Rozdział 4 Procedura DPIA (Data Protection Impact Assessment)

Podobne dokumenty
POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Dworek Bielin Sp. z o.o.

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Zespole Szkół Technicznych "MECHANIK" w Jeleniej Górze

SZCZEGÓŁOWY HARMONOGRAM KURSU

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

INSTRUKCJA POSTĘPOWANIA W SYTUACJI STWIERDZENIA NARUSZENIA OCHRONY DANYCH OSOBOWYCH

Ochrona danych osobowych w biurach rachunkowych

System wspomagania pracy Administratora Bezpieczeństwa Informacji Opis zmian w wersji

Ocena skutków przetwarzania

Monitorowanie systemów IT

Radom, 13 kwietnia 2018r.

RODO w praktyce psychologicznej. adw. dr Maciej Bocheński Uniwersytet Jagielloński Krakowska Izba Adwokacka

Załącznik nr 5 do Polityki bezpieczeństwa

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

2. Proces tworzenie wewnętrznego systemu ochrony danych osobowych przedsiębiorcy. 3. Postanowienia dyrektywy 95/46/WE, które pozostaną aktualne

I. Postanowienia ogólne

zwana dalej Administratorem

Ochrona danych osobowych w biurach rachunkowych

Nowe przepisy i zasady ochrony danych osobowych

Umowa powierzenia przetwarzania danych osobowych nr..

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Polityka Ochrony Danych Osobowych w Spirax Sarco Sp. z o.o., ul. Jutrzenki 98, Warszawa, z dnia

Rozporządzenie Ogólne o Ochronie Danych Osobowych - General Data Protection Regulation

Umowa powierzenia przetwarzania danych osobowych zawarta w dniu 2018 r. pomiędzy:

Nowe wymagania dla systemów informatycznych wynikające z ogólnego rozporządzenia o ochronie dany

INTERNATIONAL POLICE CORPORATION

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w ROZANI

Spis treści. Wykaz skrótów... Wprowadzenie...

ABI nie tylko audytor i koordynator. Wykonywanie przez ABI innych obowiązków niż określone w ustawie o ochronie danych osobowych.

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

Umowa powierzenia przetwarzania danych osobowych. Szkolenie. Katowice, 14 listopada 2018

Załącznik 5 Ankieta dla podmiotu przetwarzającego

POLITYKA REALIZACJI PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ

Przykład klauzul umownych dotyczących powierzenia przetwarzania

Opracował Zatwierdził Opis nowelizacji

Obszar I. Obszar II. Co dokładnie będziemy analizować? Nowa klasyfikacja: dane zwykłe dane wrażliwe dane biometryczne

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w

BIURO OCHRONY DANYCH OSOBOWYCH BODO24 KURS RODO

POLITYKA PRYWATNOŚCI

Maciej Byczkowski ENSI 2017 ENSI 2017

ECDL RODO Sylabus - wersja 1.0

Polityka Ochrony Danych Osobowych. w Luxe Property S.C.

Załącznik Nr 4 do Umowy nr.

Technologia Infromacyjna i Prawo w służbie ochrony danych - #RODO2018

Stosownie do art. 41 ust. 1 ustawy zgłoszenie zbioru danych do rejestracji powinno zawierać:

Audyt zgodności z RODO, analiza ryzyka i DPIA dwudniowe warsztaty

Przemysław Bańko Dyrektor ds. Bezpieczeństwa Smart In

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

REGULAMIN OCHRONY DANYCH OSOBOWYCH

! POLITYKA OCHRONY DANYCH OSOBOWYCH W KANCELARII KANCELARIA ADWOKATA ŁUKASZA DOLIŃSKIEGO

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Wrocław, Wrocław - Centrum miasta. Koszt szkolenia: 1790.

Polityka Prywatności Przetwarzania Danych Osobowych Kandydatów REKRUTACJA ZA POŚREDNICTWEM PORTALU

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

PARTNER.

POLITYKA PRYWATNOŚCI

Wdrożenie Rozporządzenia UE 2016/679 z dnia 27 kwietnia 2016 w ZGiUK Sp. z o.o. w Lubaniu

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W FUNDACJI CENTRUM IMIENIA PROF. BRONISŁAWA GEREMKA

Załącznik Nr 4b Umowa powierzenia przetwarzania danych osobowych stanowiąca uzupełnienie Umowy Nr..

Umowa powierzenia przetwarzania danych osobowych. W związku z zawarciem umowy nr z dnia. r. dotyczącej projektu

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

ABI potrzebny i przydatny Zakres i sposób wykonywania zadań ABI w praktyce. Andrzej Rutkowski

REGULAMIN OCHRONY DANYCH OSOBOWYCH

ZAŁĄCZNIK SPROSTOWANIE

REJESTR CZYNNOŚCI PRZETWARZANIA

ZARZĄDZENIE NR K PREZYDENTA MIASTA ZIELONA GÓRA - KIEROWNIKA URZĘDU. z dnia 24 maja 2018 r.

Szkolenie podstawowe z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 dla wolontariuszy świadczących pomoc na rzecz podopiecznych

Uchwała wchodzi w życie z dniem uchwalenia.

REGULAMIN OCHRONY DANYCH OSOBOWYCH

POLITYKA OCHRONY DANYCH OSOBOWYCH w Fundacji TDJ na Rzecz Edukacji i Rozwoju

Ochrona danych osobowych, co zmienia RODO?

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

ZESPÓŁ SZKÓŁ TECHNICZNYCH we Włocławku, ul. Ogniowa 2 PROCEDURA ALARMOWA PROCEDURA POSTĘPOWANIA W PRZYPADKU NARUSZENIA DANYCH OSOBOWYCH

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

Rozdział 3 Inwentaryzacja procesów i zasobów biorących udział w procesach

Administratorem Państwa Danych jest Karczma Matras s.c. Matras Piotr, Matras Katarzyna Młynne 240/3, Limanowa 3.

OCHRONA DANYCH OSOBOWYCH W ORGANIZACJI POZARZĄDOWEJ

POLITYKA PRYWATNOŚCI

OBOWIĄZKI I ODPOWIEDZIALNOŚĆ ZA ZADANIA ZWIĄZANE Z OCHRONĄ DANYCH OSOBOWYCH W SZKOLE GŁÓWNEJ HANDLOWEJ W WARSZAWIE

POLITYKA BEZPIECZEŃSTWA

Umowa powierzenia przetwarzania danych osobowych

ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

Chroń Dane Osobowe. Personal Data Protection Officer. Konrad Gałaj-Emiliańczyk

INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH

Administrator Bezpieczeństwa informacji

ZASADY POWIERZANIA DANYCH OSOBOWYCH FIRMY ELEKTROMONTAŻ RZESZÓW S.A. z dnia 25 maja 2018r.

Unijna reforma ochrony danych osobowych. Jak się na nią przygotować?

Czym jest RODO? Czym jest przetwarzanie danych osobowych?

POLITYKA PRYWATNOŚCI W PIAST GROUP SP. Z O.O.

RODO w HR Zasady przetwarzania danych osobowych kandydatów i pracowników

Rodzaje danych (informacji) m.in.: Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne.

Szkolenie : Administrator Bezpieczeństwa Informacji (2 dni)

Welcome. to Space4GDPR. Platforma Space4GDPR jest narzędziem dedykowanym. do sprawnego zarządzania ochroną danych osobowych

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

PRELEGENT Przemek Frańczak Członek SIODO

Transkrypt:

Dokumentacja wdrożenia RODO 6) kryptograficzne środki ochrony danych osobowych; 7) wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe; 8) mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności użytkownika. 7. W celu ochrony danych osobowych stosuje się następujące środki organizacyjne: 1) osoby zatrudnione przy przetwarzaniu danych są zaznajomione z przepisami dotyczącymi ochrony danych osobowych; 2) osoby zatrudnione przy przetwarzaniu danych osobowych są przeszkolone w zakresie zabezpieczeń systemu informatycznego; 3) osoby zatrudnione przy przetwarzaniu danych osobowych są obowiązane do zachowania ich w tajemnicy; 4) monitory komputerów, na których przetwarzane są dane osobowe, są ustawione w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane; 5) kopie zapasowe zbioru danych osobowych są przechowywane w innym pomieszczeniu niż to, w którym znajduje się serwer, na którym dane osobowe przetwarzane są na bieżąco. Rozdział 4 Procedura DPIA (Data Protection Impact Assessment) 8. Ocenę skutków dla ochrony danych osobowych (DPIA) przeprowadza każdorazowy właściciel procesu wskazany przez administratora danych z wykorzystaniem załącznika nr 3. 9. DPIA jest przeprowadzana przy każdorazowej istotnej zmianie procesu przetwarzania danych osobowych, np. zmiana dostawcy usług, zmiana sposobu przetwarzania danych, wymiana zasobów biorących udział w procesie. 10. DPIA jest przeprowadzana wraz z analizą ryzyka nie rzadziej niż raz w roku w stosunku do procesów, które w wyniku poprzednio przeprowadzonego DPIA wykazały wysokie ryzyko dla praw i wolności osób, których dane dotyczą. Rozdział 5 Procedura analizy ryzyka i plan postępowania z ryzykiem 11. Analizę ryzyka dla zasobów biorących udział w procesach przeprowadza każdorazowy właściciel procesu wskazany przez administratora danych lub administrator danych samodzielnie z wykorzystaniem załącznika nr 4a i 4b. 12. Analiza ryzyka jest przeprowadzana nie rzadziej niż raz w roku i stanowi podstawę do aktualizacji sposobu postępowania z ryzykiem. 13. Na podstawie wyników przeprowadzonej analizy ryzyka wskazani przez administratora danych właściciele procesów lub administrator danych samodzielnie wdrażają sposoby postępowania z ryzykiem. 80

6. Tworzenie dokumentacji ochrony danych osobowych 14. Każdorazowo administrator danych wybiera sposób postępowania z ryzykiem i określa, które ryzyka i w jakiej kolejności będą rozpatrywane jako pierwsze. 15. Administrator danych nie może zlekceważyć ryzyk, których wartość przekracza 6 punktów zgodnie z załącznikiem nr 4b, lub ryzyka w stosunku do zasobu biorącego udział w procesie wysokiego ryzyka stosownie do wyniku DPIA zgodnie z załącznikiem nr 3. Rozdział 6 Procedura współpracy z podmiotami zewnętrznymi 16. Każdorazowe skorzystanie z usług podmiotu przetwarzającego jest poprzedzone zawarciem umowy powierzenia przetwarzania danych osobowych zgodnie z załącznikiem nr 6. 17. Nie rzadziej niż raz w roku oraz każdorazowo przed zawarciem umowy powierzenia przetwarzania danych osobowych administrator danych weryfikuje zgodność z Rozporządzeniem wszystkich podmiotów przetwarzających, z których usług korzysta lub ma zamiar skorzystać z wykorzystaniem listy kontrolnej zgodnie z załącznikiem nr 7. Rozdział 7 Procedura domyślnej ochrony danych 18. Administrator danych w przypadku zamiaru rozpoczęcia przetwarzania danych osobowych w nowym procesie przeprowadza DPIA w stosunku do tego procesu. 19. W każdym przypadku tworzenia nowego produktu lub usług administrator danych uwzględnia prawa osób, których dane dotyczą, na każdym kluczowym etapie jego projektowania i wdrażania. Rozdział 8 Procedura zarządzania incydentami 20. W każdym przypadku naruszenia ochrony danych osobowych administrator danych weryfikuje, czy naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. 21. Administrator danych w przypadku stwierdzenia, że naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, zawiadamia niezwłocznie organ nadzorczy, jednak nie później niż w ciągu 72 godz. od identyfikacji naruszenia. 22. Administrator danych zawiadamia osoby, których dane dotyczą, w przypadku wystąpienia wobec nich naruszeń skutkujących ryzykiem naruszenia ich praw lub wolności, chyba że zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka wystąpienia ww. naruszenia. 23. Administrator danych dokumentuje naruszenia, które skutkują naruszeniem praw i wolności osób fizycznych, zgodnie z załącznikiem nr 10. 81

Dokumentacja wdrożenia RODO Rozdział 9 Procedura realizacji praw osób 24. Każdy przypadek zgłoszenia przez osobę, której dane dotyczą, woli skorzystania z praw przewidzianych w Rozporządzeniu administrator danych rozpatruje indywidualnie zgodnie z procedurą opisaną w załączniku nr 9, 9a i 9b. 25. Administrator danych niezwłocznie realizuje następujące prawa osób, których dane dotyczą: 1) prawo dostępu do danych, 2) prawo do sprostowania danych, 3) prawo do usunięcia danych, 4) prawo do ograniczenia przetwarzania danych, 5) prawo do przenoszenia danych, 6) prawo do sprzeciwu wobec przetwarzania danych, 7) prawo do niepodlegania decyzjom opartym wyłącznie na profilowaniu. 26. W przypadku realizacji prawa do sprostowania, usunięcia i ograniczenia przetwarzania danych administrator danych niezwłocznie informuje odbiorców danych, którym udostępnił on przedmiotowe dane, chyba że jest to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. 27. Administrator danych odmawia realizacji praw osób, których dane dotyczą, jeżeli możliwość taka wynika z przepisów Rozporządzenia, jednak każda odmowa realizacji praw osób, których dane dotyczą, wymaga uzasadnienia z podaniem podstawy prawnej wynikającej z Rozporządzenia. Rozdział 10 Procedura odbierania zgód oraz informowania osób 28. W każdym przypadku pobierania danych bezpośrednio od osoby, której dane dotyczą, administrator danych informuje osobę, której dane dotyczą, zgodnie z załącznikiem nr 8. 29. W każdym przypadku pobierania danych z innych źródeł niż osoba, której dane dotyczą, administrator danych informuje osobę, której dane dotyczą, niezwłocznie, jednak nie później niż przy pierwszym kontakcie z osobą, której dane dotyczą, zgodnie z załącznikiem nr 8. 30. W każdym przypadku odbierania zgody od osoby, której dane dotyczą, korzysta się z klauzul zgody zgodnie z załącznikiem nr 8. Rozdział 11 Postanowienia końcowe 31. Wszelkie zasady opisane w niniejszym dokumencie są przestrzegane przez osoby upoważnione do przetwarzania danych osobowych ze szczególnym uwzględnieniem dobra osób, których dane te dotyczą. 82

6. Tworzenie dokumentacji ochrony danych osobowych 32. Dokument niniejszy obowiązuje od dnia jego zatwierdzenia przez administratora danych. Załączniki: Załącznik nr 1 rejestr czynności przetwarzania, Załącznik nr 2 powołanie IOD, Załącznik nr 3 arkusz DPIA, Załącznik nr 4a arkusz inwentaryzacji zasobów, Załącznik nr 4b arkusz analizy ryzyka, Załącznik nr 5 upoważnienie do przetwarzania danych osobowych, Załącznik nr 6 umowa powierzenia przetwarzania danych osobowych, Załącznik nr 7 lista kontrolna dla podmiotu przetwarzającego, Załącznik nr 8 klauzule obowiązku informacyjnego i klauzule zgody, Załącznik nr 9 arkusz realizacji praw, Załącznik nr 9a wniosek o realizację praw, Załącznik nr 9b odpowiedź na wniosek osoby, Załącznik nr 10 rejestr incydentów. Powyższa dokumentacja ochrony danych osobowych musi zostać uzupełniona o stan faktyczny. Na potrzeby niniejszego opracowania opisano przykładowe zabezpieczenia, które organizacja mogłaby, ale których oczywiście nie musi posiadać. Opisane procedury mogą jednak pasować do większości organizacji (choć zapewne nie do wszystkich). Ostatnim działaniem, jakie podejmujemy w ramach wdrażania RODO, jest zatwierdzenie przygotowanej w powyższy sposób dokumentacji ochrony danych osobowych oraz jej wdrożenie (a więc należałoby teraz przeszkolić konkretne osoby w zakresie obowiązków zawartych w tej dokumentacji oraz w zakresie korzystania z załączników do dokumentacji). W ramach wdrażania i doskonalenia systemu ochrony danych osobowych nie można rzecz jasna zapominać o testowaniu nowych procedur oraz istniejących zabezpieczeń. 83

Podsumowanie Podsumowanie Niniejsza publikacja wskazała, jakie kroki należy podjąć oraz jak mogą one przebiegać przy wdrażaniu nowych przepisów o ochronie danych osobowych. Wszelkie dane znajdujące się w formularzach są przykładowe mają na celu zobrazowanie możliwych stanów faktycznych oraz różnych sposobów postępowania organizacji z punktu widzenia urzędu oraz podmiotu sektora prywatnego. Największym wyzwaniem dla każdej organizacji jest dodanie nowych obowiązków związanych z ochroną danych osobowych pracownikom, którzy do tej pory nie stykali się na co dzień z obszarem analizy ryzyka. Po wdrożeniu obowiązków wynikających z RODO może się nagle okazać, że muszą się oni zmierzyć nie tylko z analizą ryzyka w stosunku do zasobów biorących udział w procesach, ale również z analizą ryzyka naruszenia prawa do prywatności osób, czyli DPIA. Oprócz tego właściciele procesów będą musieli zmierzyć się z koniecznością spełnienia obowiązku informacyjnego wobec osób, których dane osobowe przetwarzają. Będą musieli zmierzyć się z procesorami danych, by dokonać ich oceny i zawrzeć z nimi umowy powierzenia przetwarzania danych osobowych. Innymi słowy, niemal cały ciężar wdrożenia RODO zostaje nałożony na właścicieli procesów. W praktyce właścicielami procesów najczęściej zostają kierownicy poszczególnych jednostek organizacyjnych, którzy w swoich działach mają również podwładnych i to im mogą zlecić wykonanie poszczególnych zadań. W ten sposób cały ciężar wdrożenia RODO w praktyce zostaje przeniesiony na wszystkich pracowników organizacji. Jak pokazuje niniejsza publikacja, wdrożenie RODO w organizacji nie będzie ani proste, ani trudne, jednak z pewnością okaże się czasochłonne i pracochłonne. Warto również pamiętać o tym, że większość organizacji podchodzi do ochrony danych osobowych czy bezpieczeństwa informacji w kategoriach unikania kary za nieprzestrzeganie przepisów prawa. To jedna z największych pułapek. Organizacja zwykle zamierza uczynić tylko tyle, 85

Podsumowanie ile musi, i nic ponadto, a przecież przepisy RODO wymagają ciągłego doskonalenia systemu ochrony danych osobowych oraz sukcesywnego podnoszenia poziomu bezpieczeństwa danych osobowych! Można nie sprostać temu zadaniu, ryzyko polega bowiem na tym, że o ile najwyższe kierownictwo organizacji z reguły będzie w stanie zaakceptować koszty wdrażania RODO, to dalsze doskonalenie systemu pozostanie pod znakiem zapytania. Niniejszy zbiór dokumentacji wdrożenia i zarazem poradnik nie obejmuje swoim zakresem wszystkich metod wdrażania RODO, ale nie taki był też jego cel. Każda organizacja musi od czegoś zacząć, a celem tej publikacji było właśnie wprowadzenie Państwa krok po kroku w obszary wiedzy na temat tego, jakie działania należy podjąć, by zbudować w organizacji system ochrony danych osobowych zgodny z RODO. Jednak system ten trzeba będzie w kolejnych latach konsekwentnie doskonalić.

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres