GDPR – are you ready for the new regulation? On 24 May 2016, a new EU regulation on the protection of personal data entered into force. The regulation is binding and is directly applicable to all establishments which use personal data for their business purposes. The new law is binding in all 28 European Union countries and replaces the currently binding local personal data protection law. Currently, we are in the preparatory period for businesses to implement the requirements of the regulation, which will be fully applicable from 25 May 2018 onwards. The new regulation, GDPR (General Data Protection Regulation), introduces a number of changes to the rules governing the protection of personal data, such as: • obligation to apply personal data protection at the design phase (e.g. for IT solutions) • obligation to maintain a record of processing activities • obligation to perform a privacy impact assessment • obligation to notify the data protection authority of data protection breaches Failure to comply with the provisions of the new regulation may result in the imposition of a financial penalty by the data protection authority (up to EUR 20 million or 4% of annual turnover). www.pwc.pl www.pwclegal.pl To support you in the implementation of the new regulation, we have set up an interdisciplinary team of experts ready to help you with your GDPR implementation efforts. To this end, we have developed the following services: 1 Personal data mapping and inventory • ustalenie kategorii przetwarzanych danych osobowych oraz kategorii osób, których •dane determining of processed personal osobowecategories są przetwarzane data and categories of data subjects • identyfikacja danych osobowych •wymienianych identifying personal data disclosed to other z innymi podmiotami entities androli determining the role of those entities i określenie tych podmiotów 6 preparing a detailed and structured description ••przygotowanie szczegółowego of the processed personal data i uporządkowanego opisu przetwarzanych danych osobowych 2 Records of processing activities • ustalenie kategorii przetwarzanych danych kategorii których •osobowych identifyingoraz the scope andosób, purposes of personal dane osobowe są przetwarzane data processing 7 ••identyfikacja osobowych linking data danych categories with processing activities wymienianych innymi podmiotami and preparingzthe records i określenie roli tych podmiotów • preparing tools and procedures aimed at ensuring • przygotowanie szczegółowego that the records are always up to date i uporządkowanego opisu przetwarzanych danych osobowych 3 4 Privacy Impact Assessment (PIA) • ustalenie kategorii przetwarzanych danych kategorii osób, •osobowych conductingoraz analysis of the needktórych for a PIA dane osobowe są przetwarzane assessment ••identyfikacja osobowych carry out andanych assessment of the impact wymienianych z innymi podmiotami of processing operations on the protection i określenie tych podmiotów of personalroli data ••przygotowanie szczegółowego preparing a PIA report i uporządkowanego opisu przetwarzanych danych osobowych Privacy by Design • ustalenie kategorii przetwarzanych danych •osobowych conductingoraz analysis of planned activities kategorii osób, których in the contextsą ofprzetwarzane designing the protection dane osobowe of personal data • identyfikacja danych osobowych •wymienianych applying the Privacy bypodmiotami Design approach z innymi in the change process i określenie rolimanagement tych podmiotów Privacy by Default • ustalenie kategorii przetwarzanych danych kategorii osób, których •osobowych conductingoraz analysis of adequacy of personal dane osobowe są przetwarzane data processing ••identyfikacja osobowych of the scope introducing danych default minimization wymienianych z innymi podmiotami of personal data processing in IT systems i określenie roli tych podmiotów • preparing recommendations of solutions • przygotowanie szczegółowego for personal data minimization, security i uporządkowanego and access control opisu przetwarzanych danych osobowych • ustalenie kategorii przetwarzanych danych osobowych oraz kategorii osób, których • analyzing retention periods for categories dane osobowe są przetwarzane of personal data • identyfikacja danych osobowych • verifying retention and personal data wymienianych z innymi podmiotami deletion procedures i określenie roli tych podmiotów • providing recommendations related • przygotowanie szczegółowego to data retention periods and personal i uporządkowanego opisu przetwarzanych data deletion methods danych osobowych Profiling • ustalenie kategorii przetwarzanych danych osobowych oraz kategorii osób, których •dane determining of automated profiling osobowecases są przetwarzane with the usedanych of personal data • identyfikacja osobowych •wymienianych analyzing legal groundspodmiotami for personal data z innymi processing roli for profiling purposes i określenie tych podmiotów providing recommendations ••przygotowanie szczegółowegoon ensuring personal data protection in profiling activities i uporządkowanego opisu przetwarzanych danych osobowych 8 9 Notification and detection of personal data breaches • ustalenie kategorii przetwarzanych danych osobowych oraz kategorii osób, których •dane preparing a policy on detecting and reacting osobowe są przetwarzane to personal data breaches • identyfikacja danych osobowych •wymienianych analyzing reasons to cases of personal z innymi podmiotami data protection breaches i określenie roli tych podmiotów preparing a notification of a personal data ••przygotowanie szczegółowego breach to the supervisory authority i uporządkowanego opisu przetwarzanych danych osobowych Verification of a data processor • ustalenie kategorii przetwarzanych danych •osobowych verifying the status of entities oraz kategorii osób,entrusted których with personal datasą processing by a data controller dane osobowe przetwarzane analyzing technical organizational ••identyfikacja danych and osobowych measures usedz by a data processor for wymienianych innymi podmiotami the protection personal data i określenie roli of tych podmiotów designing appropriate technical ••przygotowanie szczegółowego or organizational measures and preparing i uporządkowanego opisu przetwarzanych a Privacy by Design report danych osobowych 5 Retention of personal data providing recommendations ••przygotowanie szczegółowegoon the legal grounds for entrusting personal data processing i uporządkowanego opisu przetwarzanych to a data processor danych osobowych 10 Data processing agreements • ustalenie kategorii przetwarzanych danych orazofkategorii osób, których •osobowych legal analysis documentation used dane osobowe są przetwarzane in relations with data processors in respect • identyfikacja danych osobowych of GDPR requirements z innymi podmiotami •wymienianych analysis and recommendations on the need i określenie roli tych processing podmiotówagreement to enter into a data • przygotowanie szczegółowego in a specific case opisu •i uporządkowanego preparing a template dataprzetwarzanych processing agreement danych osobowych 11 12 Legal grounds for personal data processing • ustalenie kategorii przetwarzanych danych osobowych oraz kategorii osób, których dane osobowe są przetwarzane • analysis of purposes and scope of processing • identyfikacja danych certain categories ofosobowych personal data wymienianych z innymi podmiotami • analysis of legal grounds for personal i określenie roli tych podmiotów data processing • przygotowanie szczegółowego • preparing consent clauses i uporządkowanego opisu przetwarzanych danych osobowych Notification obligation • ustalenie kategorii przetwarzanych danych osobowych oraz kategorii osób, których •dane analysis of methods of complying with osobowe są przetwarzane the obligation to inform data subjects • identyfikacja danych osobowych of the processing of their personal data wymienianych z innymi podmiotami 16 17 Interaction with data subjects • ustalenie kategorii przetwarzanych danych •osobowych analysis oforaz fulfilment of the obligation kategorii osób, których to react to data subjects’ for access to, rectification, dane osobowe są requests przetwarzane restriction, deletion and transmission of data • identyfikacja danych osobowych 18 preparing a policy on reacting to data ••przygotowanie szczegółowego subjects’ requests related to the processing i uporządkowanego opisu przetwarzanych of theirosobowych personal data danych 14 • ustalenie kategorii przetwarzanych danych •osobowych analysis oforaz caseskategorii involving a transfer of personal osób, których dataosobowe outside the European Economic Area dane są przetwarzane 19 determiningdanych legal grounds for a transfer ••identyfikacja osobowych of personal data to thirdpodmiotami countries wymienianych z innymi roli tychclauses podmiotów •i określenie preparing consent for acceptance of a transfer of personal data, standard contractual • przygotowanie szczegółowego clauses or other legal instruments permitting i uporządkowanego opisu przetwarzanych a transfer of personal data to third countries danych osobowych 15 Personal data security • ustalenie kategorii przetwarzanych danych osobowych oraz kategorii osób, których •dane analysis of organizational and technical measures osobowe są przetwarzane applied for personal data protection • identyfikacja danych osobowych •wymienianych recommendations on personal data protection z innymi podmiotami measures roli tych podmiotów i określenie preparing a policy on personal data security ••przygotowanie szczegółowego and personal data processing authorizations i uporządkowanego opisu przetwarzanych danych osobowych Training • ustalenie kategorii przetwarzanych danych osobowych oraz kategorii osób, których •dane preparing training in personal data protection, osobowe są przetwarzane including e-learning courses (presentations, • identyfikacja danych osobowych outlines) and zgamification solutions wymienianych innymi podmiotami Organization • ustalenie kategorii przetwarzanych danych osobowych oraz kategorii osób, których osobowe przetwarzane •dane analysis of thesącompany’s structure in the context • identyfikacja danych osobowych of personal data protection organization wymienianych z innymi podmiotami • preparing an organizational scheme i określenie roli tych podmiotów • recommendations on assigning roles within the • przygotowanie szczegółowego organization related to personal data protection i uporządkowanego opisu przetwarzanych danych osobowych •wymienianych recommendations on apodmiotami proper reaction z innymi to requestsroli submitted by data subjects i określenie tych podmiotów Transfer of personal data to third countries • ustalenie kategorii przetwarzanych danych osobowych oraz kategorii osób, których •dane verifying policies used in relation to data security osobowe są przetwarzane • recommendations the need to introduce • identyfikacja danychon osobowych certain policies wymienianych z innymi podmiotami roli tychsuch podmiotów •i określenie preparing policies as a data breach response policy, a data processor verification • przygotowanie szczegółowego policy and/or a personal data security policy i uporządkowanego opisu przetwarzanych danych osobowych •i określenie carrying out training in personal data protection roli tych podmiotów preparing documentation confirming ••przygotowanie szczegółowego participation in training i uporządkowanego opisu (certifications) przetwarzanych danych osobowych •i określenie preparing notification clauses roli tych podmiotów recommendations on the use of notification ••przygotowanie szczegółowego clauses i uporządkowanego opisu przetwarzanych danych osobowych 13 Data protection policies 20 Consultation with the supervisory authority • ustalenie kategorii przetwarzanych danych osobowych oraz kategorii osób, których • analysis of the need to consult planned dane osobowe są przetwarzane data processing operations with the • identyfikacja osobowych supervisory danych authority wymienianych z innymi podmiotami • preparing documents necessary to conduct i określenie roli tych podmiotów a consultation • przygotowanie szczegółowego • representing the client in the consultation i uporządkowanego opisu przetwarzanych process with the supervisory authority danych osobowych Pseudonymization • ustalenie kategorii przetwarzanych danych osobowych oraz kategorii osób, których dane osobowe są przetwarzane • analysis of methods and scope of using • identyfikacja danych pseudonymized dataosobowych wymienianych z innymi podmiotami • analysis of the need to pseudonymize certain i określenie roli tych podmiotów categories of personal data • przygotowanie szczegółowego • recommendations on the need of pseudonymization i uporządkowanego opisu przetwarzanych danych osobowych Contact Portfolio of GDPR services Sylwia Pusz Partner PwC Business Consulting T: 603 33 33 09 E: [email protected] Legal aspects of GDPR implementation Anna Kobylańska Counsel, Advocate T: 519 50 62 26 E: [email protected] Personal data security Łukasz Ślęzak Manager CyberSecurity T: 519 50 66 94 E: [email protected] © 2016 PricewaterhouseCoopers Sp. z o.o. All rights reserved. PricewaterhouseCoopers Sp. z o.o. refers to the PwC network and/or one or more of its member firms, each of which is a separate legal entity.