RODO NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH

Transkrypt

1

2 RODO NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH Piotr Ćwiertniewski radca prawny, wspólnik Marcin Kroll adwokat, rzecznik patentowy, wspólnik RODO NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 2

3 Brak uchwalenia regulacji krajowej RODO NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 3

4 Nowe źródła prawa dotyczące ochrony danych osobowych Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającą decyzję ramową Rady 2008/977/WSiSW (Dz. Urz. L nr 119 z r., s. 89) Projekt Ustawy o ochronie danych osobowych (NUODO) (zakładany termin uchwalenia kwiecień 2018 r.; przewiduje się miesięczne vacatio legis) RODO NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 4

5 Jak praktycznie podejść do wdrożenia RODO? RODO NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 5

6 Wdrożenie RODO w organizacji oznacza dostosowanie: (a) procesów biznesowych; (b) środowiska informatycznego; (c) dokumentacji (polityki bezpieczeństwa, instrukcji zarządzania systemem informatycznym, innych relewantnych procedur, klauzul zgód / formularzy, umów) RODO NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 6

7 Podstawowe kroki wdrożenia RODO (a) Powołanie zespołu odpowiedzialnego za wdrożenie RODO (b) Warsztaty dla zespołu odpowiedzialnego za wdrożenie RODO (c) Inwentaryzacja i mapowanie procesów przetwarzania danych (Data Inventory, Data Mapping) (d) Analiza ryzyka w procesach przetwarzania danych (e) Weryfikacja procesów przetwarzania danych pod kątem wymogów wynikających z RODO (f) Wdrożenie niezbędnych zmian w oparciu o dotychczasowe rozwiązania funkcjonujące w organizacji (o ile to możliwe), w tym zakresie środowiska informatycznego oraz dokumentacji (g) Szkolenia wewnętrzne (h) Monitorowanie przestrzegania wymogów wynikających z RODO RODO NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 7

8 Uwzględnianie ochrony danych w fazie projektowania (privacy by design): (a) wymogi dotyczące ochrony danych osobowych i prywatności powinny być uwzględniane już na wstępnych etapach projektowania usług, produktów, systemów lub oprogramowania (zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania); (b) ADO jest zobowiązany do wdrażania odpowiednich środków technicznych i organizacyjnych (pseudonimizacja, minimalizacja danych); (c) privacy by design ma na celu spełnienie wymogów RODO oraz ochronę praw osób, których dane dotyczą; (d) przestrzeganie obowiązku może być wykazane poprzez wprowadzenie zatwierdzonego mechanizmu certyfikacji RODO NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 8

9 Wdrożenie środków zapewniających zbieranie tych danych, które są niezbędne do osiągnięcia konkretnego celu ich przetwarzania (privacy by default): (a) obowiązek ADO wdrożenia takich środków, które zapewnią, aby domyślnie zbierane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia konkretnego celu przetwarzania; (b) domyślnie dane osobowe mają nie być udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych; (c) obowiązek odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności; (d) przestrzeganie obowiązku może być wykazane przez wprowadzenie zatwierdzonego mechanizmu certyfikacji RODO NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 9

10 Dokonywanie oceny planowanego przedsięwzięcia przez pryzmat jego skutków dla ochrony danych (privacy impact assessment): (a) PIA obejmuje m.in. planowane środki, zabezpieczenia i mechanizmy mające minimalizować ryzyko naruszenia danych osobowych, środki mające zapewniać ochronę danych osobowych oraz wykazać przestrzeganie RODO; (b) konsultacja ADO z inspektorem ochrony danych w zakresie PIA (jeżeli inspektor został wyznaczony); (c) wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania PIA zgodnie z RODO ma być ustanowiony i podany do publicznej wiadomości przez krajowy organ nadzorczy (obecnie: GIODO) RODO NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 10

11 Kodeksy postępowania: (a) Kodeksy postępowania mają na celu doprecyzowanie wymogów z uwzględnieniem specyfiki różnych sektorów, w których dochodzi do przetwarzania danych osobowych. Mogą być one przyjmowane przez zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów lub podmioty przetwarzające. (b) Przyjęty kodeks postępowania wymaga zatwierdzenia przez organ nadzorczy, następnie jest on rejestrowany i publikowany przez organ nadzorczy; (c) System monitorowania przestrzegania kodeksów przez podmioty akredytowane przez Prezesa Urzędu Ochrony Danych Osobowych (PUODO); (d) Podmiot akredytowany podejmuje odpowiednie działania w przypadku naruszenia kodeksu, w tym zawiesza lub wyklucza ADO spośród przetwarzających kodeks RODO NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 11

12 Certyfikacja: (a) Dokonywana na wniosek zainteresowanego podmiotu (dobrowolność); (b) Brak wnioskowania o certyfikat nie zwalnia z obowiązku przestrzegania przepisów RODO; (c) Polskie Centrum Akredytacji będzie wydawać akredytacje, które będą uprawniały podmioty prywatne do dokonywania certyfikacji i wydawania certyfikatów; nie planuje się limitów liczby podmiotów prywatnych wydających certyfikaty; PUODO pozostanie podmiotem certyfikującym; (d) Możliwe będzie certyfikowanie zarówno podmiotów jak i procesów (możliwość uzyskania certyfikatu np. przez producenta oprogramowania, które będzie wykorzystywane do przetwarzania danych); (e) Maksymalna oplata od wniosku w przypadku PUODO wyniesie 3-krotność przeciętnego miesięcznego wynagrodzenia; podmioty prywatne będą mieć swobodę w ustalaniu opłat; (f) Certyfikat będzie wydawany na maksymalny okres 3 lat; po przejściu kontroli będzie możliwość przedłużenia ważności certyfikatu; RODO NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 12

13 Certyfikacja: (a) posiadanie certyfikatu może być jedynie kryterium promującym, a nie warunkiem możliwości przystąpienia do przetargu; nie wykluczono, że posiadanie certyfikatu mogłoby być jednym z kryteriów możliwości przystąpienia do zamówienia; (b) kryteria certyfikacji będą mieć charakter generalny i branżowy; każdy podmiot certyfikujący będzie upoważniony samodzielnie do przyjęcia własnych kryteriów certyfikacji; (c) PUODO będzie publikował kryteria certyfikacji, które powinny być różne w ramach poszczególnych branż RODO NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 13

14 Wyłączenia spod obowiązków RODO Zapowiedź wprowadzenia wyłączenia szeregu obowiązków wynikających z RODO w stosunku do MŚP zatrudniających mniej niż 250 osób, przetwarzających dane osobowe niezbędne do wykonywania działalności gospodarczej, w szczególności w celu zawierania umów i prowadzenia rachunkowości: art. 13 (obowiązek informacyjny przy zbieraniu danych od osoby, której dane dotyczą), art. 15 ust. 3 i 4 (prawo do uzyskania kopii danych), art. 19 (obowiązek powiadomienia o sprostowaniu/usunięciu/ograniczeniu przetwarzania danych osobowych), art. 34 RODO (zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych). Pojęcie zatrudnienia w stosunku do tych 250 osób dotyczy wszystkich osób wykonujących czynności na rzecz danego przedsiębiorcy, nie tylko na podstawie umowy o prace, ale też innych podstaw prawnych RODO NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 14

15 Kluczowe rozwiązania ustawodawstwa krajowego Zapowiedź wprowadzenia wyłączenia szeregu obowiązków wynikających z RODO w stosunku do MŚP zatrudniających mniej niż 250 osób, przetwarzających dane osobowe niezbędne do wykonywania działalności gospodarczej, w szczególności w celu zawierania umów i prowadzenia rachunkowości: przetwarzanie danych osobowych pracowników, monitoring, profilowanie przez banki i ubezpieczycieli, zmiany w przepisach branżowych (np. ustawa o radcach prawnych) RODO NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 15

16 Sankcje za naruszenie zasad ochrony danych osobowych wpływ na strukturę organizacyjną RODO NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 16

17 Porównanie stanu obecnego z RODO Stan obecny o Sankcje karne (grzywna, kara ograniczenia wolności oraz pozbawienia wolności do lat 3); W 2016 r skarg do GIODO, z czego 36 wniosków trafiło do prokuratury; o Sankcje administracyjne: o decyzja GIODO nakazująca przywrócenie stanu zgodnego z prawem; Średni czas rozpatrywania sprawy przed GIODO 295 dni, ponowne rozpatrzenie sprawy 142 dni. RODO o Ograniczenie sankcji karnych (w ramach NUODO zdecydowano się na penalizację jedynie dwóch czynów, tj. udaremnienie lub utrudnienie kontrolującemu prowadzenie kontroli oraz przetwarzanie danych osobowych bez właściwej podstawy prawnej). o Kary pieniężne nakładane decyzją administracyjną RODO NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 17

18 Informowanie organu nadzorczego o naruszeniach ochrony danych osobowych bez zbędnej zwłoki, w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia; w przypadku naruszenia ochrony danych osobowych (np. kradzież tożsamości); do zgłoszenia dołącza się wyjaśnienie przyczyn opóźnienia; na podmiocie przetwarzającym spoczywa obowiązek zgłoszenia naruszenia ADO bez zbędnej zwłoki; Prezes Urzędu Ochrony Danych Osobowych prowadzi system informatyczny służący do zgłaszania naruszeń RODO NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 18

19 Informowanie o naruszeniu praw lub wolności osób, których dane są przetwarzane jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, ADO bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą o takim naruszeniu; zawiadomienie, m. in. wtedy, gdy ADO wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie (np. szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do danych osobowych) RODO NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 19

20 Dokumentowanie wszelkich naruszeń ochrony danych osobowych obowiązek ADO dokumentowania wszelkich naruszeń ochrony danych osobowych; dotyczy m.in. okoliczności naruszenia ochrony danych osobowych, jego skutków oraz podjętych działań zaradczych; dokumentacja musi pozwolić organowi nadzorczemu na zweryfikowanie przestrzegania przepisów RODO RODO NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 20

21 Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych projekt nowej ustawy o ochronie danych osobowych (UODO) reguluje postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych; postępowanie prowadzone przez PUODO; postępowanie jest jednoinstancyjne; szerokie kompetencje PUODO w zakresie postępowania dowodowego (propozycja przeniesienia ciężaru ochrony tajemnicy przedsiębiorcy na samego przedsiębiorcę, poprzez obowiązek dostarczenia odpowiednio zanimizowanego dokumentu przez podmiot powołujący się na wskazaną tajemnicę przedsiębiorstwa); możliwość prowadzenia w toku postępowania kontrolnego; RODO NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 21

22 Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych możliwość wydania postanowienia zabezpieczającego; rozstrzygnięcie nadzorcze w formie decyzji (możliwe upomnienie); decyzja podlega natychmiastowemu wykonaniu (ale: wniesienie skargi do sądu administracyjnego wstrzymuje wykonanie decyzji w zakresie kary pieniężnej); postanowienia wydawane w toku postępowania są skarżone w ramach skargi RODO NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 22

23 Postępowanie kontrolne na gruncie UODO kontrole planowe oraz na donos ; prowadzone przez upoważnionego pracownika urzędu; możliwość przeprowadzenia postepowania kontrolnego bez wcześniejszego zawiadomienia o zamiarze jego wszczęcia; szerokie kompetencje kontrolujących; maksymalny czas kontroli wynosi 1 miesiąc; przebieg kontroli utrwalony zostaje w protokole możliwość wniesienia zastrzeżeń na piśmie w terminie 7 dni RODO NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 23

24 Sankcje administracyjnoprawne wysokość kar pieniężnych kara pieniężna w wysokości do EUR, a w przypadku przedsiębiorstwa w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (art. 83 ust. 4 RODO); kara pieniężna w wysokości do EUR, a w przypadku przedsiębiorstwa w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (art. 83 ust. 5 i 6 RODO) RODO NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 24

25 Podstawa nałożenia kary pieniężnej, o której mowa w art. 83 ust. 4 RODO naruszenie obowiązków administratora i podmiotu przetwarzającego, takich jak: i. naruszenie zasad przetwarzania danych osobowych dzieci; ii. naruszenie zasad dotyczących przetwarzania niewymagającego identyfikacji; iii. naruszenie obowiązków, o których mowa w art RODO; iv. naruszenie zasad certyfikacji; naruszenie obowiązków podmiotu certyfikującego; naruszenie obowiązków podmiotu monitorującego RODO NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 25

26 Podstawa nałożenia kary pieniężnej, o której mowa w art. 83 ust. 5 RODO naruszenie podstawowych zasad przetwarzania, w tym warunków zgody; naruszenie praw osób, których dane dotyczą, takich jak prawo do informacji, dostępu do danych, ich sprostowania, usuwania i przenoszenia oraz prawo do sprzeciwu i uprawnienia związane z profilowaniem; przekazywanie danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej w sposób niezgodny z wymogami RODO; naruszenie obowiązków wynikających z prawa państwa członkowskiego; nieprzestrzeganie nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy RODO NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 26

27 Podstawa nałożenia kary pieniężnej, o której mowa w art. 83 ust. 6 RODO nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 RODO(uprawnienia naprawcze organu nadzorczego) m.in.: i. nakazanie dostosowania operacji przetwarzania do przepisów RODO; ii. nakazanie ADO zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych; iii. wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym iv. zakazu przetwarzania; nakazanie sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania oraz nakazanie powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono; v. nakazanie zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej RODO NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 27

28 Kary pieniężne na gruncie UODO płatne w terminie 14 dni od daty upływu terminu na wniesienie skargi lub uprawomocnienia się orzeczenia sądu; kara podlega ściągnięciu w trybie przepisów o egzekucji administracyjnej; możliwość odroczenia uiszczenia kary pieniężnej albo rozłożenia jej na raty na wniosek ze względu na ważny interes wnioskodawcy; w przypadku uwzględnienia wniosku konieczność uiszczenia odsetek w stosunku rocznym w wysokości 50% odsetek za zwłokę na gruncie ordynacji podatkowej (4%); rozstrzygnięcie w formie postanowienia, od którego nie przysługuje skarga RODO NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 28

29 Sankcje cywilnoprawne prawo do odszkodowania niezależną podstawą dochodzenia roszczeń będzie art. 78 UODO; możliwość żądania zaniechania działań oraz usunięcia naruszeń; prawo do dochodzenia odszkodowania od ADO lub podmiotu przetwarzającego dane przysługujące każdej osobie, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO; zwolnienie ADO lub podmiotu przetwarzającego z odpowiedzialności, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody; odpowiedzialność solidarna w przypadku szkód spowodowanych przetwarzaniem danych przez kilka podmiotów RODO NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 29

30 Sankcje cywilnoprawne postępowanie prowadzone jest przed sądem okręgowym; sąd zawiadamia PUODO o wniesieniu pozwu, natomiast PUODO o ewentualnym toczącym się postępowaniu przed tym organem; sąd zawiadamia PUODO o każdym wyroku uwzględniającym powództwo RODO NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 30

31 Zmiany w polisach D&O istota polisy D&O a odpowiedzialność za naruszenia RODO; zakres podmiotowy polis D&O; negocjowanie zakresu ubezpieczenia RODO NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 31

32 Jeżeli bylibyście Państwo zainteresowani uzyskaniem dodatkowych informacji odnośnie omówionych tematów, zapraszamy do kontaktu. Piotr Ćwiertniewski radca prawny, wspólnik Marcin Kroll adwokat, rzecznik patentowy, wspólnik act legal offices Warsaw Bratislava Brussels Frankfurt Paris Prague Vienna Bieniak Smołuch Wielhorski Wojnar i Wspólnicy Sp. K. ul. Ks. I.J. Skorupki 5, Warszawa tel fax act LinkedIn

33 DZIĘKUJEMY ZA UWAGĘ! RODO NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 33