Europejskie rozporządzenie o ochronie danych osobowych (RODO) wymogi praktyczne i wdrożenie w każdej firmie Biskupiec

Transkrypt

1 Europejskie rozporządzenie o ochronie danych osobowych (RODO) wymogi praktyczne i wdrożenie w każdej firmie Biskupiec r.

2 Wprowadzenie

3 Do r. Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (tekst jednolity z dnia 13 czerwca 2016 r.,dz.u. z 2016 r. poz. 922). Dyrektywa 95/46 w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych Rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych z dnia 29 kwietnia 2004 r. (Dz.U. Nr 100, poz. 1024). GIODO Generalny Inspektor Ochrony Danych Osobowych ADO Administrator Danych Osobowych ASI Administrator Systemów Informacji ABI Administrator Bezpieczeństwa Informacji

4 Od r. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) z dnia 27 kwietnia 2016 r. (Dz.Urz.UE.L Nr 119, str. 1). #RODO #GDPR Ustawa o ochronie danych osobowych (nowa) + wytyczne i interpretacje UODO Urząd Ochrony Danych Osobowych (z Prezesem na czele) IOD / DPO Inspektor Ochrony Danych / Data Protection Officer

5 Główne podmioty występujące na gruncie RODO Administrator - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Podmiot przetwarzający (procesor)- oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

6 Zakres zastosowania

7 Rozporządzenie nie ma zastosowania do przetwarzania danych osobowych: a)w ramach działalności nieobjętej zakresem prawa Unii; b)przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres tytułu V rozdział 2 TUE tj. postanowienia szczególne dotyczące wspólnej polityki zagranicznej i bezpieczeństwa; c)przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze; d)przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.

8 Kiedy Rozporządzenie znajduje zastosowanie: 1.Administratorzy / podmioty przetwarzające dane posiadający jednostki organizacyjne w UE gdy dane są przetwarzane w związku z działalnością jednostki administratora w UE lub podmiotu przetwarzającego w UE (niezależnie od tego czy przetwarzanie odbywa się w UE) - np. outsourcing przetwarzania danych w chmurze 2.Administratorzy / podmioty przetwarzające dane nie posiadający jednostek organizacyjnych w UE, jeśli swoje towary lub usługi kierują do osób w UE lub monitorują zachowania osób w UE (Facebook, Google, etc.) i osoby te przebywają w UE

9 Zasady przetwarzania danych Prawa osoby, której dane dotyczą

10 Zgodność przetwarzania z prawem (artykuł 6) Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy i w takim zakresie, w jakim spełniony jest co najmniej jeden z poniższych warunków: osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

11 przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.

12 Warunki wyrażenia zgody (artykuł 7) Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.

13 Treść zgody: Jeżeli osoba, której dane dotyczą, wyrażą zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Część takiego oświadczenia osoby, której dane dotyczą, stanowiąca naruszenie niniejszego rozporządzenia nie jest wiążąca. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.

14 Oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.

15 Warunki wyrażenia zgody przez dziecko w przypadku usług społeczeństwa informacyjnego (artykuł 8) Jeżeli zastosowanie ma art. 6 ust. 1 lit. a), stanowiący o wyrażeniu zgody na przetwarzanie danych osobowych w jednym lub większej liczbie określonych celów, w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku, zgodne z prawem jest przetwarzanie danych osobowych dziecka, które ukończyło 16 lat. Jeżeli dziecko nie ukończyło 16 lat, takie przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła lub zaaprobowała ją osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej zgody.

16 Państwa członkowskie mogą przewidzieć w swoim prawie niższą granicę wiekową, która musi wynosić co najmniej 13 lat. W takich przypadkach administrator, uwzględniając dostępną technologię, podejmuje rozsądne starania, by zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała. Regulacja ta nie wpływa na ogólne przepisy prawa umów państw członkowskich, takie jak przepisy o ważności, zawieraniu lub skutkach umowy wobec dziecka.

17 Przetwarzanie szczególnych kategorii danych osobowych (artkuł 9) Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

18 Regulacja ta nie ma zastosowania gdy został spełniony jeden z poniższych warunków: osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu; przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;

19 przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody; przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;

20 przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą; przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy; przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;

21 przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń; Te dane osobowe mogą być przetwarzane, jeżeli dzieje się to przez lub na odpowiedzialność pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe lub przez inną osobę również podlegającą obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe.

22 przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową;

23 przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą. Państwa członkowskie mogą zachować lub wprowadzić dalsze warunki, w tym ograniczenia w odniesieniu do przetwarzania danych genetycznych, danych biometrycznych lub danych dotyczących zdrowia.

24 Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą (artykuł 13) I. Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje: swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela; gdy ma to zastosowanie dane kontaktowe inspektora ochrony danych; cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania; jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;

25 informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją; gdy ma to zastosowanie informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.

26 II. Poza informacjami podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania: okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu; informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych; jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;

27 informacje o prawie wniesienia skargi do organu nadzorczego; informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych; informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, oraz przynajmniej w tych przypadkach istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

28 Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji. Powyższe regulacje nie znajdują zastosowania, gdy osoba, której dane dotyczą dysponuje już takimi informacjami.

29 Informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą (artykuł 14) I. Jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą, administrator podaje osobie, której dane dotyczą, następujące informacje: swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela; gdy ma to zastosowanie dane kontaktowe inspektora ochrony danych; cele przetwarzania, do których mają posłużyć dane osobowe, oraz podstawę prawną przetwarzania; kategorie odnośnych danych osobowych;

30 informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją; gdy ma to zastosowanie informacje o zamiarze przekazania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.

31 II. Poza informacjami, o których mowa w ust. 1, administrator podaje osobie, której dane dotyczą, następujące informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania wobec osoby, której dane dotyczą: okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu; jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią; informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;

32 jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem; informacje o prawie wniesienia skargi do organu nadzorczego; źródło pochodzenia danych osobowych, a gdy ma to zastosowanie czy pochodzą one ze źródeł publicznie dostępnych; informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz przynajmniej w tych przypadkach istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

33 Administrator podaje informacje: w rozsądnym terminie po pozyskaniu danych osobowych najpóźniej w ciągu miesiąca mając na uwadze konkretne okoliczności przetwarzania danych osobowych; jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub jeżeli planuje się ujawnić dane osobowe innemu odbiorcy najpóźniej przy ich pierwszym ujawnieniu. Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym te dane zostały pozyskane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji.

34 Administrator bezpieczeństwa informacji Inspektor ochrony danych osobowych (Data Protection Officer)

35 Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy: a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę lub c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

36 DPO, niezależnie od tego, czy wyznaczenie jest obowiązkowe lub dobrowolne, wyznaczony jest do wszystkich operacji przetwarzania dokonywanych przez administratora albo podmiot przetwarzający. Administrator lub podmiot przetwarzający publikują dane kontaktowe inspektora ochrony danych i zawiadamiają o nich organ nadzorczy. Możliwości: -Oblig wyznaczenia DPO -Możliwość wyznaczenia DPO -Możliwość zatrudnienia specjalisty nie będącym DPO

37 Przez organy i podmioty publiczne obowiązane do wyznaczenia inspektora, o których mowa w art. 37 ust. 1 lit. a rozporządzenia 2016/679, rozumie się organy publiczne wskazane w art. 5 2 pkt 3 Kodeksu postępowania administracyjnego oraz podmioty publiczne wskazane w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych, (Dz. U. z 2016 r. poz. 1870, z późn. zm.). czyli... ministrowie, centralne organy administracji rządowej, wojewodowie, działające w ich lub we własnym imieniu inne terenowe organy administracji rządowej (zespolonej i niezespolonej), organy jednostek samorządu terytorialnego oraz organy i inne organy państwowe oraz inne podmioty, gdy są one powołane z mocy prawa lub na podstawie porozumień do załatwiania spraw indywidualnych rozstrzyganych w drodze decyzji administracyjnych

38 czyli... organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały; jednostki samorządu terytorialnego oraz ich związki; związki metropolitalne; jednostki budżetowe; samorządowe zakłady budżetowe; agencje wykonawcze; instytucje gospodarki budżetowej; państwowe fundusze celowe; Zakład Ubezpieczeń Społecznych i zarządzane przez niego fundusze oraz Kasa Rolniczego Ubezpieczenia Społecznego i fundusze zarządzane przez Prezesa Kasy Rolniczego Ubezpieczenia Społecznego; Narodowy Fundusz Zdrowia; samodzielne publiczne zakłady opieki zdrowotnej; uczelnie publiczne; Polska Akademia Nauk i tworzone przez nią jednostki organizacyjne; państwowe i samorządowe instytucje kultury; inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego.

39 główna działalność W sektorze prywatnym przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności. Główną działalnością będzie działalność kluczowa z punktu widzenia osiągnięcia celów administratora albo podmiotu przetwarzającego dane. Przykład: działalnością główną szpitali będzie zapewnianie opieki medycznej. Natomiast prowadzenie efektywnej opieki medycznej nie byłoby możliwe bez przetwarzania danych medycznych jak np. historii choroby pacjenta. W związku z tym działalność polegająca na przetwarzaniu historii choroby pacjenta również powinna zostać zaklasyfikowana jako działalność główna. Oznacza to, że szpitale będą miały obowiązek powołania DPO.

40 Przykład: firma świadcząca usługi ochrony mienia, prowadząca monitoring w szeregu prywatnych centrów handlowych i przestrzeni publicznej. Jej działalnością główną jest ochrona, natomiast związane z tym bezpośrednio jest przetwarzanie danych osobowych, co oznacza, że takie spółki również muszą powołać DPO. Uwaga! Z drugiej strony wszystkie podmioty, spółki i inne organizacje prowadzą określone działania wspierające, np. prowadząc listę płac albo korzystając ze standardowej obsługi IT. Są to przykłady niezbędnych działań wspierających prowadzenie działalności głównej. Mimo że działania te są konieczne lub niezbędne, zazwyczaj uznawane są za raczej za działania dodatkowe niż za główną działalność.

41 Co należy brać pod uwagę? Liczba osób, których dane dotyczą konkretna liczba albo procent określonej grupy społeczeństwa Zakres przetwarzanych danych osobowych Okres, przez jaki dane są przetwarzane Zakres geograficzny przetwarzania danych osobowych

42 Do przykładów przetwarzania na dużą skalę zaliczyć można: Przetwarzanie danych pacjentów przez szpital w ramach prowadzonej działalności Przetwarzanie danych dotyczących podróży osób korzystających ze środków komunikacji miejskiej (np. śledzenie za pośrednictwem kart miejskich ) Przetwarzanie danych geo-lokalizacyjnych klientów w czasie rzeczywistym przez wyspecjalizowany podmiot na rzecz międzynarodowej sieci fast food do celów statystycznych Przetwarzanie danych klientów przez banki albo ubezpieczycieli w ramach prowadzonej działalności Przetwarzanie danych do celów reklamy behawioralnej przez wyszukiwarki Przetwarzanie danych (dotyczących treści, ruchu, lokalizacji) przez dostawców usług telefonicznych lub internetowych

43 Przykłady przetwarzania niemieszczącego się w definicji dużej skali : Przetwarzanie danych pacjentów, dokonywane przez pojedynczego lekarza Przetwarzanie danych dotyczących wyroków skazujących lub naruszeń prawa przez adwokata lub radcę prawnego

44 regularne definiuje się jako jedno lub więcej z następujących pojęć: Stałe albo występujące w określonych odstępach czasu przez ustalony okres; Cykliczne albo powtarzające się w określonym terminie; Odbywające się stale lub okresowo. systematyczne definiuje się jako jedno lub więcej z następujących pojęć: Występujące zgodnie z określonym systemem; Zaaranżowane, zorganizowane lub metodyczne; Odbywające się w ramach generalnego planu zbierania danych; Przeprowadzone w ramach określonej strategii.

45 Kto może być DPO? Język i lokalizacja DPO? Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań

46 Status inspektora ochrony danych. 1. Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. 2. Administrator oraz podmiot przetwarzający wspierają inspektora ochrony danych w wypełnianiu przez niego zadań, o których mowa w art. 39, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej. 3. Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania tych zadań. Nie jest on odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. Inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego. 4. Osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy niniejszego rozporządzenia. 5. Inspektor ochrony danych jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań zgodnie z prawem Unii lub prawem państwa członkowskiego. 6. Inspektor ochrony danych może wykonywać inne zadania i obowiązki. Administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów.

47 Zależnie od rodzaju działalności, rozmiaru i struktury organizacji, dobrą praktyką dla administratorów i podmiotów przetwarzających może być: Zidentyfikowanie stanowisk niekompatybilnych z funkcją DPO; Opracowanie wewnętrznych zasad uniemożliwiających łączenie stanowisk będących w konflikcie interesów; Zapewnienie bardziej ogólnego wyjaśnienia dotyczącego konfliktu interesów; Zadeklarowanie, iż nie ma konfliktu interesów w funkcjonowaniu obecnego DPO, celem zwiększenia świadomości na temat tego wymogu; Wprowadzenie odpowiednich zabezpieczeń do wewnętrznych zasad organizacji celem zapewnienia, by ogłoszenia o rekrutacji na stanowisko DPO czy też umowy o świadczenie usług były wystarczająco jasne i precyzyjne, aby niwelować ryzyko powstania konfliktu interesów. W tym kontekście należy również pamiętać, że konflikt interesów może przybierać różne formy, w zależności od tego, czy rekrutacja na stanowisko DPO ma charakter wewnętrzny czy zewnętrzny.

48 Inspektor ochrony danych ma następujące zadania: a) informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie; b) monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty; c) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35; d) współpraca z organem nadzorczym; e) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

49 Zaleca się administratorowi konsultowanie z DPO m.in. następujących kwestii: faktu, czy należy przeprowadzić ocenę skutków dla ochrony danych; metodologii przeprowadzenia oceny skutków dla ochrony danych; faktu, czy należy przeprowadzić wewnętrzną ocenę skutków dla ochrony danych czy też zlecić ją podmiotowi zewnętrznemu; zabezpieczeń (w tym środków technicznych i organizacyjnych) stosowanych do łagodzenia wszelkich zagrożeń praw i interesów osób, których dane dotyczą; prawidłowości przeprowadzonej oceny skutków dla ochrony danych i zgodności jej wyników z wymogami ochrony danych (czy należy kontynuować przetwarzanie czy też nie oraz jakie zabezpieczenia należy zastosować). Jeśli administrator nie zgadza się z zaleceniami DPO, dokumentacja oceny skutków dla ochrony danych powinna zawierać pisemne uzasadnienie nieuwzględnienia tych zaleceń.

50 Administratorzy, podmioty przetwarzające Umowa o powierzeniu przetwarzania danych

51 Współadministratorzy w przejrzysty sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z niniejszego rozporządzenia

52 Podmiot przetwarzający Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.

53 Ogólne warunki nakładania administracyjnych kar pieniężnych (co bierze się pod uwagę przy wymiarze kary?) stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków; kategorie danych osobowych, których dotyczyło naruszenie; sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie; jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 przestrzeganie tych środków; stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42; oraz wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

54 Sankcje pieniężne Naruszenie Przdsiębiorstwo Inny pomiot Obowiązki administratora i podmiotu przetwarzającego / obowiązki podmiotu certyfikującego i monitorującego Zasad przetwarzania, praw osób, których dane dotyczą, zasad przekazywania danych do 2% całkowitego światowego obrotu do 4% całkowitego światowego obrotu do EUR do EUR

55 Podstawy działania podmiotu przetwarzającego Umowa lub Inny instrument prawny, który podlega prawu Unii lub prawu państwa członkowskiego i wiąże podmiot przetwarzający i administratora, Umowa lub inny instrument muszą określać: przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Umowa lub inny akt prawny mają formę pisemną, w tym formę elektroniczną.

56 Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu Naruszenie ochrony danych osobowych Obowiązek administratora bez zbędnej zwłoki w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, zgłasza organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi.

57 Dokumentacja

58 Upoważnienie i polecenie Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.

59 Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Zawiadomienie jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej dane inspektora ochrony danych lub punktu kontaktowego, możliwe konsekwencje, podjęte środki. Zawiadomienie nie jest wymagane, w następujących przypadkach: a)administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, b)administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą; c)wymagałoby ono niewspółmiernie dużego wysiłku.

60 Rejestry

61 Każdy administrator oraz gdy ma to zastosowanie przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają. W rejestrze tym zamieszcza się wszystkie następujące informacje: a)imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie przedstawiciela administratora oraz inspektora ochrony danych; b)cele przetwarzania; c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;

62 d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych; e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń; f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych; g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

63 Każdy podmiot przetwarzający oraz gdy ma to zastosowanie przedstawiciel podmiotu przetwarzającego prowadzą rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, zawierający następujące informacje: a)imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych; b)kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;

64 c) gdy ma to zastosowanie przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń; d) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

65 Obowiązki te nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

66 Ocena skutków dla ochrony danych osobowych

67 Ocena skutków ochrony danych- definicja Art. 35 RODO Ocena skutków dla ochrony danych osobowych DPIA - to proces mający opisać przetwarzanie, oceniać niezbędność i proporcjonalność przetwarzania oraz pomóc w zarządzaniu ryzykiem naruszania praw i wolności osób fizycznych wynikającym z przetwarzania danych osobowych. Niedokonanie oceny skutków dla ochrony danych, gdy jest to wymagane (art. 35 ust. 1 i 3) lub niewłaściwe jej wykonanie (art. 35 ust. 2 i 7), a także niewłaściwe działania następcze (art. 36 ust. 3 lit. e), mogą skutkować nałożeniem kary pieniężnej w wysokości do 10 milionów EURO

68 Czemu ma służyć DPIA i kiedy jest wymagana? Zgodnie z podejściem opartym na ryzku - przeprowadzenie DPIA ma służyć dogłębnej ocenie ryzyka na jakie narażone jest przetwarzanie danych osobowych i wprowadzeniu środków zaradczych ograniczających to ryzyko do akceptowalnego poziomu, gdy przetwarzanie z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Celem niniejszego dokumentu jest określenie kontekstu, kiedy DPIA jest wymagalne i wyjaśnienie istotnych w tym zakresie przepisów RODO, aby pomóc administratorom w przestrzeganiu prawa i zapewnienia pewności prawnej dla administratorów, którzy są zobowiązani do przeprowadzenia DPIA.

69 Czemu ma służyć DPIA i kiedy jest wymagana? Art. 35 RODO wskazuje, że DPIA powinno być przeprowadzone jeżeli dane przetwarzane są w szczególności z użyciem nowych technologii i może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Ocena taka jest wymagana w szczególności w przypadku: 1) Systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną; 2) Przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10; lub 3) Systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie

70 10 przypadków, które stwarzają wysokie ryzyko naruszenia ochrony danych W wytycznych Grupa art. 29 wskazuje 10 przypadków przetwarzania danych, które powinny być uważane za operacje wnoszące wysokie ryzyko naruszenia praw i wolności. Do przypadków tych zaliczono: 1) Ewaluacja lub ocena, w tym profilowanie i przewidywanie, szczególnie,, aspektów dotyczących efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się osoby, której dane dotyczą. Bank oceniający zdolność kredytową na podstawie danych z Biura Informacji Kredytowej

71 2) Zautomatyzowane podejmowanie decyzji wywołujących skutki prawne lub podobne istotne skutki. System odcinkowej kontroli prędkości, gdzie kamery rejestrują czas wjazdu i dany odcinek i wyjazdu a następnie wyliczają średnią prędkość i przekazują dane do wystawienia mandatu. 3) Systematyczne monitorowanie, tj. przetwarzanie i wykorzystywanie do obserwacji, monitorowania i kontroli osób, których dane dotyczą, w tym dane zbierane poprzez,, systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie. Rejestrowanie obrazu określonego miejsca np., osób wchodzących i wychodzących z restauracji, hotelu. Rozpoznawanie osób z wykorzystaniem systemu rozpoznawania wizerunku i rejestrowanie ich w bazie klientów (rozpoznanie może być wykonane bez wiedzy osób ich dotyczących)

72 4) Dane wrażliwe, w tym dane obejmujące szczególne kategorie danych określonych w artykule 9 i 10. Rejestr dokumentacji medycznej prowadzony przez szpital. Prywatny detektyw przechowujący dane dotyczące przestępców. Usługi poczty elektronicznej, kalendarze elektroniczne. Dane dotyczące przeprowadzanych operacji finansowych. Dane dotyczące lokalizacji.

73 5) Dane przetwarzane na dużą skalę, tj. dane, których: a) Liczba osób, których dane dotyczą- konkretna liczba albo procent określonej grupy społeczeństwa; b) Zakres przetwarzanych danych osobowych; c) Okres, przez jaki dane są przetwarzane; d) Zakres geograficzny przetwarzania danych osobowych. Rejestrowanie danych dotyczących zużycia energii przez liczniki inteligentne z częstotliwością co 15 minut. Przetwarzanie danych lokalizacyjnych przez okres czasu, np. w godzinach pracy. Przetwarzanie danych osób korzystających ze środków komunikacji miejskiej (np. śledzenie za pośrednictwem kart miejskich. Przetwarzanie danych klientów przez banki albo ubezpieczycieli w ramach prowadzonej działalności.

74 6) Dokonano porównania lub połączenia zestawów danych: na przykład pochodzących z dwóch lub większej liczby operacji przetwarzania prowadzonych w różnych celach i/lub przez różnych administratorów danych w sposób, który wykracza poza racjonalne oczekiwania osoby, której dane dotyczą. Zastosowanie technologii BigData. 7) Dane dotyczące osób wymagających szczególnej opieki, tj. jeżeli przetwarzanie tego rodzaju danych może wymagać DPIA ze względu na zwiększony brak równowagi sił między osobą, której dane dotyczą, a administratorem danych, co oznacza, że osoba może nie być w stanie wyrazić zgody na przetwarzanie jej danych lub sprzeciwiać się takiemu przetwarzaniu. Przetwarzanie danych pracowników, uczniów. Przetwarzanie danych osobowych osób chorych psychicznie, osób ubiegających się o azyl, pacjentów.

75 8) Innowacyjne wykorzystanie lub zastosowanie rozwiązań technologicznych lub organizacyjnych. Zastosowanie biometrii uniemożliwiającej zmiany wzorca biometrycznego w przypadku utraty poufności (źródła danej biometrycznej nie da się zmienić tak jak hasła). Zastosowanie biometrii wielomianowej na przykład połączenie wykorzystania odcisków palców i rozpoznawania twarzy do usprawnienia fizycznej kontroli dostępu. Zastosowanie tej samej metody biometrycznej w różnych systemach uwierzytelniania (przyszłe konsekwencje łączenia danych z różnych źródeł). Internet przedmiotów i usług geolokalizacyjne (przetwarzanie fotografii z metadanymi dotyczącymi lokalizacji).

76 9) Transgraniczne przekazywanie danych poza Unie Europejską Konieczność sprawdzenia czy przestrzegane są prawa osoby do ochrony danych i wolności. 10) Gdy przetwarzanie samo w sobie,, uniemożliwia osobom, których dane dotyczą, wykonywania prawa lub korzystania z usługi lub umowy ( art. 22 i motyw 91). Dotyczy to przetwarzania prowadzonego w miejscu publicznym, którego przechodzący ludzie nie mogą uniknąć lub przetwarzania, którego celem umożliwienie, zmiana lub odmowa dostępu osób, których dane dotyczą, do usługo lub zawarcia umowy. Monitorowanie otoczenia bankomatu czy monitorowanie wejścia urzędu. Sprawdzanie przez bank klientów w bazie informacji kredytowej. Sprawdzanie klientów w bazie informacji gospodarczej.

77 Jak wymienione przypadki uwzględniać przy wymaganiach przeprowadzenia DPIA? Grupa art. 29, co do zasady, zaleca przeprowadzenie DPIA dla procesów przetwarzania danych, w których występują jednocześnie co najmniej dwa z wymienionych przypadków (kategorii przetwarzania danych). Co nie oznacza, że mogą być sytuacje, w których spełnione jest tylko jedno kryterium, ale przetwarzanie może tak istotnie wpływać na prawa i wolności osób, których dane są przetwarzane, że ocenę taką należy przeprowadzić (np. zastosowanie technologii blockchain do potwierdzenia uzyskania zgody na przetwarzanie danych czy wprowadzenia postów na portalach społecznościowych). Nie wyklucza się również sytuacji odwrotnych tzn. spełnione są 2 kryteria, ale technologia jest sprawdzona i nie wnoszą one wysokiego ryzyka zakresie ochrony danych i wolności osób, których dane dotyczą.

78 Kiedy przeprowadzenie DPIA nie jest wymagane? Wytyczne wskazują, że DPIA nie jest wymagane, jeżeli: Przetwarzanie,,z dużym prawdopodobieństwem nie spowoduje wysokiego ryzyka naruszenia praw lub wolności osób fizycznych (art. 35 ust. 1 ), Charakter, zakres, kontekst i cel przetwarzania są bardzo podobne do przetwarzania, dla którego została dokonana DPIA (art. 35 ust.1), Gdy operacja przetwarzania ma podstawę prawną w prawie UE lub państwie członkowskim i prawo reguluje określoną operację przetwarzania, uwzględniając DPIA (zgodnie ze standardami RODO, DPIA w takich przypadkach jest wymagana w ramach ustanowienia tej podstawy prawnej (art. 35 ust. 10), Gdy przetwarzanie uwzględnione jest w opcjonalnym wykazie (ustanowionym przez organ nadzorczy) operacji przetwarzania niepodlegających wymogowi dokonania DPIA (art. 35 ust. 5)

79 Czy obowiązek przeprowadzenia DPIA dotyczy operacji wprowadzonych przed 25 maja 2018r.? Wymóg dokonania DPIA dotyczy operacji przetwarzania spełniających kryteria wskazane w artykule 35 i rozpoczętych po tym, jak RODO zacznie mieć zastosowanie w dniu 25 maja 2018r. Grupa art. 29 zdecydowanie zaleca dokonanie DPIA dla operacji przetwarzania już trwających przed 25 maja 2018r. Ponadto, gdy zmienia się ryzyko wynikające z operacji przetwarzania, administrator obowiązany jest dokonać przeglądu, by stwierdzić, czy przetwarzanie odbywa się zgodnie z rozporządzeniem. W ramach dobrych praktyk, DPIA należy nieustannie dokonywać dla istniejących czynności przetwarzania. Jednak należy dokonać ponownej oceny po 3 latach, być może wcześniej, w zależności od charakteru przetwarzania i stopnia zmiany operacji przetwarzania lub ogólnych okoliczności. Taka ocena jest również zalecana dla przetwarzania danych, które było prowadzone przed 25 maja 2018r. i w związku z tym nie podlegało DPIA.

80 Kiedy należy przeprowadzić DPIA? DPIA powinna zostać przeprowadzona,,przed rozpoczęciem przetwarzania (art. 35 ust. 1, 35 ust 10, motyw 90 i 93). Jest to zgodne z ochroną danych w fazie projektowania oraz domyślną ochroną danych (art. 25 i motyw 78). DPIA powinna zostać rozpoczęta tak wcześnie jak jest to praktyczne w projektowaniu operacji przetwarzania danych, nawet jeśli niektóre operacje przetwarzania będą wciąż nieznane. Zalecane jest rozpoczęcie DPIA już na etapie tworzenia koncepcji rozwiązania danego problemu (celu przetwarzania) - rekomendacje wynikające z raportu powstałego w ramach projektu PIAF zatytułowanego,,recommendations for a privacy impact assessment framework for the European Union.

81 Kto powinien przeprowadzać DPIA i z kim powinien się konsultować? Grupa art. 29 stoi na stanowisku, że: Opinii dotyczących sposobu przetwarzania można szukać w różny sposób (np. wewnętrzne lub zewnętrzne badania, formalne pytanie do przedstawicieli pracowników lub związków zawodowych, itp. Jeśli ostateczna decyzja administratora różni się od poglądów osób, których dane dotyczą, jeśli uzna, że są niewłaściwe, Jeżeli jednostki biznesowe zaproponują przeprowadzenie DPIA, jednostki te powinny następnie dostarczyć wkład do DPIA i być zaangażowane w proces walidacji, Zaleca się zasięganie opinii niezależnych ekspertów różnych zawodów (prawnicy, technicy, eksperci ds. bezpieczeństwa, etycy itp.)

82 W jaki sposób przeprowadzać DPIA? RODO nie narzuca metodyki przeprowadzania DPIA. Określa natomiast minimalny jego zakres (art.. 35 ust. 7 i motywy 84 i 90). W ramach DPIA należy wykonać: Opis planowanych operacji przetwarzania i celów przetwarzania, Ocenę czy operacje przetwarzania są niezbędne oraz proporcjonalne, Ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, Wskazać środki planowane w celu zaradzenia ryzyku i przestrzegania rozporządzenia.

83 W jaki sposób przeprowadzać DPIA? RODO zapewnia elastyczność administratorom danych w określeniu dokładnej struktury i formy DPIA, aby umożliwić dostosowanie do istniejących praktyk zawodowych. Wymaga się jednak, aby niezależnie od wybranej metodyki, DPIA stanowiło realną ocenę ryzyka, umożliwiającą administratorom podejmowanie działań mających na celu ich rozwiązanie

84 Zalecany zakres DPIA Grupa art. 29 proponuje następujące kryteria, które administratorzy danych mogą wykorzystać do oceny, czy DPIA lub metodologia przeprowadzania DPIA są wystarczająco obszerne, aby zapewnić zgodność z RODO: Zapewniony jest systematyczny opis planowanych operacji przetwarzania (art. 35 ust.7): Charakter, zakres, kontekst i cele przetwarzania są uwzględnione, Dokumentowane dane osobowe, odbiorcy oraz okres przechowywania danych osobowych, Dostarczony jest funkcjonalny opis operacji przetwarzania, Zidentyfikowane są aktywa, na których opierają się dane osobowe (sprzęt, oprogramowanie, sieci, ludzie, dokumenty papierowe lub papierowe kanały transmisji). Uwzględnia się zgodność z zatwierdzonymi kodeksami postępowania.

85 Ocena niezbędności i proporcjonalności (art. 35 ust. 7 lit. b): Określono środki mające na celu spełnienie wymogów rozporządzenia (art. 35 ust. 7 lit. d i motyw 90), biorąc pod uwagę: Środki wpływające na niezbędność i proporcjonalność przetwarzania w oparciu o: Konkretny, wyraźny i prawnie uzasadnione cele (art. 5 ust. 1 lit. b) Zgodność przetwarzania z prawem (art.6) Adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów (art.5 ust. 1 lit. c ) Środki przyczyniające się do ochrony praw osób, których dane dotyczą: Informacje udzielone osobie, której dane dotyczą (art. 12, 13 i 14), Prawo dostępu i przekazywania danych (art. 15 i 20) Prawo do sprostowania, usunięcia, ograniczenia przetwarzania, sprzeciwu (art i 21), Odbiorcy, Podmioty przetwarzające (art. 28), Zabezpieczenia dotyczące przekazywania danych (Rozdział V), Uprzednie konsultacje (art. 36)

86 Zarządzanie ryzykiem naruszenia praw lub wolności osób (art. 35 ust. 7): Uwzględnienie źródła, charakteru, specyfiki i powagi tego ryzyka lub dokładniej, w odniesieniu do każdego ryzyka (nieuprawnionego dostępu, niepożądanej modyfikacja i zniknięcia danych) z punktu widzenia osób, których dane dotyczą: Uwzględniono źródło ryzyka (motyw 90), Potencjalne skutki dla praw lub wolności osób, których dane dotyczą, są identyfikowane w przypadku nieuprawnionego dostępu, niepożądanej modyfikacji i zniknięcia danych, Zagrożenia, które mogłyby prowadzić do nieuprawnionego dostępu, niepożądanej modyfikacji i zniknięcia danych Oszacowano prawdopodobieństwo i powagę tego ryzyka (motyw 90) Ustalono środki planowane w celu zaradzeniu ryzyku (art. 35 ust. 7 lit. d i Motyw 90): Zaangażowanie zainteresowanych stron: Zasięgnięto konsultacji DPO (art. 35 ust. 2), Zasięgnięto opinii osób, których dane dotyczą lub przedstawicieli (art. 35 ust. 9)

87 Kiedy, w jakich przypadkach DPIA należy konsultować z organem nadzorczym Konsultacja jest wymagana, gdy administrator danych nie może znaleźć wystarczających środków (tj. gdy ryzyko szczątkowe jest nadal wysokie). Ponadto administrator będzie musiał skontaktować się z organem nadzorczym w każdym przypadku, gdy prawo państwa członkowskiego wymaga, aby administratorzy konsultowali się z organem nadzorczym lub/i uzyskiwali jego uprzednią zgodę na przetwarzanie danych osobowych przez administratora do celów wykonania zadania realizowanego przez administratora w interesie publicznym, w tym przetwarzania w związku z ochroną socjalną i zdrowiem publicznym ( art. 36 ust. 5)