Warszawa, Hotel Warsaw Plaza 23-24 kwietnia 2018 Spotkanie ... · danych osobowych i w sprawie...

Spotkanie sieciujące dla doradców kluczowych OWES23-24 kwietnia 2018

Warszawa, Hotel Warsaw Plaza

Informacja o warunkach wykorzystaniu prezentacji.1. Możesz wykorzystać prezentację (treść merytorczną) na potrzeby osobiste lub

wewnętrzne organizacji pozarządowej w której działasz lub na potrzeby doradztwa dla podmiotów PES.

2. Nie możesz wykorzystać prezentacji do celów działalności gospodarczej, działalności odpłatnej lub osobistej działalności zarobkowej poza ww. doradztwem oraz rozpowszechniania, nie ujętego w warunkach.

3. Możesz korzystać z prezentacji w wersji w której ją otrzymałeś/aś.4. Nie możesz dokonywać żadnych zmian w prezentacji, zmieniać, przetwarzać, dodawać

lub usuwać elementów treści merytorycznej prezentacji.5. Korzystając z prezentacji nie wolno Ci zatajać jej autorstwa w szczególności poprzez

usunięcie slajdu z autorami, pominięcie go przy wyświetlaniu i inne zabiegi.6. Prezentacja w wersji pierwotnej opracowana jest przez Przemysława Żaka i Annę

Rozkuszkę, na potrzeby wydarzenia 19.04.2018 r. na bazie prezentacji P.Żaka. Wersja niniejsza v.180423 zawiera modyfikacje Przemysława Żaka, który ma uprawnienie do korzystania od współautorki na cele szkoleniowe.

7. Fundacja Fundusz Współpracy jest uprawniona do korzystania na powyższych zasadach oraz do rozpowszechnienia wśród uczestników spotkania 23.04.2018r.

8. W sprawach zmiany warunków lub innych skontaktuj się z autorami [email protected] , [email protected].

9. Możesz wykorzystywać “narzędzie” czyli zestaw 5 pytań wskazanych w ostatnich slajdach osobno, z zastrzeżeniem obowiązku podania autorstwa - Przemysława Żaka.

10. Oprawa graficzna w tle slajdów i logo nie są objęte powyższymi zasadami i informacjami.

RODO i PES na dzisiejszym spotkaniu 23.04.2018

1. Wstęp

nazwa i główne zmiany

2. Jak przygotować się na zmiany w związku w wejściem w życie RODO?

Podejście oparte na ryzyku i Zasada rozliczalności

3. Na co szczególnie zwrócić uwagę?

najważniejsze pojęcia i “ciekawostki”

4. O co zadbać? - propozycja modelu pracy wstępnej.

Pełna nazwa powodu dla którego się zebraliśmy:

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

które uchyla dotychczasową dyrektywę Parlamentu Europejskiego i Rady Nr 95/46/WE z 24.10.1995 r.

Wstęp do RODO

Unifikacja ochrony na poziomie unijnym.

Podstawowe cele i zakres stosowania art. 2.

2-letni okres na przygotowanie.

Relacja przepisy krajowe a unijne.

Planowany czas obowiązywania ~50 lat.

Rola polskich przepisów od 25.05.2018 r.

Wstęp do RODO

Polska ustawa będzie dotyczyć głównie:

- głównie sfery publicznej (zwolnienia i obniżenia kar dla inst. publicznych)

- postępowań kontrolnych (dość szczegółowe zasady)- doregulowania administracyjnych kar pieniężnych - działania i uprawnień organu kontroli - Prezesa Urzędu Ochrony

Danych Osobowych- tzw. kodeksów dobrych praktyk i podmiotów z tym związanych- przepisów karnych- doregulowania odpowiedzialności cywilnej- zgłoszenie inspektora ochrony danych osobowych (14 dni) +

zasada jawności

Wstęp do RODO

- Art. 107. 1. Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.

- 2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech. [za projektem ustawy Druk nr 2410]

-

Wstęp do RODO

Polski projekt ustawy jest aktualnie skierowany do I czytania w Sejmie. Druk nr 2410.

Clou RODO, naszej odpowiedzialności i celu działań:

„naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych [art. 2 pkt 12 RODO]

72

Wstęp do RODO

Wśród wielu obowiązków odpadają:

❏ obowiązek zgłaszania baz danych do GIODO❏ obowiązkowe dokumenty dotychczasowe i ich elementy❏ regulacje wykonawcze do Ustawy (słynne rozporządzenie o

środkach zabezpieczenia w zakresie systemów informatycznych)❏ i idące za tym kary

Wstęp do RODO

Podstawa - risk based approach.

Ryzyko staje się podstawą zarządzania ochroną danych.

+

Zasada rozliczalności.

To odpowiedzialność za dobór środków technicznych i organizacyjnych.

To odpowiedzialność za wykazanie (dokumentowanie) wdrożenia instrumentów, realizacji obowiązków i właściwej ochrony danych.

Jak przygotować się? RODO - zmiany i filozofia

1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

2. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.

Art. 24 RODO - Obowiązki administratorai ocena ryzyka

Inaczej - kluczowe staje się:

charakter

zakres

kontekst

cele przetwarzania

… ryzyko ...


Pojęcie niezdefiniowane.

Brak metodyk … ale mają być.

rekonstrukcja motyw 83, art. 24 i 32 RODO i pojęcie naruszenia

ryzyko (za 24)

-> naruszenia praw lub wolności

-> o różnym prawdopodobieństwie i wadze zagrożenia

dobranie adekwatnych środków ochrony i udokumentowanie ich wdrożenia


1. określanie i wdrożenie niezbędnych środków 2. okresowe weryfikowanie ich skuteczności, aktualizacja3. ciężar dowodu ciąży na administratorze!

a. wykazanie podstawy, b. realizacji obowiązków informacyjnychc. podmiot przetwarzający dane w imieniu administratora spełnia

wymogi RODOd. realizacja praw podmiotowyche. ewaluacja oceny ryzyka

4. utrwalanie działań oraz przesłanek dokonywanych ocen i wyborów w celu udowodnienia przestrzegania RODO


1. Podsumowując, co wynika ze zmian dla praktyki.2. Będzie niby swobodniej, ale ciężej. 3. Realny wymiar zmian - urealnienie ochrony danych

osobowych.4. Zwiększa się ryzyko odpowiedzialności karnej i

administracyjnej finansowej.5. Oznacz to też potrzebę uwzględnienia rosnących

kosztów.

RODO - zmiany i filozofia

Na wszystko :)

Na co zwracać uwagę?

Dana osobowa - czyli co?

Dana osobowa - jako dobro osobiste i przejaw prawa do prywatności.

Dana osobowa - niezależna od formy i sposobu wyrażenia.

Dana osobowa - jej potencjalność.

Subiektywizm kwalifikacji danych osobowych.

RODO - pojęcie danych osobowych.

Za art. 4 pkt 1 RODO można zrekonstruować 3 pytania pomocnicze dla praktyki:

1) powinna nam coś komunikować na temat osoby, do której się odnosi,

2) powinna odnosić się do osoby fizycznej,

3) osoba fizyczna powinna być zidentyfikowana albo możliwa do zidentyfikowania.

[za P.Litwiński, 2018]


Motyw wizerunku

W 2012 r. GIODO na swoim portalu wskazywał, że wizerunek kwalifikuje się jako dana osobowa (w przypadku pracownika) https://giodo.gov.pl/pl/348/4859

Wizerunek, imię i nazwisko są danymi osobowymi, a ochrona dotyczy także wszystkich faktów z przeszłości człowieka (wyrok NSA z 18 listopada 2009 roku, I OSK 667/09 oddalający skargę kasacyjną od wyroku WSA w Warszawie z 3 marca 2009 roku, II SA/Wa 1495/08).

W RODO jest to jednoznaczne (mot. 51 preambuły, art. 4 pkt 14 i art. 9). Łączy sie to z regulacjami podobnym tj. art. 221 KP i art. 81 ustawy o prawie autorskim i

prawach pokrewnych, jak i art. 23 i 24 KC.


Szczególne kategorie danych osobowych.

Tzw. dane wrażliwe.

Ogólny zakaz. Naruszenie zasad grozi zwiększonymi sankcjami.

Zakres? Art. 9 RODO


1. Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

chyba, że….

Art. 9 RODO

przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą

art. 9 ust. lit d RODO - podstawa

Szerokie rozumienie przetwarzania.

operacje na danych lub zestawach

w każdy sposób (zautomatyzowany lub nie)

od gromadzenia i utrwalania, wykorzystywania po niszczenie.

RODO - przetwarzanie danych osobowych.

art. 2 ust. 1 RODO [sposób]

przetwarzanie automatyczne lub półautomatyczne - w systemie informatycznym

inny sposób przetwarzania - wer. papierowa


przykłady szczególnych sposobów przetwarzania i procedowania danych

1. profilowanie2. pseudonimizacja (!)3. szyfrowanie (!)4. anonimizacja (!)


Cele

art. 6 RODO

1. Cele objęte zgodą (z pamięcią o ograniczeniach dot. zgód)2. Niezbędność dla realizacji umowy3. Obowiązek prawny ciążący na administratorze4. Ochrona żywotnych interesów osoby której dane dotyczą lub innej

osoby fiz.5. Zadanie publiczne (!)6. prawnie uzasadnione interesy administratora

art. 9 ust. 2 - dane wrażliwe (specyfika regulacji)


Zgoda

Obowiązek dowodowy administratora

Wyróżnienie treści zgody i informacji.

Zrozumiała i łatwo dostępna forma.

Łatwość wyrażenia zgody = łatwość wycofania zgody

DOBROWOLNOŚĆ zgody.

art. 7


Podstawowe obowiązki Administratora:

1) obowiązek zgodności z prawem przetwarzania danych osobowych,

2) obowiązki informacyjne i inne obowiązki wobec osób, których dane dotyczą,

3) obowiązek przeprowadzenia oceny skutków dla ochrony danych osobowych,

4) obowiązek zabezpieczenia danych osobowych.


Zwolnienie z obowiązku prowadzenia rejestru - zatrudnianie mniej niż 250 osób, chyba, że:

1) przetwarzanie, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,

2) nie ma charakteru sporadycznego, lub

3) obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.

Rejestr czynności przetwarzania - art. 30 RODO

forma realizacji zasady rozliczalności

sposoby zapisu, materiały dodatkowe, dokumentacja?

czy potrzebna polityka ochrony danych osobowych?

(art. 24 ust. 2 RODO Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych)

Dokumentowanie

- nazwa i dane kontaktowe ADO, IOD, osoby odpowiedzialnej- cele przetwarzania danych osobowych oraz podstawa prawna,- opis prawnie uzasadnionych interesów ADO lub osoby trzeciej, dla

których celów przetwarzanie jest niezbędne,- odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli

istnieją,- gdy ma to zastosowanie - informacje o zamiarze przekazania

danych osobowych do państwa trzeciego lub organizacji międzynarodowej wraz ze wzmianką o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych,

Obowiązki informacyjne

- okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu,

- o prawie do żądania dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu, w szczególności wobec przetwarzania w celach marketingu bezpośredniego, a także o prawie do przenoszenia danych,

- informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem,


- o prawie wniesienia skargi do organu nadzorczego - Prezesa Urzędu Ochrony Danych Osobowych z podaniem adresu,

- czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,

- gdy ma to zastosowanie - informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą,

- w przypadku przetwarzania w innym celu, przed przystąpieniem do przetwarzania o tym innym celu


1. Zbiór danych w postaci maili osób piszących do organizacji

2. Gmaile ;)

3. www.giodo.gov.pl - poradniki

4. Zwolnienie ze stosowania RODO, gdy przetwarzanie przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze

5. Dokształcenie w zakresie wiedzy o zagrożeniach.6. IODO

Praktyka wybrane wskazówki.

Rzetelne, rozsądne podejście - analiza przetwarzanych danych

O co zadbać? - propozycja modelu pracy wstępnej

Etap I pracy, czyli szczerze - co jest?

1. Jakie dane przetwarzamy? Czyje są to dane? Na jakiej podstawie przetwarzamy?

2. W jakim celu przetwarzamy i do kiedy?3. Jak przetwarzamy (gdzie)? 4. Jak chronimy? (i przed czym?)5. Kto przetwarza?

Rozpisanie “step by step”


Co?

Jakie dane przetwarzamy?

Czyje są to dane?

Na jakiej podstawie przetwarzamy?


Po co?

W jakim celu przetwarzamy i do kiedy?


Co robimy?

Jak przetwarzamy (gdzie)?


Jak robimy?

Jak chronimy? (i przed czym?)


Jak robimy?

Kto przetwarza?


Etap II “przepisujemy na czysto”, czyli jak być powinno.

1. Jakie dane przetwarzamy? Czyje są to dane? Na jakiej podstawie przetwarzamy?

2. W jakim celu przetwarzamy i do kiedy?3. Jak przetwarzamy (gdzie)? 4. Jak chronimy? (i przed czym?)5. Kto przetwarza?


Efekt?

Mamy clou potrzebne nam do sporządzenia m.in. RCP

i ew. dokumentów pobocznych

oraz

wdrożenia ochrony w organizacji.


Koniec.Dziękuję za uwagę :-)

Warszawa, Hotel Warsaw Plaza 23-24 kwietnia 2018 Spotkanie ... · danych osobowych i w sprawie...

Documents

Transcript of Warszawa, Hotel Warsaw Plaza 23-24 kwietnia 2018 Spotkanie ... · danych osobowych i w sprawie...