Rewolucja: Dane osobowe 2018

Transkrypt

1 Rewolucja: Dane osobowe 2018 Czy jesteś już przygotowany na zmiany? Największa reforma od 20 lat Nowe, restrykcyjne zasady Dotyka każdego przedsiębiorcy, niezależnie od branży czy wielkości Wysokie kary (do EUR lub 4% światowego obrotu)

2 Spis treści Wprowadzenie 3 RODO kluczowe zmiany 8 Dane osobowe w firmie: HR, IT 17 Dane osobowe w grupie przedsiębiorstw 22 Wsparcie O&W 25 2

3 WPROWADZENIE 3

4 Q&A Czym jest RODO/GDPR? RODO/ GDPR to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. dotyczące ochrony osób fizycznych w związku z przetwarzaniem danych osobowych. Są to nowe, jednolite dla całej UE przepisy, które mają wymóc na wszystkich przedsiębiorcach wyższy poziom ochrony danych osobowych. Wprowadzają wiele nowych, rewolucyjnych mechanizmów, które wymagają odpowiednich przygotowań. Czym są dane osobowe? Wszystkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. To bardzo szeroka definicja - każdy przedsiębiorca przetwarza dane osobowe. Czym jest przetwarzanie danych osobowych? Przetwarzanie to wszelkie operacje na danych osobowych, w tym np. zbieranie, przechowywanie, przeglądanie, udostępnianie, czy usuwanie. RODO określa szczegółowe zasady, kiedy i jak można przetwarzać dane osobowe. 4

5 Od kiedy stosujemy RODO? Już od 25 maja 2018 r. Kogo dotyczy RODO? RODO dotyczy zwłaszcza wszystkich przedsiębiorców, niezależnie od branży i wielkości : Działających na terytorium Unii Europejskiej (mających tu siedzibę albo jednostkę organizacyjną) Oferujących towary lub usługi osobom przebywającym w Unii (również, gdy nie wymaga się od nich zapłaty) Monitorujących zachowania, o ile do tego zachowania dochodzi w Unii Co grozi za naruszenia RODO? RODO przewiduje szeroki katalog sankcji, w tym wysokie kary pieniężne (nawet do EUR lub do 4 % całkowitego rocznego światowego obrotu przedsiębiorcy z poprzedniego roku obrotowego). Jak przygotować się do rodo? Każda firma powinna przeanalizować jakie dane oraz w jakim celu zbiera (pracownicy, kontrahenci, etc.) i sprawdzić co trzeba zmienić w tej praktyce oraz systemach informatycznych przed 25 maja 2018 r. 5

6 Przetwarzanie danych osobowych jakie błędy popełniamy najczęściej? Zbyt szeroki zakres danych zbieranych przy rekrutacjach (np. zdjęcia, zaświadczenia o niekaralności, stan cywilny, wiek) Brak usuwania danych z kopii bezpieczeństwa Wysyłka maili z otwartą listą adresową Brak zabezpieczenia poufności danych (np. niewłaściwe ustawienie monitorów, brak odpowiedniego zabezpieczenia laptopów/smartphone ów, przesyłanie niezaszyfrowanych danych, zapisywanie haseł na karteczkach, brak polityki czystego biurka) Nieprawidłowe udostępnianie danych przez spółki w ramach grupy kapitałowej (np. raportowanie wewnętrzne) 6

7 Kto odpowiada za prawidłowe przetwarzanie danych? Administrator danych osobowych (ADO) Decyduje o celach i środkach (RODO: sposobach ) przetwarzania danych osobowych. ADO będzie np. spółka, pracodawca, przedsiębiorca Współadministrator danych osobowych Nowość w RODO. Współadministratorzy to co najmniej dwóch ADO, którzy wspólnie ustalają cele i sposoby przetwarzania danych, np. spółki w grupie, które mają wspólną bazę danych Podmiot przetwarzający dane na zlecenie Podmiot, który przetwarza dane w imieniu ADO, np. spółka typu centrum usług wspólnych, przetwarzająca dane osobowe pracowników innych spółek z grupy, na podstawie umów powierzenia. 7

8 RODO kluczowe zmiany 8

9 Anna Chrobot Partner, adwokat Od stosunkowo niedawna dane osobowe stanowią część składową niemal każdego biznesu. Z jednej strony wydawało się, że następuje stabilizacja, z drugiej od lat trwały prace nad RODO. Wejście RODO to całkowicie nowe zasady, prawa i obowiązki, sankcje. Nie można zlekceważyć RODO, bo to oznacza wprost spadek wartości firm, projektów. Niektóre modele biznesowe nie zadziałają, a dla części firm sankcje mogą okazać się bardzo dotkliwe. To zmiany ważne nie tylko dla osób odpowiedzialnych za IT, dane przetwarza praktycznie każdy w firmie od działu HR po dział zakupów. Nadchodzi era RODO. 9

10 Jakie są największe rewolucje RODO? Przenoszalność danych (obowiązek wydania kopii danych osobie, której dotyczą, w odpowiednim formacie) Privacy by design (projektowanie systemów / zasad przetwarzania, z założeniem najwyższego stopnia ochrony danych) Prawo do bycia zapomnianym (prawo danej osoby do żądania od ADO usunięcia jej danych i poinformowania o tym innych ADO) Ograniczenie profilowania (informowanie i uzyskanie zgody na zautomatyzowane podejmowanie decyzji) Rejestr czynności przetwarzania Zawiadamianie o wyciekach danych KARY PIENIĘŻNE do 20 mln euro i więcej 10

11 PRZED 25 MAJA 2018 R. KONIECZNE ZMIANY W FUNKCJONOWANIU : Zasad gromadzenia danych Systemów informatycznych Kluczowych działów firmy, w tym HR Transferów danych w grupie kapitałowej i poza grupę Przekazywania danych na zewnątrz (nowe umowy powierzenia!) 11

12 Czy przestrzegasz podstawowych zasad RODO? Zgodność z prawem, rzetelność i przejrzystość Ograniczenie celu Minimalizacja danych Prawidłowość Działam w tym zakresie w sposób przejrzysty dla osoby, której dane dotyczą Zbieram wszelkie dane w konkretnych, wyraźnych i prawnie uzasadnionych celach, nie przetwarzam ich dalej niezgodnie z tymi celami Zawsze zbieram tylko niezbędne informacje, adekwatne dla moich celów, w których są przetwarzane Upewniam się, że moje informacje są prawidłowe i w razie potrzeby uaktualniam je 12

13 Ograniczenie przechowywania Przechowuję dane w formie umożliwiającej identyfikację osoby, której dane dotyczą, wyłącznie przez czas niezbędny do osiągnięcia celu przetwarzania Integralność i poufność Zawsze zapewniam bezpieczeństwo danych ADO odpowiada za przetwarzanie danych zgodnie z zasadami i musi być w stanie wykazać ich przestrzeganie na każdym etapie przetwarzania (rozliczalność) 13

14 Jak zmieniają się Podstawowe obowiązki informacyjne ADO?* Dotychczas: Adres siedziby i pełna nazwa ADO Cel zbierania danych, w tym przewidywani odbiorcy (kategorie odbiorców) Prawo do dostępu i poprawienia treści danych Dobrowolność/ obowiązek podania danych + podstawa prawna obowiązku Od maja 2018: Tożsamość i dane kontaktowe ADO + przedstawiciela ADO (jeśli dotyczy) Dane kontaktowe inspektora ochrony danych (jeśli dotyczy) Cele i podstawa prawna przetwarzania danych Prawnie uzasadnione interesy ADO/ strony trzeciej (jeśli przetwarzanie jest niezbędne do tego celu) * Obowiązki w razie zbierania danych bezpośrednio od osoby, której dane dotyczą. Inny zakres w przypadku gromadzenia od osób trzecich 14

15 Obowiązki od maja c.d. Odbiorcy danych (kategorie odbiorców) Zamiar przekazania danych do państwa trzeciego/ organizacji międzynarodowej (jeśli dotyczy) Okres przechowywania danych Prawo żądania dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania/ prawo do sprzeciwu wobec przetwarzania danych/ prawo do przenoszenia danych Prawo do cofnięcia zgody na przetwarzanie danych w dowolnym momencie Prawo wniesienia skargi do organu nadzorczego Informacja, czy podanie danych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy, czy istnieje obowiązek podania danych + konsekwencje ich niepodania Zautomatyzowane podejmowanie decyzji (w tym profilowanie) + zasady ich podejmowania, znaczenie i konsekwencje takiego przetwarzania 15

16 RODO jakie sankcje? Sankcje administracyjne możliwość nakładania kar bez uprzedniego ostrzeżenia ze strony organu wysokość kary do EUR lub do 4% całkowitego rocznego światowego obrotu przedsiębiorcy z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa prawo krajowe może wprowadzić dodatkowe sankcje administracyjne Sankcje karne prawo krajowe może wprowadzić sankcje karne za naruszenie RODO Dodatkowo, każda osoba, która poniosła szkodę w wyniku naruszenia RODO, może żądać zapłaty odszkodowania. 16

17 DANE OSOBOWE w firmie HR, IT 17

18 Czy Twój dział HR jest gotowy na zmiany? 1 1 rekrutacja Czy... Podczas rekrutacji żądasz tylko danych wymienionych w przepisach? Potrafisz uzasadnić przetwarzanie innych uzyskanych informacji (np. numer telefonu, adres , zdjęcie)? Wykorzystujesz systemy zautomatyzowanego przetwarzania danych (np. profilowanie) tylko po poinformowaniu i za zgodą kandydata? Dostęp do CV mają wyłącznie upoważnione osoby prowadzące rekrutację? Usuwasz wszystkie kopie CV kandydatów nieprzyjętych do pracy? Prawidłowo realizujesz obowiązki informacyjne? 18

19 1 2 dane pracowników Czy... Monitorujesz, kto uzyskuje dostęp, do jakich danych, jak je zmienia/uzupełnia, czy i kiedy je usuwa (maile, wydruki)? Dane są przechowywane w odpowiednio zabezpieczonym miejscu (brak dostępu osób trzecich)? Przetwarzasz dane wyłącznie w celu, w jakim zostały zebrane? Jeśli pracownik dostarcza Ci dane o sobie, masz możliwość ich eksportu? Zawarłeś umowę powierzenia danych z podmiotami zewnętrznymi (karta sportowa, opieka medyczna) zgodną z RODO? 1 3 dane byłych pracowników Czy... Przetwarzasz wyłącznie takie dane, których przechowywanie po rozwiązaniu stosunku pracy jest wymagane przez prawo? Usuwasz pozostałe dane (w tym z kopi zapasowych)? 19

20 Czy Twój dział IT spełnia wymogi RODO? Czy... Systemy IT przypisują wszelkie operacje na danych określonym osobom? Prowadzisz rejestr czynności przetwarzania danych? Systemy IT odnotowują każde upublicznienie danych i pozwalają na poinformowanie ADO o sprzeciwie wobec przetwarzania danych? Potrafisz przekazać dane osobie, której dane dotyczą lub podmiotowi przez nią wskazaną, w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego? Systemy IT zaprojektowano tak, aby domyślnie przetwarzały wyłącznie dane niezbędne do osiągnięcia określonego celu przetwarzania? Twoje systemy raportują wycieki danych / incydenty bezpieczeństwa? Prawidłowo zabezpieczasz urządzenia przenośne? 20

21 Czy... Systemy IT umożliwiają szyfrowanie danych osobowych i ich pseudonimizację (przetworzenie danych tak, aby nie było możliwości przypisania ich konkretnej osobie bez użycia dodatkowych informacji)? Zapewniasz poufność, integralność, dostępność i odporność systemów IT? Systemy IT dają możliwość szybkiego przywrócenia dostępności danych w razie incydentu? Regularnie monitorujesz skuteczność środków technicznych, mających zapewnić bezpieczeństwo przetwarzania danych? 21

22 Dane osobowe w grupie przedsiębiorstw 22

23 Jak uregulować dane w grupie? Czy w ramach grupy... Posiadasz scentralizowany dział HR? Posiadasz centrum usług wspólnych? Następuje przepływ pracowników? Następuje przekazywanie informacji o pracownikach lub klientach (np. list płac, zamówień, maili)? Korzystasz z usług zagranicznych centrów przetwarzania danych? Dane są przechowywane poza UE/ EOG? Jeśli tak czy prawidłowo realizujesz przepływ danych osobowych w ramach grupy? 23

24 Już dzisiaj transfer danych w ramach grupy wymaga odpowiedniego zaplecza formalnego. Konieczne są w szczególności umowy powierzenia danych do przetwarzania, a w przypadku transferów danych poza EOG, dodatkowo pomyśleć należy o stosowaniu np. wiążących reguł korporacyjnych (BCR) i skonstruowaniu wzorów umów obejmujących standardowe klauzule umowne zatwierdzone przez Komisję Europejską. Nowości wprowadzone przez RODO: Zdefiniowanie grupy przedsiębiorstw jako przedsiębiorstwo sprawujące kontrolę i przedsiębiorstwa przez nie kontrolowane Możliwość wyznaczenia jednego inspektora ochrony danych dla całej grupy przedsiębiorstw Możliwość stosowania kodeksów postępowania 24

25 Wsparcie O&W 25

26 Jak pomagamy z RODO? Kompleksowy audyt zasad przetwarzania danych osobowych w firmie, w tym: Praktyczna identyfikacja naruszeń przepisów (aktualnych oraz RODO) Formalna analiza wewnętrznych dokumentów administratora Weryfikacja legalności przetwarzania (w tym co do zakresu i celu) 1 Uwaga: audyt można poszerzyć o badanie również zasad ochrony tajemnicy przedsiębiorstwa / informacji poufnych w firmie (własnych i powierzonych) Wypracowanie dedykowanego modelu przetwarzania danych w firmie, dostosowanego do potrzeb administratora, w tym: Współpraca z zespołem IT w celu stworzenia skutecznych, praktycznych mechanizmów Stworzenie / aktualizacja istniejącej dokumentacji dot. przetwarzania danych osobowych 2 Zdefiniowanie obszarów wymagających prac po stronie firmy w celu przygotowania się na nowe obowiązki prawne (RODO) 26

27 Opracowanie strategii międzynarodowego transferu danych, w tym: identyfikacja przepływów danych; opracowanie i wdrożenie narzędzi transferu danych (np. wiążących reguł korporacyjnych, kodeksów postępowania, zasad transferu UE USA); Opracowanie wzorcowych klauzul umownych i wzorów umów (np. umowy powierzenia danych osobowych) Stworzenie procedur na wypadek naruszeń bezpieczeństwa w zakresie przetwarzania danych osobowych oraz na wypadek kontroli GIODO; 6 7 Przeprowadzenie kompleksowego szkolenia dla pracowników uczestniczących w przetwarzaniu danych osobowych; Audyt powdrożeniowy, weryfikujący prawidłowość zastosowanych rozwiązań, zakończony przyznaniem certyfikatu compliance dla firmy oraz przeszkolonych pracowników Opracowanie nie ma charakteru porady prawnej. W celu uzyskania bardziej kompleksowych informacji prosimy o kontakt z naszymi doradcami. 27

28 Dane osobowe w O&W Anna Chrobot Partner, adwokat Tel. (+48) anna.chrobot@olesinski.com Lucyna Brayshaw Manager, radca prawny Tel. (+48) lucyna.brayshaw@olesinski.com Grzegorz Leśniewski Manager, adwokat Tel. (+48) grzegorz.lesniewski@olesinski.com Mamy doświadczenie w odpowiadaniu na pytania, które generuje biznes, a na które nie ma prostych odpowiedzi w przepisach czy praktyce rynkowej. Przez lata doradzaliśmy portalowi Nasza Klasa (później nk.pl ), który zarządzał bazą informacji o kilkunastu milionach Polaków, na co dzień rozwiązując problemy, które nigdzie indziej nie występowały na podobną skalę, pod stałą obserwacją ze strony GIODO. Wspieramy spółki technologiczne, dostawcę chmury obliczeniowej, największe polskie call center, największe polskie e-commerce y, liderów marketingu internetowego. Doradzamy pracodawcom zatrudniającym tysiące osób na całym świecie, m.in. w branżach automotive, produkcyjnej, przemysłu spożywczego oraz sprzedaży detalicznej. Rozumiemy technologiczne aspekty działalności naszych Klientów, równie dobrze jak branże, w których działają. Jesteśmy prelegentami na konferencjach oraz autorami licznych publikacji. Prowadzimy audyty, szkolenia, współpracujemy z firmami IT przy wdrożeniach. Jesteśmy gotowi na RODO i wyzwania wynikające z rewolucji w tym obszarze. Mateusz Borkiewicz Senior consultant, adwokat Tel. (+48) mateusz.borkiewicz@olesinski.com Olesiński & Wspólnicy Sp. k. Wrocław Warszawa Kraków Gliwice Tel. (+48) olesinski@olesinski.com olesinski.com