Wprowadzenie do RODO. Dr Jarosław Greser

Podobne dokumenty
System bezpłatnego wsparcia dla NGO

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

Technologia Informacyjna i Prawo w służbie ochrony danych - #RODO2018

2. Proces tworzenie wewnętrznego systemu ochrony danych osobowych przedsiębiorcy. 3. Postanowienia dyrektywy 95/46/WE, które pozostaną aktualne

Maciej Byczkowski ENSI 2017 ENSI 2017

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

RODO w spółkach jak przygotować się do nowych unijnych przepisów o ochronie danych

Ochrona danych osobowych w biurach rachunkowych

SZCZEGÓŁOWY HARMONOGRAM KURSU

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Dane osobowe w hotelarstwie Czy RODO to rewolucja? Gdańsk 21 listopada

Spis treści. Wykaz skrótów... Wprowadzenie...

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

Ochrona danych osobowych w organizacjach pozarządowych (od 25 maja 2018)

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

PARTNER.

Monitorowanie systemów IT

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Nadzór nad przetwarzaniem danych osobowych zgodnie z RODO

I. Postanowienia ogólne

Przykład klauzul umownych dotyczących powierzenia przetwarzania

Nowe przepisy i zasady ochrony danych osobowych

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

Ochrona danych osobowych w biurach rachunkowych

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

UMOWA powierzenia przetwarzania danych osobowych, zwana dalej Umową

Unijne rozporządzenie o ochronie danych osobowych (RODO) konsekwencje dla centrów danych. Kraków, dnia 22 lutego 2017 r.

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

Ograniczenia w wykorzystywaniu baz danych związane ze zautomatyzowanym przetwarzaniem danych oraz wykorzystaniem chmury obliczeniowej w świetle RODO

Dane osobowe w stacji demontażu. Marcin Witaszek Polski Związek Przemysłu Motoryzacyjnego

Szacowanie ryzyka dla operacji przetwarzania danych. Praktyki dla zarządzających bezpieczeństwem i inspektorów

Umowa powierzenia przetwarzania danych osobowych stanowiąca uzupełnienie umowy z dnia.

rodo. naruszenia bezpieczeństwa danych

Nadzór nad przetwarzaniem kadrowych danych osobowych zgodnie z RODO

RODO w praktyce psychologicznej. adw. dr Maciej Bocheński Uniwersytet Jagielloński Krakowska Izba Adwokacka

PRELEGENT Przemek Frańczak Członek SIODO

Polityka Ochrony Danych Osobowych. w Luxe Property S.C.

Radca Prawny Anna Matusiak-Wekiera. Kancelaria Radcy Prawnego Anna Matusiak-Wekiera

Umowa powierzenia przetwarzania danych osobowych stanowiąca uzupełnienie Umowy.. (nr, data zawarcia)

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH ( wzór )

RODO W ORGANIZACJI- JAK PRAWIDŁOWO PRZYGOTOWAĆ SIĘ ORAZ UNIKNĄĆ KAR PIENIĘŻNYCH

Prawne aspekty Big data w sektorze bankowym 22 maja 2017

Szyfrowanie danych i tworzenie kopii zapasowych aspekty prawne

ECDL RODO Sylabus - wersja 1.0

Umowa powierzenia danych

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

Bezpieczeństwo danych przechowywanych przez 16E sp. z o.o. nazywanej dalej Archivodata.

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

Rola Inspektora Ochrony Danych w zabezpieczeniu systemu informatycznego - podejście oparte na ryzyku

Polityka bezpieczeństwa i instrukcja zarządzania czy trzeba je prowadzić zgodnie z RODO

Marcin Fronczak Prowadzi szkolenia z zakresu bezpieczeństwa chmur m.in. przygotowujące do egzaminu Certified Cloud Security Knowledge (CCSK).

NOWE UJĘCIE OCHRONY DANYCH OBOWIĄZKI ADMINISTRATORA DANYCH OSOBOWYCH

RODO Nowe zasady przetwarzania danych osobowych. radca prawny Piotr Kowalik Koszalin, r.

Rozporządzenie Ogólne o Ochronie Danych Osobowych - General Data Protection Regulation

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

Umowa powierzenia przetwarzania Danych Osobowych. zawarta w... w dniu... pomiędzy:

UMOWA w zakresie powierzenia przetwarzania danych osobowych. zawarta w XX w dniu XX XX XXXX roku pomiędzy: (dane podmiotu zawierającego umowę)

Zgodnie z RODO administrator i podmiot przetwarzający muszą wyznaczyć inspektora ochrony danych, gdy:

Załącznik nr10 do IWZ Załącznik nr 4 do Umowy

Przemysław Bańko Dyrektor ds. Bezpieczeństwa Smart In

POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE OCHRONY DANYCH OSOBOWYCH

Prelegent : Krzysztof Struk Stanowisko: Analityk

Sprawdzenie systemu ochrony danych

Status prawny i obowiązki adwokata związane z przetwarzaniem danych osobowych w świetle ogólnego rozporządzenia o ochronie danych (RODO)

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

WZÓR UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

Realizacja zasady integralności danych w zatrudnieniu zgodnie z podejściem PbD

Umowa powierzenia przetwarzania danych osobowych (zwana dalej Umową )

Umowa powierzenia przetwarzania danych osobowych (zwana dalej Umową )

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W FUNDACJI CENTRUM IMIENIA PROF. BRONISŁAWA GEREMKA

Polityka prywatności i wykorzystywania plików cookies

OFERTA. Polskie Stowarzyszenie Zarządców Nieruchomości oraz Kancelaria KPRF Law Office. w zakresie szkoleń

OCHRONA DANYCH OSOBOWYCH W ORGANIZACJI POZARZĄDOWEJ

RODO w HR Zasady przetwarzania danych osobowych kandydatów i pracowników

EBIS POLITYKA OCHRONY DANYCH

Rola biura rachunkowego w nowym modelu ochrony danych osobowych

Spis treści. Wykaz skrótów... Wprowadzenie...

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. zawarta w... w dniu..., pomiędzy:..., w dalszej części umowy zwanym Administratorem a

Polityka prywatności spółki BERDA spółka z ograniczoną odpowiedzialnością spółka komandytowa z siedzibą w Płochocinie

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

Polityka Bezpieczeństwa w zakresie przetwarzania danych osobowych

Przetwarzanie danych w chmurze a bezpieczeństwo informacji. T: (+48) Jachranka, 27 listopada 2015r. E:

Ochrona danych osobowych

PROGRAM TRZYDNIOWEGO KURSU DLA IOD - JAK DOSTOSOWAĆ ORGANIZACJĘ DO WYMOGÓW OGÓLNEGO ROZPORZĄDZENIA O OCHRONIE DANYCH (RODO/GDPR)

REGULAMIN PRZETWARZANIA DANYCH OSOBOWYCH PRZEZ CORE CONSULTING SP. Z O.O.

PORADNIK PRAWNY DOTYCZĄCY STOSOWANIA W APTECE PRZEPISÓW RODO

Rola inspektora ochrony danych w zabezpieczeniu systemu informatycznego. Podejście oparte na ryzyku

Załącznik Nr 4 do Umowy nr.

#RODO2018. Śniadanie biznesowe w Gdyni. RODO praktyczne wyzwania prawno-technologiczne. Przemysław Rogiński Jakub Zuber

POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE OCHRONY DANYCH OSOBOWYCH

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

Uchwała wchodzi w życie z dniem uchwalenia.

Ochrona danych osobowych - planowane zmiany od Europejskie rozporządzenie RODO w praktyce.

Transkrypt:

Wprowadzenie do RODO Dr Jarosław Greser

1 Nowa filozofia przepisów o ochronie danych osobowych 2 Nowe struktury na poziomie urzędów 3 Nowe struktury na poziomie zarządzania danymi osobowymi w organizacji 4 Jak przygotować procedury (ocena ryzyka)

Nowa filozofia przepisów o ochronie danych osobowych

Było Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. WE L 281).

Będzie Rozporządzenie w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (w skrócie: RODO).

Czym Opracowanie jest RODO?

Akt prawny stosowany bezpośrednio wywołuje natychmiastowe skutki prawne od momentu wejścia w życie na poziomie zarówno Unii Europejskiej, jak i państw członkowskich.

Ma pierwszeństwo w wypadku kolizji z prawem krajowym (art. 91 ust. 3 Konstytucji).

Filozofia RODO

RODO odchodzi od sztywno wyznaczonych zasad postępowania na rzecz podejścia opartego na ryzyku (risk based approach).

Co Opracowanie to oznacza w praktyce?

W uproszczeniu: po wejściu w życie RODO nie ma listy obowiązkowych dokumentów, procedur. Organizacja musi sama je wymyśleć i wdrożyć.

Jeśli analiza przeprowadzona w organizacji potwierdzi, że przyjęte już w organizacji systemy ochrony czy dokumenty są wystarczające do ochrony przetwarzanych danych, z powodzeniem można je zaadaptować do wymogów RODO.

Nowe struktury na poziomie urzędów

1 Likwidacja Generalnego Inspektora Ochrony Danych Osobowych. 2 Nowy organ Prezes Urzędu Ochrony Danych Osobowych. 3 Prezes Urzędu jest organem właściwym w sprawie ochrony danych osobowych. Jest również organem nadzorczym.

Nowe struktury na poziomie zarządzania danymi osobowymi w organizacji

1 Likwidacja stanowiska Administratora Bezpieczeństwa Informacji. 2 Osoby wykonujące w dniu 24 maja 2018 r. funkcję administratora bezpieczeństwa informacji, pełnią funkcję inspektora ochrony danych do dnia 1 września 2018 r. 3 Administrator lub podmiot przetwarzający zawiadamiają Prezesa Urzędu o wyznaczeniu inspektora ochrony danych osobowych, albo że administrator bezpieczeństwa informacji nie pełni funkcji inspektora ochrony danych.

4 Rejestracja zbiorów danych osobowych zostanie zlikwidowana. 5 Dane zgromadzone w rejestrze GIODO Prezes Urzędu przechowuje przez okres 3 lat od dnia wejścia w życie niniejszej ustawy.

Jak przygotować procedury?

Analiza ryzyka zastępuje obligatoryjną listę dokumentów i procedur.

Wielkość organizacji lub prowadzenie działalności gospodarczej nie mają znaczenia dla zwolnienia fundacji czy stowarzyszenia z tego obowiązku.

Nie jest wymagana żadna szczególna forma. Dozwolone jest korzystanie z dowolnej metodologii, o ile da się wykazać, że pozwala ona na rzetelną ocenę ryzyka.

Przykładowa metodologia: ISO/IEC 27002 Praktyczne zasady zabezpieczania informacji.

Wskazówki GIODO Cztery etapy oceny ryzyka: 1. kontekst dla oceny ryzyka, 2. opis i identyfikacja wymagań prawnych i techniczno-organizacyjnych, 3. szacowanie i ocena ryzyka, 4. postępowanie z ryzkiem. Jak stosować podejście oparte na ryzyku, część 2 (https://giodo.gov.pl/pl/p/opinie-wytyczne-wskazówki)

- Efekt odpowiednie środki techniczne i organizacyjne. - Analiza ryzyka powinna mieć formę pisemną. - Tryb stworzenia i przyjęcia zależy od wewnętrznych uregulowań w organizacji.

Kontekst dla oceny ryzyka

Kontekst obejmuje charakter, zakres i cele przetwarzania danych osobowych. Przykład: Stowarzyszenie zbiera dane w celu wsparcia osób niepełnosprawnych vs. oferowania produktów, od sprzedaży których uzyskuje prowizje.

Opis i identyfikacja wymagań

Przy pomocy jakich środków te dane są przetwarzane? Przykład: Google Docs przetwarzanie danych w chmurze. Czy dane te są przetwarzane zgodnie z prawem? Przykład: skontrolowanie czy zgody na przetwarzanie danych osobowych były zebrane prawidłowo.

Szacowanie i ocena ryzyka

Oszacowanie prawdopodobieństwa wystąpienia zdarzenia naruszającego prawa osób, których dane są przetwarzane oraz określenie istotności efektów takiego zdarzenia. Przykład: zgubienie pen drive a z danymi osobowymi prawdopodobieństwo niskie, efekt zdarzenia duże zagrożenie naruszenia praw i wolności osób, których dane dotyczą.

Wybór formy postępowania z ryzykiem

- Obniżenie poziomu ryzyka - Unikanie ryzyka - Akceptacja ryzyka Przykład: sporządzenie klauzul umownych zakazujących kopiowania danych na dyski przenośne, konfiguracja systemu uniemożliwiająca zapis takich danych.

Wskazówki GIODO Art. 32 ust. 1 wskazuje działania, które mogą być podjęte dla minimalizowania ryzyka. Są to: 1. pseudonimizacja i szyfrowanie danych osobowych;

Wskazówki GIODO Art. 32 ust. 1 wskazuje działania, które mogą być podjęte dla minimalizowania ryzyka. Są to: 1. pseudonimizacja i szyfrowanie danych osobowych; 2. zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania (np. zasilanie awaryjne serwerów);

Wskazówki GIODO Art. 32 ust. 1 wskazuje działania, które mogą być podjęte dla minimalizowania ryzyka. Są to: 1. pseudonimizacja i szyfrowanie danych osobowych; 2. zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania (np. zasilanie awaryjne serwerów); 3. zdolność do szybkiego przywrócenia dostępności danych i dostępu do nich w razie incydentu fizycznego /technicznego (np. posiadanie kopii zapasowych);

Wskazówki GIODO Art. 32 ust. 1 wskazuje działania, które mogą być podjęte dla minimalizowania ryzyka. Są to: 1. pseudonimizacja i szyfrowanie danych osobowych; 2. zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania (np. zasilanie awaryjne serwerów); 3. zdolność do szybkiego przywrócenia dostępności danych i dostępu do nich w razie incydentu fizycznego /technicznego (np. posiadanie kopii zapasowych); 4. regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania (np. robienie niezapowiedzianych testów bezpieczeństwa).

Wybierając środki minimalizacji ryzyka trzeba uwzględnić: - stan wiedzy technicznej (Przykład: rozwiązania o charakterze innowacyjnym muszą podlegać szczególnie wnikliwej ocenie) - koszt wdrażania (Przykład: jest to przesłanka subiektywna w zakresie realnych możliwości organizacji)

Ocena skutków planowanych operacji przetwarzania dla ochrony danych osobowych (DPIA)

Jeśli analiza przeprowadzona w organizacji potwierdzi, że przyjęte systemy ochrony czy dokumenty są wystarczające do ochrony przetwarzanych danych, z powodzeniem można je zaadaptować wymogów RODO.

Pomocne narzędzia Nowa filozofia w ochronie danych osobowych: Od Oceny Ryzyka Do Spójnej Strategii W Organizacji, opracowała Katarzyna Szymielewicz, Fundacja Panoptykon, 2017 Jak stosować podejście oparte na ryzyku, cz. 1 i cz. 2, Generalny Inspektor Ochrony Danych Osobowych, 2017