dr Magdalena Celeban Licencja (CC BY)

Transkrypt

1 dr Magdalena Celeban Licencja (CC BY)

2 12:30-12:45 JA SIĘ PRZEDSTAWIĘ 12:45-13:00 PRZEDSTAWIENIE UCZESTNIKÓW ( JAKA ORGANIZACJA, JAKIE DANE PRZETWARZANE, JAKA ILOŚĆ ) 13:00 13:20 FILOZOFICZNE PODEJŚCIE DO OCHRONY DANYCH OSOBOWYCH 13:20-14:30 CZAS ZACZĄĆ PRZYGODĘ Z OCHRONĄ DANYCH I DANYMI ;) 14:30-14:45 PRZERWA 14:45 15:45dane, dane, dane.. 15:45-16:00 przerwa 16:00 17:00 zabezpieczenia komputerowe 17: zażalenia

3 Prywatność Bezpieczeństwo to stan, który daje poczucie pewności istnienia i gwarancję jego zachowania, oraz szansę na doskonalenie. Jest to jedna z podstawowych potrzeb człowieka. Profesjonalizm, czyli przez niebezpieczeństwo do bezpieczeństwa. ETYKA Niebezpieczna jest nieświadomość Niebezpieczna jest lekkomyślność Niebezpieczna jest niewiedza Reszta jest tylko NATURALNYM RYZYKIEM BEZPIECZEŃSTWO w świecie i gospodarce cyfrowej to chyba ułuda. Chroniąc wartości zawsze będziemy przegrani ale czy mamy się poddać?

4

5 Artykuł Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej. 2. Niniejsze rozporządzenie ma zastosowanie od dnia [dwa lata od daty wejścia w życie niniejszego rozporządzenia]. Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich. RODO? TO NIC nowego? Hmm.

6 Aktem na poziomie europejskim była dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. (uchylenie Artykuł 94 RODO) Ustawa o ochronie danych osobowych NOWA ustawa o ochronie danych osobowych (PROJEKT) Ustawy, przepisy wprowadzające ustawę o ochronie danych osobowych. Stare (Grupa Robocza) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu RODO /ang. GDPR/ Rozporządzenie stanowi jeden z elementów reformy europejskich ram prawnych o ochronie danych osobowych -rozporządzenie oraz dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych (dyrektywa policyjna) Nowe (Europejska Rada Ochrony Danych)

7

8 1. W niniejszym rozporządzeniu ustanowione zostają przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych. 2. Niniejsze rozporządzenie chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych.

9 Artykuł 4 Definicje Dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ( osobie której dane dotyczą ); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

10 Przetwarzanie Oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Ograniczenie przetwarzania Oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania.

11 Profilowanie Oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się. Zbiór danych Oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie.

12 Oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych Administrator musi wiedzieć na jakiej podstawie prawnej będzie przetwarzać dane osobowe.

13 Oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora

14 Zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczące jej danych osobowych. Treść /Forma To co innego Cechy zgody: Dobrowolna, konkretna, świadoma (informed), jednoznaczna.

15

16 kilka nowych definicji (art. 4): -pseudonimizacja - przetworzenie d.o. by nie można ich było przypisać konkretnej osobie -dane genetyczne -dane biometryczne -wizerunek twarzy, kształt dłoni, zapis linii papilarnych palców, zapis obrazu tęczówki, zapis układu żył w palcu/nadgarstku, sposób chodzenia, sposób pisania na maszynie/klawiaturze komputera -dane dotyczące zdrowia -bezpieczeństwo danych ryzyko i analiza po stronie ADO Najistotniejsze kwestie w RODO: RODO = dobór zabezpieczeń do RYZYKA ADO jest odpowiedzialny za przestrzeganie przepisów i musi być w stanie wykazać ich przestrzeganie.

17 - rozszerzenie zakresu obowiązków informacyjnych (art ) - prawo do bycia zapomnianym, do usunięcia danych (art. 17) - prawo do przenoszenia danych (art.20) Obowiązki ADO: -przetwarzanie zgodnie z RODO m.in. : 1)odpowiednie środki techniczne i organizacyjne, wykazanie tych środków, ich przegląd, uaktualnianie (art. 24) 2)wdrożenie odpowiednich polityk ochrony danych 3)stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonego mechanizmu certyfikacji 4)uwzględnianie ochrony danych w fazie projektowania i domyślna ochrona danych (art. 25) przed rozpoczęciem przetwarzania i w jego trakcie, rejestrowanie czynności przetwarzania -ocena skutków dla ochrony danych (art. 35), w szczególności użycie nowych technologii -uprzednie konsultacje z UODO (art. 36) gdy ocena skutków wskaże wysokie ryzyko

18 - Współadministratorzy (art. 26) - podmiot przetwarzający /~dzisiejszy podmiot z art. 31/ (art. 28) - zgłaszanie naruszeń (art. 33) - inspektor ochrony danych /~dzisiejszy ABI/ -kiedy obowiązkowy (art. 37) -kodeksy postępowania, certyfikacja (art ) -organ nadzorczy (dzisiejszy GIODO), m.in. nowe: kompetencje; sposoby rozpatrywania spraw; rozstrzygnięcia (art ) -administracyjne kary pieniężne, sankcje (art ) Zaprojektowanie procesu

19 Dane osobowe zwykłe (np. imię, nazwisko, adres zamieszkania, data urodzenia, nr PESEL, numer telefonu, itp.). dane tzw. zwykłe - brak definicji dane zwykłe -Wszelkie inne niż wynikające z art. 27 ust. 1 ustawy Stare Nowe

20 Dane szczególnie chronione (wrażliwe) których zamknięty katalog został określony w art. 27 ust. 1. Są to: dane dotyczące pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub filozoficznych, przynależności wyznaniowej, partyjnej lub związkowej, stanu zdrowia, kodu genetycznego, nałogów, życia seksualnego, skazań, orzeczeń o ukaraniu i mandatach karnych, innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Co ważne, przetwarzanie danych wrażliwych wiąże się z koniecznością spełnienia dodatkowych gwarancji. Artykuł 9 Przetwarzanie szczególnych kategorii danych osobowych 1. Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

21 1. DANE OSOBOWE MUSZĄ BYĆ: Przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (zgodność z prawem, rzetelność i przejrzystość). Zbierane w konkretnych, wyrażnych i prawnie uzasadnionych celach [ ] Adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (minimalizacja danych) Prawidłowe i w razie potrzeby uaktualniane (prawidłowość)

22 1. Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych. 3. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę.

23 1. Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje: Swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela Gdy ma to zastosowanie dane kontaktowe inspektora ochrony danych Celowość oraz podstawę prawną Informacje o odbiorcach Okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu Informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania

24 Informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu ma zgodność z prawem przetwarzania Informacje o prawie wniesienia skargi do organu nadzorczego Informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych Informacje o profilowaniu (Profilowanie osób NIE profilowanie danych)

25 Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe.

26 Obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania

27 Każdy administrator [ ] prowadzi rejestr czynności przetwarzania danych osobowych, za które odpowiadają. W rejestrze tym zamieszcza się wszystkie następujące informacje: Imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie przedstawiciela administratora oraz inspektora ochrony danych Cele przetwarzania Opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych Kategorie odbiorców Jeżeli to możliwe, planowane terminy usunięcia poszczególnych kategorii danych Ogólny opis technicznych i organizacyjnych środków bezpieczeństwa

28 W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia- zgłasza je organowi nadzorczemu właściwemu zgodnie z art.55, chyba, że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

29

30 Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych

31 Przykładem pojedynczej informacji stanowiącej dane osobowe jest numer ewidencyjny PESEL. Numer ten, zgodnie z art. 31a ust. 1 ustawy z dnia 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych, jest 11 cyfrowym, symbolem numerycznym, jednoznacznie identyfikującym osobę fizyczną, w którym sześć pierwszych cyfr oznacza datę urodzenia (rok, miesiąc, dzień), kolejne cztery liczbę porządkową i płeć osoby, a ostatnia jest cyfrą kontrolną, służącą do komputerowej kontroli poprawności nadanego numeru ewidencyjnego. Numer ten, występując nawet bez zestawienia z innymi informacjami o osobie, stanowi dane osobowe, a ich przetwarzanie podlega wszelkim rygorom przewidzianym w ustawie.

32 Przetwarzaniem danych osobowych jest wykonywanie na nich jakichkolwiek operacji. Przetwarzaniem jest zatem już samo przechowywanie danych osobowych, nawet jeśli podmiot faktycznie z nich nie korzysta. W pojęciu przetwarzania mieści się także ich udostępnianie, zmienianie, modyfikowanie, przekazywanie, zbieranie, utrwalanie, opracowywanie. RODO Przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

33 Na jakie pytania powinien odpowiedzieć sobie ADO, gdy spotka się z żądaniem udostępnienia danych osobowych: -czy udostępnienie danych jest w ogóle dopuszczalne? - w jakim celu dane mają być udostępnione? - jakie dane mają być udostępnione? -jaki podmiot, na jakiej podstawie prawnej i w jakim celu wnioskuje o udostępnienie danych, jakie jest uzasadnienie żądania ALE i jaka powinna być forma udostępnienia /wprost, wgląd, telefon, kopia, weryfikacja tak-nie, etc./-jak udostępnić dane???

34

35

36 Oprócz rozwiązań cząstkowych w wybranych branżach BRAK przepisów kompleksowo regulujących monitoring wizyjny w jednej ustawie dedykowanej temu zagadnieniu czy w przepisach szczególnych dotyczących oświaty, relacji pracowniczych, bezpieczeństwa. prace nad ustawą o monitoringu w zawieszeniu stare Zakres monitoringu wizyjnego Cele monitoringu wizyjnego Zakazy związane z monitoringiem Informacja Monitoring nie może stanowić środka kontroli. Odrębny przepis prawa o monitoringu wizyjnym!!!! KONIECZNE opracowanie polityki monitoringu. Opracowanie komunikatów informacyjnych dla pracowników. nowe

37 Monitoring a prawa pracownicze -zakres danych pracownika jakie pracodawca może przetwarzać -proporcjonalność środków w stosunku do praw pracodawcy -monitoring nie może zastępować innych sposobów kontroli, zwłaszcza: -maszyna/narzędzie nie może zastępować człowieka -narzędzie nie może być jedyną podstawą oceny pracownika

38

39 Wyznaczenie administratora bezpieczeństwa informacji jest jednym z obowiązków administratora danych, wynikającym z art. 36 ust. 3 ustawy, służącym właściwemu zabezpieczeniu danych. ABI nadzoruje przestrzeganie zasad ochrony danych, określonych przez administratora, stosując odpowiednie do zagrożeń i kategorii danych objętych ochroną środki techniczne i organizacyjne, które mają zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. ABI Artykuł 39 Zadania inspektora ochrony danych 1. Inspektor ochrony danych ma następujące zadania: - Informowanie - Monitorowanie - Udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych - Współpraca z organem nadzorczym - Pełnienie funkcji punktu kontaktowego 2. Inspektor ochrony danych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania. IOD

40 Sekcja 4 Artykuł 37 Wyznaczenie inspektora ochrony danych Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy: a) Przetwarzania dokonują organ lub podmiot publiczny b) Główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub c) Główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych. IOD podmiot i organ publiczny (obowiązkowo)

41 Przez organy i podmioty publiczne obowiązane do wyznaczenia inspektora ochrony danych, zwanego dalej inspektorem, o którym mowa w art.37 ust.1 lit. a rozporządzenia 2016/679, rozumie się organy oraz podmioty wskazane w art.9 ustawy a dnia 27 sierpnia 2009r. o finansach publicznych.

42 Inspektor ochrony danych osobowych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań IOD może być członkiem personelu administratora lub wykonywać zadania na podstawie umowy o świadczenie usług. Administrator lub podmiot przetwarzający publikują dane kontaktowe inspektora ochrony danych i zawiadamiają o nich organ nadzorczy

43 Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych

44 IOD ma następujące zadania: -Informowanie administratora oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii - Monitorowanie przestrzegania niniejszego rozporządzenia -Udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania -Współpraca z organem nadzorczym -Pełnienie funkcji punktu kontaktowego dla organu nadzorczego

45 Naruszenie przepisów o ochronie danych osobowych, o których mowa w rozdziale 8 ustawy, może narazić administratora danych na odpowiedzialność: administracyjnoprawną, karną, dyscyplinarną. oraz cywilnoprawną. Niemniej, GIODO nie ma uprawnień do karania osób odpowiedzialnych za niezgodne z prawem przetwarzanie danych osobowych. Podmiotem właściwym w tej kwestii jest sąd. Artykuł Każdy organ nadzorczy zapewnia, by stosowane na mocy niniejszego artykułu za naruszenia rozporządzenia administracyjne kary pieniężne, o których mowa w ust.4,5 i 6, były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Artykuł 77 Prawo do wniesienia skargi do organu nadzorczego Artykuł 79 Prawo do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi STARE NOWE

46