Title slide with picture

advertisement
.
RODO – zmiany dla podmiotów
przetwarzających dane osobowe
2
Chronologia
2016
2015
Listopad: projekt RODO
2017
Analiza/Wdrożenie/Zapewnienie zgodności
Kwiecień:
- Przyjęcie RODO
- wejście w życie – 20 dni po
publikacji
2018
2019
Utrzymanie
Kwiecień:
- Rozpoczęcie
stosowania
3
Czym jest RODO ?
“Ogólne Rozporządzenie o Ochronie Danych ”
• RODO zastępuje Dyrektywę 95/46 oraz akty prawne implementujące ww. dyrektywę w
poszczególnych Państwach Członkowskich
• Przedmiot regulacji: RODO ma zastosowanie do przetwarzania danych osobowych w związku
z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu
przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii
• Dyrektywa 95/46:
• Cele i zasady dyrektywy 95/46/WE – bez zmian
• fragmentaryzacja, niepewność prawna oraz zagrożenia związane z działaniami w Internecie.
• Zakłócenia dla swobodnego przepływu danych osobowych w UE, zakłócenia konkurencji oraz
różnice w stopniu ochrony wynikające z różnic we wdrażaniu i stosowaniu dyrektywy 95/46/WE.
• RODO:
• Większa kontrola nad przetwarzaniem osób, których dane dotyczą
• Jednolite prawo w ramach UE
Przegląd kluczowych zmian
Nowości
• Zmiany w podstawach przetwarzania
• Zgoda
• ABI -> Inspektor Ochrony Danych
• Nowe zasady dot. odpowiedzialności związanej z naruszeniami
• Sankcje - skuteczne, proporcjonalne i odstraszające!
• Privacy by design oraz privacy by default
• Prawo do „bycia zapomnianym” i przenoszenie danych
• Wiodący organ nadzorczy
• Eksterytorialny charakter Rozporządzenia
• Zwiększenie wymagań w obszarze ochrony danych osobowych
RODO – Wybrane zagadnienia
6
Zakres terytorialny
– Równe zasady dla wszystkich?
– RODO ma zastosowanie:
– do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną
administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii
– do przetwarzania danych osobowych osób, których dane dotyczą, przebywających w Unii przez administratora lub
podmiot przetwarzający niemających jednostek organizacyjnych w Unii, jeżeli czynności przetwarzania wiążą się z:
– oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii – niezależnie od tego, czy wymaga się od tych osób
zapłaty; lub
– monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii
– przetwarzania danych osobowych przez administratora niemającego jednostki organizacyjnej w Unii, ale
posiadającego jednostkę organizacyjną w miejscu, w którym na mocy prawa międzynarodowego publicznego ma
zastosowanie prawo państwa członkowskiego
7
Szczególne sytuacje związane z przetwarzaniem
– wolność wypowiedzi i informacji
– publiczny dostęp do dokumentów urzędowych
– krajowy numer identyfikacyjny
– przetwarzanie w kontekście zatrudnienia
– przetwarzanie dla celów archiwalnych w interesie publicznym, do celów badań naukowych lub
historycznych lub do celów statystycznych
– tajemnice zawodowe lub inne równoważne
– dodatkowe sankcje
8
Podstawy przetwarzania
– osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub
większej liczbie określonych celów;
– przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do
podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
– przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
– przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby
fizycznej;
– przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach
sprawowania władzy publicznej powierzonej administratorowi;
– przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów
realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny
charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane
dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest
dzieckiem.
9
Zgoda
– administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie
swoich danych osobowych.
– zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych
kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.
– osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę.
– Wycofanie zgody musi być równie łatwe jak jej wyrażenie.
– Dobrowolność – uzależnienie od wykonania umowy/usługi
– Dzieci:
– Granica wiekowa 16 lat vs 13 lat
– rozsądne starania, by zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła
zgodę lub ją zaaprobowała.
10
Sankcje
– Stawka – 2-4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego
– Szkody wizerunkowe
– Nakłady związane z obsługą
Ponadto regulatorzy otrzymają:
–
–
–
–
–
Uprawnienia kontrolne
Ostrzeżenia, upomnienia, nakazy
Całkowite lub czasowe ograniczenie przetwarzania
Zawieszenie przepływu do państw trzecich
Dodatkowe sankcje w Państwach Członkowskich
Dodatkowo:
– Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo
uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.
– Solidarna odpowiedzialność
11
Jak się przygotować?
A. Interpretacja RODO
B. Audyt
C. Dobór środków
12
Czynności wstępne
• Współpraca z Zarządem
• Rozważ powołanie Inspektora Ochrony Danych
• Przejrzyj dotychczasowe polityki, instrukcje, materiały szkoleniowe itp
• Zweryfikuj podstawy przetwarzania
• Rozważ skorzystania z narzędzi w zakresie compliance
• Przeprowadź inwentaryzację procesów przetwarzania danych
• Odtwórz przepływy danych w ramach organizacji
• Zweryfikuj dotychczasowe umowy dot. przetwarzania danych osobowych
Interpretacja wymagań
Zapewnienie zgodności z RODO wymaga:
– przeglądu wymagań
– zidentyfikowania różnic w stosunku od obecnie obowiązujących przepisów
– rozważenie sposobu uwzględnienia wymagań w ramach konkretnych procesów, produktów, rozwiązań i
funkcjonalności
– śledzenie zmian prawnych – odrębnych uregulowań sektorowych
14
Audyt
RODO – ramy prawne
Pytania?
Dziękuję
16
Download