Bezpieczne przetwarzanie danych wrażliwych

Podobne dokumenty
Przesłanki przetwarzania danych osobowych zgodnie z prawem. dr Jarosław Greser

Ryzyko nadmiernego przetwarzania danych osobowych

Szanowni Państwo, Z poważaniem. Dyrektor

ZAŁĄCZNIK SPROSTOWANIE

RODO W WYKONYWANIU ZAWODU RADCY PRAWNEGO

Rola biura rachunkowego w nowym modelu ochrony danych osobowych

CZĘŚĆ I PODSTAWOWE INFORMACJE O RODO

Nadzór nad przetwarzaniem danych osobowych zgodnie z RODO

RODO A DANE BIOMETRYCZNE

OCHRONA DANYCH OD A DO Z

PODSTAWY PRZETWARZANIA DANYCH KANDYDATÓW DO PRACY W NOWYM PROJEKCIE KODEKSU PRACY. r.pr. Patrycja Kozik

Program ochrony danych osobowych na poziomie LGR. radca prawny Jarosław Ornicz

Podstawy przetwarzania danych przez podmioty publiczne na gruncie ogólnego rozporządzenia o ochronie danych

RODO Nowe zasady przetwarzania danych osobowych. radca prawny Piotr Kowalik Koszalin, r.

POLITYKA OCHRONY DANYCH OSOBOWYCH

Opracowanie dotyczące zasad ochrony danych osobowych po zmianach wprowadzanych przez rozporządzenie RODO

Polityka Ochrony Danych Osobowych. Magdalena Młynarczyk Lege Artis Biuro Obrotu Nieruchomościami

ECDL RODO Sylabus - wersja 1.0

Klauzula informacyjna RODO

Ustawa wdrażająca RODO- uwaga na zmiany obowiązujących przepisów

Ochrona Danych Osobowych wg RODO

RODO W ORGANIZACJI- JAK PRAWIDŁOWO PRZYGOTOWAĆ SIĘ ORAZ UNIKNĄĆ KAR PIENIĘŻNYCH

POLITYKA OCHRONY DANYCH OSOBOWYCH

II Lubelski Konwent Informatyków i Administracji r.

rodo. ochrona danych osobowych.

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

art. 13 ust. 1 3 rozporządzenia 2016/679 (RODO)

RODO - wybrane informacje ogólne

DROGI KANDYDACIE. Spełniając obowiązek informacyjny wynikający z RODO (art. 13 ust. 1 i ust. 2) pragniemy poinformować, iż: cd. >

poleca e-book Instrukcja RODO

RODO W WYKONYWANIU ZAWODU RADCY PRAWNEGO

ZASADY PRZETWARZANIA DANYCH OSOBOWYCH PRZEZ FOR EVER SPÓŁKA Z OGRANICZONA ODPOWIEDZIALNOŚCIĄ

RODO w Hodowli, czy nas dotyczy? Doradca Podatkowy Marek Rudy nr wpisu Wojciech Nowakowski

Niepełnosprawność: szczególna kategoria danych osobowych

WZÓR ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

Oświadczenie o ochronie danych zgodnie z RODO

System bezpłatnego wsparcia dla NGO

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

Ochrona wrażliwych danych osobowych

System wspomagania pracy Administratora Bezpieczeństwa Informacji Opis zmian w wersji

PRAWNE UWARUNKOWANIA WYKORZYSTANIA DANYCH INDYWIDUALNYCH W CELU EWALUACJI POLITYKI ZATRUDNIENIA W POLSCE

Największe problemy z RODO czyli Rozporządzenie o Ochronie Danych Osobowych po stu dniach obowiązywania Kraków Kino Kijów

WPROWADZENIE DO RODO OGÓLNE UNIJNE ROZPORZĄDZENIE O OCHRONIE DANYCH. - Leszek Zając

RODO w firmie transportowej RADCA PRAWNY PAWEŁ JUDEK

danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 i Nr 153, poz oraz z 2004 r. Nr 25, poz. 219 i Nr 33, poz. 285),

Związki zawodowe a ochrona danych osobowych. D r M a r c i n W u j c z y k

OCHRONA DANYCH OSOBOWYCH W PLACÓWKACH OŚWIATOWYCH praktyczny poradnik wzory dokumentów. (z suplementem elektronicznym)

RODO, czyli co się zmieni oraz do czego (i jak) trzeba się przygotować.

Nadzór nad przetwarzaniem kadrowych danych osobowych zgodnie z RODO

Zwykłe dane osobowe, a dane wrażliwe

ADWOKAT URSZULA DANILCZUK-KARNAS TEL.:

RODO WYMOGI OCHRONY DANYCH OSOBOWYCH PACJENTÓW MLD Katowice, dnia 24 kwietnia 2018 r. r. pr. Michał Rytel

GRUPA 2 ustalenia r.pr. Karol Kozieł. Warszawa

OBOWIĄZEK INFORMACYJNY RODO

Przetwarzanie danych osobowych w przedsiębiorstwie

Magdalena Jacolik Mgr Prawa Europejskiego Aliant Krzyżowska Międzynarodowa Kancelaria Prawna

PRAWA PODMIOTÓW DANYCH - PROCEDURA

I. Podstawowe Definicje

Radca Prawny Anna Matusiak-Wekiera. Kancelaria Radcy Prawnego Anna Matusiak-Wekiera

Informacje, w jaki sposób chronimy i przetwarzamy Państwa dane osobowe

Szczegółowe uprawnienia osób w związku z przetwarzaniem danych osobowych w Ośrodku Pomocy Społecznej w Nisku

Określa się wzór zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, stanowiący załącznik do rozporządzenia.

PORADNIK PRAWNY DOTYCZĄCY STOSOWANIA W APTECE PRZEPISÓW RODO

Wykaz skrótów... XV Wykaz literatury... XXI Wprowadzenie... XXVII

Jak się ustrzec przed pozwami i uniknąć kar w następstwie wejścia w życie RODO?

Polityka prywatności spółki BERDA spółka z ograniczoną odpowiedzialnością spółka komandytowa z siedzibą w Płochocinie

Nowe przepisy i zasady ochrony danych osobowych

Od kiedy obowiązują zmiany? RODO stosujemy od r.

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

Polityka Ochrony Danych Osobowych. w Luxe Property S.C.

Czym jest RODO? Jak można skorzystać z przysługujących praw? Kim jest administrator danych osobowych (ADO) Kim jest podmiot przetwarzający?

Zbiór danych osobowych Akcjonariusze spółki - księga akcyjna

Klauzula informacyjna o przetwarzaniu danych osobowych

Od kiedy stosujemy? Od 25 maja 2018 roku

Co znajduje się na stronie? Informacje, w jaki sposób chronimy i przetwarzamy Państwa dane osobowe: dane kontaktowe Administratora:

RODO. 1. Obowiązki administratora danych osobowych

Ochrona danych osobowych w organizacjach pozarządowych (od 25 maja 2018)

ZMIANY W PRZEPISACH O OCHRONIE DANYCH OSOBOWYCH

B ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE)

Obowiązki ADO. Zasady przetwarzania danych osobowych. Jarosław Żabówka IV Internetowe Spotkanie ABI

Ochrona danych osobowych w biurze rachunkowym (cz. 3) - Czym jest przetwarzanie danych osobowych?

Stangl Technik Polska Sp. z o.o.

Zasady przetwarzania danych osobowych w Miejsko Gminnym Ośrodku Pomocy Społecznej w Myślenicach

Szkolenie podstawowe z ustawy o ochronie danych osobowych dla wolontariuszy świadczących pomoc na rzecz podopiecznych Ośrodka Pomocy Społecznej

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679. z dnia 27 kwietnia 2016 r.

KLAUZULA INFORMACYJNA RODO

Zbiór danych osobowych Skargi, wnioski, podania

Szkolenie podstawowe z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 dla wolontariuszy świadczących pomoc na rzecz podopiecznych

INFORMACJA DLA OSOBY, KTÓREJ DANE OSOBOWE PRZETWARZANE SĄ W ZWIĄZKU UDZIELANIEM ŚWIADCZEŃ ZDROWOTNYCH PRZEZ PODMIOT LECZNICZY CENTRUM MEDYCZNE imed24

ACCACE POLAND Ochrona danych osobowych dotychczasowe zasady i zmiany po wejściu w życie nowego Rozporządzenia Unijnego RODO

POLITYKA REALIZACJI PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ

... WNIOSEK O ZWOLNIENIE Z OBOWIĄZKU OPŁACANIA SKŁADKI CZŁONKOWSKIEJ

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

Od kiedy stosujemy? Od 25 maja 2018 roku

Polityka prywatności i COOKIE Zasady przetwarzania danych osobowych Użytkowników

Kwestia spójności Rozporządzenia o Ochronie Danych Osobowych z polskim systemem prawnym. Przepisy sektorowe

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Trener: Aleksandra Piotrowska Łódź, 13 czerwca 2018 r.

PODSTAWY PRAWNE PRZETWARZANIA DANYCH OSOBOWYCH.

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

Transkrypt:

Magdalena Kot Lawmore magdalena.kot@lawmore.pl Bezpieczne przetwarzanie danych wrażliwych Słowa kluczowe: dane wrażliwe, dane osobowe, RODO Rozporządzenie PE i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO) ma skuteczniej chronić dane wrażliwe. Zasady przetwarzania RODO wprowadza wiele zmian w przedmiocie przetwarzania danych wrażliwych tzw. danych sensytywnych, czyli danych dotyczących kluczowych obszarów wolności i prywatności osób fizycznych, które od 25 maja 2018 r. będą określane terminem dane szczególne. Według nowych przepisów za dane wrażliwe będą uznawane informacje ujawniające pochodzenie rasowe, etniczne, przekonania polityczne i światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne, dotyczące stanu zdrowia, seksualności oraz orientacji seksualnej jednostek. Przy czym w przypadku danych biometrycznych RODO wprowadza możliwość ustalenia przez państwa członkowskie indywidulanych zasad przetwarzania danych genetycznych, biometrycznych oraz dotyczących stanu zdrowia w sytuacji ich przetwarzania na dużą skalę i w interesie publicznym. Warto podkreślić, że niektóre kategorie danych osobowych uznane obecnie za wrażliwe w nowym porządku prawnym nie będą uznawane za dane szczególne. Dotyczy to informacji o przekonaniach filozoficznych, przynależności wyznaniowej, przynależności partyjnej, wyrokach skazujących, orzeczeniach o ukaraniu i mandatach karnych, innych orzeczeniach wydanych w postępowaniu sądowym lub administracyjnym oraz nałogach. RODO wprowadza generalny zakaz przetwarzania danych sensytywnych, który nie będzie obowiązywał w przypadku spełnienia określonych warunków. Nie należy do nich uzasadniony interes administratora. Przetwarzanie danych sensytywnych stanowi zatem wyjątek od generalnego zakazu ich przetwarzania. 1

Pierwszą z przesłanek dla legalnego przetwarzania danych wrażliwych będzie udzielenie przez uprawnionego wyraźnej, jednoznacznej, dobrowolnej i świadomie podjętej odnośnie celów, konsekwencji przetwarzania i podmiotu przetwarzającego, zgody na przetwarzanie. Udzielić jej będzie można w dowolnej formie, także pisemnej. Dopuszczalne będzie również przetwarzanie danych sensytywnych w celu wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, ale tylko gdy takie działania zostały przewidziane przez przepisy unijne lub regulacje krajowe państw członkowskich, lub wynikają z porozumień gwarantujących odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą. A także w sytuacji, gdy przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody. Jednak udzielenie zgody nie będzie skuteczne, jeśli jest to niedozwolone prawem Unii Europejskiej lub prawem państwa członkowskiego. Możliwe będzie także przetwarzanie danych wrażliwych osoby, która uprzednio je upubliczniła, a także wówczas, gdy przetwarzanie takie stało się niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy. Podobnie w sytuacji, kiedy przetwarzanie jest konieczne ze względów związanych z istotnym interesem publicznym, na podstawie prawa Unii Europejskiej lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu i nie naruszają istoty prawa do ochrony danych oraz gwarantują odpowiednie i konkretne środki ochrony praw podstawowych i interesów uprawnionego. RODO zezwala także na przetwarzanie danych szczególnych w związku z realizacją profilaktyki zdrowotnej lub medycyny pracy, w tym w szczególności w sytuacji dokonywania oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii Europejskiej lub prawa państwa członkowskiego, jak też w oparciu o zawartą umową z pracownikiem służby zdrowia i zastrzeżeniem warunków zabezpieczeń. Prawo unijne dopuszcza także działanie na danych wrażliwych w sytuacji, gdy jest to związane z czynnościami prewencyjnymi z zakresu zdrowia publicznego przed potencjalnymi transgranicznymi zagrożeniami zdrowotnymi. Również uzasadnieniem dla przetwarzania danych sensytywnych jest zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, wynikających ze standardów UE lub państw członkowskich. 2

Ponadto przetwarzanie danych szczególnych będzie możliwe w interesie publicznym dla prowadzenia badań naukowych, historycznych lub do celów statystycznych. W tym przypadku stosowanie przesłanki niezbędności do wykonania zadania realizowanego w interesie publicznym powinno być ograniczone do administratorów z sektora publicznego, sprawujących powierzoną im władzę publiczną lub działania publiczne. W takiej sytuacji warunkiem dopuszczalności przetwarzania będzie niezbędność przetwarzania danych do wykonywania zadania w interesie publicznym lub sprawowania władzy publicznej. Warunki specjalne RODO nakłada na administratorów przetwarzających dane wrażliwe obwiązek wprowadzenia wyższych standardów w zakresie bezpieczeństwa przetwarzania danych. Przejawia się to m.in. w konieczności powołania inspektora ochrony danych osobowych, tj. podmiotu wspierającego administratorów w zachowaniu wymagań określonych przez RODO w zakresie bezpieczeństwa przetwarzania danych osobowych. Obowiązek jego powołania spoczywa na administratorach dokonujących regularnego i systematycznego monitorowania osób, na dużą skalę, a także, gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu szczególnych kategorii danych osobowych. RODO wymaga też, aby administratorzy dokonujący kompleksowej oceny czynników osobowych osób fizycznych, na podstawie profilowania tych danych lub po przetworzeniu szczególnych kategorii danych osobowych, danych biometrycznych lub danych osobowych dotyczących wyroków skazujących, naruszeń prawa lub innych tego rodzaju orzeczeń, przeprowadzali uprzednią ocenę skutków przetwarzania (dalej OSP), będącą szczegółową analizą przewidywanych konsekwencji, z punktu widzenia bezpieczeństwa danych osobowych, wprowadzenia przez administratora nowych rozwiązań technologicznych lub organizacyjnych. W ramach OSP administrator będzie zobowiązany do opracowania planu działań zabezpieczających dane, które będą przetwarzane oraz określenia, jaki będzie cel przetwarzania. Dodatkowo przetwarzający będzie zobligowany do wskazania, jakie prawnie uzasadnione interesy będą realizowane w związku z przetwarzaniem oraz czy operacje przetwarzania są niezbędne i proporcjonalne w stosunku do celów. W OSP sporządzanej przez administratora muszą się także znaleźć opinie podmiotów zewnętrznych odnośnie ryzyka naruszenia praw lub wolności osób, których dane dotyczą w związku z planowanym przez niego przetwarzaniem oraz informacje odnośnie tego, jakie środki zapobiegawcze miałyby być podejmowane w sytuacji zaistnienia ewentualnego zagrożenia bezpieczeństwa przetwarzania. OSP musi też zawierać opis planowanych do wprowadzenia mechanizmów bezpieczeństwa zwiększających ochronę danych osobowych. 3

Dokonując oceny skutków przetwarzania danych wrażliwych administratorzy winni się posiłkować z jednej strony ustaleniami zawartymi w treści zatwierdzonych już kodeksów postępowań branżowych, a z drugiej stanowiskiem wyrażonym przez przedstawicieli osób, których dane miałyby być przetwarzane. Dane wrażliwe a nauka Przetwarzanie danych wrażliwych w celach naukowych i badawczych w interesie publicznym stanowi specyficzny rodzaj przetwarzania danych i winno być szeroko intepretowane. W przypadku badań naukowych będą to działania związane z rozwojem technologicznym w zakresie wprowadzenia prototypowych rozwiązań zarówno w fazie testów, prac eksperymentalnych oraz badań stosowanych. Dotyczy to prac podejmowanych zarówno ze środków publicznych, jak i środków prywatnych, w tym także w ramach europejskiej przestrzeni badawczej, utworzonej w oparciu o art. 179 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej (Dz.U.2004.90.864/2). Przykładowymi obszarami obejmującymi europejską przestrzeń badawczą są działania związane z pracami wprowadzającymi nowatorskie rozwiązania w sferze zapobiegania problemom zdrowotnym w przestrzeni publicznej, np. takich jak schizofrenia czy grypa albo rak, w tym w szczególności rozpropagowywania wyników badań naukowych oraz prowadzenia ich na większej liczbie uczestników, w oparciu o szersze połączenie i analizę czynników społecznych. Z kolei zgodnie z motywem 160 RODO badania naukowe historyczne i genealogiczne, z wyłączeniem danych osób zmarłych (także w celach archiwalnych), w zakresie przetwarzania danych wrażliwych w celach publicznych mają obejmować te zagadnienia, prowadzące do przekazywania danych odnośnie systemów politycznych, w tym państw totalitarnych, o przypadkach ludobójstwa, zbrodniach przeciwko ludzkości (zwłaszcza holokauście) i zbrodniach wojennych. RODO dopuszcza także przetwarzanie danych wrażliwych w celu realizacji celu publicznego, którym może być także przetwarzanie danych osobowych do badań statystycznych lub opracowywanie wyników statystycznych, które mogą służyć do dalszych celów, m.in. do badań naukowych. Publiczne przetwarzanie danych wrażliwych Przetwarzanie wrażliwych danych osobowych w interesie publicznym łączy się z koniecznością wprowadzenia przez administratorów odpowiednich zabezpieczeń celem zagwarantowania odpowiednich praw i wolności osoby, której dane dotyczą. Zgodnie z RODO obowiązek ten może być zrealizowany poprzez wdrożenie środków technicznych i organizacyjnych zapewniających poszanowanie zasady minimalizacji przetwarzania danych np. w postaci zastosowania pseudonimizacji lub szyfrowania danych. Administrator musi też stale monitorować, na ile przetwarzanie danych osobowych jest konieczne do osiągnięcia celu. Szczegółowe warunki przetwarzania 4

danych wrażliwych w interesie publicznym mogą być doprecyzowane indywidualnie w krajowych porządkach prawnych państw członkowskich. Dotyczy to także warunków, w jakich (co dopuszcza RODO) możliwe będzie w ramach przetwarzania danych wrażliwych w interesie publicznym dla celów naukowych, ograniczenie lub wyłączenia praw podmiotów, których dane będą przetwarzane poczynając od prawa do indywidualnej kontroli, prawa dostępu do danych, prawa do sprostowania danych, prawa do ograniczenia przetwarzania oraz prawa do wniesienia sprzeciwu w zakresie dalszego przetwarzania czy prawa do informacji. W przypadku administratorów, którzy uzyskali dane w sposób inny niż od osoby, której one dotyczą, istnieje generalny obowiązek informacyjny. Nie będzie on miał jednak zastosowania, jeśli przekazanie informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku (art. 14 ust. 5 RODO) lub gdyby mogło poważnie utrudnić realizację celów badań naukowych. Dla oceny, czy spełnienie obowiązku informacyjnego jest konieczne, decydująca powinna być liczba osób, których dane dotyczą, okres przechowywania danych oraz zastosowane zabezpieczenia (motyw 62 RODO). Ponadto zgodnie z pkt 159 Preambuły RODO, jeżeli wynik badań naukowych, w szczególności w kontekście zdrowotnym, uzasadnia wprowadzenie dalszych środków w interesie osoby, której dane dotyczą, do środków tych powinny mieć zastosowanie przepisy rozporządzenia. Zgoda w tym zakresie, udzielona przez uprawnionego zgodnie z wymaganiami RODO, uprawnia do publikacji danych osobowych zarówno zwykłych, jak i wrażliwych. Jakie zmiany Największe zmiany wprowadzone przez RODO w zakresie przetwarzanie szczególnych kategorii danych osobowych obejmują wprowadzenie nowego pojęcia szczególnych kategorii danych osobowych zamiast dotychczas funkcjonującego w polskiej literaturze pojęcia danych wrażliwych. Nowe przepisy uchylają wyrażanie zgody na przetwarzanie danych szczególnych w innej niż pisemnej formie. Dodatkowo katalog danych został wzbogacony o nową kategorię dane biometryczne. Nowością jest także obowiązek powoływania Inspektora Ochrony Danych w sytuacji przetwarzania danych wrażliwych na dużą skalę oraz konieczność przeprowadzania OSP, także, gdy planowane jest przetwarzanie danych wrażliwych lub ewentualnie mogłoby dojść do ich naruszenia. KOT, M. Bezpieczne przetwarzanie danych wrażliwych. Biuletyn EBIB [online] 2018, nr 1 (178),. [Dostęp 25.02.2018]. Dostępny w: http://open.ebib.pl/ojs/index.php/ebib/article/view/609. ISSN 1507-7187. 5

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres