Proces dostosowywania do wymogw oglnego rozporzdzenia o ochronie
- Slides: 30
Proces dostosowywania do wymogów ogólnego rozporządzenia o ochronie danych. Podsumowanie zajęć IV edycji studiów podyplomowych dr Grzegorz Sibiga Warszawa, 15. 06. 2019 r.
Reforma ochrony danych osobowych w UE I. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) RODO Rozporządzenie wchodzi w życie dwudziestego dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej (24. 5. 2016 r. ). Niniejsze rozporządzenie ma zastosowanie od dnia 25 maja 2018 r. Dyrektywa 95/46/WE zostaje uchylona ze skutkiem od dnia 25 maja 2018 r. II. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSi. SW Państwa członkowskie przyjmują i publikują do dnia 6 maja 2018 r. przepisy ustawowe, wykonawcze i administracyjne niezbędne do wykonania niniejszej dyrektywy. Państwa członkowskie stosują te przepisy od dnia 6 maja 2018 r.
Reforma ochrony danych osobowych w UE RODO Rozporządzenie PE i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE RODO u weszło w życie dwudziestego dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej (tj. 24. 05. 2016 r. ). u ma zastosowanie od dnia 25 maja 2018 r. u Dyrektywa 95/46/WE zostaje uchylona ze skutkiem od dnia 25 maja 2018 r. tzw. dyrektywa policyjna Dyrektywa PE i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSi. SW u Państwa członkowskie przyjmują i publikują do dnia 6 maja 2018 r. przepisy ustawowe, wykonawcze i administracyjne niezbędne do wykonania niniejszej dyrektywy. Państwa członkowskie stosują te przepisy od dnia 6 maja 2018 r.
Konsekwencje reformy ODO na poziomie prawa polskiego • Rodzaje przepisów krajowych: obligatoryjne i fakultatywne • Obowiązkowe przepisy krajowe dotyczące organu nadzorczego, procedur, podmiotów certyfikujących. • Fakultatywne przepisy krajowe: modyfikujące rozwiązania przewidziane w RODO • Fakultatywne przepisy krajowe wprowadzające ograniczenia i wyłączenia stosowania RODO (np. art. 23) • Fakultatywne przepisy krajowe doprecyzowujące stosowanie RODO, przede wszystkim w aspekcie podstaw prawnych przetwarzania danych osobowych (art. 6 ust. 2 i 3, art. 9 ust. 4)
Nowy system źródeł prawa ochrony danych osobowych KONSTYTUCJA RP – art. 47, art. 51 DYREKTYWA POLICYJNA Ustawa implementująca RODO: Ustawa z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości OGÓLNE ROZPORZĄDZENIE O OCHRONIE DANYCH (RODO) Ustawy uzupełniające/uszczegóławiaj ące: - Ustawa z 10. 5. 2018 r. o ochronie danych osobowych - „Ustawa dostosowująca” z 21. 2. 2019 r. Komisja Europejska Akty delegowane i wykonawcze
Konsekwencje RODO dla prawa polskiego Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (weszła w życie 25. 05. 2018). Ustawa z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (weszła w życie 6. 02. 2019). Ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 (weszła w życie 4. 5. 2019 r. ), w tym nowelizacje 162 ustaw.
Zakres zmian wprowadzonych ustawą z 14. 12. 2018 r. Akty prawne: Ustawa z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Rozporządzenie Prezesa Rady Ministrów z dnia 31 maja 2019 r. w sprawie trybu i sposobu realizacji zadań przez inspektora ochrony danych Zmiany w ustawie z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych Do danych osobowych stanowiących informacje niejawne nie stosuje się przepisów o ochronie danych osobowych. Do danych osobowych stanowiących informacje niejawne stosuje się przepisy niniejszej ustawy
Zmiany wprowadzone ustawą z 21. 02. 2019 1) Nowelizacja 162 ustaw 2) Cele zmian w poszczególnych przepisach: a) uszczegółowienie przepisów RODO b) ograniczenie stosowania uprawnień i obowiązków określonych w RODO, jeden przypadek rozszerzenia c) zmiany w generalnych zasadach ochrony danych osobowych (nowelizacja ustawy o ochronie danych osobowych) 3) Kategorie znowelizowanych ustaw i sposób dokonania w nich zmian 4) Uchwalenie i wejście w życie
Zmiany w Kodeksie pracy jako przykład aktu prawnego szczególnego wobec RODO wymagającego procesu dostosowania do prawnych obowiązków ochrony danych osobowych 1. 2. 3. 4. Podstawy prawne przetwarzania danych osobowych Monitoring Upoważnienie Orzeczenie o zdolności do pracy
Obowiązki określone w RODO – sposób realizacji obowiązków
Ogólne rozporządzenia o ochronie danych – rodzaje rozwiązań i obowiązków - podejście do ich wykonywania Rodzaje przepisów: 1) Rozwiązania oparte na obecnie obowiązujących przepisach w dyrektywie 95/46 oraz ustawie o ochronie danych osobowych 2) Nowe rozwiązania Nowe podejście do realizacji obowiązków ochrony danych osobowych: 1) zasada rozliczalności – administrator danych powinien być w stanie wykazać, że stosowane przez niego metody są zgodne z RODO oraz skuteczne – zastosowanie się do zasady rozliczalności wymaga wdrożenia odpowiednich procedur i prowadzenia odpowiedniej dokumentacji, nawet jeśli obowiązek ich posiadania nie wynika bezpośrednio z przepisów RODO, ale dzięki którym łatwiej będzie wykazać fakt spełniania przewidzianych Rozporządzeniem wymogów. Rola Polityk ochrony danych 2) ochrona danych a koncepcja podejścia opartego na ryzyku (Risk Based Approach, RBA) – koncepcja ta zakłada, że im ryzyko związane z przetwarzaniem danych osobowych jest większe, tym większy powinien być zakres obowiązków ciążących na administratorze danych
Rodzaje obowiązków 1) Obowiązki związane z: - współadministrowaniem, - powierzeniem przetwarzania danych, - podpowierzeniem przetwarzania danych. 2) Zgodność z zasadami przetwarzania: - ograniczenie celu, - minimalizacja danych, - ograniczenie przechowywania (retencja danych). 3) Zgodności z prawem przetwarzania danych (podstawa prawna przetwarzania) 4) Wykonanie obowiązków informacyjnych wobec podmiotu danych w sytuacjach zbierania danych: - bezpośrednio od podmiotu danych, - z innych źródeł. 5) Przekazywanie danych do państw trzecich 6) Profilowanie i zautomatyzowane podejmowanie decyzji 7) Realizacja prawa podmiotu danych - prawo dostępu przysługujące osobie, której dane dotyczą, - prawo do sprostowania danych, - prawo do usunięcia danych („prawo do bycia zapomnianym”) - prawo do ograniczenia przetwarzania - prawo do przenoszenia danych, - prawo do sprzeciwu, 8) Wdrożenie środków technicznych i organizacyjnych dotyczących przetwarzania danych (dobór środków zabezpieczających) 10) Uwzględnienie ochrony danych w fazie projektowania oraz domyślna ochrona danych 11) Przetwarzanie z upoważnienia 12) Rejestrowanie czynności przetwarzania 13) Obowiązki związane z naruszeniami ochrony danych 14) Ocena skutków dla ochrony danych i uprzednie konsultacje 15) Wyznaczanie inspektora ochrony danych (częciowy)
Kolejność działań w zakresie stosowania RODO I. Czy znajduje zastosowanie RODO ? - Czy przetwarzamy dane osobowe (pojęcie danych osobowych) ? - Jakie rodzaje danych przetwarzamy (zwykłe czy szczególnie chronione)? - Czy przetwarzanie mieści się w zakresie przedmiotowym stosowania RODO? - Czy sytuacja jest objęta wyjątkiem spod zakresu stosowania RODO II. Jaki status jest podmiotów uczestniczących w przetwarzaniu danych osobowych ? (jaki jest status mojej jednostki w procesie przetwarzania danych osobowych? ) Administrator Współadmistratorzy Podmiot przetwarzający Dalszy podmiot przetwarzający III. Podstawa prawna przetwarzania danych osobowych (dla administratora) IV. Dalsze obowiązki ochrony danych osobowych (weryfikacja konieczności sporządzenia DPi. A)
Działania dostosowawcze do RODO – podstawowe dokumenty Podział dokumentów: 1) Dokumenty obligatoryjne 2) Pozostałe dokumenty 3) Znaczenie zasady rozliczalności (art. 5 ust. 2 RODO) dla dokumentowania wdrażania obowiązków określonych w RODO Rola i znaczenie polityki ochrony danych (jako dokumentu głównego) - tworzenie i wdrożenie polityk „jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania”, - tworzenie polityk jako środek organizacyjny i techniczny służący zapewnieniu zgodności przetwarzania danych z RODO oraz rozliczalności, - polityki powinny być poddawane przeglądom i uaktualnieniu. - polityki podlegają monitorowaniu przez IOD.
Działania dostosowawcze do RODO – podstawowe dokumenty Inwentaryzacja: Rejestr czynności przetwarzania danych Wobec osoby, której dane dotyczą: Klauzule informacyjne (wobec osób, których dane dotyczą) Klauzule (zgody) – w zakresie w jakim znajdują zastosowanie Komunikat dotyczący IOD (upublicznienie danych kontaktowych) Dodatkowe informacje – polityka prywatności Powierzenie przetwarzania danych osobowych i współadministrowanie Wybór właściwego podmiotu przetwarzającego Umowa powierzenie Uzgodnienia między współadministratorami Procedury: Ustalania istnienia obowiązku oceny skutków dla ochrony danych (DPIA) oraz przeprowadzanie tej oceny Procedura dotyczące naruszeń ochrony danych (skierowana do pracowników oraz innych osób wykonujących czynności w zakładzie pracy). Ewidencja naruszeń ochrony danych (ewidencjonowanie naruszeń) Wyznaczenie IOD – działania informacyjne i organizacyjne. Nadawanie uprawnień osobom przetwarzającym dane osobowe Realizacja żądań osób, których dane dotyczą (procedura dla całej jednostki organizacyjnej) Dokumentacja dot. zabezpieczeń Test ważenia interesów (dla przesłanki uzasadnionego interesu) Dokumentacja przekazywania danych osobowych do państwa trzecich Dokumenty dostosowujące do zmian w krajowych przepisach uzupełniających (krajowych) – przykład przepisy prawa pracy
Rejestr czynności przetwarzania (art. 30 RODO) jako dokument służący inwentaryzacji 1) Dwa rodzaje rejestrów: - rejestr administratora, - rejestr podmiotu przetwarzającego. 2) W rejestrze administratora zamieszcza się następujące informacje: a) imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych; b) cele przetwarzania; c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych; d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych; e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń; f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych; g) g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.
Czynności przetwarzania – wyodrębnienie czynności przetwarzania podlegających różnym reżimom prawnym Rodzaje przepisów prawa: I. RODO uzupełniające RODO przepisy krajowe i unijne II. DODO III. Informacja niejawna
Zakres stosowania RODO – zakres przedmiotowy
RODO – zagadnienia podstawowe 1) Zakres przedmiotowy stosowania RODO - Pojęcie danych osobowych. - Rozróżnienie rodzajów danych osobowych. - Odniesienie do pojęcia zbioru danych 2) Zakres podmiotowy stosowania RODO - Terytorialny zakres stosowania - Adresaci obowiązków ochrony danych osobowych
Pojęcie danych osobowych • „Dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”) • Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy (adres IP, identyfikator plików cookies) lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej (motyw nr 30). • Znaczenie motywu 14 dla wyznaczania zakres stosowania RODO do przetwarzania danych osobowych w działalności gospodarczej • Brak zastosowanie przepisów RODO do danych osób zmarłych
Pojęcie danych osobowych • Pozostaje podział na dane zwykłe oraz dane wrażliwe • Podstawy prawne w RODO: art. 6 – podstawy przetwarzania danych zwykłych, art. 9 – nowy katalog danych wrażliwych i podstaw ich przetwarzania oraz art. 10 – przetwarzanie danych osobowych dotyczących wyroków skazujących i naruszeń prawa • Dane wrażliwe: dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby (art. 9 ust. 1)
Zakres przedmiotowy RODO „Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych. ” (art. 2 ust. 1) Ograniczenie znaczenia kategorii „zbiór danych” dla wykonania zasad ochrony danych – rezygnacja z rozwiązań przyjętych w obecnej polskiej ustawie o ochronie danych osobowych: a) ogólnokrajowego rejestru zbiorów danych prowadzonego przez GIODO, b) wewnętrznego rejestru zbioru danych prowadzonego przez ABI, c) wykazu zbioru danych jako elementu polityki bezpieczeństwa.
Zakres podmiotowy stosowania RODO – adresaci obowiązków określonych w RODO
Administrator danych – processor • Art. 4 pkt 7 - „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który: – samodzielnie lub wspólnie z innymi – ustala cele i sposoby przetwarzania danych osobowych • Art. 4 pkt 8 - Podmiot przetwarzający, processor – „podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora
Administrator danych (współadministratorzy) • konstrukcja współadministratora danych (art. 26): – jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami – w drodze wspólnych uzgodnień współadministratorzy w przejrzysty sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z niniejszego rozporządzenia, w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw oraz ich obowiązków w odniesieniu do podawania informacji; w uzgodnieniach można wskazać punkt kontaktowy dla osób, których dane dotyczą – w/w uzgodnienia powinny odzwierciedlać odpowiednie zakresy obowiązków współadministratorów oraz relacje pomiędzy nimi a podmiotami, których dane dotyczą – zasadnicza treść uzgodnień jest udostępniana podmiotom, których dane dotyczą – niezależnie od uzgodnień pomiędzy współadministratorami, podmiot danych może wykonywać przysługujące jej prawa wynikające z niniejszego rozporządzenia wobec każdego z administratorów.
Rodzaje obowiązków określonych w RODO. Identyfikacja danych osobowych oraz czynności przetwarzania danych
RODO – obowiązki do analizy 1) 2) 3) Identyfikacja zakresu stosowania RODO (zakres stosowania RODO i wyłączenia spod tego zakresu) Status podmiotu przetwarzającego (administrator, współadministrator, podmiot przetwarzający) Obowiązki związane z: - współadministrowaniem, - powierzeniem przetwarzania danych, - podpowierzeniem przetwarzania danych. 4) Zgodność z zasadami przetwarzania: - ograniczenie celu, - minimalizacja danych, - ograniczenie przechowywania (retencja danych). 5) Zgodności z prawem przetwarzania danych (podstawa prawna przetwarzania) 6) Wykonanie obowiązków informacyjnych wobec podmiotu danych w sytuacjach zbierania danych: - bezpośrednio od podmiotu danych, - z innych źródeł. 7) Przekazywanie danych do państw trzecich 8) Profilowanie i zautomatyzowane podejmowanie decyzji 9) Realizacja prawa podmiotu danych - prawo dostępu przysługujące osobie, której dane dotyczą, - prawo do sprostowania danych, - prawo do usunięcia danych („prawo do bycia zapomnianym”) - prawo do ograniczenia przetwarzania - prawo do przenoszenia danych, - prawo do sprzeciwu, 10) Wdrożenie środków technicznych i organizacyjnych dotyczących przetwarzania danych (dobór środków zabezpieczających) 11) Uwzględnienie ochrony danych w fazie projektowania oraz domyślna ochrona danych 12) Przetwarzanie z upoważnienia 13) Rejestrowanie czynności przetwarzania 14) Zgłoszenia naruszeń 15) Ocena skutków dla ochrony danych 16) Wyznaczanie inspektora ochrony danych
Uprawnienia podmiotu danych realizowane na jego żądanie I. Uprawnienia związane ze zgodą podmiotu danych 1) Wyrażenie zgody 2) Cofnięcie zgody II. Uprawnienia bierne 1) Obowiązki informacyjne III. Uprawnienia czynne (poprzez żądanie) 1) Prawo do informacji i kopii danych (art. 15) 2) Prawo do sprostowania danych (art. 16) 3) Prawo do bycia zapomnianym (art. 17) 4) Prawo do ograniczenia przetwarzania (art. 18) 5) Prawo do przenoszenia danych (art. 20) 6) Prawo do sprzeciwu (art. 21) 7) Uprawnienia osoby, której dane dotyczą związane z profilowaniem (art. 21 i art. 22).
Data Protection Officer (DPO) – Inspektor ochrony danych (IOD) w aktach UE Właściwe przepisy: 37 -39 ogólnego rozporządzenia o ochronie danych Ogólne rozporządzenie reguluje: 1) Wyznaczenie 2) Organizację wykonywania funkcji („pozycję”) 3) Zadania IOD
Dziękuję za uwagę gsibiga@inp. pan. pl
"ochronie przyrody"
Ustawa o ochronie zabytków i opiece nad zabytkami
Fases del proces digestiu
Ramowy proces technologiczny wałka
Teoria endosymbiozy zakłada że mitochondria i plastydy
Model komunikacji dwustronnej
Reforming a kraking
Procesn
Komunikacijski proces
Katabolizm schemat
Proces pielęgnowania pacjenta paliatywnego przykłady
Nazolabial katlantı
Stirlingov proces
Proces odobravanja kredita
Proces
Slidetodoc.com
Smgs list przewozowy
Proces motywacji
Proces decyzyjny
Fotografia kolodionowa
Proces zdravstvene njege fučkar
Fmea analiza
Synodaal proces
Proces
Slo creatief proces
Proces kadrowy w organizacji
Tehnološki proces proizvodnje piva
Procesdecompositie
Audit proces
Proces dowodzenia schemat
Haber bosov proces
