Post on 26-Jun-2020
dr Magdalena Celeban
Licencja (CC – BY)
12:30-12:45 JA SIĘ PRZEDSTAWIĘ
12:45-13:00 PRZEDSTAWIENIE
UCZESTNIKÓW ( JAKA ORGANIZACJA,
JAKIE DANE PRZETWARZANE, JAKA
ILOŚĆ )
13:00 – 13:20 FILOZOFICZNE PODEJŚCIE
DO OCHRONY DANYCH OSOBOWYCH
13:20 -14:30 – CZAS ZACZĄĆ PRZYGODĘ
Z OCHRONĄ DANYCH I DANYMI ;)
14:30-14:45 PRZERWA
14:45 – 15:45dane, dane, dane …..
15:45- 16:00 przerwa
16:00 – 17:00 zabezpieczenia
komputerowe
17:00 –------- zażalenia
Bezpieczeństwo to stan, który daje poczucie pewności istnienia
i gwarancję jego zachowania, oraz szansę na doskonalenie.
Jest to jedna z podstawowych potrzeb człowieka.
Profesjonalizm, czyli przez niebezpieczeństwo do bezpieczeństwa.
Niebezpieczna jest nieświadomość
Niebezpieczna jest lekkomyślność
Niebezpieczna jest niewiedza
Reszta jest tylko NATURALNYM RYZYKIEM
BEZPIECZEŃSTWO w świecie i gospodarce cyfrowej to chyba ułuda….
Chroniąc wartości zawsze będziemy przegrani ale czy mamy się poddać?
Prywatność
ETYKA
Artykuł 99
1. Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po
publikacji w Dzienniku Urzędowym Unii Europejskiej.
2. Niniejsze rozporządzenie ma zastosowanie od dnia … [dwa lata od daty wejścia w życie niniejszego rozporządzenia].
Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.
RODO? TO NIC nowego? Hmm….
Stare (Grupa Robocza) Nowe (Europejska Rada Ochrony
Danych)
Aktem na poziomie europejskim była dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych
i swobodnego przepływu tych danych.
(uchylenie Artykuł 94 RODO)
Ustawa o ochronie danych osobowych
NOWA ustawa o ochronie danych osobowych (PROJEKT)
Ustawy, przepisy wprowadzające ustawę o ochronie danych osobowych.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu RODO /ang. GDPR/
Rozporządzenie stanowi jeden z elementów reformy europejskich ram prawnych o ochronie danych osobowych
-rozporządzenie oraz dyrektywa Parlamentu Europejskiego i Rady (UE)
2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych
(dyrektywa policyjna)
1. W niniejszym rozporządzeniu ustanowione zostają przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych.
2. Niniejsze rozporządzenie chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych.
Artykuł 4
Definicje
Dane osobowe oznaczają informacje o zidentyfikowanej
lub możliwej do zidentyfikowania osobie fizycznej („osobie której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na
podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden
bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną
tożsamość osoby fizycznej.
Przetwarzanie Oznacza operację lub zestaw operacji wykonywanych na danych
osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie,
adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie
lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Ograniczenie przetwarzania Oznacza oznaczenie przechowywanych danych osobowych w celu
ograniczenia ich przyszłego przetwarzania.
Profilowanie Oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny
niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji,
zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
Zbiór danych Oznacza uporządkowany zestaw danych osobowych dostępnych według
określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie.
Oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych Administrator musi wiedzieć na jakiej podstawie prawnej będzie przetwarzać dane osobowe.
Oznacza osobę fizyczną lub prawną, organ publiczny,
jednostkę lub inny podmiot, który przetwarza dane
osobowe w imieniu administratora
Zgoda osoby, której dane dotyczą oznacza dobrowolne,
konkretne, świadome i jednoznaczne okazanie woli,
którym osoba, której dane dotyczą, w formie
oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie
dotyczące jej danych osobowych.
Treść /Forma To co innego Cechy zgody: Dobrowolna, konkretna, świadoma (informed), jednoznaczna.
kilka nowych definicji (art. 4):
-pseudonimizacja - przetworzenie d.o. by nie można ich było przypisać konkretnej osobie
-dane genetyczne
-dane biometryczne -wizerunek twarzy, kształt dłoni, zapis linii papilarnych palców, zapis obrazu tęczówki, zapis układu żył w palcu/nadgarstku, sposób chodzenia, sposób pisania na maszynie/klawiaturze komputera
-dane dotyczące zdrowia
-bezpieczeństwo danych
ryzyko i analiza po stronie ADO
Najistotniejsze kwestie w RODO:
RODO = dobór zabezpieczeń do RYZYKA
ADO jest odpowiedzialny za przestrzeganie przepisów i musi być
w stanie wykazać ich przestrzeganie.
- rozszerzenie zakresu obowiązków informacyjnych (art. 12-15)
- „prawo do bycia zapomnianym”, do usunięcia danych (art. 17)
- prawo do przenoszenia danych (art.20)
Obowiązki ADO:
-przetwarzanie zgodnie z RODO –m.in. :
1)odpowiednie środki techniczne i organizacyjne, wykazanie tych
środków, ich przegląd, uaktualnianie (art. 24)
2)wdrożenie odpowiednich polityk ochrony danych
3)stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonego
mechanizmu certyfikacji
4)uwzględnianie ochrony danych w fazie projektowania i domyślna ochrona danych (art. 25) przed rozpoczęciem przetwarzania i w jego trakcie, rejestrowanie czynności przetwarzania
-ocena skutków dla ochrony danych (art. 35), w szczególności użycie nowych technologii
-uprzednie konsultacje z UODO (art. 36) – gdy ocena skutków wskaże
wysokie ryzyko
- Współadministratorzy (art. 26)
- podmiot przetwarzający /~dzisiejszy podmiot z art. 31/ (art. 28)
- zgłaszanie naruszeń (art. 33)
- inspektor ochrony danych /~dzisiejszy ABI/ -kiedy obowiązkowy
(art. 37)
-kodeksy postępowania, certyfikacja (art. 40-43)
-organ nadzorczy (dzisiejszy GIODO), m.in. nowe: kompetencje;
sposoby rozpatrywania spraw; rozstrzygnięcia (art. 51-58)
-administracyjne kary pieniężne, sankcje (art. 83-84)
Zaprojektowanie
procesu
Stare Nowe
Dane osobowe zwykłe
(np. imię, nazwisko, adres zamieszkania, data urodzenia, nr PESEL, numer telefonu, itp.).
dane tzw. zwykłe - brak definicji „dane zwykłe” -Wszelkie inne niż wynikające z art. 27 ust. 1 ustawy
Dane szczególnie chronione (wrażliwe)
których zamknięty katalog został określony w art. 27 ust. 1.
Są to: dane dotyczące pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub filozoficznych, przynależności wyznaniowej, partyjnej lub związkowej, stanu zdrowia, kodu genetycznego, nałogów, życia seksualnego, skazań, orzeczeń o ukaraniu i mandatach karnych, innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.
Co ważne, przetwarzanie danych wrażliwych wiąże się z koniecznością spełnienia dodatkowych gwarancji.
Artykuł 9
Przetwarzanie szczególnych kategorii danych osobowych
1. Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.
1. DANE OSOBOWE MUSZĄ BYĆ:
• Przetwarzane zgodnie z prawem, rzetelnie
i w sposób przejrzysty dla osoby, której dane dotyczą
(zgodność z prawem, rzetelność i przejrzystość).
• Zbierane w konkretnych,
wyrażnych i prawnie uzasadnionych celach […]
• Adekwatne, stosowne oraz ograniczone do tego, co
niezbędne do celów, w których są przetwarzane
(minimalizacja danych) • Prawidłowe i w razie potrzeby
uaktualniane (prawidłowość)
1. Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.
3. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę.
1. Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:
Swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela
Gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych
Celowość oraz podstawę prawną
Informacje o odbiorcach
Okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu
Informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania
Informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu ma zgodność z prawem przetwarzania
Informacje o prawie wniesienia skargi do organu nadzorczego
Informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych
Informacje o profilowaniu
(Profilowanie osób – NIE profilowanie danych)
Osoba, której dane dotyczą, ma prawo żądania od
administratora niezwłocznego usunięcia
dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej
zwłoki usunąć dane osobowe.
Obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub
o ograniczeniu przetwarzania
Każdy administrator […] prowadzi rejestr czynności przetwarzania danych osobowych, za które odpowiadają. W rejestrze tym zamieszcza się wszystkie następujące informacje:
Imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych
Cele przetwarzania
Opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych
Kategorie odbiorców
Jeżeli to możliwe, planowane terminy usunięcia poszczególnych kategorii danych
Ogólny opis technicznych i organizacyjnych środków bezpieczeństwa
W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia- zgłasza je organowi nadzorczemu właściwemu zgodnie z art.55, chyba , że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych
Przykładem pojedynczej informacji stanowiącej dane osobowe jest numer ewidencyjny PESEL. Numer ten, zgodnie z art. 31a ust. 1 ustawy z dnia 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych, jest 11 cyfrowym, symbolem numerycznym, jednoznacznie identyfikującym osobę fizyczną, w którym sześć pierwszych cyfr oznacza datę urodzenia (rok, miesiąc, dzień), kolejne cztery – liczbę porządkową i płeć osoby, a ostatnia jest cyfrą kontrolną, służącą do komputerowej kontroli poprawności nadanego numeru ewidencyjnego.
Numer ten, występując nawet bez zestawienia z innymi informacjami o osobie, stanowi dane osobowe, a ich przetwarzanie podlega wszelkim rygorom przewidzianym w ustawie.
Przetwarzaniem danych osobowych jest
wykonywanie na nich jakichkolwiek operacji.
Przetwarzaniem jest zatem już samo przechowywanie danych osobowych, nawet jeśli podmiot faktycznie z nich nie korzysta.
W pojęciu przetwarzania mieści się także ich udostępnianie, zmienianie, modyfikowanie, przekazywanie, zbieranie, utrwalanie,
opracowywanie.
RODO
Przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Na jakie pytania powinien odpowiedzieć sobie ADO, gdy spotka się z żądaniem udostępnienia danych osobowych:
-czy udostępnienie danych jest w ogóle dopuszczalne?
- w jakim celu dane mają być udostępnione?
- jakie dane mają być udostępnione?
-jaki podmiot, na jakiej podstawie prawnej i w jakim celu wnioskuje o udostępnienie danych, jakie jest uzasadnienie żądania
ALE i jaka powinna być forma udostępnienia /wprost, wgląd, telefon, kopia, weryfikacja tak-nie, etc./-jak udostępnić dane???
stare nowe
Oprócz rozwiązań cząstkowych
w wybranych branżach
BRAK
przepisów kompleksowo regulujących monitoring wizyjny w jednej
ustawie dedykowanej temu zagadnieniu czy w przepisach szczególnych dotyczących oświaty, relacji pracowniczych, bezpieczeństwa.
prace nad ustawą o monitoringu –w zawieszeniu
Zakres monitoringu wizyjnego
Cele monitoringu wizyjnego
Zakazy związane z monitoringiem
Informacja
Monitoring nie może stanowić środka kontroli.
Odrębny przepis prawa o monitoringu wizyjnym!!!!
KONIECZNE opracowanie polityki monitoringu.
Opracowanie komunikatów informacyjnych dla pracowników.
Monitoring a prawa pracownicze
-zakres danych pracownika jakie pracodawca może przetwarzać
-proporcjonalność środków w stosunku do praw pracodawcy
-monitoring nie może zastępować innych sposobów kontroli, zwłaszcza: -maszyna/narzędzie nie może zastępować człowieka -narzędzie nie może być jedyną podstawą oceny pracownika
ABI IOD
Wyznaczenie administratora bezpieczeństwa informacji jest jednym z obowiązków administratora danych, wynikającym z art. 36 ust. 3 ustawy, służącym właściwemu zabezpieczeniu danych. ABI nadzoruje przestrzeganie zasad ochrony danych, określonych przez administratora, stosując odpowiednie do zagrożeń i kategorii danych objętych ochroną środki techniczne i organizacyjne, które mają zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Artykuł 39
Zadania inspektora ochrony danych
1. Inspektor ochrony danych ma następujące zadania:
- Informowanie
- Monitorowanie
- Udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych
- Współpraca z organem nadzorczym
- Pełnienie funkcji punktu kontaktowego
2. Inspektor ochrony danych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.
Sekcja 4
Artykuł 37
Wyznaczenie inspektora ochrony danych
Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:
a) Przetwarzania dokonują organ lub podmiot publiczny
b) Główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
c) Główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych.
IOD – podmiot i organ publiczny (obowiązkowo)
Przez organy i podmioty publiczne obowiązane do wyznaczenia inspektora ochrony danych, zwanego dalej „inspektorem”, o którym mowa w art.37 ust.1 lit. a rozporządzenia 2016/679, rozumie się organy oraz podmioty wskazane w art.9 ustawy a dnia 27 sierpnia 2009r. o finansach publicznych.
Inspektor ochrony danych osobowych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań IOD może być członkiem personelu administratora lub wykonywać zadania na podstawie umowy o świadczenie usług. Administrator lub podmiot przetwarzający publikują dane kontaktowe inspektora ochrony danych i zawiadamiają o nich organ nadzorczy
Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych był właściwie i niezwłocznie
włączany we wszystkie sprawy dotyczące ochrony
danych osobowych
IOD ma następujące zadania: -Informowanie administratora oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii - Monitorowanie przestrzegania niniejszego rozporządzenia -Udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania -Współpraca z organem nadzorczym -Pełnienie funkcji punktu kontaktowego dla organu nadzorczego
STARE NOWE
Naruszenie przepisów o ochronie danych osobowych, o których mowa w rozdziale 8 ustawy, może narazić administratora danych na odpowiedzialność:
administracyjnoprawną,
karną,
dyscyplinarną. oraz
cywilnoprawną.
Niemniej, GIODO nie ma uprawnień do karania osób odpowiedzialnych za niezgodne z prawem przetwarzanie danych osobowych. Podmiotem właściwym w tej kwestii jest sąd.
Artykuł 83
1. Każdy organ nadzorczy zapewnia, by stosowane na mocy niniejszego artykułu za naruszenia rozporządzenia administracyjne kary pieniężne, o których mowa w ust.4,5 i 6, były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające.
Artykuł 77
Prawo do wniesienia skargi do organu nadzorczego
Artykuł 79
Prawo do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi
magda_celeban@op.pl
600 299 249