Embed Size (px)
Citation preview
Idą zmiany – ochrona danych osobowych na nowo
– planowane rozporządzenie unijne okiem praktyka
dr Joanna Tomaszewska, radca prawny, partner w kancelarii Spaczyński, Szczepaniak
i Wspólnicy sp.k.
15 marca 2016 r., British Polish Chamber of Commerce, Ambasada Brytyjska w Warszawie
Generalne Rozporządzenie o Ochronie Danych (Rozporządzenie)
W grudniu 2015 r. Parlament Europejski i Rada Unii Europejskiej osiągnęły
nieformalne porozumienie w sprawie finalnego tekstu Rozporządzenia w sprawie
przetwarzania danych osobowych oraz swobodnego przepływu tych danych
(Generalne Rozporządzenie o Ochronie Danych Osobowych, EU General Data
Protection Regulation)
Od kiedy zacznie
obowiązywać?
Kluczowe koncepcje
bez zmian
Co to oznacza? Rozporządzenie powinno zostać przyjęte wiosną 2016 r.
Rozporządzenie jest bardziej technologicznie neutralne
niż dyrektywa 95/46/WE
Zasada one-stop-shop
Zredukowanie barier administracyjnych
Strona 1
Nowe przepisy zaczną obowiązywać bezpośrednio we
wszystkich krajach UE po upływie 2 lat od momentu
publikacji Rozporządzenia, tj. wiosną 2018r.
Koncepcja danych osobowych, administratora,
przetwarzającego na zlecenie pozostają bez zmian
Harmonizacja
Zmiany - w kierunku większej harmonizacji prawa na
poziomie Unii Europejskiej (UE)
Strona 2
Konstytucja RP
Ustawa o ochronie danych osobowych
implementująca dyrektywę 95/46/WE
Przepisy szczególne
Konstytucja RP
Rozporządzenie - jedno dla wszystkich
państw UE – prawo materialne
Ustawa o ochronie danych osobowych -
kwestie ustrojowe i proceduralne
Przepisy szczególne
Stan obecny Po zmianach
Generalne Rozporządzenie o Ochronie Danych – szersze
zastosowanie
Strona 3
Administratorzy lub przetwarzający na zlecenie, którzy przetwarzają dane:
w kontekście prowadzonej działalności siedziby na terenie UE niezależnie od tego czy
przetwarzanie ma miejsce na terytorium UE czy też nie
niemający siedziby na terenie UE jeśli ich działalność wiąże się z oferowaniem
towarów lub usług obywatelom w UE lub monitorowaniem zachowań tych obywateli.
Jakiekolwiek informacje związane ze zidentyfikowaną lub możliwą do
zidentyfikowania osobą fizyczną, tj. taką, która może zostać określona
bezpośrednio lub pośrednio poprzez odniesienie, w szczególności do:
takich identyfikatorów jak np. imię, numer identyfikacyjny, dane lokalizacyjne,
identyfikator online lub
jednego lub więcej elementów charakterystycznych dla fizycznej, psychologicznej,
genetycznej, mentalnej, ekonomicznej, kulturalnej czy społecznej tożsamości takiej
osoby.
Nowe definicje – dane genetyczne, dane biometryczne, dane dotyczące zdrowia
Zakres terytorialny
Szersza definicja danych osobowych
Zwiększony zakres obowiązków
Warunki uzyskania
zgody
Obowiązek zgłaszania
naruszeń ochrony
danych do organu
ochrony danych
osobowych
Nie później niż w ciągu 72 godzin, chyba, że naruszenie
nie skutkuje ryzykiem dla praw lub wolności osób,
których dane dotyczą
Zgoda ma być udzielona swobodnie, jako zgoda odrębna
(specific), poinformowana, jednoznaczna
Ciężar wykazania udzielenia zgody spoczywa na
administratorze
Zgoda ma być wyraźna na przetwarzanie danych
wrażliwych i na transfer danych do państwa trzeciego
Zgoda na przetwarzanie danych dzieci
Powołanie data
protection officer (DPO
- ABI)
Strona 4
Obowiązek powołania DPO we wskazanych przypadkach
lub na mocy prawa krajowego
Precyzyjne określenie praw i obowiązków
Zwiększony zakres obowiązków
Ocena wpływu
przetwarzania na
prywatność(privacy
impact assessment, PIA)
Gdy jest prawdopodobne, że przetwarzanie danych
powoduje znaczne ryzyko dla praw i wolności osób
fizycznych
Organ ochrony danych osobowych wskaże operacje
przetwarzania danych wymagające PIA
Rozporządzenie określa standardy i wskazuje jak je
zapewnić: odpowiednie środki techniczne i
organizacyjne np. pseudoanonimizacja i szyfrowanie
Przestrzeganie kodeksów postępowania (code of
conducts)
Strona 5
„Rozliczalność”(accountability)
Standardy
bezpieczeństwa
przetwarzania danych
Organizacje będą musiały udowodnić, że są w stanie:
zapewnić kulturę monitorowania, oceny procedur
przetwarzania
zminimalizować przetwarzanie i przechowywanie danych
prowadzić operacje przetwarzania danych, do
udostepnienia organowi ochrony danych osobowych na
żądanie
Zwiększony zakres obowiązków - nowe standardy
Privacy by Design Privacy by Default
Ochrona prywatności w
fazie projektowania –
obowiązek ochrony
prywatności powinien być
brany pod uwagę już na
etapie projektowania
danego rozwiązania.
Prywatność jako
ustawienie domyślne –
ustawienia domyślne
danego systemu powinny
przewidywać już możliwie
najdalej posunięte
zabezpieczenia danych
osobowych.
W Rozporządzeniu swoje umocowanie znajdą postulowane standardy dot.
sposobu implementacji rozwiązań związanych z ochroną danych osobowych
Strona 6
Nowe obowiązki dla przetwarzających dane
na zlecenie
Strona 7
Rozdzielenie obowiązków i odpowiedzialności administratorów
i przetwarzających dane na zlecenie
Nałożenie bezpośrednich obowiązków na
podmioty przetwarzające dane na zlecenie
Utrzymanie wymogu pisemnej umowy
powierzenia
Wyraźne dopuszczenie podpowierzenia
przetwarzania danych
Odpowiedzialność przetwarzających – w
tym kary finansowe
Wzmocnienie praw osób, których dane dotyczą
Strona 8
Zwiększone lub nowe
prawa osób, których dane
dotyczą
Prawo do informacji
(informationnotices)
Prawo do wniesienia sprzeciwu
wobec profilowania
(right to object to profiling)
Prawo do bycia
zapomnianym
(right to be forgotten)
Prawo do przenoszenia
danych
(right to data portability)
Rozporządzenia rozszerza
uprawnienia przysługujące
osobom, których dane
dotyczą
Kary finansowe, odpowiedzialność i współpraca organów
ochrony danych osobowych
Kary finansowe – kwotowo max. do 20 mln EUR lub procentowo do 4%
rocznego światowego obrotu, która jest wyższa
Prawa osób, których dane dotyczą:
do wniesienia skargi do organu ochrony danych osobowych
do żądania odszkodowania za szkodę poniesioną na skutek naruszenia
Rozporządzenia przez administratora lub przetwarzającego na zlecenie
do skutecznych środków ochrony prawnej w stosunku do administratora,
przetwarzającego na zlecenie, w przypadku naruszenia ich praw wynikających z
Rozporządzenia na skutek przetwarzania ich danych niezgodnie z
Rozporządzeniem
Współpraca organów ochrony danych osobowych w ramach państw
członkowskich celem zapewnienia stosowania Rozporządzenia w jednolity
sposób
Strona 9
Czy jesteś przygotowany na nadchodzące zmiany? Zadaj sobie
następujące pytania. Masz ok. 2 lata na dostosowanie się – zacznij od zaraz
Strona 10
Zwiększony zakres
terytorialny
DPO (ABI)
„Rozliczalność”
Obowiązkowe
zgłoszenie
naruszenia danych
Privacy by design
Nowe prawa
Strona 10
Czy jesteś administratorem czy przetwarzającym na zlecenie w
ramach UE czy przetwarzającym dane osobowe obywateli UE?
Czy dokonujesz systematycznego monitorowania na dużą skalę
lub przetwarzasz dużą ilość danych wrażliwych?
Czy masz wdrożony program zgodności przetwarzania danych i
możesz wykazać jak spełniasz wymogi Rozporządzenia?
Czy będziesz w stanie zawiadomić organ ochrony danych
osobowych o naruszeniu danych w ciągu 72 godzin?
Czy bierzesz pod uwagę wymogi prywatności i ochrony danych na
etapie projektowania i rozwoju procesów biznesowych i nowych
systemów?
Czy wiesz jak spełnisz nowe prawa osób, których dane dotyczą:
„prawo do bycia zapomnianym”, „prawo do przenoszenia danych”,
„prawo do wniesienia sprzeciwu wobec profilowania”?
Strona 11
Dziękuję za uwagę.
dr Joanna Tomaszewska,
radca prawny,
Partner w kancelarii
Spaczyński, Szczepaniak
i Wspólnicy sp.k.
Kontakt
Strona 12
Biuro warszawskie
Rondo ONZ
12. piętro
00-124 Warszawa
tel. + 48 22 544 87 00
fax + 48 22 544 87 01
Biuro poznańskie
ul. Mielżyńskiego 14
Okrąglak, 7. piętro
61-725 Poznań
tel. + 48 61 625 16 00
fax + 48 61 625 16 01
Zastrzeżenie: Niniejsza prezentacja ma na celu podkreślenie pewnych kwestii.
Z założenia nie jest kompleksowa i nie jest poradą prawną.
