2. – Etyka Big Data
– Aspekty etyki Big Data
A co z etyką?1
– Prywatność a ochrona danych
Ustawodawstwo
– Podstawy RODO
– Prawa osób fizycznych
– Wdrażanie RODO
RODO
Glosariusz prawny
2
3
4
Niniejszy program został sfinansowany przy wsparciu Komisji
Europejskiej Autor ponosi wyłączną odpowiedzialność za
niniejszą publikację, a Komisja nie ponosi odpowiedzialności
za jakiekolwiek wykorzystanie informacji w niej zawartych.
Po realizacji niniejszego modułu:
- Będziesz zdawać sobie sprawę z konieczności wprowadzenia regulacji dotyczących
big data
- Zrozumiesz różnicę pomiędzy prywatnością a ochroną danych
- Dowiesz się, jak wdrożyć działania ochrony danych we własnej (przyszłej) firmie
Czas trwania modułu: około 1 - 2 godzin
Moduł 5:
Ustawodawstwo
3. A CO Z ETYKĄ?
PRZYJAZNA GOSPODARKA BEZ WZGLĘDU NA WIEK | MOŻLIWOŚCI DLA MŚP
1. Etyka Big Data
2. Aspekty etyki Big Data
4. PRZYJAZNA GOSPODARKA BEZ WZGLĘDU NA WIEK | MOŻLIWOŚCI DLA MŚP
Wraz ze wzrostem mocy obliczeniowej,
urządzeń elektronicznych i dostępności do
Internetu, produkowanych, gromadzonych i
przesyłanych jest więcej danych niż
kiedykolwiek wcześniej. Obecnie Big Data są
wystarczająco duże, aby wzbudzić praktyczne,
a nie tylko teoretyczne obawy dotyczące etyki.
Same big data, podobnie jak wszystkie
technologie, są etycznie neutralne.
Jednak wykorzystywanie big data już nie jest.
5. PRZYJAZNA GOSPODARKA BEZ WZGLĘDU NA WIEK | MOŻLIWOŚCI DLA MŚP
Dane mogą być użyteczne albo
całkowicie anonimowe, ale
nigdy nie jednocześnie.
Paul Ohm
Gromadzenie i analizowanie big data stało się potężnym sposobem na
umożliwienie wglądu w każdy biznes, ale wiąże się ono także z pewnymi
obawami dotyczącymi etyki big data, którymi należy się zająć.
Z uwagi na fakt, że dostęp i przechowywanie danych jest tak łatwe,
niektóre organizacje zbierają wszystko i przechowują na zawsze. Nie tylko
duże agencje rządowe zbierają takie dane, wiele dużych sieci sklepów
spożywczych, banki inwestycyjne, a nawet usługi pocztowe posiadają
funkcję analizy predykcyjnej wyłącznie w celu gromadzenia i analizowania
danych, aby przewidywać zachowania nabywcy.
PYTANIA DLA STUDENTÓW
Co się stanie, jeśli całe to zbieranie danych przyjmie negatywny obrót?
ETYKA BIG DATA
6. PRZYJAZNA GOSPODARKA BEZ WZGLĘDU NA WIEK | MOŻLIWOŚCI DLA MŚP
Aspekty etyki Big Data
Big data już wyprzedzają naszą zdolność do zrozumienia ich skutków.
Firmy wprowadzają innowacje każdego dnia, a tempo wzrostu ilości big
data jest praktycznie niezmierzone. Aby zapewnić ramy do analizy
często zróżnicowanych i powiązanych ze sobą aspektów etyki big data,
następujące elementy kluczowe mogą pomóc rozwikłać sytuację.
Tożsamość Prywatność
Własność Reputacja
7. PRZYJAZNA GOSPODARKA BEZ WZGLĘDU NA WIEK | MOŻLIWOŚCI DLA MŚP
„Czy istnienie online jest identyczne
z istnieniem offline?”
Jeśli nasze historyczne rozumienie tego, co oznacza tożsamość, jest
przekształcane przez technologie big data, wówczas zrozumienie
naszych wartości wokół samej koncepcji wzmacnia i rozszerza naszą
zdolność do określania odpowiednich i niewłaściwych działań.
Big data dają innym możliwość łatwego podsumowywania, grupowania
lub korelowania różnych aspektów naszej tożsamości - bez naszego
udziału lub zgody.
Jeśli big data powodują ewolucję znaczenia samej koncepcji tożsamości,
to powodują one również ewolucję naszego etycznego stosunku do
samej koncepcji, którą to słowo reprezentuje.
Tożsamość Prywatność
Własność Reputacja
8. PRZYJAZNA GOSPODARKA BEZ WZGLĘDU NA WIEK | MOŻLIWOŚCI DLA MŚP
„Kto powinien kontrolować dostęp do
danych na Twój temat?”
Wiele osób twierdzi, że uzyskaliśmy pewną kontrolę nad tym, jak świat nas postrzega, np.
ofiary przemocy lub osoby cierpiące na tę samą chorobę mogą dzielić się swoimi
doświadczeniami i zyskać nieocenione poczucie przynależności do społeczności dzięki
wykorzystaniu anonimowych tożsamości w internecie.
Ale czy straciliśmy czy uzyskaliśmy kontrolę nad naszą zdolnością do zarządzania tym,
jak świat nas postrzega?
Istnieją dwie kwestie.
Dlaczego oczekujemy możliwości samodzielnego wyboru i kontrolowania, którymi
aspektami dzielimy się ze światem online, tak samo jak w trybie offline? Różnica między
oczekiwaniami online i offline dotyczącymi stopnia kontroli osób nad otwartym dostępem
do danych o nich samych jest kwestią głęboko etyczną.
Celem jest zrozumienie, w jaki sposób zrównoważyć korzyści płynące z innowacji
opartych na big data z ryzykiem nieodłącznie związanym z szerszym udostępnianiem
informacji.
Tożsamość Prywatność
Własność Reputacja
Po drugie, czy ludzie powinni mieć
możliwość kontrolowania danych na swój
temat i do jakiego stopnia?
Po pierwsze, czy prywatność oznacza to
samo w trybie online i offline w
rzeczywistym świecie?
9. PRZYJAZNA GOSPODARKA BEZ WZGLĘDU NA WIEK | MOŻLIWOŚCI DLA MŚP
Tożsamość Prywatność
Własność Reputacja
„Co oznacza posiadanie danych o nas
samych?”
Stopień własności, jaki posiadamy nad konkretnymi informacjami o nas
samych, jest tak zróżnicowany, jak rozróżnienie pomiędzy prawem do
prywatności a interesem prywatności.
Czy informacje na temat naszej historii rodzinnej, genotypu i wyglądu
fizycznego, preferowania coli lub pepsi lub umiejętności rzucania
rzutów wolnych na boisku do koszykówki stanowią własność, którą
posiadamy?
Wraz z rosnącymi rozmiarami i złożonością otwartych rynków danych,
otwarte dane rządowe stają się coraz bardziej obfite, a firmy generują
większe przychody z wykorzystywania danych osobowych, nasuwa się
pytanie, kto jest właścicielem czego, i na jakim etapie - co prowadzić
będzie do zagorzałej debaty.
10. PRZYJAZNA GOSPODARKA BEZ WZGLĘDU NA WIEK | MOŻLIWOŚCI DLA MŚP
Tożsamość Prywatność
Własność Reputacja
„Jak możemy ustalić, co jest godne
zaufania?”
Jedną z największych zmian, jaka zrodziła się dzięki big data, jest to, że
obecnie liczba osób, które mogą sformułować opinię na temat tego,
jaką jesteś osobą, jest wykładniczo większa niż jeszcze kilka lat temu.
Co więcej, Twoja zdolność do zarządzania lub utrzymywania reputacji
online coraz bardziej wykracza poza osobistą kontrolę. Istnieją
przedsiębiorstwa, których cały model biznesowy koncentruje się na
„zarządzaniu reputacją”. Po prostu nie wiemy, jak nasze historyczne
rozumienie zarządzania naszą reputacją przekłada się na zachowanie
cyfrowe.
Jest to zatem wystarczający powód, aby zasugerować dalszą analizę.
11. PRZYJAZNA GOSPODARKA BEZ WZGLĘDU NA WIEK | MOŻLIWOŚCI DLA MŚP
Prywatność w
Internecie? To
oksymoron.
Catherine Butler
USTAWODAWSTWO
1. Prywatność a ochrona danych
Sądzę, że u mnie właśnie włączył się alarm przeciwpożarowy. Google adwords
właśnie zareklamowało mi gaśnicę i tymczasowe zakwaterowanie.
12. PRZYJAZNA GOSPODARKA BEZ WZGLĘDU NA WIEK | MOŻLIWOŚCI DLA MŚP
Większość użytkowników nie zdaje sobie
sprawy z ilości danych osobowych
pozyskiwanych przez poszczególne podmioty
w różnych celach. Zaczyna się to zmieniać
wraz ze wzrostem świadomości debaty na
temat prywatności danych. Te dwie
tendencje - rosnąca popularność big data
i rosnąca świadomość prywatności
danych - zaczynają przychodzić na myśl, a
firmy, które zamierzają wykorzystać erę big
data, muszą mieć świadomość i brać pod
uwagę podstawowe kwestie etyczne.
13. PRZYJAZNA GOSPODARKA BEZ WZGLĘDU NA WIEK | MOŻLIWOŚCI DLA MŚP
PRYWATNOŚĆ OCHRONA
DANYCH
vs.
Czy jest jakaś różnica?
TAK
14. PRYWATNOŚĆ OCHRONA
DANYCH
vs.
Czy jest jakaś różnica?
TAK
• Prywatność dotyczy właściwego wykorzystania i
kontroli danych
• Na całym świecie protokoły ochrony danych
odnoszą się do kontroli, jaką ludzie mają w
stosunku do swoich danych osobowych oraz
tego w jaki sposób mogą chronić je przed
niepożądanym lub szkodliwym wykorzystaniem
• Zagadnienie to dotyczy takich kwestii, jak: jaki
rodzaj danych będzie przetwarzany, gdzie będzie
przechowywany, jak długo będzie
przechowywany
• Zasady prywatności mają zastosowanie, gdy dane
są:
- Zbierane
- Przetwarzane
- Przechowywane Co odnosi się do żyjącej osoby
fizycznej, która może być przez te dane
• Ochrona danych dotyczy
poufności, dostępności i
integralności danych
• Koncentruje się na dwóch
głównych obszarach - fizycznym
bezpieczeństwie pomieszczeń i
logicznym bezpieczeństwie
danych i informacji
zdigitalizowanych
• Zagadnienie to dotyczy takich
kwestii, jak: poufność,
integralność i dostępność
danych, ochrona sieci, fizyczne
bezpieczeństwo obiektów,
sprzętu, transportu i osób
15. PRZYJAZNA GOSPODARKA BEZ WZGLĘDU NA WIEK | MOŻLIWOŚCI DLA MŚP
Prywatność danych, zwana
także prywatnością
informacji, jest aspektem
technologii informacyjnej,
która zajmuje się zdolnością
organizacji lub osoby
fizycznej do określenia, jakie
dane w systemie
komputerowym mogą być
udostępniane stronom
trzecim.
PRYWATNOŚĆ
Przepisy UE dotyczące ochrony danych oznaczają, że dane osobowe
mogą być przetwarzane tylko w określonych sytuacjach i pod pewnymi
warunkami, takimi jak:
– jeśli wyraziłeś zgodę (musisz zostać poinformowany, że Twoje dane są
zbierane)
– jeśli przetwarzanie danych jest potrzebne do zawarcia umowy, aplikacji o
pracę lub wniosku o pożyczkę
– jeśli istnieje prawny obowiązek przetwarzania danych
– jeśli przetwarzanie jest w twoim „żywotnym interesie”, np. lekarz potrzebuje
dostępu do poufnych danych medycznych
– jeżeli przetwarzanie jest konieczne do realizacji zadań w interesie
publicznym lub obowiązków wykonywanych przez rząd, organy podatkowe,
policję lub inne organy publiczne
Dane osobowe dotyczące pochodzenia rasowego lub etnicznego, orientacji
seksualnej, poglądów politycznych,
przekonań religijnych lub filozoficznych, przynależności do związków
zawodowych lub zdrowia nie mogą być przetwarzane, z wyjątkiem
szczególnych przypadków (np. gdy wyraziłeś wyraźną zgodę lub gdy
przetwarzanie jest konieczne ze względu na istotny interes publiczny, na
Gromadzenie i przetwarzanie danych osobowych
16. PRZYJAZNA GOSPODARKA BEZ WZGLĘDU NA WIEK | MOŻLIWOŚCI DLA MŚP
Ochrona danych to
proces zabezpieczania ważnych
informacji przed korupcją,
naruszeniem lub utratą. Znaczenie
ochrony danych wzrasta, w miarę
jak ilość tworzonych i
przechowywanych danych w
dalszym ciągu
rośnie w bezprecedensowym
tempie.
OCHRONA DANYCH
Ochrona danych ma zastosowanie zawsze, gdy mamy do czynienia z 2
rodzajami informacji:
... to dane, które dotyczą żyjącej
osoby, którą można zidentyfikować:
•na podstawie tych danych lub
•na podstawie tych danych i innych
informacji będących w posiadaniu
administratora danych,
I obejmują wszelkie formy wyrażenia
opinii o osobie i wszelkie wskazania
intencji administratora danych lub
jakiejkolwiek innej osoby w
odniesieniu do danej osoby.
Dane osobowe
umożliwiające
identyfikację
PII
... to dane PII, zawierające
informacje dotyczące:
• pochodzenia rasowego lub
etnicznego osoby, której dane
dotyczą,
• jej poglądów politycznych,
• jej przekonań religijnych lub
innych o podobnym
charakterze,
• przynależności do związku
zawodowego,
• jej zdrowia fizycznego lub
psychicznego,
• jej życia seksualnego,
• popełnienia lub
Wrażliwe dane
osobowe
SPI
17. PRZYJAZNA GOSPODARKA BEZ WZGLĘDU NA WIEK | MOŻLIWOŚCI DLA MŚP
Nie będzie przesadą stwierdzenie, że
jesteśmy niczym więcej niż zbiorem danych
dla większości instytucji - i wielu ludzi - z
którymi mamy do czynienia.
Big data stanowią ogromne wyzwanie dla
ochrony danych - zarówno dla podmiotów
przetwarzających, jak i organów
regulacyjnych. Jednocześnie zmieniają
kontekst i podnoszą stawkę ochrony
danych.
18. Wpływ: 145 milionów użytkowników
doznało naruszenia
Szczegóły: Gigant aukcji internetowych
eBay zgłosił w maju 2014 r. cyberatak, w
którym narażone zostały nazwy, adresy,
daty urodzenia i zaszyfrowane hasła
wszystkich 145 milionów użytkowników.
Firma podała, że hakerzy dostali się do
sieci firmowej za pomocą danych
uwierzytelniających trzech pracowników
korporacyjnych i mieli pełny dostęp
wewnętrzny przez 229 dni, podczas
których mogli dotrzeć do bazy danych
użytkowników.
Wraz ze wzrostem liczby naruszeń danych opisywanych na
pierwszych stronach gazet, firmy mają powody, by poważnie
traktować bezpieczeństwo.
Wpływ: 3 miliardy kont
użytkowników
Szczegóły: We wrześniu 2013 r.
Yahoo ogłosiło, że padło ofiarą
największego naruszenia danych w
historii, prawdopodobnie przez
„sponsorowanego przez państwo
aktora” w 2014 r. Atak naruszył
prawdziwe nazwiska, adresy e-mail,
daty urodzenia i numery telefonów
500 milionów użytkowników. Firma
stwierdziła, że „ogromna większość”
haseł, jakie były narażone, były
zaszyfrowane przy użyciu solidnego
algorytmu bcrypt.
Wpływ: Informacje z kart
kredytowych/debetowych
i/lub dane kontaktowe nawet
110 milionów osób zostały
naruszone.
Szczegóły: Naruszenie danych
klientów firmy Target
rozpoczęło się przed Świętem
Dziękczynienia, ale zostało
odkryte dopiero kilka tygodni
później. Początkowo gigant
sprzedaży detalicznej ogłosił,
że hakerzy uzyskali dostęp
przez niezależnego dostawcę
HVAC do czytników kart
płatniczych w punktach
sprzedaży (POS) i zgromadzili
około 40 milionów numerów
kart kredytowych i
debetowych.cc
19. RODO
PRZYJAZNA GOSPODARKA BEZ WZGLĘDU NA WIEK | MOŻLIWOŚCI DLA MŚP
1. Podstawy RODO
2. Prawa
3. Wdrażanie RODO
Gdy zbliżaliśmy się do rewolucji przemysłowej Big Data, prawa
rządzące ich ochroną osiągnęły punkt, w którym były trochę
jak stary system operacyjny. Niezbędna była aktualizacja, gdyż
w przeciwnym razie nie nadawałyby się już do tego celu.
Każdy kraj, zaniepokojony o dane osobowe obywateli,
analitykę big data oraz bezpieczeństwo, usiłował opracować
własne prawodawstwo w celu kontroli danych. W Unii
Europejskiej firmy muszą przestrzegać przepisów RODO.
20. PRZYJAZNA GOSPODARKA BEZ WZGLĘDU NA WIEK | MOŻLIWOŚCI DLA MŚP
Ogólne rozporządzenie o
ochronie danych (RODO) to
jednolity zbiór przepisów w
całej Europie, który zapewnia
osobom fizycznym lepszą
kontrolę nad swoimi danymi
osobowymi.
RODO
Czym jest
RODO?
Dlaczego
sporządzono
rozporządze
nie w
sprawie
RODO?
Kiedy RODO
będzie
obowiązywa
ło?
Do kogo
odnosi się
RODO?
Kiedy mogę
przetwarzać
dane w
ramach
RODO?
Jakie są
konsekwenc
je braku
działania
zgodnego z
RODO?
PODSTAWY RODO
21. RODO
Czym
jest
RODO?
Dlaczego
sporządzon
o
rozporządz
enie w
sprawie
RODO?
Kiedy
RODO
będzie
obowiązyw
ało?
Do kogo
odnosi się
RODO?
Kiedy mogę
przetwarza
ć dane w
ramach
RODO?
Jakie są
konsekwen
cje braku
działania
zgodnego z
RODO?
Ogólne rozporządzenie UE w sprawie ochrony danych (RODO)
jest wynikiem czterech lat pracy UE na rzecz dostosowania
prawodawstwa dotyczącego ochrony danych do nowych,
wcześniej nieprzewidzianych sposobów wykorzystania danych.
Obecnie Wielka Brytania opiera się na ustawie o ochronie
danych z 1998 r., która została uchwalona zgodnie z unijną
dyrektywą o ochronie danych z 1995 r., ale zostanie ona
zastąpiona przez nowe przepisy. Wprowadzają one surowsze
kary za nieprzestrzeganie przepisów jak i naruszenia
przepisów, a także dają ludziom więcej do powiedzenia na
temat tego, co firmy mogą zrobić ze swoimi danymi. Dzięki
nim zasady ochrony danych są mniej więcej identyczne w
całej UE.
22. RODO
Czym jest
RODO?
Dlaczego
sporządzo
no
rozporząd
zenie w
sprawie
RODO?
Kiedy
RODO
będzie
obowiązyw
ało?
Do kogo
odnosi się
RODO?
Kiedy mogę
przetwarza
ć dane w
ramach
RODO?
Jakie są
konsekwencje
braku działania
zgodnego z
RODO?
Po pierwsze, UE chce dać ludziom
większą kontrolę nad sposobem
wykorzystywania ich danych
osobowych
Poprzez wzmocnienie prawodawstwa
w zakresie ochrony danych i
wprowadzenie bardziej
rygorystycznych środków
egzekwowania prawa UE ma nadzieję
zwiększyć zaufanie do powstającej
gospodarki cyfrowej.
Po drugie, UE chce dać
przedsiębiorstwom prostsze,
jaśniejsze otoczenie prawne, w
którym będą działać, co sprawi, że
prawo ochrony danych będzie
identyczne na całym jednolitym
rynku.
RODO będzie obowiązywało automatycznie
we wszystkich państwach członkowskich UE
od 25 maja 2018 r.
Podczas gdy przeważająca większość
specjalistów ds. bezpieczeństwa jest
świadoma wprowadzenia RODO, tylko
mniej niż połowa z nich przygotowuje się
na jego nadejście, jak wynika z ankiety
przeprowadzonej wśród 170 pracowników
cyberbezpieczeństwa przez Imperva.
Jedynie 43% ocenia wpływ RODO na ich
organizację i zmienia swoje praktyki, aby
pozostać w zgodzie z prawodawstwem
dotyczącym ochrony danych, jak stwierdza
Imperva.
Kiedy
RODO
będzie
obowiązy
wało?
23. RODO
Czym jest
RODO?
Dlaczego
sporządzon
o
rozporządz
enie w
sprawie
RODO?
Kiedy
RODO
będzie
obowiązyw
ało?
Do kogo
odnosi się
RODO?
Kiedy mogę
przetwarza
ć dane w
ramach
RODO?
Jakie są
konsekwen
cje braku
działania
zgodnego z
RODO?
„Administratorzy danych” i „podmioty przetwarzające dane”
muszą przestrzegać RODO.
Administrator danych określa, w jaki sposób i dlaczego
przetwarzane są dane osobowe, np. rząd, podczas gdy
przetwarzający jest stroną przetwarzającą dane, jak np. firma
informatyczna.
Nawet jeśli administratorzy i przetwarzający mają siedzibę
poza UE, RODO będzie nadal obowiązywało w odniesieniu do
danych należących do mieszkańców UE.
Zadaniem administratora jest zapewnienie, że przetwarzający
przestrzega przepisów o ochronie danych, a przetwarzający
muszą sami przestrzegać zasad, aby prowadzić rejestr
czynności przetwarzania. Jeśli przetwarzający wezmą udział w
naruszeniu danych, ponoszą znacznie większą
odpowiedzialność w ramach RODO niż w ramach ustawy o
ochronie danych.
24. RODO
Czym jest
RODO?
Dlaczego
sporządzon
o
rozporządz
enie w
sprawie
RODO?
Kiedy
RODO
będzie
obowiązyw
ało?
Do kogo
odnosi się
RODO?
Kiedy mogę
przetwarza
ć dane w
ramach
RODO?
Jakie są
konsekwen
cje braku
działania
zgodnego z
RODO?
Po wejściu w życie przepisów administratorzy danych muszą
zapewnić, aby dane osobowe były przetwarzane zgodnie z
prawem, przejrzyście i w określonym celu. Gdy cel ten
zostanie spełniony, a dane nie będą już potrzebne, należy je
usunąć.
Kary za naruszenie rejestrowania, bezpieczeństwa,
powiadomień o naruszeniach i oceny wpływu na prywatność
są większe i wynoszą 10 milionów USD lub 2% globalnych
przychodów brutto podmiotu.
Kary za naruszenie prawnego uzasadnienia przetwarzania
(zgody), praw osób, których dane dotyczą oraz
transgranicznych transferów danych są większe i wynoszą 20
milionów USD lub 4% globalnych przychodów brutto
jednostki.
Jakie są
konsekwencj
e braku
działania
zgodnego z
RODO?
25. PRZYJAZNA GOSPODARKA BEZ WZGLĘDU NA WIEK | MOŻLIWOŚCI DLA MŚP
PRAWA OSÓB, KTÓRYCH DANE SĄ
PRZECHOWYWANE
Kluczowa część rozporządzenia wymaga zgody osoby, której
dane są przechowywane.
Organizacje będą musiały być w stanie pokazać, jak i kiedy
uzyskano zgodę. Zgoda ta nie musi być wyraźnie podana, może
być dorozumiana przez związek osoby z firmą.
Uzyskane dane muszą jednak być przeznaczone do konkretnego,
jednoznacznego i legalnego celu.
Osoby fizyczne muszą mieć możliwość wycofania zgody w
dowolnym momencie i mają prawo do bycia zapomnianym; jeżeli
ich dane nie są już wymagane z powodów, dla których zostały
zebrane, muszą zostać usunięte.
26. PRZYJAZNA GOSPODARKA BEZ WZGLĘDU NA WIEK | MOŻLIWOŚCI DLA MŚP
Prawo do informacji
- Prawo do bycia
poinformowanym obejmuje
obowiązek przekazania
„uczciwych informacji o
przetwarzaniu”, zazwyczaj
poprzez informację o ochronie
prywatności.
- Podkreśla się potrzebę
przejrzystości w sposobie
korzystania z danych osobowych
- Osoby fizyczne
mają prawo dostępu
do swoich danych
osobowych i
informacji
uzupełniających.
- Prawo dostępu
pozwala osobom
fizycznym być
świadomym i
weryfikować
legalność
przetwarzania.
Prawo do poprawy
danych
- RODO daje osobom
fizycznym prawo do
poprawienia swoich
danych osobowych.
- Dane osobowe mogą
być poprawione, jeśli są
niedokładne lub
niekompletne.
Prawo do usunięcia
- Prawo do usunięcia jest również
znane jako „prawo do bycia
zapomnianym”.
- Szeroka zasada leżąca u podstaw
tego prawa polega na umożliwieniu
osobie fizycznej żądania usunięcia lub
usunięcia danych osobowych, jeżeli
nie ma istotnego powodu do dalszego
ich przetwarzania.
Prawo do ograniczenia
przetwarzania
- Osoby fizyczne mają prawo „zablokować”
lub powstrzymać przetwarzanie danych
osobowych.
- Gdy przetwarzanie zostało ograniczone,
istnieje możliwość przechowywania danych
osobowych, ale nie można ich dalej
przetwarzać.
- Można zachować wystarczającą ilość
informacji o osobie, aby zapewnić, że
ograniczenie będzie przestrzegane w
przyszłości.
Prawo do
przenoszenia danych
- Prawo do przenoszenia
danych umożliwia osobom
fizycznym uzyskiwanie i
ponowne wykorzystywanie
ich danych osobowych do
własnych celów w różnych
usługach.
- Pozwala im na łatwe
przenoszenie, kopiowanie
lub transfer danych
osobowych z jednego
środowiska IT do innego w
bezpieczny sposób, bez
utrudnień dla ich
użyteczności.
Prawo do sprzeciwu
Prawo do sprzeciwu
Ochrona danych daje
ludziom prawo do
sprzeciwu wobec
wykorzystania ich danych
osobowych w określonych
okolicznościach.
Masz prawo sprzeciwić się
wykorzystywaniu Twoich
danych do marketingu
bezpośredniego.
Prawa związane z automatycznym
podejmowaniem decyzji i
profilowaniem
- RODO zawiera przepisy dotyczące: zautomatyzowanego
indywidualnego podejmowania decyzji (podejmowanie
decyzji wyłącznie za pomocą zautomatyzowanych środków
bez udziału człowieka) oraz profilowania (zautomatyzowane
przetwarzanie danych osobowych w celu oceny pewnych
aspektów dotyczących osoby).
- Profilowanie może być częścią zautomatyzowanego procesu
podejmowania decyzji.
27. ŚWIADOMOŚĆ
INFORMACJE,
KTÓRE
POSIADASZ
KOMUNIKOWA
NIE INFORMACJI
DOTYCZĄCYCH
PRYWATNOŚCI
PRAWA OSÓB,
KTÓRYCH DANE SĄ
PRZECHOWYWANE
ŻĄDANIA
DOSTĘPU OD
OSÓB, KTÓRYCH
DANE SĄ
PRZECHOWYWA
NE
PODSTAWA
PRAWNA
PRZETWARZANI
A DANYCH
OSOBOWYCH
ZGODA DZIECI
NARUSZENIA
DANYCH
INSPEKTOR
OCHRONY
DANYCH
MIĘDZYNAROD
OWY
PRZYJAZNA GOSPODARKA BEZ WZGLĘDU NA WIEK | MOŻLIWOŚCI DLA MŚP
WDRAŻANIE RODO
Firmy są zobowiązane do wdrożenia odpowiednich środków technicznych i organizacyjnych w
odniesieniu do charakteru, zakresu, kontekstu i celów przetwarzania danych osobowych.
Zabezpieczenia ochrony danych muszą być zaprojektowane w obrębie produktów i usług od
najwcześniejszych etapów ich rozwoju.
12 kroków, które możesz wykonać w swojej firmie w celu wdrożenia RODO
1 2 3 4
5 6 7 8
9 11 12
28. PRZYJAZNA GOSPODARKA BEZ WZGLĘDU NA WIEK | MOŻLIWOŚCI DLA MŚP
ŚWIADOMOŚĆ
1
Powinieneś upewnić się, że
decydenci i osoby kluczowe w
Twojej organizacji są
świadomi zasad RODO i
doceniają je.
Wdrożenie RODO może mieć
znaczące skutki dla zasobów
firmy, zwłaszcza dla
większych i bardziej
złożonych organizacji.
Możesz napotkać trudności w
zachowaniu zgodności z
przepisami, jeśli pozostawisz
przygotowania na ostatnią
chwilę.
INFORMACJE, KTÓRE
POSIADASZ
2
Powinieneś udokumentować
posiadane dane osobowe, skąd
pochodzą i komu je udostępniasz.
RODO wymaga prowadzenia
rejestrów działań związanych z
przetwarzaniem.
Nie możesz potwierdzić, że dane
są poprawne lub że Twoja
organizacja przestrzega zasad,
chyba że wiesz, jakie dane
osobowe przechowujesz, skąd
pochodzą i komu je udostępniasz.
Powinieneś to udokumentować.
Pozwoli to również na
przestrzeganie zasady
odpowiedzialności RODO, która
wymaga od organizacji, aby były
w stanie pokazać, w jaki sposób
przestrzegają zasad ochrony
danych, na przykład poprzez
wprowadzenie skutecznych
polityk i procedur.
29. PRZYJAZNA GOSPODARKA BEZ WZGLĘDU NA WIEK | MOŻLIWOŚCI DLA MŚP
KOMUNIKOWANIE
INFORMACJI
DOTYCZĄCYCH
PRYWATNOŚCI
3
Powinieneś zapoznać się z
aktualnymi informacjami na temat
ochrony prywatności i opracować
plan wprowadzenia wszelkich
niezbędnych zmian na czas, w celu
wdrożenia RODO. Obecnie podczas
zbierania danych musisz podać
ludziom pewne informacje, np.
tożsamość i przeznaczenie.
Zwykle odbywa się to poprzez
Informacje o polityce
prywatności. Obecnie nałożone
zostaną dodatkowe wymagania.
PRAWA OSÓB, KTÓRYCH
DANE SĄ PRZECHOWYWANE
4
Sprawdź swoje procedury, aby
upewnić się, że obejmują one
wszystkie prawa przysługujące
osobom fizycznym.
RODO przewiduje następujące prawa
dla osób fizycznych:
- prawo do informacji;
- prawo dostępu;
- prawo do poprawy danych;
- prawo do usunięcia;
- prawo do ograniczenia
przetwarzania;
- prawo do przenoszenia danych;
- prawo do sprzeciwu; oraz
- prawo do niepodlegania
automatycznemu podejmowaniu
decyzji, w tym profilowaniu.
30. PRZYJAZNA GOSPODARKA BEZ WZGLĘDU NA WIEK | MOŻLIWOŚCI DLA MŚP
PODSTAWA PRAWNA
PRZETWARZANIA
DANYCH OSOBOWYCH
6
Powinieneś określić podstawę prawną
dla Twoich działań przetwarzania w
ramach RODO i zaktualizować
informacje o polityce prywatności, aby
to wyjaśnić.
Zgodnie z RODO prawa niektórych
osób zostaną zmodyfikowane w
zależności od podstawy prawnej
przetwarzania ich danych osobowych.
Najbardziej oczywistym przykładem
jest to, że ludzie będą mieli większe
prawo do usunięcia swoich danych w
przypadku korzystania ze zgody jako
prawnej podstawy przetwarzania.
Będziesz również musiał wyjaśnić
swoją podstawę prawną
przetwarzania danych osobowych w
Informacji o polityce prywatności
oraz w odpowiedzi na żądanie dostępu
do danych od osoby, której dane
dotyczą.
DANIA DOSTĘPU OD OSÓB,
KTÓRYCH DANE SĄ
PRZECHOWYWANE
5
Powinieneś zaktualizować swoje
procedury i zaplanować, w jaki sposób
będziesz obsługiwał żądania, z
uwzględnieniem nowych zasad:
- W większości przypadków nie
będziesz mógł pobierać opłat za
spełnienie prośby/żądania.
- Będziesz miał miesiąc na spełnienie
zasad, a nie 40 dni.
- Możesz odmówić lub nałożyć opłaty za
żądania, które są ewidentnie
bezzasadne lub przesadne.
- Jeśli odrzucisz żądanie, musisz
poinformować daną osobę dlaczego i że
ma ona prawo do złożenia skargi do
organu nadzorczego i do środka
odwoławczego.
Musisz to zrobić bez zbędnej zwłoki,
najpóźniej w ciągu jednego miesiąca.
31. PRZYJAZNA GOSPODARKA BEZ WZGLĘDU NA WIEK | MOŻLIWOŚCI DLA MŚP
ZGODA
7
Powinieneś sprawdzić, w jaki
sposób poszukujesz, rejestrujesz i
zarządzasz zgodą oraz czy musisz
wprowadzić jakiekolwiek zmiany.
Odśwież istniejące zgody teraz,
jeśli nie spełniają standardu
RODO.
Należy zapoznać się ze
wskazówkami opublikowanymi
przez ICO w sprawie zgody
spełniającej standardy RODO i
skorzystać z naszej listy kontrolnej,
aby przejrzeć swoje zasady. Zgoda
musi być dobrowolna,
konkretna, świadoma i
jednoznaczna.
DZIECI
8
Czy musisz weryfikować wiek osób?
lub uzyskać zgodę rodziców.
RODO zapewnia szczególną ochronę
danych osobowych dzieci, zwłaszcza w
kontekście komercyjnych usług
internetowych, takich jak sieci
społecznościowe.
RODO określa wiek, w którym dziecko
może wyrazić zgodę na przetwarzanie
danych na 16 lat. Jeśli dziecko jest
młodsze, musisz uzyskać zgodę osoby
posiadającej „odpowiedzialność
rodzicielską”. Może to mieć istotne
skutki, jeśli Twoja organizacja oferuje
dzieciom usługi online i zbiera ich dane
osobowe.
32. PRZYJAZNA GOSPODARKA BEZ WZGLĘDU NA WIEK | MOŻLIWOŚCI DLA MŚP
NARUSZENIA DANYCH
9
Powinieneś upewnić się, że masz
odpowiednie procedury do wykrywania,
zgłaszania i badania naruszenia danych
osobowych.
RODO nakłada na wszystkie organizacje
obowiązek zgłaszania określonych
rodzajów naruszenia danych do ICO, a w
niektórych przypadkach osobom
fizycznym
Powinieneś wprowadzić procedury w celu
skutecznego wykrywania, zgłaszania i
badania naruszenia danych osobowych.
Możesz ocenić rodzaje przechowywanych
danych osobowych i udokumentować, w
jakich sytuacjach byłbyś zobowiązany
powiadomić ICO lub osoby, których
dotyczy problem, gdyby nastąpiło
naruszenie. Większe organizacje będą
musiały opracować zasady i procedury
zarządzania naruszeniami danych. Brak
zgłoszenia naruszenia, gdy jest to
wymagane, może skutkować grzywną, a
także grzywną za samo naruszenie.
INSPEKTOR
OCHRONY DANYCH
10
Powinieneś wyznaczyć kogoś do wzięcia
odpowiedzialności za przestrzeganie
ochrony danych.
Może być konieczne wyznaczenie
inspektora ochrony danych
Najważniejsze jest, aby ktoś w Twojej
organizacji lub zewnętrzny doradca ds.
ochrony danych ponosił właściwą
odpowiedzialność za zgodność z
przepisami dotyczącymi ochrony danych i
posiadał wiedzę, wsparcie i uprawnienia
do skutecznego wykonywania swojej roli.
33. PRZYJAZNA GOSPODARKA BEZ WZGLĘDU NA WIEK | MOŻLIWOŚCI DLA MŚP
INSPEKTOR OCHRONY
DANYCH
11
Powinieneś rozważyć, czy musisz
oficjalnie wyznaczyć inspektora ochrony
danych (DPO - IOD). Musisz wyznaczyć
IOD, jeśli stanowisz:
- organ publiczny (z wyjątkiem sądów
działających w charakterze sądowym);
- organizacją, która prowadzi regularne i
systematyczne monitorowanie osób
fizycznych na dużą skalę; lub
- organizacją, która przeprowadza
przetwarzanie na dużą skalę specjalnych
kategorii danych, takich jak
dokumentacja medyczna lub informacje o
wyrokach karnych. Grupa robocza art. 29
opracowała wytyczne dla organizacji
dotyczące wyznaczania, stanowiska oraz
zadań inspektorów ochrony danych.
MIĘDZYNARODOWY
12
Jeśli Twoja organizacja działa w więcej niż
jednym państwie członkowskim UE,
powinieneś określić swój główny organ
nadzoru ochrony danych i
udokumentować to.
Organem wiodącym jest organ nadzorczy
w kraju, w którym znajduje się Twoja
główna siedziba. Twój zakład główny
prowadzenia działalności to miejsce, w
którym znajduje się administracja
centralna w UE, lub lokalizacja, w której
podejmowane są i wdrażane decyzje
dotyczące celów i środków przetwarzania.
.
34. PRZYJAZNA GOSPODARKA BEZ WZGLĘDU NA WIEK | MOŻLIWOŚCI DLA MŚP
Niezależnie od ilości danych, z którymi
mają do czynienia, ważne jest, aby firmy
dobrze rozumiały, gdzie znajdują się ich
dane, jak są przechowywane i kto ma do
nich dostęp. RODO pojawia się w
momencie, gdy oczekiwania klientów
nigdy nie były wyższe pod względem
dochowania prywatności ich danych.
Przywrócenie władzy do rąk klientów
może służyć tylko firmom, które na nich
polegają, pomagając budować o wiele
bardziej pozytywne relacje i wzbudzać
zaufanie konsumentów.
35. GLOSARIUSZ PRAWNY
DANE OSOBOWE
Wszelkie informacje dotyczące osoby, która może zostać
zidentyfikowana, bezpośrednio lub pośrednio, w szczególności przez
odniesienie do identyfikatora, takiego jak nazwisko, numer
identyfikacyjny, dane dotyczące lokalizacji, identyfikatora online lub
jednego lub większej ilości czynników specyficznych dla fizycznej,
fizjologicznej, genetycznej, psychicznej, ekonomicznej, kulturowej lub
społecznej tożsamości tej osoby.
ADMINISTRATORZY
Właściciele danych, którzy są odpowiedzialni za ochronę danych i
zapewnienie, że podmioty przetwarzające działają zgodnie z
przepisami.
PODMIOTY PRZETWARZAJĄCE
Pracują z danymi i mają obowiązek podejmowania odpowiedzialnych
działań w zakresie pracy z danymi. Związek między Administratorami a
Podmiotami przetwarzającymi musi być udokumentowany.
PROFILOWANIE
Wszelkie automatyczne przetwarzanie danych osobowych w celu
określenia pewnych kryteriów dotyczących osoby.
NARUSZENIE I POWIADOMIENIE
Naruszenie bezpieczeństwa prowadzące do przypadkowego lub
niezgodnego z prawem zniszczenia, utraty, zmiany,
nieuprawnionego ujawnienia lub dostępu do danych osobowych
przekazywanych, przechowywanych lub w inny sposób
przetwarzanych.
ŻĄDANIA DOSTĘPU OD OSÓB, KTÓRYCH DANE SĄ
PRZECHOWYWANE
Prawo osoby fizycznej do zrozumienia, co jest przechowywane i jak
jest używane.
INSPEKTOR OCHRONY DANYCH
Władze publiczne, które posiadają wiedzę ekspercką na temat
przepisów dotyczących ochrony danych. Zajmują się
przetwarzaniem na dużą skalę specjalnych typów danych