NOWE PRZEPISY DOTYCZĄCE BEZPIECZEŃSTWA DANYCH OSOBOWYCH. Agnieszka Wiercińska-Krużewska, adwokat, senior partner 21 września 2017 r.

Podobne dokumenty
DANE OSOBOWE W DZIAŁALNOŚCI SERWISÓW AGD. Łódź, 21 września 2018 roku

PRZETWARZANIE DANYCH OSOBOWYCH KLIENTÓW PRZEZ SERWISY SPRZĘTU AGD Agnieszka Wiercińska-Krużewska 15 września 2016 r.

Ochrona danych osobowych w organizacjach pozarządowych (od 25 maja 2018)

PRAWA PODMIOTÓW DANYCH - PROCEDURA

Dane osobowe w stacji demontażu. Marcin Witaszek Polski Związek Przemysłu Motoryzacyjnego

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH

I. Podstawowe Definicje

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

POLITYKA OCHRONY DANYCH OSOBOWYCH

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

Radom, 13 kwietnia 2018r.

Ograniczenia w wykorzystywaniu baz danych związane ze zautomatyzowanym przetwarzaniem danych oraz wykorzystaniem chmury obliczeniowej w świetle RODO

Szkolenie podstawowe z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 dla wolontariuszy świadczących pomoc na rzecz podopiecznych

Technologia Infromacyjna i Prawo w służbie ochrony danych - #RODO2018

Dane osobowe w hotelarstwie Czy RODO to rewolucja? Gdańsk 21 listopada

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

Załącznik Nr 4 do Umowy nr.

Europejski Fundusz Rolny na rzecz Rozwoju Obszarów Wiejskich: Europa inwestuje w obszary wiejskie

UMOWA O UDOSTĘPNIANIE DANYCH OSOBOWYCH. reprezentowanym przez Dyrektora [ ], zwanym dalej jako Przedszkole Nr ; a

RODO w Hodowli, czy nas dotyczy? Doradca Podatkowy Marek Rudy nr wpisu Wojciech Nowakowski

Rola biura rachunkowego w nowym modelu ochrony danych osobowych

POLITYKA OCHRONY PRYWATNOŚCI

POLITYKA OCHRONY DANYCH OSOBOWYCH w Fundacji TDJ na Rzecz Edukacji i Rozwoju

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej Sp. z o.o.

KLAUZULA INFORMACYJNA DLA KANDYDATÓW DO PRACY (REKRUTACJA) Data: r. Wersja 2

Procedura postępowania reklamacyjnego dotyczącego danych osobowych w SentiOne Sp. z o. o.

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Ochrona danych osobowych, co zmienia RODO?

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

PORADNIK PRAWNY DOTYCZĄCY STOSOWANIA W APTECE PRZEPISÓW RODO

POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE OCHRONY DANYCH OSOBOWYCH

RODO WYMOGI OCHRONY DANYCH OSOBOWYCH PACJENTÓW MLD Katowice, dnia 24 kwietnia 2018 r. r. pr. Michał Rytel

POLITYKA BEZPIECZEŃSTWA

POLITYKA PRYWATNOŚCI

RODO W WYKONYWANIU ZAWODU RADCY PRAWNEGO

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

Nadzór nad przetwarzaniem danych osobowych zgodnie z RODO

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

Przetwarzanie danych w chmurze Cloud Computing

ZASADY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH NA RZECZ ROSEVILLE INVESTMENTS SP. Z O.O.

Monitorowanie systemów IT

1 Postanowienia ogólne. 2 Podstawowe definicje

Opracował Zatwierdził Opis nowelizacji

Umowa powierzenia przetwarzania danych osobowych,

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH Szkoły Podstawowej nr 3 im. Henryka Brodatego w Złotoryi

KLAUZULA INFORMACYJNA DLA OSÓB Z KTÓRYMI ZAWARTO UMOWY CYWILNOPRAWNE (DOSTAWY, USŁUGI I ROBOTY BUDOWLANE) Data: r.

POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE OCHRONY DANYCH OSOBOWYCH

Katarzyna Sadło. Ochrona danych osobowych w organizacjach pozarządowych. Kraków, 13 grudnia (stan obecny)

OCHRONA DANYCH OSOBOWYCH W PLACÓWKACH OŚWIATOWYCH praktyczny poradnik wzory dokumentów. (z suplementem elektronicznym)

Umowa powierzenia przetwarzania danych osobowych. nr.. zawarta w dniu...

Technologia Informacyjna i Prawo w służbie ochrony danych - #RODO2018

Pakiet RODO MEDFOOD GROUP Sp. Z O.O.

POLITYKA REALIZACJI PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ

POLITYKA OCHRONY DANYCH OSOBOWYCH

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. zawarta w dniu... pomiędzy zwana dalej Przetwarzającym

RODO w firmie transportowej RADCA PRAWNY PAWEŁ JUDEK

Polityka Ochrony Danych Osobowych w Dietetica- Ewa Stachowska

1. Co to jest RODO? 2. Ważne pojęcia zawarte w RODO

Ochrona danych osobowych w kontekście RODO dla e-commerce i marketingu

RODO W WYKONYWANIU ZAWODU RADCY PRAWNEGO

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH - WZÓR. zawarta w dniu... w. pomiędzy:

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W FUNDACJI CENTRUM IMIENIA PROF. BRONISŁAWA GEREMKA

Strony postanowiły zawrzeć umowę o następującej treści:

Nowe wymagania dla systemów informatycznych wynikające z ogólnego rozporządzenia o ochronie dany

POLITYKA PRZETWARZANIA DANYCH OSOBOWYCH W NOBLE FUNDS TOWARZYSTWIE FUNDUSZY INWESTYCYJNYCH S.A. (Polityka transparentności)

POLITYKA PRYWATNOŚCI W SERWISIE INTERNETOWYM ACP GLOBAL FORWARDING SP. Z O.O.

CZĘŚĆ I PODSTAWOWE INFORMACJE O RODO

Umowa nr ADO/.../... powierzenia przetwarzania danych osobowych

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

RODO w praktyce psychologicznej. adw. dr Maciej Bocheński Uniwersytet Jagielloński Krakowska Izba Adwokacka

Obszar I. Obszar II. Co dokładnie będziemy analizować? Nowa klasyfikacja: dane zwykłe dane wrażliwe dane biometryczne

Opracowanie dotyczące zasad ochrony danych osobowych po zmianach wprowadzanych przez rozporządzenie RODO

LISTA KONTROLNA Czy jesteś gotowy na RODO?

OCHRONA DANYCH OD A DO Z

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. Miejskim Szpitalem Zespolonym w Olsztynie, Olsztyn, ul. Niepodległości 44

Polityka Prywatności w Muzeum Wojsk Lądowych w Bydgoszczy

Jak się ustrzec przed pozwami i uniknąć kar w następstwie wejścia w życie RODO?

Załącznik nr 1 do Porozumienia. Umowa powierzenia przetwarzania danych osobowych. (dalej Umowa powierzenia),

POLITYKA PRYWATNOŚCI

POLITYKA PRYWATNOŚCI HOTELU SZRENICOWY DWÓR

Rozporządzenie o Ochronie Danych Osobowych -jak przygotować firmę do wymogów nowych przepisów. Przemysław Perka, Anna Dopart

POLITYKA PRYWATNOŚCI SERWISU

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

B. Wybrane zasady dotyczące przetwarzania danych (art. 5)

POLITYKA PRYWATNOŚCI

Dokument Polityka Prywatności jest wyrazem dbałości o prawa osób odwiedzających Portal korzystających z usług oferowanych za jego pośrednictwem.

Procedura realizacji praw osób fizycznych

ZP Załącznik nr 4 UMOWA NR ZP O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

w Grupie 3S REGULAMIN PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA KRAJOWEGO REJESTRU KLIENTÓW HOTELOWYCH sp. z o.o.. Art. 1 Postanowienia ogólne

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH

O firmie» Polityka prywatności

Polityka Ochrony Danych Osobowych. w Luxe Property S.C.

POLITYKA PRYWATNOŚCI PLAYLINK SA

Nadzór nad przetwarzaniem kadrowych danych osobowych zgodnie z RODO

POLITYKA BEZPIECZEŃSTWA

Transkrypt:

NOWE PRZEPISY DOTYCZĄCE BEZPIECZEŃSTWA DANYCH OSOBOWYCH Agnieszka Wiercińska-Krużewska, adwokat, senior partner 21 września 2017 r.

PODSTAWOWE POJĘCIA Z ZAKRESU DANYCH OSOBOWYCH

PRZEPISY PRAWA I PRZYDATNE INFORMACJE Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych zostanie uchylona Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych Rozporządzenie Ogólne o Ochronie Danych nr 2016/679 z dnia 27 kwietnia 2016 r. (w zastosowaniu od dnia 25 maja 2018 r.) Projekt nowej ustawy o ochronie danych osobowych Strona edugiodo: https://edugiodo.giodo.gov.pl/ Strona GIODO odpowiedzi na pytania: http://www.giodo.gov.pl/266/ Prace nad reformą polskich przepisów: https://mc.gov.pl/aktualnosci/rewolucja-wsystemie-ochrony-danych-osobowych

DEFINICJE Dane osobowe Wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osoba możliwa do zidentyfikowania Osoba możliwa do zidentyfikowania to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, nr identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną kulturową społeczną tożsamość osoby fizycznej. Przetwarzanie danych Jakiekolwiek operacje wykonywane na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, przechowywanie, modyfikowanie, przeglądanie, udostępnianie, usuwanie lub niszczenie. Administrator danych Podmiot decydujący o celach i środkach przetwarzania danych.

PRZYKŁADY DANYCH OSOBOWYCH Dane otrzymywane bezpośrednio od klientów Dane przechowywane w sprzęcie AGD oddawanym do naprawy Dane otrzymywane od producentów sprzętu AGD Dane osobowe klientów w posiadaniu serwisów sprzętu AGD

DANE OSOBOWE KLIENTÓW W SERWISACH SPRZĘTU Zbieranie danych osobowych Klient serwisu Powierzenie przetwarzania danych Producent/dystrybutor sprzętu (administrator danych klientów) Przekazanie danych w związku z naprawą sprzętu (np. w karcie naprawy sprzętu) Pisemna umowa powierzenia przetwarzania danych Serwis jest administratorem danych osobowych klienta Serwis jest podmiotem przetwarzającym dane osobowe na zlecenie producenta (administratora) w związku z wykonywaniem naprawy sprzętu

ZASADY PRZETWARZANIA DANYCH OSOBOWYCH Z punktu widzenia serwisantów AGD Dane muszą być przetwarzane zgodnie z prawem Dane muszą być ograniczone do tego, co niezbędne do celów, w których są przetwarzane Dane muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych Dane muszą być przechowywane w formie umożliwiającej identyfikację osoby przez okres nie dłuższy niż jest to niezbędne dla celów przetwarzania

ZGODNOŚĆ PRZETWARZANIA Z PRAWEM Kiedy mogę przetwarzać dane? Przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Dla świadczenia usługi serwisowej Np. instalacja monitoringu w firmie Podstawę do przetwarzania może również stanowić zgoda na przetwarzanie danych osobowych w jednym lub większej liczbie określonych celów, np. do reklamowania partnerów biznesowych. Nie jest potrzebna zgoda do marketingu usług własnych. Zgoda na otrzymywanie maili czy zostanie utrzymana?

ZAKRES PRZEDMIOTOWY Kiedy RODO ma zastosowanie? RODO ma zastosowanie zarówno do przetwarzania danych klientów w formie papierowej, jak i elektronicznej. RODO nie ma zastosowania do przetwarzania danych w ramach działalności osobistej lub domowej.

NOWE PRZEPISY RODO: (REWOLUCYJNA) ZMIANA PODEJŚCIA DO OCHRONY DANYCH OSOBOWYCH

Zgodnie z RODO żądać i przetwarzać można tylko te dane, które są konieczne do danego celu. Oznacza to, że administrator nie można żądać danych osoby fizycznej, jeśli nie są one niezbędne do świadczenia usługi. Np. nie ma uzasadnienia dla wymagania podania adresu zamieszkania, jeśli klient dostarcza i odbiera sprzęt osobiście w punkcie serwisowym. Dla wykonania usługi serwisowej zbędne będzie też np. żądanie podania numeru PESEL lub wykonanie kserokopii dowodu. (REWOLUCYJNA) ZMIANA PODEJŚCIA DO OCHRONY DANYCH Po wykonaniu usługi można przechowywać dane przez okres obowiązywania rękojmi (czy gwarancji) w odniesieniu do tej naprawy. Po tym czasie niezbędne jest usunięcie danych.

(REWOLUCYJNA) ZMIANA PODEJŚCIA DO OCHRONY DANYCH Planując nową usługę, produkt lub aplikację, konieczne jest uwzględnienie ochrony danych już w fazie projektowania. Np. wprowadzenie nowej aplikacji na telefon komórkowy, informującej o postępach w wykonaniu usługi, musi brać pod uwagę prywatność użytkownika nie zbierać zbyt wielu danych, uwzględniać konieczność ich usunięcia po określonym czasie itd.

KONIECZNOŚĆ ZAPEWNIENIA BEZPIECZEŃSTWA DANYCH Administrator danych odpowiada samodzielnie za wdrożenie środków bezpieczeństwa danych Przykłady odpowiednich środków technicznych i organizacyjnych: Polityka bezpieczeństwa (dokument regulujący zasady zapewnienia bezpieczeństwa danych w firmie) Przygotowanie upoważnień do przetwarzania danych dla pracowników Pseudonimizacja i szyfrowanie danych Odpowiednie zabezpieczenie danych przechowywanych w formie papierowej (zamykanie szuflad, szaf, pomieszczeń) Odpowiednie zabezpieczenie systemów informatycznych (programy antywirusowe, zabezpieczenie dostępu hasłem) Odpowiednie zabezpieczenie sprzętu elektronicznego Przeszkolenie pracowników

ZASADY PRZETWARZANIA DANYCH: UWAGI PRAKTYCZNE

ROZWINIĘTY OBOWIĄZEK INFORMACYJNY Co należy przekazać klientowi, uzyskując jego dane osobowe? Konieczność zwięzłego i przejrzystego poinformowania o: tożsamości i danych kontaktowych administratora; gdy ma to zastosowanie danych kontaktowych inspektora ochrony danych; celach przetwarzania danych osobowych i podstawie prawnej przetwarzania; jeśli ma to zastosowanie prawnie uzasadnionych interesach realizowanych przez administratora lub przez stronę trzecią; odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją; gdy ma to zastosowanie o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej; okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu; uprawnieniach (w tym nowych) osoby, której dane dotyczą; tym, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych; oraz dodatkowo, jeśli dane nie są zbierane od osoby, której dotyczą: o kategoriach danych oraz o źródle pochodzenia danych.

NOWY OBOWIĄZEK ZGŁASZANIE NARUSZEŃ W przypadku naruszenia ochrony danych osobowych, np. wycieku danych w wyniku ataku na system informatyczny: administrator jest zobowiązany do zgłoszenia bez zbędnej zwłoki w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia organowi nadzorczemu; podmiotu przetwarzający jest zobowiązany do zgłoszenia bez zbędnej zwłoki administratorowi; w określonych przypadkach, obowiązek zawiadomienia osób, których dane dotyczą. Uwaga: obowiązek należy spełnić tylko, gdy naruszenie powoduje ryzyko naruszenia praw lub wolności osób np. możliwość sfałszowania tożsamości, wywołanie szkody majątkowej.

PODMIOT PRZETWARZAJĄCY DANE OSOBOWE (PROCESOR) przetwarza dane osobowe na zlecenie administratora, na podstawie umowy, wyłącznie w celach wskazanych w tej umowie. Powierzenie przetwarzania danych Producent/dystrybutor sprzętu (administrator danych klientów) Pisemna umowa powierzenia przetwarzania danych Serwis jest podmiotem przetwarzającym dane osobowe na zlecenie producenta (administratora) w związku z wykonywaniem naprawy sprzętu

PODMIOT PRZETWARZAJĄCY DANE OSOBOWE (PROCESOR) Umowa powierzenia Obligatoryjne elementy umowy Rodzaj powierzonych danych i kategorie osób, których dane dotyczą Cel przetwarzania Czas przetwarzania Warunki współpracy administratora z procesorem Warunki dotyczące zakończenia współpracy Klauzula poufności Fakultatywne elementy umowy Zobowiązanie procesora do zapewnienia odpowiedniego poziomu zabezpieczenia danych osobowych Wskazanie, czy procesor jest (i na jakich warunkach) upoważniony do dalszego powierzania przetwarzania Forma przekazania danych

NOWY MECHANIZM CERTYFIKACJI I KODEKSY POSTĘPOWANIA Możliwość wykazania wywiązania się z obowiązku zapewnienia bezpieczeństwa poprzez stosowanie zatwierdzonego kodeksu postępowania lub mechanizmu certyfikacji. RODO zachęca do zrzeszania się podmiotów w celu opracowania kodeksów. Kodeksy postępowania mogą ułatwić podmiotom z danej branży spełnienie wymagań wynikających z RODO. Ich opracowanie może także być sygnałem dla klientów, że branża uwzględnia kwestię ochrony danych w swojej działalności. Przedsiębiorca może uzyskać certyfikat, który będzie dowodem, że spełnia wymagania RODO. Kodeksy postępowania, podlegające zatwierdzeniu przez organ nadzorczy Certyfikat potwierdzający zgodność z RODO

EGZEKWOWANIE PRZESTRZEGANIA PRZEPISÓW

NIEZALEŻNY ORGAN OCHRONY DANYCH OSOBOWYCH (ORGAN NADZORCZY) Generalny Inspektor Ochrony Danych Osobowych Prezes Urzędu Ochrony Danych Osobowych (prawdopodobnie, zgodnie z projektem ustawy). Prezes Urzędu odpowiada za monitorowanie stosowania RODO. Prezes Urzędu ma kompetencje kontrolne oraz możliwość nakładania obowiązków i kar administracyjnych. Kara w wysokości do 20 mln euro, a w przypadku przedsiębiorstwa do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie ma wyższa kwota). Wysokość kar będzie zależała od np. wagi i czasu trwania naruszenia, liczby poszkodowanych, umyślności naruszenia, działań podjętych w celu zminimalizowania szkody, poprzednich naruszeń prawa ochrony danych, kategorii danych, których dotyczyło naruszenie.

PRZYKŁADY NARUSZEŃ Kara do 10 mln EUR lub 2% światowego obrotu Niewywiązanie się z obowiązków procesora Niezapewnienie bezpieczeństwa przetwarzania Niewyznaczenie inspektora ochrony danych mimo takiego obowiązku Kara do 20 mln EUR lub 4% światowego obrotu Naruszenie obowiązków informacyjnych Przetwarzanie danych bez podstawy prawnej Nieudzielenie organowi nadzoru dostępu do pomieszczeń

AGNIESZKA WIERCIŃSKA-KRUŻEWSKA, LL.M. adwokat, senior partner agnieszka.wiercinska@wkb.pl +48 22 201 00 00 WKB Wierciński, Kwieciński, Baehr sp. k. ul. Polna 11 ul. Paderewskiego 7 00-633 Warszawa 61-770 Poznań Tel. +48 22 201 00 00 Tel: +48 61 855 32 20 biuro@wkb.pl www.wkb.pl

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres