PARTNER.

Podobne dokumenty
PARTNER.

Katarzyna Sadło. Ochrona danych osobowych w organizacjach pozarządowych. Kraków, 13 grudnia (stan obecny)

II Lubelski Konwent Informatyków i Administracji r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

Szkolenie podstawowe z ustawy o ochronie danych osobowych dla wolontariuszy świadczących pomoc na rzecz podopiecznych Ośrodka Pomocy Społecznej

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

INSTRUKCJE DOTYCZĄCE OCHRONY DANYCH OSOBOWYCH W KANCELARII DORADZTWA PODATKOWEGO

Przetwarzanie danych osobowych w przedsiębiorstwie

Szkolenie. Ochrona danych osobowych

POLITYKA BEZPIECZEŃSTWA

Ochrona danych osobowych

Bezpieczeństwo informacji. Opracował: Mariusz Hoffman

Program ochrony danych osobowych na poziomie LGR. radca prawny Jarosław Ornicz

ABI EXPERT+ Ochrona danych osobowych. Warsztat specjalistyczny. Zadania Administratora danych osobowych. Skuteczne narzędzie ADO

Ochrona wrażliwych danych osobowych

Ochrona danych osobowych w biurach rachunkowych


POLITYKA BEZPIECZEŃSTWA w Gimnazjum nr 1 w Żarach. Podstawa prawna

WZÓR ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

Ochrona Danych Osobowych

Ochrona danych osobowych przy obrocie wierzytelnościami

Bezpieczeństwo teleinformatyczne danych osobowych

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

OCHRONA DANYCH OSOBOWYCH W BIBLIOTECE J U S T Y N A J A N K O W S K A

REGULAMIN ZASAD OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ W KRAKOWIE

Rodzaje danych (informacji) m.in.: Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne.

Zarządzenie nr 101/2011

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 i Nr 153, poz oraz z 2004 r. Nr 25, poz. 219 i Nr 33, poz. 285),

Ochrona danych osobowych

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH STOWARZYSZENIE RODZICÓW DZIECI Z WRODZONĄ PRZEPUKLINĄ PRZEPONOWĄ I INNYMI WADAMI WRODZONYMI

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

RODO W ORGANIZACJI- JAK PRAWIDŁOWO PRZYGOTOWAĆ SIĘ ORAZ UNIKNĄĆ KAR PIENIĘŻNYCH

Określa się wzór zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, stanowiący załącznik do rozporządzenia.

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

Podstawowe obowiązki administratora danych osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

Jak zidentyfikować zbiór danych osobowych w swojej firmie?

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ MISTRZEJOWICE-PÓŁNOC w Krakowie

PRAWNE UWARUNKOWANIA WYKORZYSTANIA DANYCH INDYWIDUALNYCH W CELU EWALUACJI POLITYKI ZATRUDNIENIA W POLSCE

POLITYKA BEZPIECZEŃSTWA

Ochrona danych osobowych w systemie rachunkowości. Wpisany przez Rafał Rydzak

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych

Nadzór nad przetwarzaniem danych osobowych zgodnie z RODO

POLITYKA BEZPIECZEŃSTWA INFORMACJI URZĘDU GMINY W KIKOLE

Ustawa o ochronie danych osobowych po zmianach

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

Ochrona danych osobowych

POLITYKA BEZPIECZEŃSTWA

OCHRONA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ MSZCZONOWSKA. Łukasz Zegarek 29 listopada 2016 r.

Ochrona danych osobowych w biurach rachunkowych


2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

POLITYKA BEZPIECZEŃSTWA INFORMACJI

System wspomagania pracy Administratora Bezpieczeństwa Informacji Opis zmian w wersji

Ochrona danych osobowych w organizacjach pozarządowych (od 25 maja 2018)

JAWNY Rejestr Zbiorów Danych Osobowych przetwarzanych w Spółdzielni Mieszkaniowej w Żarach ( uodo Art.36 ust.2) trzecia część

Przykładowy wzór Wystąpienia GIODO dotyczy zastosowanych środków bezpieczeństwa* Wystąpienie o dokonanie sprawdzenia

Zmiany w ustawie o ochronie danych osobowych

POLITYKA OCHRONY DANYCH OSOBOWYCH

Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien..

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.

PolGuard Consulting Sp.z o.o. 1

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Nowe przepisy i zasady ochrony danych osobowych

Ochrona danych osobowych dla rzeczników patentowych. adw. dr Paweł Litwiński

UMOWA powierzenia przetwarzania danych osobowych, zwana dalej Umową

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W FUNDACJI CENTRUM IMIENIA PROF. BRONISŁAWA GEREMKA

Polityka bezpieczeństwa informacji w Fundacji UPGRADE POLITYKA BEZPIECZEŃSTWA INFORMACJI. Fundacja UPGRADE. ulica Deszczowa Gdynia

KURS ABI. Dzień 1 Podstawy pełnienia funkcji ABI SZCZEGÓŁOWY HARMONOGRAM SZKOLENIA MODUŁ I

Polityka bezpieczeństwa ochrony danych osobowych i zarządzania systemem informatycznym w POYADE Group Poland sp. z o.o.

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie.

Marcin Soczko. Agenda

PROCEDURA / POLITYKA OCHRONY DANYCH OSOBOWYCH OBOWIĄZUJACA W PRZEDSZKOLU Nr 44

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA

Obowiązki ADO. Zasady przetwarzania danych osobowych. Jarosław Żabówka IV Internetowe Spotkanie ABI

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

Załącznik Nr 2 do ZARZĄDZENIA NR 568/2016 PREZYDENTA MIASTA SOPOTU z dnia 12 maja 2016 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

REGULAMIN OCHRONY DANYCH OSOBOWYCH I INFORMACJI STANOWIĄCYCH TAJEMNICE PRAWNIE CHRONIONE W NAMYSŁOWSKIEJ SPÓŁDZIELNI MIESZKANIOWEJ W NAMYSŁOWIE

Ryzyko nadmiernego przetwarzania danych osobowych

Regulamin ochrony danych osobowych w Spółdzielni Budowlano Mieszkaniowej Powiśle w Warszawie

Zarządzenie nr 25 Burmistrza Kolonowskiego Z roku

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Transkrypt:

PARTNER

Ochrona danych osobowych - szkolenie dla radców prawnych Szczecin, 11.03.2017 r.

Najnowsze przykłady ataków Źródło: https://niebezpiecznik.pl/

Najnowsze przykłady ataków Źródło: https://niebezpiecznik.pl/

Najnowsze przykłady ataków Źródło: https://niebezpiecznik.pl/

Ataki Źródło: www.zaufanatrzeciastrona.pl

Ataki Źródło: www.zaufanatrzeciastrona.pl

Źródło: www.zaufanatrzeciastrona.pl

Źródło: www.zaufanatrzeciastrona.pl

Źródło: www.zaufanatrzeciastrona.pl

Zabezpieczenie danych a tajemnica zawodowa

Zabezpieczenie danych a tajemnica zawodowa Ustawa o radcach prawnych Kodeks etyki radców prawnych Regulamin wykonywania zawodu radcy prawnego

Zabezpieczenie danych a tajemnica zawodowa Art. 3 ustawy o radcach prawnych ust. 3. Radca prawny jest obowia zany zachowac w tajemnicy wszystko, o czym dowiedział sie w zwia zku z udzieleniem pomocy prawnej. ust. 4. Obowia zek zachowania tajemnicy zawodowej nie mozė byc ograniczony w czasie. ust. 5. Radca prawny nie mozė byc zwolniony z obowia zku zachowania tajemnicy zawodowej co do faktów, o których dowiedział sie udzielaja c pomocy prawnej lub prowadza c sprawe.

Zabezpieczenie danych a tajemnica zawodowa Art.9 Kodeksu Etyki Dochowanie tajemnicy zawodowej jest prawem i obowiązkiem radcy prawnego. Stanowi podstawę zaufania klienta i jest gwarancją praw i wolności.

Zabezpieczenie danych a tajemnica zawodowa Art. 12 Kodeksu Etyki 1. Radca Prawny zobowiązany jest wykonywać czynności zawodowe sumiennie oraz z należytą starannością uwzgledniającą profesjonalny charakter działania

Zabezpieczanie danych a tajemnica zawodowa Art.15 Ust. 1 Radca prawny jest obowiązany zachować w tajemnicy wszystkie informacje dotyczące klienta i jego spraw, ujawnione radcy prawnemu przez klienta bądź uzyskane w inny sposób w związku z wykonywaniem przez niego jakichkolwiek czynności zawodowych niezależnie od źródła tych informacji oraz formy i sposobu ich utrwalenia (tajemnica zawodowa)

Zabezpieczanie danych a tajemnica zawodowa Ust. 2 Tajemnica zawodowa obejmuje również wszystkie tworzone przez radcę prawnego dokumenty oraz korespondencję radcy prawnego z klientem i osobami uczestniczącymi w prowadzeniu sprawy powstałe dla celów związanych ze świadczeniem pomocy prawnej.

Zabezpieczenie danych a tajemnica zawodowa Art.23 KE Radca prawny obowiązany jest zabezpieczyć przed niepowołanym ujawnieniem wszelkie informacje objęte tajemnica zawodową, niezależnie od ich formy i sposobu utrwalenia.

Zabezpieczanie danych a tajemnica zawodowa Art. 35 KE - Można wykonywać czynności drogą elektroniczną, jeśli radca prawny: 6) Poprzez okresową archiwizację zabezpiecza i dba o dostępność danych przetwarzanych drogą elektroniczną 7) Chroni tajemnicę zawodową, informując w treści korespondencji elektronicznej o jej poufnym charakterze; Zabezpieczenie uważa się za należyte, jeżeli klient po uprzednim poinformowaniu go o zagrożeniach związanych z korzystaniem z drogi elektronicznej, domyślnie lub wyraźnie zaakceptował stosowane w komunikacji z nim środki, techniki, sposoby, systemy lub standardy komunikacji elektronicznej

Tajemnica zawodowa a ochrona danych osobowych

UODO a tajemnice zawodowe Art. 5 UODO Jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw.

Tajemnica zawodowa: radcowie prawni, adwokaci, notariusze, komornicy, sędziowie, prokuratorzy, biegli rewidenci doradcy podatkowi, i 40 dalszych zawodów.

Czy tajemnica zawodowa idzie dalej? Art. 5 - lex specialis derogat legi generali? nie dochodzi o uchylenia przepisu ogólnego w całości, ale tylko w takim zakresie, jakiego dotyczy norma szczególna zastosowanie przepisu o charakterze szczególnym w zakresie, w jakim dotyczy przetwarzania danych osobowych, w pozostałym zakresie należy stosować przepisy ustawy odo

Zwolnienia ustawowe Art. 43 ust. 1. Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych: 2. przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym 5. dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,

Ochrona danych osobowych Źródła prawa Podstawy przetwarzania Zakres stosowania ustawy i kluczowe pojęcia

Źródła prawa ochrony danych Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych Rozporządzenie PE i Rady UE 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

Źródła prawa ochrony danych Rozporządzenia Ministra Administracji i Cyfryzacji: z dnia 11 maja 2015 roku w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych z dnia 11 maja 2015 roku w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji z dnia 10 grudnia 2014 roku w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych

Stosowanie ustawy Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych. Ustawę stosuje się do przetwarzania danych osobowych: w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych, w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych.

Stosowanie ustawy Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych. Ustawę stosuje się również do: 1) podmiotów niepublicznych realizujących zadania publiczne, 2) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej.

System ochrony danych osobowych przetwarzanie danych osobowych w przypadkach wymienionych w ustawie uwzględnienie uprawnień podmiotu danych Zapewnienia jawności przetwarzania danych odpowiednie zabezpieczenie danych osobowych

Dane osobowe wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej osobą możliwą do zidentyfikowania jest taka, której tożsamość można określić bezpośrednio lub pośrednio informacji nie uważa się za umożliwiające określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań

Dane osobowe - przykłady Imię i nazwisko PESEL, NIP, numer dowodu osobistego Informacje o majątku Wykształcenie, przebieg kariery zawodowej Cechy osobowościowe, sposób spędzania wolnego czasu Wyniki badań medycznych, informacje o chorobach Adres IP, numer telefonu, adres e-mail

Zbiór danych każdy posiadający strukturę zestaw danych o charakterze osobowym dostępnych według określonych kryteriów niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie

Pracownicy Kandydaci do pracy Dłużnicy Potencjalni klienci Kontrahenci Odbiorcy newslettera Klienci Przykładowe zbiory danych osobowych Osoby składające reklamacje

jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie Przetwarzanie danych osobowych a zwłaszcza te, które wykonuje się w systemach informatycznych

Administrator danych Podmiot decydujący o celach i środkach przetwarzania danych z powyższego pojęcia wyłączone są osoby fizyczne przetwarzające dane osobowe jedynie w celach osobistych lub domowych, bo do nich ustawy nie stosujemy, administratorem danych osobowych nie jest osoba zajmująca kierownicze stanowisko, czy pracownik, któremu powierzono przetwarzanie danych osobowych, nie jest konieczne, by administrator realizował wszystkie czynności składające się na pojęcie przetwarzania danych, wystarczy, że podejmuje decyzję, by przykładowo jedynie zbierać dane osobowe, nie jest administratorem danych procesor (podmiot, któremu powierzono przetwarzanie danych osobowych).

DOLiS/DEC- 570/13/32271,32276,32280,32284 Na podstawie ww. przepisu S. w celu dochodzenia ww. roszczeń powierzył Kancelarii dane osobowe Skarżących w zakresie, w jakim nimi dysponuje, zgodnie z umową z dnia [...] grudnia 2012 r. o współpracy, na mocy której zlecono Kancelarii, a ta zobowiązała się do świadczenia obsługi prawnej w zakresie dochodzenia należności od członków S. na drodze sądowej i egzekucyjnej. Stwierdzić należy, że umowa ta wypełniała przesłanki z art. 31 ust. 1 ustawy, gdyż została zawarta w formie pisemnej oraz określała zakres i cel powierzonych do przetwarzania danych. Podkreślić należy, że udostępnienie danych osobowych Skarżących między tymi podmiotami na podstawie ww. umowy powierzenia przetwarzania danych osobowych nie spowodowało zmiany administratora danych, którym nadal pozostaje S., natomiast Kancelaria przetwarza te dane wyłącznie w celu i zakresie przewidzianym we wskazanej umowie jako podmiot, o którym mowa w art. 31 ustawy. Zaznaczyć należy, że to powierzenie nie nakładało na S. obowiązku uzyskiwania zgody Skarżących na udostępnienie ich danych osobowych Kancelarii, bo uprawnienie administratora danych do podejmowania tych czynności wynikało z art. 31 ustawy.

Doradztwo podatkowe Księgowość Kadry i płace Usługi informatyczne Obsługa prawna Marketing Powierzenie Niszczenie dokumentów

Powierzenie przetwarzania danych Administrator może powierzyć innemu podmiotowi przetwarzanie danych: w oparciu o umowę na piśmie o przetwarzaniu danych wyłącznie w zakresie i celu przewidzianym w tej umowie podmiot, któremu powierzono dane zabezpiecza je zgodnie z wymaganiami u.o.d.o.

Inne ważne pojęcia Administrator bezpieczeństwa informacji (ABI) wyznaczona przez ADO i zarejestrowana w GIODO osoba, nadzorująca przestrzeganie zasad ochrony danych osobowych Administrator Systemu Informatycznego (ASI) zespół informatyków wyznaczony przez ADO, odpowiedzialny za prawidłowe funkcjonowanie systemów informatycznych, sprzętu, oprogramowania i jego konserwację

Zasady i przesłanki przetwarzania

Zasady przetwarzania Legalność Celowość Proporcjonalność Ograniczenie czasowe Merytoryczna poprawność

Kiedy można przetwarzać dane osobowe? Tylko w przypadkach wymienionych w ustawie gdy: osoba, której dane dotyczą, wyrazi na to zgodę, jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą

Dane osobowe wrażliwe dane ujawniające: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań i innych orzeczeń

Dane osobowe wrażliwe można przetwarzać gdy: osoba, której dane dotyczą, wyrazi na to zgodę na piśmie przepis innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub osób niepełnoletnich / ubezwłasnowolnionych jest to niezbędne do wykonania statutowych zadań kościołów, stowarzyszeń, fundacji, instytucji politycznych, naukowych, religijnych, związkowych

Cd. - Dane osobowe wrażliwe można przetwarzać, gdy: są one niezbędne do dochodzenia praw przed sądem dotyczą zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest ustawowy dotyczą ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów, zarządzania udzielaniem usług medycznych dotyczą danych upublicznionych umożliwiają prowadzenie badań naukowych lub uzyskanie dyplomu lub stopnia naukowego jest prowadzone w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym

ABI

Wymogi kwalifikacyjne Administratorem bezpieczeństwa informacji może być osoba, która: ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych posiada odpowiednią wiedzę w zakresie ochrony danych osobowych ABI nie osoba była karana fizycznaza umyślne przestępstwo Możliwość powoływania zastępców ABI

Pozycja ABI Kierownik jednostki organizacyjnej lub os. fiz. Będąca ADO Personel ABI ASI/ zastępca ABI

Zadania ABI Zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez: sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ODO oraz opracowanie w tym zakresie sprawozdania dla ADO nadzorowanie opracowania i aktualizowania dokumentacji ODO oraz przestrzegania zasad w niej określonych zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ODO Prowadzenie rejestru zbiorów danych Możliwość powierzenia ABI innych obowiązków, o ile nie naruszy to prawidłowego wykonywania powyższych zadań

Obowiązki administratora danych

Obowiązki administratora danych Przetwarzanie zgodnie z zasadami UODO Obowiązki informacyjne Obowiązki rejestracyjne Obowiązki dokumentacyjne Obowiązki zabezpieczenia danych Obowiązki kontrolne i nadzorcze

Obowiązki informacyjne administratora danych ADO zbiera dane od osoby, której dotyczą informuje o: adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych prawie dostępu do treści swoich danych oraz ich poprawiania dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej

Administrator zbiera dane nie od osoby, której dotyczą Moment informacji- bezpośrednio po utrwaleniu danych Obowiązku nie trzeba realizować, gdy: przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą, dane te są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą, a spełnienie wymagań określonych w ust. 1 wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania, dane są przetwarzane przez administratora, o którym mowa w art. 3 ust. 1 i ust. 2 pkt 1, na podstawie przepisów prawa, osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1.

Uprawnienia podmiotu danych Prawo do informacji o: administratorze danych, przetwarzanych danych, celu i czasie ich przetwarzania, sposobie udostępniania danych oraz źródle ich pochodzenia 30 dni na udzielenie informacji, na żądanie zainteresowanego w formie pisemnej podmiot danych może korzystać z tego prawa raz na 6 miesięcy Prawo do poprawiania danych, wstrzymania ich przetwarzania lub usunięcia: jeżeli są one nieaktualne, niekompletne, nieprawdziwe zostały zebrane z naruszeniem ustawy albo są zbędne do realizacji celu, w jakim były zebrane jeżeli ADO nie realizuje tego prawa, to przysługuje wniosek do GIODO o nakazanie dopełnienia obowiązku w takim przypadku ADO musi poinformować bez zbędnej zwłoki innych ADO, którym udostępnił zbiór o uaktualnieniu lub sprostowaniu danych

Obowiązek rejestracyjny Zasada Obowiązek zgłaszania zbiorów danych przez ADO do rejestru prowadzonego przez GIODO Wyjątki określone w ustawie interpretowane wąsko Cel prowadzenia rejestru zapewnienie jawności zbierania danych oraz celu ich zbierania (każdy ma prawo przeglądać rejestr) ułatwienie GIODO realizacji jego kompetencji kontrolnych

Brak obowiązku zgłaszania zbiorów danych: przetwarzanych w związku z zatrudnieniem u ADO, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się; dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta; tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego; dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności

Brak obowiązku zgłaszania zbiorów danych: przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej; powszechnie dostępnych; przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; przetwarzanych w zakresie drobnych bieżących spraw życia codziennego; przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1.

Dodatkowe zwolnienie Art. 43 ust. 1a: Obowiązkowi rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1, nie podlega administrator danych, który powołał administratora bezpieczeństwa informacji i zgłosił go Generalnemu Inspektorowi do rejestracji, z zastrzeżeniem art. 46e ust. 2. Korzyść z powołania ABI zwolnienie z obowiązku rejestracji zbiorów niezawierających danych wrażliwych w przypadku powołania i zgłoszenia ABI Korelat zwolnienia ADO z obowiązku rejestracji zbiorów obowiązek prowadzenia rejestru zbiorów przez ABI

Zabezpieczenie danych

Art. 36. 1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Art. 36. 2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1. Art. 38. Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.

Zabezpieczenie danych osobowych Środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych Dokumentacja przetwarzania danych

Zabezpieczenie danych osobowych Infrastruktura: Środki ochrony fizycznej Środki ochrony informatycznej Organizacja: Polityki i instrukcje Procedury Regulaminy

Bezpieczeństwo Poufność rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom Integralność rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany Rozliczalność rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi;

Dokumentacja ochrony danych osobowych Polityka bezpieczeństwa Instrukcja zarządzania systemem informatycznym

Polityka bezpieczeństwa To zestaw praw, reguł i praktycznych doświadczeń regulujących sposób zarządzania, ochrony i przepływu danych osobowych wewnątrz organizacji. Powinna odnosić się całościowo do problemu zabezpieczenia danych osobowych, tj.: do zabezpieczenia danych przetwarzanych tradycyjnie do danych przetwarzanych w systemach informatycznych Cel polityki bezpieczeństwa: wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie wykonać obowiązki administratora danych w zakresie zabezpieczenia danych osobowych.

PB Wyciąg zasad dla użytkowników Powołanie ABI/ASI Wykaz zbiorów danych Opis struktury zbiorów Lokalizacja przetwarzania Przepływ danych Zastosowane środki techniczne i organizacyjne Wzór upoważnień Ewidencja upoważnień Plan szkoleń Lista osób przeszkolonych Wzór umowy powierzenia Wzór oświadczeń i umów o poufności Plan sprawdzeń Wzór sprawozdania ze sprawdzenia Instrukcja alarmowa Rejestr powierzeń i udostępnień Wzory klauzul informacyjnych Wzór rejestru ABI

Upoważnienie upoważniam pana Jana Kowalskiego członka personelu Spółki XYZ do przetwarzania danych osobowych w następujących zbiorach i w następujących zakresach i systemach (tabela poniżej): Legenda: WG wgląd, W wprowadzanie, M modyfikacja, U usuwanie, A archiwizacja. Nazwa systemu informatycznego / zbioru Zbiór danych pracowników Zbiór kandydatów do pracy Zakres operacji przetwarzania DO W, WG, M, A W, WG, M, U

Ewidencja upoważnień Imię i nazwisko osoby upoważnionej Identyfikator Data nadania upoważnienia Data ustania upoważnienia Numer upoważnienia Jan Kowalski j. kowalski 16.09.2015 16.09.2016 1/2015

Instrukcja zarządzania systemem informatycznym Ogólne informacje o systemach informatycznych Opis zastosowanych zabezpieczeń Możliwe opracowanie kilku instrukcji w przypadku korzystania z kilku odmiennych systemów informatycznych Elementy określone w rozporządzeniu

Instrukcja zarządzania systemem informatycznym zawiera m.in.. procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych

Poziomy zabezpieczeń DO w systemach informatycznych podstawowy w systemie informatycznym nie ma danych wrażliwych żadne z urządzeń służących do przetwarzania danych nie jest podłączone do sieci publicznej podwyższony w systemie informatycznym są przetwarzane dane wrażliwe żadne z urządzeń służących do przetwarzania danych nie jest podłączone do sieci publicznej wysoki przynajmniej jedno urządzenie służące do przetwarzania danych jest połączone z siecią publiczną

Poziom wysoki zabezpieczenie przed dostępem nieuprawnionych kontrola dostępu do systemu, odrębne identyfikatory, dostęp po uwierzytelnieniu system zabezpiecza się przed: wirusami, programami szpiegującymi utratą danych spowodowaną awarią zasilania lub zakłóceniami sieci przy korzystaniu z komputerów przenośnych zachowanie szczególnej ostrożności przy ich transporcie i przechowywaniu

Poziom wysoki identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie zmiana haseł następuje nie rzadziej niż co 30 dni. Składa się ono co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne urządzenia i nośniki zawierające dane osobowe wrażliwe, które zabiera się poza obszar przetwarzania, zabezpiecza się w sposób zapewniający poufność i integralność tych danych

Poziom wysoki kopie zapasowe: przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem; usuwa się niezwłocznie po ustaniu ich użyteczności. urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do: likwidacji - pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie; przekazania podmiotowi nieuprawnionemu do przetwarzania danych - pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie; naprawy - pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych.

Poziom wysoki System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem. W przypadku zastosowania logicznych zabezpieczeń, o których mowa powyżej, obejmują one: kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną; kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej

Zabezpieczenia fizyczne Odpowiednia lokalizacja i zabezpieczenie pomieszczeń Ustalenie zasad dostępu do pomieszczeń osoby uprawnione do dostępu, zasady zamykania pomieszczeń (polityka kluczy) Szczególna uwaga: pomieszczenie serwerowni, pomieszczenie ASI, pomieszczenie, w którym przechowywane są kopie zapasowe Odpowiednie ustawienia monitorów (szczególna uwaga: przy oknach, w sekretariatach) Zasady niszczenia dokumentów i utylizacji elektronicznych nośników danych Polityka czystego ekranu i czystego biurka Wygaszacze ekranów, automatyczne wylogowywanie, filtry prywatyzujące Zasady kończenia pracy chowanie dokumentów, niszczenie zbędnych wydruków

Kontrola przestrzegania ustawy

Kontrola przestrzegania ustawy kontrola zgodności przetwarzania danych osobowych z przepisami ustawy należy do GIODO do kontroli upoważnieni przez GIODO pracownicy Biura GIODO kontrolujący muszą przedstawić legitymację służbową oraz upoważnienie do przeprowadzenia kontroli

KONTROLA GIODO zakres przedmiotowy przesłanki legalności przetwarzania zakres i cel przetwarzania merytoryczna poprawność danych i ich adekwatność do celu obowiązek informacyjny zgłoszenie zbioru do rejestracji zabezpieczenie danych

Uprawnienia kontrolerów wstępu, w godzinach od 6 do 22 do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą żądania złożenia wyjaśnień przesłuchiwania osób wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych

Zakończenie kontroli sporządzany jest protokół, którego jeden egzemplarz pozostawiany jest u ADO ADO może zgłosić do protokołu zastrzeżenia wraz z ich uzasadnieniem w przypadku stwierdzenia uchybień kontroler występuje do GIODO o podjęcie dalszych kroków administracyjnych

Środki administracyjne podejmowane przez GIODO Decyzja administracyjna nakazująca przywrócenie stanu zgodnego z prawem jej przedmiotem może być w szczególności: usunięcie uchybień uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe wstrzymanie przekazywania danych osobowych do państwa trzeciego zabezpieczenie danych lub przekazanie ich innym podmiotom usunięcie danych osobowych

Odpowiedzialność za naruszenia systemu ochrony danych osobowych

Sankcje karne GIODO ma obowiązek skierowania zawiadomienia o podejrzeniu przestępstwa wykrytego przy okazji swojej działalności obejmuje to przestępstwa sankcjonujące naruszenia ustawy o ochronie danych osobowych popełnione przez ADO lub jego pracownika

Sankcje karne Przetwarzanie danych osobowych bez uprawnienia Udostępnienie danych osobom nieupoważnionym Choćby nieumyślne naruszenie obowiązku zabezpieczenia danych przed zabranie przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem Zaniechanie zgłoszenia do rejestracji zbioru danych Zaniechanie poinformowania osoby której dane dotyczą o jej prawach lub przekazania jej informacji umożliwiających korzystanie z jej uprawnień Podlegają karze grzywny, ograniczenia wolności lub pozbawienia wolności do lat 3 lat

Rozporządzenie ogólne

Cele rozporządzenia Wysoki i spójny poziom ochrony osób fizycznych Usunięcie przeszkód w przepływie danych osobowych Pewność i przejrzystość prawa dla mikroprzedsiębiorców i MŚP Ujednolicenie poziomu prawnie egzekwowalnych praw Ujednolicenie poziomu obowiązków i zadań ADO i procesorów

Prawa podmiotu danych

Zasada przejrzystości Zasada - ADO podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielić osobie, której dane dotyczą, wszelkich informacji Informacji udziela się na piśmie lub innymi sposobami, a w stosownym przypadku elektronicznie np. za pomocą strony internetowej Gdy komunikaty skierowane do dziecka tak prosty i łatwy język by dziecko mogło zrozumieć Administrator ułatwia osobie, której dane dotyczą, korzystanie z przysługujących jej praw

Zasada przejrzystości i prawa podmiotu danych Dwie grupy przepisów Dotyczące obowiązków informacyjnych (art. 13 i art. 14) Dotyczące uprawnień podmiotów danych (art. 15-22) prawo: dostępu, do poprawienia, do usunięcia, do ograniczenia przetwarzania, do przenoszenia danych, do sprzeciwu, do niepodlegania profilowaniu Realizacja w/w obowiązków i uprawnień co do zasady wolna od opłat

Administrator (i podmiot przetwarzający) OBOWIĄZKI

Obowiązki Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych ADO wdraża odpowiednie środki techniczne i organizacyjne takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania

Szacowanie zagrożeń właściwych dla przetwarzania danych i ich skutków Przed wdrożeniem zabezpieczeń ADO musi ocenić prawdopodobieństwo i wagę zagrożenia dla praw i wolności osoby, której dane dotyczą Co decyduje? charakter DO, zakres DO, skala, sposób i cel przetwarzania, źródło DO Rozporządzenie zachowuje technologiczną neutralność Sprawdzone rozwiązania zatwierdzone kodeksy postępowania, certyfikacja, wytyczne Europejskiej Rady Ochrony Danych, sugestie DPO;

Bezpieczeństwo przetwarzania ADO i procesor wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić poziom bezpieczeństwa odpowiadający zagrożeniom uwzględniając pseudonimizację i szyfrowanie danych osobowych; zdolność do zapewnienia na bieżąco poufności, integralności, dostępności i odporności systemów i usług przetwarzających dane osobowe; zdolność do szybkiego przywrócenia dostępności danych i dostępu do nich w razie incydentu fizycznego lub technicznego; regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Obowiązki Rejestrowanie czynności przetwarzania ADO prowadzi rejestr podlegających mu czynności przetwarzania danych osobowych. W rejestrze tym zamieszcza się następujące informacje: imię i nazwisko lub nazwę oraz dane kontaktowe ADO oraz wszelkich współadministratorów, przedstawiciela administratora oraz DPO; cele przetwarzania; opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych; kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, planowane terminy usunięcia poszczególnych kategorii danych; ogólny opis technicznych i organizacyjnych środków bezpieczeństwa;

Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu W przypadku naruszenia ODO, ADO bez zbędnej zwłoki jeżeli to wykonalne, nie później niż 72 h po stwierdzeniu naruszenia zgłasza je organowi nadzorczemu chyba że jest mało prawdopodobne, by naruszenie to skutkowało zagrożeniem dla praw i wolności osób fizycznych do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia

Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych Jeżeli naruszenie ochrony danych osobowych może nieść duże zagrożenie dla praw i wolności osób fizycznych, ADO bez zbędnej zwłoki zawiadamia podmiot danych o takim naruszeniu. Zawiadomienie napisane jasnym i prostym językiem Zawiadomienie nie jest wymagane, jeżeli: ADO wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych, których dotyczy naruszenie; ADO przedsięwziął następnie środki eliminujące prawdopodobieństwo dużego zagrożenia dla praw i wolności osoby, której dane dotyczą, lub wymagałoby ono niewspółmiernie dużego wysiłku.

Inspektor ochrony danych Obligatoryjne powołanie inspektora ochrony danych (DPO), gdy: przetwarzania dokonuje organ lub podmiot publiczny (z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę danych osobowych szczególnych kategorii, a także danych o wyrokach skazujących i o przestępstwach.

Administracyjne kary pieniężne Możliwość nakładania kar organ nadzorczy Nałożenie kary i jej wysokość: Zależne od okoliczności Oceniane indywidualnie Stosowane obok lub zamiast środków określonych w art. 58 ust. 2 RODO

Administracyjne kary pieniężne Naruszenia przepisów dotyczących następujących kwestii podlegają zgodnie administracyjnej karze pieniężnej w wysokości do: 10 000 000 EUR, a w przypadku przedsiębiorstwa w wysokości do 2 % lub 20 000 000 EUR, ao w przypadku przedsiębiorstwa w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa:

DZIĘKUJEMY ZA UWAGĘ! dr Dominik Lubasz radca prawny dominik.lubasz@lubaszwspolnicy.pl tel. kom.: +48 509 824 632 Katarzyna Witkowska prawnik katarzyna.witkowska@lubasziwspolnicy.pl tel. kom.: + 48 512 987 244

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres