Carrefour - Ochrona danych osobowych

Ochrona danych osobowych

Szkolenie wstępne dla pracowników Carrefour Polska sp. z o. o.

Szkolenie ma na celu:

Ochrona danych w Carrefour Polska

Dlaczego Carrefour chroni dane osobowe?

1) Oczekują tego nasi klienci.

Carrefour, w ramach swojej działalności biznesowej, przetwarza dane osobowe klientów.

Zwrócenie uwagi na te obowiązki oraz wyjaśnienie Twojej roli w procesach dotyczących ochrony danych jest pierwszym celem tego szkolenia.

 

2) Takie jest prawo

Polskie prawo ochrony danych osobowych nakłada na Carrefour określone obowiązki. Aby realizacja tych obowiązków była możliwa, pracownicy muszą mieć świadomość, że te obowiązki istnieją, mieć podstawową wiedzę z zakresu danych osobowych oraz umieć zidentyfikować, kiedy takie obowiązki się pojawiają.

Drugim celem tego szkolenia jest poinformowanie Ciebie, jak przetwarzać dane osobowe, aby spełnić wymagania nakładane na Carrefour przez przepisy prawa.

 

Ustawa o ochronie danych osobowych

Podstawowym polskim aktem prawnym regulującym kwestię prywatności jest Ustawa o ochronie danych osobowych. Ustawa wyjaśnia na przykład, kto to jest administrator danych osobowych, czym jest umowa powierzenia oraz jakie są kompetencje Generalnego Inspektora Ochrony Danych Osobowych. Ten akt prawny wyznacza również podstawowe obowiązki, jakie mają wszystkie podmioty przetwarzające dane osobowe.

Nie wymagamy od Ciebie dobrej znajomości ustawy o ochronie danych osobowych. Piszemy o niej wyłącznie dlatego, abyś wiedział/a, że taki akt istnieje oraz jaka jest jego rola.

W razie potrzeby, jeżeli chcesz sięgnąć do źródła prawnego, aktualną wersję ustawy (tzw. tekst ujednolicony) znajdziesz zawsze na stronie Internetowego Systemu Aktów Prawnych pod tym adresem:

http://isip.sejm.gov.pl/DetailsServlet?id=WDU19971330883

Unijna reforma prawa ochrony danych osobowych

Obecnie europejska struktura ochrony danych opiera się na Dyrektywie 95/46/WE i implementujących ją krajowych aktach prawnych. Dyrektywa zawiera ogólne zasady dotyczące ochrony i przetwarzania danych osobowych i jest skierowana do państw członkowskich, które dopiero na jej podstawie tworzą krajowe przepisy.

Dyrektywa została uchwalona w 1995 roku, większość implementujących ją krajowych aktów prawnych weszło w życie niewiele później (polska ustawa o ochronie danych osobowych pochodzi z 1997 roku). Przez ostatnie 20 lat nieco się jednak zmieniło, na przykład w zakresie przetwarzania i przekazywania danych osobowych z wykorzystaniem Internetu i nowych technologii. Dodatkowo, akty prawne krajów UE w zakresie ochrony danych różnią się od siebie i niekiedy w zupełnie inny sposób regulują te same kwestie. To wszystko stało się impulsem do dokonania poważnej, europejskiej reformy prawa ochrony danych osobowych.

Prawo obecnie Prawo po 25 maja 2018 r.

Unia Eurpejska

Dyrektywa 95/46/WE o ochronie danych

 

Polska

Ustawa o ochronie danych osobowych

Unia Europejska

Rozporządzenie Parlamentu Europejskiego i Rady(UE) 2016/679 (GDPR)

Uwaga: Tabela zawiera pewne uproszczenie: w Polsce dalej będzie akt prawny o nazwie "Ustawa o ochronie danych", lecz jego znaczenie będzie dużo mniejsze niż obecnie. Głównym aktem prawnym, regulującym prawa i obowiązki w zakresie przetwarzania danych osobowych, będzie GDPR.

Na czym polegają zmiany?

Podstawową zmianą będzie zastąpienie Dyrektywy i krajowych przepisów jednym aktem prawnym, wspólnym dla wszystkich państw członkowskich Unii Europejskiej – Rozporządzeniem Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych, zwanym potocznie GDPR – General Data Protection Regulation. W prawie unijnym rozporządzenie to akt prawny, który obowiązuje bezpośrednio w krajach członkowskich. Oznacza to, że Sejm nie będzie musiał uchwalać żadnych dodatkowych ustaw ani innych aktów prawnych – nowe prawo będzie bezpośrednio wiązało podmioty, które przetwarzają dane. Nie będzie już ustawy o ochronie danych osobowych w obecnym kształcie; dla Kowalskiej w Polsce, Smitha w Wielkiej Brytanii, Garcii w Hiszpanii i Dimitrova w Bułgarii podstawowym aktem regulującym kwestię ochrony jego lub jej danych osobowych będzie właśnie to rozporządzenie.

Kiedy nowe prawo zacznie obowiązywać?

GDPR zostało już przyjęte przez Parlament Europejski w kwietniu 2016 roku. Nowe prawo zacznie obowiązywać od 25 maja 2018 roku.

Co ta zmiana oznacza dla Carrefour?

GDPR wprowadza sporo zmian związanych z ochroną danych osobowych. Jedną z największych zmian dla polskich przedsiębiorców jest wprowadzenie kar finansowych za uchybienia w realizacji obowiązków wynikających z tego aktu prawnego.

 

Co musicie wiedzieć o GDPR?

Możecie spotkać się z następującymi nazwami nowego aktu prawnego:

GDPR General Data Protection Regulation
RODO, rozporządzenie Rozporządzenie o Ochronie Danych Osobowych

Chcielibyśmy, abyście zapamiętali, że rozporządzenie wejdzie w życie w maju 2018 roku.

Więcej o nowym prawie oraz o tym, czego oczekuje od Ciebie Carrefour w związku z jego wprowadzeniem dowiesz się w kolejnych częściach szkolenia.

Kiedy zacznie obowiązywać wprowadzone unijną reformą prawo ochrony danych danych osobowych?

  • Już obowiązuje
  • 1 stycznia 2017 r.
  • 25 maja 2017 r.
  • 25 maja 2018 r.

Administrator Bezpieczeństwa Informacji

Administrator Bezpieczeństwa Informacji (ABI)

ABI, czasem zwany również DPO (Data Protection Officer) jest osobą wyznaczoną przez ADO, nadzorującą przestrzeganie zasad ochrony danych osobowych w strukturze organizacyjnej administratora danych.

ABI chętnie odpowie na wszelkie pytania i wątpliwości dotyczące ochrony danych osobowych. Rolą ABI jest również ocena projektów pod kątem ich oddziaływania na ochronę danych oraz obsługa incydentów związanych z danymi osobowymi. 

ABI w Carrefour

W Carrefour Polska rolę ABI pełni Marcin Cwener, pracownik Omni Modo - firmy doradczej specjalizującej się w ochronie informacji.

Skontaktujesz się z ABI mailowo lub telefonicznie:

m.cwener@omnimodo.com.pl   |   690 380 382



Podstawowe pojęcia

Dane osobowe

Co to są dane osobowe?

Nie ma ściśle ustalonego katalogu informacji, które są danymi osobowymi. Zgodnie z definicją ustawową, dane osobowe to

"wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej".


Informacja może więc jednocześnie być daną osobową z punktu widzenia jednego podmiotu, a nie być z nią z punktu widzenia innego. Przykładem będzie wewnętrzny numer identyfikacyjny klienta. Jeżeli spółka nada Adamowi Kowalskiemu numer klienta 123456, to dla pracowników tej spółki ten numer będzie daną osobową, ponieważ łatwo mogą sprawdzić, kto się pod tym numerem kryje — będzie to dla nich "informacja dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej". Dla osób z zewnątrz, które nie są w stanie połączyć numeru klienta z konkretną osobą fizyczną, nie będzie to dana osobowa, ponieważ dla nich jest to jedynie ciąg cyfr.


Następujące informacje należy ZAWSZE uważać za dane osobowe:

  • imię i nazwisko,
  • PESEL, 
  • numer i seria dokumentu tożsamości (paszport, dowód osobisty).


Następujące informacje MOGĄ być danymi osobowymi:

  • wygląd zewnętrzny, linie papilarne, wzrost, waga, wiek
  • adres e-mail,
  • adres IP komputera,
  • MAC (Adres sieciowy) urządzenia mobilnego,
  • status majątkowy, lista zaległości finansowych,

Kiedy te informacje będą dla nas danymi osobowymi? Wtedy, kiedy dotyczą zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Ustalenie, czy konkretna informacja to dane osobowe jest czasem trudna — jeżeli w ramach obowiązków służbowych napotkasz taką konieczność, skontaktuj się z ABI, który pomoże ustalić, które informacje stanowią dane osobowe.



Dane wrażliwe

DANE WRAŻLIWE

Istnieje specjalna kategoria danych osobowych, którą nazywamy danymi wrażliwymi. Przetwarzanie danych, które znajdują się w tej kategorii, jest objęte większymi obostrzeniami oraz wymaga wyższych zabezpieczeń.

Art. 27 ustawy o ochronie danych osobowych:

Zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

Jest to lista wyczerpująca, zatem inne dane, np. informacja o wynagrodzeniu lub numer PESEL, nie są danymi wrażliwymi.

 

Co robić, gdy pojawią się dane wrażliwe?

Skontaktuj się z ABI.

Administrator danych osobowych

Administrator danych osobowych

Podmiot, który podejmuje decyzje dotyczące przetwarzania danych. Administrator danych osobowych to w skrócie ADO.

Ustalenie, kto jest ADO danego zbioru danych jest niezwykle istotne. 

ADO ma obowiązek chronić interesy osób, których dane przetwarza.

Podmiot przetwarzający

Przy wykonywaniu działalności biznesowej Carrefour korzysta z podmiotów zewnętrznych, które na nasze zlecenie wykonują określone czynności. Jeżeli w ramach tych czynności przetwarzane są dane osobowe, dochodzi do powierzenia przetwarzania danych osobowych. Podmiot zewnętrzny, który na zlecenie administratora danych osobowych przetwarza dane, nazywamy procesorem.

Gdy Carrefour dokonuje powierzenia danych osobowych innemu podmiotowi, musimy spełnić następujące obowiązki:

  • należy podpisać umowę, regulującą obowiązki procesora (tzw. umowa powierzenia),
  • należy kontrolować, czy proces swoje obowiązki wykonuje, tj. czy stosowane przez niego zasady przetwarzania danych osobowych są zgodne z prawem i umową powierzenia.

Pamiętaj! 

Jeżeli Ty lub Twój dział zleca podmiotom zewnętrznym czynności, w ramach których przetwarzane są dane osobowe, musisz zadbać, aby powyższe obowiązki były spełnione.

Aktualny wzór umowy powierzenia oraz odpowiedzi na wszelkie pytania otrzymasz od Działu Compliance/ABI (DO USTALENIA)

Które kategorie informacji mogą stanowić dane osobowe?

  • Imię
  • Adres e-mail
  • Informacja o stanie konta
  • Zainteresowania

Administrator danych osobowych - wskaż prawdziwe zdania

  • Każdy pracownik Digital Care jest administratorem danych osobowych.
  • Musi zadbać, aby przetwarzania danych osobowych było zgodne z prawem.
  • Jest odpowiedzialny za naruszenia danych osobowych, które przetwarza.
  • To podmiot, który decyduje, w jakim celu i jakimi środkami przetwarzać dane osobowe.
  • Przed rozpoczęciem przetwarzania zawsze musi to zgłosić do GIODO
  • Powinien zawrzeć umowy powierzenia z firmami, którym powierza przetwarzanie danych osobowych.