Jak operator ma przygotować się do nowych przepisów o ochronie danych osobowych?

Transkrypt

1 Jak operator ma przygotować się do nowych przepisów o ochronie danych osobowych? Wojciech Dziomdziora, Michał Kluska Sopot, r.

2 1. Nowości i zmiany z perspektywy zarządu spółki oraz administratora danych osobowych. 2. Ochrona danych osobowych a tajemnica telekomunikacyjna. 3. Uprawnienia osób, których dane dotyczą. 4. Nowy ABI czyli DPO. 5. Powierzenie do przetwarzania. 6. Zasady odpowiedzialności i sankcje.

3 Nowości i zmiany z perspektywy zarządu spółki oraz administratora danych osobowych

4 4

5 RODO Wpływ RODO na działalność przedsiębiorców Ujednolica prawo Działa natychmiastowo, stając się w momencie wejścia w życie częścią prawa krajowego Ustanawia prawo powszechnie obowiązujące Transpozycja rozporządzeń nie jest co do zasady dopuszczalna/wymagalna Pozostawienie pewnego zakresu swobody dla państw UE 5

6 RODO Wpływ RODO na działalność przedsiębiorców 25 stycznia 2012 propozycja KE marzec 2014 przyjęcie RODO przez PE marzec 2014 grudzień 2015 TRILOG 15 grudnia 2015 uzgodnienie finalnej wersji 14 kwietnia 2016 uchwalenie przepisów 4 maja 2016 opublikowanie przepisów 25 maja 2018 r. 6

7 RODO Wpływ RODO na działalność przedsiębiorców Obecnie trwają prace na nową polską ustawą o ochronie danych osobowych, która będzie dokumentem komplementarnym do RODO 28 marca 2017 roku Ministerstwo Cyfryzacji opublikowało pierwszy projekt tej ustawy Projekt zawiera regulacje dotyczące m.in.: Postępowania organu nadzorczego w sprawie naruszeń RODO Postępowania kontrolnego Administracyjnych kar pieniężnych Odpowiedzialności cywilnej Inspektora Ochrony Danych Ministerstwo Cyfryzacji nie planuje zmian w PT, czekając na Rozporządzenie e- Privacy 7

8 RODO Nowości i zmiany z perspektywy administratora danych osobowych Obowiązek Obecne przepisy RODO Podmiot przetwarzający dane Podstawa prawna + + przetwarzania Zgoda na piśmie + - Obowiązek + + informacyjny Powierzenie na + + podstawie umowy Bezpieczeństwo Wyznaczenie przedstawiciela 8

9 RODO Nowości i zmiany z perspektywy administratora danych osobowych Obowiązek Obecne przepisy RODO Podmiot przetwarzający dane Ochrona danych w - + fazie projektowania Prowadzenie dokumentacji operacji Ocena skutków + + Zgłoszenie naruszenia -/+ + + Powołanie ABI - -/+ -/+ 9

10 RODO One stop shop Wiele jednostek na terenie UE + transgraniczny transfer danych na terenie UE Jeden wiodący organ nadzorczy 10

11 RODO One stop shop transgraniczne przetwarzanie oznacza: a) przetwarzanie danych osobowych, które odbywa się w Unii w więcej, niż jednym państwie członkowskim administratora w Unii posiadającego jednostki organizacyjne w więcej niż jednym państwie członkowskim; albo b) przetwarzanie danych osobowych, które odbywa się w Unii w ramach pojedynczej jednostki administratora, ale które znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim. 11

12 RODO One stop shop Organ wiodący powinien zostać wyznaczony względem głównej jednostki organizacyjnej administratora danych Przez główną jednostkę organizacyjna rozumie się miejsce w którym znajduje się centralna administracja administratora w Unii lub w której podejmuje się decyzje co do sposobów i celów przetwarzania danych Przyporządkowanie wiodącego organu nie zmniejsza kompetencji innych organów nadzorczych w zakresie nadzoru nad transgranicznym przetwarzaniem danych osobowych Wiodący organ nadzoru ma obowiązek ściśle współpracować z innymi organami nadzoru Lokalne przetwarzanie danych podlega lokalnemu organowi nadzorczemu 12

13 RODO Obowiązki ADO rejestr czynności Każdy* administrator prowadzi rejestr czynności przetwarzania danych osobowych. W rejestrze tym zamieszcza się m.in. następujące informacje: a) cel przetwarzania b) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych c) kategorie odbiorców d) przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej e) planowane terminy usunięcia kategorii danych f) ogólny opis technicznych i organizacyjnych środków bezpieczeństwa. Rejestr może mieć formę elektroniczną. *Obowiązki dot. rejestru, nie mają zastosowania do podmiotu zatrudniającego mniej niż 250 osób, chyba że: przetwarzanie może powodować ryzyko naruszenia praw lub wolności podmiotów nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych 13

14 RODO Nowości i zmiany z perspektywy administratora danych osobowych naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem : zniszczenia utracenia zmodyfikowania nieuprawnionego ujawnienia, lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych danych osobowych 14

15 RODO Nowości i zmiany z perspektywy administratora danych osobowych NARUSZENIE OCHRONY DANYCH OSOBOWYCH PT: termin notyfikacji ADO: 3 dni od stwierdzenia naruszenia bez zbędnej zwłoki w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia ADO Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. zgłoszenie bez zbędnej zwłoki podmiot przetwarzający Osoba, której dane dotyczą jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych notyfikacja abonenta: w przypadku, gdy naruszenie danych osobowych może mieć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną (w szczególności może skutkować nieuprawnionym posługiwaniem się danymi osobowymi, szkodą majątkową, naruszeniem dóbr osobistych, ujawnieniem tajemnicy bankowej lub innej ustawowo chronionej tajemnicy zawodowej), niezwłocznie, nie później niż w terminie 3 dni; Organ nadzoru

16 RODO Nowości i zmiany z perspektywy administratora danych osobowych Zgłoszenie do organu nadzoru musi co najmniej: Zawiadomienie Kowalskiego nie jest wymagane, w następujących przypadkach: a) opisywać charakter naruszenia ochrony danych osobowych (kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie); b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego; c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych. a) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych; b) administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby; c) wymagałoby ono niewspółmiernie dużego wysiłku wydanie publicznego komunikat lub zastosowany zostaje podobny środek informującego podmioty danych. 16

17 RODO Privacy by design Administrator zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania wdraża odpowiednie środki techniczne i organizacyjne - np. pseudoanonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych (np. minimalizacji danych), oraz nadania przetwarzaniu niezbędnych zabezpieczeń RODO Privacy by default Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności 17

18 RODO Wymogi dot. zgody na przetwarzanie danych osobowych Obecnie przetwarzanie danych jest dopuszczalne m.in. kiedy: a) osoba, której dane dotyczą wyraziła na to zgodę b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze 18

19 RODO Wymogi dot. zgody na przetwarzanie danych osobowych Według RODO zgoda osoby, której dane dotyczą oznacza dobrowolne konkretne świadome, i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego. Liberalizacja zgody na przetwarzanie danych osobowych dane wrażliwe Jeżeli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46/WE, podmiot danych, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom RODO ułatwienie dla administratora 19

20 RODO Wymogi dot. zgody na przetwarzanie danych osobowych Przykłady: zaznaczenie okienka wyboru podczas przeglądania strony internetowej wybór ustawień technicznych do korzystania z usług społeczeństwa informacyjnego inne oświadczenie bądź zachowanie, które w danym kontekście jasno wskazuje, że podmiot zaakceptował przetwarzanie danych Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania ZGODA Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele 20

21 RODO Ochrona danych osobowych dzieci Przetwarzanie danych w ramach usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku możliwe po ukończeniu przez dziecko 16 lat usługa społeczeństwa informacyjnego oznacza każdą usługę normalnie świadczoną za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług Jeżeli dziecko nie ukończyło 16 lat przetwarzanie jest zgodne z prawem wyłącznie gdy zgodę wyraził rodzic lub opiekun i wyłącznie w zakresie udzielonej zgody Państwa członkowskie mogą przewidzieć w swoim prawie niższą granicę wiekową, która musi wynosić co najmniej 13 lat (w Polsce najprawdopodobniej będzie to 13 lat) Obowiązek administratora weryfikacja, czy zgoda została wyrażona przez rodzica lub opiekuna. 21

22 Ochrona danych osobowych a tajemnica telekomunikacyjna

23 RODO Ochrona danych osobowych a tajemnica telekomunikacyjna Ministerstwo Cyfryzacji nie planuje zmian w PT, czekając na Rozporządzenie e-privacy zakres zbieranych danych określonych w art. 161 ust.2 i 3 PT pozostanie niezmieniony, ale są wątpliwości co do podstawy przetwarzania danych z art. 161 ust. 2, który mówi, że operator jest uprawniony do przetwarzania wskazanych w przepisie danych osobowych. Tymczasem nastąpi eliminacja aktualnie istniejącej przesłanki ustawowej wskazanej w art. 23 ust. 1 pkt 2 UODO tj. realizacji przez administratora uprawnienia wynikającego z przepisu prawa. Notyfikacja naruszenia danych osobowych termin notyfikacji UODO z RODO: 72 h a nie 3 dni - Termin notyfikacji abonenta z PT: niezwłocznie, nie później niż w terminie 3 dni, a nie z RODO - bez zbędnej zwłoki, zbieg przesłanek RODO: naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych PT: naruszenie danych osobowych może mieć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną (w szczególności może skutkować nieuprawnionym posługiwaniem się danymi osobowymi, szkodą majątkową, naruszeniem dóbr osobistych, ujawnieniem tajemnicy bankowej lub innej ustawowo chronionej tajemnicy zawodowej) 23

24 Uprawnienia osób, których dane dotyczą

25 RODO Prawa podmiotów danych katalog Katalog praw podmiotów w RODO obejmuje: Prawo do bycia zapomnianym Prawo do przenoszenia danych Prawo niepodlegania profilowaniu Obowiązek informacyjny wobec podmiotu Prawo do ograniczenia przetwarzania danych Prawo sprzeciwu wobec przetwarzania danych Prawo dostępu Prawo do sprostowania danych 25

26 RODO Prawa podmiotów danych katalog Katalog praw podmiotów w RODO obejmuje: Prawo do bycia zapomnianym Prawo do przenoszenia danych Prawo niepodlegania profilowaniu Obowiązek informacyjny wobec podmiotu Prawo do ograniczenia przetwarzania danych Prawo sprzeciwu wobec przetwarzania danych Prawo dostępu Prawo do sprostowania danych 26

27 RODO Prawa podmiotów danych ogólne wytyczne Administrator podejmuje odpowiednie środki, aby udzielić : w zwięzłej przejrzystej zrozumiałej łatwo dostępnej formie jasnym i prostym językiem osobie której dane dotyczą informacji dotyczących przetwarzania danych oraz prowadzi z nią wszelką komunikację w sprawie przetwarzania Forma - pisemna, elektronicznie, czasami ustnie (po potwierdzeniu tożsamości podmiotu danych) Termin - bez zbędnej zwłoki a w każdym razie w terminie miesiąca od otrzymania żądania (dwa miesiące przy skomplikowanym charakterze sprawy) 27

28 RODO Prawa podmiotów danych ogólne wytyczne Brak podjęcia działań przez administratora = obowiązek poinformowania o powodach oraz o możliwości wniesienia skargi do organu nadzorczego Podawane informacje, komunikacja i działania są wolne od opłat Jeżeli żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, administrator może: pobrać rozsądną opłatę uwzględniając poniesione koszty; albo odmówić podjęcia działań w związku z żądaniem Obowiązek wykazania, że żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter, spoczywa na administratorze Informacje można opatrzyć standardowymi znakami graficznymi, które w widoczny, zrozumiały i czytelny sposób przedstawią sens zamierzonego przetwarzania 28

29 RODO Prawo do bycia zapomnianym right to be forgotten Administrator jest obowiązany usunąć dane, w szczególności jeżeli: a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane b) osoba, której dane dotyczą, cofnęła zgodę i nie ma innej podstawy prawnej przetwarzania c) osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania Obowiązek poinformowania innych administratorów danych o żądaniu podmiotu Sytuacja w której dane nie ulegają usunięciu wymogi prawa (np. prawo podatkowe), prawo do wolności wypowiedzi, interes publiczny, zdrowie publiczne, cele archiwalne, statystyczne, historyczne, dochodzenie roszczeń 29

30 RODO Prawo do przenoszenia danych Podmiot danych może otrzymać od administratora danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego swoje dane osobowe, oraz ma prawo przesłać te dane osobowe innemu administratorowi jeżeli: a) przetwarzanie odbywa się na podstawie zgody lub umowy b) przetwarzanie odbywa się w sposób zautomatyzowany Osoba, której dane dotyczą, ma prawo żądania, by dane osobowe zostały przesłane przez administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe Nie ma zastosowania do przetwarzania niezbędnego do wykonania zadania realizowanego w interesie publicznym lub sprawowania władzy publicznej 30

31 RODO Prawo do przenoszenia danych Co oznacza w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego? Tylko jedno z elementów ma swoje wyjaśnienie w przepisach prawa, mianowicie odczyt maszynowy Dokument sporządzony w formacie przeznaczonym do odczytu komputerowego = występuje w formacie pliku zorganizowanego w sposób umożliwiający aplikacjom komputerowym łatwe identyfikowanie, rozpoznawanie i pozyskiwanie z niego określonych danych 31

32 RODO Prawo do przenoszenia danych Które konkretnie kategorie danych osobowych administrator ma obowiązek przekazać? Zgodnie z RODO muszą to być: dane osobowe zgodnie z def. z RODO dane osobowe, które osoba sama dostarczyła do administratora - chodzi nie tylko o dane przekazane jak np. informacje wpisane w formularzu rejestracyjnym, lecz także dane osobowe wynikające z używania urządzenia czy usługi np. historia przeglądania, dane dotyczące ruchu czy lokalizacja Grupa Robocza z art. 29 wskazuje, że dane które są wynikiem analiz podejmowanych przez administratora np. ocena zdolności kredytowej już nie mieszczą się w pojęciu danych, które osoba dostarczyła i nie podlegają data portability 32

33 RODO Obowiązek informacyjny OBECNIE 1. adres siedziby ADO i pełna nazwa 2. cel zbierania danych oraz przewidywani odbiorcy lub kategorie odbiorców danych 3. prawo dostępu do treści swoich danych oraz ich poprawiania 4. dobrowolności albo obowiązku podania danych RODO 1. tożsamość ADO i dane kontaktowe + ewentualnie przedstawiciela 2. dane kontaktowe inspektora ochrony danych jeżeli powołany 3. cele i podstawa przetwarzania danych osobowych 4. prawnie uzasadniony interes/-sy 5. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców 6. informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej 33

34 RODO Obowiązek informacyjny RODO 7. okres przechowywania danych 8. informacje o prawach podmiotu (dostęp do danych, ich przenoszenie, sprzeciw, sprostowanie, usunięcie etc.) 9. informacje o prawie do cofnięcia zgody 10. informacje o prawie do wniesienia skargi do organu nadzorczego 11. informacja czy podanie danych to wymóg ustawowy lub umowny lub warunek zawarcia umowy + konsekwencje nie podania danych 12. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu (zasady podejmowania, znaczenia i konsekwencje) 34

35 RODO Obowiązek informacyjny 35

36 RODO Profilowanie profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji etc. Przykłady profilowania: scoring kredytowy reklama behawioralna profilowanie bezrobotnych w Polskich urzędach pracy 36

37 RODO Profilowanie Decyzja, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa jest co do zasady zabroniona Decyzja est wyjątkowo dopuszczalna gdy: a) jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem b) jest dozwolona prawem Unii lub prawem państwa członkowskiego administratora c) opiera się na wyraźnej zgodzie osoby, której dane dotyczą 37

38 Nowy ABI czyli DPO

39 RODO Nowy ABI czyli IOD POWOŁANIE IOD OBOWIĄZKOWE GDY: a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa 39

40 RODO Nowy ABI czyli IOD Grupa przedsiębiorstw może wyznaczyć jednego IOD, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej Podobnie w sektorze publicznym Administratorzy, zrzeszenia lub inne podmioty reprezentujące określone kategorie administratorów mogą wyznaczyć jednego IOD IOD może działać w imieniu zrzeszeń i innych podmiotów reprezentujących administratorów lub podmioty przetwarzające 40

41 RODO Nowy ABI czyli IOD IDO jest wyznaczany na podstawie: kwalifikacji zawodowych niedookreślone, najlepiej prawnik lub IT wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań IOD może: być członkiem personelu administratora (podlega najwyższemu kierownictwu) wykonywać zadania na podstawie umowy o świadczenie usług (outsourcing) Wykonywanie zadań przez IOD nie może stać z konflikcie z innymi zadaniami i obowiązkami u administratora danych Administrator publikuje dane kontaktowe IOD i zawiadamia o nich organ nadzorczy 41

42 RODO Nowy ABI czyli IOD IOD powinien być: właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych wspierany przez administratora w wypełnianiu zadań, poprzez zapewnienie mu zasobów niezbędnych do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej niezależny i nie powinien otrzymywać instrukcji od administratora danych nie odwoływany ani karany przez administratora za wypełnianie swoich zadań dostępny dla osób, których dane dotyczą celem kontaktu zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań 42

43 RODO Nowy ABI czyli IOD ZADANIA: a) [edukacja] informowanie o obowiązkach wynikających z rozporządzenia oraz innych doradzanie w zakresie zgodności przetwarzania danych z przepisami b) [dokumentacja] monitorowanie przestrzegania rozporządzenia, innych przepisów oraz polityk administratora w dziedzinie ochrony danych osobowych działania zwiększające świadomość szkolenia personelu uczestniczącego w operacjach przetwarzania audyty c) [informacja] udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania d) [współpraca] z organem nadzorczym e) [kontakt] pełnienie funkcji punktu kontaktowego dla organu nadzorczego i podmiotów danych 43

44 Powierzenie do przetwarzania

45 RODO Powierzenie do przetwarzania UODO RODO Podstawa Art. 31 Art. 28 Forma umowy pisemna forma pisemna, w tym forma elektroniczna Elementy umowy zakres danych osobowych cel przetwarzania przedmiot czas trwania powierzenia charakter i cel przetwarzania rodzaj danych osobowych kategorie osób, których dane dotyczą warunki podpowierzenia przetwarzania danych obowiązki i prawa administratora danych obowiązki procesora Dalsze powierzenie brak regulacji pisemna zgoda administratora danych (szczegółowa lub ogólna) 45

46 Zasady odpowiedzialności i sankcje

47 RODO Zasady odpowiedzialności i sankcje Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. Administrator odpowiada za szkody spowodowane przetwarzaniem naruszającym rozporządzenie Podmiot przetwarzający odpowiada za szkody (1) gdy nie dopełnił obowiązków z RODO (2) lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom Ciężar dowodu administrator / podmiot przetwarzający Solidarna odpowiedzialność Jurysdykcja - postępowanie sądowe dotyczące odszkodowania jest wszczynane przed sądem właściwym na mocy prawa państwa członkowskiego 47

48 RODO Sankcje SANKCJE ADO CIĘŻAR DOWODU podmiot przetwarzający szkody spowodowane przetwarzaniem naruszającym RODO (1) gdy nie dopełnił obowiązków z RODO (2) gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew SOLIDARNA ODPOWIEDZIALNOŚĆ tym instrukcjom Odpowiedzialność cywilna szkoda majątkowa lub niemajątkowa w wyniku naruszenia RODO = odszkodowanie Administracyjne kary pieniężne 2 % całkowitego rocznego światowego obrotu lub do EUR 4 % całkowitego rocznego światowego obrotu lub do EUR Odpowiedzialność karna 48

49 RODO Zasady odpowiedzialności i sankcje Art. 49 ust. 1 Art. 49 ust Art Art. 51 ust. 1 Art. 51 ust Art Art Art

50 RODO Zasady odpowiedzialności i sankcje Przykład naruszenia Wymiar kary kwota Wymiar kary procent Zgłaszanie GIODO i osobie, której dane dotyczą, przypadków naruszenia Wdrożenie środków technicznych i organizacyjnych ochrony danych Rejestrowanie czynności przetwarzania Współpraca z organem nadzorczym Podstawowe zasady przetwarzania danych Przetwarzanie danych wrażliwych Obowiązki informacyjne Prawo do bycia zapomnianym 2 % całkowitego rocznego światowego obrotu 4 % całkowitego rocznego światowego obrotu EUR EUR 50

51 RODO Zasady odpowiedzialności i sankcje Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na: a) charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody b) umyślny lub nieumyślny charakter naruszenia c) działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą d) stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich e) wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego; f) stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków g) kategorie danych osobowych, których dotyczyło naruszenie h) sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie i) jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 [ostrzeżenia/upomnienia] przestrzeganie tych środków j) stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji; oraz k) wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty 51

52 RODO Projektowane rozwiązania postępowanie jednoinstancyjne organizacja społeczna może występować z żądaniem w imieniu osoby fizycznej wyznaczanie stronie terminu do przedstawienia dowodu (min. 3 dni) możliwość zastrzeżenia tajemnicy przedsiębiorstwa możliwość, w drodze postanowienia, zobowiązania podmiotu, któremu jest zarzucane naruszenie przepisów o ochronie danych osobowych, do ograniczenia przetwarzania danych osobowych wskazując dopuszczalny zakres tego przetwarzania W przypadku naruszenia przepisów o ochronie danych osobowych Prezes Urzędu, w drodze decyzji, nakazuje: 1) uwzględnienie żądań zawartych w skardze osoby, której dane dotyczą 2) dostosowanie operacji przetwarzania danych osobowych do przepisów rozporządzenia, ze wskazaniem, gdzie to właściwe, sposobu i terminu dostosowania 3) zawiadomienie osoby, której dane dotyczą o naruszeniu ochrony danych osobowych 4) wprowadzenie czasowego lub całkowitego ograniczenia przetwarzania danych osobowych lub zakazu przetwarzania 5) sprostowanie lub usunięcie danych osobowych 6) powiadomienie odbiorców, którym dane osobowe zostały ujawnione o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych 7) zawieszenie przepływu danych do odbiorców w państwie trzecim lub do organizacji międzynarodowej 52

53 RODO Projektowane rozwiązania 500 zł grzywny niestawiennictwo W przypadku gdy waga naruszenia przepisów o ochronie danych osobowych jest znikoma, a strona zaprzestała naruszenia Prezes Urzędu może, w drodze decyzji udzielić upomnienia Decyzje wydane przez Prezesa Urzędu podlegają natychmiastowemu wykonaniu Wniesienie przez stronę skargi do sądu administracyjnego powoduje wstrzymanie wykonania decyzji w zakresie dotyczącym administracyjnej kary pieniężnej W przypadku wniesienia skargi, jeżeli Prezes Urzędu uzna skargę za zasadną w całości, może, nie przekazując akt oraz odpowiedzi na skargę sądowi, w terminie 30 dni od dnia wniesienia skargi uchylić zaskarżoną decyzję i wydać nową, o czym niezwłocznie zawiadamia każdą ze stron, przesyłając im nową decyzję, od której stronom przysługuje skarga do sądu administracyjnego Administracja publiczna max zł Wyłączono możliwość zawarcia ugody 53

54 RODO Mapa wdrożenia B2B pracownicy DPO przepływ danych systemy informatyczne wdrożenie nowych procedur ADO Spółka X uzasadnienie wyboru tych podmiotów aneksowanie umów o powierzenie danych do przetwarzania Arvato Agencja interaktywna Poczta / kurierzy franczyza offline online Klienci Newsletter Program lojalnościowy prześledzić proces pozyskiwania danych osobowych zaktualizować regulamin / polityka prywatności weryfikacja zgód (adekwatność / cele) obowiązek informacyjny opracowanie procedur dla nowych uprawnień podmiotów weryfikacja możliwości stosowanych systemów informatycznych Partner zewnętrzny papierowe formularze formularz online obowiązek informacyjny zgody powierzenie do przetwarzania przygotowanie systemu informatycznego aktualizacja regulaminu zgodność z prawem, rzetelność i przejrzystość ograniczenie celu minimalizacja danych prawidłowość ograniczenie przechowywania integralność i poufność rozliczalność 54

55 RODO DZP RAPORT OTWARCIA WDROŻENIE OCENA RYZYKA KONTROLA SZKOLENIA I WARSZTATY PRACE LEGISLACYJNE I PRACE KONSULTACYJNE 55

56 Ustalenie stanu wyjściowego - checklista Mapowanie procesów dot. ochrony danych osobowych (diagramy + materiały źródłowe) Analiza umów / dokumentacji Spółki związanej z obszarem danych osobowych pod kątem możliwości dalszego wykorzystania Na bazie zebranych materiałów i informacji oszacowanie ryzyka dla poszczególnych obszarów Wyznaczenie priorytetów, przygotowanie rekomendacji / specyfikacji dla zmian w systemach IT, procesach wewnętrznych etc. Wdrożenie właściwe nadzór nad implementacją założonych rozwiązań Dostarczenie dopasowanych nowych procedur wewnętrznych i wzorów dokumentów (m.in. dla data portability, incydentu bezpieczeństwa etc.) Audyt / pilotaż weryfikujący stopień wdrożenia procedur wewnętrznych i sposób ich działania w praktyce Szkolenie wewnętrzne sprofilowane treściowo pod konkretny obszar działania Spółki 56

57 Zapraszamy do kontaktu Wojciech Dziomdziora Counsel M: E: Michał Kluska Associate M: E:

58 Domański Zakrzewski Palinka sp. k. Warszawa Poznań Wrocław Rondo ONZ Warszawa T: F: ul. Paderewskiego Poznań T: F: ul. Gwiaździsta Wrocław T: F: