Download - Webcast RODO (maj 2016)
Ogólne rozporządzenie o ochronie danych
osobowych
Zmiany dla sektora finansowego
Prowadzący:
Agata Jankowska-GalińskaManaging Associate, Radca prawnyDeloitte Legal
Katarzyna SawickaAssociateDeloitte Legal
Agenda1. Rozszerzenie definicji danych osobowych
2. Zwiększenie zakresu obowiązków:a) warunki uzyskiwania zgody na przetwarzanie danych osobowychb) szersze obowiązki informacyjnec) obowiązek powołania Inspektora Ochrony Danych i jego kompetencjed) zgłaszanie incydentów
3. Zasady privacy by default oraz privacy by design
4. Privacy impact assesment - ocena skutków przetwarzania danych dla prywatności
5. Wdrożenie programu zgodności przetwarzania danych – rozliczalność
6. Profilowanie
7. Dodatkowe obowiązki dla przetwarzających dane na zlecenie
8. Uprawnienia osób fizycznych:a) przenoszenie danychb) prawo sprzeciwuc) prawo do bycia zapomnianymd) wnoszenie skarge) prawo do odszkodowania
9. Przetwarzanie danych przez podmioty spoza UE2
Deloitte Legal, Pasternak, Korba, Moskwa, Jarmul i Wspólnicy Kancelaria Prawnicza sp.k
Rozporządzenie UE 2016/679
3Deloitte Legal, Pasternak, Korba, Moskwa, Jarmul i Wspólnicy Kancelaria Prawnicza sp.k
Ogólne Rozporządzenie o Ochronie Danych Osobowych
4Deloitte Legal, Pasternak, Korba, Moskwa, Jarmul i Wspólnicy Kancelaria Prawnicza sp.k
• ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
• Zastosowanie: od dnia 25 maja 2018 r.
• Cel: taka sama ochrona danych osobowych wszystkich obywateli Unii.
• Zastąpi: Dyrektywę 95/46/WE o ochronie danych osobowych z 1995 roku oraz ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
Definicja danych osobowych
5Deloitte Legal, Pasternak, Korba, Moskwa, Jarmul i Wspólnicy Kancelaria Prawnicza sp.k
Definicja danych osobowych
6Deloitte Legal, Pasternak, Korba, Moskwa, Jarmul i Wspólnicy Kancelaria Prawnicza sp.k
- uwzględnienie postępu technologicznego
Dyrektywa 95/46/WE:„dane osobowe" oznacza wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej ("osoby, której dane dotyczą"); osoba możliwa do zidentyfikowania to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, szczególnie przez powołanie się na numer identyfikacyjny lub jeden bądź kilka szczególnych czynników określających jej fizyczną, fizjologiczną, umysłową, ekonomiczną, kulturową lub społeczną tożsamość
Definicja danych osobowych
7Deloitte Legal, Pasternak, Korba, Moskwa, Jarmul i Wspólnicy Kancelaria Prawnicza sp.k
Rozporządzenie:
„dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”);
możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
Obowiązki administratorów
8Deloitte Legal, Pasternak, Korba, Moskwa, Jarmul i Wspólnicy Kancelaria Prawnicza sp.k
Obowiązki administratorów – zgoda na przetwarzanie danych
Zgoda – okazanie woli:a. dobrowolne
• rzeczywisty wybór• brak negatywnych konsekwencji odmowy• brak równowagi stron
b. konkretnec. świadomed. jednoznaczne e. dane osobowe dzieci
9Deloitte Legal, Pasternak, Korba, Moskwa, Jarmul i Wspólnicy Kancelaria Prawnicza sp.k
Zgoda na przetwarzanie danych osobowych
10Deloitte Legal, Pasternak, Korba, Moskwa, Jarmul i Wspólnicy Kancelaria Prawnicza sp.k
Forma – dowolna, ale jednoznaczna i wyraźnaTak: czynność potwierdzającaNie: domyślne okienka, brak działania uznany za zgodę• wykazanie pozyskania zgody
• forma:
zrozumiała i łatwo dostępna
sformułowana jasnym i prostym językiem
nie powinno zawierać nieuczciwych warunków
prawidłowe pozyskanie zgody – warunek zgodności z prawem przetwarzania danych
zgody wyrażone zgodnie z dyrektywą 95/46/WE – aktualne, jeśli spełniają warunki Rozporządzenia
Szersze obowiązki informacyjne
11Deloitte Legal, Pasternak, Korba, Moskwa, Jarmul i Wspólnicy Kancelaria Prawnicza sp.k
• Zasada przejrzystości informacji dotyczących przetwarzania danych:• łatwo dostępne • zrozumiałe • sformułowane jasnym i prostym językiem
• Zapewnienie informacji o:• ryzykach • zasadach • zabezpieczeniach • prawach związanych z przetwarzaniem danych osobowych• sposobach wykonywania praw
Obowiązki informacyjne
12Deloitte Legal, Pasternak, Korba, Moskwa, Jarmul i Wspólnicy Kancelaria Prawnicza sp.k
administrator ułatwia wykonywanie praw osobom fizycznym
wykorzystanie standardowych znaków graficznych
informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania
współadministratorzy danych
Zakres informacji
13Deloitte Legal, Pasternak, Korba, Moskwa, Jarmul i Wspólnicy Kancelaria Prawnicza sp.k
• tożsamość i dane kontaktowe administratora (przedstawiciela)
• dane kontaktowe inspektora ochrony danych
• cele przetwarzania danych osobowych
• podstawa prawna przetwarzania
• prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią
• informacja o odbiorcach danych osobowych lub o kategoriach odbiorców
• informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej
Zakres informacji
14Deloitte Legal, Pasternak, Korba, Moskwa, Jarmul i Wspólnicy Kancelaria Prawnicza sp.k
• okres, przez który dane osobowe będą przechowywane (kryteria ustalania tego okresu)
• informacje o prawie do żądania od administratora dostępu/sprostowania/usunięcia danych osobowych
• prawo do cofnięcia zgody• informacja o prawie wniesienia skargi do organu nadzorczego• informacja, czy podanie danych osobowych jest wymogiem ustawowym
lub umownym lub warunkiem zawarcia umowy • Informacja, czy podanie danych jest obowiązkowe• konsekwencje niepodania danych• informacje o zautomatyzowanym podejmowaniu decyzji
Inspektor Ochrony Danych
15Deloitte Legal, Pasternak, Korba, Moskwa, Jarmul i Wspólnicy Kancelaria Prawnicza sp.k
Obowiązki inspektora ochrony danych
16Deloitte Legal, Pasternak, Korba, Moskwa, Jarmul i Wspólnicy Kancelaria Prawnicza sp.k
12345
informowanie o obowiązkach wynikających z rozporządzenia i innych przepisów
doradzanie w sprawie obowiązków.
monitorowanie przestrzegania przepisów oraz polityk, szkolenia, audyty
udzielanie zaleceń co do oceny skutków dla ochrony danych
współpraca z organem nadzorczym
6 punkt kontaktowy dla organu nadzorczego
Inspektor ochrony danych
17Deloitte Legal, Pasternak, Korba, Moskwa, Jarmul i Wspólnicy Kancelaria Prawnicza sp.k
• wyznaczenie: obowiązkowe / fakultatywne• kwalifikacje zawodowe• status w organizacji• „punkt kontaktowy” dla osób fizycznych• wykonywanie innych obowiązków
Zgłaszanie naruszeń ochrony danych
18Deloitte Legal, Pasternak, Korba, Moskwa, Jarmul i Wspólnicy Kancelaria Prawnicza sp.k
1. Naruszenie ochrony danych osobowych
• naruszenie bezpieczeństwa
• prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych
2. Zgłaszanie organowi nadzoru:• niezwłocznie, max. 72 h• opis charakteru naruszenia ochrony danych osobowych• oznaczenie punktu kontaktowego• opis możliwych konsekwencji• opis środków w celu zaradzenia naruszeniu
3. Zawiadomienie osoby, której dane dotyczą:
• wysokie ryzyko naruszenia praw lub wolności osób fizycznych
• wdrożenie odpowiednich środków technicznych i organizacyjnych środków ochrony
4. Zawiadomienie o naruszeniu a wysokość kary
Zgłaszanie naruszeń ochrony danych
Privacy by default oraz privacy by design
Privacy Impact Assessment (PIA)
19Deloitte Legal, Pasternak, Korba, Moskwa, Jarmul i Wspólnicy Kancelaria Prawnicza sp.k
Zasady privacy by default oraz privacy by design
20Deloitte Legal, Pasternak, Korba, Moskwa, Jarmul i Wspólnicy Kancelaria Prawnicza sp.k
• uwzględnianie ochrony danych w fazie projektowania • domyślna ochrona danych
• brane pod uwagę podczas opracowywania i projektowania produktów, usług i aplikacji opierających się na przetwarzaniu danych
pseudonimizacja minimalizacja danych zabezpieczenia
• Art. 25 Rozporządzenia
Privacy impact assesment (PIA) -ocena skutków przetwarzania danych dla prywatności
21Footer
• podejście oparte na analizie ryzyka• wysokie ryzyko naruszenia praw lub wolności osób fizycznych• oszacowanie ryzyka: źródło, charakter, specyfika, stopień, cele
przetwarzania• kiedy dokonać oceny:
nowe technologie przetwarzanie o dużej skali wpływ na dużą liczbę osób profilowanie
Zapewnienie zgodności przetwarzania danych z prawem
22Deloitte Legal, Pasternak, Korba, Moskwa, Jarmul i Wspólnicy Kancelaria Prawnicza sp.k
23
Zgodność przetwarzania danych z prawem
Footer
Główne zasady przetwarzania danych osobowych:
• Zgodność z prawem, rzetelność i przejrzystość• Ograniczenie celu• Minimalizacja danych• Prawidłowość• Ograniczenie przechowywania• Integralność i poufność
Zgodność przetwarzania danych z prawem
Zasada rozliczalności• Jednolite, skuteczne stosowanie przepisów• Udowodnienie spełnienia wymogów rozporządzenia
Nie tylko wdrożenie środków, ale też ich skuteczność Rozliczalność a sankcje
• Kodeksy postępowania/certyfikacje/wytyczne Europejskiej Rady Ochrony Danych
24Footer
Bezpieczeństwo przetwarzania danych
25Footer
• Risk-based approach• Wewnętrzna polityka• Pseudonimizacja• Szyfrowanie• Zapewnienia poufności, integralności, dostępności i odporności
systemów • Przywracanie dostępu• Testowanie
Profilowanie
26Deloitte Legal, Pasternak, Korba, Moskwa, Jarmul i Wspólnicy Kancelaria Prawnicza sp.k
Profilowanie
27Footer
• Dowolna formę zautomatyzowanego przetwarzania danych osobowych• Polega na wykorzystaniu danych osobowych do oceny niektórych
czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się
• Profilowanie v. ochrona prywatności
• Prawo niepodlegania profilowaniu
• Podejmowanie istotnych decyzji na podstawie profilowania
• Ściśle określone przesłanki profilowania
• Profilowanie jako odrębny cel przetwarzania danych?
• Obowiązek informowania o profilowaniu
Obowiązki przetwarzających dane na zlecenie
28Deloitte Legal, Pasternak, Korba, Moskwa, Jarmul i Wspólnicy Kancelaria Prawnicza sp.k
Obowiązki dla przetwarzających dane na zlecenie
29Footer
Kodeksy/certyfikacje
Bezpieczeństwo przetwarzania
Rejestrowanie czynności
Odpowiedzialność administratora za wybór
processora
Standardowe klauzule umowne
Inspektor ochrony danych
Podpowierzenie
Wzmocnienie uprawnień osób fizycznych
30Deloitte Legal, Pasternak, Korba, Moskwa, Jarmul i Wspólnicy Kancelaria Prawnicza sp.k
Wzmocnienie usprawnień osób fizycznych
31Footer
• Dostęp do danych
• Przenoszenie danych
• Prawo sprzeciwu (+ przetwarzanie zautomatyzowane)
• Sprostowanie
• Prawo do bycia zapomnianym
• Ograniczenie przetwarzania
Skuteczne dochodzenie praw
32Footer
System skarg:• Organ nadzoru (możliwość wyboru organu)
• Sąd
• Skuteczność ochrony Droga odwoławcza Bezczynność organu nadzoru Bezpośrednia droga sądowa
Odszkodowanie:• szkoda majątkowa lub niemajątkowa w wyniku naruszenia niniejszego
rozporządzenia
• Przeciwko administratorowi lub podmiotowi przetwarzającemu
• Zwolnienie z odpowiedzialności
• Odpowiedzialność solidarna
Terytorialny zakres stosowania
33Deloitte Legal, Pasternak, Korba, Moskwa, Jarmul i Wspólnicy Kancelaria Prawnicza sp.k
Terytorialny zakres rozporządzenia
34Footer
Dyrektywa:• przetwarzanie danych odbywa się w kontekście prowadzenia przez
administratora danych działalności gospodarczej na terytorium UE• administrator danych nieprowadzący działalności gospodarczej w UE do celów
przetwarzania danych wykorzystuje środki (zautomatyzowane i inne) znajdujące się na terytorium państwa UE, chyba że środki te są wykorzystywane wyłącznie do celów tranzytu przez terytorium UE
Rozporządzenie:• Jednostki organizacyjne z UE – bez względu na to, gdzie odbywa się
przetwarzanie• Podmioty bez jednostek organizacyjnych w UE:
Dane dotyczą osób przebywających w UE
Zawiązane z oferowaniem towarów lub usług takim osobom w UE
Związane z monitorowanie zachowania takich osób w UE
Kontakt
35Deloitte Legal, Pasternak, Korba, Moskwa, Jarmul i Wspólnicy Kancelaria Prawnicza sp.k
Managing Associate
Tel.: +48 (22) 348 39 93 E-mail: [email protected]
Associate
Tel.: +48 (22) 511 05 33 E-mail: [email protected]
Agata Jankowska-Galińska Katarzyna Sawicka
36
Nazwa Deloitte odnosi się do jednej lub kilku jednostek Deloitte Touche Tohmatsu Limited, prywatnego podmiotu prawa brytyjskiego z ograniczoną odpowiedzialnością i jego firm członkowskich, które stanowią oddzielne i niezależne podmioty prawne. Dokładny opis struktury prawnej Deloitte Touche Tohmatsu Limited oraz jego firm członkowskich można znaleźć na stronie www.deloitte.com/pl/onas.
Deloitte świadczy usługi audytorskie, konsultingowe, doradztwa podatkowego i finansowego klientom z sektora publicznego oraz prywatnego, działającym w różnych branżach. Dzięki globalnej sieci firm członkowskich obejmującej 150 krajów oferujemy najwyższej klasy umiejętności, doświadczenie i wiedzę w połączeniu ze znajomością lokalnego rynku. Pomagamy klientom odnieść sukces niezależnie od miejsca i branży, w jakiej działają. 200 000 pracowników Deloitte na świecie realizuje misję firmy: stanowić standard najwyższej jakości.
Deloitte Central Europe to regionalna jednostka działająca w ramach Deloitte Central Europe Holdings Limited, członka Deloitte Touche Tohmatsu Limited w Europie Środkowej. Usługi świadczą spółki zależne i stowarzyszone z Deloitte Central Europe Holdings Limited, które stanowią odrębne i niezależne podmioty prawne. Spółki zależne i stowarzyszone z Deloitte Central Europe Holdings Limited to jedne z wiodących firm świadczących usługi profesjonalne; zatrudniają łącznie ponad 4000 pracowników w 34 biurach w 17 krajach Europy Środkowej.
@2016 Deloitte Legal, Pasternak, Korba, Moskwa, Jarmul i Wspólnicy Kancelaria Prawnicza sp.k