Podstawowe informacje związane z nowymi przepisami
Ochrona danych osobowych
RODO – Rozporządzenie o ochronie danych osobowych lub OROD – Ogólne rozporządzenie o ochronie danych (ang. General Data Protection Regulation, GDPR). Zawarty przez Unię Europejską zbiór przepisów związany z ochroną osób fizycznych. Dotyczy przetwarzania danych osobowych i ich swobodnego przepływu. Opublikowane przez Dziennik Urzędowy Unii Europejskiej L 119 4 maja 2016. Weszło w życie od 25 maja 2018. Obowiązuje wszystkie podmioty działające na terenie UE, w tym małe przedsiębiorstwa, jak i duże międzynarodowe korporacje.
Jakie kary za nieprzestrzeganie RODO?
Najwyższa kara wynosi 20 000 000 euro. Nieuczciwe przedsiębiorstwa mają zapłacić do 4% całkowitego rocznego światowego obrotu za poprzedni rok (art. 83 ust. 5 lit. a RODO).
Ogólne zasady przetwarzania danych:
- Zgodność z prawem, przejrzystość i rzetelność;
- Ograniczenia celu przetwarzania;
- Prawidłowość i minimalizacja;
- Ograniczenia przechowywania;
- Poufność i integralność;
- Rozliczalność.
Plan szkolenia krok po kroku:
1.Poznanie następujących pojęć:
- profilowanie,
- dane osobowe i biometryczne,
- pseudonimizacja;
2. Wprowadzenie RODO do organizacji:
- jak zacząć?
- na czym się skoncentrować?
- priorytety zadań,
- wymagane procedury;
3. Podstawowe zadania administratora i podmiotu przetwarzającego dane:
- przepisy prawa oraz zasady,
- privacy by design and by default,
- rejestr czynności przetwarzania i kategorii,
- obowiązki udzielania informacji;[Podział zawijania tekstu]
4. Rola inspektora ochrony danych:
- jakie ma kwalifikacje,
- pozycja w firmie;
5. Prawa osób związane z ich danymi:
- dostęp, zapomnienie i inne,
- jak wyglądają naruszenia ochrony danych osobowych? komu zgłosić uchybienia?[Podział zawijania tekstu][Podział zawijania tekstu]
Jak RODO zmieniło rodzime przepisy?
- Weszła w życie nowa Ustawa o ochronie danych osobowych z dnia 10 maja 2018 roku (obowiązująca od 25 maja 2018 roku);
- Administrator Bezpieczeństwa Informacji (ABI) został zastąpiony przez Inspektora Ochrony Danych Osobowych (IODO);
- Zlikwidowano instytucję Generalnego Inspektora Ochrony Danych Osobowych na rzecz Prezesa Urzędu Ochrony Danych Osobowych (PUODO).
Kogo dotyczy ochrona danych osobowych?
Wszystkich przedsiębiorców (w tym jednoosobowa działalność gospodarcza) bez podziału na ilość pracowników, wielkość czy zakres pracy (art. 2 i art. 3 RODO). Wyłączone są działalności nieobjęte prawem Unii Europejskiej, osoby fizyczne wykonujące czynności domowe lub osobiste.
Z jakimi informacjami są związane?
- imię i nazwisko;
- adres zamieszkania (lokalizacja);
- numer PESEL lub inny identyfikujący;
- nazwa email;
- czynniki określające fizjologiczną, fizyczną, genetyczną, psychiczną, ekonomiczną, społeczną lub kulturową tożsamość osoby fizycznej.
Jakich danych nie wolno przetwarzać?
Szczególnie chronionych takich jak:
- pochodzenie rasowe;
- stan zdrowia;
- orientacja seksualna;
- dane biometryczne.
Podstawowe operacje:
- zbieranie;
- zapisywanie;
- podgląd;
- modyfikacja;
- wykorzystanie;
- ujawnienie;
- rozpowszechnianie;
- udostępnianie;
- dopasowywanie;
- łączenie;
- niszczenie;
- ograniczanie;
- usuwanie.
W art. 6 RODO jest wymienionych kilka okoliczności uprawniających do przetwarzania danych osobowych.
Przedsiębiorca ma obowiązek uzyskania zgody na ich przetwarzanie od osoby, której dane te dotyczą lub też w sytuacji potrzebnej do wykonania umowy.
Administratorem danych może być osoba prawna lub fizyczna, która:
- wdraża procedury bezpieczeństwa;
- ustala sposób oraz cel pozyskania i przetworzenia;
- określa zakres;
- wykonuje akty prawny;
- zapewnienia bezpieczeństwo;
- oceni ryzyko naruszenia danych;
- uwzględni koszt zabezpieczeń.
W Rozporządzeniu można przeczytać, że zabezpieczenia mogą być w formie organizacyjnej lub technicznej. Powinny być związane z zakresem, charakterem, kontekstem, celem przetwarzania, a także brać pod uwagę ryzyko naruszenia wolności i praw osób, które te dane przekazały.
W RODO znajdujemy następujące wytyczne, które mogą być użyte przez administratora w odpowiednich okolicznościach:
- Stałe zapewnianie integralności, poufności, dostępności, odporności systemów i usług przetwarzania – poziom bezpieczeństwa powinien być taki sam.
- Wykonywanie kopii bezpieczeństwa danych. Możliwość przywrócenia dostępności danych osobowych również w razie incydentu technicznego lub fizycznego.
- Szyfrowanie i pseudonimizacja – przetwarzanie informacji osobowych tak, aby nie można było ich zidentyfikować i przypisać danej osobie, bez dostępu do innych informacji.
- Przeprowadzanie regularnych testów, sprawdzanie i mierzenie skuteczności środków organizacyjnych lub technicznych, które zapewniają bezpieczne przetwarzanie. Zabezpieczenia to ciągły proces, nieustannie poddawany analizie i udoskonaleniu.
- Bezpieczne środki:
organizacyjne:
- instrukcja ochrony;
- dopuszczanie jedynie upoważnionych pracowników;
- oraz zobowiązanie do zachowania tajemnicy;
- praktyka czystego ekranu i biurka;
- wydawanie uprawnionym klucze;
- rejestrowanie czynności przetwarzania, poza przedsiębiorcami zatrudniającym mniej niż 250 osób;
techniczne:
- szyfrowanie danych;
- ochrona przed szkodliwym oprogramowaniem;
- zabezpieczenia sieci komputerowej
- system uwierzytelniania z koniecznością wprowadzenia loginu użytkownika oraz hasła;
- szafy lub pomieszczenia do przechowywania informacji w formie fizycznej.
Należy pamiętać, że generowanie danych wiąże się z ryzykiem naruszenia wolności lub praw. Nie jest sporadyczne, obejmuje dane wrażliwe lub dotyczące naruszeń prawa i wyroków skazujących.
Kto to jest Inspektor ochrony danych osobowych i kiedy zostaje powołany?
Wspiera przedsiębiorstwa w przestrzeganiu przepisów. Udziela informacji o obowiązkach związanych z RODO dla podmiotu przetwarzającego lub administratora. Oprócz tego współpracuje z PUODO. Obowiązek wyznaczenia inspektora występuje w pewnych sytuacjach na podstawie art. 37 RODO, gdy:
“przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości; główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.”