ochrona danych osobowych w sektorze publicznym Mirosław Gumularz

Podobne dokumenty
Kodeks spółek handlowych. Stan prawny na 21 sierpnia 2018 r.

OCHRONA DANYCH OSOBOWYCH

Kodeks postępowania administracyjnego. Stan prawny na 9 sierpnia 2018 r.

Wydatkowanie i rozliczanie środków unijnych w zamówieniach publicznych. Praktyczny komentarz Pytania i odpowiedzi Tekst ustawy

KPW Kodeks postępowania w sprawach o wykroczenia

Spis treści. Wykaz skrótów... Wprowadzenie...

RODO Nowe zasady przetwarzania danych osobowych. radca prawny Piotr Kowalik Koszalin, r.

Minimalna stawka godzinowa dla umowy zlecenia

Dokumentacja pracownicza 2019

Wszelkie prawa zastrzeżone.

KRO. Stan prawny na 10 sierpnia 2018 r. Kodeks rodzinny i opiekuńczy. Prawo o aktach stanu cywilnego

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

2. Proces tworzenie wewnętrznego systemu ochrony danych osobowych przedsiębiorcy. 3. Postanowienia dyrektywy 95/46/WE, które pozostaną aktualne

USTAWA O SYSTEMIE INFORMACJI W OCHRONIE ZDROWIA

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

Kodeks spółek handlowych. ze schematami. Łukasz Zamojski SCHEMATY. 2018ŕ2019. rok akademicki

BIURO OCHRONY DANYCH OSOBOWYCH BODO24 KURS RODO

Przemysław Bańko Dyrektor ds. Bezpieczeństwa Smart In

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

rodo ochrona danych osobowych w stosunkach pracy Edyta Jagiełło-Jaroszewska, Daria Jarmużek Paulina Zawadzka-Filipczyk

ZAŁĄCZNIK SPROSTOWANIE

W SERII ABC PRAKTYKI PRAWA OŚWIATOWEGO UKAZAŁY SIĘ:

Pomoc osobom uprawnionym do alimentów zmiany w ustawie

Spis treści. Wykaz skrótów... Wprowadzenie...

Szkolenie podstawowe z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 dla wolontariuszy świadczących pomoc na rzecz podopiecznych

Ochrona danych osobowych - przetwarzanie danych osobowych zgodnie z obowiązującymi przepisami, przygotowanie się do zmian.

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

INSPEKTOR DANYCH OSOBOWYCH CZYLI ABI PO NOWEMU W ASPEKCIE

Jarosław Feliński. Ochrona danych osobowych w oświacie

Ochrona danych osobowych w biurach rachunkowych

RODO W WYKONYWANIU ZAWODU RADCY PRAWNEGO

ochrona danych osobowych

Rozporządzenie Ogólne o Ochronie Danych Osobowych - General Data Protection Regulation

RODO W ORGANIZACJI- JAK PRAWIDŁOWO PRZYGOTOWAĆ SIĘ ORAZ UNIKNĄĆ KAR PIENIĘŻNYCH

Wpływ ogólnego rozporządzenia o ochronie danych osobowych (RODO) na działalność sektora ubezpieczeń przegląd zagadnienia

Nowe przepisy i zasady ochrony danych osobowych

Obszar I. Obszar II. Co dokładnie będziemy analizować? Nowa klasyfikacja: dane zwykłe dane wrażliwe dane biometryczne

Ustawa o rachunkowości. Stan prawny na 24 sierpnia 2018 r.

Nowe Prawo wodne. Omówienie Pytania i odpowiedzi Tekst ustawy Stan prawny na 1 stycznia 2018 roku

Zamów książkę w księgarni internetowej

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 249 ust. 1, a także mając na uwadze, co następuje:

PODSTAWY PRZETWARZANIA DANYCH KANDYDATÓW DO PRACY W NOWYM PROJEKCIE KODEKSU PRACY. r.pr. Patrycja Kozik

Finanse publiczne. Stan prawny na 23 sierpnia 2018 r.

Adam Bartosiewicz Marek Jurek Artur Kowalski Radosław Kowalski Tomasz Krywan Sławomir Liżewski Łukasz Matusiakiewicz

kodeks spółek handlowych

E-PORADNIK ŚWIADCZENIA NA RZECZ PRACOWNIKÓW

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

CZĘŚĆ I PODSTAWOWE INFORMACJE O RODO

Technologia Infromacyjna i Prawo w służbie ochrony danych - #RODO2018

Technologia Informacyjna i Prawo w służbie ochrony danych - #RODO2018

Informacja o projekcie: Wskazówki Prezesa Urzędu Ochrony Danych Osobowych dotyczace wykorzystania monitoringu wizyjnego

RODO WYMOGI OCHRONY DANYCH OSOBOWYCH PACJENTÓW MLD Katowice, dnia 24 kwietnia 2018 r. r. pr. Michał Rytel

OCHRONA DANYCH OSOBOWYCH W DZIAŁACH KADR I HR OMÓWIENIE UNIJNEGO ROZPORZĄDZENIE RODO

OCHRONA DANYCH OSOBOWYCH W DZIAŁACH KADR I HR OMÓWIENIE UNIJNEGO ROZPORZĄDZENIE RODO

Wykaz skrótów... XV Wykaz literatury... XXI Wprowadzenie... XXVII

przyjęta 12 marca 2019 r. Tekst przyjęty 1

Nadzór pedagogiczny w szkole i przedszkolu

PROGRAM TRZYDNIOWEGO KURSU DLA IOD - JAK DOSTOSOWAĆ ORGANIZACJĘ DO WYMOGÓW OGÓLNEGO ROZPORZĄDZENIA O OCHRONIE DANYCH (RODO/GDPR)

ustawa o podatku od sprzedaży detalicznej

Opłaty za pobyt w domu pomocy społecznej

OCHRONA DANYCH OD A DO Z

(2- D NIOWE) I N F O R M A C J E O S Z K O L E N I U

Program szkolenia - Rejestracja i bezpieczeństwo danych osobowych

SZCZEGÓŁOWY HARMONOGRAM KURSU

Dane osobowe w hotelarstwie Czy RODO to rewolucja? Gdańsk 21 listopada

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Wrocław, Wrocław - Centrum miasta. Koszt szkolenia: 1790.

Ochrona danych osobowych w kontekście RODO dla e-commerce i marketingu

rodo. ochrona danych osobowych.

Ordynacja podatkowa. Stan prawny na 29 stycznia 2019 r.

1. Informacja nt. Fundacji Rozwoju Demokracji Lokalnej

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

W SERII UKAZAŁY SIĘ: O 2. J G VAT T B VAT. P K Z K. W A G, A S, A C D D S G,, E Ś O M J, S K

Jerzy Dydenko, Tomasz Telega 12. WYDANIE KOMENTARZE PROBLEMOWE

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 249 ust. 1, a także mając na uwadze, co następuje:

Które i jakie organizacje będą zobowiązane do wyznaczenia inspektora ochrony danych (IOD/DPO)

E-PORADNIK REFAKTUROWANIE USŁUG

OchrOna danych OsObOwych w postępowaniach sądowych i przed organami administracji publicznej

Radom, 13 kwietnia 2018r.

OFERTA. Polskie Stowarzyszenie Zarządców Nieruchomości oraz Kancelaria KPRF Law Office. w zakresie szkoleń

Zamów książkę w księgarni internetowej

Zapytania ofertowe i regulaminy zakupowe do euro. Praktyczny komentarz Pytania i odpowiedzi

Nowe podejście do ochrony danych osobowych. Miłocin r.

ul. Rewolucji 1905 r. nr 9, Łódź, tel.: , fax:

Szczegółowe uprawnienia osób w związku z przetwarzaniem danych osobowych w Ośrodku Pomocy Społecznej w Nisku

INSPEKTOR DANYCH OSOBOWYCH CZYLI ABI PO NOWEMU W ASPEKCIE

E-PORADNIK PODRÓŻE SŁUŻBOWE 2013

Jak się ustrzec przed pozwami i uniknąć kar w następstwie wejścia w życie RODO?

Kodeks wyborczy. Stan prawny na 8 sierpnia 2018 r.

Prowadzący: Marcin Jastrzębski. Łódź, październik 2018r. Projekt współfinansowany przez Unię Europejską z Europejskiego Funduszu Społecznego

KOMENTARZ. Rozporządzenie w sprawie dokonywania i rozpatrywania zgłoszeń znaków towarowych. Marta Lampart. Zamów książkę w księgarni internetowej

OCHRONA DANYCH OSOBOWYCH w placówkach oświatowych

rodo w e-commerce redakcja Dominik Lubasz

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

SPRAWOZDANIA PODATKOWE

RODO w firmie transportowej RADCA PRAWNY PAWEŁ JUDEK

Spis treści. Wykaz skrótów... Wykaz literatury... O Autorach... Przedmowa... Wprowadzenie... 1

Ochrona danych osobowych w szkole i przedszkolu

Nowe unijne rozporządzenie w sprawie ochrony danych osobowych. 8 czerwca 2016

Transkrypt:

ochrona danych osobowych w sektorze publicznym Mirosław Gumularz RODO 2018

ochrona danych osobowych w sektorze publicznym Mirosław Gumularz Zamów książkę w księgarni internetowej WARSZAWA 2018

Stan prawny na 20 czerwca 2018 r. Wydawca Monika Pawłowska Redaktor prowadzący Kinga Zając Opracowanie redakcyjne Michał Dymiński Łamanie Violet Design Wioletta Kowalska Ta książka jest wspólnym dziełem twórcy i wydawcy. Prosimy, byś przestrzegał przysługujących im praw. Książkę możesz udostępnić osobom bliskim lub osobiście znanym, ale nie publikuj jej w internecie. Jeśli cytujesz fragmenty, nie zmieniaj ich treści i koniecznie zaznacz, czyje to dzieło. A jeśli musisz skopiować część, rób to jedynie na użytek osobisty. SZANUJMY PRAWO I WŁASNOŚĆ Więcej na www.legalnakultura.pl POLSKA IZBA KSIĄŻKI Copyright by Wolters Kluwer Polska Sp. z o.o., 2018 ISBN 978-83-8124-799-3 Dział Praw Autorskich 01-208 Warszawa, ul. Przyokopowa 33 tel. 22 535 82 19 e-mail: ksiazki@wolterskluwer.pl www.wolterskluwer.pl księgarnia internetowa www.profinfo.pl

SPIS TREŚCI Wykaz skrótów 13 Wstęp 15 Rozdział I Informacje ogólne 19 1. Czym jest RODO 19 2. Kogo dotyczy RODO 20 3. Stosowanie RODO 21 4. Kategorie obowiązków: wymogi bezpośrednie i metawymogi 23 5. Kary pieniężne i sankcje karne 25 6. Przetwarzanie a publiczny dostęp do dokumentów urzędowych 27 Rozdział II Pojęcie danych osobowych 30 1. Informacje ogólne 30 2. Podziały danych osobowych i ich praktyczne konsekwencje 34 2.1. Dane osobowe wrażliwe (szczególne kategorie danych), dane o karalności oraz dane osobowe zwykłe 34 2.2. Dane osobowe podane, zaobserwowane, pochodne oraz wywnioskowane 36 2.3. Dane uporządkowane oraz nieuporządkowane 38 2.3.1. Ogólne informacje 38 2.3.2. Uporządkowanie a ustrukturyzowanie 45 2.4. Dane identyfikowalne oraz nieidentyfikowalne 46

6 Spis treści 2.4.1. Dwie normy wynikające z art. 11 RODO 46 2.4.2. Art. 11 RODO a definicja danych osobowych 47 2.5. Krótkotrwałe i długotrwałe przetwarzanie danych 55 Rozdział III Główni aktorzy RODO 56 1. Administrator danych 56 1.1. Informacje ogólne 56 1.2. Obowiązek powołania IOD a pojęcie ADO 58 2. Współadministrowanie danymi 63 3. Kolejne podmioty w łańcuchu przetwarzania danych: osoby upoważnione oraz podmioty przetwarzające 66 3.1. Umocowanie (upoważnienie) personelu administratora danych 67 3.2. Powierzenie 77 3.2.1. Powierzenie danych a udostępnienie danych i współadministrowanie 77 3.2.2. Wiarygodny procesor 84 3.2.3. Podpowierzenie 85 3.2.4. Elementy powierzenia 86 3.2.4.1. Specyfikacja danych osobowych 86 3.2.4.2. Prawa i obowiązki w ramach powierzenia 88 3.2.5. Forma powierzenia 91 3.2.6. Aktualizacja umów 91 Rozdział IV Filary RODO. Zasady ogólne 94 1. Wstęp 94 2. Zasady 94 2.1. Zgodność z prawem, rzetelność i przejrzystość 94 2.2. Ograniczenie celu 96 2.3. Minimalizacja danych 98 2.4. Prawidłowość 99 2.5. Ograniczenie przechowywania 101 2.6. Integralność i poufność 102 3. Rozliczalność 102

Spis treści 7 3.1. Informacje ogólne 102 3.2. Rozliczalność w aspekcie proceduralnym 103 3.3. Rozliczalność w aspekcie technicznym 105 3.4. Rozliczalność wbudowana w treść przepisów 108 Rozdział V Podstawy przetwarzania danych osobowych 111 1. Podstawy (warunki) przetwarzania danych osobowych zwykłych 111 1.1. Kiedy można przetwarzać dane osobowe zwykłe 111 1.2. Typowe podstawy przetwarzania danych osobowych w przypadku organów administracji publicznej 112 1.2.1. Informacje ogólne 112 1.2.2. Regulacja podstaw przetwarzania w prawie krajowym 116 1.2.3. Przykłady projektowanych regulacji podstaw prawnych realizujących podstawę kompetencyjną z art. 6 ust. 3 RODO 118 1.3. Zawarcie i realizacja umowy 119 1.4. Zgoda jako podstawa przetwarzania danych przez podmioty z sektora publicznego 120 1.5. Czy istnieje możliwość powoływania się na uzasadniony interes administratora danych w sektorze publicznym 126 2. Przesłanki przetwarzania danych osobowych wrażliwych 130 3. Przesłanki przetwarzania danych osobowych dotyczących wyroków skazujących i naruszeń prawa 132 Rozdział VI Realizacja praw podmiotów danych 133 1. Wstęp 133 2. Rozróżnienie praw podmiotów danych (art. 12 22 RODO) 138 2.1. Prawa niewymagające (co do zasady) do ich realizacji weryfikacji tożsamości (zestandaryzowane) 138 2.1.1. Rozróżnienie art. 13 oraz 14 RODO 138 2.1.2. Katalogi zestandaryzowanych informacji zawarte w art. 13 i 14 RODO 140

8 Spis treści 2.1.3. Uwagi ogólne (wspólne dla art. 13 14 RODO) 142 2.1.4. Rekomendacje 145 2.1.5. Standaryzacja (znaki graficzne) 145 2.1.6. Zestandaryzowane obowiązki informacyjne przepisy szczególne 146 2.2. Prawa wymagające do ich realizacji weryfikacji tożsamości 149 2.2.1. Problem weryfikacji identyfikacji i weryfikacji tożsamości 149 2.2.2. Opis poszczególnych praw 156 3. Treść komunikatu skierowanego do podmiotu danych 161 4. Ułatwianie realizacji praw podmiotu danych i sposób komunikacji 162 5. Termin realizacji praw podmiotów danych 165 6. Opłaty w ramach realizacji praw podmiotów danych 169 7. Wyjątki oraz regulacje szczególne względem RODO w ramach realizacji praw podmiotów danych w odniesieniu do sektora publicznego 170 7.1. Wyłączenia ogólne w ustawie z 10.05.2018 r. o ochronie danych osobowych 171 7.1.1. Wyłączenie ogólne w zakresie zestandaryzowanych obowiązków informacyjnych 171 7.1.2. Wyłączenie ogólne w ustawie z 10.05.2018 r. o ochronie danych osobowych w zakresie prawa dostępu do danych 175 7.2. Wyłączenia i modyfikacje wynikające z projektowanych przepisów sektorowych 179 7.3. Wyłączenia lub ograniczenia wynikające z przepisów RODO, które mogą dotyczyć sektora publicznego 180 7.3.1. Prawo do uzyskania standardowych informacji (art. 14 ust. 5 RODO) 180 7.3.2. Prawo do ograniczenia przetwarzania (art. 18 RODO) 181 7.3.3. Prawo do usunięcia danych prawo do bycia zapomnianym (art. 17 RODO) 181

Spis treści 9 7.3.4. Przenoszenie danych 182 8. Charakter prawny czynności w ramach realizacji praw podmiotów danych 182 9. Publicznoprawne konsekwencje naruszenia praw podmiotów danych 184 Rozdział VII Ocena ryzyka w ramach działalności organów administracji publicznej 185 1. Normatywny kontekst analizy ryzyka w RODO (kiedy ocena ryzyka jest wymagana?) 185 1.1. Ogólny wymóg monitorowania ryzyka dla praw lub wolności (art. 24 ust. 1 RODO) 186 1.2. Ocena ryzyka w fazie projektowania (art. 25 ust. 1 RODO) 186 1.3. Ocena ryzyka pod kątem obowiązku prowadzenia rejestru czynności (art. 30 ust. 5 RODO) 187 1.4. Ocena ryzyka w ramach oceny środków służących bezpieczeństwu (art. 32 ust. 1 2 RODO) 187 1.5. Ocena ryzyka w ramach oceny incydentów bezpieczeństwa danych osobowych pod kątem obowiązku zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu (art. 33 ust. 1 RODO) 188 1.6. Ocena ryzyka w ramach oceny potrzeby zawiadamiania osoby w przypadku incydentu (art. 34 ust. 1 RODO) 188 1.7. Ocena ryzyka w ramach oceny skutków dla ochrony danych osobowych (art. 35 ust. 1 RODO) 189 2. Szczególne uregulowania dotyczące organów administracji publicznej 190 3. Ramy analizy ryzyka 192 3.1. Czym jest ryzyko naruszenia praw lub wolności 192 3.2. Przykłady ryzyk 194 3.3. Etapy oceny ryzyka 197 3.4. Zagrożenie a ryzyko 200 3.4.1. Waga zagrożenia a waga ryzyka 204

10 Spis treści 3.4.2. Prawdopodobieństwo zagrożenia i prawdopodobieństwo ryzyka 205 3.5. Obiektywność oceny 207 3.6. Kryteria postępowania z ryzykiem 208 4. Ocena skutków dla ochrony danych i uprzednie konsultacje 211 4.1. Ocena skutków wstęp 211 4.2. Kiedy ocena skutków może być wymagana 212 4.3. Powiązanie oceny ryzyka i oceny skutków 215 4.4. Kiedy należy się konsultować z organem nadzorczym 218 4.5. Elementy dokumentacyjne oceny skutków 219 4.6. Ocena ryzyka a IOD 219 5. Przykładowy algorytm analizy ryzyka 220 5.1. Ocena ryzyka i ocena skutków w sytuacjach innych niż incydent bezpieczeństwa 220 5.2. Ocena ryzyka w przypadku incydentu bezpieczeństwa 224 6. Podsumowanie 226 Rozdział VIII Bezpieczeństwo i incydenty 227 1. Wstęp 227 2. Obowiązek zgłoszenia naruszenia ochrony danych osobowych 230 3. Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych 233 3.1. Informacje ogólne 233 3.2. Elementy zawiadomienia 233 3.3. Kiedy zawiadomienie nie jest wymagane 234 3.4. Modyfikacje mechanizmu zawiadomienia w prawie krajowym 234 3.5. Opinia Grupy Roboczej Art. 29 235 Rozdział IX Inspektor ochrony danych (IOD) 236 1. Obowiązek wyznaczenia IOD 236 2. Kwalifikacje zawodowe IOD 241

Spis treści 11 3. Relacja prawna IOD administrator danych (procesor) 244 4. Miejsce IOD w strukturze administratora (procesora) 245 5. Zadania i uprawnienia IOD 247 5.1. Zadania obligatoryjne 247 5.2. Zadania fakultatywne 249 5.2.1. Wykluczone zadania fakultatywne 250 5.2.2. Inne zadania fakultatywne 251 5.3. Stanowiska wybranych organów nadzorczych co do zadań IOD 252 5.3.1. GIODO 252 5.3.2. Hiszpański organ nadzorczy 253 5.4. Uprawnienia wewnątrzorganizacyjne 254 6. Inne zadania IOD w kontekście konfliktu interesów 255 Bibliografia 257

WYKAZ SKRÓTÓW dyrektywa 95/46 dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z 24.10.1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.Urz. WE L 281, s. 31, ze zm.) Karta Praw Karta praw podstawowych Unii Europejskiej (Dz.Urz. UE Podstawowych C 303 z 2007 r., s. 1) k.c. ustawa z 23.04.1964 r. Kodeks cywilny (Dz.U. z 2018 r. poz. 1025 ze zm.) k.k. ustawa z 6.06.1997 r. Kodeks karny (Dz.U. z 2017 r. poz. 2204 ze zm.) Konstytucja RP Konstytucja Rzeczypospolitej Polskiej z 2.04.1997 r. (Dz.U. poz. 483 ze zm.) k.p.a. ustawa z 14.06.1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2017 r. poz. 1257 ze zm.) n.u.o.d.o. ustawa z 10.05.2018 r. o ochronie danych osobowych (Dz.U. poz. 1000) Projekt projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 (w wersji z 7.06.2018 r., https://legislacja.rcl.gov.pl/projekt/12302951/ katalog/12457737#12457737, numer z wykazu RCL: UC 100) RODO rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1) TFUE Traktat o funkcjonowaniu Unii Europejskiej (Dz.Urz. UE C 202 z 2016 r., s. 47) u.o.d.o. ustawa z 29.08.1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm.)

WSTĘP Przepisy o ochronie danych osobowych dotyczą zarówno sektora prywatnego, jak i publicznego. Podstawową regulacją dla sektora publicznego jest rozporządzenie ogólne 2016/679 (RODO) oraz przepisy wdrażające RODO do polskiego porządku prawnego, w tym ustawa z 10.05.2018 r. o ochronie danych osobowych (Dz.U. poz. 1000). Co istotne, RODO nie zawiera kompleksowej ogólnej regulacji dotyczącej całego sektora publicznego (np. osobnego rozdziału dotyczącego tego rodzaju podmiotów). Normy szczególne skierowane do sektora publicznego należy rekonstruować w ramach poszczególnych przepisów RODO. Dodatkowo RODO daje państwom członkowskim możliwość modyfikowania (w tym ograniczania) określonych wymogów RODO, m.in. w ramach przetwarzania danych przez podmioty z sektora publicznego (np. ograniczenie sposobu realizacji obowiązków informacyjnych). Wyłączenia lub ograniczenia mogą dotyczyć wszystkich lub niektórych kategorii administratorów z tego sektora. Administratorzy z szeroko pojętego sektora publicznego muszą zawsze ustalić, czy dana materia regulowana jest przepisami RODO czy równoległą regulacją, tj. tzw. dyrektywą policyjną (jeszcze nieimplementowaną do polskiego porządku prawnego) 1. Dyrektywa policyjna ustanawia przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, 1 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.Urz. UE L 119, s. 89).

16 Wstęp prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom (art. 1 ust. 1). W związku z tym w praktyce podmioty z sektora publicznego powinny stworzyć mapę wymogów RODO ze wskazaniem: które wymogi stosuje się bez modyfikacji; które wymogi należy stosować przy uwzględnieniu modyfikacji (wynikających z przepisów samego RODO oraz przepisów wdrażających); które wymogi nie znajdują (i w jakim zakresie) zastosowania. Szczególna sytuacja podmiotów z sektora publicznego nie wynika tylko z faktu istnienia przepisów w sposób odrębny (od zasad ogólnych) regulujących ich sytuację. Pewne specyficzne problemy dotyczące tego sektora ujawniają się przy wykładni regulacji potencjalnie neutralnych sektorowo. Na przykład w odniesieniu do problemu zgody jako podstawy przetwarzania danych osobowych czy i w jakim zakresie podmioty z sektora publicznego mogą przetwarzać dane osobowe w oparciu o zgodę podmiotu danych. Interpretacja przepisów dotyczących sektora publicznego rodzi pytania w zupełnie podstawowych kwestiach. Już odpowiedź na pytanie, kto jest administratorem danych, może budzić wątpliwości. Dodatkowo podmioty z sektora publicznego identyfikując zaadresowane do nich wymogi muszą uwzględnić, w jakich kategoriach stosunków prawnych dochodzi do przetwarzania danych (publicznoprawne, cywilnoprawne, w zakresie prawa pracy etc.). Przykładowo, chociaż do przetwarzania danych może dochodzić w ramach tej samej struktury organizacyjnej (urzędu), innym (odrębnym) administratorem danych może być podmiot stosunków cywilnoprawnych (osoba prawna, np. powiat), innym organ funkcjonujący w ramach stosunków publicznoprawnych (wydający decyzje administracyjne, np. starosta), a jeszcze innym urząd (jako strona stosunków pracy) 2. 2 Zgodnie z art. 9 ust. 1 ustawy z 21.11.2008 r. o pracownikach samorządowych (Dz.U. z 2016 r. poz. 902 ze zm.) pracodawcą starosty, wicestarosty i członków zarządu powiatu jest starostwo powiatowe.

Wstęp 17 Co istotne, wskazane powyżej wyłączenia i modyfikacje mogą dotyczyć danego podmiotu tylko w niektórych kategoriach stosunków prawnych, w szczególności gdy realizują zadania w ramach sprawowania władzy publicznej powierzonej administratorowi. To dodatkowo komplikuje sytuację sektora publicznego. W związku z powyższym niniejsza książka jest napisana według przedstawionego powyżej mechanizmu: wymogi ogólne specyfika sektora publicznego. Celem publikacji jest przedstawienie (na przykładach) mechanizmów funkcjonowania wymogów ochrony danych osobowych w sektorze publicznym. Książka ma służyć jako pomoc (wskazując kryteria istotne z punktu widzenia wymogów ochrony danych osobowych) w rozstrzyganiu kwestii istotnych w praktyce.

Rozdział I INFORMAC JE OGÓLNE 1. Czym jest RODO A Jak wskazuje RODO w swoich motywach, dzięki technologii zarówno przedsiębiorstwa prywatne, jak i organy publiczne mogą na niespotykaną dotąd skalę wykorzystywać dane osobowe w swojej działalności. Osoby fizyczne coraz częściej udostępniają informacje osobowe publicznie i globalnie. Technologia zmieniła gospodarkę oraz życie społeczne i powinna nadal ułatwiać swobodny przepływ danych osobowych w UE oraz ich przekazywanie do państw trzecich i organizacji międzynarodowych, równocześnie zaś technologia powinna zapewniać wysoki stopień ich ochrony. C W związku z powyższym ustawodawca unijny zdecydował o zastąpieniu dyrektywy 95/46 1 no wym ogólnym rozporządzeniem unijnym o ochronie danych osobowych 2. Rozporządzenie jest więc aktem prawa europejskiego. Wskazany europejski charakter RODO należy uwzględnić w szczególności na etapie wykładni i stosowania jego przepisów. Samo RODO wskazuje, że należy zapewnić spójne 1 Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z 24.10.1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.Urz. UE L 281, s. 31, ze zm.). 2 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) dalej: r ozporządzenie lub RODO.

20 Rozdział I. Informacje ogólne i jednolite w całej UE stosowanie przepisów o ochronie podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych. W praktyce należy m.in. zwracać uwagę, w jaki sposób RODO jest wykładane w całej przestrzeni prawnej Unii (np. przez organy nadzorcze poszczególnych państw UE). C Należy także podkreślić, że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych. Artykuł 8 ust. 1 Karty Praw Podstawowych oraz art. 16 ust. 1 TFUE stanowią, że każda osoba ma prawo do ochrony danych osobowych jej dotyczących. Aby zapewnić wysoki poziom i spójność ochrony danych osób fizycznych oraz usunąć przeszkody w przepływie danych osobowych w Unii, podjęto działania, aby zapewnić równorzędny we wszystkich państwach członkowskich stopień ochrony praw i wolności osób fizycznych w związku z przetwarzaniem takich danych. Samo RODO dopuszcza (w poszczególnych przepisach) możliwość doprecyzowania lub zawężenia jego regulacji przez prawo państw członkowskich. Państwa członkowskie mogą także o ile jest to niezbędne do zapewnienia, by krajowe przepisy były spójne i zrozumiałe dla osób, do których mają zastosowanie włączyć elementy RODO do swego prawa krajowego. Przykłady takich regulacji zostaną przedstawione w dalszej części publikacji. 2. Kogo dotyczy RODO A Rozporządzenie co do zasady ma zastosowanie do wszystkich branż oraz do sektorów prywatnego i publicznego. Oczywiście szereg przepisów samego RODO w sposób szczególny ujmuje sytuację prawną podmiotów z sektora publicznego. Co jednak istotne, przepisy RODO nie zawierają jednej ogólnej regulacji uwzględniającej w sposób szczególny sytuacji podmiotów z sektora publicznego. Natomiast poszczególne przepisy odwołują się do pojęć dotyczących tego sektora, łącząc z nimi określone skutki prawne. Chodzi w szczególności o przepisy odwołujące się do pojęć: organy publiczne, zadanie realizowane w interesie publicznym oraz zadanie realizowane w ramach

3. Stosowanie RODO 21 sprawowania władzy publicznej w rozumieniu RODO. W tym miejscu ujmując to jeszcze bardzo ogólnie można stwierdzić, że sytuacja podmiotów z sektora publicznego może być ujęta w sposób szczególny m.in. ze względu na pewne wyłączenia lub ograniczenia w stosowaniu wymogów RODO, i to zarówno na poziomie przepisów RODO, jak i przepisów wdrażających RODO do krajowego porządku prawnego. Należy jednak przyjąć regułę interpretacyjną, że tam, gdzie samo RODO i przepisy krajowe wyraźnie nie wprowadzają wyłączeń, ograniczeń lub innych modyfikacji względem sektora publicznego, tam RODO należy stosować wprost (zgodnie z zasadą, że wyjątki powinny być interpretowane ściśle). Kwestie te zostaną omówione w poszczególnych rozdziałach. A Przepisy u.o.d.o. także obejmowały podmioty sektora publicznego. Artykuł 3 ust. 1 u.o.d. o. przesądzał, że jej przepisy stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych. 3. Stosowanie RODO AC Zgodnie z art. 99 RODO rozporządzenie wchodzi w życie 20. dnia po publikacji w Dzienniku Urzędowym UE, a stosowane jest od 25.05.2018 r. Oznacza to, że 25.05.2018 r. to data, od której przepisy RODO są egzekwowane. Co jednak istotne, zgodnie z motywem 171 RODO: Niniejszym rozporządzeniem należy uchylić dyrektywę 95/46/WE. Przetwarzanie, które w dniu rozpoczęcia stosowania niniejszego rozporządzenia już się toczy, powinno w terminie dwóch lat od wejścia niniejszego rozporządzenia w życie zostać dostosowane do jego przepisów. Jeżeli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46/WE, osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom niniejszego rozporządzenia; dzięki temu administrator może kontynuować przetwarzanie po dacie rozpoczęcia stosowania niniejszego rozporządzenia. Decyzje przyjęte przez Komisję oraz zezwolenia wydane przez organy nadzorcze na podstawie dyrektywy 95/46/WE pozostają w mocy do czasu ich zmiany, zastąpienia lub uchylenia.

Mirosław Gumularz doktor nauk prawnych (UJ); radca prawny w GKK Gumularz Kozieł Kozik Radcowie Prawni; audytor wewnętrzny systemu zarządzania bezpieczeństwem informacji według normy ISO 27001:2013; wykładowca na studiach podyplomowych z ochrony danych osobowych organizowanych przez Wyższą Szkołę Bankową w Poznaniu; jako doradca społeczny ds. ochrony danych osobowych w Ministerstwie Cyfryzacji brał udział w pracach nad wdrożeniem RODO do polskiego porządku prawnego; był administratorem bezpieczeństwa informacji w spółkach technologicznych zatrudniających powyżej 500 pracowników; członek Grupy Roboczej ds. Ochrony Danych Osobowych przy Ministerstwie Cyfryzacji; autor wielu publikacji z zakresu ochrony danych osobowych oraz e-commerce. Publikacja w sposób szczegółowy przedstawia odmienności w stosowaniu RODO w odniesieniu do podmiotów publicznych. Omówiono w niej m.in.: typowe podstawy przetwarzania danych osobowych w przypadku organów administracji publicznej, zgodę jako podstawę przetwarzania danych przez podmioty z sektora publicznego, wyjątki oraz regulacje szczególne względem RODO w ramach realizacji praw podmiotów danych w odniesieniu do sektora publicznego, wyłączenia i modyfikacje wynikające z projektowanych przepisów sektorowych, wyłączenia lub ograniczenia wynikające z przepisów RODO, które mogą dotyczyć sektora publicznego. W książce uwzględniono również nową polską ustawę o ochronie danych osobowych. Publikacja jest przeznaczona przede wszystkim dla pracowników samorządowych, organów administracji publicznej, dyrektorów szkół. Będzie cennym źródłem wiedzy dla adwokatów, radców prawnych, sędziów, prokuratorów oraz pracowników działów kadr i zasobów ludzkich. ZAMÓWIENIA: INFOLINIA 801 04 45 45, FAX 22 535 80 01 ZAMOWIENIA@WOLTERSKLUWER.PL WWW.PROFINFO.PL CENA 99 ZŁ (W TYM 5% VAT)

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres