Zarządzanie procesem dostosowawczym do unijnej reformy ochrony danych osobowych (GDPR / RODO)

Podobne dokumenty
Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

Technologia Infromacyjna i Prawo w służbie ochrony danych - #RODO2018

Przemysław Bańko Dyrektor ds. Bezpieczeństwa Smart In

INSPEKTOR DANYCH OSOBOWYCH CZYLI ABI PO NOWEMU W ASPEKCIE

KONFLIKT INTERESÓW PRZY POWIERZENIU DPO INNYCH ZADAŃ A NAKAZ WYKONYWANIA OBOWIĄZKÓW W SPOSÓB NIEZALEŻNY

Magdalena Jacolik Mgr Prawa Europejskiego Aliant Krzyżowska Międzynarodowa Kancelaria Prawna

Sprawdzenie systemu ochrony danych

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

PRELEGENT Przemek Frańczak Członek SIODO

Rozporządzenie Ogólne o Ochronie Danych Osobowych - General Data Protection Regulation

Technologia Informacyjna i Prawo w służbie ochrony danych - #RODO2018

RODO Nowe zasady przetwarzania danych osobowych. radca prawny Piotr Kowalik Koszalin, r.

INSPEKTOR DANYCH OSOBOWYCH CZYLI ABI PO NOWEMU W ASPEKCIE

Ochrona danych osobowych

Które i jakie organizacje będą zobowiązane do wyznaczenia inspektora ochrony danych (IOD/DPO)

Zaangażowani globalnie

Akademia RODO - Rola i obowiązki Inspektora Ochrony Danych Osobowych (IOD) w organizacji

RODO. 1. Obowiązki administratora danych osobowych

Pierwsze doświadczenia w wykonywaniu funkcji IODy

Maciej Byczkowski ENSI 2017 ENSI 2017

Procedura postępowania reklamacyjnego dotyczącego danych osobowych w SentiOne Sp. z o. o.

Radca Prawny Anna Matusiak-Wekiera. Kancelaria Radcy Prawnego Anna Matusiak-Wekiera

POLITYKA PRYWATNOŚCI -dotycząca danych osobowych osób odwiedzających sklepy objęte monitoringiem wizyjnym-

Reforma regulacyjna sektora bankowego

PODSTAWY PRZETWARZANIA DANYCH KANDYDATÓW DO PRACY W NOWYM PROJEKCIE KODEKSU PRACY. r.pr. Patrycja Kozik

Czym jest RODO? Czym jest przetwarzanie danych osobowych?

Ochrona danych osobowych, co zmienia RODO?

3. Jakie dane osobowe przetwarzamy

#RODO2018. Śniadanie biznesowe w Gdyni. RODO praktyczne wyzwania prawno-technologiczne. Przemysław Rogiński Jakub Zuber

POLITYKA PRYWATNOŚCI -dotycząca danych osobowych Członków Spółdzielni-

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

3) ograniczenie przetwarzania oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;

Jak się ustrzec przed pozwami i uniknąć kar w następstwie wejścia w życie RODO?

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

POLITYKA REALIZACJI PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ

rodo. naruszenia bezpieczeństwa danych

Zarządzenie nr 38 Rektora Uniwersytetu Jagiellońskiego z 30 maja 2018 roku. w sprawie: ochrony danych osobowych w Uniwersytecie Jagiellońskim

POLITYKA PRYWATNOŚCI dotycząca danych osobowych użytkowników strony internetowej

Ograniczenia w wykorzystywaniu baz danych związane ze zautomatyzowanym przetwarzaniem danych oraz wykorzystaniem chmury obliczeniowej w świetle RODO

RODO w spółkach jak przygotować się do nowych unijnych przepisów o ochronie danych

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

OBOWIĄZKI I ODPOWIEDZIALNOŚĆ ZA ZADANIA ZWIĄZANE Z OCHRONĄ DANYCH OSOBOWYCH W SZKOLE GŁÓWNEJ HANDLOWEJ W WARSZAWIE

Administrator bezpieczeństwa informacji, urzędnik do spraw ochrony danych osobowych, inspektor ochrony danych analiza porównawcza. dr Grzegorz Sibiga

#RODO2018. podstawowe szkolenie z zakresu ochrony danych osobowych

Czas trwania szkolenia- 1 DZIEŃ

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

Prowadzący: Marcin Jastrzębski. Łódź, październik 2018r. Projekt współfinansowany przez Unię Europejską z Europejskiego Funduszu Społecznego

SZCZEGÓŁOWY HARMONOGRAM KURSU

Status prawny i obowiązki adwokata związane z przetwarzaniem danych osobowych w świetle ogólnego rozporządzenia o ochronie danych (RODO)

Warszawa, 19 października 2016 Agnieszka Szydlik, adwokat, Wardyński & Wspólnicy Sylwia Paszek, radca prawny, Wardyński & Wspólnicy

POLITYKA PRYWATNOŚCI I. INFORMACJE DOTYCZĄCE PRZETWARZANIA DANYCH OSOBOWYCH

NOWA ERA W OCHRONIE DANYCH OSOBOWYCH WDROŻENIE GDPR/RODO W BRANŻY FARMACEUTYCZNEJ warsztaty

NOWE OBOWIĄZKI DYREKTORA JAKO ADMINISTRATORA DANYCH OSOBOWYCH

ZAŁĄCZNIK SPROSTOWANIE

NOWE UJĘCIE OCHRONY DANYCH OBOWIĄZKI ADMINISTRATORA DANYCH OSOBOWYCH

Załącznik Nr 4 do Umowy nr.

Inspektor Ochrony Danych w podmiotach publicznych

NOWE PRZEPISY DOTYCZĄCE BEZPIECZEŃSTWA DANYCH OSOBOWYCH. Agnieszka Wiercińska-Krużewska, adwokat, senior partner 21 września 2017 r.

Praktyczne aspekty wdrożenia RODO Data Protection Impact Assessment (DPIA)

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

PRAKTYCZNIE O RODO/GDPR UNIJNA REFORMA OCHRONY DANYCH OSOBOWYCH

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. zawarta w dniu... pomiędzy zwana dalej Przetwarzającym

(2- D NIOWE) I N F O R M A C J E O S Z K O L E N I U

przyjęta 12 marca 2019 r. Tekst przyjęty 1

- wykonania zawartej umowy na świadczenie usług cateringowych. Podstawa prawną przetwarzania danych w takim przypadku jest art. 6 ust. 1 lit b RODO.

ZAPYTANIE OFERTOWE. wsparciu specjalistyczną i aktualną wiedzą m.in. w obszarach prawa,

RODO w praktyce psychologicznej. adw. dr Maciej Bocheński Uniwersytet Jagielloński Krakowska Izba Adwokacka

Zapytanie ofertowe w sprawie zamówienia o szacowanej wartości poniżej euro

RODO WYMOGI OCHRONY DANYCH OSOBOWYCH PACJENTÓW MLD Katowice, dnia 24 kwietnia 2018 r. r. pr. Michał Rytel

Zarządzenie nr 491/2018 Wójta Gminy Wińsko. z dnia 18 maja 2018 roku

Nowe wymagania dla systemów informatycznych wynikające z ogólnego rozporządzenia o ochronie dany

RODO w firmie transportowej RADCA PRAWNY PAWEŁ JUDEK

Przykład klauzul umownych dotyczących powierzenia przetwarzania

Spis treści. Wykaz skrótów... Wprowadzenie...

Ochrona danych osobowych w 2014/2015 Jak przygotować się na nowe przepisy?

Monitorowanie systemów IT

POLITYKA PRYWATNOŚCI -dotycząca danych osobowych klientów, dostawców i najemców-

ZARZĄDZENIE Nr 12/2019 WÓJTA GMINY STANISŁAWÓW z dnia 15 lutego 2019 r. w sprawie zmiany Regulaminu Organizacyjnego Urzędu Gminy Stanislawów

Wdrożenie Rozporządzenia UE 2016/679 z dnia 27 kwietnia 2016 w ZGiUK Sp. z o.o. w Lubaniu

ZASADY POWIERZANIA DANYCH OSOBOWYCH FIRMY ELEKTROMONTAŻ RZESZÓW S.A. z dnia 25 maja 2018r.

ACCACE POLAND Ochrona danych osobowych dotychczasowe zasady i zmiany po wejściu w życie nowego Rozporządzenia Unijnego RODO

CZĘŚĆ I PODSTAWOWE INFORMACJE O RODO

Powierzenie przetwarzania danych osobowych w stosunkach pracy. Wybrane zagadnienia.

POLITYKA PRYWATNOŚCI

Rola biura rachunkowego w nowym modelu ochrony danych osobowych

OCHRONA DANYCH OD A DO Z

NOWE ZASADY I OBOWIĄZKI W ZAKRESIE OCHRONY DANYCH OSOBOWYCH OMÓWIENIE UNIJNEGO ROZPORZĄDZENIA (GDPR)

Polityka prywatności przetwarzanie danych osobowych w serwisie internetowym kuberacars.pl

Opracował Zatwierdził Opis nowelizacji

RODO W ORGANIZACJI- JAK PRAWIDŁOWO PRZYGOTOWAĆ SIĘ ORAZ UNIKNĄĆ KAR PIENIĘŻNYCH

BIURO OCHRONY DANYCH OSOBOWYCH BODO24 KURS RODO

WPROWADZENIE DO RODO OGÓLNE UNIJNE ROZPORZĄDZENIE O OCHRONIE DANYCH. - Leszek Zając

PRAWA PODMIOTÓW DANYCH - PROCEDURA

PRAKTYCZNIE O RODO/GDPR UNIJNA REFORMA OCHRONY DANYCH OSOBOWYCH

Informacja o przetwarzaniu danych osobowych

KLAUZULA INFORMACYJNA DLA OSÓB Z KTÓRYMI ZAWARTO UMOWY CYWILNOPRAWNE (DOSTAWY, USŁUGI I ROBOTY BUDOWLANE) Data: r.

Zgodnie z RODO administrator i podmiot przetwarzający muszą wyznaczyć inspektora ochrony danych, gdy:

Opinia 17/2018. w sprawie projektu wykazu sporządzonego przez właściwy polski organ nadzorczy. dotyczącego

Transkrypt:

Zarządzanie procesem dostosowawczym do unijnej reformy ochrony danych osobowych (GDPR / RODO) mec. Jakub Wezgraj Warszawa, 10 maja 2017 r.

Czym będzie ta prezentacja? Zestawem wskazówek, na co warto zwrócić uwagę przy dostosowywaniu organizacji do wymagań ogólnego rozporządzenia o ochronie danych (GDPR / RODO) Listą kluczowych zasad (przedstawionych w formie tez) z perspektywy osoby wdrażającej dedykowane rozwiązania z zakresu ochrony danych osobowych Propozycją podejścia do tej tematyki jako procesu, którym należy zarządzać z perspektywy całej organizacji (a nie wybranych działów/komórek organizacyjnych) Zachętą do podejścia racjonalnego, w oparciu o plan działania, a nie na fali doniesień medialnych i rynkowych 2

Proces prawny gdzie jesteśmy i dokąd zmierzamy? START 01 4 maja 2016 r. Publikacja oficjalnego tekstu GDPR w Dzienniku Urzędowym UE 02 28 marca 2017 r. Projekt ustawy o ochronie danych osobowych autorstwa MC 03 25 maja 2018 r. Rozpoczęcie stosowania GDPR

RODO TEZA #1 Tylko i wyłącznie indywidualne podejście charakter, zakres, kontekst i cele przetwarzania danych oraz ryzyko naruszenia praw i wolności osób fizycznych w wyniku przetwarzania danych przez konkretną organizację

Wyobraźmy sobie przykładową strukturę organizacyjną przykładowej firmy ZARZĄD DZIAŁ HR FINANSE KONTROLING DZIAŁ HANDLU BIURO ZARZĄDU MARKETING WINDYKACJA DZIAŁ PRAWNY DZIAŁ IT 5

Moje pytanie brzmi: Czy przedstawiony przykład struktury organizacji pokrywa się w 100% ze strukturą Państwa organizacji? Oczywiście, że nie bo nie ma czegoś takiego jak przykładowa organizacja I takie podejście widać również w RODO: W szczególności administrator powinien mieć obowiązek wdrożenia odpowiednich i skutecznych środków oraz powinien być w stanie wykazać, że czynności przetwarzania są zgodne z niniejszym rozporządzeniem oraz, że są skuteczne. Środki te powinny uwzględniać charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych Motyw 74 Preambuły 6

RODO TEZA #2 Dział Prawny / Compliance oraz IT /Security to za mało potrzebne jest zaangażowanie praktycznie wszystkich komórek organizacyjnych (oczywiście na różnym poziomie)

Perspektywa Działu IT 8

Jak Dział IT postrzega inne komórki (na przykładzie Działu HR): Krytyczne systemy (np. Kadrowo Płacowy) -> BCM Polityka backupow a (archiwizacja i przechowywanie danych) Sprzęt informatyczny i zasoby (np. zasoby sieciowe) Dostępy (uprawnienia w systemach i zasobach, Stosowane środki bezpieczeństwa Help Desk Licencje DZIAŁ HR widziany oczami DZIAŁU IT Incydenty 9

Perspektywa Działu Prawnego 10

Jak Dział Prawny postrzega inne komórki (na przykładzie Działu HR): Regulacje wewnętrzne (Regulaminy Pracy, Wynagrodzeń, ZFŚS) Wzory dokumentów (umowy o pracę, cywilnoprawne, zakazy konkurencji etc.) Współpraca z organami państwa (ZUS, US, organy ścigania) Postępowania sądowe (np. sprawy pracownicze) Uprawnienia pracownicze DZIAŁ HR widziany oczami DZIAŁU PRAWNEGO 11

A JAK SAM DZIAŁ HR POSTRZEGA SIEBIE? HR ASSISTANT WŁAŚCICIELE PROCESÓW JUNIOR RECRUITER SENIOR RECRUITER BHP & SAFETY MANAGER Każdy odpowiada za określone procesy HR BUSINESS PARTNER HR MANAGER COMPENSA TION & BENEFITS MANAGER Jasno ustalone role i zakresy zadań w tych procesach 12

RODO TEZA #3 Potrzebne badanie w ujęciu procesowym procesy biznesowe i administracyjne związane z tematyką przetwarzania danych osobowych lub mające na nie wpływ cykl życia danych w organizacji

Przykładowe procesy obsługiwane przez Dział HR Rekrutacja Zatrudnienie Wsparcie etapu zatrudnienia Decyzja o naborze Źródła poszukiwań i sposób wyboru Zewnętrzni dostawcy usług Co z dokumentami aplikacyjnymi niewybranych kandydatów? Zakres dokumentów, które wypełnia nowy pracownik Przygotowanie do pracy na danym stanowisku Szkolenia wstępne Rozliczenia pracownicze Dodatkowe benefity / ubezpieczenia etc. ZFŚS Oceny okresowe i rozwój kompetencji Przypadki szczególne (np. monitoring, sygnaliści, badanie trzeźwości etc.) Udostępnianie danych pracowników (np. do innych podmiotów z Grupy kapitałowej) Wsparcie administracyjne (hotele, bilety lotnicze etc.) 14

I jeszcze przykład cyklu życia danych z zupełnie innego obszaru - reklamacje Drogą elektroniczną Przekazanie Wpłynięcie reklamacji Teleserwis Forma pisemna Czy reklamacja dotyczy danych osobowych? TAK NIE do zespołu reklamacji Udzielenie odpowied zi Archiwizacja Przekazanie do ABI Osobiście w oddziale Usunięcie 15

RODO TEZA #4 Potrzebny lider osoba zarządzająca procesem dostosowania organizacji do wymagań RODO

Potrzebny lider, który: Zbierze punkty widzenia poszczególnych komórek organizacyjnych oraz posiadaną przez nie wiedzę Stworzy mapę procesów mających wpływ na ochronę danych osobowych na poziomie całej organizacji (a nie wyłącznie poszczególnych komórek organizacyjnych) Przypisze wymagania RODO do poszczególnych procesów Ustali, które wymagania RODO oraz w jakich przypadkach i na jakim poziomie mają zastosowanie wobec danej organizacji Zaproponuje konkretne rozwiązania Będzie koordynował ich implementację 17

Inspektor Ochrony Danych (art. 37 39 RODO) informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie; monitorowanie przestrzegania RODO oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty; udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO; współpraca z organem nadzorczym; pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach. 18

RODO TEZA #5 Nie wszystkie wymagania RODO będą musieli stosować wszyscy i na takim samym poziomie charakter, zakres, kontekst i cele przetwarzania danych oraz ocena ryzyka naruszenia praw i wolności osób fizycznych ma wpływ na zakres obowiązków jakie trzeba będzie realizować

Kluczowe obszary wymogów RODO z perspektywy obowiązków Administratora danych (ADO) ZASADY PRZETWARZANIA DANYCH art. 5-11 RODO 01 UPRAWNIENIA PODMIOTU DANYCH 02 Art. 12 23 RODO OBOWIĄZKI ADMINISTRATORA DANYCH art. 24-43 RODO 03 04 TRANSFER DANYCH DO PAŃSTW TRZECICH Art. 44 50 RODO RODO

Fakultatywność lub obligatoryjność stosowania pewnych wymagań PRAWO DO BYCIA ZAPOMNIANYM art. 17 RODO Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności: a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane; b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania; c) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania; d) dane osobowe były przetwarzane niezgodnie z prawem; e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator; f) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1 21

Fakultatywność lub obligatoryjność stosowania pewnych wymagań ZGŁASZANIE NARUSZENIA OCHRONY DANYCH art. 33 RODO W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. ALE: Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu. 22

Fakultatywność lub obligatoryjność stosowania pewnych wymagań OCENA SKUTKÓW DLA OCHRONY DANYCH art. 35 RODO Jeżeli dany rodzaj przetwarzania w szczególności z użyciem nowych technologii ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Ocena skutków dla ochrony danych jest wymagana w szczególności w przypadku: a) systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną; b) przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10; lub c) systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie. 23

Fakultatywność lub obligatoryjność stosowania pewnych wymagań OCENA SKUTKÓW DLA OCHRONY DANYCH art. 35 RODO ALE DODATKOWO: Organ nadzorczy ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych na mocy ust. 1. Organ nadzorczy może także ustanowić i podać do wiadomości publicznej wykaz rodzajów operacji przetwarzania niepodlegających wymogowi dokonania oceny skutków dla ochrony danych. 24

RODO TEZA #6 Bez audytu nie mamy szans na dostosowanie do RODO na nowo poznaj swoją organizację i zdefiniuj ją językiem RODO

Klucz do sukcesu: zdefiniuj aktywa podlegające ochronie prawnej zbiory danych i systemy informatyczne Ochrona osób fizycznych powinna mieć zastosowanie do zautomatyzowanego przetwarzania danych osobowych oraz do przetwarzania ręcznego, jeżeli dane osobowe znajdują się lub mają się znaleźć w zbiorze danych. Zbiory lub zestawy zbiorów oraz ich strony tytułowe, które nie są uporządkowane według określonych kryteriów nie powinny być objęte zakresem niniejszego rozporządzenia. Motyw 15 Preambuły Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych. Art. 2 ust. 1 RODO 26

CEL AUDYTU: ustalenie aktywów podlegających ochronie prawnej z zakresu ochrony danych osobowych (zbiory danych + systemy), ustalenie zasad przetwarzania danych w poszczególnych zbiorach i systemach, analiza modelu biznesowego oraz procesów biznesowych związanych z czynnościami przetwarzania danych osobowych lub mających na nie wpływ, weryfikacja poszczególnych wymagań RODO pod kątem ustalenia, które z nich i w jakich przypadkach mogą mieć zastosowanie w danej organizacji, wskazanie aktualnego poziomu spełnienia wymagań oraz obszarów niezgodności, przedstawienie rekomendacji naprawczych z omówieniem możliwego sposobu ich realizacji w praktyce, ocena ryzyka. 27

RODO TEZA #7 Wprowadzanie rozwiązań dostosowujących do wymagań RODO to proces, a nie jednorazowa czynność to rodzaj zarządzania zmianą w organizacji

Wdrażanie wymagań RODO to zarządzanie zmianą w organizacji 1. ustalenie celu wprowadzanej zmiany; 2. określenie wielkości i poziomu ważności zmiany (wyniki audytu); 3. uwzględnienie charakteru organizacji, jej kultury organizacyjnej; 4. określenie ograniczeń krytycznych; 5. aktywne włączenie pracowników w proces zmian. 29

RODO które wymagania są kluczowe? Analiza ryzyka np. przy doborze środków bezpieczeństwa Privacy by design i privacy by default, zasada niezbędności Współpraca z podmiotami przetwarzającymi, zasady doboru Polityki informacyjne wobec podmiotu danych KRYTERIUM Złożoność, poziom skomplikowania, koszt i czas wdrożenia Zasadniczy podział na wymogi prawne obarczone: administracyjną karą finansową do 10 mln Euro lub 2% światowego rocznego obrotu lub do 20 mln Euro lub 4% światowego rocznego obrotu Wysokość sankcji Powołanie inspektora ochrony danych Prawo do bycia zapomnianym Ocena skutków dla ochrony danych Zgłaszanie naruszenia ochrony danych organowi nadzorczemu Fakultatywność lub obligatoryjność stosowania wymogu 30

RODO które wymagania są kluczowe? TO ZALEŻY: - od charakterystyki aktywów podlegających ochronie - od sposobu wykorzystywania tych aktywów - od charakteru i kultury organizacyjnej - od dostępnych zasobów organizacji - od wyników oceny ryzyka - od możliwości implementacyjnych w danej organizacji 31

RODO TEZA #8 Działaj racjonalnie i w oparciu o plan step by step

STEP BY STEP Wszystko zaczyna się od ludzi 01 LIDER + ZESPÓŁ PLAN AUDYTU + HARMONOGRAMY CZYNNOŚCI + KOMUNIKACJA O PLANOWANYCH DZIAŁANIACH 02 03 ANALIZA WYNIKÓW AUDYTU + OCENA + PLAN NAPRAWCZY PLAN WDROŻENIA Z UWZGLĘDNIENIEM CHARAKTERU ORGANIZACJI, OCENY RYZYKA, MOŻLIWOŚCI 04 05 STOPNIOWY PROCES IMPLEMENTACJI NA POZIOMIE CAŁEJ ORGANIZACJI i kończy na ludziach 33

DZIĘKUJĘ ZA UWAGĘ! Jakub Wezgraj Radca prawny +48 600 677 026 j.wezgraj@odoekspert.pl www.odoekspert.pl

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres