Pytania GIODO odpowiedzi część I

W celu ułatwienia udzielenia odpowiedzi na pytania przygotowane przez GIODO poniżej skrót informacji istotny do każdego pytania. Przydatna pomoc dla Administratorów Danych Osobowych. 

Pytanie1  Czy wiesz, kiedy zacznie obowiązywać ogólne rozporządzenie o ochronie

danych oraz jakie podstawowe zmiany wprowadza?

 

Rozporządzenie RODO zacznie obowiązywać od dnia 25 maja 2018r.

Najważniejsze informacje wynikające z rozporządzenia:Nie ma obowiązku posiadania dokumentów takich jak dotychczas np. Polityki bezpieczeństwa jednak w zamian Administrator Danych (AD) zobowiązany będzie do stworzenia własnych wewnętrznych procedur zapewniających przetwarzanie i ochronę danych zgodnie z rozporządzeniem;Nie ma obowiązku prowadzenia zbioru danych, ewidencji za to każdy proces realizowany przez firmę musi zostać rozłożony na czynniki pierwsze i uwzględniać również proces przetwarzania danych osobowych;

Odpowiedzialnym za procesy przetwarzania danych w firmie jest AD, a obecny Administrator Bezpieczeństwa Informacji (ABI) którego zastąpić ma Inspektor Ochrony Danych ma pełnić funkcje doradcze;

Podstawy przetwarzania danych sformułowane zostały w nieco inny sposób np. zgoda na przetwarzanie może dotyczyć większej liczby celów, przetwarzanie danych jest niezbędne dla wypełnienia obowiązku ciążącego na administratorze. Do tych podstaw opracowywane są przez Komisje Europejską wytyczne.

Podstawy prawne przetwarzania danych wrażliwych przede wszystkim zgoda odmienne jak jest to unormowane obecnie musi być wyraźna co nie oznacza, że musi być pisemna.

Definicja danych genetycznych (dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej) i biometycznych (definiowane jako dotyczące cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne.

Obowiązek informacyjny administratora danych obejmujący między innymi takie informacje jak: tożsamości dane kontaktowe AD, cele przetwarzania, okres przechowywania danych. Brak jego realizacji podlegał będzie karze pieniężnej.

Zasada Privacy by design czyli uwzględnianie ochrony danych osobowych w fazie projektowania przedsięwzięcia co sprowadza się do oceny skutków przedsięwzięcia, określenia obowiązków wynikających z ochrony danych przy jego realizacji, dokonanie oceny jakie środki zastosować by chronić prawa osób, których dane dotyczą.;

Zasada privacy by default czyli AD zobowiązany jest wdrożyć wyłącznie takie środki techniczne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania.

Zasada zgodnie z którą zasady ochrony danych powinny być wbudowane w każdy projekt zakładający przetwarzanie danych osobowych w taki sposób aby od samego początku jego istnienia ochrona danych stanowiła jego część składową.

Dla grupy spółek możliwość ustanowienia współadministratora danych.

Umowa powierzenia danych zmiany dotyczą możliwości audytowania procesora, bowiem odpowiedzialność karną za naruszenia ponosi zarówno podmiot, który powierza jak i sam powierzający jeżeli wybrał nieodpowiedni podmiot.

Notyfikacja- naruszenia prawa ochrony danych, które skutkują naruszeniem praw i wolności osób fizycznych AD jest zobowiązany zgłaszać w terminie nie późniejszym niż 72 godziny po stwierdzeniu naruszenia do organu nadzoru. Jeszcze nie określono w jakiej formie będzie to realizowane.

Administrator bezpieczeństwa Informacji zostanie zastąpiony Inspektem ochrony Danych(IDO), który będzie musiał mieć wiedze z zakresu prawa i IT. IDO podlega bezpośrednio najwyższemu kierownictwu. Ponadto ma wykonywać swoje zadania i obowiązki w sposób niezależny.

Zakłada się współprace działu prawnego i IT przy wdrażaniu postanowień GDPR i ocenie skutków nowych projektów.

Risk- based approach zakłada stworzenie systemu ochrony danych osobowych w firmie w oparciu o analizę ryzyka i uprzednie konsultacje.

Profilowanie danych rozumiane jako  dowolna forma zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się; dla osób których dotyczy przewidziano  rozporządzeniu prawo sprzeciwu;

Nowe pojęcie pseudoanimizacja polegająca na użyciu w miejsce rzeczywistej nazwy procesu lub osoby nazwy przybranej, pseudonimu. Całość danych łączących pseudonim z rzeczywistymi danymi dostępna tylko dla nielicznych osób.

Przy świadczeniu usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku na przetwarzanie danych dziecka, które nie ukończyło 16 roku życia niezbędna jest zgoda sprawującego władzę rodzicielką. Państwa Członkowskie mogą tą granice zmienić – minimalna granica to 13 lat.

Kary finansowe za naruszenia przepisów górna granica kar- 10 000 000 euro lub 2% rocznego światowego obrotu oraz 20 000 000 i 4% rocznego światowego obrotu istnieje możliwość złagodzenia kar, nakładane będą w wysokości proporcjonalnej do naruszenia i wielkości podmiotu.

Prawo do bycia zapomnianym czyli prawo do żądania przez osobę, której dane dotyczą niezwłocznego usunięcia dotyczących jej danych osobowych. Administrator ma obowiązek je usunąć i dodatkowo informuje inne podmioty, którym je udostępnił o żądaniu tej osoby. 

Pytanie nr 2 Czy słyszałeś o zasadzie rozliczalności i wiesz, jak wykazać

zgodność z przepisami rozporządzenia?

 

Zasada rozliczalności polega na tym, że administrator danych odpowiedzialny jest za przestrzeganie przepisów i musi być w stanie wykazać ich przestrzeganie. Administrator musi:

Przetwarzać dane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą;

Zbierać dane w konkretnych, wyraźnych i prawnie uzasadnionych celach;

Zbierać dane w sposób adekwatny, stosowny oraz ograniczony do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);

Zbierać prawidłowo dane i w razie potrzeby uaktualnianiane;

administrator musi podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane

przechowywać dane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane;

przetwarzać dane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych; 

Pytanie nr 3 Czy dokonałeś audytu przygotowawczego, odpowiadającego na pytania,

jakie dane osobowe i na jakiej podstawie prawnej przetwarzasz?

Trzeba przeprowadzić dokładny audyt przetwarzanych przez spółkę danych osobowych zgodnie z rozporządzeniem, które wprowadza nowe pojecie danych osobowych takich jak dane genetyczne ( i dane biometyczne i dane dotyczące zdrowia (obecnie wrażliwe) oraz wskazanie podstawy prawnej przetwarzania.

„dane genetyczne” oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej;

„dane biometryczne” oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne; 

„dane dotyczące zdrowia” oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia;

Pytanie nr 4 Czy wiesz, jakie zmiany nastąpią w dopełnianiu obowiązku

informacyjnego?

Obowiązki informacyjne:

obowiązek powiadomienia o sprostowaniu lub usunięciu danych każdego odbiorcę, któremu ujawniono dane osobowe;

przekazanie osobom, które dane są przetwarzane danych identyfikujących administratora; informacji o celach przetwarzania danych oraz podstawie prawnej przetwarzania, o okresie, przez który dane osobowe będą przechowywane, a gdy podanie takich informacji nie jest możliwe, kryteria ustalania tego okresu;

o prawie żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania;

o prawie wniesienia skargi do organu nadzorczego;

czy podanie danych osobowych jest wymogiem ustawowym albo umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych.

jeżeli administrator powołał inspektora ochrony danych, powinien podać dane kontaktowe takiej osoby;

jeżeli przetwarzanie odbywa się na podstawie zgody, administrator powinien podać informacje o prawie do cofnięcia zgody w dowolnym momencie;

w sytuacji, gdy przetwarzanie danych odbywa się w oparciu o prawnie uzasadniony interes realizowany przez administratora lub przez stronę trzecią, administrator powinien wskazać ten interes;

jeżeli przetwarzanie odbywa się na podstawie zgody lub umowy i jest dokonywane w sposób zautomatyzowany, to administrator powinien przekazać podmiotowi danych informacje o prawie do przenoszenia danych;

jeżeli dane będą przekazywane odbiorcom, wówczas administrator powinien poinformować osobę, której dane dotyczą, o odbiorcach lub o kategoriach odbiorców danych;

jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, to zgodnie z przepisami RODO przed dalszym przetwarzaniem powinien poinformować osobę, której dane dotyczą, o innym celu, oraz udzielić jej wszelkich innych stosownych informacji.

Maj 30th, 2017 by

Newsletter

FreshMail.pl