Duża cześć wymagań Rozporządzenia GDPR/RODO, które staną się wymagalne w dniu 25 maja 2018 r. zbliżone są do obecnie obowiązujących wymagań Ustawy o ochronie danych osobowych. Jednakże trzeba wiedzieć, że w Rozporządzeniu GDPR / RODO pojawiły się nowe elementy i znaczące zmiany,
które będą miały istotny wpływ na firmy przetwarzające dane osobowe. W związku z tym niezbędne będzie wykonanie pewnych działań po raz pierwszy bądź zmiana dotychczasowej praktyki. Podczas naszego webinarium omówimy najważniejsze zadania niezbędne do wdrożenia Rozporządzenia RODO w przedsiębiorstwie.
Jak zbudować zaufanie i pozyskać klientów z podcastem?
RODO / Ochrona danych osobowych - 20 rzeczy, którymi warto się zająć przed 25 maja
1. 20 kroków do zgodności z
RODO
r.pr. Justyna Matuszak-Leśny, LL.M.
Marcin Marczewski
Warszawa, 30.01.2018r.
2. mec. Justyna Matuszak-Leśny, LL.M.
Radca prawny, partner niemieckiej kancelarii e/s/b Rechtsanwälte,
Emmert, Bücking, Speichert, Matuszak-Leśny PartG mbB oraz szef biura
w Warszawie. Specjalizuje się w prawie nowych technologii, danych
osobowych, e-commerce, FinTech. Ekspertka z zakresu identyfikacji
elektronicznej, uwierzytelniania, usług zaufania i cyberprzestępstwa. Od
wielu lat pełni obowiązki Administratora Bezpieczeństwa Informacji w
spółkach z sektora nowych technologii, jak również finansów.
Przeprowadziła ponad 100 audytów bezpieczeństwa informacji.
O nas
Marcin Marczewski
Prezes Zarządu i architekt odporności biznesu w Resilia specjalizujący się
wdziedzinach zarządzania ryzykiem operacyjnym, bezpieczeństwem
informacji, ciągłością działania, sytuacjami kryzysowymi z 15 letnim
doświadczeniem. Wykładowca w Collegium Civitas prowadzący zajęcia
„Zarządzanie systemami informacyjnymi i ich bezpieczne stosowanie”.
Kierownik studiów w zakresie Cyber bezpieczeństwa na Akademii Leona
Koźmińskiego. Akredytowany trener PECB Kanada współpracujący z firmami
szkoleniowymi.
3. Wprowadzenie – czym jest RODO?
Kompletny przegląd wymagań w obszarze
ochrony danych z obszerną aktualizacją
wytycznych opisujących, co można uznać
za dane umożliwiające identyfikację osoby
Spełnienie wymagań koniczne jest we
wszystkich państwach członkowskich Unii
Europejskiej
Stosuje się do wszystkich organizacji
przetwarzających dane osobowe osób
fizycznych obywateli UE, których dane
dotyczą, bez względu na to gdzie
organizacja jest zlokalizowana
Opisuje istotne prawa osób, których dane
dotyczą, w zakresie roszczeń i
odszkodowań, a także prawa do usunięcia
i dokładności danych
Roszczenia związane z rekompensatą za
złamanie prawa mogą być skierowane
przeciwko organizacjom i osobom przez
nie zatrudnionym
Kluczowe daty:
8 kwietnia 2016 Rozporządzenie
zostało przyjęte przez Radę
Europejską
14 kwietnia 2016
Rozporządzenie zostało przyjęte
przez Parlament Europejski
4 maja 2016 jednolity tekst
Rozporządzenia został
opublikowany w Dzienniku
Urzędowym UE we wszystkich
językach urzędowych
Rozporządzenie weszło w życie w
dniu 24 maja 2016 i ma
zastosowanie od 25 maja 2018.
Rozporządzenie wiąże w całości i
jest bezpośrednio stosowane we
wszystkich państwach
członkowskich.
4. Czy przetwarzasz dane osobowe?
Definicja danych osobowych.
Czy przetwarzasz dane osobowe wrażliwe?
Czy przetwarzasz dane osobowe dzieci?
W jakim zakresie przetwarzasz dane
osobowe?
Rejestr czynności przetwarzania danych
osobowych.
5. Dla jakich celów dane osobowe są
przetwarzane?
Czy profilujesz?
Czy cele przetwarzania danych osobowych są
zgodne z pierwotnymi założeniami?
6. W jaki sposób przepływają dane?
Inwentaryzacja systemów i komponentów IT
Przepływ danych pomiędzy systemami
7. Czy musisz powołać ABI/IOD?
Kiedy należy powołać IOD?
Jakie kompetencje powinien mieć IOD?
8. Czy przetwarzasz dane legalnie?
Na jakich podstawach prawnych można
przetwarzać dane osobowe?
Równoważność wszystkich podstaw
prawnych?
RODO, a przepisy ustawy o świadczeniu
usług drogą elektroniczną i prawa
telekomunikacyjnego
9. Czy stosowane przez Ciebie zgody na
przetwarzanie DO są prawidłowe?
Tekst zgody
Forma pozyskiwania zgody
Potwierdzenie udzielenia zgody dla celów
dowodowych
Cofniecie zgody
10. Czy przekazujesz osobom, których dane
dotyczą właściwe informacje?
O czym należy poinformować?
W jakim momencie należy przekazać
obowiązek informacyjny?
11. Czy realizujesz obowiązki względem
osób, których dane dotyczą?
Prawo dostępu,
Prawo do sprostowania danych,
Prawo do zapomnienia,
Prawo do sprzeciwu,
Prawo do przenoszenia danych,
Informowanie o udostępnieniach, (czy jest
prowadzona lista)?
12. Czy ustaliłeś dopuszczalny okres
przetwarzania danych osobowych?
Jak długo można przetwarzać dane
osobowe?
Co oznacza usunięcie danych osobowych?
Pseudonimizacja, a anonimizacja?
Procedury archiwizacji
Przetwarzanie danych osobowych w back-
up’ach
13. Czy i kiedy musisz wykonać DPIA?
Wykonanie DPIA w zależności od rodzaju,
zakresu i sposobu przetwarzania danych
osobowych.
14. Kiedy i jak stosować zasadę ‚Privacy by
design’?
Uwzględnianie wymagań ochrony danych w
fazie projektowania procesu czy usługi IT.
15. Kiedy i jak stosować zasadę ‚Privacy by
default’?
Domyślna ochrona danych,
Przetwarzanie jedynie niezbędnych danych, do
osiągnięcia konkretnego celu,
Ograniczona ilość, zakres i okres
przetwarzania danych,
Kontrolowany dostęp do danych.
16. Czy i jak zarządzasz ryzykiem?
Zrozumienie procesów
przetwarzania i przepływów
danych
Zasoby, za pomocą których
dane są przetwarzane
Identyfikacja zagrożeń,
podatności, zabezpieczeń
Ocena skutków,
prawdopodobieństwa i
poziomu ryzyka
Uwzględnienie atrybutów
bezpieczeństwa danych
(poufność, dostępność,
integralność)
17. Jakie zabezpieczenia stosujesz w
przetwarzaniu danych?
Jakie środki organizacyjno - techniczne są
wykorzystywane do przetwarzania tych danych
Środki ochrony muszą być adekwatne do
prawdopodobnych ryzyk naruszenia praw lub
wolności osób fizycznych w przypadku utraty,
kradzieży lub ujawnienia osobom
nieuprawnionym.
18. Jaką dokumentację posiadasz, a jaką
musisz opracować – PB i IZSI?
Nie ma ustalonego formatu takich polityk, a
dokładana lista polityk odpowiednich dla
każdego przedsiębiorstwa powinna zależeć od
rodzaju i celu przetwarzanych danych.
19. Jakie procedury bezpieczeństwa
powinieneś posiadać?
Przykładowe dokumenty:
Ogólna Polityka Ochrony Danych Osobowych,
Procedura dot. prawa dostępu do danych osób, których dane
dotyczą,
Polityka bezpieczeństwa danych,
Eskalacja i list kontrolna naruszenia ochrony danych
osobowych,
Polityka ochrony danych osobowych pracowników i udzielania
informacji,
Polityka przetwarzania danych klienta,
Wytyczne dot. udzielania informacji o danych osobowych.
Procedura bezpiecznego usuwania danych osobowych
Procedura kopiowania oraz relokacji danych osobowych
Zasady retencji oraz bezpiecznego przechowywania danych
osobowych
20. Czym dla Ciebie jest obowiązek
zgłaszania incydentów bezpieczeństwa?
Procedura umożliwiająca zgłoszenie naruszania
organowi nadzorczemu w terminie 72 godzin
Zawiadamianie osoby,
której dane dotyczą,
o naruszeniu ochrony
danych osobowych
Uwzględnienie aspektu
komunikacji z
podwykonawcami
21. Szkolenia osób dopuszczonych
Pracownicy, którzy mają dostęp do danych
osobowych innych pracowników lub klientów,
muszą zostać przeszkoleni, aby zapewnić, że
postępują z danymi zgodnie z wymaganiami
RODO.
Organizacja powinna prowadzić rejestr
szkoleń, aktualizować szkolenia i zapewniać
szkolenia „odświeżające” wiedzę.
22. Czy osoby w Twojej firmie są
odpowiednio upoważnione?
Kogo należy upoważnić do przetwarzania
danych osobowych?
Z czego powinien wynikać zakres
upoważnienia?
Jak powinno wyglądać upoważnienie do
przetwarzania danych?
23. Czy zwracasz uwagę komu powierzasz
dane do przetwarzania?
Współpraca z podwykonawcami – odwrócenie
modelu zamówień
Dostawcy spoza UE
24. Na co zwrócić uwagę przy umowach
powierzenia?
Z kim należy zawierać umowy powierzenia
przetwarzania danych osobowych?
Co powinna zawierać umowa powierzenia
przetwarzania danych?
Jaka powinna być forma umowy?
25. Dziękujemy!
W przypadku pytań prosimy o kontakt
Kom.: +48 602 727 215
Email: mmarczewski@resilia.pl
www.resilia.pl
kontakt@resilia.pl
twitter.com/resiliapl
facebook.com/resiliapl
Tel.: +48 22 841 05 48
Email: j.matuszak-lesny@esb-
legal.pl
http://www.esb-legal.pl