Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Tomasz Soczyński Zastępca Dyrektora DIF BIURO GIODO

Podobne prezentacje


Prezentacja na temat: "Tomasz Soczyński Zastępca Dyrektora DIF BIURO GIODO"— Zapis prezentacji:

1 Tomasz Soczyński Zastępca Dyrektora DIF BIURO GIODO
Postępowanie w sprawie naruszeń danych osobowych – projekt ustawy o ochronie danych osobowych Tomasz Soczyński Zastępca Dyrektora DIF BIURO GIODO

2 Ustawa o ochronie danych osobowych Rozporządzenia wykonawcze
Do 24 maja 2018 roku Ustawa o ochronie danych osobowych Rozporządzenia wykonawcze Od 25 maja 2018 roku Ogólne rozporządzenie o ochronie danych Nowa ustawa krajowa Od 25 maja 2018 roku nie będzie już obowiązywać dotychczasowa ustawa o ochronie danych osobowych tylko nowy akt unijny.

3 REFORMA PRAWA UE Nowe podejście do ochrony danych osobowych
Dostosowanie zasad ochrony danych do aktualnego stanu wiedzy Podejście oparte na ryzyku Rozliczalność – wykazanie przestrzegania przepisów o ochronie danych Dostosowanie zasad ochrony do aktualnego stanu wiedzy – motyw 18, 81, 83, art. 25, 32, 97) Administrator danych osobowych zobowiązany jest zawsze działać w zgodzie z aktualnym stanem wiedzy technicznej: realizując obowiązek uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochronie danych; zapewniając techniczne i organizacyjne bezpieczeństwo ochrony danych osobowych; powierzając przetwarzanie danych osobowych innemu podmiotowi. Najważniejsze kwestie: Rozliczalność wymaga aktywnego wdrażania przez administratorów działań na rzecz promowania i zagwarantowania ochrony danych podczas prowadzonych czynności przetwarzania Administratorzy są odpowiedzialni za zgodność czynności przetwarzania z prawem o ochronie danych Administratorzy powinni w każdej chwili być w stanie wykazać wobec osób, których dane dotyczą, ogółu społeczeństwa oraz organów nadzorczych, że przestrzegają przepisów w zakresie ochrony danych.

4 Zasady przetwarzania danych
przetwarzane zgodnie z prawem, zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. odpowiedni poziom bezpieczeństwa

5 ZABEZPIECZENIE DANYCH OSOBOWYCH
Obowiązki ADO: środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną zabezpieczenie danych przed ich udostępnieniem, zabraniem, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. 5

6 Notyfikacja naruszeń ochrony danych osobowych
Projekt ustawy o ochronie danych osobowych W nowym projekcie ustawy o ochronie danych osobowych co do zasady brak jest doprecyzowania przepisów Art. 33 i Art. 34 RODO dotyczących naruszeń danych osobowych.

7 Art. 49. Prezes Urzędu może prowadzić system teleinformatyczny umożliwiający administratorom dokonywanie zgłoszenia naruszenia ochrony danych osobowych, o którym mowa w art. 33 rozporządzenia 2016/679.

8 Art. 53. Jeżeli Prezes Urzędu, na postawie posiadanych informacji, uzna, że doszło do naruszenia przepisów dotyczących przetwarzania danych osobowych, może żądać wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom winnym uchybień i poinformowania go, w określonym terminie, o wynikach tego postępowania i podjętych działaniach. Art. 54. Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych, zwane dalej „postępowaniem”, jest prowadzone przez Prezesa Urzędu.

9 Art Prezes Urzędu jeżeli uzna, że przemawia za tym interes publiczny, po zakończeniu postępowania, informuje o wydaniu decyzji na swojej stronie podmiotowej Biuletynu Informacji Publicznej. 2. Organy lub podmioty publiczne, o których mowa w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych, w stosunku do których Prezes Urzędu wydał prawomocną decyzję stwierdzającą naruszenie, niezwłocznie podają do publicznej wiadomości na swojej stronie internetowej lub stronie podmiotowej Biuletynu Informacji Publicznej, informację o działaniach podjętych w celu wykonania decyzji.

10 Art. 86. Jeżeli na podstawie informacji zgromadzonych w postepowaniu kontrolnym, Prezes Urzędu uzna, że mogło dojść do naruszenia przepisów o ochronie danych osobowych, obowiązany jest do niezwłocznego wszczęcia postępowania. Art Każda osoba, której prawa przysługujące na mocy przepisów o ochronie danych osobowych zostały naruszone cudzym działaniem, może żądać, zaniechania tego działania a także może żądać ażeby ten, kto dopuścił się naruszenia, dopełnił czynności potrzebnych do usunięcia jego skutków. 2. Wystąpienie z roszczeniem, o którym mowa w ust. 1, nie wyłącza możliwości wystąpienia, w związku z naruszeniem przepisów o ochronie danych osobowych, z innymi roszczeniami na zasadach ogólnych. 3. W zakresie nieuregulowanym rozporządzeniem 2016/679 oraz niniejszą ustawą dochodzenie roszczeń, o których mowa w ust. 1, następuje na zasadach określonych przepisami Kodeksu cywilnego.

11 Art Sąd okręgowy jest właściwy w sprawach roszczeń z tytułu naruszenia przepisów o ochronie danych osobowych, w tym roszczeń z tytułu art. 89 rozporządzenia 2016/679, niezależnie od wartości przedmiotu sporu. 2. Do postępowania w sprawach roszczeń dochodzonych na podstawie art. 89, w zakresie nieuregulowanym niniejszą ustawą, stosuje się przepisy Kodeksu postępowania cywilnego.

12 Art. 91. 1. O wniesieniu pozwu w sprawie, o której mowa w art
Art O wniesieniu pozwu w sprawie, o której mowa w art. 89, sąd zawiadamia niezwłocznie Prezesa Urzędu. 2. Jeżeli przed Prezesem Urzędu albo sądem administracyjnym toczy się postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych albo postępowanie takie zostało zakończone, Prezes Urzędu zawiadamia o tym sąd, o którym mowa w ust. 1. 3. O każdym prawomocnym orzeczeniu uwzględniającym powództwo w sprawie, o której mowa w art. 89, sąd niezwłocznie zawiadamia Prezesa Urzędu.

13 BEZPIECZEŃSTWO PRZETWARZANIA
Notyfikacja naruszeń ochrony danych osobowych Guidelines on Personal data breach notification under Regulation 2016/679 Adopted on 3 October 2017 As last Revised and Adopted on 6 February 2018 W zeszłym tygodniu grupa robocza ds. Ochrony danych z art. 29 opublikowała zaktualizowane wytyczne dotyczące powiadomień o naruszeniu ochrony danych osobowych oraz automatycznego indywidualnego podejmowania decyzji i tworzenia profili zgodnie z ogólnym rozporządzeniem o ochronie danych. Grupa robocza ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych, zwana dalej Grupą Roboczą, powołana została na mocy art. 29 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych jako niezależny podmiot o charakterze doradczym W skład Grupy Roboczej wchodzą przedstawiciele organu lub organów nadzorczych państw UE (w tym GIODO), Europejski Inspektor Ochrony Danych (EDPS), Komisja Europejska

14 Najważniejsze zmianami w przyjętych wytycznych dotyczących naruszenia danych osobowych są: Doprecyzowanie kiedy administratorzy są uważani za "świadomych" naruszenia, które miało miejsce w procesie przetwarzania danych , gdy odpowiedni podmiot przetwarzający poinformuje administratora o naruszeniu. W poprzednich wytycznych stwierdzono, że kontrolerzy byli świadomi, gdy ich dostawca był świadomy (bez względu na to, czy dostawca poinformował ich o naruszeniu lub nie), co było całkowicie niepraktyczne. Znaczenie "świadomości" jest takie, że pojęcie to pojawiło się, gdy zegar zaczął odliczać, powiadamiając właściwy organ nadzoru na podstawie art. 33 ust. 1 RODO. AD muszą powiadamiać "bez zbędnej zwłoki i, w miarę możliwości, nie później niż w ciągu 72 godzin od uzyskania informacji.

15 Doprecyzowanie obowiązku podmiotów przetwarzających do powiadamiania administratorów danych o naruszeniach danych osobowych "bez nieuzasadnionej zwłoki" (art. 33 ust. 2 RODO), podmiot przetwarzający powinien powiadomić, gdy ustali, że doszło do naruszenia; ww. podmiot nie musi oceniać prawdopodobieństwa ryzyka wynikającego z naruszenia, ponieważ jest to wymóg dla administratora. W połączeniu z wyjaśnieniem, że administratorzy nie są automatycznie uważani za świadomych, gdy podmiot przetwarzający jest świadomy, może to spowodować nieznacznie łagodniejsze obowiązki informacyjne dla podmiotów w umowach na usługi, odchodząc od "natychmiastowych" wymogów powiadamiania

16 Doprecyzowano zapisy znajdujące się preambule 87 GDPR … czy wprowadzono wszystkie odpowiednie środki techniczne i organizacyjne, aby natychmiast ustalić, czy doszło do naruszenia danych osobowych, oraz niezwłocznie poinformować organ nadzoru i osobę, której dane dotyczą. Fakt, że powiadomienie zostało dokonane bez zbędnej zwłoki, należy ustalić, biorąc pod uwagę w szczególności charakter i wagę naruszenia danych osobowych oraz jego konsekwencje i negatywne skutki dla osoby, której dane dotyczą [...] ". stwierdzenie w szczególności, że nakłada to na kontrolerów obowiązek uświadomienia sobie wszelkich naruszeń w odpowiednim czasie, aby mogli podjąć odpowiednie działania. W praktyce może to wymagać zastosowania technologii (np. metod wykrywania zagrożeń i zapobiegania utracie danych); odpowiednio wyszkolonych pracowników, którzy wiedzą, jak rozpoznać zagrożenie i jak reagować; możliwe jest wprowadzenie jasnych procedur i polityk w celu zapewnienia szybkiej i spójnej oceny ryzyka, aby umożliwić administratorom powiadamianie organów nadzorujących i organów regulacyjnych w razie potrzeby, a także regularne szkolenia i skuteczne zarządzanie.

17 Wyjaśnienie, że w przypadku gdy administratorzy lub podmioty przetwarzające nie mające siedziby w UE a są zobowiązanie na mocy art. 3 ust. 2 lub 3 ust. 3 RODO tj. gdy oferują towary lub usługi podmiotom danych w UE (wszystkim przebywającym na terytorium ) i / lub monitorują zachowanie osób, których dane dotyczą, wówczas będzie zobligowanie do powiadomień o naruszeniu ochrony danych.

18 Kolejnymi ciekawymi wskazówkami są wyjaśnienia dla administratorów danych którzy zostali poinformowani przez organ ścigania że zostały łamany zasady bezpieczeństwa z obowiązkiem nie powiadania o tym nikogo, do czasu gdy organ ścigania zakończy dochodzenie. Prowadzi to do konfliktu z wymogami RODO dotyczącymi powiadamiania o naruszeniach danych bez zbędnej zwłoki. W odniesieniu do punktu 88 preambuły, który stanowi, że powiadomienie o naruszeniu powinno: "uwzględnia uzasadnione interesy organów ścigania, w przypadku których przedwczesne ujawnienie mogłoby niepotrzebnie utrudnić badanie okoliczności naruszenia danych osobowych ", zauważając, że " może to oznaczać, że w pewnych okolicznościach, gdy jest to uzasadnione, i na podstawie porady prawnej, organy egzekucyjne, administrator może opóźnić przekazanie naruszenia jednostkom dotkniętym naruszeniem do czasu, gdy nie będzie to miało wpływu na takie dochodzenia. Jednak po upływie tego czasu osoby, których dane dotyczą, będą musiały zostać niezwłocznie poinformowane. " Czy postępowania prowadzone poza UE np. przez FBI USA czy inne rządy wystarczy aby ten wyjątek miał zastosowanie? Praktycznym rozwiązaniem może tu być próba konsultacji z odpowiednim organem ścigania.

19 Zalecenie, aby uzgodnienia umowne między wspólnymi kontrolerami zawierały postanowienia określające, który administrator danych będzie odgrywał główną rolę w wypełnianiu obowiązków powiadamiania o naruszeniu przepisów prawa krajowego.

20 BEZPIECZEŃSTWO PRZETWARZANIA
Zapewnienie odpowiedniego stopnia bezpieczeństwa odpowiadającego ryzyku naruszenia danych osobowych pseudonimizacja i szyfrowanie danych zapewnienie poufności i integralności skuteczność funkcjonowania systemów jak ocenić stopień bezpieczeństwa? jak wykazać wywiązywanie się z obowiązku zabezpieczenia danych? Art. 32 Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: a) pseudonimizację i szyfrowanie danych osobowych; b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. 3. Wywiązywanie się z obowiązków, o których mowa w ust. 1 niniejszego artykułu, można wykazać między innymi poprzez stosowanie zatwierdzonego kodeksu postępowania, o którym mowa w art. 40 lub zatwierdzonego mechanizmu certyfikacji, o którym mowa w art. 42. 4. Administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.

21 Dziękuję za uwagę!


Pobierz ppt "Tomasz Soczyński Zastępca Dyrektora DIF BIURO GIODO"

Podobne prezentacje


Reklamy Google