Ochrona danych osobowych w projektach współfinansowanych ze środków EFS w perspektywie finansowanej 2014-2020 Trener: dr Bartosz Mendyk Koszalin, 17 czerwiec.

Prezentacja na temat: "Ochrona danych osobowych w projektach współfinansowanych ze środków EFS w perspektywie finansowanej 2014-2020 Trener: dr Bartosz Mendyk Koszalin, 17 czerwiec."— Zapis prezentacji:

1 Ochrona danych osobowych w projektach współfinansowanych ze środków EFS w perspektywie finansowanej Trener: dr Bartosz Mendyk Koszalin, 17 czerwiec 2019 r.

2 Źródła prawa Zalecenia Gr Art. 29 Akredytacja/ Certyfikaty
Rekomendacje Prezesa UODO Zalecenia Gr Art. 29 Akredytacja/ Certyfikaty Kodeksy postępowania Zalecenia poradniki Ministertwa Cyfryzacji RODO dla Administracji (Poradnik Ministerstwa Cyfryzacji) Zmiana 168 ustaw- ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. Kodeks pracy Kodeks postępowania administracyjnego itd. Ustawa o ochronie danych osobowych Kodeks pracy (art 22(2) art 22(3) Ustawa o samorządzie gminnym (art. 9a) Ustawa o samorządzie powiatowym (art. 4b) Prawo oświatowe (108 a) RODO

3 Dane osobowe (art. 4 pkt 1 RODO)
Przykładowo: imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, psychiczną (…) tożsamość osoby fizycznej Dane osobowe Katalog otwarty Informacje Osoby fizyczne Łatwa identyfikacja Bardzo szerokie pojęcie Wszelkie obiektywne czynniki, takie jak koszt i czas (motyw 26 RODO) Wyłącznie

4 Dane wrażliwe (art. 27 UODO)
Dane osobowe Dane wrażliwe Generalnie funkcjonuje zakaz przetwarzania danych wrażliwych Zbiór zamknięty Zbiór mieszczący się w zbiorze danych osobowych Dane wrażliwe = dane sensytywne

5 Dane osobowe na gruncie RODO
Szczególne kategorie danych (art. 9 RODO) Dane dot. wyroków skazujących oraz naruszeń prawa (art. 10 RODO)

6 Szczególne kategorie danych (art. 9 ust. 1 RODO)
uodo RODO pochodzenie rasowe lub etniczne poglądy polityczne przekonania religijne lub filozoficzne przekonania religijne lub światopoglądowe przynależność wyznaniowa, partyjna lub związkowa przynależność do związków zawodowych wyroki , orzeczenia o ukaraniu i mandatach karnych oraz inne wydane w postępowaniu sądowym lub administracyjnym BRAK*

7 Szczególne kategorie danych (art. 9 ust. 1 RODO) – c.d.
uodo RODO nałogi BRAK stan zdrowia dane dotyczące zdrowia (definicja: art. 4 pkt 15 RODO) kod genetyczny dane genetyczne (definicja: art. 4 pkt 13 RODO) dane biometryczne (definicja: art. 4 pkt 14 RODO) życie seksualne dane dot. seksualności lub orientacji seksualnej

8 Jan Adam Kowalski, Kraków.
Nagrania z monitoringu biurowca, w którym prowadzona jest księga wejść i wyjść. Numer PESEL. Adres zbierany na potrzeby wysyłki newslettera. Odcisk palca pobierany przez System Kontroli Dostępu przy wejściu do serwerowni w firmie. Imię nazwisko, służbowy telefon kontaktowy, służbowy pracownika.

9 Który ze wskazanych zestawów informacji stanowi dane osobowe?
Warsztat nr I Który ze wskazanych zestawów informacji stanowi dane osobowe? Odpowiedź uzasadnij.

10 Przetwarzanie danych osobowych (art. 4 pkt 2 RODO)
Operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany zbieranie utrwalanie organizowanie porządkowanie przechowywanie adaptowanie modyfikowanie pobieranie przeglądanie wykorzystywanie ujawnianie poprzez przesłanie rozpowszechnianie lub innego rodzaju udostępnianie dopasowywanie łączenie ograniczanie usuwanie niszczenie

11 Administrator (Danych) (art. 7 ust. 4 uodo) / art. 4 pkt 7 RODO)
JEST NIM - organ, jednostka organizacyjna, podmiot lub osoba (...) decydująca o celach i środkach przetwarzania danych osobowych NIE JEST - pracownik odpowiadający za ochronę danych osobowych (ABI, ASI) - podmiot, któremu powierzono przetwarzanie danych osobowych

12 Zbiór danych Każdy posiadający strukturę zestaw Charakter osobowy
Dostępny według określonych kryteriów Niezależnie od tego czy jest on rozproszony lub podzielony funkcjonalnie Zbiór danych

13 Klucz do wyodrębniania zbiorów danych
Od kogo? W jakim celu? Co dokładnie? Kto ma dostęp? Dostęp Zakres danych Katego-ria osób Cel zbiera-nia

14 Zbiór danych osobowych –przykłady
Dane kadrowe Potencjalni pracownicy Zamówienia publiczne Kontrahenci Marketing Skargi i wnioski Dziennik korespondencji Newsletter

15 Powierzenie i udostępnienie danych

16 Powierzenie a udostępnienie – kto administratorem?
Powierzający dane osobowe ustala cel, zakres i sposób przetwarzania. Przekazując dane nie traci statusu Administratora Danych. Podmiot przyjmujący dane w powierzenie nie staje się ich administratorem (jest ograniczony co do celu i zakresu przetwarzania otrzymanych danych). Podmiot, któremu dane zostały udostępnione staje się ich administratorem, ponieważ jest w stanie samodzielnie decydować o celu i sposobie przetwarzania tych danych.

17 Powierzenie a udostępnienie – co legalizuje?
Forma dowolna, nie istnieje obowiązek zawierania umowy. Udostępnienie następuje po spełnieniu przesłanek legalności przetwarzania danych osobowych wskazanych w art. 23 (w przypadku danych osobowych zwykłych) lub 27 UODO (dane wrażliwe). Konieczna pisemna umowa powierzenia!

18 Powierzenie a udostępnienie – jakie obowiązki?
Po obu stronach standardowe obowiązki Administratora Danych Jego obowiązki to m.in. rejestracja otrzymywanych zbiorów danych spełnienie obowiązku informacyjnego (chyba, że został spełniony w momencie zbierania danych). Podmiot któremu powierzane są dane osobowe nie staje się ich administratorem Dzięki temu nie spoczywają na nim obowiązki: informacyjny rejestracji zbiorów do GIODO Podstawowym obowiązkiem jest zabezpieczenie zebranych danych.

19 Powierzenie a udostępnienie – kiedy stosujemy?
udostępnienie danych policji sądowi lub firmie ubezpieczeniowej - serwis komputerów serwis oprogramowania archiwizacja danych obsługa kadrowo-płacowa

20 Przepisy Zagadnienie UODO RODO Podstawa prawna art. 31  art. 28 Forma umowy forma pisemna forma pisemna, w tym forma elektroniczna Elementy umowy zakres danych osobowych cel przetwarzania przedmiot czas trwania powierzenia charakter i cel przetwarzania rodzaj danych osobowych kategorie osób, których dane dotyczą warunki podpowierzenia przetwarzania danych obowiązki i prawa administratora danych obowiązki procesora Podpowierzenie brak regulacji pisemna zgoda administratora danych (szczegółowa lub ogólna)

21 Inspektor Ochrony Danych

22 Pracownik administratora danych
IOD ABI jest osobą fizyczną odpowiedzialną za przestrzeganie zasad ochrony danych osobowych w organizacji administratora danych. IOD może być: Pracownik administratora danych Osoba z zewnątrz art. 37 ust. 6 RODO

23 1. 2. IOD – obligatoryjne wyznaczenie
organy lub podmioty publiczne (z wyłączeniem sądów w zakresie sprawowania wymiaru sprawiedliwości) 2. główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, na dużą skalę

24 IOD – obligatoryjne wyznaczenie
3. przetwarzanie na dużą skalę danych o szczególnym charakterze (art. 9 ust. 1) oraz danych dot. wyroków skazujących lub naruszeń prawa (art. 10 RODO) 4. wymaga tego prawo Unijne lub prawo państwa członkowskiego

25 Wytyczne Grupy Roboczej Art. 29 (WP 243)
Duża skala Główna działalność Regularne i systematyczne monitorowanie

26 IOD – zadania informowanie AD, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO i doradzanie im w tej sprawie monitorowanie przestrzegania RODO, polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty

27 IOD – zadania udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 współpraca z organem nadzorczym pełnienie funkcji punktu kontaktowego dla organu nadzorczego

28 IOD IOD – zadania szkolenie, uświadamianie audyty
ADO Organ nadzoru Osoby, których dane dotyczą szkolenie, uświadamianie audyty informowanie, doradzanie, zalecanie współpraca, punkt kontaktowy punkt kontaktowy

29 ASI Brak definicji w ustawie o ochronie danych osobowych;
Brak obowiązku wyznaczenia ASI; Przykładowe obowiązki ASI: nadawanie uprawnień do przetwarzania danych i rejestrowanie tych uprawnień w systemach informatycznych; nadzór nad przechowywanymi kopiami zapasowymi monitorowanie bezpieczeństwa systemów informatycznych nadzór nad Instrukcją zarządzania systemami informatycznymi

30 V filarów ochrony danych osobowych
I Legalność przetwarzania II Świadomość III Zabezpieczenia IV Obowiązki względem Regulatora V Prawa osób

31 I Filar – Legalność przetwarzania

32 Zasady przetwarzania danych osobowych (art. 5 RODO)
Przetwarzanie zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą Zasada zgodności z prawem, rzetelności i przejrzystości Dane zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami Zasada ograniczenia celu Dane adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane Zasada minimalizacji danych Dane prawidłowe i w razie potrzeby uaktualniane Zasada prawidłowości

33 Zasady przetwarzania danych osobowych (art. 5 RODO) – cd.
Dane przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane Zasada ograniczenia przechowywania Dane przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych Zasada integralność i poufności Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie Zasada rozliczalności

34 Podstawy przetwarzania danych zwykłych art. 6
3. Podstawa przetwarzania, o którym mowa w ust. 1 lit. c) i e), musi być określona: a) w prawie Unii; lub b) w prawie państwa członkowskiego, któremu podlega administrator. Akty prawa miejscowego jako podstawa przetwarzania? Jaka podstawa np. w bibliotekach? osoba, której dane dotyczą wyraziła na to zgodę; jest niezbędne do wykonania umowy lub podjęcia działań przed jej zawarciem; jest niezbędne do wypełnienia obowiązku prawnego; jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej; jest niezbędne do celów wynikających z prawnie uzasadnionych interesów.

35 dobrowolne, konkretne, świadome i jednoznaczne okazanie woli
Zgoda na gruncie RODO dobrowolne, konkretne, świadome i jednoznaczne okazanie woli forma oświadczenia lub wyraźnego działania potwierdzającego przyzwolenie na przetwarzanie danych

36 Zgoda na gruncie RODO AD - możliwość wykazania uzyskania zgody
zrozumiała, łatwo dostępna forma, jasny i prosty język wycofanie zgody tak łatwe, jak jej wyrażenie [MOTYW 32] nie jest wyrażeniem zgody: milczenie, okienka domyślnie zaznaczone, niepodjęcie działania

37 Przetwarzanie wizerunku
Art 81. Rozpowszechnianie wizerunku wymaga zezwolenia osoby na nim przedstawionej. W braku wyraźnego zastrzeżenia zezwolenie nie jest wymagane, jeżeli osoba ta otrzymała umówioną zapłatę za pozowanie. 2. Zezwolenia nie wymaga rozpowszechnianie wizerunku: 1) osoby powszechnie znanej, jeżeli wizerunek wykonano w związku z pełnieniem przez nią funkcji publicznych, w szczególności politycznych, społecznych, zawodowych; 2) osoby stanowiącej jedynie szczegół całości takiej jak zgromadzenie, krajobraz, publiczna impreza.

38 Przetwarzanie wizerunku
Pojęcie wizerunku jako „szczegółu całości” wiąże się z jego „akcydentalnym lub akcesoryjnym” charakterem, zatem trzeba patrzeć, czy w razie jego usunięcia zmieni się całościowy obraz (to znów z orzeczenia dotyczącego starych zdjęć klasowych — I ACa 1452/13); Określenie zgromadzenie dotyczy każdej zbiorowości, niezależnie czy jest ona przypadkowa czy zorganizowana. Jeśli więc wykonanie zdjęcia czy nagrania nie było ukierunkowane indywidualnie na określoną osobę, przeciwnie osoba ta jest przedstawiona w sposób równoważny przedstawieniu innych osób, to rozpowszechnianie takiego wizerunku nie wymaga zgody. Kwestionowane przez powoda zdjęcia, zawierające również wizerunek powoda, obrazują uczniów poszczególnych klas na różnych etapach edukacji, zdjęcia te nie są w żadnym stopniu ukierunkowane na powoda. Tym samym zarówno użytkownik portalu, który zdjęcie zamieścił, jak również pozwany świadczący usługę hostingową, nie byli zobligowani do uzyskania zgody powoda na opublikowanie zdjęcia m. in. z jego wizerunkiem.

39 Przesłanki legalności przetwarzania szczególnych kategorii danych (art
Przesłanki legalności przetwarzania szczególnych kategorii danych (art.9 ust. 2 RODO) wyraźna zgoda obowiązki: prawo pracy, zabezpieczenie społeczne i ochrona socjalna ochrona żywotnych interesów działalność fundacji, stowarzyszenia lub innego niezarobkowego podmiotu upublicznienie ustalenie, dochodzenie, obrona roszczeń lub sprawowanie wymiaru sprawiedliwości przez sądy ważny interes publiczny

40 Przesłanki legalności przetwarzania danych dotyczących wyroków skazujących i naruszeń prawa (art. 10 RODO) Przetwarzania danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa na podstawie art. 6 ust. 1 wolno dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą.

41 Warsztat nr II Wskaż podstawę prawną pozwalającą na przetwarzanie danych osobowych w każdym z wymienionych przypadków

42 Na swojej stronie internetowej, właściciel przedsiębiorstwa zamieścił następujące zestawy informacji dotyczących pracowników: imię i nazwisko oraz zdjęcie imię nazwisko, służbowy telefon kontaktowy, służbowy imię, nazwisko, prywatny , prywatny telefon komórkowy Które z wymienionych informacji właściciel przedsiębiorstwa może publikować na swojej stronie internetowej, nie pytając pracowników o zgodę?

43 Przetwarzany przez Administratora Danych zbiór nagrań z monitoringu wewnętrznego Spółki.
Przetwarzany przez Administratora Danych zbiór danych osobowych potrzebnych do rozstrzygnięcia procesu rekrutacji. Przetwarzany przez Administratora Danych zbiór adresów w zbiorze Newsletter. Właściciel sklepu jubilerskiego, w którym znajduje się towar o bardzo dużej wartości, chce zatrudnić nowych pracowników. Aby zwiększyć prawdopodobieństwo zatrudnienia uczciwej osoby, właściciel sklepu zażądał od każdego z kandydatów dostarczenia zaświadczenia o niekaralności.

44 II Filar – Świadomość

45 Art. 36a ust. 2 pkt 3 lit c) uodo Do zadań ABI należy „zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych”

46 W jakiej formie szkolić?
Szkolenia „tradycyjne” E-learningi Broszury

47 Kto powinien szkolić? ABI lub Zewnętrzny trener lub
Komórka wewnętrzna odpowiedzialna za szkolenia

48 Zakres tematyczny szkoleń
Definicje Zasady bezpiecznego przetwarzania Struktura organizacyjna SODO Reagowanie na incydenty Odpowiedzialność

49 Świadomość na gruncie RODO
szkolenia świadomość roli IOD privacy by design, privacy by default

50 Art. 39 ust. 1 lit b) RODO Do zadań IOD należą
„działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania”

51 Art. 38 ust. 1 RODO Wymóg włączania IOD
(właściwie i niezwłocznie) we wszystkie sprawy dotyczące ochrony danych osobowych

52 Uwzględnianie odo w fazie projektowania (art. 25 ust. 1 RODO)
Co uwzględniamy? stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania ryzyko naruszenia praw lub wolności osób fizycznych

53 Uwzględnianie odo w fazie projektowania (art. 25 ust. 1 RODO)
Jak ma działać AD? wdrożenie odpowiednich środków technicznych i organizacyjnych zaprojektowanych w celu skutecznej realizacji zasad ochrony danych oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń pseudonimizacja minimalizacja danych

54 Uwzględnianie odo w fazie projektowania (art. 25 ust. 1 RODO)
Kiedy realizujemy? zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania

55 1. 2. Domyślna ochrona danych (art. 25 ust. 2 RODO)
wdrożenie odpowiednich środków technicznych i organizacyjnych 2. domyślnie przetwarzane wyłącznie te dane, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania

56 Domyślna ochrona danych
dane ilość zakres dostępność okres przechowywania

57 III Filar – Zabezpieczenia

58 Nośniki z jakich wyciekają dane

59 Zabezpieczenia fizyczne
Szafy zamykane na klucz Drzwi zamykane na klucz Monitoring Ochrona Kraty w oknach SKD

60 Zabezpieczenia techniczne - zasada technicznej neutralności
1 użytkownik = login i 1 hasło Zmiana haseł co 30 dni (?) Hasła min. 8 znaków w tym 2 znaki specjalne Kopie zapasowe Systemy firewall i anti-vir … Rozporządzenie MSWiA z 2004 r.

61 Zabezpieczenia techniczne – RODO
Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, AD i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: pseudonimizację i szyfrowanie danych osobowych; zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

62 Zabezpieczenia techniczne – RODO
zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

63 Zabezpieczenia organizacyjne
ochrona danych osobowych - kurs dla ABI Zabezpieczenia organizacyjne Powołanie ABI / wyznaczenie ASI Wdrożenie Polityki Bezpieczeństwa Wdrożenie Instrukcji Zarządzania Systemami Informatycznymi Nadawanie i ewidencjonowanie upoważnień Stworzenie struktury SODO … Rozporządzenie MSWiA z 2004 r. Lex-Artist

64 Dokumentacja

65 Dokumentacja – RODO Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.

66 Upoważnienia – RODO Administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.

67 Rejestrowanie czynności przetwarzania
Podmioty zobowiązane ADO i podmiot przetwarzający nie dotyczy podmiotów zatrudniających poniżej 250 osób, chyba że: - przetwarzanie może powodować ryzyko naruszenia praw i wolności – przetwarzanie nie ma charakteru sporadycznego - przetwarzanie obejmuje dane, o których mowa w art. 9 lub art. 10 RODO

68 Rejestrowanie czynności przetwarzania
Zakres informacji - art. 30 ust. 1 RODO m.in. oznaczenie AD, dane kontaktowe IOD, cele przetwarzania, kategoria osób, kategoria danych, ogólny opis środków bezpieczeństwa

69 Ocena skutków – Privacy Impact Assessment
Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.

70 Ocena skutków – Privacy Impact Assessment
Dokonując oceny skutków dla ochrony danych, administrator konsultuje się z inspektorem ochrony danych, jeżeli został on wyznaczony.

71 Obligatoryjna ocena skutków
systematyczna, kompleksowa ocena czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną przetwarzanie na dużą skalę danych, o których mowa w art. 9 lub 10 RODO systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie

72 Ocena skutków – Privacy Impact Assessment
Organ nadzorczy: ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków może także ustanowić i podać do wiadomości publicznej wykaz rodzajów operacji przetwarzania niepodlegających wymogowi dokonania oceny skutków

73 IV Filar – Kontakt z Regulatorem

74 ochrona danych osobowych - kurs dla ABI
Obowiązki względem Regulatora -RODO zawiadomienie o wyznaczeniu IOD (art. 37 ust. 7) zgłaszanie naruszeń (art. 33) konsultowanie innowacyjnych procesów (art. 36) Lex-Artist

75 ochrona danych osobowych - kurs dla ABI
Zgłaszanie naruszeń W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Lex-Artist

76 V Filar – Prawa osób, których dane są przetwarzane

77 Prawa osób, których dane są przetwarzane - Uodo
ochrona danych osobowych - kurs dla ABI Prawa osób, których dane są przetwarzane - Uodo uzyskanie wyczerpującej informacji na temat przetwarzanych przez ADO danych żądanie uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, ze względu na szczególną sytuację wniesienie sprzeciwu wobec przetwarzania danych osobowych w celach marketingowych uzyskanie wyczerpującej informacji na temat przetwarzanych przez ADO danych; żądanie uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, ze względu na szczególną sytuację; wniesienie sprzeciwu wobec przetwarzania danych osobowych w celach marketingowych; Lex-Artist

78 Prawo do sprzeciwu Uodo
ochrona danych osobowych - kurs dla ABI Prawo do sprzeciwu Uodo Przysługuje każdemu, gdy ADO: przetwarza dane osobowe w celach marketingu bezpośredniego własnych produktów lub usług na podstawie prawnie usprawiedliwionego celu (marketing bezpośredni) Forma wniesienia sprzeciwu: dowolna Konsekwencje wniesienia sprzeciwu: konieczność zaprzestania dalszego przetwarzania danych osobowych Lex-Artist

79 Obowiązek informacyjny
ochrona danych osobowych - kurs dla ABI Obowiązek informacyjny W przypadku zbierania danych osobowych od osoby, której one dotyczą, ADO jest obowiązany poinformować tę osobę o: adresie swojej siedziby i pełnej nazwie o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych celu zbierania danych prawie dostępu do treści swoich danych oraz ich poprawiania dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej Lex-Artist

80 ochrona danych osobowych - kurs dla ABI
Zwolnienia z obowiązku informacyjnego (art. 24 ust. 2 uodo) przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania, osoba, której dane dotyczą, posiada już informacje, o których mowa w ust. 1. Lex-Artist

81 Prawa osób, których dane dotyczą - RODO
Prawo dostępu do danych i uzyskania określonych informacji Prawo do sprostowania danych Prawo do usunięcia danych (prawo do bycia zapomnianym) Prawo do ograniczenia przetwarzania Prawo do przenoszenia danych Prawo do sprzeciwu Prawo do niepodlegania decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu

82 Obowiązek informacyjny wg RODO
Tożsamość i dane kontaktowe ADO Tożsamość i dane kontaktowe przedstawiciela Dane kontaktowe IOD Cele przetwarzania danych oraz podstawa prawna Prawnie uzasadnione interesy realizowane przez ADO lub przez stronę trzecią .

83 Obowiązek informacyjny wg RODO
Informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją Informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej Okres, przez który dane będą przechowywane bądź kryteria ustalenia tego okresu Prawo do żądania dostępu do danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych Prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem .

84 Obowiązek informacyjny wg RODO
Prawo wniesienia skargi do organu nadzorczego Informacja, czy podanie danych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych Informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu Jeżeli ADO planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji

85 Przekazywanie danych do państw trzecich

86 Przekazywanie danych poza Polskę
ochrona danych osobowych - kurs dla ABI Przekazywanie danych poza Polskę Bezpieczne Na dodatkowych warunkach EOG (UE + Norwegia + Lichtenstein + Islandia) Państwa, uznane przez KE za bezpieczne: Szwajcaria, Kanada, Andora, Izrael, Argentyna, Nowa Zelandia, Podmioty z USA należące programu Privacy Shield są traktowane jak podmioty działające w ramach EOG (lista: Pozostałe Państwa Trzecie (w tym USA!) Lex-Artist

87 Dodatkowe warunki przekazywania do Państw Trzecich
ochrona danych osobowych - kurs dla ABI Dodatkowe warunki przekazywania do Państw Trzecich Zgoda Umowa Umowa międzynarodowa Zatwierdzony BCR Klauzule umowne zatwierdzone przez KE Lex-Artist

88 Podstawy i rodzaje odpowiedzialności

89 Administracyjne kary pieniężne - RODO
odstraszające skuteczne proporcjonalne

90 Administracyjne kary pieniężne- wysokość
EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa (art. 83 ust. 5 RODO)

91 Administracyjne kary pieniężne
Art. 83 ust. 2 RODO wymienia 11 czynników uwzględnianych przy decyzji o nałożeniu kary i jej wymiarze, m.in.: charakter, czas trwania, waga naruszenia działania podjęcie przez AD/podmiot przetwarzający umyślny/nieumyślny charakter kategorie danych stopień współpracy z organem nadzoru stosowanie zatwierdzonych mechanizmów certyfikacji

92 Prawo do odszkodowania (art. 82 RODO)
Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

93 Wykorzystanie nazwisk
Sądu Apelacyjnego w Gdańsku z dnia 15 marca 1996 r., I ACr 33/96, zgodnie z którym „podstawowe dane osobowe człowieka (nazwisko i imię) są jego dobrem osobistym, ale jednocześnie są dobrem powszechnym w tym znaczeniu, że istnieje publiczna zgoda na posługiwanie się nimi w życiu społecznym (towarzyskim, urzędowym, handlowym itp.). Dopóki więc dane osobowe człowieka są używane zgodnie z regułami społecznymi, nie można mówić ani o bezprawności działań innych osób, ani o zagrożeniu dóbr osobistych tymi działaniami”.

94