RODO w praktyce JST czas: 353 dni. Michał Jaworski Członek Zarządu Microsoft sp. z o.o.

Transkrypt

1 RODO w praktyce JST czas: 353 dni Michał Jaworski Członek Zarządu Microsoft sp. z o.o. michalja@microsoft.com

2 ang. GDPR = pol. RODO lub r.o.d.o.

3

4 Czy RODO dotyczy JST? Art.4 Definicje 7) administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych;

5 Czy RODO dotyczy JST? (45) Jeżeli przetwarzanie odbywa się w celu wypełnienia obowiązku prawnego, któremu podlega administrator, lub jeżeli jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej, podstawę przetwarzania powinno stanowić prawo Unii lub prawo państwa członkowskiego. Niniejsze rozporządzenie nie nakłada wymogu, aby dla każdego indywidualnego przetwarzania istniało szczegółowe uregulowanie prawne. Wystarczyć może to, że dane uregulowanie prawne stanowi podstawę różnych operacji przetwarzania wynikających z obowiązku prawnego, któremu podlega administrator, lub że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej. Prawo Unii lub prawo państwa członkowskiego powinno określać także cel przetwarzania. Ponadto prawo to może doprecyzowywać ogólne warunki określone w niniejszym rozporządzeniu dotyczące zgodności przetwarzania z prawem, określać sposoby wskazywania administratora, rodzaj danych osobowych podlegających przetwarzaniu, osoby, których dane dotyczą, podmioty, którym można ujawniać dane osobowe, ograniczenia celu, okres przechowywania oraz inne środki zapewniające zgodność z prawem i rzetelność przetwarzania.

6 Zapewnienie przejrzystości i spójności w zakresie ochrony danych osobowych w UE General Data Protection Regulation (GDPR) wprowadza nowe zasady ochrony danych osobowych w organizacjach, które oferują towary i usługi dla obywateli Unii Europejskiej (UE) lub dla takich, które zbierają i analizują dane powiązane z obywatelami UE nieważne gdzie te organizacje się znajdują. Rozszerzenie praw dot. prywatności Rozszerzone obowiązki ochrony danych Obowiązkowe zgłaszanie naruszeń Znaczące kary za nieprzestrzeganie przepisów

7 Jakie są główne zmiany związane z wejściem RODO? Prywatność Kontrole i powiadomienia Przejrzyste zasady Technologia i szkolenia Osoby prywatne mają prawo do: Dostępu do swoich danych osobowych Poprawy błędów w danych osobowych Usunięcia danych osobowych Sprzeciwu w kontekście przetwarzania danych osobowych Przeniesienia danych osobowych Rygorystyczne wymogi bezpieczeństwa Obowiązek powiadamiania o naruszeniu Odpowiednie sformułowanie zgody na przetwarzanie danych osobowych Poufność Ewidencjonowanie Przejrzyste i łatwo dostępne strategie dotyczące: Zawiadomienia o zbieraniu danych Zawiadomienia o przetwarzaniu Szczegółów przetwarzania Przechowywania / usuwania danych Konieczność inwestycji: Szkolenia pracowników i osób związanych z ochroną danych Wdrożenie polityk przetwarzania danych Inspektor Ochrony Danych Umowy z procesorami danych / dostawcami usług

8 Wymagania i przepisy (przykłady) (49) Przetwarzanie danych osobowych w zakresie bezwzględnie niezbędnym i proporcjonalnym do zapewnienia bezpieczeństwa sieci i informacji tj. zapewnienia odporności sieci lub systemu informacyjnego na danym poziomie poufności na przypadkowe zdarzenia albo niezgodne z prawem lub nieprzyjazne działania naruszające dostępność, autentyczność, integralność i poufność przechowywanych lub przesyłanych danych osobowych oraz bezpieczeństwa związanych z nimi usług oferowanych lub udostępnianych poprzez te sieci i systemy przez organy publiczne, zespoły reagowania na zagrożenia komputerowe, zespoły reagowania na komputerowe incydenty naruszające bezpieczeństwo, dostawców sieci i usług łączności elektronicznej oraz dostawców technologii i usług w zakresie bezpieczeństwa jest prawnie uzasadnionym interesem administratora, którego sprawa dotyczy. Może to obejmować na przykład zapobieganie nieuprawnionemu dostępowi do sieci łączności elektronicznej i rozprowadzaniu złośliwych kodów, przerywanie ataków typu odmowa usługi, a także przeciwdziałanie uszkodzeniu systemów komputerowych i systemów łączności elektronicznej.

9 Wymagania i przepisy (przykłady) (75) Ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze zagrożeń, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności: jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną; jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi; jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i naruszeń prawa lub związanych z tym środków bezpieczeństwa; jeżeli oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się w celu tworzenia lub wykorzystywania profili osobistych; lub jeżeli przetwarzane są dane osobowe osób wymagających szczególnej opieki, w szczególności dzieci; jeżeli przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą.

10 Wymagania i przepisy (przykłady) Artykuł 17 Prawo do usunięcia danych ( prawo do bycia zapomnianym ) 1.Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:

11 Wymagania i przepisy (przykłady) Artykuł 25 Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych 1.Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.

12 Wymagania i przepisy (przykłady) Artykuł 33 Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu 1. W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Art ) naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych

13 Czy coś grozi JST za naruszenie RODO? Kara za niedostosowanie się: 20 mln euro lub 4% globalnego rocznego obrotu* *przy czym zastosowanie ma kwota wyższa

14 Czy coś grozi JST za naruszenie RODO? Art. 79 Prawo do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu 1.Bez uszczerbku dla dostępnych administracyjnych lub pozasądowych środków ochrony prawnej, w tym prawa do wniesienia skargi do organu nadzorczego zgodnie z art. 77, każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli uzna ona, że prawa przysługujące jej na mocy niniejszego rozporządzenia zostały naruszone w wyniku przetwarzania jego danych osobowych z naruszeniem niniejszego rozporządzenia. Art.80 Reprezentowanie osób, których dane dotyczą 1.Osoba, której dane dotyczą, ma prawo umocować podmiot, organizację lub zrzeszenie które nie mają charakteru zarobkowego, zostały należycie ustanowione zgodnie z prawem państwa członkowskiego, (..) Art. 82. Prawo do odszkodowania i odpowiedzialność 1.Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

15 Żądaj od siebie wymagaj od dostawców Procesy przetwarzania danych: opis procesów, rodzaje danych, podstawa prawna przetwarzania, opis procedur bezpieczeństwa, dokumentacja, przygotowanie oceny skutków dla ochrony danych, itd. itp. Technologia: rozwiązania techniczne i certyfikacje + narzędzia towarzyszące rozwiązaniom technicznym Prawo: Zapisy umowne mające znaczenie dla ochrony danych

16 Co możesz zrobić już dzisiaj? Zdefiniuj Kontroluj Chroń Raportuj Analizuj Określ, jakie posiadasz dane osobowe i gdzie one się znajdują. Zarządzaj sposobem wykorzystania i dostępnością danych osobowych. Określ, jakie stosujesz kontrole bezpieczeństwa w celu zapobiegania, wykrywania i reagowania na naruszenia bezpieczeństwa danych. W jaki sposób można otrzymać dostęp do danych i jaką dokumentację powinno się posiadać Analizuj posiadane dane i systemy, żeby zachować zgodność i zredukować ryzyko

17 Bardzo rozbudowane i wymagające prawo WNIOSKI Ustawa: projekt lipiec-sierpień Nowelizacje innych aktów prawnych:??? Ciągle wiele znaków zapytania Kary za niedostosowanie mogą być użyte przeciw JST Chmura? Chmura!

18 Dostawcy chmury będą gotowi

19

20 353 dni do RODO Zapraszam do dyskusji Michał Jaworski Członek Zarządu Microsoft sp. z o.o. michalja@microsoft.com