Wprowadzenie. Prawno - Proceduralne. Organizacyjno-procesowe. Techniczny/Bezpieczeństwo

Podobne dokumenty
Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

Unijne rozporządzenie o ochronie danych osobowych (RODO) konsekwencje dla centrów danych. Kraków, dnia 22 lutego 2017 r.

Ochrona danych osobowych, co zmienia RODO?

Status prawny i obowiązki adwokata związane z przetwarzaniem danych osobowych w świetle ogólnego rozporządzenia o ochronie danych (RODO)

RODO Nowe zasady przetwarzania danych osobowych. radca prawny Piotr Kowalik Koszalin, r.

RODO W ORGANIZACJI- JAK PRAWIDŁOWO PRZYGOTOWAĆ SIĘ ORAZ UNIKNĄĆ KAR PIENIĘŻNYCH

Ochrona danych osobowych

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

Obszar I. Obszar II. Co dokładnie będziemy analizować? Nowa klasyfikacja: dane zwykłe dane wrażliwe dane biometryczne

10 PRZYKAZAŃ RODO DLA PRACODAWCÓW. r.pr. Edyta Jagiełło

Ochrona danych osobowych w biurach rachunkowych

Polityka Ochrony Danych Osobowych. w Luxe Property S.C.

rodo. ochrona danych osobowych.

RODO a obowiązki opracowania dokumentacji

Nowe przepisy i zasady ochrony danych osobowych

DANE OSOBOWE W DZIAŁALNOŚCI SERWISÓW AGD. Łódź, 21 września 2018 roku

Ograniczenia w wykorzystywaniu baz danych związane ze zautomatyzowanym przetwarzaniem danych oraz wykorzystaniem chmury obliczeniowej w świetle RODO

Maciej Byczkowski ENSI 2017 ENSI 2017

POLITYKA PRYWATNOŚCI

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

Wykaz skrótów... XV Wykaz literatury... XXI Wprowadzenie... XXVII

Technologia Infromacyjna i Prawo w służbie ochrony danych - #RODO2018

Nowe unijne rozporządzenie w sprawie ochrony danych osobowych. 8 czerwca 2016

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

Rola biura rachunkowego w nowym modelu ochrony danych osobowych

Technologia Informacyjna i Prawo w służbie ochrony danych - #RODO2018

RODO WYMOGI OCHRONY DANYCH OSOBOWYCH PACJENTÓW MLD Katowice, dnia 24 kwietnia 2018 r. r. pr. Michał Rytel

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

POLITYKA OCHRONY DANYCH OSOBOWYCH

Opracował Zatwierdził Opis nowelizacji

Ochrona danych osobowych w kontekście RODO dla e-commerce i marketingu

2. Proces tworzenie wewnętrznego systemu ochrony danych osobowych przedsiębiorcy. 3. Postanowienia dyrektywy 95/46/WE, które pozostaną aktualne

Spis treści. Wykaz skrótów... Wprowadzenie...

Czym jest RODO? Czym jest przetwarzanie danych osobowych?

Spis treści. Wykaz skrótów... Wprowadzenie...

Z praktyki zespołu audytorów ochrona danych osobowych dziś i po rozpoczęciu obowiązywania Rozporządzenia unijnego

POLITYKA PRYWATNOŚCI

Rozporządzenie Ogólne o Ochronie Danych Osobowych - General Data Protection Regulation

Ochrona danych osobowych w biurach rachunkowych

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

RODO w praktyce psychologicznej. adw. dr Maciej Bocheński Uniwersytet Jagielloński Krakowska Izba Adwokacka

SZCZEGÓŁOWY HARMONOGRAM KURSU

Przemysław Bańko Dyrektor ds. Bezpieczeństwa Smart In

Radca Prawny Anna Matusiak-Wekiera. Kancelaria Radcy Prawnego Anna Matusiak-Wekiera

POLITYKA PRYWATNOŚCI PREAMBUŁA

Unijna reforma ochrony danych osobowych. Jak się na nią przygotować?

POLITYKA PRYWATNOŚCI

Radom, 13 kwietnia 2018r.

I. Postanowienia ogólne

Przykład klauzul umownych dotyczących powierzenia przetwarzania

Jak się ustrzec przed pozwami i uniknąć kar w następstwie wejścia w życie RODO?

Nowe wymagania dla systemów informatycznych wynikające z ogólnego rozporządzenia o ochronie dany

Szkolenie podstawowe z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 dla wolontariuszy świadczących pomoc na rzecz podopiecznych

RODO - wybrane informacje ogólne

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Dworek Bielin Sp. z o.o.

Prawne aspekty Big data w sektorze bankowym 22 maja 2017

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

PROGRAM TRZYDNIOWEGO KURSU DLA IOD - JAK DOSTOSOWAĆ ORGANIZACJĘ DO WYMOGÓW OGÓLNEGO ROZPORZĄDZENIA O OCHRONIE DANYCH (RODO/GDPR)

Wpływ ogólnego rozporządzenia o ochronie danych osobowych (RODO) na działalność sektora ubezpieczeń przegląd zagadnienia

Monitorowanie systemów IT

inny podmiot, który przetwarza dane osobowe w imieniu administratora;

Ochrona danych osobowych w organizacjach pozarządowych (od 25 maja 2018)

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

3) ograniczenie przetwarzania oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;

POLITYKA OCHRONY DANYCH OSOBOWYCH

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Czas trwania szkolenia- 1 DZIEŃ

B U R E A U V E R I T A S P O L S K A S P. Z O. O. RODO PO ROKU P D P / I S M & B C M T E A M L E A D E R

OFERTA. Polskie Stowarzyszenie Zarządców Nieruchomości oraz Kancelaria KPRF Law Office. w zakresie szkoleń

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Spis treści. Wykaz skrótów... Wykaz literatury... O Autorach... Wprowadzenie...

NOWE PRZEPISY DOTYCZĄCE BEZPIECZEŃSTWA DANYCH OSOBOWYCH. Agnieszka Wiercińska-Krużewska, adwokat, senior partner 21 września 2017 r.

(2- D NIOWE) I N F O R M A C J E O S Z K O L E N I U

NOWE UJĘCIE OCHRONY DANYCH OBOWIĄZKI ADMINISTRATORA DANYCH OSOBOWYCH

rodo. naruszenia bezpieczeństwa danych

#RODO2018. Śniadanie biznesowe w Gdyni. RODO praktyczne wyzwania prawno-technologiczne. Przemysław Rogiński Jakub Zuber

CZĘŚĆ I PODSTAWOWE INFORMACJE O RODO

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

Rozporządzenie o Ochronie Danych Osobowych -jak przygotować firmę do wymogów nowych przepisów. Przemysław Perka, Anna Dopart

Załącznik Nr 4 do Umowy nr.

POLITYKA OCHRONY DANYCH OSOBOWYCH

Nowe wyzwania dla systemów IT, w kontekście planowanych zmian w ustawodawstwie

PARTNER.

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Wrocław, Wrocław - Centrum miasta. Koszt szkolenia: 1790.

Nowe obowiązki banków wprowadzone ogólnym rozporządzeniem o ochronie danych (RODO)

POLITYKA PRYWATNOŚCI W PIAST GROUP SP. Z O.O.

ADMISTRATOR BEZPIECZEŃSTWA INFORMACJI

ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI. zadania: przepisami; Nowe kompetencje GIODO: Administratora danych; Przekazywanie danych do państw trzecich:

APTEKO, PRZYGOTUJ SIĘ NA ZMIANY! RODO W PIGUŁCE

APTEKO, PRZYGOTUJ SIĘ NA RODO! KS - BDO

KLAUZULA INFORMACYJNA

POLITYKA OCHRONY PRYWATNOŚCI

Uchwała wchodzi w życie z dniem uchwalenia.

POLITYKA OCHRONY DANYCH OSOBOWYCH VELVET CARE SP. Z O.O.

inny podmiot, który przetwarza dane osobowe w imieniu administratora;

POLITYKA PRYWATNOŚCI I COOKIES

POLITYKA PRZETWARZANIE DANYCH OSOBOWYCH. W SPÓŁCE Zako Apartamenty s.c

Transkrypt:

Wprowadzenie Prawno - Proceduralne Organizacyjno-procesowe Techniczny/Bezpieczeństwo 6

Nowe zasady ochrony danych osobowych - źródła prawa ogólne rozporządzenie o ochronie danych osobowych (RODO), które uchyla dotychczasową ustawę o ochronie danych osobowych: data wejścia w życie przepisów RODO - 24 maja 2016 r. data stosowania się przepisów RODO - 25 maja 2018 r. w związku z wdrożeniem przepisów RODO dokonywany jest przegląd legislacyjny celem dostosowania przepisów sektorowych do wymogów RODO oprócz RODO projektowana jest nowa ustawa o ochronie danych osobowych (data wejścia w życie - 25 maja 2018 r.), przed wszystkim reguluję: kompetencje organu nadzoru ds. ochrony danych osobowych przepisy proceduralne przed organem ds. ochrony danych osobowych inne kwestie nieuregulowane w RODO (np. przepisy karne) projekt Rozporządzenia e-privacy (m.in. cookies) wstępny projekt Rozporządzenia opublikowany w styczniu 2017 r. data uchwalenia i stosowania się przepisów 2017/2018 2

RODO - cele dotychczasowa fragmentaryzacja ochrony danych osobowych wprowadzała element braku pewności i przejrzystości prawa rozporządzenie wprowadza równorzędny stopień ochrony we wszystkich państwach członkowskich UE objęcie przepisami RODO procesów przetwarzania danych osobowych przez podmioty spoza UE, o ile to przetwarzanie dotyczy osób znajdujących się na terytorium UE 3

Wdrożenie RODO dlaczego ważne dla Ricoh Polska? własny compliance compliance klientów przewaga konkurencyjna (Jaka?) Nowa oferta sprzedażowa oparta o wdrożenie RODO Dyskusja! 4

Nowa filozofia podejścia do ochrony danych osobowych i jej wpływ na dostosowanie się organizacji do wymogów RODO zasada rozliczalności administrator danych powinien być w stanie wykazać, że stosowane przez niego metody są zgodne z RODO oraz skuteczne zastosowanie się do zasady rozliczalności wymaga wdrożenia odpowiednich procedur i prowadzenia odpowiedniej dokumentacji, nawet jeśli obowiązek ich posiadania nie wynika bezpośrednio z przepisów RODO, ale dzięki którym łatwiej będzie wykazać fakt spełniania przewidzianych Rozporządzeniem wymogów ochrona danych a koncepcja podejścia opartego na ryzyku (Risk Based Approach, RBA), koncepcja ta zakłada, że im ryzyko związane z przetwarzaniem danych osobowych jest większe, tym większy powinien być zakres obowiązków ciążących na administratorze danych 5

RODO nowy system sankcji w RODO przewidziano bardzo surowe sankcje administracyjne za naruszenie przepisów o ochronie danych osobowych (prywatności), m.in. kary pieniężne w wysokości: do 10 000 000 EUR, a w przypadku przedsiębiorstwa w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa lub w przypadku naruszeń szczególnie istotnych obowiązków w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, w RODO odpowiedzialność cywilnoprawna (art.82) 6

Data wejścia w życie i data stosowania się przepisów czy już teraz należy spełniać obowiązki z RODO data wejścia w życie przepisów RODO - 24 maja 2016 r. data stosowania się przepisów RODO - 25 maja 2018 r. z uwagi na fakt, że przepisy RODO weszły już w życie, a jedynie ich stosowanie jest odroczone do 25 maja 2018 r. przyjmuję się, że w stosunku do danych osobowych zbieranych obecnie należy już stosować obowiązki określone w RODO, chyba że z treści danego przepisu wynika inne określenie chwili na który dany obowiązek ma zostać spełniony (np. przepis określa ten moment jako: z chwilą zbierania danych, z chwilą rozpoczęcia przetwarzania danych ) wniosek: w stosunku do większości obowiązków przetwarzania danych osobowych określonych w RODO należy spełnić obowiązki określone w Rozporządzeniu przed rozpoczęciem stosowania się przepisów (25 maja 2018 r.) 7

Wdrożenie RODO na osi czasu doprowadzenie do zgodności z przepisami o ochronie danych osobowych nie jest możliwe jednorazowo, ale proces dostosowawczy (compliance) jest rozłożony w czasie do dnia rozpoczęcia stosowania przepisów (25 maja 2018 r.) działania, które mogą zostać podjęte od wejścia RODO w życie (24 maja 2016 r.) działania, które mogą zostać podjęte po wydaniu wytycznych przez Grupę Roboczą art.29 działania, które mogą zostać podjęte po wydaniu wytycznych wydanych przez organy nadzorcze (GIODO) 8

RODO co się nie zmienia w stosunku do dotychczasowego stanu prawnego (1) pojęcie danych osobowych art.4 pkt 1 RODO - dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ( osobie, której dane dotyczą ) wykładnia motywu nr 14 RODO: Niniejsze rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej. kryteria uznania danych podmiotów za administratorów danych i podmioty przetwarzające dane osobowe na zlecenie administratora 9

RODO co się nie zmienia w stosunku do dotychczasowego stanu prawnego (2) zasady szczególnej staranności przy przetwarzaniu danych osobowych (adekwatność, poprawność, celowość, czasowość) większość zasad dotyczących statusu i zadań ABI (inspektora ds. ochrony danych osobowych) większość zasad i mechanizmów transferu danych osobowych do państwa trzeciego (np. standardowe klauzule umowne) 10

RODO wykaz i istota najważniejszych zmian (1) nowy rodzaj regulowanych danych osobowych (dane spseudonimizowane) art.4 pkt 5: przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej pseudonimizacja danych osobowych - korzyści prawne stosowanie pseudonimizacji jest w wielu przepisach RODO traktowane jako wykazanie spełnienia wymogu stosowania odpowiednich środków technicznych i organizacyjnych (np. art.25, 32) pseudonimizacja może ułatwić przyjęcie dopuszczalności wtórnego przetwarzania danych mimo zmiany pierwotnego celu przetwarzania danych (art.6 ust.4 e) 11

RODO wykaz i istota najważniejszych zmian (2) dopuszczalność współadministrowania danymi osobowymi przez kilka podmiotów (art.26) jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami niezależnie od uzgodnień pomiędzy współadministratorami, podmiot danych może wykonywać przysługujące jej prawa wynikające z RODO wobec każdego z administratorów 12

RODO wykaz i istota najważniejszych zmian (3) doprecyzowanie relacji, w tym zasad odpowiedzialności, administrator processor/subprocessor (art.28) administrator ma obowiązek korzystania wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą (art.28 ust.1) podstawą przetwarzania jest umowa, której treść została istotnie zmodyfikowana w stosunku do dotychczasowego stanu prawnego (art.28 ust.3) 13

RODO wykaz i istota najważniejszych zmian (4) nowe ujęcie konstrukcji prawnej zgody i warunków jej wyrażania przez podmioty danych (art.4 pkt 11, art.6 ust.1 pkt a), art.7-8) zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych w przypadku danych sensytywnych zgoda nie musi być pisemna, wystarczy wyraźna zgoda (art.9 ust.2 pkt a) 14

RODO wykaz i istota najważniejszych zmian (5) modyfikacja zakresu obowiązków informacyjnych (art.13-14) istotnie zwiększony został zakres informacji, które mają być przekazywane podmiotom danych, m.in. informacje o: podstawie prawnej przetwarzania, w tym jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) prawnie uzasadnionych interesach realizowanych przez administratora lub przez stronę trzecią gdy ma to zastosowanie informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję Europejską odpowiedniego stopnia ochrony okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu 15

RODO wykaz i istota najważniejszych zmian (6) poszerzenie istniejących obowiązków w zakresie prawa dostępu do danych (art.15) poszerzenie zakresu informacji, które może uzyskać podmiot danych nowy sposób realizacji prawa dostępu 16

RODO wykaz i istota najważniejszych zmian (7) modyfikacja zasad dopuszczalnego profilowania danych (art.4 pkt 4, art.21-22) profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się. szczególna regulacja profilowania na potrzeby zautomatyzowanych decyzji (art.22) 17

RODO wykaz i istota najważniejszych zmian (8) wymogi odnośnie systemów IT, tak aby uwzględniona została koncepcja: ochrony danych w fazie projektowania (privacy by design) oraz domyślnej ochrony danych (privacy by default) modyfikacja obowiązku rejestracyjnego (art.30) poszerzenie zakresu obowiązków w zakresie bezpieczeństwa danych (art.32 i n) nowe ujęcie obowiązku dokonania oceny skutków przetwarzania danych (art.35) obowiązek uprzedniej konsultacji z organem nadzoru w przypadku stwierdzenia wysokiego ryzyka przetwarzania danych (art.36) 18

RODO wykaz i istota najważniejszych zmian (9) obowiązek powiadamiania organu nadzorczego i podmiotów danych osobowych w przypadku naruszenia ochrony danych osobowych (art.33-34) naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych obowiązek powiadomienia organu nadzoru obowiązek powiadomienia podmiotu danych osobowych obowiązek powiadomienia administratora przez processora 19

RODO wykaz i istota najważniejszych zmian (10) obowiązek wyznaczenia ABI (inspektora ochrony danych osobowych) art.37 i n. nowe sposoby (mechanizmy) wykazywania zgodności z przepisami o ochronie danych osobowych (art.40 i n.) nowe sankcje administracyjne za naruszenie przepisów o ochronie danych osobowych (art.58 ust.2, art.83-84 i n.) nowe sankcje cywilnoprawne za naruszenie przepisów o ochronie danych osobowych (art.82) 20

Plan projektu wdrożenia RODO utworzenie listy sprawdzającej (checklist) wdrożenia RODO i zmapowanie nowych wymogów na dotychczasowe funkcjonowanie danej organizacji określenie, które z zadań z listy sprawdzającej mogą zostać spełnione w danym momencie na osi czasu wdrożenia RODO w przypadku modyfikacji w RODO dotychczasowych obowiązków weryfikacja + zmiana dotychczas stosowanych wzorów klauzul, umów, czy innej dokumentacji w przypadku nowych obowiązków w RODO stworzenie nowych procedur, dokumentacji etc. 21

Wdrożenie RODO lista zadań do wykonania (1) określenie statusu podmiotów przetwarzających dane osobowe (administrator/współadministrator/processor/subprocessor) weryfikacja podstaw prawnych przetwarzania danych osobowych określonych w RODO w kontekście poszczególnych procesów biznesowych realizowanych przez danego administratora wypracowanie strategii dotyczącej pseudonimizacji danych, w tym określenie sytuacji, gdy w danej organizacji będziemy dokonywać tego procesu przegląd stosowanych klauzul informacyjnych przegląd stosowanych klauzul zgód, w tym podjęcie decyzji w których ewentualnie sytuacjach starać się o pozyskanie odrębnych zgód (np. art.22 ust.2 pkt c) określenie procedur realizacji obowiązków administratorów danych/processorów (np. w zakresie powiadomień o naruszeniach) 22

Wdrożenie RODO lista zadań do wykonania (2) przegląd i modyfikacja treści stosowanych umów powierzenia przetwarzania danych oraz wprowadzenie rozwiązań organizacyjnych pozwalających na wykazanie spełnienia obowiązku wyboru odpowiedniego processora określenie procedur realizacji praw podmiotów danych (np. w zakresie prawa dostępu do danych) określenie procedur realizacji obowiązków administratorów danych (np. w zakresie powiadomień o naruszeniach) wyznaczenie oraz określenie statusu i zadań inspektora ochrony danych osobowych określenie procedury rozpatrywania żądań podmiotu danych kierowanych do inspektora ochrony danych osobowych 23

Wdrożenie RODO lista zadań do wykonania (3) wypracowanie modelu rejestrowania czynności przetwarzania danych wypracowanie modelu postępowania w przypadku tworzenia/zamawiania systemów IT, tak aby uwzględniona została koncepcja ochrony danych w fazie projektowania (privacy by design) oraz domyślnej ochrony danych (privacy by default) analiza stosowanych środków technicznych i organizacyjnych bezpieczeństwa danych pod kątem zgodności ze wskazaniami RODO dokonanie ocena skutków przetwarzania danych osobowych pod kątem związanych z nimi ryzyk 24

Wdrożenie RODO lista zadań do wykonania (4) wykonanie, w sytuacjach tego wymagających, uprzedniej konsultacji z organem nadzorczym wybór odpowiednich mechanizmów transferowych w przypadku przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej monitoring dostępnych mechanizmów zgodności z wymogami RODO monitoring orzeczeń dotyczących odpowiedzialności cywilnoprawnej (spodziewana jest większa liczba spraw tego rodzaju w związku z naruszeniem ochrony danych osobowych) 25

Wdrożenie RODO produkty (1) opracowanie/modyfikacja wzorów klauzul informacyjnych opracowanie/modyfikacja wzorów oświadczeń zgody na przetwarzanie danych osobowych oraz wycofania takiej zgody opracowanie procedury wyboru processorów, którzy zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych opracowanie/modyfikacja wzorów umów (aneksów do umów) powierzenia przetwarzania danych osobowych, w tym klauzul dotyczących podpowierzenia przetwarzania danych osobowych określenie procedur realizacji praw podmiotów danych 26

Wdrożenie RODO produkty (2) określenie procedury rozpatrywania żądań podmiotów danych kierowanych do inspektora ochrony danych osobowych, wraz ze wzorami odpowiedzi określenie procedury opisującej zasady realizacji prawa dostępu do danych przygotowanie rejestru czynności przetwarzania danych osobowych 27

Wdrożenie RODO produkty (3) opracowanie dokumentacji dotyczącej wyznaczenia inspektora ochrony danych oraz przygotowaniu zakresu jego zadań zgodnie z RODO aktualizacja dokumentacji przetwarzania danych osobowych zgodnie z wymaganiami RODO (m.in. polityka ochrony danych, dokumentacji dotyczącej przeglądów zastosowanych środków technicznych i organizacyjnych zabezpieczenia danych, dokumentacji naruszenia ochrony danych osobowych) opracowanie polityki privacy by design oraz polityki privacy by default. 28

Wdrożenie RODO produkty (4) opracowanie dokumentacji dotyczącej wyznaczenia inspektora ochrony danych oraz przygotowaniu zakresu jego zadań zgodnie z RODO aktualizacja dokumentacji przetwarzania danych osobowych zgodnie z wymaganiami RODO (m.in. polityka ochrony danych, dokumentacji dotyczącej przeglądów zastosowanych środków technicznych i organizacyjnych zabezpieczenia danych, dokumentacji naruszenia ochrony danych osobowych) opracowanie polityki privacy by design oraz polityki privacy by default. 29

Wdrożenie RODO metodologia Warsztat jednodniowy RODO z kluczowymi interesariuszami- uświadamianie organizacji zagadanień RODO i zdobywanie informacji wstępnych nt. gotowości organizacji do wdrożenia RODO Analiza AS-IS przekazanej dokumentacji i innych materiałów związanych z przetwarzaniem danych osobowych wywiady/warsztaty z pracownikami- Interesariusze: a) właściciele zasobów informacyjnych w biznesie b) ABI/zastępcy ABI-ich c) osoby odpowiadające za compliance/ryzyko d) pracownicy IT. e) Pracownicy dep. bezpieczeństwa Analiza dojrzałości procesów przetwarzania danych osobowych, w tym procesów realizowanych w poszczególnych systemach IT administrowanych przez daną organizację, Mapa drogowa Zaprojektowanie procesu TO-BE- Mapa drogowa wdrożenie RODO na linii czasu Dostosowanie umów, norm, procedur, procesów, organizacji do RODO Dostosowanie rozwiązań informatycznych i bezpieczeństwa klienta do wymagań RODO Ew. Certyfikacja RODO, Testy penetracyjne/stress testy RODO Regularny system monitorowania compliance organizacji z RODO 30

Wdrożenie RODO- Pierwsze kroki 31

Normy i docelowe rozwiązania 32

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres