Przygotowanie rejestru czynności przetwarzania opiera się o konieczność dokonania (zapewne staje się to koniecznością w wielu organizacjach) przeglądu zasobów względem celów przetwarzania danych osobowych w odniesieniu do zakresów oraz czasu przetwarzania z jednoczesnym wskazywaniem przesłanki upoważniającej do realizacji rejestrowanych czynności przetwarzania (warunku zgodnego z prawem przetwarzania danych osobowych). W tym przygotowaniu należy się wspierać istniejącym wykazem zbiorów danych osobowych (część polityki bezpieczeństwa) oraz istniejącym ewentualnie rejestrem zbiorów danych osobowych.
Wychodzi na to, że chyba w zdecydowanej większości przypadków (nawet poniżej 250 osób zatrudnionych) właściwą i pożądaną rzeczą w rozumieniu jednego z najistotniejszych dla pojmowania RODO przepisów – Artykułu 5 ust. 2.: „Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”)” – właśnie z perspektywy konieczności wykazania przestrzegania przepisów ust. 1 – dowód tego przestrzegania musi zaistnieć. A jest nim właśnie w najprostszym ujęciu „rejestr czynności przetwarzania” jako doskonalsze narzędzie zastępujące istniejące obecnie rejestry zbiorów danych osobowych.
2. • Istotą pojmowania prawa ochrony danych
osobowych jest osiągnięcie stanu świadomości
potrzeby jego stosowania.
• Praktyką - jest dbanie o dowody potwierdzające fakt
istnienia owego stanu świadomości i w konsekwencji
także dbanie o dowody zgodnego z prawem czynienia
tego, co się z danymi osobowymi u Ciebie czyni…
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 2
3. Uwrażliwiamy się na pojmowanie słów:
„chronić dane osobowe”
Czy dane osobowe
trzeba chronić?
Tak
Nie
nie wiem
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 3
4. …jeżeli tak, to powiedz:
Czy masz do czynienia
(w wykonywaniu swych
obowiązków) z danymi
osobowymi?
Tak
Nie
nie wiem
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 4
5. • przeczytaj to koniecznie choćby ten jeden raz w życiu!
• W bieżącym stanie prawnym (UODO do 25 maja 2018 roku):
• Art. 6 [definicja danych osobowych]
• 1. W rozumieniu ustawy za dane osobowe uważa się wszelkie
informacje dotyczące zidentyfikowanej lub możliwej do
zidentyfikowania osoby fizycznej.
• 2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość
można określić bezpośrednio lub pośrednio, w szczególności przez
powołanie się na numer identyfikacyjny albo jeden lub kilka
specyficznych czynników określających jej cechy fizyczne,
fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
• 3. Informacji nie uważa się za umożliwiającą określenie tożsamości
osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 5
6. • przeczytaj to koniecznie choćby ten jeden raz w życiu!
• W nowym stanie prawnym (RODO, od 25 maja 2018 roku):
• Artykuł 4 Definicje
• Na użytek niniejszego rozporządzenia:
• 1) „dane osobowe” oznaczają informacje o zidentyfikowanej lub
możliwej do zidentyfikowania osobie fizycznej („osobie, której dane
dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą
można bezpośrednio lub pośrednio zidentyfikować, w szczególności na
podstawie identyfikatora takiego jak imię i nazwisko, numer
identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub
jeden bądź kilka szczególnych czynników określających fizyczną,
fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub
społeczną tożsamość osoby fizycznej;
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 6
7. • …to przyjazna i zrozumiała odpowiedź brzmi tak...
• (tak w UODO jak i w RODO)
• …można twierdzić prosto i komunikatywnie,
• ...że dane osobowe są to wszelkie
informacje, z których jest wiadomo
(w rozumieniu tożsamości) o kogo chodzi lub
może być wiadomym o kogo chodzi.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 7
8. Uwrażliwiamy się na pojmowanie słów:
„chronić dane osobowe” – jeszcze raz…
Czy masz do czynienia
(w wykonywaniu swych
obowiązków) z danymi
osobowymi?
Tak
Nie
nie wiem
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 8
9. …to jeszcze nie koniec tego, co
pojmować należy…
A czy masz do czynienia
(w wykonywaniu swych
obowiązków)
z przetwarzaniem danych
osobowych?
Tak
Nie
nie wiem
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 9
10. • przeczytaj to koniecznie choćby ten jeden raz w życiu!
• W bieżącym stanie prawnym (UODO do 25 maja 2018 roku):
• Art. 7 [słowniczek ustawowy]
• Ilekroć w ustawie jest mowa o:
• 2) przetwarzaniu danych - rozumie się przez to
jakiekolwiek operacje wykonywane na danych osobowych,
takie jak zbieranie, utrwalanie, przechowywanie,
opracowywanie, zmienianie, udostępnianie i usuwanie, a
zwłaszcza te, które wykonuje się w systemach
informatycznych;
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 10
11. • przeczytaj to koniecznie choćby ten jeden raz w życiu!
• W nowym stanie prawnym (RODO, od 25 maja 2018 roku):
• Artykuł 4 Definicje
• Na użytek niniejszego rozporządzenia:
• 2) „przetwarzanie” oznacza operację lub zestaw operacji
wykonywanych na danych osobowych lub zestawach danych
osobowych w sposób zautomatyzowany lub niezautomatyzowany,
taką jak zbieranie, utrwalanie, organizowanie, porządkowanie,
przechowywanie, adaptowanie lub modyfikowanie, pobieranie,
przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie,
rozpowszechnianie lub innego rodzaju udostępnianie,
dopasowywanie lub łączenie, ograniczanie, usuwanie lub
niszczenie;
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 11
12. • …to przyjazna i zrozumiała odpowiedź brzmi tak...
• (tak w UODO jak i w RODO)
• …można twierdzić prosto i komunikatywnie,
• ...że przetwarzanie danych osobowych to jakiekolwiek
czynności (operacje) wykonywane na danych osobowych
(wykonywane z użyciem danych osobowych), a już na
pewno takie czynności, które wykonuje się z użyciem
jakichkolwiek systemów informatycznych.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 12
13. Uwrażliwiamy się na pojmowanie słów:
„chronić dane osobowe” – jeszcze raz…
A czy masz do czynienia
(w wykonywaniu swych
obowiązków)
z przetwarzaniem danych
osobowych?
Tak
Nie
nie wiem
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 13
14. …to jeszcze nie koniec tego, co
pojmować należy…
A czy masz do czynienia
(w wykonywaniu swych
obowiązków) z przetwarzaniem
danych osobowych w zbiorach
danych osobowych (poprzez
zbiory, ze zbiorów, do
zbiorów,...)?
Tak
Nie
nie wiem
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 14
15. • przeczytaj to koniecznie choćby ten jeden raz w życiu!
• W bieżącym stanie prawnym (UODO do 25 maja 2018 roku):
• Art. 7 [słowniczek ustawowy]
• Ilekroć w ustawie jest mowa o:
• 1) zbiorze danych - rozumie się przez to każdy
posiadający strukturę zestaw danych o charakterze
osobowym, dostępnych według określonych kryteriów,
niezależnie od tego, czy zestaw ten jest rozproszony lub
podzielony funkcjonalnie;
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 15
16. • przeczytaj to koniecznie choćby ten jeden raz w życiu!
• W nowym stanie prawnym (RODO, od 25 maja 2018 roku):
• Artykuł 4 Definicje
• Na użytek niniejszego rozporządzenia:
• 6) „zbiór danych” oznacza uporządkowany zestaw danych
osobowych dostępnych według określonych kryteriów,
niezależnie od tego, czy zestaw ten jest scentralizowany,
zdecentralizowany czy rozproszony funkcjonalnie lub
geograficznie;
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 16
17. • …to przyjazna i zrozumiała odpowiedź brzmi tak...
• (tak w UODO jak i w RODO)
• …można twierdzić prosto i komunikatywnie,
• ...że zbiorem danych osobowych są (świadomie) w
sposób uporządkowany gromadzone/zgromadzone
(„ułożone”) dane osobowe, które są (lub mogą być)
dostępne według dowolnie określonego kryterium
dotyczącego tych danych osobowych.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 17
18. Uwrażliwiamy się na pojmowanie słów:
„chronić dane osobowe” – jeszcze raz…
Czy masz do czynienia
(w wykonywaniu swych
obowiązków) z przetwarzaniem
danych osobowych w zbiorach
danych osobowych (poprzez
zbiory, ze zbiorów, do
zbiorów,...)?
Tak
Nie
nie wiem
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 18
19. • …stosuje się do
•przetwarzania
•danych osobowych
• w zbiorach danych osobowych
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 19
20. • (UODO) Art. 2. 1. Ustawa określa
• zasady postępowania przy
przetwarzaniu danych osobowych
• oraz prawa osób fizycznych,
• których dane osobowe są lub mogą być przetwarzane
• w zbiorach danych.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 20
21. • Artykuł 2. Materialny zakres stosowania
• 1. Niniejsze rozporządzenie ma zastosowanie
• do przetwarzania danych osobowych
• w sposób całkowicie lub częściowo zautomatyzowany
oraz do przetwarzania w sposób inny niż
zautomatyzowany
• danych osobowych stanowiących część
zbioru danych lub mających stanowić część
zbioru danych.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 21
22. • …przetwarzaniem?
• …danych osobowych?
• …w zbiorze?
• …a jeżeli tak…
• to czy przetwarzam te dane w zgodności z…
• zasadami legalnego postępowania…?
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 22
23. •…czyli co to znaczy
„chronić dane osobowe”?
• …to istota pojmowania tego prawa…
• …no i jak dowieść, że się
„chroni dane osobowe”?
• …to praktyka stosowania tego prawa…
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 23
24. • Pojmowanie tego, że prawo ochrony danych osobowych
• (tak w UODO, jak i w RODO)
• stosuje się do przetwarzania danych osobowych
w zbiorach danych osobowych
• (ze zbiorów, poprzez zbiory, do zbiorów,…)
• prowadzi wprost do wypełnienia konieczności powstania
rejestru czynności przetwarzania
• w UODO z akcentem na „zbiór” – stąd rejestr zbiorów danych
• w RODO z akcentem na „przetwarzanie” – stąd rejestr czynności
przetwarzania
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 24
25. • …potrzebujesz więcej?
• egocki.pl/rodo/20180130/PrzygotowaniaDoRODOcz01.html
• egocki.pl/rodo/RejestrCzynnosci
• egocki.pl/rodo/eRCP
• sites.google.com/view/rejestrcp
• egocki.pl/rodo/20180121/TAURON_WaznaInformacja.html
• egocki.pl/rodo/MocRODO/MocRODO.html
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 25
26. …więcej o (uodo) RODO:
Krzysztof Sługocki
uodorodo@gmail.com
Facebook.com/rodo2018
Nie ma tu żadnej R(ODO)ewolucji!
…a i tak jest jeszcze ogrom rzeczy do
wytłumaczenia, pokazania, wdrożenia…
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 26