Warszawa, 19 października 2016 Agnieszka Szydlik, adwokat, Wardyński & Wspólnicy Sylwia Paszek, radca prawny, Wardyński & Wspólnicy

Transkrypt

1 Nowa regulacja ochrony danych osobowych ewolucja czy rewolucja? Warszawa, 19 października 2016 Agnieszka Szydlik, adwokat, Wardyński & Wspólnicy Sylwia Paszek, radca prawny, Wardyński & Wspólnicy

2 Reforma ochrony danych osobowych Prace rozpoczęto w roku 2012; Rozporządzenie Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) ( GDPR General Data Protection Regulation); Wejście w życie: 25 maja 2018 r. 2

3 GDPR istotne zmiany (1) 1. Dokumentacja Administratorzy danych będą zobowiązani do wykazania, że przetwarzają dane osobowe w zgodzie z właściwymi zasadami. Polityki i procedury Umowy i innego rodzaju porozumienia regulujące przekazywanie danych osobowych innym podmiotom Powiadomienia adresowane do osób, których dane są przetwarzane 3

4 GDPR istotne zmiany (2) 2. Powiadomienia adresowane do osób, których dane są przetwarzane Administratorzy danych będą zobowiązani do wyjaśnienia / ujawnienia: podstawy prawnej przetwarzania danych; podstawy prawnej przekazania danych (w tym wskazania odbiorców oraz środków zastosowanych w celu zapewnienia należytej ochrony); czasokresu przetwarzania danych; informacji o prawie do zwracania się z reklamacjami / skargami do organów ochrony danych osobowych, prawach żądania sprostowania, usunięcia, ograniczenia przetwarzania, prawie do wnoszenia sprzeciwu wobec przetwarzania oraz prawie do przenoszenia danych; stosowania zautomatyzowanego podejmowania decyzji w oparciu o przetwarzane dane (w tym: istotnych informacji dotyczących stosowanego mechanizmu, istotności i potencjalnych konsekwencji takiego przetwarzania), językiem zwięzłym, zrozumiałym i jasnym. 4

5 GDPR istotne zmiany (3) 3. Prawa osób, których dane są przetwarzane Aktualne prawa podmiotów danych przyznane w celu ochrony danych pozostają nienaruszone. Niektóre z tych praw będą podlegać wzmocnieniu, w szczególności poprzez zastosowanie nowych instrumentów / rozwiązań: Prawo żądania definitywnego usunięcia danych osobowych ( prawo do bycia zapomnianym ) Prawo żądania ograniczenia przetwarzania; Prawo żądania zaprzestania profilowania / stosowania zautomatyzowanego podejmowania decyzji w oparciu o przetwarzanie danych; Prawo do przenoszenia danych. 5

6 GDPR istotne zmiany (4) 4. Zgłaszanie naruszeń ochrony danych ogólny obowiązek raportowania Raportowanie naruszenia do organu ochrony danych, w szczególności wówczas, gdy prawdopodobnym jest, że osoba fizyczna poniesie szkodę w następstwie naruszenia; Powiadomienie osób, których dane zostały objęte naruszeniem; Sankcja z tytułu zaniechania zaraportowania wbrew obowiązkowi. 6

7 GDPR istotne zmiany (5) 5. Kary administracyjne do EUR 20m. / do wysokości 4% całkowitego obrotu osiągniętego w roku poprzedzającym (którakolwiek wartość jest wyższa): Naruszenia zagrożone sankcjami Naruszenie podstawowych zasad ochrony danych; Naruszenie praw osób, których dane są przetwarzane; Bezprawne przekazanie danych do kraju trzeciego; Niewykonanie decyzji / zaleceń organów ochrony danych osobowych. 7

8 GDPR istotne zmiany (6) 6. Przeprowadzenie oceny wpływu zamierzonej działalności na zgodne z prawem przetwarzanie danych osobowych Jeżeli prawdopodobnym jest, że zamierzona działalność będzie wiązać się z wysokim ryzykiem dla praw i wolności osób ocena jest wymagana PRZED rozpoczęciem przetwarzania; Gdy przetwarzanie będzie wiązało się z (i) użyciem / rozwojem nowych technologii, lub (ii) systematycznym stosowaniem rozwiązań polegających na zautomatyzowanym podejmowaniu decyzji w oparciu o przetwarzanie danych, lub (iii) przetwarzaniem danych wrażliwych na wielką skalę, lub (iv) regularnym monitorowania przestrzeni publicznej na wielką skalę. 8

9 Przekazywanie danych osobowych do krajów trzecich (1) Mechanizm nr 1: Decyzja Komisji potwierdzająca, że państwo trzecie; lub terytorium albo sektor na terenie państwa trzeciego; lub organizacja międzynarodowa zapewnia należyty poziom ochrony danych osobowych. Privacy Shield zastąpi Safe Harbour Commission Implementing Decision pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by EU-U.S. Privacy Shield 9

10 Przekazywanie danych osobowych do krajów trzecich (2) Mechanizm nr 2: Wiążące reguły korporacyjne (BCR binding corporate rules) zatwierdzone przez organ ochrony danych osobowych prawnie wiążące oraz mają zastosowanie do każdego z członków grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą, w tym ich pracowników, i są przez każdego z tych członków egzekwowane; wyraźnie przyznają osobom, których dane dotyczą, egzekwowalne prawa w związku z przetwarzaniem ich danych osobowych; zawierają określone obligatoryjne elementy. 10

11 Przekazywanie danych osobowych do krajów trzecich (3) Wiążące reguły korporacyjne (BCR binding corporate rules) Obligatoryjne elementy: struktura i dane kontaktowe odnośnej grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą i każdego z jej członków; jednorazowe lub wielokrotne przekazanie danych, w tym kategorie danych osobowych, rodzaj przetwarzania i jego cele, rodzaje osób, których dane dotyczą, oraz nazwa danego państwa trzeciego lub danych państw trzecich; ich prawnie wiążący charakter, wewnętrzny i zewnętrzny; zastosowanie ogólnych zasad ochrony danych w szczególności ograniczenia celu, minimalizacji danych, ograniczonych okresów przechowywania, jakości danych, uwzględnianie ochrony danych w fazie projektowania oraz domyślnej ochrony danych, podstawa prawna przetwarzania, przetwarzanie szczególnych kategorii danych osobowych, środki zapewniające bezpieczeństwo danych, wymogi w zakresie dalszego przekazywania podmiotom niezwiązanym wiążącymi regułami korporacyjnymi; 11

12 Przekazywanie danych osobowych do krajów trzecich (4) Wiążące reguły korporacyjne (BCR binding corporate rules) : prawa osób, których dane dotyczą, w związku z przetwarzaniem oraz sposoby wykonywania tych praw (w tym z prawa do niepodlegania decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu w tym profilowaniu, prawa do wnoszenia skarg do właściwego organu nadzorczego i właściwych sądów oraz prawa do środka zaskarżenia, a w stosownych przypadkach odszkodowania za naruszenie BCR); przyjęcie przez administratora lub podmiot przetwarzający posiadających jednostki organizacyjnej na terytorium państwa członkowskiego odpowiedzialności prawnej za naruszenie wiążących reguł korporacyjnych przez odnośnego członka niemającego jednostki organizacyjne w Unii; sposób, w jaki osobom, których dane dotyczą, podaje się informacje o BCR; zadania inspektora ochrony danych lub innej osoby lub podmiotu odpowiedzialnych za monitorowanie przestrzegania BCR w ramach grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą oraz monitorowanie szkoleń i rozpatrywanie skarg, procedury dotyczące skarg; 12

13 Przekazywanie danych osobowych do krajów trzecich (5) Wiążące reguły korporacyjne (BCR binding corporate rules) stosowane w grupie przedsiębiorstw lub w grupie przedsiębiorców mechanizmy zapewniające weryfikację przestrzegania BCR (audyty, metody zapewniania działań naprawczych); mechanizmy zgłaszania i rejestrowania zmian w zasadach i zgłaszania tych zmian organowi nadzorczemu; mechanizm współpracy z organem nadzorczym zapewniający przestrzeganie zasad przez wszystkich członków grupy przedsiębiorstw lub grupy przedsiębiorców; mechanizm zgłaszania właściwemu organowi nadzorczemu wszelkich wymogów prawnych, którym podlega w państwie trzecim członek grupy przedsiębiorstw lub grupy przedsiębiorców, które mogą mieć istotny niekorzystny wpływ na gwarancje przewidziane w BCR; właściwe szkolenia z zakresu ochrony danych dla personelu mającego stały lub regularny dostęp do danych osobowych. 13

14 Przekazywanie danych osobowych do krajów trzecich (6) Mechanizm 3: Modelowe klauzule umowne zatwierdzone przez Komisję Mechanizm 4: Standardowe klauzule ochrony danych osobowych zatwierdzone przez organ ochrony danych osobowych i zaakceptowane przez Komisję. Mechanizm 5: Zatwierdzony kodeks postępowania łącznie z wiążącymi i wykonalnymi zobowiązaniami administratora i procesora w kraju trzecim do stosowania właściwych zabezpieczeń, w tym w zakresie egzekwowania praw podmiotów danych. 14

15 Przekazywanie danych osobowych do krajów trzecich (7) Mechanizm 6: Zatwierdzony system certyfikacji łącznie z wiążącymi i wykonalnymi zobowiązaniami administratora i procesora w kraju trzecim do stosowania właściwych zabezpieczeń, w tym w zakresie egzekwowania praw podmiotów danych. 15

16 Przekazywanie danych osobowych do krajów trzecich (7) Mechanizm 7: Dozwolone wyłączenia spod zakazu osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, z którymi może się dla niej wiązać proponowane przekazanie, wyraźnie wyraziła na nie zgodę; przekazanie jest niezbędne do wykonania umowy między podmiotem danych a administratorem lub do wprowadzenia w życie środków przedumownych podejmowanych na żądanie podmiotu danych; przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie podmiotu danych, między administratorem a inną osobą fizyczną lub prawną; przekazanie jest niezbędne ze względu na ważne względy interesu publicznego; przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń; przekazanie jest niezbędne do ochrony żywotnych interesów podmiotu danych lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody; przekazanie następuje z publicznie dostępnych rejestrów. 16

17 Przekazywanie danych osobowych do krajów trzecich (7) Mechanizm 8: Sytuacje wyjątkowe przekazanie dotyczy tylko ograniczonej liczby osób, których dane dotyczą, jest niezbędne ze względu na ważne prawnie uzasadnione interesy realizowane przez administratora, wobec których charakteru nadrzędnego nie mają interesy ani prawa i wolności osoby, której dane dotyczą a administrator ocenił wszystkie okoliczności przekazania danych i na podstawie tej oceny zapewnił odpowiednie zabezpieczenia w zakresie ochrony danych osobowych; administrator informuje organ nadzorczy o przekazaniu; administrator podaje osobie, której dane dotyczą, także informacje o przekazaniu i o ważnych prawnie uzasadnionych interesach realizowanych przez niego. 17

18 Dziękujemy za uwagę Agnieszka Szydlik Sylwia Paszek Aleje Ujazdowskie 10, Warszawa tel.: ,