PRZETWARZANIE I OCHRONA DANYCH OSOBOWYCH W ORGANIZACJACH BRANŻY IT OBOWIĄZKI, INCYDENTY, SANKCJE PRAWNE I FINANSOWE W ŚWIETLE REGULACJI RODO

Podobne dokumenty
RODO W ORGANIZACJI- JAK PRAWIDŁOWO PRZYGOTOWAĆ SIĘ ORAZ UNIKNĄĆ KAR PIENIĘŻNYCH

Technologia Informacyjna i Prawo w służbie ochrony danych - #RODO2018

RODO w Hodowli, czy nas dotyczy? Doradca Podatkowy Marek Rudy nr wpisu Wojciech Nowakowski

Ochrona danych osobowych w biurach rachunkowych

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

Nowe przepisy i zasady ochrony danych osobowych

RODO WYMOGI OCHRONY DANYCH OSOBOWYCH PACJENTÓW MLD Katowice, dnia 24 kwietnia 2018 r. r. pr. Michał Rytel

II Lubelski Konwent Informatyków i Administracji r.

Nadzór nad przetwarzaniem danych osobowych zgodnie z RODO

WIĘCEJ KORZYŚCI, WIĘCEJ MOŻLIWOŚCI. z certyfikatami TÜV Hessen.

Radca Prawny Anna Matusiak-Wekiera. Kancelaria Radcy Prawnego Anna Matusiak-Wekiera

Prowadzący: Marcin Jastrzębski. Łódź, październik 2018r. Projekt współfinansowany przez Unię Europejską z Europejskiego Funduszu Społecznego

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

Niepełnosprawność: szczególna kategoria danych osobowych

Przemysław Bańko Dyrektor ds. Bezpieczeństwa Smart In

ZAŁĄCZNIK SPROSTOWANIE

PRAWNE UWARUNKOWANIA WYKORZYSTANIA DANYCH INDYWIDUALNYCH W CELU EWALUACJI POLITYKI ZATRUDNIENIA W POLSCE

ECDL RODO Sylabus - wersja 1.0

Nadzór nad przetwarzaniem kadrowych danych osobowych zgodnie z RODO

Rola biura rachunkowego w nowym modelu ochrony danych osobowych

CZĘŚĆ I PODSTAWOWE INFORMACJE O RODO

rodo. ochrona danych osobowych.

POLITYKA PRYWATNOŚCI

Technologia Infromacyjna i Prawo w służbie ochrony danych - #RODO2018

RODO Nowe zasady przetwarzania danych osobowych. radca prawny Piotr Kowalik Koszalin, r.

Program szkolenia - Rejestracja i bezpieczeństwo danych osobowych

Ochrona danych osobowych w biurach rachunkowych

Ochrona danych osobowych

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

System wspomagania pracy Administratora Bezpieczeństwa Informacji Opis zmian w wersji

OCHRONA DANYCH OD A DO Z

RODO w HR Zasady przetwarzania danych osobowych kandydatów i pracowników

Bezpieczeństwo informacji. Opracował: Mariusz Hoffman

Monitorowanie systemów IT

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

NOWE PRZEPISY DOTYCZĄCE BEZPIECZEŃSTWA DANYCH OSOBOWYCH. Agnieszka Wiercińska-Krużewska, adwokat, senior partner 21 września 2017 r.

Opracował Zatwierdził Opis nowelizacji

Warszawa, 19 października 2016 Agnieszka Szydlik, adwokat, Wardyński & Wspólnicy Sylwia Paszek, radca prawny, Wardyński & Wspólnicy

Rozporządzenie Ogólne o Ochronie Danych Osobowych - General Data Protection Regulation

2. Proces tworzenie wewnętrznego systemu ochrony danych osobowych przedsiębiorcy. 3. Postanowienia dyrektywy 95/46/WE, które pozostaną aktualne

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

NOWE UJĘCIE OCHRONY DANYCH OBOWIĄZKI ADMINISTRATORA DANYCH OSOBOWYCH

Radom, 13 kwietnia 2018r.

poleca e-book Instrukcja RODO

Załącznik Nr 4 do Umowy nr.

RODO w firmie transportowej RADCA PRAWNY PAWEŁ JUDEK

SZCZEGÓŁOWY HARMONOGRAM KURSU

POLITYKA PRYWATNOŚCI

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

Spis treści. Wykaz skrótów... Wprowadzenie...

UMOWA powierzenia przetwarzania danych osobowych (zwana dalej Umową )

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

Umowa powierzenia przetwarzania danych osobowych

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. nr./2018

Polityka Ochrony Danych Osobowych. Magdalena Młynarczyk Lege Artis Biuro Obrotu Nieruchomościami

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Wrocław, Wrocław - Centrum miasta. Koszt szkolenia: 1790.

Sprawdzenie systemu ochrony danych

PROGRAM SZKOLEŃ DLA ORGANIZACJI SEKTORA PUBLICZNEGO. Plan szkoleń na rok 2015 (lipiec-sierpień-wrzesień)

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

POLITYKA PRYWATNOŚCI

POLITYKA OCHRONY DANYCH OSOBOWYCH

Które i jakie organizacje będą zobowiązane do wyznaczenia inspektora ochrony danych (IOD/DPO)

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Maciej Byczkowski ENSI 2017 ENSI 2017

PODSTAWY PRZETWARZANIA DANYCH KANDYDATÓW DO PRACY W NOWYM PROJEKCIE KODEKSU PRACY. r.pr. Patrycja Kozik

Czym jest RODO? Czym jest przetwarzanie danych osobowych?

Spis treści. Wykaz skrótów... Wprowadzenie...

Obowiązki ADO. Zasady przetwarzania danych osobowych. Jarosław Żabówka IV Internetowe Spotkanie ABI

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

Załącznik nr 4 POLITYKA OCHRONY PRYWATNOŚCI. Artykuł 1. Zasada ochrony prywatności

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

GRUPA GUMUŁKA -KIERUNEK NA INNOWACJE OFERTA SZKOLENIA OCHRONA DANYCH OSOBOWYCH Z UWZGLĘDNIENIEM EUROPEJSKIEJ REFORMY PRZEPISÓW - RODO KATOWICE

POLITYKA PRZETWARZANIA DANYCH OSOBOWYCH W NOBLE FUNDS TOWARZYSTWIE FUNDUSZY INWESTYCYJNYCH S.A. (Polityka transparentności)

OFERTA Usług audytowych i doradczych w zakresie ochrony danych osobowych dla jednostek administracji publicznej

I. Postanowienia ogólne

Podanie danych jest niezbędne do zawarcia umów, świadczenia usług oraz rozliczenia prowadzonej działalności.

Nowe wyzwania dla systemów IT, w kontekście planowanych zmian w ustawodawstwie

Polityka prywatności przetwarzanie danych osobowych w serwisie internetowym kuberacars.pl

Safe24biz Sp z o.o., ul. Człuchowska 2c/13, Warszawa tel: (62) ,

WARSZTATY PRZYGOTOWUJĄCE DO OBJĘCIA FUNKCJI ABI I ASI. NOWE ZADANIA - SPRAWDZENIA, SPRAWOZDANIA, JAWNY REJESTR ZBIORÓW DANYCH.

:00 17:00. Organizator szkolenia: Związek Pracodawców Ziemi Jaworskiej

- REWOLUCJA W PRZEPISACH

BEZPIECZEŃSTWO PRAWNE ELEKTRONICZNEGO OBIEGU DOKUMENTÓW

PROGRAM SZKOLEŃ OD STUDENTA DO EKSPERTA. Plan szkoleń na rok 2014 (marzec-kwiecień-maj)

PRAWA PODMIOTÓW DANYCH - PROCEDURA

SPOTKANIE INFORMACYJNE

PARTNER.

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W FUNDACJI CENTRUM IMIENIA PROF. BRONISŁAWA GEREMKA

POLITYKA PRYWATNOŚCI Up&More Sp. z o.o.

Obszar I. Obszar II. Co dokładnie będziemy analizować? Nowa klasyfikacja: dane zwykłe dane wrażliwe dane biometryczne

Szkolenie : Administrator Bezpieczeństwa Informacji (2 dni)

Prywatność i bezpieczeństwo danych medycznych

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

ZASADY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH NA RZECZ ROSEVILLE INVESTMENTS SP. Z O.O.

rodo. naruszenia bezpieczeństwa danych

Ochrona danych osobowych, co zmienia RODO?

Transkrypt:

PRZETWARZANIE I OCHRONA DANYCH OSOBOWYCH W ORGANIZACJACH BRANŻY IT OBOWIĄZKI, INCYDENTY, SANKCJE PRAWNE I FINANSOWE W ŚWIETLE REGULACJI RODO Prowadzący: dr inż. Jarosław Wąsiński Auditor Jednostki Certyfikującej TÜV Hessen

ANKIETA www.menti.com kod: 63 95 59

TÜV HESSEN to marka TÜV. To jedna z wiodących, międzynarodowych organizacji z zakresu dostarczania sprawdzonych i innowacyjnych rozwiązań dla branży medycznej oraz sektora usługowego. Jesteśmy zwolennikami filozofii optymalnego wykorzystania technologii, systemów i KNOW-HOW. ISO 9001 ISO 14001 PN-N-18001 / BS OHSAS 18001 ISO/IEC 17025 CAF ISO 13485 (System Zarządzania Jakością dla Wyrobów Medycznych) HACCP ISO 22000 ISO / IEC 27001 ISO 50001 / EN 16001 Systemy zintegrowane

Systemy Zarządzania > ISO/IEC 27001 > SoA > RODO [ GDPR ] NORMY ISO > > ISO/IEC 27001:2013 ISO/IEC 27001 > > > Zarządzanie Bezpieczeństwem Informacji Poprawnie wdrożony i certyfikowany System Zarządzania Bezpieczeństwem Informacji wg ISO/IEC 27001 pomaga w ochronie zasobów informacji organizacji. To podstawowy argument, który pokrywa się z licznymi wymaganiami prawnymi, takimi jak; np. Ochrona Danych Osobowych.

Systemy Zarządzania > ISO/IEC 27001 > SoA > RODO [ GDPR ] > > ISO/IEC 27001:2013 ISO/IEC 27001 > > > Zarządzanie Bezpieczeństwem Informacji Ochrona Danych Osobowych NORMY ISO

BEZPIECZEŃSTWO INFORMACJI W MAŁYCH FIRMACH Stosowanie wymagań normy ISO/IEC 27001 zamieszczonych w załączniku A na podstawie danych z 50 firm Funkcjonowanie wybranych elementów systemu zarządzania bezpieczeństwem informacji wynika ze spełnienia wymagań zamieszczonych w załączniku A (załączniku normatywnym) do normy ISO/IEC 27001. Stosowanie się firm do tej grupy wymagań wynika z faktu: > występowania elementów wspólnych stosowanych systemów zarządzania jakością i normy ISO/IEC 27001; > zastosowania wymaganych rozwiązań w momencie wdrażania kupionego oprogramowania lub nabycia usług informatycznych od dostawców.

PODSTAWOWE PROBLEMY W OBSZARZE BEZPIECZEŃSTWA INFORMACJI W FIRMACH > brak sformułowanego dokumentu o tytule polityki w zakresie bezpieczeństwa informacji, tym samym prawidłowego jej przeglądu przez kierownictwo pod względem adekwatności, > szczątkowo spisane deklaracje o charakterze polityki, identyfikowane nie w jednym, lecz w różnych dokumentach firmowych, > brak udokumentowania lub niepełny zakres sformułowania odpowiedzialności dotyczącej bezpieczeństwa, > brak niezależnych przeglądów w obszarze bezpieczeństwa,

PODSTAWOWE PROBLEMY W OBSZARZE BEZPIECZEŃSTWA INFORMACJI W FIRMACH > brak identyfikacji ryzyk związanych ze stronami zewnętrznymi (np. kontrahentami), > niepełne dyspozycje w zakresie bezpieczeństwa informacji w kontaktach z klientami oraz w umowach ze stronami trzecimi, > brak wymaganych klauzul w zakresie bezpieczeństwa informacji w umowach zawartych z pracownikami, > niewystarczająco określona odpowiedzialność pracownika co do naruszeń bezpieczeństwa danych oraz jego obowiązków w tym zakresie. Najczęściej nie ustanawia się postępowania dyscyplinarnego w przypadku naruszenia bezpieczeństwa,

PODSTAWOWE PROBLEMY W OBSZARZE BEZPIECZEŃSTWA INFORMACJI W FIRMACH > bardzo rzadko przeprowadzane szkolenia o tematyce bezpieczeństwa informacji lub prowadzone w bardzo wąskim (szczątkowym) zakresie tematycznym, > w nieodpowiedni sposób egzekwowany zwrot aktywów (dokumentów i danych) po zakończeniu codziennej pracy lub w sytuacji zwolnień pracowników. Przedstawiciele organizacji mają trudności z ustaleniem liczby dokumentów tworzonych przez pracowników jako następstwo pracy w domu prowadzonej w nienadzorowany sposób,

PODSTAWOWE PROBLEMY W OBSZARZE BEZPIECZEŃSTWA INFORMACJI W FIRMACH > brak lub niepełne dyspozycje w zakresie zapewnienia funkcjonowania organizacji podczas zdarzeń kryzysowych - wstrzymujących jej normalną pracę (np. podczas awarii systemów informatycznych). Użytkowane dokumenty dotyczące postępowania w sytuacjach kryzysowych nie zawierają szczegółowych wytycznych, są trudne do walidacji (testowania i stosowania), a ich skuteczność może być niska.

PODSTAWOWE PROBLEMY W OBSZARZE BEZPIECZEŃSTWA INFORMACJI W FIRMACH > delegowanie, przez 98% firm, procesu zarządzanie własną stroną INTERNETOWĄ, specjalistycznym firmom zewnętrznym, > fizyczne umieszczone na serwerach nadzorowanych przez firmy zewnętrzne zawartości strony internetowej przedsiębiorstwa i aplikacji do obsługi procesów, przy czym zaobserwowano, że pracownicy usługodawców, szczególnie w sytuacji częstych rotacji na stanowiskach pracowniczych, posiadają niewielką wiedzą na temat zabezpieczenia znajdujących się tam informacji,

PODSTAWOWE PROBLEMY W OBSZARZE BEZPIECZEŃSTWA INFORMACJI W FIRMACH > niska świadomość kierownictwa co do treści umów podpisywanych z dostawcami usług informatycznych. Zarządzający pytani o bezpieczeństwo informacji w Internecie oraz dysków sieciowych obsługiwanych przez serwery zewnętrzne najczęściej odpowiadali, że reguluje to umowa ze specjalistyczną firmą, przy czym zazwyczaj nie byli świadomi znaczenia klauzul umownych.

PODSTAWOWE PROBLEMY W OBSZARZE BEZPIECZEŃSTWA INFORMACJI W FIRMACH > brak w umowach z dostawcami usługi serwerowych wielu kryteriów stanowiących podstawę zapewnienia bezpieczeństwa danych, > brak postanowień o bezpieczeństwie danych w sieci w umowach outsourcingu procesów firmom zewnętrznym pracującym na specjalistycznym oprogramowaniu współpracującym z siecią Internet. Aż 63% firm zleca realizację procesu księgowości oraz 50% firm prowadzenie spraw kadrowych firmom zewnętrznym, > niepełne dyspozycje dla elektronicznego obiegu dokumentacji, który w praktyce jest podstawą jest wzorcem dla dokumentu na tradycyjnym (papierowym) nośniku,

PODSTAWOWE PROBLEMY W OBSZARZE BEZPIECZEŃSTWA INFORMACJI W FIRMACH > indywidualne (niezatwierdzone systemowo) zasady nadzoru nad dokumentami (taka dokumentacja jest przydatna jedynie dla pracownika danego stanowiska, ponadto trudna do nadzorowania z uwagi na bezpieczeństwo danych), > brak ustalonych zasad posługiwania się nośnikami elektronicznymi. Powszechne jest używanie wielu egzemplarzy i kopi dokumentów elektronicznych umieszczonych na dyskach komputerów, serwerach, w niezależnych aplikacjach (w poczcie elektronicznej, bazach danych, systemie informatycznym, itp.), w wersjach papierowych (w oryginałach i w postaci tzw. kser). Właściwie w żadnym przypadku nie zaobserwowano ustalonych zasad obchodzenia się z nośnikami danych, dyskami zewnętrznymi, natomiast ich użycie przez pracowników jest powszechne,

PODSTAWOWE PROBLEMY W OBSZARZE BEZPIECZEŃSTWA INFORMACJI W FIRMACH > stosowanie oprogramowania antywirusowego i zabezpieczeń przed złośliwym oprogramowaniem, ocenianych w gronie ekspertów jako średniej skuteczności, > brak ustalonych zasad dotyczących wykorzystywania poczty elektronicznej do przesyłania informacji ważnych dla organizacji, > brak ustalonego priorytetu ważności, pilności sprawy, tym samym priorytetu bezpieczeństwa przekazywanej informacji jeśli dokument - informacja na nośniku, dla danego działu jest ważny, pilny, to dla innego, w którym dokument przebywa, może nie być tak istotny.

PODSTAWOWE PROBLEMY W OBSZARZE BEZPIECZEŃSTWA INFORMACJI W FIRMACH > przyzwoicie funkcjonujące zabezpieczenia dostępu jak: kontrola dostępu do sieci, kontrola dostępu do systemów operacyjnych, kontrola dostępu do aplikacji skutkująca posługiwaniem się hasłami dostępu do komputera i koniecznością logowania do zakładowego systemu. Jednak pomimo stosowanych zabezpieczeń znaczna część pracowników nie ma nawyku wygaszania systemu przy opuszczaniu stanowisk pracy tzw. polityki czystego ekranu monitora, toteż dostęp do komputera innych osób jest w tym momencie nieograniczony.

PODSTAWOWE AKTY PRAWNE W OBSZARZE OCHRONY DANYCH OSOBOWYCH > Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2016 r., poz. 922 z późn. zm.) > Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) > Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Danych Osobowych (Dz. U. Nr 229, poz. 1536)

PODSTAWOWE AKTY PRAWNE W OBSZARZE OCHRONY DANYCH OSOBOWYCH > Rozporządzenie Rady Ministrów z dnia 29 maja 2012 r. w sprawie środków bezpieczeństwa fizycznego stosowanych do zabezpieczenia informacji niejawnych (Dz. U. z 2012 r., poz. 683) > Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz. U. z 2014 r., poz. 1934) > Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. W sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. z 2015 r., poz. 745)

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016r.) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) 25 maja 2018r. START

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 Kryteria nowych regulacji w zakresie bezpieczeństwa danych osobowych: > Jednolite klauzule prawne > Wymagania adekwatne do rodzaju przedsiębiorstwa > Sankcje karne większa skuteczność respektowania prawa > Składanie skarg do GIODO (ułatwienia) > Ochrona prywatności działania zamierzone > Inspektor Ochrony Danych (zastępstwo dla ABI)

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 Kryteria nowych regulacji w zakresie bezpieczeństwa danych osobowych: > Ocena skutków przetwarzania > Nowe obowiązki i ograniczenia dla podwykonawców (procesorów) > Administratorzy i grupy organizacji > Sprawozdania do GIODO w następstwie naruszeń > Dane wrażliwe dane szczególnych kategorii > Działania związane z profilowaniem

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 Kryteria nowych regulacji w zakresie bezpieczeństwa danych osobowych: > Obowiązki informacyjne wobec osób fizycznych > Przetwarzanie danych osobowych dzieci

SANKCJE KARNE WIĘKSZA SKUTECZNOŚĆ RESPEKTOWANIA PRAWA > Rozporządzenie wprowadza nowe sankcje za naruszanie przepisów. > Obecnie kary za nieprzestrzeganie przepisów są względnie niskie ich egzekwowanie jest mało skuteczne grzywna ma zastosowanie za permanentne uchylanie się od usuwania niezgodności (niska szkodliwość społeczna zachęcała do nieprzestrzegania prawa). > Rozporządzenie RODO przewiduje maksymalne kary do 20 mln EURO (do 4% rocznego światowego obrotu dla firmy zastosowanie ma kwota wyższa) za naruszenie istotnych przepisów ochrony danych osobowych > Rozporządzenie RODO przewiduje kary do 10 mln EURO (do 2% rocznego światowego obrotu dla firmy zastosowanie ma kwota wyższa) za naruszenie przepisów mniejszej rangi.

SANKCJE KARNE WIĘKSZA SKUTECZNOŚĆ RESPEKTOWANIA PRAWA > Każdy przypadek naruszenia będzie rozpatrywany indywidualnie przez GIODO przy uwzględnieniu: - skali naruszenia przepisu, - przesłanek wskazujących na umyślność działania, - działań podjętych celem ograniczenia negatywnych skutków względem osób, których dane dotyczą, - częstotliwości naruszania przez organizację przepisów, rodzaju danych osobowych, - warunków współpracy organizacji z GIODO.

OCHRONA PRYWATNOŚCI DZIAŁANIA ZAMIERZONE > Ochrona danych ma być atrybutem wpisywanym w systemy już na etapie projektowania. > Powinna być właściwością domyślną bez konieczności inicjowania działań przez osoby, których dane dotyczą. > Działania związane ze spełnieniem wymagań prawnych można wykazać między innymi poprzez wprowadzenie zatwierdzonego mechanizmu certyfikacji. > Za nieprzestrzeganie przepisów na etapie projektowania Rozporządzenie RODO przewiduje kary do 10 mln EURO (do 2% rocznego światowego obrotu dla firmy zastosowanie ma kwota wyższa).

INSPEKTOR OCHRONY DANYCH > Zamiast ABI powołuje się IOD IOD należy wyznaczyć gdy: - przetwarzania dokonują organ lub podmiot publiczny,(z wyłączeniem sądów); - podstawowa działalność administratora lub podmiotu przetwarzającego dotyczy operacji przetwarzania, a charakter, zakres danych lub cele działań wymagają regularnego monitorowania podmiotów danych na dużą skalę; - podstawowa działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę danych osobowych szczególnych kategorii np.: danych wrażliwych.

INSPEKTOR OCHRONY DANYCH > Wyznaczenie IOD, w niektórych przypadkach będzie dotyczyć również podwykonawców (procesorów). > IOD kontaktuje się z osobami, których dane dotyczą. > IOD podlega zarządowi Administratora lub jednostki przetwarzającej. > Grupa podmiotów może powołać wspólnego IOD. > Za niepowołanie IOD przewiduje się kary do 10 mln EURO (do 2% rocznego światowego obrotu dla firmy zastosowanie ma kwota wyższa). > Administrator i procesor musi zagwarantować procesorowi zasoby niezbędne do utrzymania jego wiedzy fachowej.

OCENA SKUTKÓW PRZETWARZANIA > Rozporządzenia określa, że jeżeli dany rodzaj przetwarzania z uwagi na charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia prawa, administrator dokonuje oceny skutków przetwarzania. > Oceny skutków należy zawsze dokonywać, gdy: - stosuje się profilowanie, - przetwarza się dane wrażliwe na dużą skalę, - monitoruje się na dużą skalę miejsca publiczne, - przetwarza się dane określone przez GIODO podlegające koniczności oceny skutków naruszenia danych.

OCENA SKUTKÓW PRZETWARZANIA > Na ocenę skutków składa się: - opis planowanych operacji przetwarzania i ich celów, - ocena adekwatności operacji przetwarzania w stosunku do celów, - ocena zagrożenia dla prawa i wolności osób, - ocenę środków ograniczających zagrożenia i mających chronić dane osobowe. > Ocena skutków często wymaga wiedzy eksperckiej, ponieważ w przypadku wątpliwości administrator powinien skonsultować się z GIODO. > Za naruszenie obowiązku oceny skutków przewiduje się kary do 10 mln EURO (do 2% rocznego światowego obrotu dla firmy - zastosowania ma kwota wyższa).

NOWE OBOWIĄZKI I OGRANICZENIA DLA PODWYKONAWCÓW (PROCESORÓW) > Zakaz podzlecania podwykonawcom przetwarzania danych osobowych bez zgody administratora. > Procesor rejestruje wszystkie kategorie czynności przetwarzania danych osobowych dokonywanych w imieniu administratora (rejestr czynności). > Obowiązek informowania administratora przez procesora w przypadku naruszenia bezpieczeństwa. > Obowiązek podpisania umowy administratora z procesorem przed przekazaniem uprawnień.

ADMINISTRATORZY I GRUPY ORGANIZACJI > Administratorzy ustalający wspólne cele współadministratorzy. > Osoba, której dane dotyczą może egzekwować prawa od każdego z administratorów i przeciwko każdemu z nich. > Grupa przedsiębiorstwa przedsiębiorstwa kontrolujące i kontrolowane. > Współadministratorzy mogą dzielić odpowiedzialność i uprawnienia. > Grupa przedsiębiorstw może wyznaczyć jednego IOD.

SPRAWOZDANIA DO GIODO W NASTĘPSTWIE NARUSZEŃ > Naruszenie ochrony danych osobowych skutkujące prawdopodobnym ryzykiem naruszenia praw lub wolności osób fizycznych zgłasza się do GIODO bez zbędnej zwłoki ale nie później niż w ciągu 72 godzin (3 dni). > Jeśli ryzyko jest duże, należy informować również właściciela danych wysoki koszt procedury i ryzyko utraty wizerunku. > Jeśli ADO nie ma obowiązku poinformowania GIODO o naruszeniu to i tak musi prowadzić rejestr naruszeń. > Sposób informowania o naruszeniu ma wpływ na wysokość kary. > Konieczne w tym przypadku będzie tworzenie planów awaryjnych ciągłość działania (ISO/IEC 27001).

DANE WRAŻLIWE DANE SZCZEGÓLNYCH KATEGORII > Zabrania się przetwarzania danych osobowych ujawniających: - pochodzenie rasowe lub etniczne, - poglądy polityczne, - przekonania religijne lub światopoglądowe, - przynależność do związków zawodowych,

DANE WRAŻLIWE DANE SZCZEGÓLNYCH KATEGORII > Zabrania się przetwarzania danych osobowych ujawniających: - danych genetycznych, - danych biometrycznych (nowość) w tym: a) geometria (kształt) twarzy, rozkład punktów charakterystycznych (oczy, usta) lub temperatur na twarzy, b) geometria (kształt) ucha, c) kształt linii zgięcia wnętrza dłoni, d) kształt twarzy, rozkład punktów charakterystycznych (oczy, usta) lub temperatur na twarzy, e) geometria (kształt) ucha, f) układ naczyń krwionośnych na dłoni lub przegubie ręki,

DZIAŁANIA ZWIĄZANE Z PROFILOWANIEM > Profilowanie - dowolna forma zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu tych danych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

DZIAŁANIA ZWIĄZANE Z PROFILOWANIEM > Osoba, której dane dotyczą ma prawo by nie podlegać decyzji opartej na podstawie czynności związanej z profilowaniem jeśli wywiera skutki prawne lub wpływa na nią. > Powyższe nie ma zastosowania, jeśli jest to niezbędne do podpisania umowy lub osoba wyraziła na to zgodę. > Zakaz wykorzystywania do profilowania danych wrażliwych chyba, że osoba wyraziła zgodę, lub działania wpływają na ważny interes publiczny.

DZIAŁANIA ZWIĄZANE Z PROFILOWANIEM > Osoba, której dane dotyczą ma prawo by nie podlegać decyzji opartej na podstawie czynności związanej z profilowaniem jeśli wywiera skutki prawne lub wpływa na nią. > Powyższe nie ma zastosowania, jeśli jest to niezbędne do podpisania umowy lub osoba wyraziła na to zgodę. > Zakaz wykorzystywania do profilowania danych wrażliwych chyba, że osoba wyraziła zgodę, lub działania wpływają na ważny interes publiczny. O profilowaniu informujemy na etapie zbierania danych osobowych oraz na wniosek osoby.

OBOWIĄZKI INFORMACYJNE WOBEC OSÓB FIZYCZNYCH Dodatkowe kryteria: >Informacja o inspektorze ochrony danych (IOD), > Nazwa i dane kontaktowe przedstawiciela (jeżeli ma zastosowanie), > Prawne podstawy przetwarzania, > Uzasadnienie interesu administratora jeśli stanowi podstawę przetwarzania, > Dane państwa trzeciego jeżeli ma zastosowanie, > Okres przechowywania danych (kryteria ustalenia długości okresu),

OBOWIĄZKI INFORMACYJNE WOBEC OSÓB FIZYCZNYCH Dodatkowe kryteria: > Informacja o działaniach związanych z profilowaniem, > Informacja o prawie złożenia skargi do organu nadzorczego, > Podanie skutków niepodania danych jeśli istnieje obowiązek ujawnienia danych,

OBOWIĄZKI INFORMACYJNE WOBEC OSÓB FIZYCZNYCH Dodatkowe kryteria: > Prawa osoby, której dane dotyczą, w tym: - usunięcia danych, - ograniczenia przetwarzania, - prawo przenoszenia danych, - prawo do cofnięcia zgody (jeśli wcześniej wyraziła zgodę na przetwarzanie danych).

PRZETWARZANIE DANYCH OSOBOWYCH DZIECI > Zgodę może wyrazić dziecko, które ukończyło 16 lat. > Konieczna weryfikacja - czy zgodę wyraziło dziecko, rodzic lub prawny opiekun wymagane wdrożenie racjonalnych rozwiązań weryfikacyjnych. > Zgoda nie jest konieczna w przypadku informacji profilaktycznych, czy doradczych oferowanych bezpośrednio dziecku. > Komunikaty muszą być napisane prostym językiem.

Systemy Zarządzania > ISO/IEC 2700 NORMY ISO CERTYFIKACJA ISO/IEC 2700 > > > > MOCNY DOWÓD NA WYKAZANIE NALEŻYTEJ STARANNOŚCI > > W ODPOWIEDZIALNOŚCI KARNEJ

Dziękuję za uwagę dr inż. Jarosław Wąsiński Auditor TÜV Hessen j.wasinski@hrs-cert.com www.hrs-cert.com

ZAPRASZAMY DO WSPÓŁPRACY T: +48 71 735 11 10 info@hrs-cert.com www.hrs-cert.com

HRS SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ Partner Jednostki Certyfikującej TÜV Technische Überwachung Hessen GmbH BIURO Wrocław Telefon: +48 71 735 11 10 Fax: +48 71 735 11 12 e-mail: info@hrs-cert.com BIURO Warszawa Telefon: +48 22 378 19 70 Fax: +48 22 378 19 71 e-mail: warszawa@hrs-cert.com BIURO Szczecin Telefon: +48 91 443 69 97 Fax: +48 91 443 69 98 e-mail: szczecin@hrs-cert.com TÜV Technische Überwachung Hessen GmbH BIURO Darmstadt Telefon: +49 6151 600 650 Fax: +49 6151 600 654 www.tuev-hessen.de

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres