Unijna reforma ochrony danych osobowych. Jak się na nią przygotować?

Podobne dokumenty
2. Proces tworzenie wewnętrznego systemu ochrony danych osobowych przedsiębiorcy. 3. Postanowienia dyrektywy 95/46/WE, które pozostaną aktualne

Spis treści. Wykaz skrótów... Wprowadzenie...

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

Radom, 13 kwietnia 2018r.

RODO Nowe zasady przetwarzania danych osobowych. radca prawny Piotr Kowalik Koszalin, r.

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

Ochrona danych osobowych, co zmienia RODO?

Ochrona danych osobowych w organizacjach pozarządowych (od 25 maja 2018)

Technologia Informacyjna i Prawo w służbie ochrony danych - #RODO2018

Obszar I. Obszar II. Co dokładnie będziemy analizować? Nowa klasyfikacja: dane zwykłe dane wrażliwe dane biometryczne

APTEKO, PRZYGOTUJ SIĘ NA RODO! KS - BDO

Rozporządzenie Ogólne o Ochronie Danych Osobowych - General Data Protection Regulation

Czym jest RODO? Czym jest przetwarzanie danych osobowych?

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

RODO WYMOGI OCHRONY DANYCH OSOBOWYCH PACJENTÓW MLD Katowice, dnia 24 kwietnia 2018 r. r. pr. Michał Rytel

RODO W ORGANIZACJI- JAK PRAWIDŁOWO PRZYGOTOWAĆ SIĘ ORAZ UNIKNĄĆ KAR PIENIĘŻNYCH

Ochrona danych osobowych

SZCZEGÓŁOWY HARMONOGRAM KURSU

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Nowe przepisy i zasady ochrony danych osobowych

Warszawa, 19 października 2016 Agnieszka Szydlik, adwokat, Wardyński & Wspólnicy Sylwia Paszek, radca prawny, Wardyński & Wspólnicy

Ochrona danych osobowych w biurach rachunkowych

rodo. ochrona danych osobowych.

RODO w spółkach jak przygotować się do nowych unijnych przepisów o ochronie danych

ECDL RODO Sylabus - wersja 1.0

Zgodnie z RODO administrator i podmiot przetwarzający muszą wyznaczyć inspektora ochrony danych, gdy:

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

RODO w Hodowli, czy nas dotyczy? Doradca Podatkowy Marek Rudy nr wpisu Wojciech Nowakowski

Technologia Infromacyjna i Prawo w służbie ochrony danych - #RODO2018

Niepełnosprawność: szczególna kategoria danych osobowych

Nadzór nad przetwarzaniem danych osobowych zgodnie z RODO

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

PODSTAWY PRZETWARZANIA DANYCH KANDYDATÓW DO PRACY W NOWYM PROJEKCIE KODEKSU PRACY. r.pr. Patrycja Kozik

Spis treści. Wykaz skrótów... Wprowadzenie...

Sprawdzenie systemu ochrony danych

Ochrona danych osobowych - planowane zmiany od Europejskie rozporządzenie RODO w praktyce.

Opracował Zatwierdził Opis nowelizacji

Jak dostosować formularze zgód pacjenta do RODO wraz z gotową checklistą 1

Nowe podejście do ochrony danych osobowych. Miłocin r.

Już teraz powinieneś pomyśleć o przygotowaniu Twojej firmy na czekające ją zmiany w zakresie ochrony danych osobowych.

rodo. naruszenia bezpieczeństwa danych

PARTNER.

Przykład klauzul umownych dotyczących powierzenia przetwarzania

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

Pozycja i zadania ABI w świetle reformy ochrony danych osobowych

Nowe wymagania dla systemów informatycznych wynikające z ogólnego rozporządzenia o ochronie dany

Wpływ nowych regulacji prawnych na dopuszczalność outsourcingu procesów biznesowych.

RODO w HR Zasady przetwarzania danych osobowych kandydatów i pracowników

Dane osobowe w hotelarstwie Czy RODO to rewolucja? Gdańsk 21 listopada

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

APTEKO, PRZYGOTUJ SIĘ NA ZMIANY! RODO W PIGUŁCE

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Wrocław, Wrocław - Centrum miasta. Koszt szkolenia: 1790.

RODO, czyli co się zmieni oraz do czego (i jak) trzeba się przygotować.

Wpływ ogólnego rozporządzenia o ochronie danych osobowych (RODO) na działalność sektora ubezpieczeń przegląd zagadnienia

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

OCHRONA DANYCH OSOBOWYCH czy Ośrodki Pomocy Społecznej są gotowe na wejście w życie ogólnego rozporządzenia UE o ochronie danych osobowych (RODO)?

Maciej Byczkowski ENSI 2017 ENSI 2017

Czas trwania szkolenia- 1 DZIEŃ

NOWE OBOWIĄZKI DYREKTORA JAKO ADMINISTRATORA DANYCH OSOBOWYCH

INSPEKTOR DANYCH OSOBOWYCH CZYLI ABI PO NOWEMU W ASPEKCIE

INSPEKTOR DANYCH OSOBOWYCH CZYLI ABI PO NOWEMU W ASPEKCIE

Które i jakie organizacje będą zobowiązane do wyznaczenia inspektora ochrony danych (IOD/DPO)

Rola biura rachunkowego w nowym modelu ochrony danych osobowych

- REWOLUCJA W PRZEPISACH

I. Postanowienia ogólne

POLITYKA PRYWATNOŚCI

Wykaz skrótów... XV Wykaz literatury... XXI Wprowadzenie... XXVII

Jak się ustrzec przed pozwami i uniknąć kar w następstwie wejścia w życie RODO?

Wszelkie prawa zastrzeżone.

POLITYKA PRYWATNOŚCI

POLITYKA REALIZACJI PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ

Rozdział 4 Procedura DPIA (Data Protection Impact Assessment)

ABI potrzebny i przydatny Zakres i sposób wykonywania zadań ABI w praktyce. Andrzej Rutkowski

Ochrona danych osobowych w biurach rachunkowych

Program szkolenia - Rejestracja i bezpieczeństwo danych osobowych

POLITYKA PRYWATNOŚCI I. INFORMACJE DOTYCZĄCE PRZETWARZANIA DANYCH OSOBOWYCH

Status prawny i obowiązki adwokata związane z przetwarzaniem danych osobowych w świetle ogólnego rozporządzenia o ochronie danych (RODO)

OCHRONA DANYCH OD A DO Z

Nowe unijne rozporządzenie w sprawie ochrony danych osobowych. 8 czerwca 2016

RODO w firmie transportowej RADCA PRAWNY PAWEŁ JUDEK

CZĘŚĆ I PODSTAWOWE INFORMACJE O RODO

Polityka bezpieczeństwa i instrukcja zarządzania czy trzeba je prowadzić zgodnie z RODO

POLITYKA PRYWATNOŚCI

Polityka Ochrony Danych Osobowych. w Luxe Property S.C.

Jak przetwarzać dane sensytywne zgodnie z RODO w gabinecie lekarskim 1

PORADNIK PRAWNY DOTYCZĄCY STOSOWANIA W APTECE PRZEPISÓW RODO

SPOTKANIE INFORMACYJNE

9 najważniejszych zasad RODO

Poznaj nowe regulacje w zakresie ochrony danych osobowych pracowników

poleca e-book Instrukcja RODO

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

Bezpieczne przetwarzanie danych wrażliwych

Akta pracownicze w Polsce gotowe do RODO? Od dnia 25 maja 2018r. w Polsce, jak i w całej Unii Europejskiej, podmioty przetwarzające

Prywatność i bezpieczeństwo danych medycznych

Wprowadzenie. Prawno - Proceduralne. Organizacyjno-procesowe. Techniczny/Bezpieczeństwo

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Opracowanie dotyczące zasad ochrony danych osobowych po zmianach wprowadzanych przez rozporządzenie RODO

NOWE UJĘCIE OCHRONY DANYCH OBOWIĄZKI ADMINISTRATORA DANYCH OSOBOWYCH

Transkrypt:

Unijna reforma ochrony danych osobowych. Jak się na nią przygotować? Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) - RODO

Unijna reforma ochrony danych osobowych Jak się na nią przygotować? Opracował: Adw. Wojciech Powroźnik

Unijna reforma ochrony danych osobowych. Jak się na nią przygotować? Spis treści Co trzeba wiedzieć o RODO?...4 Od kiedy obowiązywać będą nowe przepisy unijne dotyczące ochrony danych osobowych?...4 Prawo unijne a prawo krajowe - wpływ regulacji unijnej na porządek krajowy...4 Kto będzie musiał stosować przepisy RODO?...4 Co nowego... - obowiązki podmiotów przetwarzających dane osobowe...4 Czego nie będzie?...6 Prawa osób, których dane są przetwarzane...6 Środki ochrony prawnej i sankcje...6 Szczególne obowiązki podmiotów medycznych na gruncie nowego rozporządzenia unijnego...6 Jakie czynności należy podjąć przed 25 maja 2018 r.? Jak możemy pomóc w przygotowaniu Twojego podmiotu na RODO?...7 Od czego zacząć?...9 KANCELARIA PRAWNA POWROŹNIK I WSPÓLNICY ul. Gen. Józefa Bema 83, 01-233 Warszawa, tel. 22 486-95-80 www.kpplegal.pl 3

Co trzeba wiedzieć o RODO? Aktualnie obowiązujący system ochrony danych osobowych oparty jest na dyrektywie unijnej z 1995 r. oraz ustawie z 1997 r. Nadchodzące zmiany są największą reformą prawa ochrony danych osobowych od ponad 20 lat. Celem Rozporządzenia jest dostosowanie ochrony danych osobowych do dokonującego się postępu technicznego oraz globalizacji, a także wzmocnienie ochrony podmiotów, których dane są przetwarzane. Od kiedy obowiązywać będą nowe przepisy unijne dotyczące ochrony danych osobowych? Rozporządzenie unijne weszło w życie 24 maja 2016 r. Zacznie ono obowiązywać bezpośrednio w porządkach krajowych od dnia 25 maja 2018 r. Oznacza to, że ustawodawca unijny przewidział dwuletni okres, w przeciągu którego kraje członkowskie mają wprowadzić zmiany w prawie krajowym, konieczne do prawidłowego funkcjonowania nowej regulacji unijnej. Jest to również okres, w którym administratorzy danych muszą dostosować funkcjonujące u nich procedury przetwarzania danych osobowych. Dwuletni okres przejściowy przewidziany przez unijnego ustawodawcę to czas na przeprowadzenie analiz i wdrożenie nowych rozwiązań dostosowanych do potrzeb konkretnych instytucji. 25 maja 2018 r. musisz mieć gotowe procedury zgodne z RODO! Prawo unijne a prawo krajowe - wpływ regulacji unijnej na porządek krajowy. RODO będzie bezpośrednio stosowane w porządkach krajowych, co oznacza, że państwa członkowskie nie muszą go implementować osobną ustawą. Jednakże niektóre kwestie RODO pozostawia do uregulowania przez ustawodawcę krajowego. Oznacza to, że polski ustawodawca ma czas do 25 maja 2018 r., aby uchwalić odpowiednią ustawę dotyczącą nowych zasad ochrony danych osobowych. W praktyce konieczne będzie zatem każdorazowe sprawdzenie, czy daną kwestię reguluje bezpośrednio akt prawa UE, czyli Rozporządzenie, czy też należy stosować przepisy krajowe (znowelizowaną ustawę ODO lub nową ustawę). Kto będzie musiał stosować przepisy RODO? Administratorzy danych osobowych oraz podmioty przetwarzające dane, prowadzące działalność na terenie Unii Europejskiej, objęci obecnie zakresem Dyrektywy, będą podlegać, tak jak dotychczas unijnym regulacjom dotyczącym ochrony danych osobowych. RODO określa obowiązki każdego podmiotu, który przetwarza lub przechowuje dane osobowe, niezależnie od sektora prowadzonej działalności i formy własności. Przepisy RODO dotyczą zarówno podmiotów z sektora publicznego, jak i prywatnego np. sklepów internetowych, instytucji finansowych, podmiotów świadczących usługi medyczne. Obowiązek stosowania przepisów Rozporządzenia obejmie również podmioty spoza UE, przetwarzające dane osób przebywających na terenie Unii Europejskiej. Co nowego... - obowiązki podmiotów przetwarzających dane osobowe. Obowiązek notyfikowania naruszeń Obowiązek zgłaszania naruszeń danych osobowych organowi nadzorczemu w ciągu 72 h od ich stwierdzenia, chyba że jest mało prawdopodobne, aby ten incydent stanowił zagrożenie naruszenia praw lub wolności osób trzecich Obowiązek zawiadamiania osoby, której dane zostały naruszone, w razie znacznego ryzyka naruszenia praw i wolności osób fizycznych 4

Unijna reforma ochrony danych osobowych. Jak się na nią przygotować? Obowiązek uwzględniania ochrony danych osobowych w fazie projektowania oraz ustanowienia domyślnej ochrony danych Privacy by design - obowiązek uwzględniania ochrony danych osobowych w fazie projektowania nowych systemów, rozwiązań i usług Privacy by default - ochrona danych osobowych jako forma domyślna, bez konieczności podejmowania żadnych działań przez osobę, której dane są przetwarzane Obowiązek powołania Inspektora Ochrony Danych Inspektor Ochrony Danych, który zastąpi dotychczas funkcjonujących Administratorów Bezpieczeństwa Informacji Jego powołanie będzie obowiązkowe zawsze, gdy przetwarzania dokonuje podmiot publiczny tj. szpitale, gdy przetwarzanie wymaga regularnego i systematycznego monitorowania danych osób, których te dane dotyczą, a przetwarzanie odbywa się na dużą skalę, a także w przypadku podmiotów przetwarzających na dużą skalę szczególne kategorie danych osobowych tj. informacje o stanie zdrowia, które przetwarzają wszystkie podmioty medyczne IOD powinien zostać wybrany na podstawie kwalifikacji zawodowych, wiedzy oraz posiadanego doświadczenia RODO nie tylko zmienia nazwę tego podmiotu, ale także rozszerza zakres obowiązków IOD w stosunku do obowiązków jakie ma aktualnie ABI Obowiązek szacowania ryzyka Podmioty przetwarzające dane osobowe zobowiązane będą do oceny ryzyka, wpływu podjętych czynności przetwarzania na prywatność podmiotów danych oraz skutków planowanych operacji przetwarzania dla ochrony danych osobowych Organizacje będą musiały samodzielnie decydować o środkach odpowiednich dla zabezpieczenia danych osobowych Stopień bezpieczeństwa stosowanych rozwiązań ma odpowiadać stwierdzonemu ryzyku Obowiązek rejestrowania czynności przetwarzania Obowiązek stworzenia rejestru czynności przetwarzania, dokumentów oraz procedur przetwarzania, który będzie podlegał ujawnieniu organowi nadzorczemu na jego żądanie. Obowiązek przyjęcia wewnętrznych polityk Konieczność zmiany lub dostosowania dokumentów funkcjonujących u administratora Obowiązek wprowadzenia odpowiednich środków technicznych i organizacyjnych, zwiększających poziom i zakres ochrony Pseudonimizacja i szyfrowanie danych osobowych w celu minimalizacji przetwarzania i przechowywania danych oraz zmniejszenia ryzyka naruszeń System zarządzania ciągłością działania oraz procedura przywracania danych na wypadek awarii System regularnego testowania, monitorowania i oceniania tych środków Obowiązek wprowadzenia nowych klauzul zgody Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności - musi być dobrowolna, konkretna i świadoma, a także wskazywać cel przetwarzania danych Cofnięcie zgody musi być równie łatwe jak jej wyrażenie oraz nie może powodować negatywnych konsekwencji dla podmiotu ją wycofującego Administrator musi być w stanie wykazać zgodę danej osoby obowiązek ewidencjonowania zgód Obowiązek informacyjny RODO przewiduje szerokie prawo do informacji oraz nakłada na podmioty przetwarzające dane obowiązek informacyjny Osoby fizyczne muszą znać ryzyko, zasady, zabezpieczenia i prawa związane z przetwarzaniem ich danych, sposoby wykonywania tych praw oraz cele dla których dane są gromadzone i przetwarzane. Wszystkie informacje muszą być przekazane jasnym i prostym językiem oraz być łatwo dostępne. Ilość informacji, które będą musiały zostać przekazane podmiotowi danych w momencie ich zbierania, znacznie się zwiększy WAŻNE! Naruszenie powyższych obowiązków zagrożone jest wysokimi karami, które będą miały zastosowanie od 25 maja 2018 r.! Po tej dacie nie będzie obowiązywał żaden dodatkowy okres przejściowy. KANCELARIA PRAWNA POWROŹNIK I WSPÓLNICY ul. Gen. Józefa Bema 83, 01-233 Warszawa, tel. 22 486-95-80 www.kpplegal.pl 5

Czego nie będzie? Obowiązku posiadania przez administratora polityki oraz instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Sformalizowanej dokumentacji. Obowiązku zgłaszenia zbioru danych do GIODO. Sztywnych wymogów w zakresie zabezpieczenia danych - przepisy Rozporządzenia nie wskazują konkretnych środków i sposobów ochrony, administrator danych będzie obowiązany samodzielnie wybrać odpowiednie środki do prowadzonej przez siebie działalności. Prawa osób, których dane są przetwarzane. prawo do informacji, prawo dostępu do danych, prawo do sprostowania danych, prawo do bycia zapomnianym - prawo do usunięcia danych, prawo ograniczenia przetwarzania danych, prawo do przenoszenia danych, prawo do sprzeciwu, prawo do odszkodowania, prawo do ochrony sądowej. WAŻNE! Uprawnienia te przekładają się bezpośrednio na obowiązki, jakie zostaną nałożone na administratorów danych! Środki ochrony prawnej i sankcje. Prawo wniesienia skargi - każda osoba, której dane są przetwarzane ma prawo wnieść skargę do organu nadzorczego (aktualnie jest nim GIODO) na niezgodne z Rozporządzeniem przetwarzanie jej danych. Prawo do sądowego środka ochrony przeciwko prawnie wiążącej decyzji organu nadzorczego lub w sytuacji bezczynności organu. Prawo do odszkodowania - każda osoba, która poniosła szkodę w wyniku przetwarzania danych niezgodnie z RODO, ma prawo domagania się odszkodowania od administratora lub podmiotu przetwarzającego dane osobowe. Kary w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa, do 2% całkowitego światowego obrotu w poprzednim roku m.in. za niespełnienie obowiązku zgłoszenia naruszenia ochrony danych. Kary w wysokości do 20 000 000 euro, a w przypadku przedsiębiorstwa do 4% całkowitego światowego obrotu z poprzedniego roku m.in. za naruszenie praw osób, których dane dotyczą. Szczególne obowiązki podmiotów medycznych na gruncie nowego rozporządzenia unijnego. Szczególne kategorie danych osobowych Pojęcie dane osobowe szczególnej kategorii zastąpi dotychczas stosowane pojęcie danych wrażliwych zwanych również sensytywnymi Poszerzenie katalogu danych szczególnej kategorii o dane biometryczne oraz dane genetyczne (do tej pory w ustawie o ochronie danych osobowych do danych wrażliwych zaliczone były dane o kodzie genetycznym, co było jednak pojęciem nieprecyzyjnym) W RODO pojawiają się również definicje danych biometrycznych, danych genetycznych i danych dotyczących zdrowia 6

Unijna reforma ochrony danych osobowych. Jak się na nią przygotować? wskazujące wprost, że daną osobową szczególnie chronioną jest sama informacja, o tym gdzie leczy się dana osoba Ogólny zakaz przetwarzania szczególnych kategorii danych, od którego RODO przewiduje odstępstwa m.in. w sytuacji wyraźnej zgody osoby, której dane dotyczą lub w przypadku przetwarzania ich do celów zdrowotnych RODO określa szczegółowe przesłanki dopuszczalności przetwarzania takich danych Zgoda na przetwarzanie tych danych nie musi być wyrażona w formie pisemnej! Ponadto państwa członkowskie mogą wprowadzić dalej idące ograniczenia w odniesieniu do przetwarzania danych genetycznych, danych biometrycznych lub danych dotyczących zdrowia. IOD Obecnie podmioty medyczne samodzielnie decydują o tym, czy chcą powołać ABI Zgodnie z RODO obowiązek powołania Inspektora Ochrony Danych zostanie nałożony na wszystkie podmioty przetwarzające dane szczególnych kategorii na dużą skalę, co oznacza, że większość placówek medycznych (szpitali, klinik, laboratoriów) będzie musiała powołać IOD, którego zakres obowiązków będzie szerszy w stosunku do ABI Prawo do bycia zapomnianym Nie dotyczy administratorów danych, którzy przetwarzają dane z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego WAŻNE! Podmioty medyczne będą musiały dostosować funkcjonujące w nich mechanizmy ochrony danych osobowych do wielu wymagań, które stawia RODO tj. opracowanie systemu wykrywania i zgłaszania naruszeń, zmiana klauzul zgody, czy wdrożenie systemu ocen planowanych usług i nowych rozwiązań, zgodnie z zasadą privacy by design. Projektowane zmiany oraz systemy bezpieczeństwa danych muszą być dostosowane do oszacowanego przez podmiot ryzyka, które w przypadku podmiotów medycznych znacznie wzrasta w związku z przetwarzaniem danych szczególnych kategorii na dużą skalę. Jakie czynności należy podjąć przed 25 maja 2018 r.? Jak możemy pomóc w przygotowaniu Twojego podmiotu na RODO? Proces wdrożenia nowych przepisów dotyczących ochrony danych osobowych będzie długotrwały i czasochłonny, dlatego warto rozpocząć go jak najwcześniej. Konieczne będzie bowiem dostosowanie procedur i struktury danej organizacji nie tylko do rozporządzenia unijnego, ale także do przepisów krajowych, które mogą w sposób bardziej szczegółowy regulować niektóre wymagania stawiane przez RODO. Nasza Kancelaria może pomóc w efektywnym przeprowadzeniu procesu wdrażania zmian m.in. poprzez: Szkolenia przygotowanie i przeprowadzenie szkoleń z zakresu ochrony danych osobowych dla pracowników podmiotu, dostosowanych do profilu i celu przetwarzania danych Podstawa prawna przetwarzania danych osobowych dostosowanie procesu odbierania zgód na przetwarzanie danych osobowych oraz brzmienia klauzul zgody do wymogów Rozporządzenia stworzenie procedury wycofania zgody przez podmiot, którego dane dotyczą stworzenie efektywnego systemu ewidencjonowania zgód, w związku z nałożonym przez RODO obowiązkiem wykazywania, że osoba, której dane dotyczą, wyraziła zgodę na ich przetwarzanie opracowanie formularzy (papierowych oraz elektronicznych) opowiadających nowemu, rozbudowanemu obowiązkowi informacyjnemu wprowadzenie procedury uzyskania zgody na przetwarzanie danych osobowych dziecka poniżej 16 roku życia od rodzica lub prawnego opiekuna (dotyczy podmiotów świadczących usługi społeczeństwa informacyjnego) KANCELARIA PRAWNA POWROŹNIK I WSPÓLNICY ul. Gen. Józefa Bema 83, 01-233 Warszawa, tel. 22 486-95-80 www.kpplegal.pl 7

Rejestr czynności przetwarzania przygotowanie rejestru i kategoryzacja danych identyfikacja czynności przetwarzania danych stworzenie procedur i narzędzi koniecznych do bieżącego prowadzenia rejestru i jego aktualizacji Naruszenia ochrony danych stworzenie procedury wykrywania naruszeń ochrony danych osobowych - polityki reagowania na naruszenia stworzenie systemu szybkiego reagowania i zgłaszania naruszeń do organu nadzorczego, przeprowadzenie analizy przyczyn naruszenia IOD Doradztwo w zakresie obowiązku powołania Inspektora Ochrony Danych, na miejsce dotychczasowego Administratora danych osobowych Merytoryczne wsparcie Inspektora Ochrony Danych (aktualnie również Administratora Bezpieczeństwa Informacji) powołanego przez Klienta Ocena, czy mimo braku prawnego obowiązku wyznaczenia IOD, inne czynniki nie przemawiają za powołaniem osoby odpowiedzialnej za bezpieczeństwo danych w firmie Pseudonimizacja analiza potrzeby przeprowadzenia pseudonimizacji określonych kategorii danych osobowych, analiza sposobów pseudonimizacji Polityki i procedury analiza, weryfikacja, aktualizacja lub przygotowanie od nowa stosownych polityk tj. polityk reagowania na naruszenia, polityk bezpieczeństwa danych, polityk weryfikacji przetwarzanych danych oraz innych odpowiednich polityk do prowadzonej działalności wsparcie prawne przy przygotowywaniu dokumentów wymaganych przez prawo ochrony danych osobowych opracowanie procedur koniecznych do pełnego realizowania nowych uprawnień podmiotów danych np. prawa do bycia zapomnianym, prawa do ograniczenia przetwarzania Analiza ryzyka przeprowadzanie oceny skutków przetwarzania dla ochrony danych rekomendacja środków technicznych i organizacyjnych, odpowiednich ze względu na cel i ryzyko przetwarzania, występujących w danym podmiocie Zabezpieczenia analiza dotychczasowych środków organizacyjnych i technicznych ochrony danych osobowych wskazanie odpowiednich środków zabezpieczenia danych przygotowanie wymaganych polityk Organizacja analiza struktur podmiotu przetwarzającego pod kątem mechanizmów ochrony danych osobowych oraz ich zgodności z prawem wdrożenie środków koniecznych do ochrony prywatności i zgodnego z prawem przechowywania danych osobowych m.in. przez pracodawcę, podmiot medyczny doradztwo w zakresie ochrony prywatności w fazie projektowania i ustanawienia mechanizmu domyślnej ochrony danych (privacy by design oraz privacy by default) Reprezentacja Reprezentacja podmiotu przed organem nadzoru, a także reprezentacja w sporach dotyczących ochrony danych osobowych w postepowaniach przed sądami administracyjnymi Opiniowanie konieczności konsultacji planowanego przedsięwzięcia z organem nadzorczym oraz związana z tym ocena skutków przetwarzania danych połączona z oceną stopnia ryzyka 8

Unijna reforma ochrony danych osobowych. Jak się na nią przygotować? WAŻNE! Przetwarzając dane osobowe po 25 maja 2018 r. konieczne będzie każdorazowe badanie, które przepisy unijne czy krajowe mają w danej sytuacji zastosowanie! Od czego zacząć? Ze względu na szeroki zakres nowych uregulowań unijnych, koniecznością przewidywania ryzyka oraz wysokimi karami finansowymi, które będą mogły być nałożone na podstawie przepisów RODO, proces wdrażania nowych procedur należy rozpocząć od przeprowadzenia audytu. Dostosowanie struktur organizacji do nowych przepisów unijnych wymaga bowiem przeprowadzenia analizy zgodności dotychczas stosowanych rozwiązań z wymogami nakładanymi przez Rozporządzenie. Przeprowadzany przez nas audyt ma na celu: wskazanie, które obowiązki wprowadzone przez RODO dotyczą audytowanego podmiotu - zakres obowiązków będzie zależał od wielkości podmiotu oraz rodzaju prowadzonej przez niego działalności, ocenę, które z dotychczas stosowanych środków ochrony danych osobowych spełniają wymagania stawiane przez RODO, a które należy zmienić w związku z nową regulacją, stworzenie planu wdrożenia nowych regulacji, w tym listy działań koniecznych do podjęcia przed dniem 25 maja 2018 r. Ważne! Należy pamiętać, że rozporządzenie unijne pozostawiło szereg kwestii do uregulowania przez ustawodawcę krajowego, co w Polsce jeszcze nie nastąpiło. Dlatego też proces wdrażania nowych przepisów będzie przebiegał wieloetapowo, w zależności od tego, jakie zmiany w stosunku do brzmienia ogólnego rozporządzenia unijnego wprowadzi polski ustawodawca. KANCELARIA PRAWNA POWROŹNIK I WSPÓLNICY ul. Gen. Józefa Bema 83, 01-233 Warszawa, tel. 22 486-95-80 www.kpplegal.pl 9

10 Notatki

ul. Gen. Józefa Bema 83, 01-233 Warszawa, tel. 22 486-95-80 www.kpplegal.pl

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres