Implementacja europejskiego rozporządzenia o ochronie danych osobowych. Prace Ministerstwa Cyfryzacji oraz wytyczne organów unijnych

Transkrypt

1 Implementacja europejskiego rozporządzenia o ochronie danych osobowych Prace Ministerstwa Cyfryzacji oraz wytyczne organów unijnych

2 Agenda aktywność GIODO i Ministerstwa Cyfryzacji w zakresie wdrażania RODO do polskiego porządku prawnego, aktualne i planowane wytyczne Grupy Roboczej Art. 29, rozporządzenie eprivacy zasady bezwzględnej ochrony danych użytkowników w Sieci.

3 Aktywność GIODO i Ministerstwa Cyfryzacji w zakresie wdrażania RODO do polskiego porządku prawnego Ministerstwo Cyfryzacji jako gospodarz projektu prowadzi rozmowy z podmiotami zaangażowanymi w proces przygotowywania nowej ustawy o ochronie danych osobowych. Swoje propozycje i uwagi do projektu przedstawili przedsiębiorcy, GIODO oraz przedstawiciele podmiotów dbającycho prawa obywateli.

4 Liczne kontrowersje Priorytety: szybkość postępowania. Główne założenia projektu: jednoinstancyjność, sąd administracyjny właściwy w sprawach z zakresu ochrony danych.

5 Główne uwagi do projektu: brak możliwości zawierania ugody, brak środków zaskarżenia postanowień, wyłączenie zasady czynnego udziału strony w każdym stadium postępowania oraz wypowiedzenia się co do zebranych dowodów i materiałów oraz zgłoszonych żądań, wyłączenie praw z ustawy o swobodzie działalności gospodarczej, rygor natychmiastowej wykonalności, brak równości w traktowaniu podmiotów publicznych i prywatnych.

6 Wytyczne Grupy Roboczej Art. 29 dotyczące ustalenia wiodącego organu nadzorczego właściwego dla administratora lub podmiotu przetwarzającego

7 Administrator danych sam określa, gdzie znajduje się jego główna jednostka organizacyjna i w związku z tym, który organ nadzorczy jest jego organem wiodącym. Jednak później może to zostać zakwestionowane przez organ nadzorczy, którego sprawa dotyczy.

8 Właściwa identyfikacja głównej jednostki organizacyjnej leży w interesie administratorów i podmiotów przetwarzających, ponieważ zapewnia jasność co do tego, z którym organem nadzorczym będą musieli mieć do czynienia, jeżeli chodzi o różne obowiązki w zakresie przestrzegania przepisów na mocy RODO.

9 Jeżeli sprawa dotyczy zarówno administratora, jak i podmiotu przetwarzającego, właściwym wiodącym organem nadzorczym powinien pozostać organ nadzorczy właściwy dla administratora.

10 Wytyczne Grupy Roboczej Artykułu 29 dotyczące inspektorów ochrony danych

11 Główną działalnością administratora będzie działalność kluczowa z punktu widzenia osiągnięcia celów administratora albo podmiotu przetwarzającego dane. Nie jest możliwe wskazanie konkretnej wartości, czy to rozmiaru zbioru danych, czy liczby osób, których dane dotyczą, która determinowałaby dużą skalę. Nie wyklucza to sytuacji, w której, wraz z rozwojem praktyki ukształtują się standardy, które umożliwiałyby kwantytatywne określenie dużej skali w odniesieniu do określonych rodzajów przetwarzania.

12 Nawet jeżeli RODO bezpośrednio nie nakłada obowiązku powołania IOD, niejednokrotnie korzystnym dla podmiotów może być dobrowolne wyznaczenie takiej osoby. GR Art. 29 zachęca do takiego postępowania. W sytuacji, w której podmiot dobrowolnie decyduje się na wyznaczenie IOD, wymagania wskazane w artykule 37 i 39 stosuje się odpowiednio do jego wyznaczenia, statusu i zadań, tak jakby wyznaczenie było obowiązkowe.

13 Wytyczne Grupy Roboczej Artykułu 29 dotyczące prawa do przenoszenia danych

14 Celem tego nowego prawa jest zapewnienie praw osobie, której dane dotyczą, i przyznanie jej większej kontroli nad dotyczącymi jej danymi osobowymi. Ułatwi ono zmianę dostawców usług. Przenoszenie danych nie nakłada na administratora danych obowiązku zatrzymywania danych osobowych dłużej niż to konieczne. Nie ma dodatkowego wymogu przechowywania danych po prostu w celu realizacji potencjalnego wniosku o przeniesienie danych.

15 Administratorzy danych nie muszą przyjmować zbyt wąskiej interpretacji zdania dane osobowe dotyczące osoby, której dane dotyczą termin przekazane przez obejmuje dane osobowe, które dotyczą działania osoby, której dane dotyczą, lub wyniku z obserwacji zachowania osoby, ale nie następującej analizy tego zachowania.

16 Wytyczne w sprawie oceny skutków dla ochrony danych i określenia, kiedy przetwarzanie "może prowadzić do wysokiego ryzyka" w rozumieniu rozporządzenia Wskazane w rozporządzeniu sytuacje, gdy ocena skutków jest wymagana nie stanowią katalogu zamkniętego.

17 Przykłady przetwarzania gdzie dokonanie oceny jego skutków jest konieczne: wykorzystanie systemu kamerowego do monitorowania zachowania kierowcy na drodze, używanie inteligentnego systemu analizy obrazu do automatycznego rozpoznawania tablic rejestracyjnych, monitorowanie działalności pracowników przez pracodawcę, w tym monitorowanie stanowiska pracy pracowników, aktywnościw sieci itp.,

18 z publicznych profili przez przedsiębiorstwa budujące profile klientów. Przykłady gdy przeprowadzenie oceny skutków nie zawsze musi nastąpić: wykorzystywanie listy mailingowej, celem wysyłania do subskrybentów wiadomości (mailingi).

19 Rekomendacje Rekomendowane jest przeprowadzenie oceny skutków przetwarzania nie rzadziej niż raz na 3 lata. Może być jednak tak, że z uwagi na naturę procesu i częstotliwość zmian czynność ta powinna być wykonywana częściej. Zaleca się także przeprowadzenie oceny skutków czynności przetwarzania które rozpoczną się przed 25 maja 2018 roku. Różne metody, wspólne kryteria przeprowadzania oceny.

20 Poradnik: Reforma ochrony danych osobowych w UE - 24 kluczowe zmiany

21 KAMPANIA SPOŁECZNA Potencjalnie niebezpieczni LOGO KAMPANII ORGANIZATOR PATRON HONOROWY

22 Dziękuję za uwagę adw. Aleksandra Piotrowska Prezes zarządu