WDROŻENIE WYMAGAŃ RODO - PowerPoint Presentation

Slide1

WDROŻENIE WYMAGAŃ RODO

Stosowanie wymagań RODO w poszczególnych obszarach zarządzania zasobami ludzkimi

Slide2

Szkolenie z zakresu wdrażania przepisów rozporządzenia unijnego o ochronie danych osobowych (RODO)

W dniu 25 maja 2018 r. na terytorium całej UE

zacznie obowiązywać

jednolita regulacja w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych oraz w sprawie swobodnego przepływu takich danych (RODO).

RODO Ze względu na swój charakter będzie oddziaływać bezpośrednio na prawa i obowiązki zarówno osób, których dane dotyczą, jak również administratorów danych osobowych (ADO) i podmiotów przetwarzających. RODO przyznaje szereg nowych uprawnień osobom, których dane dotyczą, nakładając jednocześnie nowe wymogi i obowiązki związane z przetwarzaniem danych.

Slide3

Skąd się wziął pomysł na

rodo

?

Afery „globalne”

1.

afera

PRISM

- systemu pozyskiwania informacji w

internecie

przez amerykańskie służby specjalne, powołujące się na zagrożenie terroryzmem.

Program PRISM umożliwiał dostęp służb specjalnych USA do danych klientów

amerykańskich firm

o zasięgu globalnym, w tym gigantów internetowych jak

Microsoft, Yahoo, Google,

Facebook

,

YouTube

czy

Skype

.

2.

afera ochrony danych osobowych na

Facebook’u

-

portalu społecznościowego o zasięgu globalnym.

Wykorzystanie danych aż 50 milionów użytkowników portalu, mających posłużyć do manipulacji wyborczych podczas kampanii wyborczej Donalda

Trumpa

i referendum w sprawie

Brexitu

.

Slide4

Skąd się wziął pomysł na

rodo

?

3.

afera niemieckiej poczty „Deutsche Post”

– od wielu lat sprzedawała dane swoich klientów partiom politycznym.

4.

afera taśmowa w Polsce -

ujawnienia akt ze śledztwa w sprawie tzw. afery podsłuchowej poprzez opublikowanie fotografii akt na profilu społecznościowym Facebook.

Wraz z aktami udostępniono również dziesiątki, o ile nie setki, danych osobowych – imiona i nazwiska, adresy zamieszkania, nr PESEL, itp., a także, prawdopodobnie, inne dane wrażliwe.

Slide5

Kogo dotyczy

rodo

?

Rozporządzenie dotyczy

wszystkich przypadków przetwarzania danych osobowych w sposób

całkowicie lub częściowo zautomatyzowany

oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.

Wyłączenia art. 2 RODO: a) w ramach działalności nieobjętej zakresem prawa Unii; b) przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres tytułu V rozdział 2 TUE; c) przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze;

Slide6

Kogo dotyczy

rodo

?

d) przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.

Rozporządzenie o Ochronie Danych Osobowych będzie dotyczyło każdego przedsiębiorcy przetwarzającego (czyli również przechowującego) dane osobowe. Do takich danych należą m.in.: imię i nazwisko, adres, numer pesel itd. Te same zapisy obowiązują międzynarodową korporację, bank, agencję marketingową i jednoosobową działalność gospodarczą prowadzącą sklep wysyłkowy.

Slide7

Dane osobowe. czyli właściwie co?

Według unijnego rozporządzenia

RODO

, „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”.

Slide8

Dane osobowe. czyli właściwie co?

DANE OSOBOWE

ZWYKŁE WRAŻLIWE

art. 6 art. 9

Slide9

Podmioty przetwarzania danych osobowych w świetle

rodo

ADMINISTRTOR

decyduje o celach i sposobach przetwarzania danych

może zlecić czynności przetwarzania danych podmiotowi przetwarzającemu

może współdecydować o celach i sposobach przetwarzania danych z innymi administratorami

PODMIOT PRZETWARZAJĄCY

przetwarza dane wyłącznie w zakresie i celu wskazanym przez administratora

Zapewnia bezpieczeństwo przetworzonych danych realizując wymagania art. 32 RODO

Wspiera administratora danych w realizacji obowiązków wynikających z RODO

jest zobowiązany do poddawania się audytom

Slide10

Przykłady podmiotów

przetwarzajacych

dane osobowe

Administrator:

Pracodawca:

prowadzi procesy rekrutacji

nawiązuje stosunek pracy z pracownikami

nawiązuje stosunek pracy ze współpracownikami

może pełnić rolę pracodawcy użytkownika

może współpracować ze stażystami, praktykantami etc.może zapewnić dodatkowe świadczenia (ZFŚS, świadczenia rekreacyjne, prywatna opieka medyczna, ubezpieczenia grupowe etc.)

Podmiot przetwarzający:

zewnętrzna obsługa księgowa

zewnętrzna obsługa prawna

zewnętrzna obsługa informatyczna

zewnętrzne archiwum

zewnętrzne firmy doradcze,

zewnętrzne firmy monitorujące

Hosting

Slide11

Przykłady podmiotów przetwarzających dane osobowe

Administrator:

2) Związki zawodowe

3) Punkty medyczne

4) Benefit etc.

Slide12

Przetwarzanie. Czyli co ?

Przetwarzanie

-

oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak

zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie

lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Slide13

Obszary wymagań

rodo

z perspektywy obowiązków administratora (art. 5-39)

Zasady przetwarzania danych (art. 5-11) tzn. co należy zrobić, aby uzyskać dane osobowe w sposób legalny,

Uprawnienia podmiotu danych (art. 12-22) tzn. poinformować o tym druga stronę,

Obowiązki administratora danych osobowych (art. 24-39) tzn. obowiązki procedur powierzenia danych (w sferze wewnętrznej oraz zewnętrznej)

Slide14

Zasady przetwarzania według

rodo

– art. 5

Dane osobowe muszą być:

a

) przetwarzane

zgodnie z prawem

, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);

b) zbierane w konkretnych, wyraźnych i

prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”); c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”); d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane

(„prawidłowość”);

Slide15

Zasady przetwarzania według

rodo

– art. 5

e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą

(„ograniczenie przechowywania”)

Slide16

Zgodność z prawem

tzn

?

Wiem, że mam podstawę prawną do ich zbierania do dalszego przetwarzania !

np. art. 21 (1) Kodeksu Pracy

art. 6 RODO

i inne przepisy ustaw

szczególnych

Slide17

Zgodność z prawem

tzn

?

Art. 6 RODO

Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony

jest co najmniej jeden z poniższych warunków

:

a) osoba, której dane dotyczą wyraziła

zgodę

na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy

publiczne w ramach realizacji swoich zadań.

Slide18

Ad. Art. 6 Pkt. a) Zgoda na przetwarzanie danych

ZGODA

WYRAŹNA W DOWOLNEJ FORMIE

UWAGA! Nie może być dorozumiana.

Slide19

Ad. Art. 6

Pkt

a) zgoda na przetwarzanie danych

Art. 7 RODO

1. Administrator

musi być w stanie wykazać

, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.

2. Jeżeli osoba, której dane dotyczą, wyrażą zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii,

zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii,

w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Część takiego oświadczenia osoby, której dane dotyczą, stanowiąca naruszenie niniejszego rozporządzenia nie jest wiążąca. 3. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie. 4. Oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.

Slide20

Klauzula zgody w dniu 25.05.2018 r

.

Szanowni Państwo,

uprzejmie informujemy, że z dniem 25 maja 2018 roku na terytorium wszystkich krajów Unii Europejskiej rozpoczyna się stosowanie ogólnego rozporządzenia ochrony danych osobowych z dnia 26.04.2016 roku (dalej RODO), które reguluje zasady przetwarzania Państwa danych osobowych. W związku z powyższym w trosce o Państwa prywatność i ochronę danych osobowych przesyłamy szczegółowe informacje dotyczące sposobu przetwarzania Państwa danych osobowych przez podmioty zewnętrzne. Jednocześnie w celu potwierdzenia Państwa woli w kwestii sposobu przetwarzania danych osobowych uprzejmie prosimy o wyrażenie stosownych zgód zgodnie z treścią wskazaną poniżej.

Slide21

Cel prawnie uzasadniony

tzn

?

Szczegółowe wskazanie celu pozyskania danych np.:

obecnej rekrutacji

przyszłej rekrutacji

doprowadzenia do zawarcia i realizacji/wykonania umowy …..

Itd..

Slide22

Minimalizacja danych

tzn

?

Nie zbieram danych „na zapas”!

Np. - przy rekrutacji pracowników możemy żądać wyłącznie danych wskazanych w art. 21 (1) Kodeksu Pracy

- przy realizacji umowy cywilnoprawnej danych niezbędnych do oznaczenia strony umowy

Slide23

Prawidłowość

tzn

?

Pilnuję, aby dane były aktualne !

Slide24

Okres przechowywania danych

Wiem jak długo mogę przechowywać dane !

Slide25

Czemu służą zasady przetwarzania danych po stronie administratora?

Administrator jest odpowiedzialny za przestrzeganie przepisów art. 5 ust. 1 RODO i musi być w stanie wykazać ich przestrzeganie.

Pod rygorem art. 24 RODO zobowiązany jest zbierać dowody w zakresie uzyskania danych w sposób legalny oraz wykazać wprowadzenie polityk np. bezpieczeństwa danych, zarządzania systemem informatycznym itp. W przeciwnym razie przyjmuje nam się winę braku ochrony danych osobowych.

Slide26

W JAKI SPOSÓB WDROŻYĆ OBOWIĄZKI ADMINISTRATORA ?

I. KLAUZULA INFORMACYJNA (ART. 13 RODO)

Slide27

Uprawnienia podmiotu danych (art. 12-22)

Art. 13 RODO – OBOWIĄZEK INFORMACYJNY

Administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:

a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;

b) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;

c) cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;

Slide28

Uprawnienia podmiotu danych (art. 12-22)

d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;

e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

f) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.

Slide29

ZAKRES PRAW PRZYSŁUGUJĄCYCH PODMIOTOM DANYCH (ART. 15-22)

PRAWO DOSTĘPU DO INFORMACJI

PRAWO DO SPROSTOWANIA DANYCH

PRAWO DO USUNIĘCIA DANYCH

PRAWO DO OGRANICZENIA PRZETWARZANIA

PRAWO DO PRZENOSZENIA DANYCH

PRAWO DO ZŁOZENIA SPRZECIWU

ZAUTOMATYZOWANE PODEJMOWANIE DECYZJI

Slide30

ĆWICZENIE NR 1

OPRACUJ TREŚĆ KLAUZULI INFORMACYJNEJ:

WOBEC KANDYDATA DO PRACY

WOBEC PRACOWNIKA ZATRUDNIONEGO

Slide31

OBOWIĄZKI ADMINISTRATORA DANYCH (ART. 24-39)

I.ZABEZPIECZ DANE !!!

Slide32

WYTYCZNE W ZAKRESIE STOSOWANIA ŚRODKÓW BEZPIECZEŃSTWA

Administrator i podmiot przetwarzający wdrażają

odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku

, w tym między innymi w stosownym przypadku:

pseudonimizację

i szyfrowanie danych osobowych;

zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

regularne testowanie, mierzenie i ocenianie skuteczności środków te

Slide33

Bezpieczeństwo zewnętrzne

UMOWA POWIERZENIA DANYCH

Slide34

Umowa powierzenia danych

Art. 28 RODO

Administratora, korzysta on

wyłącznie

z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.

2. Podmiot przetwarzający

nie korzysta

z usług innego podmiotu przetwarzającego

bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora.

W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian. 3. Jeżeli do wykonania w imieniu administratora konkretnych czynności przetwarzania podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają – na mocy umowy lub innego aktu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego – te same obowiązki ochrony danych jak w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym, o których to obowiązkach mowa w ust. 3, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom niniejszego rozporządzenia.

Slide35

Zabezpieczenie wewnętrzne

Upoważnienie

Art. 29 RODO

Podmiot przetwarzający oraz każda osoba działająca z

upoważnienia

administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora

Art. 32 ust. 4 RODO

Administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca

z upoważnienia administratora lub podmiotu przetwarzającego

, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.

Slide36

UPoważnienie

PAMIĘTAJ!

W upoważnieniu należy zobowiązać

upoważnionego do zachowania w tajemnicy:

danych osobowych

informacji o stosowanych zabezpieczeniach wobec danych osobowych

Slide37

zasad bezpieczeństwa urządzeń dostępowych

Chroń dostęp do urządzeń hasłem/pinem/kartą

Instaluj aktualizacje bezpieczeństwa

Włącz funkcję blokowania ekranu

Używaj zawsze aktualnego oprogramowania antywirusowego

Nie używaj bez skanowania pen

driva

, który był podłączony do innego komputera

Szyfruj twarde dyski, pen

driva itp.Wykonuj kopie bezpieczeństwa Szyfruj kopie bezpieczeństwa

Szyfruj wiadomości wysłane do adresata

Nie otwieraj załączników o rozszerzeniach:

exe

, pif,

scr

, bat – zawsze

zawirają

zawirusowane pliki!!!

Slide38

Obowiązki administratora danych c.d.

II. Wprowadzenie rejestru czynności przetwarzania danych – po 25.05.2018 r.

Wyłączenie stosowania art. 30 ust. 5 RODO

Obowiązki, o których mowa w ust. 1 i 2, nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

Slide39

Naruszenie ochrony danych

1

.

zawiadomienie organu nadzorczego art. 33 RODO

W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości,

nie później niż w terminie 72 godzin po stwierdzeniu naruszenia

– zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

2. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi.

Slide40

Naruszenie ochrony danych osobowych

2.

2. zawiadomienie podmiotu danych art. 34 RODO

Zawiadomienie, o którym mowa w ust. 1, nie jest wymagane, w następujących przypadkach:

a) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;

b) administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w ust. 1;

c) wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

Slide41

Skutki naruszenia danych osobowych

Obecnie – odpowiedzialność cywilnoprawna każdego podmiotu do którego zastosowanie ma ustawa o Ochronie danych osobowych tj. art. 3 UODO.

Rodzaje roszczeń cywilnoprawnych za naruszenie zasad ochrony danych osobowych:

Żądanie zaniechania naruszeń

Żądanie usunięcia skutków naruszenia

Zadośćuczynienia pieniężnego

Naprawienia szkody majątkowej (odszkodowanie)

Żądania usunięcia danych ze zbiorów danych

Żądania ustalenia że doszło do naruszenia

zasd

ochorny

danych osobowych

Slide42

Skutki naruszenia danych osobowych

Odpowiedzialność wg RODO po 25.05.2018 rok

Art. 82

1.Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego

odszkodowanie

za poniesioną szkodę.

2. Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.

Slide43

Skutki naruszenia danych osobowych

Obecnie odpowiedzialność karna – art. 48 UODO

1. Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie,

karze ograniczenia wolności albo pozbawienia wolności do lat 2.

2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, sprawca podlega grzywnie,

karze ograniczenia wolności albo pozbawienia wolności do lat 3.

Slide44

Zasady nakładania kar

administraycjnych

za naruszenia danych osobowych

Zwraca się uwagę na:

charakter, wagę, czas trwania naruszenia

Umyślny lub

niumyślny

charakter naruszenia

Działania podjęte przez

adminoistratora lub podmiotu przetwarzajacego w celu zminimalizowania szkodyStopień odpowiedzialności z uwzględnieniem wdrożonych środków technicznych i organizacyjnychKategorię danych osobowych których dotyczyło naruszenieSposób w jaki organ nadzorczy dowiedział się o naruszeniu danych

Slide45

KONIEC!