ochrona danych_eng:Layout 1

GDPR – are you ready
for the new regulation?
On 24 May 2016, a new EU regulation on the protection
of personal data entered into force. The regulation
is binding and is directly applicable to all establishments
which use personal data for their business purposes.
The new law is binding in all 28 European Union countries
and replaces the currently binding local personal data
protection law. Currently, we are in the preparatory
period for businesses to implement the requirements
of the regulation, which will be fully applicable from
25 May 2018 onwards.
The new regulation, GDPR (General Data Protection
Regulation), introduces a number of changes to the rules
governing the protection of personal data, such as:
• obligation to apply personal data protection at the design
phase (e.g. for IT solutions)
• obligation to maintain a record of processing activities
• obligation to perform a privacy impact assessment
• obligation to notify the data protection authority of data
protection breaches
Failure to comply with the provisions of the new regulation
may result in the imposition of a financial penalty by the data
protection authority (up to EUR 20 million or 4% of annual
turnover).
www.pwc.pl
www.pwclegal.pl
To support you in the implementation of the new regulation, we have set up an interdisciplinary
team of experts ready to help you with your GDPR implementation efforts. To this end, we have
developed the following services:
1
Personal data mapping
and inventory
• ustalenie kategorii przetwarzanych danych
osobowych oraz kategorii osób, których
•dane
determining
of processed personal
osobowecategories
są przetwarzane
data and categories of data subjects
• identyfikacja danych osobowych
•wymienianych
identifying personal
data
disclosed to other
z innymi
podmiotami
entities androli
determining
the role of those entities
i określenie
tych podmiotów
6
preparing a detailed
and structured description
••przygotowanie
szczegółowego
of the processed personal
data
i uporządkowanego
opisu przetwarzanych
danych osobowych
2
Records of processing
activities
• ustalenie kategorii przetwarzanych danych
kategorii
których
•osobowych
identifyingoraz
the scope
andosób,
purposes
of personal
dane
osobowe
są
przetwarzane
data processing
7
••identyfikacja
osobowych
linking data danych
categories
with processing activities
wymienianych
innymi
podmiotami
and preparingzthe
records
i określenie roli tych podmiotów
• preparing tools and procedures aimed at ensuring
• przygotowanie
szczegółowego
that the records
are always up to date
i uporządkowanego opisu przetwarzanych
danych osobowych
3
4
Privacy Impact
Assessment (PIA)
• ustalenie kategorii przetwarzanych danych
kategorii
osób,
•osobowych
conductingoraz
analysis
of the
needktórych
for a PIA
dane
osobowe są przetwarzane
assessment
••identyfikacja
osobowych
carry out andanych
assessment
of the impact
wymienianych
z innymi podmiotami
of processing operations
on the protection
i określenie
tych podmiotów
of personalroli
data
••przygotowanie
szczegółowego
preparing a PIA
report
i uporządkowanego opisu przetwarzanych
danych osobowych
Privacy by Design
• ustalenie kategorii przetwarzanych danych
•osobowych
conductingoraz
analysis
of planned
activities
kategorii
osób, których
in the
contextsą
ofprzetwarzane
designing the protection
dane
osobowe
of personal data
• identyfikacja danych osobowych
•wymienianych
applying the Privacy
bypodmiotami
Design approach
z innymi
in the change
process
i określenie
rolimanagement
tych podmiotów
Privacy by Default
• ustalenie kategorii przetwarzanych danych
kategorii
osób, których
•osobowych
conductingoraz
analysis
of adequacy
of personal
dane
osobowe
są
przetwarzane
data processing
••identyfikacja
osobowych of the scope
introducing danych
default minimization
wymienianych
z innymi
podmiotami
of personal data
processing
in IT systems
i określenie roli tych podmiotów
• preparing recommendations of solutions
• przygotowanie
szczegółowego
for personal data
minimization, security
i uporządkowanego
and access control opisu przetwarzanych
danych osobowych
• ustalenie kategorii przetwarzanych danych
osobowych oraz kategorii osób, których
• analyzing retention periods for categories
dane osobowe są przetwarzane
of personal data
• identyfikacja danych osobowych
• verifying retention and personal data
wymienianych z innymi podmiotami
deletion procedures
i określenie roli tych podmiotów
• providing recommendations related
• przygotowanie szczegółowego
to data retention periods and personal
i uporządkowanego opisu przetwarzanych
data deletion methods
danych osobowych
Profiling
• ustalenie kategorii przetwarzanych danych
osobowych oraz kategorii osób, których
•dane
determining
of automated profiling
osobowecases
są przetwarzane
with the usedanych
of personal
data
• identyfikacja
osobowych
•wymienianych
analyzing legal
groundspodmiotami
for personal data
z innymi
processing roli
for profiling
purposes
i określenie
tych podmiotów
providing recommendations
••przygotowanie
szczegółowegoon ensuring
personal data protection
in profiling activities
i uporządkowanego
opisu przetwarzanych
danych osobowych
8
9
Notification and detection
of personal data breaches
• ustalenie kategorii przetwarzanych danych
osobowych oraz kategorii osób, których
•dane
preparing
a policy
on detecting and reacting
osobowe
są przetwarzane
to personal data breaches
• identyfikacja danych osobowych
•wymienianych
analyzing reasons
to cases
of personal
z innymi
podmiotami
data protection
breaches
i określenie
roli tych
podmiotów
preparing a notification
of a personal data
••przygotowanie
szczegółowego
breach to the supervisory
authority
i uporządkowanego
opisu przetwarzanych
danych osobowych
Verification
of a data processor
• ustalenie kategorii przetwarzanych danych
•osobowych
verifying the
status
of entities
oraz
kategorii
osób,entrusted
których with
personal
datasą
processing
by a data controller
dane
osobowe
przetwarzane
analyzing technical
organizational
••identyfikacja
danych and
osobowych
measures usedz by
a data
processor for
wymienianych
innymi
podmiotami
the protection
personal
data
i określenie
roli of
tych
podmiotów
designing appropriate
technical
••przygotowanie
szczegółowego
or organizational measures
and preparing
i uporządkowanego
opisu przetwarzanych
a Privacy
by Design report
danych
osobowych
5
Retention of personal data
providing recommendations
••przygotowanie
szczegółowegoon the legal
grounds for entrusting
personal
data processing
i uporządkowanego
opisu
przetwarzanych
to a data
processor
danych
osobowych
10
Data processing agreements
• ustalenie kategorii przetwarzanych danych
orazofkategorii
osób, których
•osobowych
legal analysis
documentation
used
dane
osobowe
są
przetwarzane
in relations with data processors in respect
• identyfikacja
danych osobowych
of GDPR requirements
z innymi podmiotami
•wymienianych
analysis and recommendations
on the need
i określenie
roli
tych processing
podmiotówagreement
to enter into a data
• przygotowanie
szczegółowego
in a specific case
opisu
•i uporządkowanego
preparing a template
dataprzetwarzanych
processing agreement
danych osobowych
11
12
Legal grounds for personal
data processing
• ustalenie kategorii przetwarzanych danych
osobowych oraz kategorii osób, których
dane osobowe są przetwarzane
• analysis of purposes and scope of processing
• identyfikacja
danych
certain categories
ofosobowych
personal data
wymienianych z innymi podmiotami
• analysis of legal grounds for personal
i określenie roli tych podmiotów
data processing
• przygotowanie szczegółowego
• preparing consent clauses
i uporządkowanego opisu przetwarzanych
danych osobowych
Notification obligation
• ustalenie kategorii przetwarzanych danych
osobowych oraz kategorii osób, których
•dane
analysis
of methods
of complying with
osobowe
są przetwarzane
the obligation
to inform
data subjects
• identyfikacja
danych
osobowych
of the processing
of their
personal data
wymienianych
z innymi
podmiotami
16
17
Interaction with data subjects
• ustalenie kategorii przetwarzanych danych
•osobowych
analysis oforaz
fulfilment
of the
obligation
kategorii
osób,
których to react
to data
subjects’
for access to, rectification,
dane
osobowe
są requests
przetwarzane
restriction, deletion
and transmission of data
• identyfikacja
danych osobowych
18
preparing a policy
on reacting to data
••przygotowanie
szczegółowego
subjects’ requests related
to the processing
i uporządkowanego
opisu przetwarzanych
of theirosobowych
personal data
danych
14
• ustalenie kategorii przetwarzanych danych
•osobowych
analysis oforaz
caseskategorii
involving
a transfer
of personal
osób,
których
dataosobowe
outside the
European Economic Area
dane
są przetwarzane
19
determiningdanych
legal grounds
for a transfer
••identyfikacja
osobowych
of personal data
to thirdpodmiotami
countries
wymienianych
z innymi
roli tychclauses
podmiotów
•i określenie
preparing consent
for acceptance of
a
transfer
of
personal
data, standard contractual
• przygotowanie szczegółowego
clauses or other legal
instruments
permitting
i uporządkowanego
opisu
przetwarzanych
a transfer
of personal data to third countries
danych
osobowych
15
Personal data security
• ustalenie kategorii przetwarzanych danych
osobowych oraz kategorii osób, których
•dane
analysis
of organizational
and technical measures
osobowe
są przetwarzane
applied for personal
data protection
• identyfikacja
danych osobowych
•wymienianych
recommendations
on personal
data protection
z innymi
podmiotami
measures roli tych podmiotów
i określenie
preparing a policy
on personal data security
••przygotowanie
szczegółowego
and personal data processing
authorizations
i uporządkowanego
opisu przetwarzanych
danych osobowych
Training
• ustalenie kategorii przetwarzanych danych
osobowych oraz kategorii osób, których
•dane
preparing
training
in personal data protection,
osobowe
są przetwarzane
including e-learning
courses (presentations,
• identyfikacja
danych osobowych
outlines) and zgamification
solutions
wymienianych
innymi podmiotami
Organization
• ustalenie kategorii przetwarzanych danych
osobowych oraz kategorii osób, których
osobowe
przetwarzane
•dane
analysis
of thesącompany’s
structure in the context
• identyfikacja
danych
osobowych
of personal data
protection
organization
wymienianych
z
innymi
podmiotami
• preparing an organizational scheme
i określenie roli tych podmiotów
• recommendations on assigning roles within the
• przygotowanie
szczegółowego
organization related
to personal data protection
i uporządkowanego opisu przetwarzanych
danych osobowych
•wymienianych
recommendations
on apodmiotami
proper reaction
z innymi
to requestsroli
submitted
by data subjects
i określenie
tych podmiotów
Transfer of personal
data to third countries
• ustalenie kategorii przetwarzanych danych
osobowych oraz kategorii osób, których
•dane
verifying
policies
used in relation to data security
osobowe
są przetwarzane
•
recommendations
the need to introduce
• identyfikacja danychon
osobowych
certain policies
wymienianych
z innymi podmiotami
roli tychsuch
podmiotów
•i określenie
preparing policies
as a data breach
response
policy,
a
data
processor verification
• przygotowanie szczegółowego
policy and/or a personal
data security policy
i uporządkowanego
opisu przetwarzanych
danych osobowych
•i określenie
carrying out
training
in personal data protection
roli
tych podmiotów
preparing documentation
confirming
••przygotowanie
szczegółowego
participation in training
i uporządkowanego
opisu (certifications)
przetwarzanych
danych osobowych
•i określenie
preparing notification
clauses
roli tych podmiotów
recommendations
on the use of notification
••przygotowanie
szczegółowego
clauses
i uporządkowanego
opisu przetwarzanych
danych osobowych
13
Data protection policies
20
Consultation with
the supervisory authority
• ustalenie kategorii przetwarzanych danych
osobowych oraz kategorii osób, których
• analysis of the need to consult planned
dane osobowe są przetwarzane
data processing operations with the
• identyfikacja
osobowych
supervisory danych
authority
wymienianych z innymi podmiotami
• preparing documents necessary to conduct
i określenie roli tych podmiotów
a consultation
• przygotowanie szczegółowego
• representing the client in the consultation
i uporządkowanego opisu przetwarzanych
process with the supervisory authority
danych osobowych
Pseudonymization
• ustalenie kategorii przetwarzanych danych
osobowych oraz kategorii osób, których
dane osobowe są przetwarzane
• analysis of methods and scope of using
• identyfikacja
danych
pseudonymized
dataosobowych
wymienianych z innymi podmiotami
• analysis of the need to pseudonymize certain
i określenie roli tych podmiotów
categories of personal data
• przygotowanie szczegółowego
• recommendations on the need of pseudonymization
i uporządkowanego opisu przetwarzanych
danych osobowych
Contact
Portfolio of GDPR services
Sylwia Pusz
Partner PwC
Business Consulting
T: 603 33 33 09
E: [email protected]
Legal aspects of GDPR implementation
Anna Kobylańska
Counsel, Advocate
T: 519 50 62 26
E: [email protected]
Personal data security
Łukasz Ślęzak
Manager
CyberSecurity
T: 519 50 66 94
E: [email protected]
© 2016 PricewaterhouseCoopers Sp. z o.o. All rights reserved. PricewaterhouseCoopers Sp. z o.o. refers to the PwC network and/or one or more of its member firms,
each of which is a separate legal entity.