POMORSKI UNIWERSYTET MEDYCZNY W SZCZECINIE PODSTAWOWE ZMIANY W SYSTEMIE PRAWA OCHRONY DANYCH OSOBOWYCH W ZWIĄZKU Z WEJŚCIEM W ŻYCIE RODO Opracowała: Magdalena Łobacz
POMORSKI UNIWERSYTET MEDYCZNY W SZCZECINIE REFORMA PRAWA UE ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/680 z dnia 27 kwietnia 2016 r.
POMORSKI UNIWERSYTET MEDYCZNY W SZCZECINIE REFORMA PRAWA NOWA USTAWA O OCHRONIE DANYCH OSOBOWYCH NOWELIZACJA USTAW SEKTOROWYCH WYTYCZNE GRUPY ART. 29 OPINIE I WYJAŚNIENIA GIODO/URZĄDU OCHRONY DANYCH OSOBOWYCH
POMORSKI UNIWERSYTET MEDYCZNY W SZCZECINIE CELE REFORMY Lepsza ochrona danych osobowych w dobie postępu technologicznego i globalizacji; Harmonizacja przepisów – spójny stopień ochrony danych w UE, pewność prawa dla przedsiębiorców (jeden zestaw przepisów dla całej UE)
POMORSKI UNIWERSYTET MEDYCZNY W SZCZECINIE NOWE PODEJŚCIE DO OCHRONY DANYCH Dostosowanie zasad ochrony danych do aktualnego stanu wiedzy, Wdrożenia odpowiednich środków technicznych i organizacyjnych adekwatnych do ryzyka naruszenia praw i wolności osób fizycznych – podejście oparte na ryzyku, Rozliczalność – obowiązek przestrzegania zasad ochrony danych i zdolność do wykazania tego poprzez wdrożenie wewnętrznych mechanizmów i procedur, Uwzględnienie ochrony danych w fazie projektowania i domyślna ochrona danych Kodeksy postępowania i certyfikacja, Zgłaszanie naruszeń danych, Odpowiedzialność finansowa.
POMORSKI UNIWERSYTET MEDYCZNY W SZCZECINIE DANE OSOBOWE Wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
POMORSKI UNIWERSYTET MEDYCZNY W SZCZECINIE DANE SZCZEGÓLNEJ KATEGORII dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące stanu zdrowia, dane dotyczące seksualności lub orientacji seksualnej, podobnie traktowane: dane dotyczące wyroków skazujących i czynów zabronionych
POMORSKI UNIWERSYTET MEDYCZNY W SZCZECINIE PRZETWARZANIE DANYCH Operacje na danych osobowych takie jak m.in. wgląd, zbieranie, tworzenie, modyfikowanie, usuwanie, archiwizacja, udostępnianie, przesyłanie
POMORSKI UNIWERSYTET MEDYCZNY W SZCZECINIE ZASADY PRZETWARZANIA UODO RODO legalizm celowość merytoryczna poprawność adekwatność ograniczenie czasowe zgodność z prawem, rzetelność i przejrzystość ograniczenie celu minimalizacja danych prawidłowość ograniczenie przechowywania integralność i poufność rozliczalność
POMORSKI UNIWERSYTET MEDYCZNY W SZCZECINIE ZASADY PRZETWARZANIA ZGODNOŚĆ Z PRAWEM, RZETELNOŚĆ I PRZEJRZYSTOŚĆ - dane muszą być przetwarzane w zgodzie z przepisami prawa, z dołożeniem szczególnej staranności w celu ochrony interesów osób, której dane dotyczą; przejrzystość/transparentność procesów przetwarzania – obowiązek informacyjny skierowany w sposób jasny i prostym językiem; OGRANICZENIE CELU - dane muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach; MINIMALIZACJA DANYCH - adekwatne, stosowne i ograniczone co do celów dla których zostały zebrane, niestosowanie nadmiarowości; PRAWIDŁOWOŚĆ – zasada merytorycznej poprawności; ZASADA OGRANICZENIA PRZETWARZANIA – przetwarzanie przez okres nie dłuższy niż jest to niezbędne do celów, w których dane są przetwarzane; ZASADA INTEGRALNOŚCI I POUFNOŚCI- ochrona przed niedozwolonym, niezgodnym z prawem przetwarzaniem, przypadkową utrata, zniszczeniem, uszkodzeniem; ROZLICZALNOŚĆ - obowiązek przestrzegania zasad ochrony danych i zdolność do wykazania tego poprzez wdrożenie wewnętrznych mechanizmów i procedur.
POMORSKI UNIWERSYTET MEDYCZNY W SZCZECINIE NOWE OBOWIĄZKI ADMINISTRATORA DANYCH konieczność zapewnienia określonych warunków w procesie zautomatyzowanego podejmowania decyzji w indywidualnych sprawach (profilowanie), uwzględnienie ochrony danych w fazie projektowania oraz domyślna ochrona danych, rejestrowanie czynności przetwarzania, zgłaszanie naruszenia ochrony danych organowi nadzorczemu, zawiadamianie podmiotu danych o naruszeniu ochrony danych osobowych, ocena skutków dla ochrony danych, obowiązek określenia czasu przetwarzania danych, obowiązek przeniesienia danych, wyznaczenie inspektora ochrony danych,
POMORSKI UNIWERSYTET MEDYCZNY W SZCZECINIE NOWE OBOWIĄZKI ADMINISTRATORA DANYCH KONIECZNOŚĆ ZAPEWNIENIA OKRESLONYCH WARUNKÓW W PROCESIE ZAUTOMATYZOWNEGO PODEJMOWANIA DECYZJI W INDYWIDULANYCH SPRAWACH (PROFILOWANIE) – ART. 22 Zautomatyzowane przetwarzanie danych osobowych pozwalające ocenić czynniki osobowe osoby fizycznej, a w szczególności analizować lub prognozować aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się osoby, której dane dotyczą – o ile wywołuje skutki prawne względem tej osoby lub w podobny sposób znacząco na nią wpływa. Przetwarzanie takie powinno zawsze podlegać odpowiednim zabezpieczeniom, obejmującym informowanie osoby, której dane dotyczą, prawo do uzyskania interwencji człowieka, prawo do wyrażenia własnego stanowiska, prawo do uzyskania wyjaśnienia co do decyzji wynikłej z takiej oceny oraz prawo do zakwestionowania takiej decyzji. Takie przetwarzanie nie powinno dotyczyć dzieci. UWZGLĘDNIENIE OCHRONY DANYCH OSOBOWYCH W FAZIE PROJEKTOWANIA ORAZ DOMYŚLA OCHRONA DANYCH OSOBOWYCH – art. 25 OCHRONA W FAZIE PROJEKTOWANIA (art. 25) – polega na planowaniu zabezpieczeń przed rozpoczęciem przetwarzania; DOMYŚLA OCHRONA DANYCH OSOBOWYCH (art. 25) – dane osobowe nie mogą być domyślnie powszechne i dostępne, musza być zabezpieczone z zachowaniem zasad minimalizacji, celowości, adekwatności i czasowości.
POMORSKI UNIWERSYTET MEDYCZNY W SZCZECINIE NOWE OBOWIĄZKI ADMINISTRATORA DANYCH ZGŁASZANIE NARUSZEŃ OCHRONY DANYCH OSOBOWYCH ORGANOWI NADZORCZEMU – ART.33 Umyślne bądź nieumyślne działanie, naruszające prawa i wolności osób których dane dotyczą; Administrator jest zobowiązany zgłosić incydent organowi nadzorczemu, bez zbędnej zwłoki w miarę możliwości, nie później niż w terminie 72 godzin od stwierdzenia naruszenia. Administrator zobowiązany jest dokumentować naruszenia. ZAWIADAMIANIE PODMIOTU DANYCH O NARUSZENIU DANYCH OSOBOWYCH – ART . 34 Jeżeli naruszenie może powodować wysokie ryzyko naruszenia praw i wolności osób których dane dotyczą, Administrator powiadamia osobę której dotyczą o takim naruszeniu. Wykonanie tego obowiązku może także zażądać organ nadzorczy albo może stwierdzić że nie trzeba tego wykonywać ponieważ: zastosowano i wdrożono środki techniczne i organizacyjne tzn. zastosowano szyfrowanie, uniemożliwiające dostęp do danych osobom nieuprawnionym poinformowanie wymagałoby niewspółmiernie dużego wysiłku. W tym przypadku stosuje się komunikat prasowy lub informuje się w podobny sposób, aby dotrzeć do osób których dane dotyczyło naruszenie
POMORSKI UNIWERSYTET MEDYCZNY W SZCZECINIE NOWE OBOWIĄZKI ADMINISTRATORA DANYCH REJESTROWANIE CZYNNOŚCI PRZETWARZANIA – ART.30 Konieczność prowadzenia Rejestru czynności przetwarzania dla Administratorów, którzy: zatrudniający powyżej 250 osób, przetwarzanie związane jest w ryzykiem naruszenia praw i wolności której dane dotyczą i nie ma charakteru sporadycznego, obejmuje dane szczególnej kategorii. Podmioty przetwarzające – czyli organy, podmioty, osoby prawe, osoby fizyczne, które przetwarzają dane w imieniu Administratora, zobowiązane są do prowadzenia Rejestru przetwarzania Procesora
POMORSKI UNIWERSYTET MEDYCZNY W SZCZECINIE NOWE OBOWIĄZKI ADMINISTRATORA DANYCH OCENA SKUTKÓW DLA OCHRONY DANYCH – art. 35 Ocena skutków dla ochrony danych to czynność wykonywana przez Administratora w sytuacji jeżeli rodzaj, zakres, charakter, cel, oraz kontrast czynności może powodować duże prawdopodobieństwo dla naruszenia praw i wolności osób której dane dotyczą. Ocenę taką dokonuje się przez rozpoczęciem przetwarzania. Administrator konsultuje te działania z Inspektorem. Ocena skutków wykonuje się zgodnie z wytycznymi UODO co 3 lata Ocena skutków wymagana jest w szczególnym przypadku: zautomatyzowanego przetwarzania danych, w tym profilowaniu, przetwarzania na dużą skalę danych szczególnej kategorii, systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie. Ocena skutków przetwarzania nie ma zastosowania kiedy przetwarzanie odbywa się na podstawie przesłanki: przetwarzanie niezbędne do wypełnienia obowiązku ciążącego na Administratorze i do wykonania zadania realizowanego w interesie publicznym lub w ramach stosowania władzy publicznej.
POMORSKI UNIWERSYTET MEDYCZNY W SZCZECINIE NOWE OBOWIĄZKI ADMINISTRATORA DANYCH OBOWIĄZEK OKREŚLENIA CZASU PRZETWARZANIA DANYCH Przetwarzane przez okres nie dłuższy niż jest to niezbędne do celów, w których dane są zebrane. Wskazujemy okres lub określamy czasookres poprzez np. dokonanie procedur, które będą miały wpływ na okres przetwarzania OBOWIĄZEK PRZENIESIENIA DANYCH ART. 20 Osoba której dane dotyczą ma prawo do otrzymania w uszeregowanej strukturze, powszechnie używanym formacie nadającym się do odczytu maszynowego, dane osobowe jej dotyczące. Ma prawo także aby wskazać Administratorowi żeby przesłał je innemu Administratorowi. Takie prawo dotyczy sytuacji, w której przetwarzanie danych odbywa się na podstawie zgody osoby, której dane dotyczą lub na podstawie umowy oraz przetwarzanie odbywa się w sposób zautomatyzowany
POMORSKI UNIWERSYTET MEDYCZNY W SZCZECINIE NOWE OBOWIĄZKI ADMINISTRATORA DANYCH OBOWIĄZEK WYZNACZENIA INSPEKTORA podmioty publiczne, Administrator lub Podmiot przetwarzający, którego główna działalność polega na przetwarzaniu danych szczególnej kategorii na dużą skalę, Administrator lub Podmiot przetwarzający, którego główna działalność polega na takich operacjach przetwarzania, które wymaga ich ciągłego monitorowania (aktywne przetwarzanie)
POMORSKI UNIWERSYTET MEDYCZNY W SZCZECINIE NOWE OBOWIĄZKI ADMINISTRATORA DANYCH ZADANIA INSPEKTORA informowanie i doradzanie w zakresie obowiązków ciążących na administratorze, podmiocie przetwarzającym i pracownikach , monitorowanie przestrzegania przepisów i polityk w dziedzinie ochrony danych osobowych, zalecenia i konsultacje co do oceny skutków dla ochrony danych i monitorowanie jej wykonania, współpraca z organem nadzorczym, pełnienie funkcji punktu kontaktowego dla organu nadzorczego (w tym uprzednie konsultacje z art. 36), pełnienie funkcji punktu kontaktowego dla osób, których dane dotyczą
POMORSKI UNIWERSYTET MEDYCZNY W SZCZECINIE NOWE OBOWIĄZKI ADMINISTRATORA DANYCH Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, Administrator i Podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: pseudonimizację i szyfrowanie danych osobowych; zdolność do ciągłego zapewnienia poufności, integralności, dostępności…; zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; regularne testowanie, mierzenie i ocenianie skuteczności środków... Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
POMORSKI UNIWERSYTET MEDYCZNY W SZCZECINIE NOWE OBOWIĄZKI ADMINISTRATORA DANYCH Stosowanie kodeksów postępowania lub zatwierdzonego mechanizmu certyfikacji może być wykorzystywane jako element dla stwierdzenia przestrzegania przez Administratora ciążących na nim obowiązków. Kodeks postępowania – kodeksy postępowania różnych sektorów, zatwierdzane przez UODO Certyfikacja – certyfikat zgodności procesów przetwarzania danych osobowych z RODO, nadawany przez Prezesa UODO
POMORSKI UNIWERSYTET MEDYCZNY W SZCZECINIE PRAWA OSÓB ROZBUDOWANY OBOWIĄZEK INFORMACYJNY – zwięzła, przejrzysta, zrozumiała i łatwo dostępna forma; jasnym i prostym jeżykiem (szczególnie jeżeli kierowane są do dziecka) Obowiązek informacyjny – chcesz moje dane, powiedz mi po co? Kto będzie przetwarzał moje dane? W jakim celu? Jakie są moje prawa? Czy mam obowiązek podania danych, a jeśli tak, to z czego on wynika? Dane kontaktowe inspektora ochrony danych Zamiar przekazania danych osobowych do państwa trzeciego Okres przechowywania danych Profilowanie
POMORSKI UNIWERSYTET MEDYCZNY W SZCZECINIE PRAWA OSÓB UŁATWIENIE I ROZBUDOWANIE PRAW DLA OSÓB, KTÓREJ DANE DOTYCZĄ – Administrator bez zbędnej zwłoki, w terminie miesiąca od otrzymania żądania, udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniami w związku z realizacją praw. Działania te są wolne od opłat (chyba że żądanie są ewidentnie nieuzasadnione i nadmierne) PRAWO DOSTĘPU DO DANYCH – wydanie informacji o tym czy jej dane są przetwarzane. Uzyskanie dostępu do danych lub uzyskanie kopii danych; PRAWO DO SPROSTOWANIA DANYCH/UZUPEŁNIENIA DANYCH – niezwłoczne sprostowanie w stosunku do nieprawidłowych danych; PRAWO DO USUNIĘCIA DANYCH / „PRAWO DO BYCIA ZAPOMNIANYM” – każda osoba ma prawo zażądać u Administratora by jej dane były usunięte, a Administrator bez zbędnej zwłoki ma obowiązek je usunąć, jeżyli zachodzi przynajmniej jedna z następujących przesłanek: Dane te są już niezbędne do celów, dla których zostały zebrane, Osoba której dane dotyczą cofnęła zgodę i nie ma innej podstawy do przetwarzania, Osoba, której dane dotyczą wniosła sprzeciw wobec przetwarzania jej danych i nie ma prawnie uzasadnionego celu jej przetwarzania,
POMORSKI UNIWERSYTET MEDYCZNY W SZCZECINIE PRAWA OSÓB Dane były przetwarzane niezgodnie z prawem, Dane musza być usunięte w celu wywiązania się z obowiązku prawnego przewidzianego prawem Unii lub państwa członkowskiego, Dane zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego. Są to usługi świadczone elektronicznie na odległość, za wynagrodzeniem, która zostały indywidualnie zamówione przez odbiorcę, w tym wypadku dziecko (przedział wiekowy). PRAWO DO OGRANICZENIA PRZETWARZANIA – W NASTĘPUJĄCYCH PRZYPADKACH: Osoba, której dane dotyczą kwestionuje prawidłowość danych (na okres sprawdzenia przez Administratora prawidłowości danych), Przetwarzanie danych jest niezgodne z prawem, a osoba której dane dotyczą sprzeciwia się usunięciu danych, Administrator danych nie potrzebuje tych do celów przetwarzania, ale są one potrzebne osobie której dane dotyczą do dochodzenia praw, roszczeń, Osoba, której dane dotyczą wniosła sprzeciw wobec przetwarzania, do czasu stwierdzenia nadrzędności uzasadnionej podstawy przetwarzania po stronie Administratora
POMORSKI UNIWERSYTET MEDYCZNY W SZCZECINIE PRAWA OSÓB PRAWO DO PRZENOSZENIA DANYCH Osoba, której dane dotyczą ma prawo do otrzymania w uszeregowanej strukturze, powszechnie używanym formacie nadającym się do odczytu maszynowego, dane osobowe jej dotyczące. Ma prawo także aby wskazać Administratorowi żeby przesłał je innemu Administratorowi. Takie prawo dotyczy sytuacji, w której przetwarzanie danych odbywa się na podstawie zgody osoby, której dane dotyczą lub na podstawie umowy oraz przetwarzanie odbywa się w sposób zautomatyzowany PRAWO DO SPRZECIWU Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzanych danych osobowych. Dotyczy to sytuacji gdy przetwarzanie danych jest niezbędne do wykonywania zasad realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej oraz gdy przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora lub stronę trzecią. Administrator nie może przetwarzać tych danych dalej (prawnie uzasadniony cel), chyba że wykaże że istnieje nadrzędny wobec interesów, praw i wolności, ważny interes. W przypadku przetwarzania danych do celów marketingu bezpośredniego lub profilowania, osoba której dane dotyczą ma prawo wnieść sprzeciw wobec przetwarzania tych danych, w tym celu.
POMORSKI UNIWERSYTET MEDYCZNY W SZCZECINIE ODPOWIEDZIALNOŚĆ ODPOWIEDZIALNOŚĆ CYWILNA ODPOWIEDZIALNOŚĆ KARNA: ART. 108 i ART. 109 PROJKETU USTAWY O OCHRONIE DANYCH OSOBOWYCH – niedopuszczalne przetwarzanie; udaremnianie lub utrudnianie kontroli. ODPOWIEDZIALNOŚĆ FINANSOWA: Kary do 10 mln euro – lub 2 % całkowitego rocznego światowego obrotu za naruszenia w zakresie: rejestrowania czynności przetwarzania, współadministrowanie (art. 26 – instancja co najmniej 2 administratorów w wspólnymi celami przetwarzania, wspólnymi danymi z podziałem na obowiązki wobec osób której dane dotyczą), współpraca z UODO oraz podmiotami przetwarzającymi, brak upoważnień, poziom wdrożenia zabezpieczeń, zgłaszanie naruszeń, ocena skutków dla przetwarzania danych, pracy inspektora ochrony danych osobowych; Kary do 20 mln euro lub 4 % przedsiębiorstwa: legalność przetwarzania, warunki zgód, celowość, adekwatność, czasowość, obowiązek informacyjny, prawa osób, utrata poufności i integralności
POMORSKI UNIWERSYTET MEDYCZNY W SZCZECINIE DZIĘKUJĘ ZA UWAGĘ MAGDALENA ŁOBACZ abipum@pum.edu.pl 91 4800 790