RODO final countdown

Transkrypt

1

2 Copyright by Jarosław J. Feliński, wszelkie prawa autorskie zastrzeżone TEMAT WYSTĄPIENIA: KONSTYTUCJA RP A RODO PRELEGENT Przemysław KUCZKOWSKI Radca prawny Integrujemy środowisko Inspektorów Ochrony Danych Osobowych i Administratorów Bezpieczeństwa Informacji Optymalizujemy kwalifikacje i umiejętności zawodowe związane z zarządzaniem systemami bezpieczeństwa informacji i ochroną danych osobowych

3 Konstytucja o ochronie prywatności PREKURSORZY: Prawo do bycia pozostawionym samemu sobie (the right to be let alone ) Samuel D. Warren i Louis D. Brandeis, The Right to Privacy ( Harvard Law Review, 1890 r.) Prof. Andrzej Kopff w krakowskich Studiach Cywilistycznych artykuł Koncepcja praw do intymności i do prywatności życia osobistego. PRAWO MIEDZYNARODOWE: Powszechna Deklaracja Praw Człowieka (1948 ONZ) Artykuł 12 Nikt nie może być poddany arbitralnemu ingerowaniu w jego życie prywatne, rodzinne, domowe lub korespondencję ani też atakom na jego honor i dobre imię. Każdy człowiek ma prawo do ochrony prawnej przeciwko takim ingerencjom i atakom. Konwencja o Ochronie Praw Człowieka i Podstawowych Wolności (1950 Rada Europy) Artykuł 8 ust 1. - Każdy ma prawo do poszanowania swojego życia prywatnego i rodzinnego, swojego mieszkania i swojej korespondencji.

4 Konstytucja RP: RODO final countdown Ochrona danych w ujęciu ogólnym Konstytucja Rzeczpospolitej Polskiej z 1997 r. wprowadza w art. 47 nową kategorię konstytucyjną prawo do prywatności (ochrona życia prywatnego, rodzinnego, czci i dobrego imienia oraz decydowania o swoim życiu osobistym); Konstytucja Rzeczpospolitej Polskiej z 1997 r. wprowadza w art. 51 nową kategorię konstytucyjną w postaci prawa podmiotowego do ochrony danych osobowych;

5 Konstytucja RP: RODO final countdown Konstytucja o ochronie prywatności Art. 47. [Prawo do ochrony prywatności] Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym. Konstytucyjna ochrona prywatności ma charakter subsydiarny. Jeżeli więc jakaś materia nie została objęta szczegółowymi unormowaniami o konkretnych elementach prywatności, to gwarancje poszanowania życia prywatnego można wyprowadzać bezpośrednio z postanowień art. 47" (tak J. Braciak, Prawo do prywatności, Warszawa 2004, s. 164). Życie prywatne to przymioty, wewnętrzne przeżycia osobiste (jednostkowe) człowieka i ich oceny. Nie są one w założeniu przeznaczone do upowszechniania i sam zainteresowany decyduje o kręgu osób, z którymi zechce się nimi podzielić.

6 Konstytucja RP: Ochrona danych w ujęciu ogólnym Art. 51. [Prawo ochrony danych osobowych] 1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby. 2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. 3. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa. 4. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. 5. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.

7 RODO W KORELACJI WZMOCNIENIA POZYCJI OSOBY KTÓREJ DANE DOTYCZĄ ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE Artykuł 99 Wejście w życie i stosowanie 1. Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej. 2. Niniejsze rozporządzenie ma zastosowanie od dnia 25 maja 2018 r. Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich. Sporządzono w Brukseli dnia 27 kwietnia 2016 r

8 PRAWA OSÓB FIZYCZNYCH - RODO Zasady przetwarzania danych, podstawy prawne i rozliczalność Realizacja uprawnień osób, których dane dotyczą Zabezpieczanie, analiza ryzyka i dobór środków zabezpieczających, ocena stosowanych zabezpieczeń Zasady postępowania w razie naruszenia ochrony danych osobowych Dokumentacja odpowiadająca RODO

9 RODO W KORELACJI WZMOCNIENIA POZYCJI OSOBY KTÓREJ DANE DOTYCZĄ RODO = KONSTYTUCJA!!! Przyjęte w kwietniu 2016 r. przez Unię Europejską ogólne rozporządzenie o ochronie danych osobowych (RODO) zastępuje dyrektywę w tym zakresie z 1995 r. RODO ma zharmonizować prawo ochrony danych osobowych w Europie. Intencją unijnych urzędników było unowocześnienie regulacji o ochronie danych osobowych, które obowiązuje od 1995 r. i w dobie postępującej cyfryzacji ma coraz mniejsze zastosowanie praktyczne. Ww akt prawny zdecydowanie kładzie nacisk na ochronę prywatności w globalnym świecie. Zacznie obowiązywać w UE od 25 maja 2018 r.

10 RODO W KORELACJI WZMOCNIENIA POZYCJI OSOBY KTÓREJ DANE DOTYCZA Art. 5 RODO ZASADY DOTYCZACE PRZETWARZANIA DANYCH OSOBOWYCH 1. Dane osobowe muszą być (WARUNKI OBLIGATORYJNE): a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą ( legalność, rzetelność i przejrzystość ); b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami ( ograniczenie celu ); c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane ( minimalizacja danych ); d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane ( prawidłowość - merytoryczna poprawność );

11 RODO W KORELACJI WZMOCNIENIA POZYCJI OSOBY KTÓREJ DANE DOTYCZA Uprawnienia osoby fizycznej na gruncie RODO: Artykuł 17 Prawo do usunięcia danych ("prawo do bycia zapomnianym") 1. Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z z okoliczności określonych w art. 17 RODO. 2. Jeżeli administrator upublicznił dane osobowe, a na mocy ust. 1 ma obowiązek usunąć te dane osobowe, to - biorąc pod uwagę dostępną technologię i koszt realizacji - podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje. Ograniczenia w realizacji tego prawa ust 3 art. 17.

12 RODO W KORELACJI WZMOCNIENIA POZYCJI OSOBY KTÓREJ DANE DOTYCZA Uprawnienia osoby fizycznej na gruncie RODO: Artykuł 20 Prawo do żądania przeniesienia danych Artykuł 20 Prawo do przenoszenia danych 1. Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe, jeżeli: a) przetwarzanie odbywa się na podstawie zgody w myśl art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) lub na podstawie umowy w myśl art. 6 ust. 1 lit. b); oraz b) przetwarzanie odbywa się w sposób zautomatyzowany. 2. Wykonując prawo do przenoszenia danych na mocy ust. 1, osoba, której dane dotyczą, ma prawo żądania, by dane osobowe zostały przesłane przez administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe.

13 RODO W KORELACJI WZMOCNIENIA POZYCJI OSOBY KTÓREJ DANE DOTYCZA Uprawnienia osoby fizycznej na gruncie RODO: Artykuł 33 Obowiązek poinformowania o naruszeniu Organu Nadzorczego Artykuł 33. Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu. 1. W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. 2. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi. Art. 4 pkt 12 RODO- Definicja legalna "naruszenia ochrony danych osobowych", które oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

14 RODO W KORELACJI WZMOCNIENIA POZYCJI OSOBY KTÓREJ DANE DOTYCZA Uprawnienia osoby fizycznej na gruncie RODO: Artykuł 33 Obowiązek poinformowania o naruszeniu Organu Nadzorczego Dokumentacja naruszenia ochrony danych osobowych. Ogólne rozporządzenie o ochronie danych w art. 33 ust. 5 nakłada na administratora obowiązek dokumentowania wszelkich naruszeń ochrony danych osobowych. Literalne brzmienie tego przepisu (poprzez brak odwołania do art. 33 ust. 1 RODO) wskazuje, iż obowiązek ten dotyczy wszelkich sytuacji naruszenia ochrony danych osobowych, nawet tych, które nie podlegają zgłoszeniu organowi nadzorczemu ze względu na okoliczność, że jest mało prawdopodobne, że skutkowałoby ono ryzykiem naruszenia praw lub wolności osób fizycznych. Dokumentacja naruszeń ochrony danych osobowych powinna co najmniej zawierać udokumentowanie: 1) okoliczności naruszenia ochrony danych osobowych, 2) skutków naruszenia, 3) podjętych działań zaradczych. (Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz red. dr Paweł Litwiński)

15 RODO W KORELACJI WZMOCNIENIA POZYCJI OSOBY KTÓREJ DANE DOTYCZA Uprawnienia osoby fizycznej na gruncie RODO: Artykuł 34 Obowiązek zawiadomienia podmiotu danych Artykuł 34 Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych 1. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. 2. Zawiadomienie, o którym mowa w ust. 1 niniejszego artykułu, jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c) i d).

16 3. Zawiadomienie, o którym mowa w ust. 1, nie jest wymagane, w następujących przypadkach: a) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych; b) administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w ust. 1; c) wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób. Zaistnienie jednej ze wskazanych powyżej sytuacji jest wystarczające do zaniechania zawiadomienia zgodnie z art. 34 ust. 1. RODO final countdown RODO W KORELACJI WZMOCNIENIA POZYCJI OSOBY KTÓREJ DANE DOTYCZA Uprawnienia osoby fizycznej na gruncie RODO: Artykuł 34 Obowiązek zawiadomienia podmiotu danych

17 RODO W KORELACJI WZMOCNIENIA POZYCJI OSOBY KTÓREJ DANE DOTYCZA Uprawnienia osoby fizycznej na gruncie RODO: Artykuł 37 Wyznaczenie inspektora ochrony danych Art. 37 ust 1. Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy: a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości; b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę lub c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

18 RODO W KORELACJI WZMOCNIENIA POZYCJI OSOBY KTÓREJ DANE DOTYCZA Uprawnienia osoby fizycznej na gruncie RODO: Artykuł 13 RODO zbieranie danych od podmiotu Artykuł 14 RODO zbieranie danych od podmiotu trzeciego Rozbudowanie obowiązku informacyjnego Przepisy RODO wskazują liczne informacje, które muszą być uwzględnione w komunikacji sposobu przetwarzania danych osobowych kierowanej do osób, których dane dotyczą. (np. okres przechowywania, podstawa prawna przetwarzania)

19 RODO W KORELACJI WZMOCNIENIA POZYCJI OSOBY KTÓREJ DANE DOTYCZA Uprawnienia osoby fizycznej na gruncie RODO: Artykuł 83. Ogólne warunki nakładania administracyjnych kar pieniężnych. 1.Każdy organ nadzorczy zapewnia, by stosowane na mocy niniejszego artykułu za naruszenia niniejszego rozporządzenia administracyjne kary pieniężne, o których mowa w ust. 4, 5 i 6, były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. 4. Naruszenia przepisów dotyczących następujących kwestii podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do EUR, a w przypadku przedsiębiorstwa w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa (dalej katalog naruszeń). 5. Naruszenia przepisów dotyczących następujących kwestii podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do EUR, a w przypadku przedsiębiorstwa w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa (dalej katalog naruszeń). Podmioty publiczne wysokość kary przewidywana jest na poziomie złotych (projekt) POZOSTAŁA ODPOWIEDZIALNOŚĆ: karna, cywilna.

20 RODO Przepisy branżowe Niniejszy projekt liczy ponad 800 stron, w którym zawarte są proponowane zmiany w związku z obowiązywaniem od 25 maja 2018 r. RODO w Polsce.

21 RODO Przepisy branżowe Przykładowo:

22 RODO Przepisy branżowe Przykładowo:

23 RODO Przepisy branżowe Przykładowo:

24 RODO Rozporządzenie KRI ROZPORZĄDZENIE RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych Aktualność zapisów po okresie 25 maja 2018 r. Ponadto Niniejszy akt nie będzie wycofany z obrotu prawnego. 20. [System zarządzania bezpieczeństwem informacji] 1. Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność.

25 RODO minimalizacja nadużyć przez BIZNES 1) Nielegalna działalność niektórych firm marketingowych polega na (analizy GIODO dostępne na stronie a) nieudzielaniu osobom, do których przesyłają ulotki marketingowe podstawowych informacji o firmie. b) wymuszaniu zgody na wykorzystywanie danych osobowych w celach promocyjnohandlowych, jak też na przekazywanie ich innym podmiotom. c) nieuwzględnianiu sprzeciwu skarżących wobec wykorzystywania ich danych w celach marketingowych. d) nieudzielaniu informacji na wniosek osoby, której dane dotyczą, bądź jej nierzetelne informowanie. W przypadku obowiązywania RODO: Więcej praw podmiotu danych (np. do bycia zapomnianym, rozszerzony obowiązek informacyjny itp.. Prawo żądania informacji o przetwarzanych danych przez Administratora, Zgłoszenie go Organu Nadzorczego, Prawo do Sądu Powszechnego - odszkodowanie), Dotkliwe Kary pieniężne od Organu Nadzorczego;

26 BIP przydatny instrument informacyjny RODO Podstawa prawna Biuletynu Informacji Publicznej: Ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. 2016, poz z późn. zm.), Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 18 stycznia 2007 r. w sprawie Biuletynu Informacji Publicznej (Dz. U. 2007, nr 10, poz. 68),

27 BIP przydatny instrument informacyjny RODO Podstawa prawna Biuletynu Informacji Publicznej: Ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. 2016, poz z późn. zm.), Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 18 stycznia 2007 r. w sprawie Biuletynu Informacji Publicznej (Dz. U. 2007, nr 10, poz. 68),

28 BIP przydatny instrument informacyjny RODO Ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej Biuletyn Informacji Publicznej to urzędowy publikator teleinformatyczny, którego celem jest powszechne udostępnianie informacji publicznej, w postaci ujednoliconego systemu stron w sieci teleinformatycznej - art. 8 ust. 1 ustawy, Informacje publiczne są udostępniane w Biuletynie Informacji Publicznej przez podmioty, o których mowa w art. 4 ust. 1 i 2 ustawy - art. 8 ust. 2 ustawy (obligatoryjność strony BIP przez podmioty publiczne), Obowiązane do udostępniania informacji publicznej są władze publiczne oraz inne podmioty wykonujące zadania publiczne, w szczególności: organy władzy publicznej, podmioty reprezentujące państwowe osoby prawne albo osoby prawne samorządu terytorialnego oraz podmioty reprezentujące inne państwowe jednostki organizacyjne albo jednostki organizacyjne samorządu terytorialnego.

29 BIP przydatny instrument informacyjny RODO Ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej Podmioty, o których mowa w art. 4 ust. 1 i 2, przez zastosowanie systemu, o którym mowa w ust. 4a, albo innego systemu teleinformatycznego, tworzą własne strony Biuletynu Informacji Publicznej, na których udostępniają informacje podlegające udostępnieniu w tej drodze art. 9 ust. 2 ustawy, BIP a strona WWW podmiotu: Wyrok WSA w Poznaniu z dnia 11 maja 2011 r. sygn. Akt II SAB/Po 39/10 Trzeba jednak wyraźnie podkreślić, że ten tryb udzielenia informacji nie jest tożsamy z zamieszeniem danych na stronie Biuletynu Informacji Publicznej ( ).

30 BIP przydatny instrument informacyjny RODO Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 18 stycznia 2007 r. w sprawie Biuletynu Informacji Publiczne Strona podmiotowa BIP zawiera w szczególności: 1) logo (znak graficzny) BIP, umieszczone w górnej części strony; 2) adres redakcji strony podmiotowej BIP; 3) imię i nazwisko, numer telefonu, numer telefaksu i adres poczty elektronicznej co najmniej jednej z osób redagujących stronę podmiotową BIP; 4) instrukcję korzystania ze strony podmiotowej BIP; 5) menu przedmiotowe umożliwiające odnalezienie: a) informacji publicznych, o których mowa w art. 8 ust. 3 zdanie pierwsze ustawy, b) innych informacji publicznych, o których mowa w art. 8 ust. 3 zdanie drugie ustawy, a w szczególności takich, których publikacja leży w interesie publicznym, zaspokaja potrzeby obywateli i ich wspólnot, wspiera rozwój społeczeństwa obywatelskiego lub przyczynia się do polepszenia działalności podmiotu udostępniającego informacje, c) informacji publicznych przeznaczonych do publikacji w BIP na podstawie przepisów odrębnych;

31 BIP przydatny instrument informacyjny RODO ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE Artykuł 34 Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych 1. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. 2.Zawiadomienie, o którym mowa w ust. 1 niniejszego artykułu, jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c) i d). 3. Zawiadomienie, o którym mowa w ust. 1, nie jest wymagane, w następujących przypadkach: c) wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

32 BIP przydatny instrument informacyjny RODO ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 Artykuł 34 Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych 1. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Art. 38. Ustawy z dnia r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 (projekt ustawy); W ustawie z dnia 13 września 1996 r. o utrzymaniu czystości i porządku w gminach (Dz. U. z 2017 r. poz. 1289, 2056 i 2361) po art. 4a dodaje się art. 4b w brzmieniu: Art. 4b. 1. Wójt, burmistrz lub prezydent miasta realizując zadania związane z utrzymaniem czystości i porządku w gminach przetwarza dane osobowe w zakresie niezbędnym do realizacji tych zadań. 9. W przypadku stwierdzenia naruszenia ochrony danych osobowych administrator w terminie 72 godzin od stwierdzenia naruszenia wydaje komunikat o naruszeniu na swojej stronie podmiotowej w Biuletynie Informacji Publicznej.

33 Dane kontaktowe inspektora ochrony danych Artykuł 13 ust. 1 nakazuje administratorowi przekazanie podmiotowi danych m.in. danych kontaktowych inspektora ochrony danych osobowych, gdy ma to zastosowanie, tzn. gdy taki podmiot został przez niego wyznaczony. Klauzula informacyjna powinna zawierać takie informacje, które pozwolą osobie, której dane dotyczą, na łatwy, szybki i bezpośredni kontakt z inspektorem, tj. przede wszystkim numer telefonu, adres czy adres do korespondencji. BIP przydatny instrument informacyjny RODO Obowiązek Informacyjny Administratora Danych Artykuł 13 Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą.

34 BIP przydatny instrument informacyjny RODO Zamieszczenie Informacji o ograniczonym zakresie stosowania RODO na BIP Art. 23 RODO OGRANICZENIA Prawodawca unijny dopuścił możliwość ograniczenia obowiązku informacyjnego na mocy przepisów państwa członkowskiego Zamieszczenie Informacji o ograniczonym zakresie stosowania RODO na BIP Art Ustawy z dnia r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 (projekt ustawy); W ustawie z dnia 25 czerwca 2010 r. o sporcie (Dz. U. z 2017 r. poz i 1600) wprowadza się następujące zmiany: po art. 28 dodaje się art. 28a w brzmieniu: 2. Do przetwarzania danych osobowych, o których mowa w ust. 1, przepisów art. 13, art. 14, art. 17 i art. 18 rozporządzenia 2016/679 nie stosuje się w zakresie, w jakim dane te są niezbędne do zapewnienia prawidłowej realizacji zadań, o których mowa w art. 28 ust Administrator informuje o ograniczeniach, o których mowa w ust. 2 na swojej stronie podmiotowej w Biuletynie Informacji Publicznej lub na swojej stronie internetowej.

35 Aktualizacja BIP BIP przydatny instrument informacyjny RODO Biuletyn Informacji Publicznej jest prawnie uregulowaną stroną internetową, jaką Podmioty publiczne obowiązkowo muszą prowadzić. BIP źródło wiarygodnej informacji o sprawach danego podmiotu publicznego, Prowadzenie strony BIP to proces, Bieżące prowadzenie BIP oraz niezwłoczne umieszczanie informacji, Aktualizowanie BIP oznacza mniej udostępniania informacji na wniosek, Przepisy szczególne określają obowiązek publikacji na BIP, kolejnych informacji, Obowiązek aktualizowania informacji ze względu na wymogi prawne, Jawność życia publicznego,

36 r.pr. PRZEMYSŁAW KUCZKOWSKI