Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
22018-02-28 RODO – NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH
RODO
– NOWE UWARUNKOWANIA I OGRANICZENIA
WYKORZYSTYWANIA DANYCH
Piotr Ćwiertniewski – radca prawny, wspólnik
Marcin Kroll – adwokat, rzecznik patentowy, wspólnik
Brak uchwalenia regulacji krajowej
2018-03-01 RODO – NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 3
2018-03-01 RODO – NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 4
Nowe źródła prawa dotyczące ochrony danych osobowych
• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia
2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych
osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia
dyrektywy 95/46/WE (RODO)
• Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 w sprawie ochrony osób
fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do
celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych,
wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie
swobodnego przepływu takich danych oraz uchylającą decyzję ramową Rady
2008/977/WSiSW (Dz. Urz. L nr 119 z 4.05.2016 r., s. 89)
• Projekt Ustawy o ochronie danych osobowych (NUODO) (zakładany termin
uchwalenia – kwiecień 2018 r.; przewiduje się miesięczne vacatio legis)
Jak praktycznie podejść do wdrożenia RODO?
2018-03-01 RODO – NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 5
2018-03-01 RODO – NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 6
Wdrożenie RODO w organizacji oznacza dostosowanie:
(a) procesów biznesowych;
(b) środowiska informatycznego;
(c) dokumentacji (polityki bezpieczeństwa, instrukcji zarządzania systemem
informatycznym, innych relewantnych procedur, klauzul zgód / formularzy, umów)
2018-03-01 RODO – NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 7
Podstawowe kroki wdrożenia RODO
(a) Powołanie zespołu odpowiedzialnego za wdrożenie RODO
(b) Warsztaty dla zespołu odpowiedzialnego za wdrożenie RODO
(c) Inwentaryzacja i mapowanie procesów przetwarzania danych (Data Inventory, Data
Mapping)
(d) Analiza ryzyka w procesach przetwarzania danych
(e) Weryfikacja procesów przetwarzania danych pod kątem wymogów wynikających z RODO
(f) Wdrożenie niezbędnych zmian w oparciu o dotychczasowe rozwiązania funkcjonujące w
organizacji (o ile to możliwe), w tym zakresie środowiska informatycznego oraz
dokumentacji
(g) Szkolenia wewnętrzne
(h) Monitorowanie przestrzegania wymogów wynikających z RODO
2018-03-01 RODO – NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 8
Uwzględnianie ochrony danych w fazie projektowania
(privacy by design):
(a) wymogi dotyczące ochrony danych osobowych i prywatności powinny być uwzględniane
już na wstępnych etapach projektowania usług, produktów, systemów lub oprogramowania
(zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania);
(b) ADO jest zobowiązany do wdrażania odpowiednich środków technicznych
i organizacyjnych (pseudonimizacja, minimalizacja danych);
(c) privacy by design ma na celu spełnienie wymogów RODO oraz ochronę praw osób,
których dane dotyczą;
(d) przestrzeganie obowiązku może być wykazane poprzez wprowadzenie zatwierdzonego
mechanizmu certyfikacji.
2018-03-01 RODO – NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 9
Wdrożenie środków zapewniających zbieranie tych
danych, które są niezbędne do osiągnięcia
konkretnego celu ich przetwarzania (privacy by
default):
(a) obowiązek ADO wdrożenia takich środków, które zapewnią, aby domyślnie zbierane były
wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia konkretnego celu
przetwarzania;
(b) domyślnie dane osobowe mają nie być udostępniane bez interwencji danej osoby
nieokreślonej liczbie osób fizycznych;
(c) obowiązek odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania,
okresu ich przechowywania oraz ich dostępności;
(d) przestrzeganie obowiązku może być wykazane przez wprowadzenie zatwierdzonego
mechanizmu certyfikacji.
2018-03-01 RODO – NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 10
Dokonywanie oceny planowanego przedsięwzięcia
przez pryzmat jego skutków dla ochrony danych
(privacy impact assessment):
(a) PIA obejmuje m.in. planowane środki, zabezpieczenia
i mechanizmy mające minimalizować ryzyko naruszenia danych osobowych, środki mające
zapewniać ochronę danych osobowych oraz wykazać przestrzeganie RODO;
(b) konsultacja ADO z inspektorem ochrony danych w zakresie PIA (jeżeli inspektor został
wyznaczony);
(c) wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania PIA zgodnie z
RODO ma być ustanowiony i podany do publicznej wiadomości przez krajowy organ
nadzorczy (obecnie: GIODO).
2018-03-01 RODO – NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 11
Kodeksy postępowania:(a) Kodeksy postępowania mają na celu doprecyzowanie wymogów z uwzględnieniem
specyfiki różnych sektorów, w których dochodzi do przetwarzania danych osobowych.
Mogą być one przyjmowane przez zrzeszenia i inne podmioty reprezentujące
określone kategorie administratorów lub podmioty przetwarzające.
(b) Przyjęty kodeks postępowania wymaga zatwierdzenia przez organ nadzorczy,
następnie jest on rejestrowany i publikowany przez organ nadzorczy;
(c) System monitorowania przestrzegania kodeksów przez podmioty akredytowane
przez Prezesa Urzędu Ochrony Danych Osobowych (PUODO);
(d) Podmiot akredytowany podejmuje odpowiednie działania w przypadku naruszenia
kodeksu, w tym zawiesza lub wyklucza ADO spośród przetwarzających kodeks.
2018-03-01 RODO – NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 12
Certyfikacja:(a) Dokonywana na wniosek zainteresowanego podmiotu (dobrowolność);
(b) Brak wnioskowania o certyfikat nie zwalnia z obowiązku przestrzegania przepisów RODO;
(c) Polskie Centrum Akredytacji będzie wydawać akredytacje, które będą uprawniały podmioty
prywatne do dokonywania certyfikacji i wydawania certyfikatów; nie planuje się limitów
liczby podmiotów prywatnych wydających certyfikaty; PUODO pozostanie podmiotem
certyfikującym;
(d) Możliwe będzie certyfikowanie zarówno podmiotów jak i procesów (możliwość uzyskania
certyfikatu np. przez producenta oprogramowania, które będzie wykorzystywane do
przetwarzania danych);
(e) Maksymalna oplata od wniosku w przypadku PUODO wyniesie 3-krotność przeciętnego
miesięcznego wynagrodzenia; podmioty prywatne będą mieć swobodę w ustalaniu opłat;
(f) Certyfikat będzie wydawany na maksymalny okres 3 lat; po przejściu kontroli będzie
możliwość przedłużenia ważności certyfikatu;
2018-03-01 RODO – NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 13
Certyfikacja:
(a) posiadanie certyfikatu może być jedynie kryterium promującym, a nie warunkiem
możliwości przystąpienia do przetargu; nie wykluczono, że posiadanie certyfikatu
mogłoby być jednym z kryteriów możliwości przystąpienia do zamówienia;
(b) kryteria certyfikacji będą mieć charakter generalny i branżowy; każdy podmiot
certyfikujący będzie upoważniony samodzielnie do przyjęcia własnych kryteriów
certyfikacji;
(c) PUODO będzie publikował kryteria certyfikacji, które powinny być różne w ramach
poszczególnych branż.
2018-03-01 14
Wyłączenia spod obowiązków RODO
• Zapowiedź wprowadzenia wyłączenia szeregu obowiązków wynikających z RODO
w stosunku do MŚP zatrudniających mniej niż 250 osób, przetwarzających dane
osobowe niezbędne do wykonywania działalności gospodarczej, w szczególności w
celu zawierania umów i prowadzenia rachunkowości:
• art. 13 (obowiązek informacyjny przy zbieraniu danych od osoby, której dane
dotyczą),
• art. 15 ust. 3 i 4 (prawo do uzyskania kopii danych),
• art. 19 (obowiązek powiadomienia o sprostowaniu/usunięciu/ograniczeniu
przetwarzania danych osobowych),
• art. 34 RODO (zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony
danych osobowych).
• Pojęcie zatrudnienia w stosunku do tych 250 osób dotyczy wszystkich osób
wykonujących czynności na rzecz danego przedsiębiorcy, nie tylko na podstawie
umowy o prace, ale też innych podstaw prawnych.
RODO – NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH
2018-03-01 15
Kluczowe rozwiązania ustawodawstwa krajowego
• Zapowiedź wprowadzenia wyłączenia szeregu obowiązków wynikających z RODO
w stosunku do MŚP zatrudniających mniej niż 250 osób, przetwarzających dane
osobowe niezbędne do wykonywania działalności gospodarczej, w szczególności w
celu zawierania umów i prowadzenia rachunkowości:
• przetwarzanie danych osobowych pracowników,
• monitoring,
• profilowanie przez banki i ubezpieczycieli,
• zmiany w przepisach branżowych (np. ustawa o radcach prawnych).
RODO – NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH
2018-03-01 RODO – NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 16
Sankcje za naruszenie zasad ochrony danych
osobowych – wpływ na strukturę organizacyjną
2018-03-01 RODO – NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 17
Porównanie stanu obecnego z RODO
Stan obecny
o Sankcje karne (grzywna, kara ograniczenia wolności oraz pozbawienia wolności do lat 3);
W 2016 r. 2610 skarg do GIODO, z czego 36 wniosków trafiło do prokuratury;
o Sankcje administracyjne:
o decyzja GIODO nakazująca przywrócenie stanu zgodnego z prawem;
Średni czas rozpatrywania sprawy przed GIODO – 295 dni, ponowne rozpatrzenie
sprawy – 142 dni.
RODO
o Ograniczenie sankcji karnych (w ramach NUODO zdecydowano się na penalizację jedynie
dwóch czynów, tj. udaremnienie lub utrudnienie kontrolującemu prowadzenie kontroli oraz
przetwarzanie danych osobowych bez właściwej podstawy prawnej).
o Kary pieniężne nakładane decyzją administracyjną.
2018-03-01 RODO – NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 18
Informowanie organu nadzorczego o naruszeniach ochrony
danych osobowych
• bez zbędnej zwłoki, w miarę możliwości nie później niż w terminie 72 godzin po
stwierdzeniu naruszenia;
• w przypadku naruszenia ochrony danych osobowych (np. kradzież tożsamości);
• do zgłoszenia dołącza się wyjaśnienie przyczyn opóźnienia;
• na podmiocie przetwarzającym spoczywa obowiązek zgłoszenia naruszenia ADO
bez zbędnej zwłoki;
• Prezes Urzędu Ochrony Danych Osobowych prowadzi system informatyczny
służący do zgłaszania naruszeń.
2018-03-01 RODO – NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 19
Informowanie o naruszeniu praw lub wolności osób, których
dane są przetwarzane
• jeżeli naruszenie ochrony danych osobowych może powodować wysokie
ryzyko naruszenia praw lub wolności osób fizycznych, ADO bez
zbędnej zwłoki zawiadamia osobę, której dane dotyczą o takim
naruszeniu;
• zawiadomienie, m. in. wtedy, gdy ADO wdrożył odpowiednie techniczne i
organizacyjne środki ochrony i środki te zostały zastosowane do danych
osobowych, których dotyczy naruszenie (np. szyfrowanie,
uniemożliwiające odczyt osobom nieuprawnionym do dostępu do danych
osobowych).
2018-03-01 RODO – NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 20
Dokumentowanie wszelkich naruszeń ochrony danych
osobowych
• obowiązek ADO dokumentowania wszelkich naruszeń ochrony
danych osobowych;
• dotyczy m.in. okoliczności naruszenia ochrony danych osobowych, jego
skutków oraz podjętych działań zaradczych;
• dokumentacja musi pozwolić organowi nadzorczemu na zweryfikowanie
przestrzegania przepisów RODO.
2018-03-01 RODO – NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 21
Postępowanie w sprawie naruszenia przepisów o ochronie
danych osobowych
• projekt nowej ustawy o ochronie danych osobowych (UODO) reguluje
postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych;
• postępowanie prowadzone przez PUODO;
• postępowanie jest jednoinstancyjne;
• szerokie kompetencje PUODO w zakresie postępowania dowodowego
(propozycja przeniesienia ciężaru ochrony tajemnicy przedsiębiorcy na samego
przedsiębiorcę, poprzez obowiązek dostarczenia odpowiednio zanimizowanego
dokumentu przez podmiot powołujący się na wskazaną tajemnicę
przedsiębiorstwa);
• możliwość prowadzenia w toku postępowania kontrolnego;
2018-03-01 RODO – NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 22
Postępowanie w sprawie naruszenia przepisów o ochronie
danych osobowych
• możliwość wydania postanowienia zabezpieczającego;
• rozstrzygnięcie nadzorcze w formie decyzji (możliwe upomnienie);
• decyzja podlega natychmiastowemu wykonaniu (ale: wniesienie skargi
do sądu administracyjnego wstrzymuje wykonanie decyzji w zakresie
kary pieniężnej);
• postanowienia wydawane w toku postępowania są skarżone w ramach
skargi.
2018-03-01 RODO – NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 23
Postępowanie kontrolne na gruncie UODO
• kontrole planowe oraz na „donos”;
• prowadzone przez upoważnionego pracownika urzędu;
• możliwość przeprowadzenia postepowania kontrolnego bez
wcześniejszego zawiadomienia o zamiarze jego wszczęcia;
• szerokie kompetencje kontrolujących;
• maksymalny czas kontroli wynosi 1 miesiąc;
• przebieg kontroli utrwalony zostaje w protokole – możliwość wniesienia
zastrzeżeń na piśmie w terminie 7 dni.
2018-03-01 RODO – NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 24
Sankcje administracyjnoprawne – wysokość kar pieniężnych
• kara pieniężna w wysokości do 10 000 000 EUR, a w przypadku
przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego
światowego obrotu z poprzedniego roku obrotowego (art. 83 ust. 4
RODO);
• kara pieniężna w wysokości do 20 000 000 EUR, a w przypadku
przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego
światowego obrotu z poprzedniego roku obrotowego (art. 83 ust. 5 i
6 RODO).
2018-03-01 RODO – NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 25
Podstawa nałożenia kary pieniężnej, o której mowa w art. 83
ust. 4 RODO
• naruszenie obowiązków administratora i podmiotu
przetwarzającego, takich jak:
i. naruszenie zasad przetwarzania danych osobowych dzieci;
ii. naruszenie zasad dotyczących przetwarzania niewymagającego
identyfikacji;
iii. naruszenie obowiązków, o których mowa w art. 25 – 39 RODO;
iv. naruszenie zasad certyfikacji;
• naruszenie obowiązków podmiotu certyfikującego;
• naruszenie obowiązków podmiotu monitorującego.
2018-03-01 RODO – NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 26
Podstawa nałożenia kary pieniężnej, o której mowa w art. 83
ust. 5 RODO
• naruszenie podstawowych zasad przetwarzania, w tym warunków zgody;
• naruszenie praw osób, których dane dotyczą, takich jak prawo do informacji,
dostępu do danych, ich sprostowania, usuwania i przenoszenia oraz prawo do
sprzeciwu i uprawnienia związane z profilowaniem;
• przekazywanie danych osobowych odbiorcy w państwie trzecim lub
organizacji międzynarodowej w sposób niezgodny z wymogami RODO;
• naruszenie obowiązków wynikających z prawa państwa członkowskiego;
• nieprzestrzeganie nakazu, tymczasowego lub ostatecznego ograniczenia
przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ
nadzorczy.
2018-03-01 RODO – NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 27
Podstawa nałożenia kary pieniężnej, o której mowa w art. 83
ust. 6 RODO
• nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy na podstawie
art. 58 ust. 2 RODO(uprawnienia naprawcze organu nadzorczego) m.in.:
i. nakazanie dostosowania operacji przetwarzania do przepisów RODO;
ii. nakazanie ADO zawiadomienia osoby, której dane dotyczą, o naruszeniu
ochrony danych;
iii. wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym
zakazu przetwarzania;
iv. nakazanie sprostowania lub usunięcia danych osobowych lub ograniczenia
ich przetwarzania oraz nakazanie powiadomienia o tych czynnościach
odbiorców, którym dane osobowe ujawniono;
v. nakazanie zawieszenia przepływu danych do odbiorcy w państwie trzecim lub
do organizacji międzynarodowej.
2018-03-01 RODO – NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 28
Kary pieniężne na gruncie UODO
• płatne w terminie 14 dni od daty upływu terminu na wniesienie skargi lub
uprawomocnienia się orzeczenia sądu;
• kara podlega ściągnięciu w trybie przepisów o egzekucji administracyjnej;
• możliwość odroczenia uiszczenia kary pieniężnej albo rozłożenia jej na raty na
wniosek ze względu na ważny interes wnioskodawcy;
• w przypadku uwzględnienia wniosku konieczność uiszczenia odsetek w stosunku
rocznym w wysokości 50% odsetek za zwłokę na gruncie ordynacji podatkowej
(4%);
• rozstrzygnięcie w formie postanowienia, od którego nie przysługuje skarga.
2018-03-01 RODO – NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 29
Sankcje cywilnoprawne – prawo do odszkodowania
• niezależną podstawą dochodzenia roszczeń będzie art. 78 UODO;
• możliwość żądania zaniechania działań oraz usunięcia naruszeń;
• prawo do dochodzenia odszkodowania od ADO lub podmiotu przetwarzającego
dane przysługujące każdej osobie, która poniosła szkodę majątkową lub
niemajątkową w wyniku naruszenia RODO;
• zwolnienie ADO lub podmiotu przetwarzającego z odpowiedzialności, jeżeli
udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które
doprowadziło do powstania szkody;
• odpowiedzialność solidarna w przypadku szkód spowodowanych
przetwarzaniem danych przez kilka podmiotów.
2018-03-01 RODO – NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 30
Sankcje cywilnoprawne
• postępowanie prowadzone jest przed sądem okręgowym;
• sąd zawiadamia PUODO o wniesieniu pozwu, natomiast PUODO o
ewentualnym toczącym się postępowaniu przed tym organem;
• sąd zawiadamia PUODO o każdym wyroku uwzględniającym
powództwo.
2018-03-01 RODO – NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 31
Zmiany w polisach D&O
• istota polisy D&O a odpowiedzialność za naruszenia RODO;
• zakres podmiotowy polis D&O;
• negocjowanie zakresu ubezpieczenia.
Jeżeli bylibyście Państwo zainteresowani uzyskaniem dodatkowych informacji
odnośnie omówionych tematów, zapraszamy do kontaktu.
Piotr Ćwiertniewski | radca prawny, wspólnik
e-mail: [email protected]
Marcin Kroll | adwokat, rzecznik patentowy, wspólnik
e-mail: [email protected]
act legal offices Warsaw | Bratislava | Brussels | Frankfurt | Paris | Prague | Vienna
www.actlegal.com
Bieniak Smołuch Wielhorski Wojnar
i Wspólnicy Sp. K. ul. Ks. I.J. Skorupki 5, 00-546 Warszawa tel. +48 22 420 59 59 fax. +48 22 420 59 60
www.actlegal-bsww.com act BSWW @ LinkedIn
2018-03-01 RODO – NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 33
DZIĘKUJEMY ZA UWAGĘ!