (hasła,

tokeny

etc.)?

Czy każdy nowo wprowadzany system przechodzi jakiś rodzaj sprawdzenia pod kątem bezpieczeństwa (testy wewnętrzne, konsultacje z zewnętrznymi ekspertami)?

Czy kiedykolwiek doszło w organizacji do utraty danych (wycieku, zgubienia, nieautoryzowanego dostępu)? Jeśli tak, jakie wyciągnęliście z tego wnioski?

Czy

wiedzielibyście, gdyby doszło do takiego wycieku

?

Jakie

szkolenia i instrukcje otrzymują osoby pracujące z danymi w organizacji? Czy są przygotowane na typowe zagrożenia? Jak często ich wiedza i umiejętności w tym zakresie są weryfikowane?

Slide27

Kary za niestosowanie się do przepisów

ostrzeżenia (o możliwości naruszenia przepisów);

udzielanie upomnień (w przypadku naruszenia przepisów);

nakazanie spełnienia żądania osoby, której dane dotyczą;

nakazanie dostosowania operacji przetwarzania do przepisów RODO;

wprowadzenie czasowego lub całkowitego ograniczenia przetwarzania danych (w tym transferów międzynarodowych).

Możliwe kary finansowe do 20 000 000 Euro

Możliwe kontrole ze strony organu nadzorującego – Urząd Ochrony Danych Osobowych (zastąpił GIODO),

Slide28

Ochrona cywilna

Każda osoba, której prawa przysługujące na mocy przepisów o ochronie danych osobowych zostały naruszone, może żądać, zaniechania tego działania a także może żądać ażeby ten, kto dopuścił się naruszenia, dopełnił czynności potrzebnych do usunięcia jego skutków.