Unijne rozporządzenie o ochronie danych

Transkrypt

1 Unijne rozporządzenie o ochronie danych - szkolenie dla radców prawnych OIRP Lublin dr hab. Paweł Fajgielski, prof. KUL Katedra Prawa Technologii Informacyjnych i Komunikacyjnych Katolicki Uniwersytet Lubelski Jana Pawła II Zakres tematyczny I. RODO zagadnienia wprowadzające, najważniejsze zmiany II. RODO a radcy prawni szczególne regulacje prawne III. Uprawnienia osób, których dane dotyczą i sposób ich realizacji IV. Obowiązki podmiotów V. Administracyjne kary pieniężne P. Fajgielski, Unijne rozporządzenie o ochronie danych 2 1

2 I. RODO zagadnienia wprowadzające ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) Dz.Urz. UE L 119/1, z Przyczyny zmiany przepisów postęp techniczny (dyrektywa z 1995 r.) potrzeba zapewnienia lepszej ochrony dążenie do ujednolicenia przepisów w całej Unii Europejskiej Istota zmian nowa regulacja bazująca na dotychczasowych konstrukcjach RODO będzie miało zastosowanie od 25 maja 2018 r. - bezpośrednio P. Fajgielski, Unijne rozporządzenie o ochronie danych 3 I. RODO zagadnienia wprowadzające Rozporządzenie UE nie wymaga implementacji - ma być uzupełnione krajowymi przepisami: Ustawa o ochronie danych osobowych projekt z dnia 5 kwietnia 2018 druk nr skierowany do pierwszego czytania w Sejmie, reguluje m.in. organ nadzorczy, procedura, administracyjne kary pieniężne dla podmiotów publicznych, kontrola, certyfikacja, akredytacja itp. Ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 - projekt z dnia 28 marca skierowany do Komitetu ds. Europejskich (etap prac rządowych) zawiera propozycje zmian w ponad 200 ustawach, w tym także projekt zmian w ustawie o radcach pranych (prawdopodobnie nie wejdzie w życie przed 25 maja 2018) P. Fajgielski, Unijne rozporządzenie o ochronie danych 4 2

3 I. RODO zagadnienia wprowadzające RODO najważniejsze zmiany w stosunku do uodo jedna regulacja prawna dla całej UE (uzupełniona przepisami krajowymi) zmiany w pojęciach, podstawach, zasadach (np. zgoda) rozszerzenie uprawnień osób, których dane dotyczą rozszerzenie uprawnień informacyjnych nowe uprawnienia czy modyfikacja istniejących zmiany w obowiązkach administratora zniesienie obowiązku rejestracji zbiorów zmiany w dokumentacji (rejestr czynności przetwarzania) zmiany dotyczące zabezpieczeń podejście oparte na ryzyku nowe obowiązki (zawiadomienie o naruszeniu ochrony danych) zmiana organu GIODO - > Prezes Urzędu Ochrony Danych wprowadzenie administracyjnych kar pieniężnych P. Fajgielski, Unijne rozporządzenie o ochronie danych 5 I. RODO zagadnienia wprowadzające Zakres stosowania rozporządzenia - do przetwarzania danych osobowych w sposób zautomatyzowany, a także niezautomatyzowany gdy przetwarzanie w zbiorze danych (art. 2 ust 1) Wyłączenie stosowania rozporządzenia do przetwarzania danych - przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze (art. 2 ust. 2 lit c) Nie ma ogólnego przepisu wyłączającego stosowanie, gdy przepisy szczególne stanowią inaczej (przewidują dalej idącą ochronę) odpowiednika art. 5 uodo. Wyłączenia bądź ograniczenia powinny być wyraźnie określone w przepisach szczególnych, zawierających odpowiednie gwarancje ochrony osób. P. Fajgielski, Unijne rozporządzenie o ochronie danych 6 3

4 I. RODO zagadnienia wprowadzające Zmodyfikowany katalog zasad przetwarzania danych (zasady art. 5) 1) zasada zgodności z prawem, rzetelności i przejrzystości (rozszerzenie); 2) zasada ograniczenia celu; 3) zasada minimalizacji danych (w treści jednak nawiązująca do adekwatności) 4) zasada prawidłowości (uaktualnianie, poprawianie lub usuwanie) 5) zasada ograniczenia przechowywania (nie dłużej niż dla realizacji celów) 6) zasada integralności i poufności (odpowiednie zabezpieczenie danych) 7) zasada rozliczalności (administrator jest odpowiedzialny za przestrzeganie zasad i powinien być w stanie wykazać ich przestrzeganie) Nowe zasady wskazane w pkt 6 i 7 Zmiana podejścia do zabezpieczenia (nie będzie już przepisów wykonawczych rozporządzeń określających minimalne wymagania ocena i dobór rozwiązań ciąży na administratorze, który powinien wykazać, że przestrzega zasad). P. Fajgielski, Unijne rozporządzenie o ochronie danych 7 I. RODO zagadnienia wprowadzające Podstawy dopuszczalności przetwarzania danych (art. 6) a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań. P. Fajgielski, Unijne rozporządzenie o ochronie danych 8 4

5 I. RODO zagadnienia wprowadzające Pojęcie zgody (art. 4 pkt 11) zgoda - dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych Zgoda warunki wyrażenia, zgoda dzieci (art. 7 i 8) - administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych. - w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. - osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie. - oceniając, czy zgodę wyrażono dobrowolnie, uwzględnia się, czy od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania umowy. Wyrażenie zgody przez dziecko w przypadku usług społeczeństwa informacyjnego P. Fajgielski, Unijne rozporządzenie o ochronie danych 9 I. RODO zagadnienia wprowadzające Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. Art. 4 pkt 13) dane genetyczne oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej; 14) dane biometryczne oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne; 15) dane dotyczące zdrowia oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej w tym o korzystaniu z usług opieki zdrowotnej ujawniające informacje o stanie jej zdrowia; Dopuszczalność przetwarzania szczególnych kategorii danych art. 9 ust. 2, - danych o karalności art. 10 P. Fajgielski, Unijne rozporządzenie o ochronie danych 10 5

6 II. RODO a radcy prawni Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 (projekt z dnia r.) Art. 9. W ustawie z dnia 6 lipca 1982 r. o radcach prawnych (Dz. U. z 2017 r. poz i 2400 oraz z 2018 r. poz. 138) po rozdziale 1 dodaje się Rozdział 1a w brzmieniu: ROZDZIAŁ 1A Przetwarzanie danych osobowych Art. 5a. 1. Administratorami danych osobowych przetwarzanych w celu realizacji zadań, obowiązków lub uprawnień wynikających z ustawy są odpowiednio: 1) Minister Sprawiedliwości w przypadku danych osobowych przetwarzanych: a) w toku postępowań administracyjnych i innych, prowadzonych na podstawie ustawy w Ministerstwie Sprawiedliwości, b) w ramach kontroli uchwał organów samorządu radców prawnych, c) podczas wykonywania przewidzianych przez ustawę kompetencji nadzorczych nad postępowaniami dyscyplinarnymi w sprawach radców prawnych i aplikantów radcowskich, d) na potrzeby wykonywania zadań związanych z działalnością zespołu do przygotowania pytań testowych na egzamin wstępny dla kandydatów na aplikantów adwokackich i radcowskich oraz zespołu do przygotowania zadań na egzamin radcowski, a także komisji egzaminacyjnych do spraw aplikacji radcowskiej przy Ministrze Sprawiedliwości, komisji egzaminacyjnych do przeprowadzenia egzaminu radcowskiego i komisji egzaminacyjnych II stopnia przy Ministrze Sprawiedliwości; P. Fajgielski, Unijne rozporządzenie o ochronie danych 11 II. RODO a radcy prawni 2) Krajowa Rada Radców Prawnych w przypadku danych osobowych przetwarzanych w toku prowadzonych przez organy samorządu radców prawnych: a) postępowań administracyjnych, postępowań w zakresie skarg i wniosków oraz innych przewidzianych przez ustawę lub wydane na podstawie ustawy akty prawne organów samorządu radców prawnych postępowań dotyczących radców prawnych, aplikantów radcowskich lub osób ubiegających się o wpis na listę radców prawnych lub listę aplikantów radcowskich, a także osób przystępujących do egzaminu wstępnego na aplikację radcowską i egzaminu radcowskiego, b) w zakresie niezbędnym do prawidłowej realizacji zadań publicznych określonych w ustawie oraz nadzoru wynikającego z ustawy, c) postępowań dyscyplinarnych wobec radców prawnych i aplikantów radcowskich; 3) rady okręgowych izb radców prawnych w przypadku danych osobowych przetwarzanych: a) w toku prowadzonych postępowań administracyjnych, postępowań w zakresie skarg i wniosków oraz innych przewidzianych przez ustawę lub wydane na podstawie ustawy akty prawne organów samorządu radcowskiego postępowań dotyczących radców prawnych, aplikantów radcowskich lub osób ubiegających się o wpis na listę radców prawnych lub listę aplikantów radcowskich, a także osób przystępujących do egzaminu wstępnego na aplikacje radcowską i egzaminu radcowskiego, b) w zakresie niezbędnym do prawidłowej realizacji zadań publicznych określonych w ustawie oraz nadzoru wynikającego z ustawy; 4) komisje egzaminacyjne do spraw aplikacji radcowskiej przy Ministrze Sprawiedliwości, komisje egzaminacyjne do przeprowadzenia egzaminu radcowskiego i komisje egzaminacyjne II stopnia przy Ministrze Sprawiedliwości ( ) P. Fajgielski, Unijne rozporządzenie o ochronie danych 12 6

7 II. RODO a radcy prawni 5) radcowie prawni wykonujący zawód w kancelarii radcy prawnego lub spółce, o której mowa w art. 8 ust. 1 w przypadku danych osobowych przetwarzanych w ramach wykonywania zawodu. Status radcy prawnego w kontekście przetwarzania danych - czy radca jest administratorem, procesorem, czy osobą upoważnioną do przetwarzania? administrator decyduje o celu i sposobie przetwarzania danych podmiot przetwarzający (procesor) przetwarza na zlecenie administratora osoba upoważniona przetwarza na podstawie upoważnienia administratora - na gruncie uodo spory o status radcy prowadzącego własną kancelarię (administrator czy procesor), radca zatrudniony na etacie w firmie czy instytucji osoba upoważniona - w świetle projektowanego przepisu art. 5a ust. 1 pkt 5 u.r.p. radca prowadzący własną kancelarię lub w spółce administrator danych zatrudniony na etacie osoba upoważniona do przetwarzania P. Fajgielski, Unijne rozporządzenie o ochronie danych 13 II. RODO a radcy prawni Art. 5a ust. 2. Do przetwarzania danych osobowych niezbędnych dla zapewnienia prawidłowej realizacji zadań, obowiązków i uprawnień, o których mowa w ust. 1, przepisów art ust. 1 i 3, art. 18, art. 19 i art. 21 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (rozporządzenie ogólne o ochronie danych osobowych) (Dz. Urz. UE L 119 z r.), zwanego dalej: rozporządzeniem 2016/679, nie stosuje się. Wyłączenie obowiązków: - informacyjnych (art RODO) dodatkowe wyłączenie z art. 14 ust. 5 lit d) RODO - prawo do ograniczenia przetwarzania (art. 18) - obowiązek powiadomienia o sprostowaniu lub usunięciu (art. 19) - prawo sprzeciwu (art. 21) P. Fajgielski, Unijne rozporządzenie o ochronie danych 14 7

8 II. RODO a radcy prawni Art. 5a ust. 3. Przepisu art. 16 rozporządzenia 2016/679 nie stosuje się, o ile przepisy szczególne przewidują odrębny tryb sprostowania. Art. 5a ust. 4. Dane osobowe pozyskane i przetwarzane przez podmioty, o których mowa w ust. 1, podlegają zabezpieczeniom zapobiegającym nadużyciom i niezgodnemu z prawem dostępowi lub przekazywaniu wynikającym z procedur prawnych, w których toku są przetwarzane. Konieczność zapewnienia odpowiednich zabezpieczeń technicznych i organizacyjnych. A co z pozostałymi uprawnieniami: - prawo do usunięcia danych ( prawo do bycia zapomnianym ) art. 17 RODO - prawo do przenoszenia danych art zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, w tym profilowanie art. 22 P. Fajgielski, Unijne rozporządzenie o ochronie danych 15 II. RODO a radcy prawni Art. 5b. Obowiązek zachowania tajemnicy, o której mowa w art. 3 ust. 3, nie ustaje w przypadku, gdy z żądaniem ujawnienia informacji uzyskanych przez radcę prawnego w związku z udzielaniem pomocy prawnej występuje Prezes Urzędu Ochrony Danych Osobowych o którym mowa w ustawie z dnia.. o ochronie danych osobowych (Dz. U. z 2018 r. poz.). Art. 5c. 1. Okres przechowywania danych osobowych przez podmioty, o których mowa w art. 5a ust. 1, wynosi: 1) 5 lat od zakończenia realizacji celu, dla którego dane osobowe były przetwarzane w przypadkach, o których mowa w art. 5a ust. 1 pkt 2 lit. b, pkt 3 lit. b oraz pkt 4; 2) 10 lat od zakończenia realizacji celu, dla którego dane osobowe były przetwarzane w przypadku, o którym mowa w art. 5a ust. 1 pkt 2 lit. a, pkt 3 lit. a oraz pkt 5; 3) 15 od zakończenia realizacji celu, dla którego dane osobowe były przetwarzane w przypadku, o którym mowa w art. 5a ust. 1 pkt 1 lit. c oraz pkt 2 lit. c. 2. Po upływie okresów, o których mowa w ust. 1, w przypadkach określonych w art. 5a ust. 1 pkt 5 dane osobowe ulegają usunięciu. W pozostałych przypadkach stosuje się przepisy o narodowym zasobie archiwalnym i archiwach P. Fajgielski, Unijne rozporządzenie o ochronie danych 16 8

9 III. Uprawnienia osób, których dane dotyczą Uprawnienia informacyjne Gdy dane osobowe zbierane są od osoby, której dotyczą administrator podczas pozyskiwania danych podaje jej następujące informacje: - swoją tożsamość i dane kontaktowe; - gdy ma to zastosowanie dane kontaktowe inspektora ochrony danych; - cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania; - jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią; - informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją; - gdy ma to zastosowanie informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych. - okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu; - informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych; P. Fajgielski, Unijne rozporządzenie o ochronie danych 17 III. Uprawnienia osób, których dane dotyczą - jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem; - informacje o prawie wniesienia skargi do organu nadzorczego; - informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych; - informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz przynajmniej w tych przypadkach istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą. Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2. Nie trzeba informować gdy i w zakresie, w jakim osoba, której dane dotyczą, dysponuje już tymi informacjami. P. Fajgielski, Unijne rozporządzenie o ochronie danych 18 9

10 III. Uprawnienia osób, których dane dotyczą Informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą (art. 14) oprócz informacji wskazanych w art. 13, trzeba podać: źródło pochodzenia danych, a gdy ma to zastosowanie czy pochodzą one ze źródeł publicznie dostępnych Informacje te administrator podaje: a) w rozsądnym terminie po pozyskaniu danych osobowych najpóźniej w ciągu miesiąca mając na uwadze konkretne okoliczności przetwarzania danych osobowych; b) jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub c) jeżeli planuje się ujawnić dane osobowe innemu odbiorcy najpóźniej przy ich pierwszym ujawnieniu. Więcej wyjątków nie trzeba informować, gdy: a) osoba, której dane dotyczą, dysponuje już tymi informacjami; b) udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, ( ) c) pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą; lub d)dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie P. Fajgielski, Unijne rozporządzenie o ochronie danych 19 III. Uprawnienia osób, których dane dotyczą Prawo dostępu przysługujące osobie, której dane dotyczą (art. 15) - możliwość uzyskania informacji (jak dotąd) a dodatkowo: - Administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się powszechnie stosowaną drogą elektroniczną. (art. 15 ust. 3) Prawo do sprostowania danych (art. 16) Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia. P. Fajgielski, Unijne rozporządzenie o ochronie danych 20 10

11 III. Uprawnienia osób, których dane dotyczą Prawo do żądania usunięcia danych - tzw. prawo do bycia zapomnianym (art. 17) 1. Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności: a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane; b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania; c) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania; d) dane osobowe były przetwarzane niezgodnie z prawem; e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator; f) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust Jeżeli administrator upublicznił dane osobowe, a na mocy ust. 1 ma obowiązek usunąć te dane osobowe, to biorąc pod uwagę dostępną technologię i koszt realizacji podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje. P. Fajgielski, Unijne rozporządzenie o ochronie danych 21 III. Uprawnienia osób, których dane dotyczą Prawo do żądania usunięcia danych - ograniczenia 3. Ust. 1 i 2 nie mają zastosowania, w zakresie w jakim przetwarzanie jest niezbędne: a) do korzystania z prawa do wolności wypowiedzi i informacji; b) do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; c) z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h) oraz i) i art. 9 ust. 3; d) do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; lub e) do ustalenia, dochodzenia lub obrony roszczeń. Wyłączenia sprawiają, że uprawnienie nie jest tak daleko idące, jak pierwotnie zakładano. P. Fajgielski, Unijne rozporządzenie o ochronie danych 22 11

12 III. Uprawnienia osób, których dane dotyczą Prawo do ograniczenia przetwarzania danych (art. 18) - osoba kwestionuje dane, administrator nie powinien ich wykorzystywać (oznaczenie, zablokowanie danych) Obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania (art. 19) - administrator informuje każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Prawo do przenoszenia danych (art. 20) Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe, jeżeli: a) przetwarzanie odbywa się na podstawie zgody w myśl art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) lub na podstawie umowy w myśl art. 6 ust. 1 lit. b); oraz b) przetwarzanie odbywa się w sposób zautomatyzowany. Uprawnienie, które ma ułatwić zmianę dostawcy usługi P. Fajgielski, Unijne rozporządzenie o ochronie danych 23 III. Uprawnienia osób, których dane dotyczą Prawo wniesienia sprzeciwu (art. 21) - ograniczone do przetwarzania na podstawie realizacji zadań publicznych bądź uzasadnionych interesów (art. 6 ust. 1 lit e) i f) - Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń. - na potrzeby marketingu bezpośredniego, w tym profilowania jeśli osoba wniesie sprzeciw, danych nie wolno już przetwarzać do takich celów. - jeżeli dane osobowe są przetwarzane do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, osoba, której dane dotyczą, ma prawo wnieść sprzeciw z przyczyn związanych z jej szczególną sytuacją wobec przetwarzania dotyczących jej danych osobowych, chyba że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym. P. Fajgielski, Unijne rozporządzenie o ochronie danych 24 12

13 III. Uprawnienia osób, których dane dotyczą Zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, w tym profilowanie (art. 22) Profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się (art. 4 pkt 4) Art. 22 ust. 1. Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. 2. Ust. 1 nie ma zastosowania, jeżeli ta decyzja: a) jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem; b) jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą; lub c) opiera się na wyraźnej zgodzie osoby, której dane dotyczą P. Fajgielski, Unijne rozporządzenie o ochronie danych 25 IV. Obowiązki podmiotów Ogólny obowiązek zabezpieczenia danych (art. 24) 1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. 2. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych. 3. Stosowanie zatwierdzonych kodeksów postępowania, o których mowa wart. 40, lub zatwierdzonego mechanizmu certyfikacji, o którym mowa wart. 42, może być wykorzystane jako element dla stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków. Dokonanie oceny ciąży na administratorze danych, który powinien wdrożyć odpowiednie (skuteczne) zabezpieczenia (środki techniczne i organizacyjne). Nie będzie przepisów wykonawczych, ale będzie można sięgać pomocniczo do różnych źródeł (np. norm technicznych, zaleceń organów nadzorczych itp.) P. Fajgielski, Unijne rozporządzenie o ochronie danych 26 13

14 IV. Obowiązki podmiotów Dokumentacja przetwarzania działania Krajowej Rady Radców Prawnych - prace nad opracowaniem wzorcowej Polityki ochrony danych Działania zalecane w kontekście RODO - dokonanie inwentaryzacji przetwarzanych danych osobowych - przeprowadzenie analizy ryzyka (podejście oparte na ryzyku) - dostosowanie zabezpieczeń do poziomu ryzyka Ochrona danych w fazie projektowania i w ustawieniach domyślnych (art. 25) - przy określaniu sposobów przetwarzania (na etapie projektowania) jak i w czasie przetwarzania Administrator powinien wdrożyć odpowiednie środki techniczne i organizacyjne służące ochronie danych (np. pseudonimizacja, minimalizacja danych); - domyślnie mogą być przetwarzane wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania (nie można domyślnie zaznaczać i gromadzić więcej danych trzeba wyraźnego działania osoby, której dane dotyczą). P. Fajgielski, Unijne rozporządzenie o ochronie danych 27 IV. Obowiązki podmiotów Podmiot przetwarzający przetwarzanie na zlecenie (art. 28) - wybór podmiotu, który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą; - tzw. podpowierzenie wyłącznie za pisemną zgodą administratora; - przetwarzanie przez procesora na podstawie umowy z administratorem, określającej przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora; - szczegółowe wskazanie elementów treści umowy art. 28 ust 3 - organ nadzorczy lub Komisja mogą przyjąć szczegółowe klauzule umowne dotyczące treści umowy powierzenia; - wymóg pisemnej formy umowy powierzenia (może być elektroniczna); P. Fajgielski, Unijne rozporządzenie o ochronie danych 28 14

15 IV. Obowiązki podmiotów Przetwarzanie z upoważnienia administratora lub podmiotu przetwarzającego (art. 29) Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego. Co z upoważnieniami do przetwarzania danych i ewidencją osób upoważnionych? Rejestracja zbiorów danych - obowiązek przestaje istnieć, nie trzeba będzie zgłaszać zbiorów do GIODO/PUODO - trzeba będzie prowadzić dokumentację we własnym zakresie i udostępniać ją na żądanie organu nadzorczego. P. Fajgielski, Unijne rozporządzenie o ochronie danych 29 IV. Obowiązki podmiotów Rejestrowanie czynności przetwarzania (art. 30) - nie będzie już zgłaszania zbiorów do GIODO i rejestracji zbiorów - administratorzy danych sami będą prowadzili tzw. rejestr czynności przetwarzania danych osobowych, zawierający a) imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie przedstawiciela administratora oraz inspektora ochrony danych; b) cele przetwarzania; c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych; d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych; e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych; g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1. Podmioty przetwarzające na zlecenie nieco inny zakres rejestru określony w art. 30 ust. 2 Wymóg prowadzenia rejestru nie dotyczy podmiotów zatrudniających mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa P. Fajgielski, Unijne rozporządzenie o ochronie danych 30 15

16 IV. Obowiązki podmiotów Bezpieczeństwo przetwarzania (art. 32) 1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: a) pseudonimizację i szyfrowanie danych osobowych; b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. 2. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. 3. Wywiązywanie się z obowiązków, o których mowa w ust. 1 niniejszego artykułu, można wykazać między innymi poprzez stosowanie zatwierdzonego kodeksu postępowania, o którym mowa w art. 40 lub zatwierdzonego mechanizmu certyfikacji, o którym mowa w art Administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego. P. Fajgielski, Unijne rozporządzenie o ochronie danych 31 IV. Obowiązki podmiotów Informowanie o naruszeniu ochrony danych - zgłaszanie naruszeń organowi nadzorczemu (art. 33) - dokumentowanie naruszeń (weryfikacja przez organ nadzorczy) - zawiadamianie osoby, której dane dotyczą o naruszeniu (art. 34) Art. 4 pkt 12) naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych; - 72 godziny na zgłoszenie naruszenia organowi nadzorczemu (jeśli później to z wyjaśnieniem przyczyn opóźnienia) - chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. - podmiot przetwarzający ma obowiązek zgłoszenia naruszenia administratorowi - treść zgłoszenia art. 33 ust. 3 - jeżeli naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą wyjątki wskazane w art. 34 ust. 3 (np. szyfrowanie) P. Fajgielski, Unijne rozporządzenie o ochronie danych 32 16

17 IV. Obowiązki podmiotów Inspektor ochrony danych IOD (art. 37 i n.) - zastąpi administratora bezpieczeństwa informacji (ABI) - obowiązek wyznaczenia IOD w 3 grupach przypadków: a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości; b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10. W pozostałych przypadkach możliwość wyznaczenia, także wspólnego IOD wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań IOD może być członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług. Administrator lub podmiot przetwarzający publikują dane kontaktowe inspektora ochrony danych i zawiadamiają o nich organ nadzorczy. P. Fajgielski, Unijne rozporządzenie o ochronie danych 33 IV. Obowiązki podmiotów Inspektor ochrony danych zadania (art. 39) a) informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie; b) monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty; c) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35; d) współpraca z organem nadzorczym; e) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach. Inspektor ochrony danych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania. Osoby, których dane dotyczą, mogą kontaktować się z IOD we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy rozporządzenia punkt kontaktowy Czy radca prawny może być inspektorem ochrony danych? P. Fajgielski, Unijne rozporządzenie o ochronie danych 34 17

18 IV. Obowiązki podmiotów Przekazywanie danych do państw trzecich lub organizacji międzynarodowych (art. 44 i n.) - przekazywanie na podstawie decyzji Komisji stwierdzającej odpowiedni stopień ochrony (art. 45); - przekazywanie z zastrzeżeniem odpowiednich zabezpieczeń (art. 46); - prawnie wiążące i egzekwowalne instrumenty między organami lub podmiotami publicznymi; - wiążące reguły korporacyjne; - standardowe klauzule umowne; - zatwierdzone kodeksy postępowania; - zatwierdzone mechanizmy certyfikacji; - przekazywanie za zezwolenia właściwego organu nadzorczego. Wyjątki określone w art. 49 dodatkowe przesłanki dopuszczalności przekazywania danych. P. Fajgielski, Unijne rozporządzenie o ochronie danych 35 V. Administracyjne kary pieniężne Administracyjne kary pieniężne za naruszenie ochrony danych (art. 83) Organ nadzorczy zapewnia, by ( ) stosowane za naruszenia rozporządzenia administracyjne kary pieniężne, były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Kryteria nakładania kar pieniężnych art. 53 ust. 2; m.in. charakter naruszenia, umyślność 2 grupy przepisów i 2 grupy kar 1) administracyjna kara pieniężna w wysokości do EUR, a w przypadku przedsiębiorstwa w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa - za naruszenie przepisów art. 8, 11, 25-39, 41 ust 4, 42, 43. 2) administracyjna kara pieniężna w wysokości do EUR, a w przypadku przedsiębiorstwa w wysokości do 4 % ( ) za naruszenie przepisów art. 5,6,7,9, 12-22, 44-49, naruszenia przepisów szczególnych prawa krajowego; art. 58. Wg projektu uodo w Polsce kary dla podmiotów publicznych maksymalnie 100 tyś zł P. Fajgielski, Unijne rozporządzenie o ochronie danych 36 18