Dane osobowe po 25 maja 2018.

Slides:



Advertisements
Podobne prezentacje
Proces doboru próby. Badana populacja – (zbiorowość generalna, populacja generalna) ogół rzeczywistych jednostek, o których chcemy uzyskać informacje.
Advertisements

Systemy oceny jakości Akredytacja w ochronie zdrowia vs ISO 9000 Jerzy Hennig Andrzej Warunek.
Obowiązki pracodawcy dotyczące zapewnienia pracownikom profilaktycznej ochrony zdrowia, właściwego postępowania w sprawach wypadków przy pracy oraz chorób.
Pomoc publiczna i pomoc de minimis w ramach konkursu RPLU IZ /15 - Programy typu outplacement Oddział Monitoringu i Ewaluacji Departament.
KOMENDA GŁÓWNA POLICJI REALIZACJA ZMIAN REALIZACJA ZMIAN ORGANIZACYJNO – FUNKCJONALNYCH W POLICJI.
OBYWATELSTWO POLSKIE I UNIJNE 1.Obywatel a państwo – zasady obywatelstwa polskiego 2.Nabycie i utrata obywatelstwa 3.Obywatelstwo Unii Europejskiej. 4.Brak.
Urząd Transportu Kolejowego, Al. Jerozolimskie 134, Warszawa, Polityka regulacyjna państwa w zakresie dostępu do infrastruktury na.
Warszawa, Krótka sprzedaż – monitoring i nadzór GPW Iwona Edris Dyrektor Biura Audytu i Kontroli.
Organizacja miejskiego transportu zbiorowego na przykładzie Komunikacyjnego Związku Komunalnego Górnośląskiego Okręgu Przemysłowego Przewodniczący Zarządu.
Odpowiedzialność porządkowa pracowników Za nieprzestrzeganie przez pracownika: ustalonego porządku, regulaminu pracy, przepisów bezpieczeństwa i higieny.
Projekt Regulaminu Działania Komitetu Monitorującego Regionalny Program Operacyjny Województwa Pomorskiego na lata
Bezpieczeństwo i zdrowie w pracy dotyczy każdego. Jest dobre dla ciebie. Dobre dla firmy. Partnerstwo dla prewencji Co badanie ESENER może nam powiedzieć.
SSA (2) PRAWO PRACY 2 Dr Jacek Borowicz. PRAWO KOALICJI – ZAKRES PODMIOTOWY USTAWA z dnia 23 maja 1991 r. o związkach zawodowych.
Organizacja, przepisy i procedury Na przykładzie Śląskiego OW NFZ Dr n. med. Z Klosa.
Ustawa z dnia r. o powszechnym obowiązku obrony Rzeczpospolitej Polskiej: art Podstawowymi jednostkami organizacyjnymi do wykonywania.
Procedura „NIEBIESKIE KARTY" w świetle obowiązujących przepisów prawa.
Andrzej Feterowski Dyrektor Wydziału Informatyki Urząd Miasta Szczecin BEZPIECZNI RAZEM, czyli zachodniopomorski portal o bezpieczeństwie.
Systemy oceny jakości Akredytacja w ochronie zdrowia ISO 9000 Jerzy Hennig Andrzej Warunek.
Ustalenia z misji audytowych przeprowadzonych przez Europejski Trybunał Obrachunkowy w ramach PROW w obszarze zamówień publicznych.
Tryb tworzenia związków metropolitalnych w kontekście zasady samodzielności jednostek samorządu terytorialnego Karol Ważny Uniwersytet Gdański Instytut.
Moduł II. Obszar formułowania Programów i Projektów.
WNIOSKI Z KONTROLI I NADZORU NAD REALIZACJĄ ZADAŃ POMOCY SPOŁECZNEJ
DECYZJA O WARUNKACH ZABUDOWY tzw. „Wuzetka”
Departament Rozwoju Regionalnego i Funduszy Europejskich
Sześciolatek idzie do szkoły
WYPEŁNIANIE FORMULARZA – KRÓTKI KURS
O ochronie danych osobowych.
Ucz i ucz się z TIK!.
Dz.U Ustawa z dnia 14 grudnia 2016 r. - Prawo oświatowe
Rola IOD w zapewnieniu bezpieczeństwa Systemu Informatycznego
regulacje NATO i Unii Europejskiej
Przejście zakładu pracy na innego pracodawcę
ZASADY REKRUTACJI DO SZKOŁY PONADGIMNAZJLNEJ
E- SKARGA Formalne wymogi wniesienia skargi do WSA w kontekście informatyzacji postępowania sądowoadministracyjnego- wybrane zagadnienia.
Meritum Competence Zasady współpracy Operatora z Serwisem - propozycja procedur, zapisy w umowach na serwis Krzysztof Pietrzak.
Części składowe treści pisma
Sześciolatek idzie do szkoły
POSTĘPOWANIE EGZEKUCYJNE
Zajęcia niedopuszczalne oraz konflikt interesów
Prowadzenie monitoringu wizyjnego
Rekrutacja do przedszkoli w Gminie Strzyżów
Dyrektor Departamentu Zarządzania Programami Operacyjnymi
Świetlice szkolne w rzeczywistości prawnej
Ustawa o zawodach lekarza i lekarza dentysty
PROGRAMY DO KONTROLI RODZICIELSKIEJ
Bezpieczeństwo dostępu do danych w systemie Windows
Zmiany w statutach przedszkoli po reformie oświaty 2017
Nowe regulacje prawne w obszarze bezdomności
Rekrutacja elektroniczna DO SZKÓŁ PONADGIMNAZJALNYCH w roku 2018
RZECZNIK FUNDUSZY EUROPEJSKICH
Czy zawsze potrzebna jest zgoda. RODO w organizacjach pozarządowych
Misją Pomorskiego Urzędu Wojewódzkiego w Gdańsku jest profesjonalna realizacja prawnie przypisanych mu zadań, a istotnym elementem tej Misji jest właściwe.
RODO w Hodowli, czy nas dotyczy?
Zmiany w ustawie o systemie oświaty
Ustawa 2.0 – pomoc materialna
Podstawowe informacje o projekcie
Postępy w zakresie zapewniania równości osób LGBTI w Unii Europejskiej
radca prawny Patrycja Kozik audytor wewnętrzny systemu zarządzania
Podstawa prawna Zasady przyjęć do klas I w szkołach podstawowych, dla których organem prowadzącym jest Miasto Kobyłka, zostały przygotowane w oparciu o.
CZYNNIK LUDZKI JAKO POTENCJALNE ŹRÓDŁO ZAGROŻEŃ W SYSTEMIE OCHRONY INFORMACJI NIEJAWNYCH OPRACOWAŁ: ppłk mgr inż. Janusz PARCZEWSKI, tel
Proste obliczenia w arkuszu kalkulacyjnym
Departament Rozwoju Regionalnego i Funduszy Europejskich
KODEKS ETYKI Przygotowała Tamara Bużantowicz
Odsetki naliczane za czas postępowania 30 marca 2017
KARTA ZGŁOSZENIA na REJS ŻEGLARZY na statku szkoleniowym „DAR MŁODZIEŻY” – praktykę żeglarską IMIONA I NAZWISKO ADRES PASZPORT / DOWÓD OSOBISTY – seria,
Nowe podejście do zamówień publicznych
Wyrok WSA w Bydgoszczy z dnia 27 października 2016 r., I SA/Bd 613/16
Katowice, 4 PAŻDZIERNIKA 2018 roku
Forum Komisji Dialogu Społecznego
RODO.
Zapis prezentacji:

Dane osobowe po 25 maja 2018

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) Wyższość prawa UE nad polskim, co powoduje konieczność stosowania Rozporządzenia RODO. Nowa ustawa o ochronie danych osobowych. Zmiany od 25 maja 2018.

Główne zmiany Inspektor ochrony danych zamiast ABI, Brak zgłaszania zbiorów danych, W przypadku powołania inspektora ochrony danych osobowych prowadzenie rejestru czynności przetwarzania danych osobowych, za które odpowiada administrator danych. Zbieranie zgód na przetwarzanie danych. Zmiany dot. polityki bezpieczeństwa.

Zgoda na przetwarzanie danych  RODO wskazuje na konieczność uprzedniego poinformowania osoby fizycznej o możliwości wycofania zgody w dowolnym momencie. Zgody te są ważne jeśli zawierają powyższą klauzulę.

Zgoda na przetwarzanie danych według RODO Może mieć formę pisemną (w tym elektroniczną) lub ustną, polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej lub na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego, polegać na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych.

Prawo do bycia zapomnianym Zgodnie z zapisami w artykule 17. RODO osoby, których dane są przetwarzane mają prawo do zgłoszenia administratorom żądania o ich natychmiastowe usunięcie. Równocześnie administrator ma obowiązek natychmiast taką prośbę spełnić - o ile spełniony zostanie jeden z poniższych warunków:

dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane; osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie (...) i nie ma innej podstawy prawnej przetwarzania;

Inne uprawnienia osób, których dane dotyczą prawo do informacji o tym, jakie dane i w jakich celach są przetwarzane, a w przypadku zautomatyzowanego podejmowania decyzji (w tym profilowania) – także do informacji o zasadach ich podejmowania, znaczeniu i przewidywanych konsekwencjach takiego przetwarzania (zgodnie z art. 12, 13 i 14); prawo do udostępniania i przeniesienia danych (zgodnie z art. 15 i 20); prawo do poprawienia i usunięcia danych (zgodnie z art. 16 i 17); prawo do wycofania zgody w każdym momencie, zgłoszenia sprzeciwu lub żądania ograniczenia przetwarzania danych (zgodnie z art. 7, 18 i 21);

Inspektor ochrony danych osobowych Czy organizacja musi go powoływać? Nie zawsze jest to wymagane Inspektora musi powoływać organizacja przetwarzająca dane wrażliwe (art. 9 ust. 1 RODO) oraz Organizacja, która przetwarza dane dot. wyroków (art.10).

Inspektor obowiązkowy gdy: główna działalność podmiotu polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę lub główna działalność podmiotu polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa

Inspektor Możliwość powołania jednego inspektora dla kilku podmiotów, Może być to pracownik organizacji, ale także osoba z zewnątrz, także zlecona usługa. Ważne, żeby to była niezależna (coś na kształt samodzielnego stanowiska) Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań

Aby w sposób należyty wykonywać swoje obowiązki inspektor ochrony danych powinien wykazywać się wiedzą zarówno teoretyczną, jak i praktyczną dotyczącą ogólnego rozporządzenia o ochronie danych oraz przepisów krajowych regulujących przetwarzanie danych.

Zgodnie z RODO, nie ma obowiązku rejestracji inspektora ochrony danych w organie nadzorczym, a samo powołanie takiej osoby przez administratora będzie wystarczające dla przyjęcia wszelkich skutków, jakie z tym faktem wiąże rozporządzenie o ochronie danych. RODO przewiduje natomiast obowiązek publikowania danych kontaktowych inspektora ochrony danych oraz poinformowania o jego powołaniu i przekazanie odpowiednich danych kontaktowych DPO organowi nadzorczemu

Zadania Inspektora M.in. obowiązek prowadzenia rejestru czynności przetwarzania danych, Rejestru nie trzeba prowadzić, gdy zatrudnia się mniej niż 250 pracowników.

Polityki bezpieczeństwa Rozporządzenie nie wprowadza formalnego obowiązku prowadzenia dokumentacji przetwarzania danych osobowych przez wszystkich administratorów danych. Jednak zgodnie z nim, aby wykazać, że jego regulacje są przestrzegane, administrator danych może spisać polityki i wdrożyć odpowiednie środki, by zapewnić skuteczną ochronę danych osobowych.

W razie kontroli taką politykę można przedstawić organowi nadzorczemu. Polityki bezpieczeństwa zastąpi analiza ryzyka.

Zabezpieczenie danych Zgodnie art. 24 RODO, przystępując do wdrożenia „odpowiednich środków technicznych i organizacyjnych” (zapewniających zgodność przetwarzania danych z prawem), administrator powinien uwzględnić: charakter, zakres, kontekst i cele przetwarzania, stan wiedzy technicznej i koszt wdrażania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia.

Analiza ryzyka Co warto wziąć pod uwagę: w ilu lokalizacjach organizacja ma swoją siedzibę? czy w każdej lokalizacji organizacja prowadzi działalność związaną z przetwarzaniem danych osobowych? ile osób ma dostęp do danych osobowych? czy osoby mające dostęp do danych to tylko pracownicy, czy też wolonatiusze lub osoby z zewnątrz? dane ilu osób są przetwarzane? czy są to dane o charakterze wrażliwym – jeżeli tak, to jakim?

Czy jako organizacja jesteśmy w stanie wskazać i obronić podstawę prawną dla każdego rodzaju danych i każdego celu, w jakim dane są przetwarzane? Czy te podstawy prawne zostały zebrane w jednym miejscu (choćby wewnętrznym dokumencie)? Kto i jak często weryfikuje, czy w organizacji nie pojawiają się dane przetwarzane bez podstawy prawnej (np. folder z niestandardową korespondencją, pozostałości po zamkniętej już rekrutacji)? Jeśli jedną z podstaw przetwarzania danych jest zgoda, w jaki sposób jest ona zbierana, jak jest dokumentowana i kto kontroluje, czy nie została odwołana? Jaka procedura jest uruchamiana w przypadku odwołania zgody?

Czy jako organizacja potraficie wskazać cel każdego procesu w organizacji, który angażuje dane osobowe? Kto i w jaki sposób weryfikuje, czy dane w organizacji nie są przetwarzane dłużej, niż to niezbędne do realizacji założonego celu? Czy terminy usuwania danych w systemach informatycznych są z góry ustalane? Jeśli tak, od czego zależy długość tych terminów? Jeśli nie, jak często przydatność danych jest weryfikowana? Czy oprogramowanie, z którego korzysta organizacja, pozwala na usunięcie danych wtedy, kiedy przypada wyznaczony termin lub dane okazują się nieprzydatne?

W jaki sposób systemy informatyczne działające w organizacji zostały zabezpieczone przed nieuprawnionym dostępem (hasła, tokeny etc.)? Czy każdy nowo wprowadzany system przechodzi jakiś rodzaj sprawdzenia pod kątem bezpieczeństwa (testy wewnętrzne, konsultacje z zewnętrznymi ekspertami)? Czy kiedykolwiek doszło w organizacji do utraty danych (wycieku, zgubienia, nieautoryzowanego dostępu)? Jeśli tak, jakie wyciągnęliście z tego wnioski? Czy wiedzielibyście, gdyby doszło do takiego wycieku? Jakie szkolenia i instrukcje otrzymują osoby pracujące z danymi w organizacji? Czy są przygotowane na typowe zagrożenia? Jak często ich wiedza i umiejętności w tym zakresie są weryfikowane?

Kary za niestosowanie się do przepisów ostrzeżenia (o możliwości naruszenia przepisów); udzielanie upomnień (w przypadku naruszenia przepisów); nakazanie spełnienia żądania osoby, której dane dotyczą; nakazanie dostosowania operacji przetwarzania do przepisów RODO; wprowadzenie czasowego lub całkowitego ograniczenia przetwarzania danych (w tym transferów międzynarodowych). Możliwe kary finansowe do 20 000 000 Euro Możliwe kontrole ze strony organu nadzorującego – Urząd Ochrony Danych Osobowych (zastąpił GIODO),