SlideShare uma empresa Scribd logo

Rodo reakcja na_naruszenia

Transferir como PPTX, PDF
Szymon Konkol - Publikacje Cyfrowe
Szymon Konkol - Publikacje Cyfrowe

Kurs RODO

Educação
1 de 16
Naruszenie ochrony danych – jak powinien postąpić pracownik? Naruszenie ochrony danych – jak powinien postąpić pracownik? EDICUS Ochrona Danych Osobowych
Podstawa prawna • rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE. L Nr 119, str. 1) EDICUS Ochrona Danych Osobowych
Wstęp • Administrator danych osobowych jest obowiązany zapewnić aby proces ich przetwarzania był realizowany w warunkach zapewniających właściwy poziom bezpieczeństwa. • Przyjęcie właściwej procedury na wypadek naruszenia ochrony danych osobowych pozwala na sprawne podjęcie działań mając świadomość, że żaden z przyjętych systemów ochrony danych nie jest w 100% skuteczny. • Pracownicy mają obowiązek stosowania przyjętej procedury. EDICUS Ochrona Danych Osobowych
Naruszenie ochrony danych osobowych naruszenie dotyczy danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez podmiot, którego dotyczy naruszenie, 1 skutkiem naruszenia jest zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych, 2 naruszenie jest konsekwencją złamania zasad bezpieczeństwa danych. 3 Żeby zaistniało naruszenie w zakresie ochrony danych powinny być spełnione łącznie trzy przesłanki:
Przykładowe naruszenia 1/2 Kiedy dochodzi do naruszeń? W następujących sytuacjach: • ślady na drzwiach, oknach i szafach wskazują na próbę włamania, • zniszczenie dokumentacji zawierającej dane osobowe bez użycia niszczarki, • fizyczna obecność w budynku lub pomieszczeniach osób zachowujących się podejrzanie, • otwarte drzwi do pomieszczeń, szaf, w których przechowywane są dane osobowe, • ustawienie monitorów pozwalające na wgląd osób postronnych w dane osobowe, • wynoszenie danych osobowych w wersji papierowej i elektronicznej na zewnątrz firmy bez upoważnienia inspektora ochrony danych, EDICUS Ochrona Danych Osobowych
Przykładowe naruszenia 2/2 Kiedy dochodzi do naruszeń? W następujących sytuacjach: • udostępnienie danych osobowych osobom nieupoważnionym w formie papierowej, elektronicznej i ustnej, • telefoniczne próby wyłudzenia danych osobowych, • kradzież komputerów lub CD, twardych dysków, pendrive’a z danymi osobowymi, • e-maile zachęcające do ujawnienia identyfikatora i/lub hasła, • pojawienie się wirusa komputerowego lub niestandardowe zachowanie komputerów, • przechowywanie haseł do systemów w pobliżu komputera. EDICUS Ochrona Danych Osobowych
Reakcja pracownika • Jak powinien postąpić pracownik, gdy stwierdzi naruszenia lub choćby poweźmie przypuszczenie, że doszło do naruszenia? Konkretne działania zależą od przyjętej u danego administratora procedury postępowania na wypadek naruszeń. • Procedura jest również elementem wewnątrzzakładowego prawa pracy, dlatego wszyscy pracownicy mają obowiązek jej przestrzegania (chyba że sama procedura stanowi inaczej). • Wprowadzenie procedury nie musi być uzgadniane z pracownikami ani opiniowane przez nich. EDICUS Ochrona Danych Osobowych
Reakcja pracownika* • Każdy pracownik, który stwierdzi lub nawet podejrzewa naruszenie ochrony danych osobowych, ma obowiązek niezwłocznie zgłosić to bezpośredniemu przełożonemu. • Naruszenie należy zgłosić natychmiast, ponieważ administrator ma jedynie 72 godziny na zgłoszenie naruszenia do UODO. * przedstawione rozwiązanie ma charakter przykładowy (choć w praktyce często stosowany) – dlatego, korzystając z prezentacji, należy dostosować ją do realiów danego pracodawcy
Reakcja pracownika* Osoby odpowiedzialne za funkcjonowanie systemów informatycznych, w ramach których przetwarzane są dane osobowe, mają obowiązek niezwłocznego informowania inspektora ochrony danych o każdych nieprawidłowościach w pracy nadzorowanych urządzeń które mogą być przyczyną lub skutkiem incydentu w zakresie ochrony danych osobowych. * przedstawione rozwiązanie ma charakter przykładowy (choć w praktyce często stosowany) – dlatego, korzystając z prezentacji, należy dostosować ją do realiów danego pracodawcy
Reakcja pracownika* Pracownik, który stwierdzi fakt naruszenia lub podejrzenia naruszenia danych osobowych ma obowiązek: • podjąć czynności niezbędne do powstrzymania skutków naruszenia ochrony, • zabezpieczyć dowody umożliwiające ustalenie przyczyn oraz skutków naruszenia. * przedstawione rozwiązanie ma charakter przykładowy (choć w praktyce często stosowany) – dlatego, korzystając z prezentacji, należy dostosować ją do realiów danego pracodawcy
Reakcja pracownika* Bezpośredni przełożony, który otrzymał informację o naruszeniu, musi niezwłocznie zawiadomić o tym naruszeniu: • inspektora ochrony danych, • w razie braku IOD – osobę reprezentującą administratora danych osobowych (np. prezesa zarządu spółki). * przedstawione rozwiązanie ma charakter przykładowy (choć w praktyce często stosowany) – dlatego, korzystając z prezentacji, należy dostosować ją do realiów danego pracodawcy
Zgłaszanie naruszeń na zewnątrz i ich dokumentowanie Pracodawca może scedować na pracowników obowiązki związane z naruszeniem, a wynikające z RODO: • zgłoszenie w imieniu administratora naruszenia do UODO, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia (zgłoszenia nie dokonuje się, gdy jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych); do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia (art. 33 ust. 1 RODO), • zawiadomienie podmiotu danych o naruszeniu, bez zbędnej zwłoki – jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych (art. 34 ust. 1 RODO), • wpisanie naruszenia do rejestru naruszeń, w tym wskazanie działań zaradczych (art. 33 ust. 5 RODO). EDICUS Ochrona Danych Osobowych
Konsekwencje uchybień pracownika • Odpowiedzialność porządkowa • Naruszenie procedury postępowania na wypadek naruszeń jest uchybieniem porządku pracy. • Pracownik może otrzymać karę porządkową upomnienia lub nagany (z wpisem do akt osobowych) • Wpływ na zastosowanie i wymiar kary będzie miało wysłuchanie pracownika. • Kara porządkowa może zostać nałożona za samo nieprzestrzeganie procedury, nawet jeżeli nie dojdzie do naruszenia ochrony danych. EDICUS Ochrona Danych Osobowych
Konsekwencje uchybień pracownika Odpowiedzialność materialna • Może powstać, gdy pracodawca w wyniku zaniechań pracownika poniesie odpowiedzialność finansową (np. zostanie nałożona na niego kara przez Prezesa UODO). • Pracownik może ponieść odpowiedzialność odszkodowawczą względem pracodawcy – do wysokości 3-miesięcznej pensji (limit nie dotyczy naruszeń umyślnych) • Pracodawca może dochodzić odszkodowania na drodze sądowej.
Konsekwencje uchybień pracownika Zwolnienie dyscyplinarne • Za szczególnie rażące uchybienia (ciężkie naruszenie podstawowych obowiązków pracowniczych z pracownikiem może zostać rozwiązany stosunek pracy bez wypowiedzenia. • Przykład: całkowite zaniechanie poinformowania o ewidentnym i poważnym przypadku naruszenia ochrony danych (np. włamaniu do miejsca, w którym przechowywane są dokumenty zawierające dane) bądź umyślne spowodowanie wycieku danych (np. udostępnienie danych szczególnej kategorii osobie trzeciej). • Rozwiązanie nastąpi w ciągu miesiąca od dnia stwierdzenia naruszenia EDICUS Ochrona Danych Osobowych
Dziękujemy za uwagę

Recomendados

Rodo bezpieczenstwo _dla_pracownikow
Rodo bezpieczenstwo _dla_pracownikowRodo bezpieczenstwo _dla_pracownikow
Rodo bezpieczenstwo _dla_pracownikowSzymon Konkol - Publikacje Cyfrowe
 
Pytania RODO do prezentacji
Pytania RODO do prezentacjiPytania RODO do prezentacji
Pytania RODO do prezentacjiSzymon Konkol - Publikacje Cyfrowe
 
Rodo podstawy przetwarzania_danych_ dla pracownikow
Rodo podstawy przetwarzania_danych_ dla pracownikowRodo podstawy przetwarzania_danych_ dla pracownikow
Rodo podstawy przetwarzania_danych_ dla pracownikowSzymon Konkol - Publikacje Cyfrowe
 
Rodo prezentacja dla_pracownikow (1)
Rodo prezentacja dla_pracownikow (1)Rodo prezentacja dla_pracownikow (1)
Rodo prezentacja dla_pracownikow (1)Szymon Konkol - Publikacje Cyfrowe
 
Prezentacja o ochronie danych osobowych
Prezentacja o ochronie danych osobowychPrezentacja o ochronie danych osobowych
Prezentacja o ochronie danych osobowychSzkoleniaCognity
 
Quiz 1
Quiz 1Quiz 1
Quiz 1Szymon Konkol - Publikacje Cyfrowe
 
ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)
ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)
ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)PwC Polska
 
LGPD - Lei Geral de Protecao de Dados Pessoais
LGPD - Lei Geral de Protecao de Dados PessoaisLGPD - Lei Geral de Protecao de Dados Pessoais
LGPD - Lei Geral de Protecao de Dados PessoaisEliézer Zarpelão
 

Recomendados

Rodo bezpieczenstwo _dla_pracownikow
Rodo bezpieczenstwo _dla_pracownikowRodo bezpieczenstwo _dla_pracownikow
Rodo bezpieczenstwo _dla_pracownikowSzymon Konkol - Publikacje Cyfrowe
 
Pytania RODO do prezentacji
Pytania RODO do prezentacjiPytania RODO do prezentacji
Pytania RODO do prezentacjiSzymon Konkol - Publikacje Cyfrowe
 
Rodo podstawy przetwarzania_danych_ dla pracownikow
Rodo podstawy przetwarzania_danych_ dla pracownikowRodo podstawy przetwarzania_danych_ dla pracownikow
Rodo podstawy przetwarzania_danych_ dla pracownikowSzymon Konkol - Publikacje Cyfrowe
 
Rodo prezentacja dla_pracownikow (1)
Rodo prezentacja dla_pracownikow (1)Rodo prezentacja dla_pracownikow (1)
Rodo prezentacja dla_pracownikow (1)Szymon Konkol - Publikacje Cyfrowe
 
Prezentacja o ochronie danych osobowych
Prezentacja o ochronie danych osobowychPrezentacja o ochronie danych osobowych
Prezentacja o ochronie danych osobowychSzkoleniaCognity
 
Quiz 1
Quiz 1Quiz 1
Quiz 1Szymon Konkol - Publikacje Cyfrowe
 
ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)
ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)
ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)PwC Polska
 
LGPD - Lei Geral de Protecao de Dados Pessoais
LGPD - Lei Geral de Protecao de Dados PessoaisLGPD - Lei Geral de Protecao de Dados Pessoais
LGPD - Lei Geral de Protecao de Dados PessoaisEliézer Zarpelão
 
LGPD | IMPACTOS NO DIA-A-DIA CORPORATIVO
LGPD | IMPACTOS NO DIA-A-DIA CORPORATIVOLGPD | IMPACTOS NO DIA-A-DIA CORPORATIVO
LGPD | IMPACTOS NO DIA-A-DIA CORPORATIVOWellington Monaco
 
LGPD e Segurança da Informação
LGPD e Segurança da InformaçãoLGPD e Segurança da Informação
LGPD e Segurança da InformaçãoRicardoCrdobaBaptist
 
General Data Protection Regulation
General Data Protection RegulationGeneral Data Protection Regulation
General Data Protection RegulationBCC - Solutions for IBM Collaboration Software
 
A importância da Segurança da Informação e os impactos da LGPD
A importância da Segurança da Informação e os impactos da LGPDA importância da Segurança da Informação e os impactos da LGPD
A importância da Segurança da Informação e os impactos da LGPDEliézer Zarpelão
 
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­kiTyö­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­kiHarto Pönkä
 
Privacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliPrivacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliGiacomo Giovanelli
 
GDPR infographic
GDPR infographicGDPR infographic
GDPR infographicMarketing Team at Crown Worldwide Group
 
GDPR Demystified
GDPR DemystifiedGDPR Demystified
GDPR DemystifiedSPIN Chennai
 
Workshop (LGPD)
Workshop (LGPD)Workshop (LGPD)
Workshop (LGPD)Marcos Aurelio Paixao
 
LGPD Descomplicada
LGPD DescomplicadaLGPD Descomplicada
LGPD DescomplicadaMaicon Alvim
 
LGPD
LGPDLGPD
LGPDCompanyWeb
 
GDPR Presentation slides
GDPR Presentation slidesGDPR Presentation slides
GDPR Presentation slidesNaomi Holmes
 
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimuksetKäsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimuksetHarto Pönkä
 
Introduction to GDPR
Introduction to GDPRIntroduction to GDPR
Introduction to GDPRPriyab Satoshi
 
Personal Data Protection in Malaysia
Personal Data Protection in MalaysiaPersonal Data Protection in Malaysia
Personal Data Protection in Malaysiakhenghoe
 
Presentation on GDPR
Presentation on GDPRPresentation on GDPR
Presentation on GDPRDipanjanDey12
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoM2 Informatica
 
Tietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävätTietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävätHarto Pönkä
 
Digital Enterprise Festival Birmingham 13/04/17 - Ian West Cognizant VP Data ...
Digital Enterprise Festival Birmingham 13/04/17 - Ian West Cognizant VP Data ...Digital Enterprise Festival Birmingham 13/04/17 - Ian West Cognizant VP Data ...
Digital Enterprise Festival Birmingham 13/04/17 - Ian West Cognizant VP Data ...CIO Edge
 
Tietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaTietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaHarto Pönkä
 
[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...
[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...
[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...Stowarzyszenie Jakości Systemów Informatycznych (SJSI)
 
Jak RODO wpłynie na działania sprzedażowe webinarium
Jak RODO wpłynie na działania sprzedażowe webinariumJak RODO wpłynie na działania sprzedażowe webinarium
Jak RODO wpłynie na działania sprzedażowe webinariumLivespace
 

Mais conteúdo relacionado

Mais procurados

LGPD | IMPACTOS NO DIA-A-DIA CORPORATIVO
LGPD | IMPACTOS NO DIA-A-DIA CORPORATIVOLGPD | IMPACTOS NO DIA-A-DIA CORPORATIVO
LGPD | IMPACTOS NO DIA-A-DIA CORPORATIVOWellington Monaco
 
A importância da Segurança da Informação e os impactos da LGPD
A importância da Segurança da Informação e os impactos da LGPDA importância da Segurança da Informação e os impactos da LGPD
A importância da Segurança da Informação e os impactos da LGPDEliézer Zarpelão
 
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­kiTyö­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­kiHarto Pönkä
 
Privacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliPrivacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliGiacomo Giovanelli
 
LGPD Descomplicada
LGPD DescomplicadaLGPD Descomplicada
LGPD DescomplicadaMaicon Alvim
 
GDPR Presentation slides
GDPR Presentation slidesGDPR Presentation slides
GDPR Presentation slidesNaomi Holmes
 
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimuksetKäsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimuksetHarto Pönkä
 
Personal Data Protection in Malaysia
Personal Data Protection in MalaysiaPersonal Data Protection in Malaysia
Personal Data Protection in Malaysiakhenghoe
 
Presentation on GDPR
Presentation on GDPRPresentation on GDPR
Presentation on GDPRDipanjanDey12
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoM2 Informatica
 
Tietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävätTietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävätHarto Pönkä
 
Digital Enterprise Festival Birmingham 13/04/17 - Ian West Cognizant VP Data ...
Digital Enterprise Festival Birmingham 13/04/17 - Ian West Cognizant VP Data ...Digital Enterprise Festival Birmingham 13/04/17 - Ian West Cognizant VP Data ...
Digital Enterprise Festival Birmingham 13/04/17 - Ian West Cognizant VP Data ...CIO Edge
 
Tietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaTietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaHarto Pönkä
 

Mais procurados (20)

LGPD | IMPACTOS NO DIA-A-DIA CORPORATIVO
LGPD | IMPACTOS NO DIA-A-DIA CORPORATIVOLGPD | IMPACTOS NO DIA-A-DIA CORPORATIVO
LGPD | IMPACTOS NO DIA-A-DIA CORPORATIVO
 
LGPD e Segurança da Informação
LGPD e Segurança da InformaçãoLGPD e Segurança da Informação
LGPD e Segurança da Informação
 
General Data Protection Regulation
General Data Protection RegulationGeneral Data Protection Regulation
General Data Protection Regulation
 
A importância da Segurança da Informação e os impactos da LGPD
A importância da Segurança da Informação e os impactos da LGPDA importância da Segurança da Informação e os impactos da LGPD
A importância da Segurança da Informação e os impactos da LGPD
 
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­kiTyö­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
 
Privacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliPrivacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati Personali
 
GDPR infographic
GDPR infographicGDPR infographic
GDPR infographic
 
GDPR Demystified
GDPR DemystifiedGDPR Demystified
GDPR Demystified
 
Workshop (LGPD)
Workshop (LGPD)Workshop (LGPD)
Workshop (LGPD)
 
LGPD Descomplicada
LGPD DescomplicadaLGPD Descomplicada
LGPD Descomplicada
 
LGPD
LGPDLGPD
LGPD
 
GDPR Presentation slides
GDPR Presentation slidesGDPR Presentation slides
GDPR Presentation slides
 
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimuksetKäsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
 
Introduction to GDPR
Introduction to GDPRIntroduction to GDPR
Introduction to GDPR
 
Personal Data Protection in Malaysia
Personal Data Protection in MalaysiaPersonal Data Protection in Malaysia
Personal Data Protection in Malaysia
 
Presentation on GDPR
Presentation on GDPRPresentation on GDPR
Presentation on GDPR
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
 
Tietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävätTietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävät
 
Digital Enterprise Festival Birmingham 13/04/17 - Ian West Cognizant VP Data ...
Digital Enterprise Festival Birmingham 13/04/17 - Ian West Cognizant VP Data ...Digital Enterprise Festival Birmingham 13/04/17 - Ian West Cognizant VP Data ...
Digital Enterprise Festival Birmingham 13/04/17 - Ian West Cognizant VP Data ...
 
Tietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaTietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissa
 

Semelhante a Rodo reakcja na_naruszenia

Jak RODO wpłynie na działania sprzedażowe webinarium
Jak RODO wpłynie na działania sprzedażowe webinariumJak RODO wpłynie na działania sprzedażowe webinarium
Jak RODO wpłynie na działania sprzedażowe webinariumLivespace
 
IT w RODO - praktyczne informacje.
IT w RODO - praktyczne informacje.IT w RODO - praktyczne informacje.
IT w RODO - praktyczne informacje.Tomasz Janas
 
Naruszenia ochrony danych osobowych vs. Inspektor Ochrony Danych
Naruszenia ochrony danych osobowych vs. Inspektor Ochrony DanychNaruszenia ochrony danych osobowych vs. Inspektor Ochrony Danych
Naruszenia ochrony danych osobowych vs. Inspektor Ochrony DanychPwC Polska
 
Oko szefa
Oko szefaOko szefa
Oko szefapik90
 
Michał Balicki, IX Kongres PR i Komunikacji: Social Media Policy - co wolno p...
Michał Balicki, IX Kongres PR i Komunikacji: Social Media Policy - co wolno p...Michał Balicki, IX Kongres PR i Komunikacji: Social Media Policy - co wolno p...
Michał Balicki, IX Kongres PR i Komunikacji: Social Media Policy - co wolno p...Eversheds Sutherland Wierzbowski
 
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODOWebinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODOngopl
 
RODO - Ochrona danych osobowych z LOG System
RODO - Ochrona danych osobowych z LOG SystemRODO - Ochrona danych osobowych z LOG System
RODO - Ochrona danych osobowych z LOG SystemLOG Systems Sp. z o.o.
 
Monitorowanie systemów IT | Zmiany w Ustawie o Ochronie Danych Osobowych
Monitorowanie systemów IT | Zmiany w Ustawie o Ochronie Danych OsobowychMonitorowanie systemów IT | Zmiany w Ustawie o Ochronie Danych Osobowych
Monitorowanie systemów IT | Zmiany w Ustawie o Ochronie Danych OsobowychAgata Maron
 
Praktyczne aspekty wdrożenia RODO
Praktyczne aspekty wdrożenia RODOPraktyczne aspekty wdrożenia RODO
Praktyczne aspekty wdrożenia RODOPwC Polska
 

Semelhante a Rodo reakcja na_naruszenia (12)

[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...
[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...
[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...
 
Jak RODO wpłynie na działania sprzedażowe webinarium
Jak RODO wpłynie na działania sprzedażowe webinariumJak RODO wpłynie na działania sprzedażowe webinarium
Jak RODO wpłynie na działania sprzedażowe webinarium
 
IT w RODO - praktyczne informacje.
IT w RODO - praktyczne informacje.IT w RODO - praktyczne informacje.
IT w RODO - praktyczne informacje.
 
Naruszenia ochrony danych osobowych vs. Inspektor Ochrony Danych
Naruszenia ochrony danych osobowych vs. Inspektor Ochrony DanychNaruszenia ochrony danych osobowych vs. Inspektor Ochrony Danych
Naruszenia ochrony danych osobowych vs. Inspektor Ochrony Danych
 
Rodo dla hr
Rodo dla hrRodo dla hr
Rodo dla hr
 
Oko szefa
Oko szefaOko szefa
Oko szefa
 
Michał Balicki, IX Kongres PR i Komunikacji: Social Media Policy - co wolno p...
Michał Balicki, IX Kongres PR i Komunikacji: Social Media Policy - co wolno p...Michał Balicki, IX Kongres PR i Komunikacji: Social Media Policy - co wolno p...
Michał Balicki, IX Kongres PR i Komunikacji: Social Media Policy - co wolno p...
 
ObowiąZki Pracownika
ObowiąZki PracownikaObowiąZki Pracownika
ObowiąZki Pracownika
 
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODOWebinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO
 
RODO - Ochrona danych osobowych z LOG System
RODO - Ochrona danych osobowych z LOG SystemRODO - Ochrona danych osobowych z LOG System
RODO - Ochrona danych osobowych z LOG System
 
Monitorowanie systemów IT | Zmiany w Ustawie o Ochronie Danych Osobowych
Monitorowanie systemów IT | Zmiany w Ustawie o Ochronie Danych OsobowychMonitorowanie systemów IT | Zmiany w Ustawie o Ochronie Danych Osobowych
Monitorowanie systemów IT | Zmiany w Ustawie o Ochronie Danych Osobowych
 
Praktyczne aspekty wdrożenia RODO
Praktyczne aspekty wdrożenia RODOPraktyczne aspekty wdrożenia RODO
Praktyczne aspekty wdrożenia RODO
 

Mais de Szymon Konkol - Publikacje Cyfrowe

Mais de Szymon Konkol - Publikacje Cyfrowe (20)

k1.pdf
k1.pdfk1.pdf
k1.pdf
 
t1.pdf
t1.pdft1.pdf
t1.pdf
 
Quiz3
Quiz3Quiz3
Quiz3
 
Quiz2
Quiz2Quiz2
Quiz2
 
4
44
4
 
3
33
3
 
2
2 2
2
 
1
11
1
 
6
66
6
 
5
55
5
 
4
44
4
 
3
33
3
 
2
22
2
 
1
11
1
 
Atlas anatomiczny
Atlas anatomicznyAtlas anatomiczny
Atlas anatomiczny
 
Podstawy anatomii i fizjologii człowieka
Podstawy anatomii i fizjologii człowiekaPodstawy anatomii i fizjologii człowieka
Podstawy anatomii i fizjologii człowieka
 
Fototechnik 313[01] z2.02_u
Fototechnik 313[01] z2.02_uFototechnik 313[01] z2.02_u
Fototechnik 313[01] z2.02_u
 
Fototechnik 313[01] z2.02_u
Fototechnik 313[01] z2.02_uFototechnik 313[01] z2.02_u
Fototechnik 313[01] z2.02_u
 
TECHNIK FOTOGRAFII I MULTIMEDIÓW
TECHNIK FOTOGRAFII I MULTIMEDIÓWTECHNIK FOTOGRAFII I MULTIMEDIÓW
TECHNIK FOTOGRAFII I MULTIMEDIÓW
 
Fototechnik 313[01] z3.02_u
Fototechnik 313[01] z3.02_uFototechnik 313[01] z3.02_u
Fototechnik 313[01] z3.02_u
 

Rodo reakcja na_naruszenia

  • 1. Naruszenie ochrony danych – jak powinien postąpić pracownik? Naruszenie ochrony danych – jak powinien postąpić pracownik? EDICUS Ochrona Danych Osobowych
  • 2. Podstawa prawna • rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE. L Nr 119, str. 1) EDICUS Ochrona Danych Osobowych
  • 3. Wstęp • Administrator danych osobowych jest obowiązany zapewnić aby proces ich przetwarzania był realizowany w warunkach zapewniających właściwy poziom bezpieczeństwa. • Przyjęcie właściwej procedury na wypadek naruszenia ochrony danych osobowych pozwala na sprawne podjęcie działań mając świadomość, że żaden z przyjętych systemów ochrony danych nie jest w 100% skuteczny. • Pracownicy mają obowiązek stosowania przyjętej procedury. EDICUS Ochrona Danych Osobowych
  • 4. Naruszenie ochrony danych osobowych naruszenie dotyczy danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez podmiot, którego dotyczy naruszenie, 1 skutkiem naruszenia jest zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych, 2 naruszenie jest konsekwencją złamania zasad bezpieczeństwa danych. 3 Żeby zaistniało naruszenie w zakresie ochrony danych powinny być spełnione łącznie trzy przesłanki:
  • 5. Przykładowe naruszenia 1/2 Kiedy dochodzi do naruszeń? W następujących sytuacjach: • ślady na drzwiach, oknach i szafach wskazują na próbę włamania, • zniszczenie dokumentacji zawierającej dane osobowe bez użycia niszczarki, • fizyczna obecność w budynku lub pomieszczeniach osób zachowujących się podejrzanie, • otwarte drzwi do pomieszczeń, szaf, w których przechowywane są dane osobowe, • ustawienie monitorów pozwalające na wgląd osób postronnych w dane osobowe, • wynoszenie danych osobowych w wersji papierowej i elektronicznej na zewnątrz firmy bez upoważnienia inspektora ochrony danych, EDICUS Ochrona Danych Osobowych
  • 6. Przykładowe naruszenia 2/2 Kiedy dochodzi do naruszeń? W następujących sytuacjach: • udostępnienie danych osobowych osobom nieupoważnionym w formie papierowej, elektronicznej i ustnej, • telefoniczne próby wyłudzenia danych osobowych, • kradzież komputerów lub CD, twardych dysków, pendrive’a z danymi osobowymi, • e-maile zachęcające do ujawnienia identyfikatora i/lub hasła, • pojawienie się wirusa komputerowego lub niestandardowe zachowanie komputerów, • przechowywanie haseł do systemów w pobliżu komputera. EDICUS Ochrona Danych Osobowych
  • 7. Reakcja pracownika • Jak powinien postąpić pracownik, gdy stwierdzi naruszenia lub choćby poweźmie przypuszczenie, że doszło do naruszenia? Konkretne działania zależą od przyjętej u danego administratora procedury postępowania na wypadek naruszeń. • Procedura jest również elementem wewnątrzzakładowego prawa pracy, dlatego wszyscy pracownicy mają obowiązek jej przestrzegania (chyba że sama procedura stanowi inaczej). • Wprowadzenie procedury nie musi być uzgadniane z pracownikami ani opiniowane przez nich. EDICUS Ochrona Danych Osobowych
  • 8. Reakcja pracownika* • Każdy pracownik, który stwierdzi lub nawet podejrzewa naruszenie ochrony danych osobowych, ma obowiązek niezwłocznie zgłosić to bezpośredniemu przełożonemu. • Naruszenie należy zgłosić natychmiast, ponieważ administrator ma jedynie 72 godziny na zgłoszenie naruszenia do UODO. * przedstawione rozwiązanie ma charakter przykładowy (choć w praktyce często stosowany) – dlatego, korzystając z prezentacji, należy dostosować ją do realiów danego pracodawcy
  • 9. Reakcja pracownika* Osoby odpowiedzialne za funkcjonowanie systemów informatycznych, w ramach których przetwarzane są dane osobowe, mają obowiązek niezwłocznego informowania inspektora ochrony danych o każdych nieprawidłowościach w pracy nadzorowanych urządzeń które mogą być przyczyną lub skutkiem incydentu w zakresie ochrony danych osobowych. * przedstawione rozwiązanie ma charakter przykładowy (choć w praktyce często stosowany) – dlatego, korzystając z prezentacji, należy dostosować ją do realiów danego pracodawcy
  • 10. Reakcja pracownika* Pracownik, który stwierdzi fakt naruszenia lub podejrzenia naruszenia danych osobowych ma obowiązek: • podjąć czynności niezbędne do powstrzymania skutków naruszenia ochrony, • zabezpieczyć dowody umożliwiające ustalenie przyczyn oraz skutków naruszenia. * przedstawione rozwiązanie ma charakter przykładowy (choć w praktyce często stosowany) – dlatego, korzystając z prezentacji, należy dostosować ją do realiów danego pracodawcy
  • 11. Reakcja pracownika* Bezpośredni przełożony, który otrzymał informację o naruszeniu, musi niezwłocznie zawiadomić o tym naruszeniu: • inspektora ochrony danych, • w razie braku IOD – osobę reprezentującą administratora danych osobowych (np. prezesa zarządu spółki). * przedstawione rozwiązanie ma charakter przykładowy (choć w praktyce często stosowany) – dlatego, korzystając z prezentacji, należy dostosować ją do realiów danego pracodawcy
  • 12. Zgłaszanie naruszeń na zewnątrz i ich dokumentowanie Pracodawca może scedować na pracowników obowiązki związane z naruszeniem, a wynikające z RODO: • zgłoszenie w imieniu administratora naruszenia do UODO, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia (zgłoszenia nie dokonuje się, gdy jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych); do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia (art. 33 ust. 1 RODO), • zawiadomienie podmiotu danych o naruszeniu, bez zbędnej zwłoki – jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych (art. 34 ust. 1 RODO), • wpisanie naruszenia do rejestru naruszeń, w tym wskazanie działań zaradczych (art. 33 ust. 5 RODO). EDICUS Ochrona Danych Osobowych
  • 13. Konsekwencje uchybień pracownika • Odpowiedzialność porządkowa • Naruszenie procedury postępowania na wypadek naruszeń jest uchybieniem porządku pracy. • Pracownik może otrzymać karę porządkową upomnienia lub nagany (z wpisem do akt osobowych) • Wpływ na zastosowanie i wymiar kary będzie miało wysłuchanie pracownika. • Kara porządkowa może zostać nałożona za samo nieprzestrzeganie procedury, nawet jeżeli nie dojdzie do naruszenia ochrony danych. EDICUS Ochrona Danych Osobowych
  • 14. Konsekwencje uchybień pracownika Odpowiedzialność materialna • Może powstać, gdy pracodawca w wyniku zaniechań pracownika poniesie odpowiedzialność finansową (np. zostanie nałożona na niego kara przez Prezesa UODO). • Pracownik może ponieść odpowiedzialność odszkodowawczą względem pracodawcy – do wysokości 3-miesięcznej pensji (limit nie dotyczy naruszeń umyślnych) • Pracodawca może dochodzić odszkodowania na drodze sądowej.
  • 15. Konsekwencje uchybień pracownika Zwolnienie dyscyplinarne • Za szczególnie rażące uchybienia (ciężkie naruszenie podstawowych obowiązków pracowniczych z pracownikiem może zostać rozwiązany stosunek pracy bez wypowiedzenia. • Przykład: całkowite zaniechanie poinformowania o ewidentnym i poważnym przypadku naruszenia ochrony danych (np. włamaniu do miejsca, w którym przechowywane są dokumenty zawierające dane) bądź umyślne spowodowanie wycieku danych (np. udostępnienie danych szczególnej kategorii osobie trzeciej). • Rozwiązanie nastąpi w ciągu miesiąca od dnia stwierdzenia naruszenia EDICUS Ochrona Danych Osobowych