RODO W IT Praktyczne rozwiązania dla działów IT zgodne z GDPR Marcin Serafin, Sławomir Kowalski, Małgorzata Kurowska, Paweł Tobiczyk Kancelaria Maruta Wachta sp. j.
Kancelaria Maruta Wachta Kancelaria głównie znana z IT i nowych technologii Zwycięstwo w the Lawyer 2018 oraz w rankingu Rzeczpospolita
Zespół RODO 30 prawników oraz eksperci techniczni i biznesowi prawdopodobnie największy taki zespół w Polsce Nagroda 2018 Rzeczpospolitej Lider w dziedzinie ochrony danych W zakresie RODO pomogliśmy ponad100 organizacjom publicznym i prywatnym ze wszystkich dziedzin gospodarki
Usługi RODO SPECJALIZACJE IT i nowe technologie Telekomunikacja Sektor finansowy Energetyka e-commerce e-marketing Sieci handlowe i franczyzowe Sektor publiczny HR Branża produkcyjna
Napisz do nas kontakt_rodo@maruta.pl newsletter_rodo@maruta.pl
Agenda spotkania 1. Co RODO powiedziało nam o IT? 2. Granice danych osobowych i ich przetwarzania w środowisku IT 3. Realizacja praw podmiotów danych 4. Czy dostawca będzie przetwarzał dane osobowe? 5. Powierzenie czy upoważnienie do przetwarzania danych? 6. Kluczowe zagadnienia kontraktowe 7. Podejście oparte na ryzyku w RODO
CO RODO POWIEDZIAŁO NAM O IT?
Przestarzałe rozwiązania Ile czasu zajmuje wdrożenie nowej treści zgody? Ile MD pracy wymaga zaimplementowanie logiki wykazującej zrealizowane obowiązków informacyjnych? Jak skomplikowana jest operacja usuwania danych po okresie retencji?
GRANICE DANYCH OSOBOWYCH I ICH PRZETWARZANIA W ŚRODOWISKU IT
Case 1 Pracownik zewnętrznego help desk Spółki zażądał przekazania kopi dotyczących go danych osobowych. Okazuje się, że Spółka posiada dane tego pracownika obejmujące adres e-mail, login, hasło, informacje o sposobie korzystania z systemu (logi), a także szereg innych informacji, które można przypisać do tego użytkownika w sposób pośredni, m.in. nagrania rozmów telefonicznych, które prowadził, reklamacje zgłaszane przez klientów, informacje o sposobie ich rozpatrzenia, a także szereg danych dotyczących tych klientów. Jaki zakres danych osobowych pracownika help desk powinien mu zostać przekazany?
Case 2 Pracownik spółki Y i wielbiciel piłki nożnej czyta w popularnych portalach wiadomości o życiu prywatnym piłkarzy i ich bliskich. Lektura odbywa się w czasie pracy oraz na sprzęcie firmowym. Pracownik zapisuje co ciekawsze artykuły w folderze na serwerze firmowym. Kierownictwo rozważa wprowadzenie zupełnego zakazu dostępu do popularnych portali oraz zapisywania materiałów niezwiązanych z pracą na firmowych zasobach. Czy działanie pracownika czyni ze spółki Y administratora danych sportowców i ich bliskich? Czy spółka powinna podejmować jakieś działania w związku z opisaną sytuacją?
Case 3 Bank X monitoruje, na podstawie kodów MCC, transakcje realizowane przez klientów. W oparciu o analizę wydatków Filipa bank ustalił, że Filip z prawdopodobieństwem: 0,7 ma problem alkoholowy oraz 0,8 ma kochankę. Wynika to z dużej liczby transakcji z kodem 5813 (pijalnie alkoholu, bary, tawerny ) i 5921 (sklepy z alkoholem) oraz częstych transakcji z kodem 7011 (hotele, motele). W tej sytuacji Bank dokładniej monitoruje sposób spłaty przez Filipa i jego żonę Annę kredytu hipotecznego. Filip poprosił o kopię dotyczących go danych osobowych. Czy bank musi przekazać informacje o swoich przypuszczeniach o jego aktywności?
CZY DOSTAWCA BĘDZIE PRZETWARZAŁ DANE OSOBOWE?
Case 1 Spółka DataSecure świadczy usługi polegające na prowadzeniu testów bezpieczeństwa systemów informatycznych i wykrywaniu podatności tych systemów. W trakcie prowadzenia testów Spółka ma możliwość dostępu do danych przetwarzanych w systemie, jednak dostęp ten nie jest z reguły konieczny dla realizacji usługi. Niektórzy klienci Spółki żądają zawierania z nimi umów powierzenia, podczas gdy inni uznają, że nie ma takiej potrzeby.
Case 2 Spółka DataProtect świadczy usługi utrzymania systemów informatycznych, przy czym z reguły do ich świadczenia nie jest niezbędny dostęp do jakichkolwiek danych. W sporadycznych przypadkach, gdy wymagane są operacje na danych osobowych, klienci przekazują Spółce dane osobowe w postaci zaszyfrowanej. Spółka nie otrzymuje klucza umożliwiającego rozszyfrowanie komunikatu. Spółka DataProtect zastanawia się, czy w tym wypadku może uniknąć zawierania umowy powierzenia przetwarzania danych.
POWIERZENIE CZY UPOWAŻNIENIE DO PRZETWARZANIA DANYCH?
Case 1 Spółka XYZ świadczy usługi utrzymaniowe systemów informatycznych. Co do zasady, świadczenie usług nie wymaga przetwarzania danych, jednak w pewnych przypadkach usunięcie awarii wymaga dostępu do środowiska produkcyjnego i pracy na rzeczywistych danych. Zgłaszając incydenty, pracownicy zamawiającego przesyłają też nierzadko screeny z ekranu, w których zawarte są obrazy danych osobowych przetwarzanych w systemie. Spółka XYZ zastanawia się, w jaki sposób umownie uregulować zagadnienie danych osobowych w tej sytuacji.
KLUCZOWE ZAGADNIENIA KONTRAKTOWE
Najczęstsze pułapki w umowie powierzenia: Zasady korzystania z podwykonawców Zasady przeprowadzenia audytów i ponoszenia ich kosztów Odpowiedzialność i kary umowne Konstrukcja umowy dalszego powierzenia
Case 1 W umowie z zamawiającym wskazano, że: Wykonawca jest uprawniony do korzystania z podwykonawców pod warunkiem, że będą to podmioty prowadzące działalność gospodarczą w zakresie objętym złożonym im zleceniem. W każdym wypadku wykonawca odpowiada za działania i zaniechania takich podwykonawców jak za własne działania i zaniechania. Spółka Smart Data będąca wykonawcą (procesorem) zastanawia się, czy takie postanowienie jest wystarczające dla zapewnienia sobie prawa do korzystania z partnerów podwykonawców.
Case 2 W związku z profilem prowadzonej działalności Spółka ABC uznała, że zawieranie umów powierzenia z zamawiającymi w jej przypadku nie jest konieczne. W ramach świadczonych usług personel Spółki będzie otrzymywał pisemne upoważnienia do przetwarzania danych bezpośrednio od zamawiającego. Czy i w jaki sposób Spółka powinna określić umownie zasady swojej odpowiedzialności w zakresie dotyczącym danych osobowych?
Case 3 Spółka ANALYZE! świadczy usługi polegające na analizie danych osobowych przekazanych przez klientów i sporządzaniem ich profili. ANALYZE! Chciałaby maksymalnie ochronić swój know-how, i w tym celu zamierza maksymalnie ograniczyć prawo administratora do prowadzenia audytu. Spółka rozważa dopuszczalność: Pobierania opłaty za umożliwienie audytu Określenia maksymalnej długości audytów i ich częstotliwości Ograniczenia możliwości posługiwania się przez administratora podmiotami trzecimi
PODEJŚCIE OPARTE NA RYZYKU W RODO
Elementy oceny ryzyka Ocena w fazie projektowania (by design) Ocena prawdopodobieństwa Ocena skutków dla ochrony danych (DPIA) albo Uproszczona ocena
W jakich rolach może występować IT przy ocenie ryzyka? 1 Wewnętrzny dział IT (po stronie ADO) 2 Podwykonawca (procesor / podprocesor) 3 Właściciel biznesowy projektu / procesu
Przykładowa metodyka oceny ISTOTNOŚĆ (WAGA) ZAGROŻENIA PRAWDOPODOBIEŃSTWO WYSTĄPIENIA ZAGROŻENIA pomijalne (1) niskie (2) średnie (3) wysokie (4) krytyczne (5) pomijalna (1) 1 2 3 4 5 niska (2) 2 4 6 8 10 średnia (3) 3 6 9 12 15 wysoka (4) 4 8 12 16 20 krytyczna (5) 5 10 15 20 25 STOPIEŃ RYZYKA niski (1-7) średni (8-14) wysoki (15-25)
Ocena skutków (DPIA) rola IT Dostarczanie informacji (ryzyko potencjalne), np.: o o jakie środki techniczne i fizyczne są stosowane jakie procedury są stosowane Zmapowanie zagrożeń (podatności) Ocena prawdopodobieństwa (wybraną metodą) Opracowanie zaleceń dot. środków ochrony
Chcesz dostać pełne wersje materiałów? Zapisz się na newsletter. newsletter_rodo@maruta.pl
Marcin Serafin +48 501 255 984 mserafin@maruta.pl Sławomir Kowalski +48 608 040 121 skowalski@maruta.pl Małgorzata Kurowska +48 735 200 367 mkurowska@maruta.pl We know IT Paweł Tobiczyk +48 882 345 217 ptobiczyk@maruta.pl