Rozporządzenie UE o ochronie danych osobowych

Rozporządzenie UE o ochronie danych osobowych

Biznes od nowa? Zmiany dla przedsiębiorców

Confidential information for the sole benefit and use of PwC’s client.

1

Konferencja prasowa

PwC’s Digital Services 2

Dwadzieścia lat temu Dzisiaj

On the Internet, nobody

knows you’re a dog

2 sons

Sister is a lawyer

Married

Likes: Asian cuisine

Dislikes: cars

Age: 38-39

Lives in New York City

Occupation: textile designer

Wi-fi warrior

ZIP code: 1070

Sister is a lawyer

Politicaly active

Married

Likes: Asian cuisine Household income: $100,000+

Owns a laptop

Likes: retail

Likes: fashion

Mother: Rosalind Burd

Prevoius address: 711 Willox Ave,

NY

Likes: cooking & recipes Works in: Textile productions

Spent $180 on intimate app &

undergarments on Oct. 10, 2016

Likes: business & finance

PwC’s Digital Services

Czym są dane osobowe?

Zgodnie z artykułem 4 pkt. 1 RODO:

„dane osobowe” oznaczają informacje o zidentyfikowanej

lub możliwej do zidentyfikowania osobie fizycznej

Nie tylko imię i nazwisko, ale także informacje, które choćby pośrednio określają osobę,

której dane dotyczą, między innymi:

- płeć,

- wiek,

- używany telefon,

- fryzura,

- zegarek,

- wybierana marka ubrań

3


Agenda

4

1. Czym jest RODO?

2. Nowe obowiązki przedsiębiorców

3. Sankcje i ryzyko związane

z niewykonywaniem wymagań RODO

4. Co należy wiedzieć o wdrożeniu

RODO?

1. Czym jest RODO?


5


RODO ROZPORZĄDZENIE O

OCHRONIE DANYCH

OSOBOWYCH

6

Rozporządzenie Parlamentu Europejskiego i Rady

(UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie

ochrony osób fizycznych w związku z przetwarzaniem

danych osobowych i w sprawie swobodnego

przepływu takich danych oraz uchylenia dyrektywy

95/46/WE (ogólne rozporządzenie o ochronie

danych osobowych)


Droga do rozporządzenia

RODO – podstawowe informacje

7

• Europoseł Jan Philip Albrecht,

sprawozdawca nowego rozporządzenia

o ochronie danych osobowych nazwał

„dane ropą 21 wieku”: najcenniejszym

i najbardziej pożądanym dobrem na

zdigitalizowanym i zglobalizowanym rynku

• Krótko mówiąc: „Nie masz danych, nie

masz ropy”

• Uzgodnienie treści nowych przepisów

prawa ochrony danych osobowych zajęło

państwom członkowskim UE cztery lata

• RODO zastąpi starą i nieaktualną

dyrektywę, przyjętą przez wspólnotę w 1995

roku – dwadzieścia lat temu

• RODO zostało zaprojektowane by

zharmonizować prawo ochrony danych

osobowych w Europie

• Rozporządzenie weszło w życie 24 maja

2016 r. Rozporządzenie jest stosowane

wprost, dlatego jest wiążącym prawem dla

wszystkich przedsiębiorców (i zastąpi

przepisy polskiej ustawy o ochronie danych

osobowych)

• Dostosowanie się do wymagań RODO musi

być zadaniem priorytetowym dla firm.

W przypadku niespełnienia kompleksowych

zaleceń RODO czekają na nie gigantyczne

kary

• Obecnie trwa okres ustanowiony dla

przedsiębiorców na wdrożenie wymagań

rozporządzenia, które w pełni stosowane

będzie od 25 maja 2018 roku

Dlaczego dane są cenne?

RODO nakłada nowe obowiązki

na firmy


Co nowe prawo

oznacza dla

firm?

8

1. Czy rozporządzenie dotyczy mojej firmy?

2. Ile czasu mamy na dostosowanie się do

nowego rozporządzenia?

3. Czy możemy nadal przetwarzać dane

uzyskane wcześniej?

4. Co dalej z organizacją bezpieczeństwa

w firmie?

5. Czy muszę ograniczyć wymianę danych

ze spółkami z grupy kapitałowej?


Jak RODO zmienia podejście do ochrony danych osobowych?

Przed uchwaleniem RODO Po uchwaleniu RODO

Różne przepisy

w każdym kraju członkowskim UE

Jednolite rozporządzenie, obowiązujące w takim

samych brzmieniu

na terenie całej Unii Europejskiej

Podejście od strony jednorazowej (początkowej)

oceny potrzeb ochrony danych osobowych

Podejście od strony każdorazowej analizy ryzyka.

Ochrona danych osobowych jako ciągły proces

Możliwość podjęcia działań korygujących

po wykryciu naruszenia, prowadzących do

oddalenia ryzyka sankcji

Istotne ograniczenie lub brak możliwości działań

korygujących (oddalających ryzyko sankcji)

po wykryciu nieprawidłowości

Ograniczone realne możliwości

egzekwowania zgodności z przepisami

Odstraszające kary, które wesprą egzekwowanie

zgodności z przepisami RODO

9

2. Nowe obowiązki przedsiębiorców


10


RODO – zmiana zasad działania w ochronie danych osobowych

11

Transparentność działań

Dowody na

zapewnienie zgodności

Kary finansowe

Pozwy

Rozbudowane prawo do

informacji, prawo do bycia

zapomnianym

Rejestr operacji przetwarzania

danych, Privacy Impact Assessment

Do 20 mln euro lub 4%

wartości rocznego obrotu

Zgłaszanie incydentów

Współpraca organów

nadzoru

Krótki czas na zgłoszenie,

wysokie kary za brak

zgłoszenia

Brak ograniczenia

terytorialnego kompetencji

organów nadzoru

Zwiększona kontrola

obywatelska


Porównanie obowiązków administratorów danych (1/2)

12

Obowiązek Obecne przepisy Nowe przepisy

Przetwarzania na podstawie prawnej

Zgoda na piśmie w określonych sytuacjach

Wykonania obowiązku informacyjnego

Powierzenia przetwarzania danych umową

Zabezpieczenia danych

Uwzględnienia ochrony danych w fazie projektowania

Prowadzenia dokumentacji operacji przetwarzania danych

(rozbudowany)


Porównanie obowiązków administratorów danych (1/2)

13

Obowiązek Obecne przepisy Nowe przepisy

Oceny skutków w zakresie ochrony danych

Zgłaszania naruszenia ochrony danych

Konsultowania przetwarzania danych z GIODO

Rejestrowania zbiorów danych

Powołania administratora bezpieczeństwa informacji / inspektora ochrony

danych

W wybranych

sektorach

(zwolnienia gdy

podmiot jest zarejes-

trowany w ABI)

w określonych

przypadkach

3. Sankcje i ryzyko związane z niewykonywaniem wymagań RODO


14


Sankcje i ryzyko związane z niewykonywaniem wymagań RODO

15

• Kontrole organów

nadzoru

• Sankcje

administracyjne

• Sankcje karne

• Problemy

z działalnością na

terenie UE

• Zakaz transferu danych

• Ograniczenie

prowadzonych działań

• Kary finansowe

• Utrata przychodów

• Koszty procesowe

• Odszkodowania

• Utrata zaufania

klientów

• Utrata zaufania

pracowników

• Spadek siły marki

i odejście klientów

Ryzyko regulacyjne Ryzyko operacyjne Ryzyko finansowe Ryzyko reputacyjne

4. Co należy wiedzieć o wdrożeniu RODO?


16


RODO to wyzwanie dla firmy

17

Wymagania RODO mają wpływ na wiele obszarów działalności firmy:

Prawny

Obsługa

klienta HR

Marketing

CISO/IT Prywatność

Wpływ

na firmę

• Wyznaczenie inspektora

• Wymagania dla Privacy by Design

• Wymagania dla PIA

• Transfer danych

• Określenie kontrolerów

i procesorów danych

• Uwzględnienie RODO w

standardach umownych

• Informowanie regulatora

• Prawo do dostępu i zmiany

• Prawo do bycia zapomnianym

• Dialog z klientami

• Bezpieczeństwo przez cały cykl życia

informacji

• Przenoszenie danych

• Prawa dostępu, uwierzytelnienie

• Znaczniki i logi zgód

• Obsługa incydentów

• Uwzględnienie zgody lub jej braku

• Ograniczenia dostępu do danych

• Profilowanie

• Szkolenia

• Dostęp do danych

• Prawo do bycia zapomnianym

• Dialog z pracownikami


RODO: od czego zacząć?

18

Podstawą do rozpoczęcia przygotowań do zgodności z RODO jest zrozumienie zakresu przetwarzanych danych oraz sposobu ich wykorzystania, przenoszenia i udostępniania

Zrozumienie po co,

gdzie i jak

przetwarzane

i przekazywane są

dane osobowe

Inwentaryzacja

danych

Identyfikacja ryzyka

na bazie aktualnego

i przyszłego

sposobu

postępowania

z danymi

Ocena ryzyka Ocena stanu

obecnego

Ustalenie luk

w systemie ochrony

danych osobowych

Wdrożenie

i program

naprawczy

Zaplanowanie

i realizacja działań

wdrożeniowych

i naprawczych

Gotowość do

kontroli

Przygotowanie

sposobu podejścia do

kontroli organów

nadzoru

i egzekwowania praw

osób, których dane

dotyczą

Ciągłe

monitorowanie

Budowa

mechanizmów

zapewniania ciągłej

zgodności

1 2 3 4 5 6

19

Tylko 369 dni roboczych na pełne wdrożenie

Zmiana jakościowa przepisów: wyznaczony

cel, a nie dokładna ścieżka postępowania

Podejście od strony analizy ryzyka

Ciągły proces w miejsce jednorazowych

działań

Brak możliwości „przywrócenia terminu”

na wykonanie niektórych obowiązków

Każdy przedsiębiorca zobowiązany

do wdrożenia RODO

Podsumowanie


16/10/27

Dziękujemy za uwagę

Sylwia Pusz

Partner

Tel.: +48 603 33 33 09

[email protected]

Anna Kobylańska

Adwokat

Tel.: +48 519 50 62 26

[email protected]

Łukasz Ślęzak

Menadżer

Tel.: +48 519 50 66 94

[email protected]

mailto:[email protected]



Business

Rozporządzenie UE o ochronie danych osobowych