ROZDZIAŁ IV ADMINISTRATOR DANYCH I PRZETWARZAJĄCY SEKCJA 1 OGÓLNE OBOWIĄZKI. Artykuł 22

Transkrypt

1 ROZDZIAŁ IV ADMINISTRATOR DANYCH I PRZETWARZAJĄCY SEKCJA 1 OGÓLNE OBOWIĄZKI Artykuł 22 Odpowiedzialność administratora danych 1. Administrator danych przyjmuje podejście i wdraża środki odpowiednie dla zapewnienia i posiadania możliwości zademonstrowania, że przetwarzanie danych osobowych jest prowadzone zgodnie z niniejszym Rozporządzeniem. 2. Środki przewidziane w ust. 1 w szczególności obejmują: (a) prowadzenie dokumentacji zgodnie z art. 28; (b) wdrażanie wymogów dotyczących bezpieczeństwa danych zawartych w art. 30; (c) przeprowadzanie oceny skutków dotyczącej ochrony danych zgodnie z art. 33; (d) stosowanie się do wymogów dotyczących wcześniejszego upoważnienia lub wcześniejszej konsultacji ze strony organu nadzorującego ochronę danych zgodnie z art. 34 ust. 1 i 2; (e) wyznaczenie inspektora ochrony danych zgodnie z art. 35 ust Administrator danych wdraża mechanizmy w celu zapewnienia efektywności środków, o których mowa w ust. 1 oraz 2. Weryfikacja ta jest przeprowadzana przez niezależnych audytorów wewnętrznych lub zewnętrznych, jeśli będzie to proporcjonalne. 4. Komisja jest upoważniona do przyjmowania aktów delegowanych zgodnie z art. 86 dla celów określenia dalszych kryteriów i wymogów dla odpowiednich środków, o których mowa w ust. 1, oprócz tych, o których mowa w ust. 2, warunki dla mechanizmów weryfikacji oraz audytów, o których mowa w ust. 3 oraz w odniesieniu do kryteriów proporcjonalności zgodnie z ust. 3, a także rozważenia szczególnych kroków dla mikro, małych i średnich przedsiębiorstw. 1

2 Artykuł 23 Uwzględnienie ochrony danych w fazie projektowania oraz w ustawieniach standardowych 1. Mając na uwadze stan wiedzy i koszt wdrożenia, administrator danych, zarazem w momencie określenia środków przetwarzania danych, jak i w momencie samego przetwarzania, wdraża odpowiednie środki techniczne i organizacyjne, oraz procedury w taki sposób, że przetwarzanie spełnia wymagania niniejszego rozporządzenia i zapewnia ochronę praw osoby, której dane dotyczą. 2. Administrator danych osobowych wdraża mechanizmy zapewniające, że w ramach ustawień standardowych są przetwarzane tylko te dane osobowe, które są niezbędne dla każdego z określonych celów przetwarzania i w szczególności że ich zbieranie oraz przechowywanie nie przekraczają minimum koniecznego dla tych celów, zarazem pod względem ilości danych, jak i czasu ich przechowywania. W szczególności, mechanizmy te zapewnią, że w ramach ustawień standardowych dostęp do danych osobowych nie będzie udzielany nieokreślonej liczbie osób. 3. Komisja jest upoważniona do przyjmowania aktów delegowanych zgodnie z art. 86 dla celów określania dalszych kryteriów i wymogów dotyczących odpowiednich środków i mechanizmów, o których mowa w ust. 1 i 2, w szczególności w celu ochrony danych w ramach wymogów projektowania mających zastosowanie dla różnych sektorów, produktów i usług. 4. Komisja może ustalić normy techniczne dla wymogów ustalonych w ust. 1 i 2. Te akty wykonawcze zostaną przyjęte zgodnie z procedurą sprawdzającą, o której mowa w art. 87 ust. 2. Artykuł 24 Współadministratorzy danych Jeśli administrator danych określa cele, warunki oraz środki przetwarzania danych osobowych wspólnie z innymi, współadministratorzy danych określają odpowiednio odpowiedzialność dotyczącą zgodności związaną z obowiązkami wynikającymi z niniejszego rozporządzenia, w szczególności w odniesieniu do procedur i mechanizmów dotyczących korzystania ze swoich praw przez osoby, których dane dotyczą, poprzez zawarcie porozumienia. 2

3 Artykuł 25 Przedstawiciele administratorów danych nie mający siedziby w Unii 1. W sytuacji, o której mowa w art. 3 ust. 2, administrator danych wyznacza przedstawiciela w Unii. 2. Obowiązek nie dotyczy: (a) administratora danych z siedzibą w kraju trzecim co do którego Komisja podjęła decyzję, że zapewnia on odpowiedni poziom ochrony zgodnie z art. 41; lub (b) przedsiębiorstwa zatrudniającego mniej niż 250 osób; lub (c) władzy lub organu publicznego; lub (d) administratora danych oferującego wyłącznie sporadycznie towary lub usługi osobom, których dane dotyczą zamieszkującym w Unii. 3. Przedstawiciel wyznaczany jest w jednym z tych państw członkowskich, w których zamieszkują osoby, których dane dotyczą i których dane są przetwarzane w związku z oferowaniem im towarów lub usług, lub których zachowanie jest monitorowane. 4. Wyznaczenie przedstawiciela przez administratora danych pozostaje bez uszczerbku dla działań prawnych, które mogą zostać zainicjowane przeciwko samemu administratorowi danych. Artykuł 26 Przetwarzający 1. Jeśli operacja przetwarzania wykonywana jest na rzecz administratora danych, administrator danych wybiera przetwarzającego, który zapewnia wystarczające gwarancje dla wdrożenia odpowiednich środków oraz procedur technicznych i organizacyjnych w taki sposób, aby przetwarzanie spełniało wymogi niniejszego rozporządzenia i zapewniało ochronę praw osób, których dane dotyczą, w szczególności pod względem środków bezpieczeństwa technicznego oraz środków organizacyjnych, związanych z zamierzonym przetwarzaniem danych i zapewnia zgodność z tymi środkami. 2. Wykonywanie przetwarzania danych przez przetwarzającego regulowane jest umową lub innym aktem prawnym, wiążącym przetwarzającego względem administratora danych i określającym w szczególności, że przetwarzający: 3

4 (a) działa wyłącznie na polecenie administratora danych, w szczególności w przypadku gdy zakazane jest przesyłanie wykorzystywanych danych osobowych; (b) zatrudnia wyłącznie personel, który zobowiązał się do zachowania poufności, lub podlega ustawowemu obowiązkowi zachowania poufności; (c) stosuje wszelkie środki wymagane zgodnie z art. 30; (d) korzysta z innych przetwarzających wyłącznie za uprzednią zgodą administratora danych; (e) na tyle, na ile jest to możliwe biorąc pod uwagę specyfikę przetwarzania, tworzy w porozumieniu z administratorem danych niezbędne wymogi techniczne i organizacyjne dla celów wypełniania obowiązków administratora danych w odpowiedzi na żądania dotyczące korzystania z praw określonych w Rozdziale III przez osoby, których dane dotyczą; (f) wspomaga administratora danych w zapewnianiu zgodności ze zobowiązaniami wynikającymi z art. 30 do 34; (g) przekazuje wszelkie wyniki administratorowi danych po zakończeniu przetwarzania i nie przetwarza danych osobowych w inny sposób; (h) udostępnia administratorowi danych i organowi nadzorującemu wszelkie informacje niezbędne do kontrolowania zgodności ze obowiązkami określonymi w niniejszym Artykule. 3. Administrator danych i przetwarzający dokumentują na piśmie polecenia administratora danych i obowiązki przetwarzającego, o których mowa w ust Jeżeli przetwarzający przetwarza dane osobowe, których przetwarzania nie zlecił mu administrator danych, to przetwarzający jest uważany za administratora danych w odniesieniu do takiego przetwarzania i podlega wszelkim zasadom dotyczącym wspólnych administratorów danych przewidzianych w art Komisja upoważniona jest do przyjmowania aktów delegowanych zgodnie z art. 86 dla celu dalszego określania kryteriów i wymogów dla odpowiedzialności, obowiązków i zadań w odniesieniu do przetwarzającego zgodnie z ust. 1, oraz warunków, które pozwalają na umożliwienie przetwarzania danych osobowych w ramach grupy przedsięwzięć, w szczególności dla celów kontroli i sprawozdawczości. 4

5 Artykuł 27 Przetwarzanie z upoważnienia administratora danych lub przetwarzającego Przetwarzający i dowolna osoba działająca z upoważnienia administratora danych lub przetwarzającego, który posiada dostęp do danych osobowych, nie przetwarza ich za wyjątkiem sytuacji otrzymania polecenia administrator danych, chyba że wymaga od niego tego prawo Unii lub państwa członkowskiego. Artykuł 28 Dokumentacja 1. Każdy administrator danych i przetwarzający oraz przedstawiciel administratora danych, jeśli taki występuje, prowadzi dokumentację wszelkich operacji przetwarzania na swoją własną odpowiedzialność. 2. Dokumentacja zawiera co najmniej następujące informacje: (a) nazwę (nazwisko) oraz dane kontaktowe administratora danych, lub wszelkich współadministratorów danych lub przetwarzających, jeśli tacy występują; (b) nazwę (nazwisko) oraz dane kontaktowe inspektora ochrony danych, jeśli taki występuje; (c) cele przetwarzania, włączając uzasadniony interes administratora danych, w przypadku gdy przetwarzanie jest wykonywane w oparciu o lit. f art. 6 ust. 1; (d) opis kategorii osób, których dane dotyczą, oraz danych osobowych lub kategorii związanych z nimi danych; (e) odbierający dane lub kategorie odbierających dane osobowe, włącznie z administratorami danych osobowych, którym ujawniane są dane osobowe dla celów ich uzasadnionych interesów; (f) w stosownych przypadkach, przesyłanie danych do krajów trzecich lub organizacji międzynarodowych, włącznie ze wskazaniem trzeciego kraju lub organizacji międzynarodowej, do których dane są przesyłane, a w przypadku przesyłania, o którym mowa w lit. h art. 44 ust. 1, dokumentacją odpowiednich środków zabezpieczających; (g) ogólne wskazanie ograniczeń czasowych dotyczących usunięcia dla różnych kategorii danych; 5

6 (h) opis mechanizmów, o których mowa w art. 22 ust. 3; 3. Administrator danych i przetwarzający, oraz przedstawiciel administratora danych, jeżeli taki istnieje, udostępnia dokumentację na żądanie organu nadzorującego. 4. Obowiązki, o których mowa w ust. 1 i 2 nie mają zastosowania do następujących administratorów danych i przetwarzających: (a) osób fizycznych, przetwarzających dane osobowe bez interesu handlowego; lub (b) przedsiębiorstw lub organizacji zatrudniających mniej niż 250 osób, które przetwarzają dane osobowe wyłącznie w ramach działalności pomocniczej dla swojej działalności głównej. 4. Komisja upoważniona jest do przyjmowania aktów delegowanych zgodnie z art. 86 dla celu dalszego określenia kryteriów i wymogów dotyczących dokumentacji, o której mowa w ust. 1, aby uwzględnić w szczególności odpowiedzialność administratora danych i przetwarzającego, oraz przedstawiciela administratora danych, jeżeli taki istnieje. 5. Komisja może ustalić standardowe formularze dla dokumentacji, o której mowa w ust. 1. Akty wykonawcze są przyjmowane zgodnie z procedurą badawczą, o której mowa w art. 87 ust. 2. Artykuł 29 Współpraca z organem nadzorującym 1. Administrator danych i przetwarzający oraz przedstawiciel administratora danych, jeżeli taki istnieje, współpracują na żądanie z organem nadzorującym w zakresie wykonywania jego obowiązków, w szczególności poprzez dostarczanie informacji, o których mowa w lit. a art. 53 ust. 2 i poprzez udzielanie dostępu zgodnie z lit. b tego ust. 2. W odpowiedzi na wykonywanie uprawnień przez organ nadzorujący zgodnie z art. 53 ust. 2, administrator danych i przetwarzający udzielają odpowiedzi organowi nadzorującemu w uzasadnionym okresie określonym przez organ nadzorujący. Odpowiedź zawiera określenie podjętych środków i osiągniętych rezultatów, w odpowiedzi na uwagi organu nadzorującego. 6

7 SEKCJA 2 BEZPIECZEŃSTWO DANYCH Artykuł 30 Bezpieczeństwo przetwarzania 1. Administrator danych i przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do zagrożeń, które stwarza przetwarzanie oraz charakter danych osobowych, które podlegają ochronie, mając na uwadze stan wiedzy i koszt ich wdrożenia. 2. Administrator danych i przetwarzający, postępując zgodnie z oceną zagrożeń, podejmują środki, o których mowa w ust. 1 w celu ochrony danych osobowym przed przypadkowym lub bezprawnym zniszczeniem, lub też przypadkową utratą, oraz w celu przeciwdziałania bezprawnym formom przetwarzania, w szczególności w postaci wszelkiego nieupoważnionego ujawniania, rozpowszechniania lub dostępu, lub też zmiany danych osobowych. 3. Komisja upoważniona jest do przyjmowania aktów delegowanych zgodnie z art. 86 dla celu dalszego określenia kryteriów oraz warunków dla środków technicznych i organizacyjnych, o których mowa w ust. 1 i 2, włącznie z określeniami dotyczącymi stanu wiedzy, dla konkretnych sektorów i w konkretnych sytuacjach przetwarzania danych, w szczególności w zakresie uwzględnienia rozwoju technologii i rozwiązań dla prywatności w fazie projektowania i ochrony danych w ramach założeń standardowych, chyba że ma zastosowanie ust Komisja może przyjąć w miarę konieczności akty wykonawcze w celu określenia wymogów przewidzianych w ust. 1 oraz 2 dla różnych sytuacji, w szczególności aby: (a) zapobiec nieupoważnionemu dostępowi do danych osobowych; (b) zapobiec wszelkiemu nieupoważnionemu ujawnieniu, odczytaniu, skopiowaniu, modyfikacji, usunięciu lub zniszczeniu danych osobowych; (c) zapewnić weryfikację legalności operacji przetwarzania. Owe akty wykonawcze będą przyjmowane zgodnie z procedurą badawczą, o której mowa w art. 87 ust. 2. 7

8 Artykuł 31 Powiadomienie organu nadzorującego o naruszeniu dotyczącym danych osobowych 1. W przypadku naruszenia dotyczącego danych osobowych, administrator danych bez zbędnej zwłoki, oraz jeśli jest to wykonalne nie później niż 24 godziny od momentu ustalenia zaistnienia naruszenia dotyczącego danych osobowych, powiadamia o naruszeniu dotyczącym danych osobowych organ nadzorujący. W przypadkach zawiadomienia organu nadzorującego złożonego później niż w ciągu 24 godzin należy załączyć uzasadnienie 2. Zgodnie z lit. f art. 26 ust. 2, przetwarzający zawiadamia i informuje administratora danych niezwłocznie po ustaleniu zaistnienia naruszenia dotyczącego danych osobowych. 3. Zgłoszenie, o którym mowa w ust. 1 musi co najmniej: (a) opisywać charakter naruszenia dotyczącego danych osobowych włącznie z kategoriami i liczbą osób z nim związanych, których dane dotyczą, oraz kategoriami i liczbą rekordów danych z nim związanych; (b) zawierać informacje dotyczące tożsamości i danych kontaktowych inspektora ochrony danych lub innego punktu kontaktowego, który może być wykorzystany w celu uzyskania informacji; (c) zalecać środki w celu złagodzenia potencjalnych szkodliwych skutków naruszenia dotyczącego danych osobowych; (d) opisywać konsekwencje naruszenia dotyczącego danych osobowych; (e) opisywać środki proponowane lub przedsięwzięte przez administrator danych w ramach kroków podjętych w sprawie naruszenia dotyczącego danych osobowych. 4. Administrator danych dokumentuje wszelkie naruszenia dotyczące danych osobowych, zawierając fakty związane z naruszeniem, jego skutki i podjęte działania naprawcze. Dokumentacja ta musi umożliwić organowi nadzorującemu weryfikację zgodności z niniejszym artykułem. Dokumentacja ta zawiera wyłącznie informacje niezbędne dla tego celu. 5. Komisja upoważniona jest do przyjmowania aktów delegowanych zgodnie z art. 86 dla celu dalszego określenia kryteriów oraz wymogów dla ustalenia zaistnienia naruszenia dotyczącego danych osobowych, o którym mowa w ust. 1 oraz 2, i dla 8

9 szczególnych okoliczności, w których administrator danych i przetwarzający muszą zawiadomić o naruszeniu dotyczącym danych osobowych. 6. Komisja może ustanowić standardowy format takich zgłoszeń na rzecz organu nadzorującego, procedury mającej zastosowanie do wymogu złożenia zawiadomienia i formy oraz warunków dla dokumentacji, o której mowa w ust. 4, włącznie z terminami określonymi dla usunięcia informacji w nich zawartych. Te akty wykonawcze przyjmowane są zgodnie z procedurą badawczą, o której mowa w art. 87 ust. 2. Artykuł 32 Powiadomienie osoby, której dane dotyczą o naruszeniu dotyczącym danych osobowych 1. Jeśli istnieje prawdopodobieństwo szkodliwych skutków naruszenia dotyczącego danych osobowych dla ochrony danych osobowych lub prywatności osoby, której dane dotyczą, administrator danych, po zawiadomieniu, o którym mowa w art. 31, powiadamia o naruszeniu dotyczącym danych osobowych osobę, której dane dotyczą bez zbędnej zwłoki. 2. Powiadomienie osoby, której dane dotyczą, o którym mowa w ust. 1 opisuje naturę naruszenia ochrony danych osobowych i zawiera co najmniej informacje oraz zalecenia przewidziane w lit. b i c art. 31 ust Powiadomienie o naruszeniu dotyczącym danych osobowych osoby, której dane dotyczą nie jest wymagane jeśli administrator danych osobowych wykazał w sposób wystarczający dla władz nadzorujących, że zastosował odpowiednie środki ochrony technologicznej, oraz że środki te zostały zastosowane w stosunku do danych, które są przedmiotem naruszenia dotyczącego danych osobowych. Takie środki ochrony technologicznej czynią dane niemożliwymi do odczytania dla wszelkich osób, które nie są upoważnione do dostępu do nich. 4. Bez uszczerbku dla obowiązków administratora danych związanych z powiadomieniem o naruszeniu dotyczącym danych osobowych osoby, której dane dotyczą, jeżeli administrator danych osobowych nie powiadomił jeszcze osoby, której dane dotyczą o naruszeniu dotyczącym danych osobowych, organ nadzorujący, po rozważeniu prawdopodobnych negatywnych skutków naruszenia, może zażądać dokonania takiego powiadomienia od administratora danych. 5. Komisja upoważniona jest do przyjmowania aktów delegowanych zgodnie z art. 86 dla celu dalszego określenia kryteriów i wymogów dotyczących okoliczności, w jakich prawdopodobne jest, że naruszenie dotyczące danych osobowych będzie miało negatywne skutki dla danych osobowych, o których mowa w ust. 1. 9

10 6. Komisja może ustalić formę powiadamiania osoby, której dane dotyczą, o której mowa w ust. 1 i procedury mające zastosowanie dla tego powiadomienia. Te akty wdrożeniowe są przyjmowane zgodnie z procedurą badawczą, o której mowa w art. 87 ust. 2. SEKCJA 3 OCENA ODDZIAŁYWANIA OCHRONY DANYCH I WCZEŚNIEJSZE UPOWAŻNIENIE Artykuł 33 Ocena oddziaływania ochrony danych 1. Jeśli operacje przetwarzania przedstawiają konkretne zagrożenie dla praw i wolności osób, których dane dotyczą w związku z ich charakterem, zakresem oraz celami, administrator danych osobowych lub przetwarzający działający w imieniu administratora danych osobowych dokonuje oceny oddziaływania zaplanowanych operacji przetwarzania na ochronę danych osobowych. 2. Następujące operacje przetwarzania będą w szczególności stanowić konkretne zagrożenia, o których mowa w ust. 1: (a) systematyczna i obszerna ocena osobistych aspektów dotyczących osoby fizycznej lub dla celów analizowania lub przewidywania w szczególności sytuacji ekonomicznej, lokalizacji, zdrowia, osobistych preferencji, rzetelności lub zachowania osoby fizycznej, która powstała w oparciu o automatyczne przetwarzanie, dla której istnieje prawdopodobieństwo, że jej wynikiem będą środki, które będą miały skutki prawne związane z osobą, lub w znaczący sposób wpłyną na daną osobę; (b) informacje dotyczące życia seksualnego, zdrowia, rasy oraz pochodzenia etnicznego lub dla celów zapewnienia opieki zdrowotnej, badań epidemiologicznych, lub badań ankietowych dotyczących zdrowia psychicznego lub chorób zakaźnych, w przypadku gdt dane przetwarzane są w celu podejmowania działań lub decyzji dotyczących określonych osób na szeroką skalę; (c) monitoring publicznie dostępnych miejsc, szczególnie z wykorzystaniem optyczno-elektronicznych urządzeń (nadzoru kamer wideo) na szeroką skalę; (d) dane osobowe w zbiorach danych na szeroką skalę dotyczących dzieci, danych genetycznych lub danych biometrycznych; 10

11 (e) inne operacje przetwarzania dla których zgodnie z lit. b art. 34 ust. 2 wymagana jest konsultacja z organem nadzorującym. 3. Ocena zawierać musi co najmniej ogólny opis przewidzianych operacji przetwarzania, ocenę zagrożeń dla praw i wolności osób, których dane dotyczą, środków przewidzianych w celu uwzględnienia zagrożeń, środków zabezpieczających, oraz mechanizmów zapewniających ochronę danych osobowych i zaprezentowania zgodności z niniejszym rozporządzeniem, z uwzględnieniem praw i uzasadnionych interesów osób, których dane dotyczą, i innych zainteresowanych osób. 4. Administrator danych zwraca się do osób, których dane dotyczą lub ich przedstawicieli o opinię dotyczącą zamierzonego przetwarzania, bez uszczerbku dla ochrony interesów handlowych i publicznych oraz bezpieczeństwa operacji przetwarzania. 5. Jeżeli administratorem danych osobowych jest władza lub organ publiczny oraz przetwarzanie jest wynikiem obowiązku prawnego zgodnie z lit. c art. 6 ust. 1 zawierającym zasady i procedury dotyczące operacji przetwarzania regulowane przez prawo Unii, ust. 1-4 nie będą miały zastosowania, chyba że państwa członkowskie uznają za konieczne dokonanie takiej oceny przed rozpoczęciem działań związanych z przetwarzaniem. 6. Komisja jest upoważniona do przyjmowania aktów delegowanych zgodnie z art. 86 dla celów dalszego określenia kryteriów i warunków dla operacji przetwarzania, dla których istnieje prawdopodobieństwo stworzenia konkretnych zagrożeń, o których mowa w ust. 1 i 2, oraz wymogów oceny, o których mowa w ust. 3, włącznie z warunkami dla skalowalności, weryfikacji oraz audytowalności. Dokonując tego, Komisja rozważy określone działania dla mikro-, małych i średniej wielkości przedsiębiorstw. 7. Komisja może określić normy i procedury dla wykonywania i weryfikowania oraz audytowania ocen, o których mowa w ust. 3. Te akty wykonawcze będą przyjmowane w zgodzie z procedurą badawczą, o której mowa w art. 87 ust. 2. Artykuł 34 Uprzednie udzielenie zezwolenia i uprzednie konsultowanie 1. Administrator danych lub przetwarzający (w zależności od sytuacji) uzyskuje upoważnienie od organu nadzorującego przed przetwarzaniem danych osobowych w celu zapewnienia zgodności zamierzonego przetwarzania z niniejszym rozporządzeniem, a w szczególności w celu zmniejszenia związanego z tym zagrożenia dla osób, których dane dotyczą, gdzie administrator danych lub przetwarzający przyjmuje klauzule umowne przewidziane w art. 42 ust. 2 lit. d lub nie 11

12 zapewnia odpowiednich środków zabezpieczających w postaci instrumentu prawnego, o czym mowa w art 42 ust. 5 dla przesyłania danych osobowych do kraju trzeciego lub organizacji międzynarodowej. 2. Administrator danych lub przetwarzający działający w imieniu administratora danych konsultują się z organem nadzorującym przed rozpoczęciem przetwarzaniem danych osobowych w celu zapewnienia zgodności zamierzonego przetwarzania z niniejszym rozporządzeniem, a w szczególności w celu zmniejszenia związanego z tym zagrożenia dla osób, których dane dotyczą, gdzie: (a) ocena oddziaływania ochrony danych przewidziana w art. 33 wskazuje, że operacje przetwarzania ze względu na swój charakter, zakres i cele, mają potencjał stwarzania określonych zagrożeń wysokiego stopnia; lub (b) organ nadzorujący uznaje za niezbędne uprzednie konsultacje dotyczące określonych operacji przetwarzania, które mają potencjał stworzenia określonych zagrożeń dla praw i wolności osób, których dane dotyczą ze względu na ich charakter, zakres i/lub cele, określone zgodnie z ust Jeśli organ nadzorujący jest zdania, że zamierzone przetwarzanie nie jest zgodne z niniejszym rozporządzeniem, w szczególności jeśli zagrożenia nie są wystarczająco zidentyfikowane lub zminimalizowane, zabrania zamierzonego przetwarzania i wysuwa odpowiednie propozycje w celu naprawienia zaistniałych niezgodności. 4. Organ nadzorujący ustanawia i podaje do publicznej wiadomości listę operacji przetwarzania, które wymagają uprzedniej konsultacji zgodnie z lit. b ust. 2. Organ nadzorujący przekaże te listy Europejskiej Radzie Ochrony Danych. 5. Jeśli lista przewidziana w ust. 4 obejmuje działania związane z przetwarzaniem, które są związane z oferowaniem towarów lub usług osobom, których dane dotyczą w kilku państwach członkowskich, lub z monitorowaniem ich zachowania, lub może znacząco oddziaływać na wolny przepływ danych osobowych wewnątrz Unii, organ nadzorujący stosować będzie mechanizm zgodności, o którym mowa w art. 57 przed przyjęciem listy. 6. Administrator danych lub przetwarzający dostarczają organowi nadzorującemu ocenę oddziaływania ochrony danych przewidzianą w art. 33 oraz, na żądanie, wszelkich innych informacji, które pozwalają organowi nadzorującemu dokonać oceny zgodności przetwarzania, a w szczególności zagrożeń dla przetwarzania danych osobowych osób, których dane dotyczą, oraz powiązanych środków zabezpieczających. 7. Państwa członkowskie konsultują się z organem nadzorującym w ramach przygotowywania środka prawnego do przyjęcia przez parlament narodowy lub 12

13 środka opartego na takim środku prawnym, który określa charakter przetwarzania, w celu zapewnienia zgodności zamierzonego przetwarzania z niniejszym rozporządzeniem, a w szczególności aby zminimalizować związane z nim zagrożenia dla osób, których dane dotyczą. 8. Komisja upoważniona jest do przyjmowania aktów delegowanych zgodnie z art. 86 dla celu dalszego określenia kryteriów i wymogów dla określenia wysokiego stopni określonego zagrożenia, o którym mowa w lit. a ust Komisja może określić standardowe formularze i procedury dla wcześniejszych upoważnień i konsultacji, o których mowa w ust. 1 i 2, oraz standardowe formularze i procedury dla informowania organów nadzorujących zgodnie z ust. 6. Te akty wykonawcze przyjmowane są zgodnie z procedurą badawczą, o której mowa w art. 87 ust. 2. SEKCJA 4 INSPEKTOR OCHRONY DANYCH OSOBOWYCH Artykuł 35 Wyznaczenie inspektora ochrony danych osobowych 1. Administrator danych lub procesor wyznaczają inspektora danych osobowych w przypadku gdy: (a) przetwarzanie jest wykonywane przez władzę publiczną lub organ; lub (b) przetwarzanie jest wykonywane przez przedsiębiorstwo zatrudniające więcej niż 250 osób; lub (c) główne działania administratora lub przetwarzającego stanowią operacje przetwarzania, które ze względu na swój charakter, zakres i/lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą. 2. W przypadku, o którym mowa w ust. 1 lit. b, grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych. 3. Jeśli administratorem danych osobowych lub przetwarzającym jest władza lub organ publiczny, inspektor ochrony danych może być wyznaczony dla kilku spośród ich podmiotów, z uwzględnieniem struktury organizacyjnej władzy lub organu publicznego. 13

14 4. W przypadkach innych niż te, o których mowa w ust. 1, administrator danych lub przetwarzający, lub też stowarzyszenia i inne organy reprezentujące kategorie administratorów danych lub przetwarzających mogą wyznaczyć inspektora ochrony danych. 5. Administrator danych lub przetwarzający wyznaczają inspektora ochrony danych na podstawie zawodowych kwalifikacji, w szczególności wiedzy o prawie i praktykach ochrony danych oraz umiejętności wypełniania zadań, o których mowa w art. 37. Niezbędny poziom wiedzy eksperckiej określany jest w szczególności zgodnie z wykonywanym przetwarzaniem danych oraz ochroną, której wymagają dane osobowe przetwarzane przez administratora danych lub przetwarzającego. 6. Administrator danych lub przetwarzający zapewniają, że wszelkie inne obowiązki zawodowe inspektora danych osobowych są zgodne z zadaniami oraz obowiązkami danej osoby jako inspektora danych osobowych i nie powodują konfliktu interesów. 7. Administrator danych lub przetwarzający wyznaczają inspektora ochrony danych na okres przynajmniej dwóch lat. Inspektor ochrony danych może zostać ponownie mianowany na kolejne kadencje. Podczas trwania kadencji, inspektor ochrony danych może zostać zwolniony ze stanowiska inspektora ochrony danych tylko jeśli przestaje spełniać warunki wymagane do pełnienia swoich obowiązków. 8. Inspektor ochrony danych może być zatrudniony przez administratora danych lub przetwarzającego, lub wypełniać swoje zadania na podstawie umowy o świadczenie usług. 9. Administrator danych lub przetwarzający przekazują imię i nazwisko oraz dane kontaktowe inspektora ochrony danych organowi nadzorującemu oraz do wiadomości publicznej. 10. Osoby, których dane dotyczą, mają prawo kontaktować się z inspektorem ochrony danych we wszelkich kwestiach związanych z przetwarzaniem danych osoby, której dane dotyczą oraz zwracania się o egzekwowanie praw zgodnie z niniejszym rozporządzeniem. 11. Komisja jest upoważniona do przyjmowania aktów delegowanych zgodnie z art. 86 dla celów dalszego określenia kryteriów i wymogów dla głównych działań administratora danych lub przetwarzającego, o którym mowa w lit. c) ust. 1 oraz kryteria dla kwalifikacji zawodowych inspektora ochrony danych, o którym mowa w ust

15 Artykuł 36 Stanowisko inspektora ochrony danych 1. Administrator lub przetwarzający zapewniają odpowiednie i stałe zaangażowanie inspektora ochrony danych we wszelkie kwestie, które mają związek z ochroną danych osobowych. 2. Administrator danych lub przetwarzający muszą zapewnić, że inspektor ochrony danych wykonuje obowiązki i zadania niezależnie, oraz nie otrzymuje poleceń dotyczących wykonywania funkcji. Inspektor ochrony danych podlega bezpośrednio zarządowi administratora danych lub przetwarzającego. 3. Administrator danych lub przetwarzający wspiera inspektora ochrony danych w wykonywaniu zadań i zapewnia personel, lokal, sprzęt i wszelkie inne zasoby niezbędne dla wykonywania obowiązków i zadań, o których mowa w art. 37. Artykuł 37 Zadania inspektora ochrony danych 1. Administrator danych lub przetwarzający powierza inspektorowi ochrony danych co najmniej następujące zadania: (a) informowanie i doradzanie administratorowi i przetwarzającemu na temat ich zobowiązań zgodnie z niniejszym rozporządzeniem oraz w celu udokumentowania tej działalności oraz otrzymanych odpowiedzi (b) kontrolowanie wdrażania i zastosowania polityk administratora danych lub przetwarzającego w związku z ochroną danych, włącznie z przydziałem obowiązków, szkoleniem personelu zaangażowanego w operacje przetwarzania, oraz powiązanych z tym audytów. (c) kontrolowanie wdrażania i zastosowania niniejszego rozporządzenia, w szczególności w zakresie wymogów związanych z ochroną danych w ramach projektowania, oraz ochrony danych w ramach ustawień standardowych i bezpieczeństwa danych oraz informacji osób, których dane dotyczą i ich życzeń dotyczących wykonania praw przewidzianych w niniejszym rozporządzeniu; (d) zapewnienie prowadzenia dokumentacji, o której mowa w art. 28; (e) monitorowanie dokumentacji, przekazywania i powiadamianie o naruszeniach danych osobowych zgodnie z art. 31 i 32; 15

16 (f) monitorowanie oceny oddziaływania ochrony danych przez administratora danych lub przetwarzającego i wnioskowania o uprzednie udzielania zezwolenia lub uprzednie konsultowanie, jeśli są one wymagane zgodnie z art. 33 i 34; (g) monitorowanie odpowiedzi na wnioski organu nadzorującego, oraz w ramach kompetencji inspektora ochrony danych współpraca z organem nadzorującym na jego żądanie lub z inicjatywy własnej inspektora ochrony danych; (h) działanie jako punkt kontaktowy dla organu nadzorującego w kwestiach związanych z przetwarzaniem i konsultowanie się z organem nadzorującym, jeśli jest to właściwe, z własnej inicjatywy. 2. Komisja jest upoważniona do przyjmowania aktów delegowanych zgodnie z art. 86 dla celów dalszego określenia kryteriów i wymogów dla zadań, certyfikacji, statusu, uprawnień i zasobów inspektora ochrony danych, o których mowa w ust. 1. SEKCJA 5 KODEKSY POSTĘPOWANIA I CERTYFIKACJA Artykuł 38 Kodeksy postępowania 1. Państwa członkowskie, organy nadzorujące i Komisja zachęcają do tworzenia kodeksów postępowania, których zamiarem jest przyczynianie się do właściwego zastosowania niniejszego rozporządzenia, uwzględniających szczególne cechy różnych sektorów przetwarzania danych, w szczególności związanych z: (a) sprawiedliwym i przejrzystym przetwarzaniem danych; (b) zbieraniem danych; (c) podawaniem informacji do wiedzy publicznej i osób, których dane dotyczą; (d) wnioskami osób, których dane dotyczą związanych z wykonywaniem ich praw (e) informacjami i ochroną dzieci; (f) przekazywaniem danych do krajów trzecich lub organizacji międzynarodowych; 16

17 (g) mechanizmami służącymi do monitorowania i zapewniania zgodności z kodeksem ze strony administratorów danych, którzy mają się do niego stosować; (h) postępowaniami pozasądowymi i wszelkim procedurami rozstrzygania sporu w celu rozstrzygania sporów pomiędzy administratorami danych i osobami, których dane dotyczą w związku z przetwarzaniem danych osobowych, bez uszczerbku dla praw osób, których dane dotyczą zgodnie z art. 73 i Stowarzyszenia i inne organy reprezentujące kategorie administratorów danych lub przetwarzających w państwie członkowskim, które zamierzają stworzyć kodeksy postępowania, a także zmienić lub rozszerzyć istniejące kodeksy postępowania mogą przekazać je do uzgodnienia organowi nadzorującemu w tym państwie członkowskim. Organ nadzorujący może wydać opinię dotyczącą zgodności projektu kodeksu postępowania lub poprawek z niniejszym rozporządzeniem. Organ nadzorujący zasięga na temat tych projektów opinii osób, których dane dotyczą, lub ich przedstawicieli. 3. Stowarzyszenia i inne organy reprezentujące kategorie administratorów danych w kilku państwach członkowskich mogą przedkładać projekty kodeksów postępowania i poprawek lub rozszerzeń istniejących kodeksów postępowania Komisji. 4. Komisja może przyjmować akty wykonawcze w celu decydowania o ogólnym obowiązywaniu kodeksów postępowania i poprawkach lub rozszerzeniach do istniejących kodeksów postępowania przedkładanych zgodnie z ust. 3 są ogólnie obowiązujące na terenie Unii. Te akty wykonawcze są przyjmowane zgodnie z procedurą badawczą zawartą w art. 87 ust Komisja zapewnia odpowiednią promocję dla kodeksów, co do których podjęto decyzję o ogólnym obowiązywaniu zgodnie z ust. 4. Artykuł 39 Certyfikacja 1. Państwa członkowskie i Komisja zachęcają, w szczególności na poziomie europejskim, do tworzenia mechanizmów certyfikacji w zakresie ochrony danych osobowych i pieczęci oraz oznaczeń, pozwalających osobom, których dane dotyczą szybko ocenić poziom ochrony danych zapewniany przez administratorów i przetwarzających. Mechanizmy certyfikacji ochrony danych przyczyniają się do właściwego zastosowania niniejszego rozporządzenia, uwzględniającego szczególne cechy różnych sektorów i różnych operacji związanych z przetwarzaniem. 17

18 2. Komisja upoważniona jest do przyjmowania aktów delegowanych zgodnie z art. 86 w celu dalszego określenia kryteriów i wymogów dla mechanizmów certyfikacji ochrony danych, o których mowa w ust. 1, włącznie z warunkami jej przyznania i cofnięcia, oraz wymogami dotyczącymi uznawalności w Unii i krajach trzecich. 3. Komisja może ustalić standardy techniczne dla mechanizmów certyfikacji i pieczęci oraz oznaczeń związanych z ochroną danych w celu promocji i uznania mechanizmów certyfikacji i pieczęci oraz oznaczeń związanych z ochroną danych. Te akty wykonawcze są przyjmowane zgodnie z procedurą badawczą zawartą w art. 87 ust