Dane osobowe po 25 maja 2018
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) Wyższość prawa UE nad polskim, co powoduje konieczność stosowania Rozporządzenia RODO. Nowa ustawa o ochronie danych osobowych. Zmiany od 25 maja 2018.
Główne zmiany Inspektor ochrony danych zamiast ABI, Brak zgłaszania zbiorów danych, W przypadku powołania inspektora ochrony danych osobowych prowadzenie rejestru czynności przetwarzania danych osobowych, za które odpowiada administrator danych. Zbieranie zgód na przetwarzanie danych. Zmiany dot. polityki bezpieczeństwa.
Zgoda na przetwarzanie danych RODO wskazuje na konieczność uprzedniego poinformowania osoby fizycznej o możliwości wycofania zgody w dowolnym momencie. Zgody te są ważne jeśli zawierają powyższą klauzulę.
Zgoda na przetwarzanie danych według RODO Może mieć formę pisemną (w tym elektroniczną) lub ustną, polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej lub na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego, polegać na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych.
Prawo do bycia zapomnianym Zgodnie z zapisami w artykule 17. RODO osoby, których dane są przetwarzane mają prawo do zgłoszenia administratorom żądania o ich natychmiastowe usunięcie. Równocześnie administrator ma obowiązek natychmiast taką prośbę spełnić - o ile spełniony zostanie jeden z poniższych warunków:
dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane; osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie (...) i nie ma innej podstawy prawnej przetwarzania;
Inne uprawnienia osób, których dane dotyczą prawo do informacji o tym, jakie dane i w jakich celach są przetwarzane, a w przypadku zautomatyzowanego podejmowania decyzji (w tym profilowania) – także do informacji o zasadach ich podejmowania, znaczeniu i przewidywanych konsekwencjach takiego przetwarzania (zgodnie z art. 12, 13 i 14); prawo do udostępniania i przeniesienia danych (zgodnie z art. 15 i 20); prawo do poprawienia i usunięcia danych (zgodnie z art. 16 i 17); prawo do wycofania zgody w każdym momencie, zgłoszenia sprzeciwu lub żądania ograniczenia przetwarzania danych (zgodnie z art. 7, 18 i 21);
Inspektor ochrony danych osobowych Czy organizacja musi go powoływać? Nie zawsze jest to wymagane Inspektora musi powoływać organizacja przetwarzająca dane wrażliwe (art. 9 ust. 1 RODO) oraz Organizacja, która przetwarza dane dot. wyroków (art.10).
Inspektor obowiązkowy gdy: główna działalność podmiotu polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę lub główna działalność podmiotu polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa
Inspektor Możliwość powołania jednego inspektora dla kilku podmiotów, Może być to pracownik organizacji, ale także osoba z zewnątrz, także zlecona usługa. Ważne, żeby to była niezależna (coś na kształt samodzielnego stanowiska) Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań
Aby w sposób należyty wykonywać swoje obowiązki inspektor ochrony danych powinien wykazywać się wiedzą zarówno teoretyczną, jak i praktyczną dotyczącą ogólnego rozporządzenia o ochronie danych oraz przepisów krajowych regulujących przetwarzanie danych.
Zgodnie z RODO, nie ma obowiązku rejestracji inspektora ochrony danych w organie nadzorczym, a samo powołanie takiej osoby przez administratora będzie wystarczające dla przyjęcia wszelkich skutków, jakie z tym faktem wiąże rozporządzenie o ochronie danych. RODO przewiduje natomiast obowiązek publikowania danych kontaktowych inspektora ochrony danych oraz poinformowania o jego powołaniu i przekazanie odpowiednich danych kontaktowych DPO organowi nadzorczemu
Zadania Inspektora M.in. obowiązek prowadzenia rejestru czynności przetwarzania danych, Rejestru nie trzeba prowadzić, gdy zatrudnia się mniej niż 250 pracowników.
Polityki bezpieczeństwa Rozporządzenie nie wprowadza formalnego obowiązku prowadzenia dokumentacji przetwarzania danych osobowych przez wszystkich administratorów danych. Jednak zgodnie z nim, aby wykazać, że jego regulacje są przestrzegane, administrator danych może spisać polityki i wdrożyć odpowiednie środki, by zapewnić skuteczną ochronę danych osobowych.
W razie kontroli taką politykę można przedstawić organowi nadzorczemu. Polityki bezpieczeństwa zastąpi analiza ryzyka.
Zabezpieczenie danych Zgodnie art. 24 RODO, przystępując do wdrożenia „odpowiednich środków technicznych i organizacyjnych” (zapewniających zgodność przetwarzania danych z prawem), administrator powinien uwzględnić: charakter, zakres, kontekst i cele przetwarzania, stan wiedzy technicznej i koszt wdrażania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia.
Analiza ryzyka Co warto wziąć pod uwagę: w ilu lokalizacjach organizacja ma swoją siedzibę? czy w każdej lokalizacji organizacja prowadzi działalność związaną z przetwarzaniem danych osobowych? ile osób ma dostęp do danych osobowych? czy osoby mające dostęp do danych to tylko pracownicy, czy też wolonatiusze lub osoby z zewnątrz? dane ilu osób są przetwarzane? czy są to dane o charakterze wrażliwym – jeżeli tak, to jakim?
Czy jako organizacja jesteśmy w stanie wskazać i obronić podstawę prawną dla każdego rodzaju danych i każdego celu, w jakim dane są przetwarzane? Czy te podstawy prawne zostały zebrane w jednym miejscu (choćby wewnętrznym dokumencie)? Kto i jak często weryfikuje, czy w organizacji nie pojawiają się dane przetwarzane bez podstawy prawnej (np. folder z niestandardową korespondencją, pozostałości po zamkniętej już rekrutacji)? Jeśli jedną z podstaw przetwarzania danych jest zgoda, w jaki sposób jest ona zbierana, jak jest dokumentowana i kto kontroluje, czy nie została odwołana? Jaka procedura jest uruchamiana w przypadku odwołania zgody?
Czy jako organizacja potraficie wskazać cel każdego procesu w organizacji, który angażuje dane osobowe? Kto i w jaki sposób weryfikuje, czy dane w organizacji nie są przetwarzane dłużej, niż to niezbędne do realizacji założonego celu? Czy terminy usuwania danych w systemach informatycznych są z góry ustalane? Jeśli tak, od czego zależy długość tych terminów? Jeśli nie, jak często przydatność danych jest weryfikowana? Czy oprogramowanie, z którego korzysta organizacja, pozwala na usunięcie danych wtedy, kiedy przypada wyznaczony termin lub dane okazują się nieprzydatne?
W jaki sposób systemy informatyczne działające w organizacji zostały zabezpieczone przed nieuprawnionym dostępem (hasła, tokeny etc.)? Czy każdy nowo wprowadzany system przechodzi jakiś rodzaj sprawdzenia pod kątem bezpieczeństwa (testy wewnętrzne, konsultacje z zewnętrznymi ekspertami)? Czy kiedykolwiek doszło w organizacji do utraty danych (wycieku, zgubienia, nieautoryzowanego dostępu)? Jeśli tak, jakie wyciągnęliście z tego wnioski? Czy wiedzielibyście, gdyby doszło do takiego wycieku? Jakie szkolenia i instrukcje otrzymują osoby pracujące z danymi w organizacji? Czy są przygotowane na typowe zagrożenia? Jak często ich wiedza i umiejętności w tym zakresie są weryfikowane?
Kary za niestosowanie się do przepisów ostrzeżenia (o możliwości naruszenia przepisów); udzielanie upomnień (w przypadku naruszenia przepisów); nakazanie spełnienia żądania osoby, której dane dotyczą; nakazanie dostosowania operacji przetwarzania do przepisów RODO; wprowadzenie czasowego lub całkowitego ograniczenia przetwarzania danych (w tym transferów międzynarodowych). Możliwe kary finansowe do 20 000 000 Euro Możliwe kontrole ze strony organu nadzorującego – Urząd Ochrony Danych Osobowych (zastąpił GIODO),