RODO - jak właściwie zabezpieczyć firmę - specjalistyczne szkolenie w zakresie ochrony danych osobowych i przepisów krajowych - program online i stacjonarnego
MODUŁ I. WPROWADZENIE
Omówienie podstawowych założeń RODO oraz przedmiotowy i podmioty zakres obowiązywania przepisów o ochronie danych osobowych.
- Przedmiot i cele RODO
- Definicje (dane osobowe, anonimizacja, pseudonimizacja, zbiór danych, przetwarzanie danych i inne …)
- Przedmiotowy i terytorialny zakres stosowania RODO
- Przetwarzanie danych do celów osobistych lub domowych jako wyjątek od zakresu przedmiotowego
- Zasady przetwarzania danych osobowych
- Zasady lawfulness, fairness and transparency
- Zasada purpose limitation
- Zasada data minimisation
- Zasada accuracy
- Zasada storage limitation
MODUŁ II. PODSTAWY PRAWNE PRZETWARZANIA DANYCH OSOBOWYCH
Podstawy prawne przetwarzania danych osobowych to jedno z najbardziej istotnych zagadnień na gruncie ogólnego rozporządzenia o ochronie danych (RODO). Art. 6 RODO wskazuje podstawy prawne przetwarzania danych osobowych. Oznacza to, że dane osobowe można przetwarzać wyłącznie pod warunkiem wykazania, że przetwarzanie odbywa się z powołaniem na jedną z przesłanek legitymizacyjnych określonych w art. 6 ust. 1 lit. a - f RODO. Odnosi się to zarówno do tzw. „zwykłych” danych osobowych, jak i szczególnych kategorii danych osobowych (wcześniej zwanych danymi wrażliwymi).
- Zgoda na przetwarzanie danych osobowych - Warunki wyrażenia zgody, ważność zgody i jej forma
- Przetwarzanie danych w celu zawarcia lub wykonania umowy
- Przetwarzanie danych w celu spełnienia obowiązku prawnego
- Przetwarzanie danych w celu ochrony żywotnych interesów
- Przetwarzanie danych w interesie publicznym
- Przetwarzanie danych osobowych w ramach prawnie uzasadnionych interesów administratora danych
MODUŁ III. DANE SZCZEGÓLNYCH KATEGORII (ART. 9 I 10 RODO)
Dla szczególnych kategorii danych osobowych prawodawca unijny wprowadził większe restrykcje. Co do zasady przetwarzanie szczególnych kategorii danych osobowych jest niedopuszczalne. Takie dane można przetwarzać, jeśli zostanie spełniony dodatkowo jeden z warunków określonych w art. 9 ust. 2 RODO.
MODUŁ IV. ADMINISTRATOR DANYCH OSOBOWYCH (ADO)
Administrator danych, aby przetwarzać dane osobowe zgodnie z przepisami ustawy o ochronie danych osobowych, musi spełnić jeden z warunków decydujący o tym, że takie działanie jest legalne. Ponadto musi dopełnić obowiązku zgłoszenia zbioru do rejestracji w prowadzonym przez GIODO ogólnokrajowym, jawnym rejestrze zbiorów danych osobowych i obowiązku informacyjnego, a ponadto we właściwy sposób zabezpieczać zgromadzone dane, dbać o interesy osób, których dane dotyczą i respektować ich prawa gwarantowane ustawą o ochronie danych osobowych.
- Rola ADO
- Obowiązki ADO
MODUŁ V. PODMIOT PRZETWARZAJĄCY
Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia i chroniło prawa osób, których dane dotyczą.
- Definicja
- Umowa z ADO
- Obowiązki wynikające z RODO
MODUŁ VI. REJESTROWANIE CZYNNOŚCI PRZETWARZANIA DANYCH
Ogólne rozporządzenie o ochronie danych (RODO) przewiduje, że administratorzy danych oraz podmioty przetwarzające mają obowiązek prowadzenia odpowiednio rejestru czynności lub rejestru kategorii czynności. Art. 30 RODO wskazuje ich obligatoryjne składniki, niemniej przepis ten może budzić wątpliwości co do znaczenia poszczególnych użytych w jego treści pojęć oraz sposobu wykonania tego obowiązku.
MODUŁ VII. PRAWA JEDNOSTKI
Zadaniem administratora danych osobowych jest dostosowanie systemów informatycznych tak, aby na każde żądanie osoby, której dane dotyczą, można było między innymi usunąć całkowicie jej dane osobowe, czy przenieść je do innego usługodawcy. Przykładowo, zmieniając placówkę medyczną, możemy żądać, żeby obecny podmiot przetwarzający nasze dane wygenerował plik z wszystkimi naszymi danymi osobowymi, przekazał go nam, a następnie usunął je ze wszystkich swoich nośników, na których przechowuje dane osobowe. Administrator danych ma również obowiązek udzielenia wszelkich informacji na temat danych osobowych osobie, której te dane dotyczą. W przypadku złożenia zapytania przez tę osobę, powstanie obowiązek udzielenia odpowiedzi na zadane pytanie w terminie miesiąca.
- Prawo do informacji i obowiązek informacyjny
- Prawo dostępu do danych
- Prawo do korekty danych
- Prawo sprzeciwu wobec przetwarzania danych
- Prawo do usunięcia danych, do bycia zapomnianym
- Prawo do ograniczenia przetwarzania
- Prawo do przenoszenia danych (od jednego administratora do drugiego)
MODUŁ VIII. BEZPIECZEŃSTWO DANYCH ZGODNIE Z RODO
Przepisy wymagają nie tylko stosowania procesu zarządzania ryzykiem zgodnego z RODO jako jednego z elementów ochrony danych osobowych, ale wprowadzają podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu.
- Analiza ryzyka
- Privacy by design
- Privacy by default
- Ocena skutków dla ochrony danych
MODUŁ IX. PROCEDURA Z INCYDENTAMI
Zgodnie z definicją zawartą w art. 4 pkt. 12 RODO, naruszeniem ochrony danych będzie naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Aby mówić więc o naruszeniu, musi dojść do skutku przewidzianego w powyższej definicji. Taka sytuacja będzie wymagała od administratora danych konkretnych zachowań.
- Naruszenie ochrony danych osobowych
- Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu
- Zawiadomienie osoby, której dane dotyczą o naruszeniu ochrony danych
MODUŁ X. FUNKCJA INSPEKTORA OCHRONY DANYCH (DATA PROTECTION OFFICER)
Zgodnie z przepisami RODO, inspektor będzie miał m.in. obowiązek identyfikowania poszczególnych obowiązków ciążących na mocy RODO na administratorze (w tym kierownictwie i wszystkich osobach przetwarzających dane) oraz podmiocie przetwarzającym (w tym kierownictwie i wszystkich osobach przetwarzających dane osobowe), informowania o nich oraz doradzania w zakresie tych obowiązków. Specjalnego merytorycznego przygotowania wymaga udzielanie administratorowi i podmiotowi przetwarzającemu zaleceń co do oceny skutków dla ochrony danych (więcej na temat roli inspektora w ocenie skutków dla ochrony danych w Wytycznych Grupy Roboczej Art. 29 dotyczących inspektorów ochrony danych (DPO) oraz w Wytycznych Grupy Roboczej Art. 29 dotyczących oceny skutków dla ochrony danych). Ważnym zadaniem IOD jest obowiązek pełnienia roli punktu kontaktowego dla organu nadzorczego i punktu kontaktowego dla osób, których dane dotyczą (art. 38 ust. 4 RODO).
- Zadania inspektora ochrony
- Kwalifikacje do pełnienia roli IOD
- Konieczność powołania IOD
MODUŁ XI. ŚRODKI OCHRONY PRAWNEJ I SANKCJE ZA NARUSZENIE
Budzącą najwięcej emocji zmianą, którą wprowadza unijne rozporządzenie dotyczące ochrony danych osobowych, są kary pieniężne - nakładane w przypadku wystąpienia uchybień w przetwarzaniu danych. Jest to istotna zmiana, ponieważ zakres kar został znacznie rozbudowany w stosunku do jeszcze obowiązującej ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych.
- Poziom administracyjny
- Poziom cywilistyczny