Category: Ochrona danych

Wrzesień 3rd, 2017 by D90aar_i-a

W najnowszym 19 wydaniu miesięcznika ,,Wspólnota” skierowanego do jednostek samorządu terytorialnego ukaże się artykuł dotyczący zmian jakie wprowadza nowe rozporządzenie unijne dotyczące ochrony danych osobowych z uwzględnianiem samorządu terytorialnego. Artykuł przygotowany został przez autorkę bloga Zamówienia i ochrona. Zachęcamy do lektury. 

Posted in Ochrona danych

Sierpień 20th, 2017 by D90aar_i-a

GIODO opublikował w ostatnim czasie informacje dotyczącą błędnego zgłaszania danych osobowych dotyczących osób objętych programem Karty dużej rodziny. Były one zgłaszane przez niewłaściwe podmioty, bowiem dokonywały tego ośrodki pomocy społecznej. Administratorem Danych natomiast jest gmina i to ona powinna zgłosić zbiory do GIODO, bowiem przekazanie uchwałą kompetencji ośrodkowi pomocy społecznej nie wpływa na fakt, że Administratorem pozostaje GIODO. W przypadku pojawienia się wątpliwości sięgnąć należy do przepisów szczególnych regulujących dane zadanie gminy z reguły tak jak ustawa o Karcie Dużej Rodziny kwestia administrowania danymi osobowymi jest w nich uregulowana. Jeżeli natomiast tak nie jest a za realizację danego zadania odpowiada gmina to uznać należny, że to ona jest administratorem. 

Posted in Ochrona danych

Sierpień 6th, 2017 by D90aar_i-a

Wyrok Krajowej Izby Odwoławczej z dnia 11 kwietnia 2017r. sygn. akt KIO 583/17 dotyczy w pełni możliwości uzupełnienia na wezwanie zamawiającego złożonego przez wykonawcę JEDZ.

Podstawę do wydania tego wyroku stanowił następujący stan faktyczny:

Postępowanie powyżej progów unijnych prowadzone było w trybie nieograniczonym. Zamawiający dokonał wykluczenia wykonawcy z postępowania i zaniechał wezwania go do uzupełnienia dokumentów potwierdzających spełnianie warunków. Od tych czynności odwołanie złożył wykonawca zarzucając zamawiającemu naruszenie art. 25a ust. 1 ustawy Pzp, 24 ust. 1 pkt 12 w zw. z art. 26 ust. 1 w zw. z art. 22a ust. 6 ustawy Pzp, art. 91 ust. 1 ustawy Pzp. Wykonawca wniósł o unieważnienie dokonania tych czynności. W postępowaniu zastosowano procedurę odwróconą.  Po rozpatrzeniu sprawy przez KIO stwierdzono:

  1. Informacje zawarte w treści JEDZ stanowią wstępne potwierdzenie spełniania warunków udziału w postępowaniu i brak podstaw wykluczenia. Zamawiający jednokrotnie zobowiązany jest wezwać wykonawcę, który złożył niekompletnie wypełniony JEDZ do jego uzupełnienia. W sytuacji jego uzupełnienia zamawiający wzywa go na podstawie art. 26 ust. 1 do przedstawienia dokumentów.
  2. Konsekwencją nieuzupełnienia treści JEDZ po uprzednim wezwaniu do tego było wykluczenie (na podstawie art. 24 ust 1 pkt 12 ustawy Pzp) oferty wykonawcy z postępowania i zaniechanie tym samym wzywania go do kolejnego uzupełnienia. Nie było też tym samym podstaw do wzywania go do przedstawienia dokumentów.
  3. Zamawiający w świetle art. 26 ust. 1 ustawy Pzp zobowiązany jest do wezwania o dokumenty potwierdzające spełnienie warunków udziału w postępowaniu wówczas gdy wykonawca – którego oferta została oceniona najwyżej – spełnia wymagania nakreślone przez Zamawiającego w zakresie warunków udziału w postępowaniu i nie podlega wykluczeniu.
  4. Izba podkreśliła także, że w niniejszej sprawie zamawiający nie był zobowiązany  do zastosowania treści art. 22a ust. 6 ustawy Pzp, zgodzić należało się bowiem z zamawiającym, że treść art. 22a ust. 6 ustawy Pzp nie ustanawia odrębnej procedury wzywania wobec art. 26 ust. 3 ustawy Pzp.

 

Posted in Ochrona danych

Sierpień 6th, 2017 by D90aar_i-a

Zgodnie z informacjami jakie dotychczas przekazywało biuro Generalnego Inspektora Ochrony Danych Osobowych (GIODO) obecnie funkcjonujący w wielu instytucjach państwowych i firmach z sektora prywatnego Administratorzy Bezpieczeństwa Informacji mają stać się automatycznie Inspektorami ochrony Danych. 

Zauważyć jednak należy, że jeżeli polski ustawodawca wprowadzi w nowej ustawie o ochronie danych osobowych takie rozwiązanie będzie wymagało to od obecnych ABI bardzo dużego poszerzenia swojej wiedzy i stałej ich współpracy z działem IT ale również prawnikami mającymi wiedzę w tym zakresie. Zgodnie z obowiązującymi przepisami ABI powinien posiadać wiedzę z zakresu ochrony danych osobowych. Natomiast zgodnie z nowym rozporządzeniem RODO inspektor musi posiadać wiedzę z zakresu ochrony danych osobowych, ale także prawa. Uzupełnieniem tej wiedzy w idealnym świecie byłaby jeszcze wiedza z zakresu IT szczególnie najnowszych zabezpieczeń. W rzeczywistości jednak inspektor będzie musiał współpracować z działem IT w zakresie wyboru najlepszej formy zabezpieczenia danych osobowych. 

GIODO ogłosiło, że w listopadzie 2017r. rozpocznie wdrażanie projektu T4DATA finansowanego przez UE polegajacego na wspólnym przygotowaniu wraz z organami ochrony danych z Włoch, Hiszpanii, Bułgarii i Chorwacji  cyklu szkoleń dla inspektorów ochrony danych (obecnie ABI) z sektora publicznego. W Polsce szkolenia obejmą 600 osób. Dodatkowo powstanie platforma, gdzie możliwe będzie skorzystanie z oferty webinariów poświęconych właściwemu wdrożeniu RODO w podmiotach z sektora publicznego.

 

Posted in Ochrona danych

Lipiec 24th, 2017 by D90aar_i-a

 

Obecnie ustawa o ochronie danych osobowych, która reguluje ta kwestię wyróżnia dwa rodzaje danych osobowych. Rozporządzenie unijne, do implementacji którego jesteśmy zobowiązani będzie obowiązywać od 25 sierpnia 2018r. W jego treści znajdziemy rozróżnienie danych na 4 rodzaje. Poniżej zestawienie obrazujące różnice. 

Ustawa o ochronie danych osobowych  Rozporządzenie RODO 
Dane zwykłe- imię, nazwisko, adres zamieszkania, pesel, nip, numer dowodu, wykształcenie, zawód, płeć, numer telefony, adres mailowy.

Dane wrażliwe- pochodzenie rasowe, poglądy polityczne, przekonania religijne, przynależność wyznaniowa, stan zdrowia, kod genetyczny, nałogi, życie seksualne, skazania,

Dane zwykłe-  imię, nazwisko, adres zamieszkania, pesel, nip, numer dowodu, wykształcenie, zawód, płeć, numer telefony, adres mailowy, identyfikator internetowy, dane o lokalizacji.

Dane o stanie zdrowia

Dane biometryczne dotyczą cech fizycznych, fizjologicznych osoby fizycznej umożliwiają identyfikację osoby- wizerunek twarzy, dane daktyloskopijne, monitoring,

Dane genetyczne dotyczą odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby.

Posted in Ochrona danych

Czerwiec 11th, 2017 by D90aar_i-a

Pytanie nr 10 Czy sprawdziłeś, czy jesteś zobowiązany do dokonania oceny skutków w zakresie ochrony danych i wiesz, jak ja przeprowadzić?

Według rozporządzenia i wytycznych Grupy Roboczej Art. 29 ocenę skutków ochrony danych (DPIA) należy obowiązkowo dokonać tylko gdy przetwarzanie danych z dużym prawdopodobieństwem może powodować naruszenie praw i wolności. W sytuacjach gdy nie jest jasne czy należy dokonać DPIA zalecane jest przez Grupę Robocza Art. 29 żeby jednak go dokonać. Rozporządzenie przykładowo wskazuje kiedy mamy duże prawdopodobieństwo: 1) systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;

2) przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10; lub

3) systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Pytanie nr 12 Czy dokonujesz profilowania osób? Jeśli tak, to czy wiesz, jakie warunki

musisz spełnić, aby działanie to było legalne?

„profilowanie” oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się; 

Pytanie nr 13 Czy jesteś gotowy do wykrycia, analizy i zgłoszenia naruszenia ochrony danych? Czy wiesz, jakie działania musisz podjąć w przypadku wystąpienia takiego incydentu?

W przypadku naruszenia ochrony danych administrator zobowiązany będzie do ich wykrycia, analizy i zgłoszenia naruszenia danych. Administrator ma obowiązek zgłoszenia bez zbędnej zwłoki  w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia zgłoszenia ich do  organu nadzorczemu właściwemu. Jeżeli będziemy w roli podmiotu przetwarzającego zgłaszamy je administratorowi  danych. Administrator  musi również zawiadomić  osobę, której dane dotyczą  jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Pytanie nr 14 Czy sprawdziłeś, czy jesteś zobowiązany do wyznaczenia inspektora ochrony danych?

 

Administrator danych musi powołać obligatoryjnie Inspektora ochrony Danych Osobowych, który ma zastąpić ABI jeżeli:

  • przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

 

Można wyznaczyć Inspektora także dobrowolnie. Pojawił się pomysł w trakcie konsultacji polskich przeprowadzonych przez GIODO by automatycznie obecny ABI zamienił się w Inspektora. W wytycznych Grupy nr 29 dotyczących Inspektora Ochrony Danych Osobowych zaleca się aby administratorzy, którzy nie wyznaczą inspektora udokumentowali wewnętrzną procedurę  ustalenia braku obowiązku jego wyznaczenia.  W tym zakresie Grupa Robocza Art. 29 wydała również wytyczne.

Pytanie nr 16 Czy dokonałeś analizy dotychczasowych umów powierzenia, tak by podmioty przetwarzające (procesory) spełniały wszystkie wymagania wynikające z rozporządzenia?

Wymagania dotyczące powierzenia danych przewidziane w rozporządzeniu:

1)administrator powinien korzystać z  usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych;

2) przetwarzanie odbywa się na podstawie umowy lub innego instrumentu prawnego określającej przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora;

3) podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora, zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy, podejmuje wszelkie środki wymagane przy bezpiecznym przetwarzaniu (np. pseudonimizację i szyfrowanie danych osobowych), przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule, po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane

4) można podpowierzyć przetwarzanie danych osobowych innemu podmiotowi ale tylko za zgoda administratora  danych;

Posted in Ochrona danych

Maj 31st, 2017 by D90aar_i-a

 

Pytanie nr 5 Czy znasz prawa osób, których dane dotyczą? Czy jesteś gotowy na realizacje wniosków z ich strony, dotyczących np. przeniesienia danych czy prawa do bycia zapomnianym?

Prawa osób, których dane dotyczą przewidziane w rozporządzeniu:

Prawo do sprostowania danych– Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe.

Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych;

Prawo do wniesienia sprzeciwu wobec przetwarzania dotyczących jej danych osobowych opartego na przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi lub przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią;

Prawo do bycia zapomnianym- administrator ma obowiązek usunąć dane jeżeli: dane osobowe nie są już niezbędne do celów, w których zostały zebrane, osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie, osoba, której dane dotyczą, wnosi sprzeciw z pkt 3, dane osobowe były przetwarzane niezgodnie z prawem, dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego

Prawo do ograniczenia przetwarzania danych- można żądać gdy osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych, przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania;

Prawo do przenoszenia danych- osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi.

Pytanie nr 6 Czy zadbałeś, by pozyskiwane przez Ciebie zgody na przetwarzanie

danych osobowych były dostosowane do wymogów rozporządzenia?

Trzeba dostosować posiadane zgody do przepisów nowego  rozporządzenia zamieścić w ich treści dodatkowe dane. Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę.

Pytanie nr 7 Czy zdecydowałeś, jakie środki techniczne i organizacyjne zastosujesz, by zapewnić bezpieczeństwo danych osobowych i zgodność z przepisami ogólnego rozporządzenia?

Trzeba zadecydować jakie środki techniczne i organizacyjne wprowadzimy  celu ochrony danych osobowych czy istnieje konieczność wprowadzenia nowych procedur, działań w tym rozwiązań technicznych. Rozporządzenie przykładowo wskazuje środki takie jak: pseudonimizację i szyfrowanie danych osobowych; zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Pytanie nr 8 Czy jesteś gotów do rejestracji czynności przetwarzania danych?

Administrator ma obowiązek prowadzić  rejestr czynności przetwarzania danych osobowych, za które odpowiada. W rejestrze tym zamieszcza się wszystkie następujące informacje: imię i nazwisko lub nazwę oraz dane kontaktowe administratora, cele przetwarzania, opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych; kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych; jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Ponadto każdy przetwarzający dane (my gdy przetwarzamy powierzone dane) prowadzi rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora zawierający następujące informacje: imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, kategorie przetwarzań dokonywanych w imieniu każdego z administratorów; jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Pytanie 9 Czy znasz koncepcje ochrony danych w fazie projektowania oraz domyślnej ochrony danych i czy uwzględniłeś je w swoich działaniach?

 

Definicje privacy by design and privancy by default znajdują się w odpowiedzi na pytanie nr 1. Jeżeli chodzi o ocenę skutków przetwarzania danych to Grupa Robocza Nr 29 przygotowała wytyczne jak to robić i kiedy zasady te będą z pewnością przeniesione do polskiej regulacji, której jeszcze niema. Administrator musi najpierw stwierdzić czy rodzaj przetwarzania jakie ma zamiar prowadzić ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli stwierdzimy, ze tak wówczas trzeba dokonać oceny skutków już na etapie planowania działania.

Posted in Ochrona danych

Maj 30th, 2017 by D90aar_i-a

W celu ułatwienia udzielenia odpowiedzi na pytania przygotowane przez GIODO poniżej skrót informacji istotny do każdego pytania. Przydatna pomoc dla Administratorów Danych Osobowych. 

Pytanie1  Czy wiesz, kiedy zacznie obowiązywać ogólne rozporządzenie o ochronie

danych oraz jakie podstawowe zmiany wprowadza?

 

Rozporządzenie RODO zacznie obowiązywać od dnia 25 maja 2018r.

Najważniejsze informacje wynikające z rozporządzenia:Nie ma obowiązku posiadania dokumentów takich jak dotychczas np. Polityki bezpieczeństwa jednak w zamian Administrator Danych (AD) zobowiązany będzie do stworzenia własnych wewnętrznych procedur zapewniających przetwarzanie i ochronę danych zgodnie z rozporządzeniem;Nie ma obowiązku prowadzenia zbioru danych, ewidencji za to każdy proces realizowany przez firmę musi zostać rozłożony na czynniki pierwsze i uwzględniać również proces przetwarzania danych osobowych;

Odpowiedzialnym za procesy przetwarzania danych w firmie jest AD, a obecny Administrator Bezpieczeństwa Informacji (ABI) którego zastąpić ma Inspektor Ochrony Danych ma pełnić funkcje doradcze;

Podstawy przetwarzania danych sformułowane zostały w nieco inny sposób np. zgoda na przetwarzanie może dotyczyć większej liczby celów, przetwarzanie danych jest niezbędne dla wypełnienia obowiązku ciążącego na administratorze. Do tych podstaw opracowywane są przez Komisje Europejską wytyczne.

Podstawy prawne przetwarzania danych wrażliwych przede wszystkim zgoda odmienne jak jest to unormowane obecnie musi być wyraźna co nie oznacza, że musi być pisemna.

Definicja danych genetycznych (dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej) i biometycznych (definiowane jako dotyczące cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne.

Obowiązek informacyjny administratora danych obejmujący między innymi takie informacje jak: tożsamości dane kontaktowe AD, cele przetwarzania, okres przechowywania danych. Brak jego realizacji podlegał będzie karze pieniężnej.

Zasada Privacy by design czyli uwzględnianie ochrony danych osobowych w fazie projektowania przedsięwzięcia co sprowadza się do oceny skutków przedsięwzięcia, określenia obowiązków wynikających z ochrony danych przy jego realizacji, dokonanie oceny jakie środki zastosować by chronić prawa osób, których dane dotyczą.;

Zasada privacy by default czyli AD zobowiązany jest wdrożyć wyłącznie takie środki techniczne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania.

Zasada zgodnie z którą zasady ochrony danych powinny być wbudowane w każdy projekt zakładający przetwarzanie danych osobowych w taki sposób aby od samego początku jego istnienia ochrona danych stanowiła jego część składową.

Dla grupy spółek możliwość ustanowienia współadministratora danych.

Umowa powierzenia danych zmiany dotyczą możliwości audytowania procesora, bowiem odpowiedzialność karną za naruszenia ponosi zarówno podmiot, który powierza jak i sam powierzający jeżeli wybrał nieodpowiedni podmiot.

Notyfikacja- naruszenia prawa ochrony danych, które skutkują naruszeniem praw i wolności osób fizycznych AD jest zobowiązany zgłaszać w terminie nie późniejszym niż 72 godziny po stwierdzeniu naruszenia do organu nadzoru. Jeszcze nie określono w jakiej formie będzie to realizowane.

Administrator bezpieczeństwa Informacji zostanie zastąpiony Inspektem ochrony Danych(IDO), który będzie musiał mieć wiedze z zakresu prawa i IT. IDO podlega bezpośrednio najwyższemu kierownictwu. Ponadto ma wykonywać swoje zadania i obowiązki w sposób niezależny.

Zakłada się współprace działu prawnego i IT przy wdrażaniu postanowień GDPR i ocenie skutków nowych projektów.

Risk- based approach zakłada stworzenie systemu ochrony danych osobowych w firmie w oparciu o analizę ryzyka i uprzednie konsultacje.

Profilowanie danych rozumiane jako  dowolna forma zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się; dla osób których dotyczy przewidziano  rozporządzeniu prawo sprzeciwu;

Nowe pojęcie pseudoanimizacja polegająca na użyciu w miejsce rzeczywistej nazwy procesu lub osoby nazwy przybranej, pseudonimu. Całość danych łączących pseudonim z rzeczywistymi danymi dostępna tylko dla nielicznych osób.

Przy świadczeniu usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku na przetwarzanie danych dziecka, które nie ukończyło 16 roku życia niezbędna jest zgoda sprawującego władzę rodzicielką. Państwa Członkowskie mogą tą granice zmienić – minimalna granica to 13 lat.

Kary finansowe za naruszenia przepisów górna granica kar- 10 000 000 euro lub 2% rocznego światowego obrotu oraz 20 000 000 i 4% rocznego światowego obrotu istnieje możliwość złagodzenia kar, nakładane będą w wysokości proporcjonalnej do naruszenia i wielkości podmiotu.

Prawo do bycia zapomnianym czyli prawo do żądania przez osobę, której dane dotyczą niezwłocznego usunięcia dotyczących jej danych osobowych. Administrator ma obowiązek je usunąć i dodatkowo informuje inne podmioty, którym je udostępnił o żądaniu tej osoby. 

Pytanie nr 2 Czy słyszałeś o zasadzie rozliczalności i wiesz, jak wykazać

zgodność z przepisami rozporządzenia?

 

Zasada rozliczalności polega na tym, że administrator danych odpowiedzialny jest za przestrzeganie przepisów i musi być w stanie wykazać ich przestrzeganie. Administrator musi:

Przetwarzać dane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą;

Zbierać dane w konkretnych, wyraźnych i prawnie uzasadnionych celach;

Zbierać dane w sposób adekwatny, stosowny oraz ograniczony do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);

Zbierać prawidłowo dane i w razie potrzeby uaktualnianiane;

administrator musi podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane

przechowywać dane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane;

przetwarzać dane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych; 

Pytanie nr 3 Czy dokonałeś audytu przygotowawczego, odpowiadającego na pytania,

jakie dane osobowe i na jakiej podstawie prawnej przetwarzasz?

Trzeba przeprowadzić dokładny audyt przetwarzanych przez spółkę danych osobowych zgodnie z rozporządzeniem, które wprowadza nowe pojecie danych osobowych takich jak dane genetyczne ( i dane biometyczne i dane dotyczące zdrowia (obecnie wrażliwe) oraz wskazanie podstawy prawnej przetwarzania.

„dane genetyczne” oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej;

„dane biometryczne” oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne; 

„dane dotyczące zdrowia” oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia;

Pytanie nr 4 Czy wiesz, jakie zmiany nastąpią w dopełnianiu obowiązku

informacyjnego?

Obowiązki informacyjne:

obowiązek powiadomienia o sprostowaniu lub usunięciu danych każdego odbiorcę, któremu ujawniono dane osobowe;

przekazanie osobom, które dane są przetwarzane danych identyfikujących administratora; informacji o celach przetwarzania danych oraz podstawie prawnej przetwarzania, o okresie, przez który dane osobowe będą przechowywane, a gdy podanie takich informacji nie jest możliwe, kryteria ustalania tego okresu;

o prawie żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania;

o prawie wniesienia skargi do organu nadzorczego;

czy podanie danych osobowych jest wymogiem ustawowym albo umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych.

jeżeli administrator powołał inspektora ochrony danych, powinien podać dane kontaktowe takiej osoby;

jeżeli przetwarzanie odbywa się na podstawie zgody, administrator powinien podać informacje o prawie do cofnięcia zgody w dowolnym momencie;

w sytuacji, gdy przetwarzanie danych odbywa się w oparciu o prawnie uzasadniony interes realizowany przez administratora lub przez stronę trzecią, administrator powinien wskazać ten interes;

jeżeli przetwarzanie odbywa się na podstawie zgody lub umowy i jest dokonywane w sposób zautomatyzowany, to administrator powinien przekazać podmiotowi danych informacje o prawie do przenoszenia danych;

jeżeli dane będą przekazywane odbiorcom, wówczas administrator powinien poinformować osobę, której dane dotyczą, o odbiorcach lub o kategoriach odbiorców danych;

jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, to zgodnie z przepisami RODO przed dalszym przetwarzaniem powinien poinformować osobę, której dane dotyczą, o innym celu, oraz udzielić jej wszelkich innych stosownych informacji.

Posted in Ochrona danych

Maj 28th, 2017 by D90aar_i-a

Administratorzy danych powinni już teraz dokładnie na rok przed rozpoczęciem obowiązywania nowego rozporządzenia unijnego dot. ochrony danych osobowych tj. 25 maja 2018r. odpowiedzieć na pytania, które zamieszczone zostały an stronie GIODO. 17 pytań wskazuje Administratorowi jakie czynności powinien już wykonać żeby przygotować się do prawidłowego przetwarzania danych. Przede wszystkim zidentyfikować należny jakie dane przetwarzamy oraz kto ma do nich dostęp. Dopiero gdy tego dokonamy należy rozważyć jak możemy realizować obowiązki nałożone na nas rozporządzeniem. 

Całość pytań dostępna jest na  stronie GIODO.  

Posted in Ochrona danych

Maj 16th, 2017 by D90aar_i-a

W skrócie jest to proces oceny skutków przetwarzania danych osobowych, który zobowiązany jest dokonać Administrator Ochrony Danych Osobowych zgodnie z rozporządzeniem RODO, które zacznie obowiązywać w przyszłym roku.  Jak wskazuje wprost art. 35 rozporządzenia administratorzy nie zawsze będą zobowiązani do przeprowadzenia procedury oceny.  Administrator musi najpierw stwierdzić czy rodzaj przetwarzania jakie ma zamiar prowadzić ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli dojdzie do wniosku że tak będzie i odpowiedz na tak postawione pytanie będzie twierdząca zobowiązany jest przeprowadzić ocenę skutków. Oceny należy dokonać zanim administrator rozpocznie przetwarzanie. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę. Jak wskazuje rozporządzenie ocena skutków wymagana jest szczególnie w sytuacji:

  • systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
  • przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa;
  • systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie;

Ponadto organ nadzorczy może ustanowić i podać do wiadomości publicznej wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych. Dokonując samej oceny administrator powinien konsultować się z Inspektorem Ochrony Danych jeżeli został on wyznaczony, bowiem nie każdy musi go wyznaczyć. Inspektor zobowiązany jest w tym zakresie udzielić administratorowi stosownych zaleceń co do oceny skutków. Dokonując takiej oceny uwzględnić również należy reguły wyrażone w kodeksach postępowania wypracowanych dla pewnych grup podmiotów. Obecnie takie reguły dla nowych regulacje nie zostały wypracowane ale z czasem poszczególne grupy wytworzą pewnie swoje standardy postępowania. Wskazać również należy, że na taki proces składają się również bardzo ważnej konsultacji, zasięgnięcia opinii osób, których dane dotyczą, lub ich przedstawicieli w sprawie zamierzonego przetwarzania.

Nie zawsze jednak administrator będzie musiał przeprowadzić ocenę skutków przetwarzania danych. Będzie się tak działo między innymi w sytuacji gdy przetwarzanie  ma podstawę prawną w prawie Unii lub w prawie państwa członkowskiego, któremu podlega administrator, i prawo takie reguluje daną operację przetwarzania lub zestaw operacji, a oceny skutków dla ochrony danych dokonano już w ramach oceny skutków regulacji w związku z przyjęciem tej podstawy prawnej. Ponadto nie trzeba jej przeprowadzać gdy występuje szczątkowe ryzyko naruszenia danych osobowych. Po zakończeniu oceny i rozpoczęciu przetwarzania danych osobowych administrator powinien dokonywać przeglądu, by stwierdzić, czy przetwarzanie odbywa się zgodnie z oceną skutków dla ochrony danych dokonaną wcześniej.

Posted in Ochrona danych

Newsletter

FreshMail.pl