Kontrola przestrzegania przepisów o ochronie danych osobowych. zasady, zakres, przebieg. Piotr Glen Inspektor ochrony danych

Podobne dokumenty
Spis treści. Wykaz skrótów... Wprowadzenie...

Przemysław Bańko Dyrektor ds. Bezpieczeństwa Smart In

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Nowe przepisy i zasady ochrony danych osobowych

SZCZEGÓŁOWY HARMONOGRAM KURSU

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

Kontrola sposobu gospodarowania odpadami komunalnymi

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

2. Proces tworzenie wewnętrznego systemu ochrony danych osobowych przedsiębiorcy. 3. Postanowienia dyrektywy 95/46/WE, które pozostaną aktualne

PRAWNE UWARUNKOWANIA WYKORZYSTANIA DANYCH INDYWIDUALNYCH W CELU EWALUACJI POLITYKI ZATRUDNIENIA W POLSCE

UMOWA powierzenia przetwarzania danych osobowych, zwana dalej Umową

OGÓLNY SCHEMAT PROCEDUR KONTROLI

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

RODO w praktyce psychologicznej. adw. dr Maciej Bocheński Uniwersytet Jagielloński Krakowska Izba Adwokacka

Ochrona danych osobowych w biurach rachunkowych

Technologia Infromacyjna i Prawo w służbie ochrony danych - #RODO2018

Status prawny i obowiązki adwokata związane z przetwarzaniem danych osobowych w świetle ogólnego rozporządzenia o ochronie danych (RODO)

Ochrona danych osobowych w organizacjach pozarządowych (od 25 maja 2018)

DANE OSOBOWE W DZIAŁALNOŚCI SERWISÓW AGD. Łódź, 21 września 2018 roku

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Ograniczenia w wykorzystywaniu baz danych związane ze zautomatyzowanym przetwarzaniem danych oraz wykorzystaniem chmury obliczeniowej w świetle RODO

Spis treści. Wykaz skrótów... Wprowadzenie...

RODO w HR Zasady przetwarzania danych osobowych kandydatów i pracowników

Organami, które najczęściej mogą zainicjować kontrolę w placówce, są:

Warszawa, dnia 28 kwietnia 2014 r. Poz. 551 ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH 1) z dnia 24 kwietnia 2014 r.

Nadzór nad przetwarzaniem kadrowych danych osobowych zgodnie z RODO

I. Postanowienia ogólne

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

Wydział Komunikacji Urzędu Miasta Gorzowa Wlkp.

Warszawa, dnia 12 stycznia 2012 r. Pozycja 34. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji 1) z dnia 7 października 2011 r.

BIURO OCHRONY DANYCH OSOBOWYCH BODO24 KURS RODO

Ochrona danych osobowych w biurach rachunkowych

URZĄD MIASTA ŁODZI DEPARTAMENT OBSŁUGI I ADMINISTRACJI WYDZIAŁ PRAW JAZDY I REJESTRACJI POJAZDÓW. Schematy kontroli zewnętrznej

Unijne rozporządzenie o ochronie danych osobowych (RODO) konsekwencje dla centrów danych. Kraków, dnia 22 lutego 2017 r.

Zarządzenie 132/2015. Burmistrza Miasta i Gminy Ogrodzieniec z dnia 10 września 2015 r.

Maciej Byczkowski ENSI 2017 ENSI 2017

ZARZĄDZENIE NR 69/2016 WÓJTA GMINY WIELISZEW. z dnia 7 czerwca 2016 r.

ROZPORZĄDZENIE MINISTRA NAUKI I INFORMATYZACJI 1) z dnia 13 października 2005 r. w sprawie przeprowadzania kontroli podmiotu publicznego

RODO w spółkach jak przygotować się do nowych unijnych przepisów o ochronie danych

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

OFERTA. Polskie Stowarzyszenie Zarządców Nieruchomości oraz Kancelaria KPRF Law Office. w zakresie szkoleń

Nadzór nad przetwarzaniem danych osobowych zgodnie z RODO

4. O zakresie i terminie kontroli organ kontroli zawiadamia pisemnie kontrolowanego. 5. Kontrola jest prowadzona przez co najmniej dwie osoby.

ST~ft)TA Ja1fwWźak. w sprawie ustalenia Regulaminu przeprowadzania kontroli przedsiębiorców

D R U K I I Z A Ł Ą C Z N I K I

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

Dane osobowe w hotelarstwie Czy RODO to rewolucja? Gdańsk 21 listopada

Obszar I. Obszar II. Co dokładnie będziemy analizować? Nowa klasyfikacja: dane zwykłe dane wrażliwe dane biometryczne

Umowa powierzenia danych

Przykład klauzul umownych dotyczących powierzenia przetwarzania

WZÓR UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

DZIENNIK URZĘDOWY WOJEWÓDZTWA ŁÓDZKIEGO

ECDL RODO Sylabus - wersja 1.0

URZĄD MIASTA ŁODZI DEPARTAMENT OBSŁUGI I ADMINISTRACJI WYDZIAŁ PRAW JAZDY I REJESTRACJI POJAZDÓW. Schematy kontroli zewnętrznej

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W FUNDACJI CENTRUM IMIENIA PROF. BRONISŁAWA GEREMKA

Bliżej śmieci dalej od nieporządku

UMOWA O POWIERZENIU PRZETWARZANIA DANYCH OSOBOWYCH

Załącznik nr10 do IWZ Załącznik nr 4 do Umowy

Szkolenie podstawowe z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 dla wolontariuszy świadczących pomoc na rzecz podopiecznych

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

Warszawa, dnia 8 grudnia 2015 r. Poz UCHWAŁA NR XI/90/2015 RADY MIEJSKIEJ W MAKOWIE MAZOWIECKIM. z dnia 26 listopada 2015 r.

INSPEKTOR OCHRONY DANYCH Inspektorem Ochrony Danych jest Pan Piotr Koper, adres

Klauzula informacyjna Administratora Danych Osobowych dla Kandydatów na pracowników i zleceniobiorców

POLITYKA BEZPIECZEŃSTWA INFORMACJI

art. 13 ust. 1 3 rozporządzenia 2016/679 (RODO)

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

Warszawa, dnia 27 grudnia 2016 r. Poz ROZPORZĄDZENIE MINISTRA ENERGII 1) z dnia 15 grudnia 2016 r.

MONITORING WIZYJNY A ODPOWIEDZIALNOŚĆ DYREKTORA. JAK PRZYGOTOWAĆ PLACÓWKĘ EDUKACYJNĄ DO KONTROLI MONITORINGU XIV KO N GRESU ZARZĄDZANIA O ŚWIATĄ,

Szczegółowe zasady kontroli działalności Członków Rynku Instrumentów Finansowych Towarowej Giełdy Energii S.A.

RODO Nowe zasady przetwarzania danych osobowych. radca prawny Piotr Kowalik Koszalin, r.

Rozdział 4. Warunki i tryb przedstawiania ustaleń kontroli, składania zastrzeżeń do ustaleń kontroli i ich

Ogólne zasady kontroli przedsiębiorców

Warszawa, dnia 26 października 2018 r. Poz. 2054

PROCEDURA REALIZACJI PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ VISUS II SP.Z O.O. W STARACHOWICACH

- WZÓR- Umowa powierzenia przetwarzania danych osobowych nr./2018

USTAWA z dnia 29 października 2010 r. o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw 1)

Umowa powierzenia przetwarzania danych osobowych

RODO W ORGANIZACJI- JAK PRAWIDŁOWO PRZYGOTOWAĆ SIĘ ORAZ UNIKNĄĆ KAR PIENIĘŻNYCH

z dnia 2014 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych

Szczegółowe zasady kontroli działalności Członków Giełdy prowadzonej przez Towarową Giełdę Energii S.A.

Ustawa. o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw

INSTRUKCJA POSTĘPOWANIA W SYTUACJI STWIERDZENIA NARUSZENIA OCHRONY DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

POLITYKA BEZPIECZEŃSTWA

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

ROZPORZĄDZENIE MINISTRA PRACY I POLITYKI SPOŁECZNEJ 1)

Polityka funkcjonowania monitoringu wizyjnego w LOG-MED SYPNIEWSKA ZGOLAK SPÓŁKA JAWNA

Prowadzący: Marcin Jastrzębski. Łódź, październik 2018r. Projekt współfinansowany przez Unię Europejską z Europejskiego Funduszu Społecznego

Wykaz skrótów... XV Wykaz literatury... XXI Wprowadzenie... XXVII

Polityka Ochrony Danych Osobowych. w Luxe Property S.C.

POLITYKA REALIZACJI PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ

Kontrola GIODO w firmie

ZARZĄDZENIE NR WÓJTA GMINY BIAŁOŚLIWIE. z dnia 14 kwietnia 2016 r.

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

Zarządzenie Nr 268/2012. Burmistrza Słubic. z dnia 23 listopada 2012 r.

Transkrypt:

Kontrola przestrzegania przepisów o ochronie danych osobowych zasady, zakres, przebieg Piotr Glen Inspektor ochrony danych

Kontrola, a postępowanie administracyjne CEL KONTROLI ustalenie stanu faktycznego weryfikacja przestrzegania przepisów o ochronie danych osobowych CEL POSTĘPOWANIA - jeżeli na podstawie informacji zgromadzonych w postępowaniu kontrolnym Prezes Urzędu uzna, że mogło dojść do naruszenia przepisów o ochronie danych osobowych, obowiązany jest do niezwłocznego wszczęcia postępowania, o którym mowa w art. 60 uodo, celem wydania decyzji administracyjnej

Naruszenia przepisów o ochronie danych osobowych - naruszenie każdego wymogu, obowiązku prawnego (np. obowiązku informacyjnego) Naruszenia ochrony danych osobowych - oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Pojęcie naruszenia ochrony danych osobowych dotyczy wyłącznie aspektu bezpieczeństwa: poufności; integralności; dostępności.

Zakres kontroli Zakres kontroli jest dość szeroki. Organ nadzorczy może kontrolować między innymi następujące kwestie: zgodność z prawem, rzetelność, przejrzystość, źródła pozyskiwania danych ograniczenie celu, minimalizacja danych, prawidłowość, ograniczenie przechowywania, integralność i poufność, rozliczalność zakres uprawnień do przetwarzania danych przetwarzanie szczególnych kategorii danych, warunki wyrażenia zgody i jej wycofania, warunki wyrażenia zgody przez dziecko dla potrzeb usług społeczeństwa informacyjnego, obowiązki informacyjne,

prawo dostępu do danych, sprostowanie danych, usunięcie danych (prawo do bycia zapomnianym), prawo do ograniczenia przetwarzania, obowiązek powiadamiania o sprostowaniu lub usunięciu danych lub ograniczeniu przetwarzania, prawo do przenoszenia danych, prawo do sprzeciwu, zautomatyzowane podejmowanie decyzji profilowanie, faza projektowania, domyślna ochrona danych, bezpieczeństwo przetwarzania, rejestrowanie czynności przetwarzania, zgłaszanie organowi nadzorczemu naruszeń ochrony danych, zawiadamianie osoby, której dane dotyczą, o naruszeniu, ocena skutków dla ochrony danych, inspektor ochrony danych, umowne powierzenie przetwarzania (podmiot przetwarzający),

przekazywanie danych do państw trzecich lub organizacji międzynarodowych: (i) z zastrzeżeniem odpowiednich zabezpieczeń; (ii) wiążące reguły korporacyjne proces zatwierdzania, wspólne kontrole rejestr czynności przetwarzania danych i rejestr kategorii czynności przetwarzania wytyczne dotyczące klasyfikacji naruszeń procedura zgłaszania naruszeń ochrony danych do organu nadzorczego procedurę informowania osób, których dane dotyczą, w razie naruszenia mogącego powodować wysokie ryzyko naruszenia ich praw lub wolności osób, w tym o działaniach jakie powinni wykonać, aby ryzyko to ograniczyć procedurę prowadzenia wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych raport z ogólnej analizy ryzyka raport z ocen skutków dla ochrony danych procedury związane z pseudonimizacją i szyfrowaniem plan ciągłości działania procedury odtwarzania systemu po awarii, oraz ich testowania. polityki ochrony danych dokumentacja technicznych i organizacyjnych środków ochrony danych

TRYBY KONTROLI Zgodnie z art. 78 ust. 2 uodo, Kontrolę prowadzi się: - zgodnie z zatwierdzonym przez Prezesa Urzędu planem kontroli lub - na podstawie uzyskanych przez Prezesa Urzędu informacji (doraźne) lub - w ramach monitorowania przestrzegania stosowania rozporządzenia 2016/679. Przepis nie przewiduje obowiązku informowania o kontroli

Roczny plan kontroli sektorowych UODO na 2019 rok Sektor publiczny I. Miejski monitoring wizyjny (kontynuacja kontroli sektorowych z 2018 r.) II. Udostępnianie danych w Biuletynie Informacji Publicznej oraz sposób wysyłania korespondencji zawierającej dane osobowe III. Sposób prowadzenia rejestru czynności przetwarzania danych osobowych i sposób dokumentowania przez administratora danych naruszeń ochrony danych osobowych IV. System identyfikacji i monitoringu odpadów V. Sposób prowadzenia i zabezpieczenia przez spółdzielnie mieszkaniowe rejestru członków

Sektor prywatny I. Telemarketing II. Brokerzy danych w zakresie podstaw prawnych przetwarzania danych osobowych III. Profilowanie w sektorze bankowym i ubezpieczeniowym.

Sektor zdrowia, zatrudnienia i szkolnictwa I. Szkoły i placówki oświatowe - przetwarzanie danych osobowych rejestrowanych za pomocą systemu monitoringu wizyjnego (cd. sektora rozpoczętego w IV kwartale 2018 r.). II. Pracodawcy - przetwarzanie danych osobowych rejestrowanych za pomocą systemu monitoringu wizyjnego. Przetwarzanie danych w związku z rekrutacją. III. Podmioty udzielające świadczeń zdrowotnych - przetwarzanie danych osobowych w związku z udostępnianiem dokumentacji medycznej w ramach realizacji praw pacjenta do dostępu do dokumentacji medycznej dotyczącej jego stanu zdrowia oraz udzielonych mu świadczeń zdrowotnych.

Kontrolujący Zgodnie z art. 81 uodo, kontrolę przeprowadza się po okazaniu imiennego upoważnienia wraz z legitymacją służbową, a w przypadku kontrolującego, o którym mowa w art. 79 ust. 1 pkt 2 uodo, po okazaniu imiennego upoważnienia wraz z dokumentem potwierdzającym tożsamość. Zgodnie z art. 79 uodo, kontrolę przeprowadza upoważniony przez Prezesa Urzędu: 1) pracownik Urzędu, 2) członek lub pracownik organu nadzorczego państwa członkowskiego Unii Europejskiej w przypadku, o którym mowa w art. 62 rozporządzenia 2016/679 zwany dalej kontrolującym. 3) osoba upoważniona posiadająca wiedzę specjalistyczną.

Instytut Ochrony Danych Osobowych rozsyła do przedsiębiorców pisma informujące o złamaniu ustawy RODO i domaga się zapłaty 276,40 zł grzywny. Nie daj się nabrać to próba oszustwa. Oszuści podszywają się pod faktycznie działającą firmę.

Upoważnienie do kontroli Artykuł 81 ust. 2 u.o.d.o. wymienia enumeratywnie, z czego składa się imienne upoważnienie do przeprowadzenia kontroli. Musi ono zawierać: 1) wskazanie podstawy prawnej przeprowadzenia kontroli, 2) oznaczenie organu, 3) imię i nazwisko, stanowisko służbowe kontrolującego oraz numer legitymacji służbowej, 4) określenie zakresu przedmiotowego kontroli, 5) oznaczenie kontrolowanego, 6) wskazanie daty rozpoczęcia i przewidywanego terminu zakończenia czynności kontrolnych, 7) podpis Prezesa Urzędu, 8) pouczenie kontrolowanego o jego prawach i obowiązkach, 9) datę i miejsce jego wystawienia. Upoważnienie do przeprowadzenia kontroli oraz legitymację służbową lub dokument potwierdzający tożsamość (w przypadku członka lub pracownika organu nadzorczego państwa członkowskiego UE) należy okazać: kontrolowanemu lub osobie przez niego uprawnionej W przypadku ich nieobecności osobie czynnej w lokalu przedsiębiorstwa.

Rodzaje kontroli Kotrolujący mogą prowadzić kontrolę: a) przy biurku: analiza zebranej dokumentacji oraz informacji z ankiet, rejestrów i innych zasobów informacyjnych, b) na miejscu: dostęp do wszystkich pomieszczeń administratora, do danych, wszystkich informacji, sprzętu i środków służących do przetwarzania danych. Prawo dostępu i oględzin nie oznacza prawa do przeszukania

Zasady kontroli - Czynności kontrolnych dokonuje się w obecności kontrolowanego lub osoby przez niego upoważnionej. Kontrolowany jest zobowiązany do pisemnego wskazania osoby upoważnionej do reprezentowania go w trakcie kontroli. - W uzasadnionych przypadkach przebieg kontroli lub poszczególne czynności w jej toku, po uprzednim poinformowaniu kontrolowanego, mogą być utrwalane przy pomocy urządzeń rejestrujących obraz lub dźwięk. Informatyczne nośniki danych, na których zarejestrowano przebieg kontroli lub poszczególne czynności w jej toku, stanowią załącznik do protokołu kontroli.

- Kontrolowany zapewnia kontrolującemu oraz osobom upoważnionym do udziału w kontroli warunki i środki niezbędne do sprawnego przeprowadzenia kontroli, a w szczególności sporządza we własnym zakresie kopie lub wydruki dokumentów oraz informacji zgromadzonych na nośnikach, w urządzeniach lub systemach; - Kontrolowany dokonuje potwierdzenia za zgodność z oryginałem sporządzonych kopii lub wydruków. W przypadku odmowy potwierdzenia za zgodność z oryginałem kontrolujący czyni o tym wzmiankę w protokole kontroli.

Kontrolujący ma prawo: 1) wstępu w godzinach od 6:00 do 22:00 na grunt oraz do budynków, lokali lub innych pomieszczeń; 2) wglądu do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli; 3) przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych; 4) żądać złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchiwać w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu faktycznego; 5) zlecać sporządzanie ekspertyz i opinii.

Przebieg czynności kontrolnych kontrolujący przedstawia w protokole kontroli (art. 88 u.o.d.o.) Protokół kontroli podpisuje kontrolujący i przekazuje kontrolowanemu w celu podpisania. Kontrolowany w terminie 7 dni od dnia przedstawienia protokołu kontroli do podpisu podpisuje go albo składa pisemne zastrzeżenia do jego treści. W przypadku złożenia zastrzeżeń, kontrolujący dokonuje ich analizy i, w razie potrzeby, podejmuje dodatkowe czynności kontrolne, a w przypadku stwierdzenia zasadności zastrzeżeń zmienia lub uzupełnia odpowiednią część protokołu kontroli w formie aneksu do protokołu kontroli. Brak doręczenia kontrolującemu podpisanego protokołu kontroli i niezgłoszenie zastrzeżeń do jego treści w terminie uznaje się za odmowę podpisania protokołu kontroli. Protokół kontroli sporządza się w postaci elektronicznej albo w postaci papierowej w dwóch egzemplarzach. Protokół kontroli kontrolujący doręcza kontrolowanemu.

Czas trwania kontroli Kontrolę prowadzi się nie dłużej niż 30 dni od dnia okazania kontrolowanemu imiennego upoważnienia do przeprowadzenia kontroli oraz legitymacji służbowej. Do terminu nie wlicza się terminów przewidzianych na zgłoszenie zastrzeżeń do protokołu kontroli lub podpisanie i doręczenie protokołu kontroli przez kontrolowanego. Terminem zakończenia kontroli jest dzień podpisania protokołu kontroli przez kontrolowanego.

Podejście do kontroli Zasada ROZLICZALNOŚCI - wykazanie zgodności z zasadami ochrony danych to Administrator ma wykazać, że jest zgodny z przepisami. Podejście oparte na analizie ryzyka. Za utrudnianie kontroli grozi odpowiedzialność karna

Dziękuję za uwagę Piotr Glen Zapraszam do zadawania pytań

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres