Ochrona danych osobowych

Transkrypt

1 Ochrona danych osobowych Przewodnik po ustawie i RODO z wzorami redakcja Maciej Gawroński Aleksander P. Czarnowski, Paweł Dmowski, Marcin Dominiak Aleksandra Gawron, Maciej Gawroński, Adrianna Gnatowska Michał Kibil, Katarzyna Kloc, Katarzyna Kunda Patrycja Naklicka, Zuzanna Piotrowska, Paweł Punda Tomasz Soczyński, Michał Sztąberek, Magdalena Wojtas

2 Ochrona danych osobowych Przewodnik po ustawie i RODO z wzorami redakcja Maciej Gawroński Aleksander P. Czarnowski, Paweł Dmowski, Marcin Dominiak Aleksandra Gawron, Maciej Gawroński, Adrianna Gnatowska Michał Kibil, Katarzyna Kloc, Katarzyna Kunda Patrycja Naklicka, Zuzanna Piotrowska, Paweł Punda Tomasz Soczyński, Michał Sztąberek, Magdalena Wojtas Zamów książkę w księgarni internetowej WARSZAWA 2018

3 Stan prawny na 1 października 2018 r. Wydawca Monika Pawłowska Redaktor prowadzący Joanna Ołówek Opracowanie redakcyjne Michał Dymiński Łamanie Fotoedytor Ta książka jest wspólnym dziełem twórcy i wydawcy. Prosimy, byś przestrzegał przysługujących im praw. Książkę możesz udostępnić osobom bliskim lub osobiście znanym, ale nie publikuj jej w internecie. Jeśli cytujesz fragmenty, nie zmieniaj ich treści i koniecznie zaznacz, czyje to dzieło. A jeśli musisz skopiować część, rób to jedynie na użytek osobisty. SZANUJMY PRAWO I WŁASNOŚĆ Więcej na P L K I B K Copyright by Wolters Kluwer Polska Sp. z o.o., 2018 ISBN Dział Praw Autorskich Warszawa, ul. Przyokopowa 33 tel ksiazki@wolterskluwer.pl księgarnia internetowa

4 Spis treści Spis treści SPIS TREŚCI Wykaz skrótów Wstęp Część A Kompendium ochrony danych osobowych Rozdział I Zgodność podstawowa RODO unijna ustawa o ochronie danych osobowych Katarzyna Kloc, Maciej Gawroński RODO nowa ustawa o ochronie danych osobowych Przedmiot i cel RODO Uwagi wstępne Ochrona osób fizycznych Bezpośredniość Konsekwencje dla polskich przedsiębiorców Prywatność, prawa, bezpieczeństwo filary RODO Wymagania RODO Ogólnikowość Mierzalność Bezpośredniość Surowość Domniemanie winy Podział funkcjonalny RODO Przedmiotowy i terytorialny zakres stosowania RODO Katarzyna Kloc, Maciej Gawroński

5 6 Spis treści 2.1. Zakres stosowania RODO Zakres przedmiotowy Wyłączenia stosowania RODO Zakres terytorialny Rodosłowniczek, czyli omówienie podstawowych pojęć RODO wraz z przykładami Patrycja Naklicka, Aleksandra Gawron Uwagi wstępne Administrator Analiza ryzyka Anonimizacja Czynności przetwarzania danych Dane osobowe Kategorie danych osobowych Rodzaj danych osobowych Eksport danych / Transfer danych GIODO i PUODO Grupa Robocza Art. 29 i Europejska Rada Ochrony Danych Inspektor ochrony danych Naruszenie ochrony danych osobowych Ocena skutków dla ochrony danych Odbiorca danych Ograniczenie przetwarzania Operacje przetwarzania danych Osoba, której dane dotyczą Personel Podmiot przetwarzający Przetwarzanie Pseudonimizacja Rejestr czynności przetwarzania danych Ryzyko Ustawa o ochronie danych osobowych Współadministrowanie Zasady przetwarzania danych osobowych Marcin Dominiak, Maciej Gawroński Wprowadzenie Zasady materialne

6 Spis treści Zasada formalna rozliczalność Bliżej o zasadach ochrony danych Zasada legalności, rzetelności i przejrzystości przetwarzania (zgodności z prawem) Legalność Rzetelność Przejrzystość Zasada celowości Zasada minimalizacji danych (adekwatności, proporcjonalności) Zasada prawidłowości (poprawności) Zasada ograniczenia czasowego (czasowości) Zasada bezpieczeństwa (integralności i poufności danych) Poufność Integralność Dostępność Odpowiedniość Zasada rozliczalności Podstawy prawne przetwarzania danych osobowych Maciej Gawroński, Michał Sztąberek Wstęp Dane osobowe zwykłe art. 6 8 RODO Zgoda jako podstawa przetwarzania danych Wstęp Zgoda jako podstawa prawna Zgoda dziecka Zawarcie i wykonywanie umowy Działania przed zawarciem umowy Wykonywanie umowy Przetwarzanie danych osoby trzeciej Obowiązek prawny Ochrona żywotnych interesów Zadania realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej Uzasadniony interes administratora danych lub strony trzeciej Wybór podstawy przetwarzania

7 8 Spis treści 6. Artykuły 9 i 10 RODO dane szczególnych kategorii i dane karne Maciej Gawroński, Michał Sztąberek Przesłanka zgody Przetwarzanie wynikające ze stosunku pracy jest dozwolone prawem Ochrona żywotnych interesów Stowarzyszanie się Dane upublicznione Sprawy sądowe Na podstawie prawa dla ważnego interesu publicznego Dane karne Zgoda cechy oraz warunki wyrażenia zgody Maciej Gawroński Definicja zgody Dobrowolność zgody Konkretność zgody Świadomość zgody Jednoznaczność zgody Warunki wyrażenia zgody Rozliczalność forma udzielonej zgody Retencja (okres ważności zgody) Równołatwość cofnięcia zgody Ważność starych zgód Wyraźna zgoda Zgoda dziecka na usługi społeczeństwa informacyjnego (np. media społecznościowe) Zgoda jako pozorna podstawa prawna Administrator i podmiot przetwarzający Maciej Gawroński, Katarzyna Kloc, Magdalena Wojtas Wstęp Administrator danych osobowych definicja, cechy, obowiązki Definicja Każdy jest ADO Co przesądza, że dany podmiot jest ADO? Decydowanie o celach i środkach przetwarzania

8 Spis treści Praktyczny test ADO Rola ADO Obowiązki ADO Podmiot przetwarzający definicja, cechy, rola i obowiązki Definicja Rola podmiotu przetwarzającego Wiarygodność i wystarczające gwarancje Umowa z ADO Obowiązki wynikające z umowy z ADO Obowiązki wynikające z RODO Porównanie roli i obowiązków ADO i podmiotu przetwarzającego Przetwarzanie danych niewymagające identyfikacji Maciej Gawroński Wprowadzenie Brak obowiązku identyfikacji Brak obowiązku monitorowania Obowiązki informacyjne Obowiązek poinformowania osób niezidentyfikowanych o niemożności zidentyfikowania jeśli to możliwe Umożliwienie wykonania praw jednostki Bezpieczeństwo Minimalizacja (dostępu i czasu) Rejestrowanie czynności przetwarzania danych Katarzyna Kloc Własny rejestr zamiast zgłaszania do GIODO RCPD podstawa rozliczalności Czynność przetwarzania danych Czynności realizowane w tym samym celu Czynności klasyfikowane w inny sposób RCPD dla małych i dużych różnice Czy każdy musi prowadzić RCPD? Zatrudnienie 250 osób Przetwarzanie wysokiego ryzyka Zakres informacji w RCPD administratorzy danych

9 10 Spis treści Zakres informacji w RCPD podmioty przetwarzające dane Forma RCPD Osoba odpowiedzialna za prowadzenie RCPD Przekazywanie danych do państwa trzeciego lub organizacji międzynarodowej (eksport danych lub transfer danych) Maciej Gawroński Reglamentacja eksportu danych Praktyczne utrudnienie eksportu danych Legalność eksportu danych Podstawy eksportu danych Dodatkowe podstawy przekazania Przekazanie naprawdę wyjątkowe Zarejestrowanie przekazania wyjątkowego Zakaz sądowej samopomocy ucinanie długiej ręki Podsumowanie Przetwarzanie transgraniczne, czyli właściwość wiodącego organu nadzorczego (art. 4 pkt 16 i 23, art. 56 RODO) Maciej Gawroński Wstęp One -stop -shop Przetwarzający Administratorzy Przetwarzanie lokalne Zasięg lokalny Tryb pilny Prawo holdingowe Wytyczne Grupy Roboczej Art Wnioski Współadministrowanie danymi osobowymi Maciej Gawroński Wstęp Przykłady współadministrowania danymi Czy unikać współadministrowania? Obowiązki współadministratorów Umowa o współadministrowanie Treść umowy, analogia do powierzenia danych Ujawnienie podmiotom danych

10 Spis treści Transgraniczne współadministrowanie Wnioski Kodeksy postępowania i certyfikacja (art. 40 i n. RODO) Paweł Punda, Aleksander P. Czarnowski, Maciej Gawroński Wstęp Kodeksy Opracowanie Zatwierdzanie Certyfikacja Schematy certyfikacyjne Prace legislacyjne Korzyści Projekty kodeksów Certyfikacja prywatna Rozdział II Prawa jednostki Obsługa praw jednostki (art. 12 RODO) Maciej Gawroński, Michał Kibil Wstęp Czytelność komunikowania się Czytelnie i zwięźle Kompletność Niecytowanie przepisów Dzieci Test Kowalskiego Uwierzytelnienie Potwierdzenie tożsamości Pogłębione uwierzytelnienie Forma komunikacji Ułatwianie Obsługa danych niezidentyfikowanych Czas reakcji i czas obsługi Nieuzasadnione lub nadmierne żądania Nieuzasadnione żądanie Nadmierne żądanie Schemat działania administratora

11 12 Spis treści 2. Prawo do informacji i obowiązek informacyjny (art. 13 i 14 RODO) Maciej Gawroński Uwagi wstępne Zakres informacji Pozyskiwanie od osoby Pozyskiwanie nie od osoby Zmiana celu Prawo dostępu Szczegóły informacji Podstawa prawna Kategorie odbiorców i odbiorcy Eksport danych Profilowanie Kiedy i jak informować Kiedy informować? Podczas pozyskiwania od osoby W ciągu miesiąca z innych źródeł Aktualizacja informacji Informowanie osób niezidentyfikowanych (art. 11 ust. 2 RODO) Jak informować? Przejrzystość Dostępność Konkretność Wyjątki od obowiązku informowania Prawo dostępu do danych (art. 15 RODO) Maciej Gawroński, Michał Sztąberek Wstęp Terminy Informacje Dostęp Kopia danych Prośba o sprecyzowanie Odmowa Prawa innych Uwierzytelnienie i komunikacja Regulaminy i procedury

12 Spis treści Mapowanie danych, narzędzia eksploracji danych (data mining), narzędzia do tzw. ticketowania Podsumowanie Prawo do sprostowania danych (art. 16 RODO) Maciej Gawroński, Michał Sztąberek Wstęp Zagadnienia ogólne tryb uwierzytelnienia i komunikacji Element sporu Prawo do skargi Styl Wykazanie nieprawidłowości danych Dane nieaktualne czy nieprawidłowe Zakres korekty danych Uzupełnienie danych niekompletnych Adekwatność danych Podstawa aktualizacji Obowiązek powiadomienia Prawo do usunięcia danych, prawo do bycia zapomnianym (art. 17 RODO) Maciej Gawroński, Katarzyna Kunda Historia prawa do bycia zapomnianym Składniki prawa do bycia zapomnianym Podstawy żądania usunięcia danych Zbędność do celów przetwarzania Cofnięcie zgody Wniesienie sprzeciwu Przetwarzanie niezgodne z prawem Prawny obowiązek usunięcia danych Oferowanie usług społeczeństwa informacyjnego dzieciom Wyjątki Korzystanie z prawa do wolności wypowiedzi i informacji Wywiązanie się z obowiązku prawnego lub zadania realizowanych w interesie publicznym albo w ramach wykonywania władzy publicznej

13 14 Spis treści Interes publiczny w ochronie zdrowia publicznego Cele archiwalne, badania naukowe, historyczne, cele statystyczne Ustalenie, dochodzenie, obrona roszczeń Zakres usunięcia danych Przetwarzanie w celu realizacji prawa do usunięcia danych i prawa do bycia zapomnianym Przetwarzanie w celu zapewnienia bezpieczeństwa problem kopii zapasowych i archiwalnych Jak wszyscy, to wszyscy Problem bezpieczeństwa i ciągłości działania Problem rozliczalności Problem praktyczny zasoby i proces Rozwiązanie Problem danych nieustrukturyzowanych Obowiązek powiadomienia Poinformowanie innych administratorów Ograniczenie obowiązku poinformowania Listy kontrolne Przygotowanie do RODO wprowadzenie prawa do bycia zapomnianym do organizacji Przetworzenie żądania usunięcia danych Prawo do ograniczenia przetwarzania (art. 18 RODO) Michał Sztąberek, Maciej Gawroński Ograniczenie przetwarzania Prawo do ograniczenia przetwarzania Ograniczenie w razie sporu co do prawidłowości danych Ograniczenie w razie niezgodności z prawem Ograniczenie dla potrzeb roszczeń Ograniczenie w razie sprzeciwu ze względu na szczególną sytuację Sposób zastosowania się do żądania ograniczenia przetwarzania

14 Spis treści Obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania (art. 19 RODO) Aleksander P. Czarnowski, Maciej Gawroński, Paweł Punda Obowiązek śledzenia danych Odbiorca danych na gruncie art. 19 RODO Obowiązek informacyjny na żądanie Prawo do przenoszenia danych, czyli jak przenieść dane od jednego administratora danych do drugiego (art. 20 RODO) Aleksander P. Czarnowski, Maciej Gawroński, Paweł Punda Wstęp Na czym dokładnie polega prawo przenoszenia danych? Kiedy można skorzystać z prawa do przenoszenia danych? Jaki zakres danych należy przekazać? W jaki sposób należy zrealizować prawo do przeniesienia danych? Wyjątki Prawa osób trzecich Przenoszenie danych, które są równocześnie danymi wnioskodawcy i danymi innej osoby Kogo przenoszenie danych dotyczy najbardziej? Bezpieczeństwo Kwestia techniczna Prawo do sprzeciwu (art. 21 RODO) Maciej Gawroński, Michał Sztąberek Prawo do sprzeciwu Sprzeciw ze względu na szczególną sytuację osoby Prawnie uzasadnione interesy Roszczenia i spory Interes publiczny lub władza publiczna Przetwarzanie danych na potrzeby marketingu bezpośredniego Sprzeciw względem marketingu bezpośredniego a cofnięcie zgody na przetwarzanie

15 16 Spis treści Sprzeciw względem marketingu bezpośredniego a zgoda na zdalną komunikację marketingową Skuteczne wniesienie sprzeciwu na przetwarzanie danych Jak powinien być składany sprzeciw Profilowanie i automatyczne podejmowanie decyzji (art. 22 RODO) Michał Kibil Wstęp Definicja profilowania z RODO Automatyzacja Dane osobowe Efekt Czynności traktowane jako profilowanie Obowiązki administratora danych osobowych związane z profilowaniem lub automatycznym podejmowaniem decyzji, lub podejmowaniem decyzji w oparciu o profilowanie Obowiązki ogólne administratora Informowanie o decydowaniu automatycznym i w oparciu o profilowanie Ile razy informować Zmiana celu Profilowanie danych ze starej ustawy o ochronie danych osobowych Prawo sprzeciwu Profilowanie a podejmowanie zautomatyzowanych decyzji Środki bezpieczeństwa Kiedy można stosować decyzje zautomatyzowane lub oparte wyłącznie na profilowaniu Prawo do ludzkiej interwencji Proces reklamacyjny Automatyczne uwierzytelnienie Profilowanie dzieci

16 Spis treści Zautomatyzowane decyzje dotyczące danych wrażliwych Wnioski Rozdział III Bezpieczeństwo Bezpieczeństwo danych w świetle RODO analiza ryzyka i adekwatność środków Aleksander P. Czarnowski, Maciej Gawroński Bezpieczeństwo odpowiednie do ryzyka Ryzyko Ryzyko naruszenia praw lub wolności Analiza ryzyka Elementy oceny adekwatności środków bezpieczeństwa danych Stan wiedzy technicznej Koszt Cechy samego przetwarzania Ryzyko naruszenia praw lub wolności Nie trzeba wymyślać procesu samemu? Środki bezpieczeństwa Jak z tego wybrnąć na skróty? Pseudonimizacja i szyfrowanie preferowane środki zabezpieczania danych osobowych Aleksander P. Czarnowski, Maciej Gawroński, Paweł Punda Uwagi wstępne Szyfrowanie Pseudonimizacja Anonimizacja Pseudonimizacja czy szyfrowanie Bezpieczeństwo Analiza ryzyka Ocena skutków dla ochrony danych Metodyka analizy ryzyka Privacy by design Notyfikacja naruszeń ochrony danych

17 18 Spis treści 2.8. Zastosowania biznesowe pseudonimizacji Podsumowanie Privacy by design, czyli projektowanie prywatności Maciej Gawroński, Katarzyna Kunda Privacy by design Z czego się składa projektowanie prywatności Bezpieczeństwo Pseudonimizacja Minimalizacja Prawa jednostki i czasowość Jak wdrożyć privacy by design w organizacji? Projektowanie prywatności w konkretnym projekcie Zasady projektowania prywatności Od kiedy projektować prywatność Certyfikacja projektowania prywatności i domyślnej prywatności Privacy by default, czyli domyślna ochrona danych minimalizacja Maciej Gawroński, Katarzyna Kunda Zasada privacy by default Privacy by default, czyli minimalizacja Atrybuty domyślnej prywatności Wskazówki praktyczne Udostępnianie nieokreślonej liczbie osób Certyfikacja projektowania prywatności i domyślnej prywatności Ocena skutków dla ochrony danych krok po kroku Katarzyna Kloc Uwagi wstępne Kwalifikowana analiza ryzyka i rozliczalność Podobne procesy, jedna DPIA Analiza ryzyka do kwadratu Analiza ryzyka Jak w praktyce można przeprowadzić analizę ryzyka pierwszego stopnia i mieć wstępny przegląd operacji wymagających DPIA? DPIA kiedy trzeba? Duża skala

18 Spis treści Wytyczne Grupy Roboczej Art Jak określić, czy w naszej firmie należy przeprowadzić DPIA i w odniesieniu do których procesów? Urzędowy katalog operacji DPIA Kiedy nie trzeba przeprowadzać DPIA? DPIA krok po kroku Uwagi ogólne IOD Eksperci Reprezentanci grup docelowych Uprzednie konsultacje z organem nadzorczym Wytyczne GIODO Podsumowanie Rozdział IV Przetwarzający dane Powierzenie danych oraz elementy nowej umowy powierzenia danych Aleksander P. Czarnowski, Maciej Gawroński, Patrycja Naklicka Uwagi wstępne Opis gwarancji zgodności Pisemna umowa Zgoda na podpowierzenie danych Transfer obowiązków na podprzetwarzającego Zakaz wydmuszki Przedmiot przetwarzania Pisemność poleceń ADO Zobowiązania do poufności Bezpieczeństwo danych Obsługa praw jednostki Wsparcie obowiązków bezpieczeństwa administratora Notyfikacja podejrzenia naruszenia ochrony danych Usuwanie i zwrot danych Obowiązek rozliczenia się ze zgodności z umową Podleganie audytom Odpłatność

19 20 Spis treści Informowanie o legalności poleceń Procedura rozstrzygania legalności Zasady odpowiedzialności Wyznaczanie inspektora ochrony danych Powierzenie danych oraz elementy nowej umowy powierzenia danych Aleksander P. Czarnowski, Maciej Gawroński, Patrycja Naklicka Umowy powierzenia a umowy SLA Dostępność systemu SLA i czas reakcji SLA w praktyce Standaryzacja umów SLA a zgodność z RODO Nowe wyzwania dla administratora i procesora Rekomendacje Rozdział V Zarządzanie incydentami Zgłaszanie naruszeń ochrony danych osobowych organowi nadzorczemu (art. 33 RODO) Maciej Gawroński, Zuzanna Piotrowska Przepis Co to jest naruszenie ochrony danych osobowych? Naruszenie ochrony danych wg Grupy Roboczej Art Naruszenie poufności Naruszenie dostępności Naruszenie integralności Czy każde naruszenie trzeba zgłaszać? Procedura zgłaszania Termin dla administratora Termin dla przetwarzającego Stwierdzenie naruszenia Zgłoszenie treść i forma Powiadamianie z opóźnieniem Obowiązki podmiotu przetwarzającego Kiedy mimo wystąpienia incydentu naruszenia ochrony danych nie trzeba powiadamiać organu nadzorczego? Kwestie praktyczne

20 Spis treści Dokumentowanie naruszeń Sankcja administracyjna Elementy systemu zgłaszania naruszeń Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych (art. 34 RODO) Katarzyna Kloc, Maciej Gawroński Wstęp Wysokie ryzyko naruszenia praw lub wolności Prawa i wolności Wyjątki od obowiązku zawiadomienia Działania prewencyjne Działania następcze Zawiadomienie Treść zawiadomienia Forma zawiadomienia Ogłoszenie w miejscu zawiadomienia Termin zawiadomienia Uzgodnienia z organem nadzorczym Rozdział VI Inspektor ochrony danych (IOD) Inspektor ochrony danych wyznaczenie i status Michał Kibil, Maciej Gawroński IOD ewolucja czy rewolucja Kto ma obowiązek wyznaczenia inspektora ochrony danych? Organ lub podmiot publiczny Działalność wymagająca systematycznego i regularnego monitorowania oraz przetwarzanie na dużą skalę Główna działalność Monitorowanie osób Działanie w ramach zrzeszeń i grup przedsiębiorców Kwalifikacje IOD Zatrudnienie IOD Status inspektora danych Obowiązki administratora względem IOD Niezależność IOD

21 22 Spis treści 2. Zadania inspektora ochrony danych osobowych Michał Kibil, Maciej Gawroński Wstęp Informacje poufne oraz unikanie konfliktu interesów Zadania inspektora ochrony danych Rozdział VII Regulator Organ nadzorczy status, rola i obowiązki Katarzyna Kunda, Patrycja Naklicka, Zuzanna Piotrowska Niezależność Cechy i gwarancje niezależności Członkowie organu nadzorczego Wybór Okres kadencji konflikt interesów Rola organu nadzorczego Kompetencje z art. 57 RODO Bezpłatność Uprawnienia organu nadzorczego z zakresu ochrony danych osobowych Katarzyna Kunda, Patrycja Naklicka, Zuzanna Piotrowska Wstęp Uprawnienia kontrolne Rodzaje i techniki kontroli Przebieg kontroli Zakres kontroli Uprawnienia pokontrolne Obowiązek zachowania tajemnicy Kary przewidziane przez RODO Udzielanie zezwoleń i kompetencje doradcze Obowiązek rozpatrywania skarg przez PUODO Rozdział VIII Środki ochrony prawnej, odpowiedzialność i sankcje Środki ochrony prawnej odpowiedzialność cywilnoprawna i administracyjna Maciej Gawroński Wstęp Skarga do organu nadzorczego

22 Spis treści Skarga do sądu (administracyjnego) na organ nadzorczy Odpowiedzialność cywilnoprawna żądanie zaniechania lub zachowania Prawo do sądu Właściwość miejscowa sądu Tryb procesowy Odpowiedzialność odszkodowawcza Szkoda majątkowa i niemajątkowa Administrator i przetwarzający Uwolnienie się od odpowiedzialności Domniemanie winy Współodpowiedzialność Właściwość sądu Proces cywilny Reprezentacja podmiotów danych przez wyspecjalizowane podmioty Sankcje administracyjne za naruszenie przepisów RODO Maciej Gawroński Wstęp Komu grożą kary? Jakie powinny być kary? Kara większa i kara mniejsza Księgowość karania Konfiskata korzyści z rodoprzestępstwa Odpowiedzialność podmiotu przetwarzającego Maciej Gawroński Rozdział IX Nowa ustawa o ochronie danych osobowych rola i miejsce w porządku prawnym po r. Katarzyna Kloc Wprowadzenie Porządek prawny przed r Planowane zmiany przepisy sektorowe Rola nowej ustawy o ochronie danych osobowych Niewielki zakres obowiązywania ustawy o ochronie danych osobowych z 1997 r Podsumowanie

23 24 Spis treści Rozdział X Wyjątek dziennikarski (art. 2), cz. 1 Maciej Gawroński, Katarzyna Kunda, Katarzyna Kloc Wolność wypowiedzi i informacji a RODO Wyłączenia podstawa w RODO Pogodzenie przepisów regulujących wolność wypowiedzi i informacji z RODO w polskim porządku prawnym Wyjątek dziennikarski, działalność artystyczna i literacka a RODO Wyjątek dziennikarski wyłączenia dla dziennikarzy Waga wyłączenia w przypadku dziennikarzy Wyłączenia dla pisarzy i artystów działalność literacka i artystyczna Zakres wyłączenia stosowania RODO Wyłączenia w zakresie podstawowych zasad Rozdział XI Wyjątek dziennikarski (art. 2), cz. 2 Maciej Gawroński, Katarzyna Kunda, Katarzyna Kloc Wyłączenia w zakresie obsługi praw jednostki Wyłączenia w zakresie obowiązków przy powierzeniu przetwarzania Wyłączenia w zakresie rejestru czynności przetwarzania danych Przepisy RODO stosowane do dziennikarzy, literatów i artystów Przetwarzanie danych karnych Bezpieczeństwo Inspektor ochrony danych Współadministrowanie Transfer danych poza EOG Odpowiedzialność Wypowiedź akademicka Wyłączenia stosowania przepisów RODO dla wypowiedzi akademickiej Ograniczenia w zakresie realizacji praw jednostki Powierzenie przetwarzania danych

24 Spis treści Wyłączenie w zakresie obowiązku prowadzenia rejestru czynności przetwarzania danych Zakres stosowania RODO w przypadku wypowiedzi akademickich Rozdział XII Prezes Urzędu Ochrony Danych polski organ nadzorczy Maciej Gawroński, Patrycja Naklicka Prezes Urzędu GIODO a Prezes Urzędu Zmiana nazwy organu nadzorczego Kontynuacja kierownictwa Zadania oraz uprawnienia Prezesa Urzędu Zadania i uprawnienia Prezesa Urzędu określone w RODO Zadania i uprawnienia Prezesa Urzędu określone w ustawie o ochronie danych osobowych Podmioty uprawnione do wystąpienia o uprzednie konsultacje Dodatkowe uprawnienia Prezesa Urzędu i kwestia rozstrzygania sporów o właściwość Sposób powoływania, odwoływania oraz kadencja Prezesa Urzędu Powoływanie Prezesa Urzędu Wymogi względem Prezesa Urzędu Kadencja Sposób odwołania Prezesa Urzędu Niezależność Prezesa Urzędu Niezależność materialna. Zapewnienie zasobów i zaplecza administracyjnego dla Prezesa Urzędu Budżet Urząd Statut Urzędu Zachowanie poufności Zastępcy Prezesa Urzędu Zakaz zajmowania innych stanowisk Apolityczność Immunitet formalny Prezesa Urzędu

25 26 Spis treści 9.1. Wniosek o pociągnięcie do odpowiedzialności Wymogi formalne wniosku o pociągnięcie do odpowiedzialności Procedura rozpatrywania wniosku Zgoda Wniosek o wyrażenie zgody na zatrzymanie lub aresztowanie Wymogi formalne wniosku o zatrzymanie lub aresztowanie Powiadomienie i ogłoszenie uchwały Odpowiedzialność karna a odpowiedzialność za wykroczenia Rada do Spraw Ochrony Danych Osobowych Kompetencje Rady Skład Rady Członkowie Rady Zachowanie tajemnicy Kadencja członka Rady Funkcjonowanie Rady Wynagrodzenie za udział w pracach Rozdział XIII Postępowanie przed Prezesem Urzędu Ochrony Danych podstawowe informacje i rodzaje postępowań (akredytacja, certyfikacja, postępowania kontrolne i postępowania w sprawie naruszeń przepisów o ochronie danych) Magdalena Wojtas Rodzaje postępowań przed Prezesem Urzędu Ochrony Danych Osobowych Ogólny opis postępowań przed Prezesem Urzędu Postępowanie certyfikacyjne Postępowanie w sprawie zatwierdzenia kodeksu postępowania Postępowanie w sprawie akredytacji podmiotu monitorującego Postępowanie kontrolne Postępowanie w sprawie naruszeń przepisów o ochronie danych

26 Spis treści 27 Rozdział XIV Warunki i tryb certyfikacji Maciej Gawroński, Paweł Punda Mechanizmy certyfikacji Podstawy certyfikacji Cel certyfikacji Certyfikacja przez Prezesa Urzędu Certyfikacja przez podmiot certyfikujący Postępowanie w sprawie certyfikacji Cofnięcie certyfikacji Okres certyfikacji Zasięg terytorialny certyfikacji Specyfika mikro-, małych i średnich przedsiębiorstw Rozdział XV Postępowanie w sprawach naruszenia przepisów o ochronie danych Maciej Gawroński, Patrycja Naklicka Prowadzenie postępowania przez Prezesa Urzędu Ochrony Danych Osobowych (art. 60 u.o.d.o.) Właściwość Prezesa Urzędu Naruszenie przepisów Stosowanie Kodeksu postępowania administracyjnego Jednoinstancyjność postępowania (art. 7 u.o.d.o.) Zaskarżanie postanowień Prezesa Urzędu w postępowaniu w sprawie naruszenia Kiedy Prezes Urzędu wszczyna postępowanie? Przedstawiciel organizacji jako pełnomocnik strony (art. 61 u.o.d.o.) Zawiadomienie strony o niezałatwieniu sprawy w terminie (art. 63 u.o.d.o.) Termin na załatwienie sprawy Obowiązki organu po upływie terminu Dwa czy trzy miesiące na załatwienie sprawy przez Prezesa Urzędu? Terminy instrukcyjne Załatwienie sprawy w terminie a liczba skarg Uprawnienia Prezesa Urzędu w zakresie prowadzenia postępowania o naruszeniu przepisów

27 28 Spis treści 6.1. Obowiązek żądania przedstawienia dokumentacji w języku polskim (art. 63 u.o.d.o.) Prawo dostępu do informacji objętych tajemnicą prawnie chronioną Tajemnica prawnie chroniona Przepisy ustawy sektorowej Tajemnice zawodowe określone w projekcie ustawy sektorowej Honorowanie tajemnicy przedsiębiorstwa (art. 65 u.o.d.o.) Uprawnienie do uchylenia tajemnicy przedsiębiorstwa (art. 65 ust. 3 u.o.d.o.) Ograniczenie dostępu do akt sprawy (art. 66 u.o.d.o.) Zawiadomienie poprzez publiczne obwieszczenie (art. 67 u.o.d.o.) Przeprowadzenie postępowania kontrolnego (art. 68 u.o.d.o.) Grzywna za naruszenie obowiązku osobistego stawiennictwa (art. 69 u.o.d.o.) Ograniczenie przetwarzania danych (art. 70 u.o.d.o.) Wniosek o wystąpienie z pytaniem prawnym w sprawie ważności decyzji Komisji Europejskiej (art. 71 u.o.d.o.) Wymogi formalne wniosku Postanowienie sądu Zakończenie postępowania Uzasadnienie decyzji kończącej postępowanie w sprawie (art. 72 u.o.d.o.) Matryca karania z art. 83 ust. 2 RODO Matryca karania Publikacja decyzji wydanej przez Prezesa Urzędu (art. 73 u.o.d.o.) Publikacja decyzji wobec podmiotów prywatnych Publikacja decyzji wobec podmiotów publicznych Publikacja działań w celu wykonania decyzji Wstrzymanie wykonalności decyzji w zakresie kary pieniężnej (art. 74 u.o.d.o.)

28 Spis treści 29 Rozdział XVI Kontrola organu nadzorczego Magdalena Wojtas Zakres kontroli Podmioty kontrolujące Kontrolujący Wyłączenie kontrolującego Specjalista Termin przeprowadzenia kontroli Podstawa wszczęcia kontroli Brak obowiązku wcześniejszego zawiadomienia Cel kontroli Sposób przeprowadzania kontroli Upoważnienie Rodzaje kontroli Zasady kontroli Udział Policji w kontroli Protokół Czas trwania kontroli Podejście do kontroli Rozdział XVII Wyznaczanie IOD, cz. 1 Maciej Gawroński, Adrianna Gnatowska Wstęp Obowiązek powołania IOD Uwagi ogólne Powołanie fakultatywnego IOD Organy i podmioty publiczne Główna działalność Przetwarzanie danych na dużą skalę Duża skala według estońskiego DPA Monitoring wizyjny Procedura zawiadomienia o wyznaczeniu IOD według ustawy o ochronie danych osobowych Uwagi ogólne Zawiadomienie o wyznaczeniu IOD Zastępca IOD Zawiadomienie o zmianach Forma zawiadomienia