3. Czym jest RODO?
RODO to nowe europejskie rozporządzenie dotyczące ochrony danych osobowych
• zastępuje Dyrektywę 95/46/WE (w ramach której uchwalono obowiązującą ustawę
o ochronie danych osobowych);
• decyzje przyjęte przez Komisję oraz zezwolenia wydane przez organy nadzorcze
na podstawie dyrektywy 95/46/WE pozostają w mocy do czasu ich zmiany,
zastąpienia lub uchylenia.
Pozostał nieco ponad rok, aby dostosować działalność do wymogów RODO
• RODO zostało uchwalone 27 kwietnia 2016r. (weszło w życie w maju 2016r.);
• ma zastosowane od 25 maja 2018r.
4. Obowiązek dostosowania
Przetwarzanie, które zostało zainicjowane począwszy od dnia rozpoczęcia stosowania RODO,
powinno zostać dostosowane do dnia 25 maja 2018r.
Jeżeli przetwarzanie ma za podstawę zgodę wyrażoną w trybie określonym w dyrektywie
95/46/WE, osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny
sposób jej wyrażenia odpowiada warunkom niniejszego rozporządzenia.
5. Zakres regulacji RODO
• zniesienie obowiązku zgłaszania / rejestracji zbiorów,
• podstawy prawne przetwarzania transferu danych poza UE;
• kompetencje inspektora ochrony danych osobowych;
• nowa instytucja współadministratorów (grupy kapitałowe);
• kary pieniężne (znaczne zwiększenie wysokości);
• profilowanie;
• prawo do bycia zapomnianym;
• obowiązek prowadzenia rejestru czynności przetwarzania;
6. Zakres regulacji RODO
• zasada uwzględniania ochrony danych w fazie projektowania i domyślna ochrona prawa
podmiotów, których dane są przetwarzane (prawo do bycia zapomnianym, możliwość
przetwarzania danych osób poniżej 16 lat za zgodą opiekuna, prawo do jasnej i prostej
informacji, prawo do przenoszenia danych);
• szeroki zakres obowiązków administratorów (rozszerzony obowiązek informacyjny,
obowiązek zgłoszenia naruszeń ochrony danych organowi nadzorczemu/podmiotowi
danych, obowiązki zabezpieczenia danych).
7. Kto jest kim? - definicje
u Czym są DANE OSOBOWE?
u Kim jest ADMINISTRATOR?
u Kim jest PODMIOT PRZETWARZAJĄCY?
u Kim jest WSPÓŁADMINISTRATOR?
u PRZETWARZANIE – co to znaczy? Kiedy się zaczyna i kiedy kończy?
8. Status i obowiązki przetwarzających
(processorów)
Źródło: www.thebridge-can.com
9. Status i obowiązki przetwarzających
(processorów)
Przetwarzający (processor) - osoba fizyczna, prawna, jednostka organizacyjna, która przetwarza dane osobowe w imieniu
administratora danych (np. jako dostawca usług).
Obowiązki przetwarzających:
• prowadzenia dokumentacji dotyczącej wszystkich czynności przetwarzania danych osobowych dokonywanych w
imieniu administratora;
• implementacji odpowiednich środków zabezpieczenia danych;
• wspierania administratorów w prowadzeniu rutynowej oceny ochrony skutków planowanych operacji przetwarzania
dla ochrony danych osobowych (data protection impact assessments);
• wyznaczenia inspektora ochrony danych w określonych sytuacjach;
• przestrzegania zasad międzynarodowego transferu danych;
• współpracy z organami nadzorczymi.
10. Status i obowiązki przetwarzających
(processorów)
Przetwarzający mogą przetwarzać dane wyłącznie na podstawie umowy powierzenia
przetwarzania danych - RODO określa szczegółowo jakie warunki mają być zawarte w takiej
umowie.
Podpowierzenie (subprocessing) za zgodą administratora danych.
Przetwarzający są narażeni na sankcje na takim samym poziomie jak administratorzy!
11. Obowiązek zgłoszenia naruszeń w obrębie
administratora / przetwarzającego
W przypadku stwierdzenia naruszeń w obrębie administratora lub przetwarzającego,
powstaje obowiązek:
• zgłoszenia naruszenia właściwemu organowi nadzorczemu bez zbędnej zwłoki –
w miarę możliwości w ciągu 72 h po stwierdzeniu naruszenia – chyba że mało
prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub
wolności osób fizycznych;
• zawiadomienia osoby - bez zbędnej zwłoki, gdy naruszenie może powodować
wysokie ryzyko naruszenia praw i wolności – wyjątki w art. 34 ust. 3 (np. gdy dane
całkowicie zaszyfrowane).
12. Obowiązek zgłoszenia naruszeń w obrębie
administratora / przetwarzającego
Zgłoszenie powinno zawierać: charakter zgłoszenia, w miarę możliwości kategorie danych i
liczbę osób, których dane dotyczą, możliwe konsekwencje naruszenia, opis środków
zastosowanych lub proponowanych w celu zaradzenia.
Przetwarzający muszą powiadomić jedynie administratora o naruszeniu, brak innych
obowiązków.
13. Uprawnienia osób, których dane
są przetwarzane
Prawo do bycia zapomnianym - prawo do żądania usunięcia przez administratora
wszystkich danych bez zbędnej zwłoki gdy np.:
• cofnięto zgodę;
• brak obowiązku przechowywania danych;
• dane nie są dłużej potrzebne;
• nakaz sądu usunięcia danych.
14. Prawo do bycia zapomnianym
Źródło: http://i.huffpost.com/gen/1262219/thumbs/o-MEN-IN-BLACK-570.jpg?1
15. Uprawnienia osób, których dane są
przetwarzane
Prawo do przenoszenia danych:
• osoby mają prawo dostępu do swoich danych w powszechnie używanej formie
elektronicznej;
• dane muszą być zarządzane w sposób umożliwiający ich porównanie;
• na żądanie osoby dane muszą być ustrukturyzowane i przekazane tej osobie lub – na jej
żądanie - innemu administratorowi (jeśli przetwarzane na podstawie zgody lub w celu
zawarcia lub wykonania umowy, a przetwarzanie odbywa się w sposób
zautomatyzowany).
Administrator nie może się sprzeciwić temu żądaniu.
17. Profilowanie
Profilowanie, tzn. jakiekolwiek zautomatyzowane przetwarzanie danych osobowych do
oceny czynników osobowych osoby, np. efektów pracy, sytuacji ekonomicznej, zdrowia,
zainteresowań, lokalizacji, przemieszczania się, wiarygodności.
Profilowanie / zautomatyzowane przetwarzanie:
• danych sensytywnych – wymagana wyraźna zgoda;
• inne kategorie danych – zautomatyzowane przetwarzanie dozwolone jeśli osoba
udzieli wyraźnej zgody, jest to wyraźnie dozwolone przez prawo UE lub przez prawo
krajowe jest niezbędne do zawarcia lub wykonania umowy między administratorem i
podmiotem danych.
18. Sankcje
W przypadku stwierdzenia naruszenia przepisów RODO organ nadzorczy może nałożyć
karę administracyjną pieniężną w wysokości do:
10.000.000 € (w szczególnych przypadkach 20.000.000 €) albo 2% (w szczególnych
przypadkach 4%) rocznego światowego obrotu,
przy czym zastosowanie ma kwota wyższa.
19. Kryteria wysokości kary
• charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakres lub cel
danego przetwarzania, liczba poszkodowanych osób, których dane dotyczą, oraz rozmiar
poniesionej przez nie szkody;
• umyślny lub nieumyślny charakter naruszenia;
• działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania
szkody poniesionej przez osoby, których dane dotyczą;
• stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem
wdrożonych środków technicznych i organizacyjnych;
20. Kryteria wysokości kary
• wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu
przetwarzającego;
• stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia
jego ewentualnych negatywnych skutków;
• kategorie danych osobowych, których dotyczyło naruszenie;
• sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w
jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;
• inne kryteria.
21. RODO a sprzedaż
1. Jak pozyskiwać dane klientów?
2. Jak zarządzać danymi klientów zgodnie z przepisami prawa?
22. RODO a sprzedaż
• Jak legalnie tworzyć bazy klientów?
• Jak bezpiecznie korzystać z zewnętrznych baz kontaktów?
• Z jakich narzędzi do prospectingu można korzystać?
• Jak bezpiecznie przechowywać dane klientów?
• Jak zarządzać dostępem pracowników do danych klientów?
• Kto ponosi odpowiedzialność za wyciek danych klientów i/lub niewłaściwe ich
wykorzystanie?
23. Jak zacząć?
• Jak zabrać się za przygotowania do RODO?
• Kto w firmie powinien zająć się przygotowaniem do RODO?
• Jak przebiega audyt prawno-informatyczny?
• Jakie pytania zadać prawnikowi?
• Ile kosztuje taki audyt?
• Ile kosztuje naruszenie RODO?
24. 3 kroki do RODO
• Audyt dokumentacji wewnętrznej
• Audyt dokumentacji zewnętrznej
• Dostosowanie procedur
25. „Auto-audyt”
Jakie pytania warto zadać we własnej firmie?
u Jakie dane osobowe są przetwarzane w mojej firmie? (imię, nazwisko, adres e-mail;
czy również dane wrażliwe?)
u Jak pozyskiwane są dane? (formularz na landing page, umowa powierzenia)
u Do czego potrzebne są dane?
u Jak przechowywane są dane – gdzie znajdują się serwery?
u Czy mam Administratora Bezpieczeństwa Informacji?
u Czy zbiory, w których przetwarzam dane są zarejestrowane?
u Czy profiluję użytkowników?
26. Zapraszamy
do kontaktu
Wszystkie zdjęcia użyte w prezentacji znajdują się w domenie publicznej.
ANNA RAK-KOZERSKA
A.RAK-KOZERSKA@SNAZYKGRANICKI.PL
TEL. 508 494 102