Prezentacja programu PowerPointpirbinstytut.pl/prezentacje/PRZEMYSL 2018/bsww.pdf · Piotr Ćwiertniewski –radca prawny, wspólnik Marcin Kroll –adwokat, rzecznik patentowy, wspólnik.

22018-02-28 RODO – NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH

RODO

– NOWE UWARUNKOWANIA I OGRANICZENIA

WYKORZYSTYWANIA DANYCH

Piotr Ćwiertniewski – radca prawny, wspólnik

Marcin Kroll – adwokat, rzecznik patentowy, wspólnik

Brak uchwalenia regulacji krajowej

2018-03-01 RODO – NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH 3


Nowe źródła prawa dotyczące ochrony danych osobowych

• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia

2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych

osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia

dyrektywy 95/46/WE (RODO)

• Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 w sprawie ochrony osób

fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do

celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych,

wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie

swobodnego przepływu takich danych oraz uchylającą decyzję ramową Rady

2008/977/WSiSW (Dz. Urz. L nr 119 z 4.05.2016 r., s. 89)

• Projekt Ustawy o ochronie danych osobowych (NUODO) (zakładany termin

uchwalenia – kwiecień 2018 r.; przewiduje się miesięczne vacatio legis)

Jak praktycznie podejść do wdrożenia RODO?



Wdrożenie RODO w organizacji oznacza dostosowanie:

(a) procesów biznesowych;

(b) środowiska informatycznego;

(c) dokumentacji (polityki bezpieczeństwa, instrukcji zarządzania systemem

informatycznym, innych relewantnych procedur, klauzul zgód / formularzy, umów)


Podstawowe kroki wdrożenia RODO

(a) Powołanie zespołu odpowiedzialnego za wdrożenie RODO

(b) Warsztaty dla zespołu odpowiedzialnego za wdrożenie RODO

(c) Inwentaryzacja i mapowanie procesów przetwarzania danych (Data Inventory, Data

Mapping)

(d) Analiza ryzyka w procesach przetwarzania danych

(e) Weryfikacja procesów przetwarzania danych pod kątem wymogów wynikających z RODO

(f) Wdrożenie niezbędnych zmian w oparciu o dotychczasowe rozwiązania funkcjonujące w

organizacji (o ile to możliwe), w tym zakresie środowiska informatycznego oraz

dokumentacji

(g) Szkolenia wewnętrzne

(h) Monitorowanie przestrzegania wymogów wynikających z RODO


Uwzględnianie ochrony danych w fazie projektowania

(privacy by design):

(a) wymogi dotyczące ochrony danych osobowych i prywatności powinny być uwzględniane

już na wstępnych etapach projektowania usług, produktów, systemów lub oprogramowania

(zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania);

(b) ADO jest zobowiązany do wdrażania odpowiednich środków technicznych

i organizacyjnych (pseudonimizacja, minimalizacja danych);

(c) privacy by design ma na celu spełnienie wymogów RODO oraz ochronę praw osób,

których dane dotyczą;

(d) przestrzeganie obowiązku może być wykazane poprzez wprowadzenie zatwierdzonego

mechanizmu certyfikacji.


Wdrożenie środków zapewniających zbieranie tych

danych, które są niezbędne do osiągnięcia

konkretnego celu ich przetwarzania (privacy by

default):

(a) obowiązek ADO wdrożenia takich środków, które zapewnią, aby domyślnie zbierane były

wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia konkretnego celu

przetwarzania;

(b) domyślnie dane osobowe mają nie być udostępniane bez interwencji danej osoby

nieokreślonej liczbie osób fizycznych;

(c) obowiązek odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania,

okresu ich przechowywania oraz ich dostępności;

(d) przestrzeganie obowiązku może być wykazane przez wprowadzenie zatwierdzonego

mechanizmu certyfikacji.


Dokonywanie oceny planowanego przedsięwzięcia

przez pryzmat jego skutków dla ochrony danych

(privacy impact assessment):

(a) PIA obejmuje m.in. planowane środki, zabezpieczenia

i mechanizmy mające minimalizować ryzyko naruszenia danych osobowych, środki mające

zapewniać ochronę danych osobowych oraz wykazać przestrzeganie RODO;

(b) konsultacja ADO z inspektorem ochrony danych w zakresie PIA (jeżeli inspektor został

wyznaczony);

(c) wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania PIA zgodnie z

RODO ma być ustanowiony i podany do publicznej wiadomości przez krajowy organ

nadzorczy (obecnie: GIODO).


Kodeksy postępowania:(a) Kodeksy postępowania mają na celu doprecyzowanie wymogów z uwzględnieniem

specyfiki różnych sektorów, w których dochodzi do przetwarzania danych osobowych.

Mogą być one przyjmowane przez zrzeszenia i inne podmioty reprezentujące

określone kategorie administratorów lub podmioty przetwarzające.

(b) Przyjęty kodeks postępowania wymaga zatwierdzenia przez organ nadzorczy,

następnie jest on rejestrowany i publikowany przez organ nadzorczy;

(c) System monitorowania przestrzegania kodeksów przez podmioty akredytowane

przez Prezesa Urzędu Ochrony Danych Osobowych (PUODO);

(d) Podmiot akredytowany podejmuje odpowiednie działania w przypadku naruszenia

kodeksu, w tym zawiesza lub wyklucza ADO spośród przetwarzających kodeks.


Certyfikacja:(a) Dokonywana na wniosek zainteresowanego podmiotu (dobrowolność);

(b) Brak wnioskowania o certyfikat nie zwalnia z obowiązku przestrzegania przepisów RODO;

(c) Polskie Centrum Akredytacji będzie wydawać akredytacje, które będą uprawniały podmioty

prywatne do dokonywania certyfikacji i wydawania certyfikatów; nie planuje się limitów

liczby podmiotów prywatnych wydających certyfikaty; PUODO pozostanie podmiotem

certyfikującym;

(d) Możliwe będzie certyfikowanie zarówno podmiotów jak i procesów (możliwość uzyskania

certyfikatu np. przez producenta oprogramowania, które będzie wykorzystywane do

przetwarzania danych);

(e) Maksymalna oplata od wniosku w przypadku PUODO wyniesie 3-krotność przeciętnego

miesięcznego wynagrodzenia; podmioty prywatne będą mieć swobodę w ustalaniu opłat;

(f) Certyfikat będzie wydawany na maksymalny okres 3 lat; po przejściu kontroli będzie

możliwość przedłużenia ważności certyfikatu;


Certyfikacja:

(a) posiadanie certyfikatu może być jedynie kryterium promującym, a nie warunkiem

możliwości przystąpienia do przetargu; nie wykluczono, że posiadanie certyfikatu

mogłoby być jednym z kryteriów możliwości przystąpienia do zamówienia;

(b) kryteria certyfikacji będą mieć charakter generalny i branżowy; każdy podmiot

certyfikujący będzie upoważniony samodzielnie do przyjęcia własnych kryteriów

certyfikacji;

(c) PUODO będzie publikował kryteria certyfikacji, które powinny być różne w ramach

poszczególnych branż.

2018-03-01 14

Wyłączenia spod obowiązków RODO

• Zapowiedź wprowadzenia wyłączenia szeregu obowiązków wynikających z RODO

w stosunku do MŚP zatrudniających mniej niż 250 osób, przetwarzających dane

osobowe niezbędne do wykonywania działalności gospodarczej, w szczególności w

celu zawierania umów i prowadzenia rachunkowości:

• art. 13 (obowiązek informacyjny przy zbieraniu danych od osoby, której dane

dotyczą),

• art. 15 ust. 3 i 4 (prawo do uzyskania kopii danych),

• art. 19 (obowiązek powiadomienia o sprostowaniu/usunięciu/ograniczeniu

przetwarzania danych osobowych),

• art. 34 RODO (zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony

danych osobowych).

• Pojęcie zatrudnienia w stosunku do tych 250 osób dotyczy wszystkich osób

wykonujących czynności na rzecz danego przedsiębiorcy, nie tylko na podstawie

umowy o prace, ale też innych podstaw prawnych.

RODO – NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH

2018-03-01 15

Kluczowe rozwiązania ustawodawstwa krajowego

• Zapowiedź wprowadzenia wyłączenia szeregu obowiązków wynikających z RODO

w stosunku do MŚP zatrudniających mniej niż 250 osób, przetwarzających dane

osobowe niezbędne do wykonywania działalności gospodarczej, w szczególności w

celu zawierania umów i prowadzenia rachunkowości:

• przetwarzanie danych osobowych pracowników,

• monitoring,

• profilowanie przez banki i ubezpieczycieli,

• zmiany w przepisach branżowych (np. ustawa o radcach prawnych).

RODO – NOWE UWARUNKOWANIA I OGRANICZENIA WYKORZYSTYWANIA DANYCH


Sankcje za naruszenie zasad ochrony danych

osobowych – wpływ na strukturę organizacyjną


Porównanie stanu obecnego z RODO

Stan obecny

o Sankcje karne (grzywna, kara ograniczenia wolności oraz pozbawienia wolności do lat 3);

W 2016 r. 2610 skarg do GIODO, z czego 36 wniosków trafiło do prokuratury;

o Sankcje administracyjne:

o decyzja GIODO nakazująca przywrócenie stanu zgodnego z prawem;

Średni czas rozpatrywania sprawy przed GIODO – 295 dni, ponowne rozpatrzenie

sprawy – 142 dni.

RODO

o Ograniczenie sankcji karnych (w ramach NUODO zdecydowano się na penalizację jedynie

dwóch czynów, tj. udaremnienie lub utrudnienie kontrolującemu prowadzenie kontroli oraz

przetwarzanie danych osobowych bez właściwej podstawy prawnej).

o Kary pieniężne nakładane decyzją administracyjną.


Informowanie organu nadzorczego o naruszeniach ochrony

danych osobowych

• bez zbędnej zwłoki, w miarę możliwości nie później niż w terminie 72 godzin po

stwierdzeniu naruszenia;

• w przypadku naruszenia ochrony danych osobowych (np. kradzież tożsamości);

• do zgłoszenia dołącza się wyjaśnienie przyczyn opóźnienia;

• na podmiocie przetwarzającym spoczywa obowiązek zgłoszenia naruszenia ADO

bez zbędnej zwłoki;

• Prezes Urzędu Ochrony Danych Osobowych prowadzi system informatyczny

służący do zgłaszania naruszeń.


Informowanie o naruszeniu praw lub wolności osób, których

dane są przetwarzane

• jeżeli naruszenie ochrony danych osobowych może powodować wysokie

ryzyko naruszenia praw lub wolności osób fizycznych, ADO bez

zbędnej zwłoki zawiadamia osobę, której dane dotyczą o takim

naruszeniu;

• zawiadomienie, m. in. wtedy, gdy ADO wdrożył odpowiednie techniczne i

organizacyjne środki ochrony i środki te zostały zastosowane do danych

osobowych, których dotyczy naruszenie (np. szyfrowanie,

uniemożliwiające odczyt osobom nieuprawnionym do dostępu do danych

osobowych).


Dokumentowanie wszelkich naruszeń ochrony danych

osobowych

• obowiązek ADO dokumentowania wszelkich naruszeń ochrony

danych osobowych;

• dotyczy m.in. okoliczności naruszenia ochrony danych osobowych, jego

skutków oraz podjętych działań zaradczych;

• dokumentacja musi pozwolić organowi nadzorczemu na zweryfikowanie

przestrzegania przepisów RODO.


Postępowanie w sprawie naruszenia przepisów o ochronie

danych osobowych

• projekt nowej ustawy o ochronie danych osobowych (UODO) reguluje

postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych;

• postępowanie prowadzone przez PUODO;

• postępowanie jest jednoinstancyjne;

• szerokie kompetencje PUODO w zakresie postępowania dowodowego

(propozycja przeniesienia ciężaru ochrony tajemnicy przedsiębiorcy na samego

przedsiębiorcę, poprzez obowiązek dostarczenia odpowiednio zanimizowanego

dokumentu przez podmiot powołujący się na wskazaną tajemnicę

przedsiębiorstwa);

• możliwość prowadzenia w toku postępowania kontrolnego;


Postępowanie w sprawie naruszenia przepisów o ochronie

danych osobowych

• możliwość wydania postanowienia zabezpieczającego;

• rozstrzygnięcie nadzorcze w formie decyzji (możliwe upomnienie);

• decyzja podlega natychmiastowemu wykonaniu (ale: wniesienie skargi

do sądu administracyjnego wstrzymuje wykonanie decyzji w zakresie

kary pieniężnej);

• postanowienia wydawane w toku postępowania są skarżone w ramach

skargi.


Postępowanie kontrolne na gruncie UODO

• kontrole planowe oraz na „donos”;

• prowadzone przez upoważnionego pracownika urzędu;

• możliwość przeprowadzenia postepowania kontrolnego bez

wcześniejszego zawiadomienia o zamiarze jego wszczęcia;

• szerokie kompetencje kontrolujących;

• maksymalny czas kontroli wynosi 1 miesiąc;

• przebieg kontroli utrwalony zostaje w protokole – możliwość wniesienia

zastrzeżeń na piśmie w terminie 7 dni.


Sankcje administracyjnoprawne – wysokość kar pieniężnych

• kara pieniężna w wysokości do 10 000 000 EUR, a w przypadku

przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego

światowego obrotu z poprzedniego roku obrotowego (art. 83 ust. 4

RODO);

• kara pieniężna w wysokości do 20 000 000 EUR, a w przypadku

przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego

światowego obrotu z poprzedniego roku obrotowego (art. 83 ust. 5 i

6 RODO).


Podstawa nałożenia kary pieniężnej, o której mowa w art. 83

ust. 4 RODO

• naruszenie obowiązków administratora i podmiotu

przetwarzającego, takich jak:

i. naruszenie zasad przetwarzania danych osobowych dzieci;

ii. naruszenie zasad dotyczących przetwarzania niewymagającego

identyfikacji;

iii. naruszenie obowiązków, o których mowa w art. 25 – 39 RODO;

iv. naruszenie zasad certyfikacji;

• naruszenie obowiązków podmiotu certyfikującego;

• naruszenie obowiązków podmiotu monitorującego.



ust. 5 RODO

• naruszenie podstawowych zasad przetwarzania, w tym warunków zgody;

• naruszenie praw osób, których dane dotyczą, takich jak prawo do informacji,

dostępu do danych, ich sprostowania, usuwania i przenoszenia oraz prawo do

sprzeciwu i uprawnienia związane z profilowaniem;

• przekazywanie danych osobowych odbiorcy w państwie trzecim lub

organizacji międzynarodowej w sposób niezgodny z wymogami RODO;

• naruszenie obowiązków wynikających z prawa państwa członkowskiego;

• nieprzestrzeganie nakazu, tymczasowego lub ostatecznego ograniczenia

przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ

nadzorczy.



ust. 6 RODO

• nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy na podstawie

art. 58 ust. 2 RODO(uprawnienia naprawcze organu nadzorczego) m.in.:

i. nakazanie dostosowania operacji przetwarzania do przepisów RODO;

ii. nakazanie ADO zawiadomienia osoby, której dane dotyczą, o naruszeniu

ochrony danych;

iii. wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym

zakazu przetwarzania;

iv. nakazanie sprostowania lub usunięcia danych osobowych lub ograniczenia

ich przetwarzania oraz nakazanie powiadomienia o tych czynnościach

odbiorców, którym dane osobowe ujawniono;

v. nakazanie zawieszenia przepływu danych do odbiorcy w państwie trzecim lub

do organizacji międzynarodowej.


Kary pieniężne na gruncie UODO

• płatne w terminie 14 dni od daty upływu terminu na wniesienie skargi lub

uprawomocnienia się orzeczenia sądu;

• kara podlega ściągnięciu w trybie przepisów o egzekucji administracyjnej;

• możliwość odroczenia uiszczenia kary pieniężnej albo rozłożenia jej na raty na

wniosek ze względu na ważny interes wnioskodawcy;

• w przypadku uwzględnienia wniosku konieczność uiszczenia odsetek w stosunku

rocznym w wysokości 50% odsetek za zwłokę na gruncie ordynacji podatkowej

(4%);

• rozstrzygnięcie w formie postanowienia, od którego nie przysługuje skarga.


Sankcje cywilnoprawne – prawo do odszkodowania

• niezależną podstawą dochodzenia roszczeń będzie art. 78 UODO;

• możliwość żądania zaniechania działań oraz usunięcia naruszeń;

• prawo do dochodzenia odszkodowania od ADO lub podmiotu przetwarzającego

dane przysługujące każdej osobie, która poniosła szkodę majątkową lub

niemajątkową w wyniku naruszenia RODO;

• zwolnienie ADO lub podmiotu przetwarzającego z odpowiedzialności, jeżeli

udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które

doprowadziło do powstania szkody;

• odpowiedzialność solidarna w przypadku szkód spowodowanych

przetwarzaniem danych przez kilka podmiotów.


Sankcje cywilnoprawne

• postępowanie prowadzone jest przed sądem okręgowym;

• sąd zawiadamia PUODO o wniesieniu pozwu, natomiast PUODO o

ewentualnym toczącym się postępowaniu przed tym organem;

• sąd zawiadamia PUODO o każdym wyroku uwzględniającym

powództwo.


Zmiany w polisach D&O

• istota polisy D&O a odpowiedzialność za naruszenia RODO;

• zakres podmiotowy polis D&O;

• negocjowanie zakresu ubezpieczenia.

Jeżeli bylibyście Państwo zainteresowani uzyskaniem dodatkowych informacji

odnośnie omówionych tematów, zapraszamy do kontaktu.

Piotr Ćwiertniewski | radca prawny, wspólnik

e-mail: [email protected]

Marcin Kroll | adwokat, rzecznik patentowy, wspólnik

e-mail: [email protected]

act legal offices Warsaw | Bratislava | Brussels | Frankfurt | Paris | Prague | Vienna

www.actlegal.com

Bieniak Smołuch Wielhorski Wojnar

i Wspólnicy Sp. K. ul. Ks. I.J. Skorupki 5, 00-546 Warszawa tel. +48 22 420 59 59 fax. +48 22 420 59 60

www.actlegal-bsww.com act BSWW @ LinkedIn

mailto:[email protected]







DZIĘKUJEMY ZA UWAGĘ!

Prezentacja programu PowerPointpirbinstytut.pl/prezentacje/PRZEMYSL 2018/bsww.pdf · Piotr Ćwiertniewski –radca prawny, wspólnik Marcin Kroll –adwokat, rzecznik patentowy, wspólnik.

Documents