Generalne Rozporządzenie o Ochronie Danych

Idą zmiany – ochrona danych osobowych na nowo
– planowane rozporządzenie unijne okiem praktyka
dr Joanna Tomaszewska, radca prawny, partner w kancelarii Spaczyński, Szczepaniak
i Wspólnicy sp.k.
15 marca 2016 r., British Polish Chamber of Commerce, Ambasada Brytyjska w Warszawie
Generalne Rozporządzenie o Ochronie Danych (Rozporządzenie)
W grudniu 2015 r. Parlament Europejski i Rada Unii Europejskiej osiągnęły
nieformalne porozumienie w sprawie finalnego tekstu Rozporządzenia w sprawie
przetwarzania danych osobowych oraz swobodnego przepływu tych danych
(Generalne Rozporządzenie o Ochronie Danych Osobowych, EU General Data
Protection Regulation)
Co to oznacza?
 Rozporządzenie powinno zostać przyjęte wiosną 2016 r.
 Rozporządzenie jest bardziej technologicznie neutralne
niż dyrektywa 95/46/WE
Od kiedy zacznie
obowiązywać?
 Nowe przepisy zaczną obowiązywać bezpośrednio we
wszystkich krajach UE po upływie 2 lat od momentu
publikacji Rozporządzenia, tj. wiosną 2018r.
Kluczowe koncepcje
bez zmian
 Koncepcja
danych
osobowych,
administratora,
przetwarzającego na zlecenie pozostają bez zmian
Harmonizacja
 Zasada one-stop-shop
 Zredukowanie barier administracyjnych
Strona 1
Zmiany - w kierunku większej harmonizacji prawa na
poziomie Unii Europejskiej (UE)
Stan obecny
Po zmianach
Konstytucja RP
Konstytucja RP
Ustawa o ochronie danych osobowych
implementująca dyrektywę 95/46/WE
Rozporządzenie - jedno dla wszystkich
państw UE – prawo materialne
Przepisy szczególne
Ustawa o ochronie danych osobowych kwestie ustrojowe i proceduralne
Przepisy szczególne
Strona 2
Generalne Rozporządzenie o Ochronie Danych – szersze
zastosowanie
Zakres terytorialny

Administratorzy lub przetwarzający na zlecenie, którzy przetwarzają dane:
 w kontekście prowadzonej działalności siedziby na terenie UE niezależnie od tego czy
przetwarzanie ma miejsce na terytorium UE czy też nie
 niemający siedziby na terenie UE jeśli ich działalność wiąże się z oferowaniem
towarów lub usług obywatelom w UE lub monitorowaniem zachowań tych obywateli.
Szersza definicja danych osobowych
Jakiekolwiek informacje związane ze zidentyfikowaną lub możliwą do
zidentyfikowania osobą fizyczną, tj. taką, która może zostać określona
bezpośrednio lub pośrednio poprzez odniesienie, w szczególności do:
 takich identyfikatorów jak np. imię, numer identyfikacyjny, dane lokalizacyjne,
identyfikator online lub
 jednego lub więcej elementów charakterystycznych dla fizycznej, psychologicznej,
genetycznej, mentalnej, ekonomicznej, kulturalnej czy społecznej tożsamości takiej
osoby.
Nowe definicje – dane genetyczne, dane biometryczne, dane dotyczące zdrowia
Strona 3
Zwiększony zakres obowiązków
Warunki uzyskania
zgody
 Zgoda ma być udzielona swobodnie, jako zgoda odrębna
(specific), poinformowana, jednoznaczna
 Ciężar wykazania udzielenia zgody spoczywa na
administratorze
 Zgoda ma być wyraźna na przetwarzanie danych
wrażliwych i na transfer danych do państwa trzeciego
 Zgoda na przetwarzanie danych dzieci
Powołanie data
protection officer (DPO
- ABI)
 Obowiązek powołania DPO we wskazanych przypadkach
lub na mocy prawa krajowego
 Precyzyjne określenie praw i obowiązków
Obowiązek zgłaszania
naruszeń ochrony
danych do organu
ochrony danych
osobowych
 Nie później niż w ciągu 72 godzin, chyba, że naruszenie
nie skutkuje ryzykiem dla praw lub wolności osób,
których dane dotyczą
Strona 4
Zwiększony zakres obowiązków
Standardy
bezpieczeństwa
przetwarzania danych
„Rozliczalność”
(accountability)
Ocena wpływu
przetwarzania na
prywatność
(privacy
impact assessment, PIA)
 Rozporządzenie określa standardy i wskazuje jak je
zapewnić:
odpowiednie
środki
techniczne
i
organizacyjne np. pseudoanonimizacja i szyfrowanie
 Przestrzeganie kodeksów postępowania (code of
conducts)
Organizacje będą musiały udowodnić, że są w stanie:
 zapewnić kulturę monitorowania, oceny procedur
przetwarzania
 zminimalizować przetwarzanie i przechowywanie danych
 prowadzić
operacje
przetwarzania
danych,
do
udostepnienia organowi ochrony danych osobowych na
żądanie
 Gdy jest prawdopodobne, że przetwarzanie danych
powoduje znaczne ryzyko dla praw i wolności osób
fizycznych
 Organ ochrony danych osobowych wskaże operacje
przetwarzania danych wymagające PIA
Strona 5
Zwiększony zakres obowiązków - nowe standardy
W Rozporządzeniu swoje umocowanie znajdą postulowane standardy dot.
sposobu implementacji rozwiązań związanych z ochroną danych osobowych
Privacy by Design
Privacy by Default
Ochrona prywatności w
fazie projektowania –
obowiązek
ochrony
prywatności powinien być
brany pod uwagę już na
etapie
projektowania
danego rozwiązania.
Prywatność
jako
ustawienie domyślne –
ustawienia
domyślne
danego systemu powinny
przewidywać już możliwie
najdalej
posunięte
zabezpieczenia
danych
osobowych.
Strona 6
Nowe obowiązki dla przetwarzających dane
na zlecenie
Rozdzielenie obowiązków i odpowiedzialności administratorów
i przetwarzających dane na zlecenie
 Nałożenie bezpośrednich obowiązków na
podmioty przetwarzające dane na zlecenie
 Utrzymanie wymogu
powierzenia
pisemnej
 Wyraźne dopuszczenie
przetwarzania danych
umowy
podpowierzenia
 Odpowiedzialność przetwarzających –
tym kary finansowe
w
Strona 7
Wzmocnienie praw osób, których dane dotyczą
Prawo do
informacji
(information
notices)
Rozporządzenia rozszerza
uprawnienia przysługujące
osobom, których dane
dotyczą
Prawo do
przenoszenia
danych
(right to data
portability)
Zwiększone
lub nowe
prawa osób,
których dane
dotyczą
Prawo do
wniesienia
sprzeciwu
wobec
profilowania
(right to
object to
profiling)
Prawo do
bycia
zapomnianym
(right to be
forgotten)
Strona 8
Kary finansowe, odpowiedzialność i współpraca organów
ochrony danych osobowych
 Kary finansowe – kwotowo max. do 20 mln EUR lub procentowo do 4%
rocznego światowego obrotu, która jest wyższa
 Prawa osób, których dane dotyczą:
 do wniesienia skargi do organu ochrony danych osobowych
 do żądania odszkodowania za szkodę poniesioną na skutek naruszenia
Rozporządzenia przez administratora lub przetwarzającego na zlecenie
 do skutecznych środków ochrony prawnej w stosunku do administratora,
przetwarzającego na zlecenie, w przypadku naruszenia ich praw wynikających z
Rozporządzenia na skutek przetwarzania ich danych niezgodnie z
Rozporządzeniem
 Współpraca organów ochrony danych osobowych w ramach państw
członkowskich celem zapewnienia stosowania Rozporządzenia w jednolity
sposób
Strona 9
Czy jesteś przygotowany na nadchodzące zmiany? Zadaj sobie
następujące pytania. Masz ok. 2 lata na dostosowanie się – zacznij od zaraz
Zwiększony zakres
terytorialny
DPO (ABI)
„Rozliczalność”
Obowiązkowe
zgłoszenie
naruszenia danych

Czy jesteś administratorem czy przetwarzającym na zlecenie w
ramach UE czy przetwarzającym dane osobowe obywateli UE?

Czy dokonujesz systematycznego monitorowania na dużą skalę
lub przetwarzasz dużą ilość danych wrażliwych?

Czy masz wdrożony program zgodności przetwarzania danych i
możesz wykazać jak spełniasz wymogi Rozporządzenia?

Czy będziesz w stanie zawiadomić organ ochrony danych
osobowych o naruszeniu danych w ciągu 72 godzin?

Czy bierzesz pod uwagę wymogi prywatności i ochrony danych na
etapie projektowania i rozwoju procesów biznesowych i nowych
systemów?

Czy wiesz jak spełnisz nowe prawa osób, których dane dotyczą:
„prawo do bycia zapomnianym”, „prawo do przenoszenia danych”,
„prawo do wniesienia sprzeciwu wobec profilowania”?
Privacy by design
Nowe prawa
Strona 10
Strona 10
Dziękuję za uwagę.
dr Joanna Tomaszewska,
radca prawny,
Partner w kancelarii
Spaczyński, Szczepaniak
i Wspólnicy sp.k.
[email protected]
Strona 11
Kontakt
Biuro warszawskie
Biuro poznańskie
Rondo ONZ
12. piętro
00-124 Warszawa
tel. + 48 22 544 87 00
fax + 48 22 544 87 01
[email protected]
ul. Mielżyńskiego 14
Okrąglak, 7. piętro
61-725 Poznań
tel. + 48 61 625 16 00
fax + 48 61 625 16 01
[email protected]
Zastrzeżenie: Niniejsza prezentacja ma na celu podkreślenie pewnych kwestii.
Z założenia nie jest kompleksowa i nie jest poradą prawną.
Strona 12