Upload
vanphuc
View
219
Download
0
Embed Size (px)
Citation preview
Nasz zespół to osoby z doświadczeniem w Komisji Nadzoru Finansowego, w Państwowej Inspekcji Pracy,jako szefowie działów prawnych instytucji finansowych, prawnicy in-housenajwiększych polskich spółek publicznych, prawnicy kancelarii międzynarodowych i krajowych, specjaliści do spraw przestępstwgospodarczych w tym korupcji i współpracyz organami ścigania.
Gawroński & Partners
5
Technologia & IPSpory
gospodarcze
Sektor finansow
y
IT & Technolog
ia
Dane osobowe
Prawo pracy
Własność intelektualna
Energetyka
Media i reklama
6
Maciej Gawroński
• ekspert danych osobowych, IT, cyberbezpieczeństwa, własnościintelektualnej, sporów
• ekspert Komisji Europejskiej ds. Kontraktów Cloud Computingowych
• konsultant Grupy Roboczej Artykułu 29 ds. transferów danych
• pomysłodawca bezpośredniej odpowiedzialności podprzetwarzających(art. 82 RODO), przenoszalności danych osobowych (art. 20 RODO),konsultował zasady podpowierzenia (art. 28.2 i 28.4 RODO)
• doradzał przy największym w Polsce i Centralnej Europie projekcieinformatycznym w sektorze prywatnym jak i w setkach innychprojektów IT
• główny autor treści modułu LEX Ochrona Danych Osobowych Wolters Kluwer, https://www.ochrona-danych-osobowych.lex.pl/
• reprezentował Polskę i klientów prywatnych w sporach o wartości miliardów euro
7
maciej.gawroń[email protected]+48 609 602 566
Rekomendowany Ekspert Rankingu Kancelarii Prawniczych Dziennika Rzeczpospolita 2017 w kategorii Technologia, Media i Telekomunikacja
Rekomendowany Ekspert Rankingu Chambers Europe 2017 w kategorii Technologia, Media i Telekomunikacja
Rekomendowany Ekspert Rankingu Best Lawyers 2016-17 w kategorii IT
Rekomendowany Ekspert Rankingu Guide to the World's Leading Lawyers 2016 w kategorii Technology, Media & Telecommunications
Rekomendowany Ekspert Rankingu Legal 500 2016 w kategorii Technology, Media & Telecommunications
Rekomendowany Ekspert Rankingu Who's Who Legal 100 2016w kategorii Spory Patentowe w Naukach Przyrodniczych
Maciej Gawroński
8
Źródła
14
• RODO i Projekt ustawy o ochronie danych osobowych (16.03.18);
• Grupa Robocza Art. 29 ds. Ochrony Danych Osobowych, 16/ENWP243 rew.01, Wytyczne dotyczące inspektorów ochrony danych (‘DPO’), przyjęte 13 grudnia 2016 r.
• Stanowisko GIODO z dnia 19 marca 2018 pt. Od 25 maja 2018 r. inspektor ochrony danych obowiązkowy we wszystkich podmiotach publicznych
• https://abi.giodo.gov.pl/pytania-i-odpowiedzi/powolanie-i-status-abi, dostęp 3 kwietnia 2018 r.
• Gawroński Maciej, Wytyczne dla inspektorów ochrony danych, w IT w Administracji, październik 2017, s. 29.
• RODO. Przewodnik praktyczny ze wzorami, Wolters Kluwer, kwiecień 2018.
Kiedy? 37 ust. 1 RODO
a) organ lub podmiot publiczny, sądy też
b) główna działalność = operacje przetwarzania wymagające systematycznego monitorowania na dużą skalę
c) główna działalność = przetwarzanie na dużą skalę szczególnych kategorii danych i danych karnych
Kiedy? Monitorowanie WP29
główna działalność = operacje przetwarzania wymagające systematycznego monitorowania na dużą skalę
obsługa sieci telekomunikacyjnej; świadczenie usług telekomunikacyjnych; przekierowywanie poczty elektronicznej; działania marketingowe oparte na danych; profilowanie i ocenianie dla celów oceny ryzyka (na przykład dla celów oceny ryzyka kredytowego, ustanawiania składek ubezpieczeniowych, zapobiegania oszustwom, wykrywania prania pieniędzy); geolokalizacja; programy lojalnościowe; reklama behawioralna; wereable fitness; monitoring wizyjny; IOT np. inteligentne liczniki, inteligentne samochody, automatyka domowa
Kiedy? Monitorowanie pracowników?
główna działalność = operacje przetwarzania wymagające systematycznego monitorowania na dużą skalę
monitorowanie pracowników zasadniczo nie, ale np. • a w usługach kurierskich (na dużą skalę) • a gdy ma się dużo pracowników i trzeba monitorować, czy nie kradną• a gdy ma się centrum outsourcingowe i mierzy się jakość obsługi• a gdyby to była Wasza matka (sprawdzić czy nie ksiądz)
Kiedy? Dane szczególnych kategorii i karne
główna działalność = przetwarzanie na dużą skalę szczególnych kategorii danych i danych karnych
pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne w celu identyfikacji, dane dotyczące zdrowia, dane o seksualności lub orientacji seksualnej
służba zdrowia, partie polityczne, związki zawodowe, kościoły, stowarzyszenia LGBT, usługi biotech/gen, biometria identyfikacyjna (smartfon np.)
Kiedy - Definicja „dużej skali”
• RODO nie definiuje dużej skali.
• Zgodnie z Motywem 91 RODO
(…) operacje przetwarzania o dużej skali – które służą przetwarzaniu znacznej ilości danych osobowych naszczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób, którychdane dotyczą, oraz które mogą powodować wysokie ryzyko, na przykład (ze względu na swój szczególnycharakter) gdy zgodnie ze stanem wiedzy technicznej stosowana jest na dużą skalę nowa technologia – orazdo innych operacji przetwarzania powodujących wysokie ryzyko naruszenia praw lub wolności osób, którychdane dotyczą, w szczególności gdy operacje te utrudniają osobom, których dane dotyczą, wykonywanieprzysługujących im praw (…).
(…) Przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżelidotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innegopracownika służby zdrowia lub prawnika. W takich przypadkach ocena skutków dla ochrony danych niepowinna być obowiązkowa.
Definicja „dużej skali”
Zgodnie z Wytycznymi GR Art. 29
W celu ustalenia dużej skali powinno wziąć się pod uwagę:
• liczbę osób, których dane dotyczą – konkretna liczba albo procent określonej grupyspołeczeństwa
• zakres przetwarzanych danych osobowych
• okres, przez jaki dane są przetwarzane
• zakres geograficzny przetwarzania danych osobowych
Kiedy? Duża skala
szczególne kategorie lub monitorowanie na dużą skalę
Pani stomatolog 3000 pacjentów rocznie – WP29 nie, dr Kawecki tak
szpital tak
karta miejska w transporcie
banki i ubezpieczyciele
reklama behawioralna przez wyszukiwarki
monitoring wizyjny – stacja benzynowa monitorująca wizyjnie 1,5 tys. osób miesięcznie –mała czy duża skala? 10 tys osób rocznie? może jednak 36 tys rocznie? jak długo trzymamy nagrania?
monitoring pracowników – tylko niekiedy (gdy jest niezbędny bp. kurierzy) ponad 500 ?
śledzenie szczegółowe osób/przetwarzanie danych szczególnych kaetgorii – 5000? czy to mało? 50 tys?
• Propozycja legislatora - 5 tys. rekordów rocznie jako duża skala - już nieaktualna
Podmioty prywatne realizujące zadania w interesie publicznym
Wytyczne WP 29
• Powołanie IOD przez prywatne jednostki realizujące zadania w interesie publicznym.
• Dot. sektorów, np. transport publiczny, dostarczanie wody i energii, infrastruktura drogowa, radiofonia i telewizja publiczna, budynki użyteczności publicznej albo organy powołane dla zawodów regulowanych
• Powołany IOD powinien oprócz operacji przetwarzania w interesie publicznym, kontrolować wszystkie inne operacje przetwarzania (np. zarządzanie bazą danych pracowników)
Domyślni podejrzani
służba zdrowiahandel elektroniczny i usługi elektroniczneapkitransport i logistykatelekomunikacjaenergetykabanki i ubezpieczycieleduże spółdzielnie mieszkaniowe (?)ogólnie sektory użyteczności publicznej[miasta][państwo][partie polityczne]etc
Kto?
• art. 37 ust. 6 RODO
Inspektor ochrony danych może być członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług.
IOD może być:
• personel (pracownik, usługodawca osobisty)
• firma (outsourcing) – w imieniu firmy w Polsce człowiek (UODO 11)
Kto nie – konflikt interesów (art. 38.6 RODO)
• stanowiska kierownicze i inne merytoryczne (dec o celach lub środkach) – WP 29
• konflikt organizacyjny (krzyżowanie podległości) – GIODO
• konflikt merytoryczny (krzyżowanie obowiązków) – GIODO
• konflikt czasowy (krzyżowanie dostępności) – GIODO
IOD a szef compliance lub audytu wewnętrznego w dużej firmie?
Nu Nu Nu (konflikt merytoryczny)
Kompetencje – Master IODa
14
Art. 37.5 RODO - kwalifikacje zawodowe, wiedza fachowa, umiejętności wypełnienia zadań, o których mowa w art. 39
WP29
• dogłębna znajomość RODO, wiedza o przepisach o ochronie danych PL i EU
• wiedza sektorowa, znajomość organizacji
• wiedza IT
• wiedza cybersec
• Umiejętność promowania kultury ochrony danych w organizacji (UKNF)
• regularne szkolenia
Normalnie człowiek orkiestra albo Koło Gospodyń Wiejskich
Niezależność – Wujek Dobra Rada
Art. 38 ust. 3 zd. 1 RODO
„Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danychnie otrzymywał instrukcji dotyczących wykonywania tych zadań. (…)”
• IOD nie jest związany instrukcjami ADO, w tym wskazania np. wykładni przepisówRODO;
• Relacja partnera / doradcy / audytora / pośrednika m. PUODO dla ADO.
Status IOD – zakaz karania i odwoływania
• Zakaz odwoływania i karania IOD
Zgodnie z art. 38 ust. 3 zd. 2 RODO
„(…) Nie jest on odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. (…)”
• Zakaz obejmuje także odwołanie i karanie w sytuacji odmowy wykonania polecenia ADO.
Karanie
WP 29 :
• brak albo opóźnienie awansu (jak awansować IODę?! Młodszy IODa, IODa, StarszyIODa, IODa Sztabowy i Starszy IODa Sztabowy?!), utrudnienie rozwoju zawodowego(odmowa szkoleń), ograniczenia dostępu do korzyści oferowanych pozostałympracownikom (dyskryminacja).
• znaczy IODy nie można oddelegować czasowo do innych zadań, np. do obsługidrukarki na korytarzu ;-)
Odwołanie
• Odwołanie powinno być rozumiane jako wypowiedzenie umowy o pracę (KP) lub oświadczenie usług (KC) – outsourcing!
• WP 29 podaje tylko powody na dyscyplinarkę
np. kradzież, nękanie fizyczne i psychiczne, molestowanie seksualne, ciężkienaruszenie obowiązków
Jak normalnie zwolnić IODę?
Wykazywać, że się nie zna, nie ma inteligencji emocjonalnej (osobowość antagonizująca), nie szkoli się…, nie ma dla nas czasu
Może zarządzić audyt i wskazać braki, których nie zaraportował IODa?
Pamiętajmy, że IODa też priorytetyzuje na zasadzie oceny ryzyka
Najwyższa podległość
• Bezpośrednia podległość służbowa pod Zarząd.
Zgodnie z art. 38 ust. 3 zd. 3 RODO:
„(…) Inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwuadministratora lub podmiotu przetwarzającego.”
• Daje możliwość bezpośredniego zgłaszania naruszeń, informacji o niestosowaniu siędo zaleceń IOD, zgłaszania swoich opinii i sprawozdań.
• IOD ma mieć pewność, że będzie wysłuchany.
Zadania IOD art. 39 ust. 1 RODO
• informowanie, edukowanie, uwrażliwianie, szkolenie
• audyty wiedzy
• monitorowanie i audyty zgodności
• zalecenia i monitorowanie DPIA
• współpraca z PUODO
Priorytetyzacja w oparciu o ryzyko (gdzie się bardziej pali). Powinien to udokumentować
TO NIE IODA ODPOWIADA ZA WDROŻENIE RODA
• IOD nie jest odpowiedzialny za przestrzeganie ochrony danych osobowych przez organizację.
• Odpowiedzialność w dalszym ciągu spoczywa na kierownictwie.
• Więc niech sobie kierownictwo wyznaczy inną osobę odpowiedzialną za ochronę danych niż IODa
Uprawnienia IOD
• Zgodnie z art. 38 ust. 1 RODO:
„Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych byłwłaściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danychosobowych.”
• IOD ma prawo dostępu do wszystkich danych osobowych oraz operacji przetwarzania w organizacji
Zasoby – najważniejsze LUDZIE
• Zgodnie z art. 38 ust. 2 RODO
„Administrator oraz podmiot przetwarzający wspierają inspektora ochrony danych wwypełnianiu przez niego zadań, o których mowa w art. 39, zapewniając mu zasobyniezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacjiprzetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.”
• Zasobami są:
1. kasa (budżet), 2. zasoby materialne (pomieszczenia, sprzęt, kawa), 3. czas (zakaz zawracania zajętej głowy), 4. ludzie (zespół – czyli też czas), 5. dostęp (do pracowników i innych zasobów kontrolowanych), 6. wiedza (szkolenia, wymiana wiedzy), 7. umocowanie (aktywne wsparcie przez zarząd).
Wsparcie kadrowe IOD
• ADO może / powinien zapewnić wsparcie kadrowe
• Wsparcie może składać się z Zastępcy lub Zespołu IOD
• Zespół dla IOD nie ma statusu i uprawnień IOD (w tym ochrony)
• Relacja podległości pomiędzy IOD a wsparciem kadrowym
• Zastępca lub Zespół IOD wykonuje zadania na polecenie IOD, stanowi jego wsparcieprzy wykonywaniu zadań dot. ochrony danych osobowych
A kto u Państwa wdrażał RODO? A nie, nie, u nas wszystko zrobił IODa
Outsourcing IOD
• Podmioty zewnętrzne mogą pełnić funkcję IOD
• Przysługuje im ta sama ochrona jak „wewnętrznym” IOD
• Muszą spełniać wymogi, np. unikania konfliktu interesów
• W myśl UODO IODą powinien być człowiek
Multi-IODa
Art. 37 ust. 2 RODO „Grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej.”Podobnie zrzeszenia lub inne organizacje kategorii przedsiębiorców mogą powołać
• im bardziej jednorodna grupa tym lepiej jeden IOD + zespół / outsourcing
• wielu IOD – każdy ciągnie w swoją stronę; zarząd nie wie, czego słuchać; organnadzorczy wyłapuje rozbieżności (cherry picking); a jak się zjednoczą?
• kiedy wielu IOD zamiast jednego z zespołem? Gdy różnorodna działalność (np.zdrowie i e-commerce
Problemy i dylematy
• czy IOD?
• in-house czy outsourcing?
• status niezależności IOD (chytre oczka compliance)
• jak to nie odpowiada za ochronę danych?!
• kompetencje (JEDI wyginęli)
• ilu IOD w grupie?
• budżet?
• dać ludzi?
36
Dziękuję za uwagę
Al. Jana Pawła II 12, 00-124 Warszawa