rodo i ochrona danych osobowych - ulc.gov.pl · urząd ochrony danych osobowych ul. stawki 2,...
TRANSCRIPT
Urząd Ochrony Danych Osobowych
ul. Stawki 2, 00-193 Warszawa
www.uodo.gov.pl
RODO i ochrona danych osobowych
w szkoleniu operatorów dronów
Krzysztof Król
Zespół Analiz i Strategii
Urząd Ochrony Danych Osobowych
Urząd Lotnictwa Cywilnego,
13.07.2018 r.
www.uodo.gov.plSlajd nr 2
Reforma prawa UE
ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679z dnia 27 kwietnia 2016 r.
DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/680z dnia 27 kwietnia 2016 r.
.
www.uodo.gov.plSlajd nr 3
Reforma prawa UE
Doprecyzowanie treści rozporządzenia
❑Nowa ustawa o ochronie danych osobowych
❑Nowelizacja przepisów sektorowych
www.uodo.gov.plSlajd nr 4
Reforma prawa UE
Doprecyzowanie treści rozporządzenia
❑Wytyczne Grupy Roboczej Art. 29 (EuropejskiejRady Ochrony Danych)
❑Opinie i wyjaśnienia GIODO
www.uodo.gov.plSlajd nr 5
Reforma prawa UE
Wytyczne Grupy Roboczej Art. 29
• Zgoda
• IOD
• Ocena skutków dla ochrony danych osobowych
• Zgłaszanie naruszeń ochrony danych
• Zasada przejrzystości
• Certyfikacja
• Mechanizmy współpracy
• Profilowanie
• Zasady działania Europejskiej Rady Ochrony Danych
• Opinia 1/2015 w sprawie kwestii ochrony danych
i prywatności dotyczących wykorzystania dronów
(WP231) z 16 czerwca 2015 r.
www.uodo.gov.plSlajd nr 6
Reforma prawa UE
Istota oraz cele unijnej reformy prawa ochronydanych osobowych:
❑ Lepsza ochrona danych osobowych w dobiepostępu technologicznego i globalizacji
❑Harmonizacja przepisów – spójny stopień ochronydanych w UE, pewność prawa dla przedsiębiorców(jeden zestaw przepisów dla całej UE)
www.uodo.gov.plSlajd nr 7
Reforma prawa UE
www.uodo.gov.plSlajd nr 8
Reforma prawa UE
Nowe podejście do ochrony danych osobowych
❑Dostosowanie zasad ochrony danych do aktualnegostanu wiedzy
❑Podejście oparte na ryzyku
❑Rozliczalność – wdrożenie i wykazanie przestrzegania przepisów o ochronie danych
www.uodo.gov.plSlajd nr 9
Reforma prawa UE
Nowe rozwiązania dla zwiększonego bezpieczeństwa danych
❑Ocena skutków dla ochrony danych
❑Uwzględnienie ochrony danych w fazieprojektowania i domyślna ochrona danych
www.uodo.gov.plSlajd nr 10
Reforma prawa UE – Ocena skutków
❑ Jeżeli dany rodzaj przetwarzania z dużym
prawdopodobieństwem może powodować wysokie
ryzyko naruszenia praw lub wolności osób
fizycznych, administrator przed rozpoczęciem
przetwarzania dokonuje oceny skutków
planowanych operacji przetwarzania dla ochrony
danych osobowych.
❑ Ocena skutków dla ochrony danych jest niezbędna
również w przypadku monitorowania na dużą skalę
miejsc publicznie dostępnych - w szczególności
za pomocą urządzeń optyczno-elektronicznych
www.uodo.gov.plSlajd nr 11
Reforma prawa UE – Ocena skutków
✓a) systematyczny opis planowanych operacji
przetwarzania i celów przetwarzania;
✓b) ocenę, czy operacje przetwarzania są niezbędne
oraz proporcjonalne w stosunku do celów;
✓c) ocenę ryzyka naruszenia praw lub wolności osób,
których dane dotyczą; oraz
✓d) środki planowane w celu zaradzenia ryzyku, w
tym zabezpieczenia oraz środki i mechanizmy
bezpieczeństwa
www.uodo.gov.plSlajd nr 12
Reforma prawa UE
Nowe rozwiązania wobec naruszeń danych
❑ Zgłaszanie naruszeń danych
❑Odpowiedzialność finansowa
www.uodo.gov.plSlajd nr 13
Reforma prawa UE
Nowe rozwiązania dla lepszej zgodności przetwarzania danych z przepisami rozporządzenia
❑Kodeksy postępowania i certyfikacja
www.uodo.gov.plSlajd nr 14
Zasady przetwarzania danych
Zasady przetwarzania danych – niezmienne
wartości
www.uodo.gov.plSlajd nr 15
UODO RODO
✓legalizm
✓celowość
✓merytoryczna poprawność
✓adekwatność
✓ograniczenie czasowe
✓zgodność z prawem,
rzetelność i przejrzystość
✓ograniczenie celu
✓minimalizacja danych
✓prawidłowość
✓ograniczenie
przechowywaniaintegralność i poufność
rozliczalność
Zasady przetwarzania danych
www.uodo.gov.plSlajd nr 16
Zasady przetwarzania danych – art. 5 RODO
„zgodność z prawem, rzetelność i przejrzystość”
„ograniczenie celu”
„minimalizacja danych”
www.uodo.gov.plSlajd nr 17
Zasady przetwarzania danych – art. 5 RODO
„prawidłowość”
„ograniczenie przechowywania”
„integralność i poufność”
www.uodo.gov.plSlajd nr 18
innowacje wprowadzane przez rozporządzenie
Rozliczalność czyli
Obowiązek przestrzegania zasad ochrony danych i zdolność do wykazania tego
poprzez
Wdrożenie wewnętrznych mechanizmów i procedur
www.uodo.gov.plSlajd nr 19
Dla realizacji zadań przez administratora
istotne jest:
Podsumowując …
zasady przetwarzania danych – niezmienne
wartości
niemniej
1. analiza nowego ukształtowania niektórych przesłanek
przetwarzania
2. analiza nowych pojęć i definicji
3. analiza modelu komunikowania o procesie przetwarzania
Urząd Ochrony Danych Osobowych
ul. Stawki 2, 00-193 Warszawa
www.uodo.gov.pl
[email protected] Liczba slajdów:
Podstawy prawne przetwarzania danych
oraz
uprawnienia osób, których dane dotyczą
Warszawa, 26.06.2018 r.
40
www.uodo.gov.plSlajd nr 22
AUDYT?
→ co jako administrator wiem o danych?
→ i sposobach ich przetwarzania?• jakie dane osobowe są przetwarzane?
• czy dane są prawidłowe i aktualne → aktualizacja danych: usunięcie,
sprostowanie danych?
• skąd dane pochodzą?
• jakie są podstawy prawne przetwarzania danych?
• czy i komu dane są udostępniane?
• jak dane są zabezpieczone?
→ analiza wszystkich operacji przetwarzania danych → procedur
przetwarzania → rejestr czynności przetwarzania
→ dokumentowanie przetwarzania → uporządkowanie dokumentacji →
zasada rozliczalności
www.uodo.gov.plSlajd nr 23
legalność – warunki zgodnego z prawem przetwarzania danych
- dane zwykłe art. 23 ustawy
- dane szczególnie chronione – art. 27 ustawy
Art. 6 RODO zgodność przetwarzania z prawem
Art. 9 RODO– przetwarzanie szczególnych kategorii danych
Art. 10 RODO – przetwarzanie danych osobowych dotyczących
wyroków skazujących i naruszeń prawa
PODSTAWY PRAWNE
www.uodo.gov.plSlajd nr 24
DANE ZWYKŁE
→ Zgoda
→ uprawnienie lub spełnienie obowiązku wynikającego z przepisu
prawa - WYPEŁNIENIE OBOWIĄZKU PRAWNEGO → w granicach
obowiązujących przepisów prawa
→ realizacja umowy, także przed zawarciem umowy
→ określone prawem zadania realizowane dla dobra publicznego
→ WYKONANIE ZADANIA REALIZOWANEGO W INTERESIE
PUBLICZNYM LUB W RAMACH SPRAWOWANIA WŁADZY
PUBLICZNEJ
→ wypełnianie prawnie usprawiedliwionych celów, a przetwarzanie nie
narusza praw i wolności osoby, której dane dotyczą / PRAWNIE
UZASADNIONE INTERESY→ to co nie jest zabronione
PODSTAWY PRAWNE
www.uodo.gov.plSlajd nr 25
informacja – obowiązek informacyjny unormowany w art. 24 i 25 ustawyArt. 12 RODO – przejrzyste informowanie i przejrzysta komunikacja oraz tryb wykonywania praw przez osobę, Art. 13 RODO – informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą, Art. 14 RODO – informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą
respektowanie praw osób, których dane dotyczą - art. 32-35 ustawyArt. 15 – 22 RODO szereg praw osób, których dane dotyczą
Uprawnienia podmiotów, których dane dotyczą
www.uodo.gov.plSlajd nr 26
Przejrzyste – w jaki sposób
→ Wszelkie informacje i komunikaty związane z przetwarzaniem
danych powinny być:
• łatwo dostępne
• zrozumiałe
• sformułowane jasnym i prostym językiem
Przejrzyste – jakie elementy
→informowanie podmiotów danych o:
• tożsamości administratora,
• celach przetwarzania
• innych informacji zapewniające rzetelność i przejrzystość
przetwarzania
• prawa osób
Legalność przetwarzania – zasada przejrzystości
www.uodo.gov.plSlajd nr 27
→podczas pozyskiwania
danych osobowych
•tożsamość administratora
i dane kontaktowe
•gdy ma to zastosowanie –
dane kontaktowe inspektora
ochrony danych
•cele przetwarzania danych
Informacje podawane w przypadku zbierania
danych od osoby, której dane dotyczą
www.uodo.gov.plSlajd nr 28
• okres, przez który dane osobowe będą przechowywane / kryteria ustalania
tego okresu
• informacje o prawach 1) dostępu do danych osobowych dotyczących
osoby, której dane dotyczą, 2) sprostowania, 3) usunięcia lub 4)
ograniczenia przetwarzania lub o 5) do wniesienia sprzeciwu wobec
przetwarzania, a także o 6) do przenoszenia danych;
• jeśli przetwarzane na podstawie zgody - informacje o prawie do cofnięcia
zgody w dowolnym momencie bez wpływu na zgodność z prawem
przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem
• informacje o prawie wniesienia skargi do organu nadzorczego;
• informację, czy podanie danych osobowych jest wymogiem ustawowym
lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane
dotyczą, jest zobowiązana do ich podania i jakie są ewentualne
konsekwencje niepodania danych;
• informacje o zautomatyzowanym podejmowaniu decyzji, w tym
o profilowaniu, o którym mowa w art. 22 ust. 1 i 4
Oraz niezbędne do zapewnienia rzetelności
i przejrzystości przetwarzania:
www.uodo.gov.plSlajd nr 29
nie mają zastosowania, gdy – i w zakresie, w jakim –
osoba, której dane dotyczą, dysponuje już tymi
informacjami.
Wyjątek
www.uodo.gov.plSlajd nr 30
→ podaje osobie, której dane dotyczą, następujące
informacje:• tożsamość i dane kontaktowe
• gdy ma to zastosowanie – dane kontaktowe inspektora ochrony
danych
• cele przetwarzania, do których mają posłużyć dane osobowe
• podstawę prawną przetwarzania
• kategorie odnośnych danych osobowych
• informacje o odbiorcach danych osobowych lub o kategoriach
odbiorców, jeżeli istnieją;
Informacje podawane w przypadku
pozyskiwania danych osobowych w sposób
inny niż od osoby, której dane dotyczą
www.uodo.gov.plSlajd nr 31
okres, przez który dane osobowe będą przechowywane / kryteria ustalania tego
okresu;
prawnie uzasadnione interesy realizowane przez administratora lub przez tronę
trzecią;
informacje o prawie do: 1) dostępu do danych osobowych dotyczących osoby, której
dane dotyczą, 2) sprostowania, 3) usunięcia lub 4) ograniczenia przetwarzania oraz
o 5) wniesienia sprzeciwu wobec przetwarzania, a także 6) przenoszenia danych;
• jeśli przetwarzane na podstawie zgody - informacje o prawie do cofnięcia zgody
w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego
dokonano na podstawie zgody przed jej cofnięciem
• informacje o prawie wniesienia skargi do organu nadzorczego;
• źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą
one ze źródeł publicznie dostępnych;
• informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu,
o którym mowa w art. 22 ust. 1 i 4
oraz informacje niezbędne do zapewnienia
rzetelności i przejrzystości przetwarzania
wobec osoby, której dane dotyczą:
www.uodo.gov.plSlajd nr 32
RODO – art. 14
Informacje te administrator podaje:
• w rozsądnym terminie po pozyskaniu danych osobowych –
najpóźniej w ciągu miesiąca – mając na uwadze konkretne
okoliczności przetwarzania danych osobowych;
• jeżeli dane osobowe mają być stosowane do komunikacji
z osobą, której dane dotyczą – najpóźniej przy pierwszej
takiej komunikacji z osobą, której dane dotyczą; lub
• jeżeli planuje się ujawnić dane osobowe innemu odbiorcy –
najpóźniej przy ich pierwszym ujawnieniu.
www.uodo.gov.plSlajd nr 33
• osoba, której dane dotyczą, dysponuje już tymi informacjami;
• udzielenie takich informacji okazuje się niemożliwe lub wymagałoby
niewspółmiernie dużego wysiłku (w szczególności cele archiwalne,
w interesie publicznym, do celów badań naukowych lub historycznych lub
do celów statystycznych
• pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub
prawem państwa członkowskiego, któremu podlega administrator,
przewidującym odpowiednie środki chroniące prawnie uzasadnione
interesy osoby, której dane dotyczą; lub
• dane osobowe muszą pozostać poufne zgodnie z obowiązkiem
zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub
w prawie państwa członkowskiego, w tym ustawowym obowiązkiem
zachowania tajemnicy.
Wyjątki
www.uodo.gov.plSlajd nr 34
Prawo dostępu → art. 15 – informacje + kopia danych podlegających
przetwarzaniu
Prawo do sprostowania danych → art. 16
Prawo do usunięcia danych „prawo do bycia zapomnianym”
→ art. 17,
www.uodo.gov.plSlajd nr 35
• potwierdzenie, czy przetwarzane są dane osobowe jej
dotyczące
• uzyskania dostępu do danych
• oraz informacji:
a) cele przetwarzania;
b) kategorie odnośnych danych osobowych;
c) informacje o odbiorcach lub kategoriach odbiorców
d) w miarę możliwości planowany okres przechowywania
danych osobowych, a gdy nie jest to możliwe, kryteria
ustalania tego okresu;
Prawo dostępu
www.uodo.gov.plSlajd nr 36
e) informacje o prawach do 1) żądania od administratora
sprostowania, 2) usunięcia lub 3) ograniczenia
przetwarzania danych osobowych dotyczącego osoby,
której dane dotyczą, oraz do 4) wniesienia sprzeciwu
wobec takiego przetwarzania;
f) informacje o prawie wniesienia skargi do organu
nadzorczego;
g) wszelkie dostępne informacje o ich źródle;
h) informacje o zautomatyzowanym podejmowaniu
decyzji, w tym o profilowaniu,
www.uodo.gov.plSlajd nr 37
RODO – art. 15
• Administrator dostarcza osobie, której dane dotyczą, kopię
danych osobowych podlegających przetwarzaniu
• Za kolejne kopie może pobrać opłatę w rozsądnej wysokości
wynikającej z kosztów administracyjnych
• Jeśli osoba tak oczekuje to powszechnie stosowaną drogą
elektroniczną.
www.uodo.gov.plSlajd nr 38
niezwłocznego sprostowania dotyczących danych osobowych,
które są nieprawidłowe
Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą,
ma prawo żądania uzupełnienia niekompletnych danych
osobowych, w tym poprzez przedstawienie dodatkowego
oświadczenia.
Prawo do sprostowania danych
www.uodo.gov.plSlajd nr 39
→„prawo do bycia zapomnianym”
jeżeli zachodzi jedna z następujących okoliczności:
• dane zbędne
• cofnięcie zgody
• wniesienie sprzeciwu
• przetwarzanie niezgodnie z prawem
• usunięcie w celu wywiązania się z obowiązku prawnego
przewidzianego w prawie Unii lub prawie państwa
członkowskiego, któremu podlega administrator;
• zebranie danych w związku z oferowaniem usług
społeczeństwa informacyjnego, o których mowa
w art. 8 ust. 1.
Prawo do usunięcia danych
www.uodo.gov.plSlajd nr 40
Wyjątki
• korzystanie z prawa do wolności wypowiedzi
i informacji;
• wywiązywanie się z prawnego obowiązku
• względy interesu publicznego w dziedzinie zdrowia
publicznego
• celów archiwalne w interesie publicznym, cele badań
naukowych lub historycznych lub do cele statystyczne
• do ustalenia, dochodzenia lub obrony roszczeń.
www.uodo.gov.plSlajd nr 41
Prawo do ograniczenia przetwarzania → art. 18
Prawo do przenoszenia danych – N O W E → art. 20 - otrzymanie
danych, które osoba dostarczyła administratorowi, przetwarzanych w
sposób zautomatyzowany na podstawie zgody lub umowy, w
odpowiednim formacie – ustrukturyzowanym i powszechnie
używanym, nadającym się do odczytu maszynowego, celem
przekazania innemu administratorowi
Prawo sprzeciwu → art. 21
www.uodo.gov.plSlajd nr 42
Prawo do ograniczenia przetwarzania
• kwestionowanie prawidłowość danych osobowych – na
okres pozwalający administratorowi sprawdzić
prawidłowość tych danych;
• przetwarzanie niezgodne z prawem + sprzeciw wobec
usunięcia → w zamian ograniczenie wykorzystywania;
• administrator nie potrzebuje już danych osobowych do
celów przetwarzania, ale dane są potrzebne osobie,
której dane dotyczą, do ustalenia, dochodzenia lub
obrony roszczeń;
• po wniesieniu sprzeciwu wobec przetwarzania – do
czasu stwierdzenia, czy prawnie uzasadnione podstawy
po stronie administratora są nadrzędne wobec podstaw
sprzeciwu osoby, której dane dotyczą.
www.uodo.gov.plSlajd nr 43
Prawo do przenoszenia danych
• otrzymanie w ustrukturyzowanym, powszechnie
używanym formacie nadającym się do odczytu
maszynowego danych dostarczonych administratorowi
• przesłanie tych danych innemu administratorowi bez
przeszkód ze strony administratora, któremu
dostarczono te dane osobowe
• prawo żądania, by dane osobowe zostały przesłane
przez administratora bezpośrednio innemu
administratorowi, o ile jest to technicznie możliwe
• Jeżeli przetwarzanie odbywa się
→ na podstawie zgody oraz w sposób zautomatyzowany
www.uodo.gov.plSlajd nr 44
Prawo do sprzeciwu
• prawo w dowolnym momencie wnieść sprzeciw – z przyczyn
związanych z jej szczególną sytuacją – wobec przetwarzania
dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e)
lub f), w tym profilowania na podstawie tych przepisów.
→ nie wolno już przetwarzać tych danych osobowych, chyba że
wykaże on istnienie ważnych prawnie uzasadnionych podstaw do
przetwarzania, nadrzędnych wobec interesów, praw i wolności
osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia
lub obrony roszczeń.
• sprzeciw wobec przetwarzania dotyczących jej danych osobowych
na potrzeby marketingu bezpośredniego, w tym profilowania
→ nie wolno już przetwarzać do takich celów.
www.uodo.gov.plSlajd nr 45
→ sprawdzić skuteczność stosowanych dotąd procedur
→ wypracować sposoby reakcji na wnioski osób, których dane
dotyczą o realizację ich praw z RODO
kto i na jakich zasadach będzie:
• zajmował się obsługą wniosków
• lokalizował dane w zbiorach
• usuwał / przygotowywał / udostępniał dane
• terminy z art. 13 i 14 RODO – nie dłużej niż miesiąc
• odpłatność / odmowa – w jakich sytuacjach?
www.uodo.gov.plSlajd nr 46
Dziękuję za uwagę
Weronika Kowalik