Title of the presentation Date #

Transkrypt

1

2 Quo vadis ochrona danych osobowych? Wniosek w sprawie Rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (COM (2012) 11 final) Rozporządzenie zastąpi nie tylko dyrektywę Unii Europejskiej odnoszącą się do ochrony danych osobowych ale także krajowe regulacje ustawowe Rewolucja!!!! Rozporządzenia UE to środki prawne bezpośrednio skuteczne w państwach członkowskich bez konieczności uchwalania ustaw w krajowych porządkach prawnych.

3 Status quo: Parlament przyjął w marcu 2014 r. Sprawozdanie Rada UE przyjęła projekt Na tym etapie rozpoczną się uzgodnienia treści między Parlamentem i Radą (do końca 2015 r.) Dwa lata vacatio legis

4 Nowe instytucje i definicje Title of the presentation Date # Dane genetyczne Dane biometryczne Dane dotyczące zdrowia Prawo do bycia zapomnianym i usunięcia danych (art. 17) Sprzeciw wobec profilowania Inspektor ochrony danych osobowych Kodeksy, certyfikaty oraz pieczęcie w zakresie ochrony danych osobowych Europejska Rada Ochrony Danych Osobowych w miejsce grupy art. 29

5 Zakres zastosowania Title of the presentation Date # do przetwarzania danych osobowych w sposób w całości lub w części automatyzowany oraz innych rodzajów przetwarzania danych osobowych, stanowiących część zbioru danych lub mających stanowić część zbioru danych Wyłączenia zastosowania: Działalność wykraczająca poza zakres prawa Unii, w szczególności dotycząca bezpieczeństwa narodowego; instytucji, organów i jednostek organizacyjnych Unii; prowadzona przez państwa członkowskie w wykonywaniu działań w zakresie rozdziału 2 TFUE; osób fizycznych w celach innych niż zarobkowe w ramach własnych działań o charakterze czysto osobistym lub domowym; organów służąca celom zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania, albo wykonywania kar kryminalnych.

6 Podmiot danych Title of the presentation Date # Podmiot danych oznacza zidentyfikowaną osobę fizyczną lub osobę fizyczną, którą można zidentyfikować, bezpośrednio lub pośrednio, za pomocą wszelkich środków, które z rozsądnym prawdopodobieństwem mogą być użyte przez administratora lub inną osobę fizyczną bądź prawną, szczególnie przez odniesienie do numeru identyfikacyjnego, danych dotyczących lokalizacji, identyfikatora online lub przynajmniej jednego czynnika charakterystycznego dla fizycznej, fizjologicznej, genetycznej, umysłowej, ekonomicznej, kulturowej lub społecznej tożsamości tej osoby;

7 Przetwarzanie Title of the presentation Date # przetwarzanie oznacza każdą operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych przy pomocy środków zautomatyzowanych lub innych, jak np. zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptacja lub modyfikacja, pobieranie, uzyskiwanie wglądu, wykorzystywanie, ujawnianie poprzez przekazanie, rozpowszechnianie lub udostępnianie w inny sposób, dopasowywanie lub łączenie, usuwanie lub niszczenie;

8 Przetwarzanie nieumożliwiające identyfikacji Jeśli dane przetwarzane przez administratora nie umożliwiają mu identyfikacji osoby fizycznej, administrator nie ma obowiązku uzyskania dodatkowych informacji w celu identyfikacji podmiotu danych wyłącznie ze względu na konieczność respektowania przepisu niniejszego rozporządzenia.

9 Zbiór danych zbiór danych oznacza każdy zorganizowany zestaw danych osobowych, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany lub rozproszony funkcjonalnie lub geograficznie;

10 Administrator i podmiot przetwarzający administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę organizacyjną lub inny podmiot, który samodzielnie lub wspólnie z innymi organami ustala cele, warunki i sposoby przetwarzania danych osobowych; w przypadkach, w których cele, warunki i sposoby ustalane są prawem Unii lub państwa członkowskiego, administrator lub szczególne kryteria jego wyznaczania mogą zostać określone w prawie Unii lub państwa członkowskiego; podmiot przetwarzający oznacza osobę fizyczną lub prawną, organ publiczny; agencję lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;

11 Odpowiedzialność administratora danych Przyjmuje polityki i realizuje środki w celu zapewnienia zgodnego z prawem przetwarzania danych osobowych Odpowiada za prowadzenie dokumentacji; Realizuje wymogi bezpieczeństwa danych; Dokonuje oceny skutków w zakresie ochrony danych; Wyznacza inspektora ochrony danych; Wdraża mechanizmy służące zapewnieniu weryfikacji skuteczności środków. Jeśli jest to proporcjonalne, weryfikacja ta przeprowadzona jest przez niezależnych audytorów wewnętrznych lub zewnętrznych. Komisja jest uprawniona do wprowadzania dalszych kryteriów i wymogów oraz rozważenia szczególnych środków dla mikroprzedsiębiorców oraz małych i średnich przedsiębiorców.

12 Zgoda podmiotu danych art. 4 pkt. 8 Rozporządzenia zgoda podmiotu danych oznacza dobrowolne, szczególne, świadome i wyraźne oświadczenie woli, przez które podmiot danych, w drodze oświadczenia lub wyraźnego działania potwierdzającego, wyraża zgodę na przetwarzanie dotyczących go danych osobowych;

13 Warunki udzielenia zgody 1. Na administratorze spoczywa ciężar udowodnienia zgody podmiotu danych na przetwarzanie jego danych osobowych w określonych celach 2. Jeśli zgoda podmiotu danych ma być udzielona w kontekście pisemnego oświadczenia, które dotyczy także innej kwestii, wymóg udzielenia zgody musi zostać przedstawiony w sposób pozwalający wyraźnie odróżnić go od tej innej kwestii. 3. Podmiot danych ma prawo odwołać swoją zgodę w dowolnym momencie. Odwołanie zgody nie ma wpływu na zgodność z prawem przetwarzania opartego na zgodzie przed jej odwołaniem. 4. Zgoda nie stanowi podstawy prawnej przetwarzania w sytuacji poważnej nierówności między podmiotem danych a administratorem.

14 Zasady dotyczące przetwarzania danych dzieci dziecko, w rozumieniu Rozporządzenia, oznacza każdą osobę w wieku poniżej 18 lat; Przetwarzanie danych osobowych dziecka w odniesieniu do oferowania usług społeczeństwa informacyjnego bezpośrednio dziecku, przetwarzanie danych osobowych dziecka w wieku poniżej 13 lat jest zgodne z prawem, o ile zgodę na nie wydał lub pozwolił na nie rodzic lub opiekun dziecka. Administrator podejmuje racjonalne starania w celu uzyskania możliwej do zweryfikowania zgody, uwzględniając dostępną technologię. Komisja może ustanowić standardowe formularze dotyczące szczególnych form uzyskiwania możliwej do zweryfikowania zgody.

15 Główna siedziba Title of the presentation Date # główna siedziba oznacza, jeśli chodzi o administratora, jego siedzibę w Unii, w której podejmowane są najważniejsze decyzje dotyczące celów, warunków i sposobów przetwarzania danych; jeśli decyzji dotyczących celów, warunków i sposobów przetwarzania danych osobowych nie podejmuje się w Unii, główną siedzibą jest miejsce, w którym odbywa się główna działalność w zakresie przetwarzania w kontekście działalności zakładu administratora w Unii. Jeśli chodzi o podmiot przetwarzający, główna siedziba oznacza miejsce, w którym znajduje się jego zarząd w Unii; przedstawiciel oznacza każdą osobę fizyczną lub prawną mającą miejsce zamieszkania lub siedzibę w Unii, wyraźnie wyznaczoną przez administratora, która działa w miejsce administratora i do której organ nadzorczy lub inny podmiot w Unii mogą się zwrócić zamiast do administratora, w kwestiach dotyczących obowiązków administratora wynikających z niniejszego rozporządzenia

16 Prawo do bycia zapomnianym i do usunięcia danych Podmiot danych ma prawo do uzyskania od administratora usunięcia danych osobowych odnoszących się do niego oraz zaprzestania dalszego rozpowszechniania tych danych, zwłaszcza w odniesieniu do danych osobowych, które zostały udostępnione przez podmiot danych, kiedy był on dzieckiem, jeśli: dane nie są już potrzebne do celów, do których były zebrane; podmiot danych odwołuje zgodę, lub gdy minął okres przechowywania, na który wyrażono zgodę oraz jeśli nie ma już podstawy prawnej przetwarzania danych;

17 Prawo do bycia zapomnianym i do usunięcia Title of the presentation danych Date # podmiot danych sprzeciwia się przetwarzaniu danych osobowych; przetwarzanie danych nie jest zgodne z Rozporządzeniem z innych powodów. W przypadku podania przez administratora danych osobowych do wiadomości publicznej, podejmuje on wszelkie uzasadnione kroki, w tym środki techniczne, w odniesieniu do danych, za których publikację odpowiada, by poinformować osoby trzecie przetwarzające takie dane, iż podmiot danych wnioskuje o usunięcie linków do danych, kopii lub replikacji tych danych osobowych. Jeśli administrator upoważnił osobę trzecią do publikacji danych osobowych, uważa się go za odpowiedzialnego za tę publikację.

18 Prawo sprzeciwu Podmiot danych ma prawo, z przyczyn dotyczących jego szczególnej sytuacji, w dowolnym momencie wnieść sprzeciw wobec przetwarzania danych osobowych, chyba że administrator wykaże ważne i uzasadnione podstawy przetwarzania, które mają charakter nadrzędny wobec interesów lub podstawowych praw i wolności podmiotu danych. Jeżeli dane osobowe są przetwarzane do celów marketingu bezpośredniego, podmiot danych ma prawo nieodpłatnie wnieść sprzeciw wobec przetwarzania jego danych osobowych do takich celów marketingowych. O prawie tym należy wyraźnie poinformować podmiot danych w zrozumiały sposób, tak by informację tę można było łatwo odróżnić od innych informacji

19 Sprzeciw wobec profilowaniu Każda osoba fizyczna ma prawo nie podlegać środkowi, który wywołuje skutki prawne dotyczące tej osoby fizycznej lub ma istotny wpływ na tę osobę fizyczną, a który opiera się wyłącznie na automatycznym przetwarzaniu danych mającym służyć ocenie niektórych aspektów osobistych tej osoby fizycznej lub też analizie bądź przewidzeniu zwłaszcza wyników w pracy, sytuacji ekonomicznej, miejsca przebywania, zdrowia, preferencji osobistych, wiarygodności lub zachowania tej osoby fizycznej.

20 Sprzeciw wobec profilowaniu Title of the presentation Date # Podmiot danych może zostać poddany środkom profilowania, jeżeli: 1) odbywa się w trakcie zawierania lub wykonania umowy, jeśli wniosek w sprawie zawarcia lub wykonania umowy złożony przez podmiot danych został zrealizowany lub jeśli przewidziano właściwe środki w celu zabezpieczenia słusznych interesów podmiotu danych, jak np. prawo do uzyskania interwencji; 2) jest wyraźnie dozwolone przez prawo Unii lub państwa członkowskiego, które ustanawia również właściwe środki w celu zabezpieczenia słusznych interesów podmiotu danych; lub 3) odbywa się na podstawie zgody podmiotu danych, z zastrzeżeniem warunków określonych w przepisach o warunkach udzielenia zgody oraz właściwych gwarancji.

21 Ochrona danych osobowych w fazie projektowania Uwzględniając najnowsze osiągnięcia techniczne oraz koszty wdrożenia, administrator, zarówno w momencie ustalania środków niezbędnych do przetwarzania, jak i w momencie samego przetwarzania, wdraża odpowiednie środki i procedury techniczne i organizacyjne, tak by przetwarzanie odpowiadało wymogom niniejszego rozporządzenia oraz gwarantowało ochronę praw podmiotu danych. Administrator wdraża mechanizmy służące zapewnieniu, były jedynie te dane osobowe, które są niezbędne dla realizacji każdorazowego szczególnego celu przetwarzania oraz by w szczególności nie były one zbierane lub zatrzymywane dłużej niż przez okres niezbędny do realizacji tych celów, zarówno jeśli chodzi o ilość danych, jak i okres ich przechowywania. Mechanizmy te zapewniają w szczególności, by dane osobowe nie były domyślnie udostępniane nieograniczonej liczbie osób. Komisja uprawniona jest ustanawiać standardy techniczne dotyczące wymogów uwzględniania ochrony danych osobowych w fazie projektowania usługi.

22 Zgłoszenie naruszenia danych osobowych 1. Do organu nadzoru Administrator zgłasza bez nieuzasadnionej zwłoki, nie później niż w ciągu 24 godzin od momentu dowiedzenia się o tym naruszeniu. W przypadku opóźnienia, do zgłoszenia należy dołączyć umotywowane wyjaśnienie. Administrator sporządza dokumentację, która umożliwia organowi nadzorczemu sprawdzenie zgodności z niniejszym artykułem. Dokumentacja zawiera wyłącznie informacje niezbędne do realizacji powyższego celu. 2. Podmiotowi danych Przy prawdopodobieństwie, że naruszenie może zaszkodzić danym osobowym lub prywatności, administrator po zgłoszeniu organowi nadzoru informuje podmiot danych o naruszeniu. Zawiadomienie opisuje charakter naruszenia i zawiera przynajmniej informacje i zalecenia. Zawiadomienie nie jest wymagane, gdy administrator wykaże, że wdrożył odpowiednie technologiczne środki ochrony oraz że środki te zostały zastosowane do danych, których dotyczyło naruszenie. Technologiczne środki ochrony służą temu, by dane były nieczytelne dla każdego, kto nie jest uprawniony do dostępu do nich.

23 Współpraca organów nadzoru Title of the presentation Date # Organy nadzorcze przekazują sobie odpowiednie informacje i zapewniają wzajemną pomoc w celu spójnego wykonania i stosowania niniejszego Rozporządzenia; Wzajemna pomoc obejmuje w szczególności wnioski o udzielenie informacji i środki nadzorcze, takie jak: wnioski o udzielenie uprzednich zezwoleń i konsultacji, inspekcje i sprawne przekazywanie informacji dotyczących rozpoczęcia spraw i ich rozwoju wspólne zadania dochodzeniowe przyjmują wspólne środki egzekucyjne prowadzą inne wspólne operacje, podczas których wyznaczeni członkowie lub personel organów nadzorczych z innych państw członkowskich uczestniczą w operacjach na terytorium danego państwa członkowskiego w przypadku gdy operacje przetwarzania danych będą miały prawdopodobnie wpływ na podmioty danych w wielu państwach członkowskich; egzekwowalny środek organu nadzorczego jednego państwa jest egzekwowalny we wszystkich państwach członkowskich, których to dotyczy!!!

24 Kary przewidziane w Rozporządzeniu Title of the presentation Date # W porównaniu z polską ustawą, Rozporządzenie przewiduje jedynie karę administracyjną karę grzywny; Obecnie przepisy karne o ochronie danych osobowych przewidują trzy rodzaje sankcji: grzywnę, karę ograniczenia wolności albo pozbawienia wolności do roku; Obecnie grzywna do 5000 zł; W przyszłości grzywna maks EUR lub w przypadku przedsiębiorstwa do 0,5 % rocznego światowego obrotu, na każdy podmiot z grupy; W przyszłości grzywna maks EUR lub w przypadku przedsiębiorstwa do 1 % rocznego światowego obrotu, na każdy podmiot z grupy; W przyszłości grzywna maks EUR lub w przypadku przedsiębiorstwa do 2 % rocznego światowego obrotu, na każdy podmiot z grupy.

25 Inspektor Ochrony Danych Osobowych Administrator danych ma obowiązek wyznaczenia Inspektora Ochrony Danych, gdy: 1) przetwarzania dokonuje organ lub podmiot publiczny lub 2) przetwarzania dokonuje przedsiębiorstwo zatrudniające 250 osób lub więcej; 3) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania podmiotów danych; 4) Kadencja 2 lata i prawo do ponownego wyboru; grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych; zrzeszenia lub inne podmioty reprezentujące różne kategorie administratorów lub podmiotów przetwarzających mogą wyznaczyć jednego inspektora ochrony danych; Inspektor może być zatrudniony przez administratora lub podmiot przetwarzający lub wykonywać swoje zadania na podstawie umowy o świadczenie usług.

26 Zadania inspektora ochrony danych a) informowanie administratora lub podmiotu przetwarzającego o obowiązkach w zakresie danych osobowych oraz dokumentowanie tej działalności; b) monitorowanie wykonania i stosowania polityk w zakresie odo, w tym przydział obowiązków, szkolenie personelu oraz powiązane kontrole; c) monitorowanie wykonania i stosowania rozporządzenia, jeśli chodzi o uwzględnienie odo w fazie projektowania, jako opcji domyślnej i bezpieczeństwa danych oraz informowania podmiotów danych i rozpatrywania wniosków; d) zapewnienie prowadzenia dokumentacji; e) monitorowanie dokumentacji, zgłoszeń i zawiadomień dotyczących naruszeń odo; f) monitorowanie odpowiedzi na wnioski organów nadzorczych oraz, współpraca z organem nadzorczym na wniosek tego organu lub z inicjatywy inspektora; g) funkcja punktu kontaktowego dla organu nadzorczego.

27 Kodeksy Dobrych Praktyk Title of the presentation Date # Państwa członkowskie, organy nadzorcze i Komisja zachęcają do sporządzania kodeksów postępowania, które mają przyczynić się do właściwego stosowania rozporządzenia, uwzględniając potrzeby różnych sektorów; Wytyczne w zakresie rzetelnego i przejrzystego przetwarzania i zbierania danych, informowania opinii publicznej i podmiotów danych, ochrony dzieci, przekazywania danych do państw trzecich, mechanizmów monitorowania i zapewnienia zgodności z kodeksem przez administratorów, postępowań pozasądowych oraz alternatywnych trybów rozstrzygania sporów; Zrzeszenia przedsiębiorców mogą współpracować i konsultować z organem nadzoru danych osobowych w sprawie kodeksów; Organ może wydać opinię w sprawie zgodności kodeksu z przepisami rozporządzenia.

28 Prawo pierwszego ostrzeżenia W przypadku pierwszego przypadku nieumyślnego naruszenia niniejszego rozporządzeniem nie nakłada się sankcji, lecz udziela ostrzeżenia na piśmie, w przypadku m.in. gdy: a) osoba fizyczna przetwarza dane osobowe nie dla celów handlowych lub, b) przetwarzanie danych osobowych przez przedsiębiorstwo lub organizację zatrudniającą mniej niż 250 osób ma jedynie charakter poboczny w stosunku do głównej działalności.

29 Ochrona danych osobowych w fazie projektowania Title of the presentation Date # Uwzględniając najnowsze osiągnięcia techniczne oraz koszty wdrożenia, administrator, zarówno w momencie ustalania środków niezbędnych do przetwarzania, jak i w momencie samego przetwarzania, wdraża odpowiednie środki i procedury techniczne i organizacyjne, tak by przetwarzanie odpowiadało wymogom niniejszego rozporządzenia oraz gwarantowało ochronę praw podmiotu danych. Administrator wdraża mechanizmy służące zapewnieniu, były jedynie te dane osobowe, które są niezbędne dla realizacji każdorazowego szczególnego celu przetwarzania oraz by w szczególności nie były one zbierane lub zatrzymywane dłużej niż przez okres niezbędny do realizacji tych celów, zarówno jeśli chodzi o ilość danych, jak i okres ich przechowywania. Mechanizmy te zapewniają w szczególności, by dane osobowe nie były domyślnie udostępniane nieograniczonej liczbie osób. Komisja uprawniona jest ustanawiać standardy techniczne dotyczące wymogów uwzględniania ochrony danych osobowych w fazie projektowania usługi.

30 Dziękujemy za uwagę mec. Agnieszka Goźlińska mec. dr Justyna Kurek