Rozporządzenie Parlamentu Europejskiego i Rady Europy o ochronie danych osobowych- zmiany od maja 2018 roku w ochronie danych osobowych.

Rozporządzenie Parlamentu Europejskiego i Rady Europy o ochronie danych osobowych- zmiany od maja 2018 roku w ochronie danych osobowych

Podstawowe pojęcia i zasady na gruncie rozporządzenia
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (DzUrz L nr 119 z r., s. 1 rodo) oraz Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 w sprawie ochrony osób fi zycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającą decyzję ramową Rady 2008/977/WSiSW (DzUrz L nr 119 z r., s. 89).

Ustawodawca unijny przewiduje bowiem pewien obszary dla regulacji krajowych. Można je podzielić na cztery grupy. Pierwsza dotyczy spraw, co do których rodo wymaga przyjęcia przepisów krajowych. Np.. konieczność ustanowienia niezależnego organu nadzorczego oraz zapewnienia mu odpowiednich środków do właściwego działania Druga grupa dotyczy spraw, w których ustawodawca krajowy ma możliwość uregulowania odmiennie, choć w określonych ramach, kwestii wprost przewidzianych w rodo. np. umożliwienie państwom członkowskim obniżenia wieku dziecka, od którego może ono samodzielnie wyrazić zgodę na przetwarzanie danych w przypadku usług społeczeństwa informacyjnego Trzecia grupa dopuszcza doprecyzowanie przez ustawodawcę krajowego określonych w nich kwestii. czwarta grupa dotyczy możliwości wprowadzenia przez ustawodawcę krajowego ograniczeń lub wyłączeń praw zagwarantowanych przez rodo po spełnieniu warunków w nim określonych.

Podstawowe zasady przetwarzania danych wg art. 5 rodo zasady legalności (zgodności z prawem), rzetelności i przejrzystości, zgodnie z którymi dane powinny być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą; zasada ograniczenia celu, w myśl której dane powinny być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami; zasada minimalizacji danych, zgodnie z którą dane powinny być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane;

zasada prawidłowości (poprawności), w myśl której dane mają być prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane; zasada ograniczenia przechowywania, zgodnie z którą dane muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy; zasada zapewnienia bezpieczeństwa danych, w tym ich integralności i poufności, zgodnie z którą dane muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

wytyczne i wskazówki wydawane beda zarówno na poziomie europejskim przez nowo powołaną Europejską Radę Ochrony Danych i przez organy nadzorcze, w tym Generalnego Inspektora Ochrony Danych Osobowych Zasada rozliczalności oznacza: wdrożenie środków (w tym wewnętrznych procedur) gwarantujących przestrzeganie przepisów o ochronie danych w związku z operacjami ich przetwarzania oraz dokumentacji wskazującej osobom, których dane dotyczą, oraz organom nadzorczym, jakie środki podjęto, aby zapewnić przestrzeganie przepisów o ochronie danych osobowych

Warunki wyrażenia zgody
Każda osoba, która takiej zgody udziela ma robić to dobrowolnie, świadomie i wobec konkretnie oznaczonego celu lub tych samych celów. Zgoda musi zatem zostać przedstawiona w sposób pozwalający wyraźnie odróżnić cele od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych . Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.

Warunki wyrażenia zgody
Większość otrzymanych dotychczas zgód zachowa ważność także pod rządami RODO Pod warunkiem, ze poinformowano osobę, której dane dotyczą o możliwości wycofania zgody w dowolnym momencie, a wycofanie zgody jest równie łatwe jak jej wyrażenie. Należy dokonać przeglądu stosowanych klauzul i mechanizmów pozyskiwania zgody i upewnienia sie, ze spełniają standardy z RODO. Pamiętając o zasadzie rozliczalności, warto dokumentować wszelkie czynności związane z pozyskiwaniem zgód – np. kiedy, w jakich okolicznościach i komu udzielona została zgoda oraz w jaki sposób spełniono obowiązek informacyjny.

Obowiązek informacyjny
Od wszystkich administratorów danych wymagać sie będzie, by wszelkie informacje kierowane do osób, których dane dotyczą, były formułowane jasnym i prostym językiem, by były zwięzłe i zrozumiałe. Szczególnie istotne będzie to wówczas, gdy informacje i komunikaty będą kierowane do dzieci, które musza móc je bez trudu zrozumieć. Poszerzenie obowiązku informacyjnego . Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje: a)swoją tożsamość i dane kontaktowe dane kontaktowe inspektora ochrony danych; c) cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;

d) jeżeli przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią,– prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią; e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją; f) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej

g) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu; h) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych; i) informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem; j) informacje o prawie wniesienia skargi do organu nadzorczego;

e) informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych; f) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą. Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji.

Należy dokonać przeglądu stosowanych obecnie klauzul informacyjnych i analizy, jakie treści należy zmienić, a jakie uzupełnić . Wobec szerszego katalogu informacji, obecnie stosowane komunikaty będą musiały być zaktualizowane. Przykładem rozwiązania juz stosowanego w praktyce może być poinformowanie klientów o wprowadzeniu nowych klauzul informacyjnych z okresem obowiązywania od 25 maja 2018 r. Niewłaściwe jest jednak przekazywanie niektórych informacji juz teraz

Instytucja oceny skutków dla ochrony danych osobowych
Odejście od konieczności zgłaszania i rejestracji zbiorów. Zastępuje ją obowiązek przeprowadzenia oceny skutków dla ochrony danych Ocena ta powinna obejmować przede wszystkim planowane operacje i cele przetwarzania, zabezpieczenia i mechanizmy mające minimalizować ryzyko. Ocena ma prowadzić do opisania przetwarzania danych, oceny jego niezbędności i proporcjonalności i pomóc we właściwym zarzadzaniu (przeciwdziałaniu) ryzykami wynikającymi z przetwarzania danych. Przeprowadzenie takiej oceny będzie wymagane jeśli operacje przetwarzania danych mogą powodować wysokie ryzyko naruszenia prywatności osób, których dane dotyczą, np. w sytuacji: - kiedy działania na danych dokonywane są przy użyciu nowych technologii, - użycia zautomatyzowanych procesów przetwarzania danych, w tym profilowania, - przetwarzania na dużą skale szczególnych kategorii danych (danych wrażliwych )

Ocena skutków dla ochrony danych niezbędna będzie dopiero dla operacji rozpoczętych po 25 maja 2018 r. lub dotychczasowych operacji znacząco zmienionych po tej dacie np. w związku z prowadzeniem do użytku nowej technologii lub ponieważ dane osobowe są wykorzystywane w innym celu. GIODO zaleca jednak dokonanie oceny skutków dla wszystkich trwających juz operacji przetwarzania danych spełniających kryteria wskazane w art. 35 rozporządzenia. Warto zacząć analizować okoliczności w których prowadzone operacje bądą wymagały dokonania takiej oceny oraz organizacji jej dokona oraz kto powinien być w ten proces zaangażowany (eksperci niezależni ). Ocena skutków dla ochrony danych dla operacji prowadzonych przez podmioty sektora publicznego, w sytuacji kiedy podstawa przetwarzania danych osobowych jest przepis prawa lub interes publiczny powinna zostać przeprowadzona w ramach oceny skutków regulacji (OSR) dla aktu prawnego stanowiącego podstawę dla takiego przetwarzania.

Instytucja oceny skutków dla ochrony danych osobowych Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. organy nadzorcze mają tworzyć i podawać do publicznej wiadomości wykazy rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych, jak również wykazy operacji, które takiemu obowiązkowi nie podlegają.

art. 35 ust. 7 rodo określa jej elementy: – systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym (gdy ma to zastosowanie) prawnie uzasadnionych interesów realizowanych przez administratora; – ocena, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów; – ocena ryzyka naruszenia praw lub wolności osób, których dane dotyczą; – planowane środki mające na celu zaradzenie ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy

Zgodnie z rodo, organ nadzorczy ustanowi i poda do publicznej wiadomości wykaz rodzajów operacji przetwarzania, które podlegają wymogowi oceny skutków dla ochrony danych (lub wykaz operacji niepodlegających temu wymogowi). Rodo stanowi, że są to w szczególności operacje na danych z użyciem nowych technologii, polegające na systematycznej, kompleksowej ocenie czynników osobowych (np. profilowaniu), które są podstawą decyzji wywołującej skutki prawne wobec osoby fizycznej lub w podobny sposób wpływające na osobę fizyczną. Do operacji przetwarzania, które wymagają oceny ryzyka, należy także przetwarzanie na dużą skalę szczególnych kategorii danych.

Co w miejsce zgłoszenia zbiorów danych ?
PROCEDURA Podmiotem zobowiązanym do dokonania oceny ryzyka przed rozpoczęciem przetwarzania jest administrator danych Jeśli administrator uzna, że przeprowadzona ocena potwierdza wysokie ryzyko dla ochrony danych osobowych i niezbędne jest zastosowanie środków minimalizujących zagrożenie, to konsultuje się z organem nadzorczym Administrator informuje organ nadzorczy o celach i sposobach zamierzonego przetwarzania, wskazuje środki służące zabezpieczeniu danych osobowych, dane kontaktowe inspektora ochrony danych, jeśli go powołał, a także jest zobowiązany podać wszelkie inne informacje, których organ zażąda.

obowiązek dołączenia do wniosku o konsultacje oceny skutków przetwarzania dla prywatności osób, których dane dotyczą powinna zawierać co najmniej: – systematyczny opis planowanych operacji i ich celów, – ocenę, czy planowane operacje przetwarzania są niezbędne i proporcjonalne do celów, – ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, – charakterystykę planowanych środków zaradczych, które mają zapewnić ochronę danych osobowych i wykazać przestrzeganie rozporządzenia ogólnego.

Gdy organ nadzorczy będzie zdania, że przetwarzanie stanowiłoby naruszenie rodo, to na piśmie zaleca administratorowi określone działania może skorzystać z uprawnień, o których mowa w art. 58 rodo, czyli np. nakazać dostosowanie operacji przetwarzania do przepisów rodo, wydać ostrzeżenie dotyczące możliwości naruszenia przepisów poprzez planowane operacje na danych, wprowadzić czasowe lub całkowite ograniczenie przetwarzania (w tym zakazać przetwarzania danych), nałożyć karę pieniężną w zależności od okoliczności sprawy. Inspektor powinien sprawdzić, czy ocena skutków przetwarzania została przeprowadzona prawidłowo i czy uzyskane wnioski są zgodne z założeniami rodo. inspektor ochrony danych nie przeprowadza oceny ryzyka – odpowiedzialność w tym zakresie ponosi administrator danych osobowych

Analiza ryzyka naruszenia praw lub wolności osób
Analiza ryzyka naruszenia praw lub wolności osób fizycznych przy uwzględnieniu wiedzy technicznej, kosztu wdrożenia, charakteru, zakresu, kontekstu i celów przetwarzania powinna rozważyć poniższe obszary: 1. Cel i zakres zbierania danych osobowych 2. Źródło danych osobowych 3. Informowanie podmiotu o zbieraniu danych osobowych 4. Sposób zbierania danych osobowych 5. Przechowywanie i bezpieczeństwo danych osobowych 6. Dostęp do danych 7. Sprostowanie danych 8. Poprawność i adekwatność przetwarzanych danych 9. Okres przechowywania danych 10. Wykorzystanie danych zgodnie z celem 11. Ujawnienie i przekazywanie danych

Koncepcja ochrony danych w fazie projektowania
Koncepcja ochrony danych w fazie projektowania - zakłada, że wymogi dotyczące ochrony danych osobowych i prywatności powinny być uwzględniane już na wstępnych etapach projektowania usług, produktów bądź systemów mających służyć do przetwarzania danych osobowych. „ Uwzględnianie ochrony danych osobowych w fazie projektowania w świetle art. 25 ust. 1 rodo oznacza, że administrator zarówno na etapie planowania sposobów przetwarzania, jak i w czasie samego przetwarzania wdraża odpowiednie środki techniczne i organizacyjne, mające na celu skuteczną realizację zasad ochrony danych oraz spełnienie wymogów rodo, a także ochronę praw osób, których dane dotyczą”

Uwzględnianie ochrony danych w fazie projektowania ma z zasady umożliwić włączanie ochrony prywatności w samo tworzenie projektu, działanie jego składników oraz w zarzadzanie technologiami informacyjnymi i systemami przez cały cykl życia informacji. Privacy by design zakłada, ze ochrona prywatności powinna być wbudowana w każdy nowy projekt – co oznacza, ze prywatność będzie chroniona nie poprzez dodatki do systemu lub nakładki przygotowane na już istniejące rozwiązania, lecz jest wbudowana w jego konstrukcje jako składowa projektu.

Duże wyzwanie dla sektora publicznego. Wskazane byłoby wbudowanie ochrony prywatności w konstrukcje instrukcji kancelaryjnych. Rozporządzenie wprost wskazuje ze „zasadę uwzględniania ochrony danych w fazie projektowania i zasadę domyślnej ochrony danych należy tez brać pod uwagę w przetargach publicznych. Dobrym rozwiązaniem jest wbudowanie privacy by design poprzez włączenie oceny skutków projektowanego aktu prawnego dla ochrony danych do przygotowywanej w procesie legislacyjnym oceny skutków regulacji (OSR).

Koncepcja domyślnej ochrony
Koncepcja domyślnej ochrony Zgodnie z art. 25 ust. 2 rodo, „administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych”.

Koncepcja domyślnej ochrony
Zasadę domyślnej ochrony danych należy rozumieć jako postulat uwzględnienia jak najdalej posuniętych zabezpieczeń prywatności w ustawieniach początkowych każdego systemu. Domyślnie, czyli bez konieczności jakiejkolwiek aktywności osób, których dane dotyczą – i to w kluczowym dla użytkownika momencie przyłączenia sie do danego systemu. Domyślnie powinny być przetwarzane tylko te dane, które są niezbędne do osiągniecia celu, dla którego zostały zebrane (minimalizacja danych). Należy dokonać przeglądu używanych systemów i narzędzi przetwarzania danych pod katem realizacji ww. zasad, by mieć pewność, ze 25 maja 2018 r. będzie się w stanie wykazać zgodność wszystkich działań na danych osobowych z wymogami ogólnego rozporządzenia.

Certyfikacja oraz wdrażanie kodeksów postępowania - mogą doprecyzować wymogi z uwzględnieniem specyfiki różnych sektorów, w których dochodzi do przetwarzania danych osobowych. Kodeksy postępowania mogą być przyjmowane przez zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów lub podmioty przetwarzające. mogą być przyjmowane po to, aby doprecyzować zastosowanie przepisów rodo, w szczególności w odniesieniu do: rzetelnego i przejrzystego przetwarzania; b) prawnie uzasadnionych interesów realizowanych przez administratorów w określonych kontekstach; c) zbierania danych osobowych; d) pseudonimizacji danych osobowych; e) informowania opinii publicznej i osób, których dane dotyczą; f) wykonywania przez osoby, których dane dotyczą, przysługujących im praw;

g) informowania i ochrony dzieci oraz sposobu pozyskiwania zgody osoby sprawującej władzę rodzicielską lub opiekę nad dzieckiem; h) środków i procedur, o których mowa w art. 24 i 25, oraz środków zapewniających bezpieczeństwo przetwarzania, o których mowa w art. 32; i) zgłaszania organowi nadzorczemu naruszeń ochrony danych osobowych oraz zawiadamiania o takich naruszeniach osób, których dane dotyczą; j) przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych lub k) postępowań pozasądowych oraz innych trybów rozstrzygania sporów w celu rozstrzygania sporów między administratorami a osobami, których dane dotyczą, w zakresie przetwarzania, bez uszczerbku dla praw osób, których dane dotyczą, na mocy art. 77 i 79.

Organ nadzorczy wydaje opinię o zgodności kodeksu z przepisami ogólnego rozporządzenia i zatwierdza go, jeżeli uzna, że proponowane rozwiązania stanowią odpowiednie zabezpieczenia. Zatwierdzony kodeks jest rejestrowany i publikowany przez organ nadzorczy.

Certyfikacja ma być dobrowolna, proces jej uzyskania musi być przejrzysty. nie zwalnia administratorów danych ze swoich obowiązków przewidzianych przepisami o ochronie danych osobowych, nie wpływa na kompetencje organów nadzorczych może być wykonywana przez podmioty certyfikacyjne lub organy nadzorcze na podstawie kryteriów określonych przez te organy lub Europejską Radę Ochrony Danych udziela się jej na maksymalny okres trzech lat z możliwością jej przedłużenia po spełnieniu wymaganych warunków. podmioty certyfikacyjne będą mogły prowadzić swoją działalność jedynie po spełnieniu określonych warunków i akredytacji

Odpowiedzialność za naruszenie zasad ochrony danych osobowych
Sankcje administracyjne nakładanych przez organy nadzorcze w ramach ich kompetencji naprawczych na mocy art. 58 ust. 2 rodo, możliwość nakładania administracyjnych kar pieniężnych Odpowiedzialność cywilnoprawna

Artykuł 83 ust. 2 rodo przewiduje, że administracyjne kary pieniężne nakłada się jednocześnie z nakazami określonymi w art. 58 ust. 2 albo zamiast nich. Jednocześnie organy nadzorcze mają zapewnić, że kary te mają być „w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające” (art. 83 ust. 1 rodo). Ujednolicone zostały kryteria, które organ nadzorczy musi wziąć pod uwagę, decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość. Dwie grupy ze względu na rodzaj naruszenia

W pierwszej grupie taka kara może być nałożona maksymalnie do wysokości 10 mln euro, a w przypadku przedsiębiorstwa do 2% jego całkowitego rocznego światowego obrotu. W drugiej grupie będzie to odpowiednio 20 mln euro i 4% obrotu. Rozporządzenie ogólne nie przesądza, czy administracyjne kary pieniężne mogą być nakładane na podmioty publiczne, aczkolwiek daje taką możliwość państwom członkowskim. Zgodnie z art. 83 ust. 7 rodo: „każde państwo członkowskie może określić, czy i w jakim zakresie administracyjne kary pieniężne można nakładać na organy i podmioty publiczne ustanowione w tym państwie członkowskim”

Artykuł 82 rodo wprowadza zasady odpowiedzialności odszkodowawczej za naruszenie jego przepisów. Odszkodowanie za szkodę majątkową lub niemajątkową spowodowaną naruszeniem rodo może być dochodzone przez każdą osobę od administratora Co do zasady, to administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym przepisy rodo. Administrator zostaje zwolniony z odpowiedzialności odszkodowawczej, jeżeli udowodni, że w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody. ciężar dowodu, a osoby, których dane dotyczą, nie muszą tej winy wykazywać. W odniesieniu do szkód spowodowanych przetwarzaniem danych przez kilka podmiotów rodo wyraźnie przewiduje ich odpowiedzialność solidarną ( dopuszczalne roszczenia regresowe między tymi podmiotami.

Notyfikacja naruszeń ochrony danych osobowych
Rodo nie ogranicza obowiązku notyfikacji do niektórych sektorów, lecz ma powszechny zasięg i obejmuje wszystkich administratorów danych. Naruszenia ochrony danych osobowych mają być zgłaszane przez administratorów danych organowi nadzorczemu. Niezależnie od zgłoszenia naruszenia organowi nadzorczemu administratorzy danych mogą również mieć obowiązek zawiadomienia o takim naruszeniu osób, których dane dotyczą gdy takie zdarzenie „(…) może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych” Naruszenia ochrony danych osobowych nie wymagają bowiem zgłoszenia organowi nadzorczemu wówczas, gdy jest mało prawdopodobne, by skutkowały one ryzykiem naruszenia praw lub wolności osób fizycznych.

Administrator danych nie będzie miał obowiązku zawiadomienia osób, których dane dotyczą, jeżeli wdrożył odpowiednie środki ochrony o charakterze technicznym i organizacyjnym oraz zastosował je do danych osobowych, których dotyczy incydent. zastosowanie przez administratora danych środków o charakterze następczym, które eliminują prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby. gdy zawiadomienie poszczególnych osób, których dane dotyczą, wymagałoby niewspółmiernie dużego wysiłku, może być wystarczające wydanie publicznego komunikatu lub zastosowanie podobnego środka, dzięki któremu osoby, których dane dotyczą, zostaną poinformowane w równie skuteczny sposób

Administrator danych jest obowiązany zgłosić naruszenie organowi nadzorczemu niezwłocznie, w miarę możliwości nie później niż w terminie 72 godzin od stwierdzenia naruszenia. jeżeli samo zgłoszenie nastąpi już po upływie 72 godzin, to należy dołączyć do niego wyjaśnienie przyczyny opóźnienia. Natomiast poinformowanie osób, których dane dotyczą, jeżeli zachodzi taki obowiązek, powinno nastąpić bez zbędnej zwłoki, tak aby umożliwić im podjęcie niezbędnych działań zapobiegawczych Zawiadomienie, o którym mowa w ust. 1 niniejszego artykułu, jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c) i d).

Zgłoszenie musi co najmniej: opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu. Szczególnie większe organizacje powinny wdrożyć odpowiednie polityki i procedury postępowania związane z przypadkami naruszenia ochrony danych. Naruszenie ochrony danych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych

Wewnętrzna procedura: Określenie, jakie zdarzenia mogą stanowić naruszenia ochrony danych osobowych, przy uwzględnieniu specyfiki danego administratora (na podstawie definicji naruszenia ochrony danych). 2. Sposób reagowania na naruszenia przez pracowników, którzy je ujawnili. Powinien się tu znaleźć: obowiązek niezwłocznego poinformowania o zdarzeniu osoby nadzorującej (powinien to być inspektora ochrony danych, a w przypadku gdy nie został wyznaczony inna osoba upoważniona przez administratora lub sam administrator danych), obowiązek pozostawienia miejsca zdarzenia w stanie nienaruszonym do czasu przybycia inspektora ochrony danych lub innej osoby nadzorującej.

Obowiązki inspektora ochrony danych lub innej osoby odpowiedzialnej związane z dokumentowaniem okoliczności naruszenia, tj.: sporządzenie notatki z przeprowadzonych oględzin miejsca zdarzenia, sporządzenie kopii obrazu wyświetlonego na ekranie monitora komputera związanego z naruszeniem, sporządzenie kopii zapisów rejestrów systemu informatycznego służącego do przetwarzania danych lub zapisów konfiguracji technicznych środków zabezpieczeń systemu, odebranie pisemnych wyjaśnień od osoby, która ujawniła naruszenie.

4. Obowiązek niezwłocznego przedstawienia zebranych materiałów administratorowi danych, który z pomocą inspektora ochrony danych, w terminie i na podstawie przesłanek określonych w ogólnym rozporządzeniu o ochronie danych powinien ocenić, czy zaistniałe naruszenie podlega obowiązkowi zgłoszenia organowi nadzorczemu oraz powiadomieniu osoby, której dane dotyczą. 5. Obowiązek przedstawienia administratorowi przez inspektora ochrony danych skutków naruszenia oraz środków i działań mających zaradzić naruszeniu, a także, jeżeli to konieczne, mających zminimalizować negatywne skutki naruszenia. 6. Jeżeli istnieje taki obowiązek – sporządzenie zgłoszenia do organu nadzorczego oraz zawiadomienia do osoby, której dane dotyczą. 7. Udokumentowanie skutków oraz podjętych środków i działań.

ABI – inspektor danych osobowych na gruncie rozporządzenia
Obowiązek rejestracji DPO dla organów lub podmiotów publicznych administratorów których główna działalność polega na operacjach przetwarzania danych wymagających – ze względu na swój charakter, zakres lub cele – regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę administratorów których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa. obowiązek wyznaczenia inspektora ochrony danych osobowych może wprowadzić prawo Unii Europejskiej lub państwo członkowskie w prawie krajowym

art. 37 ust. 1 rodo. Przepis ten posługuje się kryteriami, „główna działalność”, „regularne i systematyczne monitorowanie” i „na dużą skalę” „W sektorze prywatnym przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności” duża skala –operacje które służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób, których dane dotyczą”

zaleca uwzględnianie następujących czynników przy określaniu, czy przetwarzanie następuje na „dużą skalę”: Liczba osób, których dane dotyczą – konkretna liczba albo procent określonej grupy społeczeństwa; Zakres przetwarzanych danych osobowych; Okres, przez jaki dane są przetwarzane; Zakres geograficzny przetwarzania danych osobowych; Do przykładów „przetwarzania na dużą skalę” zaliczyć można: Przetwarzanie danych pacjentów przez szpital w ramach prowadzonej działalności; Przetwarzanie danych osób korzystających ze środków komunikacji miejskiej (np. śledzenie za pośrednictwem ‘kart miejskich’;

Gr Art. 29 definiuje „regularne” jako jedno lub więcej z następujących pojęć: Stałe albo występujące w określonych odstępach czasu przez ustalony okres; Cykliczne albo powtarzające się w określonym terminie; Odbywające się stale lub okresowo. Gr Art. 29 definiuje „systematyczne” jako jedno lub więcej z następujących pojęć: Występujące zgodnie z określonym systemem; Zaaranżowane, zorganizowane lub metodyczne; Odbywające się w ramach generalnego planu zbierania danych; Przeprowadzone w ramach określonej strategii

Przykłady: obsługa sieci telekomunikacyjnej; świadczenie usług telekomunikacyjnych; przekierowywanie ; profilowanie i ocenianie dla celów oceny ryzyka (na przykład dla celów oceny ryzyka kredytowego, ustanawiania składek ubezpieczeniowych, zapobiegania oszustwom, wykrywania prania pieniędzy); śledzenie lokalizacji, na przykład w aplikacjach telefonicznych; programy lojalnościowe; monitorowanie danych o stanie zdrowia monitoring wizyjny;

W pozostałych przypadkach dobrowolność W sytuacji, gdy z przepisów nie wynika obowiązek wyznaczenia DPO, GR Art. 29 zaleca administratorom i podmiotom przetwarzającym udokumentowanie wewnętrznej procedury przeprowadzonej w celu ustalenia obowiązku bądź braku obowiązku wyznaczenia DPO, celem wykazania, iż stosowne czynniki zostały uwzględnione. Powyższe nie uniemożliwia podmiotom niezainteresowanym dobrowolnym wyznaczeniem DPO i niezobowiązanym do tego przez prawo wyznaczenia pracownika, albo zatrudnienia zewnętrznego konsultanta do wypełniania zadań związanych z ochroną danych osobowych. W przypadku powołania takiej osoby istotne jest, aby nazwa stanowiska, status pracownika, pozycja i zadania nie wprowadzały w błąd. W związku z tym zaleca się poinformowanie pracowników organizacji, jak również organów ochrony danych, osób, których dane dotyczą, i ogółu społeczeństwa , iż osoba zatrudniona nie jest DPO w świetle przepisów RODO

NOWOŚĆ - określenie warunków wyznaczenia jednego inspektora ochrony danych dla kilku administratorów danych lub podmiotów przetwarzających będących podmiotami publicznymi lub w ramach grupy przedsiębiorstw. inspektor ochrony danych może być zarówno członkiem personelu administratora danych lub podmiotu przetwarzającego, jak i wykonywać swoją funkcję na podstawie umowy o świadczenie usług. Inna odpowiedzialność pracownicza i kontraktowa ( ważne zapisy umów )

Kwalifikacje : merytoryczne przygotowanie do pełnienia tej funkcji Inspektor ochrony danych osobowych ma być wyznaczany na podstawie kwalifikacji zawodowych – a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych osobowych. Poziom wiedzy inspektora ma być ustalany w świetle prowadzonych operacji przetwarzania danych oraz ochrony, której wymagają dane osobowe przetwarzane przez administratora lub podmiot przetwarzający a zatem w kontekście specyfiki i konkretnych potrzeb administratora danych i podmiotu przetwarzającego dane.

Artykuł 37(7) RODO nakłada na administratora lub przetwarzającego obowiązek: Opublikowania danych DPO; Zawiadomienia właściwego organu nadzorczego o danych kontaktowych DPO. Dane kontaktowe DPO powinny zawierać dane umożliwiające osobom, których dane dotyczą, i organom nadzorczym nawiązanie kontaktu w łatwy sposób (adres korespondencyjny, telefon kontaktowy, dedykowany adres ). artykuł 37(7) nie wymaga publikowania imienia i nazwiska DPO, to taka informacja powinna zostać wskazana w ramach dobrej praktyki. W ramach dobrej praktyki GR Art. 29 zaleca poinformowanie organu nadzorczego i pracowników organizacji o imieniu, nazwisku i danych kontaktowych DPO. Dane te mogą zostać udostępnione wewnętrznie np. poprzez intranet, w wewnętrznej książce telefonicznej albo w ramach rozpisanej struktury organizacyjnej.

zobowiązanie administratorów danych i procesorów do zapewnienia inspektorowi ochrony danych zasobów niezbędnych do utrzymania jego wiedzy fachowej. Obowiązek uaktualniania wiedzy i zapewnienia na to środków finansowych zapewnienia inspektorowi ochrony danych dostępu do danych osobowych i operacji przetwarzania oraz do niezwłocznego i właściwego włączania go we wszystkie sprawy dotyczące ochrony danych osobowych. wiedza inspektora ochrony danych powinna obejmować dobrą znajomość profilu dzia- łalności administratora danych osobowych i podmiotu przetwarzającego, związanych z tym profilem wymogów prawnych oraz szczegółów funkcjonowania danej organizacji.

Następujące aspekty powinny zostać wzięte pod uwagę: Wsparcie DPO ze strony kadry kierowniczej (np. na poziomie zarządu); Wymiar czasu umożliwiający DPO wykonywanie zadań. Odpowiednie wsparcie finansowe, infrastrukturalne (pomieszczenia, sprzęt, wyposażenie) i kadrowe, gdy to właściwe; Oficjalne zakomunikowanie wszystkim pracownikom faktu wyznaczenia DPO, tak aby wiedzieli o jego istnieniu oraz o pełnionych przez niego funkcjach Umożliwienie dostępu do innych działów organizacji, np. HR, działu prawnego, IT, ochrony etc., celem stworzenia przepływu informacji między tymi jednostkami a DPO i zapewnienia mu niezbędnego wsparcia; Ciągłe szkolenie. DPO powinien mieć możliwość ciągłego aktualizowania wiedzy z zakresu ochrony danych osobowych. Celem powinno być zwiększanie wiedzy DPO i zachęcanie go do udziału w szkoleniach, warsztatach, forach poświęconych ochronie danych etc.; W zależności od rozmiaru i struktury organizacji przydatne może być powołanie zespołu inspektora ochrony danych (DPO i jego pracowników).

Niezależność inspektorzy ochrony danych – bez względu na to, czy są pracownikami administratora, czy też wykonują swoje usługi na podstawie umowy o świadczenie usług – powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny. W art. 38 ust. 3 rodo wprowadzony został obowiązek zapewnienia przez administratorów danych i podmioty przetwarzające aby inspektor ochrony danych nie otrzymywał instrukcji co do wykonywania zadań. Wykonywanie innych obowiązków, niezwiązanych z ochroną danych, dopuszczalne jest jedynie wtedy, gdy obowiązki takie nie będą powodowały konfliktu interesów (art. 38 ust. 6 rodo).

Obowiązki inspektorów ochrony danych powinny być traktowane priorytetowo, inne zaś zadania mogą być realizowane tylko wówczas, gdy nie będzie to przeciwstawne skutecznemu zapewnianiu ochrony danych osobowych i będzie możliwe pod względem czasowym i organizacyjnym. Inspektor ochrony danych ma podlegać najwyższemu kierownictwu administratora lub podmiotu przetwarzającego, a zatem nie są dopuszczalne sytuacje, w których inspektor podlega jakimkolwiek innym osobom lub podmiotom. ( skraca to drogę raportowania, co ma znaczenie w razie konieczności podejmowania szybkich działań naprawczych w sytuacji naruszenia ochrony danych osobowych.

Gwarancją niezależności inspektora ochrony danych jest przepis, zgodnie z którym inspektor nie może być ukarany lub odwołany za wypełnianie swoich zadań (art. 38 ust. 3 rodo). Kary w świetle RODO niedozwolone są tylko w przypadkach, gdy są nałożone w związku z wypełnianiem przez DPO swoich zadań. Dla przykładu, DPO może uznać określone przetwarzanie za wysoce ryzykowne i zalecić administratorowi lub podmiotowi przetwarzającemu, ale administrator lub podmiot przetwarzający nie zgadza się z oceną DOP. W takiej sytuacji DPO nie może zostać odwołany ani karany za udzielenie określonego zalecenia Zgodnie z normalnymi regułami, przepisami karnymi i prawa pracy, jak w przypadku każdego innego pracownika, DPO może zostać odwołany w uzasadnionych sytuacjach z przyczyn innych niż wykonywanie obowiązków DPO (np. kradzież, nękanie fizyczne i psychiczne, molestowanie seksualne, ciężkie naruszenie obowiązków)

Realizując obowiązek wspierania IOD, administratorzy danych) powinni wprowadzić wewnętrzne zasady i procedury, które zapewnią w tym zakresie wydajny i szybki przepływ informacji dotyczących ochrony danych. Inspektor ochrony danych zobowiązany został również do zachowania tajemnicy lub poufności co do wykonywania swoich zadań . Naruszenia wszystkich przepisów bezpośrednio odnoszących się do inspektorów ochrony danych osobowych (art. 37–39 rodo) podlegają administracyjnej karze pieniężnej do 10 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Administracyjne kary pieniężne grożą zatem zarówno w przypadku niewłaściwej realizacji przez administratorów danych obowiązku wyznaczenia inspektora , jak i w przypadku nienależytego wykonywania zadań przez inspektorów ochrony danych.

Artykuł 39(1)(b) nakłada na DPO między innymi obowiązek monitorowania przestrzegania RODO W ramach monitorowania DPO mogą między innymi: Zbierać informacje w celu identyfikacji procesów przetwarzania; Analizować i sprawdzać zgodność tego przetwarzania; Informować, doradzać i rekomendować określone działania administratorowi albo podmiotowi przetwarzającemu. Monitorowanie nie oznacza odpowiedzialności DPO w przypadkach naruszenia RODO. Z rozporządzenia jasno wynika, iż to administrator, a nie DPO „wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać” (Artykuł 24(1)). Spełnianie wymogów rozporządzenia należy do obowiązków korporacyjnych administratora, a nie DPO.

Rola DPO w ocenie skutków dla ochrony danych Zgodnie z artykułem 35(1) do obowiązków administratora, a nie DPO, należy przeprowadzanie w określonych przypadkach oceny skutków dla ochrony danych. Jednak DPO może odgrywać istotną rolę i wspierać administratora przy przeprowadzaniu takiej oceny. Zgodnie z zasadą ochrony danych w fazie projektowania, artykuł 35(2) nakłada na administratora obowiązek konsultowania się z DPO przy dokonywaniu oceny skutków dla ochrony danych. Natomiast z art. 39(1)(c) wynika obowiązek DPO „udzielania na żądanie zaleceń co do oceny skutków dla ochrony danych”.

GR Art. 29 zaleca administratorowi konsultowanie z DPO m.in. następujących kwestii faktu, czy należy przeprowadzić ocenę skutków dla ochrony danych; metodologii przeprowadzenia oceny skutków dla ochrony danych; Faktu, czy należy przeprowadzić wewnętrzną ocenę czy też zlecić ją podmiotowi zewnętrznemu; Zabezpieczeń (w tym środków technicznych i organizacyjnych) stosowanych do łagodzenia wszelkich zagrożeń praw i interesów osób, których dane dotyczą; Prawidłowości przeprowadzonej oceny skutków dla ochrony danych i zgodności jej wyników z RODO (czy należy kontynuować przetwarzanie czy też nie oraz jakie zabezpieczenia należy zastosować). Jeśli administrator nie zgadza się z zaleceniami DPO, dokumentacja oceny skutków dla ochrony danych powinna zawierać pisemne uzasadnienie nieuwzględnienia tych zaleceń

Rola DPO w ewidencjonowaniu Zgodnie z artykułem 30(1) i (2) to do administratora albo podmiotu przetwarzającego należy obowiązek prowadzenia rejestru „czynności przetwarzania danych osobowych, za które odpowiadają” albo „wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora”. nic nie stoi na przeszkodzie by to DPO prowadził, w imieniu administratora, rejestr czynności przetwarzania danych. T aki rejestr powinien być uznany za jeden ze sposobów monitorowania przestrzegania RODO, informowania administratora lub podmiotu przetwarzającego i doradzania im.

Pełnienie funkcji punktu kontaktowego dla organu nadzorczego w zakresie uprzednich konsultacji, o których mowa w art. 36 rodo, ale też we wszelkich innych sprawach obowiązek pełnienia funkcji punktu kontaktowego dla osób, których dane dotyczą (Na mocy art. 38 ust. 4 rodo osoby, których dane dotyczą, uprawnione zostały bowiem wprost do kontaktowania się z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy rodo ) inspektorzy ochrony danych będą musieli udzielać pomocy i wyjaśnień dotyczących przetwarzania danych osobowych konkretnych osób oraz przysługujących tym osobom uprawnień w każdym przypadku, gdy osoby te zwrócą się do nich z takim wnioskiem ( wymagać to będzie dużych nakładów czasu i pracy, i w niektórych instytucjach uzasadnione będzie powołanie do jego realizacji nawet zespołu przygotowanych merytorycznie osób.

wspieranie administratora danych osobowych, podejmując wskazane aktywności niezależnie od charakteru prowadzonej przez administratora działalności, w sytuacji wykazania jednej z przesłanek przetwarzania danych osobowych, o których mowa w art. 6–11 rodo np. (gdy podstawą przetwarzania danych osobowych jest zgoda osoby, której dane dotyczą, inspektor ochrony danych powinien wspierać administratora danych w skonstruowaniu należytego procesu odbierania zgody. Powinien on zagwarantować, że została ona odebrana w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem ) , opiniowanie, a nawet tworzenie w imieniu administratora wzorów umów, odpowiadających wszystkim wymogom przewidzianym w art. 28–29 rodo - W związku z obowiązkiem ADO dochowania należytej formy powierzania danych osobowych podmiotowi przetwarzającemu dane

stworzenie oraz aktualizowanie dokumentacji w zakresie wszelkich naruszeń ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutków oraz podjętych działań zaradczych ocena skuteczności zastosowanych środków ochrony oraz rekomendowanie zmian w zastosowanych przez ADO środkach technicznych i organizacyjnych zapewniających należytą ochronę danych osobowych. zasada, privacy by design, nakłada na administratora obowiązek uwzględnienia ochrony danych osobowych już na etapie projektowania rozwiązań technicznych bądź organizacyjnych - działania takie powinny być podejmowane przy wsparciu inspektora ochrony danych,

Przepisy rodo wyłączają możliwość przeniesienia na inspektora ochrony danych ciężaru podejmowania decyzji, który wprost nałożony został na administratorów danych. Przykładem mogą być decyzje co do wdrażanych technicznych i organizacyjnych środków ochrony danych osobowych - W tym zakresie działania inspektora ochrony danych mogą ograniczyć się wyłącznie do podejmowania działań czysto doradczych, wspierających administratora w podejmowanych przez niego decyzjach.

Dokumentacja przetwarzania danych na gruncie rozporządzenia
Ogólne rozporządzenie o ochronie danych przyznaje szereg uprawnień podmiotom danych: prawo do bycia poinformowanym o operacjach przetwarzania, - prawo dostępu, - prawo do sprostowania/uzupełnienia danych, - prawo do usunięcia danych (prawo do bycia zapomnianym), - prawo do ograniczenia przetwarzania, - prawo do przenoszenia danych, - prawo do sprzeciwu, - prawo do tego, by nie podlegać profilowaniu Wdrożone procedury przetwarzania danych powinny uwzględniać możliwość realizacji tych praw przez osoby, których dane są przetwarzane.

Zabezpieczenia Dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. W ogólnym rozporządzeniu brak szczegółowych wskazówek, jakie środki organizacyjne i techniczne wdrożyć. Rozporządzenie zachęca jedynie do skorzystania z narzędzi pseudonimizacji czy też szyfrowania danych. W przepisach nie ma również minimalnych standardów technicznych bezpieczeństwa danych, a w maju przyszłego roku przestanie obowiązywać rozporządzenie techniczne MSWiA do ustawy o ochronie danych osobowych.

Zabezpieczenia Zgodnie z zasadą rozliczalności, to administrator danych – uwzględniając aktualny stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres i cele przetwarzania danych – samodzielnie będzie decydował, jakie środki bezpieczeństwa wdrożyć, by zapewnić zgodność przetwarzania danych z wymogami rozporządzenia. Może więc uznać, że od maja 2018 r. nadal aktualne pozostaną środki techniczne i organizacyjne wdrożone i udokumentowane w dotychczasowej polityce bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym, albo też podjąć decyzję o wdrożeniu zupełnie nowych środków.

Zabezpieczenia Ważne, by oceniając stopień bezpieczeństwa przetwarzanych danych osobowych, uwzględnić przede wszystkim ryzyko wiążące się z przetwarzaniem – wynikające np. z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Ryzyko to może prowadzić do kradzieży tożsamości, straty majątkowej czy też naruszenia dóbr osobistych osoby, których te dane dotyczą. W sytuacji, kiedy doszłoby to takiego naruszenia ochrony danych, każdy administrator będzie zobowiązany do zgłoszenia tego faktu do GIODO, a w szczególnych przypadkach także do osób, których dane zostały naruszone.

Od 25 maja 2018r. należy dokumentować czynności związane z przetwarzaniem danych osobowych, w tym w szczególności dokumentować i ustalić : Jakie dane posiadam , i w jakich okolicznościach je pozyskałem ? Wskazać podstawę prawną przetwarzania i w jaki sposób spełniłem swoje obowiązki informacyjne Komu i kiedy udostępniam dane? Jak raportuję incydenty związane z naruszeniem ochrony danych? Czy przeprowadziłem analizę w zakresie obowiązku bądź braku obowiązku wyznaczenia inspektora ochrony danych i jakie wnioski z niej płyną.

Przepisy rodo nie zawierają uregulowań, które wprost stanowiłyby o obowiązku prowadzenia dokumentacji , ale …. Rejestrowanie czynności przetwarzania (art. 30) administratorzy powinni prowadzić rejestry czynności przetwarzania, za które są odpowiedzialni. Administratorzy zobowiązani są współpracować z organem nadzorczym i na jego żądanie udostępniać mu rejestry w celu monitorowania operacji przetwarzania. Ocena skutków dla ochrony danych osobowych (art. 35) Przed przetwarzaniem danych administrator powinien ocenić jego skutki dla ochrony danych, źródła ryzyka oraz konkretne prawdopodobieństwo i wagę ryzyka, uwzględniając charakter, zakres, kontekst i cele przetwarzania. Ocena skutków powinna w szczególności obejmować planowane środki, zabezpieczenia i mechanizmy minimalizowania ryzyka, a także zapewniać ochronę danych osobowych oraz zgodność z przepisami rodo.

Uwzględnianie ochrony danych osobowych w fazie projektowania, domyślna ochrona danych (art. 25) Administrator ma wdrażyć odpowiednie środki techniczne i organizacyjne zapewniające spełnienie wymogów rodo oraz ochronę praw osób, których dane dotyczą (takie jak pseudonimizacja) zaprojektowane w celu skutecznej realizacji zasad ochrony danych (takich jak minimalizacja danych) oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń Administrator ma wdrożyć odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania ( dotyczy ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych)

Prawo do ograniczenia przetwarzania (art. 18) Osoba, której dane dotyczą, ma prawo żądania od administratora ograniczenia przetwarzania w następujących przypadkach: osoba, której dane dotyczą, kwestionuje prawidłowość jej danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych, przetwarzanie jest niezgodne z prawem, osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania, dane potrzebne są do ustalenia, dochodzenia lub obrony roszczeń osoby, której dane dotyczą, pomimo że administrator nie potrzebuje już tych danych osobowych do celów przetwarzania osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 rodo wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw jej sprzeciwu

Obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania (art. 19) Administrator informuje o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych osobowych każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator informuje osobę, której dane dotyczą, o odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda.

Bezpieczeństwo przetwarzania (art. 32) Administratorzy wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku, w tym: – pseudonimizację i szyfrowanie danych osobowych; – zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; – zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; – regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Wywiązywanie się z obowiązków, można wykazać m.in. poprzez stosowanie zatwierdzonego kodeksu postępowania, lub zatwierdzonego mechanizmu certyfikacji.

Praktycznie i tak Każdy administrator danych będzie zobowiązany do stworzenia dokumentacji opisującej proces przetwarzania danych osobowych bo będzie musiał udokumentować spełnienie wymienionych wyżej obowiązków W celu stworzenia takiej dokumentacji administrator będzie zobowiązany do przeprowadzenia oceny skutków dla ochrony danych, czyli do: • systematycznego opisywania planowanych operacji przetwarzania danych osobowych i celów przetwarzania, • oceny ryzyka naruszenia praw lub wolności osób, których dane dotyczą, • oceny, czy planowane operacje przetwarzania są niezbędne oraz proporcjonalne do celów, • oceny planowanych środków w celu zaradzenia ryzyku, w tym zabezpieczenia, oraz środków i mechanizmów bezpieczeństwa, mających zapewnić ochronę danych osobowych i wykazać przestrzeganie rodo, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą,

Tworząc system zarządzania bezpieczeństwem przetwarzania danych osobowych, należy przeprowadzić inwentaryzację wszystkich aktywów, jakimi dysponuje jednostka, rozumianych jako: informacje i związane z nimi procesy, systemy i sieci teleinformatyczne – art. 30 rodo Przepis ten, w szczególnych przypadkach wymaga prowadzenia rejestru czynności przetwarzania danych osobowych. Jego zawartość przypomina rejestr zbiorów danych osobowych, do prowadzenia którego zobowiązani są obecnie ABI. Wprowadzony w rodo tzw. rejestr czynności przetwarzania należy rozumieć jako wykaz przetwarzanych zbiorów danych, na które dzieli się wszystkie przetwarzane u danego administratora danych informacje ze względu na: zakres przetwarzanych danych, cele przetwarzania oraz kategorie odbiorców, którym dane zostają udostępnione

Prowadzenie rejestru czynności przetwarzania nie jest obowiązkiem powszechnym. Zgodnie z art. 30 ust. 5 rodo, do prowadzenia ww. rejestrów zobowiązani są administratorzy, którzy zatrudniają 250 lub więcej osób oraz gdy: dokonują systematycznego przetwarzania mogącego powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, lub dokonują przetwarzania szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, (wrażliwych ) przetwarzają dane osobowe dotyczące wyroków skazujących i naruszeń prawa

Uprawnienia i zadania organu nadzoru ( GIODO) na gruncie rozporządzenia
Prawo kontrolowania podmiotów przetwarzający dane osobowe, polegające w szczególności na: – nakazywaniu administratorowi, dostarczenia wszelkich informacji potrzebnych organowi nadzorczemu do realizacji swoich zadań, – prowadzeniu postępowań w formie audytów ochrony danych, – uzyskiwaniu od administratora dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych organowi nadzorczemu do realizacji swoich zadań, – uzyskiwaniu dostępu do wszystkich pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych, zgodnie z procedurami określonymi w prawie unijnym lub w prawie państwa członkowskiego (art. 58 ust. 1 lit. a, b, e i f rodo)

każde państwo członkowskie może przewidzieć w swoich przepisach, że jego organowi nadzorczemu będą przysługiwały także inne uprawnienia, z tym że ich wykonywanie nie może utrudniać skutecznego stosowania przepisów rozdziału VII rodo. SKUTKI : czy w ogóle na gruncie rodo jest możliwe wprowadzenie w polskim ustawodawstwie przepisów uprawniających do zlecania przez organ nadzorczy dokonywania sprawdzeń??? czy wyodrębnianie takiego szczególnego uprawnienia jest konieczne, Rodo daje bowiem organowi do spraw ochrony danych osobowych cały szereg nowych uprawnień służących kontroli przestrzegania przepisów prawa. może okazać się, że nie będzie już miało miejsca wykonywanie sprawdzeń na takich zasadach, z jakimi teraz mamy do czynienia.

monitorowanie i egzekwowanie przestrzegania przepisów o ochronie danych rozpatrywanie skarg osób, których dane dotyczą, i prowadzenie związanych z tym postępowań upowszechnianie wiedzy w zakresie ochrony danych osobowych w szczególności podejmowanie działań edukacyjnych skierowanych do dzieci, a także upowszechnianie wśród administratorów i podmiotów przetwarzających wiedzy o spoczywających na nich obowiązkach doradzanie parlamentom narodowym, rządom oraz innym instytucjom i organom w sprawie aktów prawnych

udzielać osobom, których dane dotyczą, na ich żądanie informacji o wykonywaniu praw przysługujących im na mocy rodo. współpraca z innymi organami nadzorczymi, w tym wymiana informacji oraz wzajemna pomoc oraz udział w pracach Europejskiej Rady Ochrony Danych. ustanowienie i prowadzenie wykazów operacji wymagających przeprowadzenia oceny skutków dla ochrony danych i takich, które jej nie wymagają udzielanie pisemnych zaleceń w ramach prowadzonych uprzednich konsultacji prowadzić wewnętrzny rejestr naruszeń rodo i działań naprawczych podjętych zgodnie z art. 58 ust. 2 rodo ułatwiania wnoszenia skarg przez osoby, których dane dotyczą, w szczególności poprzez udostępnienie odpowiedniego formularza w formie elektronicznej (art. 57 ust. 2 rodo) pobranie opłaty w rozsądnej wysokości wynikającej z kosztów administracyjnych albo odmowę podjęcia żądanych działań, jeżeli takie żądanie jest w sposób oczywisty nieuzasadnione lub nadmierne, w szczególności ze wzglę- du na swą powtarzalność

wydawanie ostrzeżeń skierowanych do administratora lub podmiotu przetwarzającego, gdy planowane operacje przetwarzania danych mogą naruszać przepisy rodo; udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu, gdy operacje przetwarzania danych naruszają przepisy ogólnego rozporządzenia; nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądań osoby, której dane dotyczą, w zakresie realizacji jej uprawnień; nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania prowadzonych operacji przetwarzania danych do przepisów rodo; nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych; wprowadzanie czasowego lub całkowitego ograniczenia, a nawet zakazu przetwarzania danych; nakazanie sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania oraz nakazanie powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono;

cofnięcie certyfikatu lub nakazanie podmiotowi certyfikującemu cofnięcia certyfikatu lub nakazanie podmiotowi certyfikującemu nieudzielania certyfikacji, jeżeli jej wymogi nie są spełnione lub przestały być spełniane; nałożenie administracyjnej kary pieniężnej; wstrzymanie przekazywania danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej opiniowanie i zatwierdzanie projektów kodeksów postępowania; akredytowanie podmiotów certyfikujących; udzielanie certyfikatów i zatwierdzanie kryteriów certyfikacji.

Dziękuję za uwagę

Rozporządzenie Parlamentu Europejskiego i Rady Europy o ochronie danych osobowych- zmiany od maja 2018 roku w ochronie danych osobowych.

Podobne prezentacje

Prezentacja na temat: "Rozporządzenie Parlamentu Europejskiego i Rady Europy o ochronie danych osobowych- zmiany od maja 2018 roku w ochronie danych osobowych."— Zapis prezentacji:

Podobne prezentacje

О projekcie

Zwrotny adres

Wejść

Zaloguj się poprzez sieć społeczną:

Rozporządzenie Parlamentu Europejskiego i Rady Europy o ochronie danych osobowych- zmiany od maja 2018 roku w ochronie danych osobowych.

Podobne prezentacje

Prezentacja na temat: "Rozporządzenie Parlamentu Europejskiego i Rady Europy o ochronie danych osobowych- zmiany od maja 2018 roku w ochronie danych osobowych."— Zapis prezentacji:

Podobne prezentacje

О projekcie

Zwrotny adres