Rozporządzenie UE o ochronie danych osobowych
Biznes od nowa? Zmiany dla przedsiębiorców
Confidential information for the sole benefit and use of PwC’s client.
1
Konferencja prasowa
PwC’s Digital Services 2
Dwadzieścia lat temu Dzisiaj
On the Internet, nobody
knows you’re a dog
2 sons
Sister is a lawyer
Married
Likes: Asian cuisine
Dislikes: cars
Age: 38-39
Lives in New York City
Occupation: textile designer
Wi-fi warrior
ZIP code: 1070
Sister is a lawyer
Politicaly active
Married
Likes: Asian cuisine Household income: $100,000+
Owns a laptop
Likes: retail
Likes: fashion
Mother: Rosalind Burd
Prevoius address: 711 Willox Ave,
NY
Likes: cooking & recipes Works in: Textile productions
Spent $180 on intimate app &
undergarments on Oct. 10, 2016
Likes: business & finance
PwC’s Digital Services
Czym są dane osobowe?
Zgodnie z artykułem 4 pkt. 1 RODO:
„dane osobowe” oznaczają informacje o zidentyfikowanej
lub możliwej do zidentyfikowania osobie fizycznej
Nie tylko imię i nazwisko, ale także informacje, które choćby pośrednio określają osobę,
której dane dotyczą, między innymi:
- płeć,
- wiek,
- używany telefon,
- fryzura,
- zegarek,
- wybierana marka ubrań
3
PwC’s Digital Services
Agenda
4
1. Czym jest RODO?
2. Nowe obowiązki przedsiębiorców
3. Sankcje i ryzyko związane
z niewykonywaniem wymagań RODO
4. Co należy wiedzieć o wdrożeniu
RODO?
1. Czym jest RODO?
Confidential information for the sole benefit and use of PwC’s client.
5
PwC’s Digital Services
RODO ROZPORZĄDZENIE O
OCHRONIE DANYCH
OSOBOWYCH
6
Rozporządzenie Parlamentu Europejskiego i Rady
(UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie
ochrony osób fizycznych w związku z przetwarzaniem
danych osobowych i w sprawie swobodnego
przepływu takich danych oraz uchylenia dyrektywy
95/46/WE (ogólne rozporządzenie o ochronie
danych osobowych)
PwC’s Digital Services
Droga do rozporządzenia
RODO – podstawowe informacje
7
• Europoseł Jan Philip Albrecht,
sprawozdawca nowego rozporządzenia
o ochronie danych osobowych nazwał
„dane ropą 21 wieku”: najcenniejszym
i najbardziej pożądanym dobrem na
zdigitalizowanym i zglobalizowanym rynku
• Krótko mówiąc: „Nie masz danych, nie
masz ropy”
• Uzgodnienie treści nowych przepisów
prawa ochrony danych osobowych zajęło
państwom członkowskim UE cztery lata
• RODO zastąpi starą i nieaktualną
dyrektywę, przyjętą przez wspólnotę w 1995
roku – dwadzieścia lat temu
• RODO zostało zaprojektowane by
zharmonizować prawo ochrony danych
osobowych w Europie
• Rozporządzenie weszło w życie 24 maja
2016 r. Rozporządzenie jest stosowane
wprost, dlatego jest wiążącym prawem dla
wszystkich przedsiębiorców (i zastąpi
przepisy polskiej ustawy o ochronie danych
osobowych)
• Dostosowanie się do wymagań RODO musi
być zadaniem priorytetowym dla firm.
W przypadku niespełnienia kompleksowych
zaleceń RODO czekają na nie gigantyczne
kary
• Obecnie trwa okres ustanowiony dla
przedsiębiorców na wdrożenie wymagań
rozporządzenia, które w pełni stosowane
będzie od 25 maja 2018 roku
Dlaczego dane są cenne?
RODO nakłada nowe obowiązki
na firmy
PwC’s Digital Services
Co nowe prawo
oznacza dla
firm?
8
1. Czy rozporządzenie dotyczy mojej firmy?
2. Ile czasu mamy na dostosowanie się do
nowego rozporządzenia?
3. Czy możemy nadal przetwarzać dane
uzyskane wcześniej?
4. Co dalej z organizacją bezpieczeństwa
w firmie?
5. Czy muszę ograniczyć wymianę danych
ze spółkami z grupy kapitałowej?
PwC’s Digital Services
Jak RODO zmienia podejście do ochrony danych osobowych?
Przed uchwaleniem RODO Po uchwaleniu RODO
Różne przepisy
w każdym kraju członkowskim UE
Jednolite rozporządzenie, obowiązujące w takim
samych brzmieniu
na terenie całej Unii Europejskiej
Podejście od strony jednorazowej (początkowej)
oceny potrzeb ochrony danych osobowych
Podejście od strony każdorazowej analizy ryzyka.
Ochrona danych osobowych jako ciągły proces
Możliwość podjęcia działań korygujących
po wykryciu naruszenia, prowadzących do
oddalenia ryzyka sankcji
Istotne ograniczenie lub brak możliwości działań
korygujących (oddalających ryzyko sankcji)
po wykryciu nieprawidłowości
Ograniczone realne możliwości
egzekwowania zgodności z przepisami
Odstraszające kary, które wesprą egzekwowanie
zgodności z przepisami RODO
9
2. Nowe obowiązki przedsiębiorców
Confidential information for the sole benefit and use of PwC’s client.
10
PwC’s Digital Services
RODO – zmiana zasad działania w ochronie danych osobowych
11
Transparentność działań
Dowody na
zapewnienie zgodności
Kary finansowe
Pozwy
Rozbudowane prawo do
informacji, prawo do bycia
zapomnianym
Rejestr operacji przetwarzania
danych, Privacy Impact Assessment
Do 20 mln euro lub 4%
wartości rocznego obrotu
Zgłaszanie incydentów
Współpraca organów
nadzoru
Krótki czas na zgłoszenie,
wysokie kary za brak
zgłoszenia
Brak ograniczenia
terytorialnego kompetencji
organów nadzoru
Zwiększona kontrola
obywatelska
PwC’s Digital Services
Porównanie obowiązków administratorów danych (1/2)
12
Obowiązek Obecne przepisy Nowe przepisy
Przetwarzania na podstawie prawnej
Zgoda na piśmie w określonych sytuacjach
Wykonania obowiązku informacyjnego
Powierzenia przetwarzania danych umową
Zabezpieczenia danych
Uwzględnienia ochrony danych w fazie projektowania
Prowadzenia dokumentacji operacji przetwarzania danych
(rozbudowany)
PwC’s Digital Services
Porównanie obowiązków administratorów danych (1/2)
13
Obowiązek Obecne przepisy Nowe przepisy
Oceny skutków w zakresie ochrony danych
Zgłaszania naruszenia ochrony danych
Konsultowania przetwarzania danych z GIODO
Rejestrowania zbiorów danych
Powołania administratora bezpieczeństwa informacji / inspektora ochrony
danych
W wybranych
sektorach
(zwolnienia gdy
podmiot jest zarejes-
trowany w ABI)
w określonych
przypadkach
3. Sankcje i ryzyko związane z niewykonywaniem wymagań RODO
Confidential information for the sole benefit and use of PwC’s client.
14
PwC’s Digital Services
Sankcje i ryzyko związane z niewykonywaniem wymagań RODO
15
• Kontrole organów
nadzoru
• Sankcje
administracyjne
• Sankcje karne
• Problemy
z działalnością na
terenie UE
• Zakaz transferu danych
• Ograniczenie
prowadzonych działań
• Kary finansowe
• Utrata przychodów
• Koszty procesowe
• Odszkodowania
• Utrata zaufania
klientów
• Utrata zaufania
pracowników
• Spadek siły marki
i odejście klientów
Ryzyko regulacyjne Ryzyko operacyjne Ryzyko finansowe Ryzyko reputacyjne
4. Co należy wiedzieć o wdrożeniu RODO?
Confidential information for the sole benefit and use of PwC’s client.
16
PwC’s Digital Services
RODO to wyzwanie dla firmy
17
Wymagania RODO mają wpływ na wiele obszarów działalności firmy:
Prawny
Obsługa
klienta HR
Marketing
CISO/IT Prywatność
Wpływ
na firmę
• Wyznaczenie inspektora
• Wymagania dla Privacy by Design
• Wymagania dla PIA
• Transfer danych
• Określenie kontrolerów
i procesorów danych
• Uwzględnienie RODO w
standardach umownych
• Informowanie regulatora
• Prawo do dostępu i zmiany
• Prawo do bycia zapomnianym
• Dialog z klientami
• Bezpieczeństwo przez cały cykl życia
informacji
• Przenoszenie danych
• Prawa dostępu, uwierzytelnienie
• Znaczniki i logi zgód
• Obsługa incydentów
• Uwzględnienie zgody lub jej braku
• Ograniczenia dostępu do danych
• Profilowanie
• Szkolenia
• Dostęp do danych
• Prawo do bycia zapomnianym
• Dialog z pracownikami
PwC’s Digital Services
RODO: od czego zacząć?
18
Podstawą do rozpoczęcia przygotowań do zgodności z RODO jest zrozumienie zakresu przetwarzanych danych oraz sposobu ich wykorzystania, przenoszenia i udostępniania
Zrozumienie po co,
gdzie i jak
przetwarzane
i przekazywane są
dane osobowe
Inwentaryzacja
danych
Identyfikacja ryzyka
na bazie aktualnego
i przyszłego
sposobu
postępowania
z danymi
Ocena ryzyka Ocena stanu
obecnego
Ustalenie luk
w systemie ochrony
danych osobowych
Wdrożenie
i program
naprawczy
Zaplanowanie
i realizacja działań
wdrożeniowych
i naprawczych
Gotowość do
kontroli
Przygotowanie
sposobu podejścia do
kontroli organów
nadzoru
i egzekwowania praw
osób, których dane
dotyczą
Ciągłe
monitorowanie
Budowa
mechanizmów
zapewniania ciągłej
zgodności
1 2 3 4 5 6
19
Tylko 369 dni roboczych na pełne wdrożenie
Zmiana jakościowa przepisów: wyznaczony
cel, a nie dokładna ścieżka postępowania
Podejście od strony analizy ryzyka
Ciągły proces w miejsce jednorazowych
działań
Brak możliwości „przywrócenia terminu”
na wykonanie niektórych obowiązków
Każdy przedsiębiorca zobowiązany
do wdrożenia RODO
Podsumowanie
PwC’s Digital Services
16/10/27
Dziękujemy za uwagę
Sylwia Pusz
Partner
Tel.: +48 603 33 33 09
Anna Kobylańska
Adwokat
Tel.: +48 519 50 62 26
Łukasz Ślęzak
Menadżer
Tel.: +48 519 50 66 94