Szkolenie wewnętrzne, 22.05.18
Żadna informacja nie jest wiążąca, nie ponoszę za nią żadnej odpowiedzialności i stosujesz ją wyłącznie na własne ryzyko
Rozporządzenie o Ochronie Danych Osobowych
General Data Protection Regulation
Są to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej
(osobie, której dane dotyczą).
Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak:
Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej.
Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny.
Rozporządzenie ma zastosowanie do przetwarzania danych osobowych, są to czynności:
RODO obejmuje wszelkie czynności, które mają za przedmiot dane osobowe – czyli nie tylko np. usługę archiwizowania dokumentów ale wszelkie usługi, w których dochodzi do zbierania danych. Przepisy rozporządzenie powinni więc stosować przedsiębiorcy, którzy przetwarzają dane osobowe przy okazji świadczenia innych usług
Rozporządzenie nakazuje, aby obowiązek został przedstawiony w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie. Ważne, żeby został napisany jasnym i prostym językiem, szczególnie jeśli informacje kierowane są do dziecka.
Osoba, której dane dotyczą będzie miała prawo uzyskać informacje na temat przetwarzania jej danych. Administrator danych będzie zobowiązany, bez zbędnej zwłoki, najpóźniej w ciągu miesiąca, odpowiedzieć wnioskodawcy.
Administrator danych będzie miał obowiązek zgłosić naruszenie ochrony danych osobowych do właściwego organu nadzorczego. Rozporządzenie o ochronie danych osobowych przewiduje na to 72 godziny od stwierdzenia naruszenia.
Administrator danych samodzielnie będzie musiał ocenić, czy naruszenie powinno zostać zgłoszone.
Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.
Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.
This is a list of the actual types (columns) of information being held (eg Name, social security nr, address,..). For each type, a source should be documented, the parties this information is shared with, the purpose of the information and the duration for which the company will keep this information. You can use GDPR Data Map sheet in this document to categorize and list the data
This could be a list of databases (e.g. MongoDB, MySQLl), but it could also include offline datastores (e.g. paper). It is recommended that data is encrypted in transit and at rest
You should include information about all processes related to the handling of personal information. This document should include (or have links to) the types of personal information the company holds, and where it holds them.
It should contain a reason for data processing, eg the fulfillment of a contract.
This person should have knowledge of GDPR guidelines as well as knowledge about the internal processes that involve personal information.
Not all companies needs to appoint a DPO, read the GDPR Article 37 for more details.
Make sure key people and decision makers have up-to-date knowledge about the data protection legislation.
Perform a security audit, possible a OWASP ASVS audit.
A lot of security vulnerabilities involve cooperation of an unwitting person with access to internal systems. Make sure your employees are aware of these risks.
You should inform your customers of the use of any sub-processor. They should consent by accepting your privacy policy.
If you have a business outside of the EU and you collect data on EU citizens, you should assign a representative in one of the member states for your business. This person should handle all issues related to processing. In particular, a local authority should be able to contact this person.
Personal data breaches should be reported within 72 hours to the local authority. You should report what data has been lost, what the consequences are and what countermeasures you have taken. Unless the data leaked was encrypted, you should also report the breach to the person (data subject) whose data you lost.
The contract should contain explicit instructions for the storage or processing of data by the processor. For example, this could include a contract with your hosting provider.
This must be done on request, either manually or automatically.
This must be done on request, either manually or automatically.
You should automate deletion of data you no longer need. For example, you should automatically delete data for customers whose contracts have not been renewed.
This must be done on request, either manually or automatically.
This must be done on request, either manually or automatically.
This must be done on request, either manually or automatically.
This is only applicable if your company does profiling or any other automated decision making.
If your website collects personal information in some way, you should have an easily visble link to your privacy policy and confirm that the user accepts your terms and conditions.
Please note that: if the consent users have given was not clear (e.g. if they simply agreed to terms & conditions), you’d have to re-obtain that consent.
It should be written in clear and simple terms and not conceal it's intent in any way. Failing to do so could void the agreement entirely. When providing services to children, the privacy policy should be easy enough for them to understand.
This must be done on request, either manually or automatically.
For children younger than 16, you need to make sure a legal guardian has given consent for data processing. If consent is given via your website, you should try to make sure approval was actually given by the legal guardian (and not by the child).
for example, by emailing upcoming changes of your privacy policy. Your communication should explain in a simple way what has changed.
You should follow up on best practies and changes to the policies in your local environment.
This is only applies to businesses carrying out large-scale data processing, profiling and other activities with high risk to the rights and freedoms of people. A special assessment should be carried out in these cases.
You should also disclose these cross-border data flows in your privacy policy.