Webcast RODO (maj 2016)

Ogólne rozporządzenie o ochronie danych

osobowych

Zmiany dla sektora finansowego

Prowadzący:

Agata Jankowska-GalińskaManaging Associate, Radca prawnyDeloitte Legal

Katarzyna SawickaAssociateDeloitte Legal

Agenda1. Rozszerzenie definicji danych osobowych

2. Zwiększenie zakresu obowiązków:a) warunki uzyskiwania zgody na przetwarzanie danych osobowychb) szersze obowiązki informacyjnec) obowiązek powołania Inspektora Ochrony Danych i jego kompetencjed) zgłaszanie incydentów

3. Zasady privacy by default oraz privacy by design

4. Privacy impact assesment - ocena skutków przetwarzania danych dla prywatności

5. Wdrożenie programu zgodności przetwarzania danych – rozliczalność

6. Profilowanie

7. Dodatkowe obowiązki dla przetwarzających dane na zlecenie

8. Uprawnienia osób fizycznych:a) przenoszenie danychb) prawo sprzeciwuc) prawo do bycia zapomnianymd) wnoszenie skarge) prawo do odszkodowania

9. Przetwarzanie danych przez podmioty spoza UE2

Deloitte Legal, Pasternak, Korba, Moskwa, Jarmul i Wspólnicy Kancelaria Prawnicza sp.k

Rozporządzenie UE 2016/679

3Deloitte Legal, Pasternak, Korba, Moskwa, Jarmul i Wspólnicy Kancelaria Prawnicza sp.k

Ogólne Rozporządzenie o Ochronie Danych Osobowych


• ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

• Zastosowanie: od dnia 25 maja 2018 r.

• Cel: taka sama ochrona danych osobowych wszystkich obywateli Unii.

• Zastąpi: Dyrektywę 95/46/WE o ochronie danych osobowych z 1995 roku oraz ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych

Definicja danych osobowych




- uwzględnienie postępu technologicznego

Dyrektywa 95/46/WE:„dane osobowe" oznacza wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej ("osoby, której dane dotyczą"); osoba możliwa do zidentyfikowania to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, szczególnie przez powołanie się na numer identyfikacyjny lub jeden bądź kilka szczególnych czynników określających jej fizyczną, fizjologiczną, umysłową, ekonomiczną, kulturową lub społeczną tożsamość



Rozporządzenie:

„dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”);

możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

Obowiązki administratorów


Obowiązki administratorów – zgoda na przetwarzanie danych

Zgoda – okazanie woli:a. dobrowolne

• rzeczywisty wybór• brak negatywnych konsekwencji odmowy• brak równowagi stron

b. konkretnec. świadomed. jednoznaczne e. dane osobowe dzieci


Zgoda na przetwarzanie danych osobowych


Forma – dowolna, ale jednoznaczna i wyraźnaTak: czynność potwierdzającaNie: domyślne okienka, brak działania uznany za zgodę• wykazanie pozyskania zgody

• forma:

zrozumiała i łatwo dostępna

sformułowana jasnym i prostym językiem

nie powinno zawierać nieuczciwych warunków

prawidłowe pozyskanie zgody – warunek zgodności z prawem przetwarzania danych

zgody wyrażone zgodnie z dyrektywą 95/46/WE – aktualne, jeśli spełniają warunki Rozporządzenia

Szersze obowiązki informacyjne


• Zasada przejrzystości informacji dotyczących przetwarzania danych:• łatwo dostępne • zrozumiałe • sformułowane jasnym i prostym językiem

• Zapewnienie informacji o:• ryzykach • zasadach • zabezpieczeniach • prawach związanych z przetwarzaniem danych osobowych• sposobach wykonywania praw

Obowiązki informacyjne


administrator ułatwia wykonywanie praw osobom fizycznym

wykorzystanie standardowych znaków graficznych

informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania

współadministratorzy danych

Zakres informacji


• tożsamość i dane kontaktowe administratora (przedstawiciela)

• dane kontaktowe inspektora ochrony danych

• cele przetwarzania danych osobowych

• podstawa prawna przetwarzania

• prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią

• informacja o odbiorcach danych osobowych lub o kategoriach odbiorców

• informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej

Zakres informacji


• okres, przez który dane osobowe będą przechowywane (kryteria ustalania tego okresu)

• informacje o prawie do żądania od administratora dostępu/sprostowania/usunięcia danych osobowych

• prawo do cofnięcia zgody• informacja o prawie wniesienia skargi do organu nadzorczego• informacja, czy podanie danych osobowych jest wymogiem ustawowym

lub umownym lub warunkiem zawarcia umowy • Informacja, czy podanie danych jest obowiązkowe• konsekwencje niepodania danych• informacje o zautomatyzowanym podejmowaniu decyzji

Inspektor Ochrony Danych


Obowiązki inspektora ochrony danych


12345

informowanie o obowiązkach wynikających z rozporządzenia i innych przepisów

doradzanie w sprawie obowiązków.

monitorowanie przestrzegania przepisów oraz polityk, szkolenia, audyty

udzielanie zaleceń co do oceny skutków dla ochrony danych

współpraca z organem nadzorczym

6 punkt kontaktowy dla organu nadzorczego

Inspektor ochrony danych


• wyznaczenie: obowiązkowe / fakultatywne• kwalifikacje zawodowe• status w organizacji• „punkt kontaktowy” dla osób fizycznych• wykonywanie innych obowiązków

Zgłaszanie naruszeń ochrony danych


1. Naruszenie ochrony danych osobowych

• naruszenie bezpieczeństwa

• prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych

2. Zgłaszanie organowi nadzoru:• niezwłocznie, max. 72 h• opis charakteru naruszenia ochrony danych osobowych• oznaczenie punktu kontaktowego• opis możliwych konsekwencji• opis środków w celu zaradzenia naruszeniu

3. Zawiadomienie osoby, której dane dotyczą:

• wysokie ryzyko naruszenia praw lub wolności osób fizycznych

• wdrożenie odpowiednich środków technicznych i organizacyjnych środków ochrony

4. Zawiadomienie o naruszeniu a wysokość kary

Zgłaszanie naruszeń ochrony danych

Privacy by default oraz privacy by design

Privacy Impact Assessment (PIA)


Zasady privacy by default oraz privacy by design


• uwzględnianie ochrony danych w fazie projektowania • domyślna ochrona danych

• brane pod uwagę podczas opracowywania i projektowania produktów, usług i aplikacji opierających się na przetwarzaniu danych

pseudonimizacja minimalizacja danych zabezpieczenia

• Art. 25 Rozporządzenia

Privacy impact assesment (PIA) -ocena skutków przetwarzania danych dla prywatności

21Footer

• podejście oparte na analizie ryzyka• wysokie ryzyko naruszenia praw lub wolności osób fizycznych• oszacowanie ryzyka: źródło, charakter, specyfika, stopień, cele

przetwarzania• kiedy dokonać oceny:

nowe technologie przetwarzanie o dużej skali wpływ na dużą liczbę osób profilowanie

Zapewnienie zgodności przetwarzania danych z prawem


23

Zgodność przetwarzania danych z prawem

Footer

Główne zasady przetwarzania danych osobowych:

• Zgodność z prawem, rzetelność i przejrzystość• Ograniczenie celu• Minimalizacja danych• Prawidłowość• Ograniczenie przechowywania• Integralność i poufność

Zgodność przetwarzania danych z prawem

Zasada rozliczalności• Jednolite, skuteczne stosowanie przepisów• Udowodnienie spełnienia wymogów rozporządzenia

Nie tylko wdrożenie środków, ale też ich skuteczność Rozliczalność a sankcje

• Kodeksy postępowania/certyfikacje/wytyczne Europejskiej Rady Ochrony Danych

24Footer

Bezpieczeństwo przetwarzania danych

25Footer

• Risk-based approach• Wewnętrzna polityka• Pseudonimizacja• Szyfrowanie• Zapewnienia poufności, integralności, dostępności i odporności

systemów • Przywracanie dostępu• Testowanie

Profilowanie


Profilowanie

27Footer

• Dowolna formę zautomatyzowanego przetwarzania danych osobowych• Polega na wykorzystaniu danych osobowych do oceny niektórych

czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się

• Profilowanie v. ochrona prywatności

• Prawo niepodlegania profilowaniu

• Podejmowanie istotnych decyzji na podstawie profilowania

• Ściśle określone przesłanki profilowania

• Profilowanie jako odrębny cel przetwarzania danych?

• Obowiązek informowania o profilowaniu

Obowiązki przetwarzających dane na zlecenie


Obowiązki dla przetwarzających dane na zlecenie

29Footer

Kodeksy/certyfikacje

Bezpieczeństwo przetwarzania

Rejestrowanie czynności

Odpowiedzialność administratora za wybór

processora

Standardowe klauzule umowne

Inspektor ochrony danych

Podpowierzenie

Wzmocnienie uprawnień osób fizycznych


Wzmocnienie usprawnień osób fizycznych

31Footer

• Dostęp do danych

• Przenoszenie danych

• Prawo sprzeciwu (+ przetwarzanie zautomatyzowane)

• Sprostowanie

• Prawo do bycia zapomnianym

• Ograniczenie przetwarzania

Skuteczne dochodzenie praw

32Footer

System skarg:• Organ nadzoru (możliwość wyboru organu)

• Sąd

• Skuteczność ochrony Droga odwoławcza Bezczynność organu nadzoru Bezpośrednia droga sądowa

Odszkodowanie:• szkoda majątkowa lub niemajątkowa w wyniku naruszenia niniejszego

rozporządzenia

• Przeciwko administratorowi lub podmiotowi przetwarzającemu

• Zwolnienie z odpowiedzialności

• Odpowiedzialność solidarna

Terytorialny zakres stosowania


Terytorialny zakres rozporządzenia

34Footer

Dyrektywa:• przetwarzanie danych odbywa się w kontekście prowadzenia przez

administratora danych działalności gospodarczej na terytorium UE• administrator danych nieprowadzący działalności gospodarczej w UE do celów

przetwarzania danych wykorzystuje środki (zautomatyzowane i inne) znajdujące się na terytorium państwa UE, chyba że środki te są wykorzystywane wyłącznie do celów tranzytu przez terytorium UE

Rozporządzenie:• Jednostki organizacyjne z UE – bez względu na to, gdzie odbywa się

przetwarzanie• Podmioty bez jednostek organizacyjnych w UE:

Dane dotyczą osób przebywających w UE

Zawiązane z oferowaniem towarów lub usług takim osobom w UE

Związane z monitorowanie zachowania takich osób w UE

Kontakt


Managing Associate

Tel.: +48 (22) 348 39 93 E-mail: [email protected]

Associate

Tel.: +48 (22) 511 05 33 E-mail: [email protected]

Agata Jankowska-Galińska Katarzyna Sawicka

36

Nazwa Deloitte odnosi się do jednej lub kilku jednostek Deloitte Touche Tohmatsu Limited, prywatnego podmiotu prawa brytyjskiego z ograniczoną odpowiedzialnością i jego firm członkowskich, które stanowią oddzielne i niezależne podmioty prawne. Dokładny opis struktury prawnej Deloitte Touche Tohmatsu Limited oraz jego firm członkowskich można znaleźć na stronie www.deloitte.com/pl/onas.

Deloitte świadczy usługi audytorskie, konsultingowe, doradztwa podatkowego i finansowego klientom z sektora publicznego oraz prywatnego, działającym w różnych branżach. Dzięki globalnej sieci firm członkowskich obejmującej 150 krajów oferujemy najwyższej klasy umiejętności, doświadczenie i wiedzę w połączeniu ze znajomością lokalnego rynku. Pomagamy klientom odnieść sukces niezależnie od miejsca i branży, w jakiej działają. 200 000 pracowników Deloitte na świecie realizuje misję firmy: stanowić standard najwyższej jakości.

Deloitte Central Europe to regionalna jednostka działająca w ramach Deloitte Central Europe Holdings Limited, członka Deloitte Touche Tohmatsu Limited w Europie Środkowej. Usługi świadczą spółki zależne i stowarzyszone z Deloitte Central Europe Holdings Limited, które stanowią odrębne i niezależne podmioty prawne. Spółki zależne i stowarzyszone z Deloitte Central Europe Holdings Limited to jedne z wiodących firm świadczących usługi profesjonalne; zatrudniają łącznie ponad 4000 pracowników w 34 biurach w 17 krajach Europy Środkowej.

@2016 Deloitte Legal, Pasternak, Korba, Moskwa, Jarmul i Wspólnicy Kancelaria Prawnicza sp.k

http://www.deloitte.com/pl/onas




Business

Webcast RODO (maj 2016)