KONFERENCJA SIODO PRZYPADKI"

Transkrypt

1 KONFERENCJA SIODO "PO RODO WE PRZYPADKI" Integrujemy środowisko Inspektorów Ochrony Danych Osobowych Optymalizujemy kwalifikacje i umiejętności zawodowe związane z zarządzaniem systemami bezpieczeństwa informacji i ochroną danych osobowych

2 PROCESÓW ZARZĄDZANIA DANYMI OSOBOWYMI Integrujemy środowisko Inspektorów Ochrony Danych Osobowych Optymalizujemy kwalifikacje i umiejętności zawodowe związane z zarządzaniem systemami bezpieczeństwa informacji i ochroną danych osobowych

3 1. ZNACZENIE INFORMACJI 2. URZĘDNIK ODPOWIEDZIALNY ZA OCHRONĘ DANYCH OSOBOWYCH 3. ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI 4. INSPEKTOR OCHRONY DANYCH OSOBOWYCH (DPO) 5. DPO WYMAGANIA DLA EFEKTYWNEGO WYKONYWANIA FUNKCJI 6. PODSUMOWANIE Integrujemy środowisko Inspektorów Ochrony Danych Osobowych Optymalizujemy kwalifikacje i umiejętności zawodowe związane z zarządzaniem systemami bezpieczeństwa informacji i ochroną danych osobowych

4 ZNACZENIE INFORMACJI RODO nie RODeO Skala pozyskiwania, gromadzenia i wymiany informacji osiągnęła niebotyczne rozmiary. Dociera ich do nas coraz więcej, coraz intensywniej ich doświadczamy ( ). Fundamentalnymi czynnikami konstytuującymi obecna rzeczywistość jest zalew informacji, rosnące tempo życia i rosnąca liczba zmian. [Ball, 2000, s ] To nowoczesne technologie informacyjne - metody i urządzenia techniczne służące do generowania, gromadzenia, przetwarzania, przechowywania, przekazywania i udostępniania informacji stanowią istotny czynnik, dzięki któremu współczesna cywilizacja jest autentycznie cywilizacja informacyjna. [Porter, 2001, s. 93] Rozwój globalnego społeczeństwa informacyjnego sprawia, że jest informacja traktowana jako dobro ekonomiczne, główny zasób i podstawowa kategoria ekonomiczna. [Dziekański, 2012, s. 387] Korzystanie z nowoczesnych usług nierozerwalnie łączy się z udostępnianiem danych osobowych - waluty cyfrowej.

5 URZĘDNIK ODPOWIEDZIALNY ZA OCHRONĘ DANYCH OSOBOWYCH Fakultatywność wyznaczenia osoby odpowiedzialnej za ochronę danych osobowych po raz pierwszy wprowadzona przepisem Dyrektywy 95/46/WE Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. WE L 281 z ). Możliwość wyznaczenia osoby odpowiedzialnej za ochronę danych osobowych po raz pierwszy w przepisach krajowych wprowadziła nowelizacja UODO z 2004 r. Ustawa z dnia 22 stycznia 2004 r. o zmianie ustawy o ochronie danych osobowych oraz ustawy o wynagrodzeniu osób zajmujących kierownicze stanowiska państwowe (Dz.U ). Nowelizacja UODO z 2014 r. spowodowała odmienny sposób postrzegania roli oraz wymiaru zadań ABI: wymogi stawiane osobie; organizacyjne usytuowanie - bezpośrednią podległość ADO; zapewnienie środków i organizacyjnej odrębności niezbędnej do niezależnego wykonywania powierzonych zadań. Ustawa z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz.U ).

6 ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI Głównym zadaniem ABI, nadzorcy procesów przetwarzania danych osobowych w organizacji, jest: zapewnianie przestrzegania przepisów o ochronie danych osobowych; Art. 36a ust. 2 pkt 1 lit. a UODO nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochrone przetwarzanych danych; Art. 36a ust. 2 pkt 1 lit. b UODO zapoznanie osób upoważnionych do przetwarzania danych osobowych z przepisami UODO. Art. 36a ust. 2 pkt 1 lit. c UODO Powołanie ABI wymaga zgłoszenia do rejestracji GIODO Art. 46b ust. 1 UODO zwolnienie z obowiązku rejestracyjnego - transparentność działań; możliwość powierzenia przez GIODO dokonania sprawdzenia. Art. 19b ust. 1 UODO

7 INSPEKTOR OCHRONY DANYCH OSOBOWYCH (DPO) Wyznaczenie DPO (Data Protection Officer) nie w każdym przypadku jest obligatoryjne. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U.UE.L ). Głównym zadaniem DPO jest: zapewnianie przestrzegania przepisów o ochronie danych osobowych; działalność informacyjna, doradcza, szkoleniowa; Nowe zadania: udział w procesie przeprowadzania oceny skutków dla ochrony danych osobowych; Art. 35 ust. 1 RODO punkt kontaktowy: dla organu nadzorczego; osób, których dane dotyczą; pracowników organizacji. Art. 35 ust. 1 RODO

8 DPO WYMAGANIA DLA EFEKTYWNEGO WYKONYWANIA FUNKCJI DPO jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań : wiedza z zakresu europejskich i krajowych przepisów o ochronie d.o. (w szczególności w odniesieniu do prawa konstytucyjnego oraz prawa do prywatności); wiedza biznesowa, sektorowa (skomplikowane procesy, duża ilość danych szczególnej kategorii); procedury administracyjne (organy i podmioty publiczne); pozostałe (w szczególności z zakresu: zarządzania, informatyki, audytu); niezależność; akcentowanie roli w strukturach organizacyjnych; angażowanie w procesy na etapie projektowania; inne zasoby (adekwatny wymiar czasu pracy, dostęp do działów, dostęp do szkoleń). Art. 35 ust. 1 RODO

9 PODSUMOWANIE RODO nie RODeO Zasób, który ma być z ródłem przewagi konkurencyjnej dla organizacji musi podlegać ochronie. Skutecznie działający SZBI, z jednej strony powinien gwarantować osiągnięcie statutowego celu działania podmiotu, z drugiej społecznej odpowiedzialności biznesu, wyrażonej m.in. gwarancją poszanowania konstytucyjnych praw osób, których dane dotyczą. Korzyści: nadzór nad prawidłową realizacją obowiązków wynikających z przepisów; zwiększenie autokontroli; podniesienie poziomu bezpieczeństwa; wzmocnienie zaufania. Warunki: wyznaczenia osoby, wobec której stawia się wysokie wymagania; organizacyjne usytuowanie; niezwłocznie włączanie w procesy przetwarzania danych; zapewnienie zasobów.

10 Dziękuję za uwagę Integrujemy środowisko Inspektorów Ochrony Danych Osobowych Optymalizujemy kwalifikacje i umiejętności zawodowe związane z zarządzaniem systemami bezpieczeństwa informacji i ochroną danych osobowych