Idą zmiany ochrona danych osobowych na nowo planowane rozporządzenie unijne okiem praktyka dr Joanna Tomaszewska, radca prawny, partner w kancelarii Spaczyński, Szczepaniak i Wspólnicy sp.k. 15 marca 2016 r., British Polish Chamber of Commerce, Ambasada Brytyjska w Warszawie
Generalne Rozporządzenie o Ochronie Danych (Rozporządzenie) W grudniu 2015 r. Parlament Europejski i Rada Unii Europejskiej osiągnęły nieformalne porozumienie w sprawie finalnego tekstu Rozporządzenia w sprawie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Generalne Rozporządzenie o Ochronie Danych Osobowych, EU General Data Protection Regulation) Co to oznacza? Od kiedy zacznie obowiązywać? Kluczowe koncepcje bez zmian Harmonizacja Rozporządzenie powinno zostać przyjęte wiosną 2016 r. Rozporządzenie jest bardziej technologicznie neutralne niż dyrektywa 95/46/WE Nowe przepisy zaczną obowiązywać bezpośrednio we wszystkich krajach UE po upływie 2 lat od momentu publikacji Rozporządzenia, tj. wiosną 2018r. Koncepcja danych osobowych, administratora, przetwarzającego na zlecenie pozostają bez zmian Zasada one-stop-shop Zredukowanie barier administracyjnych Strona 1
Zmiany - w kierunku większej harmonizacji prawa na poziomie Unii Europejskiej (UE) Stan obecny Konstytucja RP Po zmianach Konstytucja RP Ustawa o ochronie danych osobowych implementująca dyrektywę 95/46/WE Rozporządzenie - jedno dla wszystkich państw UE prawo materialne Przepisy szczególne Ustawa o ochronie danych osobowych - kwestie ustrojowe i proceduralne Przepisy szczególne Strona 2
Generalne Rozporządzenie o Ochronie Danych szersze zastosowanie Zakres terytorialny Administratorzy lub przetwarzający na zlecenie, którzy przetwarzają dane: w kontekście prowadzonej działalności siedziby na terenie UE niezależnie od tego czy przetwarzanie ma miejsce na terytorium UE czy też nie niemający siedziby na terenie UE jeśli ich działalność wiąże się z oferowaniem towarów lub usług obywatelom w UE lub monitorowaniem zachowań tych obywateli. Szersza definicja danych osobowych Jakiekolwiek informacje związane ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, tj. taką, która może zostać określona bezpośrednio lub pośrednio poprzez odniesienie, w szczególności do: takich identyfikatorów jak np. imię, numer identyfikacyjny, dane lokalizacyjne, identyfikator online lub jednego lub więcej elementów charakterystycznych dla fizycznej, psychologicznej, genetycznej, mentalnej, ekonomicznej, kulturalnej czy społecznej tożsamości takiej osoby. Nowe definicje dane genetyczne, dane biometryczne, dane dotyczące zdrowia Strona 3
Zwiększony zakres obowiązków Warunki uzyskania zgody Powołanie data protection officer (DPO - ABI) Zgoda ma być udzielona swobodnie, jako zgoda odrębna (specific), poinformowana, jednoznaczna Ciężar wykazania udzielenia zgody spoczywa na administratorze Zgoda ma być wyraźna na przetwarzanie danych wrażliwych i na transfer danych do państwa trzeciego Zgoda na przetwarzanie danych dzieci Obowiązek powołania DPO we wskazanych przypadkach lub na mocy prawa krajowego Precyzyjne określenie praw i obowiązków Obowiązek zgłaszania naruszeń ochrony danych do organu ochrony danych osobowych Nie później niż w ciągu 72 godzin, chyba, że naruszenie nie skutkuje ryzykiem dla praw lub wolności osób, których dane dotyczą Strona 4
Zwiększony zakres obowiązków Standardy bezpieczeństwa przetwarzania danych Rozliczalność (accountability) Ocena wpływu przetwarzania na prywatność (privacy impact assessment, PIA) Rozporządzenie określa standardy i wskazuje jak je zapewnić: odpowiednie środki techniczne i organizacyjne np. pseudoanonimizacja i szyfrowanie Przestrzeganie kodeksów postępowania (code of conducts) Organizacje będą musiały udowodnić, że są w stanie: zapewnić kulturę monitorowania, oceny procedur przetwarzania zminimalizować przetwarzanie i przechowywanie danych prowadzić operacje przetwarzania danych, do udostepnienia organowi ochrony danych osobowych na żądanie Gdy jest prawdopodobne, że przetwarzanie danych powoduje znaczne ryzyko dla praw i wolności osób fizycznych Organ ochrony danych osobowych wskaże operacje przetwarzania danych wymagające PIA Strona 5
Zwiększony zakres obowiązków - nowe standardy W Rozporządzeniu swoje umocowanie znajdą postulowane standardy dot. sposobu implementacji rozwiązań związanych z ochroną danych osobowych Privacy by Design Privacy by Default Ochrona prywatności w fazie projektowania obowiązek ochrony prywatności powinien być brany pod uwagę już na etapie projektowania danego rozwiązania. Prywatność jako ustawienie domyślne ustawienia domyślne danego systemu powinny przewidywać już możliwie najdalej posunięte zabezpieczenia danych osobowych. Strona 6
Nowe obowiązki dla przetwarzających dane na zlecenie Rozdzielenie obowiązków i odpowiedzialności administratorów i przetwarzających dane na zlecenie Nałożenie bezpośrednich obowiązków na podmioty przetwarzające dane na zlecenie Utrzymanie wymogu pisemnej umowy powierzenia Wyraźne dopuszczenie podpowierzenia przetwarzania danych Odpowiedzialność przetwarzających w tym kary finansowe Strona 7
Wzmocnienie praw osób, których dane dotyczą Prawo do informacji Rozporządzenia rozszerza uprawnienia przysługujące osobom, których dane dotyczą Prawo do przenoszenia danych (right to data portability) (information notices) Zwiększone lub nowe prawa osób, których dane dotyczą Prawo do wniesienia sprzeciwu wobec profilowania (right to object to profiling) Prawo do bycia zapomnianym (right to be forgotten) Strona 8
Kary finansowe, odpowiedzialność i współpraca organów ochrony danych osobowych Kary finansowe kwotowo max. do 20 mln EUR lub procentowo do 4% rocznego światowego obrotu, która jest wyższa Prawa osób, których dane dotyczą: do wniesienia skargi do organu ochrony danych osobowych do żądania odszkodowania za szkodę poniesioną na skutek naruszenia Rozporządzenia przez administratora lub przetwarzającego na zlecenie do skutecznych środków ochrony prawnej w stosunku do administratora, przetwarzającego na zlecenie, w przypadku naruszenia ich praw wynikających z Rozporządzenia na skutek przetwarzania ich danych niezgodnie z Rozporządzeniem Współpraca organów ochrony danych osobowych w ramach państw członkowskich celem zapewnienia stosowania Rozporządzenia w jednolity sposób Strona 9
Czy jesteś przygotowany na nadchodzące zmiany? Zadaj sobie następujące pytania. Masz ok. 2 lata na dostosowanie się zacznij od zaraz Zwiększony zakres terytorialny DPO (ABI) Rozliczalność Czy jesteś administratorem czy przetwarzającym na zlecenie w ramach UE czy przetwarzającym dane osobowe obywateli UE? Czy dokonujesz systematycznego monitorowania na dużą skalę lub przetwarzasz dużą ilość danych wrażliwych? Czy masz wdrożony program zgodności przetwarzania danych i możesz wykazać jak spełniasz wymogi Rozporządzenia? Obowiązkowe zgłoszenie naruszenia danych Privacy by design Nowe prawa Czy będziesz w stanie zawiadomić organ ochrony danych osobowych o naruszeniu danych w ciągu 72 godzin? Czy bierzesz pod uwagę wymogi prywatności i ochrony danych na etapie projektowania i rozwoju procesów biznesowych i nowych systemów? Czy wiesz jak spełnisz nowe prawa osób, których dane dotyczą: prawo do bycia zapomnianym, prawo do przenoszenia danych, prawo do wniesienia sprzeciwu wobec profilowania? Strona 10 Strona 10
Dziękuję za uwagę. dr Joanna Tomaszewska, radca prawny, Partner w kancelarii Spaczyński, Szczepaniak i Wspólnicy sp.k. joanna.tomaszewska@ssw.pl Strona 11
Kontakt Biuro warszawskie Biuro poznańskie Rondo ONZ 12. piętro 00-124 Warszawa tel. + 48 22 544 87 00 fax + 48 22 544 87 01 warszawa@ssw.pl ul. Mielżyńskiego 14 Okrąglak, 7. piętro 61-725 Poznań tel. + 48 61 625 16 00 fax + 48 61 625 16 01 poznan@ssw.pl Zastrzeżenie: Niniejsza prezentacja ma na celu podkreślenie pewnych kwestii. Z założenia nie jest kompleksowa i nie jest poradą prawną. Strona 12