FKSU]HSLVµZ - bpcc.org.plbpcc.org.pl/uploads/ckeditor/attachments/11372/Deloitte_Przewodnik... · 21 02 1 Wstęp 7 1.1 Czym jest GDPR lub RODO? 7 1.2 Od kiedy GDPR zacznie obowiązywać?

Praktyczny Przewodnik po Ogólnym Rozporządzeniu o Ochronie Danych Osobowych (RODO) Jak dostosować funkcjonujący w firmie model bezpieczeństwa i ochrony danych osobowych do wymogów nowych przepisów? Luty 2017

Ochrona danych osobowych | 2017

02

1 Wstęp 7 1.1 CzymjestGDPRlubRODO? 7 1.2 OdkiedyGDPRzacznieobowiązywać? 7 1.3 NoweRozporządzenie–koniecustawyoochroniedanych osobowych? 7 1.4 Dlaczegorozporządzenieaniedyrektywa? 72 Kalendarium 83 Obowiązywanieinadzór 9 3.1 WjakimzakresieikiedyGDPRznajdziezastosowanie? 9 3.2 Jakiepodmiotyzobowiązanebędąstosowaćunijne zasadochronydanychosobowych?TylkozUnii, czyteżspozaUnii? 9 3.2.1 Podmiotyunijne 9 3.2.2 PodmiotyspozaUE 9 3.2.3 ObowiązkipodmiotówspozaUE 9 3.2.4 Placówkidyplomatyczne 10 3.3 CozmieniGDPRwsposobiefunkcjonowania 10 Grupyart.29? 3.4 CzymjestwprowadzonaprzezGDPRzasada 10 one-stopshop?4 Zasadyprzetwarzaniadanychosobowych–coprzewidujeGDPR? 11 4.1 WjakimceluwGDPRwprowadzonokatalogzasad 11 przetwarzaniadanychosobowych? 4.2 Zasadazgodnościzprawem 11 4.2.1 Katalogwarunków 11 4.2.2 Nowezasadydotyczącezgódnaprzetwarzanie danychosobowych 12 4.3 Zasadarzetelnościiprawidłowości 13 4.4 Zasadaograniczeniacelu 13 4.5 Zasadaminimalizacjidanych 14 4.6 Zasadyintegralnościipoufności 14 4.7 Zasadarozliczalności 15 4.8 Zasadaprzejrzystości 155 Ochronaosóbfizycznych 16

Spistreści


03

5.1 Uwagiogólne 16 5.2 Uprawnieniaosóbfizycznych 166 Istotnepojęcia 18 6.1 Czymsąanonimizacjaipseudonimizacja 18 danychosobowych? 6.2 Czymjestprofilowanie? 18 6.3 Privacybydesignorazprivacybydefault 19 6.3.1 Uwagiogólne 19 6.3.2 Obecnystanprawny 19 6.3.3 Koncepcjeprivacybydesigniprivacybydefault 20 6.4 Privacyimpactassessment 207 Transferdanychosobowychdopaństwtrzecich 21 7.1 Kiedytransferdopaństwtrzecichbędziemożliwy? 21 7.2 Adekwatnośćjurysdykcji 21 7.3 PrivacyShield 21 7.3.1 CzymjestPrivacyShield? 19 7.3.2 Głównezałożenia 20 7.3.3 PrivacyShield–podstawoweobowiązki 22 administratorówipodmiotówprzetwarzających 7.4 Środkirekompensującebrakochronywpaństwietrzecim 22 7.4.1 Listaśrodkówrekompensujących 22 7.4.2 Odstępstwaodzakazutransferudanych 228 Wewnętrznyprogramcompliance 23 8.1 ProgramcompliancepodGDPR–czylico? 23 8.2 Inspektorochronydanych 23 8.3 Prowadzeniewewnętrznegorejestruprzetwarzaniadanych 239 Ochronaprywatnościjakoistotnyelementbudowania 24 wizerunkufirmy–ewolucjapodejściadoochronydanych10 Uprawnieniaorganównadzorczych,skargiisankcje 25 10.1 Uwagiogólne 25 10.2 Uprawnieniaorganów 25 10.3 Sankcje 25 10.4 Skargiosób,którychdotycządane 25

04



05

SłowowstępuOddajemywPaństwaręcePrzewodnikponajważniejszych

postanowieniachRozporządzeniaParlamentuEuropejskiego

iRady(UE)2016/679zdnia27kwietnia2016r.wsprawie

ochronyosóbfizycznychwzwiązkuzprzetwarzaniem

danychosobowychiwsprawieswobodnegoprzepływu

takichdanychorazuchyleniadyrektywy95/46/WE.

Rozporządzenietojestkompleksowąregulacją,która

zrewolucjonizujezakresobowiązkówpodmiotów

przetwarzającychdaneosoboweistworzynową

panoramędlaochronydanychosobowych.

Celem,jakiprzyświecałnampodczastworzeniatego

Przewodnika,byłowskazanieodstronyprawnejoraz

bezpieczeństwadanych–zmian,którebędąmiały

praktyczneznaczeniedlaprowadzonejprzezPaństwa

działalności.

06



07

1Wstęp1.1 Czym jest GDPR lub RODO?„GDPR”,zwanetakże„RODO”lub„OgólnymRozporządzeniemoOchronieDanych”toRozporządzenieParlamentuEuropejskiegoiRady(UE)2016/679zdnia27kwietnia2016r.wsprawieochronyosóbfizycznychwzwiązkuzprzetwarzaniemdanychosobowychiwsprawieswobodnegoprzepływutakichdanychorazuchyleniadyrektywy95/46/WE1.

1.2 Od kiedy GDPR zacznie obowiązywać?Rozporządzenieweszłowżycie17maja2016r.Zacznieonoobowiązywaćbezpośredniowkrajowychporządkachprawnychod25maja2018r.Rozporządzeniewiązaćbędziewszystkich,którzyprzetwarzajądaneosobowe wzwiązkuzprowadzonądziałalnościągospodarczą.

1 Dyrektywa95/46/WEParlamentuEuropejskiegoiRadyzdnia24października1995r.wsprawieochronyosóbfizycznychwzakresieprzetwarzaniadanych osobowychiswobodnegoprzepływutychdanych(„Dyrektywa”).

2 ZgodniezinformacjąMinisterstwaCyfryzacji,założeniazmiandoODUmajązostaćopublikowanedokońca2017roku;samaustawabędziecodozasady regulowaćprzedewszystkimkwestieuprawnieńiobowiązkówGIODO.

1.3NoweRozporządzenie–koniecustawy o ochronie danych osobowych?Nieoznaczatojednak,iżobowiązującaobecnieustawaoochroniedanychosobowychzdnia29sierpnia1997r.(tj.Dz.U.z2015r.poz.2135,zezm.;„ODU”lub„Ustawa”)zostaniewcałościzastąpionaprzepisamiRozporządzenia2.WprawdziewielespośródprzepisówUstawyulegniezmianielubwogóleprzestanieobowiązywać,jednakże–wniektórych kwestiachODUstanowićbędzieuzupełnienielubdoprecyzowaniezapisówRozporządzenia.Wpraktyce-przedsiębiorcybędąsprawdzali,czyprzetwarzajądaneosobowezgodniezprawem,odwołującsięwprostdoprzepisówRozporządzenia,czyliaktuprawaUniiEuropejskiej,atakżezapewne–wograniczonymzakresie-doprzepisówznowelizowanejUstawy.

1.4Dlaczegorozporządzenieaniedyrektywa, jak poprzednio?UregulowaniekwestiiochronydanychosobowychwRozporządzeniu,aniejaktobyłodotejporywdyrektywie(któracodozasadywymagaimplementacjidokrajowegoporządkuprawnegonp.wpostaciustawyoochroniedanychosobowych)manaceluujednolicenieprzepisównaobszarzecałejUniiEuropejskiej,atymsamym-ułatwienieprowadzeniatransgranicznejdziałalnościgospodarczej.Przedsiębiorcywmniejszymstopniubędąspotykaćsiębowiem zrozbieżnościamiwprawieochronydanychosobowychpomiędzyposzczególnymipaństwamiUEidziękitemunp.zwiększąpewnościąbędąmoglistosowaćjednolityformularzzgodynaprzetwarzaniedanychosobowychwewszystkichpaństwachUE,wktórychprowadząswojądziałalność.

Komentarz eksperta

DlaczegowartozainteresowaćsiętreściąRozporządzeniajużteraz? Proces dostosowania działalności do wymogów GDPR jest procesem długotrwałym. Aby dobrze się do niego przygotować przedsiębiorca powinien podjąć następujące kroki: a) zorganizować szkolenie dla pracowników, na działalność których przepisy Rozporządzenia będą miały wpływ (a więc przede wszystkim – pracowników działów compliance, marketingu, sprzedaży oraz HR); b) przygotować mapę wdrożenia GDPR; a następnie c) implementować poszczególne rozwiązania o naturze organizacyjnej i technicznej do swojej struktury. Abyzdążyćprzed25maja2018r.przygotowaniadowdrożeniaGDPRnależałobyrozpocząćjużteraz. AgataJankowska-Galińska, radca prawny, Managing Associate, odpowiedzialna za tematy regulacyjne w zespole Bankowości i Finansów Kancelarii Deloitte Legal


08

2Kalendarium

24 października 1995 r.uchwalenie Dyrektywy 95/46/WE

13 grudnia 1995 r.wejście w życie Dyrektywy 95/46/WE

29 sierpnia 1997 r.uchwalenie ODU

29 kwietnia 1998 r. wejście w życie ODU

24 października 1998 r. termin implementacji Dyrektywy 95/46/WE

27 kwietnia 2016 r. uchwalenie GDPR

17 maja 2016 r.wejście w życie GDPR

25 maja 2018 r.rozpoczęcie obowiązywaniea GDPR bezpośrednio w krajowych porządkach prawnych


09

3.1 W jakim zakresie i kiedy GDPR znajdzie zastosowanie?Rozporządzeniemazastosowaniedoprzetwarzaniadanychosobowychwsposóbcałkowicielubczęściowozautomatyzowanyorazdoprzetwarzaniawsposóbinnyniżzautomatyzowanydanychosobowychstanowiącychczęśćzbiorudanychlubmającychstanowićczęśćzbiorudanych.PodtymwzględemRozporządzenienieróżnisięodprzepisówDyrektywy.

3.2Jakiepodmiotyzobowiązanebędąstosowaćunijnezasadochronydanychosobowych?TylkozUnii,czyteżspozaUnii? RozporządzenieujednolicazasadyochronydanychosobowychwUniiEuropejskiej.UnifikacjamawzałożeniuwpłynąćtakżenasposóbstosowaniaprawaprzezorganyochronydanychosobowychdziękiprzewidzianemuwtreściRozporządzenia-mechanizmowispójności(uregulowanemuwart.63inast.Rozporządzenia)3.

3 Zgodniezart.63–naorganynadzorczenałożonyzostałobowiązekwspółpracyzesobą,awstosownymprzypadkutakżezKomisjąEuropejską, przezstosowaniemechanizmuspójnościwskazanegowsekcji2(Spójność)RozdziałuVII(WspółpracaiSpójność)Rozporządzenia.

3.2.1 Podmioty unijneAdministratorzyorazpodmiotyprzetwarzającedane,prowadzącydziałalnośćnaterenieUniiEuropejskiej,objęciobecniezakresemDyrektywy (iimplementującejjąODU)będąpodlegać,takjakdotychczas,unijnymregulacjomdotyczącymochronydanychosobowych. 3.2.2 Podmioty spoza UEObowiązekstosowaniaprzepisówRozporządzenianałożonynatomiastzostanienaokreślonekategoriepodmiotówspozaUniiEuropejskiej,któredotychczas,codozasady,niepodlegałyprzepisomDyrektywy.Matonaceluzapewnieniekonkurencyjnościpodmiotów unijnychwstosunkudopodmiotówspozaUE.ZgodniezRozporządzeniempodmiotyspozaUEbędąmiałyobowiązekzapewnieniazgodnościzRozporządzeniemwzakresieprzetwarzaniadanychosobowychosóbprzebywającychnaterenieUEwtedy,gdyczynnośćprzetwarzaniawiążesięz:

• oferowaniemtowarówlubusługtakimosobomwUE,niezależnie,czywymagasięodtychosóbzapłaty;lub

• monitorowaniemichzachowania, oiledotegozachowaniadochodziwUE.

3.2.3ObowiązkipodmiotówspozaUEPrzetwarzającydanezpaństwtrzecich,objęcizakresemRozporządzenia,będązobowiązani:(i)działaćzgodniezprzepisamiRozporządzeniaoraz(ii)wyznaczyćswojegoprzedstawicielanaterytoriumUniiEuropejskiej.Przedstawicielemmożezostaćosobafizycznalubprawna,mającamiejscezamieszkanialubsiedzibęwUnii.Przedstawicielmusimiećsiedzibęw państwieczłonkowskim,w którymprzebywająosoby,którychdaneosobowesąprzetwarzanew związkuz oferowaniemimtowarówlubusługlubktórychzachowaniejestmonitorowane.

Namocyupoważnieniaudzielonegoprzedstawicielowiprzezadministratoralubpodmiotprzetwarzającyorganynadzorczeiosoby,którychdanedotyczą,będąmogłybezpośredniozwracaćsiędoprzedstawicielawewszystkichsprawachzwiązanychzprzetwarzaniemdanych.

3Obowiązywanieinadzór

Komentarz eksperta

Kiedymamydoczynieniazoferowaniemtowarówlubusług? Aby uznać, że administrator planuje oferować towary lub usługi osobom, których dane są przetwarzane może nie wystarczyć dostępność na terytorium UE strony internetowej administratora lub podmiotu przetwarzającego, posiadanie adresu poczty elektronicznej czy posługiwanie się na stronie językiem powszechnie stosowanym w państwie trzecim. Z drugiej strony, posługiwanie się językiem lub walutą powszechnie stosowanymi w co najmniej jednym państwie członkowskim oraz możliwość zamówienia towarów i usług w tym języku lub wzmianka o klientach lub użytkownikach znajdujących się w Unii mogą świadczyć o zamiarze oferowania towarów lub usług na terytorium Unii. Katarzyna Sawicka, Associate, doktorantka PAN, specjalistka od tematów regulacyjnych w zespole Bankowości i Finansów Kancelarii Deloitte Legal.


10

Wyznaczenieprzedstawicielaprzezadministratoralubpodmiotprzetwarzającymusibyćdokonanenapiśmieorazpozostajebezuszczerbkudlapostępowań(np.sądowych,administracyjnych),któremogązostaćwszczęteprzeciwkosamemuadministratorowilubpodmiotowiprzetwarzającemu.

3.2.4PlacówkidyplomatyczneRozporządzeniemazastosowaniedoprzetwarzaniadanychosobowychprzezadministratoraniemającegojednostkiorganizacyjnejwUnii,aleposiadającegojednostkęorganizacyjnąwmiejscu, wktórymnamocyprawamiędzynarodowegopublicznegomazastosowanieprawopaństwaczłonkowskiego.

3.3 Co zmieni GDPR w sposobie funkcjonowania Grupy art.29?RozporządzeniezastępujeGrupęRobocząds.OchronyOsóbFizycznychwzakresiePrzetwarzaniaDanychOsobowychutworzonąnamocyart.29Dyrektywynowympodmiotem–tojestEuropejskąRadąOchronyDanych(„EROD”),któraprzejmiedotychczasoweobowiązkiGrupyRoboczejart.29wzakresiedoradczymorazwzakresiezapewnianiawspółpracypomiędzyorganaminadzoru.ERODbędzieposiadającymosobowośćprawnąorganemUnii,działającymwsposóbniezależny,powołanymwceluzapewnieniaspójnegostosowaniaprzepisówRozporządzenia.ZadaniaERODwskazanezostały wart.70GDPR.Należećbędądonich wszczególności:(i)monitorowanie izapewnieniewłaściwegostosowania

Rozporządzenia,(ii)doradzanieKomisjiEuropejskiejwsprawachzwiązanych zochronądanychosobowychoraz wsprawachformatuiprocedurwymianyinformacjimiędzyadministratorami,(iii)wydawaniewytycznych,zaleceńorazokreślanienajlepszychpraktykzachęcającychdospójnegostosowaniaRozporządzenia,(iv)akredytowaniepodmiotówcertyfikującychoraz (v)dokonywanieokresowegoprzegląducertyfikacji,wydawanieopinii.

3.4 Czym jest wprowadzona przez GDPR zasada one-stop shop?Obecnieorganynadzorczemająuprawnieniajedyniewstosunkudopodmiotówprzetwarzającychdaneosobowewichpaństwieczłonkowskimlubwinnysposóbpodlegającymichjurysdykcji.ZgodniezRozporządzeniem,jeżeliprzedsiębiorcaprzetwarzadaneosobowewwięcejniżjednympaństwieczłonkowskim,organnadzorugłównejsiedzibyprzedsiębiorcybędziewłaściwytakżewzględemtransgranicznegoprzetwarzaniadanychiwszystkichobowiązkówdlategopodmiotuzzakresuspójnościzRozporządzeniem. Organynadzoruzkażdegozpaństwczłonkowskichpozostanąjednakwłaściwewstosunkudoskargskładanychprzezosobyfizyczne,wodniesieniudodziałalnościadministratorawtympaństwieczłonkowskim.

Komentarz eksperta

Kiedydanączynnośćmożemyuznaćzamonitorowaniezachowania podmiotu danych? Aby stwierdzić, czy czynność przetwarzania można uznać za „monitorowanie zachowania” osób fizycznych, należy ustalić, czy osoby fizyczne są obserwowane w internecie (np. poprzez rejestrację odwiedzanych stron), a także czy później na podstawie tak zebranych informacji administrator dokonuje profilowania takiej osoby, w szczególności w celu podjęcia decyzji jej dotyczącej (np. zaproponowania konkretnego produktu, skierowania odpowiedniej reklamy) lub prognozowania jej osobistych preferencji, zachowań i postaw. Katarzyna Sawicka, Associate, doktorantka PAN, specjalistka do spraw kwestii regulacyjnych w zespole Bankowości i Finansów Kancelarii Deloitte Legal.


11

4Zasadyprzetwarzaniadanychosobowych–coprzewidujeGDPR?4.1 W jakim celu w GDPR wprowadzono katalog zasad przetwarzania danych osobowych? GDPRwprowadzakatalogzasadprzetwarzaniadanychosobowych.Wprawdzieniektóreznichfunkcjonują wobecnymporządkuprawnym,niemniejjednakwprzewarzającejmierzeichźródłemsąrekomendacje,czydobrepraktyki,aniebezwzględnieobowiązująceprzepisyprawa.Takistanrzeczyniegwarantujespójnejijednolitejochronyprywatnościosób,którychdanesąprzetwarzane.Wskazaniewprost wRozporządzeniupodstawowychzasadochronydanychosobowychstanowipodstawęnowychstandardówochronydanych,obrazujekierunekrozwojuochronyprywatnościoraztworzyramydlapozostałych,szczegółowychprzepisówRozporządzenia.Dodatkowo,

wprowadzeniedosystemuochronydanychosobowychjednolitegokataloguzasadjestźródłemnowychobowiązków,ciążącychnapodmiotachprzetwarzającychdane. 4.2Zasadazgodnościzprawem 4.2.1KatalogwarunkówRozporządzeniezawierazamkniętykatalogwarunków,wjakichprzetwarzaniedanychmożezostaćuznanezazgodnezprawem.Oznaczato,żekażdyprocesprzetwarzaniadanychmusiopieraćsięnaconajmniejjednejpodstawieprawnej,wskazanej wRozporządzeniu.Następującesytuacjemogąbyćpodstawąprzetwarzaniadanych:

a)osoba,którejdanedotycząwyraziłazgodęnaprzetwarzanieswoichdanychosobowychwjednymlubwiększejliczbieokreślonychcelów;

b)przetwarzaniejestniezbędnedo wykonaniaumowy,którejstronąjestosoba,którejdanedotyczą,lubdo podjęciadziałańnażądanieosoby,którejdanedotyczą,przedzawarciemumowy;

c)przetwarzaniejestniezbędnedo wypełnieniaobowiązkuprawnego ciążącegonaadministratorze;

d)przetwarzaniejestniezbędnedoochronyżywotnychinteresówosoby,którejdanedotyczą,lubinnejosobyfizycznej;

e)przetwarzaniejestniezbędnedo wykonaniazadaniarealizowanego winteresiepublicznymlubwramach sprawowaniawładzypublicznej powierzonejadministratorowi;


12

f) przetwarzaniejestniezbędne docelówwynikającychzprawnie uzasadnionychinteresówrealizowanych przezadministratoralubprzezstronę trzecią,zwyjątkiemsytuacji,wktórych nadrzędnycharakterwobectych interesówmająinteresylubpodstawowe prawaiwolnościosoby,którejdane dotyczą,wymagająceochronydanychosobowych,wszczególnościgdyosoba,którejdanedotyczą,jestdzieckiem.

4.2.2Nowezasadydotyczącezgódnaprzetwarzanie danych osobowychZasadniczązmianą,którąwpraktyceodczująwszystkiepodmioty,przetwarzającedaneosobowe,będziekoniecznośćdostosowaniaprocedurpozyskiwaniazgodynaprzetwarzaniedanychosobowychdonowychprzepisów. Rozporządzeniedoprecyzowuje,jakiewarunkipowinnaspełniaćzgoda.Musitobyćdobrowolne,konkretne,świadomeijednoznaczneokazaniewoli.Ponadto,zgodamusimiećcharakterwyraźnegodziałania–oświadczenialubpotwierdzenia.Wpraktyceoznaczato,żeformularzezgodypowinnybyćsformułowanejasnymiczytelnymjęzykiem,tj.wsposóbzrozumiałydlaosoby,którejdanechcemyprzetwarzać.Zawiłe,nieprecyzyjneizbytskomplikowaneformularzemogąokazaćsięwadliwe,azgoda-uznanazawyrażonąwsposóbnieskuteczny. Wymóg,abyzgodaudzielonabyłapoprzez

działanieoznaczawszczególności,żezgodnieznowymiprzepisaminiebędziedopuszczalnanp.powszechnadziśpraktykadomyślniezaznaczonychokienekzezgodąnaprzetwarzaniedanychosobowych,czyteżzezgodąnaichprzekazywaniepodmiotomtrzecim.Wyrażeniezgodypowinnoodbywaćsięwięcjedyniepoprzezfaktycznezaznaczeniekażdegozokienekprzezosobę,którejdanedotyczą.Zgodawiązaćsiębędziezaktywnymdziałaniemosobyfizycznej-niebędziemożliwościdomniemania jej istnienia. Abyzgodazostałauznanazadobrowolną-odjejwyrażenianiebędziemożnauzależniaćwykonaniaumowy,wsytuacji,jeśliprzetwarzaniedanychniebędzieniezbędnedlawykonaniatakiejumowy. Jeśliprzedsiębiorca,zawierającumowęnadostawętowaru-pozyskazgodęna przetwarzanie danych osobowych dlacelówmarketingu,uzależniającod takiej zgody wykonanie umowy głównej,zgodataniebędzieważna.Wynikatostąd,żeprzetwarzaniedanychdlacelówmarketinguniejestniezbędnedlawykonaniaumowydostawy towaru.

Wniektórychprzypadkach,zgodaniebędzieuważanazadobrowolną,jeśliniebędziemożliwościwyrażeniajejosobnonaróżneoperacjeprzetwarzaniadanych.

Wyrażeniezgodyniebędzieuznanezadobrowolnerównieżwtedy,gdyosoba,którejdanedotyczą,niebędziemiałarzeczywistegolubwolnegowyboruorazniebędziemogłaodmówićaniwycofaćzgodybezniekorzystnychkonsekwencji. Klauzulezgodynaprzetwarzaniedanychosobowychczęstoumieszczanesąnaformularzulubstronieinternetowejwrazzinnymiinformacjamikierowanymidoklientów,użytkowników,kontrahentów,itd.Należypamiętać,żezgodnieznowymiprzepisami,jeżeliosoba,którejdanedotyczą,wyrażazgodęwpisemnymoświadczeniu,któredotyczytakżeinnychkwestii,zapytanieozgodęmusizostaćprzedstawionewsposóbpozwalającywyraźnieodróżnićjeodpozostałychkwestii,wzrozumiałejiłatwodostępnejformie,jasnymiprostymjęzykiem.Osobafizycznamabowiemzdawaćsobiesprawę,żeudzielazgodynaprzetwarzaniedanychosobowychorazwjakimzakresie.Naruszeniepowyższychprzepisówoznaczaćbędzienieważnośćzgody-najejpodstawieniebędziemożnaprzetwarzaćdanych.Jeżelidaneosoboweprzetwarzanebędąwkilkucelach,potrzebnabędziezgoda na wszystkie te cele. Zgodybędziemożnaudzielićzasadniczowkażdejformie,równieżustnie.Rozporządzeniekładziewtymmiejscuszczególnynacisknaochronę

Komentarz eksperta

Prawidłoweprzygotowanieprocesupozyskiwaniazgodyorazsamychformularzyzgody,czyteżodpowiednieukształtowanieopcjizgodynastronieinternetowejtozadanie,doktóregonależysolidniesięprzygotować.Dlaczego? Konsekwencje naruszenia przepisów w tym zakresie mogą być bardzo dotkliwe. Po pierwsze, w przypadkach kiedy przetwarzamy dane osobowe na podstawie zgody, zgoda uzyskana nieprawidłowo będzie nieważna – a zatem przedsiębiorca nie będzie mógł na tej podstawie przetwarzać danych osobowych. Po drugie, zgodnie z nowymi regulacjami, za naruszenie przepisów dotyczących zgody - przedsiębiorcy grozić będzie nakładana przez GIODO kara administracyjna w wysokości do 20 000 000 euro lub w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, w zależności od tego, która z tych kwot będzie wyższa. Agata Jankowska-Galinska, radca prawny, Managing Associate odpowiedzialna za tematy regulacyjne w zespole Bankowości i Finansów Kancelarii Deloitte Legal.


13

użytkownikówinternetu-kiedybowiemosoba,którejdanedotyczą,będziewyrażaćzgodęwodpowiedzinaelektronicznezapytanie,zapytanietakiemusibyćjasne,zwięzłeiniezakłócaćniepotrzebniekorzystaniazgłównejusługi. Administratorzydanychbędąmusieliponadtopozyskiwaćiewidencjonowaćzgodywtakisposób,abynp.wprzypadkuskargiosobyfizycznej,byliwstaniewykazać,żedanaosobarzeczywiściewyraziłazgodęnaprzetwarzanieswoichdanychosobowych.Rozporządzenienakładanaprzedsiębiorcówobowiązekzachowanianależytegopoziomustaranności.Wprzypadku,gdyadministratorniebędziewstaniewykazać,żepozyskałzgodęnaprzetwarzaniedanychzgodniezprawem,narażasięnakaręadministracyjną,awniektórychprzypadkachrównieżnaodpowiedzialnośćodszkodowawcząwobecosoby,którejdaneprzetwarza. Ponadto,osoba,którejdanedotyczą,maprawowdowolnymmomenciewycofaćudzielonązgodę.Wtakimprzypadku,jeśliadministratordanychniemainnejpodstawyprzetwarzania(którąmożebyćnp.niezbędnośćdlawykonaniaumowy,szczególnapodstawaprawna),należyzaprzestaćprzetwarzaniadanych.Wycofaniezgodyniewpływajednocześnienazgodnośćzprawemprzetwarzania,któregodokonanonapodstawiezgodyprzedjejwycofaniem.Omożliwościwycofaniazgodynależypoinformowaćjeszczeprzedjejwyrażeniem(np.jakoczęśćklauzulizgody).Wycofaniezgodymusibyćrówniełatwejakjejwyrażenie,np.jeślizgodaodbieranajesttelefonicznie,najlepiejumożliwićtakąsamąformęjejodwołania.

Na skutek wycofania zgody dane powinnyzostaćusuniętezewszystkichsystemówprzedsiębiorcy,awięcnp.nie tylko z bazy danych zbieranych w celachmarketingowych,alezkażdejkolejnejbazy,doktórejtedaneprzedsiębiorcaprzekazał.

Rozporządzeniewsposóbszczególnychronidzieci.Wprzypadkutzw.usługspołeczeństwainformacyjnego(usługświadczonychnaodległośćdrogąelektroniczną),abyprzetwarzaćdaneosobowedzieckaponiżej16rokużycia,koniecznebędzieuzyskaniezgodyrodzicalubopiekuna.Państwaczłonkowskiebędąmogłyprzewidziećniższągranicęwieku,jednakniemniejniż13lat.Administratordanychbędziemusiałrównieżpodjąćodpowiedniestarania,abyzweryfikować,czyupoważnionaosobawyraziłazgodęnaprzetwarzaniedanychdziecka.

4.3ZasadarzetelnościiprawidłowościZgodniezpowyższymizasadami,administratordanychmusizapewnić,żezgromadzonedaneosobowesąpoprawneiaktualne,aichprzetwarzanieprzebiegabezzakłóceń.Realizacjaobuzasadnakładanaadministratoraszeregobowiązkówpolegającychm.in.nawdrożeniuśrodków technicznychiorganizacyjnych,umożliwiającychkorektędanych,zmniejszenieryzykabłędóworazusunięcienieprawidłowychdanych.Wspomnianezasadynieodłączniepowiązanesązprawemosoby,którejdanesąprzetwarzanedożądaniasprostowaniaiuzupełnieniadanych.Prawidłowośćdanychosobowychmaszczególneznaczeniewprzypadkuwykorzystywaniamechanizmuprofilowania.Ewentualnebłędywdanychosobowychmogąstanowićryzykodlainteresówiprawosoby,którejdanedotyczą,anawetprowadzićdodyskryminacji. Zpunktuwidzeniabezpieczeństwa,wpraktyceoznaczatowdrożenieodpowiednichprocesówifunkcjonalnościwspomagającychteelementynapoziomieaplikacji,jakrównieżbazdanych. 4.4 Zasada ograniczenia celuZasadaograniczeniaceluoznacza,żedaneosobowemogąbyćzbieranejedyniewkonkretnym,wyraźnymiprawnieuzasadnionymcelu,któregoosiągnięcieniejestmożliweprzyużyciuinnychsposobów.Celprzetwarzaniadanychmusibyćokreślonywmomencieichpozyskiwania.Jeślipodstawąprzetwarzaniadanych

Komentarz eksperta

Na poziomie organizacyjnym założenia zasady ograniczania celu powinny określać procesy organizacji w zakresie zarządzania tożsamością i dostępem do danych, w tym proces regulujący dostęp do danych dla nowych pracowników, zmieniających jednostki wewnątrz organizacji lub odchodzących z organizacji. Jednocześnie przydzielane uprawnienia powinny być okresowo przeglądane i weryfikowane pod kątem ich aktualności, ew. korekty. Jednocześnie procesy te powinny być wspomagane przez dedykowane funkcjonalności posiadanego oprogramowania (np. przydzielanie/modyfikacja/odbiór uprawnień, przegląd uprawnień). Marcin Ludwiszewski, Dyrektor, Manager w dziale cyberbezpieczeństwa w Deloitte w Polsce


14

jestzgoda,toodnosisięonajedyniedokonkretniewskazanegoceluprzetwarzania.Nowycelprzetwarzaniadanychwymagapozyskanianowejzgody.Dodatkowo,tonaadministratorzedanychciążyobowiązekinformowaniaosób,którychdanesąprzetwarzaneocelachprzetwarzania. 4.5ZasadaminimalizacjidanychNagruncieRozporządzeniarównieżzakrespozyskiwanychdanychmusibyćadekwatnyiograniczonydominimumniezbędnegodlarealizacjiwskazanegocelu.Minimalizacjamożepolegaćnawyselekcjonowaniujedynietychdanych,któresąpotrzebnedodanejdziałalnościoraznaograniczeniuokresuprzechowywaniadanych.Wpraktycerealizacjazasadywymaga,abyprzedrozpoczęciemprocesupozyskiwania,anastępnieprzetwarzaniadanychprecyzyjnieokreślićceleiodpowiadająceimrodzajedanychorazustalićterminusuwaniaiokresowegoprzeglądudanych.Należypodkreślić,żeRozporządzenienakładaszeregobowiązkównapodmiotyprzetwarzającedane,obwarowanychsurowymikarami,azatemchcączapewnićbezpieczeństwoprowadzonejdziałalności-wartoograniczyćzakrespozyskiwanychdanychiichprzetwarzanie. Zastosowaniesiędotejzasadystanowićbędzienieladawyzwanie.Czywceluokreślenia,czytreśćnastronieinternetowejjestwłaściwadlaosóbponiżej18-stegorokużycia–administratormaprawożądaćtylko informacji o roku urodzenia użytkownika,czyteżrównieżodniuimiesiącu?Czywmomencie,kiedydanaosobaosiągniepełnoletniość–daneodacieurodzeniapowinnyzostaćskasowane? 4.6ZasadyintegralnościipoufnościZasadyintegralnościipoufnościnakładająnaadministratoradanychobowiązekprzetwarzaniadanych wsposóbgwarantującyodpowiednipoziombezpieczeństwa.Zasadaintegralnościodnosisiędoobowiązkuzapewnienia,żedaneniezostałyzmodyfikowane,usunięte,dodaneczyzniszczonewsposóbnieautoryzowany.

Zkoleizgodniezzasadąpoufnościnależyzapobiegaćsytuacjom,wktórychdaneosobowesąudostępnianelubujawnianenieautoryzowanympodmiotomczyprocesom.Obiezasadywymagajądokonaniaanalizyryzykawłaściwegodlaprzetwarzaniadanychicharakterudanychpodlegającychochronie,anastępniedostosowaniaiwdrożeniaodpowiednichśrodkówtechnicznychzapewniającychzachowanieintegralnościipoufnościdanych.

Zpunktuwidzeniaprocesówbezpieczeństwazasadaintegralności ipoufnościdanychoznaczakoniecznośćwdrożeniakontroliopartychostandardpolitykiregulującyzasadybezpieczeństwainformacjiiodpornościsystemóworazusługprzetwarzanianazagrożenia worganizacjioparteozasadyzarządzaniaryzykiem(identyfikację,monitorowanieiograniczanie).Napodstawiezasadokreślonychwstandardziepolityki,organizacjapowinnarozważyćwdrożenieśrodkówbezpieczeństwa,monitorowaniaireagowania,wtymm.in.elementykontrolidostępuużytkownikówdodanych(zarządzaniecyklemżycia),zasadybezpieczeństwaaplikacjiiinfrastruktury,środkidedykowanedoochronyprzedwyciekiemdanych,alerównieżśrodkizapewniającedostępnośćdanych iodzyskiwaniesprawnościwceluichprzetwarzania.Wdrożenieśrodkówbezpieczeństwapowinnobyćpoprzedzoneanaliząryzykawceluokreśleniawymaganychśrodkówkontroli.Powyższewymogidotycząrównieżochronyfizycznejposiadanychaktywów.

Jednocześniewszystkienoweproduktyiusługipowinnyodpowiadaćzasadzie„securitybydesign,securitybydefault”.Oznaczato,żeorganizacjapowinnanapodstawieanalizyryzykawdrażaćśrodkibezpieczeństwawcałymcyklużyciaproduktu–np.nowejaplikacjiprzetwarzającejdaneosobowe,odmomentudefiniowaniawymagańdlaaplikacji,jejprojektowania,tworzenia,jejtestowaniaiwdrażania,utrzymaniaatakżewycofywaniazużycia.

Komentarz eksperta

Z punktu widzenia technicznego niejestmożliwerealizowaniezasadyrozliczalności,jeśliadministrator nie posiada udokumentowanej i okresowo weryfikowanejwiedzydotyczącejdanychosobowychw tym:

• Inwentaryzacji przetwarzanych danych;• Ich lokalizacji: własności w organizacji, infrastruktury i aplikacji;• Zapewnienia środków kontroli dostępu użytkowników (aplikacje, bazy danych) umożliwiających określenie wymaganych uprawnień dostępu ich monitorowanie i okresową weryfikację;• Zdefiniowania i monitorowania procedur przetwarzania danych (środki kontroli przed wyciekiem danych, transfer zbiorów, współpraca z innymi dostawcami, partnerami biznesowymi);• Posiadania środków technicznych monitorujących funkcjonowanie infrastruktury sieciowej i aplikacji;• Procesów obsługujących wykrywanie i reagowanie na incydenty bezpieczeństwa. Marcin Ludwiszewski, Dyrektor, Manager w dziale cyberbezpieczeństwa w Deloitte w Polsce


15

4.7ZasadarozliczalnościAdministratormanietylkoobowiązekstosowaćsiędowymogówRozporządzenia,wtymdowyżejwymienionychzasad,m.in.wdrażającodpowiednieśrodkitechniczneczyorganizacyjne,alerównieżpowinienbyćwstaniewykazać,żestosowaneprzezniegometodysązgodnezRozporządzeniemorazskuteczne.Zastosowaniesiędozasadyrozliczalnościwymagawdrożeniaodpowiednichproceduriprowadzeniarzetelnejdokumentacji;wartorozważyćwięcwprowadzenieodpowiednichregulacjiwewnętrznych,nawetjeśliobowiązekichposiadanianiewynikabezpośredniozRozporządzenia,aledziękiktórymłatwiejbędziewykazaćfaktspełnianiaprzewidzianychRozporządzeniemwymogów.Wspomnianazasadarozliczalnościjestteżściślepowiązanazobowiązkiemnotyfikowaniaorganunadzorczegoostwierdzeniunaruszeńdanychosobowych. 4.8ZasadaprzejrzystościCelemRozporządzeniajestwzrostświadomościspołeczeństwanatemat

ryzykzwiązanychzudostępnianiem iprzetwarzaniemdanychosobowych. StądRozporządzeniewymaga,abywszelkieinformacje,kierowanedoosóbfizycznych,formułowanebyłyjęzykiemprostymiprzejrzystym.Adresatmazrozumiećprzeznaczonydoniegokomunikat,stądhermetycznyjęzyklubnadmierneskomplikowanieinformacji–niebędąspełniaćwymogówRozporządzenia.Rozporządzeniekładzienacisknato,abyzarównozakresudzielanychinformacjijak isposóbichprzekazywaniabyłyzrozumiałedlazainteresowanychinieodstraszałyichswojądługością. Zasadaprzejrzystościinformacjiwpraktyceoznaczaćbędziezakazumieszczaniaistotnychinformacji„drobnymdrukiem” nainnejstronie,wplatanieichwdługi iskomplikowanytekst,czyteżzamieszczanieichwśródinnych,małoważnychinformacji.

Komentarz eksperta

Wywiązanie się z powyższych obowiązków – to jest zapewnienie zwięzłości i prostoty przekazu w połączeniu z rozszerzonym katalogiem udostępnianych informacji - będzie wymagało od administratorów sporo wysiłku. Przede wszystkim będą musieli oni opracować nowe metody i formy komunikacji z osobami, od których chcą pozyskać dane. To, w jaki sposób administratorzy będą realizować nałożone na nich obowiązki informacyjne, będzie oceniane przez organy nadzoru z punktu widzenia podstawowego celu Rozporządzenia – zapewnienia, że osoby udzielające zgody na przetwarzanie danych osobowych są w pełni świadome celu, procesu i konsekwencji przetwarzania ich danych. Katarzyna Sawicka, Associate, doktorantka PAN, specjalistka od tematów regulacyjnych w zespole Bankowości i Finansów Kancelarii Deloitte Legal


16

5Ochronaosóbfizycznych5.1UwagiogólneRozporządzeniekładzienaciskm.in.nawzmocnienieochronyosóbfizycznych,którychdanesąprzetwarzane.Mataksięstaćwszczególnościpoprzezprzyznanieimdodatkowychuprawnieńorazwyposażeniewzestawkluczowychinformacjidotyczącychsposobuiceluprzetwarzania.Wzałożeniuunijnegoustawodawcy-narzędziatepowinnysięprzyczynićdowzrostuświadomościosóbfizycznychnatemattego,codziejesięzichdanymioraznatematryzykazwiązanego zichprzetwarzaniem. Rozporządzenieprzyznajewprostosobomfizycznym,którychdanesąprzetwarzane wszczególnościnastępująceuprawnienia:

• prawodostępudodanychiinformacji,

• prawożądaniasprostowania iuzupełnieniadanych,

• prawosprzeciwuwobecprzetwarzaniadanych,

• prawodoprzeniesieniadanych,

• prawodobyciazapomnianym.

Uprawnieniateprzekładająsiębezpośrednionaobowiązki,którymiobciążenizostająadministratorzydanych.Noweprzepisywymusząnaadministratorachopracowanie sprawnychprocedurprzetwarzania danychosobowych,awprzypadkach gdydaneprzetwarzanesąautomatycznie,dostosowaniefunkcjonalnościsystemów.

5.2UprawnieniaosóbfizycznychPopierwsze,osobomwyrażającymzgodęnaprzetwarzaniedanychosobowychprzyznanoprawodostępudodanychorazprawodoichsprostowania,czyuzupełnienia.Nażądanieuprawnionego,administratorbędziemiałobowiązekudostępnićkopiędanychpodlegającychprzetwarzaniuorazwprowadzićodpowiedniezmianydosystemu. Odpowiedziąnaprawodostępudodanychiinformacjijestobowiązekadministratorówdanychdoprzekazywaniaosobiefizycznejpodczaspozyskiwaniajejdanych, aprzedrozpoczęciemichprzetwarzania, wszczególnościnastępującychinformacji:

• tożsamościidanychkontaktowychadministratora,

• celuprzetwarzaniadanychosobowych (np.wcelachmarketingowych),

• informacjioodbiorcachdanychosobowych,

• okresu,przezjakidaneosobowebędąprzetwarzane,agdyniemożnagodokładnieokreślić,kryteriówustalaniategookresu(np.przezokrestrwaniaumowy),

• informacjiowykorzystywaniudanych doprofilowania,

• informacjioprawiedożądaniaodadministratoradostępudodanychosobowych,ichsprostowania,usunięcialubograniczeniaprzetwarzanialub oprawiedowniesieniasprzeciwuwobecprzetwarzania,atakżeoprawiedoprzenoszeniadanych,

• gdymatozastosowanie–informacji ozamiarzeprzekazaniadanychosobowychpozaUnięEuropejskąorazwzmianki oodpowiednichzabezpieczeniachdanychosobowychstosowanychprzezpodmiot,któremudanesąprzekazywane.

Ponadtopodmioty,którychdanesąprzetwarzanewinteresiepublicznymlubwzwiązkuzuzasadnionyminteresemadministratora-będąmogłysprzeciwićsiętakiemuprzetwarzaniudanych,chybażeadministratorwykażenadrzędnośćpodstawyprzetwarzaniadanych wstosunkudointeresówjednostki. Prawosprzeciwubędzierównieżprzysługiwałowraziewykorzystywaniadanychdoprofilowania. PowejściuwżycieRozporządzeniaosoba,którejdanedotyczą,będziemogłazażądaćodadministratoranietylkoinformacji otym,jakiedaneposiada,aletakże– wprzypadkudanychprzetwarzanychelektronicznie–otrzymaćjezapisane wpowszechniewykorzystywanymformacieibezprzeszkódprzenieśćjedoinnegousługodawcy. Prawodoprzeniesieniadanychumożliwiarównieżżądanie,abytoadministratorposiadającydaneprzesłałjeinnemuadministratorowi.Wynikatoztreściart.20Rozporządzenia,stanowiącego,iżosoba,którejdanedotyczą,maprawootrzymaćwustrukturyzowanym,powszechnieużywanymformacienadającymsiędoodczytu maszynowego dane osobowe jejdotyczące,któredostarczyłaadministratorowi,orazmaprawoprzesłaćtedaneosoboweinnemuadministratorowibezprzeszkódzestronyadministratora,któremupierwotniedostarczonotedane.Uprawnienietomożebyćprzezdanąosobęzrealizowane,jeżeliprzetwarzanieodbywasięnapodstawiezgodywyrażonejprzeztęosobęlubnapodstawieumowyzniązawartejorazjeżeliprzetwarzanieodbywasięwsposóbzautomatyzowany.Osoba,którejdanedotyczą,mapraworównieżżądać,abydaneosobowezostałyprzesłaneprzezadministratorabezpośrednioinnemuadministratorowi,jednaktylkootyle-oilejesttotechniczniemożliwe.


17

WprawdziewykonanienałożonegoRozporządzeniemobowiązkuprzeniesieniadanychnażądanieosoby,którejdanedotycząuzależnionejestoduwarunkowańtechnicznych, nie wiadomo jednak, dokogonależećmaocenatego,czycośjesttechniczniewykonalne,czyteżnie.Rozporządzenienierozstrzygatakże,czychodzituosubiektywnemożliwościtechnicznedanejinstytucji,czyteżopewienstandardusług,którepowinienmócoferowaćkażdybank,instytucjapłatniczalubinstytucjapożyczkowa.Omawianyprzepisnieprecyzujerównież-pomiędzyjakimiadministratoramipowinnodochodzićdoprzekazywaniadanych.Niemożna,zatem,wykluczyćsytuacji,wktórejklientzażąda,abyjegodanezostałyprzekazaneprzezinstytucjępłatniczączyinstytucjępożyczkowąnp.dourzędu,czyoperatorakomórkowego.Wefekcie,opróczwątpliwościinterpretacyjnych, omawiany art. 20spowodowaćmożepowstaniepostroniepodmiotuzobowiązanegodo jego stosowania - kolejnego kosztownegoobowiązkuregulacyjnegodotyczącegodanychosobowychklientów.

Wzwiązkuztym,iżuprawnieniazwiązanezprzenoszeniemdanychbędąmogłybyćwykonywaneprzezklientabezuszczerbkudlaart.17Rozporządzenia,regulującegoprawodousunięciadanych(tj.„prawodobyciazapomnianym”)-klientbędziemógłzdecydować,czyprzekazaniejegodanychdoinnejinstytucjinastąpiłączniezichwykreśleniemprzezobecnegoadministratora,czyteżnie.Opisywaneuprawnieniedowykreśleniadanychniebędziemogłobyćegzekwowaneprzezklientajedyniewsytuacjach,gdyprzetwarzaniedanychprzezadministratora

4 DyrektywaParlamentuEuropejskiegoiRady(UE)2015/2366zdnia25listopada2015r.wsprawieusługpłatniczychwramachrynkuwewnętrznego,zmieniająca dyrektywy2002/65/WE,2009/110/WE,2013/36/UEirozporządzenie(UE)nr1093/2010orazuchylającadyrektywę2007/64/WE.

5 Zgodniezart.4pkt15PSD2„usługainicjowaniapłatności”oznaczausługępolegającąnazainicjowaniuzleceniapłatniczegonawniosekużytkownikausług płatniczychwodniesieniudorachunkupłatniczegoposiadanegouinnegodostawcyusługpłatniczych.

6 Zgodniezart.4pkt16PSD2„usługadostępudoinformacjiorachunku”oznaczausługęonlinepolegającąnadostarczaniuskonsolidowanychinformacjinatemat conajmniejjednegorachunkupłatniczegoposiadanegoprzezdanegoużytkownikausługpłatniczychuinnegodostawcyusługpłatniczychalbouwięcejniż jednegodostawcyusługpłatniczych.

jestniezbędnedowykonaniazadaniarealizowanegowinteresiepublicznymlubwramachsprawowaniawładzypublicznejpowierzonejadministratorowi. Wydajesię,żemowatuprzedewszystkimosytuacjach,gdyprzetwarzaniedanychklientaodbywasięniezależnieodjegozgodyczypodpisanejprzezniegoumowy,napodstawiebezwzględnieobowiązującychprzepisówprawa–np.wzwiązkuzarchiwizowaniemdanychnapotrzebyprocedurmającychnaceluprzeciwdziałaniepraniupieniędzy ifinansowanieterroryzmu. Innymistotnymaspektemzastosowaniaart.20Rozporządzeniajestjegorelacjadonowegorodzajuinstytucjipłatniczych,opierającychzasadniczączęśćswoich usługnaprzetwarzaniudanychklientów.MowatuoTPP(ang.ThirdPartyProviders)–czylidostawcachusługpłatniczych, którzynamocynowejDyrektywyPSD24oferowaćbędąusługipłatniczepolegającenainicjowaniupłatności–PIS(ang.paymentinitiationservice)5orazzapewnianiudostępudoinformacji orachunku–AIS(ang.accountinformationservice)6.WszczególnościusługaAISswymcharakteremzbliżonajestraczejdousług,którychprzedmiotemjestprzetwarzaniedanychosobowychaniżelidotypowychusługpłatniczych,jaknp.usługawykonaniatransakcjipłatniczej.

Wtymkontekściepojawiająsięnastępującepytania:

• jakizakresdanychoklienciepowinienbyćprzekazywanynażądanieklientawyrażonezgodniezart.20Rozporządzenia?

• komutegotypudanepowinnybyćprzekazywane?

• jakprawodoprzeniesieniadanychodnosi siędodanychstanowiącychtajemnicębankową?

NajsilniejszymuprawnieniemprzyznanymwRozporządzeniujestprawodobyciazapomnianym,czyliprawożądaniausunięciadanychprzezadministratora.Wrazieskorzystaniaztegoprawaprzezosobę,którejdanedotyczą,administratormaobowiązek,bezzbędnejzwłoki,usnąćzewszystkichswoichsystemów,danepochodząceodtejosoby.Niemniejjednak,wskazanyobowiązekodnosisięjedyniedoadministratorów,którzywykorzystujądanewyłącznienapodstawieudzielonejzgody.Jeślipodstawąprzetwarzaniadanychjestumowa,którejwykonaniewymagaprzetwarzaniadanych,wówczasprawodobyciazapomnianymnieznajdziezastosowania.Wtakiejsytuacjiżądanieusunięciadanychwymagaćbędziewcześniejszegorozwiązaniaumowy. Powyższeuprawnieniamająsprawić,żekliencibędąwpełniświadomizakresuiceluprzetwarzaniadanych,atakżebędąmiećrealnywpływnaichkształtorazmożliwośćichkontroliwkażdejchwili.Dodatkowo,wraziepogwałceniaswoichpraw,osobyfizycznebędąmogłydochodzićodszkodowania,jakrównieżzłożyćskargędoorganunadzoru.


18

6Istotnepojęcia6.1Czymsąanonimizacja i pseudonimizacja danych osobowych?Daneanonimowetodane,któreniepozwalająnaidentyfikacjęosoby,którejdotycządane.NiesąoneobjęteochronąprzewidzianąprzezprzepisyRozporządzenia. Danespseudonimizowanetodane,którezostałypoddaneprzetworzeniuwtakisposób,byniemożnaichbyłojużprzypisaćkonkretnejosobie,którejdanedotyczą,bezużyciadodatkowychinformacjipodwarunkiem,żetakiedodatkoweinformacjesąprzechowywaneosobnoisąobjęteśrodkamitechnicznymiiorganizacyjnymiuniemożliwiającymiichprzypisaniezidentyfikowanejlubmożliwejdozidentyfikowaniaosobie.

Pseudonimizacjadanychosobowychmożeograniczyćryzykodlaosób,którychdanedotyczą,orazpomócadministratorom ipodmiotomprzetwarzającymwywiązaćsięzobowiązkuochronydanych.Abyzachęcićdostosowaniapseudonimizacjipodczasprzetwarzaniadanychosobowych,należyumożliwićstosowanieutegosamegoadministratoraśrodkówpseudonimizacyjnychniewykluczających

ogólnejanalizyprzetwarzanychdanych.Jeśliadministratordecydujesięnaochronędanychpoprzezichpseudonimizację,wówczasmusionzapewnić,żedanespseudonimizowaneidodatkoweinformacjepozwalające„rozkodować” danebędąprzechowywaneosobno. Pseudonimizacjatraktowanajestjakoistotnyelementzapewnieniabezpieczeństwaprzetwarzaniadanych.Powinnabyćrównieżbranapoduwagępodczasopracowywaniaiprojektowaniaproduktów,usługiaplikacjiopierającychsięnaprzetwarzaniudanych(więcejnatematzasadyprivacybydefaultiprivacy bydesignwpkt6.3niniejszegoPrzewodnika). Jeżelidanesąustrukturyzowanewtakisposób,żeniemożliwajestidentyfikacjaosoby,którejdotyczą,wtedy,zgodnie zRozporządzeniem,wymogiochronydanychosobowychsąznacznie złagodzone(jakwprzypadkupseudonimizacji)lubnieobowiązują (jakwprzypadkuanonimizacji).

6.2Czymjestprofilowanie?Nowaregulacjaułatwiosobom,którychdanedotycząwyłączenieswoichdanychspodprofilowania.Zmianawpłyniewięcniekorzystnienapodmiotyproponująceusługimarketinguonline,śledzeniakonsumentaorazreklamyonline.

ZgodniebowiemzprzepisamiRozporządzeniaosoba,którejdanedotyczą,powinnamiećprawodotego,byniepodlegaćdecyzji,któraoceniajejczynnikiosobowe,opierającsięwyłącznienaprzetwarzaniuzautomatyzowanym.Tegotypudecyzjemogąwywoływaćskutkiprawnelubwpodobnysposóbznaczącowpływaćnasytuacjęosoby,którejdanedotyczą.Skutkiemzautomatyzowanegoprzetwarzaniadanychmożebyćnaprzykładodrzucenieelektronicznegownioskukredytowego.Możebyćonorównieżwykorzystywanepodczaselektronicznychmetodrekrutacjiniewymagającejinterwencjiludzkiej.Mechanizmpodejmowaniatakichdecyzjiokreślasięjakoprofilowanie.

Komentarz eksperta

Pseudonimizacja danych i szyfrowanie powinno być przeprowadzone na podstawie analizy ryzyka. Realizacja tych elementów może być stosowana poprzez różne techniki, w tym m.in. tzw. scrambling, maskowanie danych (np. w środowiskach testowych wytwarzanych aplikacji), ich zaciemnianie (obfuscation), a także ich szyfrowanie podczas przechowywania i przekazywania w celu zapewnienia poufności, integralności i autentyczności. Dotyczy to w szczególności cyklu życia tworzenia aplikacji (środowiska testowe/produkcyjne), ale również przetwarzania w aplikacjach i bazach danych. Procesy zarządcze wspierające te elementy mogą uwzględniać m.in. sposoby zarządzania wykorzystywanym systemem kryptograficznym, w tym np. kluczami kryptograficznymi.

Marcin Lisiecki, ekspert do spraw Cyberbezpieczeństwa, Managing Associate, Deloitte


19

Profilowaniejesttodowolnaformazautomatyzowanegoprzetwarzaniadanychosobowych,którepoleganawykorzystaniudanychosobowychdoocenyniektórychczynnikówosobowychosobyfizycznej,wszczególnościdoanalizylubprognozyaspektówdotyczącychefektówpracytejosobyfizycznej,jejsytuacjiekonomicznej,zdrowia,osobistychpreferencji,zainteresowań,wiarygodności,zachowania,lokalizacjilubprzemieszczaniasię. Zakazanebędziekażdeprofilowaniektóre(i)wywołujewobecosobyskutkiprawnelub(ii)wpodobnysposóbistotniena niegowpływaiktóreniemapodstawyprawnej.TadefinicjajestznacznieszerszaniżprzewidzianawDyrektywie.Wrezultacielegalneobecnieczynnościprofilowaniamogąstaćsięzakazane przezRozporządzenie. Wydajesięwięc,iżwpraktycejedynąmożliwościąprowadzeniaprofilowaniabędzieuzyskaniewyraźnejzgodyosobynaprofilowanie,cooznaczażesamowyrażeniezgodynaprofilowanieza

7 KoncepcjepojęćprivacybydesigniprivacybydefaultzostałyporazpierwszyużyteprzezAnnCavoukian–rzecznikads.informacjiiprywatnościprowincji OntariowKanadzie.WswymzałożeniumiałyonestanowićremediumnapostępującekonsekwencjesystemoweICT(InformationandCommunication Technologies),czylinarastająceproblemyzwiązanezzapewnieniemprawadoprywatnościwzwiązkuzpostępemtechnologicznymirozwojemspołeczeństwa informacyjnego.

8 http://tvn24bis.pl/z-kraju,74/fiskus-moglby-juz-identyfikowac-nas-po-glosie-ale-czeka-na-giodo,567172.html.

9 Patrz:pismoGIODOz26stycznia2016r.złożonewramachuzgodnieńnadProjektemzałożeńdoprojektuustawyozmianieustawyodziałalnościleczniczej, RządoweCentrumLegislacji,https://legislacja.rcl.gov.pl/projekt/12280205.

10 Art.47Konstytucji:„Każdymaprawodoochronyprawnejżyciaprywatnego,rodzinnego,czciidobregoimieniaorazdodecydowaniaoswoimżyciuosobistym.”; art.49Konstytucji:„Zapewniasięwolnośćiochronętajemnicykomunikowaniasię.Ichograniczeniemożenastąpićjedyniewprzypadkachokreślonych wustawieiwsposóbwniejokreślony.”;art.51ust.2Konstytucji:„Władzepubliczneniemogąpozyskiwać,gromadzićiudostępniaćinnychinformacji oobywatelachniżniezbędnewdemokratycznympaństwieprawnym.”.

pomocąklauzulizawartejwregulaminie niebędzieprawnieskuteczne. Administratorzywykorzystującyprofilowaniebędąmusieliwykonaćocenęskutkówtejmetodyprzetwarzaniadanychpodkątemzapewnieniabezpieczeństwadanych. 6.3 Privacy by design oraz privacy by default 6.3.1UwagiogólneRozporządzeniewprowadzadoeuropejskiegoporządkuprawnegonowezasady-privacybydesignorazprivacy bydefault.7 6.3.2 Obecny stan prawnyWobecnymstanieprawnymżaden aktprawapolskiegoaniunijnegonie definiujepojęciaprivacybydesign(nazywanejteż„zasadąprywatności wfazieprojektowania”)aniprivacybydefault(nazywanejteż„zasadąprywatnościwustawieniachdomyślnych”).Ichtreśćorazzakressąustalanepoprzez

wskazaniefunkcji,jakiespełniaćpowinnywprowadzanedoużytkuprogramy(systemy)przetwarzającedaneosobowe. Zasadaprivacybydesign(oraz podlegającajejzasadaprivacyby default)byływielokrotniepodnoszoneprzezGeneralnegoInspektoraOchronyDanychOsobowych(GIODO),jakokoniecznyelementwprowadzanego wPolsceustawodawstwa.Przykładem sązastrzeżeniaGIODO,zgłaszane wzwiązkuzestosowaniemprzezorganypodatkowetzw.systemówbiometrycznychumożliwiającychidentyfikacjępodatnikówwedługpobranychpróbekgłosu8,czyteżuwagiGIODOwtokupracnadprojektemustawyozmianieustawyodziałalnościleczniczej9.Wartopodkreślić,że wopisywanychsytuacjachGIODOmówiwprostokoniecznościuwzględniania wkrajowymprawodawstwiezasadyprivacybydesign,wskazującjednocześniejejoparciewkonstytucyjnychnormachochronyprywatnościzawartychwart.47,49i51Konstytucji.10


20

6.3.3 Koncepcje privacy by design i privacy by default Zasadaprivacybydesignwprowadzanajestprzezart.25ust.1Rozporządzenia,zgodniezktórym„uwzględniającstanwiedzytechnicznej,kosztwdrażaniaorazcharakter,zakres,konteksticeleprzetwarzaniaorazryzykonaruszeniaprawlubwolnościosóbfizycznychoróżnymprawdopodobieństwiewystąpieniaiwadzezagrożeniawynikającezprzetwarzania,administrator–zarównoprzyokreślaniusposobówprzetwarzania,jakiwczasiesamegoprzetwarzania–wdrażaodpowiednieśrodkitechniczne iorganizacyjne,takiejakpseudonimizacja,zaprojektowanewceluskutecznejrealizacjizasadochronydanych,takichjakminimalizacjadanych,orazwcelunadaniaprzetwarzaniuniezbędnychzabezpieczeń,takbyspełnićwymogininiejszegorozporządzeniaorazchronićprawaosób,którychdanedotyczą”.Przepistenwprowadzageneralnązasadę,napodstawiektórejadministratordanychbędziezobowiązanyzapewnić,abyjużnaetapieprojektowaniasystemuoraznaetapiewykorzystywaniagodoprzetwarzaniadanychwprowadzonedoniegozostałyodpowiednieśrodkitechniczne iorganizacyjne,którezapewniąochronędanychużytkownikówizgodność zRozporządzeniem.Wszczególności możetodotyczyćzasadtworzenia,trzymaniaiwycofywaniazużyciaaplikacji worganizacji,przeprowadzaniaregularnychtestówbezpieczeństwa,monitorowaniabezpieczeństwainfrastruktury,przydzielaniaiprzegląduuprawnieńużytkowników, atakżezarządzaniazmianą.

Zasadęprivacybydefaultokreślanatomiast ust. 2 komentowanego artykułu,zgodniezktórymadministratorbędziezobowiązanywdrożyćtakieśrodkitechniczneiorganizacyjne,abydomyślnieprzetwarzanebyływyłącznietedaneosobowe,któresąniezbędnewstosunkudokażdegokonkretnegoceluprzetwarzania.Dotyczyćtobędzieilościzbieranychdanych,zakresuichprzetwarzania,okresuichprzechowywaniaorazichdostępności.Omawianeśrodkipowinnyzapewniaćwszczególności,abydomyślniedaneosoboweniebyłyudostępnianebezinterwencjidanejosobynieokreślonejliczbieosóbfizycznych. Wtymkontekścieistotnejestzapewnienieinwentaryzacjidanychiwdrożenieśrodkówbezpieczeństwazgodniezwykonanąocenąprofiluryzykaikrytycznościdanych.Wartododać,żewywiązaniesięzww.obowiązkównagruncieart.25ust.3Rozporządzeniabędziemogłobyćwykazanemiędzyinnymipoprzezpoddaniesięprzezadministratoradobrowolnemumechanizmowicertyfikacji,októrymmowawart.42Rozporządzenia. 6.4 Privacy impact assessment Zpowyższymiobowiązkamipostroniepodmiotówprzetwarzającychdanezwiązanyjestart.35Rozporządzeniawprowadzającydosystemuochronydanychosobowychnowymechanizmocenywpływuprzetwarzaniadanychosobowychnaprywatnośćosób,którychdanesąprzetwarzane–tzw. PrivacyImpactAssessment.Zgodnie znowymiprzepisami,przedrozpoczęciem

czynnościprzetwarzaniaadministratormaobowiązekdokonaćocenyskutkówoperacjiprzetwarzaniadlaochronydanych.Ocenapowinnawszczególnościuwzględniaćtakieczynnikijak:charakter,zakres,konteksticeleoperacjiprzetwarzaniaczyzastosowanienowychtechnologii.Dokonanierzetelnejocenymaszczególneznaczeniewprzypadkustosowaniamechanizmówprofilowania,atakżeoperacjiprzetwarzaniaodużejskali,któredotycząznacznejilościdanychosobowych,mogąwpłynąćnadużąliczbęosób,czyteżmogąpowodowaćwysokieryzykozewzględunacharakterdanych.Ponadto,art.35wskazujeminimalneelementydokonywanejocenytakiejak:opisplanowanychoperacjiprzetwarzania,ocenęichniezbędnościiproporcjonalnościwstosunkudocelów,ocenęryzyka,orazopisśrodkówpodejmowanychwceluzaradzeniaryzykom.Wraziestwierdzeniaryzykanaruszeniaprawlubwolnościosóbfizycznych,któregoniedasięzminimalizowaćśrodkamirozsądnymi zpunktuwidzeniadostępnychtechnologiiikosztówwdrożenia,administratordanychmaobowiązekskonsultowaćsięzorganemnadzorczymprzedrozpoczęciemczynnościprzetwarzania.Wraziepotrzebyinażądaniepodmiotprzetwarzającypowinienpomagaćadministratorowiwzapewnieniuprzestrzeganiaobowiązkówwynikającychzdokonaniaocenyskutkówprzetwarzaniadlaochronydanychorazzuprzednichkonsultacjizorganemnadzorczym.

Komentarz eksperta

Z punktu widzenia bezpieczeństwa, ocena ryzyka prywatności powinna dotyczyć wszystkich wykorzystywanych aplikacji i wspomagającej je infrastruktury (w tym ich tworzenia, a także zmiany). Ocena ryzyka w tym zakresie powinna identyfikować potencjalne ryzyka dla zasobów, a także definiować procesy (przydzielanie uprawnień, przegląd uprawnień, procesy monitorowania i reagowania na incydenty) i środki je ograniczające (np. zasady bezpiecznego tworzenia kodu, procesy bezpieczeństwa przy tworzeniu aplikacji, testy penetracyjne, bezpieczną konfigurację infrastruktury). Marcin Lisiecki, ekspert do spraw Cyberbezpieczeństwa, Managing Associate, Deloitte.


21

7Transferdanychosobowychdopaństwtrzecich7.1Kiedytransferdopaństwtrzecichbędziemożliwy?TransferdanychosobowychdopaństwtrzecichzgodniezGDPRbędzie(podobniejaknapodstawieprzepisówDyrektywy)możliwywtedy,gdypaństwatezapewniająadekwatnypoziomochrony.Innetransferysąmożliwepozapewnieniuodpowiednichgwarancjitj.napodstawieklauzulmodelowych,wiążącychregułkorporacyjnych,zatwierdzonychkodeksówpostępowaniaorazjeślizarównoprzekazujący,jakiodbierającydaneuzyskali„certyfikateuropejskiejochronydanychosobowych”. 7.2AdekwatnośćjurysdykcjiAdekwatnośćpoziomuochronydanychosobowychmożebyćstwierdzonadecyzjąKomisjiEuropejskiej.Dotychczasowedecyzjews.adekwatności11zostająutrzymanewmocybezterminowo ażdoichuchylenialubzmiany. 7.3 Privacy ShieldWdniu12lipca2016r.KomisjaEuropejskadałazieloneświatłodlanowychzasadprzekazywaniadanychosobowych zUEdoUSA.Nowypakiettzw.PrivacyShield(TarczaPrywatności)zastąpiwcześniejszySafeHarbour,któryprzestałbyćskutecznąpodstawąprzekazywaniadanychdoUSApowyrokuTrybunałSprawiedliwościUniiEuropejskiej(„TSUE”)z5października2015r.wsprawieSchrems(C-362/14).WprzywołanymwyrokuTSUEstwierdził,żeSafeHarbourniegwarantowałwystarczającejochronyprawpodstawowych,wszczególnościprawadoprywatnościwzwiązkuzprzetwarzaniemdanychosobowych.

11 Obecnieistniejądecyzjews.adekwatnościnastępującychpaństw:Andory,Argentyny,Kanady,Szwajcarii,Izraela,wyspGuernsey,Jersey,Man,NowejZelandii, UrugwajuorazEU-USPrivacyShield–strukturapozwalającanatransferdanychdoStanówZjednoczonych.

7.3.1 Czym jest Privacy Shield?PrivacyShieldzostałaprzyjętawdrodzedecyzjiKomisjiEuropejskiej.Zgodnie zdyrektywą95/46/WE,KomisjaEuropejskamożestwierdzić,żepaństwotrzeciezapewniaodpowiednistopieńochronydanychosobowychnapodstawieswojegoprawakrajowegolubzobowiązańmiędzynarodowych.Wtakichprzypadkachprzekazywaniedanychosobowychdopaństwatrzeciegozasadniczoniebędziewiązałosięzkoniecznościąspełnieniadodatkowychobowiązków. NaPrivacyShieldskładająsięuzgodnionepomiędzyUEaUSAzasadyochronyprywatnościorazzobowiązaniaposzczególnychorganówodpowiedzialnychwUSAzaobszarprzetwarzaniadanychosobowych.DokumentytestanowiązałącznikidowspomnianejpowyżejdecyzjiKE. 7.3.2GłównezałożeniaPrivacyShieldmazapewnićskuteczniejsząochronęprywatnościwszczególności wnastępującychobszarach:

a)przejrzystośćzasadprzetwarzaniadanychprzezadministratorów/podmiotyprzetwarzającedanewUSA:PrivacyShieldfunkcjonowaćbędzienazasadziesamocertyfikacji,tj.podmiotyzUSAskładaćbędądeklaracjęprzestrzeganiazasadprzetwarzaniadanychosobowychwypracowanychwramachnowegoporozumienia.Podmiotytebędąrównieżzobowiązanedopublikowaniapolitykprywatnościorazprzekazywaniaokreślonychinformacjidotyczącychprzetwarzaniadanychosobomfizycznym;

b)skutecznynadzórnadprzetwarzaniemdanychwUSA:DepartamentHandluUSA

prowadzićbędzierejestrpodmiotów,któreprzystąpiłydoPrivacyShield.Przeprowadzanebędąregularne kontrolezgodnościprzetwarzaniadanych,apodmiotynaruszającezasadyustalonenowymporozumieniem,będąmogłyzostaćwykreślonezrejestru;

c)wprowadzeniemechanizmubezpłatnegopozasądowegorozwiązywaniasporów:każdypodmiotzUSAprzetwarzającydanebędziemusiałzapewnićwewnętrznąproceduręrozpatrywaniaskarg.OsobyfizycznebędąmogłyskorzystaćrównieżznieodpłatnegomechanizmuADRlubzwrócićsięopomocdoorganunadzoruwswoimpaństwie.Jeślipolubownerozwiązaniesporuokażesięnieskuteczne,przewidzianomożliwośćskorzystania zarbitrażu;

d)ograniczeniemasowegoprzetwarzaniadanychprzezorganyrządowewUSA:monitorowaniedanychosobowychprzezorganyrządowedopuszczalnebędziejedyniewwyjątkowychsytuacjach,podwarunkiem,żebędzieniezbędneiproporcjonalne.Dlarozpatrywaniasporów,któremogąpojawićsięwtymzakresie,powołanyzostaniededykowanyOmbudsman;

e)wprowadzeniecorocznegoprzeglądufunkcjonowaniamechanizmuPrivacyShield:KomisjaEuropejskaorazDepartamentHandluUSAcorokubędądokonywałyprzegląduskutecznościPrivacyShield(pierwszyprzeglądmadotyczyćm.in.zautomatyzowanegoprzetwarzaniadanych).Raport zprzeglądumożewskazywaćnaobszary,którebędąwymagaćdalszegousprawnieniainegocjacji.


22

7.3.3PrivacyShield–podstawoweobowiązkiadministratorów ipodmiotówprzetwarzającychPodmiotyzUSAchcąceprzetwarzaćdaneosoboweprzekazywanezUEnapodstawieprzystąpieniadoPrivacyShield,będąmusiałyprzestrzegaćszereguzasadpozwalającychchronićprywatnośćosóbfizycznych.Donajważniejszychzzasadmożnazaliczyć:

a)prawo do informacji Osobyfizycznebędąmusiałyzostaćpoinformowanem.in.orodzajuprzetwarzanychdanych,celuprzetwarzania,prawiedostępudodanych,warunkachdalszegoprzekazaniadanychorazzasadachodpowiedzialnościzazapewnieniebezpieczeństwaprzetwarzaniadanychosobowych. Podmiotyprzetwarzającedanebędą równieżzobowiązaneopublikowaćswojepolitykiprywatności.

b)obowiązekzapewnieniaintegralnościdanych oraz ograniczenia celu przetwarzania Podmiotypowinnyprzetwarzaćjedyniedaneniezbędnezewzględunacelprzetwarzaniaprzezokres,wktórymtakiedanesąprzydatnedlaosiągnięciakonkretnegocelu.Przetwarzanedanemusząbyćkompletneorazaktualne.

c)prawo wyboru Jeślinowycelprzetwarzaniajestodmiennyodpierwotnego,osobafizycznapowinnamiećmożliwośćsprzeciwićsięprzetwarzaniujejdanychosobowych(nazasadzieoptout).Ponadto,należyumożliwićsprzeciwieniesięprzetwarzaniudanychdlacelówmarketinguwdowolnymmomencie.

d)zapewnieniebezpieczeństwa przetwarzania Podmiotyprzetwarzającedanemusząprzyjąćodpowiednieśrodkibezpieczeństwa,uzależnionem.in. odpoziomuryzykazwiązanego zprzetwarzaniemdanychorazodrodzajuprzetwarzanychdanych.

e)zapewnieniedostępudodanych Osobyfizycznebędąmiałyprawootrzymaniapotwierdzenia,czyichdaneosobowesąprzetwarzaneprzezdanypodmiotorazbędąmogłyżądaćichpoprawienialubusunięciawprzypadku,gdyprzetwarzanieodbywasięniezgodniezzasadamiPrivacyShield. Specjalnezasadyprzyjętowzakresiezautomatyzowanegoprzetwarzaniadanych(np.profilowania),napodstawiektóregopodejmowanesąindywidualnedecyzjedotycząceposzczególnychosóbfizycznych(np.decyzjekredytowe).

f)egzekwowanie zasad przetwarzania danychizasadyodpowiedzialności PodmiotyprzetwarzającedanemusząwprowadzićwewnętrznemechanizmyzapewniająceprzestrzeganiezasadwynikającychzPrivacyShieldorazprzeprowadzaćweryfikacjęzgodnościpolitykznowymmechanizmemprzetwarzaniadanych.Toostatnie możnaosiągnąćnadwasposoby: (i)poprzezwewnętrznysystemocenypołączonyzzapewnieniemszkoleniapracownikówlub(ii)poprzezaudytzewnętrzny.PrivacyShieldnakładarównieżobowiązekwprowadzeniawewnętrznegomechanizmurozpatrywaniaskarg.

g)dalsze przekazywanie danych Przekazywaniedanychkolejnympodmiotommożliwebędziejedynienapodstawieumowy,któragwarantowaćbędzietakisampoziomochronycoPrivacyShieldorazjedyniewokreślonymcelu.Osobyfizycznebędąmusiałyzostaćpoinformowaneopodmiocie,któremudanemająbyćprzekazaneorazoceluprzekazania.Będąmiałyrównieżmożliwośćsprzeciwieniasiętakiemuprzekazaniu(nazasadzieoptout),awprzypadkudanychwrażliwychprzekazaniebędziemożliwedopieropoudzieleniuzgodyprzezpodmiotprzetwarzaniadanych(nazasadzie optin).

7.4Środkirekompensującebrakochronywpaństwietrzecim 7.4.1ListaśrodkówrekompensującychWraziebrakustwierdzeniaodpowiedniegostopniaochronydanychadministratorlubpodmiotprzetwarzającypowinnizastosowaćśrodkirekompensującebrakochronydanychwpaństwietrzecim,zapewniającosobie,którejdanedotyczą,odpowiedniezabezpieczenia.Takieodpowiedniezabezpieczeniamogąpolegaćnaskorzystaniuz:

a)wiążącychregułkorporacyjnych,

b)standardowychklauzulochronydanych przyjętychprzezKomisję,

c)standardowychklauzulochronydanych przyjętychprzezorgannadzorczylub

d)klauzulumownychdopuszczonych przezorgannadzorczy.

7.4.2Odstępstwaodzakazu transferu danychRozporządzenieposzerzakatalogodstępstwodzakazutransferudanychosobowychdopaństwtrzecich.Wszystkieodstępstwaodzakazuzawarteobecnie wdyrektywiepozostanąwmocy.Dodatkowotransferdanychbędzie możliwyrównieżwtedy,gdynp.:

• przekazaniejestniezbędnedozawarciaumowy,

• transferjestkoniecznydlaochronyżywotnychinteresówosoby,którejdanedotyczą,

• przekazaniejestniezbędnedoustalenia,dochodzenialubochronyroszczeń.


23

8Wewnętrznyprogramcompliance8.1Programcompliance podGDPR–czylico?NaskutekwejściawżycieprzepisówRozporządzeniaprzedsiębiorcypowinnidokonaćweryfikacjiobowiązujących unichprogramówcompliancepod kątemspójnościzGDPR. Naprogramcompliance,zgodnieztreściąGDPRskładaćsiębędąm.in.:

• wyznaczenieinspektoraochronydanychosobowych,

• prowadzenierejestruwewnętrznego,

• przeprowadzenieocenyskutkówprzetwarzaniadlaochronydanych,

• wprowadzenieodpowiednichzabezpieczeńdanychiprocedurzwiązanychzochronądanych,

• uwzględnianieochronydanychwfazieprojektowaniaorazdomyślnaochronadanych.

8.2InspektorochronydanychInspektorochronydanychzajmiemiejsceABI.Będziewypełniałzadaniazzakresucomplianceorazwspółpracyzorganemnadzoru.

Wyznaczenieinspektoraochronydanychbędziecodozasadyfakultatywne. Wnastępującychsytuacjachbędzieonojednakobowiązkowe:

a)jeżeligłównadziałalnośćprzedsiębiorcywzakresieprzetwarzaniazewzględunaswójcharakter,zakreslubcelewymagaregularnegoisystematycznegomonitorowaniaosóbnadużąskalę;

b)gdygłównadziałalnośćadministratoralubpodmiotuprzetwarzającegopoleganaprzetwarzaniudanychwrażliwych;

c)jeżeliprzewidujątoprzepisyprawakrajowego;

d)wprzypadkupodmiotówpublicznych.

Wyznaczonyinspektorpowinien posiadaćkwalifikacjewzakresieochronydanychosobowych,byćwłaściwie iterminowoangażowanywewszystkiesprawydotycząceochronydanychwprzedsiębiorstwie,powinienmiećzapewnionewarunkidziałaniaorazniezależność. Możliwebędziewyznaczeniejednegoinspektoradanychosobowychprzez grupęprzedsiębiorców,jeślikażdy zprzedsiębiorcówbędziemógłłatwonawiązaćznimkontakt.

8.3Prowadzeniewewnętrznegorejestru przetwarzania danychRozporządzenieznosiwymógrejestracjizbiorówdanychosobowychizastępuje goobowiązkiemprowadzeniarejestruwewnętrznegooperacjiprzetwarzaniadanychosobowych,jednaktylko wodniesieniudoniektórychprzedsiębiorstw.

Obowiązekprowadzenierejestruwewnętrznegoobejmujeprzedsiębiorcówzatrudniającychpowyżej250pracowników,jeśliprzetwarzaniedanychniesiezagrożeniedlaprawiwolnościosób, niemacharakterusporadycznego lubobejmujedanewrażliwe. Rejestrpowinienuwzględniaćcelprzetwarzaniadanychikategorieodbiorców,którychdaneosobowezostałyujawnioneorazinformacjeotransferzedopaństwtrzecich.Ponadtonaadministratorówipodmiotyprzetwarzającenałożonyzostałobowiązekudostępnieniarejestrunakażdeżądanieorganunadzoru.


24

9Ochronaprywatnościjakoistotny element budowania wizerunkufirmy–ewolucjapodejściadoochronydanychDziękinowymtechnologiompozyskiwaniedanychosobowych,ichprzetwarzanie,anastępniewykorzystywaniewdziałalnościbiznesowejjestzjawiskiemrozwijającymsięniezwykleszybko.Corazwięcejuczestnikówrynkuzdajesobiesprawę zekonomicznejwartościdanych.Zdrugiejstronyrosnącaświadomośćklientów,codozagrożeńwynikającychzudostępnianiadanychorazcorazszerszyzakresprawnychregulacjipowodują,żewceluefektywnegopozyskiwaniadużychilościdanychosobowych,koniecznebędzienietylkodostosowaniedziałalnościdowymogówprawnych,alerównieżzapewnienieochronyprywatnościklientówizdobycieichzaufania.PrzepisyRozporządzeniawychodząnaprzeciwtymzmianom. Pozyskiwanieiwykorzystywaniedanychjestswegorodzajutransakcjąwiązaną.Firmyzbierająogromneilościdanych bylepiejpoznaćswojegoklienta iwkonsekwencjibyćbardziejkonkurencyjnymnarynku,akonsumenciwzamianzaswojedaneoczekująwymiernychkorzyści.Obecniewystarczy,żewrazzprośbąozezwolenienaprzetwarzaniedanychosobowych,oferowanyjestdarmowydostępdoartykułu,bezpłatnaobsługaskrzynkipocztowej,czymożliwośćściągnięciafilmu.Dodatkowo,corazwięcejkonsumentówzdajesobiesprawę,żeudostępnianieszereguinformacjinatematstylużycia,preferencji,czypotrzeb,możebyćźródłemoszczędnościzarównopieniężnych,

jakiczasowych.Dziękistworzeniuprofilukonsumentausługodawcamożezaoferowaćproduktyszytenamiarępodwzględemichfunkcjonalności, atakżeceny.Niemniejjednak,wraz zrozwojemświadomościkonsumenckiejnatematochronydanychosobowych,ichekonomicznejwartościorazrozwojemrynkudanychpersonalnych,przedsiębiorcachcącypozyskaćdaneswojegoklientabędziemusiałzaoferować„coś”więcej, adarmowygadżetczyatrakcyjnyproduktniebędąjużwystarczające. Mimożezapewnieniezgodnościprowadzonejdziałalnościzprzepisamiprawajestniezbędnymelementembudowaniawizerunkufirmy,tonakonkurencyjnymrynkuniejesttojednakwystarczającastrategia.Koniecznejestwdrożeniedodatkowych,nawetniewymaganychprawemdziałańzapewniającychwysokiestandardyochronyprywatnościklientów. Budowaniezaufaniamożebazowaćnadziałaniachmającychnaceluedukowanieklientówwzakresiezagrożeńpłynącychzprzetwarzaniadanychosobowych,atakżerealizowanychprzedsięwzięćgwarantującychwzrostichbezpieczeństwa.Programyedukacyjnepowinnywprosty iprzyjaznysposóbprzekazywaćniezbędne informacje,przykładowowformiefilmuczykomiksu.Niewiedzaozakresieprzetwarzaniadanychpowodujeniepewnośćipodejrzliwość,czego

konsekwencjąmożebyćrezygnacjazusługiczyproduktu.Dobrzepoinformowanyklient,mającyzaufaniedoswojegousługodawcy,zdajesobiesprawę zkonsekwencjiudostępnianiaswoichdanychpersonalnych,alejednocześniewie,żejegoprywatnośćchronionajestprzezprofesjonalistóworazwysokocenisobiekorzyści,któreotrzymujewzamian. Kolejnymelementemstrategiibudowaniazaufaniajestzapewnienieklientomkontrolinadudostępnianymiprzeznichdanymi. Istotnyjestrównieżprzekaz,jakipodmiotpozyskującydanekierujedoswoichklientów.Klientpowinienmiećświadomośćtego,żejegodaneosoboweniezależnieodichudostępnieniapozostająjegowłasnością,pozostająwzakresiejegokontroli,aichprzetwarzaniemanacelujedyniepolepszeniejakościświadczonychnajegorzeczusługipersonalizacjędostarczanychproduktów. Wiedza,kontrolaiwymiernekorzyścitopodstawowekrokibudowaniazaufaniaklientówiwizerunkufirmytroszczącejsięoochronęprywatności.Wniedalekiejprzyszłości,dziękirosnącejświadomościkonsumentównatematwartościichdanychosobowychbraktychkluczowychelementówmożeznaczącopogorszyćpozycjęfirmynarynku.


25

10Uprawnieniaorganównadzorczych,skargiisankcje10.1UwagiogólneDodatkoweuprawnieniaorganównadzorczychorazzwiększeniewysokościnakładanychsankcjiwznaczącysposóbwpłynienadziałalnośćprzedsiębiorców.Ponadto,państwaczłonkowskiezyskałymożliwośćustanawianiaprzepisówprzewidującychsankcjekarnezanaruszenieRozporządzenia,wtymzanaruszeniekrajowychprzepisówprzyjętychnajegomocyiwjegogranicach.Sankcjebędąmogłyrównieżobejmowaćpozbawieniezyskówwynikających znaruszeniaRozporządzenia. 10.2UprawnieniaużytkownikówZgodniezRozporządzeniemkataloguprawnieńużytkowników,którzyuważają,żeichdaneprzetwarzanesąniezgodnie zprawem,obejmowałbędzie:

a)prawodowniesieniaskargidoorganunadzorczego,jeśliużytkowniksądzi,iżprzetwarzaniedanychosobowychjegodotyczącychnaruszaRozporządzenie;

b)prawodoskutecznegośrodkaochronyprawnejprzedsądemprzeciwkoprawniewiążącejdecyzjiorganunadzorczegodotyczącejużytkownika;

c)prawodoskutecznegośrodkaochronyprawnejprzedsądem,przeciwkoadministratorowilubpodmiotowiprzetwarzającemudane.

Wszczęciepostępowaniasądowegoprzeciwkoadministratorowilubpodmiotowiprzetwarzającemudanebędziemożliweniezależnieodskargzłożonychdoorganunadzoru.

Wzwiązkuzpowyższym,administratororazpodmiotprzetwarzającydanebędąmusieliliczyćsięzrealnąmożliwościąponiesieniaodpowiedzialności

administracyjnej,karnejorazcywilnej. 10.3SankcjeKarynakładaneobecnieprzezGIODOmajązasadniczocharakterprzymuszeniatj.sąnakładanewceluzmuszeniapodmiotudowykonaniadecyzjiGIODOiniewystępujączęsto.Rozporządzenieujednolicaorazznaczącopodwyższakaryfinansoweza

naruszenieprzepisówoochroniedanychosobowych.MaksymalnawysokośćkarprzewidzianychwRozporządzeniujestwielokrotniewyższaniżwysokośćkarnakładanychobecnieprzezGIODO.Sankcjemogąwynieśćdo20.000.000EURlubdo4%całkowitegoświatowegoprzychoduzarokpoprzednizauchybieniawochroniedanychosobowych.


PodsumowanieNiniejszyPrzewodnikopracowanyzostał wceluzasygnalizowanianajważniejszychzmian,wprowadzanychprzepisamiRozporządzenia; zmianytemająbowiemniezwykleszerokizakres,obejmującykoniecznośćdostosowaniasięprzez całąorganizację–oddziałówprawnych,compliance, HR,poprzezmarketingiIT. Procesidentyfikacjiistniejącychniezgodności ilukwzakresieochronydanychosobowych wzwiązkuznowymiwymogamiGDPR(obejmujący wszczególnościweryfikacjędokumentacji,procedurorazsystemówIT)wceluokreślenianiezbędnych działańdostosowawczychnależałobywięcrozpocząć jużteraz. Opracowanieniemacharakteruporadyprawnej. Wceluuzyskaniabardziejkompleksowychinformacjiprosimyokontaktznaszymiekspertami.

26


27

DeloitteLegal–doradztwoprawne

Zespółdosprawcyberbezpieczeństwa

AgataJankowska-GalińskaManaging Associate Radca prawnyTel.:+48223483993Mobile:[email protected]

Zbigniew KorbaPartner Radca prawnyTel.:+48223483556Mobile:+48500021 [email protected]

Katarzyna SawickaAssociateTel.:[email protected]

Marcin LudwiszewskiManagerTel:+48223483687 Mobile:[email protected]

Marcin LisieckiManaging AssociateTel.:+48223483769 Mobile:[email protected]

Deloitteświadczyusługiaudytorskie,konsultingowe,doradztwapodatkowego,prawnegoifinansowegoklientomzsektorapublicznegoorazprywatnego,działającymwróżnychbranżach.Dziękiglobalnejsiecifirmczłonkowskichobejmującej150krajówoferujemynajwyższejklasyumiejętności,doświadczenieiwiedzęwpołączeniuzeznajomościąlokalnegorynku.Pomagamyklientomodnieśćsukcesniezależnieodmiejscaibranży,wjakiejdziałają.Ponad244000pracownikówDeloittenaświecierealizujemisjęfirmy:wywieraćpozytywnywpływnaśrodowiskoiotoczenie,wktórymżyjąipracują.

SpecjalistówDeloittełączykulturawspółpracyopartanazawodowejrzetelnościiuczciwości,maksymalnejwartościdlaklientów,lojalnymwspółdziałaniuisile,którączerpiązróżnorodności.Deloittetośrodowiskosprzyjająceciągłemupogłębianiuwiedzy,zdobywaniunowychdoświadczeńorazrozwojowizawodowemu.EksperciDeloittezzaangażowaniemwspółtworząspołecznąodpowiedzialnośćbiznesu,podejmującinicjatywynarzeczbudowaniazaufaniapublicznegoiwspieranialokalnychspołeczności.

NazwaDeloitteodnosisiędojednejlubkilkujednostekDeloitteToucheTohmatsuLimited,prywatnegopodmiotuprawabrytyjskiegozograniczonąodpowiedzialnościąijegofirmczłonkowskich,którestanowiąoddzielneiniezależnepodmiotyprawne.DokładnyopisstrukturyprawnejDeloitteToucheTohmatsuLimitedorazjegofirmczłonkowskichmożnaznaleźćnastroniewww.deloitte.com/pl/onas. ©2017DeloittePolska

Documents

FKSU]HSLVµZ - bpcc.org.plbpcc.org.pl/uploads/ckeditor/attachments/11372/Deloitte_Przewodnik... · 21 02 1 Wstęp 7 1.1 Czym jest GDPR lub RODO? 7 1.2 Od kiedy GDPR zacznie obowiązywać?