Obszar I. Obszar II. Co dokładnie będziemy analizować? Nowa klasyfikacja: dane zwykłe dane wrażliwe dane biometryczne

Transkrypt

1 Obszar I Nowa klasyfikacja: dane zwykłe dane wrażliwe dane biometryczne zidentyfikujemy dane osobowe w oparciu o zmieniony podział (dane zwykłe/wrażliwe) zweryfikujemy przetwarzanie przez spółkę nowozdefiniowanych przez RODO danych osobowych (np. dane biometryczne) przypiszemy zbiorom danych nowe przesłanki legalności Obszar II zinwentaryzujemy wszystkie procesy przetwarzania danych zachodzące w spółce Legalność przetwarzania danych osobowych w RODO sprawdzimy czy nowe przesłanki legalności zezwalają na przetwarzanie obecnych zbiorów danych sprawdzimy czy zmiana kilkuset aktów prawnych związana z RODO będzie oddziaływać na legalność przetwarzania danych zarekomendujemy alternatywne podstawy prawne, które będzie można zastosować w przypadku nieuchwalenia przepisów krajowych

2 Obszar III Ciężar dowodu wykazania realizacji nowych zasad ogólnych wynikających z RODO spoczywa na administratorze danych (art. 5 RODO). Musimy zapewnić możliwość wykazania realizacji wszystkich nowych zasad ogólnych zawartych w RODO: zbadamy możliwości wykazania przez administratora danych przestrzegania: Realizacja zasady rozliczalności zasady zgodności z prawem, rzetelności i przejrzystości zasady ograniczeniu celu przetwarzania danych zasady minimalizacji danych zasady prawidłowości danych zasady ograniczenia przechowywania danych zasady integralności i poufności danych zasady rozliczalności zweryfikujemy procesy związane z przetwarzaniem danych osobowych pod kątem zasady rozliczalności

3 Obszar IV RODO wymaga precyzyjnego zbadania i określenia czasu przetwarzania danych we wszystkich zbiorach (tzw. retencja danych): Retencja danych zbadamy aktualne procedury retencyjne i ich zgodność z RODO opracujemy wytyczne dotyczące procedury retencji dla poszczególnych kategorii danych i procesów Obszar V RODO odrębnie reguluje kwestię warunków wyrażenia zgody. Wszędzie tam gdzie stosujemy klauzule zgód: sprawdzimy czy ich treść spełnia wymogi RODO zweryfikujemy czy wycofanie zgody jest równie proste co jej wyrażenie ustalimy czy na podstawie zgody świadczone są usługi społeczeństwa informacyjnego skierowane do dzieci Warunki wyrażenia zgody zarekomendujemy mechanizmy wycofania zgody sprawdzimy czy w przypadku stosowania tzw. checkboxów, nie są one domyślnie zaznaczone zweryfikujemy czy w prawidłowy sposób formułowane jest zapytanie o zgodę zweryfikujemy czy obecnie zbierane zgody spełniają warunki art. 7 RODO i będą one nadal stanowiły podstawę prawną przetwarzania danych osobowych na gruncie RODO

4 Obszar VI Powierzenie przetwarzania danych osobowych (umowy + wybór procesora) RODO bardzo precyzyjnie reguluje kwestię umów powierzenia przetwarzania danych osobowych. Konieczny będzie przegląd wszystkich umów powierzenia: zidentyfikujemy umowy powierzenia, które będą obowiązywać po dniu r. przygotujemy stosowne aneksy sprawdzimy czy realizowany jest obowiązek wyboru odpowiedniego procesora zarekomendujemy sposoby weryfikacji procesorów (wewnątrz grupy, poza grupą) Obszar VII Profilowanie RODO wprowadza definicję profilowania i przewiduje różne obowiązki w zależności od tego, w jakim celu profilowanie jest stosowane: zweryfikujemy czy dochodzi do profilowania czyli czy dane osobowe są wykorzystywane do analizy / prognozowania preferencji, zainteresowań czy lokalizacji osoby fizycznej (czy dochodzi do systematycznej i kompleksowej oceny czynników osobowych) jeśli profilowanie występuje ustalimy w jakim celu wykorzystywane są informacje uzyskane w wyniku profilowania przykład: rekrutacja pracowników w oparciu o aktywność na portalach społecznościowych (kadry), analiza działań marketingowych

5 Obszar VIII sprawdzimy, w których dokładnie miejscach powinny się znajdować nowe klauzule informacyjne (strony www, formularze, kwestionariusze) Obowiązek informacyjny zweryfikujemy czy klauzule informacyjne zawierają wymagane elementy m.in.: tożsamość oraz dane kontaktowe administratora danych dane kontaktowe IOD cele przetwarzania danych podstawę prawną przetwarzania danych prawnie uzasadnione interesy (jeśli są realizowane przez spółkę) wskazanie odbiorców danych lub kategorie odbiorców, jeśli istnieją zamiar przekazania danych do państwa trzeciego lub organizacji międzynarodowej okres, przez który dane będą przechowywane lub kryteria ustalania tego okresu prawa osoby, której dane dotyczą (żądanie dostępu, sprostowanie, usunięcie, ograniczenie przetwarzania, wniesienie sprzeciwu, przenoszenie) prawo do cofnięcia zgody prawo wniesienia skargi do organu nadzorczego

6 Obszar IX Ochrona danych osobowych w fazie projektowania i domyślna ochrona danych osobowych (privacy by design/privacy by default). sprawdzimy czy ścieżka wyboru i nawiązywania współpracy z podmiotami zewnętrznymi np. dostawcami systemów, jest zgodna z procedurami RODO przygotujemy wytyczne dot. realizacji koncepcji privacy by default Obszar X Ocena skutków dla ochrony danych zidentyfikujemy operacje przetwarzania, które ze względu na swój charakter, zakres, kontekst i cele mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych dla których RODO wymaga realizacji specjalnej analizy zarekomendujemy procedury zapewniające realizację obowiązków dotyczących oceny skutków

7 Obszar XI Pseudonimizacja sprawdzimy procesy przesyłania danych w ramach organizacji i poza jej strukturą z punktu widzenia możliwości lub konieczności zastosowania pseudonimizacji zweryfikujemy możliwość zastosowania pseudonimizacji jako sposobu realizacji zasad privacy by default i privacy by design Obszar XII Na gruncie obecnie obowiązującej ustawy powołanie Administratora Bezpieczeństwa Informacji jest fakultatywne. RODO przewiduje, że dla pewnej kategorii podmiotów wyznaczenie Inspektora Ochrony Danych jest obligatoryjne. Inspektor ochrony danych osobowych Zgodnie z wytycznymi Grupy Roboczej art. 29, zalecane jest dokonanie odrębnej analizy w tym przedmiocie: zweryfikujemy istnienie obowiązku wyznaczenia IOD przedstawimy wymogi dotyczące Inspektora ochrony danych osobowych przygotujemy zalecenia dotyczące sposobu realizacji obowiązków IOD jako punktu kontaktowego dla organu nadzoru Zarekomendujemy dokumenty o charakterze wewnętrznym dotyczące Inspektora ochrony danych osobowych

8 Obszar XIII Nowe prawa osób, których dane dotyczą RODO znacznie poszerza zakres uprawnień osób, których dane osobowe podlegają przetwarzaniu. Na gruncie nowych przepisów, do uprawnień tych należy zaliczyć: prawo do wycofania wyrażonej zgody prawo dostępu przysługujące osobie, której dane dotyczą prawo do sprostowania danych prawo do usunięcia danych (prawo do bycia zapomnianym) prawo do ograniczenia przetwarzania prawo do przenoszenia danych prawo sprzeciwu prawo do niepodlegania decyzjom opartym na zautomatyzowanym przetwarzaniu. Dla administratora (spółki) oznacza to konieczność uwzględnienia w stosowanych procesach przetwarzania danych, procedur umożliwiających osobie, której dane dotyczą, wykonywanie przysługujących jej praw: zidentyfikujemy procesy przetwarzania danych, w ramach których, poszczególne prawa będą mogły być realizowane sprawdzimy czy osoby, których dane dotyczą, mogą skutecznie korzystać z przysługujących im praw Wyznaczymy kroki jakie musi podjąć spółka w celu umożliwienia osobom, których dane dotyczą, realizacji nowych praw.