Microsoft wobec General Data Protection Regulation GDPR

General Data Protection Regulation GDPR wprowadza nowe zasady ochrony danych osobowych w organizacjach, które oferują towary i usługi dla obywateli Unii Europejskiej (UE) lub dla takich, które zbierają i analizują dane powiązane z obywatelami UE – nieważne gdzie te organizacje się znajdują.

ang. GDPR = pol. RODO lub r.o.d.o.

ang. GDPR = pol. RODO lub r.o.d.o.

Zapewnienie przejrzystości i spójności w zakresie ochrony danych osobowych w UE

GDPR wzmacnia i ujednolica prawa obywateli Unii Europejskiej; mają oni prawo wglądu w dane, poprawiania, usunięcia, sprzeciwu wobec przetwarzania, przeniesienia. Administratorzy danych z kolei mają szereg obowiązków ochrony danych.

To między innymi:

  • Rozszerzenie praw dotyczących prywatności
  • Rozszerzone obowiązki ochrony danych
  • Obowiązkowe zgłaszanie naruszeń
  • Znaczące kary za nieprzestrzeganie przepisów

General Data Protection Regulation GDPR

Jakie są główne zmiany związane z wejściem GDPR?

Prywatność

Osoby prywatne mają prawo do:

  • Dostępu do swoich danych osobowych
  • Poprawy błędów w danych osobowych
  • Usunięcia danych osobowych
  • Sprzeciwu w kontekście przetwarzania danych osobowych
  • Przeniesienia danych osobowych

Kontrole i powiadomienia

  • Rygorystyczne wymogi bezpieczeństwa
  • Obowiązek powiadamiania o naruszeniu
  • Odpowiednie sformułowanie zgody na przetwarzanie danych osobowych
  • Poufność
  • Ewidencjonowanie

Przejrzyste zasady

Przejrzyste i łatwo dostępne strategie dotyczące:

  • Zawiadomienia o zbieraniu danych
  • Zawiadomienia o przetwarzaniu
  • Szczegółów przetwarzania
  • Przechowywania / usuwania danych

Technologia i szkolenia

Konieczność inwestycji:

  • Szkolenia pracowników i osób związanych z ochroną danych
  • Wdrożenie polityk przetwarzania danych
  • Inspektor Ochrony Danych
  • Umowy z procesorami danych / dostawcami usług

Jakie są główne zmiany związane z wejściem GDPR?

Zobowiązanie Microsoft w stosunku do swoich Klientów

Zobowiązanie Microsoft w stosunku do swoich Klientów

Współpraca z Klientami w przygotowaniach do wdrożenia zasad GDPR

Celem jest usprawnienie wdrożenia zgodności naszych Klientów z wymogami GDPR dzięki inteligentnym technologiom, innowacjom oraz obopólnej współpracy. Wspólnie zbudujemy bezpieczniejsze środowisko, uprościmy wdrożenie zgodności z GDPR oraz damy narzędzia i środki potrzebne, by odnieść sukces.

Współpraca z Klientami w przygotowaniach do wdrożenia zasad GDPR

 

Zasady przetwarzania danych – art. 5 RODO

Zasady przetwarzania danych – art. 5 RODO

Zasada zgodności z prawem, rzetelności i przejrzystości

Zgodnie z nią dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą

a) dla osób fizycznych powinno być przejrzyste, że dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane oraz w jakim stopniu te dane osobowe są lub będą przetwarzane

Przejrzyste zasady zgoda NA PRZETWARZANIE Pkt. (42), (43) rodo

b) wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych mają być łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem,

c) osoby których dane dotyczą należy informować o tożsamości administratora i celach przetwarzania oraz innych informacji mających zapewnić rzetelność i przejrzystość przetwarzania w stosunku do nich,

Przejrzyste zasady: zgoda NA PRZETWARZANIE przykład

d) osobom których dane dotyczą należy zapewnić możliwość uzyskania potwierdzenia i informacji o przetwarzanych danych osobowych ich dotyczących,

e) osobom fizycznym należy uświadomić ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem danych osobowych oraz sposoby wykonywania praw przysługujących im w związku z takim przetwarzaniem,

f) konkretne cele przetwarzania danych osobowych powinny być wyraźne, uzasadnione i określone w momencie ich zbierania,

Zasada ograniczenia celu

Zgodnie z nią dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami

a) dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami, wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych mają być łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem,

b) dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami

Zasada ograniczonego celu – przykład

Zasada minimalizacji danych

Zgodnie z nią dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane,

Zasada prawidłowości

Zgodnie z nią dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane,

Zasada ograniczenia przechowywania

Dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane:

a) dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą,

b) aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu,

Prawo do usunięcia danych – art. 17 rodo

Zasada integralności i poufności

Dane osobowe muszą być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i poufność, w tym ochronę przed:

a) niedozwolonym lub niezgodnym z prawem przetwarzaniem – czyli nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu,

b) przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych,

Zgłoszenie naruszenia organowi nadzorczemu – Art. 33

Zasada rozliczalności

Administrator jest odpowiedzialny za przestrzeganie powyższych zasad. Musi on być także w stanie wykazać ich przestrzeganie (to po stronie ADO leży ciężar dowodu, że przestrzega zasad rozporządzenia GDPR)- wynika stąd, że administrator musi być w stanie udowodnić przestrzeganie, opisanego w art. 25 GDPR, obowiązku uwzględniania ochrony danych w fazie projektowania oraz zapewnienia domyślnej ochrony danych.

WNIOSKI

WNIOSKI GDPR RODO

 

Co możesz zrobić już dzisiaj z GDPR/RODO?

Zdefiniuj

Określ, jakie posiadasz dane osobowe i gdzie one się znajdują.

Kontroluj

Zarządzaj sposobem wykorzystania i dostępnością danych osobowych.

Chroń

Określ, jakie stosujesz kontrole bezpieczeństwa w celu zapobiegania, wykrywania i reagowania na naruszenia bezpieczeństwa danych.

Raportuj

W jaki sposób można otrzymać dostęp do danych i jaką dokumentację powinno się posiadać.

Analizuj

Analizuj posiadane dane i systemy, żeby zachować zgodność i zredukować ryzyko.

Co możesz zrobić już dzisiaj z GDPR/RODO