. RODO – zmiany dla podmiotów przetwarzających dane osobowe 2 Chronologia 2016 2015 Listopad: projekt RODO 2017 Analiza/Wdrożenie/Zapewnienie zgodności Kwiecień: - Przyjęcie RODO - wejście w życie – 20 dni po publikacji 2018 2019 Utrzymanie Kwiecień: - Rozpoczęcie stosowania 3 Czym jest RODO ? “Ogólne Rozporządzenie o Ochronie Danych ” • RODO zastępuje Dyrektywę 95/46 oraz akty prawne implementujące ww. dyrektywę w poszczególnych Państwach Członkowskich • Przedmiot regulacji: RODO ma zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii • Dyrektywa 95/46: • Cele i zasady dyrektywy 95/46/WE – bez zmian • fragmentaryzacja, niepewność prawna oraz zagrożenia związane z działaniami w Internecie. • Zakłócenia dla swobodnego przepływu danych osobowych w UE, zakłócenia konkurencji oraz różnice w stopniu ochrony wynikające z różnic we wdrażaniu i stosowaniu dyrektywy 95/46/WE. • RODO: • Większa kontrola nad przetwarzaniem osób, których dane dotyczą • Jednolite prawo w ramach UE Przegląd kluczowych zmian Nowości • Zmiany w podstawach przetwarzania • Zgoda • ABI -> Inspektor Ochrony Danych • Nowe zasady dot. odpowiedzialności związanej z naruszeniami • Sankcje - skuteczne, proporcjonalne i odstraszające! • Privacy by design oraz privacy by default • Prawo do „bycia zapomnianym” i przenoszenie danych • Wiodący organ nadzorczy • Eksterytorialny charakter Rozporządzenia • Zwiększenie wymagań w obszarze ochrony danych osobowych RODO – Wybrane zagadnienia 6 Zakres terytorialny – Równe zasady dla wszystkich? – RODO ma zastosowanie: – do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii – do przetwarzania danych osobowych osób, których dane dotyczą, przebywających w Unii przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w Unii, jeżeli czynności przetwarzania wiążą się z: – oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii – niezależnie od tego, czy wymaga się od tych osób zapłaty; lub – monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii – przetwarzania danych osobowych przez administratora niemającego jednostki organizacyjnej w Unii, ale posiadającego jednostkę organizacyjną w miejscu, w którym na mocy prawa międzynarodowego publicznego ma zastosowanie prawo państwa członkowskiego 7 Szczególne sytuacje związane z przetwarzaniem – wolność wypowiedzi i informacji – publiczny dostęp do dokumentów urzędowych – krajowy numer identyfikacyjny – przetwarzanie w kontekście zatrudnienia – przetwarzanie dla celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych – tajemnice zawodowe lub inne równoważne – dodatkowe sankcje 8 Podstawy przetwarzania – osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; – przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; – przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; – przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; – przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; – przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. 9 Zgoda – administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych. – zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. – osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. – Wycofanie zgody musi być równie łatwe jak jej wyrażenie. – Dobrowolność – uzależnienie od wykonania umowy/usługi – Dzieci: – Granica wiekowa 16 lat vs 13 lat – rozsądne starania, by zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała. 10 Sankcje – Stawka – 2-4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego – Szkody wizerunkowe – Nakłady związane z obsługą Ponadto regulatorzy otrzymają: – – – – – Uprawnienia kontrolne Ostrzeżenia, upomnienia, nakazy Całkowite lub czasowe ograniczenie przetwarzania Zawieszenie przepływu do państw trzecich Dodatkowe sankcje w Państwach Członkowskich Dodatkowo: – Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. – Solidarna odpowiedzialność 11 Jak się przygotować? A. Interpretacja RODO B. Audyt C. Dobór środków 12 Czynności wstępne • Współpraca z Zarządem • Rozważ powołanie Inspektora Ochrony Danych • Przejrzyj dotychczasowe polityki, instrukcje, materiały szkoleniowe itp • Zweryfikuj podstawy przetwarzania • Rozważ skorzystania z narzędzi w zakresie compliance • Przeprowadź inwentaryzację procesów przetwarzania danych • Odtwórz przepływy danych w ramach organizacji • Zweryfikuj dotychczasowe umowy dot. przetwarzania danych osobowych Interpretacja wymagań Zapewnienie zgodności z RODO wymaga: – przeglądu wymagań – zidentyfikowania różnic w stosunku od obecnie obowiązujących przepisów – rozważenie sposobu uwzględnienia wymagań w ramach konkretnych procesów, produktów, rozwiązań i funkcjonalności – śledzenie zmian prawnych – odrębnych uregulowań sektorowych 14 Audyt RODO – ramy prawne Pytania? Dziękuję 16