Spis treści. Wykaz skrótów 25. Część A Kompendium RODO

Transkrypt

1 RODO : przewodnik ze wzorami / RODO 2018 redakcja Maciej Gawroński ; Aleksander P. Czarnowski, Marcin Dominiak, Aleksandra Gawron, Maciej Gawroński, Michał Kibil, Katarzyna Kloc, Katarzyna Kunda, Patrycja Naklicka, Zuzanna Piotrowska, Paweł Punda, Michał Sztąberek, Magdalena Wojtas. Stan prawny na r. z uwzględnieniem zmian wprowadzonych rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z r. (ogólne rozporządzenie o ochronie danych, Dz.Urz. UE L 119, s. 1) wchodzących w życie z dniem r. Warszawa, 2018 Spis treści Wykaz skrótów 25 Część A Kompendium RODO Rozdział I Zgodność podstawowa RODO - unijna ustawa" o ochronie danych osobowych - Katarzyna Kloc, Maciej Gawroński RODO - nowa ustawa" o ochronie danych osobowych Przedmiot i cel RODO Uwagi wstępne Ochrona osób fizycznych Bezpośredniość Konsekwencje dla polskich przedsiębiorców Prywatność, prawa, bezpieczeństwo - filary RODO Wymagania RODO Ogólnikowość Mierzalność Bezpośredniość Surowość Domniemanie winy Podział funkcjonalny RODO Przedmiotowy i terytorialny zakres stosowania RODO - Katarzyna Kloc, Maciej Gawroński Zakres stosowania RODO Zakres przedmiotowy Wyłączenia stosowania RODO Zakres terytorialny Rodosłowniczek, czyli omówienie podstawowych pojęć RODO wraz z przykładami - Patrycja Naklicka, Aleksandra Gawron 47

2 3.1. Uwagi wstępne Administrator Analiza ryzyka Anonimizacja Czynności przetwarzania danych Dane osobowe Eksport danych GIODO i PUODO Grupa Robocza Art. 29 i Europejska Rada Ochrony Danych Inspektor ochrony danych Naruszenie ochrony danych osobowych Ocena skutków dla ochrony danych Odbiorca Ograniczenie przetwarzania Osoba, której dane dotyczą Personel Podmiot przetwarzający Przetwarzanie Pseudonimizacja Rejestr czynności przetwarzania danych Ryzyko Ustawa o ochronie danych osobowych Zasady przetwarzania danych osobowych - Marcin Dominiak, Maciej Gawroński Wprowadzenie Zasady materialne Zasada formalna - rozliczalność Bliżej o zasadach ochrony danych Zasada legalności, rzetelności i przejrzystości przetwarzania (zgodności z prawem) Legalność Rzetelność Przejrzystość Zasada celowości Zasada minimalizacji danych (adekwatności, proporcjonalności) Zasada prawidłowości (poprawności) Zasada ograniczenia czasowego (czasowości) Zasada bezpieczeństwa (integralności i poufności danych) Poufność Integralność Dostępność Odpowiedniość Zasada rozliczalności Podstawy prawne przetwarzania danych osobowych - Maciej Gawroński, Michał Sztęberek 80

3 5.1. Wstęp Dane osobowe zwykłe" - art. 6-8 RODO Zgoda na przetwarzanie danych osobowych Dobrowolność zgody Konkretność zgody Świadomość zgody Jednoznaczność zgody Forma zgody Zgoda dziecka na usługi społeczeństwa informacyjnego (np. media społecznościowe) Zawarcie i wykonywanie umowy Działania przed zawarciem umowy Wykonywanie umowy Przetwarzanie danych osoby trzeciej Obowiązek prawny Ochrona żywotnych interesów Zadania realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej Uzasadniony interes administratora danych lub strony trzeciej Artykuły 9 i 10 RODO - dane szczególnych kategorii i dane karne" - Maciej Gawroński, Michał Sztąberek Przesłanka zgody Przetwarzanie wynikające ze stosunku pracy jest dozwolone prawem Ochrona żywotnych interesów Stowarzyszanie się Dane upublicznione Sprawy sądowe Na podstawie prawa dla ważnego interesu publicznego Dane karne" Zgoda jako podstawa przetwarzania danych - Maciej Gawroński Wstęp Podstawa prawna Zgoda dziecka Warunki wyrażenia zgody Rozliczalność Retencja (okres ważności zgody) Równołatwość cofnięcia zgody Wybór podstawy przetwarzania Ważność starych" zgód Administrator i podmiot przetwarzający - Maciej Gawroński, Katarzyna Kloc, Magdalena Wojtas Wstęp Administrator danych osobowych - definicja, cechy, obowiązki 116

4 Definicja Każdy jest ADO Co przesądza, że dany podmiot jest ADO? Decydowanie o celach i środkach przetwarzania Praktyczny test ADO Rola ADO Obowiązki ADO Podmiot przetwarzający - definicja, cechy, rola i obowiązki Definicja Rola podmiotu przetwarzającego Wiarygodność i wystarczające gwarancje Umowa z ADO Obowiązki wynikające z umowy z ADO Obowiązki wynikające z RODO Porównanie roli i obowiązków ADO i podmiotu przetwarzającego Przetwarzanie danych niewymagające identyfikacji - Maciej Gawroński Wprowadzenie Brak obowiązku identyfikacji Brak obowiązku monitorowania Obowiązki informacyjne Obowiązek poinformowania osób niezidentyfikowanych" o niemożności zidentyfikowania - jeśli to możliwe Umożliwienie wykonania praw jednostki Bezpieczeństwo Minimalizacja (dostępu i czasu) Rejestrowanie czynności przetwarzania danych - Katarzyna Kloc Własny rejestr zamiast zgłaszania do GIODO RCPD - podstawa rozliczalności Czynność przetwarzania danych Czynności realizowane w tym samym celu Czynności klasyfikowane w inny sposób RCPD dla małych" i dużych" - różnice Czy każdy musi prowadzić RCPD? Zatrudnienie 250 osób Przetwarzanie wysokiego ryzyka Zakres informacji w RCPD - administratorzy danych Zakres informacji w RCPD - podmioty przetwarzające dane Forma RCPD Osoba odpowiedzialna za prowadzenie RCPD Przekazywanie danych do państwa trzeciego lub organizacji międzynarodowej (eksport danych) - Maciej Gawroński Reglamentacja eksportu danych 148

5 11.2. Praktyczne utrudnienie eksportu danych Legalność eksportu danych Podstawy eksportu danych Dodatkowe podstawy przekazania Przekazanie naprawdę wyjątkowe" Zarejestrowanie przekazania wyjątkowego Zakaz sądowej samopomocy - ucinanie długiej ręki" Podsumowanie Przetwarzanie transgraniczne, czyli właściwość wiodącego organu nadzorczego (art. 4 pkt 16 i 23, art. 56 RODO) - Maciej Gawroński Wstęp One-stop-shop Przetwarzający Administratorzy Przetwarzanie lokalne Zasięg lokalny Prawo holdingowe Wytyczne Grupy Roboczej Art Wnioski Współadministrowanie danymi osobowymi - Maciej Gawroński Wstęp Przykłady współadministrowania danymi Współadministrowania lepiej unikać Obowiązki współadministratorów Umowa o współadministrowanie Treść umowy, analogia do powierzenia danych Ujawnienie podmiotom danych Transgraniczne współadministrowanie Wnioski Kodeksy postępowania i certyfikacja (art. 40 i n. RODO) - Paweł Punda, Aleksander P. Czarnowski, Maciej Gawroński Wstęp Kodeksy Opracowanie Zatwierdzanie Certyfikacja Schematy certyfikacyjne Prace legislacyjne Korzyści Brak Urzędu Projekty kodeksów Certyfikacja prywatna 169

6 Rozdział II Prawa jednostki Obsługa praw jednostki (art. 12 RODO) - Maciej Gawroński, Michał Kibil Wstęp Czytelność komunikowania się Czytelnie i zwięźle Kompletność Niecytowanie przepisów Dzieci Test Kowalskiego Uwierzytelnienie Potwierdzenie tożsamości Pogłębione uwierzytelnienie Forma komunikacji Ułatwianie Obsługa danych niezidentyfikowanych Czas reakcji i czas obsługi Nieuzasadnione lub nadmierne żądania Nieuzasadnione żądanie Nadmierne żądanie Schemat działania administratora Prawo do informacji i obowiązek informacyjny (art. 13 i 14 RODO) - Maciej Gawroński Uwagi wstępne Zakres informacji Pozyskiwanie od osoby Pozyskiwanie nie od osoby Zmiana celu Prawo dostępu Szczegóły informacji Podstawa prawna Kategorie odbiorców i odbiorcy Eksport danych Profilowanie Kiedy i jak informować Kiedy informować? Podczas pozyskiwania od osoby W ciągu miesiąca - z innych źródeł Aktualizacja informacji Informowanie osób niezidentyfikowanych (art. 11 ust. 2 RODO) Jak informować? Przejrzystość Dostępność Konkretność 189

7 2.5. Wyjątki od obowiązku informowania Prawo dostępu do danych (art. 15 RODO) - Maciej Gawroński, Michał Sztąberek Wstęp Terminy Informacje Dostęp Kopia danych Prośba o sprecyzowanie Odmowa Prawa innych Uwierzytelnienie i komunikacja Regulaminy i procedury Mapowanie danych, narzędzia eksploracji danych (data mining), narzędzia do tzw. ticketowania Podsumowanie Prawo do sprostowania danych (art. 16 RODO) - Maciej Gawroński, Michał Sztąberek Wstęp Zagadnienia ogólne - tryb uwierzytelnienia i komunikacji Element sporu Prawo do skargi Styl Wykazanie nieprawidłowości danych Dane nieaktualne czy nieprawidłowe Zakres korekty danych Uzupełnienie danych niekompletnych Adekwatność danych Podstawa aktualizacji Obowiązek powiadomienia Prawo do usunięcia danych, prawo do bycia zapomnianym (art. 17 RODO) - Maciej Gawroński, Katarzyna Kunda Historia prawa do bycia zapomnianym Składniki prawa do bycia zapomnianym Podstawy żądania usunięcia danych Zbędność do celów przetwarzania Cofnięcie zgody Wniesienie sprzeciwu Przetwarzanie niezgodne z prawem Prawny obowiązek usunięcia danych Oferowanie usług społeczeństwa informacyjnego dzieciom Wyjątki Korzystanie z praw do wolności wypowiedzi i informacji Wywiązanie się z obowiązku prawnego lub zadania realizowanych

8 w interesie publicznym albo w ramach wykonywania władzy publicznej Interes publiczny w ochronie zdrowia publicznego Cele archiwalne, badania naukowe, historyczne, cele statystyczne Ustalenie, dochodzenie, obrona roszczeń Zakres usunięcia danych Przetwarzanie w celu realizacji prawa do usunięcia danych i prawa do bycia zapomnianym Przetwarzanie w celu zapewnienia bezpieczeństwa - problem kopii zapasowych i archiwalnych Jak wszyscy, to wszyscy Problem bezpieczeństwa i ciągłości działania Problem rozliczalności Problem praktyczny - zasoby i proces Rozwiązanie Problem danych nieustrukturyzowanych Poinformowanie innych administratorów Ograniczenie obowiązku poinformowania Listy kontrolne Przygotowanie do RODO - wprowadzenie prawa do bycia zapomnianym do organizacji Przetworzenie żądania usunięcia danych Prawo do ograniczenia przetwarzania (art. 18 RODO) - Michał Sztąberek, Maciej Gawroński Ograniczenie przetwarzania Prawo do ograniczenia przetwarzania Ograniczenie w razie sporu co do prawidłowości danych Ograniczenie w razie niezgodności z prawem Ograniczenie dla potrzeb roszczeń Ograniczenie w razie sprzeciwu ze względu na szczególną sytuację Sposób zastosowania się do żądania ograniczenia przetwarzania Obowiązek powiadomienia Prawo do przenoszenia danych, czyli jak przenieść dane od jednego administratora danych do drugiego (art. 20 RODO) - Aleksander P Czarnowski, Maciej Gawroński, Paweł Punda Wstęp Na czym dokładnie polega prawo przenoszenia danych? Kiedy można skorzystać z prawa do przenoszenia danych? Jaki zakres danych należy przekazać? W jaki sposób należy zrealizować prawo do przeniesienia danych? Wyjątki Prawa osób trzecich Przenoszenie danych, które są równocześnie danymi wnioskodawcy i danymi innej osoby Kogo przenoszenie danych dotyczy najbardziej? 234

9 Bezpieczeństwo Kwestia techniczna Prawo do sprzeciwu (art. 21 RODO) - Maciej Gawroński, Michał Sztęberek Prawo do sprzeciwu Sprzeciw ze względu na szczególną sytuację osoby Prawnie uzasadnione interesy Roszczenia i spory Interes publiczny lub władza publiczna Przetwarzanie danych na potrzeby marketingu bezpośredniego Sprzeciw względem marketingu bezpośredniego a cofnięcie zgody na przetwarzanie Sprzeciw względem marketingu bezpośredniego a zgoda na zdalną komunikację marketingową Skuteczne wniesienie sprzeciwu na przetwarzanie danych Jak powinien być składany sprzeciw Profilowanie i automatyczne podejmowanie decyzji (art. 22 RODO) - Michał Kibil Wstęp Definicja profilowania z RODO Automatyzacja Dane osobowe Efekt Czynności traktowane jako profilowanie Obowiązki administratora danych osobowych związane z profilowaniem lub automatycznym podejmowaniem decyzji, lub podejmowaniem decyzji w oparciu o profilowanie Obowiązki ogólne administratora Informowanie o decydowaniu automatycznym i w oparciu o profilowanie Ile razy informować Zmiana celu Profilowanie danych ze starej" ustawy o ochronie danych osobowych Prawo sprzeciwu Profilowanie a podejmowanie zautomatyzowanych decyzji Środki bezpieczeństwa Kiedy można stosować decyzje zautomatyzowane lub oparte wyłącznie na profilowaniu Prawo do ludzkiej interwencji Proces reklamacyjny Automatyczne uwierzytelnienie Profilowanie dzieci Zautomatyzowane decyzje dotyczące danych wrażliwych Wnioski 262

10 Rozdział III Bezpieczeństwo Bezpieczeństwo danych w świetle RODO - analiza ryzyka i adekwatność środków - Aleksander P. Czarnowski, Maciej Gawroński Bezpieczeństwo odpowiednie do ryzyka Ryzyko Ryzyko naruszenia praw lub wolności Analiza ryzyka Elementy oceny adekwatności środków bezpieczeństwa danych Stan wiedzy technicznej Koszt Cechy samego przetwarzania Ryzyko naruszenia praw lub wolności Nie trzeba wymyślać procesu samemu? Środki bezpieczeństwa Jak z tego wybrnąć na skróty? Pseudonimizacja i szyfrowanie - preferowane środki zabezpieczania danych osobowych - Aleksander P Czarnowski, Maciej Gawroński, Paweł Punda Uwagi wstępne Szyfrowanie Pseudonimizacja Anonimizacja Pseudonimizacja czy szyfrowanie Bezpieczeństwo Analiza ryzyka Ocena skutków dla ochrony danych Metodyka analizy ryzyka Privacy by design Notyfikacja naruszeń ochrony danych Zastosowania biznesowe pseudonimizacji Podsumowanie Privacy by design, czyli projektowanie prywatności - Maciej Gawroński, Katarzyna Kunda Privacy by design Z czego się składa projektowanie prywatności Bezpieczeństwo Pseudonimizacja Minimalizacja Jak wdrożyć privacy by design w organizacji? Projektowanie prywatności w konkretnym projekcie Zasady projektowania prywatności Od kiedy projektować prywatność 297

11 3.2. Certyfikacja projektowania prywatności i domyślnej prywatności Privacy by default, czyli domyślna ochrona danych minimalizacja - Maciej Gawroński, Katarzyna Kunda Zasada privacy by default Privacy by default, czyli minimalizacja Atrybuty domyślnej prywatności Wskazówki praktyczne Udostępnianie nieokreślonej liczbie osób Certyfikacja projektowania prywatności i domyślnej prywatności Ocena skutków dla ochrony danych krok po kroku - Katarzyna Kloc Uwagi wstępne Kwalifikowana" analiza ryzyka i rozliczalność Podobne procesy, jedna DPIA Analiza ryzyka do kwadratu Analiza ryzyka Jak w praktyce można przeprowadzić analizę ryzyka pierwszego stopnia i mieć wstępny przegląd operacji wymagających DPIA? DPIA - kiedy trzeba? Duża skala Wytyczne Grupy Roboczej Art Jak określić, czy w naszej firmie należy przeprowadzić DPIA i w odniesieniu do których procesów? Urzędowy katalog operacji DPIA Kiedy nie trzeba przeprowadzać DPIA? DPIA krok po kroku Uwagi ogólne IOD Eksperci Reprezentanci grup docelowych Uprzednie konsultacje z organem nadzorczym Wytyczne GIODO 320 Rozdział IV Przetwarzający dane Powierzenie danych oraz elementy nowej umowy powierzenia danych - Aleksander P. Czarnowski, Maciej Gawroński, Patrycja Naklicka Uwagi wstępne Opis gwarancji zgodności Pisemna umowa Zgoda na podpowierzenie danych Transfer obowiązków na podprzetwarzającego Zakaz wydmuszki" Przedmiot przetwarzania Pisemność poleceń ADO 324

12 1.9. Zobowiązania do poufności Bezpieczeństwo danych Obsługa praw jednostki Wsparcie obowiązków bezpieczeństwa administratora Notyfikacja podejrzenia naruszenia ochrony danych Usuwanie i zwrot danych Obowiązek rozliczenia się ze zgodności z umową Podleganie audytom Odpłatność Informowanie o legalności poleceń Procedura rozstrzygania legalności Zasady odpowiedzialności Wyznaczanie inspektora ochrony danych Powierzenie danych oraz elementy nowej umowy powierzenia danych - Aleksander P. Czarnowski, Maciej Gawroński, Patrycja Naklicka Umowy powierzenia a umowy SLA Dostępność systemu SLA i czas reakcji SLA w praktyce Standaryzacja umów SLA a zgodność z RODO Nowe wyzwania dla administratora i procesora Rekomendacje 332 Rozdział V Zarządzanie incydentami Zgłaszanie naruszeń ochrony danych osobowych organowi nadzorczemu (art. 33 RODO) - Maciej Gawroński, Zuzanna Piotrowska Przepis Co to jest naruszenie ochrony danych osobowych? Naruszenie ochrony danych wg Grupy Roboczej Art Naruszenie poufności Naruszenie dostępności Naruszenie integralności Czy każde naruszenie trzeba zgłaszać? Procedura zgłaszania Termin dla administratora Termin dla przetwarzającego Stwierdzenie naruszenia Zgłoszenie - treść i forma Powiadamianie z opóźnieniem Obowiązki podmiotu przetwarzającego Kiedy mimo wystąpienia incydentu naruszenia ochrony danych nie trzeba powiadamiać organu nadzorczego? Kwestie praktyczne Dokumentowanie naruszeń 346

13 Sankcja administracyjna Elementy systemu zgłaszania naruszeń Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych (art. 34 RODO) - Katarzyna Kloc, Maciej Gawroński Wstęp Wysokie ryzyko naruszenia praw lub wolności Prawa i wolności Wyjątki od obowiązku zawiadomienia Działania prewencyjne Działania następcze Zawiadomienie Treść zawiadomienia Forma zawiadomienia Ogłoszenie w miejscu zawiadomienia Termin zawiadomienia Uzgodnienia z organem nadzorczym 354 Rozdział VI Inspektor ochrony danych (IOD) Inspektor ochrony danych - wyznaczenie i status - Michał Kibil, Maciej Gawroński IOD - ewolucja czy rewolucja Kto ma obowiązek wyznaczenia inspektora ochrony danych? Organ lub podmiot publiczny Działalność wymagająca systematycznego i regularnego monitorowania oraz przetwarzanie na dużą skalę Główna działalność Monitorowanie osób Działanie w ramach zrzeszeń i grup przedsiębiorców Kwalifikacje IOD Zatrudnienie IOD Status inspektora danych Obowiązki administratora względem IOD Niezależność IOD Zadania inspektora ochrony danych osobowych - Michał Kibil, Maciej Gawroński Wstęp Informacje poufne oraz unikanie konfliktu interesów Zadania inspektora ochrony danych 370 Rozdział VII Regulator Organ nadzorczy - status, rola i obowiązki - Katarzyna Kunda, Patrycja Nakłicka, Zuzanna Piotrowska 372

14 1.1. Niezależność Cechy i gwarancje niezależności Członkowie organu nadzorczego Wybór Okres kadencji - konflikt interesów Rola organu nadzorczego Kompetencje z art. 57 RODO Bezpłatność Uprawnienia organu nadzorczego z zakresu ochrony danych Osobowych - Katarzyna Kunda, Patrycja Naklicka, Zuzanna Piotrowska Wstęp Uprawnienia kontrolne Rodzaje i techniki kontroli Przebieg kontroli Zakres kontroli Uprawnienia pokontrolne Obowiązek zachowania tajemnicy Kary przewidziane przez RODO Udzielanie zezwoleń i kompetencje doradcze Obowiązek rozpatrywania skarg przez PUODO 381 Rozdział VIII Środki ochrony prawnej, odpowiedzialność i sankcje Środki ochrony prawnej - odpowiedzialność cywilnoprawna i administracyjna - Maciej Gawroński Wstęp Skarga do organu nadzorczego Skarga do sądu (administracyjnego) na organ nadzorczy Odpowiedzialność cywilnoprawna - żądanie zaniechania lub zachowania Prawo do sądu Właściwość miejscowa sądu Tryb procesowy Odpowiedzialność odszkodowawcza Szkoda majątkowa i niemajątkowa Administrator i przetwarzający Uwolnienie się od odpowiedzialności Domniemanie winy Współodpowiedzialność Właściwość sądu Proces cywilny Reprezentacja podmiotów danych przez wyspecjalizowane podmioty 390

15 2. Sankcje administracyjne za naruszenie przepisów RODO - Maciej Gawroński Wstęp Komu grożą kary? Jakie powinny być kary? Kara większa i kara mniejsza Księgowość karania Konfiskata korzyści z rodoprzestępstwa" Odpowiedzialność podmiotu przetwarzającego - Maciej Gawroński 394 Część В Wzory dokumentów Wzór nr 1a. Klauzula zgody na przetwarzanie danych osobowych zwykłych 399 Wzór nr 1b. Klauzula zgody na przetwarzanie danych osobowych szczególnych kategorii" 400 Wzór nr 2. Klauzula informacyjna o prawie do cofnięcia zgody 402 Wzór nr 3. Klauzula informacyjna o przetwarzaniu danych 403 Wzór nr 4. Klauzula informacyjna w przypadku współadministrowania danymi 411 Wzór nr 5. Klauzula o zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu - element klauzuli informacyjnej 413 Wzór nr 6. Umowa powierzenia przetwarzania danych osobowych 415 Wzór nr 7. Szczegółowa klauzula zgody na podpowierzenie 426 Wzór nr 8. Sprzeciw administratora danych osobowych wobec podpowierzenia 427 Wzór nr 9. Upoważnienie do przetwarzania danych osobowych 428 Wzór nr 10. Klauzula informacyjna dla osoby, której dane dotyczą, o przekazaniu jej danych do państwa trzeciego 430 Wzór nr 11. Polityka ochrony danych osobowych 433 Wzory rejestrów Wzór Rejestru Czynności Przetwarzania Danych 455 Tożsamość administratora 455 Rejestr przetwarzającego 456 RCPDADO wklejka Wzór Rejestru Naruszeń Ochrony Danych Osobowych wklejka oprac. BPK