#RODO2018. Śniadanie biznesowe w Gdyni. RODO praktyczne wyzwania prawno-technologiczne. Przemysław Rogiński Jakub Zuber

Podobne dokumenty
Technologia Informacyjna i Prawo w służbie ochrony danych - #RODO2018

Technologia Infromacyjna i Prawo w służbie ochrony danych - #RODO2018

Zaangażowani globalnie

Monitorowanie systemów IT

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

rodo. naruszenia bezpieczeństwa danych

Przemysław Bańko Dyrektor ds. Bezpieczeństwa Smart In

RODO W ORGANIZACJI- JAK PRAWIDŁOWO PRZYGOTOWAĆ SIĘ ORAZ UNIKNĄĆ KAR PIENIĘŻNYCH

2. Proces tworzenie wewnętrznego systemu ochrony danych osobowych przedsiębiorcy. 3. Postanowienia dyrektywy 95/46/WE, które pozostaną aktualne

Spis treści. Wykaz skrótów... Wprowadzenie...

RODO. 1. Obowiązki administratora danych osobowych

RODO w praktyce psychologicznej. adw. dr Maciej Bocheński Uniwersytet Jagielloński Krakowska Izba Adwokacka

Ochrona danych osobowych w organizacjach pozarządowych (od 25 maja 2018)

Ochrona danych osobowych w biurach rachunkowych

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

Opracowanie dotyczące zasad ochrony danych osobowych po zmianach wprowadzanych przez rozporządzenie RODO

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

PRELEGENT Przemek Frańczak Członek SIODO

Nowe przepisy i zasady ochrony danych osobowych

Dane osobowe w hotelarstwie Czy RODO to rewolucja? Gdańsk 21 listopada

Ochrona danych osobowych, co zmienia RODO?

Które i jakie organizacje będą zobowiązane do wyznaczenia inspektora ochrony danych (IOD/DPO)

I. Postanowienia ogólne

RODO w spółkach jak przygotować się do nowych unijnych przepisów o ochronie danych

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Radom, 13 kwietnia 2018r.

RODO Nowe zasady przetwarzania danych osobowych. radca prawny Piotr Kowalik Koszalin, r.

Nadzór nad przetwarzaniem danych osobowych zgodnie z RODO

PORADNIK PRAWNY DOTYCZĄCY STOSOWANIA W APTECE PRZEPISÓW RODO

Przykład klauzul umownych dotyczących powierzenia przetwarzania

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Ochrona danych osobowych w biurach rachunkowych

Unijne rozporządzenie o ochronie danych osobowych (RODO) konsekwencje dla centrów danych. Kraków, dnia 22 lutego 2017 r.

SZCZEGÓŁOWY HARMONOGRAM KURSU

System wspomagania pracy Administratora Bezpieczeństwa Informacji Opis zmian w wersji

ECDL RODO Sylabus - wersja 1.0

Rozporządzenie o Ochronie Danych Osobowych -jak przygotować firmę do wymogów nowych przepisów. Przemysław Perka, Anna Dopart

Wpływ ogólnego rozporządzenia o ochronie danych osobowych (RODO) na działalność sektora ubezpieczeń przegląd zagadnienia

Ograniczenia w wykorzystywaniu baz danych związane ze zautomatyzowanym przetwarzaniem danych oraz wykorzystaniem chmury obliczeniowej w świetle RODO

NOWE OBOWIĄZKI DYREKTORA JAKO ADMINISTRATORA DANYCH OSOBOWYCH

Ubezpieczeniowy Fundusz Gwarancyjny. Ubezpieczeniowy Fundusz Gwarancyjny 1

RODO WYMOGI OCHRONY DANYCH OSOBOWYCH PACJENTÓW MLD Katowice, dnia 24 kwietnia 2018 r. r. pr. Michał Rytel

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

rodo. ochrona danych osobowych.

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

Maciej Byczkowski ENSI 2017 ENSI 2017

Obszar I. Obszar II. Co dokładnie będziemy analizować? Nowa klasyfikacja: dane zwykłe dane wrażliwe dane biometryczne

Rozporządzenie Ogólne o Ochronie Danych Osobowych - General Data Protection Regulation

NOWE PRZEPISY DOTYCZĄCE BEZPIECZEŃSTWA DANYCH OSOBOWYCH. Agnieszka Wiercińska-Krużewska, adwokat, senior partner 21 września 2017 r.

Sprawdzenie systemu ochrony danych

WPROWADZENIE DO RODO OGÓLNE UNIJNE ROZPORZĄDZENIE O OCHRONIE DANYCH. - Leszek Zając

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

Prowadzący: Marcin Jastrzębski. Łódź, październik 2018r. Projekt współfinansowany przez Unię Europejską z Europejskiego Funduszu Społecznego

Marcin Fronczak Prowadzi szkolenia z zakresu bezpieczeństwa chmur m.in. przygotowujące do egzaminu Certified Cloud Security Knowledge (CCSK).

3) ograniczenie przetwarzania oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;

poleca e-book Instrukcja RODO

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

RODO w HR Zasady przetwarzania danych osobowych kandydatów i pracowników

UMOWA powierzenia przetwarzania danych osobowych, zwana dalej Umową

Jak się ustrzec przed pozwami i uniknąć kar w następstwie wejścia w życie RODO?

Warszawa, 19 października 2016 Agnieszka Szydlik, adwokat, Wardyński & Wspólnicy Sylwia Paszek, radca prawny, Wardyński & Wspólnicy

Ochrona danych osobowych

Magdalena Jacolik Mgr Prawa Europejskiego Aliant Krzyżowska Międzynarodowa Kancelaria Prawna

ZAŁĄCZNIK SPROSTOWANIE

POLITYKA OCHRONY DANYCH OSOBOWYCH w Fundacji TDJ na Rzecz Edukacji i Rozwoju

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

! POLITYKA OCHRONY DANYCH OSOBOWYCH W KANCELARII KANCELARIA ADWOKATA ŁUKASZA DOLIŃSKIEGO

BIURO OCHRONY DANYCH OSOBOWYCH BODO24 KURS RODO

RODO w praktyce JST czas: 353 dni. Michał Jaworski Członek Zarządu Microsoft sp. z o.o.

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

PARTNER.

Spis treści. Wykaz skrótów... Wprowadzenie...

SPOTKANIE INFORMACYJNE

ZAPYTANIE OFERTOWE. wsparciu specjalistyczną i aktualną wiedzą m.in. w obszarach prawa,

Opracował Zatwierdził Opis nowelizacji

CZĘŚĆ I PODSTAWOWE INFORMACJE O RODO

Czym jest RODO? Czym jest przetwarzanie danych osobowych?

Unijne rozporządzenie o ochronie danych

UMOWA w zakresie powierzenia przetwarzania danych osobowych. zawarta w XX w dniu XX XX XXXX roku pomiędzy: (dane podmiotu zawierającego umowę)

WZÓR UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

INSPEKTOR DANYCH OSOBOWYCH CZYLI ABI PO NOWEMU W ASPEKCIE

ZESPÓŁ SZKÓŁ TECHNICZNYCH we Włocławku, ul. Ogniowa 2 PROCEDURA ALARMOWA PROCEDURA POSTĘPOWANIA W PRZYPADKU NARUSZENIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

Polityka Ochrony Danych Osobowych. w Luxe Property S.C.

#RODO2018. podstawowe szkolenie z zakresu ochrony danych osobowych

Nowe wymagania dla systemów informatycznych wynikające z ogólnego rozporządzenia o ochronie dany

Pierwsze doświadczenia w wykonywaniu funkcji IODy

UMOWY POWIERZENIA W RODO. Kancelaria Maruta Wachta Sp. j.

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Polityka bezpieczeństwa i instrukcja zarządzania czy trzeba je prowadzić zgodnie z RODO

Umowa powierzenia przetwarzania danych osobowych (zwana dalej Umową )

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. Niniejsza umowa została zawarta w Kluczborku w dniu. r. roku przez:

Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO):

Wykaz skrótów... XV Wykaz literatury... XXI Wprowadzenie... XXVII

Status prawny i obowiązki adwokata związane z przetwarzaniem danych osobowych w świetle ogólnego rozporządzenia o ochronie danych (RODO)

Umowa powierzenia przetwarzania danych osobowych (zwana dalej Umową )

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

Umowa powierzenia danych

PROGRAM TRZYDNIOWEGO KURSU DLA IOD - JAK DOSTOSOWAĆ ORGANIZACJĘ DO WYMOGÓW OGÓLNEGO ROZPORZĄDZENIA O OCHRONIE DANYCH (RODO/GDPR)

Transkrypt:

Śniadanie biznesowe w Gdyni RODO praktyczne wyzwania prawno-technologiczne Przemysław Rogiński Jakub Zuber

Skróty GIODO ADO ABI IOD RODO Generalny Inspektor Ochrony Danych Osobowych Administrator Danych Osobowych Administrator Bezpieczeństwa Informacji Inspektor Ochrony Danych Rozporządzenie UE o Ochronie Danych Osobowych

Wyzwania Prawne Agenda 1 Skutki RODO dla polskich przedsiębiorców

Rozporządzenie UE o ochronie danych osobowych Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) RODOmawyłącznezastosowanieoddnia25maja2018r. UWAGA Bezpośrednie stosowanie RODO do państw członkowskich UE!

Nowe instytucje oraz zmiany NOWOŚCI nowe podejście do ochrony danych osobowych (risk-based approach) zasada rozliczalności przetwarzania privacy by design / privacy by default wprowadzenie kar administracyjnych raportowanie do GIODO o własnych naruszeniach ZMIANY rozszerzona formuła zgody na przetwarzanie danych rozszerzony zakres obowiązku informacyjnego rejestr czynności przetwarzania zmiana statusu ABI > IOD zmieniona definicja tzw. danych wrażliwych zwiększenie uprawnień osób, których dane dotyczą

Obowiązek informacyjny - porównanie RODZAJ INFORMACJI UODO RODO adres, pełna nazwa administratora danych osobowych + + dane kontaktowe - + dane kontaktowe inspektora ochrony danych (np. mail, telefon) - + cel przetwarzania danych osobowych + + podstawa przetwarzania danych osobowych wraz z ew. opisem prawnie uzasadnionych interesów realizowanych przez administratora - + informacje o odbiorcach danych osobowych + + informacje o zamiarze przekazania danych osobowych do państwa trzeciego - + informacja o okresie przechowywania danych osobowych - +

Obowiązek informacyjny - porównanie RODZAJ INFORMACJI UODO RODO informacja o prawie dostępu do danych osobowych oraz ich sprostowania informacja o prawie usunięcia danych osobowych lub ograniczenia przetwarzania, o prawie do wniesienia sprzeciwu oraz o prawie do przenoszenia danych + + - + informacja o prawie do cofnięcia zgody na przetwarzanie danych - + informacja o prawie do wniesienia skargi do organu nadzorczego - + informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu - + - +

Risk-based approach największe wyzwanie RODO Odejście od formalnej ochrony danych osobowych przedsiębiorca sam ocenia, jakie ryzyka są związane z przetwarzaniem przez niego danych osobowych i na tej podstawie opracowuje środki służące ochronie tych danych Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa powyżej, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.

Zasada rozliczalności Pochodną rewolucyjnej zmiany jest wprowadzenie odpowiedzialności ADO za przestrzeganie podstawowych zasad przetwarzania danych osobowych, to jest: zgodność z prawem, rzetelność i przejrzystość dla osoby, której dane dotyczą ograniczenie celu wyraźny, prawnie uzasadniony minimalizacja danych w poprzednim stanie prawnym adekwatność prawidłowość szybkie usuwanie nieprawidłowości ograniczenie okresu przechowywania w tym prawo do bycia zapomnianym integralność i poufność zabezpieczenie przed utratą, zniszczeniem RODO przewiduje, że ADO musi być w stanie wykazać przestrzeganie powyższych zasad (zasada rozliczalności przetwarzania danych osobowych)

Privacy by design / Privacy by default Privacy by design obowiązek zapewnienia już w fazie projektowania nowej usługi/nowego towaru, że wymogi RODO zostaną spełnione, a prawa osób, których dane dotyczą chronione (w szczególności służyć to ma realizacji zasady minimalizacji danych) Privacy by default ADO ma obowiązek wdrażania odpowiednich środków technicznych i organizacyjnych, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania

Inspektor Ochrony Danych następca ABI RODO wprowadza nową funkcję Inspektora Ochrony Danych (art. 37 39 RODO)

Inspektor Ochrony Danych (IOD) w świetle przepisów RODO Administrator i podmiot przetwarzający wyznaczają Inspektora Ochrony Danych, zawsze gdy: 1. przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości; 2. główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub 3. główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych ( danych wrażliwych ) oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa. W innych przypadkach wyznaczenie IOD jest dobrowolne UWAGA Prawo państwa członkowskiego może przewidywać inne przypadki, w których wyznaczenie IOD będzie obligatoryjne

Inspektor Ochrony Danych (IOD) wymagane kwalifikacje zawodowe, a w szczególności wiedza fachowa na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań IOD wynikających z RODO obowiązek zachowania tajemnicy lub poufności administrator danych lub podmiot przetwarzający publikują dane kontaktowe IOD i zawiadamiają o nich organ nadzorczy zapewnienie kontaktu IOD z osobami, których dane dotyczą IOD może być członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług

Inspektor Ochrony Danych (IOD) IOD ma być włączany we wszystkie sprawy dotyczące ochrony danych osobowych administrator lub podmiot przetwarzający mają zapewnić IOD niezależność, niezbędne zasoby (finansowe i personalne) do wykonywania zadań, dostęp do danych osobowych oraz zasoby niezbędne do utrzymania wiedzy fachowej grupa przedsiębiorców może wyznaczyć jednego IOD, o ile można będzie łatwo nawiązać z nim kontakt

Inspektor Ochrony Danych (IOD) Inspektor ochrony danych ma następujące zadania: 1. informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie 2. monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty 3. udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania 4. współpraca z organem nadzorczym 5. pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach

Odpowiedzialność za naruszenie przepisów RODO ODPOWIEDZIALNOŚĆ ZA NARUSZENIE PRZEPISÓW RODO CYWILNOPRAWNA ADMINISTRACYJNA UWAGA państwa członkowskie mają obowiązek przyjąć przepisy określające inne sankcje (w tym również karne) za naruszenie RODO, w szczególności za naruszenia niepodlegające administracyjnym karom pieniężnym oraz podjąć wszelkie środki niezbędne do ich wykonania

Odpowiedzialność cywilnoprawna każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę w przypadku przetwarzania danych przez więcej niż jednego administratora lub podmiotu przetwarzającego odpowiedzialność solidarna podmiotowi, który zapłacił całe odszkodowanie przysługuje prawo żądania od pozostałych administratorów lub podmiotów przetwarzających, którzy uczestniczyli w tym samym przetwarzaniu, zwrotu części odszkodowania odpowiadającej części szkody, za którą ponoszą odpowiedzialność

Zwolnienie z odpowiedzialności cywilnoprawnej Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom. Administrator lub podmiot przetwarzający zostają zwolnieni z powyższej odpowiedzialności, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody. wykazanie braku winy poprzez wykazanie należytej staranności, tj. zastosowanie odpowiednich środków ostrożności, właściwej oceny ryzyka, postępowanie zgodne z prawem

Odpowiedzialność administracyjnoprawna administracyjne kary pieniężne nakładane przez organ nadzorczy niezależne od winy nakładane obok lub zamiast uprawnień korekcyjnych organu nadzorczego, np. GIODO (ostrzeżeń, upomnień, nakazów, zakazów) brak konieczności jakichkolwiek działań uprzednich ze strony organu nadzorczego nakładanie kar pieniężnych powinno być skuteczne, proporcjonalne i odstraszające

Wysokość administracyjnych kar pieniężnych Wysokość kary uzależniona jest od rodzaju naruszenia i wynosi do 10 MLN EUR, a w przypadku przedsiębiorstwa w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa do 20 MLN EUR, a w przypadku przedsiębiorstwa w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa nieprawidłowe przetwarzanie danych brak zastosowania odpowiednich środków technicznych i organizacyjnych w celu ochrony przetwarzania niezawiadomienie odpowiednich organów o naruszeniu bezpieczeństwa niewyznaczenie Inspektora Ochrony Danych w przypadku, gdy było to obowiązkowe brak podstawy do przetwarzania danych naruszenie praw lub wolności podmiotów danych przekazywanie danych do podmiotów poza EOG niezapewniającego odpowiedniego poziomu bezpieczeństwa nieprzestrzeganie nakazów lub zakazów nałożonych przez organ nadzorczy

Kary pieniężne - czynniki brane pod uwagę przy ich nakładaniu Przy nakładaniu kar i określaniu ich wysokości organ bierze pod uwagę następujące okoliczności: 1. charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody 2. umyślny lub nieumyślny charakter naruszenia 3. działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą 4. stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32 5. wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego 6. stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków

Kary pieniężne - czynniki brane pod uwagę przy ich nakładaniu Przy nakładaniu kar i określaniu ich wysokości organ bierze pod uwagę następujące okoliczności: 7. kategorie danych osobowych, których dotyczyło naruszenie; 8. sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie; 9. jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 przestrzeganie tych środków; 10. stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42; oraz 11. wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

Wyzwania Techniczne Agenda 1 Czemu tutaj jesteśmy czyli przypomnienie najważniejszych zmian na gruncie RODO aspekty techniczne 2 Co te zmiany oznaczają dla firm przetwarzających dane dyskusja

Wyzwania Techniczne Agenda 1 Czemu tutaj jesteśmy czyli przypomnienie najważniejszych zmian na gruncie RODO aspekty techniczne 2 Co te zmiany oznaczają dla firm przetwarzających dane dyskusja

Bezpieczeństwo przetwarzania Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi:

Bezpieczeństwo przetwarzania pseudonimizację i szyfrowanie danych osobowych; zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Kilka ważnych definicji NARUSZENIE OCHRONY DANYCH OSOBOWYCH oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub dostępu do danych osobowych przesyłanych, przechowywanych lub przetwarzanych w inny sposób.

Zgłaszanie naruszenia ochrony danych osobowych W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Max 72h

Zgłaszanie naruszenia ochrony danych osobowych Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi.

Zgłaszanie naruszenia ochrony danych osobowych Zgłoszenie,októrymmowawust.1,musiconajmniej: opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;

Zawiadomienie osób o naruszeniu ochrony danych osobowych Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Zawiadomienie ( ) jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej (te same informacje, co w przypadku zgłoszenia).

Zawiadomienie osób o naruszeniu ochrony danych osobowych Zawiadomienie( ) nie jest wymagane, w następujących przypadkach: administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych; administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą ( ); wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

Co to wszystko oznacza w praktyce? Przed25.maja2018r.: 1. Konieczność przeprowadzania analizy ryzyka dla przetwarzanych danych osobowych (świadomość zagrożeń) analiza rodzajów przetwarzanych danych osobowych, stosowanych środków bezpieczeństwa, weryfikacja przesłanek i podstaw przetwarzania danych osobowych oraz ustalenie jakie działania powinny zostać podjęte w celu dostosowania się do przepisów RODO 2. Opracowanie i wdrożenie adekwatnych procedur i środków bezpieczeństwa 3. Weryfikacja konieczności lub zasadności powołania Inspektora Ochrony Danych 4. Weryfikacja umów powierzenia przetwarzania danych osobowych pod kątem RODO 5. Weryfikacja zdolności dostawców usług (podmiotów, którym powierzone zostało przetwarzanie danych osobowych) do zapewnienia zgodności przetwarzania danych zgodnie z przepisami RODO 6. Przygotowanie na nowe wyzwania (np. prawo do zapomnienia, prawo do przenoszenia danych)

Co to wszystko oznacza w praktyce? 7. Przeprowadzenie analizy oferowanych towarów i usług pod kątem bezpieczeństwa danych i nowych wymogów RODO oraz ich ewentualna zmiana (privacy by design, privacy by default) 8. Weryfikacja stosowanych klauzul informacyjnych i klauzul zgody, a także opracowanie nowych klauzul na gruncie przepisów RODO 9. Regularne audytowanie systemów i ocena ich skuteczności (testy zewnętrzne i wewnętrzne, dotyczące także podwykonawców) 10. Monitorowanie i raportowanie incydentów (alerty o zagrożeniach, analiza logów, monitorowanie systemów antywirusowych) 11. Zwiększenie świadomości pracowników (testy socjotechniczne) szkolenia dla pracowników w zakresie nowych zasad przetwarzania danych na gruncie RODO 12. Opracowanie dokumentacji związanej z ochroną danych na gruncie RODO oraz systematyczna (np. raz na pół roku) weryfikacja dokumentacji pod kątem nowych wytycznych i wskazówek organów nadzorczych

Wyzwania Techniczne Agenda 1 Czemu tutaj jesteśmy czyli przypomnienie najważniejszych zmian na gruncie RODO aspekty techniczne 2 Co te zmiany oznaczają dla firm przetwarzających dane dyskusja

Państwa osoby do kontaktu Piotr Mrowiec Radca prawny, Mediator Associate Partner Przemysław Rogiński Aplikant radcowski Rödl & Partner Olivia Business Centre Olivia Gate B (3 piętro) al. Grunwaldzka 472 80 309 Gdańsk Tel: +48 (58) 520 38 73 +48 602 380 192 E-mail: piotr.mrowiec@roedl.pro Rödl & Partner Olivia Business Centre Olivia Gate B (3 piętro) al. Grunwaldzka 472 80 309 Gdańsk Tel: +48 (58) 520 38 73 +48 (22) 210 69 91 E-mail: przemyslaw.roginski@roedl.pro

Państwa osoby do kontaktu Jakub Zuber Security Specialist Cybercom Poland ul. Hrubieszowska 2 01-209 Warszawa Tel: +48 22 355 21 70 Fax: +48 22 355 21 71 E-mail: jakub.zuber@cybercom.com