question  |
réponse |
co jest w rozporządzeniu ogólnym o ochronie danych commencer à apprendre
|
|
zasady przetwarzania danych, prawa osób, podstawy prawne, obowiązki firm i instytucji, powołanie inspektora danych osobowych, zasady kar finansowych
|
|
|
co jest w ustawie o ochronie danych osobowych commencer à apprendre
|
|
prezes urzędu ochrony danych osobowych, postępowanie w sprawach naruszenia przepisów i postępowanie kontrolne, przepisy karne, szczegółowe zasady i cele przetwarzania, przepisy o monitoringu
|
|
|
podejście oparte na ryzyku w rodo commencer à apprendre
|
|
risk based approach-każda firma musi podjąć decyzję i zdecydować z jakim ryzykiem sie mierzy oraz musi wdrożyć środki adekwatne, niekoniecznie najlepsze/najdroższe. Dynamiczny proces
|
|
|
|
commencer à apprendre
|
|
informacje o zidentyfikowanej lub możliwej do zindentifikowania osobie fizycznej- dowolna formalnie, do człowieka, możliwe do rozpoznania pośrednio lub bezpośrednio
|
|
|
kategorie danych osobowych commencer à apprendre
|
|
dane zwykłe (np. imię, nazwisko, adres)/szczególnej kategorii-wrażliwe pochodzenie, poglądy, zdrowie, genetyka itp. Wrażliwe można przetwarzać tylko w wyjątkowych sytuacjach
|
|
|
kiedy rodo sie nie stosuje commencer à apprendre
|
|
w działalności spoza UE, państwa członkowskie z tytułu V rozdział 2 TUE, przez osoby fizyczne w sprawach osobistych i domowych, przez organy odpowiedzialne za zapobieganie przestępczości itp.
|
|
|
przetwarzanie danych osobowych commencer à apprendre
|
|
operacja lub zestaw operacji wykonywanych na danych osobowych zautomatyzowanie lub nie np zbieranie, przeglądanie, rozpowszechnianie itp.
|
|
|
cykl życia danych osobowych commencer à apprendre
|
|
1 zbieranie danych 2. utrwalanie/rejestrowanie 3. przechowywanie 4. wykorzystywanie 5. udostępnienje6. aktualizacja 7. ograniczanie 8. usunięcie
|
|
|
zasady przetwarzania danych osobowych commencer à apprendre
|
|
1. zgodność z prawem, rzetelność, przejrzystość 2. Ograniczenie celu3. minimalizacja danych 4. prawidłowość 5. ograniczanie przechowywania 6. integralność i poufności 7. rozłączalność
|
|
|
zasada zgodności z prawem, rzetelności i przejrzystości commencer à apprendre
|
|
dane muszą być przetwarzane zgodnie z prawem, uczciwie I przejrzysto.
|
|
|
zasada ograniczonego celu w rodo commencer à apprendre
|
|
dane mogą być zbierane tylko w konkretnych, wyraźnych i prawnie uzasadnionych celach
|
|
|
zasada minimalizacji danych w rodo commencer à apprendre
|
|
przetwarzane dane powinny być niezbędne do realizacji celu
|
|
|
zasada prawidłowości w rodo commencer à apprendre
|
|
dane powinny być prawidłowe i aktualne. Administrator powinien niezwłocznie poprawiać dane
|
|
|
zasada ograniczenia przechowywania w rodo commencer à apprendre
|
|
dane powinny być przechowywane tylko przez czas niezbędny do realizacji celu przetwarzania
|
|
|
zasady integralności i poufności commencer à apprendre
|
|
dane przetwarzane muszą być z zachowaniem odpowiedniego bezpieczeństwa(ochrona przed dostępem, zniszczeniem, utratą i ujawnieniem). Administrator musi stosować środki techniczne i organizacyjne (hasła, szkolenia, kopie itp)
|
|
|
zasada rozloczalności w rodo commencer à apprendre
|
|
administrator jest odpowiedzialny za przestrzeganie zasad przetwarzania danych i musi umieć to wykazać
|
|
|
podstawy prawne przetwarzania danych osobowych commencer à apprendre
|
|
zgoda osoby której dane dotyczą, wykonanie umowy, ochrona żywych interesów osoby, zadanie realizowane w interesie publicznym lub w ramach władzy publicznej, uzasadniony interes
|
|
|
dane szczególnej kategorii (wrażliwe) commencer à apprendre
|
|
nie można przetwarzać chyba, że: jest zgoda, przetwarzanie niezbędne do ochrony zdrowia, wynika z prawa pracy lub zabezpieczenia społecznego, dane są upublicznione, przetwarzanie do celów naukowych lub statystycznych
|
|
|
przedmioty przetwarzające dane commencer à apprendre
|
|
administrator danych (podmiot który ustala cele i sposoby przetwarzania danych), podmiot przetwarzający-procesor (podmiot przetwarzający dane)
|
|
|
umowa powierzenia przetwarzania danych osobowych commencer à apprendre
|
|
potrzebna dla RODO-administrator musi zawrzeć umowę określające przedmiot i czas trwania przetwarzania, wskazuje cel/rodzaj danych/kategorię osób, precyzuje obowiązki i prawa administratora, zobowiązuje procesora do poufności, współpracy i bezpieczeństwa
|
|
|
kluczowe elementy umowy powierzenia commencer à apprendre
|
|
1. przetwarzanie tylko na polecenie administratora 2. zachowanie tajemnicy3. stosowania odpowiednich środków 4. pomoc administratorowi w realizacji praw osób5. pomoc przy naruszenia danych6. usunięcia/zwrotu danych7. umożlienie audtów/kontroli
|
|
|
za co odpowiada podmiot przetwarzający (procesor) commencer à apprendre
|
|
za przetwarzenie danych niezgodnie z umową lub poleceniem, naruszenie zasad bezpieczeństwa danych- może ponosić odpowiedzialność
|
|
|
subprocesor (podpowierzenie przetwarzania) commencer à apprendre
|
|
tylko za zgodą administratora
|
|
|
zasady które musi przestrzegać procesor commencer à apprendre
|
|
przetwarzać tylko zgodnie z poleceniem administratora, zakaz używania danych dla własnych celów, chronić dane, od razu zgłaszać naruszenie ochrony danych, prowadzić rejestr czynności, umożliwić audyty i współpracować
|
|
|
różnica między powierzeniem a udostępnianiem danych commencer à apprendre
|
|
powierza administrator procesorowi, a udostępnia administrator innemu administratorowi
|
|
|
|
commencer à apprendre
|
|
nie da sie zidentyfikować osoby dzięki danym i innych środków. Sposób animizacji trzeba aktualizować.
|
|
|
|
commencer à apprendre
|
|
usunięcie identyfikatorów (imię, numeru), agregacja danych (łączenie w grupy), perturbacja danych(zmiana danych), generalizacja, randomizacja
|
|
|
|
commencer à apprendre
|
|
pozorna anonimizacja (pozostawienie info pozwalający identyfikować), brak oceny ryzyka, nieminimalizowanie danych, brak kontroli nad dostępem do kluczy (przy pseudonimizacji)
|
|
|
|
commencer à apprendre
|
|
dane zamienione tak, aby trudniej było odgadnąć (np. dzięki kluczowi). Dodatkowe info musi być chronione.
|
|
|
po co stosować pseudonimizację commencer à apprendre
|
|
ochrona danych i prywatności (mniejsze ryzyko naruszenia po ujawnianiu danych), ułatwienie przetwarzania, spełnienie rodo ->mniejsze ryzyko, ale nie zerowe
|
|
|
|
commencer à apprendre
|
|
zastępowanie identyfikatorów(tokenizacja-losowy identyfikator), szyfrowanie, haszowanie, dzielenie danych
|
|
|
praktyki pseudojimizacji danych osobowych commencer à apprendre
|
|
klucz musi być przechowywany oddzielnie, chronione technicznie (hasło itp), dostępne tylko dla uprawnionych, nie łączone z innymi danymi bez podstawy prawnej
|
|
|
obowiązki administratora danych commencer à apprendre
|
|
zarządzanie ryzykiem, ochrona od momentu projektu i domyślne ochrony, prowadzenie rejestru czynności, zgłaszanie naruszeń danych, zapewnienie środków technicznych i organizacyjnych
|
|
|
3 filary bezpieczeństwa danych commencer à apprendre
|
|
cia (confidentiality, integrity, availability)
|
|
|
|
commencer à apprendre
|
|
inspektor danych osobowych. musi być powoływany przez organy publiczne, podmioty monitorujące na dużą skalę, podmioty przetwarzające szczególnej kategorie danych. Zajmuje sie wsparciem administratora, zapewnia bezpieczeństwo i rozliczalność
|
|
|
konsekwencje naruszenia rodo commencer à apprendre
|
|
kary finansowe (w Polsce nakładane przez UODO)- za mało poważne naruszenia do 10mln euro lub 2% obrotu, za poważne do 20 mln euro 4%/odszkodowania (sankcje cywilne)
|
|
|
