Unijna reforma ochrony danych osobowych. Jak się na nią przygotować?

Transkrypt

1 Unijna reforma ochrony danych osobowych. Jak się na nią przygotować? Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) - RODO

2 Unijna reforma ochrony danych osobowych Jak się na nią przygotować? Opracował: Adw. Wojciech Powroźnik

3 Unijna reforma ochrony danych osobowych. Jak się na nią przygotować? Spis treści Co trzeba wiedzieć o RODO?...4 Od kiedy obowiązywać będą nowe przepisy unijne dotyczące ochrony danych osobowych?...4 Prawo unijne a prawo krajowe - wpływ regulacji unijnej na porządek krajowy...4 Kto będzie musiał stosować przepisy RODO?...4 Co nowego... - obowiązki podmiotów przetwarzających dane osobowe...4 Czego nie będzie?...6 Prawa osób, których dane są przetwarzane...6 Środki ochrony prawnej i sankcje...6 Szczególne obowiązki podmiotów medycznych na gruncie nowego rozporządzenia unijnego...6 Jakie czynności należy podjąć przed 25 maja 2018 r.? Jak możemy pomóc w przygotowaniu Twojego podmiotu na RODO?...7 Od czego zacząć?...9 KANCELARIA PRAWNA POWROŹNIK I WSPÓLNICY ul. Gen. Józefa Bema 83, Warszawa, tel

4 Co trzeba wiedzieć o RODO? Aktualnie obowiązujący system ochrony danych osobowych oparty jest na dyrektywie unijnej z 1995 r. oraz ustawie z 1997 r. Nadchodzące zmiany są największą reformą prawa ochrony danych osobowych od ponad 20 lat. Celem Rozporządzenia jest dostosowanie ochrony danych osobowych do dokonującego się postępu technicznego oraz globalizacji, a także wzmocnienie ochrony podmiotów, których dane są przetwarzane. Od kiedy obowiązywać będą nowe przepisy unijne dotyczące ochrony danych osobowych? Rozporządzenie unijne weszło w życie 24 maja 2016 r. Zacznie ono obowiązywać bezpośrednio w porządkach krajowych od dnia 25 maja 2018 r. Oznacza to, że ustawodawca unijny przewidział dwuletni okres, w przeciągu którego kraje członkowskie mają wprowadzić zmiany w prawie krajowym, konieczne do prawidłowego funkcjonowania nowej regulacji unijnej. Jest to również okres, w którym administratorzy danych muszą dostosować funkcjonujące u nich procedury przetwarzania danych osobowych. Dwuletni okres przejściowy przewidziany przez unijnego ustawodawcę to czas na przeprowadzenie analiz i wdrożenie nowych rozwiązań dostosowanych do potrzeb konkretnych instytucji. 25 maja 2018 r. musisz mieć gotowe procedury zgodne z RODO! Prawo unijne a prawo krajowe - wpływ regulacji unijnej na porządek krajowy. RODO będzie bezpośrednio stosowane w porządkach krajowych, co oznacza, że państwa członkowskie nie muszą go implementować osobną ustawą. Jednakże niektóre kwestie RODO pozostawia do uregulowania przez ustawodawcę krajowego. Oznacza to, że polski ustawodawca ma czas do 25 maja 2018 r., aby uchwalić odpowiednią ustawę dotyczącą nowych zasad ochrony danych osobowych. W praktyce konieczne będzie zatem każdorazowe sprawdzenie, czy daną kwestię reguluje bezpośrednio akt prawa UE, czyli Rozporządzenie, czy też należy stosować przepisy krajowe (znowelizowaną ustawę ODO lub nową ustawę). Kto będzie musiał stosować przepisy RODO? Administratorzy danych osobowych oraz podmioty przetwarzające dane, prowadzące działalność na terenie Unii Europejskiej, objęci obecnie zakresem Dyrektywy, będą podlegać, tak jak dotychczas unijnym regulacjom dotyczącym ochrony danych osobowych. RODO określa obowiązki każdego podmiotu, który przetwarza lub przechowuje dane osobowe, niezależnie od sektora prowadzonej działalności i formy własności. Przepisy RODO dotyczą zarówno podmiotów z sektora publicznego, jak i prywatnego np. sklepów internetowych, instytucji finansowych, podmiotów świadczących usługi medyczne. Obowiązek stosowania przepisów Rozporządzenia obejmie również podmioty spoza UE, przetwarzające dane osób przebywających na terenie Unii Europejskiej. Co nowego... - obowiązki podmiotów przetwarzających dane osobowe. Obowiązek notyfikowania naruszeń Obowiązek zgłaszania naruszeń danych osobowych organowi nadzorczemu w ciągu 72 h od ich stwierdzenia, chyba że jest mało prawdopodobne, aby ten incydent stanowił zagrożenie naruszenia praw lub wolności osób trzecich Obowiązek zawiadamiania osoby, której dane zostały naruszone, w razie znacznego ryzyka naruszenia praw i wolności osób fizycznych 4

5 Unijna reforma ochrony danych osobowych. Jak się na nią przygotować? Obowiązek uwzględniania ochrony danych osobowych w fazie projektowania oraz ustanowienia domyślnej ochrony danych Privacy by design - obowiązek uwzględniania ochrony danych osobowych w fazie projektowania nowych systemów, rozwiązań i usług Privacy by default - ochrona danych osobowych jako forma domyślna, bez konieczności podejmowania żadnych działań przez osobę, której dane są przetwarzane Obowiązek powołania Inspektora Ochrony Danych Inspektor Ochrony Danych, który zastąpi dotychczas funkcjonujących Administratorów Bezpieczeństwa Informacji Jego powołanie będzie obowiązkowe zawsze, gdy przetwarzania dokonuje podmiot publiczny tj. szpitale, gdy przetwarzanie wymaga regularnego i systematycznego monitorowania danych osób, których te dane dotyczą, a przetwarzanie odbywa się na dużą skalę, a także w przypadku podmiotów przetwarzających na dużą skalę szczególne kategorie danych osobowych tj. informacje o stanie zdrowia, które przetwarzają wszystkie podmioty medyczne IOD powinien zostać wybrany na podstawie kwalifikacji zawodowych, wiedzy oraz posiadanego doświadczenia RODO nie tylko zmienia nazwę tego podmiotu, ale także rozszerza zakres obowiązków IOD w stosunku do obowiązków jakie ma aktualnie ABI Obowiązek szacowania ryzyka Podmioty przetwarzające dane osobowe zobowiązane będą do oceny ryzyka, wpływu podjętych czynności przetwarzania na prywatność podmiotów danych oraz skutków planowanych operacji przetwarzania dla ochrony danych osobowych Organizacje będą musiały samodzielnie decydować o środkach odpowiednich dla zabezpieczenia danych osobowych Stopień bezpieczeństwa stosowanych rozwiązań ma odpowiadać stwierdzonemu ryzyku Obowiązek rejestrowania czynności przetwarzania Obowiązek stworzenia rejestru czynności przetwarzania, dokumentów oraz procedur przetwarzania, który będzie podlegał ujawnieniu organowi nadzorczemu na jego żądanie. Obowiązek przyjęcia wewnętrznych polityk Konieczność zmiany lub dostosowania dokumentów funkcjonujących u administratora Obowiązek wprowadzenia odpowiednich środków technicznych i organizacyjnych, zwiększających poziom i zakres ochrony Pseudonimizacja i szyfrowanie danych osobowych w celu minimalizacji przetwarzania i przechowywania danych oraz zmniejszenia ryzyka naruszeń System zarządzania ciągłością działania oraz procedura przywracania danych na wypadek awarii System regularnego testowania, monitorowania i oceniania tych środków Obowiązek wprowadzenia nowych klauzul zgody Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności - musi być dobrowolna, konkretna i świadoma, a także wskazywać cel przetwarzania danych Cofnięcie zgody musi być równie łatwe jak jej wyrażenie oraz nie może powodować negatywnych konsekwencji dla podmiotu ją wycofującego Administrator musi być w stanie wykazać zgodę danej osoby obowiązek ewidencjonowania zgód Obowiązek informacyjny RODO przewiduje szerokie prawo do informacji oraz nakłada na podmioty przetwarzające dane obowiązek informacyjny Osoby fizyczne muszą znać ryzyko, zasady, zabezpieczenia i prawa związane z przetwarzaniem ich danych, sposoby wykonywania tych praw oraz cele dla których dane są gromadzone i przetwarzane. Wszystkie informacje muszą być przekazane jasnym i prostym językiem oraz być łatwo dostępne. Ilość informacji, które będą musiały zostać przekazane podmiotowi danych w momencie ich zbierania, znacznie się zwiększy WAŻNE! Naruszenie powyższych obowiązków zagrożone jest wysokimi karami, które będą miały zastosowanie od 25 maja 2018 r.! Po tej dacie nie będzie obowiązywał żaden dodatkowy okres przejściowy. KANCELARIA PRAWNA POWROŹNIK I WSPÓLNICY ul. Gen. Józefa Bema 83, Warszawa, tel

6 Czego nie będzie? Obowiązku posiadania przez administratora polityki oraz instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Sformalizowanej dokumentacji. Obowiązku zgłaszenia zbioru danych do GIODO. Sztywnych wymogów w zakresie zabezpieczenia danych - przepisy Rozporządzenia nie wskazują konkretnych środków i sposobów ochrony, administrator danych będzie obowiązany samodzielnie wybrać odpowiednie środki do prowadzonej przez siebie działalności. Prawa osób, których dane są przetwarzane. prawo do informacji, prawo dostępu do danych, prawo do sprostowania danych, prawo do bycia zapomnianym - prawo do usunięcia danych, prawo ograniczenia przetwarzania danych, prawo do przenoszenia danych, prawo do sprzeciwu, prawo do odszkodowania, prawo do ochrony sądowej. WAŻNE! Uprawnienia te przekładają się bezpośrednio na obowiązki, jakie zostaną nałożone na administratorów danych! Środki ochrony prawnej i sankcje. Prawo wniesienia skargi - każda osoba, której dane są przetwarzane ma prawo wnieść skargę do organu nadzorczego (aktualnie jest nim GIODO) na niezgodne z Rozporządzeniem przetwarzanie jej danych. Prawo do sądowego środka ochrony przeciwko prawnie wiążącej decyzji organu nadzorczego lub w sytuacji bezczynności organu. Prawo do odszkodowania - każda osoba, która poniosła szkodę w wyniku przetwarzania danych niezgodnie z RODO, ma prawo domagania się odszkodowania od administratora lub podmiotu przetwarzającego dane osobowe. Kary w wysokości do euro, a w przypadku przedsiębiorstwa, do 2% całkowitego światowego obrotu w poprzednim roku m.in. za niespełnienie obowiązku zgłoszenia naruszenia ochrony danych. Kary w wysokości do euro, a w przypadku przedsiębiorstwa do 4% całkowitego światowego obrotu z poprzedniego roku m.in. za naruszenie praw osób, których dane dotyczą. Szczególne obowiązki podmiotów medycznych na gruncie nowego rozporządzenia unijnego. Szczególne kategorie danych osobowych Pojęcie dane osobowe szczególnej kategorii zastąpi dotychczas stosowane pojęcie danych wrażliwych zwanych również sensytywnymi Poszerzenie katalogu danych szczególnej kategorii o dane biometryczne oraz dane genetyczne (do tej pory w ustawie o ochronie danych osobowych do danych wrażliwych zaliczone były dane o kodzie genetycznym, co było jednak pojęciem nieprecyzyjnym) W RODO pojawiają się również definicje danych biometrycznych, danych genetycznych i danych dotyczących zdrowia 6

7 Unijna reforma ochrony danych osobowych. Jak się na nią przygotować? wskazujące wprost, że daną osobową szczególnie chronioną jest sama informacja, o tym gdzie leczy się dana osoba Ogólny zakaz przetwarzania szczególnych kategorii danych, od którego RODO przewiduje odstępstwa m.in. w sytuacji wyraźnej zgody osoby, której dane dotyczą lub w przypadku przetwarzania ich do celów zdrowotnych RODO określa szczegółowe przesłanki dopuszczalności przetwarzania takich danych Zgoda na przetwarzanie tych danych nie musi być wyrażona w formie pisemnej! Ponadto państwa członkowskie mogą wprowadzić dalej idące ograniczenia w odniesieniu do przetwarzania danych genetycznych, danych biometrycznych lub danych dotyczących zdrowia. IOD Obecnie podmioty medyczne samodzielnie decydują o tym, czy chcą powołać ABI Zgodnie z RODO obowiązek powołania Inspektora Ochrony Danych zostanie nałożony na wszystkie podmioty przetwarzające dane szczególnych kategorii na dużą skalę, co oznacza, że większość placówek medycznych (szpitali, klinik, laboratoriów) będzie musiała powołać IOD, którego zakres obowiązków będzie szerszy w stosunku do ABI Prawo do bycia zapomnianym Nie dotyczy administratorów danych, którzy przetwarzają dane z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego WAŻNE! Podmioty medyczne będą musiały dostosować funkcjonujące w nich mechanizmy ochrony danych osobowych do wielu wymagań, które stawia RODO tj. opracowanie systemu wykrywania i zgłaszania naruszeń, zmiana klauzul zgody, czy wdrożenie systemu ocen planowanych usług i nowych rozwiązań, zgodnie z zasadą privacy by design. Projektowane zmiany oraz systemy bezpieczeństwa danych muszą być dostosowane do oszacowanego przez podmiot ryzyka, które w przypadku podmiotów medycznych znacznie wzrasta w związku z przetwarzaniem danych szczególnych kategorii na dużą skalę. Jakie czynności należy podjąć przed 25 maja 2018 r.? Jak możemy pomóc w przygotowaniu Twojego podmiotu na RODO? Proces wdrożenia nowych przepisów dotyczących ochrony danych osobowych będzie długotrwały i czasochłonny, dlatego warto rozpocząć go jak najwcześniej. Konieczne będzie bowiem dostosowanie procedur i struktury danej organizacji nie tylko do rozporządzenia unijnego, ale także do przepisów krajowych, które mogą w sposób bardziej szczegółowy regulować niektóre wymagania stawiane przez RODO. Nasza Kancelaria może pomóc w efektywnym przeprowadzeniu procesu wdrażania zmian m.in. poprzez: Szkolenia przygotowanie i przeprowadzenie szkoleń z zakresu ochrony danych osobowych dla pracowników podmiotu, dostosowanych do profilu i celu przetwarzania danych Podstawa prawna przetwarzania danych osobowych dostosowanie procesu odbierania zgód na przetwarzanie danych osobowych oraz brzmienia klauzul zgody do wymogów Rozporządzenia stworzenie procedury wycofania zgody przez podmiot, którego dane dotyczą stworzenie efektywnego systemu ewidencjonowania zgód, w związku z nałożonym przez RODO obowiązkiem wykazywania, że osoba, której dane dotyczą, wyraziła zgodę na ich przetwarzanie opracowanie formularzy (papierowych oraz elektronicznych) opowiadających nowemu, rozbudowanemu obowiązkowi informacyjnemu wprowadzenie procedury uzyskania zgody na przetwarzanie danych osobowych dziecka poniżej 16 roku życia od rodzica lub prawnego opiekuna (dotyczy podmiotów świadczących usługi społeczeństwa informacyjnego) KANCELARIA PRAWNA POWROŹNIK I WSPÓLNICY ul. Gen. Józefa Bema 83, Warszawa, tel

8 Rejestr czynności przetwarzania przygotowanie rejestru i kategoryzacja danych identyfikacja czynności przetwarzania danych stworzenie procedur i narzędzi koniecznych do bieżącego prowadzenia rejestru i jego aktualizacji Naruszenia ochrony danych stworzenie procedury wykrywania naruszeń ochrony danych osobowych - polityki reagowania na naruszenia stworzenie systemu szybkiego reagowania i zgłaszania naruszeń do organu nadzorczego, przeprowadzenie analizy przyczyn naruszenia IOD Doradztwo w zakresie obowiązku powołania Inspektora Ochrony Danych, na miejsce dotychczasowego Administratora danych osobowych Merytoryczne wsparcie Inspektora Ochrony Danych (aktualnie również Administratora Bezpieczeństwa Informacji) powołanego przez Klienta Ocena, czy mimo braku prawnego obowiązku wyznaczenia IOD, inne czynniki nie przemawiają za powołaniem osoby odpowiedzialnej za bezpieczeństwo danych w firmie Pseudonimizacja analiza potrzeby przeprowadzenia pseudonimizacji określonych kategorii danych osobowych, analiza sposobów pseudonimizacji Polityki i procedury analiza, weryfikacja, aktualizacja lub przygotowanie od nowa stosownych polityk tj. polityk reagowania na naruszenia, polityk bezpieczeństwa danych, polityk weryfikacji przetwarzanych danych oraz innych odpowiednich polityk do prowadzonej działalności wsparcie prawne przy przygotowywaniu dokumentów wymaganych przez prawo ochrony danych osobowych opracowanie procedur koniecznych do pełnego realizowania nowych uprawnień podmiotów danych np. prawa do bycia zapomnianym, prawa do ograniczenia przetwarzania Analiza ryzyka przeprowadzanie oceny skutków przetwarzania dla ochrony danych rekomendacja środków technicznych i organizacyjnych, odpowiednich ze względu na cel i ryzyko przetwarzania, występujących w danym podmiocie Zabezpieczenia analiza dotychczasowych środków organizacyjnych i technicznych ochrony danych osobowych wskazanie odpowiednich środków zabezpieczenia danych przygotowanie wymaganych polityk Organizacja analiza struktur podmiotu przetwarzającego pod kątem mechanizmów ochrony danych osobowych oraz ich zgodności z prawem wdrożenie środków koniecznych do ochrony prywatności i zgodnego z prawem przechowywania danych osobowych m.in. przez pracodawcę, podmiot medyczny doradztwo w zakresie ochrony prywatności w fazie projektowania i ustanawienia mechanizmu domyślnej ochrony danych (privacy by design oraz privacy by default) Reprezentacja Reprezentacja podmiotu przed organem nadzoru, a także reprezentacja w sporach dotyczących ochrony danych osobowych w postepowaniach przed sądami administracyjnymi Opiniowanie konieczności konsultacji planowanego przedsięwzięcia z organem nadzorczym oraz związana z tym ocena skutków przetwarzania danych połączona z oceną stopnia ryzyka 8

9 Unijna reforma ochrony danych osobowych. Jak się na nią przygotować? WAŻNE! Przetwarzając dane osobowe po 25 maja 2018 r. konieczne będzie każdorazowe badanie, które przepisy unijne czy krajowe mają w danej sytuacji zastosowanie! Od czego zacząć? Ze względu na szeroki zakres nowych uregulowań unijnych, koniecznością przewidywania ryzyka oraz wysokimi karami finansowymi, które będą mogły być nałożone na podstawie przepisów RODO, proces wdrażania nowych procedur należy rozpocząć od przeprowadzenia audytu. Dostosowanie struktur organizacji do nowych przepisów unijnych wymaga bowiem przeprowadzenia analizy zgodności dotychczas stosowanych rozwiązań z wymogami nakładanymi przez Rozporządzenie. Przeprowadzany przez nas audyt ma na celu: wskazanie, które obowiązki wprowadzone przez RODO dotyczą audytowanego podmiotu - zakres obowiązków będzie zależał od wielkości podmiotu oraz rodzaju prowadzonej przez niego działalności, ocenę, które z dotychczas stosowanych środków ochrony danych osobowych spełniają wymagania stawiane przez RODO, a które należy zmienić w związku z nową regulacją, stworzenie planu wdrożenia nowych regulacji, w tym listy działań koniecznych do podjęcia przed dniem 25 maja 2018 r. Ważne! Należy pamiętać, że rozporządzenie unijne pozostawiło szereg kwestii do uregulowania przez ustawodawcę krajowego, co w Polsce jeszcze nie nastąpiło. Dlatego też proces wdrażania nowych przepisów będzie przebiegał wieloetapowo, w zależności od tego, jakie zmiany w stosunku do brzmienia ogólnego rozporządzenia unijnego wprowadzi polski ustawodawca. KANCELARIA PRAWNA POWROŹNIK I WSPÓLNICY ul. Gen. Józefa Bema 83, Warszawa, tel

10 10 Notatki

11

12 ul. Gen. Józefa Bema 83, Warszawa, tel