Radca Prawny Anna Matusiak-Wekiera. Kancelaria Radcy Prawnego Anna Matusiak-Wekiera

Podobne dokumenty
RODO w praktyce JST czas: 353 dni. Michał Jaworski Członek Zarządu Microsoft sp. z o.o.

ZAŁĄCZNIK SPROSTOWANIE

KONFLIKT INTERESÓW PRZY POWIERZENIU DPO INNYCH ZADAŃ A NAKAZ WYKONYWANIA OBOWIĄZKÓW W SPOSÓB NIEZALEŻNY

Praktyczne aspekty wdrożenia RODO Data Protection Impact Assessment (DPIA)

Nadzór nad przetwarzaniem danych osobowych zgodnie z RODO

RODO W ORGANIZACJI- JAK PRAWIDŁOWO PRZYGOTOWAĆ SIĘ ORAZ UNIKNĄĆ KAR PIENIĘŻNYCH

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

Rola biura rachunkowego w nowym modelu ochrony danych osobowych

Maciej Byczkowski ENSI 2017 ENSI 2017

Ograniczenia w wykorzystywaniu baz danych związane ze zautomatyzowanym przetwarzaniem danych oraz wykorzystaniem chmury obliczeniowej w świetle RODO

Prawne aspekty Big data w sektorze bankowym 22 maja 2017

Ocena ryzyka, a zasada rozliczalności na przykładzie Allegro

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

Paweł Makowski Radca GIODO

PODSTAWY PRZETWARZANIA DANYCH KANDYDATÓW DO PRACY W NOWYM PROJEKCIE KODEKSU PRACY. r.pr. Patrycja Kozik

Z dziennika tłumaczki. Rozważania o RODO. Odcinek 15 - zgłoszenie naruszenia

Status prawny i obowiązki adwokata związane z przetwarzaniem danych osobowych w świetle ogólnego rozporządzenia o ochronie danych (RODO)

Ochrona danych osobowych w biurach rachunkowych

Opinia 18/2018. w sprawie projektu wykazu sporządzonego przez właściwy portugalski organ nadzorczy. dotyczącego

Technologia Infromacyjna i Prawo w służbie ochrony danych - #RODO2018

Reforma regulacyjna sektora bankowego

OCENA SKUTKÓW DLA OCHRONY DANYCH OSOBOWYCH BIURO GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH

Opinia 4/2018. w sprawie projektu wykazu sporządzonego przez właściwy czeski organ nadzorczy. dotyczącego

Opinia 17/2018. w sprawie projektu wykazu sporządzonego przez właściwy polski organ nadzorczy. dotyczącego

ECDL RODO Sylabus - wersja 1.0

Opinia 5/2018. w sprawie projektu wykazu sporządzonego przez właściwe niemieckie organy nadzorcze. dotyczącego

RODO w firmie transportowej RADCA PRAWNY PAWEŁ JUDEK

Które i jakie organizacje będą zobowiązane do wyznaczenia inspektora ochrony danych (IOD/DPO)

Nadzór nad przetwarzaniem kadrowych danych osobowych zgodnie z RODO

Szkolenie. Ochrona danych osobowych

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

Opinia 9/2018. w sprawie projektu wykazu sporządzonego przez właściwy francuski organ nadzorczy. dotyczącego

Opinia 3/2018. w sprawie projektu wykazu sporządzonego przez właściwy bułgarski organ nadzorczy. dotyczącego

Opinia 12/2018. dotyczącego. rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych (art. 35 ust.

Przemysław Bańko Dyrektor ds. Bezpieczeństwa Smart In

Ochrona danych osobowych

GRUPA ROBOCZA ART. 29

NOWE UJĘCIE OCHRONY DANYCH OBOWIĄZKI ADMINISTRATORA DANYCH OSOBOWYCH

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

Nowe przepisy i zasady ochrony danych osobowych

Obszar I. Obszar II. Co dokładnie będziemy analizować? Nowa klasyfikacja: dane zwykłe dane wrażliwe dane biometryczne

RODO, czyli co się zmieni oraz do czego (i jak) trzeba się przygotować.

Technologia Informacyjna i Prawo w służbie ochrony danych - #RODO2018

Nowe podejście do ochrony danych osobowych. Miłocin r.

Implementacja europejskiego rozporządzenia o ochronie danych osobowych. Prace Ministerstwa Cyfryzacji oraz wytyczne organów unijnych

System wspomagania pracy Administratora Bezpieczeństwa Informacji Opis zmian w wersji

RODO W WYKONYWANIU ZAWODU RADCY PRAWNEGO

Wprowadzenie do RODO. Dr Jarosław Greser

PORADNIK PRAWNY DOTYCZĄCY STOSOWANIA W APTECE PRZEPISÓW RODO

XXIII Międzynarodowy Kongres Otwartego Systemu Ochrony Zdrowia

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

przyjęta 4 grudnia 2018 r. Tekst przyjęty

Rozporządzenie Ogólne o Ochronie Danych Osobowych - General Data Protection Regulation

przyjęta 4 grudnia 2018 r. Tekst przyjęty

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

RODO w spółkach jak przygotować się do nowych unijnych przepisów o ochronie danych

rodo. ochrona danych osobowych.

poleca e-book Instrukcja RODO

RODO w praktyce psychologicznej. adw. dr Maciej Bocheński Uniwersytet Jagielloński Krakowska Izba Adwokacka

Przesłanki przetwarzania danych osobowych zgodnie z prawem. dr Jarosław Greser

Polityka ochrony danych. w Kancelarii Radcy Prawnego Iwony Madoń

System bezpłatnego wsparcia dla NGO

Monitorowanie systemów IT

Opracowanie dotyczące zasad ochrony danych osobowych po zmianach wprowadzanych przez rozporządzenie RODO

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

RODO w Hodowli, czy nas dotyczy? Doradca Podatkowy Marek Rudy nr wpisu Wojciech Nowakowski

Bezpieczne przetwarzanie danych wrażliwych

RODO. Wszystko co musi wiedzieć marketingowiec. Witold Chomiczewski

Dane osobowe w stacji demontażu. Marcin Witaszek Polski Związek Przemysłu Motoryzacyjnego

IODO: kompetencje nie wystarczą

Rola inspektora ochrony danych w zabezpieczeniu systemu informatycznego. Podejście oparte na ryzyku

Polityka Ochrony Danych Osobowych. Magdalena Młynarczyk Lege Artis Biuro Obrotu Nieruchomościami

Szkolenie podstawowe z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 dla wolontariuszy świadczących pomoc na rzecz podopiecznych

3) ograniczenie przetwarzania oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;

PARTNER.

Niepełnosprawność: szczególna kategoria danych osobowych

PRELEGENT Przemek Frańczak Członek SIODO

WPROWADZENIE DO RODO OGÓLNE UNIJNE ROZPORZĄDZENIE O OCHRONIE DANYCH. - Leszek Zając

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Prawne ograniczenia dotyczące zautomatyzowanego podejmowania decyzji

Pierwsze doświadczenia w wykonywaniu funkcji IODy

Wpływ ogólnego rozporządzenia o ochronie danych osobowych (RODO) na działalność sektora ubezpieczeń przegląd zagadnienia

Ustawa wdrażająca RODO- uwaga na zmiany obowiązujących przepisów

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

SZCZEGÓŁOWY HARMONOGRAM KURSU

Czas trwania szkolenia- 1 DZIEŃ

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

Zgodnie z RODO administrator i podmiot przetwarzający muszą wyznaczyć inspektora ochrony danych, gdy:

PRAWA PODMIOTÓW DANYCH - PROCEDURA

przyjęta 12 marca 2019 r. Tekst przyjęty 1

Tajemnica bankowa i ochrona danych osobowych w czynnościach outsourcingowych

Spotkanie sieciujące dla doradców kluczowych OWES kwietnia 2018 Warszawa, Hotel Warsaw Plaza

Chroń Dane Osobowe. Personal Data Protection Officer. Konrad Gałaj-Emiliańczyk

Nowe wymagania dla systemów informatycznych wynikające z ogólnego rozporządzenia o ochronie dany

RODO WYMOGI OCHRONY DANYCH OSOBOWYCH PACJENTÓW MLD Katowice, dnia 24 kwietnia 2018 r. r. pr. Michał Rytel

EBIS POLITYKA OCHRONY DANYCH

Zaangażowani globalnie

II Lubelski Konwent Informatyków i Administracji r.

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Transkrypt:

Operacje mogące powodować z dużym prawdopodobieństwem wysokie ryzyko naruszenia praw i wolności osób fizycznych zgodnie z RODO oraz w świetle aktualnych wytycznymi Grupy Roboczej art. 29 ds. Ochrony Danych Radca Prawny Anna Matusiak-Wekiera Kancelaria Radcy Prawnego Anna Matusiak-Wekiera anna.matusiak-wekiera@oirpwarszawa.pl +48 669 600 025

OCENA SKUTKÓW DLA OCHRONY DANYCH art. 35 RODO Jeżeli dany rodzaj przetwarzania w szczególności z użyciem nowych technologii ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Praw i wolności podmiotów danych: Prawa do prywatności, Wolności wypowiedzi, Swobody przemieszczania się, Zakaz dyskryminacji

Art. 24 RODO OCENA SKUTKÓW DLA OCHRONY DANYCH Risk - based approach Obowiązki administratora Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

Motyw 84 RODO OCENA SKUTKÓW DLA OCHRONY DANYCH Risk - based approach Aby poprawić przestrzeganie niniejszego rozporządzenia, gdy operacje przetwarzania mogą wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, należy zobowiązać administratora do dokonania oceny skutków dla ochrony danych w celu oszacowania w szczególności źródła, charakteru, specyfiki i powagi tego ryzyka. Wyniki oceny należy uwzględnić przy określaniu odpowiednich środków, które należy zastosować, by wykazać, że przetwarzanie danych osobowych odbywa się zgodnie z niniejszym rozporządzeniem

Motyw 75 ryzyko naruszenia praw i wolności osób fizycznych Ryzyko naruszenia praw i wolności może wynikać z: 1) przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, 2) przetwarzania mogącego poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą, lub społeczną, 3) jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi;

Motyw 75 ryzyko naruszenia praw i wolności osób fizycznych 4) jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i naruszeń prawa lub związanych z tym środków bezpieczeństwa, 5) jeżeli oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się w celu tworzenia lub wykorzystywania profili osobistych, 6) jeżeli przetwarzane są dane osobowe osób wymagających szczególnej opieki, w szczególności dzieci; 7) jeżeli przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą.

OCENA SKUTKÓW DLA OCHRONY DANYCH Zgodnie z podejściem opartym na ryzyku, dokonanie oceny skutków dla ochrony danych nie jest wymagane dla każdej operacji przetwarzania, a jedynie tylko wówczas, gdy przetwarzanie z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Co w przypadkach, w których nie jest możliwe jasne określenie czy przeprowadzenie oceny skutków jest obligatoryjnej? GR. Art. 29 zaleca, aby dokonać oceny skutków ochrony danych.

Kiedy przetwarzanie z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych? Z dużym prawdopodobieństwem wysokie ryzyko naruszenia praw lub wolności osób fizycznych może powodować - art. 35 ust. 3 RODO: 1) systematyczna, kompleksowa ocena czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną; 2) przetwarzania na dużą skalę szczególnych kategorii danych osobowych danych wrażliwych, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, 3) systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie.

Kiedy przetwarzanie z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych? Lista kryteriów określona przez GR. Art. 29, które należy brać pod uwagę oceniając czy przetwarzanie wiąże się z wysokim ryzkiem: 1) Ewaluacja lub ocena, w tym profilowanie i prognozowanie w szczególności aspektów dotyczących efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się osoby, której dane dotyczą Motyw 71 RODO. 2) Zautomatyzowane podejmowanie decyzji wywołujących skutki prawne lub podobne istotne skutki 3) Systematyczne monitorowanie przetwarzanie w celu obserwowania, monitorowania i kontroli osób, których dane dotyczą, w szczególności systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie. 4) Dane wrażliwe przetwarzanie szczególnych kategorii danych, o których mowa w art. 9 RODO oraz te dane, które mogą zwiększać ryzyko naruszenia praw lub wolności osób fizycznych np. dane dotyczące lokalizacji, dane finansowe.

Kiedy przetwarzanie z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych? 5) Przetwarzanie danych na dużą skalę liczba osób, których dane dotyczą, zakres przetwarzanych danych, okres przez jaki dane są przechowywane, zakres geograficzny przetwarzania Motyw 91, Przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika. W takich przypadkach ocena skutków dla ochrony danych nie powinna być obowiązkowa. 6) Połączenie lub porównanie zestawów danych np. zestawianie lub łączenie danych ze zbiorów zebranych w różnych celach lub przez różnych administratorów. 7) Dane dotyczą osób wymagających szczególnej opieki Motyw 75

Kiedy przetwarzanie z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych? 8) Innowacyjne wykorzystanie lub zastosowanie rozwiązań technologicznych lub organizacyjnych Motyw 89, 91 oraz art. 35 ust. 1 RODO wykorzystywanie nowych technologii. 9) Transgraniczne przekazywanie danych poza UE motyw 116 10) Przetwarzanie uniemożliwia osobom, których dane dotyczą wykonywania prawa lub korzystania z usługi lub umowy - art. 22 RODO, Motyw 91.

Kiedy trzeba przeprowadzić ocenę przykłady GR. Art. 29 Dane wrażliwe + dane osób wymagających szczególnej opieki = przetwarzanie danych osobowych w szpitalu, Systematyczne monitorowanie + innowacyjne wykorzystanie nowych technologii = automatyczne rozpoznawanie tablic rejestracyjnych połączone z monitoringiem zachowania kierowców, Ocenianie + przetwarzanie danych na dużą skalę = zbieranie publicznych profili w mediach społecznościowych do tworzenia profili w celu skontaktowania się

ROLA I ZADANIA DPO a OCENA SKUTKÓW DLA OCHRONY DANYCH Wytyczne dotyczące DPO GR. Art. 29 z dnia 13.12.2016 r. ADO może konsultować z DPO: - czy przeprowadzić ocenę, - metodologię oceny, - czy dokonać wewnętrzną czy zewnętrzną ocenę, komu zlecić, - stosowanych zabezpieczeń i inne jeżeli ADO nie zgadza się z zaleceniami DPO, dokumentacja oceny skutków dla ochrony danych powinna zawierać pisemne uzasadnienie nieuwzględnienia zaleceń, GR. Art. 29 rekomenduje jasno, aby umowa z DPO, w informacjach przekazywanych pracownikom, kierownikom i innym, wskazywać zakres obowiązków DPO w dane organizacji, w szczególności w zakresie oceny skutków dla ochrony.

DZIĘKUJĘ ZA UWAGĘ Kancelaria Radcy Prawnego Anna Matusiak-Wekiera anna.matusiak-wekiera@oirpwarszawa.pl +48 669 600 025 Anna Matusiak-Wekiera jest radcą prawnym, członkiem Komisji Ekspertów do spraw reformy prawa ochrony danych osobowych w Unii Europejskiej powołanej przy GIODO. Audytor wiodący systemu zarządzenia Bezpieczeństwem informacji zgodnie z normą ISO 27001.

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres