Trener: Aleksandra Piotrowska Łódź, 13 czerwca 2018 r.

Transkrypt

1 Ochrona danych osobowych u beneficjentów Regionalnego Programu Operacyjnego Województwa Łódzkiego na lata w świetle przepisów Rozporządzenia Ogólnego o Ochronie Danych Osobowych (RODO) poziom podstawowy Trener: Aleksandra Piotrowska Łódź, 13 czerwca 2018 r.

2 Tematyka - informacje podstawowe; - podejście RODO do zabezpieczeń technicznych, oparcie systemu bezpieczeństwa na ryzyku wraz z kwestiami monitorowania stanu ochrony danych; - wyjaśnienie podstawowych pojęć; - zasady przetwarzania danych; - podstawy prawne przetwarzania danych; - powierzenie przetwarzania danych;

3 Tematyka - prawa osób, których dane dotyczą; - obowiązki administratora danych i inspektora ochrony danych cz. I. (w tym zgłaszanie naruszeń) - odpowiedzialność za naruszenia; - kontrole organu nadzorczego, możliwość przygotowania do nich aspekty praktyczne.

4 Zakres stosowania RODO Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.

5 Gdzie RODO nie sięga? RODO nie ma zastosowania do przetwarzania danych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze. RODO nie ma zastosowania do osób zmarłych.

6 Podejście do zabezpieczeń technicznych - RODO jako akt neutralny technologicznie; - system bezpieczeństwa oparty o ryzyko; - analizując ryzyko, weź pod uwagę kontekst w których działasz, to kim jesteś i jak prowadzisz swoją działalność.

7 Podstawowe pojęcia

8 Dane osobowe Informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej - adres zamieszkania; - numer PESEL; - dane o lokalizacji.

9 Dane osobowe szczególnej kategorii Dane osobowe ujawniające: - pochodzenie rasowe lub etniczne - poglądy polityczne - przekonania religijne lub światopoglądowe - przynależność do związków zawodowych - dane genetyczne - dane biometryczne - dane dotyczące zdrowia - dane dotyczące seksualności

10 Przetwarzanie Operacja lub zestaw operacji wykonywanych na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany. Wszelkie wykonywane na danych osobowych czynności.

11 Administrator Osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych

12 Podmiot przetwarzający Osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu i na rzecz administratora. Nazywany potocznie procesorem (ang. processor )

13 Ćwiczenie 1 Pani Alicja przechowuje w szufladzie segregator z danymi osobowymi, segregator zawiera informację o 367 osobach wraz z ich numerami PESEL i adresami zamieszkania. Pani Alicja nie korzysta z danych w nim zawartych w żaden sposób, jedynie je przechowuje. Czy Pani Alicja przetwarza dane osobowe?

14 Zasady ogólne w RODO Zasady stanowią fundament na którym zbudowana jest ochrona danych

15 Zasada celowości Zbierając dane musisz znać cel przetwarzania już w chwili ich gromadzenia.

16 Zasada minimalizacji danych (adekwatności) Zbieraj tylko tyle informacji ile potrzeba do osiągnięcia celu.

17 Zasada prawidłowości danych Dane muszą być prawidłowe.

18 Zasada ograniczenia przechowywania Dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane

19 Zasada integralności i poufność Dane osobowe musza być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

20 Zasada rzetelności i przejrzystości - przetwarzaj dane tak, aby ten kogo one dotyczą wiedział do czego zostaną wykorzystane; - komunikuj się prostym i zrozumiałym dla przeciętnego odbiorcy językiem.

21 Zasada rozliczalności Administrator danych musi być w stanie udowodnić, że postępuje zgodnie z zasadami dotyczącymi przetwarzania danych osobowych.

22 Zasada zgodności przetwarzania z prawem Każda czynność jaka na danych jest wykonywana musi mieć podstawę prawną umożliwiającą jej przeprowadzenie.

23 Podstawy prawne przetwarzania danych Zgoda osoby, której dane dotyczą, Realizacja umowy z osobą, której dane dotyczą lub w celu zawarcia umowy na jej wniosek, Realizacja obowiązku prawnego ciążącego na administratorze danych, Ochrona interesu osoby, której dane dotyczą lub osoby trzeciej, Realizacja niezbędnego interesu publicznego, Realizacja prawnie uzasadnionego celu administratora danych.

24 Ćwiczenie 2 Administrator postanowił wprowadzić smsowy system powiadomień o wydarzeniach społecznie istotnych, aby zapisać się do systemu powiadomień trzeba wyrazić zgodę na przetwarzanie danych poprzez wysłanie sms na wskazany przez administratora numer telefonu lub poprzez zaznaczenie klauzuli zgody na stronie internetowej. Celem ułatwienia osobom zainteresowanym zapisu poprzez stronę administrator domyślnie zaznaczył klauzulę zgody. Z otrzymywania powiadomień nie można się wycofać przez pierwsze 3 miesiące od zapisu.

25 Ćwiczenie 2 Administrator podczas przyjmowania nowych pracowników do pracy, celem przyspieszenia załatwienia spraw formalnych, zezwala na kopiowanie dokumentów tożsamości nowych pracowników. Czy administrator postępuje prawidłowo?

26 Podstawy prawne przetwarzania danych wrażliwych (1/3) Zabrania się przetwarzania danych osobowych ujawniających: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

27 Podstawy prawne przetwarzania danych wrażliwych (2/3) - przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, - przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody,

28 Podstawy prawne przetwarzania danych wrażliwych (3/3) - przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, - przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego

29 Podmiot przetwarzający (1/3) Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.

30 Podmiot przetwarzający (2/3) Umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający: - przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora, - zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy, - wdrożył zabezpieczenia adekwatne do istniejących zagrożeń, - pomaga administratorowi wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw,

31 Podmiot przetwarzający (3/3) udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków wynikających z RODO oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich;

32 Ćwiczenie 3 Spółka która zajmuje się przechowywaniem dokumentów podlegających obowiązkowi archiwizacji odmawia podpisania umowy powierzenia wskazując, że nie korzysta z nich, a jedynie przechowuje, co nie rodzi po jej stronie konieczności podpisania takiej umowy. Czy spółka, której zlecono przechowywanie dokumentów ma prawo odmówić podpisania umowy?

33 Ćwiczenie 4 Pani Hanna, prowadząca jednoosobową działalność gospodarczą w zakresie świadczonych usług księgowych odmawia podpisania umowy powierzenia przetwarzania danych wskazując, że pracuje na sprzęcie administratora, a nie prywatnym wobec czego do powierzenia nie dochodzi. Czy argumentacja Pani Hanny jest zasadna?

34 Ćwiczenie 5 Administrator postanowił podpisać umowę powierzenia z firmą ochroniarską z nim współpracującą i zajmującą się monitoringiem oraz prowadzeniem ewidencji gości. Taką samą decyzję podjął w stosunku do firmy zajmującej się sprzątaniem. Czy administrator podjął prawidłowe decyzje co do konieczności podpisania umów powierzenia?

35 Prawa osoby, której dane dotyczą - Prawo dostępu do danych, - Prawo do sprostowania danych, - Prawo do bycia zapomnianym, - Prawo do ograniczenia przetwarzania, - Prawo do sprzeciwu, - Obowiązek informacyjny,

36 Prawa osoby, której dane dotyczą Obowiązek informacyjny: - administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielić osobie, której dane dotyczą, wszelkich informacji, - informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach elektronicznie,

37 Prawa osoby, której dane dotyczą Prawo dostępu do danych: Osoba, której dane dotyczą, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji: - cel przetwarzania, - kategorie odnośnych danych osobowych, - informacje o odbiorcach lub kategoriach odbiorców, - planowanym okresie przechowywania danych osobowych,

38 Prawa osoby, której dane dotyczą Prawo do sprostowania danych: Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe lub niekompletne.

39 Prawa osoby, której dane dotyczą Prawo do ograniczenia przetwarzania: - osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych na okres pozwalający administratorowi sprawdzić prawidłowość tych danych; - osoba, której dane dotyczą, wniosła sprzeciw wobec przetwarzania do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą,

40 Prawa osoby, której dane dotyczą Prawo do sprzeciwu: Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw z przyczyn związanych z jej szczególną sytuacją wobec przetwarzania dotyczących jej danych osobowych na podstawie: - przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub - przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora,

41 Ćwiczenie 6 Do administratora wpłynął wniosek z zakresu ochrony danych osobowych, jednakże z jego treści nie można było ostatecznie wywnioskować o co wnosi wnioskodawca, wobec czego wniosek pozostawiono bez rozpoznania. Czy uczyniono prawidłowo?

42 Obowiązki administratora danych - zabezpieczenie danych osobowych (odpowiednie do zagrożeń), - domyślna ochrona danych i ochrona danych w fazie projektowania, - nadawanie upoważnień, - zgłaszanie naruszeń organowi nadzorczemu, - przeprowadzanie DPIA (Data Protection Impact Assassment) - wyznaczenie inspektora ochrony danych (IOD)

43 Privacy by design & privacy by default - Ochrona danych osobowych w fazie projektowania produktu lub usługi; - Domyślna ochrona danych osobowych.

44 Zgłaszanie naruszeń Prezesa UODO W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

45 DPIA (Data Protection Impact Assassment) Jeżeli dany rodzaj przetwarzania w szczególności z użyciem nowych technologii ze względu na swój: charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.

46 DPIA (Data Protection Impact Assassment) Ocena skutków dla ochrony danych jest wymagana w szczególności w przypadku: systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, przetwarzania na dużą skalę szczególnych kategorii danych osobowych, systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

47 Inspektor Ochrony Danych Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy: - przetwarzania dokonują organ lub podmiot publiczny, - główna działalność administratora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; - główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych.

48 Warunki jakie musi spełniać inspektor Inspektor ochrony danych jest wyznaczany na podstawie: - kwalifikacji zawodowych, - wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz - umiejętności wypełnienia zadań IOD.

49 Zadania inspektora - informowanie administratora, - monitorowanie przestrzegania RODO; - udzielanie na żądanie zaleceń co do (DPIA) - współpraca z organem nadzorczym; - pełnienie funkcji punktu kontaktowego

50 Administracyjne kary pieniężne Kary administracyjne dla: - organów władzy publicznej, w tym administracji rządowej, organów kontroli państwowej i ochrony prawa; - jednostek samorządu terytorialnego; - jednostek budżetowych. Mogą być wymierzone do kwoty złotych.

51 Administracyjne kary pieniężne Kary administracyjne dla państwowych i samorządowych instytucji kultury mogą być wymierzone do kwoty złotych.

52 Organ nadzorczy Organem nadzorczym jest Prezes Urzędu Ochrony Danych Osobowych Organ musi mieć zasoby: finansowe techniczne kadrowe

53 Prawa organu nadzorczego - wydawanie ostrzeżeń, - udzielanie upomnień, - nakazanie spełnienia żądania osoby, której dane dotyczą, - nakazanie dostosować operacje przetwarzania do przepisów RODO, - wprowadzenie czasowego lub całkowitego ograniczenia przetwarzania.

54 Postępowanie kontrolne jednoinstancyjne, wszczynane na wniosek albo z urzędu, W sprawach nieuregulowanych w ustawie stosujemy przepisy KPA.

55 Czy można przygotować się do kontroli?

56 Źródła - A. Dmochowska, M. Zadrożny, Unijna reforma przepisów ochrony danych osobowych analiza zmian (C.H. Beck, 2016). - D. Wociór (red.), Ochrona danych osobowych i informacji niejawnych z uwzględnieniem ogólnego rozporządzenia unijnego (C.H. Beck, 2016). - L. Kępa, Ochrona danych osobowych w praktyce (2 wyd., Difin, 2015).

57 Źródła Wytyczne Grupy Roboczej art. 29: - dotyczące inspektorów ochrony danych (2016). - dotyczące prawa do przenoszenia danych (2016). - dotyczące oceny skutków dla ochrony danych

58 Dziękuję za uwagę