Nowe zasady ochrony danych osobowych wg RODO. Prowadzący szkolenie: Agnieszka Madej

Podobne dokumenty
Przemysław Bańko Dyrektor ds. Bezpieczeństwa Smart In

Ochrona danych osobowych w organizacjach pozarządowych (od 25 maja 2018)

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

Nadzór nad przetwarzaniem danych osobowych zgodnie z RODO

RODO W ORGANIZACJI- JAK PRAWIDŁOWO PRZYGOTOWAĆ SIĘ ORAZ UNIKNĄĆ KAR PIENIĘŻNYCH

RODO. 1. Obowiązki administratora danych osobowych

Opracowanie dotyczące zasad ochrony danych osobowych po zmianach wprowadzanych przez rozporządzenie RODO

RODO w praktyce psychologicznej. adw. dr Maciej Bocheński Uniwersytet Jagielloński Krakowska Izba Adwokacka

Jak się ustrzec przed pozwami i uniknąć kar w następstwie wejścia w życie RODO?

PRAWA PODMIOTÓW DANYCH - PROCEDURA

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

I. Podstawowe Definicje

Nowe przepisy i zasady ochrony danych osobowych

POLITYKA REALIZACJI PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ

Technologia Infromacyjna i Prawo w służbie ochrony danych - #RODO2018

rodo. ochrona danych osobowych.

I. Postanowienia ogólne

POLITYKA PRYWATNOŚCI

rodo. naruszenia bezpieczeństwa danych

2. Proces tworzenie wewnętrznego systemu ochrony danych osobowych przedsiębiorcy. 3. Postanowienia dyrektywy 95/46/WE, które pozostaną aktualne

PORADNIK PRAWNY DOTYCZĄCY STOSOWANIA W APTECE PRZEPISÓW RODO

Oświadczenie o ochronie danych osobowych Informacje dotyczące ochrony danych zgodnie z art. 13 i 14 RODO

Monitorowanie systemów IT

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

Ograniczenia w wykorzystywaniu baz danych związane ze zautomatyzowanym przetwarzaniem danych oraz wykorzystaniem chmury obliczeniowej w świetle RODO

POLITYKA OCHRONY DANYCH OSOBOWYCH

Opracował Zatwierdził Opis nowelizacji

POLITYKA PRYWATNOŚCI -dotycząca danych osobowych osób odwiedzających sklepy objęte monitoringiem wizyjnym-

Oświadczenie o ochronie danych zgodnie z RODO

Spis treści. Wykaz skrótów... Wprowadzenie...

PRELEGENT Przemek Frańczak Członek SIODO

Radom, 13 kwietnia 2018r.

Ochrona danych osobowych w biurach rachunkowych

Polityka Ochrony Danych Osobowych. w Luxe Property S.C.

RODO Nowe zasady przetwarzania danych osobowych. radca prawny Piotr Kowalik Koszalin, r.

Polityka prywatności spółki BERDA spółka z ograniczoną odpowiedzialnością spółka komandytowa z siedzibą w Płochocinie

Ochrona danych osobowych w biurach rachunkowych

INSTRUKCJA REALIZACJI PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ.

POLITYKA PRYWATNOŚCI -dotycząca danych osobowych Członków Spółdzielni-

CZĘŚĆ I PODSTAWOWE INFORMACJE O RODO

art. 13 ust. 1 3 rozporządzenia 2016/679 (RODO)

POLITYKA PRYWATNOŚCI dotycząca danych osobowych użytkowników strony internetowej

Szczegółowe uprawnienia osób w związku z przetwarzaniem danych osobowych w Ośrodku Pomocy Społecznej w Nisku

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

poleca e-book Instrukcja RODO

RODO. Wszystko co musi wiedzieć marketingowiec. Witold Chomiczewski

POLITYKA PRYWATNOŚCI -dotycząca danych osobowych klientów, dostawców i najemców-

ZAŁĄCZNIK SPROSTOWANIE

WPROWADZENIE DO RODO OGÓLNE UNIJNE ROZPORZĄDZENIE O OCHRONIE DANYCH. - Leszek Zając

POLITYKA PRYWATNOŚCI

II Lubelski Konwent Informatyków i Administracji r.

POLITYKA OCHRONY DANYCH OSOBOWYCH. z dnia Postanowienia Ogólne

! POLITYKA OCHRONY DANYCH OSOBOWYCH W KANCELARII KANCELARIA ADWOKATA ŁUKASZA DOLIŃSKIEGO

inny podmiot, który przetwarza dane osobowe w imieniu administratora;

SZCZEGÓŁOWY HARMONOGRAM KURSU

Szkolenie podstawowe z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 dla wolontariuszy świadczących pomoc na rzecz podopiecznych

#RODO2018. Śniadanie biznesowe w Gdyni. RODO praktyczne wyzwania prawno-technologiczne. Przemysław Rogiński Jakub Zuber

RODO, czyli co się zmieni oraz do czego (i jak) trzeba się przygotować.

Dane osobowe w hotelarstwie Czy RODO to rewolucja? Gdańsk 21 listopada

Rola biura rachunkowego w nowym modelu ochrony danych osobowych

Technologia Informacyjna i Prawo w służbie ochrony danych - #RODO2018

Rozporządzenie o Ochronie Danych Osobowych -jak przygotować firmę do wymogów nowych przepisów. Przemysław Perka, Anna Dopart

KLAUZULA INFORMACYJNA Konkurs Nagroda Człowiek wiedzy i doświadczenia. Informacje dotyczące ochrony danych osobowych

RODO w firmie transportowej RADCA PRAWNY PAWEŁ JUDEK

Nowe wymagania dla systemów informatycznych wynikające z ogólnego rozporządzenia o ochronie dany

RODO w spółkach jak przygotować się do nowych unijnych przepisów o ochronie danych

Ochrona danych osobowych w kontekście RODO dla e-commerce i marketingu

Nadzór nad przetwarzaniem kadrowych danych osobowych zgodnie z RODO

3. Jakie dane osobowe przetwarzamy

POLITYKA OCHRONY DANYCH OSOBOWYCH

3) ograniczenie przetwarzania oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;

Unijne rozporządzenie o ochronie danych

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

OCHRONA DANYCH OD A DO Z

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

ECDL RODO Sylabus - wersja 1.0

PODSTAWY PRZETWARZANIA DANYCH KANDYDATÓW DO PRACY W NOWYM PROJEKCIE KODEKSU PRACY. r.pr. Patrycja Kozik

RODO w HR Zasady przetwarzania danych osobowych kandydatów i pracowników

KLAUZULA INFORMACYJNA

POLITYKA PRYWATNOŚCI

POLITYKA PRYWATNOŚCI RODO KLAUZULA INFORMACYJNA. Ochrona danych osobowych oraz prywatności jest dla nas ważna i stanowi jeden z

Ubezpieczeniowy Fundusz Gwarancyjny. Ubezpieczeniowy Fundusz Gwarancyjny 1

Rozporządzenie Ogólne o Ochronie Danych Osobowych - General Data Protection Regulation

Powierzenie. Możliwość korzystania z usług procesora. Zakaz dalszego powierzania bez zgody ADO. Przetwarzanie danych przez procesora

System wspomagania pracy Administratora Bezpieczeństwa Informacji Opis zmian w wersji

NOWE OBOWIĄZKI DYREKTORA JAKO ADMINISTRATORA DANYCH OSOBOWYCH

Warszawa, 19 października 2016 Agnieszka Szydlik, adwokat, Wardyński & Wspólnicy Sylwia Paszek, radca prawny, Wardyński & Wspólnicy

Obszar I. Obszar II. Co dokładnie będziemy analizować? Nowa klasyfikacja: dane zwykłe dane wrażliwe dane biometryczne

Przykład klauzul umownych dotyczących powierzenia przetwarzania

POLITYKA PRYWATNOŚCI

RODO WYMOGI OCHRONY DANYCH OSOBOWYCH PACJENTÓW MLD Katowice, dnia 24 kwietnia 2018 r. r. pr. Michał Rytel

Ochrona Danych Osobowych wg RODO

Maciej Byczkowski ENSI 2017 ENSI 2017

RODO w praktyce JST czas: 353 dni. Michał Jaworski Członek Zarządu Microsoft sp. z o.o.

POLITYKA PRYWATNOŚCI I. INFORMACJE DOTYCZĄCE PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA OCHRONY DANYCH OSOBOWYCH

INFORMACJA O OCHRONIE DANYCH OSOBOWYCH

Polityka ochrony danych osobowych

Transkrypt:

Nowe zasady ochrony danych osobowych wg RODO Prowadzący szkolenie: Agnieszka Madej

Przed nami Nowy system ochrony danych osobowych w UE Wymagania odnośnie zakresu wdrożenia RODO

Nowy system ochrony danych osobowych w UE Podstawy: RODO (regulacja horyzontalna, ogólna) - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE obowiązuje od 25 maja 2018 r. Regulacje odrębne, w tym sektorowe dyrektywy UE Akty delegowane i wykonawcze KE Ograniczona legislacja krajowa (w granicach upoważnień i nakazów zawartych w RODO) Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych Decyzje organów nadzoru

Zakres stosowania Przetwarzanie w sposób całkowicie lub częściowo zautomatyzowany oraz w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych Wyłączenia: przetwarzanie przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze przetwarzanie przez właściwe organy w celu zapobiegania, wykrywania, ścigania, karania za czyny zabronione, prowadzenia postępowań przygotowawczych przetwarzanie danych osób prawnych przetwarzanie nieobjęte zakresem prawa Unii bezpieczeństwo narodowe przetwarzanie związane z prowadzoną polityką zagraniczną przetwarzanie danych osób zmarłych (opcja narodowa) zbiory nieuporządkowane

Zakres stosowania Przetwarzanie danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii Przetwarzanie przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w Unii, jeżeli: przetwarzane są dane osób przebywających w Unii oraz czynności przetwarzania wiążą się z oferowaniem towarów lub usług takim osobom w Unii, niezależnie od tego czy odpłatnych czy też nieodpłatnych lub czynności przetwarzania wiążą się z monitorowaniem zachowania tych osób, o ile do zachowania dochodzi w Unii

Zakres stosowania RODO Administrator danych osobowych (ADO) oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych (DO); Specyficzne zagadnienia ADO w odniesieniu do organów publicznych: Administratorem danych osobowych jest zawsze organ, a nie obsługujący go urząd Swoboda ustalania celów i sposobach przetwarzania DO wyznaczana przez przepisy prawa określające realizowane zadania wyłącznie konkretyzacja celu

Zakres stosowania RODO Specyficzne zagadnienia ADO w odniesieniu do organów publicznych: Możliwość ustalenia w przepisach prawa, jaki podmiot z sektora publicznego pełni funkcję ADO w stosunku do konkretnych zbiorów danych np.: ZUS - ADO w stosunku do danych osobowych ubezpieczonych Starosta powiatowy ADO w stosunku do danych zawartych w ewidencji kierowców prowadzonej w związku z wydaniem praw jazdy Dyrektor ADO w stosunku do danych przetwarzanych przez Miejski Ośrodek Pomocy Rodzinie Minister właściwy do spraw finansów publicznych ADO w stosunku do portalu podatkowego i danych podatników, płatników, inkasentów, ich następców prawnych oraz osób trzecich korzystających z tego portalu. Ocena, czy dany organ jest ADO rodzaj i charakter kompetencji z zakresu spraw publicznych oraz zadania wyznaczone tym organom rola w procesie przetwarzania, która przyznają właściwe przepisy prawa

Zakres stosowania RODO Współadministratorzy Jeżeli co najmniej dwaj administratorzy danych wspólnie ustalają cele i sposoby przetwarzania danych osobowych, wówczas dochodzi do współadministrowania danymi osobowymi Podmiot przetwarzający oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora

Nowe rozwiązania RODO Zasady przetwarzania danych osobowych, w tym danych wrażliwych Nowe prawa osób, których dane dotyczą: Prawo do bycia zapomnianym Prawo do przenoszenia danych Prawo do ograniczenia automatycznego profilowania Nowe obowiązki informacyjne Nowe obowiązki administratorów i procesorów Powołanie Inspektora ochrony danych

Nowe rozwiązania RODO Nowe zasady dokumentacji przetwarzania danych osobowych Bezpieczeństwo danych osobowych Kodeksy postępowania Ocena skutków dla ochrony Nowe zasady odpowiedzialności: Odpowiedzialność cywilna Odpowiedzialność administracyjna

Zasady przetwarzania danych osobowych Zgodność z prawem, rzetelność i przejrzystość - przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą Ograniczenie celu - zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami Minimalizacja danych - adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (dawniej adekwatności) Prawidłowość - prawidłowe i w razie potrzeby uaktualniane Ograniczenie przechowywania - przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane Integralność i poufność - przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych

Zasady przetwarzania danych osobowych Rozliczalność odpowiedzialność administratora za przestrzeganie zasad dotyczących przetwarzania danych możliwość wykazania, że administrator przestrzega zasad wdrożenie odpowiednich środków technicznych i organizacyjnych aby przetwarzanie było zgodne z RODO i aby móc to wykazać środki poddawane przeglądom i monitorowane

Podstawy przetwarzania danych osobowych: Zgodność przetwarzania z prawem Zgoda osoby, której dane dotyczą na przetwarzanie danych w jednym lub większej liczbie określonych celów Niezbędność do zawarcia i wykonania umowy, której stroną jest osoba, której dane dotyczą lub podjęcia na jej żądanie działań przed zawarciem umowy Wynikający z przepisów prawa obowiązek prawny ciążący na administratorze (przepisy prawa) Ochrona żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej Wykonanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (przepisy prawa) Realizowanie przez administratora lub przez osobę trzecią celów wynikających z prawnie uzasadnionych, realizowanych przez administratora lub przez stronę trzecią interesów z uwzględnieniem interesów oraz podstawowych praw i wolności osoby, której dane dotyczą ((nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań)

Nowe zasady przetwarzania danych wrażliwych Dane wrażliwe Dotychczas katalog zamknięty: dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, o przynależności wyznaniowej, partyjnej lub związkowej, dane o stanie zdrowia, kodu genetycznego, nałogów lub życia seksualnego, skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym RODO wprowadza również dane biometryczne Ogólna zasada zabrania przetwarzania danych wrażliwych (szczególnych kategorii danych), jednak wskazano liczne wyjątki RODO daje możliwość wprowadzenia przez państwa członkowskie dalszych ograniczeń lub wymogów przetwarzania danych biometrycznych, genetycznych lub dotyczących zdrowia

Uprawnienia osób, których dane dotyczą Prawo do bycia poinformowanym o operacjach przetwarzania Prawo dostępu Prawo do sprostowania/uzupełnienia danych Prawo do usunięcia danych (prawo do bycia zapomnianym) Prawo do ograniczenia przetwarzania Prawo do przenoszenia danych Prawo do sprzeciwu Prawo do niepodlegania decyzji opartej wyłącznie o zautomatyzowane przetwarzanie

Uprawnienia osób, których dane dotyczą Prawo do usunięcia danych (bycia zapomnianym) Prawo żądania od administratora niezwłocznego usunięcia danych i odpowiadający temu uprawnieniu obowiązek usunięcia danych bez zbędnej zwłoki Podstawy żądania: dane nie są już niezbędne do celów przetwarzania cofnięto zgodę i brak innej podstawy przetwarzania wniesiono sprzeciw przetwarzanie było niezgodne z prawem usunięcie jest wymagane przepisami prawa dane zostały zebrane od dziecka w związku z usługami świadczonymi drogą elektroniczną

Uprawnienia osób, których dane dotyczą Prawo do usunięcia danych (bycia zapomnianym) Podstawy odmowy: przetwarzanie jest niezbędne do korzystania z prawa do wolności wypowiedzi i informacji wywiązanie się z prawnego obowiązku lub realizowanie zadania w interesie publicznym lub sprawowanie władzy publicznej cele archiwalne w interesie publicznym, badania naukowe, historyczne, cele statystyczne, jeżeli realizacja uprawnienia uniemożliwi lub poważnie utrudni realizację celów względy interesu publicznego w dziedzinie ochrony zdrowia publicznego ustalenie, dochodzenie obrona roszczeń

Uprawnienia osób, których dane dotyczą Prawo do usunięcia danych (bycia zapomnianym) Jeżeli administrator upublicznił dane osobowe i ma obowiązek je usunąć, to podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych lub ich replikacje

Uprawnienia osób, których dane dotyczą Prawo przenoszenia danych Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe. Na żądanie, dane osobowe są przesłane przez administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe

Uprawnienia osób, których dane dotyczą Prawo przenoszenia danych Podstawy żądania: podstawą przetwarzania jest zgoda lub wykonywanie umowy oraz przetwarzanie odbywa się w sposób zautomatyzowany Podstawa odmowy nie ma zastosowania do przetwarzania, które jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi Prawo do przenoszenia danych nie może niekorzystnie wpływać na prawa i wolności innych. Prawo nie uniemożliwia wykonywania prawa do bycia zapomnianym

Uprawnienia osób, których dane dotyczą Profilowanie i zautomatyzowane podejmowanie decyzji Profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu ich do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów jej pracy, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania

Uprawnienia osób, których dane dotyczą Profilowanie i zautomatyzowane podejmowanie decyzji Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa Wyłączenia: decyzja jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem decyzja jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą lub decyzja opiera się nawyraźnej zgodzie osoby, której dane dotyczą Uprawnienia: prawo do uzyskania interwencji ludzkiej ze strony administratora prawo do wyrażenia własnego stanowiska prawo do zakwestionowania decyzji

Prawo do bycia poinformowanym o operacjach przetwarzania Katalog informacji przekazywanych podmiotowi danych niezależnie od źródła danych osobowych- informacja o: tożsamości ADO i danych kontaktowych, oraz tożsamości i danych kontaktowych swojego przedstawiciela (jeżeli istnieje) danych kontaktowych inspektora ochrony danych (DPO), jeżeli został powołany prowadzeniu operacji przetwarzania celach prowadzonej operacji przetwarzania, do których mają posłużyć dane osobowe podstawie prawnej przetwarzania, prawnie uzasadnionym interesie realizowanym przez administratora lub przez stronę trzecią jeżeli przetwarzanie odbywa się na podstawie prawnie usprawiedliwionego interesu ADO (art. 6 ust. 1 lit. f) RODO) odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją transferze danych do państwa trzeciego okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu fakcie zautomatyzowanego podejmowania decyzji, w tym profilowania i jego konsekwencjach dla osoby, której dane dotyczą, prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania, lub wniesienia sprzeciwu wobec przetwarzania, a także przenoszenia danych prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem jeżeli przetwarzanie odbywa się na podstawie zgody na przetwarzanie danych zwykłych (art. 6 ust. 1 lit. a) RODO) lub szczególnej kategorii (art. 9 ust. 2 lit. a) RODO) prawie wniesienia skargi do organu nadzorczego W przypadku zbierania danych osobowych od osoby, której dane dotyczą, należy jej przekazać ponadto informację czy ma ona, na podstawie umowy lub ustawy, obowiązek podać te dane, czy jest to wymóg zawarcia umowy oraz jakie są konsekwencje ich niepodania. Informacje podawane w przypadku zbierania danych osobowych w sposób inny niż od osoby, której dane dotyczą: kategorie odnośne danych osobowych źródło pochodzenia danych osobowych Nowe obowiązki informacyjne

Prawo do bycia poinformowanym o operacjach przetwarzania Obowiązek udzielenia informacji nie powstaje, gdy: osoba, od której zbierane są dane, już nimi dysponuje udzielenie takich informacji jest niemożliwe lub wymaga niewspółmiernego wysiłku udzielenie informacji może uniemożliwić lub poważnie utrudnić realizację celu przetwarzania pozyskanie danych jest regulowane przepisami prawa konieczne jest zachowanie tajemnicy zawodowej Wyłączenia obowiązku informacyjnego administrator wykonujący zadania publiczne (cele art. 23 RODO) Zmiana celu przetwarzania, informacja na wniosek Informacja pozyskana odosób trzecich Nowe obowiązki informacyjne

Obowiązki administratora: analiza ryzyka związanego z przetwarzaniem danych prowadzenie dokumentacji operacji przetwarzania danych osobowych (rejestru czynności przetwarzania danych osobowych) konsultowanie przetwarzania danych z GIODO, PUODO w przypadku stwierdzonego w DPIA wysokiego ryzyka, nie dającego się zminimalizować rozbudowanie obowiązki informacyjne powołanie inspektora ochrony danych o innym statusie niż ABI (w określonych przypadkach) przeprowadzenie oceny skutków w zakresie ochrony danych uwzględnienie ochrony danych osobowych w fazie projektowania rozliczalność zgłaszanie naruszeń danych osobowych Nowe obowiązki administratorów

Obowiązki podmiotu przetwarzającego: wymagania wobec podmiotów przetwarzających (gwarancje wdrożenia odpowiednich środków technicznych oraz organizacyjnych) przetwarzanie na podstawie umowy lub innego instrumentu prawnego podpowierzanie przetwarzania danych (szczegółowa lub ogólna zgoda administratora) prowadzenie rejestru kategorii czynności przetwarzania danych klauzule umowne dla podmiotów przetwarzających Nowe obowiązki procesora uznawanie podmiotów przetwarzających za administratorów na potrzeby ponoszenia odpowiedzialności w odniesieniu do danego przetwarzania (naruszenie RODO przy określaniu celów i sposobów przetwarzania)

Inspektor Ochrony Danych Wyznaczenie Inspektora Ochrony Danych (IOD) jest obligatoryjne, gdy: przetwarzania dokonują organ lub podmiot publiczny (14 dni na zgłoszenie PUOD + przepisy przejściowe) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę lub główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa

Inspektor Ochrony Danych Zadania Inspektora Danych Osobowych: Informowanie i doradzanie administratorowi, podmiotom przetwarzającym oraz pracownikom, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów Unii lub krajowych o ochronie danych, Monitorowanie przestrzegania RODO i innych przepisów Unii lub krajowych o ochronie danych, Monitorowanie polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, Działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania danych osobowych, Audyty Współpraca z organem nadzorczym

Inspektor Ochrony Danych Zadania Inspektora Danych Osobowych: Pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami oraz w stosownych przypadkach prowadzenie konsultacji we wszystkich innych sprawach jak również dla osób, których dane dotyczą. DPO wypełnia swoje zadania z należytym uwzględnieniem RYZYKA związanego z operacjami przetwarzania danych, mając na uwadze charakter, zakres, kontekst i cele przetwarzania. Wykonywanie zadań odnoszących się do obowiązku oceny skutków dla ochrony danych (zalecenia i monitorowanie)

Dokumentacja ochrony danych Dokumentacja Polityka bezpieczeństwa zgodnie z ogólnym rozporządzeniem o ochronie danych powinna być zgodna z zasadą uwzględniania ochrony danych w fazie projektowania (privacy by design): Planowane działanie Analiza uwzględniająca stan wiedzy technicznej, koszt wdrażania rozwiązań, charakter, zakres, kontekst i cele przetwarzania, prawdopodobieństwo wystąpienia ryzyka, wagę zagrożenia Poziom bezpieczeństwa - środki organizacyjne i techniczne w tym uwzględniające pseudonimizację i szyfrowanie, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, zdolność szybkiego przywrócenia dostępności danych osobowych, regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych

Dokumentacja ochrony danych Dokumentacja Polityka bezpieczeństwa zgodnie z ogólnym rozporządzeniem o ochronie danych powinna być: zgodna z zasadą domyślnej ochrony danych (privacy by default) proporcjonalna w stosunku do czynności przetwarzania danych napisana jasnym i przejrzystym językiem

Dokumentacja ochrony danych według RODO Rejestry Rejestr czynności przetwarzania prowadzi administrator Wyjątek: podmiot zatrudniający mniej niż 250 osób, chyba że przetwarzanie: może powodować zagrożenie praw lub wolności lub nie ma charakteru sporadycznego lub obejmuje dane wrażliwe lub dane dotyczące wyroków skazujących lub naruszeń prawa Rejestr kategorii czynności przetwarzania podmiot przetwarzający dane w imieniu administratora

Bezpieczeństwo danych osobowych Bezpieczeństwo danych osobowych Obowiązek wdrożenia przez administratora i podmiot przetwarzający odpowiednich środków technicznych i organizacyjnych (stan wiedzy technicznej, koszt, charakter, zakres i kontekst i cele przetwarzania oraz ryzyko naruszenia) Uwzględnienie ryzyka wiążącego się z przetwarzaniem przy ocenie stopnia bezpieczeństwa Przetwarzanie na polecenie administratora Możliwość stosowania zatwierdzonego kodeksu postępowania, zatwierdzonego mechanizmu certyfikacji w celu wykazania spełnienia obowiązków w zakresie bezpieczeństwa

Oceny skutków dla ochrony danych Jeśli dany rodzaj przetwarzania stwarza wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania musi dokonać oceny skutków Administrator ma obowiązek konsultacji z organem nadzoru, jeżeli ocena wykaże, że przetwarzanie przy braku środków minimalizujących ryzyko wiązałoby się z dużym prawdopodobieństwem naruszenia praw Organ nadzoru może ustanawiać listy operacji niewymagających oceny oraz zawsze wymagających takiej oceny Obowiązkowo, gdy: Wymagania odnośnie zakresu wdrożenia profilowanie jest podstawą podjęcia decyzji niosącej skutki prawne wobec osoby podlegającej profilowaniu przetwarzanie na dużą skale danych wrażliwych lub dotyczących wyroków skazujących bądź naruszeń Systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie

Kodeksy postępowania Kodeksy postępowania Zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów lub podmioty przetwarzające mogą opracowywać i aktualizować kodeksy postępowania Kodeks zatwierdza organ nadzoru Jeśli projekt kodeksu dotyczy czynności przetwarzania w kilku państwach członkowskich organ nadzoru przedkłada kodeks Europejskiej Radzie Ochrony Danych Osobowych (ERODO) w celu wydania opinii o zgodności z rozporządzeniem KE może uznać kodeks za powszechnie obowiązujący w UE ERODO prowadzi rejestr zatwierdzonych kodeksów postępowania i udostępnia je publicznie Monitorowanie przestrzegania zatwierdzonych kodeksów

Naruszenie Naruszenie ochrony danych osobowych - naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych

Zgłaszanie naruszenia ochrony danych osobowych Obowiązek zgłoszenia organowi nadzoru Administrator bez zbędnej zwłoki w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia zgłasza naruszenie organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze

Obowiązek zawiadamiania o naruszeniu osoby, której dane dotyczą Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych Obowiązek spoczywa na administratorze Zawiadomienie jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych, dokonane bez zbędnej zwłoki Zawiadomienie nie jest wymagane w przypadku, gdy: Zgłaszanie naruszenia ochrony danych osobowych administrator wdrożył odpowiednie środki techniczne i organizacyjne ochrony i środki te zostały zastosowane do danych, których dotyczy naruszenie administrator zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą wymagałoby ono niewspółmiernie dużego wysiłku, jednak wówczas publiczny komunikat

Prawo do odszkodowania RODO przyznaje prawo do: wniesienia skargi do organu nadzorczego sądowego kwestionowania wiążącej decyzji organu nadzorczego, nierozpatrzenia skargi sądowego środka ochrony przeciwko administratorowi lub podmiotowi przetwarzającemu odszkodowania od administratora i podmiotu przetwarzającego

Odpowiedzialność cywilna Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które RODO nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody Administrator i podmiot przetwarzający odpowiadają za szkodę związaną z przetwarzaniem solidarnie za całą szkodę, tak aby zapewnić osobie, której dane dotyczą, rzeczywiste uzyskanie odszkodowania

Sankcje administracyjne Zasady dotyczące sankcji: Skuteczność, proporcjonalność, ale też odstraszający charakter kar Kryteria wymierzania kary: okoliczności naruszenia umyślny lub nieumyślny charakter naruszeń stopień współpracy z organem nadzorczym wypełnienie obowiązku zgłoszenia naruszenia przestrzeganie wcześniej nałożonych przez organ nadzoru środków naprawczych

Sankcje administracyjne Naruszenia i kary: naruszenie warunków udzielenia zgody przez dziecko naruszenie zasad przetwarzania niewymagającego identyfikacji niewdrożenie środków technicznych i organizacyjnych ochrony danych nierejestrowanie czynności przetwarzania błędy przy powierzeniu brak współpracy z organem nadzorczym Kara: 2 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego - przedsiębiorstwo 10 000 000 EUR inny podmiot, chyba że kwota wyższa od poprzedniego wyliczenia, to również przedsiębiorstwo

Sankcje administracyjne Naruszenia i kary: naruszenie podstawowych zasad przetwarzania danych, również zasad uzyskania zgody naruszenie zasad przetwarzania danych wrażliwych naruszenie obowiązków informacyjnych naruszenie uprawnień osób, których dane dotyczą naruszenie zasad przekazywania danych do państwa trzeciego nieprzestrzeganie nakazu naprawczego organu nadzorczego Kara: 4 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego - przedsiębiorstwo 20 000 000 EUR inny podmiot, chyba że kwota wyższa od poprzedniego wyliczenia, to również przedsiębiorstwo

Sankcje administracyjne Naruszenia i kary dla jednostek sektora finansów publicznych Organy władzy publicznej jednostki samorządu terytorialnego oraz ich związki jednostki budżetowe samorządowe zakłady budżetowe agencje wykonawcze instytucje gospodarki budżetowej państwowe fundusze celowe ZUS KRUS i zarządzane przez nie NFZ państwowe i samorządowe instytucje kultury Kara: 10 000 zł samodzielne publiczne zakłady opieki zdrowotnej uczelnie publiczne, PAN inne państwowe lub samorządowe osoby prawne Kara: 100 000 zł

Ochrona danych osobowych - wymagania odnośnie zakresu wdrożenia Prowadzący szkolenie: Agnieszka Madej

Wymagania odnośnie zakresu wdrożenia Główne tezy: Indywidualne podejście uwzględniające charakter, zakres, kontekst i cele przetwarzania danych oraz ryzyko naruszenia praw i wolności osób fizycznych w wyniku przetwarzania danych przez konkretną organizację Badanie w ujęciu procesowym - procesy biznesowe i administracyjne związane z tematyką przetwarzania danych osobowych lub mające na nie wpływ oraz cykl życia danych w organizacji Zaangażowanie całej organizacji

Wymagania odnośnie zakresu wdrożenia Ogólne rozporządzenie wskazuje wiele wymogów, których obowiązek spełnienia uzależniony jest między innymi od: podstawy prawnej przetwarzania danych osobowych (w szczególności czy dane są przetwarzane w oparciu o udzieloną zgodę przez osobę, której te dane dotyczą) sposobu i technik przetwarzania danych (w szczególności czy dane są przetwarzane w sposób zautomatyzowany - za pomocą systemów informatycznych) celu i kontekstu przetwarzania danych sposobu pozyskiwania danych zakresu i skali przetwarzania danych

Procesy przetwarzania danych osobowych Cyklu życia danych osobowych w ujęciu procesowym - od momentu ich pozyskania, poprzez ich przetwarzanie w określonych celach i kontekstach biznesowych, aż po ich usunięcie Należy poznać dokładnie cały proces, by uwzględnić wszystkie istotne kryteria, w tym kontekst i cele przetwarzania danych

Procesy przetwarzania danych osobowych Cel przetwarzania Podstawa prawna Właściciel Pozyskanie danych osobowych Nazwa i opis procesu Usunięcie danych Odbiorcy Źródło pozyskania Uczestnicy procesu Zbiory danych Systemy IT

Procesy przetwarzania danych osobowych Jakie procesy należy uwzględnić?: procesy powtarzalne, realizowane na masową skalę procesy, w ramach których przetwarzana jest duża ilość danych osobowych procesy budzące duże ryzyka prawne (np. działalność marketingowa, dane wrażliwe) procesy, w ramach których których dane dotyczą wystąpiły trudności, skargi czy zastrzeżenia osób,

Wymagania odnośnie zakresu wdrożenia Należy wziąć pod uwagę wszystkie komórki organizacyjne, w których: dochodzi do przetwarzania danych osobowych (zachodzą realne procesy przetwarzania danych) oraz zapadają decyzje lub realizowane są czynności, które mogą mieć realny wpływ na procesy przetwarzania danych osobowych

Plan działań wdrożenie RODO Inwentaryzacja (zbiorów danych, procesów, systemów, przepływów) Podstawy prawne przetwarzania (na każdą kategorię informacji należy dysponować podstawą prawną art. 6 lub 9 RODO) Minimalizacja (nie należy zbierać więcej, nić jest to konieczne i przechowywać dłużej niż to konieczne, należy precyzyjnie sformułować upoważnienia do przetwarzania) Szacowanie ryzyka rozsądne podejście do tego co i w jaki sposób można zabezpieczyć Zabezpieczenia (odpowiednie w stosunku do zagrożeń, z uwzględnieniem różnego prawdopodobieństwa i wagi zagrożenia) Przygotowanie Rejestru Czynności Przetwarzania Podjęcie decyzji co do powołania Inspektora Ochrony Danych

Plan działań wdrożenie RODO Weryfikacja obowiązku informacyjnego Przygotowanie procedury w przypadku naruszeń Sprawdzenie i zaktualizowanie umów powierzenia przetwarzania Uprawnienia osób, których dane są przetwarzane (kopia danych, przenoszenie danych) Monitorowanie i sprawdzanie

Dziękujemy za uwagę

QWANTUM - Systemy Zarządzania sp. z o.o. ul. 3 Maja 46, 81-743 Sopot tel.: 58 555 19 26, fax.: 58 555 19 28 e-mail: biuro@qwantum.pl Prowadzący szkolenie: Agnieszka Madej

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres