Ochrona danych osobowych w organizacjach pozarządowych (od 25 maja 2018)

Podobne dokumenty
POLITYKA PRYWATNOŚCI

I. Postanowienia ogólne

Nadzór nad przetwarzaniem danych osobowych zgodnie z RODO

PRAWA PODMIOTÓW DANYCH - PROCEDURA

I. Podstawowe Definicje

Ograniczenia w wykorzystywaniu baz danych związane ze zautomatyzowanym przetwarzaniem danych oraz wykorzystaniem chmury obliczeniowej w świetle RODO

Ochrona danych osobowych w biurach rachunkowych

Przemysław Bańko Dyrektor ds. Bezpieczeństwa Smart In

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

INSTRUKCJA REALIZACJI PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ.

Monitorowanie systemów IT

Procedura realizacji praw osób fizycznych

RODO w praktyce psychologicznej. adw. dr Maciej Bocheński Uniwersytet Jagielloński Krakowska Izba Adwokacka

Polityka ochrony danych osobowych

Opracowanie dotyczące zasad ochrony danych osobowych po zmianach wprowadzanych przez rozporządzenie RODO

POLITYKA OCHRONY DANYCH OSOBOWYCH. z dnia Postanowienia Ogólne

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

DANE OSOBOWE W DZIAŁALNOŚCI SERWISÓW AGD. Łódź, 21 września 2018 roku

POLITYKA PRYWATNOŚCI -dotycząca danych osobowych osób odwiedzających sklepy objęte monitoringiem wizyjnym-

Regulamin ochrony danych osobowych w Zachodniopomorskiej Spółdzielczej Kasie Oszczędnościowo-Kredytowej w Szczecinie

POLITYKA REALIZACJI PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ

POLITYKA PRYWATNOŚCI I. INFORMACJE DOTYCZĄCE PRZETWARZANIA DANYCH OSOBOWYCH

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Oświadczenie o ochronie danych osobowych Informacje dotyczące ochrony danych zgodnie z art. 13 i 14 RODO

Polityka prywatności spółki BERDA spółka z ograniczoną odpowiedzialnością spółka komandytowa z siedzibą w Płochocinie

Procedura postępowania reklamacyjnego dotyczącego danych osobowych w SentiOne Sp. z o. o.

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

art. 13 ust. 1 3 rozporządzenia 2016/679 (RODO)

Dane osobowe w stacji demontażu. Marcin Witaszek Polski Związek Przemysłu Motoryzacyjnego

Nadzór nad przetwarzaniem kadrowych danych osobowych zgodnie z RODO

Informacja o ochronie danych osobowych

Załącznik nr 13 Wzór informacji dotyczących przetwarzania danych osobowych wraz wykazem lokalizacji i sposobów jej udostępniania.

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

Pakiet RODO MEDFOOD GROUP Sp. Z O.O.

Nowe przepisy i zasady ochrony danych osobowych

! POLITYKA OCHRONY DANYCH OSOBOWYCH W KANCELARII KANCELARIA ADWOKATA ŁUKASZA DOLIŃSKIEGO

Oświadczenie o ochronie danych zgodnie z RODO

INFORMACJA O OCHRONIE DANYCH OSOBOWYCH

inny podmiot, który przetwarza dane osobowe w imieniu administratora;

3. Jakie dane osobowe przetwarzamy

POLITYKA PRYWATNOŚCI dotycząca danych osobowych użytkowników strony internetowej

KLAUZULA INFORMACYJNA DLA KANDYDATÓW DO PRACY (REKRUTACJA) Data: r. Wersja 2

POLITYKA PRYWATNOŚCI

PINTA WROCŁAW POLITYKA PRYWATNOŚCI. Niniejsza Polityka prywatności zawiera informacje związane z przetwarzaniem danych osobowych

Szczegółowe uprawnienia osób w związku z przetwarzaniem danych osobowych w Ośrodku Pomocy Społecznej w Nisku

Opracował Zatwierdził Opis nowelizacji

POLITYKA PRYWATNOŚCI

1. Informacja dotycząca Administratora i gromadzenia danych osobowych

Procedura realizacji praw osób fizycznych oraz postępowania w przypadku naruszeń bezpieczeństwa przetwarzanych danych Spis treści

Informacja o przetwarzaniu danych osobowych przez INSTAL TM

POLITYKA PRYWATNOŚCI -dotycząca danych osobowych Członków Spółdzielni-

Informacja o zmianach w przepisach o ochronie danych osobowych W jakim celu przesyłamy Państwu Informację?

RODO w spółkach jak przygotować się do nowych unijnych przepisów o ochronie danych

POLITYKA PRYWATNOŚCI

1. Informacja dotycząca Administratora i gromadzenia danych osobowych

Unijne rozporządzenie o ochronie danych osobowych (RODO) konsekwencje dla centrów danych. Kraków, dnia 22 lutego 2017 r.

RODO w HR Zasady przetwarzania danych osobowych kandydatów i pracowników

Czas, przez który przechowujemy Państwa dane wynika z odrębnych przepisów prawa.

Polityka prywatności serwisu internetowego

W SPOŁEM POWSZECHNEJ SPÓŁDZIELNI SPOŻYWCÓW W BIELSKU-BIAŁEJ. REALIZUJE NIEZALEŻNIE OD PAŃSTWA DZIAŁAŃ (czyli osoby, której dane dotyczą):

Dane osobowe w hotelarstwie Czy RODO to rewolucja? Gdańsk 21 listopada

POLITYKA PRYWATNOŚCI

INFORMACJA O PRZETWARZANIU DANYCH OSOBOWYCH

Polityka Bezpieczeństwa Danych Osobowych

RODO - KLAUZULA INFORMACYJNA

Szkolenie podstawowe z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 dla wolontariuszy świadczących pomoc na rzecz podopiecznych

Regulamin realizacji praw osób fizycznych RODO

Polityka Prywatności dotycząca osób, których dane przetwarzane są przez Gminny Ośrodek Kultury w Goniądzu

POLITYKA PRYWATNOŚCI -dotycząca danych osobowych klientów, dostawców i najemców-

B. Wybrane zasady dotyczące przetwarzania danych (art. 5)

Polityka Prywatności.

Polityka Ochrony Danych Osobowych. w Luxe Property S.C.

Szkolenie podstawowe z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 dla wolontariuszy świadczących pomoc na rzecz podopiecznych

POLITYKA PRYWATNOŚCI

POLITYKA OCHRONY DANYCH OSOBOWYCH VELVET CARE SP. Z O.O.

POLITYKA PRYWATNOŚCI W SPÓŁCE MIASTO DZIECI SP. Z O.O. DLA KONTROLOWANYCH PRZEZ NIĄ: NIEPUBLICZNEJ SZKOŁY PODSTAWOWEJ SZKOŁY PRZYSZŁOŚCI ORAZ

UMOWA powierzenia przetwarzania danych osobowych, zwana dalej Umową

POLITYKA OCHRONY PRYWATNOŚCI PRACOWNIKÓW I PRACOWNIKÓW TYMCZASOWYCH

Pakiet RODO dla Komunalnej Energetyki Cieplnej "KOMEC" Sp. z o.o.

POLITYKA OCHRONY DANYCH OSOBOWYCH

PORADNIK PRAWNY DOTYCZĄCY STOSOWANIA W APTECE PRZEPISÓW RODO

POLITYKA PRYWATNOŚCI

Polityka bezpieczeństwa danych

inny podmiot, który przetwarza dane osobowe w imieniu administratora;

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH Szkoły Podstawowej nr 3 im. Henryka Brodatego w Złotoryi

Polityka Prywatności

Informacja dotycząca przetwarzania danych Informacja dotycząca przetwarzania danych WEBEYE POLSKA Sp. Z.o.o. (siedziba: PL Kraków, ulica

Klauzula informacyjna Administratora Danych Osobowych dla Kandydatów na pracowników i zleceniobiorców

1 Postanowienia ogólne. 2 Podstawowe definicje

Przesłanki przetwarzania danych osobowych zgodnie z prawem. dr Jarosław Greser

POLITYKA PRYWATNOŚCI

Technologia Infromacyjna i Prawo w służbie ochrony danych - #RODO2018

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

INFORMACJA dla KANDYDATÓW DO PRACY o PRZETWARZANIU DANYCH OSOBOWYCH w ELICA GROUP POLSKA Sp. z o.o.

INFORMACJA RODO DLA KONTRAHENTÓW WĘGLOKOKS S.A. ICH PRACOWNIKÓW, WSPÓŁPRACOWNIKÓW ORAZ PEŁNOMOCNIKÓW. I [Administrator danych]

POLITYKA PRYWATNOŚCI. 1 Administrator Danych

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

Transkrypt:

Katarzyna Sadło Ochrona danych osobowych w organizacjach pozarządowych (od 25 maja 2018) Kraków, 13 grudnia 2017

Podstawa prawna Rozporządzenie Parlamentu Europejskiego i Rady Unii Europejskiej z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Ustawa o ochronie danych osobowych (obecnie w procesie legislacyjnym) Urząd odpowiedzialny - Urząd Ochrony Danych Osobowych

Naruszenie ochrony danych osobowych naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych

Dane osobowe - nowa definicja informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ( osobie, której dane dotyczą ); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. ZMIANA: brak występującej w obecnych przepisach przesłanki, w jakich warunkach osobę uznaje się za niemożliwą do zidentyfikowania.

Najważniejsze zmiany dla organizacji Wprowadzenie dodatkowych praw osoby, której dane są przetwarzane oraz związane z tym rozszerzenie tzw. obowiązku informacyjnego, Zniesienie obowiązku rejestracji zbiorów danych osobowych, Zniesienie obowiązku wprowadzenia procedury bezpieczeństwa danych osobowych oraz instrukcji zarządzania systemem informatycznym, Wprowadzenie obowiązku prowadzenia rejestru czynności przetwarzania danych osobowych (nieobowiązkowy jeśli organizacja przetwarza dane sporadycznie i nie są to dane wrażliwe), Zniesienie odgórnych wymogów dotyczących warunków jakie musi spełniać system informatyczny, w którym przetwarzane są dane osobowe, Wprowadzenie obowiązku zgłaszania w ciągu 72 godzin każdego naruszenia ochrony danych osobowych Urzędowi Ochrony Danych Osobowych oraz informowania osób, których naruszenie dotyczy,

Rejestr czynności przetwarzania danych imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie przedstawiciela administratora oraz inspektora ochrony danych; cele przetwarzania; opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych; kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych; gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń; jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych; jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa,.

Zasady przetwarzania danych przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą ( zgodność z prawem, rzetelność i przejrzystość ); zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami ( ograniczenie celu ); adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane ( minimalizacja danych ); prawidłowe i w razie potrzeby uaktualniane ( prawidłowość ); przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; ( ograniczenie przechowywania ); przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ( integralność i poufność ).

Bezpieczeństwo przetwarzania danych Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: pseudonimizację i szyfrowanie danych osobowych; zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Warunki wyrażenia zgody Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych. Jeżeli osoba, której dane dotyczą, wyrażą zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Część takiego oświadczenia osoby, której dane dotyczą, stanowiąca naruszenie niniejszego rozporządzenia nie jest wiążąca. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie. Oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.

Rozszerzony obowiązek informacyjny pełna nazwa i dane kontaktowe administratora (oraz - jeśli dotyczy - jego przedstawiciela i/lub inspektora ochrony danych osobowych); cele przetwarzania danych osobowych, oraz podstawa prawna przetwarzania; informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją; okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu; informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych; informacje o prawie wniesienia skargi do organu nadzorczego; informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;

Prawo dostępu do swoich danych cele przetwarzania; kategorie odnośnych danych osobowych; informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych; w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu; informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania; informacje o prawie wniesienia skargi do organu nadzorczego; jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą wszelkie dostępne informacje o ich źródle;

Prawo do usunięcia danych dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane; osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie i nie ma innej podstawy prawnej przetwarzania; osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania; dane osobowe były przetwarzane niezgodnie z prawem; dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator; Jeżeli administrator upublicznił dane osobowe, a ma obowiązek usunąć te dane osobowe, to biorąc pod uwagę dostępną technologię i koszt realizacji podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.

Prawo do ograniczenia przetwarzania osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych na okres pozwalający administratorowi sprawdzić prawidłowość tych danych; przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania; administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń; osoba, której dane dotyczą, wniosła sprzeciw wobec przetwarzania do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą. Jeżeli przetwarzanie zostało ograniczone, takie dane osobowe można przetwarzać, z wyjątkiem przechowywania, wyłącznie za zgodą osoby, której dane dotyczą, lub w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego.

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres