Spotkanie sieciujące dla doradców kluczowych OWES kwietnia 2018 Warszawa, Hotel Warsaw Plaza

Transkrypt

1 Spotkanie sieciujące dla doradców kluczowych OWES kwietnia 2018 Warszawa, Hotel Warsaw Plaza

2 Informacja o warunkach wykorzystaniu prezentacji. 1. Możesz wykorzystać prezentację (treść merytorczną) na potrzeby osobiste lub wewnętrzne organizacji pozarządowej w której działasz lub na potrzeby doradztwa dla podmiotów PES. 2. Nie możesz wykorzystać prezentacji do celów działalności gospodarczej, działalności odpłatnej lub osobistej działalności zarobkowej poza ww. doradztwem oraz rozpowszechniania, nie ujętego w warunkach. 3. Możesz korzystać z prezentacji w wersji w której ją otrzymałeś/aś. 4. Nie możesz dokonywać żadnych zmian w prezentacji, zmieniać, przetwarzać, dodawać lub usuwać elementów treści merytorycznej prezentacji. 5. Korzystając z prezentacji nie wolno Ci zatajać jej autorstwa w szczególności poprzez usunięcie slajdu z autorami, pominięcie go przy wyświetlaniu i inne zabiegi. 6. Prezentacja w wersji pierwotnej opracowana jest przez Przemysława Żaka i Annę Rozkuszkę, na potrzeby wydarzenia r. na bazie prezentacji P.Żaka. Wersja niniejsza v zawiera modyfikacje Przemysława Żaka, który ma uprawnienie do korzystania od współautorki na cele szkoleniowe. 7. Fundacja Fundusz Współpracy jest uprawniona do korzystania na powyższych zasadach oraz do rozpowszechnienia wśród uczestników spotkania r. 8. W sprawach zmiany warunków lub innych skontaktuj się z autorami przemyslaw@obywatelzak.pl, anna.rozkuszka@zakiwspolnicy.pl. 9. Możesz wykorzystywać narzędzie czyli zestaw 5 pytań wskazanych w ostatnich slajdach osobno, z zastrzeżeniem obowiązku podania autorstwa - Przemysława Żaka. 10. Oprawa graficzna w tle slajdów i logo nie są objęte powyższymi zasadami i informacjami.

3 RODO i PES na dzisiejszym spotkaniu Wstęp nazwa i główne zmiany 2. Jak przygotować się na zmiany w związku w wejściem w życie RODO? Podejście oparte na ryzyku i Zasada rozliczalności 3. Na co szczególnie zwrócić uwagę? najważniejsze pojęcia i ciekawostki 4. O co zadbać? - propozycja modelu pracy wstępnej.

4 Wstęp do RODO Pełna nazwa powodu dla którego się zebraliśmy: ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) które uchyla dotychczasową dyrektywę Parlamentu Europej skiego i Rady Nr 95/46/WE z r.

5 Wstęp do RODO Unifikacja ochrony na poziomie unijnym. Podstawowe cele i zakres stosowania art letni okres na przygotowanie. Relacja przepisy krajowe a unijne. Planowany czas obowiązywania ~50 lat. Rola polskich przepisów od r.

6 Wstęp do RODO Polska ustawa będzie dotyczyć głównie: - głównie sfery publicznej (zwolnienia i obniżenia kar dla inst. publicznych) - postępowań kontrolnych (dość szczegółowe zasady) - doregulowania administracyjnych kar pieniężnych - działania i uprawnień organu kontroli - Prezesa Urzędu Ochrony Danych Osobowych - tzw. kodeksów dobrych praktyk i podmiotów z tym związanych - przepisów karnych - doregulowania odpowiedzialności cywilnej - zgłoszenie inspektora ochrony danych osobowych (14 dni) + zasada jawności

7 Wstęp do RODO - Art Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech. [za projektem ustawy Druk nr 2410] -

8 Wstęp do RODO Polski projekt ustawy jest aktualnie skierowany do I czytania w Sejmie. Druk nr Clou RODO, naszej odpowiedzialności i celu działań: naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych [art. 2 pkt 12 RODO] 72

9 Wstęp do RODO Wśród wielu obowiązków odpadają: obowiązek zgłaszania baz danych do GIODO obowiązkowe dokumenty dotychczasowe i ich elementy regulacje wykonawcze do Ustawy (słynne rozporządzenie o środkach zabezpieczenia w zakresie systemów informatycznych) i idące za tym kary

10 Jak przygotować się? RODO - zmiany i filozofia Podstawa - risk based approach. Ryzyko staje się podstawą zarządzania ochroną danych. + Zasada rozliczalności. To odpowiedzialność za dobór środków technicznych i organizacyjnych. To odpowiedzialność za wykazanie (dokumentowanie) wdrożenia instrumentów, realizacji obowiązków i właściwej ochrony danych.

11 Art. 24 RODO - Obowiązki administratora i ocena ryzyka 1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. 2. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.

12 Art. 24 RODO - Obowiązki administratora i ocena ryzyka Inaczej - kluczowe staje się: charakter zakres kontekst cele przetwarzania ryzyko...

13 Art. 24 RODO - Obowiązki administratora i ocena ryzyka Pojęcie niezdefiniowane. Brak metodyk ale mają być. rekonstrukcja motyw 83, art. 24 i 32 RODO i pojęcie naruszenia -> naruszenia praw lub wolności ryzyko (za 24) -> o różnym prawdopodobieństwie i wadze zagrożenia dobranie adekwatnych środków ochrony i udokumentowanie ich wdrożenia

14 Art. 24 RODO - Obowiązki administratora i ocena ryzyka 1. określanie i wdrożenie niezbędnych środków 2. okresowe weryfikowanie ich skuteczności, aktualizacja 3. ciężar dowodu ciąży na administratorze! a. wykazanie podstawy, b. realizacji obowiązków informacyjnych c. podmiot przetwarzający dane w imieniu administratora spełnia wymogi RODO d. realizacja praw podmiotowych e. ewaluacja oceny ryzyka 4. utrwalanie działań oraz przesłanek dokonywanych ocen i wyborów w celu udowodnienia przestrzegania RODO

15 RODO - zmiany i filozofia 1. Podsumowując, co wynika ze zmian dla praktyki. 2. Będzie niby swobodniej, ale ciężej. 3. Realny wymiar zmian - urealnienie ochrony danych osobowych. 4. Zwiększa się ryzyko odpowiedzialności karnej i administracyjnej finansowej. 5. Oznacz to też potrzebę uwzględnienia rosnących kosztów.

16 Na co zwracać uwagę? Na wszystko :)

17 RODO - pojęcie danych osobowych. Dana osobowa - czyli co? Dana osobowa - jako dobro osobiste i przejaw prawa do prywatności. Dana osobowa - niezależna od formy i sposobu wyrażenia. Dana osobowa - jej potencjalność. Subiektywizm kwalifikacji danych osobowych.

18 RODO - pojęcie danych osobowych. Za art. 4 pkt 1 RODO można zrekonstruować 3 pytania pomocnicze dla praktyki: 1) powinna nam coś komunikować na temat osoby, do której się odnosi, 2) powinna odnosić się do osoby fizycznej, 3) osoba fizyczna powinna być zidentyfikowana albo możliwa do zidentyfikowania. [za P.Litwiński, 2018]

19 RODO - pojęcie danych osobowych. Motyw wizerunku W 2012 r. GIODO na swoim portalu wskazywał, że wizerunek kwalifikuje się jako dana osobowa (w przypadku pracownika) Wizerunek, imię i nazwisko są danymi osobowymi, a ochrona dotyczy także wszystkich faktów z przeszłości człowieka (wyrok NSA z 18 listopada 2009 roku, I OSK 667/09 oddalający skargę kasacyjną od wyroku WSA w Warszawie z 3 marca 2009 roku, II SA/Wa 1495/08). W RODO jest to jednoznaczne (mot. 51 preambuły, art. 4 pkt 14 i art. 9). Łączy sie to z regulacjami podobnym tj. art. 221 KP i art. 81 ustawy o prawie autorskim i prawach pokrewnych, jak i art. 23 i 24 KC.

20 RODO - pojęcie danych osobowych. Szczególne kategorie danych osobowych. Tzw. dane wrażliwe. Ogólny zakaz. Naruszenie zasad grozi zwiększonymi sankcjami. Zakres? Art. 9 RODO

21 Art. 9 RODO 1. Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. chyba, że.

22 art. 9 ust. lit d RODO - podstawa przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą

23 RODO - przetwarzanie danych osobowych. Szerokie rozumienie przetwarzania. operacje na danych lub zestawach w każdy sposób (zautomatyzowany lub nie) od gromadzenia i utrwalania, wykorzystywania po niszczenie.

24 RODO - przetwarzanie danych osobowych. art. 2 ust. 1 RODO [sposób] przetwarzanie automatyczne lub półautomatyczne - w systemie informatycznym inny sposób przetwarzania - wer. papierowa

25 RODO - przetwarzanie danych osobowych. przykłady szczególnych sposobów przetwarzania i procedowania danych 1. profilowanie 2. pseudonimizacja (!) 3. szyfrowanie (!) 4. anonimizacja (!)

26 RODO - przetwarzanie danych osobowych. Cele art. 6 RODO 1. Cele objęte zgodą (z pamięcią o ograniczeniach dot. zgód) 2. Niezbędność dla realizacji umowy 3. Obowiązek prawny ciążący na administratorze 4. Ochrona żywotnych interesów osoby której dane dotyczą lub innej osoby fiz. 5. Zadanie publiczne (!) 6. prawnie uzasadnione interesy administratora art. 9 ust. 2 - dane wrażliwe (specyfika regulacji)

27 RODO - przetwarzanie danych osobowych. Zgoda Obowiązek dowodowy administratora Wyróżnienie treści zgody i informacji. Zrozumiała i łatwo dostępna forma. Łatwość wyrażenia zgody = łatwość wycofania zgody DOBROWOLNOŚĆ zgody. art. 7

28 RODO - przetwarzanie danych osobowych. Podstawowe obowiązki Administratora: 1) obowiązek zgodności z prawem przetwarzania danych osobowych, 2) obowiązki informacyjne i inne obowiązki wobec osób, których dane dotyczą, 3) obowiązek przeprowadzenia oceny skutków dla ochrony danych osobowych, 4) obowiązek zabezpieczenia danych osobowych.

29 Rejestr czynności przetwarzania - art. 30 RODO Zwolnienie z obowiązku prowadzenia rejestru - zatrudnianie mniej niż 250 osób, chyba, że: 1) przetwarzanie, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, 2) nie ma charakteru sporadycznego, lub 3) obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.

30 Dokumentowanie forma realizacji zasady rozliczalności sposoby zapisu, materiały dodatkowe, dokumentacja? czy potrzebna polityka ochrony danych osobowych? (art. 24 ust. 2 RODO Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych)

31 Obowiązki informacyjne - nazwa i dane kontaktowe ADO, IOD, osoby odpowiedzialnej - cele przetwarzania danych osobowych oraz podstawa prawna, - opis prawnie uzasadnionych interesów ADO lub osoby trzeciej, dla których celów przetwarzanie jest niezbędne, - odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją, - gdy ma to zastosowanie - informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej wraz ze wzmianką o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych,

32 Obowiązki informacyjne - okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu, - o prawie do żądania dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu, w szczególności wobec przetwarzania w celach marketingu bezpośredniego, a także o prawie do przenoszenia danych, - informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem,

33 Obowiązki informacyjne - o prawie wniesienia skargi do organu nadzorczego - Prezesa Urzędu Ochrony Danych Osobowych z podaniem adresu, - czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych, - gdy ma to zastosowanie - informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą, - w przypadku przetwarzania w innym celu, przed przystąpieniem do przetwarzania o tym innym celu

34 Praktyka wybrane wskazówki. 1. Zbiór danych w postaci maili osób piszących do organizacji 2. Gmaile ;) poradniki 4. Zwolnienie ze stosowania RODO, gdy przetwarzanie przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze 5. Dokształcenie w zakresie wiedzy o zagrożeniach. 6. IODO

35 O co zadbać? - propozycja modelu pracy wstępnej Rzetelne, rozsądne podejście - analiza przetwarzanych danych

36 O co zadbać? - propozycja modelu pracy wstępnej Etap I pracy, czyli szczerze - co jest? 1. Jakie dane przetwarzamy? Czyje są to dane? Na jakiej podstawie przetwarzamy? 2. W jakim celu przetwarzamy i do kiedy? 3. Jak przetwarzamy (gdzie)? 4. Jak chronimy? (i przed czym?) 5. Kto przetwarza? Rozpisanie step by step

37 O co zadbać? - propozycja modelu pracy wstępnej Co? Jakie dane przetwarzamy? Czyje są to dane? Na jakiej podstawie przetwarzamy?

38 O co zadbać? - propozycja modelu pracy wstępnej Po co? W jakim celu przetwarzamy i do kiedy?

39 O co zadbać? - propozycja modelu pracy wstępnej Co robimy? Jak przetwarzamy (gdzie)?

40 O co zadbać? - propozycja modelu pracy wstępnej Jak robimy? Jak chronimy? (i przed czym?)

41 O co zadbać? - propozycja modelu pracy wstępnej Jak robimy? Kto przetwarza?

42 O co zadbać? - propozycja modelu pracy wstępnej Etap II przepisujemy na czysto, czyli jak być powinno. 1. Jakie dane przetwarzamy? Czyje są to dane? Na jakiej podstawie przetwarzamy? 2. W jakim celu przetwarzamy i do kiedy? 3. Jak przetwarzamy (gdzie)? 4. Jak chronimy? (i przed czym?) 5. Kto przetwarza?

43 O co zadbać? - propozycja modelu pracy wstępnej Efekt? Mamy clou potrzebne nam do sporządzenia m.in. RCP i ew. dokumentów pobocznych oraz wdrożenia ochrony w organizacji.

44 Koniec. Dziękuję za uwagę :-)