RODO w praktyce psychologicznej. adw. dr Maciej Bocheński Uniwersytet Jagielloński Krakowska Izba Adwokacka

Podobne dokumenty
Monitorowanie systemów IT

Ochrona danych osobowych w organizacjach pozarządowych (od 25 maja 2018)

Nadzór nad przetwarzaniem danych osobowych zgodnie z RODO

I. Postanowienia ogólne

! POLITYKA OCHRONY DANYCH OSOBOWYCH W KANCELARII KANCELARIA ADWOKATA ŁUKASZA DOLIŃSKIEGO

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

Ochrona danych osobowych w biurach rachunkowych

Ograniczenia w wykorzystywaniu baz danych związane ze zautomatyzowanym przetwarzaniem danych oraz wykorzystaniem chmury obliczeniowej w świetle RODO

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

Przemysław Bańko Dyrektor ds. Bezpieczeństwa Smart In

Nowe przepisy i zasady ochrony danych osobowych

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

RODO w spółkach jak przygotować się do nowych unijnych przepisów o ochronie danych

PRELEGENT Przemek Frańczak Członek SIODO

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Al. J. Ch. Szucha 8, Warszawa

PORADNIK PRAWNY DOTYCZĄCY STOSOWANIA W APTECE PRZEPISÓW RODO

Nadzór nad przetwarzaniem kadrowych danych osobowych zgodnie z RODO

POLITYKA PRYWATNOŚCI

Opracował Zatwierdził Opis nowelizacji

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

UMOWA powierzenia przetwarzania danych osobowych, zwana dalej Umową

Opracowanie dotyczące zasad ochrony danych osobowych po zmianach wprowadzanych przez rozporządzenie RODO

Ochrona danych osobowych w biurach rachunkowych

Szkolenie podstawowe z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 dla wolontariuszy świadczących pomoc na rzecz podopiecznych

Pakiet RODO MEDFOOD GROUP Sp. Z O.O.

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

3) ograniczenie przetwarzania oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;

RODO w HR Zasady przetwarzania danych osobowych kandydatów i pracowników

KONFERENCJA SIODO PRZYPADKI"

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

POLITYKA PRYWATNOŚCI

Przykład klauzul umownych dotyczących powierzenia przetwarzania

POLITYKA PRYWATNOŚCI

POLITYKA OCHRONY DANYCH OSOBOWYCH. z dnia Postanowienia Ogólne

Polityka Bezpieczeństwa Danych Osobowych

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej Sp. z o.o.

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

Dane osobowe w hotelarstwie Czy RODO to rewolucja? Gdańsk 21 listopada

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

WPROWADZENIE DO RODO OGÓLNE UNIJNE ROZPORZĄDZENIE O OCHRONIE DANYCH. - Leszek Zając

RODO W ORGANIZACJI- JAK PRAWIDŁOWO PRZYGOTOWAĆ SIĘ ORAZ UNIKNĄĆ KAR PIENIĘŻNYCH

rodo. naruszenia bezpieczeństwa danych

Polityka Ochrony Danych Osobowych. w Luxe Property S.C.

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

Unijne rozporządzenie o ochronie danych osobowych (RODO) konsekwencje dla centrów danych. Kraków, dnia 22 lutego 2017 r.

Polityka prywatności spółki BERDA spółka z ograniczoną odpowiedzialnością spółka komandytowa z siedzibą w Płochocinie

SZCZEGÓŁOWY HARMONOGRAM KURSU

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Technologia Infromacyjna i Prawo w służbie ochrony danych - #RODO2018

Ochrona Danych Osobowych wg RODO

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

Prawne aspekty Big data w sektorze bankowym 22 maja 2017

WZÓR UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

Szkolenie podstawowe z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 dla wolontariuszy świadczących pomoc na rzecz podopiecznych

Pakiet RODO dla Komunalnej Energetyki Cieplnej "KOMEC" Sp. z o.o.

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W FUNDACJI CENTRUM IMIENIA PROF. BRONISŁAWA GEREMKA

Dane osobowe w stacji demontażu. Marcin Witaszek Polski Związek Przemysłu Motoryzacyjnego

Maciej Byczkowski ENSI 2017 ENSI 2017

DANE OSOBOWE W DZIAŁALNOŚCI SERWISÓW AGD. Łódź, 21 września 2018 roku

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

Polityka ochrony danych osobowych

Umowa powierzenia przetwarzania danych osobowych (zwana dalej Umową )

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

POLITYKA BEZPIECZEŃSTWA

Umowa powierzenia przetwarzania danych osobowych (zwana dalej Umową )

2. Proces tworzenie wewnętrznego systemu ochrony danych osobowych przedsiębiorcy. 3. Postanowienia dyrektywy 95/46/WE, które pozostaną aktualne

Obszar I. Obszar II. Co dokładnie będziemy analizować? Nowa klasyfikacja: dane zwykłe dane wrażliwe dane biometryczne

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

POLITYKA OCHRONY DANYCH OSOBOWYCH W ASPEKT LABORATORIUM SP. Z O.O. Z DNIA 25 MAJA 2018 R.

INSTRUKCJA POSTĘPOWANIA W SYTUACJI STWIERDZENIA NARUSZENIA OCHRONY DANYCH OSOBOWYCH

UMOWA O UDOSTĘPNIANIE DANYCH OSOBOWYCH. reprezentowanym przez Dyrektora [ ], zwanym dalej jako Przedszkole Nr ; a

POLITYKA PRYWATNOŚCI W PIAST GROUP SP. Z O.O.

Przetwarzanie danych osobowych pracowników w grupie przedsiębiorstw w świetle zasady rozliczalności

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Dworek Bielin Sp. z o.o.

RODO. 1. Obowiązki administratora danych osobowych

RODO w praktyce JST czas: 353 dni. Michał Jaworski Członek Zarządu Microsoft sp. z o.o.

Umowa powierzenia danych

Technologia Informacyjna i Prawo w służbie ochrony danych - #RODO2018

Spis treści. Wykaz skrótów... Wprowadzenie...

ECDL RODO Sylabus - wersja 1.0

Załącznik nr 5 do Polityki bezpieczeństwa

POLITYKA PRYWATNOŚCI W SPÓŁCE MIASTO DZIECI SP. Z O.O. DLA KONTROLOWANYCH PRZEZ NIĄ: NIEPUBLICZNEJ SZKOŁY PODSTAWOWEJ SZKOŁY PRZYSZŁOŚCI ORAZ

Załącznik nr 1 do Porozumienia. Umowa powierzenia przetwarzania danych osobowych. (dalej Umowa powierzenia),

Rozporządzenie o Ochronie Danych Osobowych -jak przygotować firmę do wymogów nowych przepisów. Przemysław Perka, Anna Dopart

Polityka Ochrony Danych Osobowych

Status prawny i obowiązki adwokata związane z przetwarzaniem danych osobowych w świetle ogólnego rozporządzenia o ochronie danych (RODO)

Polityka Prywatności. 3. Pana/Pani dane osobowe przetwarzane będą w celu:

ZESPÓŁ SZKÓŁ TECHNICZNYCH we Włocławku, ul. Ogniowa 2 PROCEDURA ALARMOWA PROCEDURA POSTĘPOWANIA W PRZYPADKU NARUSZENIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA

Procedura realizacji praw osób fizycznych

POLITYKA PRYWATNOŚCI. 1 Administrator Danych

Rola biura rachunkowego w nowym modelu ochrony danych osobowych

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

Polityka bezpieczeństwa informacji

POLITYKA OCHRONY DANYCH OSOBOWYCH

Transkrypt:

RODO w praktyce psychologicznej adw. dr Maciej Bocheński Uniwersytet Jagielloński Krakowska Izba Adwokacka

RODO definicje dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ( osobie, której dane dotyczą ); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

RODO zasady przetwarzania Dane osobowe muszą być: a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą ( zgodność z prawem, rzetelność i przejrzystość ); b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami ( ograniczenie celu ); c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane ( minimalizacja danych ); d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane ( prawidłowość );

RODO zasady przetwarzania Dane osobowe muszą być: e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane ( ograniczenie przechowywania ) f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ( integralność i poufność ); Administrator musi być w stanie wykazać ich przestrzeganie ( rozliczalność ).

RODO zasada rozliczalności Rozliczalność naczelna zasada RODO Nie należy także odnosić rozliczalności wyłącznie do kwestii związanych z przetwarzaniem danych w systemie informatycznym czy zapewnieniem bezpieczeństwa danych rozliczalność na gruncie RODO dotyczy zapewnienia zgodności ze wszystkimi zasadami przetwarzania, bezwzględu na sposób w jaki dane są przetwarzane. Rozliczalność na gruncie RODO składa z dwóch elementów, które muszą zostać spełnione łącznie byzasada ta została zrealizowana: 1. odpowiedzialności administratora za przestrzeganie przepisów, 2. wykazywania ichprzestrzegania.

RODO zasada rozliczalności Rozliczalność naczelna zasada RODO art. 24 RODO: Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. 2. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych

RODO zasada rozliczalności motyw 78 preambuły do rodo stwierdza, że: aby móc wykazać przestrzeganie rozporządzenia, administrator powinien przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania oraz z zasadą domyślnej ochrony danych.

RODO zasada rozliczalności Powyższe, jest przy tym zgodne z opinią grupy roboczej art. 29 w sprawie zasady rozliczalności, w których grupa robocza zaproponowała by przy tworzeniu przepisów dot. rozliczalności, zasadą tą objąć dwa elementy: (i) (ii) wymaganie podjęcia przez administratora właściwych i skutecznych środków do wdrożenia zasadochrony danych, wymaganie wykazania na żądanie, że właściwe i skuteczne środki zostały podjęte. Zatem administrator danych musi przedstawić dowody w związkuz powyższym punktem (i)

RODO zasada rozliczalności Prócz wykazywania realizacji niektórych obowiązków administratora, a także ogólnej reguły wyrażonej w art. 24 ust. 2 rodo, mówiącej o możliwości stosowania odpowiednich polityk ochrony danych, rodo wskazuje także na pewne obowiązki dokumentacyjne administratora. I tak, zgodnie z rodo, administrator danych: dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. dokumentuje polecenie przetwarzania danych podmiotowi przetwarzającemu (rejestr umów powierzenia) zawiera umowę powierzenia danych do przetwarzania w formie pisemnej, w tym elektronicznej (wzór umowy powierzenia) prowadzi rejestr czynności przetwarzania w formie pisemnej, w tym elektronicznej, udziela na piśmie lub w inny sposób, w tym w stosownych przypadkach elektronicznie informacji podmiotom danych w ramach wykonywania ich praw.

Rejestr czynności przetwarzania Dla zachowania zgodności z niniejszym rozporządzeniem, administrator lub podmiot przetwarzający powinni prowadzić rejestry czynności przetwarzania, za które są odpowiedzialni. Każdy administrator i każdy podmiot przetwarzający powinni mieć obowiązek współpracować z organem nadzorczym i na jego żądanie udostępniać mu te rejestry w celu monitorowania tych operacji przetwarzania. Rejestrjako narzędzie do zarządzania ochroną danych osobowych.

Rejestr czynności przetwarzania REJESTR CZYNNOŚCI PRZETWARZANIA Zgodnie z przepisami każdy administrator oraz jego przedstawiciel (jeżeli istnieje) prowadzi i jest odpowiedzialny za rejestr czynności przetwarzania danych osobowych. Obowiązek ten spoczywa również na procesorze. Obydwa typy rejestrów (czynności i kategorii czynności przetwarzania dokonywanych w imieniu administratora) mogą być prowadzone w formie pisemnej bądź elektronicznej. Administrator lub podmiot przetwarzający oraz przedstawiciel administratora lub podmiotu przetwarzającego (jeżeli istnieje) mają obowiązek udostępnić rejestr na każde żądanie organu nadzorczego. Organ nadzorczy dokonuje kontroli tych rejestróww celu monitorowania operacji przetwarzania. PROWADZENIE REJESTRU!

Rejestr czynności przetwarzania

Incydenty naruszenia ochrony danych osobowych naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych; Motyw (87) Należy się upewnić, czy wdrożono wszelkie odpowiednie techniczne środki ochrony i wszelkie odpowiednie środki organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy i osobę, której dane dotyczą.

Incydenty naruszenia ochrony danych osobowych W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia zgłasza je organowi nadzorczemu właściwemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi.

Incydenty naruszenia ochrony danych osobowych Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Zawiadomienie nie jestwymagane, w następującychprzypadkach: a) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych; b) administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w ust. 1; c) wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

Administrator Procesor Motyw 81 RODO: Aby zapewnić przestrzeganie wymogów niniejszego rozporządzenia w przypadku przetwarzania, którego w imieniu administratora ma dokonać podmiot przetwarzający, administrator powinien, powierzając podmiotowi przetwarzającemu czynności przetwarzania, korzystać z usług wyłącznie podmiotów przetwarzających, które zapewniają wystarczające gwarancje w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom niniejszego rozporządzenia, w tym wymogom bezpieczeństwa przetwarzania

Umowa powierzenia przetwarzania danych zgodnie z art. 28 rodo, umowa powierzenia powinna określać: przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą, obowiązki i prawa administratora, a także obowiązki procesora, których przykładowe wyliczenie zawiera ustęp 3 wskazanego artykułu. Oznacza to, że na gruncie rodo umowa powierzenia została znacznie rozbudowana. Unijny prawodawca znacznie zwiększył ilość elementów, które powinna zawierać, tym samym czyniąc ją bardziej szczegółową. Należy zweryfikować umowy powierzenia

Obowiązki Administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku, w tym między innymi w stosownym przypadku: pseudonimizację i szyfrowanie danych osobowych; zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

RODO prawa podmiotów danych Obowiązki informacyjne Prowadzenie komunikacji z podmiotem danych Prawo dostępu przysługujące osobie, której dane dotyczą Sprostowanie i usuwanie danych Prawo do ograniczenia przetwarzania Prawo do przenoszenia danych Prawo do sprzeciwu Prawo do niepodlegania zautomatyzowanemu podejmowaniu decyzji w tym profilowaniu

RODO a tajemnica zawodowa psychologa Art. 90 ust 1.Państwa członkowskie mogą przyjąć przepisy szczególne określająceuprawnienia organów nadzorczych ustanowione w art. 58 ust. 1 lit. e) i f) wobec administratorów lub podmiotów przetwarzających, którzy podlegają na mocy prawa Unii lub prawa państwa członkowskiego lub przepisów ustanowionych przez właściwe organy krajowe obowiązkowi zachowania tajemnicy zawodowej lub innym równoważnym obowiązkom zachowania tajemnicy, jeżeli jest to niezbędne i proporcjonalne w celu pogodzenia prawa do ochrony danych osobowych z obowiązkiem zachowania tajemnicy. Przepisy te mają zastosowanie wyłącznie do danych osobowych, które administrator lub podmiot przetwarzający otrzymali lub pozyskali w wyniku lub w ramach działania objętego tym obowiązkiem zachowania tajemnicy.

RODO tajemnica zawodowa ujawnienie danych Motyw 31 Preambuły: Organy publiczne, którym ujawnia się dane osobowe w związku z ich prawnym obowiązkiem sprawowania funkcji publicznej (takich jak organy podatkowe, organy celne, finansowe jednostki analityki finansowej, niezależne organy administracyjne czy organy rynków finansowych regulujące i nadzorujące rynki papierów wartościowych), nie powinny być traktowane jako odbiorcy, jeżeli otrzymane przez nie dane osobowe są im niezbędne do przeprowadzenia określonego postępowania w interesie ogólnym zgodnie z prawem Unii lub prawem państwa członkowskiego.