przewodnik ze wzorami redakcja Maciej Gawroński RODO 2018

Transkrypt

1 RODO przewodnik ze wzorami redakcja Maciej Gawroński Aleksander P. Czarnowski, Marcin Dominiak Aleksandra Gawron, Maciej Gawroński Michał Kibil, Katarzyna Kloc, Katarzyna Kunda Patrycja Naklicka, Zuzanna Piotrowska, Paweł Punda Michał Sztąberek, Magdalena Wojtas RODO 2018

2 RODO przewodnik ze wzorami redakcja Maciej Gawroński Aleksander P. Czarnowski, Marcin Dominiak Aleksandra Gawron, Maciej Gawroński Michał Kibil, Katarzyna Kloc, Katarzyna Kunda Patrycja Naklicka, Zuzanna Piotrowska, Paweł Punda Michał Sztąberek, Magdalena Wojtas Zamów książkę w księgarni internetowej WARSZAWA 2018

3 Stan prawny na r. z uwzględnieniem zmian wprowadzonych rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z r. (ogólne rozporządzenie o ochronie danych, Dz.Urz. UE L 119, s. 1) wchodzącym w życie z dniem r. Wydawca Monika Pawłowska Redaktor prowadzący Joanna Tchorek Opracowanie redakcyjne Grażyna Polkowska-Nowak Łamanie Fotoedytor Ta książka jest wspólnym dziełem twórcy i wydawcy. Prosimy, byś przestrzegał przysługujących im praw. Książkę możesz udostępnić osobom bliskim lub osobiście znanym, ale nie publikuj jej w internecie. Jeśli cytujesz fragmenty, nie zmieniaj ich treści i koniecznie zaznacz, czyje to dzieło. A jeśli musisz skopiować część, rób to jedynie na użytek osobisty. SZANUJMY PRAWO I WŁASNOŚĆ Więcej na P L K I B K Copyright by Wolters Kluwer Polska Sp. z o.o., 2018 ISBN Dział Praw Autorskich Warszawa, ul. Przyokopowa 33 tel ksiazki@wolterskluwer.pl księgarnia internetowa

4 Spis treści Spis treści SPIS TREŚCI Wykaz skrótów Część A Kompendium RODO Rozdział I Zgodność podstawowa RODO unijna ustawa o ochronie danych osobowych Katarzyna Kloc, Maciej Gawroński RODO nowa ustawa o ochronie danych osobowych Przedmiot i cel RODO Uwagi wstępne Ochrona osób fizycznych Bezpośredniość Konsekwencje dla polskich przedsiębiorców Prywatność, prawa, bezpieczeństwo filary RODO Wymagania RODO Ogólnikowość Mierzalność Bezpośredniość Surowość Domniemanie winy Podział funkcjonalny RODO Przedmiotowy i terytorialny zakres stosowania RODO Katarzyna Kloc, Maciej Gawroński Zakres stosowania RODO

5 6 Spis treści Zakres przedmiotowy Wyłączenia stosowania RODO Zakres terytorialny Rodosłowniczek, czyli omówienie podstawowych pojęć RODO wraz z przykładami Patrycja Naklicka, Aleksandra Gawron Uwagi wstępne Administrator Analiza ryzyka Anonimizacja Czynności przetwarzania danych Dane osobowe Eksport danych GIODO i PUODO Grupa Robocza Art. 29 i Europejska Rada Ochrony Danych Inspektor ochrony danych Naruszenie ochrony danych osobowych Ocena skutków dla ochrony danych Odbiorca Ograniczenie przetwarzania Osoba, której dane dotyczą Personel Podmiot przetwarzający Przetwarzanie Pseudonimizacja Rejestr czynności przetwarzania danych Ryzyko Ustawa o ochronie danych osobowych Zasady przetwarzania danych osobowych Marcin Dominiak, Maciej Gawroński Wprowadzenie Zasady materialne Zasada formalna rozliczalność Bliżej o zasadach ochrony danych Zasada legalności, rzetelności i przejrzystości przetwarzania (zgodności z prawem)

6 Spis treści Legalność Rzetelność Przejrzystość Zasada celowości Zasada minimalizacji danych (adekwatności, proporcjonalności) Zasada prawidłowości (poprawności) Zasada ograniczenia czasowego (czasowości) Zasada bezpieczeństwa (integralności i poufności danych) Poufność Integralność Dostępność Odpowiedniość Zasada rozliczalności Podstawy prawne przetwarzania danych osobowych Maciej Gawroński, Michał Sztąberek Wstęp Dane osobowe zwykłe art. 6 8 RODO Zgoda na przetwarzanie danych osobowych Dobrowolność zgody Konkretność zgody Świadomość zgody Jednoznaczność zgody Forma zgody Zgoda dziecka na usługi społeczeństwa informacyjnego (np. media społecznościowe) Zawarcie i wykonywanie umowy Działania przed zawarciem umowy Wykonywanie umowy Przetwarzanie danych osoby trzeciej Obowiązek prawny Ochrona żywotnych interesów Zadania realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej

7 8 Spis treści Uzasadniony interes administratora danych lub strony trzeciej Artykuły 9 i 10 RODO dane szczególnych kategorii i dane karne Maciej Gawroński, Michał Sztąberek Przesłanka zgody Przetwarzanie wynikające ze stosunku pracy jest dozwolone prawem Ochrona żywotnych interesów Stowarzyszanie się Dane upublicznione Sprawy sądowe Na podstawie prawa dla ważnego interesu publicznego Dane karne Zgoda jako podstawa przetwarzania danych Maciej Gawroński Wstęp Podstawa prawna Zgoda dziecka Warunki wyrażenia zgody Rozliczalność Retencja (okres ważności zgody) Równołatwość cofnięcia zgody Wybór podstawy przetwarzania Ważność starych zgód Administrator i podmiot przetwarzający Maciej Gawroński, Katarzyna Kloc, Magdalena Wojtas Wstęp Administrator danych osobowych definicja, cechy, obowiązki Definicja Każdy jest ADO Co przesądza, że dany podmiot jest ADO? Decydowanie o celach i środkach przetwarzania Praktyczny test ADO

8 Spis treści Rola ADO Obowiązki ADO Podmiot przetwarzający definicja, cechy, rola i obowiązki Definicja Rola podmiotu przetwarzającego Wiarygodność i wystarczające gwarancje Umowa z ADO Obowiązki wynikające z umowy z ADO Obowiązki wynikające z RODO Porównanie roli i obowiązków ADO i podmiotu przetwarzającego Przetwarzanie danych niewymagające identyfikacji Maciej Gawroński Wprowadzenie Brak obowiązku identyfikacji Brak obowiązku monitorowania Obowiązki informacyjne Obowiązek poinformowania osób niezidentyfikowanych o niemożności zidentyfikowania jeśli to możliwe Umożliwienie wykonania praw jednostki Bezpieczeństwo Minimalizacja (dostępu i czasu) Rejestrowanie czynności przetwarzania danych Katarzyna Kloc Własny rejestr zamiast zgłaszania do GIODO RCPD podstawa rozliczalności Czynność przetwarzania danych Czynności realizowane w tym samym celu Czynności klasyfikowane w inny sposób RCPD dla małych i dużych różnice Czy każdy musi prowadzić RCPD? Zatrudnienie 250 osób Przetwarzanie wysokiego ryzyka Zakres informacji w RCPD administratorzy danych

9 10 Spis treści Zakres informacji w RCPD podmioty przetwarzające dane Forma RCPD Osoba odpowiedzialna za prowadzenie RCPD Przekazywanie danych do państwa trzeciego lub organizacji międzynarodowej (eksport danych) Maciej Gawroński Reglamentacja eksportu danych Praktyczne utrudnienie eksportu danych Legalność eksportu danych Podstawy eksportu danych Dodatkowe podstawy przekazania Przekazanie naprawdę wyjątkowe Zarejestrowanie przekazania wyjątkowego Zakaz sądowej samopomocy ucinanie długiej ręki Podsumowanie Przetwarzanie transgraniczne, czyli właściwość wiodącego organu nadzorczego (art. 4 pkt 16 i 23, art. 56 RODO) Maciej Gawroński Wstęp One -stop -shop Przetwarzający Administratorzy Przetwarzanie lokalne Zasięg lokalny Prawo holdingowe Wytyczne Grupy Roboczej Art Wnioski Współadministrowanie danymi osobowymi Maciej Gawroński Wstęp Przykłady współadministrowania danymi Współadministrowania lepiej unikać Obowiązki współadministratorów Umowa o współadministrowanie Treść umowy, analogia do powierzenia danych

10 Spis treści Ujawnienie podmiotom danych Transgraniczne współadministrowanie Wnioski Kodeksy postępowania i certyfikacja (art. 40 i n. RODO) Paweł Punda, Aleksander P. Czarnowski, Maciej Gawroński Wstęp Kodeksy Opracowanie Zatwierdzanie Certyfikacja Schematy certyfikacyjne Prace legislacyjne Korzyści Brak Urzędu Projekty kodeksów Certyfikacja prywatna Rozdział II Prawa jednostki Obsługa praw jednostki (art. 12 RODO) Maciej Gawroński, Michał Kibil Wstęp Czytelność komunikowania się Czytelnie i zwięźle Kompletność Niecytowanie przepisów Dzieci Test Kowalskiego Uwierzytelnienie Potwierdzenie tożsamości Pogłębione uwierzytelnienie Forma komunikacji Ułatwianie Obsługa danych niezidentyfikowanych Czas reakcji i czas obsługi Nieuzasadnione lub nadmierne żądania

11 12 Spis treści Nieuzasadnione żądanie Nadmierne żądanie Schemat działania administratora Prawo do informacji i obowiązek informacyjny (art. 13 i 14 RODO) Maciej Gawroński Uwagi wstępne Zakres informacji Pozyskiwanie od osoby Pozyskiwanie nie od osoby Zmiana celu Prawo dostępu Szczegóły informacji Podstawa prawna Kategorie odbiorców i odbiorcy Eksport danych Profilowanie Kiedy i jak informować Kiedy informować? Podczas pozyskiwania od osoby W ciągu miesiąca z innych źródeł Aktualizacja informacji Informowanie osób niezidentyfikowanych (art. 11 ust. 2 RODO) Jak informować? Przejrzystość Dostępność Konkretność Wyjątki od obowiązku informowania Prawo dostępu do danych (art. 15 RODO) Maciej Gawroński, Michał Sztąberek Wstęp Terminy Informacje Dostęp Kopia danych

12 Spis treści Prośba o sprecyzowanie Odmowa Prawa innych Uwierzytelnienie i komunikacja Regulaminy i procedury Mapowanie danych, narzędzia eksploracji danych (data mining), narzędzia do tzw. ticketowania Podsumowanie Prawo do sprostowania danych (art. 16 RODO) Maciej Gawroński, Michał Sztąberek Wstęp Zagadnienia ogólne tryb uwierzytelnienia i komunikacji Element sporu Prawo do skargi Styl Wykazanie nieprawidłowości danych Dane nieaktualne czy nieprawidłowe Zakres korekty danych Uzupełnienie danych niekompletnych Adekwatność danych Podstawa aktualizacji Obowiązek powiadomienia Prawo do usunięcia danych, prawo do bycia zapomnianym (art. 17 RODO) Maciej Gawroński, Katarzyna Kunda Historia prawa do bycia zapomnianym Składniki prawa do bycia zapomnianym Podstawy żądania usunięcia danych Zbędność do celów przetwarzania Cofnięcie zgody Wniesienie sprzeciwu Przetwarzanie niezgodne z prawem Prawny obowiązek usunięcia danych Oferowanie usług społeczeństwa informacyjnego dzieciom Wyjątki

13 14 Spis treści Korzystanie z praw do wolności wypowiedzi i informacji Wywiązanie się z obowiązku prawnego lub zadania realizowanych w interesie publicznym albo w ramach wykonywania władzy publicznej Interes publiczny w ochronie zdrowia publicznego Cele archiwalne, badania naukowe, historyczne, cele statystyczne Ustalenie, dochodzenie, obrona roszczeń Zakres usunięcia danych Przetwarzanie w celu realizacji prawa do usunięcia danych i prawa do bycia zapomnianym Przetwarzanie w celu zapewnienia bezpieczeństwa problem kopii zapasowych i archiwalnych Jak wszyscy, to wszyscy Problem bezpieczeństwa i ciągłości działania Problem rozliczalności Problem praktyczny zasoby i proces Rozwiązanie Problem danych nieustrukturyzowanych Poinformowanie innych administratorów Ograniczenie obowiązku poinformowania Listy kontrolne Przygotowanie do RODO wprowadzenie prawa do bycia zapomnianym do organizacji Przetworzenie żądania usunięcia danych Prawo do ograniczenia przetwarzania (art. 18 RODO) Michał Sztąberek, Maciej Gawroński Ograniczenie przetwarzania Prawo do ograniczenia przetwarzania Ograniczenie w razie sporu co do prawidłowości danych Ograniczenie w razie niezgodności z prawem

14 Spis treści Ograniczenie dla potrzeb roszczeń Ograniczenie w razie sprzeciwu ze względu na szczególną sytuację Sposób zastosowania się do żądania ograniczenia przetwarzania Obowiązek powiadomienia Prawo do przenoszenia danych, czyli jak przenieść dane od jednego administratora danych do drugiego (art. 20 RODO) Aleksander P. Czarnowski, Maciej Gawroński, Paweł Punda Wstęp Na czym dokładnie polega prawo przenoszenia danych? Kiedy można skorzystać z prawa do przenoszenia danych? Jaki zakres danych należy przekazać? W jaki sposób należy zrealizować prawo do przeniesienia danych? Wyjątki Prawa osób trzecich Przenoszenie danych, które są równocześnie danymi wnioskodawcy i danymi innej osoby Kogo przenoszenie danych dotyczy najbardziej? Bezpieczeństwo Kwestia techniczna Prawo do sprzeciwu (art. 21 RODO) Maciej Gawroński, Michał Sztąberek Prawo do sprzeciwu Sprzeciw ze względu na szczególną sytuację osoby Prawnie uzasadnione interesy Roszczenia i spory Interes publiczny lub władza publiczna Przetwarzanie danych na potrzeby marketingu bezpośredniego Sprzeciw względem marketingu bezpośredniego a cofnięcie zgody na przetwarzanie

15 16 Spis treści Sprzeciw względem marketingu bezpośredniego a zgoda na zdalną komunikację marketingową Skuteczne wniesienie sprzeciwu na przetwarzanie danych Jak powinien być składany sprzeciw Profilowanie i automatyczne podejmowanie decyzji (art. 22 RODO) Michał Kibil Wstęp Definicja profilowania z RODO Automatyzacja Dane osobowe Efekt Czynności traktowane jako profilowanie Obowiązki administratora danych osobowych związane z profilowaniem lub automatycznym podejmowaniem decyzji, lub podejmowaniem decyzji w oparciu o profilowanie Obowiązki ogólne administratora Informowanie o decydowaniu automatycznym i w oparciu o profilowanie Ile razy informować Zmiana celu Profilowanie danych ze starej ustawy o ochronie danych osobowych Prawo sprzeciwu Profilowanie a podejmowanie zautomatyzowanych decyzji Środki bezpieczeństwa Kiedy można stosować decyzje zautomatyzowane lub oparte wyłącznie na profilowaniu Prawo do ludzkiej interwencji Proces reklamacyjny Automatyczne uwierzytelnienie Profilowanie dzieci

16 Spis treści Zautomatyzowane decyzje dotyczące danych wrażliwych Wnioski Rozdział III Bezpieczeństwo Bezpieczeństwo danych w świetle RODO analiza ryzyka i adekwatność środków Aleksander P. Czarnowski, Maciej Gawroński Bezpieczeństwo odpowiednie do ryzyka Ryzyko Ryzyko naruszenia praw lub wolności Analiza ryzyka Elementy oceny adekwatności środków bezpieczeństwa danych Stan wiedzy technicznej Koszt Cechy samego przetwarzania Ryzyko naruszenia praw lub wolności Nie trzeba wymyślać procesu samemu? Środki bezpieczeństwa Jak z tego wybrnąć na skróty? Pseudonimizacja i szyfrowanie preferowane środki zabezpieczania danych osobowych Aleksander P. Czarnowski, Maciej Gawroński, Paweł Punda Uwagi wstępne Szyfrowanie Pseudonimizacja Anonimizacja Pseudonimizacja czy szyfrowanie Bezpieczeństwo Analiza ryzyka Ocena skutków dla ochrony danych Metodyka analizy ryzyka Privacy by design Notyfikacja naruszeń ochrony danych Zastosowania biznesowe pseudonimizacji

17 18 Spis treści 2.9. Podsumowanie Privacy by design, czyli projektowanie prywatności Maciej Gawroński, Katarzyna Kunda Privacy by design Z czego się składa projektowanie prywatności Bezpieczeństwo Pseudonimizacja Minimalizacja Jak wdrożyć privacy by design w organizacji? Projektowanie prywatności w konkretnym projekcie Zasady projektowania prywatności Od kiedy projektować prywatność Certyfikacja projektowania prywatności i domyślnej prywatności Privacy by default, czyli domyślna ochrona danych minimalizacja Maciej Gawroński, Katarzyna Kunda Zasada privacy by default Privacy by default, czyli minimalizacja Atrybuty domyślnej prywatności Wskazówki praktyczne Udostępnianie nieokreślonej liczbie osób Certyfikacja projektowania prywatności i domyślnej prywatności Ocena skutków dla ochrony danych krok po kroku Katarzyna Kloc Uwagi wstępne Kwalifikowana analiza ryzyka i rozliczalność Podobne procesy, jedna DPIA Analiza ryzyka do kwadratu Analiza ryzyka Jak w praktyce można przeprowadzić analizę ryzyka pierwszego stopnia i mieć wstępny przegląd operacji wymagających DPIA? DPIA kiedy trzeba? Duża skala

18 Spis treści Wytyczne Grupy Roboczej Art Jak określić, czy w naszej firmie należy przeprowadzić DPIA i w odniesieniu do których procesów? Urzędowy katalog operacji DPIA Kiedy nie trzeba przeprowadzać DPIA? DPIA krok po kroku Uwagi ogólne IOD Eksperci Reprezentanci grup docelowych Uprzednie konsultacje z organem nadzorczym Wytyczne GIODO Rozdział IV Przetwarzający dane Powierzenie danych oraz elementy nowej umowy powierzenia danych Aleksander P. Czarnowski, Maciej Gawroński, Patrycja Naklicka Uwagi wstępne Opis gwarancji zgodności Pisemna umowa Zgoda na podpowierzenie danych Transfer obowiązków na podprzetwarzającego Zakaz wydmuszki Przedmiot przetwarzania Pisemność poleceń ADO Zobowiązania do poufności Bezpieczeństwo danych Obsługa praw jednostki Wsparcie obowiązków bezpieczeństwa administratora Notyfikacja podejrzenia naruszenia ochrony danych Usuwanie i zwrot danych Obowiązek rozliczenia się ze zgodności z umową

19 20 Spis treści Podleganie audytom Odpłatność Informowanie o legalności poleceń Procedura rozstrzygania legalności Zasady odpowiedzialności Wyznaczanie inspektora ochrony danych Powierzenie danych oraz elementy nowej umowy powierzenia danych Aleksander P. Czarnowski, Maciej Gawroński, Patrycja Naklicka Umowy powierzenia a umowy SLA Dostępność systemu SLA i czas reakcji SLA w praktyce Standaryzacja umów SLA a zgodność z RODO Nowe wyzwania dla administratora i procesora Rekomendacje Rozdział V Zarządzanie incydentami Zgłaszanie naruszeń ochrony danych osobowych organowi nadzorczemu (art. 33 RODO) Maciej Gawroński, Zuzanna Piotrowska Przepis Co to jest naruszenie ochrony danych osobowych? Naruszenie ochrony danych wg Grupy Roboczej Art Naruszenie poufności Naruszenie dostępności Naruszenie integralności Czy każde naruszenie trzeba zgłaszać? Procedura zgłaszania Termin dla administratora Termin dla przetwarzającego Stwierdzenie naruszenia Zgłoszenie treść i forma Powiadamianie z opóźnieniem Obowiązki podmiotu przetwarzającego

20 Spis treści Kiedy mimo wystąpienia incydentu naruszenia ochrony danych nie trzeba powiadamiać organu nadzorczego? Kwestie praktyczne Dokumentowanie naruszeń Sankcja administracyjna Elementy systemu zgłaszania naruszeń Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych (art. 34 RODO) Katarzyna Kloc, Maciej Gawroński Wstęp Wysokie ryzyko naruszenia praw lub wolności Prawa i wolności Wyjątki od obowiązku zawiadomienia Działania prewencyjne Działania następcze Zawiadomienie Treść zawiadomienia Forma zawiadomienia Ogłoszenie w miejscu zawiadomienia Termin zawiadomienia Uzgodnienia z organem nadzorczym Rozdział VI Inspektor ochrony danych (IOD) Inspektor ochrony danych wyznaczenie i status Michał Kibil, Maciej Gawroński IOD ewolucja czy rewolucja Kto ma obowiązek wyznaczenia inspektora ochrony danych? Organ lub podmiot publiczny Działalność wymagająca systematycznego i regularnego monitorowania oraz przetwarzanie na dużą skalę Główna działalność Monitorowanie osób Działanie w ramach zrzeszeń i grup przedsiębiorców

21 22 Spis treści 1.4. Kwalifikacje IOD Zatrudnienie IOD Status inspektora danych Obowiązki administratora względem IOD Niezależność IOD Zadania inspektora ochrony danych osobowych Michał Kibil, Maciej Gawroński Wstęp Informacje poufne oraz unikanie konfliktu interesów Zadania inspektora ochrony danych Rozdział VII Regulator Organ nadzorczy status, rola i obowiązki Katarzyna Kunda, Patrycja Naklicka, Zuzanna Piotrowska Niezależność Cechy i gwarancje niezależności Członkowie organu nadzorczego Wybór Okres kadencji konflikt interesów Rola organu nadzorczego Kompetencje z art. 57 RODO Bezpłatność Uprawnienia organu nadzorczego z zakresu ochrony danych osobowych Katarzyna Kunda, Patrycja Naklicka, Zuzanna Piotrowska Wstęp Uprawnienia kontrolne Rodzaje i techniki kontroli Przebieg kontroli Zakres kontroli Uprawnienia pokontrolne Obowiązek zachowania tajemnicy Kary przewidziane przez RODO

22 Spis treści Udzielanie zezwoleń i kompetencje doradcze Obowiązek rozpatrywania skarg przez PUODO Rozdział VIII Środki ochrony prawnej, odpowiedzialność i sankcje Środki ochrony prawnej odpowiedzialność cywilnoprawna i administracyjna Maciej Gawroński Wstęp Skarga do organu nadzorczego Skarga do sądu (administracyjnego) na organ nadzorczy Odpowiedzialność cywilnoprawna żądanie zaniechania lub zachowania Prawo do sądu Właściwość miejscowa sądu Tryb procesowy Odpowiedzialność odszkodowawcza Szkoda majątkowa i niemajątkowa Administrator i przetwarzający Uwolnienie się od odpowiedzialności Domniemanie winy Współodpowiedzialność Właściwość sądu Proces cywilny Reprezentacja podmiotów danych przez wyspecjalizowane podmioty Sankcje administracyjne za naruszenie przepisów RODO Maciej Gawroński Wstęp Komu grożą kary? Jakie powinny być kary? Kara większa i kara mniejsza Księgowość karania Konfiskata korzyści z rodoprzestępstwa Odpowiedzialność podmiotu przetwarzającego Maciej Gawroński

23 24 Spis treści Część B Wzory dokumentów Wzór nr 1a. Klauzula zgody na przetwarzanie danych osobowych zwykłych Wzór nr 1b. Klauzula zgody na przetwarzanie danych osobowych szczególnych kategorii Wzór nr 2. Klauzula informacyjna o prawie do cofnięcia zgody Wzór nr 3. Klauzula informacyjna o przetwarzaniu danych Wzór nr 4. Klauzula informacyjna w przypadku współadministrowania danymi Wzór nr 5. Klauzula o zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu element klauzuli informacyjnej Wzór nr 6. Umowa powierzenia przetwarzania danych osobowych Wzór nr 7. Szczegółowa klauzula zgody na podpowierzenie Wzór nr 8. Sprzeciw administratora danych osobowych Wzór nr 9. wobec podpowierzenia Upoważnienie do przetwarzania danych osobowych Wzór nr 10. Klauzula informacyjna dla osoby, której dane dotyczą, o przekazaniu jej danych do państwa trzeciego Wzór nr 11. Polityka ochrony danych osobowych Wzory rejestrów Wzór Rejestru Czynności Przetwarzania Danych Tożsamość administratora Rejestr przetwarzającego RCPD ADO wklejka Wzór Rejestru Naruszeń Ochrony Danych Osobowych... wklejka

24 Wykaz skrótów Wykaz skrótów WYKAZ SKRÓTÓW dyrektywa 95/46/WE dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.Urz. WE L 281, s. 31) dyrektywa 2016/680 dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.Urz. UE L 119, s. 89) EKPC Konwencja o ochronie praw człowieka i podstawowych wolności sporządzona w Rzymie r. (Dz.U. z 1993 r. poz. 284 ze zm.) GDPR EU General Data Protection Regulation k.c. ustawa z r. Kodeks cywilny (Dz.U. z 2017 r. poz. 459 ze zm.) Konstytucja RP ustawa z r. Konstytucja Rzeczypospolitej Polskiej (Dz.U. poz. 483 ze zm.) k.p. ustawa z r. Kodeks pracy (Dz.U. z 2018 r. poz. 108 ze zm.) KPP Karta praw podstawowych UE (Dz.Urz. UE C 202 z 2016 r., s. 389) pr. bank. ustawa z r. Prawo bankowe (Dz.U. z 2017 r. poz ze zm.)

25 26 Wykaz skrótów rozporządzenie 2016/679, RODO TFUE rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1) Traktat o funkcjonowaniu Unii Europejskiej (Dz.Urz. UE C 202 z 2016 r., s. 47) TUE Traktat o Unii Europejskiej (Dz.Urz. UE C 202 z 2016 r., s. 13) u.o.d.o. ustawa z r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm.) u.r. ustawa z r. o rachunkowości (Dz.U. z 2018 r. poz. 395 ze zm.) u.s.i.o.z. ustawa z r. o systemie informacji w ochronie zdrowia (Dz.U. z 2017 r. poz ze zm.) wyrok C-131/12 wyrok z r., C-131/12, Google Spain SL Google Spain i Google Inc. v. Agencia Española de Protección de Datos (AEPD) i Mario Costeja González, EU:C:2014:317

26 Część A. Kompendium RODO Część A KOMPENDIUM RODO

27

28 Rozdział I. Zgodność podstawowa Katarzyna Kloc, Maciej Gawroński Rozdział I ZGODNOŚĆ PODSTAWOWA 1. RODO unijna ustawa o ochronie danych osobowych 1.1. RODO nowa ustawa o ochronie danych osobowych Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1) RODO to w dużym skrócie nowa ustawa o ochronie danych osobowych. Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych w Unii Europejskiej (motyw 1 RODO). Stanowią o tym: art. 8 ust. 1 Karty praw podstawowych UE (Dz.Urz. UE C 202 z 2016 r., s. 389) oraz art. 16 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej (Dz.Urz. UE C 202 z 2016 r., s. 47), zgodnie z którymi każda osoba ma prawo do ochrony danych osobowych jej dotyczących. Unia Europejska uznała, że w celu realizacji i gwarancji prawa do prywatności i ochrony danych na terenie Unii konieczne jest określenie stabilnych, spójnych ram ochrony danych osobowych oraz zdecydo-

29 30 Część A. Kompendium RODO wanego ich egzekwowania. Dotychczas problemem było właśnie egzekwowanie (wymuszanie) stosowania przepisów o ochronie danych osobowych Przedmiot i cel RODO Uwagi wstępne Formalnie RODO utrzymuje dotychczasowe zasady ochrony danych osobowych obowiązujące na terenie Unii Europejskiej (w tym w Polsce na podstawie starej ustawy z r. o ochronie danych osobowych, Dz.U. z 2016 r. poz. 922 ze zm.), natomiast nieco je uszczegóławia, dodaje uprawnienia osobom fizycznym i wprowadza surowe kary. Mimo uspokajających wypowiedzi organów nadzorczych w praktyce RODO stanowi rewolucję w ochronie danych właśnie ze względu na kary, nowe obowiązki firm i innych podmiotów przetwarza jących dane osobowe ze względu na tzw. podejście oparte na ryzyku, czyli spoczywający na wszystkich obowiązek oceny ryzyk związanych z przetwarzaniem danych osobowych i dostosowania sposobów ochrony danych do tych ryzyk, a także ze względu na wprowadzenie zasady rozliczalności obowiązku wykazania zgodności przez obowiązanego. Zgodnie z art. 1 RODO: 1. W niniejszym rozporządzeniu ustanowione zostają przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych. 2. Niniejsze rozporządzenie chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych. 3. Nie ogranicza się ani nie zakazuje swobodnego przepływu danych osobowych w Unii z powodów odnoszących się do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych.

30 Rozdział I. Zgodność podstawowa Ochrona osób fizycznych Ogólne rozporządzenie o ochronie danych jest aktem kompleksowym, który szeroko reguluje kwestię ochrony prywatności i danych osobowych (osób fizycznych), a także dotyka materii swobodnego przepływu danych osobowych w Unii Europejskiej. RODO nie dotyczy przetwarzania danych dotyczących osób prawnych, w szczególności przedsiębiorstw, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej (motyw 14) Bezpośredniość RODO jest aktem prawnym przyjętym na poziomie unijnym, ma jednak bezpośrednie zastosowanie do każdej organizacji przetwarzającej dane osobowe jako administrator danych lub podmiot przetwarzający w państwie członkowskim Unii Europejskiej. Bezpośredniość stosowania i w konsekwencji rola ustawy o ochronie danych osobowych to cechy odróżniające RODO od tracącej wkrótce moc dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.Urz. WE L 281, s. 31), która w założeniu miała harmonizować przepisy o ochronie danych osobowych w Unii Europejskiej, ale ze względu na spore różnice w implementujących ją przepisach krajowych w praktyce poziom ochrony danych osobowych i podejście do tego obszaru były dość mocno zróżnicowane. RODO jako wspólna nowa ustawa o ochronie danych ma zapewnić wysoki, ujednolicony poziom ochrony danych w całej Unii Europejskiej. Dzięki swojej ogólności i wysokopoziomowości RODO pozostawia jednocześnie duży zakres swobody w podejściu, luz interpretacyjny i praktykę do wypracowania w poszczególnych państwach członkowskich.

31 Maciej Gawroński radca prawny; konsultant Grupy Roboczej Art. 29 ds. projektu standardowych klauzul umownych ad hoc dotyczących przekazywania danych przez przetwarzającego w UE do podprzetwarzającego spoza UE; ekspert Komisji Europejskiej ds. kontraktów cloud computingowych. Zaproponował Komisji Europejskiej zasadę odpowiedzialności pozaunijnych podprocesorów, która stała się ogólną zasadą odpowiedzialności podmiotów przetwarzających, a także zasadę przenoszalności danych osobowych, konsultował zasady podpowierzenia; ekspert prawa technologii mediów i telekomunikacji rekomendowany przez Ranking Kancelarii Prawnych dziennika Rzeczpospolita. Jest też jednym z twórców treści systemu informacji prawnej LEX Ochrona Danych Osobowych. W książce w praktyczny sposób wyjaśniono przepisy RODO, wskazano wiele dokumentów i rozwiązań, dzięki którym czytelnik będzie mógł postępować zgodnie z tą regulacją unijną. Autorzy wykorzystali opinie Grupy Roboczej Art. 29 oraz GIODO, normy ISO z obszaru bezpieczeństwa informacji, a także bogate doświadczenie z własnej krajowej i międzynarodowej praktyki ochrony danych osobowych, cyberbezpieczeństwa i cloud computingu, w tym prace dla Grupy Roboczej Art. 29 i Komisji Europejskiej. W publikacji czytelnik znajdzie m.in.: projekt polityki ochrony danych osobowych, która obejmuje obowiązki administratora i podmiotu przetwarzającego, wzór umowy powierzenia danych, wzory klauzul informacyjnych, w których zawarto kategorie informacji, listy standardowych zagrożeń bezpieczeństwa informacji i potencjalnych naruszeń praw i wolności mogących wyniknąć z naruszenia ochrony danych osobowych. Autorzy wyjaśniają również zagadnienia mogące stwarzać szczególne trudności przy stosowaniu RODO, jak np. art. 11 RODO dotyczący tak zwanych danych nie - ziden tyfikowanych. zamówienia: infolinia , fax zamowienia@wolterskluwer.pl CENA 119 ZŁ (W TYM 5% VAT)