1. Confidential information for the sole benefit and use of PwC’s client.
Webinarium: Wdrożenie RODO krok po kroku.
Uporządkowanie działań
Warszawa, 08.02.2017
2. Przygotowanie do RODO
2
2 3
54321
Zbuduj
świadomość
Zbuduj zespół
i znajdź
sponsora
Zidentyfikuj
procesy
i dane
Zrób analizę
stanu obecnego
i luk
Przygotuj
plan
3. Pytanie 1: Czy mają Państwo
przygotowany plan wdrożenia RODO?
3
A) Tak
B) Nie
Wyniki:
16%
84%
Tak
Nie
5. Jak RODO zmienia podejście do ochrony danych osobowych?
Przed uchwaleniem RODO Po uchwaleniu RODO
Różne przepisy
w każdym kraju członkowskim UE
Jednolite rozporządzenie, obowiązujące w takim
samych brzmieniu na terenie całej Unii Europejskiej
Podejście od strony jednorazowej (początkowej)
oceny potrzeb ochrony danych osobowych
Podejście od strony każdorazowej analizy ryzyka.
Ochrona danych osobowych jako ciągły proces
Możliwość podjęcia działań korygujących
po wykryciu naruszenia, prowadzących do
oddalenia ryzyka sankcji
Istotne ograniczenie lub brak możliwości działań
korygujących (oddalających ryzyko sankcji)
po wykryciu nieprawidłowości
Ograniczone realne możliwości
egzekwowania zgodności z przepisami
Odstraszające kary, które wesprą egzekwowanie
zgodności z przepisami RODO
5
6. Obudź i zbuduj świadomość w Twojej firmie
6
Marketing
Compliance
Audyt
wewnętrzny
Dział
prawny
Bezpieczeństwo
Dział
Zakupów
Poprzednio obowiązujące przepisy
o ochronie danych osobowych
Rozporządzenie o ochronie danych
osobowych
Obsługa
Klienta
Administrator
Bezpieczeństwa Informacji
(ABI)
HR IT
7. W projekt wdrożenia RODO zaangażuj całą organizację
7
HR
Obsługa Klienta /
Marketing
Dział
prawny
Bezpieczeństwo /
IT
Audyt wewnętrzny /
Compliance
Firma
Koordynator
działań
(PM projektu
RODO)
Sponsor
projektu
8. Zrozum procesy, które mają miejsce w Twojej firmie
8
Sprzedaż
(Core Business)
Pozyskanie jak najwięcej
danych klienta
i zgody klienta na
wykorzystanie danych
Komunikacja z klientem
poprzez różne kanały:
internet, partnerzy, bazy
klienckie, własna sieć
sprzedaży
Przepływ danych klientów
wewnątrz organizacji do
obsługi np.:
• Bieżącej obsługi
kontraktu
• Reklamacji
• Windykacji
• Fakturowania
• Rozliczenia
Przepływ danych do
partnerów zewnętrznych
(outsourcing usług, wymogi
prawne np. BIK, UFG)
Przetwarzanie danych
w systemach IT
Analiza danych klientów do
oceny ryzyka, tworzenia
nowych produktów (big data)
Profilowanie klienta,
przygotowanie dedykowanych
akcji marketingowych,
korelacja zachowania klienta
(Marketing)
Pozyskanie nowych
partnerów/dostawców
w procesie zakupowym
Ocena ryzyka (Ryzyko),
Zapewnienie zgodności działania organizacji z RODO (Compliance)
Audyt wewnętrznych procesów
Mitygacja ryzyka wycieku danych z systemów (Bezpieczeństwo systemów)
Detekcja wycieku danych (HR i Bezpieczeństwo)
Bezpieczeństwo danych HR własnych pracowników i współpracowników
Wsparcie
Core Business
Obsługa posprzedażowa
(Core Business)
Wsparcie sprzedaży
(Core Business)
9. Znajdź dane w Twojej firmie
9
Core
Business
Non-core
Business
• Klienci
• Partnerzy
• Kontrahenci
• Pacjenci
• Obywatele
• …
• Pracownicy
• Współpracownicy
• Dostawcy usług
• Reprezentanci
podmiotów
kontaktujących się
z firmą
• …
Systemy Interfejsy
Zbiory
tradycyjne
Dane
nieustru-
kturyzowane
11. Poszukaj odpowiedzi na kluczowe pytania
11
1. Czy mam już rejestr operacji przetwarzania danych?
2. Czy dostosowałem procesy do wymagań RODO?
3. Czy jestem gotowy na zgłaszanie naruszeń?
4. Czy przeprowadziłem analizę ryzyka?
5. Czy mam procedury reakcji na żądania klientów?
6. Czy wolno mi przesłać dane do spółek z grupy?
7. Czy systemy IT adresują retencję danych?
8. Jaki mam apetyt na ryzyko?
12. Pamiętaj, że wynik analizy luk wpływa na plan wdrożenia
i jego korektę
12
Analiza luk pozwoli na określenie konieczności korekty planu wdrożenia RODO:
• Czy trzeba zmodyfikować priorytety?
• Czy trzeba zmodyfikować harmonogram i działania?
• Czy trzeba zmodyfikować budżet?
Analiza pozwoli wrócić do sponsora projektu i ustalenie apetytu na ryzyko.
1 2 3 4 6
Ludzie
2 3 4
Systemy Procesy,
Procedury
Umowy
13. Ustal apetyt na ryzyko w Twojej firmie
13
VS.
Wybierz model
działania:
• Redukcja ryzyka
• Transfer ryzyka
• Zachowanie ryzyka
14. W toku projektu, zwróć uwagę na poniższe elementy, zapewniające
zgodność z RODO
Zarządzanie
projektem
1.
Inwentaryzacja
danych osobowych
2.
Rejestr czynności
przetwarzania
danych
3.
Privacy Impact
Assessment
4.
Privacy by
Design
5.
Privacy by
Default
6.
Retencja
i usuwanie danych
7.
Profilowanie
8.
Incydenty
9.
Weryfikacja
podmiotu
przetwarzającego
10.
Umowy
powierzenia
11.
Podstawa prawna
przetwarzania
danych
12.
Obowiązek
informacyjny
13.
Interakcja
z osobami, których
dane dotyczą
14.
Transfer danych do
państw trzecich
15.
Zabezpieczenie
danych
16.
Polityki ochrony
danych
17.
Szkolenia,
organizacja,
komunikacja
18.
Konsultowanie
przetwarzania
danych z organem
nadzoru
19.
Pseudonimizacja
20.
Powdrożeniowy
RODO Assistance
15. Renegocjacje obecnych
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
Szkolenia
Sprawdź wykonalność planu w swojej organizacji
15
Komunikacja
Dostosowanie procesów i procedur organizacyjne i formalne
Wycena i proces
zakupowy
Wymagania
Analiza
luki
Analiza ryzyka Plan
Wymagania
do umów
Nowe procesy Reorganizacja
Nowe umowy
Renegocjacje obecnych
Renegocjacje obecnych
Opracowanie
szkoleń
Ocena podmiotu
przetwarzającego dane
Ocena podmiotu
przetwarzającego daneOcena podmiotu
przetwarzającego daneOcena podmiotu
przetwarzającego dane
Nowe procedury
Renegocjacje obecnych
Implementacja
TestGotowości
Umowy
Systemy
Procesy
Ludzie
25 maja 2018
16. Wdrożenie RODO ma dualistyczny charakter
16
Zmieniłem
w firmie to, czego
wymaga
rozporządzenie
Zaszyłem ochronę
danych osobowych
w DNA firmy
Pamiętaj, że:
• RODO to ciągły proces w miejsce jednorazowych działań
• RODO to podejście od strony analizy ryzyka
• RODO oznacza zaszycie ochrony danych osobowych
w DNA firmy i dbanie o zachowanie zgodności
z zapisami w przyszłości
17. Pytanie 2: Czy przewidzieliście
Państwo budżet na wdrożenie RODO?
A) Tak
B) Nie
Wyniki:
15%
85%
Tak
Nie
17
18. Planując projekt…
18
1 3 62 3
Zadbaj o:
• Świadomość
• Sponsora
• Skład zespołu
• Harmonogram
• Budżet
Zwróć uwagę na
najczęściej popełniane
błędy:
• Brak Sponsora
• Brak koordynacji
• Rozproszony plan
Pamiętaj o:
• Wpisaniu RODO
w działający organizm firmy
• Lojalności i zaufaniu
pracowników
• Uwzględnieniu RODO
w nowych technologiach
19. 17/02/08
Dziękujemy za uwagę
Sylwia Pusz
Partner
Tel.: +48 603 33 33 09
sylwia.pusz@pl.pwc.com
Anna Kobylańska
Adwokat
Tel.: +48 519 50 62 26
anna.kobylanska@pl.pwc.com
Liliana Zużewicz-Masny
Menadżer
Tel.: +48 519 50 79 64
liliana.zuzewicz-masny@pl.pwc.com
RODOtyka – czytaj o zmianach w podejściu do ochrony danych osobowych