Przemysław Bańko Dyrektor ds. Bezpieczeństwa Smart In
Zgodność 01
ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
Dokumentacja 02
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 677) : Polityka bezpieczeństwa Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych Upoważnienia do przetwarzania danych osobowych Ewidencja osób upoważnionych Rejestr zbiorów Powołanie ABI Umowy powierzenia przetwarzania danych osobowych ANALIZA RYZYKA???
Zasady RODO Art. 5 03
zasady legalności (zgodności z prawem), rzetelności i przejrzystości, zasada ograniczenia celu, - (dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami) zasada minimalizacji danych, zasada prawidłowości (poprawności), w myśl której dane mają być prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane; zasada ograniczenia przechowywania, zasada zapewnienia bezpieczeństwa danych, w tym ich integralności i poufności,
Istota RODO 04
ADMINISTRATOR DANYCH URZĄD REPREZENTOWANY PRZEZ BURMISTRZA WÓJTA PREZYDENTA DYREKTORA SZKOŁY (ETC.) Obowiązki administratora danych 1.Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
Rejestry przetwarzania 05
Rejestr przetwarzania a rejestr czynności przetwarzania Rejestr czynności prowadzi administrator danych dla swoich danych Rejestr kategorii przetwarzania prowadzi podmiot przetwarzający, dla danych, które zostały mu powierzone
Obowiązek AD 06
Powołanie Inspektora Ochrony Danych Istnieje możliwość wyznaczenia jednego IOD dla kilku podmiotów!!!
Obowiązek informacyjny 07
RODO obowiązek informacyjny 1) okres planowego przechowywania danych lub kryteria jego wyznaczania, 2) dane kontaktowe ADO i IOD, 3) podstawa prawną przetwarzania danych 4) informacja o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych, 5) informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych 6) pouczenie o prawie złożenia skargi do organu nadzorczego, 7) informację o podejmowaniu zautomatyzowanych decyzji w oparciu o dane oraz profilowaniu. 8) źródło pochodzenia danych osobowych, a gdy ma to zastosowanie czy pochodzą one ze źródeł publicznie dostępnych
Prawo dostępu a kopie danych 08
RODO udostępnianie danych Art. 15 Administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się powszechnie stosowaną drogą elektroniczną
Usuwanie danych 09
RODO usuwanie danych Artykuł 17 Prawo do usunięcia danych ( prawo do bycia zapomnianym ) 1.Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności: a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane b) osoba, której dane dotyczą, cofnęła zgodę, c) osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania d) dane osobowe były przetwarzane niezgodnie z prawem;
Przenoszenie danych 10
RODO przenoszenie danych Artykuł 20 Prawo do przenoszenia danych 1.Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe, jeżeli: a) przetwarzanie odbywa się na podstawie zgody lub na podstawie umowy; oraz b) przetwarzanie odbywa się w sposób zautomatyzowany. 2.Wykonując prawo do przenoszenia danych, ma prawo żądania, by dane osobowe zostały przesłane przez administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe. Prawo to nie ma zastosowania do przetwarzania, które jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.
Naruszenie danych 11
RODO obowiązek informowania o naruszeniach 1) Naruszenie ochrony danych osobowych to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. 2) Administrator ma obowiązek zgłaszania wszelkich naruszeń: a) organowi nadzorczemu chyba, że jest mało prawdopodobne aby naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Termin: 72 h. b) osobom, których dane dotyczą jeżeli m.in. istnieje wysokie ryzyko naruszenia ich praw lub wolności. Termin: niezwłocznie. Jeżeli ww. zawiadomienie wymagałoby niewspółmiernie dużego wysiłku wystarczy publiczny komunikat. 3) ADO w każdym przypadku dokumentuje naruszenie i podjęte środki zaradcze.
Dziękuję Przemysław Bańko mail: pba@smart-in.eu tel. 785 901 293