Z praktyki zespołu audytorów ochrona danych osobowych dziś i po rozpoczęciu obowiązywania Rozporządzenia unijnego

Podobne dokumenty
Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

SZCZEGÓŁOWY HARMONOGRAM KURSU

Rozporządzenie Ogólne o Ochronie Danych Osobowych - General Data Protection Regulation

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

2. Proces tworzenie wewnętrznego systemu ochrony danych osobowych przedsiębiorcy. 3. Postanowienia dyrektywy 95/46/WE, które pozostaną aktualne

Nowe wymagania dla systemów informatycznych wynikające z ogólnego rozporządzenia o ochronie dany

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

RODO Nowe zasady przetwarzania danych osobowych. radca prawny Piotr Kowalik Koszalin, r.

Nowe przepisy i zasady ochrony danych osobowych

Ochrona danych osobowych

Ochrona danych osobowych w biurach rachunkowych

Spis treści. Wykaz skrótów... Wprowadzenie...

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

Nadzór nad przetwarzaniem danych osobowych zgodnie z RODO

SPOTKANIE INFORMACYJNE

Spis treści. Wykaz skrótów... Wprowadzenie...

Wszelkie prawa zastrzeżone.

Status prawny i obowiązki adwokata związane z przetwarzaniem danych osobowych w świetle ogólnego rozporządzenia o ochronie danych (RODO)

PODSTAWY PRZETWARZANIA DANYCH KANDYDATÓW DO PRACY W NOWYM PROJEKCIE KODEKSU PRACY. r.pr. Patrycja Kozik

Wykaz skrótów... XV Wykaz literatury... XXI Wprowadzenie... XXVII

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

Maciej Byczkowski ENSI 2017 ENSI 2017

RODO w spółkach jak przygotować się do nowych unijnych przepisów o ochronie danych

OCHRONA DANYCH OSOBOWYCH W ORGANIZACJI POZARZĄDOWEJ

Załącznik Nr 4 do Umowy nr.

Wprowadzenie. Prawno - Proceduralne. Organizacyjno-procesowe. Techniczny/Bezpieczeństwo

Technologia Infromacyjna i Prawo w służbie ochrony danych - #RODO2018

Dane osobowe w hotelarstwie Czy RODO to rewolucja? Gdańsk 21 listopada

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

Przemysław Bańko Dyrektor ds. Bezpieczeństwa Smart In

APTEKO, PRZYGOTUJ SIĘ NA ZMIANY! RODO W PIGUŁCE

Ochrona danych osobowych, co zmienia RODO?

Opracował Zatwierdził Opis nowelizacji

CZĘŚĆ I PODSTAWOWE INFORMACJE O RODO

APTEKO, PRZYGOTUJ SIĘ NA RODO! KS - BDO

Ochrona danych osobowych w organizacjach pozarządowych (od 25 maja 2018)

Ochrona danych osobowych w biurach rachunkowych

Czym jest RODO? Czym jest przetwarzanie danych osobowych?

rodo. ochrona danych osobowych.

Rola biura rachunkowego w nowym modelu ochrony danych osobowych

Czas trwania szkolenia- 1 DZIEŃ

ECDL RODO Sylabus - wersja 1.0

ZAŁĄCZNIK SPROSTOWANIE

NOWE UJĘCIE OCHRONY DANYCH OBOWIĄZKI ADMINISTRATORA DANYCH OSOBOWYCH

POLITYKA PRYWATNOŚCI

Radom, 13 kwietnia 2018r.

Technologia Informacyjna i Prawo w służbie ochrony danych - #RODO2018

OFERTA Usług audytowych i doradczych w zakresie ochrony danych osobowych dla jednostek administracji publicznej

(2- D NIOWE) I N F O R M A C J E O S Z K O L E N I U

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

Unijne rozporządzenie o ochronie danych osobowych (RODO) konsekwencje dla centrów danych. Kraków, dnia 22 lutego 2017 r.

Administrator bezpieczeństwa informacji, urzędnik do spraw ochrony danych osobowych, inspektor ochrony danych analiza porównawcza. dr Grzegorz Sibiga

OCHRONA DANYCH OD A DO Z

GRUPA GUMUŁKA -KIERUNEK NA INNOWACJE OFERTA SZKOLENIA OCHRONA DANYCH OSOBOWYCH Z UWZGLĘDNIENIEM EUROPEJSKIEJ REFORMY PRZEPISÓW - RODO KATOWICE

INSPEKTOR DANYCH OSOBOWYCH CZYLI ABI PO NOWEMU W ASPEKCIE

Ochrona danych osobowych - przetwarzanie danych osobowych zgodnie z obowiązującymi przepisami, przygotowanie się do zmian.

Wpływ ogólnego rozporządzenia o ochronie danych osobowych (RODO) na działalność sektora ubezpieczeń przegląd zagadnienia

ul. Rewolucji 1905 r. nr 9, Łódź, tel.: , fax:

PRAWNE UWARUNKOWANIA WYKORZYSTANIA DANYCH INDYWIDUALNYCH W CELU EWALUACJI POLITYKI ZATRUDNIENIA W POLSCE

Nowe unijne rozporządzenie w sprawie ochrony danych osobowych. 8 czerwca 2016

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

NOWE PRZEPISY DOTYCZĄCE BEZPIECZEŃSTWA DANYCH OSOBOWYCH. Agnieszka Wiercińska-Krużewska, adwokat, senior partner 21 września 2017 r.

Polityka Ochrony Danych Osobowych. Magdalena Młynarczyk Lege Artis Biuro Obrotu Nieruchomościami

INSPEKTOR DANYCH OSOBOWYCH CZYLI ABI PO NOWEMU W ASPEKCIE

Ochrona danych osobowych - planowane zmiany od Europejskie rozporządzenie RODO w praktyce.

II Lubelski Konwent Informatyków i Administracji r.

RODO W ORGANIZACJI- JAK PRAWIDŁOWO PRZYGOTOWAĆ SIĘ ORAZ UNIKNĄĆ KAR PIENIĘŻNYCH

Sprawdzenie systemu ochrony danych

RODO w HR Zasady przetwarzania danych osobowych kandydatów i pracowników

Rozdział 4 Procedura DPIA (Data Protection Impact Assessment)

Obszar I. Obszar II. Co dokładnie będziemy analizować? Nowa klasyfikacja: dane zwykłe dane wrażliwe dane biometryczne

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Program szkolenia - Rejestracja i bezpieczeństwo danych osobowych

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Nowe podejście do ochrony danych osobowych. Miłocin r.

PRELEGENT Przemek Frańczak Członek SIODO

PRAKTYCZNIE O RODO/GDPR UNIJNA REFORMA OCHRONY DANYCH OSOBOWYCH

ROZPORZĄDZENIE O OCHRONIE DANYCH OSOBOWYCH. Przygotuj swoją firmę do zmian już dziś

POLITYKA PRYWATNOŚCI

Ochrona danych osobowych w. Grupie Kapitałowej PROFIT Development

NOWE OBOWIĄZKI DYREKTORA JAKO ADMINISTRATORA DANYCH OSOBOWYCH

RODO WYMOGI OCHRONY DANYCH OSOBOWYCH PACJENTÓW MLD Katowice, dnia 24 kwietnia 2018 r. r. pr. Michał Rytel

NOWE ZASADY I OBOWIĄZKI W ZAKRESIE OCHRONY DANYCH OSOBOWYCH OMÓWIENIE UNIJNEGO ROZPORZĄDZENIA (GDPR)

RODO w Hodowli, czy nas dotyczy? Doradca Podatkowy Marek Rudy nr wpisu Wojciech Nowakowski

Zgodnie z RODO administrator i podmiot przetwarzający muszą wyznaczyć inspektora ochrony danych, gdy:

REGULAMIN OCHRONY DANYCH OSOBOWYCH

RODO w firmie transportowej RADCA PRAWNY PAWEŁ JUDEK

Trener: Aleksandra Piotrowska Łódź, 13 czerwca 2018 r.

(1- D NIOWE) I N F O R M A C J E O S Z K O L E N I U

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Wrocław, Wrocław - Centrum miasta. Koszt szkolenia: 1790.

Radca Prawny Anna Matusiak-Wekiera. Kancelaria Radcy Prawnego Anna Matusiak-Wekiera

Umowa powierzenia przetwarzania danych osobowych nr..

PRAKTYCZNIE O RODO/GDPR UNIJNA REFORMA OCHRONY DANYCH OSOBOWYCH

1. Co to jest RODO? 2. Ważne pojęcia zawarte w RODO

Nowe wyzwania dla systemów IT, w kontekście planowanych zmian w ustawodawstwie

NOWE ZASADY I OBOWIĄZKI W ZAKRESIE OCHRONY DANYCH OSOBOWYCH

Transkrypt:

Katowice, 24 maja 2017r. Z praktyki zespołu audytorów ochrona danych osobowych dziś i po rozpoczęciu obowiązywania Rozporządzenia unijnego Tytuł niniejszego artykułu nie jest przypadkowy. Jako osoba pasjonująca się tematyką ochrony danych osobowych, stworzyłam zespół doradców złożony z prawników, informatyków i audytorów, z którym wspólnie promujemy procesowe, praktyczne podejście do tematyki ochrony danych osobowych. Dzięki realizowanym od lat projektom z zakresu wdrażania systemów ochrony danych osobowych w organizacjach publicznych i prywatnych oraz dzięki pełnieniu funkcji ABI, audytora oraz doradcy, w swojej pracy zwracamy uwagę na te aspekty ochrony danych osobowych, które bardzo często sprawiają problemy osobom odpowiedzialnym w jednostkach organizacyjnych za obszar ochrony danych osobowych. Propagowana przez nas filozofia podejścia do ochrony danych osobowych wpisuje się w ideę ochrony danych, na której opiera się nowe Rozporządzenie unijne Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: rodo). Aby sprostać jego wymogom, punktem wyjścia musi być przyjęcie przez administratorów danych podejścia procesowego, tj. orientacji na rzeczywiste dostosowanie do wymogów prawnych poszczególnych procesów dotyczących przetwarzania danych osobowych oraz wdrożenie rozwiązań dopasowanych do specyfiki organizacji, a co za tym idzie, także różnorodnych ryzyk związanych z operacjami wykonywanymi na danych osobowych. Zmiany wprowadzone przez rodo, w szczególności nowe obowiązki ciążące na administratorach danych; nowe, szersze prawa osób, których dane dotyczą; nowe uprawnienia organów nadzorczych oraz bardzo wysokie administracyjne kary finansowe za naruszenia przepisów prawnych, wymuszą ustanowienie obszaru ochrony danych osobowych jako ważnego elementu funkcjonowania każdej organizacji. Aspekt bezpieczeństwa danych osobowych, który wciąż jeszcze jest przez wiele podmiotów marginalizowany, stanie się istotnym kryterium warunkującym powodzenie przedsięwzięć biznesowych.

Aby przygotować się do stosowania przepisów rodo, należy w pierwszej kolejności podsumować to, co w nowych przepisach nie ulega zmianie, a ma znaczenie dla administratora danych, oraz to, co podlega modyfikacji lub jest zupełnie nowym wymogiem. Przepisy rodo muszą się zakorzenić w naszej świadomości, z uwagi na fakt, że już teraz powinny mieć one znaczenie dla wykładni istniejących przepisów prawa ochrony danych. Wraz z wydawanymi w przyszłości przez Komisję Europejską aktami delegowanymi, opiniami Generalnego Inspektora Ochrony Danych Osobowych oraz Grupy Roboczej art. 29 (a później Europejskiej Rady Ochrony Danych Osobowych), przepisy rodo muszą stanowić podstawę modyfikacji procesów i dokumentacji obecnie obowiązujących w podmiotach przetwarzających dane, tak by były one zgodne z nowym stanem prawnym, który zacznie obowiązywać 25 maja 2018 r. Obszary, które w rodo nie podlegają znacznym modyfikacjom to: - definicja danych osobowych (za wyjątkiem danych wrażliwych), przetwarzania, zbioru danych (wraz z kryteriami jego identyfikacji); - zasady uznania za administratora danych (za wyjątkiem zasad dotyczących współadministratorów) oraz za podmiot przetwarzający dane na zlecenie administratora; - podział obowiązków informacyjnych uzależniony od sposobu zbierania danych: od podmiotu, którego dane dotyczą, oraz z pośrednich źródeł; - zasady szczególnej staranności służące ochronie interesów osób, których dane dotyczą (celowość, adekwatność, czasowość, merytoryczna poprawność, legalność); - większość zadań dotyczących obecnego ABI, a w przyszłości inspektora ochrony danych oraz jego statusu; - większość przepisów związanych z transferem danych do państw trzecich. Najważniejszymi, znacząco zmodyfikowanymi lub zupełnie nowymi instytucjami i zasadami rodo są: - pseudonimizacja jako nowy rodzaj postępowania z danymi, będący ich dodatkowym zabezpieczeniem; - szerszy zakres terytorialny stosowania unijnych przepisów prawa ochrony danych; - modyfikacja zasad dopuszczalnego profilowania danych osobowych; - konstrukcja prawna zgody na przetwarzanie danych osobowych wraz z warunkami jej wyrażenia; - rozszerzenie zakresu obowiązku informacyjnego przekazywanego w przypadku zbierania danych od osoby, której dane dotyczą oraz z pośrednich źródeł; - dopuszczalność współadministrowania danymi przez co najmniej dwóch administratorów; - prawa podmiotu danych:

a) do usunięcia danych, inaczej zwane prawem do bycia zapomnianym, b) do przenoszenia danych; - dookreślenie relacji między administratorem danych a podmiotem przetwarzającym; - modyfikacja obowiązku rejestracyjnego; - modyfikacja obowiązków związanych z bezpieczeństwem przetwarzania danych, w tym obowiązek notyfikacji zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu, a w wybranych przypadkach także osobie, której dane dotyczą; - konieczność dokonywania oceny skutków dla ochrony danych; - obowiązek uprzedniego konsultowania się z organem nadzorczym; - obowiązek wyznaczenia inspektora ochrony danych w odniesieniu do niektórych podmiotów; - mechanizmy mające pomóc we właściwym stosowaniu przepisów prawa ochrony danych kodeksy postępowania oraz certyfikacja; - uprawnienia organu nadzorczego naprawcze oraz do nakładania administracyjnych kar pieniężnych; - prawo do odszkodowania za naruszenie przepisów o ochronie danych osobowych. Analiza przepisów rodo prowadzi do wniosku, że zmienia się sposób patrzenia na ochronę danych osobowych. Obecnie przewidziane kazuistyczne rozwiązania wskazane w ustawie o ochronie danych osobowych (dalej: uodo), a także, a może przede wszystkim, w rozporządzeniach wykonawczych do uodo (rejestracja zbiorów danych, uprzednia zgoda organu ochrony danych na określone operacje na danych, określona długość, złożoność haseł i częstotliwość ich zmiany), zostają zastąpione ogólnymi założeniami administratorom zostają postawione ogólne cele, a drogę do ich osiągnięcia muszą wytyczać sami. To na administratorach danych będzie ciążyć odpowiedzialność za właściwą ocenę ryzyka związanego z wykonywaniem operacji na danych oraz za wdrożenie wewnętrznych procedur zapewniających ich zgodność z przepisami prawa. Jednocześnie te podmioty będą zobowiązane wykazać, że właściwie spełniły wymogi przepisów ochrony danych osobowych oraz, że wdrożone przez nie środki są skuteczne (przy czym środki powinny uwzględniać charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych). Rodo wymusza na administratorach danych ochronę danych osobowych już w fazie projektowania nowego procesu związanego z przetwarzaniem danych osobowych. Administrator danych będzie zobowiązany do przeprowadzenia analizy i oceny, czy planowane operacje na danych osobowych w konkretnym procesie oraz sposoby ich zabezpieczenia będą zgodne z obowiązującymi przepisami prawa, zwłaszcza z przepisami rodo. Administrator danych będzie zobowiązany również do wdrożenia środków technicznych i organizacyjnych zapewniających, że domyślnie będą

przetwarzane jedynie te dane, które są niezbędne. Wdrożone rozwiązania powinny skutkować m.in. zapewnieniem, że dane nie będą przetwarzane dłużej niż jest to niezbędne, a po zrealizowaniu celu przetwarzania zostaną usunięte lub zanonimizowane. Obecnie najczęściej spotykanym przez nas problemem w systemach lub aplikacjach jest brak adekwatności gromadzonych danych osobowych do celu ich przetwarzania oraz przechowywanie danych osobowych w postaci elektronicznej bez żadnego wskazanego okresu archiwizacyjnego, czyli nieskończenie długo. Jako przykład takich złych praktyk można podać kartoteki klienta w systemie lub aplikacji do wystawiania faktur zawierające pola informacyjne takie jak numer PESEL, imię ojca i matki, nazwisko rodowe matki, zdjęcie osoby. W tym miejscu pragnę podkreślić, że nawet ci administratorzy, którzy już teraz przetwarzają dane zgodnie z zasadami określonymi w uodo, powinni jak najszybciej podjąć stosowne działania, tak by w momencie rozpoczęcia obowiązywania rodo móc przetwarzać dane zgodnie z jego wymaganiami. Podejmując czynności dostosowawcze administratorzy powinni zweryfikować, czy są w stanie zrealizować między innymi poniższe wymagania: - Prowadzenie analiz wpływu na prywatność (ang. data protection impact assessment). Jest to nowy obowiązek administratorów danych zanim przepisy rodo zaczną obowiązywać, administratorzy powinni posiąść niezbędną wiedzę i umiejętność prowadzenia takiej analizy. Analizę wpływu na prywatność administrator danych musi prowadzić, jeżeli dany rodzaj przetwarzania z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Analiza ma na celu zapewnienie, że administrator danych należycie uwzględni interesy osób, których dane przetwarza, i przeprowadzi analizę obejmującą m.in. ocenę ryzyka naruszenia praw lub wolności osób (której nie należy mylić z analizą ryzyka związaną z doborem zabezpieczeń). - Powiadomienie organu nadzorczego w przypadku naruszenia ochrony danych osobowych. W określonych sytuacjach będą musiały być powiadomione również osoby, których dotyczy naruszenie danych. Ponieważ organ nadzorczy będzie musiał zostać powiadomiony w ciągu 72 godzin od momentu stwierdzeniu naruszenia, administratorzy powinni opracować, wdrożyć i przetestować procedury zapewniające dotrzymanie tego terminu. - Systemy informatyczne administratora danych muszą umożliwiać wyeksportowanie danych dotyczących osoby fizycznej w celu umożliwienia jej np. przeniesienia danych do innego administratora. Dane muszą być wyeksportowane w powszechnie używanym formacie - zapewne zwykle będzie to format XML lub CSV. Administrator danych musi umożliwić przeniesienie danych, jeżeli są one przetwarzane na podstawie zgody lub umowy.

- W związku z dużo szerszymi wymaganiami dotyczącymi zawierania umów powierzenia przetwarzania administratorzy powinni dokonać przeglądu aktualnie obowiązujących umów w tym zakresie. Powinni zapewnić, że od 25 maja 2018 r., wszystkie umowy powierzenia przetwarzania danych będą zgodne z wymogami rodo. Należy podkreślić, iż wdrożony w organizacji system ochrony danych osobowych bazujący na założeniach procesowego, kompleksowego podejścia do ochrony danych, w momencie rozpoczęcia obowiązywania przepisów rodo będzie w dużej mierze aktualny i w znacznej części prawidłowy. Konieczne będzie oczywiście dostosowanie wybranych istniejących procesów i procedur do przepisów unijnych oraz uzupełnienie istniejącego systemu o nowe, wymagane przez przepisy prawa elementy procesy i procedury, jednak podstawowe założenia ochrony danych pozostaną takie same. Magdalena Korga

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres