Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

RODO a wykonywanie zawodu adwokata. Wdrożenie RODO w kancelarii.

2,335 views

Published on

Prezentacja ze szkolenia w Warszawskiej Izbie Adwokackiej w dniu 16 kwietnia 2018 r.

Published in: Law

RODO a wykonywanie zawodu adwokata. Wdrożenie RODO w kancelarii.

  1. 1. RODO a wykonywanie zawodu adwokata. Wdrożenie RODO w kancelarii.
  2. 2. Kto ma dostęp do naszych danych? poczta elektroniczna
  3. 3. Kto ma dostęp do naszych danych? poczta elektroniczna
  4. 4. Kto ma dostęp do naszych danych? tzw. cloud computing
  5. 5. Kto ma dostęp do naszych danych? wysłanie wiadomości email na konto w domenie adwokatura.pl
  6. 6. Kto ma dostęp do naszych danych? wysłanie wiadomości email na konto w domenie adwokatura.pl
  7. 7. Kto ma dostęp do naszych danych? wysłanie wiadomości email na konto w domenie gmail.com
  8. 8. Kto ma dostęp do naszych danych? wysłanie wiadomości email na konto w domenie gmail.com
  9. 9. Incydenty? Jakie incydenty… sierpień 2015 r.
  10. 10. Incydenty? Jakie incydenty… luty 2017 r.
  11. 11. Kontrole GIODO w kancelariach maj 2017 r.
  12. 12. Prawo ochrony danych osobowych dzisiaj ▪ dyrektywa 95/46/WE ▪ ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych ▪ rozporządzenia wykonawcze ▪ rozporządzenia wykonawcze, w tym rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych ▪ krajowy organ ochrony danych osobowych – Generalny Inspektor Ochrony Danych Osobowych (GIODO)
  13. 13. Prawo ochrony danych osobowych jutro ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) ▪ opublikowane Dziennik Urzędowy Unii Europejskiej L 119/1 z 4 maja 2016 r. ▪ weszło w życie dwudziestego dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej ▪ stosowane od dnia 25 maja 2018 r. ▪ problem przepisów przejściowych ▪ (171) Jeżeli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46/WE, osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom niniejszego rozporządzenia; dzięki temu administrator może kontynuować przetwarzanie po dacie rozpoczęcia stosowania niniejszego rozporządzenia
  14. 14. Prawo ochrony danych osobowych jutro ▪ Rozporządzenie jako środek harmonizacji prawa ochrony danych osobowych ▪ zgodnie z art. 288 TFUE rozporządzenie ma zasięg ogólny, wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich ▪ bezpośrednie obowiązywanie - proces włączania prawa UE do krajowego porządku prawnego ▪ bezpośrednie stosowanie - prawo UE staje się podstawą decyzji organów i wyroków sądów ▪ bezpośredni skutek - możliwość bezpośredniego powołania się wobec państwa i instytucji UE na prawa i obowiązki wynikające z rozporządzenia
  15. 15. Prawo ochrony danych osobowych jutro ▪ Tzw. krajowe ustawy o ochronie danych osobowych ▪ państwa członkowskie powinny uregulować te kwestie, które ▪ nie zostały uregulowane rozporządzeniem ▪ przyznano swobodę państwom członkowskim ▪ główne kwestie do uregulowania ▪ kwestie ustrojowe – GIODO ▪ postępowanie przed GIODO, postępowanie odwoławcze ▪ odpowiedzialność karna za naruszenie przepisów o ochronie danych osobowych ▪ ustawy ▪ o ochronie danych osobowych ▪ zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679
  16. 16. Tajemnica zawodowa Art. 6 ustawy Prawo o adwokaturze 1. Adwokat obowiązany jest zachować w tajemnicy wszystko, o czym dowiedział się w związku z udzielaniem pomocy prawnej. 2. Obowiązek zachowania tajemnicy zawodowej nie może być ograniczony w czasie.
  17. 17. Kodeks Etyki Adwokackiej § 19 Zbioru Zasad Etyki Adwokackiej i Godności Zawodu: 5. Adwokat posługujący się w pracy zawodowej komputerem lub innymi środkami elektronicznego utrwalania danych obowiązany jest stosować oprogramowanie i inne środki zabezpieczające dane przed ich niepowołanym ujawnieniem. 6. Przekazywanie informacji objętych tajemnicą zawodową za pomocą elektronicznych i podobnych środków przekazu wymaga zachowania szczególnej ostrożności i uprzedzenia klienta o ryzyku związanym z zachowaniem poufności przy wykorzystaniu tych środków.
  18. 18. Prawo ochrony danych osobowych ▪ Czy prawo ochrony danych osobowych stosuje się do adwokatów? ▪ art. 2 ustawy o ochronie danych osobowych ▪ ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych ▪ Ustawę stosuje się do przetwarzania danych osobowych ▪ kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych ▪ w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych ▪ art. 2 RODO ▪ rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych
  19. 19. Prawo ochrony danych osobowych ▪ Czy prawo ochrony danych osobowych stosuje się do adwokatów? ▪ wszelkie materiały gromadzone w formie akt, w tym sądowe, prokuratorskie, policyjne i inne zawierające dane osobowe, są zbiorem danych osobowych w rozumieniu art. 7 pkt 1 ustawy [o ochronie danych osobowych]” - stanowisko Generalnego Inspektora Ochrony Danych Osobowych dostępne na stronie www.giodo.gov.pl w dziale „Pytania i odpowiedzi” ▪ „zbiorem, zgodnie z art. 7 pkt 1 ustawy, jest każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony, czy też podzielony funkcjonalnie. Zbiór akt postępowania administracyjnego zawierając dane stron, ich adresy i inne informacje, spełnia te kryteria i wobec tego jest zbiorem danych w rozumieniu ustawy. Na organie administracji (gminie) ciążą zatem takie same obowiązki, jak na innych administratorach danych, w szczególności zaś obowiązek właściwego zabezpieczenia danych.” - sprawozdanie Generalnego Inspektora Ochrony Danych Osobowych za rok 1999, str. 17.
  20. 20. Prawo ochrony danych osobowych ▪ Czy prawo ochrony danych osobowych stosuje się do adwokatów? ▪ art. 3 ustawy o ochronie danych osobowych ▪ ustawę stosuje się również do osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych, które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej ▪ art. 3 RODO ▪ rozporządzenie ma zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii
  21. 21. Prawo ochrony danych osobowych ▪ Prawo ochrony danych osobowych a przepisy szczególne ▪ art. 5 ustawy o ochronie danych osobowych ▪ jeżeli przepisy szczególne przewidują dalej idącą ochronę danych osobowych, stosuje się te przepisy z pierwszeństwem przed ustawą o ochronie danych osobowych ▪ skutki zastosowania art. 5 – ograniczenie kontroli GIODO ▪ RODO ▪ brak odpowiednika art. 5 ustawy o ochronie danych osobowych ▪ art. 90 rozporządzenia – możliwość przyjęcia przepisów krajowych określających uprawnienia organów nadzorczych wobec podmiotów, które podlegają obowiązkowi zachowania tajemnicy zawodowej, jeżeli jest to niezbędne i proporcjonalne w celu pogodzenia prawa do ochrony danych osobowych z obowiązkiem zachowania tajemnicy
  22. 22. Czym są dane osobowe? ▪ dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej ▪ szczególne kategorie danych osobowych – dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej osoby ▪ co z danymi dotyczącymi wyroków skazujących? ▪ uznane za dane osobowe zwykłe ▪ szczególne podstawy przetwarzania danych
  23. 23. Adwokat a przetwarzanie danych osobowych ▪ podmioty przetwarzające dane osobowe ▪ administrator danych – decyduje o celach i środkach przetwarzania danych/ustala cele i sposoby przetwarzania danych osobowych ▪ podmiot przetwarzający dane – przetwarza dane osobowe w imieniu administratora danych ▪ kim jest adwokat przetwarzający dane osobowe? ▪ dane osobowe przetwarzane w związku z wykonywaniem zawodu ▪ dane osobowe otrzymane od klienta ▪ dane osobowe zebrane samodzielnie ▪ dane osobowe pracowników/współpracowników kancelarii
  24. 24. Adwokat a przetwarzanie danych osobowych ▪ kim jest adwokat przetwarzający dane osobowe? – decyzja GIODO z 2.8.2005 r., GI-DEC-DS-233/05 ▪ adwokat ma status odbiorcy danych – a więc nie jest podmiotem przetwarzającym dane ▪ nie jest administratorem danych
  25. 25. Adwokat a przetwarzanie danych osobowych ▪ kim jest adwokat przetwarzający dane osobowe? – opracowanie Data controllers and data processors: what the difference is and what the governance implications are autorstwa Information Commissioner’s Office (brytyjski odpowiednik GIODO)
  26. 26. Adwokat a przetwarzanie danych osobowych ▪ kim jest adwokat przetwarzający dane osobowe? – decyzja GIODO z 2.8.2005 r., GI-DEC-DS-233/05 ▪ skąd „wątpliwości” GIODO? – obowiązek informacyjny przy gromadzeniu danych nie od osoby, której dane dotyczą ▪ jak wykonać obowiązek informacyjny – i w ogóle, jaki ma on sens – w przypadku np. danych świadków podawanych przez stronę? czy w ogóle danych pozwanego przed wytoczeniem powództwa? ▪ obowiązek informacyjny w RODO – wyłączony, jeżeli „dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy” (art. 14 ust. 5 pkt d))
  27. 27. Adwokat a przetwarzanie danych osobowych ▪ kim jest adwokat przetwarzający dane osobowe? – nowelizacja ustawy Prawo o adwokaturze
  28. 28. Adwokat a przetwarzanie danych osobowych ▪ adwokat jest administratorem danych osobowych przetwarzanych w związku ze świadczeniem pomocy prawnej, a w szczególności w związku z ▪ udzielaniem porad prawnych ▪ sporządzaniem opinii prawnych ▪ opracowywaniem projektów aktów prawnych ▪ występowaniem przed sądami i urzędami ▪ dane osobowe pracowników i współpracowników kancelarii, dane osobowe klientów przetwarzane nie w związku ze świadczeniem pomocy prawnej – kwalifikacja na zasadach ogólnych
  29. 29. Zasady przetwarzania danych ▪ zasady przetwarzania danych osobowych w RODO (art. 5) ▪ zgodność z prawem, rzetelność i przejrzystość ▪ ograniczenie celu ▪ minimalizacja danych ▪ prawidłowość ▪ ograniczenie przechowywania ▪ integralność i poufność
  30. 30. Podstawy przetwarzania danych osobowych ▪ podstawy przetwarzania tzw. danych zwykłych ▪ osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów ▪ przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy ▪ przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze ▪ przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej ▪ przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi ▪ przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem
  31. 31. Podstawy przetwarzania danych osobowych ▪ podstawy przetwarzania szczególnych kategorii danych osobowych ▪ przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą ▪ przetwarzanie danych dot. wyroków skazujących ▪ wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. Wszelkie kompletne rejestry wyroków skazujących są prowadzone wyłącznie pod nadzorem władz publicznych
  32. 32. Podstawy przetwarzania danych osobowych ▪ podstawa prawna przetwarzania danych na potrzeby występowania w charakterze pełnomocnika ▪ właściwe przepisy proceduralne, wymagające podania danych ▪ przepisy ustawy/RODO ▪ podstawa prawna przetwarzania danych na potrzeby udzielania pomocy prawnej w zakresie innym, niż występowanie w charakterze pełnomocnika ▪ art. 4 ustawy Prawo o adwokaturze ▪ przepisy ustawy/RODO ▪ pozostałe dane osobowe – na zasadach ogólnych
  33. 33. Zakres danych osobowych ▪ jaki zakres danych osobowych można gromadzić? ▪ ogólna reguła minimalizacji przetwarzania danych – niezbędny do realizacji celu przetwarzania danych ▪ na potrzeby występowania w charakterze pełnomocnika ▪ na potrzeby udzielania pomocy prawnej w zakresie innym, niż występowanie w charakterze pełnomocnika ▪ w innych celach
  34. 34. Obowiązki informacyjne ▪ pozyskiwanie danych osobowych bezpośrednio od osób, których dane dotyczą ▪ pozyskiwanie danych osobowych nie bezpośrednio od osób, których dane dotyczą ▪ od innych administratorów danych ▪ ze źródeł powszechnie (ogólnie) dostępnych
  35. 35. Obowiązki informacyjne ▪ pozyskiwanie danych osobowych bezpośrednio od osób, których dane dotyczą – gdy źródłem własnych danych jest osoba, której te dane dotyczą ▪ obowiązek informacyjny ▪ dobrowolne lub obowiązkowe podanie danych osobowych ▪ pełna nazwa i siedziba administratora danych ▪ cel przetwarzania danych ▪ w przypadku zamiaru przekazywania danych innym podmiotom lub przekazywania za granicę – informacje o potencjalnych odbiorcach lub kategoriach odbiorców danych ▪ prawo dostępu do treści danych oraz ich poprawiania
  36. 36. Obowiązki informacyjne ▪ nowe kategorie obowiązków – pierwotne gromadzenie danych ▪ gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych ▪ podstawę prawną przetwarzania ▪ prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią ▪ okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu ▪ informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem ▪ informacje o prawie wniesienia skargi do organu nadzorczego
  37. 37. Obowiązki informacyjne ▪ pozyskiwanie danych osobowych nie bezpośrednio od osób, których dane dotyczą - gdy źródłem danych nie jest osoba, której te dane dotyczą ▪ obowiązek informacyjny ▪ informacje jak przy pierwotnym gromadzeniu danych ▪ nowe kategorie obowiązków – wtórne gromadzenie danych ▪ kategorie odnośnych danych osobowych ▪ źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych
  38. 38. Obowiązki informacyjne
  39. 39. Obowiązki informacyjne
  40. 40. Czas przechowywania danych ▪ jak długo można przechowywać dane? ▪ ogólna reguła – tak długo, jak jest to niezbędne do realizacji celu przetwarzania danych ▪ dane osobowe przetwarzane przez adwokata ▪ na potrzeby występowania w charakterze pełnomocnika ▪ na potrzeby udzielania pomocy prawnej w zakresie innym, niż występowanie w charakterze pełnomocnika ▪ w innych celach – na zasadach ogólnych
  41. 41. Przenoszenie danych osobowych ▪ prawo do otrzymania ▪ w ustrukturyzowanym ▪ powszechnie używanym ▪ formacie nadającym się do odczytu maszynowego ▪ danych, które osoba dostarczyła administratorowi ▪ jeżeli przetwarzanie danych odbywa się na podstawie ▪ zgody ▪ w wykonaniu umowy ▪ w sposób zautomatyzowany ▪ prawo do przenoszenia danych nie obejmuje danych przetwarzanych w związku ze świadczeniem pomocy prawnej
  42. 42. Prawo do bycia zapomnianym ▪ 13 maja 2014 r. - wyrok Trybunału (wielka izba) z dnia 13 maja 2014 r. Google Spain SL i Google Inc. przeciwko Agencia Española de Protección de Datos (AEPD) i Mario Costeja González, C-131/12
  43. 43. Prawo do bycia zapomnianym ▪ kiedy można wykonać prawo do bycia zapominanym ▪ dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane ▪ osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie i nie ma innej podstawy prawnej przetwarzania ▪ osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania ▪ dane osobowe były przetwarzane niezgodnie z prawem ▪ dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator ▪ dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego
  44. 44. Prawo do bycia zapomnianym ▪ kiedy prawo do bycia zapominanym nie przysługuje – gdy przetwarzanie jest niezbędne ▪ do korzystania z prawa do wolności wypowiedzi i informacji; ▪ do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; ▪ z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego; ▪ do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, o ile prawdopodobne jest, że prawo, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; ▪ do ustalenia, dochodzenia lub obrony roszczeń.
  45. 45. Prawo do ograniczenia przetwarzania danych ▪ osoba, której dane dotyczą, ma prawo żądania od administratora ograniczenia przetwarzania danych, gdy ▪ osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych ▪ przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania ▪ administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń ▪ osoba, której dane dotyczą, wniosła sprzeciw – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą ▪ jeżeli przetwarzanie zostało ograniczone, takie dane osobowe można przetwarzać, z wyjątkiem przechowywania, wyłącznie za zgodą osoby, której dane dotyczą, lub w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego.
  46. 46. Prawo do ograniczenia przetwarzania danych
  47. 47. Prawo do sprzeciwu ▪ osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f), w tym profilowania na podstawie tych przepisów
  48. 48. Zabezpieczenie danych osobowych ▪ dotychczasowe przepisy ▪ sformalizowany proces, oparty o sztywne wymagania określone w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych ▪ zasada proporcjonalności stosowanych środków ochrony danych do zagrożeń i kategorii przetwarzanych danych osobowych - zgodnie z art. 36 ust. 1 ustawy, administrator danych jest obowiązany zastosować środki zapewniające ochronę przetwarzanych danych osobowych „odpowiednią do zagrożeń oraz kategorii danych objętych ochroną” ▪ czynniki wpływające na zastosowanie konkretnych środków zabezpieczenia danych ▪ istniejące zagrożenia dla bezpieczeństwa danych ▪ kategorie przetwarzanych danych osobowych
  49. 49. Zabezpieczenie danych osobowych ▪ dotychczasowe przepisy ▪ obowiązki zabezpieczenia danych osobowych ▪ obowiązki techniczne - rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych ▪ obowiązki organizacyjne ▪ prowadzenie dokumentacji przetwarzania danych osobowych (art. 36 ust. 2 ustawy) ▪ wyznaczenie administratora bezpieczeństwa informacji (art. 36 ust. 3 ustawy) ▪ dopuszczenie do przetwarzania danych osobowych wyłącznie osób posiadających stosowne upoważnienie (art. 37 ustawy) ▪ zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane (art. 38 ustawy) ▪ prowadzenie ewidencji osób upoważnionych do przetwarzania danych (art. 39 ust. 1 ustawy)
  50. 50. Zabezpieczenie danych osobowych ▪ dotychczasowe przepisy ▪ polityka bezpieczeństwa danych osobowych – dokument o charakterze opisowym, zawierający ▪ wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; ▪ wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; ▪ opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi; ▪ sposób przepływu danych pomiędzy poszczególnymi systemami; ▪ określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
  51. 51. Zabezpieczenie danych osobowych ▪ dotychczasowe przepisy ▪ instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych – dokument opisujący procedury, zawierający ▪ procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności; ▪ stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem; ▪ procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu; ▪ procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania; ▪ sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe, kopii zapasowych; ▪ sposób zabezpieczenia systemu informatycznego przed działalnością złośliwego oprogramowania; ▪ sposób realizacji wymogów związanych z odnotowywaniem informacji o odbiorcach danych ▪ procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.
  52. 52. Zabezpieczenie danych osobowych ▪ RODO danych osobowych - RODO ▪ zerwanie z regulacją opartą o konkretne, sztywnie określone wymagania w zakresie zabezpieczenia danych ▪ podejście oparte na ryzyku - konieczność wdrożenia środków zabezpieczenia danych ▪ uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia ▪ aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku ▪ oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych
  53. 53. Rejestrowanie czynności przetwarzania ▪ rejestr czynności przetwarzania administratora danych ▪ dane identyfikujące administratora danych, współadministratorów i IOD ▪ cele przetwarzania ▪ opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych ▪ kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione ▪ przekazanie danych do państw trzecich ▪ planowane terminy usunięcia poszczególnych kategorii danych ▪ ogólny opis technicznych i organizacyjnych środków bezpieczeństwa
  54. 54. Inspektor Ochrony Danych ▪ Wyznaczenie IOD obowiązkowe, jeżeli ▪ przetwarzania dokonują organ lub podmiot publiczny ▪ główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę ▪ główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa ▪ Poza tymi przypadkami, wyznaczenie IOD dobrowolne
  55. 55. Rejestrowanie czynności przetwarzania ▪ rejestr czynności przetwarzania administratora danych ▪ zakres zastosowania obowiązku - nie ma zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa ▪ forma prowadzenia rejestru
  56. 56. Inspektor Ochrony Danych ▪ Czy w kancelarii adwokackiej konieczne jest wyznaczenie Inspektora Ochrony Danych?
  57. 57. Zgłaszanie incydentów ▪ Naruszenie ochrony danych osobowych - naruszenie bezpieczeństwa prowadzące ▪ przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania ▪ nieuprawnionego ujawnienia lub dostępu do danych osobowych ▪ przesyłanych, przechowywanych lub w inny sposób przetwarzanych ▪ Obowiązek dokonania zgłoszenia do PUODO ▪ niezwłocznie, nie później, niż 72 godziny po stwierdzeniu naruszenia ▪ chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych ▪ Obowiązek poinformowania osób, których dane dotyczą
  58. 58. Zgłaszanie incydentów ▪ Zgłoszenie do PUODO powinno ▪ opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie ▪ zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji ▪ opisywać możliwe konsekwencje naruszenia ochrony danych osobowych ▪ opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków ▪ Administrator danych prowadzi rejestr naruszeń
  59. 59. Zgłaszanie incydentów ▪ Obowiązek informowania osób, których dane dotyczą, powstaje, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych ▪ Zawiadomienie osoby, której dane dotyczą, bez zbędnej zwłoki ▪ Zawiadomienie ▪ jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych ▪ zawiera imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji ▪ opisuje możliwe konsekwencje naruszenia ochrony danych osobowych ▪ opisuje środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków
  60. 60. Zgłaszanie incydentów ▪ Kiedy zawiadomienie osób, których dane dotyczą, nie jest wymagane? ▪ jeżeli administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych ▪ jeżeli administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą ▪ jeżeli wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób
  61. 61. Powierzenie przetwarzania danych ▪ czym jest powierzenie przetwarzania danych? – upoważnienie innego podmiotu (innej organizacji), który pozostaje poza faktyczną kontrolą administratora danych, do przetwarzania danych ▪ przykłady powierzenia przetwarzania danych ▪ obsługa kadrowo-płacowa ▪ poczta elektroniczna ▪ ochrona ▪ strona WWW ▪ kto ponosi odpowiedzialność za powierzone do przetwarzania dane?
  62. 62. Powierzenie przetwarzania danych Powierzenie przetwarzania danych ▪ na podstawie umowy ▪ zawieranej na piśmie lub w formie elektronicznej ▪ obowiązek wyboru odpowiedniego podmiotu przetwarzającego ▪ wyraźne dopuszczenie podpowierzenia przetwarzania danych ▪ umowa powierzenia powinna określać ▪ przedmiot i czas trwania przetwarzania ▪ charakter i cel przetwarzania ▪ rodzaj danych osobowych ▪ kategorie osób, których dane dotyczą ▪ obowiązki i prawa administratora
  63. 63. Powierzenie przetwarzania danych umowa stanowi, że podmiot przetwarzający ▪ przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny; ▪ zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy; ▪ podejmuje wszelkie środki wymagane na mocy art. 32; ▪ przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w ust. 2 i 4;
  64. 64. Powierzenie przetwarzania danych umowa stanowi, że podmiot przetwarzający ▪ biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III; ▪ uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36; ▪ po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych; ▪ udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia
  65. 65. W razie kontroli PUODO • postępowanie prowadzone wg przepisów KPA, chyba że ustawa stanowi inaczej • kontrole wykonywane przez inspektorów
  66. 66. Jak wdrożyć RODO w kancelarii? ▪ Identyfikacja procesów przetwarzania danych ▪ RODO odchodzi od myślenia w kategoriach zbiorów danych na rzecz myślenia procesami przetwarzania danych ▪ proces przetwarzania danych ▪ cel przetwarzania ▪ podstawa prawna ▪ zakres danych ▪ obowiązki informacyjne ▪ okres retencji ▪ i wiele, wiele innych zmiennych
  67. 67. Jak wdrożyć RODO w kancelarii? ▪ Identyfikacja umów powierzenia przetwarzania danych ▪ wybór odpowiedniego podmiotu przetwarzającego ▪ podpowierzenie przetwarzania danych ▪ dostosowanie treści umów do RODO ▪ odpowiedzialność w procesie przetwarzania danych na zlecenie
  68. 68. Jak wdrożyć RODO w kancelarii? ▪ Zastosowanie nowych zasad zabezpieczenia danych osobowych ▪ dostosowanie dokumentacji ochrony danych do przepisów RODO ▪ wdrożenie podejścia opartego na ryzyku
  69. 69. Jak wdrożyć RODO w kancelarii? ▪ Wdrożenie mechanizmów zgłaszania naruszeń ochrony danych osobowych ▪ kiedy zgłaszać do PUODO? ▪ kiedy informować osoby, których dane dotyczą? ▪ jaka treść informacji? ▪ informatyzacja procesu
  70. 70. Dziękuję za uwagę adw. dr Paweł Litwiński

×