Stosowanie wymagań RODO w poszczególnych obszarach zarządzania zasobami ludzkimi Szkolenie z zakresu wdrażania przepisów rozporządzenia unijnego o ochronie danych osobowych RODO W dniu 25 maja 2018 r na terytorium całej UE ID: 815710
Download The PPT/PDF document "WDROŻENIE WYMAGAŃ RODO" is the property of its rightful owner. Permission is granted to download and print the materials on this web site for personal, non-commercial use only, and to display it on your personal computer provided you do not modify the materials and that you retain all copyright notices contained in the materials. By downloading content from our website, you accept the terms of this agreement.
Slide1
WDROŻENIE WYMAGAŃ RODO
Stosowanie wymagań RODO w poszczególnych obszarach zarządzania zasobami ludzkimi
Slide2Szkolenie z zakresu wdrażania przepisów rozporządzenia unijnego o ochronie danych osobowych (RODO)
W dniu 25 maja 2018 r. na terytorium całej UE
zacznie obowiązywać
jednolita regulacja w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych oraz w sprawie swobodnego przepływu takich danych (RODO).
RODO Ze względu na swój charakter będzie oddziaływać bezpośrednio na prawa i obowiązki zarówno osób, których dane dotyczą, jak również administratorów danych osobowych (ADO) i podmiotów przetwarzających. RODO przyznaje szereg nowych uprawnień osobom, których dane dotyczą, nakładając jednocześnie nowe wymogi i obowiązki związane z przetwarzaniem danych.
Slide3Skąd się wziął pomysł na
rodo
?
Afery „globalne”
1.
afera
PRISM
- systemu pozyskiwania informacji w
internecie
przez amerykańskie służby specjalne, powołujące się na zagrożenie terroryzmem.
Program PRISM umożliwiał dostęp służb specjalnych USA do danych klientów
amerykańskich firm
o zasięgu globalnym, w tym gigantów internetowych jak
Microsoft, Yahoo, Google,
Facebook
,
YouTube
czy
Skype
.
2.
afera ochrony danych osobowych na
Facebook’u
-
portalu społecznościowego o zasięgu globalnym.
Wykorzystanie danych aż 50 milionów użytkowników portalu, mających posłużyć do manipulacji wyborczych podczas kampanii wyborczej Donalda
Trumpa
i referendum w sprawie
Brexitu
.
Slide4Skąd się wziął pomysł na
rodo
?
3.
afera niemieckiej poczty „Deutsche Post”
– od wielu lat sprzedawała dane swoich klientów partiom politycznym.
4.
afera taśmowa w Polsce -
ujawnienia akt ze śledztwa w sprawie tzw. afery podsłuchowej poprzez opublikowanie fotografii akt na profilu społecznościowym Facebook.
Wraz z aktami udostępniono również dziesiątki, o ile nie setki, danych osobowych – imiona i nazwiska, adresy zamieszkania, nr PESEL, itp., a także, prawdopodobnie, inne dane wrażliwe.
Slide5Kogo dotyczy
rodo
?
Rozporządzenie dotyczy
wszystkich przypadków przetwarzania danych osobowych w sposób
całkowicie lub częściowo zautomatyzowany
oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.
Wyłączenia art. 2 RODO: a) w ramach działalności nieobjętej zakresem prawa Unii; b) przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres tytułu V rozdział 2 TUE; c) przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze;
Slide6Kogo dotyczy
rodo
?
d) przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.
Rozporządzenie o Ochronie Danych Osobowych będzie dotyczyło każdego przedsiębiorcy przetwarzającego (czyli również przechowującego) dane osobowe. Do takich danych należą m.in.: imię i nazwisko, adres, numer pesel itd. Te same zapisy obowiązują międzynarodową korporację, bank, agencję marketingową i jednoosobową działalność gospodarczą prowadzącą sklep wysyłkowy.
Slide7Dane osobowe. czyli właściwie co?
Według unijnego rozporządzenia
RODO
, „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”.
Slide8Dane osobowe. czyli właściwie co?
DANE OSOBOWE
ZWYKŁE WRAŻLIWE
art. 6 art. 9
Slide9Podmioty przetwarzania danych osobowych w świetle
rodo
ADMINISTRTOR
decyduje o celach i sposobach przetwarzania danych
może zlecić czynności przetwarzania danych podmiotowi przetwarzającemu
może współdecydować o celach i sposobach przetwarzania danych z innymi administratorami
PODMIOT PRZETWARZAJĄCY
przetwarza dane wyłącznie w zakresie i celu wskazanym przez administratora
Zapewnia bezpieczeństwo przetworzonych danych realizując wymagania art. 32 RODO
Wspiera administratora danych w realizacji obowiązków wynikających z RODO
jest zobowiązany do poddawania się audytom
Slide10Przykłady podmiotów
przetwarzajacych
dane osobowe
Administrator:
Pracodawca:
prowadzi procesy rekrutacji
nawiązuje stosunek pracy z pracownikami
nawiązuje stosunek pracy ze współpracownikami
może pełnić rolę pracodawcy użytkownika
może współpracować ze stażystami, praktykantami etc.może zapewnić dodatkowe świadczenia (ZFŚS, świadczenia rekreacyjne, prywatna opieka medyczna, ubezpieczenia grupowe etc.)
Podmiot przetwarzający:
zewnętrzna obsługa księgowa
zewnętrzna obsługa prawna
zewnętrzna obsługa informatyczna
zewnętrzne archiwum
zewnętrzne firmy doradcze,
zewnętrzne firmy monitorujące
Hosting
Slide11Przykłady podmiotów przetwarzających dane osobowe
Administrator:
2) Związki zawodowe
3) Punkty medyczne
4) Benefit etc.
Slide12Przetwarzanie. Czyli co ?
Przetwarzanie
-
oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak
zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie
lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Slide13Obszary wymagań
rodo
z perspektywy obowiązków administratora (art. 5-39)
Zasady przetwarzania danych (art. 5-11) tzn. co należy zrobić, aby uzyskać dane osobowe w sposób legalny,
Uprawnienia podmiotu danych (art. 12-22) tzn. poinformować o tym druga stronę,
Obowiązki administratora danych osobowych (art. 24-39) tzn. obowiązki procedur powierzenia danych (w sferze wewnętrznej oraz zewnętrznej)
Slide14Zasady przetwarzania według
rodo
– art. 5
Dane osobowe muszą być:
a
) przetwarzane
zgodnie z prawem
, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
b) zbierane w konkretnych, wyraźnych i
prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”); c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”); d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane
(„prawidłowość”);
Slide15Zasady przetwarzania według
rodo
– art. 5
e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą
(„ograniczenie przechowywania”)
Slide16Zgodność z prawem
tzn
?
Wiem, że mam podstawę prawną do ich zbierania do dalszego przetwarzania !
np. art. 21 (1) Kodeksu Pracy
art. 6 RODO
i inne przepisy ustaw
szczególnych
Slide17Zgodność z prawem
tzn
?
Art. 6 RODO
Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony
jest co najmniej jeden z poniższych warunków
:
a) osoba, której dane dotyczą wyraziła
zgodę
na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy
publiczne w ramach realizacji swoich zadań.
Slide18Ad. Art. 6 Pkt. a) Zgoda na przetwarzanie danych
ZGODA
WYRAŹNA W DOWOLNEJ FORMIE
UWAGA! Nie może być dorozumiana.
Slide19Ad. Art. 6
Pkt
a) zgoda na przetwarzanie danych
Art. 7 RODO
1. Administrator
musi być w stanie wykazać
, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.
2. Jeżeli osoba, której dane dotyczą, wyrażą zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii,
zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii,
w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Część takiego oświadczenia osoby, której dane dotyczą, stanowiąca naruszenie niniejszego rozporządzenia nie jest wiążąca. 3. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie. 4. Oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.
Slide20Klauzula zgody w dniu 25.05.2018 r
.
Szanowni Państwo,
uprzejmie informujemy, że z dniem 25 maja 2018 roku na terytorium wszystkich krajów Unii Europejskiej rozpoczyna się stosowanie ogólnego rozporządzenia ochrony danych osobowych z dnia 26.04.2016 roku (dalej RODO), które reguluje zasady przetwarzania Państwa danych osobowych. W związku z powyższym w trosce o Państwa prywatność i ochronę danych osobowych przesyłamy szczegółowe informacje dotyczące sposobu przetwarzania Państwa danych osobowych przez podmioty zewnętrzne. Jednocześnie w celu potwierdzenia Państwa woli w kwestii sposobu przetwarzania danych osobowych uprzejmie prosimy o wyrażenie stosownych zgód zgodnie z treścią wskazaną poniżej.
Slide21Cel prawnie uzasadniony
tzn
?
Szczegółowe wskazanie celu pozyskania danych np.:
obecnej rekrutacji
przyszłej rekrutacji
doprowadzenia do zawarcia i realizacji/wykonania umowy …..
Itd..
Slide22Minimalizacja danych
tzn
?
Nie zbieram danych „na zapas”!
Np. - przy rekrutacji pracowników możemy żądać wyłącznie danych wskazanych w art. 21 (1) Kodeksu Pracy
- przy realizacji umowy cywilnoprawnej danych niezbędnych do oznaczenia strony umowy
Slide23Prawidłowość
tzn
?
Pilnuję, aby dane były aktualne !
Slide24Okres przechowywania danych
Wiem jak długo mogę przechowywać dane !
Slide25Czemu służą zasady przetwarzania danych po stronie administratora?
Administrator jest odpowiedzialny za przestrzeganie przepisów art. 5 ust. 1 RODO i musi być w stanie wykazać ich przestrzeganie.
Pod rygorem art. 24 RODO zobowiązany jest zbierać dowody w zakresie uzyskania danych w sposób legalny oraz wykazać wprowadzenie polityk np. bezpieczeństwa danych, zarządzania systemem informatycznym itp. W przeciwnym razie przyjmuje nam się winę braku ochrony danych osobowych.
Slide26W JAKI SPOSÓB WDROŻYĆ OBOWIĄZKI ADMINISTRATORA ?
I. KLAUZULA INFORMACYJNA (ART. 13 RODO)
Slide27Uprawnienia podmiotu danych (art. 12-22)
Art. 13 RODO – OBOWIĄZEK INFORMACYJNY
Administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:
a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
b) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
c) cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
Slide28Uprawnienia podmiotu danych (art. 12-22)
d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
f) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.
Slide29ZAKRES PRAW PRZYSŁUGUJĄCYCH PODMIOTOM DANYCH (ART. 15-22)
PRAWO DOSTĘPU DO INFORMACJI
PRAWO DO SPROSTOWANIA DANYCH
PRAWO DO USUNIĘCIA DANYCH
PRAWO DO OGRANICZENIA PRZETWARZANIA
PRAWO DO PRZENOSZENIA DANYCH
PRAWO DO ZŁOZENIA SPRZECIWU
ZAUTOMATYZOWANE PODEJMOWANIE DECYZJI
Slide30ĆWICZENIE NR 1
OPRACUJ TREŚĆ KLAUZULI INFORMACYJNEJ:
WOBEC KANDYDATA DO PRACY
WOBEC PRACOWNIKA ZATRUDNIONEGO
Slide31OBOWIĄZKI ADMINISTRATORA DANYCH (ART. 24-39)
I.ZABEZPIECZ DANE !!!
Slide32WYTYCZNE W ZAKRESIE STOSOWANIA ŚRODKÓW BEZPIECZEŃSTWA
Administrator i podmiot przetwarzający wdrażają
odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku
, w tym między innymi w stosownym przypadku:
pseudonimizację
i szyfrowanie danych osobowych;
zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
regularne testowanie, mierzenie i ocenianie skuteczności środków te
Slide33Bezpieczeństwo zewnętrzne
UMOWA POWIERZENIA DANYCH
Slide34Umowa powierzenia danych
Art. 28 RODO
Administratora, korzysta on
wyłącznie
z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.
2. Podmiot przetwarzający
nie korzysta
z usług innego podmiotu przetwarzającego
bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora.
W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian. 3. Jeżeli do wykonania w imieniu administratora konkretnych czynności przetwarzania podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają – na mocy umowy lub innego aktu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego – te same obowiązki ochrony danych jak w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym, o których to obowiązkach mowa w ust. 3, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom niniejszego rozporządzenia.
Slide35Zabezpieczenie wewnętrzne
Upoważnienie
Art. 29 RODO
Podmiot przetwarzający oraz każda osoba działająca z
upoważnienia
administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora
Art. 32 ust. 4 RODO
Administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca
z upoważnienia administratora lub podmiotu przetwarzającego
, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.
Slide36UPoważnienie
PAMIĘTAJ!
W upoważnieniu należy zobowiązać
upoważnionego do zachowania w tajemnicy:
danych osobowych
informacji o stosowanych zabezpieczeniach wobec danych osobowych
Slide37zasad bezpieczeństwa urządzeń dostępowych
Chroń dostęp do urządzeń hasłem/pinem/kartą
Instaluj aktualizacje bezpieczeństwa
Włącz funkcję blokowania ekranu
Używaj zawsze aktualnego oprogramowania antywirusowego
Nie używaj bez skanowania pen
driva
, który był podłączony do innego komputera
Szyfruj twarde dyski, pen
driva itp.Wykonuj kopie bezpieczeństwa Szyfruj kopie bezpieczeństwa
Szyfruj wiadomości wysłane do adresata
Nie otwieraj załączników o rozszerzeniach:
exe
, pif,
scr
, bat – zawsze
zawirają
zawirusowane pliki!!!
Slide38Obowiązki administratora danych c.d.
II. Wprowadzenie rejestru czynności przetwarzania danych – po 25.05.2018 r.
Wyłączenie stosowania art. 30 ust. 5 RODO
Obowiązki, o których mowa w ust. 1 i 2, nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.
Slide39Naruszenie ochrony danych
1
.
zawiadomienie organu nadzorczego art. 33 RODO
W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości,
nie później niż w terminie 72 godzin po stwierdzeniu naruszenia
– zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
2. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi.
Slide40Naruszenie ochrony danych osobowych
2.
2. zawiadomienie podmiotu danych art. 34 RODO
Zawiadomienie, o którym mowa w ust. 1, nie jest wymagane, w następujących przypadkach:
a) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
b) administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w ust. 1;
c) wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
Slide41Skutki naruszenia danych osobowych
Obecnie – odpowiedzialność cywilnoprawna każdego podmiotu do którego zastosowanie ma ustawa o Ochronie danych osobowych tj. art. 3 UODO.
Rodzaje roszczeń cywilnoprawnych za naruszenie zasad ochrony danych osobowych:
Żądanie zaniechania naruszeń
Żądanie usunięcia skutków naruszenia
Zadośćuczynienia pieniężnego
Naprawienia szkody majątkowej (odszkodowanie)
Żądania usunięcia danych ze zbiorów danych
Żądania ustalenia że doszło do naruszenia
zasd
ochorny
danych osobowych
Slide42Skutki naruszenia danych osobowych
Odpowiedzialność wg RODO po 25.05.2018 rok
Art. 82
1.Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego
odszkodowanie
za poniesioną szkodę.
2. Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.
Slide43Skutki naruszenia danych osobowych
Obecnie odpowiedzialność karna – art. 48 UODO
1. Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie,
karze ograniczenia wolności albo pozbawienia wolności do lat 2.
2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, sprawca podlega grzywnie,
karze ograniczenia wolności albo pozbawienia wolności do lat 3.
Slide44Zasady nakładania kar
administraycjnych
za naruszenia danych osobowych
Zwraca się uwagę na:
charakter, wagę, czas trwania naruszenia
Umyślny lub
niumyślny
charakter naruszenia
Działania podjęte przez
adminoistratora lub podmiotu przetwarzajacego w celu zminimalizowania szkodyStopień odpowiedzialności z uwzględnieniem wdrożonych środków technicznych i organizacyjnychKategorię danych osobowych których dotyczyło naruszenieSposób w jaki organ nadzorczy dowiedział się o naruszeniu danych
Slide45KONIEC!