RODO – co czeka przedsiębiorców? Paweł Makowski Radca GIODO

REFORMA PRAWA UE Nowe wyzwania: IoT RFID Big Data

REFORMA PRAWA UE Istota oraz cele unijnej reformy prawa ochrony danych osobowych: Lepsza ochrona danych osobowych w dobie postępu technologicznego i globalizacji Harmonizacja przepisów – spójny stopień ochrony danych w UE, pewność prawa dla przedsiębiorców (jeden zestaw przepisów dla całej UE) Istotą unijnej reformy ochrony danych wdrożonej ogólnym rozporządzeniem jest zunifikowanie materialnych zasad ochrony danych osobowych zapewniając tym samym obowiązywanie tych samych standardów i mechanizmów ich zabezpieczenia we wszystkich państwach członkowskich UE. Celem unijnej reformy ochrony danych wdrożonej ogólnym rozporządzeniem jest: przeciwdziałanie rozdrobieniu realizowania zasad ochrony danych; zapewnienie poczucia pewności prawnej; przeciwdziałanie przekonaniu, że z działalnością prowadzoną w Internecie rodzą się poważne ryzyka; dostosowanie zasad ochrony danych do stałego rozwoju nowych technologii; pełniejsze realizowanie praw osób których dane dotyczą przy jednoczesnym zapewnieniu rozwoju działalności gospodarczej. RODO ma godzić interesy: - sektora prywatnego z interesami sektora publicznego; - osób których dane dotyczą z interesami przedsiębiorców prowadzących działalność w oparciu o przetwarzanie danych.

REFORMA PRAWA UE ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/680 . Zgodnie z art. 99 ogólnego rozporządzenia o ochronie danych, rozporządzenie będzie stosowane od dnia 25 maja 2018 r. Plus wszelkie dywagacje nt. charakteru rozporządzenia i konsekwencji jego bezpośredniego obowiązywania i skutku.

REFORMA PRAWA UE Nowe podejście do ochrony danych osobowych Dostosowanie zasad ochrony danych do aktualnego stanu wiedzy Podejście oparte na ryzyku Rozliczalność – wykazanie przestrzegania przepisów o ochronie danych Rozporządzenie to akt prawny który ma obowiązywać przez kilkadziesiąt lat. Jakie instrumenty zastosowano, by jego postanowienia były zawsze aktualne? Dostosowanie zasad ochrony do aktualnego stanu wiedzy – motyw 18, 81, 83, art. 25, 32, 97) – nie ma rozporządzenia technicznego Administrator danych osobowych zobowiązany jest zawsze działać w zgodzie z aktualnym stanem wiedzy technicznej: realizując obowiązek uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochronie danych; zapewniając techniczne i organizacyjne bezpieczeństwo ochrony danych osobowych; powierzając przetwarzanie danych osobowych innemu podmiotowi. ------------------- Najważniejsze kwestie: Rozliczalność wymaga aktywnego wdrażania przez administratorów działań na rzecz promowania i zagwarantowania ochrony danych podczas prowadzonych czynności przetwarzania Administratorzy są odpowiedzialni za zgodność czynności przetwarzania z prawem o ochronie danych Administratorzy powinni w każdej chwili być w stanie wykazać wobec osób i organu nadzorczego, których dane dotyczą, ogółu społeczeństwa oraz organów nadzorczych, że przestrzegają przepisów w zakresie ochrony danych.

REFORMA PRAWA UE Nowe rozwiązania dla zwiększonego bezpieczeństwa danych Ocena skutków ochrony danych Uwzględnienie ochrony danych w fazie projektowania i domyślna ochrona danych Kiedy administrator danych przed rozpoczęciem przetwarzania zobowiązany jest dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych? Odpowiedź: Gdy dany rodzaj przetwarzania ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Problemy interpretacyjne (pojęcia niedookreślone): - WYTYCZNE WP29 „charakter przetwarzania”, „duże prawdopodobieństwo”, „wysokie ryzyko”. RODO zawiera katalog operacji przetwarzania, które uznano za związane ze szczególnym ryzykiem, a mianowicie: profilowanie, przetwarzanie danych wrażliwych, przetwarzanie danych osobowych na potrzeby ochrony zdrowia, monitorowanie publicznie dostępnych miejsc, przetwarzanie danych osobowych w wielkoskalowych zbiorach danych dotyczących dzieci, danych genetycznych lub biometrycznych. Szczegółowe wytyczne dotyczące oceny skutków: Art. 35-36 RODO; Wytyczne Privacy and Data Protection Impact Assessment Framework for RFID Applications opublikowanymi w styczniu 2011 r. SMART METERING – ZALECENIE Komisji WP29 ---------------------- Uwzględnienie danych w fazie projektowania – uwzględnienie danych podczas procesu tworzenia nowego rozwiązania technologicznego. Domyślna ochrona danych osobowych – nadanie warstwie technicznej rozwiązania technologicznego treści zapewniających największą ochronę danych osobowych bez konieczności jakiejkolwiek aktywności osób których dane dotyczą (domyślnie).

REFORMA PRAWA UE Nowe rozwiązania wobec naruszeń danych Zgłaszanie naruszeń danych Odpowiedzialność finansowa W przypadku naruszenia ochrony danych, administrator, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je GIODO, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Dysonans: Naruszenie ochrony danych osobowych które nie skutkuje ryzykiem naruszenia praw i wolności osób fizycznych nie wymaga notyfikacji. Jakie to naruszenie? Np. naruszenie zasad bezpieczeństwa danych które nie doprowadziło jednak finalnie do jakiegokolwiek wycieku danych osobowych. Polskie doświadczenia ze stosowania art. 174a Pr telekomunikacyjnego ---------------- Naruszenie zasad ochrony danych osobowych zagrożone jest administracyjną karą finansową nałożoną przez GIODO. Wysokość kary nie może być jednak wyższa niż 10 mln EURO lub 20 mln EURO (do 2 - 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego) – w zależności od rangi naruszenia. Nakładania i egzekwowanie administracyjnych kar finansowych zgodnie z zasadą autonomii proceduralnej państw członkowskich podlega procedurze polskiej.

REFORMA PRAWA UE Nowe rozwiązania dla lepszej zgodności przetwarzania danych z przepisami rozporządzenia Kodeksy postępowania i certyfikacja Kodeksy mają pomóc we właściwym stosowaniu przepisów rozporządzenia - doprecyzować zastosowanie niniejszego rozporządzenia. Przykłady, rola GIODO w opiniowaniu i zatwierdzaniu kodeksów. Certyfikacja jako element stwierdzenia przestrzegania przed ADO obowiązków z rozporządzenia - zwiększenie przejrzystości i poprawa przestrzegania przepisów. Co możemy certyfikować? Certyfikacja pozostaje bez uszczerbku dla kompetencji GIODO. Akredytacja podmiotów certyfikujących.

REFORMA PRAWA UE Doprecyzowanie treści rozporządzenia Nowa ustawa o ochronie danych osobowych Nowelizacja przepisów sektorowych Świadomie nie chcieliśmy poruszać tematu kompetencji organu aby uniknąć pytań np. sposób rozpatrywania spraw czy formę prawną wydawania różnych zaleceń, etc. Warto jednak opowiedzieć w skrócie co się teraz dzieje, nad czym pracujemy i kiedy możemy spodziewać się efektów.

REFORMA PRAWA UE

REFORMA PRAWA UE Kompetencje organu nadzorczego: Mechanizm spójności Administracyjne kary pieniężne Kwestie proceduralne Wytyczne, zalecenie, opinie, dobre praktyki

ZASADY PRZETWARZANIA DANYCH Zasady przetwarzania danych – niezmienne wartości Obowiązek respektowania zasad dotyczących przetwarzania danych osobowych (art. 26 uodo oraz art. 5 RODO)

ZASADY PRZETWARZANIA DANYCH UODO RODO legalizm celowość merytoryczna poprawność adekwatność ograniczenie czasowe zgodność z prawem, rzetelność i przejrzystość ograniczenie celu minimalizacja danych prawidłowość ograniczenie przechowywania integralność i poufność rozliczalność Obowiązek respektowania zasad dotyczących przetwarzania danych osobowych (art. 26 uodo oraz art. 5 RODO) + dane przetwarzane rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą + należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane + dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą + dane przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”) Art. 5 ust. 1 lit. f RODO Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”) Art. 5 ust. 2 RODO

PODSTAWY PRAWNE PRZETWARZANIA DANYCH Zgoda – pisemna vs wyraźna Przepis prawa Ochrona żywotnych interesów Zadania statutowe Dochodzenie praw przed sądem Zatrudnienie pracowników Ochrona zdrowia Dane zostały podane do wiadomości publicznej Badania naukowe Realizacja praw i obowiązków wynikających z orzeczenia Art. 9 ust. 2 RODO Obowiązek posiadania podstawy prawnej do przetwarzania danych osobowych - przesłanki legalizujące przetwarzanie danych (art. 23 i 27 uodo oraz art. 6-11 RODO) Warunki wyrażenia zgody Zgoda pisemna a zgoda wyraźna Realizacja obowiązku prawnego - co z realizacją uprawnienia wynikającego z przepisów prawa? 

PRAWA OSÓB Prawa osób, których dane dotyczą w RODO: rozbudowane obowiązki administratora ułatwienia i więcej praw dla podmiotów danych

OBOWIĄZEK INFORMACYJNY Obowiązek informacyjny – chcesz moje dane, powiedz mi po co? Kto będzie przetwarzał moje dane? W jakim celu? Jakie są moje prawa? Czy mam obowiązek podania danych, a jeśli tak, to z czego on wynika? Dane kontaktowe inspektora ochrony danych Zamiar przekazania danych osobowych do państwa trzeciego Okres przechowywania danych Profilowanie Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą Art. 13 RODO Obowiązek informacyjny – co ważne, w RODO duży nacisk kładzie się na informacje dotyczące okresu retencji danych. Obowiązek informacyjny – informacje niezbędne do zapewnieneia rzetelności i przejrzystości przetwarzania 1.   Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje: a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela; c) cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania; b) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych; f) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych. e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją; d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią; 2.   Poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania: a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu; c) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem; b) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych; f) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą. e) informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych; d) informacje o prawie wniesienia skargi do organu nadzorczego; 3.   Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2. 4.   Ust. 1, 2 i 3 nie mają zastosowania, gdy – i w zakresie, w jakim – osoba, której dane dotyczą, dysponuje już tymi informacjami. Art. 14 RODO Informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą 1.   Jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą, administrator podaje osobie, której dane dotyczą, następujące informacje: d) kategorie odnośnych danych osobowych; c) cele przetwarzania, do których mają posłużyć dane osobowe, oraz podstawę prawną przetwarzania; f) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych. 2.   Poza informacjami, o których mowa w ust. 1, administrator podaje osobie, której dane dotyczą, następujące informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania wobec osoby, której dane dotyczą: d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem; c) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych; b) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią; f) źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych; e) informacje o prawie wniesienia skargi do organu nadzorczego; 3.   Informacje, o których mowa w ust. 1 i 2, administrator podaje: g) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą. a) w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych; c) jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu. b) jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub 4.   Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym te dane zostały pozyskane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2.

ABI -> IOD Inspektor ochrony danych centralnym ogniwem systemu ochrony danych osobowych Podobieństwa do polskiej ustawy W polskiej ustawie to uprawnienie nie obowiązek

Podobieństwa do polskiej ustawy W polskiej ustawie to uprawnienie nie obowiązek

Podobieństwa do polskiej ustawy W polskiej ustawie to uprawnienie nie obowiązek

Dziękuję za uwagę!