Szkolenie 12 września 2017 roku Prowadzący: Grażyna Kawczyńska

RODO (ogólne rozporządzenie o ochronie danych) lub Przepisy prawa Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE RODO (ogólne rozporządzenie o ochronie danych) lub GDPR (General Data Protection Regulation)

Agenda Wstęp Zasady przetwarzania danych osobowych Prawa osoby, której dane dotyczą Administrator danych osobowych Inspektor ochrony danych Organ nadzorczy Środki ochrony prawnej 3

1. Wstęp Reorganizacja systemu ochrony danych 4 ZMIANY NOWOŚCI Rozszerzona formuła zgody Rejestr czynności przetwarzania Nowe obowiązki procesora Zmiana statusu ABI na IOD Zmieniony zakres danych wrażliwych Zwiększenie uprawnień osób, których dane dotyczą NOWOŚCI Proaktywne podejście do danych osobowych Ułatwienie dla grup kapitałowych Uregulowanie zasad profilowania Wysokie kary pieniężne Raportowanie o własnych naruszeniach Przetwarzanie danych dziecka tylko za zgodą opiekuna 4

1. Wstęp Przygotowanie organizacji do zmian dostosowanie procesu odbierania zgód na przetwarzanie zmiana treści klauzul zawierających obowiązek informacyjny realizacja praw osób, których dane dotyczą dostosowanie zasad profilowania do wymogów RODO 5

1. Wstęp Przygotowanie organizacji do zmian wprowadzenie stosownych mechanizmów ochrony: na etapie projektowania wbudowanie ochrony w produkt lub usługę (domyślnie przetwarzanie wyłącznie niezbędne do realizacji celu) zasada rozliczalności oszacowanie ryzyka -> wdrożenie odpowiednich środków technicznych i organizacyjnych możliwość stworzenia jednego administratora w grupach kapitałowych 6

1. Wstęp Przygotowanie organizacji do zmian zmiana treści umów zawartych z podmiotami przetwarzającymi dane oszacowanie wiarygodności podmiotów przetwarzających kontrolowanie zawartych umów z podmiotami, którym podmiot powierzył przetwarzanie danych utworzenie rejestru czynności przetwarzania 7

1. Wstęp Przygotowanie organizacji do zmian wprowadzenie procedury zgłaszania naruszeń ochrony danych osobowych dokonanie oceny skutków planowanych operacji przetwarzania wyznaczenie inspektora ochrony danych spełnienie przesłanek do przekazywania do państw trzecich możliwość certyfikacji w dziedzinie ochrony danych osobowych 8

1. Wstęp Przepisy krajowe – dookreślenie pojęć zasada przejrzystości obowiązek informacyjny realizacja praw osób, których dane dotyczą zautomatyzowane przetwarzanie, w tym profilowanie obowiązek informacyjny w sytuacji naruszenia ochrony danych osobowych zasady dotyczące przetwarzania danych osobowych 9

1. Wstęp Przepisy krajowe – dodatkowo doprecyzowanie przepisów w odniesieniu do danych wrażliwych przepisy dotyczące osób zmarłych dalej idące ograniczenia przetwarzania danych genetycznych, biometrycznych lub danych dotyczących zdrowia ustanowienie przepisów karnych za naruszenie RODO niższa granica wiekowa dla dzieci zasady certyfikacji określenie statusu, zadań i kompetencji organu nadzorczego 10

2. Zasady przetwarzania danych osobowych legalności celowości adekwatności merytorycznej poprawności ograniczenia przechowywania danych integralności i poufności danych rozliczalności przejrzystości 11

2. Zasady przetwarzania danych osobowych Legalne podstawy przetwarzania zgoda podpisanie umowy wypełnienie obowiązku prawnego ochrona żywotnych interesów wykonanie zadania realizowanego w celu publicznym prawnie uzasadniony cel administratora 12

Zgoda Oświadczenie lub wyraźne działanie Administrator danych Cel Dowód udzielenia zgody Dziecka do 16 roku życia Sposób wycofania się ze zgody Konsekwencje wycofania się ze zgody Administrator danych Cel Zakres danych Dobrowolna Konkretna Świadoma Jednoznaczna 13

2. Zasady przetwarzania danych osobowych Obowiązek informacyjny - obecnie nazwa i dane kontaktowe administratora danych cele przetwarzania odbiorcy danych prawa podmiotu danych prawo dostępu do danych prawo poprawiania dobrowolność lub obowiązek podania danych 14

2. Zasady przetwarzania danych osobowych Obowiązek informacyjny – RODO dane kontaktowe IOD nazwa i dane kontaktowe przedstawiciela na terenie Unii podstawa prawna przetwarzania uzasadnione interesy administratora lub strony trzeciej zamiar przekazania do państw trzecich 15

2. Zasady przetwarzania danych osobowych Obowiązek informacyjny – RODO okres przechowywania lub kryteria ustalania tego okresu informacje o prawach podmiotu konsekwencje niepodania danych, w przypadku takiego obowiązku informacja o zautomatyzowanym przetwarzaniu, w tym profilowaniu 16

2. Zasady przetwarzania danych osobowych Przetwarzanie danych wrażliwych - zakres ujawniające pochodzenie rasowe lub etniczne poglądy polityczne przekonania religijne lub światopoglądowe przynależność do związków zawodowych dane dotyczące zdrowia seksualność lub orientacja seksualna 17

2. Zasady przetwarzania danych osobowych Przetwarzanie danych wrażliwych - zakres dane genetyczne – dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej 18

2. Zasady przetwarzania danych osobowych Przetwarzanie danych wrażliwych - zakres dane biometryczne – które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne 19

Kodeks cywilny Art. 23. Dobra osobiste człowieka, jak w szczególności zdrowie, wolność, cześć, swoboda sumienia, nazwisko lub pseudonim, wizerunek, tajemnica korespondencji, nietykalność mieszkania, twórczość naukowa, artystyczna, wynalazcza i racjonalizatorska, pozostają pod ochroną prawa cywilnego niezależnie od ochrony przewidzianej w innych przepisach

2. Zasady przetwarzania danych osobowych Przetwarzanie danych wrażliwych - legalność zgoda wypełnienie obowiązków w dziedzinie: prawa pracy zabezpieczenia społecznego ochrony socjalnej ochrona żywotnych interesów osoby działalność fundacji, stowarzyszeń, kościołów… 21

2. Zasady przetwarzania danych osobowych Przetwarzanie danych wrażliwych - legalność upublicznionych przez osobę, której dane dotyczą w ramach sprawowania wymiaru sprawiedliwości ważny interes publiczny profilaktyka medyczna i medycyna pracy interes publiczny w dziedzinie zdrowia publicznego cel archiwalny 22

2. Zasady przetwarzania danych osobowych Retencja danych osobowych ograniczenie czasowe przetwarzania ustalenie terminu usuwania lub okresowego przeglądu określenie lub oszacowanie czasu w chwili pozyskiwania poinformowanie o czasie przetwarzania osoby, której dane dotyczą gdy brak przepisów regulujących – usuwanie danych niezwłocznie po ustaniu celu nałożenie na podmiot przetwarzający obowiązku zwrotu lub usunięcia danych po zakończeniu przetwarzania 23

3. Prawa osoby, której dane dotyczą Prawo do usunięcia danych Prawo do ograniczenia przetwarzania Prawo wniesienia sprzeciwu Prawo do przenoszenia danych Prawo do cofnięcia zgody Prawo wniesienia skargi do organu nadzorczego Prawo dostępu do danych Prawo do sprostowania danych osobowych Prawa związane z profilowaniem 24

4. Administrator danych Osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie ustala cele i sposoby przetwarzania 25

4. Administrator danych Zadania Szacowanie ryzyka Ocena skutków planowanych operacji przetwarzania Konsultacje z organem nadzorczym Faza projektowania Domyślna ochrona danych Zgłoszenie naruszenia danych osobowych do organu nadzorczego osobie, której dane dotyczą 26

4. Administrator danych Wdrożenie odpowiednich środków technicznych i organizacyjnych, w tym: procedur awaryjnych procedur odtworzeniowych zarządzanie ciągłością działania firmy regularne testowanie, mierzenie i ocenianie skuteczności zastosowanych środków szkolenia pracowników, w tym także IOD pseudonimizacji i szyfrowanie danych upoważnienia do przetwarzania podmiotów oraz osób 27

4. Administrator danych Rejestrowanie czynności przetwarzania: powyżej 250 pracowników może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą nie ma charakteru sporadycznego szczególne kategorie danych osobowych dane osobowe dotyczące wyroków skazujących i naruszeń prawa 28

4. Administrator danych Obowiązki podmiotu, który przetwarza dane osobowe w imieniu administratora: umowa powierzenia odpowiedzialność podmiotu przetwarzającego 29

4. Administrator danych Współadministratorzy – prawnie uzasadniony interes w przesyłaniu danych osobowych w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych (klientów lub pracowników) 30

5. Inspektor ochrony danych Zobowiązani: organy publiczne główna działalność polega na regularnym i systematycznym monitorowaniu przetwarzanie na dużą skalę szczególnych kategorii danych 31

5. Inspektor ochrony danych Zadania informowanie monitorowanie przestrzegania RODO udzielanie na żądanie zaleceń co do oceny skutków oraz monitorowanie ich wykonania w przypadku gdy administrator przed rozpoczęciem przetwarzania zobowiązany jest do przeprowadzenia oceny skutków planowanych operacji pełnienie funkcji punktu kontaktowego współpraca z organem nadzorczym 32

5. Inspektor ochrony danych Wymogi wiedza praktyczna kwalifikacje zawodowe nie mogą wykonywać innych zadań, które mogą powodować konflikt interesów inne zadania nie mogą wpływać negatywnie na wykonywanie zadań IOD 33

5. Inspektor ochrony danych Relacja z administratorem danych wspieranie zapewnienie zasobów do wykonywanie zadań pomoc w podnoszeniu kwalifikacji nie może wydawać instrukcji 34

6. Organ nadzorczy Organ nadzorczy i wiodący organ nadzorczy Współpraca organów nadzorczych Zadania organu nadzorczego Uprawnienia organu nadzorczego Europejska Rada Ochrony Danych 35

7. Środki ochrony prawnej Kary administracyjne Prawo wniesienia skargi do organu nadzorczego Ochrona prawna przed sądem Prawo do odszkodowania 36

Dziękuję za uwagę 37 GRAŻYNA KAWCZYŃSKA e-mail: ofabi@ofabi.pl tel.: 516 280 427 © Wszelkie prawa zastrzeżone. Wykorzystywanie bez zgody twórcy zabronione. 37