RODO PO ROKU - SEG · (transmisja online) 03-04.06 XII Kongres Relacji Inwestorskich Spółek...
Transcript of RODO PO ROKU - SEG · (transmisja online) 03-04.06 XII Kongres Relacji Inwestorskich Spółek...
ORGANIZATOR
PARTNERZY
PARTNER TECHNOLOGICZNY
RODO PO ROKU
22 maja 2019 roku Sala Imperium, poziom 0 ul. Książęca 4, Warszawa
ORGANIZATOR: PARTNERZY: PARTNER TECHNOLOGICZNY:
RODO po roku
22 maja 2019 roku
Sala IMPERIUM, Centrum Giełdowe (poziom 0)
ul. Książęca 4, Warszawa
11:00 -11:25 Rejestracja uczestników i kawa powitalna
11:25 -11:30 Otwarcie konferencji
Mirosław Kachniewski, Prezes Zarządu, Stowarzyszenie Emitentów Giełdowych
11:30 -12:00 Najczęstsze błędy przy wdrażaniu RODO w praktyce
Powierzenie danych
Właściwa identyfikacja zagrożeń w przedsiębiorstwie
Kiedy zgoda, a kiedy inne podstawy przetwarzania?
Mirosław Kachniewski, Prezes Zarządu, Stowarzyszenie Emitentów Giełdowych Agata Kowalska, Radca Prawny, Partner Zarządzający, Chabasiewicz Kowalska i Partnerzy Magdalena Golonka, Radca Prawny, Chabasiewicz Kowalska i Partnerzy
12:00-12:20 Zarządzanie prawami osób
Prawo do otrzymania informacji o przetwarzaniu danych
Prawo dostępu do danych i żądania ich sprostowania Prawo do bycia zapomnianym
Magdalena Raczek-Kołodyńska, Wiceprezes Zarządu, Stowarzyszenie Emitentów Giełdowych Katarzyna Żukowska, Adwokat, Wardyński i Wspólnicy
12:20-12:40 Poziom świadomości personelu w zakresie RODO
Jak sprawdzić wiedzę pracowników w tym zakresie
Stosowanie procedur w praktyce
Podnoszenie poziomu świadomości pracowników
Piotr Biernacki, Wiceprezes Zarządu, Stowarzyszenie Emitentów Giełdowych Konrad Gałaj-Emiliańczyk, PDP / ISM & BCM Team Leader, Bureau Veritas Polska
12:40-13:00 Wdrożenie monitoringu
Ograniczenia zakresu monitoringu - czy istnieją?
Ocena skutków przetwarzania dla ochrony danych - czy konieczna?
Wymogi formalne (Kodeks pracy i RODO)
Mirosław Kachniewski, Prezes Zarządu, Stowarzyszenie Emitentów Giełdowych Katarzyna Żukowska, Adwokat, Wardyński i Wspólnicy
13:00-13:30 Przerwa kawowa
ORGANIZATOR: PARTNERZY: PARTNER TECHNOLOGICZNY:
13:30-13:50 Nadzór nad podmiotami przetwarzającym
Czy zawarcie umowy zwalnia z odpowiedzialności
Zagrożenia wynikające z niezgodności dostawców Case study
Piotr Biernacki, Wiceprezes Zarządu, Stowarzyszenie Emitentów Giełdowych Konrad Gałaj-Emiliańczyk, PDP / ISM & BCM Team Leader, Bureau Veritas Polska
13:50-14:10 Zarządzanie incydentami
Identyfikacja incydentu
Reakcja na incydent
Wymogi formalne (RODO)
Magdalena Raczek-Kołodyńska, Wiceprezes Zarządu, Stowarzyszenie Emitentów Giełdowych Katarzyna Żukowska, Adwokat, Wardyński i Wspólnicy
14:10-14:30 Certyfikacja zgodności z RODO w świetle standardów i wytycznych
Przygotowanie do certyfikacji - ISO 29151,
Przebieg procesu certyfikacji - wytyczne ERODO
Kiedy pojawią się pierwsze certyfikaty w Polsce?
Mirosław Kachniewski, Prezes Zarządu, Stowarzyszenie Emitentów Giełdowych Konrad Gałaj-Emiliańczyk, PDP / ISM & BCM Team Leader, Bureau Veritas Polska
14:30-15:00 Najnowsze zmiany w polskim prawie wprowadzone przez Ustawę sektorową
Co wprowadzona ustawa zmienia w codziennym funkcjonowaniu spółek?
Zmiany w zakresie prawa pracy Marketing po zmianach
Piotr Biernacki, Wiceprezes Zarządu, Stowarzyszenie Emitentów Giełdowych Agata Kowalska, Radca Prawny, Partner Zarządzający, Chabasiewicz Kowalska i Partnerzy Anna Łanoszka, Aplikantka Radcowska, Chabasiewicz Kowalska i Partnerzy
15:00-16:00 Lunch
Plan seminariów i konferencji SEG - Rok 2019
Termin Temat
09.01 Sprawozdawczość roczna spółek giełdowych MSSF - obecne i przyszłe wyzwania
(transmisja online)
16.01 Zmiany w przepisach podatkowych (transmisja online)
23.01 Działania spółki giełdowej w sytuacji ekstremalnej (transmisja online)
30.01 Raporty niefinansowe - wnioski na rok 2019 (transmisja online)
20.02 Rynek obligacji - jak zrobić dobrą emisję i pozyskać dodatkowe finansowanie?
(transmisja online)
27.02 I Forum Innowacji - zarządzanie innowacjami w spółce giełdowej (transmisja online)
5-6.03 X Kongres Prawników Spółek Giełdowych SEG
26.03 Konferencja regionalna SEG: Wrocław
27.03 Konferencja „Zmiany w MAR” poprzedzająca Walne Zgromadzenie Członków SEG
(transmisja online)
05.04 Konferencja regionalna SEG: Rzeszów
10.04 Podatkowe i prawne przeregulowanie - jak (czy) można okiełznać rosnące ryzyko dla spółek i
zarządu?
15.04 Konferencja regionalna SEG: Katowice
24-25.04 VIII Kongres HR Spółek Giełdowych SEG
21.05 Konferencja regionalna SEG: Kraków
22.05 RODO po roku (transmisja online)
28.05 Konferencja regionalna SEG: Warszawa
29.05 Sprawozdawczość śródroczna spółek giełdowych MSSF - obecne i przyszłe wyzwania
(transmisja online)
05-06.06 XI Kongres Relacji Inwestorskich Spółek Giełdowych SEG
12.06 Zrównoważone finansowanie i raportowanie (transmisja online)
13.06 Śniadanie technologiczne: Jak przewidzieć popyt i dopasować do niego łańcuch dostaw
11.09 IR w pigułce. Efektywna komunikacja spółki z inwestorami (transmisja online)
18.09 Konferencja w ramach Forum Rad Nadzorczych (transmisja online)
02.10 IX Forum Sporów Korporacyjnych (transmisja online)
16.10 Raportowanie danych niefinansowych (transmisja online)
23-24.10 VIII Kongres CFO Spółek Giełdowych SEG
30.10 Kapitał intelektualny w spółce giełdowej - jak zdobyć przewagę na rynku? (transmisja online)
20-21.11 IX Forum Cenotwórczości (transmisja online)
27.11 Doskonałe raporty roczne (transmisja online)
04.12 Cyberbezpieczeństwo spółek giełdowych. Nowe trendy i rozwiązania (transmisja online)
Plan seminariów i konferencji SEG - Rok 2020
Termin Temat
08.01 Sprawozdawczość roczna spółek giełdowych MSSF - obecne i przyszłe wyzwania
(transmisja online)
15.01 Zmiany w przepisach podatkowych (transmisja online)
22.01 Dobre praktyki w raportowaniu niefinansowym
(transmisja online)
05.02 Obligacje jako źródło finansowania (transmisja online)
25-26.02 XI Kongres Prawników Spółek Giełdowych SEG
04.03 II Forum Innowacji SEG (transmisja online)
11.03 Przyszłość finansów - trendy finansowe w 2020 roku (transmisja online)
25.03 Konferencja „Jak skutecznie organizować spotkania z inwestorami?” poprzedzająca Walne
Zgromadzenie Członków SEG (transmisja online)
01-02.04 IX Kongres HR Spółek Giełdowych SEG
15.04 II Forum Problemów Podatkowych (transmisja online)
22.04 Crowdfunding w Polsce (transmisja online)
27.05 Sprawozdawczość śródroczna spółek giełdowych MSSF - obecne i przyszłe wyzwania
(transmisja online)
03-04.06 XII Kongres Relacji Inwestorskich Spółek Giełdowych SEG
10.06 Wnioski z raportów niefinansowych z 2019 (transmisja online)
09.09 IR w pigułce. Doskonała prezentacja inwestorska (transmisja online)
16.09 Konferencja w ramach Forum Rad Nadzorczych (transmisja online)
07.10 IX Forum Sporów Korporacyjnych (transmisja online)
14.10 Raportowanie danych niefinansowych (transmisja online)
21-22.10 IX Kongres CFO Spółek Giełdowych SEG
18.11 Dobre praktyki w raporcie rocznym (transmisja online)
25-26.11 X Forum Cenotwórczości (transmisja online)
02.12 Procedury antykorupcyjne oraz kodeksy etyczne w spółce (transmisja online)
KO
RZ
YŚC
I Z C
ZŁO
NK
OST
WA
WSZ
YST
KO
TO
W R
AM
AC
HJE
DN
EJ S
TA
ŁEJ S
KŁA
DK
I RO
CZ
NEJ
ZO
STA
Ń C
ZŁO
NK
IEM
SEG
!
KO
NFE
REN
CJE
20+
RO
CZ
NIE
KO
NG
RES
Y
4 RO
CZ
NIE
DO
RA
DZ
TW
O
24/7
AN
ALI
ZA
K
OM
UN
IKA
CJI
SPÓ
ŁEK
900+
UD
ZIA
Ł SP
ÓŁE
K
CZ
ŁON
KO
WSK
ICH
W
WY
DA
RZ
ENIA
CH
87%
MA
TER
IAŁY
EK
SPER
CK
IE
400+
DZ
IAŁA
MY
NIE
MA
L
25la
tM
AM
Y P
RA
WIE
CZ
ŁON
KÓ
W 30
0Z
RZ
ESZ
AM
Y N
IEM
AL
KA
PIT
ALI
ZA
CJI
GPW
85%
SEG
net
MA
TER
IAŁÓ
W
VID
EO
500+
INFO
GR
AFI
KI
20+
PUBL
IKA
CJE
40+
IND
YW
IDU
ALN
E SP
OT
KA
NIA
Z
ZA
RZ
ĄD
AM
I
150+
STA
TY
STY
KA
DLA
: XII’
15 -
XI’1
6
OPI
EKA
R
EGU
LAC
YJN
A
700 h
PRA
CY
REG
ULA
CY
JNEJ
W 2
016
RO
KU
www.seg.org.pl | @Emitenci
Najczęstsze błędy przy wdrażaniu RODO w praktyce
dr Mirosław Kachniewski, Prezes Zarządu, Stowarzyszenie Emitentów Giełdowych
Agata Kowalska, Radca Prawny, Partner Zarządzający, ChabasiewiczKowalska i Partnerzy
Magdalena Golonka, Radca Prawny, Chabasiewicz Kowalska i Partnerzy
22.05.2019 r., Sala Imperium, Centrum Giełdowe w Warszawie
www.seg.org.pl | @Emitenci
ZAGADNIENIA
• Najczęstsze błędy przy wdrażaniu RODO
• Błędy, na które uwagę zwraca UODO
© SEG | 2
www.seg.org.pl | @Emitenci
ZAGADNIENIA• Specyfika danych osobowych w spółce giełdowej
• Możliwe wątpliwości prawne lub problemy praktyczne z listami osób zarejestrowanych na WZA
© SEG | 3
www.seg.org.pl | @Emitenci
ZAGADNIENIA
• Możliwe wątpliwości prawne lub problemy praktyczne z listami akcjonariuszy
• Najważniejsze potencjalne zagrożenia związane z danymi osobowymi i sposoby na ich identyfikację
© SEG | 4
www.seg.org.pl | @Emitenci
ZAGADNIENIA
• Najważniejsze kwestie przy powierzaniu danych
• Podstawa przekazania danych do przetwarzania
© SEG | 5
www.seg.org.pl | @Emitenci
ZAGADNIENIA• Procedury lub odpowiedzialność w przypadku, gdy otrzymujemy dane do
przetwarzania
© SEG | 6
www.seg.org.pl | @Emitenci
Zarządzanie prawami osób
Magdalena Raczek-Kołodyńska, Wiceprezes Zarządu, Stowarzyszenie Emitentów Giełdowych
Katarzyna Żukowska, Adwokat, Wardyński i Wspólnicy
22.05.2019 r., Sala Imperium, Centrum Giełdowe w Warszawie
www.seg.org.pl | @Emitenci
ZAGADNIENIA• Najważniejsze prawa osób, których dane przetwarzamy i których
zapewnienie jest najtrudniejsze dla spółki
• Regularność akcji informacyjnych o przetwarzaniu danych
© SEG | 8
www.seg.org.pl | @Emitenci
ZAGADNIENIA
• Realizacja prawa do dostępu danych i żądania ich sprostowania w praktyce
• Weryfikacja tożsamości osób, które proszą o sprostowanie danych
© SEG | 9
www.seg.org.pl | @Emitenci
ZAGADNIENIA
• Czy spółka ma prawo odmówić sprostowania danych?
• Sytuacje, w których spółka nie może zrealizować prawa do bycia zapomnianym
© SEG | 10
www.seg.org.pl | @Emitenci
Poziom świadomości personelu w zakresie RODO
Piotr Biernacki, Wiceprezes Zarządu, Stowarzyszenie Emitentów Giełdowych
Konrad Gałaj-Emiliańczyk, PDP / ISM & BCM Team Leader, Bureau Veritas Polska
22.05.2019 r., Sala Imperium, Centrum Giełdowe w Warszawie
www.seg.org.pl | @Emitenci
ZAGADNIENIA• Pracownicy vs. znajomość RODO
• Funkcjonowanie procedur w spółkach
© SEG | 12
www.seg.org.pl | @Emitenci
ZAGADNIENIA
• Sposoby na stosowanie procedur w spółkach
• Sposoby na edukację pracowników w zakresie danych osobowych
© SEG | 13
www.seg.org.pl | @Emitenci
ZAGADNIENIA• Narzędzia wpływu na pracownika w spółce w zakresie przestrzegania
przepisów dot. przetwarzania danych osobowych
© SEG | 14
Slide / 2
NADZÓR NAD
PROCESORAMIMotyw (81) RODO
Aby zapewnić przestrzeganie wymogów
niniejszego rozporządzenia w przypadku
przetwarzania, którego w imieniu
administratora ma dokonać podmiot
przetwarzający, administrator powinien,
powierzając podmiotowi
przetwarzającemu czynności
przetwarzania, korzystać z usług
wyłącznie podmiotów
przetwarzających, które zapewniają
wystarczające gwarancje – w
szczególności jeżeli chodzi o wiedzę
fachową, wiarygodność i zasoby –
wdrożenia środków technicznych i
organizacyjnych odpowiadających
wymogom niniejszego rozporządzenia, w
tym wymogom bezpieczeństwa
przetwarzania.
ISO 27002
Należy uzgodnić z dostawcą i
udokumentować wymagania
bezpieczeństwa informacji celem
zmniejszenia ryzyk związanych z
dostępem dostawcy do aktywów
organizacji.
PODMIOTY
PRZETWARZAJĄCE
(PROCESORZY)
1. ANKIETA
ZGODNOŚCI2. UMOWA 3. NADZÓR
POD
PROCESORZY
• zgodność z RODO
• zgodność z ISO
• wpływ na cenę
• powierzenia
• poufności
• świadczenia usług
• komunikacja
• testowanie
• audyty
• odpowiedzialność
• zabezpieczenia
• nadzór
CERTYFIKACJA
KODEKSY
BRANŻOWE
• potwierdzenie zgodności z RODO
• potwierdzenie zgodności z ISO
• zwiększenie pewności obrotu gospodarczego
Slide / 3
CASE STUDY
#2 Dostawca systemu analitycznego (sierpień 2018r.)
• Bank Wells Fargo korzystając z zewnętrznego systemu analizy kredytowej, który
zawierał błędy doprowadził 625 osób do utraty zdolności kredytowej. Ok. 400
klientów straciło nieruchomości będące zabezpieczeniem kredytu.
#3 Dostawca czytników zużycia wody (lipiec 2018r.)
#4 Dostawca system informatycznego (czerwiec 2018r.)
#5 Dostawca usług kurierskich (marzec 2018r.)
• Dostęp do danych osobowych oraz danych dotyczących zużycia wody został
opublikowany na stronie internetowej firmy Minol, która jest dostawcą urządzeń
pomiarowych. Brak jakichkolwiek zabezpieczeń.
• Dostęp do bazy Karty Krakowskiej (mieszkańca) chroniony danymi dostępowymi
admin/admin123. dostawa ocenił, że jest to małe zagrożenie dla bezpieczeństwa
informacji i nie poinformował UMK.
• Zewnętrzny dostawca DHL, twórca portalu do śledzenia przesyłek z
klockami LEGO, nie zabezpieczył dostępu do danych pozostałych
użytkowników. Po zmianie nr zamówienia można było śledzić cudze
przesyłki.
KONSEKWENCJE:
• szkoda wizerunkowa,
• utrata klientów,
• rekompensaty,
• kary organu
nadzorczego.
PREWENCJA:
• ocena ryzyka na
poziomie zapytań
ofertowych,
• dobór certyfikowanych
dostawców usług,
• okresowa weryfikacja
zgodności dostawców,
• określenie minimalnych
wymogów
bezpieczeństwa dla
zewnętrznych
dostawców.
#1 Administrator strony internetowej (maj 2019r. – kara 56.000 PLN)
• Dolnośląski Związek Piłki Nożnej opublikował zbyt szeroki zakres danych sędziów
(adresy zamieszkania, numery PESEL) na stronie internetowej. Pomimo żądania
usunięcia danych, zewnętrzny dostawca usług tego nie zrobił.
www.seg.org.pl | @Emitenci
Wdrożenie monitoringu
Mirosław Kachniewski, Prezes Zarządu, Stowarzyszenie Emitentów Giełdowych
Katarzyna Żukowska, Adwokat, Wardyński i Wspólnicy
22.05.2019 r., Sala Imperium, Centrum Giełdowe w Warszawie
www.seg.org.pl | @Emitenci
ZAGADNIENIA
• Zakres monitoringu pracowników
• Możliwe ograniczenia w zakresie monitoringu pracowników
© SEG | 16
www.seg.org.pl | @Emitenci
ZAGADNIENIA• Sytuacja monitoringu pracowników przed RODO
• Zgoda pracowników vs. rozszerzenie zakresu monitoringu
© SEG | 17
www.seg.org.pl | @Emitenci
ZAGADNIENIA• Obszary „geograficzne”, gdzie monitoring wizualny jest zakazany
• Ochrona danych wynikających z monitoringu
© SEG | 18
www.seg.org.pl | @Emitenci
ZAGADNIENIA• Czy wszystkie dane, które zostały zarejestrowane możemy przetwarzać?
© SEG | 19
www.seg.org.pl | @Emitenci
Nadzór nad podmiotami przetwarzającym
Piotr Biernacki, Wiceprezes Zarządu, Stowarzyszenie Emitentów Giełdowych
Konrad Gałaj-Emiliańczyk, PDP / ISM & BCM Team Leader, Bureau Veritas Polska
22.05.2019 r., Sala Imperium, Centrum Giełdowe w Warszawie
www.seg.org.pl | @Emitenci
ZAGADNIENIA• Odpowiedzialność za przetwarzanie danych
• Umowa z podmiotem przetwarzającym dane (w tym klauzule zakazane lub klauzule nieskuteczne)
© SEG | 21
www.seg.org.pl | @Emitenci
ZAGADNIENIA• Sankcje dla spółki w przypadku błędów popełnionych przez podmiot
przetwarzający dane osobowe
• Narzędzia do nadzoru podmiotu przetwarzającego dane
© SEG | 22
www.seg.org.pl | @Emitenci
ZAGADNIENIA• Najczęstsze przypadki błędów popełnionych przez podmioty
przetwarzające
© SEG | 23
Slide / 4
ŚWIADOMOŚĆ
PERSONELU W
ZAKRESIE RODO I
BEZPIECZEŃSTWA
INFORMACJI
Art. 39 ust. lit b) RODO
„[…] działania zwiększające świadomość,
szkolenia personelu uczestniczącego w
operacjach przetwarzania oraz powiązane
z tym audyty.”
ISO 27002
„Zaleca się, aby wszyscy pracownicy
organizacji oraz, w stosownych
wypadkach kontrahenci przeszli stosowne
kształcenie i szkolenie uświadamiające
oraz regularnie otrzymywali aktualizacje
polityk i procedur związanych z ich
stanowiskiem pracy.”
SZKOLENIA
STACJONARNE
E-LEARNING
INSTRUKTARZE
STANOWISKOWE
• CZASOCHŁONNE
• KOSZTOWNE
• INTERAKTYWNE
ZASADY OCHRONY
DANYCH
OKRESOWE AUDYTY
• ELASTYCZNE
• MERZALNE
• DEDYKOWANE
• DOPASOWANE
• KONTEKSTOWE
• ANGAŻUJĄCE
• NAJTAŃSZE
• WYMAGAJĄ CZASU
• NIEDOPASOWANE
• WYMAGAJĄ KOORDYNACJI
• WYMAGAJĄ AUDYTORÓW
• SĄ NAJSKUTECZNIEJSZE
Slide / 5
PRZYCZYNY I
SKUTKI
NISKIEGO
POZIOMU
ŚWIADOMOŚCI
#2 Szkolenie ogólne – nie dopasowane do stanowiska
• Szkolenie jest takie samo dla personelu pracującego stacjonarnie jak i w terenie,
które nie uwzględnia zagrożeń wobec zasobów informacyjnych w szczególnych
warunkach przetwarzania.
#3 Szkolenie tylko z RODO – bez bezpieczeństwa informacji
#4 Brak weryfikacji przestrzegania procedur – po szkoleniu
#5 Brak opisu zdarzeń stanowiących incydent/ naruszenie
• Pominięcie aspektu zabezpieczeń, które muszą być stosowane w organizacji, a
skupianie się na samej ochronie danych osobowych bez uwzględnienia systemu
bezpieczeństwa informacji.
• Brak oceny przestrzegania procedur przez personel po ukończeniu szkolenia. Brak
lub niewystarczająca weryfikacja poziomu świadomości personelu w wybranych
okresach czasu.
• Brak opisu incydentów/ naruszeń ochrony danych osobowych w trakcie
szkoleń powoduje nie zgłaszanie poważnych zdarzeń, a często zgłaszanie
błahostek.
SKUTKI:
• brak reakcji na
naruszenie w terminie
72h,
• podatność na
socjotechniki i
wyłudzenia informacji,
• brak pewności co do
konieczności stosowania
zabezpieczeń,
• niski poziom wdrożenia
systemu bezpieczeństwa
informacji.
#1 Szkolenie z przepisów, a nie z praktyki
• Prowadzenie szkoleń (niezależnie od formy) bazujące jedynie na przepisach, które
nie zostały zinterpretowane i dopasowane do organizacji powoduje błędne
rozumienie wymogów w praktyce.
www.seg.org.pl | @Emitenci
Zarządzanie incydentami
Magdalena Raczek-Kołodyńska, Wiceprezes Zarządu, Stowarzyszenie Emitentów Giełdowych
Katarzyna Żukowska, Adwokat, Wardyński i Wspólnicy
22.05.2019 r., Sala Imperium, Centrum Giełdowe w Warszawie
www.seg.org.pl | @Emitenci
ZAGADNIENIA• Incydent w przypadku ochrony danych osobowych
• Prawidłowa procedura identyfikacji i rejestracji incydentu
© SEG | 25
www.seg.org.pl | @Emitenci
ZAGADNIENIA• Kroki podejmowane po zarejestrowaniu incydentu
• Reakcja firmy na incydent
© SEG | 26
www.seg.org.pl | @Emitenci
ZAGADNIENIA• Ocena wpływu incydentu na osoby, których dane zostały ujawnione
• Raport bieżący vs. pojawienie się incydentu
© SEG | 27
www.seg.org.pl | @Emitenci
ZAGADNIENIA• Dokumenty, które powinniśmy mieć w segregatorze w przypadku kontroli
po wystąpieniu incydentu
© SEG | 28
www.seg.org.pl | @Emitenci
Certyfikacja zgodności z RODO w świetle standardów i wytycznych
Mirosław Kachniewski, Prezes Zarządu, Stowarzyszenie Emitentów Giełdowych
Konrad Gałaj-Emiliańczyk, PDP / ISM & BCM Team Leader, Bureau Veritas Polska
22.05.2019 r., Sala Imperium, Centrum Giełdowe w Warszawie
www.seg.org.pl | @Emitenci
ZAGADNIENIA• Istnienie regulacji wymagających certyfikację RODO
• Korzyści wynikające z certyfikacji/certyfikatu
© SEG | 30
www.seg.org.pl | @Emitenci
ZAGADNIENIA• Kwestie wpływające na decyzję o certyfikacji
• Przygotowanie spółki do certyfikacji
© SEG | 31
www.seg.org.pl | @Emitenci
ZAGADNIENIA• Przebieg procesu certyfikacji oraz jego czas trwania
• Ryzyka dla spółki związane z procesem certyfikacji
© SEG | 32
www.seg.org.pl | @Emitenci
ZAGADNIENIA• Koszt certyfikacji
• Ważność certyfikatu
© SEG | 33
www.seg.org.pl | @Emitenci
ZAGADNIENIA• Koszt certyfikacji
• Ważność certyfikatu
© SEG | 34
Slide / 6
CERTYFIKACJA
ZGODNOŚCI Z
RODO
Art. 42 RODO„Państwa członkowskie, organy
nadzorcze, Europejska Rada Ochrony
Danych oraz Komisja zachęcają – w
szczególności na szczeblu Unii – do
ustanawiania mechanizmów certyfikacji
oraz znaków jakości i oznaczeń w
zakresie ochrony danych osobowych
mających świadczyć o zgodności z
niniejszym rozporządzeniem operacji
przetwarzania prowadzonych przez
administratorów i podmioty
przetwarzające. Przy tym uwzględnia się
szczególne potrzeby mikroprzedsiębiorstw
oraz małych i średnich przedsiębiorstw.
Motyw (100) RODO
„Aby zwiększyć przejrzystość i poprawić
przestrzeganie niniejszego
rozporządzenia, należy zachęcać do
ustanowienia mechanizmów certyfikacji
oraz do wprowadzenia znaków jakości i
oznaczeń w dziedzinie ochrony danych,
pozwalając w ten sposób osobom, których
dane dotyczą, szybko ocenić stopień
ochrony danych, której podlegają
stosowne produkty i usługi.”
TERMINOLOGIA I
ZASADY
ISO 27000 ISO 29100
WYMOGI RODO
ISO 27001 ISO 27552
ISO
27006
ISO
27009
DOBRE PRAKTYKI
ISO 27002 ISO 29151
METODY
WSPIERAJĄCE
WYMOGI
SEKTOROWE DOBRE
PRAKTYKIWYMOGI KRAJOWE
ISO 27003
ISO 27004
ISO 29134
ISO 27005
ISO 27017 ISO 27018
ISO 27019
CERTYFIKACJA
JEDNOSTKA
AKREDYTOWANA
PCA
PUODO
ISO 17065
Slide / 7
CO MOŻE BYĆ
OBJĘTE
CERTYFIKACJĄ
RODO?
#1 ZGODNOŚĆ PRZETWARZANIA DANYCH Z PRAWEM – ART. 6 RODO
SZCZEGÓŁOWE
KRYTERIA
CERTYFIKACJI
CERTYFIKACJA
• produktów,
• procesów,
• usług.
OBLIGATORYJNE KRYTERIA CERTYFIKACJI ZGODNOŚCI Z RODO
#2 ZASADY PRZETWARZANIA DANYCH OSOBOWYCH – ART. 5 RODO
#3 PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ – ART. 12-23 RODO
#4 OBOWIAZEK ZGŁASZANIA NARUSZEŃ – ART. 33 RODO
#5 PRIVACY BY DESIGN & PRIVACY BY DEFAULT – ART. 25 RODO
#6 PLAN POSTEPOWANIA Z RYZYKIE PRZY DPIA – ART. 35 UST. 7 LIT. D) RODO
#7 ŚRODKI TECHNICZNE I ORGANIZACYJNE – ART. 32 RODO
UWZGLĘDNIAJĄCA
• dane osobowe (zakres
przedmiotowy RODO);
• systemy techniczne -
sprzęt i oprogramowanie
• procedury związane z
operacją(ami)
przetwarzania.
PUODOPCA
JEDNOSTKA
AKREDYTOWANA
PODMIOT
CERTYFIKAT:
• produktu
• procesu
• usługi
akre
dyta
cja wniosek
ERODO
audyt
audyt
wytyczne
kry
teria
www.seg.org.pl | @Emitenci
Najnowsze zmiany w polskim prawie wprowadzone przez Ustawę sektorową
Piotr Biernacki, Wiceprezes Zarządu, Stowarzyszenie Emitentów Giełdowych
Agata Kowalska, Radca Prawny, Partner Zarządzający, ChabasiewiczKowalska i Partnerzy
Anna Łanoszka, Aplikantka Radcowska, Chabasiewicz Kowalska i Partnerzy
22.05.2019 r., Sala Imperium, Centrum Giełdowe w Warszawie
www.seg.org.pl | @Emitenci
ZAGADNIENIA
• Co wprowadzona ustawa zmienia w codziennym funkcjonowaniu spółek?
• Zmiany w zakresie prawa pracy
© SEG | 36
www.seg.org.pl | @Emitenci
ZAGADNIENIA
• Marketing po zmianach
© SEG | 37