Wdrożenie RODO - najważniejsze aspekty Outsourcing EXPO 27 września 2018 r.

Wdrożenie RODO - najważniejsze aspekty Outsourcing EXPO 27 września 2018 r.

RODO 1. RODO czy mnie dotyczy? 2. RODO gorączka czy już minęła? 3. Absurdy RODO nie dajmy się zwariować! 4. RODO jak się za to zabrać? 5. RODO zasady podstawa, cel, zakres, moja rola, obowiązek informacyjny, czas przetwarzania

Obszary 1. Rekrutacja zgody, obowiązek informacyjny, porządek z CV 2. Zatrudnienie upoważnienia 3. Bieżące relacje z klientami i kontrahentami zasady przetwarzania danych na www, stopka mailowa 4. Monitoring podstawowe zasady, ostatni dzwonek! 5. Outsourcing usług umowy powierzenia 6. Incydenty rejestr i obowiązki zgłoszeniowe

Rekrutacja Kanały rekrutacji: formularz rekrutacji online; skrzynka mailowa; fizyczne przekazanie CV (list, osobiście, polecenie); Podstawy przetwarzania: przepis prawa (Kodeks pracy, Rozporządzenie MPiPS), podjęcie działań na żądanie osoby przed zawarciem umowy, zgoda obecne + przyszłe rekrutacje. Pomysł: podsuń treść zgody kandydatowi: checkbox w ramach rekrutacji online; krótki manual w ramach ogłoszenia o pracę Jeśli chcesz to wyraź taką zgodę

Rekrutacja Jak spełnić obowiązek informacyjny? w treści ogłoszenia o pracę np. na portalu online lub w treści ogłoszenia wywieszonego na tablicy ogłoszeń; gdy CV spływa mailowo bez konkretnego ogłoszenia odsyłanie do obowiązku informacyjnego znajdującego się na stronie www / odsyłanie treści całego obowiązku informacyjnego / odsyłanie maila z CV do HR, który spełni obowiązek informacyjny; gdy CV trafia do nas fizycznie kartka z obowiązkiem informacyjnym w sekretariacie; UWAGA na bałagan z CV stare CV na skrzynkach / w szufladach (mamy dane = przetwarzamy dane) kto ma dostęp? niepotrzebne nośniki / wydruki na drukarce model na przyszłość (1 folder, podział na obecne i przyszłe rekrutacje) Jak długo mogę trzymać CV? co do zasady: usuwanie po zakończonej rekrutacji? wyjątek: posiadamy zgodę na przyszłe rekrutacje

Zatrudnienie Podstawy przetwarzania: przepis prawa (Kodeks pracy, Rozporządzenie MPiPS) umowa o pracę zgoda? Upoważnienia działa wyłącznie na polecenie administratora forma upoważnienia treść zakres + cel kto udziela? ewidencja Obowiązek informacyjny wobec obecnych pracowników kartka papieru, mail, intranet w sposób przyjęty u pracodawcy wobec nowych pracowników

Monitoring Cel: Szczególny nadzór nad miejscem pracy / terenem wokół zakładu pracy w celu zapewnienia bezpieczeństwa pracowników w celu ochrony mienia w celu zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę UWAGA: monitoring nie może: obejmować pomieszczeń nieprzeznaczonych do wykonywania pracy (np. toalet, szatni, stołówek, palarni) Zasady stosowania monitoringu: oznaczenie miejsc objętych monitoringiem (możliwe do odczytania również dla osób nieposługujących się językiem) informowanie pracowników / klientów (klauzula informacyjna) zmiana regulaminu pracy odpowiednia długość przechowywania nagrań (3 miesiące) UWAGA OSTATNI DZWONEK NA ZMIANY!!

Relacje z klientami i kontrahentami Co z tymi wizytówkami? Można! Jakie dane? klient / kontrahent jako strona umowy (osoba fizyczna vs spółka) reprezentacja / pełnomocnik osoby kontaktowe / realizujące umowę Przetwarzam dane osobowe? TAK! W jakim charakterze? Jako administrator Co to oznacza? Obowiązek informacyjny Pomysł: zasady / polityka przetwarzania danych na www; stopka mailowa krótkie info + odesłanie do polityki krótka klauzula umowa + odesłanie do polityki

Outsorcing usług Obszar: obsługa księgowa / kadrowa; wsparcie IT; firmy ochroniarskie; firmy eventowe; benefity (medyczne, sportowe) kto jest ado? Charakter przekazania danych: powierzenie danych do przetwarzania (ado-procesor) -> umowa powierzenia udostępnienie (ado-ado) -> obowiązek informacyjny Umowa powierzenia: zgodna z treścią RODO forma pisemna + elektroniczna UWAGA: ADO odpowiada za powierzone dane i sposób ich przetwarzania = WAŻNY DOBÓR KONTRAHENTÓW / DOSTAWCÓW UWAGA: konieczna aktualizacja (aneksowanie) dotychczasowych umów

Incydent Incydent 2 warunki: 1. naruszenie bezpieczeństwa 2. które prowadzi na przykład do: przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania nieuprawnionego ujawnienia nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych Naruszenie bezpieczeństwa = zdarzenie, w którym zawiodły organizacyjne lub techniczne środki zabezpieczenia administratora danych. Przykłady: utrata nośnika danych (papier, płyta CV, pendrive) dostęp do danych osób nieupoważnionych (cyberatak, wewnętrznie w ramach firmy) udostępnienie danych osobom nieupoważnionym (otwarte cc) / w Internecie / błędny adres e-mail

Incydent co robić? 1. wpis do rejestru incydentów dokumentacja wszelkich naruszeń ochrony danych (bez względu na poziom ryzyka naruszenia praw lub wolności osób fizycznych) okoliczności, skutki, działania zaradcze 2. powiadomienie PUODO chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych; termin: w ciągu 72 godzin po stwierdzeniu naruszenia (później? przyczyny opóźnienia) 3. zawiadomienie osób, których dane dotyczą jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych; termin: bez zbędnej zwłoki. 3 poziomy ryzyka samo wystąpienie naruszenia niezależnie od stopnia ryzyka naruszenia praw lub wolności osób fizycznych = wpis średnie lub wysokie ryzyko (nie dotyczy niskiego) = zgłoszenie do PUODO wysokie ryzyko = zawiadomienie osób, których dane dotyczą.

Incydent Czynniki, które należy wziąć pod uwagę, przy ocenie ryzyka: rodzaj naruszenia; charakter naruszenia; wrażliwość danych; rozmiar danych osobowych; łatwość identyfikacji osób fizycznych; skala konsekwencji dla osób fizycznych; liczba osób poszkodowanych; cechy szczególne administratora danych. Wskazówki (GR 29) ujawnienie połączonych danych jest zwykle bardziej problematyczne niż ujawnienie ich pojedynczych kategorii; w przypadku wątpliwości administrator powinien wykazać się raczej nadmierną ostrożnością niż jej brakiem i zgłosić naruszenie; w zwyczajnych okolicznościach jest mało prawdopodobne, by ujawnienie nazwiska i adresu mogło doprowadzić do istotnej szkody; wysyłania newslettera z ujawnieniem adresów odbiorców - powiadomienie nie musi być konieczne, jeśli nie ujawniono danych wrażliwych i ujawniono jedynie niewielką liczbę adresów.

Olesiński & Wspólnicy sp. k. ul. Powstańców Śląskich 2-4 53-333 Wrocław SR dla Wrocławia-Fabrycznej VI Wydział Gospodarczy KRS KRS 0000620058 NIP 8992788187 REGON 364170013 Arkady Wrocławskie ul. Powstańców Śląskich 2-4 53-333 Wrocław Tel. 71 75 00 700 Prosta Tower ul. Prosta 32 00-838 Warszawa Tel. 22 12 35 230 ul. Zygmunta Starego 24a 44-100 Gliwice Tel. 32 41 62 100 M65 Meduza ul. Mogilska 65 31-545 Kraków www olesinski.com blog cowprawiepiszczy.com newsletter olesinski.com/newsletter-ow/