Rola biura rachunkowego w nowym modelu ochrony danych osobowych
Ogólne rozporządzenie o ochronie danych - RODO Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE Stosowane- od dnia 25 maja 2018 roku!!! Forma prawna- Rozporządzenie; obowiązuje bezpośrednio na terenie wszystkich państw członkowskich UE ( inaczej niż dyrektywy); brak konieczności,, wyczekiwania na wydanie odpowiednich przepisów przez krajowego prawodawcę!!!
Cele reformy Wzmocnienie praw osób fizycznych, których dane dotyczą Usprawnienie wymiany informacji wewnątrz UE umożliwienie efektywnej kontroli przetwarzania przekazywanych danych przez osoby fizyczne ujednolicenie przepisów w zakresie ochrony danych osobowych na terenie UE
NOWOCZESNOŚĆ ODPOWIEDZIALNOŚĆ ELASTYCZNOŚĆ UJEDNOLICENIE RODO
Zakres podmiotowy regulacji Każdy podmiot działający na terenie UE, który gromadzi i wykorzystuje dane osobowe osób fizycznych: - organy administracji publicznej - podmioty prawa prywatnego Wyjątki: podmioty zajmujące się działalnością nieobjętą zakresem prawa UE (np. kwestie bezpieczeństwa narodowego), osoby fizyczne przetwarzające dane w zakresie czysto osobistym, organy ścigania, sądy, instytucje unijne czy też dyplomatyczne- art. 2 RODO
Podejście oparte na ryzyku Risk based approach Ryzyko jako,, wpływ niepewności na cele ( wg norm ISO/IEC 27005/2011 Określenie punktu wyjścia dla wdrożenia odpowiednich zabezpieczeń
Dane osobowe ( art. 4 pkt 1 RODO),, informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.,, osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, (...), identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, (...), ekonomiczną, kulturową bądź społeczną tożsamość osoby.
Dane osobowe- c.d. Dane zwykłe Wszelkie dane wchodzące w zakres definicji z art. 4 pkt 1 RODO, za wyjątkiem danych szczególnej kategorii Szczególne zasady przetwarzania danych dot. wyroków skazujących, naruszeń prawa lub powiązanych środków bezpieczeństwa Dane szczególnej kategorii Ogólny zakaz przetwarzania danych ujawniających; 1) pochodzenie rasowe lub etniczne 2) poglądy polityczne 3) przekonania religijne lub światopoglądowe 4) przynależność do związków zawodowych 5) danych genetycznych lub biometrycznych 6) informacji o stanie zdrowia lub seksualności i orientacji seksualnej ( art. 9 ust. 1 RODO)
Przetwarzanie danych ( art. 4 ust. 2 RODO) Każda operacja lub zestaw operacji wykonywanych na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany,, od zbierania danych przez ich przeglądanie, aż po ich niszczenie
Naruszenie ochrony danych osobowych ( art. 4 pkt 12 RODO) Naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem; - zniszczenia - utracenia - zmodyfikowania - nieuprawnionego ujawnienia - nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych
Podwójna rola biura rachunkowego Administrator danych,, Właściciel danych; samodzielnie decyduje o celu przetwarzania danych w odniesieniu do danych swoich klientów oraz pracowników/współpracowników Podmiot przetwarzający Procesor; przetwarzanie danych, których,, właścicielem jest inny podmiot w stosunku do danych osobowych zawartych w dokumentacji klientów i korespondencji z nimi (dane pracowników, współpracowników i kontrahentów przedsiębiorcy obsługiwanego przez biuro rachunkowe)
Wdrożenie norm RODO w biurze rachunkowym Od czego zacząć???
Inwentaryzacja zbiorów danych Jakie są kategorie osób, których dane przetwarzamy ( czyje)? Jaki jest cel przetwarzania tych danych ( po co)? Jakie mamy źródła pozyskiwania tych danych ( skąd)? Jakie kategorie danych przetwarzamy ( co)?
Na jakiej podstawie przetwarzamy poszczególne zbiory danych? 1) Zgoda osoby, której dane dotyczą; 2) Niezbędność dla wykonania umowy, której stroną jest osoba-podmiot danych lub do podjęcia działań na żądanie tej osoby przed zawarciem umowy; 3) Niezbędność dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;
Podstawy prawne przetwarzania danych osobowych- c.d. Niezbędność przetwarzania: 4) dla ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej; 5) dla wykonania zadania realizowanego w interesie publ. Lub w ramach sprawowania władzy publicznej powierzonej Administratorowi; 6) do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora bądź stronę trzecią ( z wyjątkiem sytuacji nadrzędności interesów lub podstawowych praw i wolności podmiotu danych, wymagających ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą jest dzieckiem).
Jak chronimy dane osobowe? - Polityka Bezpieczeństwa Określenie miejsc przetwarzania danych ( obszar przetwarzania) Opis sposobów przepływu danych Weryfikacja procedury nadawania upoważnień do przetwarzania danych oraz ich zakresu Analiza procedury usuwania danych po upływie okresu przetwarzania
Jak chronimy dane osobowe? - c.d. Wykorzystywane zabezpieczenia: 1. Prawne ( np. stosowne zapisy w umowach z pracownikami, umowy powierzenia) 2. Organizacyjne ( np. regulaminy, upoważnienia, procedury zmiany haseł) 3. Informatyczne ( np. programy antywirusowe) 4. Fizyczne ( np. monitoring, klimatyzacja w serwerowni)
Jakie zagrożenia dla bezpieczeństwa danych osobowych występują w naszym biurze? - Analiza ryzyka,, (...) administrator i podmiot przetwarzający powinni oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki- takie jak szyfrowanie- minimalizujące to ryzyko. ( Motyw 83 RODO) SZACOWANIE POZIOMU RYZYKA= PRAWDOPODBIEŃSTWO WYSTĄPIENIA ZDARZENIA + NIEPOŻĄDANE SKUTKI/SZKODA JAKIE SPOWODUJE JEGO WYSTĄPIENIE
Jak sobie radzić z zagrożeniami? Zarządzanie ryzykiem
Jak wypełniamy nasze obowiązki względem osób, których dane dotyczą? Polityka Prywatności 1) Wypełnienie obowiązku informacyjnego ciążącego na Administratorze ( art. 13 RODO) 2) Stworzenie prawnych i organizacyjnych ram przetwarzania danych
Dziękuję za uwagę Damian Felisiak