Post on 26-Jun-2020
Spotkanie sieciujące dla doradców kluczowych OWES23-24 kwietnia 2018
Warszawa, Hotel Warsaw Plaza
Informacja o warunkach wykorzystaniu prezentacji.1. Możesz wykorzystać prezentację (treść merytorczną) na potrzeby osobiste lub
wewnętrzne organizacji pozarządowej w której działasz lub na potrzeby doradztwa dla podmiotów PES.
2. Nie możesz wykorzystać prezentacji do celów działalności gospodarczej, działalności odpłatnej lub osobistej działalności zarobkowej poza ww. doradztwem oraz rozpowszechniania, nie ujętego w warunkach.
3. Możesz korzystać z prezentacji w wersji w której ją otrzymałeś/aś.4. Nie możesz dokonywać żadnych zmian w prezentacji, zmieniać, przetwarzać, dodawać
lub usuwać elementów treści merytorycznej prezentacji.5. Korzystając z prezentacji nie wolno Ci zatajać jej autorstwa w szczególności poprzez
usunięcie slajdu z autorami, pominięcie go przy wyświetlaniu i inne zabiegi.6. Prezentacja w wersji pierwotnej opracowana jest przez Przemysława Żaka i Annę
Rozkuszkę, na potrzeby wydarzenia 19.04.2018 r. na bazie prezentacji P.Żaka. Wersja niniejsza v.180423 zawiera modyfikacje Przemysława Żaka, który ma uprawnienie do korzystania od współautorki na cele szkoleniowe.
7. Fundacja Fundusz Współpracy jest uprawniona do korzystania na powyższych zasadach oraz do rozpowszechnienia wśród uczestników spotkania 23.04.2018r.
8. W sprawach zmiany warunków lub innych skontaktuj się z autorami przemyslaw@obywatelzak.pl , anna.rozkuszka@zakiwspolnicy.pl.
9. Możesz wykorzystywać “narzędzie” czyli zestaw 5 pytań wskazanych w ostatnich slajdach osobno, z zastrzeżeniem obowiązku podania autorstwa - Przemysława Żaka.
10. Oprawa graficzna w tle slajdów i logo nie są objęte powyższymi zasadami i informacjami.
RODO i PES na dzisiejszym spotkaniu 23.04.2018
1. Wstęp
nazwa i główne zmiany
2. Jak przygotować się na zmiany w związku w wejściem w życie RODO?
Podejście oparte na ryzyku i Zasada rozliczalności
3. Na co szczególnie zwrócić uwagę?
najważniejsze pojęcia i “ciekawostki”
4. O co zadbać? - propozycja modelu pracy wstępnej.
Pełna nazwa powodu dla którego się zebraliśmy:
ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
które uchyla dotychczasową dyrektywę Parlamentu Europejskiego i Rady Nr 95/46/WE z 24.10.1995 r.
Wstęp do RODO
Unifikacja ochrony na poziomie unijnym.
Podstawowe cele i zakres stosowania art. 2.
2-letni okres na przygotowanie.
Relacja przepisy krajowe a unijne.
Planowany czas obowiązywania ~50 lat.
Rola polskich przepisów od 25.05.2018 r.
Wstęp do RODO
Polska ustawa będzie dotyczyć głównie:
- głównie sfery publicznej (zwolnienia i obniżenia kar dla inst. publicznych)
- postępowań kontrolnych (dość szczegółowe zasady)- doregulowania administracyjnych kar pieniężnych - działania i uprawnień organu kontroli - Prezesa Urzędu Ochrony
Danych Osobowych- tzw. kodeksów dobrych praktyk i podmiotów z tym związanych- przepisów karnych- doregulowania odpowiedzialności cywilnej- zgłoszenie inspektora ochrony danych osobowych (14 dni) +
zasada jawności
Wstęp do RODO
- Art. 107. 1. Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.
- 2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech. [za projektem ustawy Druk nr 2410]
-
Wstęp do RODO
Polski projekt ustawy jest aktualnie skierowany do I czytania w Sejmie. Druk nr 2410.
Clou RODO, naszej odpowiedzialności i celu działań:
„naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych [art. 2 pkt 12 RODO]
72
Wstęp do RODO
Wśród wielu obowiązków odpadają:
❏ obowiązek zgłaszania baz danych do GIODO❏ obowiązkowe dokumenty dotychczasowe i ich elementy❏ regulacje wykonawcze do Ustawy (słynne rozporządzenie o
środkach zabezpieczenia w zakresie systemów informatycznych)❏ i idące za tym kary
Wstęp do RODO
Podstawa - risk based approach.
Ryzyko staje się podstawą zarządzania ochroną danych.
+
Zasada rozliczalności.
To odpowiedzialność za dobór środków technicznych i organizacyjnych.
To odpowiedzialność za wykazanie (dokumentowanie) wdrożenia instrumentów, realizacji obowiązków i właściwej ochrony danych.
Jak przygotować się? RODO - zmiany i filozofia
1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
2. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.
Art. 24 RODO - Obowiązki administratorai ocena ryzyka
Inaczej - kluczowe staje się:
charakter
zakres
kontekst
cele przetwarzania
… ryzyko ...
Art. 24 RODO - Obowiązki administratorai ocena ryzyka
Pojęcie niezdefiniowane.
Brak metodyk … ale mają być.
rekonstrukcja motyw 83, art. 24 i 32 RODO i pojęcie naruszenia
ryzyko (za 24)
-> naruszenia praw lub wolności
-> o różnym prawdopodobieństwie i wadze zagrożenia
dobranie adekwatnych środków ochrony i udokumentowanie ich wdrożenia
Art. 24 RODO - Obowiązki administratorai ocena ryzyka
1. określanie i wdrożenie niezbędnych środków 2. okresowe weryfikowanie ich skuteczności, aktualizacja3. ciężar dowodu ciąży na administratorze!
a. wykazanie podstawy, b. realizacji obowiązków informacyjnychc. podmiot przetwarzający dane w imieniu administratora spełnia
wymogi RODOd. realizacja praw podmiotowyche. ewaluacja oceny ryzyka
4. utrwalanie działań oraz przesłanek dokonywanych ocen i wyborów w celu udowodnienia przestrzegania RODO
Art. 24 RODO - Obowiązki administratorai ocena ryzyka
1. Podsumowując, co wynika ze zmian dla praktyki.2. Będzie niby swobodniej, ale ciężej. 3. Realny wymiar zmian - urealnienie ochrony danych
osobowych.4. Zwiększa się ryzyko odpowiedzialności karnej i
administracyjnej finansowej.5. Oznacz to też potrzebę uwzględnienia rosnących
kosztów.
RODO - zmiany i filozofia
Na wszystko :)
Na co zwracać uwagę?
Dana osobowa - czyli co?
Dana osobowa - jako dobro osobiste i przejaw prawa do prywatności.
Dana osobowa - niezależna od formy i sposobu wyrażenia.
Dana osobowa - jej potencjalność.
Subiektywizm kwalifikacji danych osobowych.
RODO - pojęcie danych osobowych.
Za art. 4 pkt 1 RODO można zrekonstruować 3 pytania pomocnicze dla praktyki:
1) powinna nam coś komunikować na temat osoby, do której się odnosi,
2) powinna odnosić się do osoby fizycznej,
3) osoba fizyczna powinna być zidentyfikowana albo możliwa do zidentyfikowania.
[za P.Litwiński, 2018]
RODO - pojęcie danych osobowych.
Motyw wizerunku
W 2012 r. GIODO na swoim portalu wskazywał, że wizerunek kwalifikuje się jako dana osobowa (w przypadku pracownika) https://giodo.gov.pl/pl/348/4859
Wizerunek, imię i nazwisko są danymi osobowymi, a ochrona dotyczy także wszystkich faktów z przeszłości człowieka (wyrok NSA z 18 listopada 2009 roku, I OSK 667/09 oddalający skargę kasacyjną od wyroku WSA w Warszawie z 3 marca 2009 roku, II SA/Wa 1495/08).
W RODO jest to jednoznaczne (mot. 51 preambuły, art. 4 pkt 14 i art. 9). Łączy sie to z regulacjami podobnym tj. art. 221 KP i art. 81 ustawy o prawie autorskim i
prawach pokrewnych, jak i art. 23 i 24 KC.
RODO - pojęcie danych osobowych.
Szczególne kategorie danych osobowych.
Tzw. dane wrażliwe.
Ogólny zakaz. Naruszenie zasad grozi zwiększonymi sankcjami.
Zakres? Art. 9 RODO
RODO - pojęcie danych osobowych.
1. Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.
chyba, że….
Art. 9 RODO
przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą
art. 9 ust. lit d RODO - podstawa
Szerokie rozumienie przetwarzania.
operacje na danych lub zestawach
w każdy sposób (zautomatyzowany lub nie)
od gromadzenia i utrwalania, wykorzystywania po niszczenie.
RODO - przetwarzanie danych osobowych.
art. 2 ust. 1 RODO [sposób]
przetwarzanie automatyczne lub półautomatyczne - w systemie informatycznym
inny sposób przetwarzania - wer. papierowa
RODO - przetwarzanie danych osobowych.
przykłady szczególnych sposobów przetwarzania i procedowania danych
1. profilowanie2. pseudonimizacja (!)3. szyfrowanie (!)4. anonimizacja (!)
RODO - przetwarzanie danych osobowych.
Cele
art. 6 RODO
1. Cele objęte zgodą (z pamięcią o ograniczeniach dot. zgód)2. Niezbędność dla realizacji umowy3. Obowiązek prawny ciążący na administratorze4. Ochrona żywotnych interesów osoby której dane dotyczą lub innej
osoby fiz.5. Zadanie publiczne (!)6. prawnie uzasadnione interesy administratora
art. 9 ust. 2 - dane wrażliwe (specyfika regulacji)
RODO - przetwarzanie danych osobowych.
Zgoda
Obowiązek dowodowy administratora
Wyróżnienie treści zgody i informacji.
Zrozumiała i łatwo dostępna forma.
Łatwość wyrażenia zgody = łatwość wycofania zgody
DOBROWOLNOŚĆ zgody.
art. 7
RODO - przetwarzanie danych osobowych.
Podstawowe obowiązki Administratora:
1) obowiązek zgodności z prawem przetwarzania danych osobowych,
2) obowiązki informacyjne i inne obowiązki wobec osób, których dane dotyczą,
3) obowiązek przeprowadzenia oceny skutków dla ochrony danych osobowych,
4) obowiązek zabezpieczenia danych osobowych.
RODO - przetwarzanie danych osobowych.
Zwolnienie z obowiązku prowadzenia rejestru - zatrudnianie mniej niż 250 osób, chyba, że:
1) przetwarzanie, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
2) nie ma charakteru sporadycznego, lub
3) obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.
Rejestr czynności przetwarzania - art. 30 RODO
forma realizacji zasady rozliczalności
sposoby zapisu, materiały dodatkowe, dokumentacja?
czy potrzebna polityka ochrony danych osobowych?
(art. 24 ust. 2 RODO Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych)
Dokumentowanie
- nazwa i dane kontaktowe ADO, IOD, osoby odpowiedzialnej- cele przetwarzania danych osobowych oraz podstawa prawna,- opis prawnie uzasadnionych interesów ADO lub osoby trzeciej, dla
których celów przetwarzanie jest niezbędne,- odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli
istnieją,- gdy ma to zastosowanie - informacje o zamiarze przekazania
danych osobowych do państwa trzeciego lub organizacji międzynarodowej wraz ze wzmianką o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych,
Obowiązki informacyjne
- okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu,
- o prawie do żądania dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu, w szczególności wobec przetwarzania w celach marketingu bezpośredniego, a także o prawie do przenoszenia danych,
- informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem,
Obowiązki informacyjne
- o prawie wniesienia skargi do organu nadzorczego - Prezesa Urzędu Ochrony Danych Osobowych z podaniem adresu,
- czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,
- gdy ma to zastosowanie - informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą,
- w przypadku przetwarzania w innym celu, przed przystąpieniem do przetwarzania o tym innym celu
Obowiązki informacyjne
1. Zbiór danych w postaci maili osób piszących do organizacji
2. Gmaile ;)
3. www.giodo.gov.pl - poradniki
4. Zwolnienie ze stosowania RODO, gdy przetwarzanie przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze
5. Dokształcenie w zakresie wiedzy o zagrożeniach.6. IODO
Praktyka wybrane wskazówki.
Rzetelne, rozsądne podejście - analiza przetwarzanych danych
O co zadbać? - propozycja modelu pracy wstępnej
Etap I pracy, czyli szczerze - co jest?
1. Jakie dane przetwarzamy? Czyje są to dane? Na jakiej podstawie przetwarzamy?
2. W jakim celu przetwarzamy i do kiedy?3. Jak przetwarzamy (gdzie)? 4. Jak chronimy? (i przed czym?)5. Kto przetwarza?
Rozpisanie “step by step”
O co zadbać? - propozycja modelu pracy wstępnej
Co?
Jakie dane przetwarzamy?
Czyje są to dane?
Na jakiej podstawie przetwarzamy?
O co zadbać? - propozycja modelu pracy wstępnej
Po co?
W jakim celu przetwarzamy i do kiedy?
O co zadbać? - propozycja modelu pracy wstępnej
Co robimy?
Jak przetwarzamy (gdzie)?
O co zadbać? - propozycja modelu pracy wstępnej
Jak robimy?
Jak chronimy? (i przed czym?)
O co zadbać? - propozycja modelu pracy wstępnej
Jak robimy?
Kto przetwarza?
O co zadbać? - propozycja modelu pracy wstępnej
Etap II “przepisujemy na czysto”, czyli jak być powinno.
1. Jakie dane przetwarzamy? Czyje są to dane? Na jakiej podstawie przetwarzamy?
2. W jakim celu przetwarzamy i do kiedy?3. Jak przetwarzamy (gdzie)? 4. Jak chronimy? (i przed czym?)5. Kto przetwarza?
O co zadbać? - propozycja modelu pracy wstępnej
Efekt?
Mamy clou potrzebne nam do sporządzenia m.in. RCP
i ew. dokumentów pobocznych
oraz
wdrożenia ochrony w organizacji.
O co zadbać? - propozycja modelu pracy wstępnej
Koniec.Dziękuję za uwagę :-)