Ochrona danych osobowych, co zmienia RODO?

Transkrypt

1 Ochrona danych osobowych, co zmienia RODO?

2

3 Rozporządzenie weszło w życie 24 maja 2016 roku, będzie stosowane bezpośrednio w państwach członkowskich od 25 maja 2018 roku.

4 Obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych Zasada rozliczalności u podstaw wywiązywania się z RODO Obowiązki, jakie Rozporządzenie nakłada na administratora w zakresie bezpieczeństwa danych osobowych to: 1. Przyjęcie wewnętrznych polityk; 2. Wdrożenie odpowiednich środków technicznych; 3. Wdrożenie odpowiednich środków organizacyjnych.

5 Podejście oparte na ryzyku Przepisy nakładają na administratora danych obowiązek dokonania oceny ryzyka wiążącego się z przetwarzaniem danych osobowych. Ocena ta powinna m.in. uwzględniać ryzyko wynikające z: - przypadkowego lub niezgodnego z prawem zniszczenia danych; - przypadkowej lub niezgodnej z prawem utraty danych; - przypadkowej lub niezgodnej z prawem modyfikacji danych; - nieuprawnionego ujawnienia danych osobowych; - nieuprawnionego dostępu do danych osobowych;

6 Raportowanie naruszeń ochrony danych osobowych Obowiązek zgłoszenie do organu nadzorczego Bez zbędnej zwłoki, nie później niż w 72h po stwierdzeniu naruszenia Zgłoszenie późniejsze niż w terminie 72 h musi zostać umotywowane wyjaśnieniem Gdy naruszenie prawdopodobnie skutkowało ryzykiem naruszenia praw i wolności osób fizycznych

7 Zgłoszenie naruszenia ochrony danych osobowych Powinno zawierać: charakter naruszenia, kategorię i przybliżoną liczbę osób, których dane dotyczą oraz kategorię i liczbę wpisów danych osobowych, których dotyczy naruszenie, imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub innego punktu kontaktowego, od którego można uzyskać więcej informacji, opis możliwych konsekwencji naruszenia ochrony danych osobowych, opis środków przedsięwziętych lub proponowane przez administratora w celu zminimalizowania skutków naruszenia ochrony danych osobowych.

8 Cloud computing a RODO zmniejszenie poziomu ryzyka, stosowanie zatwierdzonego branżowego kodeksu postępowania, Stosowanie certyfikowanych rozwiązań, Umowy i klauzule.

9 Zakres umowy z procesorem przedmiot umowy, czyli to jakie dane i w jakim zakresie zostają powierzone podmiotowi przetwarzającemu; czas trwania przetwarzania; charakter przetwarzania; cel przetwarzania; rodzaj danych osobowych; kategorie osób, których dane dotyczą; obowiązki i prawa administratora.

10 Uwzględnienie ochrony w fazie projektowania oraz domyślna ochrona danych Privacy by design : już podczas projektowania systemu ochrony danych osobowych należy wdrażać takie środki, by od samego początku chronić przetwarzane dane oraz prywatność osób, których dane dotyczą. Ochrona prywatności włączona (wbudowana) w projekt - co oznacza, że prywatność jest chroniona nie poprzez dodatki do systemu lub nakładki przygotowane na już istniejące rozwiązania, lecz jest wbudowana w jego konstrukcję tak, że jest po prostu składową projektu. Privacy by default : koncepcja traktuje prywatność jako ustawienie domyślne ustawienia domyślne danego systemu powinny przewidywać możliwie najdalej posunięte zabezpieczenia danych osobowych. Ustawienia aplikacji czy serwisów społecznościowych domyślnie powinny udostępniać minimalną ilość informacji o użytkowniku. Poszerzenie zakresu udostępnianych danych może nastąpić jedynie na podstawie zmiany ustawień dokonanych przez samego użytkownika. Wcześniej takie zagadnienia nie były uregulowane w polskim prawie.

11 Na gruncie ogólnego rozporządzenia o ochronie danych, niezgodnie z prawem przekazanie danych osobowych do państwa trzeciego będzie wysoko sankcjonowane. W przypadku przedsiębiorstw, będzie to administracyjna kara pieniężna do EURO lub do 4% jego całkowitego rocznego światowego obrotu za poprzedni rok obrotowy

12