RODO W IT Praktyczne rozwiązania dla działów IT zgodne z GDPR

Podobne dokumenty
RODO W IT Praktyczne rozwiązania dla działów IT zgodne z GDPR

MONITORING A RODO. Małgorzata Kurowska. Radca prawny, Senior Associate w kancelarii Maruta Wachta sp. j.

RODO W WYKONYWANIU ZAWODU RADCY PRAWNEGO

UMOWY POWIERZENIA W RODO. Kancelaria Maruta Wachta Sp. j.

A JAK RODO WPŁYWA NA CHATBOTY?

OCHRONA DANYCH OD A DO Z

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

KONFLIKT INTERESÓW PRZY POWIERZENIU DPO INNYCH ZADAŃ A NAKAZ WYKONYWANIA OBOWIĄZKÓW W SPOSÓB NIEZALEŻNY

PROGRAM ZAJĘĆ II EDYCJI SZKOŁY RODO. Kancelaria Maruta Wachta sp. j.

W IT CYKL SPOTKAŃ Z RODO RODO. WARSZAWA [23 sierpnia 2018] Praktyczne rozwiązania dla działów IT zgodne z GDPR

SZCZEGÓŁOWY HARMONOGRAM KURSU

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

PROGRAM ZAJĘĆ WAKACYJNEJ SZKOŁY RODO. Kancelaria Maruta Wachta sp. j.

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

Ocena skutków przetwarzania

RODO W WYKONYWANIU ZAWODU RADCY PRAWNEGO

Rozdział 4 Procedura DPIA (Data Protection Impact Assessment)

Welcome. to Space4GDPR. Platforma Space4GDPR jest narzędziem dedykowanym. do sprawnego zarządzania ochroną danych osobowych

Safe24biz Sp z o.o., ul. Człuchowska 2c/13, Warszawa tel: (62) ,

Technologia Infromacyjna i Prawo w służbie ochrony danych - #RODO2018

UMOWA POWIERZENIA ( Umowa ) zawierana w związku z zawarciem umowy na podstawie. Regulaminu Świadczenia usług platformy SKY-SHOP.PL.

29/SU/2018 Wdrożenie RODO

REASEKURACJA A IDD i RODO. Anna Tarasiuk, radca prawny, partner

B U R E A U V E R I T A S P O L S K A S P. Z O. O. RODO PO ROKU P D P / I S M & B C M T E A M L E A D E R

rodo. naruszenia bezpieczeństwa danych

INTERNATIONAL POLICE CORPORATION

Technologia Informacyjna i Prawo w służbie ochrony danych - #RODO2018

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH

Załącznik nr 5 do Polityki bezpieczeństwa

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

Przetwarzanie danych w chmurze a bezpieczeństwo informacji. T: (+48) Jachranka, 27 listopada 2015r. E:

Komunikat KNF w sprawie cloud computing

WZÓR UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

REKOMENDACJA D Rok PO Rok PRZED

Zatrudnianie informatyków i kadry zarządczej IT. Aspekty prawne. Marcin Maruta, Kuczek Maruta i Wspólnicy marcin.maruta@kuczekmaruta.

ZASADY POWIERZANIA DANYCH OSOBOWYCH FIRMY ELEKTROMONTAŻ RZESZÓW S.A. z dnia 25 maja 2018r.

Załącznik 5. UMOWA powierzenia przetwarzania danych osobowych, zwana dalej Umową. zawarta w... w dniu... r. pomiędzy:

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

POLITYKA PRZETWARZANIA DANYCH OSOBOWYCH W KANCELARII: PATRYCJA JANKOWSKA KANCELARIA RADCY PRAWNEGO. Warszawa, r.

Zarządzanie procesem dostosowawczym do unijnej reformy ochrony danych osobowych (GDPR / RODO)

CZĘŚĆ I PODSTAWOWE INFORMACJE O RODO

Umowa powierzenia przetwarzania danych osobowych,

Wpływ nowych regulacji prawnych na dopuszczalność outsourcingu procesów biznesowych.

STRATEGICZNE MYŚLENIE - WYKORZYSTANIU NARZĘDZI IT KONTROLA ZARZĄDCZA PRZY. Szczyrk, 2-3 czerwiec 2016

POLITYKA PRYWATNOŚCI

27-28 marca Warszawa. I miejsce w rankingu firm szkoleniowych wg Gazety Finansowej. Mec. Tomasz Osiej oraz Marcin Cwener

Opracował Zatwierdził Opis nowelizacji

IODO: kompetencje nie wystarczą

SPECYFIKA OCHRONY DANYCH OSOBOWYCH W PRAKTYCE FIRM FARMACEUTYCZNYCH warsztaty

PRZETWARZANIE DANYCH PRZEZ ADMINISTRATORA

Prywatność i bezpieczeństwo danych medycznych

SZKOŁA RODO. Wybór case ów omawianych podczas zajęć. Kancelaria Maruta Wachta sp. j.

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. zawarta w dniu 2019 r. w Namysłowie zwana dalej Umową, pomiędzy:

Cloud Computing - problematyka prawna udostępnienia aplikacji w chmurze obliczeniowej (SaaS)

Regulamin zarządzania ryzykiem. Założenia ogólne

Załącznik Nr 4 do Umowy nr.

72% 50% 42% Czy Twoje przedsiębiorstwo spełnia nowe wymagania w zakresie Ochrony Danych Osobowych - GDPR?

Ochrona danych osobowych

Komitety Audytu rola, oczekiwania i najlepsze praktyki 8 listopada 2011 r.

zwana dalej Administratorem

OFERTA SZKOLENIA KONTROLA ZARZĄDCZA I ZARZĄDZANIE RYZYKIEM W SEKTORZE PUBLICZNYM W 2017 R. - WARSZTATY

INSPEKTOR DANYCH OSOBOWYCH CZYLI ABI PO NOWEMU W ASPEKCIE

RODO w Hodowli, czy nas dotyczy? Doradca Podatkowy Marek Rudy nr wpisu Wojciech Nowakowski

Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian

Audyt zgodności z RODO, analiza ryzyka i DPIA dwudniowe warsztaty

Regulamin usług świadczonych drogą elektroniczną dla strony

ABI nie tylko audytor i koordynator. Wykonywanie przez ABI innych obowiązków niż określone w ustawie o ochronie danych osobowych.

Instrukcja. ocena aspektów środowiskowych PE-EF-P01-I01

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Niniejsze sprawozdanie z przejrzystości spełnia wymogi Ustawy i obejmuje rok obrotowy zakończony dnia roku.

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Maciej Byczkowski ENSI 2017 ENSI 2017

Umowy powierzenia w sektorze usług zdrowotnych. Katarzyna Korulczyk Adwokat, Inspektor ochrony Danych, LUX MED Pracodawcy RP

UMOWY IT: UMOWY WDROŻENIOWE I USŁUGOWE

NOWE PRZEPISY DOTYCZĄCE BEZPIECZEŃSTWA DANYCH OSOBOWYCH. Agnieszka Wiercińska-Krużewska, adwokat, senior partner 21 września 2017 r.

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

POLITYKA PRZETWARZANIA DANYCH OSOBOWYCH

Wpływ RODO na wymagania dotyczące dokumentów członkowskich

Jacek Bajorek Instytut Zarządzana Bezpieczeństwem Informacji

SLA ORAZ ZASADY ŚWIADCZENIA WSPARCIA I HELPDESK. Wykonawca zobowiązuje się do świadczenia Usług Wsparcia i Helpdesk w odniesieniu do Systemu.

OCHRONA DANYCH OSOBOWYCH NAJWAŻNIEJSZE INFORMACJE

Załącznik 4. Umowa o zachowaniu poufności przetwarzania danych osobowych, zwana dalej Umową

Informacja o ochronie danych osobowych dla partnerów biznesowych

Jak współpracować z agencją e mail marketingową w zakresie powierzenia przetwarzania danych. Michał Sztąberek isecure Sp. z o.o.

POLITYKA PRYWATNOŚCI

APTEKO, PRZYGOTUJ SIĘ NA RODO! KS - BDO

Rozporządzenie Ogólne o Ochronie Danych Osobowych - General Data Protection Regulation

RODO a obowiązki opracowania dokumentacji

Zapytanie ofertowe nr 02/3.3/2016

Umowa powierzenia przetwarzania danych osobowych

Opis systemu kontroli wewnętrznej (SKW) funkcjonującego w ING Banku Hipotecznym S.A.

Przykład klauzul umownych dotyczących powierzenia przetwarzania

Umowa powierzenia przetwarzania danych osobowych

Poradnik dla samorządów - ustawa o krajowym systemie cyberbezpieczeństwa

Bezpieczeństwo i koszty wdrażania Informatycznych Systemów Zarządzania Hubert Szczepaniuk Wojskowa Akademia Techniczna im. Jarosława Dąbrowskiego

ROZPORZĄDZENIE O OCHRONIE DANYCH OSOBOWYCH. Przygotuj swoją firmę do zmian już dziś

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. Niniejsza umowa została zawarta w Kluczborku w dniu. r. roku przez:

Transkrypt:

RODO W IT Praktyczne rozwiązania dla działów IT zgodne z GDPR Marcin Serafin, Sławomir Kowalski, Małgorzata Kurowska, Paweł Tobiczyk Kancelaria Maruta Wachta sp. j.

Kancelaria Maruta Wachta Kancelaria głównie znana z IT i nowych technologii Zwycięstwo w the Lawyer 2018 oraz w rankingu Rzeczpospolita

Zespół RODO 30 prawników oraz eksperci techniczni i biznesowi prawdopodobnie największy taki zespół w Polsce Nagroda 2018 Rzeczpospolitej Lider w dziedzinie ochrony danych W zakresie RODO pomogliśmy ponad100 organizacjom publicznym i prywatnym ze wszystkich dziedzin gospodarki

Usługi RODO SPECJALIZACJE IT i nowe technologie Telekomunikacja Sektor finansowy Energetyka e-commerce e-marketing Sieci handlowe i franczyzowe Sektor publiczny HR Branża produkcyjna

Napisz do nas kontakt_rodo@maruta.pl newsletter_rodo@maruta.pl

Agenda spotkania 1. Co RODO powiedziało nam o IT? 2. Granice danych osobowych i ich przetwarzania w środowisku IT 3. Realizacja praw podmiotów danych 4. Czy dostawca będzie przetwarzał dane osobowe? 5. Powierzenie czy upoważnienie do przetwarzania danych? 6. Kluczowe zagadnienia kontraktowe 7. Podejście oparte na ryzyku w RODO

CO RODO POWIEDZIAŁO NAM O IT?

Przestarzałe rozwiązania Ile czasu zajmuje wdrożenie nowej treści zgody? Ile MD pracy wymaga zaimplementowanie logiki wykazującej zrealizowane obowiązków informacyjnych? Jak skomplikowana jest operacja usuwania danych po okresie retencji?

GRANICE DANYCH OSOBOWYCH I ICH PRZETWARZANIA W ŚRODOWISKU IT

Case 1 Pracownik zewnętrznego help desk Spółki zażądał przekazania kopi dotyczących go danych osobowych. Okazuje się, że Spółka posiada dane tego pracownika obejmujące adres e-mail, login, hasło, informacje o sposobie korzystania z systemu (logi), a także szereg innych informacji, które można przypisać do tego użytkownika w sposób pośredni, m.in. nagrania rozmów telefonicznych, które prowadził, reklamacje zgłaszane przez klientów, informacje o sposobie ich rozpatrzenia, a także szereg danych dotyczących tych klientów. Jaki zakres danych osobowych pracownika help desk powinien mu zostać przekazany?

Case 2 Pracownik spółki Y i wielbiciel piłki nożnej czyta w popularnych portalach wiadomości o życiu prywatnym piłkarzy i ich bliskich. Lektura odbywa się w czasie pracy oraz na sprzęcie firmowym. Pracownik zapisuje co ciekawsze artykuły w folderze na serwerze firmowym. Kierownictwo rozważa wprowadzenie zupełnego zakazu dostępu do popularnych portali oraz zapisywania materiałów niezwiązanych z pracą na firmowych zasobach. Czy działanie pracownika czyni ze spółki Y administratora danych sportowców i ich bliskich? Czy spółka powinna podejmować jakieś działania w związku z opisaną sytuacją?

Case 3 Bank X monitoruje, na podstawie kodów MCC, transakcje realizowane przez klientów. W oparciu o analizę wydatków Filipa bank ustalił, że Filip z prawdopodobieństwem: 0,7 ma problem alkoholowy oraz 0,8 ma kochankę. Wynika to z dużej liczby transakcji z kodem 5813 (pijalnie alkoholu, bary, tawerny ) i 5921 (sklepy z alkoholem) oraz częstych transakcji z kodem 7011 (hotele, motele). W tej sytuacji Bank dokładniej monitoruje sposób spłaty przez Filipa i jego żonę Annę kredytu hipotecznego. Filip poprosił o kopię dotyczących go danych osobowych. Czy bank musi przekazać informacje o swoich przypuszczeniach o jego aktywności?

CZY DOSTAWCA BĘDZIE PRZETWARZAŁ DANE OSOBOWE?

Case 1 Spółka DataSecure świadczy usługi polegające na prowadzeniu testów bezpieczeństwa systemów informatycznych i wykrywaniu podatności tych systemów. W trakcie prowadzenia testów Spółka ma możliwość dostępu do danych przetwarzanych w systemie, jednak dostęp ten nie jest z reguły konieczny dla realizacji usługi. Niektórzy klienci Spółki żądają zawierania z nimi umów powierzenia, podczas gdy inni uznają, że nie ma takiej potrzeby.

Case 2 Spółka DataProtect świadczy usługi utrzymania systemów informatycznych, przy czym z reguły do ich świadczenia nie jest niezbędny dostęp do jakichkolwiek danych. W sporadycznych przypadkach, gdy wymagane są operacje na danych osobowych, klienci przekazują Spółce dane osobowe w postaci zaszyfrowanej. Spółka nie otrzymuje klucza umożliwiającego rozszyfrowanie komunikatu. Spółka DataProtect zastanawia się, czy w tym wypadku może uniknąć zawierania umowy powierzenia przetwarzania danych.

POWIERZENIE CZY UPOWAŻNIENIE DO PRZETWARZANIA DANYCH?

Case 1 Spółka XYZ świadczy usługi utrzymaniowe systemów informatycznych. Co do zasady, świadczenie usług nie wymaga przetwarzania danych, jednak w pewnych przypadkach usunięcie awarii wymaga dostępu do środowiska produkcyjnego i pracy na rzeczywistych danych. Zgłaszając incydenty, pracownicy zamawiającego przesyłają też nierzadko screeny z ekranu, w których zawarte są obrazy danych osobowych przetwarzanych w systemie. Spółka XYZ zastanawia się, w jaki sposób umownie uregulować zagadnienie danych osobowych w tej sytuacji.

KLUCZOWE ZAGADNIENIA KONTRAKTOWE

Najczęstsze pułapki w umowie powierzenia: Zasady korzystania z podwykonawców Zasady przeprowadzenia audytów i ponoszenia ich kosztów Odpowiedzialność i kary umowne Konstrukcja umowy dalszego powierzenia

Case 1 W umowie z zamawiającym wskazano, że: Wykonawca jest uprawniony do korzystania z podwykonawców pod warunkiem, że będą to podmioty prowadzące działalność gospodarczą w zakresie objętym złożonym im zleceniem. W każdym wypadku wykonawca odpowiada za działania i zaniechania takich podwykonawców jak za własne działania i zaniechania. Spółka Smart Data będąca wykonawcą (procesorem) zastanawia się, czy takie postanowienie jest wystarczające dla zapewnienia sobie prawa do korzystania z partnerów podwykonawców.

Case 2 W związku z profilem prowadzonej działalności Spółka ABC uznała, że zawieranie umów powierzenia z zamawiającymi w jej przypadku nie jest konieczne. W ramach świadczonych usług personel Spółki będzie otrzymywał pisemne upoważnienia do przetwarzania danych bezpośrednio od zamawiającego. Czy i w jaki sposób Spółka powinna określić umownie zasady swojej odpowiedzialności w zakresie dotyczącym danych osobowych?

Case 3 Spółka ANALYZE! świadczy usługi polegające na analizie danych osobowych przekazanych przez klientów i sporządzaniem ich profili. ANALYZE! Chciałaby maksymalnie ochronić swój know-how, i w tym celu zamierza maksymalnie ograniczyć prawo administratora do prowadzenia audytu. Spółka rozważa dopuszczalność: Pobierania opłaty za umożliwienie audytu Określenia maksymalnej długości audytów i ich częstotliwości Ograniczenia możliwości posługiwania się przez administratora podmiotami trzecimi

PODEJŚCIE OPARTE NA RYZYKU W RODO

Elementy oceny ryzyka Ocena w fazie projektowania (by design) Ocena prawdopodobieństwa Ocena skutków dla ochrony danych (DPIA) albo Uproszczona ocena

W jakich rolach może występować IT przy ocenie ryzyka? 1 Wewnętrzny dział IT (po stronie ADO) 2 Podwykonawca (procesor / podprocesor) 3 Właściciel biznesowy projektu / procesu

Przykładowa metodyka oceny ISTOTNOŚĆ (WAGA) ZAGROŻENIA PRAWDOPODOBIEŃSTWO WYSTĄPIENIA ZAGROŻENIA pomijalne (1) niskie (2) średnie (3) wysokie (4) krytyczne (5) pomijalna (1) 1 2 3 4 5 niska (2) 2 4 6 8 10 średnia (3) 3 6 9 12 15 wysoka (4) 4 8 12 16 20 krytyczna (5) 5 10 15 20 25 STOPIEŃ RYZYKA niski (1-7) średni (8-14) wysoki (15-25)

Ocena skutków (DPIA) rola IT Dostarczanie informacji (ryzyko potencjalne), np.: o o jakie środki techniczne i fizyczne są stosowane jakie procedury są stosowane Zmapowanie zagrożeń (podatności) Ocena prawdopodobieństwa (wybraną metodą) Opracowanie zaleceń dot. środków ochrony

Chcesz dostać pełne wersje materiałów? Zapisz się na newsletter. newsletter_rodo@maruta.pl

Marcin Serafin +48 501 255 984 mserafin@maruta.pl Sławomir Kowalski +48 608 040 121 skowalski@maruta.pl Małgorzata Kurowska +48 735 200 367 mkurowska@maruta.pl We know IT Paweł Tobiczyk +48 882 345 217 ptobiczyk@maruta.pl