Nowe zasady ochrony danych osobowych wg RODO. Prowadzący szkolenie: Agnieszka Madej

Transkrypt

1 Nowe zasady ochrony danych osobowych wg RODO Prowadzący szkolenie: Agnieszka Madej

2 Przed nami Nowy system ochrony danych osobowych w UE Wymagania odnośnie zakresu wdrożenia RODO

3 Nowy system ochrony danych osobowych w UE Podstawy: RODO (regulacja horyzontalna, ogólna) - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE obowiązuje od 25 maja 2018 r. Regulacje odrębne, w tym sektorowe dyrektywy UE Akty delegowane i wykonawcze KE Ograniczona legislacja krajowa (w granicach upoważnień i nakazów zawartych w RODO) Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych Decyzje organów nadzoru

4 Zakres stosowania Przetwarzanie w sposób całkowicie lub częściowo zautomatyzowany oraz w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych Wyłączenia: przetwarzanie przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze przetwarzanie przez właściwe organy w celu zapobiegania, wykrywania, ścigania, karania za czyny zabronione, prowadzenia postępowań przygotowawczych przetwarzanie danych osób prawnych przetwarzanie nieobjęte zakresem prawa Unii bezpieczeństwo narodowe przetwarzanie związane z prowadzoną polityką zagraniczną przetwarzanie danych osób zmarłych (opcja narodowa) zbiory nieuporządkowane

5 Zakres stosowania Przetwarzanie danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii Przetwarzanie przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w Unii, jeżeli: przetwarzane są dane osób przebywających w Unii oraz czynności przetwarzania wiążą się z oferowaniem towarów lub usług takim osobom w Unii, niezależnie od tego czy odpłatnych czy też nieodpłatnych lub czynności przetwarzania wiążą się z monitorowaniem zachowania tych osób, o ile do zachowania dochodzi w Unii

6 Zakres stosowania RODO Administrator danych osobowych (ADO) oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych (DO); Specyficzne zagadnienia ADO w odniesieniu do organów publicznych: Administratorem danych osobowych jest zawsze organ, a nie obsługujący go urząd Swoboda ustalania celów i sposobach przetwarzania DO wyznaczana przez przepisy prawa określające realizowane zadania wyłącznie konkretyzacja celu

7 Zakres stosowania RODO Specyficzne zagadnienia ADO w odniesieniu do organów publicznych: Możliwość ustalenia w przepisach prawa, jaki podmiot z sektora publicznego pełni funkcję ADO w stosunku do konkretnych zbiorów danych np.: ZUS - ADO w stosunku do danych osobowych ubezpieczonych Starosta powiatowy ADO w stosunku do danych zawartych w ewidencji kierowców prowadzonej w związku z wydaniem praw jazdy Dyrektor ADO w stosunku do danych przetwarzanych przez Miejski Ośrodek Pomocy Rodzinie Minister właściwy do spraw finansów publicznych ADO w stosunku do portalu podatkowego i danych podatników, płatników, inkasentów, ich następców prawnych oraz osób trzecich korzystających z tego portalu. Ocena, czy dany organ jest ADO rodzaj i charakter kompetencji z zakresu spraw publicznych oraz zadania wyznaczone tym organom rola w procesie przetwarzania, która przyznają właściwe przepisy prawa

8 Zakres stosowania RODO Współadministratorzy Jeżeli co najmniej dwaj administratorzy danych wspólnie ustalają cele i sposoby przetwarzania danych osobowych, wówczas dochodzi do współadministrowania danymi osobowymi Podmiot przetwarzający oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora

9 Nowe rozwiązania RODO Zasady przetwarzania danych osobowych, w tym danych wrażliwych Nowe prawa osób, których dane dotyczą: Prawo do bycia zapomnianym Prawo do przenoszenia danych Prawo do ograniczenia automatycznego profilowania Nowe obowiązki informacyjne Nowe obowiązki administratorów i procesorów Powołanie Inspektora ochrony danych

10 Nowe rozwiązania RODO Nowe zasady dokumentacji przetwarzania danych osobowych Bezpieczeństwo danych osobowych Kodeksy postępowania Ocena skutków dla ochrony Nowe zasady odpowiedzialności: Odpowiedzialność cywilna Odpowiedzialność administracyjna

11 Zasady przetwarzania danych osobowych Zgodność z prawem, rzetelność i przejrzystość - przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą Ograniczenie celu - zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami Minimalizacja danych - adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (dawniej adekwatności) Prawidłowość - prawidłowe i w razie potrzeby uaktualniane Ograniczenie przechowywania - przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane Integralność i poufność - przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych

12 Zasady przetwarzania danych osobowych Rozliczalność odpowiedzialność administratora za przestrzeganie zasad dotyczących przetwarzania danych możliwość wykazania, że administrator przestrzega zasad wdrożenie odpowiednich środków technicznych i organizacyjnych aby przetwarzanie było zgodne z RODO i aby móc to wykazać środki poddawane przeglądom i monitorowane

13 Podstawy przetwarzania danych osobowych: Zgodność przetwarzania z prawem Zgoda osoby, której dane dotyczą na przetwarzanie danych w jednym lub większej liczbie określonych celów Niezbędność do zawarcia i wykonania umowy, której stroną jest osoba, której dane dotyczą lub podjęcia na jej żądanie działań przed zawarciem umowy Wynikający z przepisów prawa obowiązek prawny ciążący na administratorze (przepisy prawa) Ochrona żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej Wykonanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (przepisy prawa) Realizowanie przez administratora lub przez osobę trzecią celów wynikających z prawnie uzasadnionych, realizowanych przez administratora lub przez stronę trzecią interesów z uwzględnieniem interesów oraz podstawowych praw i wolności osoby, której dane dotyczą ((nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań)

14 Nowe zasady przetwarzania danych wrażliwych Dane wrażliwe Dotychczas katalog zamknięty: dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, o przynależności wyznaniowej, partyjnej lub związkowej, dane o stanie zdrowia, kodu genetycznego, nałogów lub życia seksualnego, skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym RODO wprowadza również dane biometryczne Ogólna zasada zabrania przetwarzania danych wrażliwych (szczególnych kategorii danych), jednak wskazano liczne wyjątki RODO daje możliwość wprowadzenia przez państwa członkowskie dalszych ograniczeń lub wymogów przetwarzania danych biometrycznych, genetycznych lub dotyczących zdrowia

15 Uprawnienia osób, których dane dotyczą Prawo do bycia poinformowanym o operacjach przetwarzania Prawo dostępu Prawo do sprostowania/uzupełnienia danych Prawo do usunięcia danych (prawo do bycia zapomnianym) Prawo do ograniczenia przetwarzania Prawo do przenoszenia danych Prawo do sprzeciwu Prawo do niepodlegania decyzji opartej wyłącznie o zautomatyzowane przetwarzanie

16 Uprawnienia osób, których dane dotyczą Prawo do usunięcia danych (bycia zapomnianym) Prawo żądania od administratora niezwłocznego usunięcia danych i odpowiadający temu uprawnieniu obowiązek usunięcia danych bez zbędnej zwłoki Podstawy żądania: dane nie są już niezbędne do celów przetwarzania cofnięto zgodę i brak innej podstawy przetwarzania wniesiono sprzeciw przetwarzanie było niezgodne z prawem usunięcie jest wymagane przepisami prawa dane zostały zebrane od dziecka w związku z usługami świadczonymi drogą elektroniczną

17 Uprawnienia osób, których dane dotyczą Prawo do usunięcia danych (bycia zapomnianym) Podstawy odmowy: przetwarzanie jest niezbędne do korzystania z prawa do wolności wypowiedzi i informacji wywiązanie się z prawnego obowiązku lub realizowanie zadania w interesie publicznym lub sprawowanie władzy publicznej cele archiwalne w interesie publicznym, badania naukowe, historyczne, cele statystyczne, jeżeli realizacja uprawnienia uniemożliwi lub poważnie utrudni realizację celów względy interesu publicznego w dziedzinie ochrony zdrowia publicznego ustalenie, dochodzenie obrona roszczeń

18 Uprawnienia osób, których dane dotyczą Prawo do usunięcia danych (bycia zapomnianym) Jeżeli administrator upublicznił dane osobowe i ma obowiązek je usunąć, to podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych lub ich replikacje

19 Uprawnienia osób, których dane dotyczą Prawo przenoszenia danych Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe. Na żądanie, dane osobowe są przesłane przez administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe

20 Uprawnienia osób, których dane dotyczą Prawo przenoszenia danych Podstawy żądania: podstawą przetwarzania jest zgoda lub wykonywanie umowy oraz przetwarzanie odbywa się w sposób zautomatyzowany Podstawa odmowy nie ma zastosowania do przetwarzania, które jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi Prawo do przenoszenia danych nie może niekorzystnie wpływać na prawa i wolności innych. Prawo nie uniemożliwia wykonywania prawa do bycia zapomnianym

21 Uprawnienia osób, których dane dotyczą Profilowanie i zautomatyzowane podejmowanie decyzji Profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu ich do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów jej pracy, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania

22 Uprawnienia osób, których dane dotyczą Profilowanie i zautomatyzowane podejmowanie decyzji Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa Wyłączenia: decyzja jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem decyzja jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą lub decyzja opiera się nawyraźnej zgodzie osoby, której dane dotyczą Uprawnienia: prawo do uzyskania interwencji ludzkiej ze strony administratora prawo do wyrażenia własnego stanowiska prawo do zakwestionowania decyzji

23 Prawo do bycia poinformowanym o operacjach przetwarzania Katalog informacji przekazywanych podmiotowi danych niezależnie od źródła danych osobowych- informacja o: tożsamości ADO i danych kontaktowych, oraz tożsamości i danych kontaktowych swojego przedstawiciela (jeżeli istnieje) danych kontaktowych inspektora ochrony danych (DPO), jeżeli został powołany prowadzeniu operacji przetwarzania celach prowadzonej operacji przetwarzania, do których mają posłużyć dane osobowe podstawie prawnej przetwarzania, prawnie uzasadnionym interesie realizowanym przez administratora lub przez stronę trzecią jeżeli przetwarzanie odbywa się na podstawie prawnie usprawiedliwionego interesu ADO (art. 6 ust. 1 lit. f) RODO) odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją transferze danych do państwa trzeciego okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu fakcie zautomatyzowanego podejmowania decyzji, w tym profilowania i jego konsekwencjach dla osoby, której dane dotyczą, prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania, lub wniesienia sprzeciwu wobec przetwarzania, a także przenoszenia danych prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem jeżeli przetwarzanie odbywa się na podstawie zgody na przetwarzanie danych zwykłych (art. 6 ust. 1 lit. a) RODO) lub szczególnej kategorii (art. 9 ust. 2 lit. a) RODO) prawie wniesienia skargi do organu nadzorczego W przypadku zbierania danych osobowych od osoby, której dane dotyczą, należy jej przekazać ponadto informację czy ma ona, na podstawie umowy lub ustawy, obowiązek podać te dane, czy jest to wymóg zawarcia umowy oraz jakie są konsekwencje ich niepodania. Informacje podawane w przypadku zbierania danych osobowych w sposób inny niż od osoby, której dane dotyczą: kategorie odnośne danych osobowych źródło pochodzenia danych osobowych Nowe obowiązki informacyjne

24 Prawo do bycia poinformowanym o operacjach przetwarzania Obowiązek udzielenia informacji nie powstaje, gdy: osoba, od której zbierane są dane, już nimi dysponuje udzielenie takich informacji jest niemożliwe lub wymaga niewspółmiernego wysiłku udzielenie informacji może uniemożliwić lub poważnie utrudnić realizację celu przetwarzania pozyskanie danych jest regulowane przepisami prawa konieczne jest zachowanie tajemnicy zawodowej Wyłączenia obowiązku informacyjnego administrator wykonujący zadania publiczne (cele art. 23 RODO) Zmiana celu przetwarzania, informacja na wniosek Informacja pozyskana odosób trzecich Nowe obowiązki informacyjne

25 Obowiązki administratora: analiza ryzyka związanego z przetwarzaniem danych prowadzenie dokumentacji operacji przetwarzania danych osobowych (rejestru czynności przetwarzania danych osobowych) konsultowanie przetwarzania danych z GIODO, PUODO w przypadku stwierdzonego w DPIA wysokiego ryzyka, nie dającego się zminimalizować rozbudowanie obowiązki informacyjne powołanie inspektora ochrony danych o innym statusie niż ABI (w określonych przypadkach) przeprowadzenie oceny skutków w zakresie ochrony danych uwzględnienie ochrony danych osobowych w fazie projektowania rozliczalność zgłaszanie naruszeń danych osobowych Nowe obowiązki administratorów

26 Obowiązki podmiotu przetwarzającego: wymagania wobec podmiotów przetwarzających (gwarancje wdrożenia odpowiednich środków technicznych oraz organizacyjnych) przetwarzanie na podstawie umowy lub innego instrumentu prawnego podpowierzanie przetwarzania danych (szczegółowa lub ogólna zgoda administratora) prowadzenie rejestru kategorii czynności przetwarzania danych klauzule umowne dla podmiotów przetwarzających Nowe obowiązki procesora uznawanie podmiotów przetwarzających za administratorów na potrzeby ponoszenia odpowiedzialności w odniesieniu do danego przetwarzania (naruszenie RODO przy określaniu celów i sposobów przetwarzania)

27 Inspektor Ochrony Danych Wyznaczenie Inspektora Ochrony Danych (IOD) jest obligatoryjne, gdy: przetwarzania dokonują organ lub podmiot publiczny (14 dni na zgłoszenie PUOD + przepisy przejściowe) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę lub główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa

28 Inspektor Ochrony Danych Zadania Inspektora Danych Osobowych: Informowanie i doradzanie administratorowi, podmiotom przetwarzającym oraz pracownikom, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów Unii lub krajowych o ochronie danych, Monitorowanie przestrzegania RODO i innych przepisów Unii lub krajowych o ochronie danych, Monitorowanie polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, Działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania danych osobowych, Audyty Współpraca z organem nadzorczym

29 Inspektor Ochrony Danych Zadania Inspektora Danych Osobowych: Pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami oraz w stosownych przypadkach prowadzenie konsultacji we wszystkich innych sprawach jak również dla osób, których dane dotyczą. DPO wypełnia swoje zadania z należytym uwzględnieniem RYZYKA związanego z operacjami przetwarzania danych, mając na uwadze charakter, zakres, kontekst i cele przetwarzania. Wykonywanie zadań odnoszących się do obowiązku oceny skutków dla ochrony danych (zalecenia i monitorowanie)

30 Dokumentacja ochrony danych Dokumentacja Polityka bezpieczeństwa zgodnie z ogólnym rozporządzeniem o ochronie danych powinna być zgodna z zasadą uwzględniania ochrony danych w fazie projektowania (privacy by design): Planowane działanie Analiza uwzględniająca stan wiedzy technicznej, koszt wdrażania rozwiązań, charakter, zakres, kontekst i cele przetwarzania, prawdopodobieństwo wystąpienia ryzyka, wagę zagrożenia Poziom bezpieczeństwa - środki organizacyjne i techniczne w tym uwzględniające pseudonimizację i szyfrowanie, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, zdolność szybkiego przywrócenia dostępności danych osobowych, regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych

31 Dokumentacja ochrony danych Dokumentacja Polityka bezpieczeństwa zgodnie z ogólnym rozporządzeniem o ochronie danych powinna być: zgodna z zasadą domyślnej ochrony danych (privacy by default) proporcjonalna w stosunku do czynności przetwarzania danych napisana jasnym i przejrzystym językiem

32 Dokumentacja ochrony danych według RODO Rejestry Rejestr czynności przetwarzania prowadzi administrator Wyjątek: podmiot zatrudniający mniej niż 250 osób, chyba że przetwarzanie: może powodować zagrożenie praw lub wolności lub nie ma charakteru sporadycznego lub obejmuje dane wrażliwe lub dane dotyczące wyroków skazujących lub naruszeń prawa Rejestr kategorii czynności przetwarzania podmiot przetwarzający dane w imieniu administratora

33 Bezpieczeństwo danych osobowych Bezpieczeństwo danych osobowych Obowiązek wdrożenia przez administratora i podmiot przetwarzający odpowiednich środków technicznych i organizacyjnych (stan wiedzy technicznej, koszt, charakter, zakres i kontekst i cele przetwarzania oraz ryzyko naruszenia) Uwzględnienie ryzyka wiążącego się z przetwarzaniem przy ocenie stopnia bezpieczeństwa Przetwarzanie na polecenie administratora Możliwość stosowania zatwierdzonego kodeksu postępowania, zatwierdzonego mechanizmu certyfikacji w celu wykazania spełnienia obowiązków w zakresie bezpieczeństwa

34 Oceny skutków dla ochrony danych Jeśli dany rodzaj przetwarzania stwarza wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania musi dokonać oceny skutków Administrator ma obowiązek konsultacji z organem nadzoru, jeżeli ocena wykaże, że przetwarzanie przy braku środków minimalizujących ryzyko wiązałoby się z dużym prawdopodobieństwem naruszenia praw Organ nadzoru może ustanawiać listy operacji niewymagających oceny oraz zawsze wymagających takiej oceny Obowiązkowo, gdy: Wymagania odnośnie zakresu wdrożenia profilowanie jest podstawą podjęcia decyzji niosącej skutki prawne wobec osoby podlegającej profilowaniu przetwarzanie na dużą skale danych wrażliwych lub dotyczących wyroków skazujących bądź naruszeń Systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie

35 Kodeksy postępowania Kodeksy postępowania Zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów lub podmioty przetwarzające mogą opracowywać i aktualizować kodeksy postępowania Kodeks zatwierdza organ nadzoru Jeśli projekt kodeksu dotyczy czynności przetwarzania w kilku państwach członkowskich organ nadzoru przedkłada kodeks Europejskiej Radzie Ochrony Danych Osobowych (ERODO) w celu wydania opinii o zgodności z rozporządzeniem KE może uznać kodeks za powszechnie obowiązujący w UE ERODO prowadzi rejestr zatwierdzonych kodeksów postępowania i udostępnia je publicznie Monitorowanie przestrzegania zatwierdzonych kodeksów

36 Naruszenie Naruszenie ochrony danych osobowych - naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych

37 Zgłaszanie naruszenia ochrony danych osobowych Obowiązek zgłoszenia organowi nadzoru Administrator bez zbędnej zwłoki w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia zgłasza naruszenie organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze

38 Obowiązek zawiadamiania o naruszeniu osoby, której dane dotyczą Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych Obowiązek spoczywa na administratorze Zawiadomienie jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych, dokonane bez zbędnej zwłoki Zawiadomienie nie jest wymagane w przypadku, gdy: Zgłaszanie naruszenia ochrony danych osobowych administrator wdrożył odpowiednie środki techniczne i organizacyjne ochrony i środki te zostały zastosowane do danych, których dotyczy naruszenie administrator zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą wymagałoby ono niewspółmiernie dużego wysiłku, jednak wówczas publiczny komunikat

39 Prawo do odszkodowania RODO przyznaje prawo do: wniesienia skargi do organu nadzorczego sądowego kwestionowania wiążącej decyzji organu nadzorczego, nierozpatrzenia skargi sądowego środka ochrony przeciwko administratorowi lub podmiotowi przetwarzającemu odszkodowania od administratora i podmiotu przetwarzającego

40 Odpowiedzialność cywilna Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które RODO nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody Administrator i podmiot przetwarzający odpowiadają za szkodę związaną z przetwarzaniem solidarnie za całą szkodę, tak aby zapewnić osobie, której dane dotyczą, rzeczywiste uzyskanie odszkodowania

41 Sankcje administracyjne Zasady dotyczące sankcji: Skuteczność, proporcjonalność, ale też odstraszający charakter kar Kryteria wymierzania kary: okoliczności naruszenia umyślny lub nieumyślny charakter naruszeń stopień współpracy z organem nadzorczym wypełnienie obowiązku zgłoszenia naruszenia przestrzeganie wcześniej nałożonych przez organ nadzoru środków naprawczych

42 Sankcje administracyjne Naruszenia i kary: naruszenie warunków udzielenia zgody przez dziecko naruszenie zasad przetwarzania niewymagającego identyfikacji niewdrożenie środków technicznych i organizacyjnych ochrony danych nierejestrowanie czynności przetwarzania błędy przy powierzeniu brak współpracy z organem nadzorczym Kara: 2 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego - przedsiębiorstwo EUR inny podmiot, chyba że kwota wyższa od poprzedniego wyliczenia, to również przedsiębiorstwo

43 Sankcje administracyjne Naruszenia i kary: naruszenie podstawowych zasad przetwarzania danych, również zasad uzyskania zgody naruszenie zasad przetwarzania danych wrażliwych naruszenie obowiązków informacyjnych naruszenie uprawnień osób, których dane dotyczą naruszenie zasad przekazywania danych do państwa trzeciego nieprzestrzeganie nakazu naprawczego organu nadzorczego Kara: 4 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego - przedsiębiorstwo EUR inny podmiot, chyba że kwota wyższa od poprzedniego wyliczenia, to również przedsiębiorstwo

44 Sankcje administracyjne Naruszenia i kary dla jednostek sektora finansów publicznych Organy władzy publicznej jednostki samorządu terytorialnego oraz ich związki jednostki budżetowe samorządowe zakłady budżetowe agencje wykonawcze instytucje gospodarki budżetowej państwowe fundusze celowe ZUS KRUS i zarządzane przez nie NFZ państwowe i samorządowe instytucje kultury Kara: zł samodzielne publiczne zakłady opieki zdrowotnej uczelnie publiczne, PAN inne państwowe lub samorządowe osoby prawne Kara: zł

45 Ochrona danych osobowych - wymagania odnośnie zakresu wdrożenia Prowadzący szkolenie: Agnieszka Madej

46 Wymagania odnośnie zakresu wdrożenia Główne tezy: Indywidualne podejście uwzględniające charakter, zakres, kontekst i cele przetwarzania danych oraz ryzyko naruszenia praw i wolności osób fizycznych w wyniku przetwarzania danych przez konkretną organizację Badanie w ujęciu procesowym - procesy biznesowe i administracyjne związane z tematyką przetwarzania danych osobowych lub mające na nie wpływ oraz cykl życia danych w organizacji Zaangażowanie całej organizacji

47 Wymagania odnośnie zakresu wdrożenia Ogólne rozporządzenie wskazuje wiele wymogów, których obowiązek spełnienia uzależniony jest między innymi od: podstawy prawnej przetwarzania danych osobowych (w szczególności czy dane są przetwarzane w oparciu o udzieloną zgodę przez osobę, której te dane dotyczą) sposobu i technik przetwarzania danych (w szczególności czy dane są przetwarzane w sposób zautomatyzowany - za pomocą systemów informatycznych) celu i kontekstu przetwarzania danych sposobu pozyskiwania danych zakresu i skali przetwarzania danych

48 Procesy przetwarzania danych osobowych Cyklu życia danych osobowych w ujęciu procesowym - od momentu ich pozyskania, poprzez ich przetwarzanie w określonych celach i kontekstach biznesowych, aż po ich usunięcie Należy poznać dokładnie cały proces, by uwzględnić wszystkie istotne kryteria, w tym kontekst i cele przetwarzania danych

49 Procesy przetwarzania danych osobowych Cel przetwarzania Podstawa prawna Właściciel Pozyskanie danych osobowych Nazwa i opis procesu Usunięcie danych Odbiorcy Źródło pozyskania Uczestnicy procesu Zbiory danych Systemy IT

50 Procesy przetwarzania danych osobowych Jakie procesy należy uwzględnić?: procesy powtarzalne, realizowane na masową skalę procesy, w ramach których przetwarzana jest duża ilość danych osobowych procesy budzące duże ryzyka prawne (np. działalność marketingowa, dane wrażliwe) procesy, w ramach których których dane dotyczą wystąpiły trudności, skargi czy zastrzeżenia osób,

51 Wymagania odnośnie zakresu wdrożenia Należy wziąć pod uwagę wszystkie komórki organizacyjne, w których: dochodzi do przetwarzania danych osobowych (zachodzą realne procesy przetwarzania danych) oraz zapadają decyzje lub realizowane są czynności, które mogą mieć realny wpływ na procesy przetwarzania danych osobowych

52 Plan działań wdrożenie RODO Inwentaryzacja (zbiorów danych, procesów, systemów, przepływów) Podstawy prawne przetwarzania (na każdą kategorię informacji należy dysponować podstawą prawną art. 6 lub 9 RODO) Minimalizacja (nie należy zbierać więcej, nić jest to konieczne i przechowywać dłużej niż to konieczne, należy precyzyjnie sformułować upoważnienia do przetwarzania) Szacowanie ryzyka rozsądne podejście do tego co i w jaki sposób można zabezpieczyć Zabezpieczenia (odpowiednie w stosunku do zagrożeń, z uwzględnieniem różnego prawdopodobieństwa i wagi zagrożenia) Przygotowanie Rejestru Czynności Przetwarzania Podjęcie decyzji co do powołania Inspektora Ochrony Danych

53 Plan działań wdrożenie RODO Weryfikacja obowiązku informacyjnego Przygotowanie procedury w przypadku naruszeń Sprawdzenie i zaktualizowanie umów powierzenia przetwarzania Uprawnienia osób, których dane są przetwarzane (kopia danych, przenoszenie danych) Monitorowanie i sprawdzanie

54 Dziękujemy za uwagę

55 QWANTUM - Systemy Zarządzania sp. z o.o. ul. 3 Maja 46, Sopot tel.: , fax.: biuro@qwantum.pl Prowadzący szkolenie: Agnieszka Madej