Duża cześć wymagań Rozporządzenia GDPR/RODO, które staną się wymagalne w dniu 25 maja 2018 r. zbliżone są do obecnie obowiązujących wymagań Ustawy o ochronie danych osobowych. Jednakże trzeba wiedzieć, że w Rozporządzeniu GDPR / RODO pojawiły się nowe elementy i znaczące zmiany, które będą miały istotny wpływ na firmy przetwarzające dane osobowe. W związku z tym niezbędne będzie wykonanie pewnych działań po raz pierwszy bądź zmiana dotychczasowej praktyki. Podczas naszego webinarium omówimy najważniejsze zadania niezbędne do wdrożenia Rozporządzenia RODO w przedsiębiorstwie.

1. 20 kroków do zgodności z
RODO
r.pr. Justyna Matuszak-Leśny, LL.M.
Marcin Marczewski
Warszawa, 30.01.2018r.

2. mec. Justyna Matuszak-Leśny, LL.M.
 Radca prawny, partner niemieckiej kancelarii e/s/b Rechtsanwälte,
Emmert, Bücking, Speichert, Matuszak-Leśny PartG mbB oraz szef biura
w Warszawie. Specjalizuje się w prawie nowych technologii, danych
osobowych, e-commerce, FinTech. Ekspertka z zakresu identyfikacji
elektronicznej, uwierzytelniania, usług zaufania i cyberprzestępstwa. Od
wielu lat pełni obowiązki Administratora Bezpieczeństwa Informacji w
spółkach z sektora nowych technologii, jak również finansów.
Przeprowadziła ponad 100 audytów bezpieczeństwa informacji.
O nas
Marcin Marczewski
Prezes Zarządu i architekt odporności biznesu w Resilia specjalizujący się
wdziedzinach zarządzania ryzykiem operacyjnym, bezpieczeństwem
informacji, ciągłością działania, sytuacjami kryzysowymi z 15 letnim
doświadczeniem. Wykładowca w Collegium Civitas prowadzący zajęcia
„Zarządzanie systemami informacyjnymi i ich bezpieczne stosowanie”.
Kierownik studiów w zakresie Cyber bezpieczeństwa na Akademii Leona
Koźmińskiego. Akredytowany trener PECB Kanada współpracujący z firmami
szkoleniowymi.

3. Wprowadzenie – czym jest RODO?
 Kompletny przegląd wymagań w obszarze
ochrony danych z obszerną aktualizacją
wytycznych opisujących, co można uznać
za dane umożliwiające identyfikację osoby
 Spełnienie wymagań koniczne jest we
wszystkich państwach członkowskich Unii
Europejskiej
 Stosuje się do wszystkich organizacji
przetwarzających dane osobowe osób
fizycznych obywateli UE, których dane
dotyczą, bez względu na to gdzie
organizacja jest zlokalizowana
 Opisuje istotne prawa osób, których dane
dotyczą, w zakresie roszczeń i
odszkodowań, a także prawa do usunięcia
i dokładności danych
 Roszczenia związane z rekompensatą za
złamanie prawa mogą być skierowane
przeciwko organizacjom i osobom przez
nie zatrudnionym
Kluczowe daty:
 8 kwietnia 2016 Rozporządzenie
zostało przyjęte przez Radę
Europejską
 14 kwietnia 2016
Rozporządzenie zostało przyjęte
przez Parlament Europejski
 4 maja 2016 jednolity tekst
Rozporządzenia został
opublikowany w Dzienniku
Urzędowym UE we wszystkich
językach urzędowych
 Rozporządzenie weszło w życie w
dniu 24 maja 2016 i ma
zastosowanie od 25 maja 2018.
 Rozporządzenie wiąże w całości i
jest bezpośrednio stosowane we
wszystkich państwach
członkowskich.

4. Czy przetwarzasz dane osobowe?
 Definicja danych osobowych.
 Czy przetwarzasz dane osobowe wrażliwe?
 Czy przetwarzasz dane osobowe dzieci?
 W jakim zakresie przetwarzasz dane
osobowe?
 Rejestr czynności przetwarzania danych
osobowych.

5. Dla jakich celów dane osobowe są
przetwarzane?
 Czy profilujesz?
 Czy cele przetwarzania danych osobowych są
zgodne z pierwotnymi założeniami?

6. W jaki sposób przepływają dane?
 Inwentaryzacja systemów i komponentów IT
 Przepływ danych pomiędzy systemami

7. Czy musisz powołać ABI/IOD?
 Kiedy należy powołać IOD?
 Jakie kompetencje powinien mieć IOD?

8. Czy przetwarzasz dane legalnie?
 Na jakich podstawach prawnych można
przetwarzać dane osobowe?
 Równoważność wszystkich podstaw
prawnych?
 RODO, a przepisy ustawy o świadczeniu
usług drogą elektroniczną i prawa
telekomunikacyjnego

9. Czy stosowane przez Ciebie zgody na
przetwarzanie DO są prawidłowe?
 Tekst zgody
 Forma pozyskiwania zgody
 Potwierdzenie udzielenia zgody dla celów
dowodowych
 Cofniecie zgody

10. Czy przekazujesz osobom, których dane
dotyczą właściwe informacje?
 O czym należy poinformować?
 W jakim momencie należy przekazać
obowiązek informacyjny?

11. Czy realizujesz obowiązki względem
osób, których dane dotyczą?
 Prawo dostępu,
 Prawo do sprostowania danych,
 Prawo do zapomnienia,
 Prawo do sprzeciwu,
 Prawo do przenoszenia danych,
 Informowanie o udostępnieniach, (czy jest
prowadzona lista)?

12. Czy ustaliłeś dopuszczalny okres
przetwarzania danych osobowych?
 Jak długo można przetwarzać dane
osobowe?
 Co oznacza usunięcie danych osobowych?
 Pseudonimizacja, a anonimizacja?
 Procedury archiwizacji
 Przetwarzanie danych osobowych w back-
up’ach

13. Czy i kiedy musisz wykonać DPIA?
 Wykonanie DPIA w zależności od rodzaju,
zakresu i sposobu przetwarzania danych
osobowych.

14. Kiedy i jak stosować zasadę ‚Privacy by
design’?
 Uwzględnianie wymagań ochrony danych w
fazie projektowania procesu czy usługi IT.

15. Kiedy i jak stosować zasadę ‚Privacy by
default’?
 Domyślna ochrona danych,
 Przetwarzanie jedynie niezbędnych danych, do
osiągnięcia konkretnego celu,
 Ograniczona ilość, zakres i okres
przetwarzania danych,
 Kontrolowany dostęp do danych.

16. Czy i jak zarządzasz ryzykiem?
 Zrozumienie procesów
przetwarzania i przepływów
danych
 Zasoby, za pomocą których
dane są przetwarzane
 Identyfikacja zagrożeń,
podatności, zabezpieczeń
 Ocena skutków,
prawdopodobieństwa i
poziomu ryzyka
 Uwzględnienie atrybutów
bezpieczeństwa danych
(poufność, dostępność,
integralność)

17. Jakie zabezpieczenia stosujesz w
przetwarzaniu danych?
 Jakie środki organizacyjno - techniczne są
wykorzystywane do przetwarzania tych danych
 Środki ochrony muszą być adekwatne do
prawdopodobnych ryzyk naruszenia praw lub
wolności osób fizycznych w przypadku utraty,
kradzieży lub ujawnienia osobom
nieuprawnionym.

18. Jaką dokumentację posiadasz, a jaką
musisz opracować – PB i IZSI?
 Nie ma ustalonego formatu takich polityk, a
dokładana lista polityk odpowiednich dla
każdego przedsiębiorstwa powinna zależeć od
rodzaju i celu przetwarzanych danych.

19. Jakie procedury bezpieczeństwa
powinieneś posiadać?
Przykładowe dokumenty:
 Ogólna Polityka Ochrony Danych Osobowych,
 Procedura dot. prawa dostępu do danych osób, których dane
dotyczą,
 Polityka bezpieczeństwa danych,
 Eskalacja i list kontrolna naruszenia ochrony danych
osobowych,
 Polityka ochrony danych osobowych pracowników i udzielania
informacji,
 Polityka przetwarzania danych klienta,
 Wytyczne dot. udzielania informacji o danych osobowych.
 Procedura bezpiecznego usuwania danych osobowych
 Procedura kopiowania oraz relokacji danych osobowych
 Zasady retencji oraz bezpiecznego przechowywania danych
osobowych

20. Czym dla Ciebie jest obowiązek
zgłaszania incydentów bezpieczeństwa?
 Procedura umożliwiająca zgłoszenie naruszania
organowi nadzorczemu w terminie 72 godzin
 Zawiadamianie osoby,
której dane dotyczą,
o naruszeniu ochrony
danych osobowych
 Uwzględnienie aspektu
komunikacji z
podwykonawcami

21. Szkolenia osób dopuszczonych
 Pracownicy, którzy mają dostęp do danych
osobowych innych pracowników lub klientów,
muszą zostać przeszkoleni, aby zapewnić, że
postępują z danymi zgodnie z wymaganiami
RODO.
 Organizacja powinna prowadzić rejestr
szkoleń, aktualizować szkolenia i zapewniać
szkolenia „odświeżające” wiedzę.

22. Czy osoby w Twojej firmie są
odpowiednio upoważnione?
 Kogo należy upoważnić do przetwarzania
danych osobowych?
 Z czego powinien wynikać zakres
upoważnienia?
 Jak powinno wyglądać upoważnienie do
przetwarzania danych?

23. Czy zwracasz uwagę komu powierzasz
dane do przetwarzania?
 Współpraca z podwykonawcami – odwrócenie
modelu zamówień
 Dostawcy spoza UE

24. Na co zwrócić uwagę przy umowach
powierzenia?
 Z kim należy zawierać umowy powierzenia
przetwarzania danych osobowych?
 Co powinna zawierać umowa powierzenia
przetwarzania danych?
 Jaka powinna być forma umowy?

25. Dziękujemy!
W przypadku pytań prosimy o kontakt
Kom.: +48 602 727 215
Email: mmarczewski@resilia.pl
www.resilia.pl
kontakt@resilia.pl
twitter.com/resiliapl
facebook.com/resiliapl
Tel.: +48 22 841 05 48
Email: j.matuszak-lesny@esb-
legal.pl
http://www.esb-legal.pl