Praktyczne aspekty wdrożenia RODO Data Protection Impact Assessment (DPIA)

Podobne dokumenty
Radca Prawny Anna Matusiak-Wekiera. Kancelaria Radcy Prawnego Anna Matusiak-Wekiera

Maciej Byczkowski ENSI 2017 ENSI 2017

PODSTAWY PRZETWARZANIA DANYCH KANDYDATÓW DO PRACY W NOWYM PROJEKCIE KODEKSU PRACY. r.pr. Patrycja Kozik

Ocena skutków przetwarzania

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

SZCZEGÓŁOWY HARMONOGRAM KURSU

Audyt zgodności z RODO, analiza ryzyka i DPIA dwudniowe warsztaty

Ograniczenia w wykorzystywaniu baz danych związane ze zautomatyzowanym przetwarzaniem danych oraz wykorzystaniem chmury obliczeniowej w świetle RODO

Reforma regulacyjna sektora bankowego

GRUPA ROBOCZA ART. 29

Chroń Dane Osobowe. Personal Data Protection Officer. Konrad Gałaj-Emiliańczyk

OCENA SKUTKÓW DLA OCHRONY DANYCH OSOBOWYCH BIURO GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH

Paweł Makowski Radca GIODO

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

Technologia Infromacyjna i Prawo w służbie ochrony danych - #RODO2018

Ochrona danych osobowych

Proponowany wykaz rodzajów przetwarzania dla których wymagane jest przeprowadzenie oceny skutków dla ochrony danych

Opinia 4/2018. w sprawie projektu wykazu sporządzonego przez właściwy czeski organ nadzorczy. dotyczącego

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Opinia 17/2018. w sprawie projektu wykazu sporządzonego przez właściwy polski organ nadzorczy. dotyczącego

Chroń Dane Osobowe. Personal Data Protection Officer. Konrad Gałaj-Emiliańczyk

Opinia 18/2018. w sprawie projektu wykazu sporządzonego przez właściwy portugalski organ nadzorczy. dotyczącego

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

Warszawa, dnia 8 lipca 2019 r. Poz. 666 KOMUNIKAT PREZESA URZĘDU OCHRONY DANYCH OSOBOWYCH. z dnia 17 czerwca 2019 r.

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

Warszawa, dnia 24 sierpnia 2018 r. Poz. 827 KOMUNIKAT PREZESA URZĘDU OCHRONY DANYCH OSOBOWYCH. z dnia 17 sierpnia 2018 r.

INTERNATIONAL POLICE CORPORATION

Technologia Informacyjna i Prawo w służbie ochrony danych - #RODO2018

Rola inspektora ochrony danych w zabezpieczeniu systemu informatycznego. Podejście oparte na ryzyku

Obszar I. Obszar II. Co dokładnie będziemy analizować? Nowa klasyfikacja: dane zwykłe dane wrażliwe dane biometryczne

Rodzaj operacji przetwarzania danych / okoliczności, które wymagają przeprowadzenia PIA

Szacowanie ryzyka dla operacji przetwarzania danych. Praktyki dla zarządzających bezpieczeństwem i inspektorów

Pierwsze doświadczenia w wykonywaniu funkcji IODy

Wpływ ogólnego rozporządzenia o ochronie danych osobowych (RODO) na działalność sektora ubezpieczeń przegląd zagadnienia

Opinia 9/2018. w sprawie projektu wykazu sporządzonego przez właściwy francuski organ nadzorczy. dotyczącego

Opinia 5/2018. w sprawie projektu wykazu sporządzonego przez właściwe niemieckie organy nadzorcze. dotyczącego

Opinia 12/2018. dotyczącego. rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych (art. 35 ust.

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

PRELEGENT Przemek Frańczak Członek SIODO

Status prawny i obowiązki adwokata związane z przetwarzaniem danych osobowych w świetle ogólnego rozporządzenia o ochronie danych (RODO)

Przyjęte w dniu 4 kwietnia 2017 r.

Przykład klauzul umownych dotyczących powierzenia przetwarzania

ZAŁĄCZNIK SPROSTOWANIE

Innowacyjne rozwiązania odpowiedzą na RODO

APTEKO, PRZYGOTUJ SIĘ NA ZMIANY! RODO W PIGUŁCE

APTEKO, PRZYGOTUJ SIĘ NA RODO! KS - BDO

Wykaz skrótów... XV Wykaz literatury... XXI Wprowadzenie... XXVII

Kontrola przestrzegania przepisów o ochronie danych osobowych. zasady, zakres, przebieg. Piotr Glen Inspektor ochrony danych

Z praktyki zespołu audytorów ochrona danych osobowych dziś i po rozpoczęciu obowiązywania Rozporządzenia unijnego

rodo. ochrona danych osobowych.

Welcome. to Space4GDPR. Platforma Space4GDPR jest narzędziem dedykowanym. do sprawnego zarządzania ochroną danych osobowych

Nowe podejście do ochrony danych osobowych. Miłocin r.

RODO W ORGANIZACJI- JAK PRAWIDŁOWO PRZYGOTOWAĆ SIĘ ORAZ UNIKNĄĆ KAR PIENIĘŻNYCH

Opinia 3/2018. w sprawie projektu wykazu sporządzonego przez właściwy bułgarski organ nadzorczy. dotyczącego

Status IOD czy funkcję IOD może pełnić jednostka organizacyjna?

Zaangażowani globalnie

Proponowany wykaz rodzajów przetwarzania, dla których wymagane jest przeprowadzenie oceny skutków dla ochrony danych

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

Administrator bezpieczeństwa informacji, urzędnik do spraw ochrony danych osobowych, inspektor ochrony danych analiza porównawcza. dr Grzegorz Sibiga

Nr sprawy: ST Poznań, Zapytanie ofertowe

przyjęta 4 grudnia 2018 r. Tekst przyjęty

Spis treści. Wykaz skrótów... Wprowadzenie...

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

IODO: kompetencje nie wystarczą

Uchwała wchodzi w życie z dniem uchwalenia.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

przyjęta 4 grudnia 2018 r. Tekst przyjęty

Prelegent : Krzysztof Struk Stanowisko: Analityk

przyjęta 12 marca 2019 r. Tekst przyjęty 1

RODO w praktyce psychologicznej. adw. dr Maciej Bocheński Uniwersytet Jagielloński Krakowska Izba Adwokacka

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Wszelkie prawa zastrzeżone.

Rozdział 4 Procedura DPIA (Data Protection Impact Assessment)

RODO a obowiązki opracowania dokumentacji

Nowe unijne rozporządzenie w sprawie ochrony danych osobowych. 8 czerwca 2016

RODO w firmie transportowej RADCA PRAWNY PAWEŁ JUDEK

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

ROZPORZĄDZENIE O OCHRONIE DANYCH OSOBOWYCH. Przygotuj swoją firmę do zmian już dziś

Rola biura rachunkowego w nowym modelu ochrony danych osobowych

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Ochrona biznesu w cyfrowej transformacji

Audyt RODO dla firm szkoleniowych i szkoleniowo-doradczych Opis usługi

PROGRAM TRZYDNIOWEGO KURSU DLA IOD - JAK DOSTOSOWAĆ ORGANIZACJĘ DO WYMOGÓW OGÓLNEGO ROZPORZĄDZENIA O OCHRONIE DANYCH (RODO/GDPR)

B U R E A U V E R I T A S P O L S K A S P. Z O. O. RODO PO ROKU P D P / I S M & B C M T E A M L E A D E R

Szkolenie : Administrator Bezpieczeństwa Informacji (2 dni)

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Ochrona danych osobowych w biurach rachunkowych

Nowe wyzwania dla systemów IT, w kontekście planowanych zmian w ustawodawstwie

Zmiany kadrowe urzędu w świetle zmieniających się przepisów Analiza zasobów kadrowych; Informatyzacja HR i zarządzania zasobami ludzkimi

RODO w spółkach jak przygotować się do nowych unijnych przepisów o ochronie danych

PRZETWARZANIE DANYCH OSOBOWYCH PRACOWNIKÓW I KANDYDATÓW NOWELIZACJA KODEKSU PRACY

Realizacja zasady integralności danych w zatrudnieniu zgodnie z podejściem PbD

Przemysław Bańko Dyrektor ds. Bezpieczeństwa Smart In

W ARSZT ATY EKSPERCKIE

MONITORING POCZTY ELEKTRONICZNEJ I INNE FORMY MONITORINGU

Polityka Ochrony Danych Osobowych W

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. zawarta w dniu 2019 r. w Namysłowie zwana dalej Umową, pomiędzy:

Transkrypt:

Praktyczne aspekty wdrożenia RODO Data Protection Impact Assessment (DPIA) PricewaterhouseCoopers Kosovo sh.p.k. Warszawa, wrzesień 2018

Agenda? Czym jest ocena skutków dla ochrony danych? Kiedy należy przeprowadzać DPIA????!!! Kryteria DPIA wg. EDPB Metodyka przeprowadzania DPIA Zachęcamy do czynnego udziału i zadawania pytań w trakcie prezentacji DPIA - etapy Dokumentacja k 2

Czym jest DPIA? Art. 35 ust. 1 RODO Jeżeli dany rodzaj przetwarzania w szczególności z użyciem nowych technologii ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności Według osób wytycznych fizycznych, grupy administrator roboczej art. 29 nowe technologie to np.: połączenie przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji technologii rozpoznającej odcisk palca i twarz przetwarzania dla ochrony danych osobowych. Dla podobnych w celu poprawy operacji fizycznej przetwarzania kontroli dostępu. danych wiążących się z podobnym wysokim ryzykiem Wykorzystanie można przeprowadzić nowej technologii pojedynczą zgodnie ze ocenę. stanem wiedzy technicznej może wiązać się z nowymi formami gromadzenia i wykorzystania danych, co może stwarzać ryzyko naruszenia praw Ocena skutków dla ochrony danych (Data Protection i wolności osób Impact fizycznych. Assessment): W istocie osobiste i społeczne skutki wprowadzenia nowej technologii Proces mający opisać przetwarzanie, ocenićmogą niezbędność być znane. i Ocena proporcjonalność skutków dla ochrony przetwarzania oraz pomóc w zarządzaniu wynikającym danych pomoże z przetwarzania administratorowi danych osobowych ryzykiem naruszenia praw lub wolności zrozumieć osób takie fizycznych ryzyko i poprzez je wyeliminować. ocenę Na ryzyka i ustalenie środków mogących mu zaradzić. przykład niektóre aplikacje internetu rzeczy mogą mieć znaczący wpływ na codzienne życie i prywatność osób fizycznych; dlatego wymagane jest przeprowadzenie oceny skutków dla ochrony 3 danych.

Obowiązek przeprowadzenia DPIA Ma miejsce systematyczna, kompleksowa ocena czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływa na osobę fizyczną. Ma miejsce przetwarzanie na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO. Ma miejsce systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie. 4

Kryteria Pre-PIA wg. EDPB Pre-PIA to badanie mające na celu weryfikację konieczności przeprowadzenia badania DPIA. W przypadku wystąpienia co najmniej dwóch z poniższych kryteriów zalecane jest przeprowadzenia DPIA 1 Ocena lub punktacja, w tym profilowanie i prognozowanie 2 Automatyczne podejmowanie decyzji o skutku prawnym lub podobnie znaczącym skutku 3 Systematyczne monitorowanie 4 Tak Dane wrażliwe lub dane o wysoce osobistym charakterze 5 Dane przetwarzane na dużą skalę 6 Dopasowanie lub łączenie zbiorów danych 7 Dane osób wymagających szczególnej opieki Tak 8 Innowacyjne wykorzystanie lub stosowanie nowych technologii 9 Przypadek, gdy samo przetwarzanie uniemożliwia osobom, których dane dotyczą, wykonanie prawa lub korzystanie z usługi lub umowy Przeprowadzenie DPIA jest zalecane 5

Ocena skutków dla ochrony danych - etapy Prawdopodobieństwo wysokiego ryzyka? [art. 35(1), (3) i (4)] Powiadomienie IODO? [art. 35(2)] Monitoruj wydajność [art. 39(1)(c)] Code of Conduct [art. 35(8)] Opinia osób, których dane dotyczą [art. 35(9)] Tak DPIA nie jest potrzebne Tak Wyjątek? [art. 35(5) i (10]) DPIA [art. 35(7)] Przetwarzanie kontrolowane przez administratora [art. 35(11)] Pozostałe wysokie ryzyka? [art. 36(1)] Tak Wcześniejsze konsultacje Brak wcześniejszych konsultacji 6

Ocena skutków dla ochrony danych etapy iteracyjne Opis planowanych operacji przetwarzania Monitorowanie i przegląd Ocena konieczności i proporcjonalności Dokumentacja Przeprowadzanie oceny skutków dla ochrony danych jest procesem ciągłym i wymagającym regularnego monitorowania Środki planowane w celu wykazania zgodności Środki planowane w celu wyeliminowania ryzyka Ocena ryzyka naruszenia praw i wolności 7

Metodyka oceny skutków dla ochrony danych Wytyczne Grupy Roboczej Art. 29 dotyczące oceny skutków dla ochrony danych (DPIA) Wytyczne PUODO: Jak stosować podejście oparte na ryzyku? Normy ISO: np. rodzina norm 27000 Istniejące metodyki w zakresie zarządzania ryzykiem w organizacji 8

Metodyka oceny skutków dla ochrony danych W RODO określono minimalne cechy, jakie powinna posiadać ocena skutków dla ochrony danych (art. 35 ust. 7 oraz motywy 84 i 90), a mianowicie: opis planowanych operacji przetwarzania i celów przetwarzania; ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą; ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne; środki planowane w celu: - zaradzenia ryzyku; - wykazania przestrzegania niniejszego rozporządzenia. 9

Metodyka oceny skutków dla ochrony danych 1 Inspektor Ochrony Danych 2 Zespół techniczno-informatyczny 3 Zespół prawny 10

DPIA - dokumentacja Raport z oceny skutków dla ochrony danych to: Obowiązek administratora ; Narzędzie służące do realizacji zasady rozliczalności (art. 5 ust. 2 RODO) ; Narzędzie służące zarządzaniu ryzykiem i zapewniające kontrolę nad procesami przetwarzania danych ; 11

Wybrane rodzaje operacji przetwarzania danych wymagające DPIA wg wykazu 1 2 3 4 5 Rozbudowane systemy monitoringu przestrzeni publicznej umożliwiające śledzenie osób i pozyskiwanie danych wykraczających poza dane niezbędne do świadczenia usługi Systemy monitoringu pojazdów nawiązujące połączenia z otoczeniem, w tym z innymi pojazdami Ocena stylu życia, odżywiania się, jazdy, sposobu spędzania czasu itp. osób fizycznych w celu np. podwyższenia im ceny składki ubezpieczeniowej, na podstawie tej oceny, nazywana ogólnie optymalizacją składki ubezpieczeniowej W przypadku tych operacji nie jest konieczne Profilowanie pośrednie (ocena osoby na podstawie przynależności do określonej grupy). przeprowadzanie pre-pia Gromadzenie i wykorzystywanie danych przez aplikacje instalowane w urządzeniach mobilnych, w tym w urządzeniach zintegrowanych z mundurem, kaskiem lub w inny sposób połączonych z osobą pozyskującą dane 6 7 Systemy monitorowania czasu pracy pracowników oraz wykorzystywanychprzez nich narzędzi (poczty elektronicznej, internetu) Stosowanie urządzeń wyposażonych w różnego rodzaju interfejsy (głośnik, mikrofon, kamera) oraz oprogramowanie i system łączności umożliwiające przekazywanie danych poprzez sieci telekomunikacyjne 12

Dziękuję za uwagę adw. Gerard Karp Partner PwC Legal szef zespołu TMT&IP oraz ochrony danych osobowych T: +502 184 707 E: gerard.karp@pwc.com

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres