Generalne Rozporządzenie o Ochronie Danych
Transkrypt
Generalne Rozporządzenie o Ochronie Danych
Idą zmiany – ochrona danych osobowych na nowo – planowane rozporządzenie unijne okiem praktyka dr Joanna Tomaszewska, radca prawny, partner w kancelarii Spaczyński, Szczepaniak i Wspólnicy sp.k. 15 marca 2016 r., British Polish Chamber of Commerce, Ambasada Brytyjska w Warszawie Generalne Rozporządzenie o Ochronie Danych (Rozporządzenie) W grudniu 2015 r. Parlament Europejski i Rada Unii Europejskiej osiągnęły nieformalne porozumienie w sprawie finalnego tekstu Rozporządzenia w sprawie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Generalne Rozporządzenie o Ochronie Danych Osobowych, EU General Data Protection Regulation) Co to oznacza? Rozporządzenie powinno zostać przyjęte wiosną 2016 r. Rozporządzenie jest bardziej technologicznie neutralne niż dyrektywa 95/46/WE Od kiedy zacznie obowiązywać? Nowe przepisy zaczną obowiązywać bezpośrednio we wszystkich krajach UE po upływie 2 lat od momentu publikacji Rozporządzenia, tj. wiosną 2018r. Kluczowe koncepcje bez zmian Koncepcja danych osobowych, administratora, przetwarzającego na zlecenie pozostają bez zmian Harmonizacja Zasada one-stop-shop Zredukowanie barier administracyjnych Strona 1 Zmiany - w kierunku większej harmonizacji prawa na poziomie Unii Europejskiej (UE) Stan obecny Po zmianach Konstytucja RP Konstytucja RP Ustawa o ochronie danych osobowych implementująca dyrektywę 95/46/WE Rozporządzenie - jedno dla wszystkich państw UE – prawo materialne Przepisy szczególne Ustawa o ochronie danych osobowych kwestie ustrojowe i proceduralne Przepisy szczególne Strona 2 Generalne Rozporządzenie o Ochronie Danych – szersze zastosowanie Zakres terytorialny Administratorzy lub przetwarzający na zlecenie, którzy przetwarzają dane: w kontekście prowadzonej działalności siedziby na terenie UE niezależnie od tego czy przetwarzanie ma miejsce na terytorium UE czy też nie niemający siedziby na terenie UE jeśli ich działalność wiąże się z oferowaniem towarów lub usług obywatelom w UE lub monitorowaniem zachowań tych obywateli. Szersza definicja danych osobowych Jakiekolwiek informacje związane ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, tj. taką, która może zostać określona bezpośrednio lub pośrednio poprzez odniesienie, w szczególności do: takich identyfikatorów jak np. imię, numer identyfikacyjny, dane lokalizacyjne, identyfikator online lub jednego lub więcej elementów charakterystycznych dla fizycznej, psychologicznej, genetycznej, mentalnej, ekonomicznej, kulturalnej czy społecznej tożsamości takiej osoby. Nowe definicje – dane genetyczne, dane biometryczne, dane dotyczące zdrowia Strona 3 Zwiększony zakres obowiązków Warunki uzyskania zgody Zgoda ma być udzielona swobodnie, jako zgoda odrębna (specific), poinformowana, jednoznaczna Ciężar wykazania udzielenia zgody spoczywa na administratorze Zgoda ma być wyraźna na przetwarzanie danych wrażliwych i na transfer danych do państwa trzeciego Zgoda na przetwarzanie danych dzieci Powołanie data protection officer (DPO - ABI) Obowiązek powołania DPO we wskazanych przypadkach lub na mocy prawa krajowego Precyzyjne określenie praw i obowiązków Obowiązek zgłaszania naruszeń ochrony danych do organu ochrony danych osobowych Nie później niż w ciągu 72 godzin, chyba, że naruszenie nie skutkuje ryzykiem dla praw lub wolności osób, których dane dotyczą Strona 4 Zwiększony zakres obowiązków Standardy bezpieczeństwa przetwarzania danych „Rozliczalność” (accountability) Ocena wpływu przetwarzania na prywatność (privacy impact assessment, PIA) Rozporządzenie określa standardy i wskazuje jak je zapewnić: odpowiednie środki techniczne i organizacyjne np. pseudoanonimizacja i szyfrowanie Przestrzeganie kodeksów postępowania (code of conducts) Organizacje będą musiały udowodnić, że są w stanie: zapewnić kulturę monitorowania, oceny procedur przetwarzania zminimalizować przetwarzanie i przechowywanie danych prowadzić operacje przetwarzania danych, do udostepnienia organowi ochrony danych osobowych na żądanie Gdy jest prawdopodobne, że przetwarzanie danych powoduje znaczne ryzyko dla praw i wolności osób fizycznych Organ ochrony danych osobowych wskaże operacje przetwarzania danych wymagające PIA Strona 5 Zwiększony zakres obowiązków - nowe standardy W Rozporządzeniu swoje umocowanie znajdą postulowane standardy dot. sposobu implementacji rozwiązań związanych z ochroną danych osobowych Privacy by Design Privacy by Default Ochrona prywatności w fazie projektowania – obowiązek ochrony prywatności powinien być brany pod uwagę już na etapie projektowania danego rozwiązania. Prywatność jako ustawienie domyślne – ustawienia domyślne danego systemu powinny przewidywać już możliwie najdalej posunięte zabezpieczenia danych osobowych. Strona 6 Nowe obowiązki dla przetwarzających dane na zlecenie Rozdzielenie obowiązków i odpowiedzialności administratorów i przetwarzających dane na zlecenie Nałożenie bezpośrednich obowiązków na podmioty przetwarzające dane na zlecenie Utrzymanie wymogu powierzenia pisemnej Wyraźne dopuszczenie przetwarzania danych umowy podpowierzenia Odpowiedzialność przetwarzających – tym kary finansowe w Strona 7 Wzmocnienie praw osób, których dane dotyczą Prawo do informacji (information notices) Rozporządzenia rozszerza uprawnienia przysługujące osobom, których dane dotyczą Prawo do przenoszenia danych (right to data portability) Zwiększone lub nowe prawa osób, których dane dotyczą Prawo do wniesienia sprzeciwu wobec profilowania (right to object to profiling) Prawo do bycia zapomnianym (right to be forgotten) Strona 8 Kary finansowe, odpowiedzialność i współpraca organów ochrony danych osobowych Kary finansowe – kwotowo max. do 20 mln EUR lub procentowo do 4% rocznego światowego obrotu, która jest wyższa Prawa osób, których dane dotyczą: do wniesienia skargi do organu ochrony danych osobowych do żądania odszkodowania za szkodę poniesioną na skutek naruszenia Rozporządzenia przez administratora lub przetwarzającego na zlecenie do skutecznych środków ochrony prawnej w stosunku do administratora, przetwarzającego na zlecenie, w przypadku naruszenia ich praw wynikających z Rozporządzenia na skutek przetwarzania ich danych niezgodnie z Rozporządzeniem Współpraca organów ochrony danych osobowych w ramach państw członkowskich celem zapewnienia stosowania Rozporządzenia w jednolity sposób Strona 9 Czy jesteś przygotowany na nadchodzące zmiany? Zadaj sobie następujące pytania. Masz ok. 2 lata na dostosowanie się – zacznij od zaraz Zwiększony zakres terytorialny DPO (ABI) „Rozliczalność” Obowiązkowe zgłoszenie naruszenia danych Czy jesteś administratorem czy przetwarzającym na zlecenie w ramach UE czy przetwarzającym dane osobowe obywateli UE? Czy dokonujesz systematycznego monitorowania na dużą skalę lub przetwarzasz dużą ilość danych wrażliwych? Czy masz wdrożony program zgodności przetwarzania danych i możesz wykazać jak spełniasz wymogi Rozporządzenia? Czy będziesz w stanie zawiadomić organ ochrony danych osobowych o naruszeniu danych w ciągu 72 godzin? Czy bierzesz pod uwagę wymogi prywatności i ochrony danych na etapie projektowania i rozwoju procesów biznesowych i nowych systemów? Czy wiesz jak spełnisz nowe prawa osób, których dane dotyczą: „prawo do bycia zapomnianym”, „prawo do przenoszenia danych”, „prawo do wniesienia sprzeciwu wobec profilowania”? Privacy by design Nowe prawa Strona 10 Strona 10 Dziękuję za uwagę. dr Joanna Tomaszewska, radca prawny, Partner w kancelarii Spaczyński, Szczepaniak i Wspólnicy sp.k. [email protected] Strona 11 Kontakt Biuro warszawskie Biuro poznańskie Rondo ONZ 12. piętro 00-124 Warszawa tel. + 48 22 544 87 00 fax + 48 22 544 87 01 [email protected] ul. Mielżyńskiego 14 Okrąglak, 7. piętro 61-725 Poznań tel. + 48 61 625 16 00 fax + 48 61 625 16 01 [email protected] Zastrzeżenie: Niniejsza prezentacja ma na celu podkreślenie pewnych kwestii. Z założenia nie jest kompleksowa i nie jest poradą prawną. Strona 12