PODSTAWY PRAWNE PRZETWARZANIA DANYCH OSOBOWYCH.

Transkrypt

1 Poniższy opis slajdów dotyczy prezentacji wyświetlonej podczas webinaru w dniu ósmego października dwa tysiące dziewiętnastego roku, pod tytułem RODO w projektach unijnych. SLAJD NR JEDEN. Zagadnienia. 1. Podstawy prawne. 2. Podstawowe definicje. 3. Zasady oraz warunki przetwarzania. 4. Warunki wyrażenia zgody na przetwarzanie danych osobowych. 5. Przetwarzanie szczególnych kategorii danych osobowych. 6. Zgodność przetwarzania z prawem. 7. Obowiązki administratora danych oraz podmiotu przetwarzającego. 8. Warunki i zasady wyznaczenia oraz obowiązki IOD. 9. Ogólne warunki nakładania administracyjnych kar pieniężnych. SLAJD NR DWA. PODSTAWY PRAWNE PRZETWARZANIA DANYCH OSOBOWYCH. Karta praw podstawowych UE. Artykuł ósmy - Ochrona danych osobowych. Każdy ma prawo do ochrony danych osobowych, które go dotyczą. Dane te muszą być przetwarzane rzetelnie w określonych celach i za zgodą osoby zainteresowanej lub na innej uzasadnionej podstawie przewidzianej ustawą. Każdy ma prawo dostępu do zebranych danych, które go dotyczą, i prawo do dokonania ich sprostowania. Przestrzeganie tych zasad podlega kontroli niezależnego organu. Konstytucja RP rozdział II wolności i prawa osobiste.

2 Każdemu zapewnia się nietykalność osobistą i wolność osobistą. Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym. Nikt nie może być obowiązany przez organy władzy publicznej do ujawnienia swojego światopoglądu, przekonań religijnych lub wyznania. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY UNII EUROPEJSKIEJ dwa tysiące szesnaście ukośnik sześćset siedemdziesiąt dziewięć z dnia dwudziestego siódmego kwietnia dwa tysiące szesnastego roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy dziewięćdziesiąt pięć ukośnik czterdzieści sześć ukośnik wu e. Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych z dnia dziesiątego maja dwa tysiące osiemnastego roku. SLAJD NR TRZY. 1. DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY UNII EUROPEJSKIEJ dwa tysiące szesnaście ukośnik sześćset osiemdziesiąt z dnia dwudziestego siódmego kwietnia dwa tysiące szesnastego roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postepowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady dwa tysiące osiem ukośnik dziewięćset siedemdziesiąd siedem ukośnik wu es i es wu. 2. Ustawa z dnia czternastego grudnia dwa tysiące osiemnastego roku o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. 3. Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim.

3 SLAJD NR CZTERY. Opracowania. SLAJD NR PIĘĆ. Podstawowe definicje. Dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Administrator Danych oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. SLAJD NR SZEŚĆ. Przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych takiej jak: zbieranie, utrwalanie, organizowanie porządkowanie, przechowywanie, adaptowanie, modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, dopasowywanie, łączenie, ograniczanie,

4 usuwanie, niszczenie, ujawnianie poprzez przesłanie, rozpowszechnianie, udostępnianie. Naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. SLAJD NR SIEDEM. Dane genetyczne oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej. Dane biometryczne oznaczają dane osobowe, które dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne. Dane dotyczące zdrowia oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej ujawniające informacje o stanie jej zdrowia. SLAJD NR OSIEM. Przetwarzanie szczególnych kategorii danych osobowych. Artykuł dziewięć kropka jeden. Przetwarzanie szczególnych kategorii danych osobowych. Zabrania się przetwarzania danych osobowych ujawniających: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

5 SLAJD NR DZIEWIĘĆ. Przetwarzanie danych osobowych szczególnych kategorii jest możliwe jeżeli spełniony jest jeden z warunków. Osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach. Przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej. Przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody. Przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą. Przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą. SLAJD NR DZIESIĘĆ. Przetwarzanie danych osobowych szczególnych kategorii jest możliwe jeżeli spełniony jest jeden z warunków. Przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy. Przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą. Przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego.

6 przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych. Przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych. SLAJD NR JEDENAŚCIE. Zasady dotyczące przetwarzania danych osobowych. Zgodność z prawem, rzetelność, przejrzystość, Ograniczenie celu, Minimalizacja danych, Prawidłowość, Ograniczenie przechowywania, Integralność i poufność, Rozliczalność. SLAJD NR DWANAŚCIE. Zgodność przetwarzania z prawem. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów, przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy, przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub

7 podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. SLAJD NR TRZYNAŚCIE. Obowiązek informacyjny administratora danych. Przepisy RODO nie wymagają składania oświadczeń o zapoznaniu się z klauzulą informacyjną. Z punktu widzenia zasady rozliczalności konieczne jest jedynie, aby administrator był w stanie wykazać przestrzeganie przepisów RODO, w tym również udzielenie osobie, której dane dotyczą, wszystkich informacji. SLAJD NR CZTERNAŚCIE. Prawo dostępu przysługujące osobie, której dane dotyczą. Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich. Administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem w szczególności gdy informacje są kierowane do dziecka udzielić osobie, której dane dotyczą wszelkich informacji. SLAJD NR PIĘTNAŚCIE. Administrator danych osobowych. Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. SLAJD NR SZESNAŚCIE. Podmiot przetwarzający Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.

8 SLAJD NR SIEDEMNAŚCIE. Inspektor ochrony danych. Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy, przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości, główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę, lub, główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa. SLAJD NR OSIEMNAŚCIE. 1. Polityka bezpieczeństwa. 2. Raport ogólnej analizy ryzyka. 3. Raport oceny skutków dla ochrony danych. 4. Rejestr czynności przetwarzania. 5. Rejestr kategorii czynności przetwarzania. 6. Procedura zgłaszania naruszeń ochrony danych do organu nadzorczego. 7. Klasyfikacja naruszeń danych osobowych. 8. Procedura wewnętrznego rejestru naruszeń ochrony danych. 9. Procedura na wypadek wystąpienia naruszeń mogących powodować wysokie ryzyko naruszenia praw i wolności osób. 10. Procedury pseudonimizacji i szyfrowania danych. 11. Plan ciągłości działania. 12. Procedura odtwarzania systemu po awarii oraz ich testowania. SLAJD NR DZIEWIĘTNAŚCIE. Ogólne warunki nakładania administracyjnych kar pieniężnych oraz zakres odpowiedzialności w związku z naruszeniem przepisów RODO. SLAJD NR DWADZIEŚCIA. Artykuł osiemdziesiąt trzy RODO Naruszenia podlegają administracyjnej karze pieniężnej w wysokości do dziesięciu milionów euro, a w przypadku przedsiębiorstwa w wysokości do dwóch procent jego całkowitego

9 rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Artykuł dziewięćdziesiąt pięć UODO. Na podmioty publiczne, o których mowa w artykule dziewięć punkt od jednego do dwunastego i czternasty ustawy z dnia dwudziestego siódmego sierpnia dwa tysiące dziewiątego roku o finansach publicznych, Prezes Urzędu może nałożyć, w drodze decyzji, administracyjne kary pieniężne w wysokości do stu tysięcy złotych. Artykuł osiemdziesiąt trzy RODO. Naruszenia przepisów dotyczących następujących kwestii podlegają zgodnie z ustępem drugim administracyjnej karze pieniężnej w wysokości do dwudziestu milionów euro, w przypadku przedsiębiorstwa w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Artykuł sto siódmy UODO. 1. Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. 2. Jeżeli czyn określony w ustępie pierwszym dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, biometrycznych, o stanie zdrowia, seksualności lub orientacji seksualnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech. SLAJD NR DWADZIEŚCIA JEDEN. Kodeks Karny przestępstwa przeciwko ochronie informacji. Artykuł dwieście sześćdziesiąty szósty. Paragraf pierwszy. Kto, wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu, ujawnia lub wykorzystuje informację, z którą zapoznał się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. Paragraf drugi. Funkcjonariusz publiczny, który ujawnia osobie nieuprawnionej informację stanowiącą tajemnicę służbową lub informację, którą uzyskał w związku z wykonywaniem czynności służbowych, a której ujawnienie może narazić na szkodę prawnie chroniony interes, podlega karze pozbawienia wolności do lat trzech.