SlideShare a Scribd company logo

Rodo bezpieczenstwo _dla_pracownikow

Download as PPTX, PDF
Szymon Konkol - Publikacje Cyfrowe
Szymon Konkol - Publikacje Cyfrowe

Kurs RODO

Education
1 of 27
Bezpieczeństwo danych przede wszystkim - jakie środki ochrony powinni stosować pracownicy?
Podstawa prawna • rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE. L Nr 119, str. 1) EDICUS Ochrona Danych Osobowych
Wstęp Bezpieczeństwo danych osobowych oznacza przede wszystkim ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem. Pracodawca wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. RODO wskazuje m.in. na: • pseudonimizację i szyfrowanie danych osobowych; • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. To jednak nie jedyne możliwe środki bezpieczeństwa. EDICUS Ochrona Danych Osobowych
Rodzaje środków bezpieczeństwa O tym, jakie środki bezpieczeństwa danych osobowych są stosowane w danym zakładzie pracy, decyduje pracodawca. Decyzja w tym zakresie jest poprzedzana przeprowadzeniem analizy ryzyka. Nie w każdym zakładzie pracy środki te będą więc takie same. Można wyróżnić następujące środki bezpieczeństwa: • prawne – regulacje prawne wewnątrzzakładowe, obowiązujące u administratora danych osobowych, • organizacyjne – rozwiązania administracyjne, • techniczne: a) informatyczne – środki elektroniczne służące zachowaniu bezpieczeństwa i integralności przetwarzanych danych, b) fizyczne.
Środki prawne Pracownik musi przestrzegać przepisów wewnątrzzakładowych przyjętych u danego pracodawcy. Środkami prawnymi służącymi bezpieczeństwu przetwarzanych danych mogą być: • polityka prywatności, • instrukcja zarządzania systemem informatycznym, • polityka czystego biurka i czystego ekranu, • ewidencja osób upoważnionych do przetwarzania danych osobowych, • wykaz budynków i pomieszczeń gdzie przetwarza się dane osobowe, • wykaz systemów i programów używanych do przetwarzania danych osobowych. EDICUS Ochrona Danych Osobowych
Środki prawne • Przyjęte wewnątrzzakładowe akty prawne mogą nosić inne nazwy. Niezależnie od użytego nazewnictwa pracownicy mają obowiązek ich przestrzegania, pod warunkiem, że te akty są zgodne z RODO. • Uwaga! Polityka bezpieczeństwa, instrukcja zarządzania systemem informatycznym przyjęte przed 25 maja 2018 r. mogą nadal obowiązywać, jeżeli są zgodne z RODO. Pracownicy są zobowiązani do ich przestrzegania. EDICUS Ochrona Danych Osobowych
Środki organizacyjne • Nie każdy pracownik może mieć dostęp w równym stopniu do wszystkich danych osobowych. • Pracodawca określa, którzy pracownicy mogą odczytywać lub zapisywać konkretne dane osobowe, np.: pracownik sekretariatu może mieć dostęp do danych z książki kontaktowej w postaci imion, nazwisk, firm i adresów - do danych wykonawców czy serwisu).
Środki organizacyjne • Pracownik może przetwarzać dane osobowe tylko w takim zakresie, w jakim został upoważniony przez pracodawcę. • Przez przetwarzanie należy rozumieć wszelkie operacje wykonywane na danych osobowych. Chodzi tu więc np. o zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie czy usuwanie. • Przetwarzanie danych bez odpowiedniego upoważnienia lub z przekroczeniem jego zakresu stanowi naruszenie, które powinno zostać zgłoszone pracodawcy i IOD (w zależności od ustaleń w danym zakładzie pracy). EDICUS Ochrona Danych Osobowych
Środki organizacyjne Pracownicy powinni stosować się do wewnątrzzakładowych wytycznych regulujących np. następujące kwestie: • do czego i kto się może logować, • kto ma dostęp do jakich kluczy, • kto przyznaje uprawnienia do poszczególnych systemów (np. finansowo- księgowego, danych o nieobecnościach), • jak postępować w sytuacji naruszenia bezpieczeństwa danych osobowych (np. stwierdzenia wykradzenia danych logowania do systemów IT), • jak często należy zmieniać hasła dostępu do systemów informatycznych. EDICUS Ochrona Danych Osobowych
Środki informatyczne • Bez stosownego upoważnienia pracownicy nie mogą mieć również dostępu do systemów i sieci teleinformatycznych. • Pracownicy powinni przestrzegać również następujących reguł (jeżeli zostały wprowadzone): a) szyfrowanie nośników pamięci, b) okres przechowywania elektronicznych nośników informacji zawierających dane osobowe, c) sporządzanie kopii zapasowych, d) szyfrowanie wiadomości e-mail, e) obowiązek zainstalowania oprogramowania antywirusowego na komputerze służbowym lub prywatnym używanym do celów służbowych.
Środki fizyczne • Środkami ochrony fizycznej są środki chroniące pomieszczenia, sprzęt, infrastrukturę czy nawet sam personel administratora danych osobowych. • Ochrona również dotyczy zdarzeń mogących zaistnieć fizycznie i realnie: wandalizm, kradzież, włamanie, klęska żywiołowa, terroryzm, podszycie się pod pracownika administratora danych osobowych. • Środki fizyczne powinny chronić wszelkie rzeczywiście istniejące w przestrzeni obiekty, służące do przetwarzania danych osobowych lub biorące udział w takim przetwarzaniu. EDICUS Ochrona Danych Osobowych
Środki fizyczne Fizyczne środki bezpieczeństwa danych osobowych możemy podzielić na: a) pasywne – zapobiegające albo opóźniające zagrożenia, np. ogrodzenie, zamek, zasuwa, łańcuch, krata, sejf, kasetka, Kensington Lock, b) aktywne – wykrywające zagrożenia albo im przeciwdziałające, np. monitoring audio/wideo, nadajnik GPS, czujki ruchu, alarm przeciwwłamaniowy, czytnik biometryczny (poniekąd jest to zabezpieczenie także pasywne), system gaśniczy.
Środki fizyczne Z jakimi środkami fizycznymi mogą spotkać się pracownicy? • przechowywanie danych w pomieszczeniu zabezpieczonym drzwiami zwykłymi (niewzmacnianymi, nie przeciwpożarowymi); • przechowywanie danych w pomieszczeniu zabezpieczonym drzwiami o podwyższonej odporności ogniowej; • przechowywanie danych w pomieszczeniu zabezpieczonym drzwiami o podwyższonej odporności na włamanie; • przechowywanie danych w pomieszczeniu, w którym okna zabezpieczone są za pomocą krat, rolet lub folii antywłamaniowej; • przechowywanie danych w pomieszczeniu wyposażonym w system alarmowy przeciwwłamaniowy; • przechowywanie danych w pomieszczeniu objętym systemem kontroli dostępu; EDICUS Ochrona Danych Osobowych
Środki fizyczne Z jakimi środkami fizycznymi mogą spotkać się pracownicy? • przechowywanie danych w pomieszczeniu kontrolowanym przez system monitoringu z zastosowaniem kamer przemysłowych; • przechowywanie danych w pomieszczeniu, które w czasie nieobecności zatrudnionych tam pracowników jest nadzorowane przez służbę ochrony; • przechowywanie danych w pomieszczeniu, które przez cała dobę jest nadzorowane przez służbę ochrony; • przechowywanie danych w zamkniętej niemetalowej szafie; • przechowywanie danych w zamkniętej metalowej szafie; • przechowywanie danych w zamkniętym sejfie lub kasie pancernej; EDICUS Ochrona Danych Osobowych
Środki fizyczne Z jakimi środkami fizycznymi mogą spotkać się pracownicy? • przechowywanie kopii zapasowych lub archiwalnych zbioru danych osobowych w zamkniętej niemetalowej szafie; • przechowywanie kopii zapasowych lub archiwalnych zbioru danych osobowych w zamkniętej metalowej szafie; • przechowywanie kopii zapasowych lub archiwalnych zbioru danych osobowych w zamkniętym sejfie lub kasie pancernej; • przetwarzanie danych w kancelarii tajnej, prowadzonej zgodnie z wymogami określonymi w odrębnych przepisach; • przechowywanie danych w pomieszczeniu zabezpieczonym przed skutkami pożaru za pomocą systemu przeciwpożarowego lub wolnostojącej gaśnicy; • niszczenie dokumentów zawierających dane osobowe po ustaniu przydatności w sposób mechaniczny za pomocą niszczarek dokumentów.
Środki fizyczne Wpływ na bezpieczeństwo przetwarzania danych mają także procesy takie jak usuwanie danych, pseudonimizacja i anonimizacja. Należy odróżniać te pojęcia. • Usuwanie danych Dane osobowe powinny zostać usunięte bezzwłocznie, jeżeli są zbędne do realizacji celu, dla którego zostały zebrane. Dane powinny być więc usunięte kiedy nie są już potrzebne w kontekście celu dla którego zostały pobrane - kiedy administrator nie ma prawa przetwarzać danych osobowych. Usunięcie danych oznacza definitywne wykasowanie danych z wszelkich nośników danych, w tym także z kopii zapasowych. Obowiązkiem usuwania danych mogą być obarczeni pracownicy. EDICUS Ochrona Danych Osobowych
Środki fizyczne • Anonimizacja Jeżeli pracodawca nie ma już podstawy prawnej do przetwarzania danych osobowych (np. z powodu przedawnienia) ale z jakichś przyczyn chce zachować umowy, może te umowy zmodyfikować przez usunięcie danych osobowych z treści umów (wyczernienie, wykreślenie, wycięcie w sposób trwale uniemożliwiający odczytanie danych). Obowiązek wykonywania czynności anonimizacyjnych może zostać nałożony na pracowników. EDICUS Ochrona Danych Osobowych
Środki fizyczne • Pseudonimizacja O ile usunięcie danych osobowych czy to poprzez zniszczenie dokumentu czy anonimizację prowadzi do całkowitej niemożności odtworzenia tożsamości danych osobowych, o tyle spseudonimizowane dane osobowe to takie dane, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej. Po pseudonimizacji mamy więc nadal do czynienia z informacjami o możliwej do zidentyfikowania osobie fizycznej. EDICUS Ochrona Danych Osobowych
Przykłady naruszeń bezpieczeństwa • Pracownik pozostawił dokumenty na biurku mimo, że w danym momencie nie były mu niezbędne do przechowywania zadań. W konsekwencji dostęp do tych danych uzyskała osoba postronna lub inny pracownik, który nie był upoważniony do przetwarzania danych osobowych. • Pracownik pozostawił niewyłączony komputer służbowy na terenie firmy, wskutek czego dostęp do danych osobowych zgromadzonych na tym komputerze zyskała osoba postronna. • Pracownik był upoważniony wyłącznie do przetwarzania danych osobowych klientów. Z uwagi na doświadczenie w sprawach kadrowo-płacowych w dniu 29 października bez wiedzy pracodawcy pełnił „zastępstwo koleżeńskie” za pracownika działu kadr, zyskując tym samym dostęp do danych osobowych innych pracowników – mimo braku stosownego upoważnienia w tym zakresie.
Przykłady naruszeń bezpieczeństwa • Pracownik zaniechał instalacji oprogramowania antywirusowego i firewalla na komputerze prywatnym używanym do celów służbowych, wskutek czego doszło do wykradnięcia danych osobowych klientów. • Pracownik omyłkowo wysłał wiadomość e-mail do osoby, która nie była uprawniona do dostępu do danych osobowych zawartych w tej wiadomości. Dane te nie były zaszyfrowane, mimo, że tak przewidywała obowiązująca u pracodawcy polityka bezpieczeństwa. • Pracownik wysłał tę samą wiadomość e-mail do kilku odbiorców, wpisując w polu: „adresaci” wszystkie adresy e-mail, wskutek czego każdy z odbiorców ma możliwość podglądu adresu skrzynki mailowej innych odbiorców (a adresy te pozwalają na identyfikację osób fizycznych, przez co stanowią dane osobowe). • Pracownik miał wykonać anonimizację danych w niektórych dokumentach. Zdecydował się na użycie korektora, przez co dane nadal można było odczytać. EDICUS Ochrona Danych Osobowych
Przykłady naruszeń bezpieczeństwa • Podczas sprzątania biura pracownik omyłkowo wraz z makulaturą wyrzucił do kosza archiwalne dokumenty zawierające dane osobowe. Nie doszło więc do zniszczenia tych danych i niestety stały się one dostępne dla nieuprawnionych. • Pracownik nie zamknął pomieszczenia z dokumentacją zawierającą dane osobowe na klucz, wskutek czego dostęp do pomieszczenia mogły zyskać osoby postronne. • Pracownik wyniósł bez zgody pracodawcy dokumenty zawierające dane osobowe poza firmę. • Pracownik trzymał na biurku kartkę z loginem i hasłem do wewnątrzzakładowego oprogramowania zawierającego dane osobowe. Kartka była widoczna dla osób postronnych. EDICUS Ochrona Danych Osobowych
Jak postąpić w przypadku naruszenia? • Szczegółowy tryb postępowania w przypadku naruszenia bezpieczeństwa danych osobowych powinny określać przepisy wewnątrzzakładowe (np. procedura postępowania w przypadku naruszeń ochrony danych osobowych). • Jest jednak oczywiste, że każdy pracownik w przypadku stwierdzenia podejrzenia naruszenia przepisów bezpieczeństwa powinien niezwłocznie zawiadomić o tym pracodawcę, ewentualnie także inspektora ochrony danych. • Pracownik powinien również pozostawić miejsca zdarzenia w stanie nienaruszonym do czasu przybycia inspektora ochrony danych lub innej osoby uprawnionej. • Należy działać niezwłocznie, gdyż administrator danych osobowych ma co do zasady 72 godziny na zgłoszenie naruszenia do Prezesa UODO. EDICUS Ochrona Danych Osobowych
Sankcje W przypadku naruszeń w zakresie zabezpieczenia danych osobowych pracodawca musi liczyć się z sankcjami w postaci: • administracyjnych kar pieniężnych, • odpowiednich środków nakładanych na mocy RODO przez organ nadzorczy (Prezesa UODO), • upomnienia. Uwaga! Sankcje nie są wymierzane poszczególnym pracownikom, lecz pracodawcy jako administratorowi danych osobowych.
Sankcje Pracownik musi jednak liczyć się z odpowiedzialnością za spowodowanie naruszenia ochrony danych osobowych w zakładzie pracy: • Odpowiedzialność materialna Jeżeli przez naruszenie doszło do wyrządzenia szkody pracodawcy (pracodawca został obciążony karą pieniężną przez Prezesa UODO lub musiał zapłacić odszkodowanie podmiotowi danych), wówczas w trybie roszczenia regresowego pracodawca może zażądać odszkodowania od pracownika. W przypadku wyrządzenia szkody z winy nieumyślnej odszkodowanie nie może przekraczać równowartości 3-miesięcznego wynagrodzenia pracownika. EDICUS Ochrona Danych Osobowych
Sankcje Pracownik musi jednak liczyć się z odpowiedzialnością za spowodowanie naruszenia ochrony danych osobowych w zakładzie pracy: • Odpowiedzialność porządkowa Nawet jeśli pracodawca nie został ukarany za naruszenie ochrony danych osobowych spowodowanych przez pracownika, to i tak pracownik może zostać ukarany karą porządkową upomnienia lub nagany za naruszenie porządku pracy. Kara ulega zatarciu (usunięciu z akt osobowych pracownika) po roku nienagannej pracy. EDICUS Ochrona Danych Osobowych
Sankcje Pracownik musi jednak liczyć się z odpowiedzialnością za spowodowanie naruszenia ochrony danych osobowych w zakładzie pracy: • Zwolnienie dyscyplinarne W skrajnych przypadkach, jeżeli uchybienie pracownika będzie nosiło znamiona ciężkiego naruszenia podstawowych obowiązków pracowniczych, pracodawca może rozwiązać z pracownikiem umowę o pracę bez wypowiedzenia. Ta sankcja może być stosowana w skrajnych przypadkach, np. gdy uchybienie spowodowało wyciek danych osobowych na dużą skalę.
Dziękujemy za uwagę

Recommended

Rodo reakcja na_naruszenia
Rodo reakcja na_naruszeniaRodo reakcja na_naruszenia
Rodo reakcja na_naruszeniaSzymon Konkol - Publikacje Cyfrowe
 
Rodo podstawy przetwarzania_danych_ dla pracownikow
Rodo podstawy przetwarzania_danych_ dla pracownikowRodo podstawy przetwarzania_danych_ dla pracownikow
Rodo podstawy przetwarzania_danych_ dla pracownikowSzymon Konkol - Publikacje Cyfrowe
 
Pytania RODO do prezentacji
Pytania RODO do prezentacjiPytania RODO do prezentacji
Pytania RODO do prezentacjiSzymon Konkol - Publikacje Cyfrowe
 
Prezentacja o ochronie danych osobowych
Prezentacja o ochronie danych osobowychPrezentacja o ochronie danych osobowych
Prezentacja o ochronie danych osobowychSzkoleniaCognity
 
ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)
ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)
ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)PwC Polska
 
General Data Protection Regulation
General Data Protection RegulationGeneral Data Protection Regulation
General Data Protection RegulationBCC - Solutions for IBM Collaboration Software
 
GDPR Basics - General Data Protection Regulation
GDPR Basics - General Data Protection RegulationGDPR Basics - General Data Protection Regulation
GDPR Basics - General Data Protection RegulationVicky Dallas
 
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...Wellington Monaco
 

Recommended

Rodo reakcja na_naruszenia
Rodo reakcja na_naruszeniaRodo reakcja na_naruszenia
Rodo reakcja na_naruszeniaSzymon Konkol - Publikacje Cyfrowe
 
Rodo podstawy przetwarzania_danych_ dla pracownikow
Rodo podstawy przetwarzania_danych_ dla pracownikowRodo podstawy przetwarzania_danych_ dla pracownikow
Rodo podstawy przetwarzania_danych_ dla pracownikowSzymon Konkol - Publikacje Cyfrowe
 
Pytania RODO do prezentacji
Pytania RODO do prezentacjiPytania RODO do prezentacji
Pytania RODO do prezentacjiSzymon Konkol - Publikacje Cyfrowe
 
Prezentacja o ochronie danych osobowych
Prezentacja o ochronie danych osobowychPrezentacja o ochronie danych osobowych
Prezentacja o ochronie danych osobowychSzkoleniaCognity
 
ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)
ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)
ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)PwC Polska
 
General Data Protection Regulation
General Data Protection RegulationGeneral Data Protection Regulation
General Data Protection RegulationBCC - Solutions for IBM Collaboration Software
 
GDPR Basics - General Data Protection Regulation
GDPR Basics - General Data Protection RegulationGDPR Basics - General Data Protection Regulation
GDPR Basics - General Data Protection RegulationVicky Dallas
 
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...Wellington Monaco
 
Szkolenie okresowe BHP dla pracowników administracyjno-biurowych
Szkolenie okresowe BHP dla pracowników administracyjno-biurowychSzkolenie okresowe BHP dla pracowników administracyjno-biurowych
Szkolenie okresowe BHP dla pracowników administracyjno-biurowychLenaxCSD
 
Everything you Need to Know about The Data Protection Officer Role
Everything you Need to Know about The Data Protection Officer Role Everything you Need to Know about The Data Protection Officer Role
Everything you Need to Know about The Data Protection Officer Role HackerOne
 
LGPD e Segurança da Informação
LGPD e Segurança da InformaçãoLGPD e Segurança da Informação
LGPD e Segurança da InformaçãoRicardoCrdobaBaptist
 
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados Pessoais
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados PessoaisDicas básicas sobre LGPD - Lei Geral de Proteção de Dados Pessoais
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados PessoaisRosalia Ometto
 
General Data Protection Regulations (GDPR): Do you understand it and are you ...
General Data Protection Regulations (GDPR): Do you understand it and are you ...General Data Protection Regulations (GDPR): Do you understand it and are you ...
General Data Protection Regulations (GDPR): Do you understand it and are you ...Cvent
 
BigID GDPR Compliance Automation Webinar Slides
BigID GDPR Compliance Automation Webinar SlidesBigID GDPR Compliance Automation Webinar Slides
BigID GDPR Compliance Automation Webinar SlidesDimitri Sirota
 
Cartilha lgpd anahp
Cartilha lgpd anahpCartilha lgpd anahp
Cartilha lgpd anahpJarbasSouza7
 
GDPR Demystified
GDPR DemystifiedGDPR Demystified
GDPR DemystifiedSPIN Chennai
 
Privacidade By Design
Privacidade By DesignPrivacidade By Design
Privacidade By DesignDouglas Siviotti
 
LGPD - Lei Geral de Protecao de Dados Pessoais
LGPD - Lei Geral de Protecao de Dados PessoaisLGPD - Lei Geral de Protecao de Dados Pessoais
LGPD - Lei Geral de Protecao de Dados PessoaisEliézer Zarpelão
 
An Overview of GDPR
An Overview of GDPR An Overview of GDPR
An Overview of GDPR The Pathway Group
 
Lei geral de proteção de dados por Kleber Silva e Ricardo Navarro (Pise4)
Lei geral de proteção de dados por Kleber Silva e Ricardo Navarro (Pise4)Lei geral de proteção de dados por Kleber Silva e Ricardo Navarro (Pise4)
Lei geral de proteção de dados por Kleber Silva e Ricardo Navarro (Pise4)Joao Galdino Mello de Souza
 
LGPD Lei Geral de Proteção de Dados Pessoais
LGPD Lei Geral de Proteção de Dados PessoaisLGPD Lei Geral de Proteção de Dados Pessoais
LGPD Lei Geral de Proteção de Dados PessoaisDouglas Siviotti
 
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...Wellington Monaco
 
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...Wellington Monaco
 
LGPD e a Gestão de Recuesos Humanos.pptx
LGPD e a Gestão de Recuesos Humanos.pptxLGPD e a Gestão de Recuesos Humanos.pptx
LGPD e a Gestão de Recuesos Humanos.pptxJacsonSouza10
 
LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...Wellington Monaco
 
kvkk sunum
kvkk sunumkvkk sunum
kvkk sunumBilgi İşlem
 
General Data Protection Regulation (GDPR)
General Data Protection Regulation (GDPR)General Data Protection Regulation (GDPR)
General Data Protection Regulation (GDPR)Extentia Information Technology
 
General Data Protection Regulation (GDPR)
General Data Protection Regulation (GDPR) General Data Protection Regulation (GDPR)
General Data Protection Regulation (GDPR) Kimberly Simon MBA
 
Rodo prezentacja dla_pracownikow (1)
Rodo prezentacja dla_pracownikow (1)Rodo prezentacja dla_pracownikow (1)
Rodo prezentacja dla_pracownikow (1)Szymon Konkol - Publikacje Cyfrowe
 
IT w RODO - praktyczne informacje.
IT w RODO - praktyczne informacje.IT w RODO - praktyczne informacje.
IT w RODO - praktyczne informacje.Tomasz Janas
 

More Related Content

What's hot

Szkolenie okresowe BHP dla pracowników administracyjno-biurowych
Szkolenie okresowe BHP dla pracowników administracyjno-biurowychSzkolenie okresowe BHP dla pracowników administracyjno-biurowych
Szkolenie okresowe BHP dla pracowników administracyjno-biurowychLenaxCSD
 
Everything you Need to Know about The Data Protection Officer Role
Everything you Need to Know about The Data Protection Officer Role Everything you Need to Know about The Data Protection Officer Role
Everything you Need to Know about The Data Protection Officer Role HackerOne
 
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados Pessoais
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados PessoaisDicas básicas sobre LGPD - Lei Geral de Proteção de Dados Pessoais
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados PessoaisRosalia Ometto
 
General Data Protection Regulations (GDPR): Do you understand it and are you ...
General Data Protection Regulations (GDPR): Do you understand it and are you ...General Data Protection Regulations (GDPR): Do you understand it and are you ...
General Data Protection Regulations (GDPR): Do you understand it and are you ...Cvent
 
BigID GDPR Compliance Automation Webinar Slides
BigID GDPR Compliance Automation Webinar SlidesBigID GDPR Compliance Automation Webinar Slides
BigID GDPR Compliance Automation Webinar SlidesDimitri Sirota
 
Cartilha lgpd anahp
Cartilha lgpd anahpCartilha lgpd anahp
Cartilha lgpd anahpJarbasSouza7
 
LGPD - Lei Geral de Protecao de Dados Pessoais
LGPD - Lei Geral de Protecao de Dados PessoaisLGPD - Lei Geral de Protecao de Dados Pessoais
LGPD - Lei Geral de Protecao de Dados PessoaisEliézer Zarpelão
 
Lei geral de proteção de dados por Kleber Silva e Ricardo Navarro (Pise4)
Lei geral de proteção de dados por Kleber Silva e Ricardo Navarro (Pise4)Lei geral de proteção de dados por Kleber Silva e Ricardo Navarro (Pise4)
Lei geral de proteção de dados por Kleber Silva e Ricardo Navarro (Pise4)Joao Galdino Mello de Souza
 
LGPD Lei Geral de Proteção de Dados Pessoais
LGPD Lei Geral de Proteção de Dados PessoaisLGPD Lei Geral de Proteção de Dados Pessoais
LGPD Lei Geral de Proteção de Dados PessoaisDouglas Siviotti
 
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...Wellington Monaco
 
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...Wellington Monaco
 
LGPD e a Gestão de Recuesos Humanos.pptx
LGPD e a Gestão de Recuesos Humanos.pptxLGPD e a Gestão de Recuesos Humanos.pptx
LGPD e a Gestão de Recuesos Humanos.pptxJacsonSouza10
 
LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...Wellington Monaco
 
General Data Protection Regulation (GDPR)
General Data Protection Regulation (GDPR) General Data Protection Regulation (GDPR)
General Data Protection Regulation (GDPR) Kimberly Simon MBA
 

What's hot (20)

Szkolenie okresowe BHP dla pracowników administracyjno-biurowych
Szkolenie okresowe BHP dla pracowników administracyjno-biurowychSzkolenie okresowe BHP dla pracowników administracyjno-biurowych
Szkolenie okresowe BHP dla pracowników administracyjno-biurowych
 
Everything you Need to Know about The Data Protection Officer Role
Everything you Need to Know about The Data Protection Officer Role Everything you Need to Know about The Data Protection Officer Role
Everything you Need to Know about The Data Protection Officer Role
 
LGPD e Segurança da Informação
LGPD e Segurança da InformaçãoLGPD e Segurança da Informação
LGPD e Segurança da Informação
 
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados Pessoais
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados PessoaisDicas básicas sobre LGPD - Lei Geral de Proteção de Dados Pessoais
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados Pessoais
 
General Data Protection Regulations (GDPR): Do you understand it and are you ...
General Data Protection Regulations (GDPR): Do you understand it and are you ...General Data Protection Regulations (GDPR): Do you understand it and are you ...
General Data Protection Regulations (GDPR): Do you understand it and are you ...
 
BigID GDPR Compliance Automation Webinar Slides
BigID GDPR Compliance Automation Webinar SlidesBigID GDPR Compliance Automation Webinar Slides
BigID GDPR Compliance Automation Webinar Slides
 
Cartilha lgpd anahp
Cartilha lgpd anahpCartilha lgpd anahp
Cartilha lgpd anahp
 
GDPR Demystified
GDPR DemystifiedGDPR Demystified
GDPR Demystified
 
Privacidade By Design
Privacidade By DesignPrivacidade By Design
Privacidade By Design
 
LGPD - Lei Geral de Protecao de Dados Pessoais
LGPD - Lei Geral de Protecao de Dados PessoaisLGPD - Lei Geral de Protecao de Dados Pessoais
LGPD - Lei Geral de Protecao de Dados Pessoais
 
An Overview of GDPR
An Overview of GDPR An Overview of GDPR
An Overview of GDPR
 
Lei geral de proteção de dados por Kleber Silva e Ricardo Navarro (Pise4)
Lei geral de proteção de dados por Kleber Silva e Ricardo Navarro (Pise4)Lei geral de proteção de dados por Kleber Silva e Ricardo Navarro (Pise4)
Lei geral de proteção de dados por Kleber Silva e Ricardo Navarro (Pise4)
 
LGPD Lei Geral de Proteção de Dados Pessoais
LGPD Lei Geral de Proteção de Dados PessoaisLGPD Lei Geral de Proteção de Dados Pessoais
LGPD Lei Geral de Proteção de Dados Pessoais
 
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
 
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...
 
LGPD e a Gestão de Recuesos Humanos.pptx
LGPD e a Gestão de Recuesos Humanos.pptxLGPD e a Gestão de Recuesos Humanos.pptx
LGPD e a Gestão de Recuesos Humanos.pptx
 
LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
 
kvkk sunum
kvkk sunumkvkk sunum
kvkk sunum
 
General Data Protection Regulation (GDPR)
General Data Protection Regulation (GDPR)General Data Protection Regulation (GDPR)
General Data Protection Regulation (GDPR)
 
General Data Protection Regulation (GDPR)
General Data Protection Regulation (GDPR) General Data Protection Regulation (GDPR)
General Data Protection Regulation (GDPR)
 

Similar to Rodo bezpieczenstwo _dla_pracownikow

IT w RODO - praktyczne informacje.
IT w RODO - praktyczne informacje.IT w RODO - praktyczne informacje.
IT w RODO - praktyczne informacje.Tomasz Janas
 
Monitorowanie systemów IT | Zmiany w Ustawie o Ochronie Danych Osobowych
Monitorowanie systemów IT | Zmiany w Ustawie o Ochronie Danych OsobowychMonitorowanie systemów IT | Zmiany w Ustawie o Ochronie Danych Osobowych
Monitorowanie systemów IT | Zmiany w Ustawie o Ochronie Danych OsobowychAgata Maron
 
Zabezpieczenie danych w firmie
Zabezpieczenie danych w firmieZabezpieczenie danych w firmie
Zabezpieczenie danych w firmieTremark Sp. z. o.o
 
Cognity: Kurs Ochrona Danych Osobowych - bezpieczeństwo danych w systemach in...
Cognity: Kurs Ochrona Danych Osobowych - bezpieczeństwo danych w systemach in...Cognity: Kurs Ochrona Danych Osobowych - bezpieczeństwo danych w systemach in...
Cognity: Kurs Ochrona Danych Osobowych - bezpieczeństwo danych w systemach in...COGNITY Szkolenia
 
Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowych
Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowychObowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowych
Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowychSpodek 2.0
 
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODOWebinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODOngopl
 
Ochrona danych osobowych w hospicjum
Ochrona danych osobowych w hospicjumOchrona danych osobowych w hospicjum
Ochrona danych osobowych w hospicjumFundacja HPE
 
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPROIDEA
 
Cyberbezpieczeństwo w chmurze obliczeniowej
Cyberbezpieczeństwo w chmurze obliczeniowejCyberbezpieczeństwo w chmurze obliczeniowej
Cyberbezpieczeństwo w chmurze obliczeniowejMicrosoft Polska
 
Scan Centre - prezentacja firmy.
Scan Centre - prezentacja firmy.Scan Centre - prezentacja firmy.
Scan Centre - prezentacja firmy.teamleader91
 
Ochrona danych osobowych (ODO2013)
Ochrona danych osobowych (ODO2013)Ochrona danych osobowych (ODO2013)
Ochrona danych osobowych (ODO2013)Krzysztof Sługocki
 
Przepisy GIODO - Najwazniejsze wymagania dla systemow informatycznych
Przepisy GIODO - Najwazniejsze wymagania dla systemow informatycznychPrzepisy GIODO - Najwazniejsze wymagania dla systemow informatycznych
Przepisy GIODO - Najwazniejsze wymagania dla systemow informatycznych3e Interent Software House
 
Przetestuj swój system rekrutacyjny pod kątem bezpieczeństwa i RODO - Praktyc...
Przetestuj swój system rekrutacyjny pod kątem bezpieczeństwa i RODO - Praktyc...Przetestuj swój system rekrutacyjny pod kątem bezpieczeństwa i RODO - Praktyc...
Przetestuj swój system rekrutacyjny pod kątem bezpieczeństwa i RODO - Praktyc...eRecruitment Solutions
 
Specfile - LegalTech Polska
Specfile - LegalTech PolskaSpecfile - LegalTech Polska
Specfile - LegalTech PolskaTomasz Zalewski
 
Jak RODO wpłynie na działania sprzedażowe webinarium
Jak RODO wpłynie na działania sprzedażowe webinariumJak RODO wpłynie na działania sprzedażowe webinarium
Jak RODO wpłynie na działania sprzedażowe webinariumLivespace
 
Naruszenia ochrony danych osobowych vs. Inspektor Ochrony Danych
Naruszenia ochrony danych osobowych vs. Inspektor Ochrony DanychNaruszenia ochrony danych osobowych vs. Inspektor Ochrony Danych
Naruszenia ochrony danych osobowych vs. Inspektor Ochrony DanychPwC Polska
 

Similar to Rodo bezpieczenstwo _dla_pracownikow (20)

Rodo prezentacja dla_pracownikow (1)
Rodo prezentacja dla_pracownikow (1)Rodo prezentacja dla_pracownikow (1)
Rodo prezentacja dla_pracownikow (1)
 
IT w RODO - praktyczne informacje.
IT w RODO - praktyczne informacje.IT w RODO - praktyczne informacje.
IT w RODO - praktyczne informacje.
 
Monitorowanie systemów IT | Zmiany w Ustawie o Ochronie Danych Osobowych
Monitorowanie systemów IT | Zmiany w Ustawie o Ochronie Danych OsobowychMonitorowanie systemów IT | Zmiany w Ustawie o Ochronie Danych Osobowych
Monitorowanie systemów IT | Zmiany w Ustawie o Ochronie Danych Osobowych
 
Dokumentacja techniczna stanowiska komputerowego
Dokumentacja techniczna stanowiska komputerowegoDokumentacja techniczna stanowiska komputerowego
Dokumentacja techniczna stanowiska komputerowego
 
Zabezpieczenie danych w firmie
Zabezpieczenie danych w firmieZabezpieczenie danych w firmie
Zabezpieczenie danych w firmie
 
Cognity: Kurs Ochrona Danych Osobowych - bezpieczeństwo danych w systemach in...
Cognity: Kurs Ochrona Danych Osobowych - bezpieczeństwo danych w systemach in...Cognity: Kurs Ochrona Danych Osobowych - bezpieczeństwo danych w systemach in...
Cognity: Kurs Ochrona Danych Osobowych - bezpieczeństwo danych w systemach in...
 
Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowych
Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowychObowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowych
Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowych
 
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODOWebinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO
 
Ochrona danych osobowych w hospicjum
Ochrona danych osobowych w hospicjumOchrona danych osobowych w hospicjum
Ochrona danych osobowych w hospicjum
 
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
 
4
44
4
 
Cyberbezpieczeństwo w chmurze obliczeniowej
Cyberbezpieczeństwo w chmurze obliczeniowejCyberbezpieczeństwo w chmurze obliczeniowej
Cyberbezpieczeństwo w chmurze obliczeniowej
 
Scan Centre - prezentacja firmy.
Scan Centre - prezentacja firmy.Scan Centre - prezentacja firmy.
Scan Centre - prezentacja firmy.
 
[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...
[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...
[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...
 
Ochrona danych osobowych (ODO2013)
Ochrona danych osobowych (ODO2013)Ochrona danych osobowych (ODO2013)
Ochrona danych osobowych (ODO2013)
 
Przepisy GIODO - Najwazniejsze wymagania dla systemow informatycznych
Przepisy GIODO - Najwazniejsze wymagania dla systemow informatycznychPrzepisy GIODO - Najwazniejsze wymagania dla systemow informatycznych
Przepisy GIODO - Najwazniejsze wymagania dla systemow informatycznych
 
Przetestuj swój system rekrutacyjny pod kątem bezpieczeństwa i RODO - Praktyc...
Przetestuj swój system rekrutacyjny pod kątem bezpieczeństwa i RODO - Praktyc...Przetestuj swój system rekrutacyjny pod kątem bezpieczeństwa i RODO - Praktyc...
Przetestuj swój system rekrutacyjny pod kątem bezpieczeństwa i RODO - Praktyc...
 
Specfile - LegalTech Polska
Specfile - LegalTech PolskaSpecfile - LegalTech Polska
Specfile - LegalTech Polska
 
Jak RODO wpłynie na działania sprzedażowe webinarium
Jak RODO wpłynie na działania sprzedażowe webinariumJak RODO wpłynie na działania sprzedażowe webinarium
Jak RODO wpłynie na działania sprzedażowe webinarium
 
Naruszenia ochrony danych osobowych vs. Inspektor Ochrony Danych
Naruszenia ochrony danych osobowych vs. Inspektor Ochrony DanychNaruszenia ochrony danych osobowych vs. Inspektor Ochrony Danych
Naruszenia ochrony danych osobowych vs. Inspektor Ochrony Danych
 

More from Szymon Konkol - Publikacje Cyfrowe

More from Szymon Konkol - Publikacje Cyfrowe (20)

k1.pdf
k1.pdfk1.pdf
k1.pdf
 
t1.pdf
t1.pdft1.pdf
t1.pdf
 
Quiz3
Quiz3Quiz3
Quiz3
 
Quiz2
Quiz2Quiz2
Quiz2
 
Quiz 1
Quiz 1Quiz 1
Quiz 1
 
4
44
4
 
3
33
3
 
2
2 2
2
 
1
11
1
 
6
66
6
 
5
55
5
 
4
44
4
 
3
33
3
 
2
22
2
 
1
11
1
 
Atlas anatomiczny
Atlas anatomicznyAtlas anatomiczny
Atlas anatomiczny
 
Podstawy anatomii i fizjologii człowieka
Podstawy anatomii i fizjologii człowiekaPodstawy anatomii i fizjologii człowieka
Podstawy anatomii i fizjologii człowieka
 
Fototechnik 313[01] z2.02_u
Fototechnik 313[01] z2.02_uFototechnik 313[01] z2.02_u
Fototechnik 313[01] z2.02_u
 
Fototechnik 313[01] z2.02_u
Fototechnik 313[01] z2.02_uFototechnik 313[01] z2.02_u
Fototechnik 313[01] z2.02_u
 
TECHNIK FOTOGRAFII I MULTIMEDIÓW
TECHNIK FOTOGRAFII I MULTIMEDIÓWTECHNIK FOTOGRAFII I MULTIMEDIÓW
TECHNIK FOTOGRAFII I MULTIMEDIÓW
 

Rodo bezpieczenstwo _dla_pracownikow

  • 1. Bezpieczeństwo danych przede wszystkim - jakie środki ochrony powinni stosować pracownicy?
  • 2. Podstawa prawna • rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE. L Nr 119, str. 1) EDICUS Ochrona Danych Osobowych
  • 3. Wstęp Bezpieczeństwo danych osobowych oznacza przede wszystkim ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem. Pracodawca wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. RODO wskazuje m.in. na: • pseudonimizację i szyfrowanie danych osobowych; • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. To jednak nie jedyne możliwe środki bezpieczeństwa. EDICUS Ochrona Danych Osobowych
  • 4. Rodzaje środków bezpieczeństwa O tym, jakie środki bezpieczeństwa danych osobowych są stosowane w danym zakładzie pracy, decyduje pracodawca. Decyzja w tym zakresie jest poprzedzana przeprowadzeniem analizy ryzyka. Nie w każdym zakładzie pracy środki te będą więc takie same. Można wyróżnić następujące środki bezpieczeństwa: • prawne – regulacje prawne wewnątrzzakładowe, obowiązujące u administratora danych osobowych, • organizacyjne – rozwiązania administracyjne, • techniczne: a) informatyczne – środki elektroniczne służące zachowaniu bezpieczeństwa i integralności przetwarzanych danych, b) fizyczne.
  • 5. Środki prawne Pracownik musi przestrzegać przepisów wewnątrzzakładowych przyjętych u danego pracodawcy. Środkami prawnymi służącymi bezpieczeństwu przetwarzanych danych mogą być: • polityka prywatności, • instrukcja zarządzania systemem informatycznym, • polityka czystego biurka i czystego ekranu, • ewidencja osób upoważnionych do przetwarzania danych osobowych, • wykaz budynków i pomieszczeń gdzie przetwarza się dane osobowe, • wykaz systemów i programów używanych do przetwarzania danych osobowych. EDICUS Ochrona Danych Osobowych
  • 6. Środki prawne • Przyjęte wewnątrzzakładowe akty prawne mogą nosić inne nazwy. Niezależnie od użytego nazewnictwa pracownicy mają obowiązek ich przestrzegania, pod warunkiem, że te akty są zgodne z RODO. • Uwaga! Polityka bezpieczeństwa, instrukcja zarządzania systemem informatycznym przyjęte przed 25 maja 2018 r. mogą nadal obowiązywać, jeżeli są zgodne z RODO. Pracownicy są zobowiązani do ich przestrzegania. EDICUS Ochrona Danych Osobowych
  • 7. Środki organizacyjne • Nie każdy pracownik może mieć dostęp w równym stopniu do wszystkich danych osobowych. • Pracodawca określa, którzy pracownicy mogą odczytywać lub zapisywać konkretne dane osobowe, np.: pracownik sekretariatu może mieć dostęp do danych z książki kontaktowej w postaci imion, nazwisk, firm i adresów - do danych wykonawców czy serwisu).
  • 8. Środki organizacyjne • Pracownik może przetwarzać dane osobowe tylko w takim zakresie, w jakim został upoważniony przez pracodawcę. • Przez przetwarzanie należy rozumieć wszelkie operacje wykonywane na danych osobowych. Chodzi tu więc np. o zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie czy usuwanie. • Przetwarzanie danych bez odpowiedniego upoważnienia lub z przekroczeniem jego zakresu stanowi naruszenie, które powinno zostać zgłoszone pracodawcy i IOD (w zależności od ustaleń w danym zakładzie pracy). EDICUS Ochrona Danych Osobowych
  • 9. Środki organizacyjne Pracownicy powinni stosować się do wewnątrzzakładowych wytycznych regulujących np. następujące kwestie: • do czego i kto się może logować, • kto ma dostęp do jakich kluczy, • kto przyznaje uprawnienia do poszczególnych systemów (np. finansowo- księgowego, danych o nieobecnościach), • jak postępować w sytuacji naruszenia bezpieczeństwa danych osobowych (np. stwierdzenia wykradzenia danych logowania do systemów IT), • jak często należy zmieniać hasła dostępu do systemów informatycznych. EDICUS Ochrona Danych Osobowych
  • 10. Środki informatyczne • Bez stosownego upoważnienia pracownicy nie mogą mieć również dostępu do systemów i sieci teleinformatycznych. • Pracownicy powinni przestrzegać również następujących reguł (jeżeli zostały wprowadzone): a) szyfrowanie nośników pamięci, b) okres przechowywania elektronicznych nośników informacji zawierających dane osobowe, c) sporządzanie kopii zapasowych, d) szyfrowanie wiadomości e-mail, e) obowiązek zainstalowania oprogramowania antywirusowego na komputerze służbowym lub prywatnym używanym do celów służbowych.
  • 11. Środki fizyczne • Środkami ochrony fizycznej są środki chroniące pomieszczenia, sprzęt, infrastrukturę czy nawet sam personel administratora danych osobowych. • Ochrona również dotyczy zdarzeń mogących zaistnieć fizycznie i realnie: wandalizm, kradzież, włamanie, klęska żywiołowa, terroryzm, podszycie się pod pracownika administratora danych osobowych. • Środki fizyczne powinny chronić wszelkie rzeczywiście istniejące w przestrzeni obiekty, służące do przetwarzania danych osobowych lub biorące udział w takim przetwarzaniu. EDICUS Ochrona Danych Osobowych
  • 12. Środki fizyczne Fizyczne środki bezpieczeństwa danych osobowych możemy podzielić na: a) pasywne – zapobiegające albo opóźniające zagrożenia, np. ogrodzenie, zamek, zasuwa, łańcuch, krata, sejf, kasetka, Kensington Lock, b) aktywne – wykrywające zagrożenia albo im przeciwdziałające, np. monitoring audio/wideo, nadajnik GPS, czujki ruchu, alarm przeciwwłamaniowy, czytnik biometryczny (poniekąd jest to zabezpieczenie także pasywne), system gaśniczy.
  • 13. Środki fizyczne Z jakimi środkami fizycznymi mogą spotkać się pracownicy? • przechowywanie danych w pomieszczeniu zabezpieczonym drzwiami zwykłymi (niewzmacnianymi, nie przeciwpożarowymi); • przechowywanie danych w pomieszczeniu zabezpieczonym drzwiami o podwyższonej odporności ogniowej; • przechowywanie danych w pomieszczeniu zabezpieczonym drzwiami o podwyższonej odporności na włamanie; • przechowywanie danych w pomieszczeniu, w którym okna zabezpieczone są za pomocą krat, rolet lub folii antywłamaniowej; • przechowywanie danych w pomieszczeniu wyposażonym w system alarmowy przeciwwłamaniowy; • przechowywanie danych w pomieszczeniu objętym systemem kontroli dostępu; EDICUS Ochrona Danych Osobowych
  • 14. Środki fizyczne Z jakimi środkami fizycznymi mogą spotkać się pracownicy? • przechowywanie danych w pomieszczeniu kontrolowanym przez system monitoringu z zastosowaniem kamer przemysłowych; • przechowywanie danych w pomieszczeniu, które w czasie nieobecności zatrudnionych tam pracowników jest nadzorowane przez służbę ochrony; • przechowywanie danych w pomieszczeniu, które przez cała dobę jest nadzorowane przez służbę ochrony; • przechowywanie danych w zamkniętej niemetalowej szafie; • przechowywanie danych w zamkniętej metalowej szafie; • przechowywanie danych w zamkniętym sejfie lub kasie pancernej; EDICUS Ochrona Danych Osobowych
  • 15. Środki fizyczne Z jakimi środkami fizycznymi mogą spotkać się pracownicy? • przechowywanie kopii zapasowych lub archiwalnych zbioru danych osobowych w zamkniętej niemetalowej szafie; • przechowywanie kopii zapasowych lub archiwalnych zbioru danych osobowych w zamkniętej metalowej szafie; • przechowywanie kopii zapasowych lub archiwalnych zbioru danych osobowych w zamkniętym sejfie lub kasie pancernej; • przetwarzanie danych w kancelarii tajnej, prowadzonej zgodnie z wymogami określonymi w odrębnych przepisach; • przechowywanie danych w pomieszczeniu zabezpieczonym przed skutkami pożaru za pomocą systemu przeciwpożarowego lub wolnostojącej gaśnicy; • niszczenie dokumentów zawierających dane osobowe po ustaniu przydatności w sposób mechaniczny za pomocą niszczarek dokumentów.
  • 16. Środki fizyczne Wpływ na bezpieczeństwo przetwarzania danych mają także procesy takie jak usuwanie danych, pseudonimizacja i anonimizacja. Należy odróżniać te pojęcia. • Usuwanie danych Dane osobowe powinny zostać usunięte bezzwłocznie, jeżeli są zbędne do realizacji celu, dla którego zostały zebrane. Dane powinny być więc usunięte kiedy nie są już potrzebne w kontekście celu dla którego zostały pobrane - kiedy administrator nie ma prawa przetwarzać danych osobowych. Usunięcie danych oznacza definitywne wykasowanie danych z wszelkich nośników danych, w tym także z kopii zapasowych. Obowiązkiem usuwania danych mogą być obarczeni pracownicy. EDICUS Ochrona Danych Osobowych
  • 17. Środki fizyczne • Anonimizacja Jeżeli pracodawca nie ma już podstawy prawnej do przetwarzania danych osobowych (np. z powodu przedawnienia) ale z jakichś przyczyn chce zachować umowy, może te umowy zmodyfikować przez usunięcie danych osobowych z treści umów (wyczernienie, wykreślenie, wycięcie w sposób trwale uniemożliwiający odczytanie danych). Obowiązek wykonywania czynności anonimizacyjnych może zostać nałożony na pracowników. EDICUS Ochrona Danych Osobowych
  • 18. Środki fizyczne • Pseudonimizacja O ile usunięcie danych osobowych czy to poprzez zniszczenie dokumentu czy anonimizację prowadzi do całkowitej niemożności odtworzenia tożsamości danych osobowych, o tyle spseudonimizowane dane osobowe to takie dane, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej. Po pseudonimizacji mamy więc nadal do czynienia z informacjami o możliwej do zidentyfikowania osobie fizycznej. EDICUS Ochrona Danych Osobowych
  • 19. Przykłady naruszeń bezpieczeństwa • Pracownik pozostawił dokumenty na biurku mimo, że w danym momencie nie były mu niezbędne do przechowywania zadań. W konsekwencji dostęp do tych danych uzyskała osoba postronna lub inny pracownik, który nie był upoważniony do przetwarzania danych osobowych. • Pracownik pozostawił niewyłączony komputer służbowy na terenie firmy, wskutek czego dostęp do danych osobowych zgromadzonych na tym komputerze zyskała osoba postronna. • Pracownik był upoważniony wyłącznie do przetwarzania danych osobowych klientów. Z uwagi na doświadczenie w sprawach kadrowo-płacowych w dniu 29 października bez wiedzy pracodawcy pełnił „zastępstwo koleżeńskie” za pracownika działu kadr, zyskując tym samym dostęp do danych osobowych innych pracowników – mimo braku stosownego upoważnienia w tym zakresie.
  • 20. Przykłady naruszeń bezpieczeństwa • Pracownik zaniechał instalacji oprogramowania antywirusowego i firewalla na komputerze prywatnym używanym do celów służbowych, wskutek czego doszło do wykradnięcia danych osobowych klientów. • Pracownik omyłkowo wysłał wiadomość e-mail do osoby, która nie była uprawniona do dostępu do danych osobowych zawartych w tej wiadomości. Dane te nie były zaszyfrowane, mimo, że tak przewidywała obowiązująca u pracodawcy polityka bezpieczeństwa. • Pracownik wysłał tę samą wiadomość e-mail do kilku odbiorców, wpisując w polu: „adresaci” wszystkie adresy e-mail, wskutek czego każdy z odbiorców ma możliwość podglądu adresu skrzynki mailowej innych odbiorców (a adresy te pozwalają na identyfikację osób fizycznych, przez co stanowią dane osobowe). • Pracownik miał wykonać anonimizację danych w niektórych dokumentach. Zdecydował się na użycie korektora, przez co dane nadal można było odczytać. EDICUS Ochrona Danych Osobowych
  • 21. Przykłady naruszeń bezpieczeństwa • Podczas sprzątania biura pracownik omyłkowo wraz z makulaturą wyrzucił do kosza archiwalne dokumenty zawierające dane osobowe. Nie doszło więc do zniszczenia tych danych i niestety stały się one dostępne dla nieuprawnionych. • Pracownik nie zamknął pomieszczenia z dokumentacją zawierającą dane osobowe na klucz, wskutek czego dostęp do pomieszczenia mogły zyskać osoby postronne. • Pracownik wyniósł bez zgody pracodawcy dokumenty zawierające dane osobowe poza firmę. • Pracownik trzymał na biurku kartkę z loginem i hasłem do wewnątrzzakładowego oprogramowania zawierającego dane osobowe. Kartka była widoczna dla osób postronnych. EDICUS Ochrona Danych Osobowych
  • 22. Jak postąpić w przypadku naruszenia? • Szczegółowy tryb postępowania w przypadku naruszenia bezpieczeństwa danych osobowych powinny określać przepisy wewnątrzzakładowe (np. procedura postępowania w przypadku naruszeń ochrony danych osobowych). • Jest jednak oczywiste, że każdy pracownik w przypadku stwierdzenia podejrzenia naruszenia przepisów bezpieczeństwa powinien niezwłocznie zawiadomić o tym pracodawcę, ewentualnie także inspektora ochrony danych. • Pracownik powinien również pozostawić miejsca zdarzenia w stanie nienaruszonym do czasu przybycia inspektora ochrony danych lub innej osoby uprawnionej. • Należy działać niezwłocznie, gdyż administrator danych osobowych ma co do zasady 72 godziny na zgłoszenie naruszenia do Prezesa UODO. EDICUS Ochrona Danych Osobowych
  • 23. Sankcje W przypadku naruszeń w zakresie zabezpieczenia danych osobowych pracodawca musi liczyć się z sankcjami w postaci: • administracyjnych kar pieniężnych, • odpowiednich środków nakładanych na mocy RODO przez organ nadzorczy (Prezesa UODO), • upomnienia. Uwaga! Sankcje nie są wymierzane poszczególnym pracownikom, lecz pracodawcy jako administratorowi danych osobowych.
  • 24. Sankcje Pracownik musi jednak liczyć się z odpowiedzialnością za spowodowanie naruszenia ochrony danych osobowych w zakładzie pracy: • Odpowiedzialność materialna Jeżeli przez naruszenie doszło do wyrządzenia szkody pracodawcy (pracodawca został obciążony karą pieniężną przez Prezesa UODO lub musiał zapłacić odszkodowanie podmiotowi danych), wówczas w trybie roszczenia regresowego pracodawca może zażądać odszkodowania od pracownika. W przypadku wyrządzenia szkody z winy nieumyślnej odszkodowanie nie może przekraczać równowartości 3-miesięcznego wynagrodzenia pracownika. EDICUS Ochrona Danych Osobowych
  • 25. Sankcje Pracownik musi jednak liczyć się z odpowiedzialnością za spowodowanie naruszenia ochrony danych osobowych w zakładzie pracy: • Odpowiedzialność porządkowa Nawet jeśli pracodawca nie został ukarany za naruszenie ochrony danych osobowych spowodowanych przez pracownika, to i tak pracownik może zostać ukarany karą porządkową upomnienia lub nagany za naruszenie porządku pracy. Kara ulega zatarciu (usunięciu z akt osobowych pracownika) po roku nienagannej pracy. EDICUS Ochrona Danych Osobowych
  • 26. Sankcje Pracownik musi jednak liczyć się z odpowiedzialnością za spowodowanie naruszenia ochrony danych osobowych w zakładzie pracy: • Zwolnienie dyscyplinarne W skrajnych przypadkach, jeżeli uchybienie pracownika będzie nosiło znamiona ciężkiego naruszenia podstawowych obowiązków pracowniczych, pracodawca może rozwiązać z pracownikiem umowę o pracę bez wypowiedzenia. Ta sankcja może być stosowana w skrajnych przypadkach, np. gdy uchybienie spowodowało wyciek danych osobowych na dużą skalę.