RODO / GDPR

Szkolenie wewnętrzne, 22.05.18

Nie jestem prawnikiem!

Żadna informacja nie jest wiążąca, nie ponoszę za nią żadnej odpowiedzialności i stosujesz ją wyłącznie na własne ryzyko

RODO

Rozporządzenie o Ochronie Danych Osobowych

GDPR

General Data Protection Regulation

Czym jest RODO/GDPR?

  • Rozporządzenie przyjęte przez Parlament Unii Europejskiej i Radę Unii Europejskiej w kwietniu 2016 r.
  • Celem regulacji jest zapewnienie swobodnego przepływu danych osobowych pomiędzy państwami członkowskimi, ale także wprowadzenie zasad, zgodnie z którymi przetwarzanie danych osobowych będzie ujednolicone na terenie całej Unii Europejskiej.
  • Przepisy unijnego rozporządzenia zastąpią dotychczasową polską ustawę z 97 roku o ochronie danych osobowych.

Dane osobowe

Są to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej

(osobie, której dane dotyczą).

Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak:

  • imię i nazwisko
  • numer identyfikacyjny
  • dane o lokalizacji
  • identyfikator internetowy (np. adres IP, cookie)
  • jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej

Dane osobowe

Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej.

 

Dane osobowe

Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny.

Kto podlega przepisom RODO?

  • Każdy przedsiębiorca, który prowadzi działalność na terenie UE, może to być działalność w każdej formie prawnej: spółka, JDG, czy nawet oddział w UE przedsiębiorcy mającego siedzibę w kraju trzecim.
  • Nie ma znaczenia narodowość osoby, której dane są przetwarzane jak i nie ma również znaczenia gdzie te dane są przetwarzane (gdzie znajdują się serwery).
  • Rozporządzenie nie ma zastosowania do działalności osobistej lub domowej, np. dane adresowe znajomych którym wysyłamy kartki świąteczne.

Jakie czynności podlegają RODO?

Rozporządzenie ma zastosowanie do przetwarzania danych osobowych, są to czynności:

  • zbierania danych                                                      
  • przechowywanie danych
  • usuwanie danych
  • opracowywanie danych
  • udostępnianie danych

RODO obejmuje wszelkie czynności, które mają za przedmiot dane osobowe – czyli nie tylko np. usługę archiwizowania dokumentów ale wszelkie usługi, w których dochodzi do zbierania danych. Przepisy rozporządzenie powinni więc stosować przedsiębiorcy, którzy przetwarzają dane osobowe przy okazji świadczenia innych usług

Najważniejsze zasady
RODO / GDPR

Nowe prawa obywateli

  • prawo dostępu przysługujące osobie, której dane dotyczą
  • prawo do sprostowania danych
  • prawo do usunięcia danych („prawo do bycia zapomnianym”)
  • prawo do ograniczenia przetwarzania
  • prawo do przenoszenia danych
  • prawo do sprzeciwu

Obowiązek informacyjny

Rozporządzenie nakazuje, aby obowiązek został przedstawiony w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie. Ważne, żeby został napisany jasnym i prostym językiem, szczególnie jeśli informacje kierowane są do dziecka.

Osoba, której dane dotyczą będzie miała prawo uzyskać informacje na temat przetwarzania jej danych. Administrator danych będzie zobowiązany, bez zbędnej zwłoki, najpóźniej w ciągu miesiąca, odpowiedzieć wnioskodawcy.

Zgłaszanie naruszeń

Administrator danych będzie miał obowiązek zgłosić naruszenie ochrony danych osobowych do właściwego organu nadzorczego. Rozporządzenie o ochronie danych osobowych przewiduje na to 72 godziny od stwierdzenia naruszenia.

Administrator danych samodzielnie będzie musiał ocenić, czy naruszenie powinno zostać zgłoszone.

Zasada privacy by design

Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.

Zasada privacy by default

Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.

...

Checklista zasad
RODO/GDPR

Your company has a list of all types of personal information it holds, the source of that information, who you share it with, what you do with it and how long you will keep it

This is a list of the actual types (columns) of information being held (eg Name, social security nr, address,..). For each type, a source should be documented, the parties this information is shared with, the purpose of the information and the duration for which the company will keep this information. You can use GDPR Data Map sheet in this document to categorize and list the data

 

Your company has a list of places where it keeps personal information and the ways data flows between them

This could be a list of databases (e.g. MongoDB, MySQLl), but it could also include offline datastores (e.g. paper). It is recommended that data is encrypted in transit and at rest

 

Your company has a publicly accessible privacy policy that outlines all processes related to personal data.

You should include information about all processes related to the handling of personal information. This document should include (or have links to) the types of personal information the company holds, and where it holds them.

 

Your privacy policy should include a lawful basis to explain why the company needs to process personal information

It should contain a reason for data processing, eg the fulfillment of a contract.

 

Your company has appointed a Data Protection Officer (DPO)

This person should have knowledge of GDPR guidelines as well as knowledge about the internal processes that involve personal information.

Not all companies needs to appoint a DPO, read the GDPR Article 37 for more details.

 

Create awareness among decision makers about GDPR guidelines

Make sure key people and decision makers have up-to-date knowledge about the data protection legislation.

 

Make sure your technical security is up to date. 

Perform a security audit, possible a OWASP ASVS audit.

 

Train staff to be aware of data protection

A lot of security vulnerabilities involve cooperation of an unwitting person with access to internal systems. Make sure your employees are aware of these risks.

 

You have a list of sub-processors and your privacy policy mentions your use of this sub-processor

You should inform your customers of the use of any sub-processor. They should consent by accepting your privacy policy.

 

If your business operates outside the EU, you have appointed a representative within the EU.

If you have a business outside of the EU and you collect data on EU citizens, you should assign a representative in one of the member states for your business. This person should handle all issues related to processing. In particular, a local authority should be able to contact this person.

 

You report data breaches involving personal data to the local authority and to the people (data subjects) involved

Personal data breaches should be reported within 72 hours to the local authority. You should report what data has been lost, what the consequences are and what countermeasures you have taken. Unless the data leaked was encrypted, you should also report the breach to the person (data subject) whose data you lost.

 

There is a contract in place with any data processors that you share data with

The contract should contain explicit instructions for the storage or processing of data by the processor. For example, this could include a contract with your hosting provider.

 

Your customers can easily request access to their personal information

This must be done on request, either manually or automatically.

 

Your customers can easily update their own personal information to keep it accurate

This must be done on request, either manually or automatically.

 

You automatically delete data that your business no longer has any use for

You should automate deletion of data you no longer need. For example, you should automatically delete data for customers whose contracts have not been renewed.

 

Your customers can easily request deletion of their personal data

This must be done on request, either manually or automatically.

 

Your customers can easily request that you stop processing their data

This must be done on request, either manually or automatically.

 

Your customers can easily request that their data be delivered to themselves or a 3rd party

This must be done on request, either manually or automatically.

 

Your customers can easily object to profiling or automated decision making that could impact them

This is only applicable if your company does profiling or any other automated decision making.

 

Ask consent when you start processing a person's information

If your website collects personal information in some way, you should have an easily visble link to your privacy policy and confirm that the user accepts your terms and conditions.

Please note that: if the consent users have given was not clear (e.g. if they simply agreed to terms & conditions), you’d have to re-obtain that consent. 

 

Your privacy policy should be written in clear and understandable terms

It should be written in clear and simple terms and not conceal it's intent in any way. Failing to do so could void the agreement entirely. When providing services to children, the privacy policy should be easy enough for them to understand.

 

It should be as easy for your customers to withdraw consent as it was to give it in the first place

This must be done on request, either manually or automatically.

 

If you process children's personal data, verify their age and ask consent from their legal guardian

For children younger than 16, you need to make sure a legal guardian has given consent for data processing. If consent is given via your website, you should try to make sure approval was actually given by the legal guardian (and not by the child).

 

When you update your privacy policy, you inform existing customers

for example, by emailing upcoming changes of your privacy policy. Your communication should explain in a simple way what has changed.

 

You regularly review policies for changes, effectiveness, changes in handling of data and changes to the state of affairs of other countries your data flows to.

You should follow up on best practies and changes to the policies in your local environment.

 

Your business understands when you must conduct a DPIA (Data Protection Impact Assessment) for high-risk processing of sensitive data.

This is only applies to businesses carrying out large-scale data processing, profiling and other activities with high risk to the rights and freedoms of people. A special assessment should be carried out in these cases.

 

You should only transfer data outside of the EU to countries that offer an appropriate level of protection

You should also disclose these cross-border data flows in your privacy policy.

 

Kary administracyjne dla
Administratorów Danych (ADO)

  • Do 10 mln euro lub do 2 proc. całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
    Kara ta dotyczy naruszeń związanych między innymi z niewywiązaniem się przez ADO ze swoich obowiązków takich jak: obowiązek informacyjny, brak uwzględnienia ochrony danych w fazie projektowania oraz domyślnej ochrony danych, błędnie prowadzony rejestr czynności przetwarzania lub jego brak, nieprawidłowe zabezpieczenie systemów informatycznych, nieprzeprowadzenie oceny skutków dla ochrony danych, brak powołania Inspektora Ochrony Danych jeśli istniał taki obowiązek, etc.

Kary administracyjne dla
Administratorów Danych (ADO)

  • Do 20 mln euro lub do 4 proc. całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
    Kara ta dotyczy między innymi: złamania przez ADO podstawowych zasad przetwarzania danych osobowych, w tym niedopilnowanie warunków pozyskania zgody, łamania praw osób, których dane dotyczą, nieprawidłowego przekazywania danych osobowych odbiorcom w państwach trzecich lub organizacjach międzynarodowych, etc.

Kary administracyjne dla
Administratorów Danych (ADO)

  • Każda osoba, która poniosła szkodę w wyniku naruszenia postanowień RODO ma prawo wystąpić do ADO z roszczeniem o odszkodowanie za poniesioną szkodę.
  • Administrator może zostać zwolniony z odpowiedzialności, jeżeli udowodni, że nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody.

RODO / GDPR

By Maciej

RODO / GDPR

  • 761