Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO

5,905 views

Published on

Zapraszamy do zapoznania się z prezentacją z webinarium "Cztery rzeczy, które musisz wiedzieć o RODO", przeprowadzonego przez Jarosława Gresera 7 marca 2018 dla portalu ngo.pl.

Webinarium przeprowadzono w ramach:
- Stołecznego Centrum Wspierania Organizacji Pozarządowych
- Programu Polsko-Amerykańskiej Fundacji Wolności „Wspieranie Organizacji Pozarządowych", realizowanego przez Stowarzyszenie Klon/Jawor.

Wszystkie nagrania webinariów SCWO są dostępne na: warszawa.ngo.pl/webinaria. Pełna ofert SCWO: warszawa.ngo.pl/scwo.

Wszystkie nagrania portalu ngo.pl są dostępne na stronie poradnik.ngo.pl/webinaria.

Projekt "Stołeczne Centrum Wspierania Organizacji Pozarządowych" współfinansuje m.st. Warszawa.

Published in: Government & Nonprofit
  • Be the first to comment

  • Be the first to like this

Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO

  1. 1. System bezpłatnego wsparcia dla NGO
  2. 2. Cztery rzeczy, które musisz wiedzieć o RODO Ekspert: Jarosław Greser Prowadzi: Małgorzata Dąbrowska, Dimpact 07.03.2018
  3. 3. Ekspert: Jarosław Greser Doktor nauk prawnych. Od 11 lat obsługuje organizacje pozarządowe. Specjalność? Prawo autorskie i ochrona danych osobowych. Pracownik naukowy Uniwersytetu im. Adama Mickiewicza, wykładowca Wyższej Szkoły Bankowej w Poznaniu. Trener certyfikowany przez Stowarzyszenie Trenerów Organizacji Pozarządowych.
  4. 4. Nowa filozofia przepisów o ochronie danych osobowych Nowe struktury na poziomie urzędów Nowe struktury na poziomie zarządzania danymi osobowymi w organizacji 1 2 3 4 Jak przygotować procedury (ocena ryzyka)
  5. 5. Nowa filozofia przepisów o ochronie danych osobowych
  6. 6. Było Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. WE L 281).
  7. 7. Będzie Rozporządzenie w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (w skrócie: RODO).
  8. 8. OpracowanieCzym jest RODO?
  9. 9. Akt prawny stosowany bezpośrednio – wywołuje natychmiastowe skutki prawne od momentu wejścia w życie na poziomie zarówno Unii Europejskiej, jak i państw członkowskich.
  10. 10. Ma pierwszeństwo w wypadku kolizji z prawem krajowym (art. 91 ust. 3 Konstytucji).
  11. 11. Filozofia RODO
  12. 12. RODO odchodzi od sztywno wyznaczonych zasad postępowania na rzecz podejścia opartego na ryzyku (risk based approach).
  13. 13. OpracowanieCo to oznacza w praktyce?
  14. 14. W uproszczeniu: po wejściu w życie RODO organizacja będzie zobowiązana do analizy ryzyka. Nie ma listy obowiązkowych dokumentów, procedur.
  15. 15. Jeśli analiza przeprowadzona w organizacji potwierdzi, że przyjęte już w organizacji systemy ochrony czy dokumenty są wystarczające do ochrony przetwarzanych danych, z powodzeniem można je zaadaptować do wymogów RODO.
  16. 16. Nowe struktury na poziomie urzędów
  17. 17. Likwidacja Generalnego Inspektora Ochrony Danych Osobowych. Nowy organ – Prezes Urzędu Ochrony Danych Osobowych. Prezes Urzędu jest organem właściwym w sprawie ochrony danych osobowych. 2 1 3
  18. 18. Nowe struktury na poziomie zarządzania danymi osobowymi w organizacji
  19. 19. Likwidacja stanowiska Administratora Bezpieczeństwa Informacji. Osoby wykonujące w dniu 24 maja 2018 r. funkcję administratora bezpieczeństwa informacji, pełnią funkcję inspektora ochrony danych do dnia 1 września 2018 r. Administrator lub podmiot przetwarzający zawiadamiają Prezesa Urzędu o wyznaczeniu inspektora ochrony danych osobowych, albo że administrator bezpieczeństwa informacji nie pełni funkcji inspektora ochrony danych. 2 1 3
  20. 20. Rejestracja zbiorów danych osobowych zostanie zlikwidowana. Dane zgromadzone w rejestrze GIODO Prezes Urzędu przechowuje przez okres 3 lat od dnia wejścia w życie niniejszej ustawy.5 4
  21. 21. Jak przygotować procedury?
  22. 22. Analiza ryzyka zastępuje obligatoryjną listę dokumentów i procedur.
  23. 23. Wielkość organizacji lub prowadzenie działalności gospodarczej nie mają znaczenia dla zwolnienia fundacji czy stowarzyszenia z tego obowiązku.
  24. 24. Nie jest wymagana żadna szczególna forma. Dozwolone jest korzystanie z dowolnej metodologii, o ile da się wykazać, że pozwala ona na rzetelną ocenę ryzyka.
  25. 25. Przykładowa metodologia: ISO/IEC 27002 – Praktyczne zasady zabezpieczania informacji.
  26. 26. Wskazówki GIODO Cztery etapy oceny ryzyka: 1. kontekst dla oceny ryzyka, 2. opis i identyfikacja wymagań prawnych i techniczno-organizacyjnych, 3. szacowanie i ocena ryzyka, 4. postępowanie z ryzkiem. „Jak stosować podejście oparte na ryzyku, część 2” (https://giodo.gov.pl/pl/p/opinie-wytyczne-wskazówki)
  27. 27. - Efekt – odpowiednie środki techniczne i organizacyjne. - Analiza ryzyka powinna mieć formę pisemną. - Tryb stworzenia i przyjęcia zależy od wewnętrznych uregulowań w organizacji.
  28. 28. Kontekst dla oceny ryzyka
  29. 29. Kontekst obejmuje charakter, zakres i cele przetwarzania danych osobowych. Przykład: Stowarzyszenie zbiera dane w celu wsparcia osób niepełnosprawnych vs. oferowania produktów, od sprzedaży których uzyskuje prowizje.
  30. 30. Opis i identyfikacja wymagań
  31. 31. Przy pomocy jakich środków te dane są przetwarzane? Przykład: Google Docs – przetwarzanie danych w chmurze. Czy dane te są przetwarzane zgodnie z prawem? Przykład: skontrolowanie czy zgody na przetwarzanie danych osobowych były zebrane prawidłowo.
  32. 32. Szacowanie i ocena ryzyka
  33. 33. Oszacowanie prawdopodobieństwa wystąpienia zdarzenia naruszającego prawa osób, których dane są przetwarzane oraz określenie istotności efektów takiego zdarzenia. Przykład: zgubienie pen drive’a z danymi osobowymi – prawdopodobieństwo niskie, efekt zdarzenia – duże zagrożenie naruszenia praw i wolności osób, których dane dotyczą.
  34. 34. Wybór formy postępowania z ryzykiem
  35. 35. - Obniżenie poziomu ryzyka - Unikanie ryzyka - Akceptacja ryzyka Przykład: sporządzenie klauzul umownych zakazujących kopiowania danych na dyski przenośne, konfiguracja systemu uniemożliwiająca zapis takich danych.
  36. 36. Wskazówki GIODO Art. 32 ust. 1 wskazuje działania, które mogą być podjęte dla minimalizowania ryzyka. Są to: 1. pseudonimizacja i szyfrowanie danych osobowych; 2. zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania (np. zasilanie awaryjne serwerów); 3. zdolność do szybkiego przywrócenia dostępności danych i dostępu do nich w razie incydentu fizycznego /technicznego (np. posiadanie kopii zapasowych); 4. regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania (np. robienie niezapowiedzianych testów bezpieczeństwa).
  37. 37. Wybierając środki minimalizacji ryzyka trzeba uwzględnić: - stan wiedzy technicznej (Przykład: rozwiązania o charakterze innowacyjnym muszą podlegać szczególnie wnikliwej ocenie) - koszt wdrażania (Przykład: jest to przesłanka subiektywna w zakresie realnych możliwości organizacji)
  38. 38. Ocena skutków planowanych operacji przetwarzania dla ochrony danych osobowych (DPIA)
  39. 39. Pomocne narzędzia Nowa filozofia w ochronie danych osobowych: Od Oceny Ryzyka Do Spójnej Strategii W Organizacji, opracowała Katarzyna Szymielewicz, Fundacja Panoptykon, 2017 Jak stosować podejście oparte na ryzyku, cz. 1 i cz. 2, Generalny Inspektor Ochrony Danych Osobowych, 2017
  40. 40. Portal ngo.pl powstał i rozwija się dzięki wsparciu Polsko-Amerykańskiej Fundacji Wolności. Nagrania webinariów Znajdziecie je na: poradnik.ngo.pl/webinaria Zapraszamy!
  41. 41. Portal ngo.pl powstał i rozwija się dzięki wsparciu Polsko-Amerykańskiej Fundacji Wolności. Uwaga, seminaria! Organizacje działające na rzecz Warszawy i osób w niej mieszkających zapraszamy w marcu na seminaria na temat RODO, organizowane w ramach Stołecznego Centrum Wspierania Organizacji Pozarządowych. Więcej informacji: http://poradnik.ngo.pl/wiadomosc/2163792.html
  42. 42. www.dimpact.pl Wspieramy cele statutowe Webinaria ngo.pl realizuje
  43. 43. Projekt „Stołeczne Centrum Wspierania Organizacji Pozarządowych” współfinansuje m.st. Warszawa.
  44. 44. Dziękujemy!

×