Wpływ ogólnego rozporządzenia o ochronie danych osobowych (RODO) na działalność sektora ubezpieczeń przegląd zagadnienia

Podobne dokumenty
Wpływ nowych regulacji prawnych na dopuszczalność outsourcingu procesów biznesowych.

2. Proces tworzenie wewnętrznego systemu ochrony danych osobowych przedsiębiorcy. 3. Postanowienia dyrektywy 95/46/WE, które pozostaną aktualne

Spis treści. Wykaz skrótów... Wprowadzenie...

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

Ochrona danych osobowych w biurach rachunkowych

PRELEGENT Przemek Frańczak Członek SIODO

Nowe przepisy i zasady ochrony danych osobowych

ZAŁĄCZNIK SPROSTOWANIE

Przykład klauzul umownych dotyczących powierzenia przetwarzania

rodo. ochrona danych osobowych.

RODO W ORGANIZACJI- JAK PRAWIDŁOWO PRZYGOTOWAĆ SIĘ ORAZ UNIKNĄĆ KAR PIENIĘŻNYCH

Ochrona danych osobowych, co zmienia RODO?

Technologia Informacyjna i Prawo w służbie ochrony danych - #RODO2018

Ochrona danych osobowych

Ograniczenia w wykorzystywaniu baz danych związane ze zautomatyzowanym przetwarzaniem danych oraz wykorzystaniem chmury obliczeniowej w świetle RODO

Nowe wymagania dla systemów informatycznych wynikające z ogólnego rozporządzenia o ochronie dany

Obszar I. Obszar II. Co dokładnie będziemy analizować? Nowa klasyfikacja: dane zwykłe dane wrażliwe dane biometryczne

3) ograniczenie przetwarzania oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;

RODO i CYBERBEZPIECZEŃSTWO W ADMINISTRACJI

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Zaangażowani globalnie

SZCZEGÓŁOWY HARMONOGRAM KURSU

CZĘŚĆ I PODSTAWOWE INFORMACJE O RODO

Które i jakie organizacje będą zobowiązane do wyznaczenia inspektora ochrony danych (IOD/DPO)

rodo. naruszenia bezpieczeństwa danych

INSPEKTOR DANYCH OSOBOWYCH CZYLI ABI PO NOWEMU W ASPEKCIE

RODO WYMOGI OCHRONY DANYCH OSOBOWYCH PACJENTÓW MLD Katowice, dnia 24 kwietnia 2018 r. r. pr. Michał Rytel

Maciej Byczkowski ENSI 2017 ENSI 2017

Warszawa, 19 października 2016 Agnieszka Szydlik, adwokat, Wardyński & Wspólnicy Sylwia Paszek, radca prawny, Wardyński & Wspólnicy

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Opracowanie dotyczące zasad ochrony danych osobowych po zmianach wprowadzanych przez rozporządzenie RODO

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

OCHRONA DANYCH OD A DO Z

Pierwsze doświadczenia w wykonywaniu funkcji IODy

Umowa powierzenia przetwarzania danych osobowych do Umowy... zawarta w dniu... w..., pomiędzy:

ZASADY POWIERZANIA DANYCH OSOBOWYCH FIRMY ELEKTROMONTAŻ RZESZÓW S.A. z dnia 25 maja 2018r.

Dane osobowe w hotelarstwie Czy RODO to rewolucja? Gdańsk 21 listopada

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

UMOWA powierzenia przetwarzania danych osobowych, zwana dalej Umową

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

WPROWADZENIE DO RODO OGÓLNE UNIJNE ROZPORZĄDZENIE O OCHRONIE DANYCH. - Leszek Zając

RODO Nowe zasady przetwarzania danych osobowych. radca prawny Piotr Kowalik Koszalin, r.

#RODO2018. Śniadanie biznesowe w Gdyni. RODO praktyczne wyzwania prawno-technologiczne. Przemysław Rogiński Jakub Zuber

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

PROGRAM TRZYDNIOWEGO KURSU DLA IOD - JAK DOSTOSOWAĆ ORGANIZACJĘ DO WYMOGÓW OGÓLNEGO ROZPORZĄDZENIA O OCHRONIE DANYCH (RODO/GDPR)

ECDL RODO Sylabus - wersja 1.0

RODO. 1. Obowiązki administratora danych osobowych

Jak się ustrzec przed pozwami i uniknąć kar w następstwie wejścia w życie RODO?

Nowe unijne rozporządzenie w sprawie ochrony danych osobowych. 8 czerwca 2016

Prowadzący: Marcin Jastrzębski. Łódź, październik 2018r. Projekt współfinansowany przez Unię Europejską z Europejskiego Funduszu Społecznego

Spis treści. Wykaz skrótów... Wprowadzenie...

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

NOWE PRZEPISY DOTYCZĄCE BEZPIECZEŃSTWA DANYCH OSOBOWYCH. Agnieszka Wiercińska-Krużewska, adwokat, senior partner 21 września 2017 r.

KONFLIKT INTERESÓW PRZY POWIERZENIU DPO INNYCH ZADAŃ A NAKAZ WYKONYWANIA OBOWIĄZKÓW W SPOSÓB NIEZALEŻNY

Radom, 13 kwietnia 2018r.

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. zawarta w... w dniu..., pomiędzy:..., w dalszej części umowy zwanym Administratorem a

INSPEKTOR DANYCH OSOBOWYCH CZYLI ABI PO NOWEMU W ASPEKCIE

Nadzór nad przetwarzaniem danych osobowych zgodnie z RODO

POLITYKA OCHRONY DANYCH OSOBOWYCH w Fundacji TDJ na Rzecz Edukacji i Rozwoju

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Przemysław Bańko Dyrektor ds. Bezpieczeństwa Smart In

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

PORADNIK PRAWNY DOTYCZĄCY STOSOWANIA W APTECE PRZEPISÓW RODO

RODO w praktyce psychologicznej. adw. dr Maciej Bocheński Uniwersytet Jagielloński Krakowska Izba Adwokacka

UMOWY POWIERZENIA W RODO. Kancelaria Maruta Wachta Sp. j.

Wykaz skrótów... XV Wykaz literatury... XXI Wprowadzenie... XXVII

Technologia Infromacyjna i Prawo w służbie ochrony danych - #RODO2018

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. zawarta w dniu... pomiędzy zwana dalej Przetwarzającym

Umowa powierzenia przetwarzania danych osobowych stanowiąca uzupełnienie umowy z dnia.

Umowa powierzenia danych

NOWE OBOWIĄZKI DYREKTORA JAKO ADMINISTRATORA DANYCH OSOBOWYCH

zwana dalej Administratorem

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

BIURO OCHRONY DANYCH OSOBOWYCH BODO24 KURS RODO

poleca e-book Instrukcja RODO

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

Załącznik Nr 4 do Umowy nr.

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

Czym jest RODO? Czym jest przetwarzanie danych osobowych?

Ochrona danych osobowych - planowane zmiany od Europejskie rozporządzenie RODO w praktyce.

Unijne rozporządzenie o ochronie danych osobowych (RODO) konsekwencje dla centrów danych. Kraków, dnia 22 lutego 2017 r.

RODO w firmie transportowej RADCA PRAWNY PAWEŁ JUDEK

Umowa powierzenia przetwarzania danych osobowych stanowiąca uzupełnienie Umowy.. (nr, data zawarcia)

Opracował Zatwierdził Opis nowelizacji

I. Postanowienia ogólne

Umowa powierzenia przetwarzania danych osobowych (wzór umowy) zawarta dnia pomiędzy: (zwana dalej Umową )

Ubezpieczeniowy Fundusz Gwarancyjny. Ubezpieczeniowy Fundusz Gwarancyjny 1

Unijna reforma ochrony danych osobowych. Jak się na nią przygotować?

Umowa powierzenia przetwarzania danych osobowych,

PODSTAWY PRZETWARZANIA DANYCH KANDYDATÓW DO PRACY W NOWYM PROJEKCIE KODEKSU PRACY. r.pr. Patrycja Kozik

Załącznik Nr 4 Do Załącznika Nr 7 Do SIWZ [WZORU UMOWY]

Załącznik nr 5 do Polityki bezpieczeństwa

WZÓR UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

Nowe obowiązki przedsiębiorców w zakresie cyberbezpieczeństwa.

Ochrona danych osobowych w organizacjach pozarządowych (od 25 maja 2018)

#RODO2018. podstawowe szkolenie z zakresu ochrony danych osobowych

Transkrypt:

Wpływ ogólnego rozporządzenia o ochronie danych osobowych (RODO) na działalność sektora ubezpieczeń przegląd zagadnienia r. pr. Paweł Gruszecki Partner, Szef Praktyki Nowych Technologii i Telekomunikacji. Warszawa, 02.03.2017r.

KALENDARIUM Data opublikowania w Dzienniku Urzędowym Unii Europejskiej 4 maj 2016 r. Stosowanie rozporządzenia - od 25 maja 2018 r. Uchylenie Dyrektywy 95/46/WE ze skutkiem od dnia 25 maja 2018 r. W kwietniu 2017r. ma zostać przedstawiony projekt ustawy uzupełniającej/dopełniającej RODO. Pomiędzy kwietniem 2017r., a czerwcem 2017r. ma zostać przedstawiony tzw. pakiet legislacyjny obejmujący zmiany w ustawach sektorowych, w tym Ustawie o działalności ubezpieczeniowej i reasekuracyjnej.

Co może regulować nowa ustawa dopełniająca? Funkcjonowanie organu nadzorczego Zabezpieczenia proceduralne do nakładania administracyjnych kar pieniężnych Możliwość przyznania przyszłemu organowi ochrony danych osobowych uprawnienia do opracowywania dobrych praktyk dotyczących technicznych i organizacyjnych standardów, zapewniających zgodne z prawem przetwarzanie danych osobowych - wykazy dobrych praktyk powinny w takim przypadku podlegać okresowej aktualizacji i być sporządzane z uwzględnieniem specyfiki działań różnego rodzaju przedsiębiorców. Czy każdy administrator bezpieczeństwa informacji zarejestrowany do 25 maja 2018 r. z mocy prawa staje się inspektorem ochrony danych (projekt GIODO)? Możliwa sprzeczność z art. 37 RODO, w myśl którego IOD ma zostać wyznaczony. Poszukiwania kompromisu: przez okres przejściowy administratorzy bezpieczeństwa informacji pełnią funkcję inspektora ochrony danych do momentu zgłoszenia ich danych kontaktowych do organu ochrony danych przez wyznaczającego ich administratora. Jaka jest forma i termin notyfikacji IOD przez ADMINISTRATORA/PROCESORA? Czy powyższe informacje podlegają aktualizacji? Jeżeli tak to w jakim zakresie?

Co może regulować pakiet legislacyjny (regulacje sektorowe)? Jedną z podstaw przetwarzania danych osobowych może być przetwarzanie niezbędne: do wypełnienia obowiązku prawnego ciążącego na administratorze; do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.

System zarządzania ryzykiem prawnym w zakresie ochrony danych osobowych.

Rewizja umów/nowe polityki/ szablony/schematy oceny skutków/rejestr czynności przetwarzania/nowe klauzule zgody Brak rejestracji zbiorów. Nowa dokumentacja Nowe Procedury Wybór środków technicznych i organizacyjnych odpowiednich do ryzyka. Ocena skutków przetwarzania Nowe zasady ochrony danych Przypisanie ról odporność sieci i systemów informatycznych na wszelkie działania naruszające dostępność, autentyczność, integralność lub poufność przechowywanych Np. Prywatność lub na etapie przekazywanych, lub przetwarzanych danych lub związanych projektowania/regulacja z nimi usług oferowanych profilowania lub. dostępnych poprzez te sieci i systemy informatyczne. Powołanie IOD/przedstawiciela.

PRZYPISANIE RÓL Artykuł RODO Wyznaczenie przedstawiciela (dotyczy podmiotu mającego siedzibę poza UE). 27 Wyznaczenie inspektora ochrony danych (IOD) do pełnienia niezależnego nadzoru 37, 38 Posiadanie ról i obowiązków dla podmiotów odpowiedzialnych za bezpieczeństwo danych osobowych (np. opisy stanowisk) Regularna komunikacja pomiędzy osobami zajmującymi się prywatnością, prywatnością sieci oraz innymi osobami odpowiedzialnymi za prywatność danych osobowych 39 38

Przetwarzanie na dużą skalę szczególnych kategorii danych np. danych o zdrowiu (zakłady ubezpieczeń oferujące ubezpieczenia na życie). OBOWIĄZKI IOD (personel ADM/PROC albo umowa o świadczenie usług). informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie; monitorowanie przestrzegania rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty; współpraca z organem nadzorczym; pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach. udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania.

WYBRANE PROCEDURY (I) Artykuł RODO Procedury dot. zbierania i wykorzystania wrażliwych danych osobowych (w tym biometrycznych) Procedury dot. zbierania oraz wykorzystywania danych osobowych dzieci oraz nieletnich 9,10 8, 12 Procedury dla utrzymania jakości danych (zasady dot. przetwarzania danych) Posiadanie procedury dot. pseudonimizacji danych osobowych (np. dla celów statystycznych). Procedury ponownego wykorzystania danych osobowych 6, 13 5 89

WYBRANE PROCEDURY (II) Artykuł RODO Procedury odpowiedzi na żądanie dostępu do danych osobowych 15 Procedura odpowiedzi na żądanie i/lub dostarczenie sposobu indywidualnego aktualizowania oraz poprawiania swoich danych osobowych Procedura odpowiedzi na żądanie zaprzestania, ograniczenia przetwarzania lub zgłoszenia zastrzeżenia do przetwarzania 16, 19 7, 18, 19, 21 Procedura odpowiedzi na żądanie przenoszenia danych 20 Procedura odpowiedzi na żądanie realizacji prawa do bycia zapomnianym lub usunięcia danych. 17, 19

WYBRANE PROCEDURY (III) Plan reagowania na incydenty/naruszenia prywatności danych osobowych Schemat powiadamiania o naruszeniu podmiotów danych oraz zgłaszania naruszenia do organów nadzorczych. Rejestr śledzenia incydentów naruszenia prywatności danych (dokumentacja) Artykuł RODO 33, 34 12, 33, 34 33

Nie dokonuje jej IOD. IOD jedynie konsultuje, udziela zaleceń, monitoruje oraz jest punktem kontaktowym. OCENA SKUTKÓW Dotyczy nie przetwarzania samego w sobie ale poszczególnych operacji na danych związanych z wprowadzeniem nowej usługi, aplikacji lub wdrożeniem nowego systemu IT jeżeli dochodzi do zmiany warunków przetwarzania; Przewidywanie niekorzystnych skutków operacji dla podmiotów danych; Obowiązkowa w przypadku wysokiego ryzyka (samodzielna ocena), w tym m.in..: prowadzenia systematycznej, kompleksowej oceny czynników osobowych dot. osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu i jest podstawą decyzji wywołującej skutki prawne dla osoby fizycznej lub w podobny sposób znacząco wpływającej na nią; przetwarzania na dużą skalę szczególnych kategorii danych osobowych w celu zidentyfikowania osoby fizycznej; przetwarzania objętego wykazem ustalonym przez organ nadzorczy.

Co zawiera OCENA SKUTKÓW? Systematyczny opis planowanych operacji i celów przetwarzania; Ocena tego czy operacje są niezbędne oraz adekwatne; Ocena ryzyka naruszenia praw i wolności (ryzyko zwykłe lub wysokie) Środki planowane w celu zaradzenia ryzyku. Obowiązek przeprowadzenia konsultacji z organem nadzorczym, który ma 8 tygodni na reakcję tj. (1) ostrzeżenie, (2) nakazanie dostosowania operacji, (3) wprowadzenie czasowego lub całkowitego ograniczenia przetwarzania, (4) nałożenie kary pieniężnej, (5) udzielenie porady.

Brak zakazu profilowania tylko ograniczenie podstaw prawnych. Nowe zasady ochrony danych profilowanie. ZASADA: Prawo podmiotu danych do niepodlegania decyzji, która: (1) opiera się wyłącznie na zautomatyzowanym przetwarzaniu (w tym profilowaniu) oraz która to decyzja (2) wywołuje wobec osoby, której dane dotyczą skutki prawne lub w inny podobny sposób na nią wpływa. WYJĄTKI: 1. Decyzja jest niezbędna do zawarcia lub wykonania umowy pomiędzy osobą, której dane dotyczą, a administratorem danych (zakładem ubezpieczeń); 2. Jest ona dozwolona prawem UE lub też prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony. 3. Decyzja opiera się na wyraźnej zgodzie podmiotu. Dotyczy tylko podejmowania decyzji na podstawie profili. Tworzenie profili szerszy katalog podstaw

Nowe zasady ochrony danych profilowanie. Obowiązek informacyjny: Fakt podejmowania decyzji w sposób zautomatyzowany; Zasady podejmowania decyzji; Znaczenie i przewidywane konsekwencje przetwarzania.

Nowe zasady ochrony danych prywatność na etapie projektowania Konieczność uwzględnienia ochrony danych osobowych na etapie tworzenia i komponowania danej usługi/procesu. Wdrożenie odpowiednich do zagrożeń środków technicznych i organizacyjnych (np. pseudonimizacja na możliwie najwcześniejszym etapie procesu, szyfrowanie, zapewnienie poufności, integralności, dostępności i odporności systemów). Zdaniem ENISA do środków należy: minimalizacja zbieranych danych; ukrywanie danych oraz zależności pomiędzy nimi dla osób posiadających dostęp; separowanie danych (przetwarzane dane są rozdzielone rozproszone); agregacja dane są przetwarzane w możliwie najwyższym stopniu zagregowania i z możliwie najmniejszą liczbą szczegółów (przy jakiej są wciąż użyteczne). Obowiązek ma charakter uprzedni i ciągły Uwzględnienie stanu wiedzy technicznej, kosztów wdrażania, celu przetwarzania, ryzyka naruszenia praw i wolności, wagi zagrożenia w przypadku większej wagi stosujemy więcej środków lub środki bardziej zaawansowane co może dotyczyć np. profilowania, danych biometrycznych, przetwarzania danych dzieci.

Jak zrealizować to w praktyce? W ramach samodzielnej oceny: Pomocnicze stosowanie np. Normy PN-ISO 27001 (podczas wdrażania analiza ryzyka opisana w Normie ISO 27005). Zamiast rozporządzenia technicznego Pomocnicze stosowanie zaleceń Raportów ENISA np. Prywatność i ochrona danych w fazie projektowania od polityki do inżynierii. Pomocnicze stosowanie zatwierdzonych kodeksów postępowania (fakultatywnych). Pomocnicze stosowanie akredytowanych mechanizmów certyfikowania/znaków jakości (wydawanych przez organizacje nie tylko PL). Stosowanie wytycznych i zaleceń Europejskiej Rady Ochrony Danych Osobowych

Jak zrealizować to w praktyce? W ramach samodzielnej oceny: Pomocnicze stosowanie np. Normy PN-ISO 27001 (podczas wdrażania analiza ryzyka opisana w Normie ISO 27005). Zamiast rozporządzenia technicznego Raport ENISA: Prywatność i ochrona danych w fazie projektowania od polityki do inżynierii. Zatwierdzone kodeksy postępowania. Zatwierdzone mechanizmy certyfikowania. Wytyczne i zalecenia Europejskiej Rady Ochrony Danych Osobowych

Odpowiedzialność finansowa Kara pieniężna do 10 000 000 EURO lub 2 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego np. ochrona prywatności na etapie projektowania, bezpieczeństwo danych osobowych. Kara pieniężna do 20 000 000 EURO lub 4 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego np. warunki udzielenia zgody, naruszenie zasad przekazywania danych do państw trzecich. Na wysokość kary ma wpływ: charakter, waga i czas trwania naruszenia; umyślny/nieumyślny charakter; działania zmierzające do zminimalizowania szkody; wcześniejsze naruszenia; współpraca z organem nadzorczym; sposób powzięcia wiadomości przez organ.

NOWA DOKUMENTACJA - UMOWA POWIERZENIA PRZETWARZANIA DANYCH UODO art. 31 - powierzenie przetwarzania na podstawie pisemnej umowy; - przetwarzanie możliwe tylko w zakresie i celu przewidzianym w umowie; - obowiązek podjęcia środków zabezpieczających przez rozpoczęciem przetwarzania; - w zakresie przepisów dot. środków zabezpieczających podmiot przetwarzający ponosi odpowiedzialność jak administrator danych. - odpowiedzialność za przestrzeganie przepisów dot. przetwarzania ponosi administrator. Jednak nie wyłącza to odpowiedzialności podmiotu przetwarzającego za przetwarzanie niezgodne z umową; - Możliwe jest podpowierzenie przetwarzania, na tych samych zasadach co powierzenie pierwotne; RODO art. 31 - powierzenie przetwarzania na podstawie umowy lub innego instrumentu prawnego obowiązujących w danym państwie członkowskim; dla umowy RODO przewiduje formę pisemną, w tym elektroniczną; - umowa ma określać: - przedmiot i czas trwania przetwarzania, - charakter i cel przetwarzania, - rodzaj danych osobowych, - kategorie osób których dane dotyczą, - prawa i obowiązki administratora. - ponadto umowa ma stanowić, że podmiot przetwarzający: - przetwarza dane wyłącznie na udokumentowane polecenie administratora, - zapewnia zachowanie tajemnicy, - pomaga w spełnieniu obowiązku realizacji praw osób, których dane są przetwarzane,

NOWA DOKUMENTACJA - UMOWA POWIERZENIA PRZETWARZANIA DANYCH UODO art. 31 RODO art. 31 po zakończeniu usług przetwarzania usuwa lub zwraca dane i/lub ich kopie, wdraża odpowiednie środki techniczne i organizacyjne, przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, pomaga administratorowi wywiązywać się z obowiązków zapewnienia bezpieczeństwa danych. podmiot przetwarzający ma gwarantować wdrożenie odpowiednich środków technicznych i organizacyjnych; możliwe jest podpowierzenie przetwarzana danych, wtedy na wskazany podmiot nałożone zostają te same obowiązki jakie obowiązują procesora pierwotnego. Odpowiedzialność za podpowierzenie spoczywa na podmiocie który ustanowił to podpowierzenie; gwarancje wdrożenia odpowiednych środków technicznych i organizacyjnych można wykazać poprzez stosowanie zatwierdzonego kodeksu postępowania (art. 40) lub zatwierdzonego mechanizmu certyfikacji (art. 42); umowa lub inny akt prawny powierzenia przetwarzania danych może się opierać (w całości lub części) na standardowych klauzulach umownych (BCR, art. 28 ust. 7, 8);

PRZEKAZYWANIE DANYCH OSOBOWYCH DO PAŃSTW TRZECICH MECHANIZMY TRANSFEROWE UODO - Przekazanie możliwe jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych. - Przekazanie wynika z obowiązku nałożonego przepisami prawa na administratora. - Przesłanki ustawowe niewymagające odpowiedniego poziomu ochrony danych osobowych. Na przykład: zgoda osoby, której dane dotyczą, przekazanie jest niezbędne dla wykonania umowy, (art. 47 ust.3). Gdy państwo nie zapewnia odpowiedniego poziomu ochrony: - Uzyskanie zgody GIODO (decyzja administracyjna); - Posiadanie i stosowanie standardowych klauzul umownych ochrony danych osobowych zatwierdzonych przez Komisję; - Wiążące reguły korporacyjne, zatwierdzone przez GIODO. RODO Na podstawie decyzji stwierdzającej odpowiedni stopień ochrony. Konieczne jest zapewnienie odpowiedniego stopnia ochrony; takie przekazanie nie wymaga specjalnego zezwolenia; Komisja publikuje wykaz państw trzecich, co do których przyjęła decyzję stwierdzającą odpowiedni stopień ochrony lub jego brak. Przekazywanie z zastrzeżeniem odpowiednich zabezpieczeń: Wiążące reguły korporacyjne, Standardowe klauzule ochrony, przyjęte przez Komisję lub organ nadzorczy i zatwierdzone przez Komisję; Zatwierdzony kodeks postepowania; Zatwierdzony mechanizm certyfikacji; Zezwolenie właściwego organu nadzorczego (za pomocą klauzul umownych, postanowień uzgodnień administracyjnych). Wyjątki wskazane w art. 49 Na przykład: zgoda osoby, której dane dotyczą, w celu wykonania umowy (art. 49 ust. 1)

Kontakt e-mail: biuro@kochanski.pl tel.: +48 22 326 9600 fax.: +48 22 326 9601 Metropolitan Plac Piłsudskiego 1 00-078 Warszawa

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres