dr Magdalena Celeban

Licencja (CC – BY)

12:30-12:45 JA SIĘ PRZEDSTAWIĘ

12:45-13:00 PRZEDSTAWIENIE

UCZESTNIKÓW ( JAKA ORGANIZACJA,

JAKIE DANE PRZETWARZANE, JAKA

ILOŚĆ )

13:00 – 13:20 FILOZOFICZNE PODEJŚCIE

DO OCHRONY DANYCH OSOBOWYCH

13:20 -14:30 – CZAS ZACZĄĆ PRZYGODĘ

Z OCHRONĄ DANYCH I DANYMI ;)

14:30-14:45 PRZERWA

14:45 – 15:45dane, dane, dane …..

15:45- 16:00 przerwa

16:00 – 17:00 zabezpieczenia

komputerowe

17:00 –------- zażalenia

Bezpieczeństwo to stan, który daje poczucie pewności istnienia

i gwarancję jego zachowania, oraz szansę na doskonalenie.

Jest to jedna z podstawowych potrzeb człowieka.

Profesjonalizm, czyli przez niebezpieczeństwo do bezpieczeństwa.

Niebezpieczna jest nieświadomość

Niebezpieczna jest lekkomyślność

Niebezpieczna jest niewiedza

Reszta jest tylko NATURALNYM RYZYKIEM

BEZPIECZEŃSTWO w świecie i gospodarce cyfrowej to chyba ułuda….

Chroniąc wartości zawsze będziemy przegrani ale czy mamy się poddać?

Prywatność

ETYKA

Artykuł 99

1. Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po

publikacji w Dzienniku Urzędowym Unii Europejskiej.

2. Niniejsze rozporządzenie ma zastosowanie od dnia … [dwa lata od daty wejścia w życie niniejszego rozporządzenia].

Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.

RODO? TO NIC nowego? Hmm….

Stare (Grupa Robocza) Nowe (Europejska Rada Ochrony

Danych)

Aktem na poziomie europejskim była dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych

i swobodnego przepływu tych danych.

(uchylenie Artykuł 94 RODO)

Ustawa o ochronie danych osobowych

NOWA ustawa o ochronie danych osobowych (PROJEKT)

Ustawy, przepisy wprowadzające ustawę o ochronie danych osobowych.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu RODO /ang. GDPR/

Rozporządzenie stanowi jeden z elementów reformy europejskich ram prawnych o ochronie danych osobowych

-rozporządzenie oraz dyrektywa Parlamentu Europejskiego i Rady (UE)

2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych

(dyrektywa policyjna)

1. W niniejszym rozporządzeniu ustanowione zostają przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych.

2. Niniejsze rozporządzenie chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych.

Artykuł 4

Definicje

Dane osobowe oznaczają informacje o zidentyfikowanej

lub możliwej do zidentyfikowania osobie fizycznej („osobie której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na

podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden

bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną

tożsamość osoby fizycznej.

Przetwarzanie Oznacza operację lub zestaw operacji wykonywanych na danych

osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie,

adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie

lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Ograniczenie przetwarzania Oznacza oznaczenie przechowywanych danych osobowych w celu

ograniczenia ich przyszłego przetwarzania.

Profilowanie Oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny

niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji,

zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Zbiór danych Oznacza uporządkowany zestaw danych osobowych dostępnych według

określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie.

Oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych Administrator musi wiedzieć na jakiej podstawie prawnej będzie przetwarzać dane osobowe.

Oznacza osobę fizyczną lub prawną, organ publiczny,

jednostkę lub inny podmiot, który przetwarza dane

osobowe w imieniu administratora

Zgoda osoby, której dane dotyczą oznacza dobrowolne,

konkretne, świadome i jednoznaczne okazanie woli,

którym osoba, której dane dotyczą, w formie

oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie

dotyczące jej danych osobowych.

Treść /Forma To co innego Cechy zgody: Dobrowolna, konkretna, świadoma (informed), jednoznaczna.

kilka nowych definicji (art. 4):

-pseudonimizacja - przetworzenie d.o. by nie można ich było przypisać konkretnej osobie

-dane genetyczne

-dane biometryczne -wizerunek twarzy, kształt dłoni, zapis linii papilarnych palców, zapis obrazu tęczówki, zapis układu żył w palcu/nadgarstku, sposób chodzenia, sposób pisania na maszynie/klawiaturze komputera

-dane dotyczące zdrowia

-bezpieczeństwo danych

ryzyko i analiza po stronie ADO

Najistotniejsze kwestie w RODO:

RODO = dobór zabezpieczeń do RYZYKA

ADO jest odpowiedzialny za przestrzeganie przepisów i musi być

w stanie wykazać ich przestrzeganie.

- rozszerzenie zakresu obowiązków informacyjnych (art. 12-15)

- „prawo do bycia zapomnianym”, do usunięcia danych (art. 17)

- prawo do przenoszenia danych (art.20)

Obowiązki ADO:

-przetwarzanie zgodnie z RODO –m.in. :

1)odpowiednie środki techniczne i organizacyjne, wykazanie tych

środków, ich przegląd, uaktualnianie (art. 24)

2)wdrożenie odpowiednich polityk ochrony danych

3)stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonego

mechanizmu certyfikacji

4)uwzględnianie ochrony danych w fazie projektowania i domyślna ochrona danych (art. 25) przed rozpoczęciem przetwarzania i w jego trakcie, rejestrowanie czynności przetwarzania

-ocena skutków dla ochrony danych (art. 35), w szczególności użycie nowych technologii

-uprzednie konsultacje z UODO (art. 36) – gdy ocena skutków wskaże

wysokie ryzyko

- Współadministratorzy (art. 26)

- podmiot przetwarzający /~dzisiejszy podmiot z art. 31/ (art. 28)

- zgłaszanie naruszeń (art. 33)

- inspektor ochrony danych /~dzisiejszy ABI/ -kiedy obowiązkowy

(art. 37)

-kodeksy postępowania, certyfikacja (art. 40-43)

-organ nadzorczy (dzisiejszy GIODO), m.in. nowe: kompetencje;

sposoby rozpatrywania spraw; rozstrzygnięcia (art. 51-58)

-administracyjne kary pieniężne, sankcje (art. 83-84)

Zaprojektowanie

procesu

Stare Nowe

Dane osobowe zwykłe

(np. imię, nazwisko, adres zamieszkania, data urodzenia, nr PESEL, numer telefonu, itp.).

dane tzw. zwykłe - brak definicji „dane zwykłe” -Wszelkie inne niż wynikające z art. 27 ust. 1 ustawy

Dane szczególnie chronione (wrażliwe)

których zamknięty katalog został określony w art. 27 ust. 1.

Są to: dane dotyczące pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub filozoficznych, przynależności wyznaniowej, partyjnej lub związkowej, stanu zdrowia, kodu genetycznego, nałogów, życia seksualnego, skazań, orzeczeń o ukaraniu i mandatach karnych, innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

Co ważne, przetwarzanie danych wrażliwych wiąże się z koniecznością spełnienia dodatkowych gwarancji.

Artykuł 9

Przetwarzanie szczególnych kategorii danych osobowych

1. Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

1. DANE OSOBOWE MUSZĄ BYĆ:

• Przetwarzane zgodnie z prawem, rzetelnie

i w sposób przejrzysty dla osoby, której dane dotyczą

(zgodność z prawem, rzetelność i przejrzystość).

• Zbierane w konkretnych,

wyrażnych i prawnie uzasadnionych celach […]

• Adekwatne, stosowne oraz ograniczone do tego, co

niezbędne do celów, w których są przetwarzane

(minimalizacja danych) • Prawidłowe i w razie potrzeby

uaktualniane (prawidłowość)

1. Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.

3. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę.

1. Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:

Swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela

Gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych

Celowość oraz podstawę prawną

Informacje o odbiorcach

Okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu

Informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania

Informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu ma zgodność z prawem przetwarzania

Informacje o prawie wniesienia skargi do organu nadzorczego

Informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych

Informacje o profilowaniu

(Profilowanie osób – NIE profilowanie danych)

Osoba, której dane dotyczą, ma prawo żądania od

administratora niezwłocznego usunięcia

dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej

zwłoki usunąć dane osobowe.

Obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub

o ograniczeniu przetwarzania

Każdy administrator […] prowadzi rejestr czynności przetwarzania danych osobowych, za które odpowiadają. W rejestrze tym zamieszcza się wszystkie następujące informacje:

Imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych

Cele przetwarzania

Opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych

Kategorie odbiorców

Jeżeli to możliwe, planowane terminy usunięcia poszczególnych kategorii danych

Ogólny opis technicznych i organizacyjnych środków bezpieczeństwa

W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia- zgłasza je organowi nadzorczemu właściwemu zgodnie z art.55, chyba , że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych

Przykładem pojedynczej informacji stanowiącej dane osobowe jest numer ewidencyjny PESEL. Numer ten, zgodnie z art. 31a ust. 1 ustawy z dnia 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych, jest 11 cyfrowym, symbolem numerycznym, jednoznacznie identyfikującym osobę fizyczną, w którym sześć pierwszych cyfr oznacza datę urodzenia (rok, miesiąc, dzień), kolejne cztery – liczbę porządkową i płeć osoby, a ostatnia jest cyfrą kontrolną, służącą do komputerowej kontroli poprawności nadanego numeru ewidencyjnego.

Numer ten, występując nawet bez zestawienia z innymi informacjami o osobie, stanowi dane osobowe, a ich przetwarzanie podlega wszelkim rygorom przewidzianym w ustawie.

Przetwarzaniem danych osobowych jest

wykonywanie na nich jakichkolwiek operacji.

Przetwarzaniem jest zatem już samo przechowywanie danych osobowych, nawet jeśli podmiot faktycznie z nich nie korzysta.

W pojęciu przetwarzania mieści się także ich udostępnianie, zmienianie, modyfikowanie, przekazywanie, zbieranie, utrwalanie,

opracowywanie.

RODO

Przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Na jakie pytania powinien odpowiedzieć sobie ADO, gdy spotka się z żądaniem udostępnienia danych osobowych:

-czy udostępnienie danych jest w ogóle dopuszczalne?

- w jakim celu dane mają być udostępnione?

- jakie dane mają być udostępnione?

-jaki podmiot, na jakiej podstawie prawnej i w jakim celu wnioskuje o udostępnienie danych, jakie jest uzasadnienie żądania

ALE i jaka powinna być forma udostępnienia /wprost, wgląd, telefon, kopia, weryfikacja tak-nie, etc./-jak udostępnić dane???

stare nowe

Oprócz rozwiązań cząstkowych

w wybranych branżach

BRAK

przepisów kompleksowo regulujących monitoring wizyjny w jednej

ustawie dedykowanej temu zagadnieniu czy w przepisach szczególnych dotyczących oświaty, relacji pracowniczych, bezpieczeństwa.

prace nad ustawą o monitoringu –w zawieszeniu

Zakres monitoringu wizyjnego

Cele monitoringu wizyjnego

Zakazy związane z monitoringiem

Informacja

Monitoring nie może stanowić środka kontroli.

Odrębny przepis prawa o monitoringu wizyjnym!!!!

KONIECZNE opracowanie polityki monitoringu.

Opracowanie komunikatów informacyjnych dla pracowników.

Monitoring a prawa pracownicze

-zakres danych pracownika jakie pracodawca może przetwarzać

-proporcjonalność środków w stosunku do praw pracodawcy

-monitoring nie może zastępować innych sposobów kontroli, zwłaszcza: -maszyna/narzędzie nie może zastępować człowieka -narzędzie nie może być jedyną podstawą oceny pracownika

ABI IOD

Wyznaczenie administratora bezpieczeństwa informacji jest jednym z obowiązków administratora danych, wynikającym z art. 36 ust. 3 ustawy, służącym właściwemu zabezpieczeniu danych. ABI nadzoruje przestrzeganie zasad ochrony danych, określonych przez administratora, stosując odpowiednie do zagrożeń i kategorii danych objętych ochroną środki techniczne i organizacyjne, które mają zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Artykuł 39

Zadania inspektora ochrony danych

1. Inspektor ochrony danych ma następujące zadania:

- Informowanie

- Monitorowanie

- Udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych

- Współpraca z organem nadzorczym

- Pełnienie funkcji punktu kontaktowego

2. Inspektor ochrony danych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.

Sekcja 4

Artykuł 37

Wyznaczenie inspektora ochrony danych

Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:

a) Przetwarzania dokonują organ lub podmiot publiczny

b) Główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub

c) Główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych.

IOD – podmiot i organ publiczny (obowiązkowo)

Przez organy i podmioty publiczne obowiązane do wyznaczenia inspektora ochrony danych, zwanego dalej „inspektorem”, o którym mowa w art.37 ust.1 lit. a rozporządzenia 2016/679, rozumie się organy oraz podmioty wskazane w art.9 ustawy a dnia 27 sierpnia 2009r. o finansach publicznych.

Inspektor ochrony danych osobowych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań IOD może być członkiem personelu administratora lub wykonywać zadania na podstawie umowy o świadczenie usług. Administrator lub podmiot przetwarzający publikują dane kontaktowe inspektora ochrony danych i zawiadamiają o nich organ nadzorczy

Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych był właściwie i niezwłocznie

włączany we wszystkie sprawy dotyczące ochrony

danych osobowych

IOD ma następujące zadania: -Informowanie administratora oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii - Monitorowanie przestrzegania niniejszego rozporządzenia -Udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania -Współpraca z organem nadzorczym -Pełnienie funkcji punktu kontaktowego dla organu nadzorczego

STARE NOWE

Naruszenie przepisów o ochronie danych osobowych, o których mowa w rozdziale 8 ustawy, może narazić administratora danych na odpowiedzialność:

administracyjnoprawną,

karną,

dyscyplinarną. oraz

cywilnoprawną.

Niemniej, GIODO nie ma uprawnień do karania osób odpowiedzialnych za niezgodne z prawem przetwarzanie danych osobowych. Podmiotem właściwym w tej kwestii jest sąd.

Artykuł 83

1. Każdy organ nadzorczy zapewnia, by stosowane na mocy niniejszego artykułu za naruszenia rozporządzenia administracyjne kary pieniężne, o których mowa w ust.4,5 i 6, były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające.

Artykuł 77

Prawo do wniesienia skargi do organu nadzorczego

Artykuł 79

Prawo do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi

magda_celeban@op.pl

600 299 249