„RODO ogarnia jeden z naszych pracowników, to tylko kilka kwitów"
Jesteś tego pewien?
Mapa praktycznych aspektów RODO
Administrator
obowiązek wdrożenia technicznych i organizacyjnych środków zapewniających zgodność z RODO i pozwalających to wykazać,
Informowanie o naruszeniach ochrony danych
procedury wykrywania, analizy, zgłaszania naruszeń ochrony danych,
procedury informowania osób, których dane dotyczą o naruszeniach ochrony danych,
szablon rejestru naruszeń ochrony danych,
Inspektor ochrony danych
analiza obowiązku powołania inspektora ochrony danych (IOD),
wskazanie kwalifikacji, kompetencji i zadań IOD,
odpowiednie usytuowanie organizacyjne IOD (bezpośrednia podległość najwyższemu kierownictwu),
włączanie IOD we wszystkie procesy przetwarzania danych,
preambuła RODO: motyw 97.
Ocena skutków dla ochrony danych (Privacy Impact Assessment)
analiza obowiązku przeprowadzenia oceny skutków planowanych operacji przetwarzania dlaochrony danych osobowych,
dokonanie oceny skutków planowanych operacji przetwarzania danych dla ochrony danych osobowych, jeśli jest wymagana,
UODO: art. 57.
Ochrona danych w fazie projektowania oraz domyślnie bezpieczeństwo
stworzenie procedury przejrzystości co do funkcji i przetwarzania danych osobowych(umożliwienie osobie, której dane dotyczą monitorowania przetwarzania danych, umożliwienieadministratorowi tworzenia i doskonalenia zabezpieczeń) oraz minimalizacji przetwarzaniadanych osobowych,
stworzenie procedur by podczas opracowywania i projektowania produktów, usług, aplikacji wzięto pod uwagę prawo do ochrony danych osobowych,
RODO: art. 25,
Odbiorca
podmiot, któremu ujawnia się dane osobowe
określenie odbiorców lub ich kategorii jest konieczne m.in. do spełnienia obowiązkuinformacyjnego,
obowiązek powiadomienia odbiorcy o sprostowaniu, usunięciu lub ograniczeniu przetwarzaniadanych osobowych,
Organ nadzorczy
ponad 20 kategorii zadań
mechanizm kompleksowej współpracy (one-stop-shop),
preambuła RODO: motywy 53, 75, 85, 108–110, 117–128, 132, 135–138 i 164.
UODO: art. 7, art. 34–59 (organizacja), art. 60–74 (postępowanie ws. naruszenia), art. 78–91 (kontrola).
Podmiot przetwarzający (Procesor)
analiza dotychczasowego wzoru umowy powierzenia przetwarzania danych osobowych zawieranej zprocesorem,
wykaz procesorów,
weryfikacja możliwości wywiązania się przez istniejących procesorów z obowiązków określonychw RODO,
dostosowanie wzoru umowy powierzenia do wymogów RODO,
RODO: art. 28,
Podstawy prawne przetwarzania
nowe zasady odbierania zgody na przetwarzanie danych osobowych szczególnej kategorii,
niemożność posiłkowania się przez organy publiczne przesłanką uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią,
Prawa osoby, której dane dotyczą
dostosowanie systemów informatycznych, tak aby mogły na żądanie osoby, której dane dotycząm.in.: usuwać całkowicie jej dane osobowe, przenosić dane do innego usługodawcy, wygenerowaćplik z wszystkimi jej danymi osobowymi itd.,
stworzenie procedury udzielania odpowiedzi na zapytania osoby, której dane dotyczą w terminie miesiąca, zgodnie z zasadą przejrzystości,
Profilowanie
analiza procesów przetwarzania danych osobowych pod kątem automatycznego przetwarzania danych, w tym profilowania,
ustalenie podstaw do przetwarzania danych osobowych w sposób automatyczny, bez ingerencji człowieka,
stworzenie klauzul zgód na dokonywanie profilowania rodzącego skutki prawne po stronie osoby, której dane dotyczą,
Przekazywanie danych do państw trzecich i organizacji międzynarodowych
analiza, czy administrator danych osobowych przekazuje dane osobowe poza Europejski ObszarGospodarczy,
ustalenie podstaw do przekazywania danych do państw trzecich,
dostosowanie procesu przekazywania danych do państw trzecich do wymogów RODO,
UODO: art. 56.
Pseudonimizacja
jeden ze środków zabezpieczenia danych osobowych,
utrudnia identyfikację podmiotu, ale pozostawia możliwość przypisania różnych wartości tejsamej osobie,
proces odwracalny w odróżnieniu od anonimizacji,
Rejestrowanie czynności przetwarzania
analiza obowiązku prowadzenia rejestru czynności przetwarzania,
weryfikacja procesów związanych z przetwarzaniem danych osobowych,
stworzenie szablonu rejestru czynności przetwarzania w kontekście zidentyfikowanych procesów,
RODO: art. 30,
Strona trzecia przetwarzająca dane
osoba fizyczna lub prawna, organ publiczny, jednostka lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe,
podstawą przetwarzania danych osobowych może być jego niezbędność do celów wynikających z prawnie uzasadnionych interesów realizowanych przez stronę trzecią,
Zabezpieczenie danych na podstawie oszacowanego ryzyka
określenie punktu wyjścia dla wdrożenia zabezpieczeń,
zdefiniowanie procesów zachodzących w organizacji,
zidentyfikowanie zagrożeń, podatności, prawdopodobieństwa, skutków i obecnych zabezpieczeń,
opracowanie planu postępowania z ryzykiem,
RODO: art. 32,
Usługi społeczeństwa informacyjnego
zgodę na przetwarzanie danych osobowych, w imieniu dziecka poniżej 16 lat, wyraża rodzic lubprawny opiekun,
RODO: art. 8,
preambuła RODO: motyw 38.
Wiążące reguły korporacyjne
polityki ochrony danych osobowych stosowane przez administratora lub podmiot przetwarzający, którzy posiadają jednostkę organizacyjną na terytorium państwa członkowskiego,
RODO: art. 4 pkt 20, art. 46 ust. 2 lit. b, art. 47, art. 57 ust. 1 lit. s.
UODO: art. 56.
Współadministratorzy
zidentyfikowanie spółek współtworzących grupę przedsiębiorstw,
analiza przepływu danych pomiędzy spółkami i identyfikacja współadministratorów,
zawarcie wspólnych uzgodnień pomiędzy spółkami współadministrującymi danymi,
RODO: art. 26,
Zgoda
jedna z możliwych przesłanek legalizujących przetwarzanie danych osobowych,
zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą,
