Kwestia spójności Rozporządzenia o Ochronie Danych Osobowych z polskim systemem prawnym. Przepisy sektorowe

Podobne dokumenty
Zasady przetwarzania danych osobowych w Miejsko Gminnym Ośrodku Pomocy Społecznej w Myślenicach

POLITYKA REALIZACJI PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ

PODSTAWY PRZETWARZANIA DANYCH KANDYDATÓW DO PRACY W NOWYM PROJEKCIE KODEKSU PRACY. r.pr. Patrycja Kozik

WYJAŚNIENIA ZASAD PRZETWARZANIA DANYCH OSOBOWYCH W DRUKARNI DIMOGRAF SP. Z O.O.

Ochrona danych osobowych w organizacjach pozarządowych (od 25 maja 2018)

Ryzyko nadmiernego przetwarzania danych osobowych

Załącznik nr 13 Wzór informacji dotyczących przetwarzania danych osobowych wraz wykazem lokalizacji i sposobów jej udostępniania.

Informacja o zmianach w przepisach o ochronie danych osobowych W jakim celu przesyłamy Państwu Informację?

Informacja o ochronie danych osobowych

INFORMACJA O OCHRONIE DANYCH OSOBOWYCH

Projekt Kodeks Pracy z dnia dr Mirosław Gumularz radca prawny

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

Szczegółowe uprawnienia osób w związku z przetwarzaniem danych osobowych w Ośrodku Pomocy Społecznej w Nisku

KLAUZULA INFORMACYJNA

KLAUZULA INFORMACYJNA Konkurs Nagroda Człowiek wiedzy i doświadczenia. Informacje dotyczące ochrony danych osobowych

To oznacza, że odpowiada za ich wykorzystywanie i bezpieczeństwo. Przepisy prawa nakładają na nas obowiązek przekazania poniższych informacji.

ZGŁOSZENIE KANDYDATA NA SOŁTYSA W SOŁECTWIE. w wyborach zarządzonych na dzień 28 kwietnia 2019 roku

RODO - KLAUZULA INFORMACYJNA

Czas, przez który przechowujemy Państwa dane wynika z odrębnych przepisów prawa.

Oświadczenie o ochronie danych zgodnie z RODO

Klauzula informacyjna dotycząca przetwarzaniu danych osobowych - KLAUZULA INFORMACYJNA RODO (dla rodziców)

Regulamin realizacji praw osób fizycznych RODO

KLAUZULA INFORMACYJNA O PRZETWARZANIU DANYCH OSOBOWYCH - ARTROMEDICAL PRZYCHODNIA

Oświadczenie o ochronie danych osobowych Informacje dotyczące ochrony danych zgodnie z art. 13 i 14 RODO

POLITYKA PRYWATNOŚCI DLA KANDYDATÓW DO PRACY

POLITYKA PRYWATNOŚCI

POLITYKA OCHRONY DANYCH OSOBOWYCH

art. 13 ust. 1 3 rozporządzenia 2016/679 (RODO)

Wniosek o wydanie orzeczenia o wskazaniach do ulg i uprawnień

Informacja o przetwarzaniu danych osobowych

POLITYKA OCHRONY DANYCH OSOBOWYCH

dla przedsiębiorcy Jana Kaczkowskiego (dalej Dostawca Usług). Dostawca usług powołał Inspektora Ochrony Danych, z którym kontakt możliwy jest

Klauzula Informacyjna dotycząca przetwarzania danych osobowych w Międzyszkolnym Uczniowskim Klubie Sportowym OGNIWO

Informacja o przetwarzaniu danych osobowych

Ochrona danych osobowych w biurach rachunkowych

INFORMACJA DLA OSOBY, KTÓREJ DANE OSOBOWE PRZETWARZANE SĄ W ZWIĄZKU UDZIELANIEM ŚWIADCZEŃ ZDROWOTNYCH PRZEZ PODMIOT LECZNICZY CENTRUM MEDYCZNE imed24

OCHRONA DANYCH OSOBOWYCH W PLACÓWKACH OŚWIATOWYCH praktyczny poradnik wzory dokumentów. (z suplementem elektronicznym)

INFORMACJA RODO DLA KONTRAHENTÓW WĘGLOKOKS S.A. ICH PRACOWNIKÓW, WSPÓŁPRACOWNIKÓW ORAZ PEŁNOMOCNIKÓW. I [Administrator danych]

Przemysław Bańko Dyrektor ds. Bezpieczeństwa Smart In

Informujemy osoby, których dotyczą dane, jakie przetwarzamy dane, o sposobie ich przetwarzania i przysługującym ich prawach.

Czym jest RODO? Jak można skorzystać z przysługujących praw? Kim jest administrator danych osobowych (ADO) Kim jest podmiot przetwarzający?

tel ,

Klauzula Informacyjna dla Podróżnych

Technologia Infromacyjna i Prawo w służbie ochrony danych - #RODO2018

INSTRUKCJA REALIZACJI PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ.

POLITYKA PRYWATNOŚCI -dotycząca danych osobowych osób odwiedzających sklepy objęte monitoringiem wizyjnym-

Nowe przepisy i zasady ochrony danych osobowych

POLITYKA OCHRONY DANYCH OSOBOWYCH

1. Co to jest RODO? 2. Ważne pojęcia zawarte w RODO

KLAUZULA INFORMACYJNA DLA KANDYDATÓW DO PRACY (REKRUTACJA) Data: r. Wersja 2

Polityka prywatności i COOKIE Zasady przetwarzania danych osobowych Użytkowników

POLITYKA OCHRONY PRYWATNOŚCI PRACOWNIKÓW I PRACOWNIKÓW TYMCZASOWYCH

Formularz wniosku o realizację zadania publicznego w ramach inicjatywy lokalnej

Klauzula informacyjna Administratora Danych Osobowych dla Kandydatów na pracowników i zleceniobiorców

POLITYKA PRYWATNOŚCI -dotycząca danych osobowych klientów, dostawców i najemców-

Obowiązek informacyjny

Informacja o przetwarzaniu danych osobowych

INFORMACJA RODO DLA OSÓB WSPÓŁPRACUJĄCYCH Z WĘGLOKOKS ENERGIA SP. Z O.O. NA PODSTAWIE UMOWY CYWILNOPRAWNEJ. I [Administrator danych]

3. Jakie dane osobowe przetwarzamy

Opracował Zatwierdził Opis nowelizacji

Informacja o przetwarzaniu danych osobowych

Informacja o przetwarzaniu danych osobowych

POLITYKA PRYWATNOŚCI RODO KLAUZULA INFORMACYJNA. Ochrona danych osobowych oraz prywatności jest dla nas ważna i stanowi jeden z

POLITYKA PRYWATNOŚCI CENTRUM TECHNIK NAWIGACJI GPS.PL

Imię (imiona) i nazwisko:... Data urodzenia (DD/MM/RRRR):. Kod pocztowy:.. Ulica, numer domu, numer mieszkania:... Miejscowość/poczta:...

Klauzula zgody na przetwarzanie danych osobowych w postępowaniu rekrutacyjnym wraz z klauzulą informacyjną na potrzeby postępowania rekrutacyjnego

FORMULARZ ZGŁOSZENIA NA SZKOLENIE

POLITYKA OCHRONY DANYCH OSOBOWYCH

INFORMACJA Z OTWARCIA OFERT

Powierzchnia upraw dotknięta zjawiskiem X (razy) 100 / (podzielić przez) powierzchnię upraw objętych wnioskiem o dopłaty

Polityka prywatności przetwarzanie danych osobowych w serwisie internetowym kuberacars.pl

INFORMACJA dla KANDYDATÓW DO PRACY o PRZETWARZANIU DANYCH OSOBOWYCH w ELICA GROUP POLSKA Sp. z o.o.

Załącznik numer 1 do OWS POLITYKA PRYWATNOŚCI SPIS TREŚCI. 1. Postanowienia ogólne. 2. Podstawy przetwarzania danych.

Informacja o przetwarzaniu danych osobowych

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

INFORMACJE DOTYCZĄCE OCHRONY DANYCH OSOBOWYCH (RODO):

POLITYKA PRYWATNOŚCI -dotycząca danych osobowych Członków Spółdzielni-

Wniosek o wydanie orzeczenia o niepełnosprawności

Polityka prywatności serwisu internetowego

POLITYKA OCHRONY DANYCH OSOBOWYCH

POLITYKA PRYWATNOŚCI I. INFORMACJE DOTYCZĄCE PRZETWARZANIA DANYCH OSOBOWYCH

Polityka informacyjna w zakresie ochrony danych osobowych dla pracowników oraz współpracowników OTCF S.A.

Informacja o przetwarzaniu danych osobowych

Kandydaci do pracy w spółce Flügger Sp. z o.o. i jej pracownicy

Klauzula informacyjna RODO

Opis przedmiotu zamówienia i zasady udziału w postępowaniu

Oświadczenie ..,. (Miejscowość, data) (Imię nazwisko) (Adres zamieszkania) (Podpis wnioskodawcy)

Informacja o przetwarzaniu danych osobowych

Informacja o przetwarzaniu danych osobowych

KLAUZULA INFORMACYJNA O PRZETWARZANIU DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ NR 7 im. Konstantego Ildefonsa Gałczyńskiego

POLITYKA PRYWATNOŚCI dotycząca danych osobowych użytkowników strony internetowej

Informacja o przetwarzaniu danych osobowych

Prezydent miasta stołecznego Warszawy poszukuje kandydatów

WNIOSEK nr... o udzielenie pomocy finansowej na cele określone w regulaminie ZFŚS Część I. Wypełnia pracownik spółki Nazwa Spółki...

INFORMACJA O PRZETWARZANIU DANYCH OSOBOWYCH PRZEZ FIRMY GRUPY AUTO-BLAK

ROZEZNANIE RYNKU NR 1/2018/DT

Klauzula informacyjna dla uczestników kursów i zajęć organizowanych przez Ośrodek Edukacji /obowiązuje od /

Transkrypt:

Kwestia spójności Rozporządzenia o Ochronie Danych Osobowych z polskim systemem prawnym. Przepisy sektorowe r.pr. Michał Olszowski michal.olszowski@kancelariakrakowska.pl www.kancelariakrakowska.pl

Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 W toku prac na przepisami sektorowymi zapewniającymi stosowanie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1) zespół roboczy składający się z przedstawicieli Ministra Cyfryzacji, Ministra Spraw Zagranicznych, Rządowego Centrum Legislacji oraz Generalnego Inspektora Ochrony Danych Osobowych uzgodnił konieczność zmian w ponad 200 ustawach. Aktualnie projekt jest w Komisji Prawnej RCL.

Kazus 1 Dział kadr przedsiębiorstwa XYZ zgłosił swojemu prezesowi konieczność uzupełnienia dokumentacji jednego z pracowników wobec braku informacji o miejscu zamieszkania. Pracownik podał swój adres, żądając jednak wskazania podstawy prawnej do przetwarzania danych osobowych przez pracodawcę. W ocenie pracownika jego adres zamieszkania nie jest pracodawcy do niczego potrzebny - wymiana informacji w przedsiębiorstwie odbywa się bowiem całkowicie w sposób elektroniczny. Prezes, w odpowiedzi, powołał się na art. 22(1) k.p. w zw. z art. 6 ust. 1 lit. c RODO. Czy prawidłowo?

Art. 6 rozporządzenia 2016/679 1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy i w takim zakresie, w jakim spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.

Art. 22(1) k.p. 1. Pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: 1) imię (imiona) i nazwisko; 2) imiona rodziców; 3) datę urodzenia; 4) miejsce zamieszkania (adres do korespondencji); 5) wykształcenie; 6) przebieg dotychczasowego zatrudnienia.

Przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych; 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa; 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą; 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego; 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Art. 22(1) k.p. - porównanie zmian obecne brzmienie 1. Pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: 1) imię (imiona) i nazwisko; 2) imiona rodziców; 3) datę urodzenia; 4) miejsce zamieszkania (adres do korespondencji); 5) wykształcenie; 6) przebieg dotychczasowego zatrudnienia. projektowane brzmienie 1. Pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: 1) imię (imiona) i nazwisko; 2) datę urodzenia; 3) dane kontaktowe wskazane przez taką osobę; 4) wykształcenie; 5) kwalifikacje zawodowe; 6) przebieg dotychczasowego zatrudnienia.

Kazus 2 Pani Grażyna Iksińska zwróciła się do adwokata swojego męża o usunięcie jej dokumentacji medycznej będącej w posiadaniu kancelarii. Od męża dowiedziała się, że ten zamierza wytoczyć proces o unieważnienie małżeństwa. Twierdzi, że nie leczyła się nigdy w szpitalu psychiatrycznym, do pisma załącza przekonywujące dowody (bilety z podróży zagranicznej i zaświadczenie o pobycie na konferencji naukowej podczas której miała być rzekomo hospitalizowana). Jest to pierwszy kontakt p. Grażyny z kancelarią, nie konsultowany z mężem. Pani Grażyna swoje żądanie opiera na art. 18 i 19 RODO. Jak powinien zachować się adwokat?

Art. 18 rozporządzenia 2016/679 1. Osoba, której dane dotyczą, ma prawo żądania od administratora ograniczenia przetwarzania w następujących przypadkach: a) osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych na okres pozwalający administratorowi sprawdzić prawidłowość tych danych; b) przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania; c) administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń; d) osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą. 2. Jeżeli na mocy ust. 1 przetwarzanie zostało ograniczone, takie dane osobowe można przetwarzać, z wyjątkiem przechowywania, wyłącznie za zgodą osoby, której dane dotyczą, lub w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego. 3. Przed uchyleniem ograniczenia przetwarzania administrator informuje o tym osobę, której dane dotyczą, która żądała ograniczenia na mocy ust. 1.

Art. 19 rozporządzenia 2016/679 Administrator informuje o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania, których dokonał zgodnie z art. 16, art. 17 ust. 1 i art. 18, każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda.

Ustawa z dnia 26 maja 1982 r. Prawo o adwokaturze Art. 6. 1. Adwokat obowiązany jest zachować w tajemnicy wszystko, o czym dowiedział się w związku z udzielaniem pomocy prawnej. 2. Obowiązek zachowania tajemnicy zawodowej nie może być ograniczony w czasie. 3. Adwokata nie można zwolnić od obowiązku zachowania tajemnicy zawodowej co do faktów, o których dowiedział się udzielając pomocy prawnej lub prowadząc sprawę. 4. Obowiązek zachowania tajemnicy zawodowej nie dotyczy informacji udostępnianych na podstawie przepisów ustawy z dnia 16 listopada 2000 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U. z 2017 r. poz. 1049 oraz z 2018 r. poz. 650) w zakresie określonym tymi przepisami.

Orzecznictwo Trybunału Konstytucyjnego Wyr. TK z 22.11.2004 r., SK 64/03, OTK 2004, Nr 10A, poz. 107. Trybunał wskazał, że obowiązkowi zachowania tajemnicy, obciążającemu radców prawnych, towarzyszy nie tylko prawo ich klientów do zachowania w dyskrecji pewnych informacji, ale także prawo samych radców do określonych zachowań wobec organów wymiaru sprawiedliwości. W innym orzeczeniu Trybunał uznał rozważania dotyczące tajemnicy radcy prawnego za aktualne w kontekście tajemnicy adwokackiej (post. TK z 7.1.2010 r., Ts 265/08, OTK 2010, Nr 3B, poz. 179).

Projektowane zmiany przepisów Art. 16a. 1. Przepisy art. 15 ust. 1 i 3, art. 18 i art. 19 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (rozporządzenie ogólne o ochronie danych osobowych) (Dz. Urz. UE L 119 z 4.05.2016 r.), zwanego dalej rozporządzeniem 2016/679, stosuje się w zakresie, w jakim nie naruszają obowiązku zachowania przez adwokata tajemnicy zawodowej, o której mowa w art. 6.

Techniczne i organizacyjne środki ochrony danych osobowych. r.pr. Michał Olszowski michal.olszowski@kancelariakrakowska.pl www.kancelariakrakowska.pl

Kazus 4 W przedsiębiorstwie XYZ prezes planuje wyznaczenie Inspektora Ochrony Danych. Prezes dużo czasu spędza w delegacjach służbowych wobec czego zarządził, że powołany Inspektor wszelkie niezbędne sprawy ma konsultować z wiceprezesem ds. ogólnych. Prezes argumentuje, że wiceprezes ma wszelkie niezbędne pełnomocnictwa i osobiste angażowanie szefa w kwestie ochrony danych osobowych nie jest tu potrzebne. Czy takie działanie jest prawidłowe?

Porównanie przepisów Art. 38 ust. 3 rozporządzenia 2016/679 Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania tych zadań. Nie jest on odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. Inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego. Art. 36a ust. 7 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych Administrator bezpieczeństwa informacji podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych.

Definicja najwyższego kierownictwa wg. ISO 9000:2015 Najwyższe kierownictwo - osoba lub grupa osób, które na najwyższym szczeblu kierują organizacją i ją nadzorują (...) ~ EN ISO 9000:2015 pkt 3.1.1

Kazus 5 W związku z wejściem w życie Rozporządzenia o Ochronie Danych Osobowych rektor państwowej szkoły wyższej wprowadził zarządzeniem szereg dokumentacji i polityk, obejmujących m.in: (1) prowadzenie ewidencji osób dopuszczonych do przetwarzania danych osobowych i wydawanie przetwarzającym pisemnych upoważnień, (2) szczegółową Politykę Bezpieczeństwa Informacji, (3) określenie środków technicznych jakie powinny spełniać wszystkie systemy informatyczne uczelni. Opracowane dokumenty są w pełni zgodne z RODO. Czy wobec tego uczelnia ma podstawy, aby twierdzić, że w pełni dostosowała swoją działalność do wytycznych Ogólnego Rozporządzenia?

Art. 24 rozporządzenia 2016/679 1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. 2. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych. 3. Stosowanie zatwierdzonych kodeksów postępowania, o których mowa wart. 40, lub zatwierdzonego mechanizmu certyfikacji, o którym mowa wart. 42, może być wykorzystane jako element dla stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków.

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres