W niniejszej części szkolenia, prezentujemy Państwu zestawienie VIDEO zrealizowanych podczas szkoleń stacjonarnych. W dalszej części szkolenia w poszczególnych rozdziałach - nieniejsze materiały VIDEO będą dostępne na dole poszczególnych części tematycznych, Całość materiałów jest podzielona na 8 tematycznych części.

 

Procedury UE (RODO) Wstęp - Od nowych do starych procedur ochrony danych

cz. 1

https://www.youtube.com/watch?v=efDljXxJCSM#action=share

cz. 2

https://www.youtube.com/watch?time_continue=2&v=y8wHM4u78pk

procedura naruszeń w każdej firmie

https://www.youtube.com/watch?v=8BZVoYOpPRU

Procedura zgłaszania naruszeń Cz. I

https://www.youtube.com/watch?v=X4-cFuqZD_0

Procedura zgłaszania naruszeń Cz. II

https://www.youtube.com/watch?v=gM1kBtzGVC4

Część I - Szkolenie ochrony danych - Przetwarzanie danych i podstawy prawne przetwarzania (UE)

https://www.youtube.com/watch?v=LiZww4GL4gU

Część II - Szkolenie ochrony danych - Przetwarzanie danych i podstawy prawne przetwarzania (UE)

https://www.youtube.com/watch?v=iwjHzWIyt_0

Część III - Szkolenie ochrony danych - ABI - Administrator Bezpieczeństwa Informacji i perspektywa funkcji DPO (Inspektora Ochrony Danych)

https://www.youtube.com/watch?v=mTFVmhJcDJI

Część IV - Naruszenie ochrony danych i sankcje karne w perspektywie procedur UE (RODO)

https://www.youtube.com/watch?v=LEcREvkYNS0

Rejestry Czynności Przetwarzania danych zastępują Rejestrację GIODO w 2018 roku

https://www.youtube.com/watch?v=brlx83AuDFU

Procedura oceny ryzyka jako jeden z kluczowych elementów RODO

https://www.youtube.com/watch?v=-abKZYv-GtY

Szkolenie UE RODO - Procedura oceny ryzyka jako jeden z kluczowych elementów RODO - Część II

https://www.youtube.com/watch?v=Y9AQgL39YjE

Kary za uchybienia ochrony danych wg UE RODO od 25 maja 2018 roku warsztaty

https://www.youtube.com/watch?v=oe9ps8kJszs

Część V - Szkolenie ochrony danych ( 2017) Praktyczne aspekty przetwarzania danych - studium przypadków, klauzule informacyjne

https://www.youtube.com/watch?v=ACb4Wdeq6Vs

Część VI - Praktyczne aspekty przetwarzania danych - obowiązki zgłoszeniowe zbiorów, kategorie zbiorów danych osobowych, klauzule informacyjne cd.

https://www.youtube.com/watch?v=FkgY1eilHJI

Część VII - Dokumentacja przetwarzania danych - omówienie wdrożenia

https://www.youtube.com/watch?v=oV92C01T7ms

Część VIII - Zgłoszenie Zbioru danych do GIODO

https://www.youtube.com/watch?v=aLJL-K2DrIc

 

Część I 

Wstęp do ochrony danych osobowych

Główne pojęcia:

  • RODO, Rozporządzenie UE – należy przez to rozumieć Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Tekst mający znaczenie dla EOG)

  • Administrator danych osobowych (często w praktyce stosuje się skrót „ADO”), czyli organ, jednostka organizacyjna, lub osoba, o których mowa w art. 3 ustawy, decydujące o celach i środkach przetwarzania danych osobowych. Administratorem danych osobowych jest np. osoba prowadząca działalność gospodarczą lub spółka (należy jednak pamiętać, że np. spółka z ograniczoną odpowiedzialnością działa przez swoje organy, więc praktyce - obowiązki ADO w spółce z o.o. wykonywane będą przez prezesa zarządu, jako osobę, która stoi na czele struktury organizacyjnej). 

Dane osobowe dzielimy na:

  1. „zwykłe”: np. imię, nazwisko, adres, nr telefonu, mail itd.. Inaczej mówiąc „jakiekolwiek informacje, o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych” Inaczej mówiąc, jeżeli jakieś informacje można powiązać konkretną osobą, to należy uznać je za dane osobowe

  2. „wrażliwe”: ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, danych biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub DANE DOTYCZĄCE ZDROWIA, seksualności lub orientacji seksualnej tej osoby.

Przetwarzanie danych wg RODO - art. 4 pkt 2 RODO nie różni się znacząco:

„przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

Uwaga dodatkowa (motyw preambuły 26 RODO):

W systemie informatycznym przetwarzaniem jest jakakolwiek czynność, a przy danych „papierowych” dodatkowo musi być spełnionym warunek istnienia zbioru danych, czyli uporządkowanego zestawu danych dostępnego wg. Określonych kryteriów (alfabetycznie, chronologicznie itd.)

Inaczej mówiąc, w przypadku działania systemu informatycznego nie musi istnieć zbiór danych, by zastosowana była definicja „przetwarzania.”

RODO, Rozporządzenie UE należy przez to rozumieć Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Tekst mający znaczenie dla EOG)

UODO, ustawa o ochronie danych osobowych - należy przez to rozumieć ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 1997 Nr 133 poz. 883 z późn. zm.)

Rozporządzenie do art. 39a uodo należy przez to rozumieć rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. Nr 100, poz. 1024)

ADO - Administrator danych osobowych (często w praktyce stosuje się skrót „ADO”), czyli organ, jednostka organizacyjna, lub osoba, o których mowa w art. 3 ustawy, decydujące o celach i środkach przetwarzania danych osobowych. Administratorem danych osobowych jest np. osoba prowadząca działalność gospodarczą lub spółka (należy jednak pamiętać, że np. spółka z ograniczoną odpowiedzialnością działa przez swoje organy, więc praktyce - obowiązki ADO w spółce z o.o. wykonywane będą przez prezesa zarządu,  jako osobę,  która stoi na  czele struktury  organizacyjnej).

Administratora danych osobowych nie należy mylić z administratorem bezpieczeństwa informacji (w praktyce określanym jako „ABI”) - 

Zbiór danych osobowych - Zgodnie z art. 7 pkt 1 uodo: zbiorem danych określa się każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. W praktyce należy odróżnić pojęcie zbioru danych od często stosowanego w praktyce pojęcia „bazy danych”, które zostało zdefiniowane odrębnej ustawie. Należy pamiętać, że jeden zbiór danych może być przetwarzany przy użyciu różnych „narzędzi” – takimi narzędziami mogą być konkretne programy informatyczne – np. zbiór danych osobowych pracowników może być przetwarzany przy użyciu różnego rodzaju programów, kartotek lub ewidencji, ale to nie oznacza, że każdy z tych programów stanowi odrębny zbiór danych. Decydującym kryterium przy wyodrębnianiu zbioru danych powinien być cel przetwarzania i podstawa prawna.

Inwentaryzacja (Data Mapping) –  tj. sprawdzenie jakie dane, w jakim celu, jak długo i na jakiej podstawie prawnej wykorzystuje organizacja. To jest niezbędna baza dla dalszych działań, tj. przeanalizowanie przez organizacje w jakim stopniu GDPR zmienia dotychczasowe bądź wprowadza nowe obowiązki związane dla danej branży.

Inwentaryzacja zasobów informatycznych  –  Inwentaryacja sprzętu i oprogramowania – należy ustalić, „co się ma” by potem móc podjąć racjonalną decyzję „jak to chronić”

Rejestr Czynności przetwarzania danych –  To istotny element dokumentacji danych osobowych wymaganej przez unijne rozporządzenie RODO. Celem prowadzenia rejestru jest dokumentowanie czynności przetwarzania danych osobowych. W przypadku podmiotów przetwarzających będzie to rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora .

Może on być prowadzony zarówno w formie papierowej, jak i elektronicznej.

Nowy obowiązek dotyczy prawie wszystkich administratorów danych. Teoretycznie zwolnieni z niego są ci przedsiębiorcy, który zatrudniają mniej niż 250 osób. Ale w praktyce niewielu przedsiębiorców skorzysta z tego zwolnienia.

Procedura naruszeniowa -  polega na  przyjęciu metodologii klasyfikowania naruszeń ochrony danych osobowych obejmującej prowadzenie wewnętrznego rejestru naruszeń, zgłaszania naruszeń do organu nadzorczego oraz informowanie osób, których naruszenie dotyczyło – z uwzględnieniem wymagań ustanowionych w art. 33-34 RODO oraz wytycznych grupy roboczej art. 29 z 3 października 2017 roku (WP 250 – „Guidelines on Personal data breach notification under Regulation 2016/679”) oraz dokumentu ENISA z grudnia 2013 roku „Recommendations  for a methodology of the assessment  of severity of personal data breaches”.


Grupa Robocza art. 29 - Zespół roboczy ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych (ang. Working Party on the Protection of Indyviduals with regard to the Processing of Personal Data) - niezależny podmiot o charakterze doradczym, powołany na mocy art. 29 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.

Zespół roboczy tworzą przedstawiciele organów nadzorczych w zakresie ochrony danych osobowych powołanych przez państwa Unii. Zespół roboczy działa w oparciu o regulamin, a jego pracą kieruje przewodniczący, którego kadencja wynosi 2 lata. Decyzje podejmowane są zwykłą większością głosów przedstawicieli krajowych organów nadzorczych.

Celem Zespołu roboczego jest przyczynianie się do jednolitego stosowania dyrektywy we wszystkich krajach członkowskich, opiniowanie projektów wspólnotowych aktów normatywnych z zakresu ochrony prywatności, wydawanie opinii w sprawie istniejącego poziomu ochrony danych osobowych w krajach wspólnoty jak i poza Unią.

DPO / IOD –  Po wejściu do stosowania w dniu 25 maja 2018 r. rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (ogólnego rozporządzenia o ochronie danych, zwanego dalej również „RODO”) rolę fachowego wsparcia dla administratorów danych i podmiotów przetwarzających odgrywać będą inspektorzy ochrony danych (zwani dalej również „DPO” od data protection officer). Zadaniem inspektorów ochrony danych - tak jak obecnie administratorów bezpieczeństwa informacji (ABI) - będzie działanie na rzecz zgodnego z przepisami o ochronie danych przetwarzania danych, zarówno w administracji publicznej, jak i w sektorze prywatnym.

DPIA -  Data Protection Impact Assessment (DPIA), czyli ocena skutków dla ochrony danych, to proces budowania i demonstrowania zgodności z zapisami RODO.

Raporty DPIA są ważnymi narzędziami dla odpowiedzialności, jako że pomagają administratorom danych nie tylko być w zgodności z wymaganiami RODO, ale także udowodnić, że odpowiednie środki były przedsięwzięte do zapewnienia zgodności z regulacjami (zobacz też art. 24 Rozporządzenia). Innymi słowy, DPIA jest procesem budowania i demonstrowania zgodności z zapisami RODO.

Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady WE - zawiera definicje podstawowych terminów odnoszących się do dziedziny danych osobowych, ustala zasady zbierania, gromadzenia, przechowywania i udostępniania danych osobowych. Określa zasady i warunki zgodności przetwarzania danych osobowych z prawem oraz prawa osób, których dane dotyczą

Przetwarzanie   danych -   zgodnie ze starym porządkiem prawnym i ustawą o ochronie danych z 1997 r.    z   art.   7   pkt   2   uodo:   jakiekolwiek   operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Należy zwrócić uwagę, że już samo przechowywanie danych stanowi ich przetwarzanie w rozumieniu uodo – definicja została więc określona w sposób bardzo szeroki.

1.1. Przepisy o ochronie danych osobowych nie dotyczą sytuacji:          

  • w których dane są przetwarzane przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze;
  • W których dane osobowe są przetwarzane np. w ramach działalności zakładu pracy, ale odbywa się to poza systemem informatycznym (na papierze) w sposób nieuporządkowany, jednak z uwagi na
  • niebezpieczeństwo wysokich kar finansowych należy przyjąć założenie, że wszystko to, co jest
  • pozyskiwane w ramach działalności zakładu pracy, powinno być objęte procedurami postępowania z danymi osobowymi.
  • RODO nie dotyczy danych kontaktowych osób prawnych.

1.2. Reforma przepisów o ochronie danych osobowych w 2018 roku

- Do dnia 25 maja 2018 roku, kwestie przetwarzania danych osobowych uregulowane są w ustawie z 1997 roku o ochronie danych osobowych (która weszła w życie 1998 roku)

-Dotychczasowa ustawa wprowadzała do polskiego porządku prawnego dyrektywę 95/46, która na szczeblu europejskim regulowała główne zasady przetwarzania danych osobowych.

-Z dniem 25 maja 2018 roku, zostanie przyjęte do stosowania rozporządzenie UE 2016/679 (RODO), które zastąpi dyrektywę 95/46

-Różnica pomiędzy dyrektywą a rozporządzeniem polega na tym, że dyrektywa „potrzebuje” krajowej ustawy, by w praktyce obowiązywała w państwach UE – a rozporządzenie UE jest stosowane bezpośrednio – tak, jakby dla wszystkich 28 Państw członkowskich została wydana jedna ustawa (przetłumaczona na wszystkie 24 języki urzędowe).

  • Polska będzie miała nową ustawę o ochronie danych osobowych, ale będzie ona regulowała kwestie proceduralne, formalne – a najważniejsze postanowienia zawarto już w RODO. Nowa krajowa ustawa o ochronie danych osobowych będzie też zawierała ograniczenia stosowania niektórych obowiązków wskazanych w RODO – np. obowiązku informacyjnego (ale jedynie w niewielkim zakresie).

1.3. Najważniejsze pojęcia zawarte w przepisach o ochronie danych osobowych

Dane osobowe dzielimy na:

  1. „zwykłe” : np. imię, nazwisko, adres, nr telefonu, mail itd.. Inaczej mówiąc „jakiekolwiek informacje, o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych”

Inaczej mówiąc, jeżeli jakieś informacje można powiązać konkretną osobą, to należy uznać je za dane osobowe 

Definicja danych osobowych zwykłych została oparta o katalog  „otwarty”, co oznacza, że ustawa nie zawiera ścisłego wyliczenia informacji, które uznajemy za dane osobowe zwykłe.

Przepisy o ochronie danych osobowych dotyczą jedynie osób fizycznych – czyli od urodzenia do śmierci, nie dotyczą zatem danych dotyczących osób zamarłych.

  1. „wrażliwe”: ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, danych biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub DANE DOTYCZĄCE ZDROWIA, seksualności lub orientacji seksualnej tej osoby.

Definicja danych wrażliwych została oparta o katalog  „zamknięty”, co oznacza, że jako dane wrażliwe (tzw. szczególne kategorie danych osobowych) uznajemy wyłącznie te informacje, które zostały ściśle wskazane w konkretnym przepisie – art. 9 RODO.

Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej.

Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny.

Zasady ochrony danych nie mają zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować.

Przetwarzanie danych wg RODO - art. 4 pkt 2 RODO:

„przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

Administratorem danych osobowych – ADO, zgodnie z art. 4 pkt 7 RODO jest „osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych”.

Administratorem danych osobowych w przypadku osoby fizycznej prowadzącej działalność gospodarczą jest ta osoba fizyczna, a w przypadku spółki – ta spółka.

 

 

Część I - Szkolenie ochrony danych - podstawowe akty prawne i perspektywy zmian UE

https://www.youtube.com/watch?v=LiZww4GL4gU