Co się zmienia w systemie ochrony danych osobowych w świetle RODO
Przepisy prawne – obecnie 1. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (duża nowelizacja w styczniu 2015 r.) 2. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych 3. Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych
System ochrony d.o. – obecnie Administrator Bezpieczeństwa Informacji Dokumentacja ochrony d.o.: - Polityka Bezpieczeństwa, - Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, - Upoważnienia do przetwarzania danych osobowych, - Rejestracja zbiorów w Biurze GIODO lub prowadzenie Rejestru zbiorów danych, - Dokumentacja sprawdzeń
Przepisy prawne - nowe Rozporządzenie Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych, w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (będzie obowiązywało od 25 maja 2018 roku)
Przepisy prawne - nowe Nowe polskie akty prawne 1. Projekt ustawy o ochronie danych osobowych - 09.2017 r. 2. Projekt ustawy przepisy wprowadzające ustawę o ochronie danych osobowych (zmiany w 133 aktach prawnych) – 09.2017 r.
Niektóre obowiązki ADO Art. 30 ust. 1 Każdy administrator … prowadzi rejestr czynności przetwarzania danych osobowych, za które odpowiada.
Niektóre obowiązki ADO Art. 32 1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: pseudonimizację i szyfrowanie danych osobowych, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
Niektóre obowiązki ADO Art. 32 c.d. zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, regularne testowanie, mierzenie, ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Niektóre obowiązki ADO Art. 33 i 34 W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator, bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
Inspektor Ochrony Danych Inspektor Ochrony Danych musi być powołany we wszystkich organach i podmiotach publicznych IOD jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełniania przypisanych do niego zadań.
Inspektor Ochrony Danych Niektóre zadania IOD (art. 39): Informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii o ochronie danych i doradzanie im w tej sprawie; Monitorowanie przestrzegania RODO i innych przepisów Unii oraz polityk administratora (zbieranie informacji w celu identyfikacji procesów przetwarzania, sprawdzanie zgodności tego przetwarzania, doradzanie i rekomendowanie określonych działań administratorowi);
Inspektor Ochrony Danych Niektóre zadania IOD (art. 39): Współpraca z Urzędem Ochrony Danych Osobowych; Pełnienie funkcji punktu kontaktowego dla osób, których dane są przetwarzane przez administratora i dla Urzędu Ochrony Danych Osobowych.
Inspektor Ochrony Danych Do obowiązków IOD będzie należało również wsparcie w implementacji RODO w organizacji, w zakresie: zasad przetwarzania danych osobowych (art. 6 i 9), praw osób, których dane dotyczą (art. 15-19), ochrony danych w fazie projektowania (art. 35), rejestru czynności przetwarzania (art. 32), zgłaszania naruszeń związanych z ochroną danych osobowych (art. 33 i 34).
Inspektor Ochrony Danych Art. 38 ust. 6 Inspektor ochrony danych może wykonywać inne zadania i obowiązki. Administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów.
Inspektor Ochrony Danych Wytyczne Grupy Roboczej art. 29 dotyczące IOD: Kwalifikacje zawodowe – RODO nie wskazuje konkretnych kwalifikacji zawodowych, IOD powinien jednak posiadać odpowiednią wiedzę z zakresu krajowych i europejskich przepisów o ochronie danych osobowych i praktyk oraz dogłębną znajomość RODO. Zalecana jest również wiedza sektorowa dotycząca administratora, wiedza na temat procesów przetwarzania danych, systemów informatycznych oraz zabezpieczeń stosowanych u administratora. W przypadku organów i podmiotów publicznych powinien również posiadać wiedzę w zakresie procedur administracyjnych.
Przepisy prawne - kary Wysokie kary finansowe o których mowa w art. 83 RODO (do 20 000 000 EUR lub 4% całkowitego rocznego obrotu z poprzedniego roku) nie dotyczą organów publicznych.
Przepisy prawne - kary (Projekt ustawy o ochronie danych osobowych) Na podmioty publiczne, o których mowa w art. 9 pkt 1 – 12 i 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych Prezes Urzędu może nałożyć, w drodze decyzji, administracyjne kary pieniężne w wysokości do 100 000 zł.
Jak wdrożyć RODO?
Wdrożenie RODO - etapy Audyt otwarcia - analiza obowiązków wynikająca z RODO, obecnie stosowanych zabezpieczeń i dokumentów Działania dostosowawcze – wskazanie koniecznych działań i ustalenie harmonogramu ich realizacji Audyt powdrożeniowy - weryfikacja realizacji zadań
Audyt otwarcia Analiza obowiązków dotycząca procesów 1. Ustalenie statusu administratora i współadministratorów 2. Weryfikacja podstaw prawnych przetwarzania d.o. zgodnych z RODO 3. Odbieranie oświadczeń zgody na przetwarzanie d.o. (art. 7) 4. Realizacja obowiązków informacyjnych wymaganych przy zbieraniu danych osobowych (art. 12 - 13) 5. Realizacja praw osób, których dane dotyczą (art. 15-19), w tym określenie procedur 6. Powierzenie przetwarzania danych osobowych innym podmiotom (art. 28) – wybór procesora, treść umowy 7. Ocena skutków przetwarzania d.o. jeśli proces tego wymaga (art.36)
Audyt otwarcia Analiza obowiązków dotycząca organizacji 1. Analiza ryzyka danych osobowych, weryfikacja stosowanych zabezpieczeń technicznych i organizacyjnych i ich dostosowanie do wymagań RODO (art. 32) 2. Opracowanie wzoru rejestru czynności przetwarzania danych osobowych (art. 30) 3. Określenie procedur dotyczących: - obsługi żądań podmiotów danych kierowanych do IOD, realizacji zadań związanych ze zgłaszaniem naruszeń ochrony danych osobowych (art. 33) - wyznaczenia IOD i określenia jego zadań (art. 37-39)
Audyt otwarcia Analiza dokumentacji 1. Uzupełnienie Polityki ochrony danych o zapisy dotyczące: realizowania funkcji IOD metodyki analizy ryzyka procedury zgłaszania naruszeń ochrony danych osobowych (incydentów) procedury zapewnienia ciągłości działania procedury przeglądów zastosowanych zabezpieczeń 2. Utworzenie Rejestru czynności przetwarzania d.o.
Działania dostosowawcze 1. Powołanie zespołu do wdrożenia RODO 2. Opracowanie harmonogramu realizacji zadań 3. Przeprowadzenie szkolenia pracowników
Działania dostosowawcze Przy opracowywaniu harmonogramu uwzględnić podział zadań na: 1. takie, które mogą być wykonane niezwłocznie 2. które będą oczekiwały na uchwalenie przepisów dostosowawczych (przepisy zmieniające inne ustawy) 3. które powinny być zrealizowane po wydaniu odpowiednich wytycznych: GIODO – wytyczne dotyczące analizy ryzyka Grupa Robocza art. 29 – wytyczne dotyczące zgody, transparentności przetwarzania d.o., naruszeń ochrony d.o. – grudzień 2017 r.
Audyt powdrożeniowy Termin audytu – początek maja 2018 r. Cel – weryfikacja realizacji zadań określonych w harmonogramie, w tym środków technicznych i organizacyjnych wynikających z przeprowadzonej analizy ryzyka
Działania po 25.05.2018 r. 1. Wyznaczenie IOD i powiadomienie Prezesa Urzędu Ochrony Danych Osobowych (art. 37) 2. Stosowanie kodeksów postępowania i certyfikacja (art. 41-43) 3. Uwzględnianie ochrony danych w fazie projektowania (art. 25)
Usługi ZETO Koszalin Sp. z o.o. związane z RODO Szkolenia pracowników, zespołu powołanego do wdrożenia RODO, kandydata do pełnienia funkcji IOD Współudział w procesie wdrażania RODO w OPS na każdym etapie Audyt bezpieczeństwa danych osobowych Audyt bezpieczeństwa informacji zgodny z ISO/IEC 27001:2013
Dziękuję za uwagę Jolanta Kubiak Zakład Elektronicznej Techniki Obliczeniowej Sp. z o.o. w Koszalinie