Prezentacja z warsztatów dla galerii i sieci handlowych, ale zawiera informacje przydatne dla każdej firmy, która chce zapewnić sobie zgodność z nowymi przepisami o ochronie danych osobowych - RODO.
Good Stuff Happens in 1:1 Meetings: Why you need them and how to do them well
Jak wdrożyć RODO - ogólne rozporządzenie o ochronie danych osobowych
1. Jak wdrożyć RODO w centrach
i sieciach handlowych?
Partnerzy merytoryczni:
2. iSecure
Doradztwo i szkolenie w zakresie
bezpieczeństwa informacji, w szczególności
ochrony danych osobowych m.in. w branży
e-commerce i sprzedaży tradycyjnej.
www.einstitute.com.pl www.isecure.pl
Zaufali nam m.in.:
3. Tide Software
Nasi klienci generują rocznie:
GŁOS, VMSEMAIL FAKSSMS, MMS
www.tidesoftware.pl
Największy w Polsce dostawca
kompleksowych usług telekomunikacyjnych.
CONTACT CENTER ANKIETY
1 MLD
WIADOMOŚCI EMAIL
0,5 MLD
WIADOMOŚCI SMS
0,4 MLD
POŁ. GŁOS.
5. Zgody - treść i ich zbieranie
TREŚĆ
zrozumiała i łatwo dostępna forma
jasny, prosty język
osoba musi znać co najmniej tożsamość administratora
i cele przetwarzania danych
OK Tak, zgadzam się na przetwarzanie moich danych osobowych przez XYZ z siedzibą w ABC
w celu otrzymywania informacji handlowych drogą elektroniczną
6. Zgody - treść i ich zbieranie
Zgoda dobrowolna? Nie, gdy:
• nie można jej wyrazić z osobna na różne operacje przetwarzania danych
• od zgody uzależnione jest wykonanie umowy – w tym świadczenie usługi klientowi – mimo
że do realizacji usługi zgoda nie jest potrzebna
• okienka domyślnie zaznaczone
• zakładamy, że milczenie / niepodjęcie działania to zgoda
X Twoje dane zbieramy w celu realizacji konkursu. Przystępując do konkursu zgadzasz się na przetwarzanie
ich w tym celu. Dane zwycięzców zostaną upublicznione na naszym Facebooku. Dane wyłącznie w zakresie
e-mail udostępnimy naszym partnerom w celach marketingowych, o ile wyraźnie się temu nie sprzeciwisz.
X Złożenie zamówienia wymaga wyrażenia zgody na kontakt mailowy dotyczący najbardziej aktualnych
promocji. Kliknij poniżej!
X Zgadzam się na udostępnienie moich danych przez XYZ z siedzibą w ABC sponsorowi promocji, tj. AAA
z siedzibą w BBB w celu otrzymywania newslettera.
7. Zgody - treść i ich zbieranie
Jak prawidłowo zebrać zgodę?
Administrator danych, musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła
zgodę na przetwarzanie danych.
PAPIEROWE
BLANKIETY
APLIKACJE
SPRZEDAWCÓW,
eKIOSKI,
TABLETY
ROZMOWA
TELEFONICZNA
FORMULARZE
INTERNETOWE
BEZPIECZNE
Skanowanie
i archiwizacja
Zarządzenie z jednego miejsca
Śledzenie IP
Nagrywanie rozmów
Transkrypcja
Skrypt agentaDouble opt-in email i SMS
Odnotowanie
kiedy, kto i jaką
zgodę wyraził
Odnotowanie kiedy, kto
i jakiego klienta dane
wprowadził
ANKIETY
Dedykowany
link SMS …
8. Zgody - treść i ich zbieranie
Zapisanie się na
newsletter: wysłanie SMS
na krótki numer
z wyraźną zgodą, np.
tak#adres@email.pl
Zapisanie się na
kampanię SMS na krótki
numer: wysłanie SMS
z wyraźną zgodą, np.
tak
Odesłanie SMS
z linkiem do
regulaminu/zgód
i możliwością
wypisania się
wysyłając SMS
o treści STOP lub
NIE
9. Zgody - treść i ich zbieranie
Jak prawidłowo zebrać zgodę?
Zanim osoba wyrazi zgodę musi być poinformowana, że odwołanie zgody nie wpływa na
dopuszczalność przetwarzania danych, które miało miejsce za zgodą, zanim została
wycofana.
Punkt możliwy do spełnienia poprzez rozbudowanie klauzuli informacyjnej, które się stosuje
obecnie przy zbieraniu danych i zgód, np.:
• klauzule informacyjne w regulaminach
• w politykach prywatności
• w formularzach konkursowych
10. Obowiązek informacyjny
Więcej informacji!
• Dane ADO, kontakt do IOD (Inspektora Ochrony Danych)
• Cele przetwarzania danych, podstawa prawna, prawnie uzasadnione interesy
• Odbiorcy lub kategorie odbiorców, transfer - państwa trzecie, organizacje międzynarodowe
• Okres przechowywania danych lub kryteria jego ustalenia
• Prawo do żądania od ADO dostępu do danych osobowych dotyczących osoby, której dane
dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do
wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych
• Prawo do cofnięcia zgody w dowolnym momencie
• Prawo wniesienia skargi do organu nadzorczego
• Czy podanie danych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia
umowy oraz czy osoba jest zobowiązana do ich podania i jakie są ewentualne konsekwencje
niepodania danych
• Zautomatyzowane podejmowanie decyzji, w tym profilowanie, znaczenie i przewidywane
konsekwencje takiego przetwarzania
11. Obowiązek informacyjny
Co zrobić?
Obowiązek informacyjny istnieje zawsze bez względu na to, czy konieczne jest zbieranie
zgody, czy nie
Należy zmienić wszystkie klauzule informacyjne, które mamy do tej pory w regulaminach,
politykach prywatności, umowach, formularzach etc.
Biorąc pod uwagę ogromną ilość treści do przekazania w klauzuli proponujemy:
• wysyłanie klauzuli w linku aktywującym, np. zapis do otrzymywania informacji handlowych,
newsletter, rejestrację w programie
• przekazanie klauzuli pod formularzami elektronicznymi w formie tekstu rozwijalnego (przy
czym zasadnicza część oznaczająca zawartość będzie widoczna)
• opatrzenie klauzul informacyjnych, zwłaszcza przedstawianych w formie tekstu
rozwijalnego, znakami graficznymi (taką możliwość daje RODO)
14. Aktualizacja zgód i obowiązku informacyjnego
Pamiętaj, by sprawdzić różne miejsca:
• Formularze papierowe i elektroniczne
• Pop-up na stronie internetowej
• Stopki e-maili
• Skrypty rozmów contact center
• Panel klienta
Panel klienta
WWW eSklep
Facebook
< kod >
Formularz
< kod >
< kod >< kod >
SYSTEM WSPIERAJĄCY
MARKETING
15. Prawo dostępu do danych
Obowiązek podania określonych w RODO informacji + przekazanie klientowi kopii danych
RODO nie mówi o kopii dokumentu, ale o kopii przetwarzanych danych osobowych
WYCIĄGNIĘCIE
DANYCH
ZSYSTEMU
PODGLĄD
ONLINE
WYSYŁKA
AUTOMATYCZNA
EMAIL/SMS
Wydruk
Eksport XLS/TXT
Możliwość
aktualizacji
lub usunięcia
Bezpieczne
udostępnienie
Żądanie przez
IVR, poproszenie agenta
Wymagana
autoryzacja!
16. Prawo do bycia zapomnianym (usunięcia danych)
Uprawnienie nie jest bezwzględne
Nie zawsze na wniosek osoby dane będzie można/trzeba usunąć dane
WAŻNE: Jeżeli ADO upublicznił dane osobowe, a na mocy RODO ma obowiązek usunąć te
dane, to musi podjąć działania, aby poinformować administratorów przetwarzających te dane
osobowe, że klient żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie
tych danych osobowych lub ich replikacje.
Jak usunąć?
Zależne od konkretnych
sposobów udostępnienia
STRONYWWW FACEBOOK
UDOSTĘPNIENIE
INNYM
Rejestr
publikacji,
udostępnień
Komu,
kiedy?
Najlepiej
w kartotece
klienta
!
DUPLIKATY
RETENCJA
Jedna baza
Hashowanie
17. Powiadomienie o sprostowaniu, usunięciu, ograniczeniu przetwarzania danych
Obowiązek powiadomienia:
• każdego odbiorcy, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub
będzie wymagać niewspółmiernie dużego wysiłku
• osoby, której dane dotyczą, o tych odbiorcach, jeżeli osoba tego zażąda
Jak powiadomić?
Tak, by mieć dowód – e-mail jest dowodem
HISTORIA
UDOSTĘPNIEŃ
HISTORIA
KORESPONDENCJI
Rejestr
udostępnień
Dedykowana skrzynka e-mail
łatwa do przeszukania,
archiwizowana
!
DUPLIKATY
RETENCJAŹródło pozyskania danych
18. Prawo do przenoszenia danych
Gdy ADO przetwarza dane za zgodą bądź na podstawie umowy, w sposób zautomatyzowany,
musi:
• przygotować w ustrukturyzowanym, powszechnie używanym formacie nadającym się do
odczytu maszynowego dane osobowe, które klient dostarczył ADO i przekazać te dane
klientowi
• uwzględnić żądanie osoby, by jej dane zostały przesłane przez ADO bezpośrednio innemu
administratorowi, o ile jest to technicznie możliwe
Jak przenieść?
Udostępnić bezpiecznie
czytelny maszynowo plik
Mieć tego dowód WYCIĄGNIĘCIE
DANYCH
ZSYSTEMU
Eksport
XML/arkusze XLS z opisem
kolumn/TXT/CSV
Bezpieczne
udostępnienie
HISTORIA
KORESPONDENCJI
Dedykowana skrzynka e-mail
łatwa do przeszukania,
archiwizowana
19. Prawo do wniesienia sprzeciwu
Gdy ADO przetwarza dane w oparciu o tzw. „prawnie uzasadniony interes” (np. profilowanie),
musi poinformować o takim prawie każdą osobę.
Jak poinformować?
• Informacja do przekazania każdej osobie, której dane dotyczą (bez względu na źródło
zbierania danych)
• Wyraźnie, jasno i odrębnie od wszelkich innych informacji, najpóźniej przy okazji pierwszej
komunikacji
Odhaczenie
profilowania/
modyfikacja
Rejestr sprzeciwów
Kto i kiedy?
PANELKLIENTA
KARTOTEKA
KLIENTA
Interesuje mnie moda:
damska
męska
dziecięca
Preferencje
profilowania
20. Polityki ochrony danych
Polityki ochrony danych (jeżeli jest to proporcjonalne w stosunku do czynności
przetwarzania) lub dodatkowo zatwierdzone tzw. kodeksy postępowania (opracowane przez
zrzeszenia lub podmioty reprezentujące określoną grupę podmiotów, np. związki branżowe) lub
mechanizmy certyfikacji (certyfikacji dokonują podmioty certyfikujące lub organ nadzorczy)
Jak wdrożyć i przestrzegać?
Utrzymanie lub aktualizacja Polityki bezpieczeństwa danych osobowych i instrukcji
zarządzania systemem informatycznym
Utrzymanie, być może z pewnymi modyfikacjami, wdrożonych dokumentów na zasadzie
dobrych praktyk lub wymogów korporacyjnych, np.: polityki antywirusowe, polityki reagowania
na incydenty, procedury wydawania sprzętu służbowego, procedury nadawania/odbierania
dostępu do sieci, due-dilligence dostawcy pod kątem spełnienia wymogów RODO, polityki
dysponowania hasłami, zasady „czystego biurka” i „czystego ekranu”
21. Przykład polityki bezpieczeństwa
• Brak danych wrażliwych na komputerach pracowników
• Szyfrowanie komputerów i smartfonów
• Nie korzystanie z pendrive
• Przesyłanie baz przez zabezpieczone FTP lub wgrywanie wprost do platformy Tide po
szyfrowanych łączach, na dyski wewnętrzne
• Dostęp tylko z sieci firmy (stały adres IP) lub przez tunel VPN
• Zakaz korzystania z komunikatorów zewnętrznych
• Zmiana haseł do platformy Tide, komputerów i komunikatora co 30 dni
i po każdym odejściu pracownika
• Ustawienia biurek bez możliwości podglądu monitorów
• Powołany ABI – pozostanie po wejściu RODO
• Audyt aktualności polityki bezpieczeństwa i zasad zbierania danych osobowych w
praktyce oraz przestrzegania procedur
• Zapoznanie pracownika z procedurami i zebranie oświadczeń
22. Privacy by design & privacy by default
Domyślna ochrona danych i uwzględnienie ochrony danych w fazie projektowania
– np. minimalizacja danych, procesy umożliwiające osobie dostęp do informacji o własnych
danych, doskonalenie zabezpieczeń, postawienie wymagań wynikających z RODO dostawcom
usług.
Nowość – propozycja „pseudonimizacji” (przetworzenie danych osobowych w taki sposób, by
nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia
dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane
osobno i są zabezpieczone)
Jak opracować?
• Przegląd miejsc, gdzie zbiera się dane i ustalenie minimalnego ich zakresu
• Ustalenie standardów dla dostawców usług
• Ustalenie wspólnie z biznesem oraz IT,
które dane mogą być poddane pseudonimizacji
bez uszczerbku dla działań prowadzonych na bieżąco.
KARTOTEKA
KLIENTA
DQM
23. Powierzenie przetwarzania danych
RODO wymaga rozbudowania umowy powierzenia o dodatkowe, nieznane dotychczas
elementy oraz wyrażenia uprzedniej, ogólnej lub szczegółowej, pisemnej zgody na dalsze
powierzenie.
Jak powierzać dane?
• Opracowanie nowego wzoru umowy powierzenia, zastępującej poprzednie ustalenia
z dostawcami
• Opracowanie nowych postanowień, wprowadzanych do obecnie zawartej umowy aneksem
• Udzielenie odrębnie, w formie pisemnego oświadczenia, zgody na dalsze powierzenie
konkretnemu podwykonawcy lub grupie podwykonawców
• Udzielenie zgody na dalsze powierzenie (ogólnej lub szczegółowej) w treści zapisów
nowego projektu umowy lub aneksu
• Można zacząć już dzisiaj!
24. Bezpieczeństwo przetwarzania
RODO wymaga rozważenia następujących środków:
• omówiona pseudonimizacja i szyfrowanie danych
• zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności
systemów i usług przetwarzania
• zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich
w razie incydentu fizycznego lub technicznego
• regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych
i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania
Jak zapewnić bezpieczeństwo przetwarzania?
• Regularne audyty bezpieczeństwa, plany audytów
• Plany ciągłości działania
• Testy penetracyjne
KARTOTEKA
KLIENTA
Blokada eksportu
danych
Jedna kartoteka
Jedno miejsce
Ograniczenie
dostępu do
zakresu
danych
Chmura
25. Aspekty bezpieczeństwa – outsourcing/ dostawcy usług
• Pełna integracja usług
• Dedykowane data center z podwójnymi ścianami,
alternatywnymi łączami, zasilaniem i ochroną fizyczną
• Dostęp w obrębie data center – wydzielane strefy z osobnymi
wejściami, dostępem na kartę dostępową, zamykane na klucz
szafy na sprzęt, monitoring skierowany na szafy
• Dostęp do danych na nośniku (dysków, taśm, itp.)
szyfrowane
• Dane w dużych/wielodyskowych RAID (wiele dysków) - jedna
informacja zapisana jest na wielu dyskach
• Nośniki typu taśmy przechowywane w specjalnych sejfach
• Redundancja sprzętu i budowa macierzowa dysków
• Redundantne data center
Kontrola
dostępu do sprzętu
nośników danych
przechowywania
użytkowników
dostępu do danych
przesyłu danych
wprowadzania danych
transportu
Ciągłość
odzyskiwanie
niezawodność
integralność
26. Zgłaszanie naruszeń bezpieczeństwa
Wymagana szybka reakcja
Zgłaszanie naruszeń do organu (do 72h) i ewentualnie osoby, której dane dotyczą
(niezwłocznie) + dokumentowanie naruszeń
Jak przygotować się?
• Kto ma w praktyce przygotować zgłoszenie – dział prawny, ABI? Kto ma w praktyce
dokumentować naruszenie – IT, ABI? Wyznaczenie osób uczestniczących w: przekazywaniu
informacji źródłowych, wyjaśnianiu, eliminowaniu skutków naruszeń, przygotowaniu
zgłoszenia, dokumentowaniu naruszeń
• Wprowadzenie procedury reagowania na incydenty
• Prowadzenie rejestru naruszeń
• Uwaga – dostawcy po stwierdzeniu naruszenia ochrony danych bez zbędnej zwłoki muszą je
zgłosić do ADO!
27. Wyznaczenie Inspektora Ochrony Danych
ADO nie zawsze obowiązkowy
Brak obowiązku, chyba że m. in. główna działalność ADO polega na przetwarzaniu danych,
które wymaga regularnego i systematycznego monitorowania osób, których dane dotyczą, na
dużą skalę.
Jak wyznaczyć Inspektora Ochrony Danych (IOD)?
• IOD jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy
fachowej na temat prawa i praktyk w dziedzinie ochrony danych
• IOD musi potrafić wypełnić zadania przypisane mu na mocy RODO
• IOD może być członkiem kadry wewnętrznej lub wykonywać zadania na podstawie umowy o
świadczenie usług
• Wyznaczenie? Np. umowa, zakres zadań, uchwała, zarządzenie
• Co z zadaniami, które są do wykonania u ADO, a nie są przypisane wprost do IOD?
Rozszerzenie kompetencji a akcie powołującym lub umowie, lub wewnętrznym dokumencie,
który opisuje zakres zadań
28. Dziękujemy za uwagę
Katarzyna Ułasiuk
Zagadnienia prawne
tel. 601 509 242
kontakt@isecure.pl
www.isecure.pl
TideSoftware
tel: 22 29 27 901
info@tidesoftware.pl
www.tidesoftware.pl
Hinweis der Redaktion
Wymagana integracja z kartoteką klienta
ASIA QUIZ
RODO nie mówi o kopii dokumentu, ale o kopii danych osobowych
W praktyce np. wygenerowanie w jednym miejscu dokumentu (papierowego czy elektronicznego) zawierającego treść danych osobowych konkretnej osoby.
W przypadku formularzy papierowych - zrobienie kopii samego dokumentu albo wypisanie danych z dokumentu.
W przypadku dokumentów elektronicznych – np. zrzut z ekranu, ręcznie przepisanie do innego miejsca (np. dedykowanego pliku elektronicznego, następnie drukowanego czy przesyłanego e-mailem) lub wprowadzenie możliwości „wyrzucenia” danych klienta z systemu informatycznego do pliku (np. przy rekordzie klienta w systemie opcja eksportu do pliku .xls lub .pdf).
Zależne od konkretnych sposobów udostępnienia danych (np. od stron internetowych, na których opublikowano dane osobowe, np. imion i nazwisk laureatów konkursów opublikowanych na Facebook’u, czy od danych osobowych udostępnionych innej firmie w celach marketingowych)
Jak wiedzieć, kogo i o czym poinformować? Np. wewnętrzne rejestry udostępnień: uzupełniane przez pracowników w formie elektronicznej czy papierowej odrębne pliki lub odnotowanie przez pracownika informacji o udostępnieniu w systemie informatycznym (np. w dedykowanym do tego polu przy rekordzie klienta)
Jak powiadomić?
niezwykle przydatny będzie rejestr udostępnień
powiadomienie każdego odbiorcy bądź samej osoby, której dane dotyczą, o ile tego zażąda, powinno mieć formę co najmniej e-mailową, dla celów dowodowych.
JAK?
pliki w formacie .xml (czytelny dla innego systemu)
arkusze kalkulacyjne z opisem kolumn, które mogą być eksportowane do formatu CSV
jeżeli jest to technicznie możliwe – na żądanie klienta przekazanie jego dane do innego administratora (którego taka osoba musiałaby wcześniej wskazać) – pamiętać o zachowaniu formy dla udowodnienia!
Prawo może być zapewnione klientowi poprzez „zautomatyzowane środki wykorzystujące specyfikacje techniczne” (np. odklikanie pól w panelu klienta)
Można prowadzić wewnętrzne rejestry sprzeciwów (ręcznie, przez pracowników w postaci odrębnych tabel, wykazów, list lub w systemie informatycznym przetwarzającym dane osobowe), obejmujące co najmniej informację o tym, kto i kiedy sprzeciw wniósł