TO THE POINT

RODO - Rozporządzenie o Ochronie Danych Osobowych

GDPR - General Data Protection Regulation

Już od 25 maja 2018

RODO jest prawem przyjętym przez Parlament Europejski w kwietniu 2016 r., które wchodzi w życie 25 maja 2018 r. Rozporządzenie dotyczy gromadzenia, przetwarzania i przepływu danych osobowych osób fizycznych zamieszkałych w 32 państwach europejskich (28 państw Unii Europejskiej oraz 4 inne państwa europejskie).

Czy posiadasz dane, których dotyczy RODO?

Jakie informacje muszą być ujawnione użytkownikom?

Jakie istnieją alternatywy w zakresie RODO?

Gwarantowane prawa użytkownika

Terytorium obowiązywania

Dane wrażliwe wymagające wyraźnej zgody

Prawa, środki prawne, kary

Transparentność

Jak przebiega zgodne z prawem przetwarzanie danych?

Dane osobowe - przykłady

Odpowiedzialność

Niniejszy dokument opisuje częściowy zakres zagadnień dotyczących RODO w rozumieniu twórców dokumentu i nie stanowi wykładni, interpretacji, rekomendacji, konsultacji. Wykorzystanie jakichkolwiek elementów dokumentu odbywa się na wyłączną i własną odpowiedzialność podmiotu wykorzystującego.

RODO/GDPR Mini GuideCzym jest RODO/GDPR? Nadzór nad danymi

• Audyt mediowy (TV, Digital, Radio, OOH, Print)• Przetargi mediowe • Weryfikacja kosztowa • Doradztwo mediowe • Nadzór nad kampaniami

• Weryfikacja strategii komunikacji digital • Weryfikacja skuteczności kampanii • Weryfikacja transparentności rozliczeń• Audyt danych i technologii • Optymalizacja procesów w obszarze digital

• Podjęcie ryzyka ignorując RODO bez zmian dla Twojego modelu biznesowego

• Zaprzestanie zbierania danych osobowych oraz zniszczenie istniejących danych

• Identyfikacja wszystkich przetwarzanych baz danych osobowych, modyfikacja powiadomień, procesów i praktyk biznesowych, umów z dostawcami, procedur bezpieczeństwa i komunikacji, aby dostosować praktyki biznesowe do wymogów RODO.

• Prawo dostępu do swoich danych• Prawo do wprowadzenia zmian / poprawek• Prawo do usunięcia / usunięcia trwałego • Prawo do ograniczeń w przetwarzaniu • Prawo do sprzeciwu wobec przetwarzania swoich

danych• Prawo łatwej przekazywalności danych – „Chcę

swoje dane”• Prawa są nadrzędne wobec automatycznych

algorytmów decyzyjnych włączając algorytmy profilujące

• Dane behawioralne (profilowanie)• Dane biometryczne• Tło kulturowe• Dane daktyloskopijne (odciski palców)• Dane dotyczące zdrowia• Dane ekonomiczne• Obrazy twarzy• Dane genetyczne• Dane psychiczne• Przekonania filozoficzne• Dane fizyczne• Dane fizjologiczne• Opinie polityczne• Dane genetyczne• Pochodzenie rasowe lub etniczne• Przekonania religijne• Życie seksualne / orientacja seksualna• Przynależność społeczna• Przynależność do związków zawodowych

• Prawo do złożenia skargi• Prawo do indywidualnej rekompensaty za

uszkodzenia materialne i niematerialne• Ostrzeżenia. Upomnienie. Zakaz Przetwarzania.

Zawieszenie przepływu danych• Grzywny administracyjne do 20 milionów EUR lub

4% globalnych przychodów brutto (zastosowanie ma kwota wyższa)

Transparentność = Uczciwe przetwarzanie = Ujawnianie danych = Zaufanie indywidualneTransparentność musi nastąpić przed gromadzeniem lub przetwarzaniem danych, i przed jakimkolwiek zmianami w przetwarzaniu. Musi być zastosowana w sposób zwięzły i dyskretny.

1. Należy ujawnić cele przetwarzania wszystkich danych obecnych i przyszłych2. Podstawy uzasadnionego interesu, jeśli są stosowane jako wymóg prawny3. Logika stosowana w każdym zautomatyzowanym procesie decyzyjnym uwzględniając profilowanie4. Ujawnienie wszelkich podmiotów przetwarzających dane (stron trzecich) wraz z ich bazami

5. Przesyłanie danych poza EOG (Europejski Obszar Gospodarczy)6. Oczekiwany okres przechowywania danych (retencja)7. Ujawnienie wszystkich praw jednostki8. Ujawnienie sposobu zabezpieczenia danych9. Zapewnienie opcji łatwej rezygnacji

• Ile osób (przyszłych i teraźniejszych klientów z 32 państw) znajduje się w Twojej bazie danych?

• Jakie dane, które mogą identyfikować konkretne osoby gromadzisz lub przetwarzasz?

1. Wyraźna zgoda użytkownika na każdorazowe wykorzystanie2. Zgodność z umową3. Zastosowanie przepisów prawa4. Konkretna korzyść użytkownika5. Zgodność z interesem publicznym

• Nazwisko• Numery identyfikacyjne • Adres domowy• Numer telefonu• Informacje płatnicze• Login• Nazwa użytkownika• Hasło• Adres email• Identyfikator sesji witryny• Geolokalizacja• Identyfikator urządzenia i aplikacji• Adres IP• Cookie (Ciasteczka)• Tagi RFI

• Firmy• Pracownicy• Podmioty przetwarzające dane• Administratorzy danych• Osoby/firmy zarządzające

AustriaBelgiaBułgariaChorwacjaCyprCzechEstoniaFinlandiaGrecjaHiszpania

HolandiaIrlandiaIslandiaLiechtensteinLitwaŁotwaLuksemburgMaltaNiemcyNorwegia

PolskaPortugaliaRumuniaSłoweniaSzwajcariaSzwecjaWęgryWielka BrytaniaWłochy

1. Europejska Rada Ochrony Danych2. Organ nadzoru (lokalny i unijny)3. Przedstawiciele w UE4. Administratorzy danych5. Podmioty przetwarzające dane6. ABI – Administrator Bezpieczeństwa Informacji (firmowy)7. Ocena wpływu na ochronę danych (firmy)8. Certyfikacje9. Kodeks postępowania10. Wiążące reguły korporacyjne11. Klauzule modelowe12. Ochrona Prywatności UE-USA

1. Kto zarządza ich danymi (kontakty)2. W jakim celu gromadzone są dane3. Jak są chronione dane 4. Dlaczego dane są potrzebne5. Jak długo dane są przechowywane6. Jakie prawa przysługują użytkownikowi w zakresie jego danych7. Kto jeszcze będzie miał dostęp do danych