Wprowadzenie. Prawno - Proceduralne. Organizacyjno-procesowe. Techniczny/Bezpieczeństwo

Transkrypt

1 Wprowadzenie Prawno - Proceduralne Organizacyjno-procesowe Techniczny/Bezpieczeństwo 6

2 Nowe zasady ochrony danych osobowych - źródła prawa ogólne rozporządzenie o ochronie danych osobowych (RODO), które uchyla dotychczasową ustawę o ochronie danych osobowych: data wejścia w życie przepisów RODO - 24 maja 2016 r. data stosowania się przepisów RODO - 25 maja 2018 r. w związku z wdrożeniem przepisów RODO dokonywany jest przegląd legislacyjny celem dostosowania przepisów sektorowych do wymogów RODO oprócz RODO projektowana jest nowa ustawa o ochronie danych osobowych (data wejścia w życie - 25 maja 2018 r.), przed wszystkim reguluję: kompetencje organu nadzoru ds. ochrony danych osobowych przepisy proceduralne przed organem ds. ochrony danych osobowych inne kwestie nieuregulowane w RODO (np. przepisy karne) projekt Rozporządzenia e-privacy (m.in. cookies) wstępny projekt Rozporządzenia opublikowany w styczniu 2017 r. data uchwalenia i stosowania się przepisów 2017/2018 2

3 RODO - cele dotychczasowa fragmentaryzacja ochrony danych osobowych wprowadzała element braku pewności i przejrzystości prawa rozporządzenie wprowadza równorzędny stopień ochrony we wszystkich państwach członkowskich UE objęcie przepisami RODO procesów przetwarzania danych osobowych przez podmioty spoza UE, o ile to przetwarzanie dotyczy osób znajdujących się na terytorium UE 3

4 Wdrożenie RODO dlaczego ważne dla Ricoh Polska? własny compliance compliance klientów przewaga konkurencyjna (Jaka?) Nowa oferta sprzedażowa oparta o wdrożenie RODO Dyskusja! 4

5 Nowa filozofia podejścia do ochrony danych osobowych i jej wpływ na dostosowanie się organizacji do wymogów RODO zasada rozliczalności administrator danych powinien być w stanie wykazać, że stosowane przez niego metody są zgodne z RODO oraz skuteczne zastosowanie się do zasady rozliczalności wymaga wdrożenia odpowiednich procedur i prowadzenia odpowiedniej dokumentacji, nawet jeśli obowiązek ich posiadania nie wynika bezpośrednio z przepisów RODO, ale dzięki którym łatwiej będzie wykazać fakt spełniania przewidzianych Rozporządzeniem wymogów ochrona danych a koncepcja podejścia opartego na ryzyku (Risk Based Approach, RBA), koncepcja ta zakłada, że im ryzyko związane z przetwarzaniem danych osobowych jest większe, tym większy powinien być zakres obowiązków ciążących na administratorze danych 5

6 RODO nowy system sankcji w RODO przewidziano bardzo surowe sankcje administracyjne za naruszenie przepisów o ochronie danych osobowych (prywatności), m.in. kary pieniężne w wysokości: do EUR, a w przypadku przedsiębiorstwa w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa lub w przypadku naruszeń szczególnie istotnych obowiązków w wysokości do EUR, a w przypadku przedsiębiorstwa w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, w RODO odpowiedzialność cywilnoprawna (art.82) 6

7 Data wejścia w życie i data stosowania się przepisów czy już teraz należy spełniać obowiązki z RODO data wejścia w życie przepisów RODO - 24 maja 2016 r. data stosowania się przepisów RODO - 25 maja 2018 r. z uwagi na fakt, że przepisy RODO weszły już w życie, a jedynie ich stosowanie jest odroczone do 25 maja 2018 r. przyjmuję się, że w stosunku do danych osobowych zbieranych obecnie należy już stosować obowiązki określone w RODO, chyba że z treści danego przepisu wynika inne określenie chwili na który dany obowiązek ma zostać spełniony (np. przepis określa ten moment jako: z chwilą zbierania danych, z chwilą rozpoczęcia przetwarzania danych ) wniosek: w stosunku do większości obowiązków przetwarzania danych osobowych określonych w RODO należy spełnić obowiązki określone w Rozporządzeniu przed rozpoczęciem stosowania się przepisów (25 maja 2018 r.) 7

8 Wdrożenie RODO na osi czasu doprowadzenie do zgodności z przepisami o ochronie danych osobowych nie jest możliwe jednorazowo, ale proces dostosowawczy (compliance) jest rozłożony w czasie do dnia rozpoczęcia stosowania przepisów (25 maja 2018 r.) działania, które mogą zostać podjęte od wejścia RODO w życie (24 maja 2016 r.) działania, które mogą zostać podjęte po wydaniu wytycznych przez Grupę Roboczą art.29 działania, które mogą zostać podjęte po wydaniu wytycznych wydanych przez organy nadzorcze (GIODO) 8

9 RODO co się nie zmienia w stosunku do dotychczasowego stanu prawnego (1) pojęcie danych osobowych art.4 pkt 1 RODO - dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ( osobie, której dane dotyczą ) wykładnia motywu nr 14 RODO: Niniejsze rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej. kryteria uznania danych podmiotów za administratorów danych i podmioty przetwarzające dane osobowe na zlecenie administratora 9

10 RODO co się nie zmienia w stosunku do dotychczasowego stanu prawnego (2) zasady szczególnej staranności przy przetwarzaniu danych osobowych (adekwatność, poprawność, celowość, czasowość) większość zasad dotyczących statusu i zadań ABI (inspektora ds. ochrony danych osobowych) większość zasad i mechanizmów transferu danych osobowych do państwa trzeciego (np. standardowe klauzule umowne) 10

11 RODO wykaz i istota najważniejszych zmian (1) nowy rodzaj regulowanych danych osobowych (dane spseudonimizowane) art.4 pkt 5: przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej pseudonimizacja danych osobowych - korzyści prawne stosowanie pseudonimizacji jest w wielu przepisach RODO traktowane jako wykazanie spełnienia wymogu stosowania odpowiednich środków technicznych i organizacyjnych (np. art.25, 32) pseudonimizacja może ułatwić przyjęcie dopuszczalności wtórnego przetwarzania danych mimo zmiany pierwotnego celu przetwarzania danych (art.6 ust.4 e) 11

12 RODO wykaz i istota najważniejszych zmian (2) dopuszczalność współadministrowania danymi osobowymi przez kilka podmiotów (art.26) jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami niezależnie od uzgodnień pomiędzy współadministratorami, podmiot danych może wykonywać przysługujące jej prawa wynikające z RODO wobec każdego z administratorów 12

13 RODO wykaz i istota najważniejszych zmian (3) doprecyzowanie relacji, w tym zasad odpowiedzialności, administrator processor/subprocessor (art.28) administrator ma obowiązek korzystania wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą (art.28 ust.1) podstawą przetwarzania jest umowa, której treść została istotnie zmodyfikowana w stosunku do dotychczasowego stanu prawnego (art.28 ust.3) 13

14 RODO wykaz i istota najważniejszych zmian (4) nowe ujęcie konstrukcji prawnej zgody i warunków jej wyrażania przez podmioty danych (art.4 pkt 11, art.6 ust.1 pkt a), art.7-8) zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych w przypadku danych sensytywnych zgoda nie musi być pisemna, wystarczy wyraźna zgoda (art.9 ust.2 pkt a) 14

15 RODO wykaz i istota najważniejszych zmian (5) modyfikacja zakresu obowiązków informacyjnych (art.13-14) istotnie zwiększony został zakres informacji, które mają być przekazywane podmiotom danych, m.in. informacje o: podstawie prawnej przetwarzania, w tym jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) prawnie uzasadnionych interesach realizowanych przez administratora lub przez stronę trzecią gdy ma to zastosowanie informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję Europejską odpowiedniego stopnia ochrony okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu 15

16 RODO wykaz i istota najważniejszych zmian (6) poszerzenie istniejących obowiązków w zakresie prawa dostępu do danych (art.15) poszerzenie zakresu informacji, które może uzyskać podmiot danych nowy sposób realizacji prawa dostępu 16

17 RODO wykaz i istota najważniejszych zmian (7) modyfikacja zasad dopuszczalnego profilowania danych (art.4 pkt 4, art.21-22) profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się. szczególna regulacja profilowania na potrzeby zautomatyzowanych decyzji (art.22) 17

18 RODO wykaz i istota najważniejszych zmian (8) wymogi odnośnie systemów IT, tak aby uwzględniona została koncepcja: ochrony danych w fazie projektowania (privacy by design) oraz domyślnej ochrony danych (privacy by default) modyfikacja obowiązku rejestracyjnego (art.30) poszerzenie zakresu obowiązków w zakresie bezpieczeństwa danych (art.32 i n) nowe ujęcie obowiązku dokonania oceny skutków przetwarzania danych (art.35) obowiązek uprzedniej konsultacji z organem nadzoru w przypadku stwierdzenia wysokiego ryzyka przetwarzania danych (art.36) 18

19 RODO wykaz i istota najważniejszych zmian (9) obowiązek powiadamiania organu nadzorczego i podmiotów danych osobowych w przypadku naruszenia ochrony danych osobowych (art.33-34) naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych obowiązek powiadomienia organu nadzoru obowiązek powiadomienia podmiotu danych osobowych obowiązek powiadomienia administratora przez processora 19

20 RODO wykaz i istota najważniejszych zmian (10) obowiązek wyznaczenia ABI (inspektora ochrony danych osobowych) art.37 i n. nowe sposoby (mechanizmy) wykazywania zgodności z przepisami o ochronie danych osobowych (art.40 i n.) nowe sankcje administracyjne za naruszenie przepisów o ochronie danych osobowych (art.58 ust.2, art i n.) nowe sankcje cywilnoprawne za naruszenie przepisów o ochronie danych osobowych (art.82) 20

21 Plan projektu wdrożenia RODO utworzenie listy sprawdzającej (checklist) wdrożenia RODO i zmapowanie nowych wymogów na dotychczasowe funkcjonowanie danej organizacji określenie, które z zadań z listy sprawdzającej mogą zostać spełnione w danym momencie na osi czasu wdrożenia RODO w przypadku modyfikacji w RODO dotychczasowych obowiązków weryfikacja + zmiana dotychczas stosowanych wzorów klauzul, umów, czy innej dokumentacji w przypadku nowych obowiązków w RODO stworzenie nowych procedur, dokumentacji etc. 21

22 Wdrożenie RODO lista zadań do wykonania (1) określenie statusu podmiotów przetwarzających dane osobowe (administrator/współadministrator/processor/subprocessor) weryfikacja podstaw prawnych przetwarzania danych osobowych określonych w RODO w kontekście poszczególnych procesów biznesowych realizowanych przez danego administratora wypracowanie strategii dotyczącej pseudonimizacji danych, w tym określenie sytuacji, gdy w danej organizacji będziemy dokonywać tego procesu przegląd stosowanych klauzul informacyjnych przegląd stosowanych klauzul zgód, w tym podjęcie decyzji w których ewentualnie sytuacjach starać się o pozyskanie odrębnych zgód (np. art.22 ust.2 pkt c) określenie procedur realizacji obowiązków administratorów danych/processorów (np. w zakresie powiadomień o naruszeniach) 22

23 Wdrożenie RODO lista zadań do wykonania (2) przegląd i modyfikacja treści stosowanych umów powierzenia przetwarzania danych oraz wprowadzenie rozwiązań organizacyjnych pozwalających na wykazanie spełnienia obowiązku wyboru odpowiedniego processora określenie procedur realizacji praw podmiotów danych (np. w zakresie prawa dostępu do danych) określenie procedur realizacji obowiązków administratorów danych (np. w zakresie powiadomień o naruszeniach) wyznaczenie oraz określenie statusu i zadań inspektora ochrony danych osobowych określenie procedury rozpatrywania żądań podmiotu danych kierowanych do inspektora ochrony danych osobowych 23

24 Wdrożenie RODO lista zadań do wykonania (3) wypracowanie modelu rejestrowania czynności przetwarzania danych wypracowanie modelu postępowania w przypadku tworzenia/zamawiania systemów IT, tak aby uwzględniona została koncepcja ochrony danych w fazie projektowania (privacy by design) oraz domyślnej ochrony danych (privacy by default) analiza stosowanych środków technicznych i organizacyjnych bezpieczeństwa danych pod kątem zgodności ze wskazaniami RODO dokonanie ocena skutków przetwarzania danych osobowych pod kątem związanych z nimi ryzyk 24

25 Wdrożenie RODO lista zadań do wykonania (4) wykonanie, w sytuacjach tego wymagających, uprzedniej konsultacji z organem nadzorczym wybór odpowiednich mechanizmów transferowych w przypadku przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej monitoring dostępnych mechanizmów zgodności z wymogami RODO monitoring orzeczeń dotyczących odpowiedzialności cywilnoprawnej (spodziewana jest większa liczba spraw tego rodzaju w związku z naruszeniem ochrony danych osobowych) 25

26 Wdrożenie RODO produkty (1) opracowanie/modyfikacja wzorów klauzul informacyjnych opracowanie/modyfikacja wzorów oświadczeń zgody na przetwarzanie danych osobowych oraz wycofania takiej zgody opracowanie procedury wyboru processorów, którzy zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych opracowanie/modyfikacja wzorów umów (aneksów do umów) powierzenia przetwarzania danych osobowych, w tym klauzul dotyczących podpowierzenia przetwarzania danych osobowych określenie procedur realizacji praw podmiotów danych 26

27 Wdrożenie RODO produkty (2) określenie procedury rozpatrywania żądań podmiotów danych kierowanych do inspektora ochrony danych osobowych, wraz ze wzorami odpowiedzi określenie procedury opisującej zasady realizacji prawa dostępu do danych przygotowanie rejestru czynności przetwarzania danych osobowych 27

28 Wdrożenie RODO produkty (3) opracowanie dokumentacji dotyczącej wyznaczenia inspektora ochrony danych oraz przygotowaniu zakresu jego zadań zgodnie z RODO aktualizacja dokumentacji przetwarzania danych osobowych zgodnie z wymaganiami RODO (m.in. polityka ochrony danych, dokumentacji dotyczącej przeglądów zastosowanych środków technicznych i organizacyjnych zabezpieczenia danych, dokumentacji naruszenia ochrony danych osobowych) opracowanie polityki privacy by design oraz polityki privacy by default. 28

29 Wdrożenie RODO produkty (4) opracowanie dokumentacji dotyczącej wyznaczenia inspektora ochrony danych oraz przygotowaniu zakresu jego zadań zgodnie z RODO aktualizacja dokumentacji przetwarzania danych osobowych zgodnie z wymaganiami RODO (m.in. polityka ochrony danych, dokumentacji dotyczącej przeglądów zastosowanych środków technicznych i organizacyjnych zabezpieczenia danych, dokumentacji naruszenia ochrony danych osobowych) opracowanie polityki privacy by design oraz polityki privacy by default. 29

30 Wdrożenie RODO metodologia Warsztat jednodniowy RODO z kluczowymi interesariuszami- uświadamianie organizacji zagadanień RODO i zdobywanie informacji wstępnych nt. gotowości organizacji do wdrożenia RODO Analiza AS-IS przekazanej dokumentacji i innych materiałów związanych z przetwarzaniem danych osobowych wywiady/warsztaty z pracownikami- Interesariusze: a) właściciele zasobów informacyjnych w biznesie b) ABI/zastępcy ABI-ich c) osoby odpowiadające za compliance/ryzyko d) pracownicy IT. e) Pracownicy dep. bezpieczeństwa Analiza dojrzałości procesów przetwarzania danych osobowych, w tym procesów realizowanych w poszczególnych systemach IT administrowanych przez daną organizację, Mapa drogowa Zaprojektowanie procesu TO-BE- Mapa drogowa wdrożenie RODO na linii czasu Dostosowanie umów, norm, procedur, procesów, organizacji do RODO Dostosowanie rozwiązań informatycznych i bezpieczeństwa klienta do wymagań RODO Ew. Certyfikacja RODO, Testy penetracyjne/stress testy RODO Regularny system monitorowania compliance organizacji z RODO 30

31 Wdrożenie RODO- Pierwsze kroki 31

32 Normy i docelowe rozwiązania 32