Prezentacja

Nowa regulacja ochrony danych
osobowych – ewolucja czy rewolucja ?
Warszawa, 19 października 2016
Agnieszka Szydlik, adwokat, Wardyński & Wspólnicy
Sylwia Paszek, radca prawny, Wardyński & Wspólnicy
Reforma ochrony danych osobowych
 Prace rozpoczęto w roku 2012;
 Rozporządzenie Parlamentu Europejskiego I Rady (UE)
2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony
osób fizycznych w związku z przetwarzaniem danych
osobowych i w sprawie swobodnego przepływu takich
danych oraz uchylenia dyrektywy 95/46/WE (ogólne
rozporządzenie o ochronie danych) („GDPR” – General
Data Protection Regulation);
 Wejście w życie: 25 maja 2018 r.
2
GDPR – istotne zmiany (1)
1. Dokumentacja
Administratorzy danych będą zobowiązani do wykazania, że
przetwarzają dane osobowe w zgodzie z właściwymi zasadami.
 Polityki i procedury
 Umowy i innego rodzaju porozumienia regulujące przekazywanie
danych osobowych innym podmiotom
 Powiadomienia adresowane do osób, których dane są przetwarzane
3
GDPR – istotne zmiany (2)
2. Powiadomienia adresowane do osób, których dane są
przetwarzane
Administratorzy danych będą zobowiązani do wyjaśnienia / ujawnienia:

podstawy prawnej przetwarzania danych;

podstawy prawnej przekazania danych (w tym wskazania odbiorców oraz środków
zastosowanych w celu zapewnienia należytej ochrony);

czasokresu przetwarzania danych;

informacji o prawie do zwracania się z reklamacjami / skargami do organów ochrony
danych osobowych, prawach żądania sprostowania, usunięcia, ograniczenia
przetwarzania, prawie do wnoszenia sprzeciwu wobec przetwarzania oraz prawie do
przenoszenia danych;

stosowania zautomatyzowanego podejmowania decyzji w oparciu o przetwarzane
dane (w tym: istotnych informacji dotyczących stosowanego mechanizmu, istotności i
potencjalnych konsekwencji takiego przetwarzania),
językiem zwięzłym, zrozumiałym i jasnym.
4
GDPR – istotne zmiany (3)
3. Prawa osób, których dane są przetwarzane
Aktualne prawa podmiotów danych przyznane w celu ochrony danych
pozostają nienaruszone. Niektóre z tych praw będą podlegać
wzmocnieniu, w szczególności poprzez zastosowanie nowych
instrumentów / rozwiązań:
 Prawo żądania definitywnego usunięcia danych osobowych („prawo
do bycia zapomnianym”)
 Prawo żądania ograniczenia przetwarzania;
 Prawo żądania zaprzestania profilowania / stosowania
zautomatyzowanego podejmowania decyzji w oparciu o
przetwarzanie danych;
 Prawo do przenoszenia danych.
5
GDPR – istotne zmiany (4)
4. Zgłaszanie naruszeń ochrony danych – ogólny obowiązek
raportowania
 Raportowanie naruszenia do organu ochrony danych, w
szczególności wówczas, gdy prawdopodobnym jest, że osoba
fizyczna poniesie szkodę w następstwie naruszenia;
 Powiadomienie osób, których dane zostały objęte naruszeniem;
 Sankcja z tytułu zaniechania zaraportowania wbrew obowiązkowi.
6
GDPR – istotne zmiany (5)
5. Kary administracyjne do EUR 20m. / do wysokości 4%
całkowitego obrotu osiągniętego w roku poprzedzającym
(którakolwiek wartość jest wyższa):
Naruszenia zagrożone sankcjami
 Naruszenie podstawowych zasad ochrony danych;
 Naruszenie praw osób, których dane są przetwarzane;
 Bezprawne przekazanie danych do kraju trzeciego;
 Niewykonanie decyzji / zaleceń organów ochrony danych
osobowych.
7
GDPR – istotne zmiany (6)
6. Przeprowadzenie oceny wpływu zamierzonej działalności na
zgodne z prawem przetwarzanie danych osobowych

Jeżeli prawdopodobnym jest, że zamierzona działalność będzie wiązać się
z wysokim ryzykiem dla praw i wolności osób – ocena jest wymagana
PRZED rozpoczęciem przetwarzania;

Gdy przetwarzanie będzie wiązało się z
(i) użyciem / rozwojem nowych technologii, lub
(ii) systematycznym stosowaniem rozwiązań polegających na
zautomatyzowanym podejmowaniu decyzji w oparciu o przetwarzanie
danych, lub
(iii) przetwarzaniem danych wrażliwych na wielką skalę, lub
(iv) regularnym monitorowania przestrzeni publicznej na wielką skalę.
8
Przekazywanie danych osobowych do
krajów trzecich (1)
Mechanizm nr 1: Decyzja Komisji potwierdzająca, że
 państwo trzecie; lub
 terytorium albo sektor na terenie państwa trzeciego; lub
 organizacja międzynarodowa
zapewnia należyty poziom ochrony danych osobowych.
Privacy Shield zastąpi Safe Harbour
Commission Implementing Decision pursuant to Directive 95/46/EC of
the European Parliament and of the Council on the adequacy of the
protection provided by EU-U.S. Privacy Shield
9
Przekazywanie danych osobowych do
krajów trzecich (2)
Mechanizm nr 2: Wiążące reguły korporacyjne (BCR – binding
corporate rules) zatwierdzone przez organ ochrony danych
osobowych
 prawnie wiążące oraz mają zastosowanie do każdego z członków
grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących
wspólną działalność gospodarczą, w tym ich pracowników, i są
przez każdego z tych członków egzekwowane;
 wyraźnie przyznają osobom, których dane dotyczą, egzekwowalne
prawa w związku z przetwarzaniem ich danych osobowych;
 zawierają określone obligatoryjne elementy.
10
Przekazywanie danych osobowych do
krajów trzecich (3)
Wiążące reguły korporacyjne (BCR – binding corporate rules)
Obligatoryjne elementy:

struktura i dane kontaktowe odnośnej grupy przedsiębiorstw lub grupy
przedsiębiorców prowadzących wspólną działalność gospodarczą i każdego z jej
członków;

jednorazowe lub wielokrotne przekazanie danych, w tym kategorie danych
osobowych, rodzaj przetwarzania i jego cele, rodzaje osób, których dane dotyczą,
oraz nazwa danego państwa trzeciego lub danych państw trzecich;

ich prawnie wiążący charakter, wewnętrzny i zewnętrzny;

zastosowanie ogólnych zasad ochrony danych – w szczególności ograniczenia celu,
minimalizacji danych, ograniczonych okresów przechowywania, jakości danych,
uwzględnianie ochrony danych w fazie projektowania oraz domyślnej ochrony
danych, podstawa prawna przetwarzania, przetwarzanie szczególnych kategorii
danych osobowych, środki zapewniające bezpieczeństwo danych, wymogi w
zakresie dalszego przekazywania podmiotom niezwiązanym wiążącymi regułami
korporacyjnymi;
11
Przekazywanie danych osobowych do
krajów trzecich (4)
Wiążące reguły korporacyjne (BCR – binding corporate rules) :

prawa osób, których dane dotyczą, w związku z przetwarzaniem oraz sposoby
wykonywania tych praw (w tym z prawa do niepodlegania decyzjom opartym
wyłącznie na zautomatyzowanym przetwarzaniu – w tym profilowaniu, prawa do
wnoszenia skarg do właściwego organu nadzorczego i właściwych sądów oraz prawa
do środka zaskarżenia, a w stosownych przypadkach – odszkodowania za
naruszenie BCR);

przyjęcie przez administratora lub podmiot przetwarzający posiadających jednostki
organizacyjnej na terytorium państwa członkowskiego odpowiedzialności prawnej za
naruszenie wiążących reguł korporacyjnych przez odnośnego członka niemającego
jednostki organizacyjne w Unii;

sposób, w jaki osobom, których dane dotyczą, podaje się informacje o BCR;

zadania inspektora ochrony danych lub innej osoby lub podmiotu odpowiedzialnych
za monitorowanie przestrzegania BCR w ramach grupy przedsiębiorstw lub grupy
przedsiębiorców prowadzących wspólną działalność gospodarczą oraz
monitorowanie szkoleń i rozpatrywanie skarg ,

procedury dotyczące skarg;
12
Przekazywanie danych osobowych do
krajów trzecich (5)
Wiążące reguły korporacyjne (BCR – binding corporate rules)

stosowane w grupie przedsiębiorstw lub w grupie przedsiębiorców mechanizmy
zapewniające weryfikację przestrzegania BCR (audyty, metody zapewniania działań
naprawczych);

mechanizmy zgłaszania i rejestrowania zmian w zasadach i zgłaszania tych zmian
organowi nadzorczemu;

mechanizm współpracy z organem nadzorczym zapewniający przestrzeganie zasad
przez wszystkich członków grupy przedsiębiorstw lub grupy przedsiębiorców;

mechanizm zgłaszania właściwemu organowi nadzorczemu wszelkich wymogów
prawnych, którym podlega w państwie trzecim członek grupy przedsiębiorstw lub
grupy przedsiębiorców, które mogą mieć istotny niekorzystny wpływ na gwarancje
przewidziane w BCR;

właściwe szkolenia z zakresu ochrony danych dla personelu mającego stały lub
regularny dostęp do danych osobowych.
13
Przekazywanie danych osobowych do
krajów trzecich (6)
Mechanizm 3: Modelowe klauzule umowne zatwierdzone przez
Komisję
Mechanizm 4: Standardowe klauzule ochrony danych osobowych
zatwierdzone przez organ ochrony danych osobowych i
zaakceptowane przez Komisję.
Mechanizm 5: Zatwierdzony kodeks postępowania łącznie z
wiążącymi i wykonalnymi zobowiązaniami administratora i procesora w
kraju trzecim do stosowania właściwych zabezpieczeń, w tym w
zakresie egzekwowania praw podmiotów danych.
14
Przekazywanie danych osobowych do
krajów trzecich (7)
Mechanizm 6: Zatwierdzony system certyfikacji łącznie z wiążącymi i
wykonalnymi zobowiązaniami administratora i procesora w kraju
trzecim do stosowania właściwych zabezpieczeń, w tym w zakresie
egzekwowania praw podmiotów danych.
15
Przekazywanie danych osobowych do
krajów trzecich (7)
Mechanizm 7: Dozwolone wyłączenia spod zakazu

osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, z którymi może
się dla niej wiązać proponowane przekazanie, wyraźnie wyraziła na nie zgodę;

przekazanie jest niezbędne do wykonania umowy między podmiotem danych a
administratorem lub do wprowadzenia w życie środków przedumownych
podejmowanych na żądanie podmiotu danych;

przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie
podmiotu danych, między administratorem a inną osobą fizyczną lub prawną;

przekazanie jest niezbędne ze względu na ważne względy interesu publicznego;

przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń;

przekazanie jest niezbędne do ochrony żywotnych interesów podmiotu danych lub
innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna
do wyrażenia zgody;

przekazanie następuje z publicznie dostępnych rejestrów.
16
Przekazywanie danych osobowych do
krajów trzecich (7)
Mechanizm 8: Sytuacje wyjątkowe

przekazanie dotyczy tylko ograniczonej liczby osób, których dane dotyczą,
jest niezbędne ze względu na ważne prawnie uzasadnione interesy
realizowane przez administratora, wobec których charakteru nadrzędnego
nie mają interesy ani prawa i wolności osoby, której dane dotyczą a
administrator ocenił wszystkie okoliczności przekazania danych i na
podstawie tej oceny zapewnił odpowiednie zabezpieczenia w zakresie
ochrony danych osobowych;

administrator informuje organ nadzorczy o przekazaniu;

administrator podaje osobie, której dane dotyczą, także informacje o
przekazaniu i o ważnych prawnie uzasadnionych interesach realizowanych
przez niego.
17
Dziękujemy za uwagę
Agnieszka Szydlik
Sylwia Paszek
Aleje Ujazdowskie 10, 00-478 Warszawa
tel.: 22 437 82 00, 22 537 82 00
[email protected]
[email protected]
18