Przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych. Szkolenie dla Inspektorów Ochrony Danych Warszawa, r.

Podobne dokumenty
Warszawa, 19 października 2016 Agnieszka Szydlik, adwokat, Wardyński & Wspólnicy Sylwia Paszek, radca prawny, Wardyński & Wspólnicy

Wykaz skrótów... XV Wykaz literatury... XXI Wprowadzenie... XXVII

Czy i kiedy można wymieniać się danymi osobowymi w ramach grupy spółek? Piotr Grzelczak

ZAŁĄCZNIK. Przeciwdziałanie skutkom wystąpienia Zjednoczonego Królestwa z Unii bez umowy: skoordynowane podejście Unii

Wpływ nowych regulacji prawnych na dopuszczalność outsourcingu procesów biznesowych.

Pierwsze doświadczenia w wykonywaniu funkcji IODy

Nowe wymagania dla systemów informatycznych wynikające z ogólnego rozporządzenia o ochronie dany

Ograniczenia w wykorzystywaniu baz danych związane ze zautomatyzowanym przetwarzaniem danych oraz wykorzystaniem chmury obliczeniowej w świetle RODO

ZAŁĄCZNIK SPROSTOWANIE

INFORMACJA O OCHRONIE DANYCH OSOBOWYCH

Informacja o przetwarzaniu danych osobowych

ACCACE POLAND Ochrona danych osobowych dotychczasowe zasady i zmiany po wejściu w życie nowego Rozporządzenia Unijnego RODO

Informacja o przetwarzaniu danych osobowych

2. Proces tworzenie wewnętrznego systemu ochrony danych osobowych przedsiębiorcy. 3. Postanowienia dyrektywy 95/46/WE, które pozostaną aktualne

Ochrona danych osobowych w kontekście RODO dla e-commerce i marketingu

Informacja o przetwarzaniu danych osobowych

Radom, 13 kwietnia 2018r.

ZASADY PRZEKAZYWANIA DANYCH OSOBOWYCH DO PAŃSTW TRZECICH. Wstęp

Bezpieczeństwo danych osobowych w usługach w chmurze zagadnienia prawne. Warszawa, dnia 1 marca 2016 r. Maria Markiewicz radca prawny

KLAUZULA INFORMACYJNA

Załącznik Nr 4 do Umowy nr.

Informacja o przetwarzaniu danych osobowych

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

Powierzenie. Możliwość korzystania z usług procesora. Zakaz dalszego powierzania bez zgody ADO. Przetwarzanie danych przez procesora

Nowe przepisy i zasady ochrony danych osobowych

Ochrona danych osobowych w biurach rachunkowych

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

Informacja o przetwarzaniu danych osobowych

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

Nowe unijne rozporządzenie w sprawie ochrony danych osobowych. 8 czerwca 2016

Informacja o ochronie danych osobowych

Wpływ ogólnego rozporządzenia o ochronie danych osobowych (RODO) na działalność sektora ubezpieczeń przegląd zagadnienia

Informacja o zmianach w przepisach o ochronie danych osobowych W jakim celu przesyłamy Państwu Informację?

Informacja o przetwarzaniu danych osobowych

Spis treści. Wykaz skrótów... Wprowadzenie...

OCHRONA DANYCH OSOBOWYCH

Ryzyko nadmiernego przetwarzania danych osobowych

Informacja o przetwarzaniu danych osobowych

POLITYKA PRYWATNOŚCI W SERWISIE INTERNETOWYM ACP GLOBAL FORWARDING SP. Z O.O.

Ochrona danych osobowych

Jak się ustrzec przed pozwami i uniknąć kar w następstwie wejścia w życie RODO?

Przetwarzanie danych osobowych pracowników w grupie przedsiębiorstw w świetle zasady rozliczalności

3) ograniczenie przetwarzania oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;

Status prawny i obowiązki adwokata związane z przetwarzaniem danych osobowych w świetle ogólnego rozporządzenia o ochronie danych (RODO)

RODO Nowe zasady przetwarzania danych osobowych. radca prawny Piotr Kowalik Koszalin, r.

Klauzula informacyjna RODO

POLITYKA PRYWATNOŚCI RODO KLAUZULA INFORMACYJNA. Ochrona danych osobowych oraz prywatności jest dla nas ważna i stanowi jeden z

1. Niniejsza Polityka prywatności określa zasady przetwarzania i ochrony Twoich danych osobowych w

Informacja o przetwarzaniu danych osobowych

Klauzula informacyjna RODO

Jak legalnie przekazywać dane osobowe w grupie kapitałowej i do podwykonawców

Klauzula Informacyjna dotycząca przetwarzania danych osobowych w Międzyszkolnym Uczniowskim Klubie Sportowym OGNIWO

POLITYKA REALIZACJI PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ

ECDL RODO Sylabus - wersja 1.0

Wytyczne 2/2018 w sprawie wyjątków określonych w art. 49 rozporządzenia 2016/679. Przyjęte dnia 25 maja 2018 r.

przyjęta12 lutego 2019 r. przyjęte 1

POLITYKA PRZETWARZANIA DANYCH OSOBOWYCH W NOBLE FUNDS TOWARZYSTWIE FUNDUSZY INWESTYCYJNYCH S.A. (Polityka transparentności)

Polityka informacyjna dla Kontrahentów oraz osób reprezentujących Kontrahentów. OTCF S.A. z siedzibą w Wieliczce ul. A. Grottgera Wieliczka

INFORMACJA O PRZETWARZANIU DANYCH OSOBOWYCH

Krajowa Konferencja Ochrony Danych Osobowych

UMOWY POWIERZENIA W RODO. Kancelaria Maruta Wachta Sp. j.

Informacja o przetwarzaniu danych osobowych

Administratorem Pani/Pana danych osobowych jest Galeria Słupsk.

Unijne rozporządzenie o ochronie danych

1. ADMINISTRATOR DANYCH OSOBOWYCH. Informacje o przetwarzaniu danych osobowych

Kwestia spójności Rozporządzenia o Ochronie Danych Osobowych z polskim systemem prawnym. Przepisy sektorowe

IT i RODO z perspektywy zarządzającego podmiotem leczniczym. Beata Jagielska Centrum Onkologii Instytut im. Marii Skłodowskiej Curii w Warszawie

Dane kontaktowe inspektora ochrony danych osobowych

Spis treści. Wykaz skrótów... Wprowadzenie...

Załącznik Nr 4b Umowa powierzenia przetwarzania danych osobowych stanowiąca uzupełnienie Umowy Nr..

Załącznik 5 Ankieta dla podmiotu przetwarzającego

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Technologia Infromacyjna i Prawo w służbie ochrony danych - #RODO2018

POLITYKA PRYWATNOŚCI

CZĘŚĆ I PODSTAWOWE INFORMACJE O RODO

Warszawa, 15 kwietnia 2016 r. Pan Michał Czerniawski Departament Społeczeństwa Informacyjnego Ministerstwo Cyfryzacji

1. Jakie dane osobowe Dystrybutorów gromadzi Carlsberg:

Kontrola przestrzegania przepisów o ochronie danych osobowych. zasady, zakres, przebieg. Piotr Glen Inspektor ochrony danych

Które i jakie organizacje będą zobowiązane do wyznaczenia inspektora ochrony danych (IOD/DPO)

Wszystkie poniższe numery artykułów dotyczą ustawy o ochronie danych osobowych.

Ochrona danych osobowych w organizacjach pozarządowych (od 25 maja 2018)

Umowa powierzenia przetwarzania danych osobowych do Umowy... zawarta w dniu... w..., pomiędzy:

Informacja o przetwarzaniu danych osobowych

Polityka prywatności dla kontrahentów Domu Maklerskiego TMS Brokers S.A.

ZASADY POWIERZANIA DANYCH OSOBOWYCH FIRMY ELEKTROMONTAŻ RZESZÓW S.A. z dnia 25 maja 2018r.

POLITYKA PRYWATNOŚCI HOTELU SZRENICOWY DWÓR

RODO Chronimy Twoje dane osobowe

POLITYKA PRYWATNOŚCI

SZCZEGÓŁOWY HARMONOGRAM KURSU

1. Informacja dotycząca Administratora i gromadzenia danych osobowych

Co to jest RODO? Jest to powszechnie stosowany skrót Rozporządzenia o Ochronie Danych Osobowych.

Przykład klauzul umownych dotyczących powierzenia przetwarzania

Zasady przetwarzania danych osobowych w Miejsko Gminnym Ośrodku Pomocy Społecznej w Myślenicach

Magdalena Jacolik Mgr Prawa Europejskiego Aliant Krzyżowska Międzynarodowa Kancelaria Prawna

POLITYKA PRYWATNOŚCI I COOKIES

POLITYKA PRYWATNOŚCI

OCHRONA DANYCH OD A DO Z

RODO. 1. Obowiązki administratora danych osobowych

Transkrypt:

Przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych Szkolenie dla Inspektorów Ochrony Danych Warszawa, 20.02.2019 r..

Otwarcie Szkolenia dr Edyta Bielak-Jomaa Prezes Urzędu Ochrony Danych Osobowych.

Zakres stosowania RODO a przekazywanie danych do państw trzecich i organizacji międzynarodowych Podstawowe pojęcia Piotr Drobek Dyrektor Zespołu Analiz i Strategii UODO.

ZAKRES ZASTOSOWANIA ROZPORZĄDZENIA (UE) 2016/679 (ART. 3) Wytyczne EROD 3/2018 w sprawie zakresu terytorialnego RODO (Art. 3)

ZAKRES ZASTOSOWANIA ROZPORZĄDZENIA (UE) 2016/679 (ART. 3) Przetwarzanie danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii.

DOTYCHCZASOWE ORZECZNICTWO TSUE Wyrok Trybunału Sprawiedliwości UE: C-131/12 Google przeciwko Costeja González Wyrok TSUE: C-230/14 - Weltimmo s. r. o. przeciwko Nemzeti Adatvédelmi és Információszabadság Hatóság Wyrok TSUE: C-191/15 - Verein für Konsumenteninformation przeciwko Amazon EU Sàrl

ZAKRES ZASTOSOWANIA ROZPORZĄDZENIA (UE) 2016/679 (ART. 3) Przetwarzanie danych osobowych przez administratora niemającego jednostki organizacyjnej w Unii, ale posiadającego jednostkę organizacyjną w miejscu, w którym na mocy prawa międzynarodowego publicznego ma zastosowanie prawo państwa członkowskiego

ZAKRES ZASTOSOWANIA ROZPORZĄDZENIA (UE) 2016/679 (ART. 3) Przetwarzanie danych osobowych osób, których dane dotyczą, przebywających w Unii przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w Unii, jeżeli czynności przetwarzania wiążą się z: a) oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii niezależnie od tego, czy wymaga się od tych osób zapłaty; lub b) monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.

PRZEKAZYWANIE DANYCH W RAMACH EOG Swobodny przepływ danych w obrębie Europejskiego Obszaru Gospodarczego Brak odrębnych regulacji dotyczących przekazywania danych w obrębie EOG

Art. 44 RODO Ogólna zasada przekazywania Przekazanie danych osobowych, które są przetwarzane lub mają być przetwarzane po przekazaniu do państwa trzeciego lub organizacji międzynarodowej, następuje tylko, gdy z zastrzeżeniem innych przepisów niniejszego rozporządzenia administrator i podmiot przetwarzający spełnią warunki określone w niniejszym rozdziale, w tym warunki dalszego przekazania danych z państwa trzeciego lub przez organizację międzynarodową do innego państwa trzeciego lub innej organizacji międzynarodowej. Wszystkie przepisy niniejszego rozdziału należy stosować z myślą o zapewnieniu, by nie został naruszony stopień ochrony osób fizycznych zagwarantowany w niniejszym rozporządzeniu.

POJĘCIE PAŃSTWA TRZECIEGO Państwo trzecie państwo spoza EOG Państwa członkowskie EOG Państwa członkowskie UE Islandia, Liechtenstein, Norwegia Status Wielkiej Brytanii Na podstawie umowy Bez umowy

POJĘCIE ORGANIZACJI MIĘDZYNARODOWEJ Organizacja międzynarodowa podmiot prawa międzynarodowego publicznego Status podmiotów prawa prywatnego w państwie trzecim (np. WADA) Unia Europejska nie jest organizacją międzynarodową w rozumieniu RODO

PRZEKAZYWANIE DANYCH DO PAŃSTW TRZECICH Odrębna regulacja w zakresie transferu do państw trzecich wprowadzająca dodatkowe wymogi i gwarancje (art. 44-49 RODO, tj. rozdział V) Cel: zapewnienie odpowiedniej ochrony osób, których dane dotyczą Podejście dwuelementowe: Ogólne obowiązki Obowiązki przewidziane w rozdziale V

POJĘCIE PRZEKAZANIA DANYCH Przekazanie = przetwarzanie danych! Kiedy mamy do czynienia z przekazaniem danych? A lub PP są związani RODO A lub PP umożliwiają dostęp do danych, aby odrębny podmiot mógł je dalej przetwarzać Importer jest w państwie trzecim lub organizacją międzynarodową Różne podejścia do zakresu zastosowania rozdziału V RODO

POJĘCIE PRZEKAZANIA DANYCH Pojęcie przekazania danych wyrok ETS: C- 101/01 Bodil Lindquist (w tym zakresie straciło aktualność) Pojęcie przekazania i odpowiedniego poziomu ochrony oraz kompetencje organów ochrony danych wyrok TSUE: C - 362/14 Schrems v Data Protection Commissioner

Przekazywanie danych na podstawie decyzji Komisji Europejskiej w sprawie odpowiedniego poziomu ochrony danych osobowych Piotr Drobek Dyrektor Zespołu Analiz i Strategii UODO.

DECYZJA W SPRAWIE ODPOWIEDNIEGO POZIOMU OCHRONY Wyłączna kompetencja Komisji Europejskiej Kryteria określone w art. 45 ust. 2 RODO Wytyczne Grupy Roboczej art. 29 w sprawie odpowiedniego stopnia ochrony przekazywanych danych osobowych WP 254 rev.01 Konieczność okresowej oceny stosowania decyzji (nie rzadziej niż co 4 lata) Kompetencja KE do cofnięcia decyzji Uprawnienia organów nadzorczych do oceny transferów i wszczęcia procedury zmierzającej do stwierdzenia nieważności decyzji Utrzymanie w mocy wcześniejszych decyzji KE

Art. 45 UST. 1 RODO Przekazywanie na podstawie decyzji stwierdzającej odpowiedni stopień ochrony 1. Przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej może nastąpić, gdy Komisja stwierdzi, że to państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony. Takie przekazanie nie wymaga specjalnego zezwolenia.

Art. 45 UST. 2 RODO 2. Oceniając, czy stopień ochrony jest odpowiedni, Komisja uwzględnia w szczególności następujące elementy: a) praworządność, poszanowanie praw człowieka i podstawowych wolności, odpowiednie ustawodawstwo zarówno ogólne, jak i sektorowe w tym w dziedzinie bezpieczeństwa publicznego, obrony, bezpieczeństwa narodowego i prawa karnego oraz dostępu organów publicznych do danych osobowych, a także wdrażanie takiego ustawodawstwa, zasady ochrony danych osobowych, zasady dotyczące wykonywania zawodu, środki bezpieczeństwa, w tym zasady dalszego przekazywania danych osobowych do kolejnego państwa trzeciego lub innej organizacji międzynarodowej, których przestrzega się w tym państwie lub w organizacji międzynarodowej, orzecznictwo, a także istnienie skutecznych i egzekwowalnych praw osób, których dane dotyczą, oraz prawa osób, których dane dotyczą, których dane osobowe są przekazywane, do skutecznych administracyjnych i sądowych środków zaskarżenia;

Art. 45 UST. 2 RODO 2. Oceniając, czy stopień ochrony jest odpowiedni, Komisja uwzględnia w szczególności następujące elementy: b) istnienie i skuteczne działanie co najmniej jednego niezależnego organu nadzorczego w państwie trzecim lub w stosunku do organizacji międzynarodowej, mającego obowiązek zapewniać i egzekwować przestrzeganie przepisów o ochronie danych w tym posiadające odpowiednie uprawnienia do egzekwowania przestrzegania przepisów pomagać i doradzać osobom, których dane dotyczą, w toku wykonywania przysługujących im praw, a także współpracować z organami nadzorczymi państw członkowskich; oraz

Art. 45 UST. 2 RODO 2. Oceniając, czy stopień ochrony jest odpowiedni, Komisja uwzględnia w szczególności następujące elementy: c)międzynarodowe zobowiązania zaciągnięte przez dane państwo trzecie lub daną organizację międzynarodową lub inne obowiązki wynikające z prawnie wiążących konwencji lub instrumentów oraz z udziału w systemach wielostronnych lub regionalnych, w szczególności w dziedzinie ochrony danych osobowych.

Art. 45 UST. 2 RODO 2. Oceniając, czy stopień ochrony jest odpowiedni, Komisja uwzględnia w szczególności następujące elementy: c)międzynarodowe zobowiązania zaciągnięte przez dane państwo trzecie lub daną organizację międzynarodową lub inne obowiązki wynikające z prawnie wiążących konwencji lub instrumentów oraz z udziału w systemach wielostronnych lub regionalnych, w szczególności w dziedzinie ochrony danych osobowych.

DECYZJE KE Szwajcaria (2000/518/WE) Węgry (2000/519/WE) USA Safe Harbor (2000/520/WE) Kanada (2002/2/WE) Argentyna (2003/490/WE) Guernsey (2003/821/WE) Wyspa Man (2004/411/WE) PNR USA (2004/535/WE) PNR Kanada(2006/253/WE) Jersey (2008/393/WE) Wyspy Owcze (2010/146/UE) Andorra (2010/625/UE) Izrael (2011/61/UE) Urugwaj (2012/484/UE) Nowa Zelandia (2013/65/UE) USA Tarcza Prywatności (2016/1250) Japonia C(2019) 304

Tarcza Prywatności (Privacy Shield) Tak jak wcześniejszy program Bezpiecznej przystani oparta na samo-certyfikacji Lista importerów uczestniczących w programie https://www.privacyshield.gov/list Mechanizm rozpatrywania skarg Udział organów ochrony danych z UE

Przekazywanie danych z zastrzeżeniem odpowiednich zabezpieczeń Piotr Drobek Dyrektor Zespołu Analiz i Strategii UODO.

Art. 46 RODO Przekazywanie z zastrzeżeniem odpowiednich zabezpieczeń 1. W razie braku decyzji na mocy art. 45 ust. 3 administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego lub organizacji międzynarodowej wyłącznie, gdy zapewnią odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej.

Art. 46 RODO 2. Odpowiednie zabezpieczenia, o których mowa w ust. 1, można zapewnić bez konieczności uzyskania specjalnego zezwolenia ze strony organu nadzorczego za pomocą: a) prawnie wiążącego i egzekwowalnego instrumentu między organami lub podmiotami publicznymi; b) wiążących reguł korporacyjnych zgodnie z art. 47; c) standardowych klauzul ochrony danych przyjętych przez Komisję zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2; d) standardowych klauzul ochrony danych przyjętych przez organ nadzorczy i zatwierdzonych przez Komisję zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2;

Art. 46 RODO Odpowiednie zabezpieczenia, o których mowa w ust. 1, można zapewnić bez konieczności uzyskania specjalnego zezwolenia ze strony organu nadzorczego za pomocą: e) zatwierdzonego kodeksu postępowania zgodnie z art. 40 wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą; lub f) zatwierdzonego mechanizmu certyfikacji zgodnie z art. 42 wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą.

STANDARDOWE KLAUZULE UMOWNE Transfery pomiędzy administratorami danych (Decyzja 2001/497/WE i decyzja 2004/915/WE) Transfery w ramach powierzenia przetwarzania danych (Decyzja 2002/16/WE zastąpiona przez decyzję 2010/87/UE)

- WP 226 STANDARDOWE KLAUZULE UMOWNE Transfery pomiędzy administratorami danych Decyzja 2001/497/WE (błąd w tekście angielskim) Decyzja 2004/915/WE http://eur-lex.europa.eu/legalcontent/pl/txt/?uri=celex%3a32001d0497 http://eur-lex.europa.eu/legalcontent/en/txt/?uri=celex:32004d0915

- WP 226 STANDARDOWE KLAUZULE UMOWNE Transfery w ramach powierzenia przetwarzania danych Decyzja 2010/87/UE http://eur-lex.europa.eu/legalcontent/en/txt/?qid=1401799946706&uri=celex:32010d00 87 Zastąpiła decyzję 2002/16/WE Najczęściej zadawane pytania WP 176 Procedura współpracy dokument WP 226

WIĄŻĄCE REGUŁY KORPORACYJNE polityki ochrony danych osobowych stosowane przez administratora lub podmiot przetwarzający, którzy posiadają jednostkę organizacyjną na terytorium państwa członkowskiego, przy jednorazowym lub wielokrotnym przekazaniu danych osobowych administratorowi lub podmiotowi przetwarzającemu w co najmniej jednym państwie trzecim w ramach grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą

WIĄŻĄCE REGUŁY KORPORACYJNE polityki ochrony danych osobowych stosowane przez administratora lub podmiot przetwarzający, którzy posiadają jednostkę organizacyjną na terytorium państwa członkowskiego, przy jednorazowym lub wielokrotnym przekazaniu danych osobowych administratorowi lub podmiotowi przetwarzającemu w co najmniej jednym państwie trzecim w ramach grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą

WIĄŻĄCE REGUŁY KORPORACYJNE (WRK LUB BCR) Dwa rodzaje: Wiążące reguły korporacyjne dla administratorów danych Mające zastosowanie do administratorów danych, którzy przekazują dane do innych administratorów lub przetwarzających w państwach trzecich w ramach tej samej korporacji międzynarodowej. Wiążące reguły korporacyjne dla podmiotów przetwarzających Mające zastosowanie do transferów w ramach korporacji, które przetwarzają dane jako podmioty przetwarzające dane na zlecenie administratorów spoza tych korporacji (w ramach świadczonych usług np. w ramach chmury obliczeniowej).

WIĄŻĄCE REGUŁY KORPORACYJNE (ART. 47 UST. 1 RODO) są one prawnie wiążące oraz mają zastosowanie do każdego z członków grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą, w tym ich pracowników, i są przez każdego z tych członków egzekwowane; b) wyraźnie przyznają osobom, których dane dotyczą, egzekwowalne prawa w związku z przetwarzaniem ich danych osobowych; oraz c) spełniają wymogi określone w ust. 2.

WIĄŻĄCE REGUŁY KORPORACYJNE (ART. 47 RODO ORAZ WYTYCZNE GR ART. 29/EROD) Working Document Setting Forth a Co-Operation Procedure for the approval of Binding Corporate Rules for controllers and processors under the GDPR, WP 263 rev.01 Recommendation on the Standard Application for Approval of Controller Binding Corporate Rules for the Transfer of Personal Data, WP 264 Recommendation on the Standard Application form for Approval of Processor Binding Corporate Rules for the Transfer of Personal Data, WP 265 Working Document setting up a table with the elements and principles to be found in Binding Corporate Rules, WP 256 rev.01 Working Document setting up a table with the elements and principles to be found in Processor Binding Corporate Rules, WP 257 rev.01

ELEMENTY WIĄŻĄCYCH REGUŁ KORPORACYJNYCH A) struktura i dane kontaktowe odnośnej grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą i każdego z jej członków; b) jednorazowe lub wielokrotne przekazanie danych, w tym kategorie danych osobowych, rodzaj przetwarzania i jego cele, rodzaje osób, których dane dotyczą, oraz nazwa danego państwa trzeciego lub danych państw trzecich; c) ich prawnie wiążący charakter, wewnętrzny i zewnętrzny; d) zastosowanie ogólnych zasad ochrony danych w szczególności ograniczenia celu, minimalizacji danych, ograniczonych okresów przechowywania, jakości danych, uwzględnianie ochrony danych w fazie projektowania oraz domyślnej ochrony danych, podstawa prawna przetwarzania, przetwarzanie szczególnych kategorii danych osobowych, środki zapewniające bezpieczeństwo danych, wymogi w zakresie dalszego przekazywania podmiotom niezwiązanym wiążącymi regułami korporacyjnymi;

ELEMENTY WIĄŻĄCYCH REGUŁ KORPORACYJNYCH e) prawa osób, których dane dotyczą, w związku z przetwarzaniem oraz sposoby wykonywania tych praw, w tym z prawa do niepodlegania decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu w tym profilowaniu zgodnie z art. 22, prawa do wnoszenia skarg do właściwego organu nadzorczego i właściwych sądów państw członkowskich zgodnie z art. 79 oraz prawa do środka zaskarżenia, a w stosownych przypadkach odszkodowania za naruszenie wiążących reguł korporacyjnych; f) przyjęcie przez administratora lub podmiot przetwarzający posiadających jednostki organizacyjnej na terytorium państwa członkowskiego odpowiedzialności prawnej za naruszenie wiążących reguł korporacyjnych przez odnośnego członka niemającego jednostki organizacyjne w Unii; administrator lub podmiot przetwarzający są zwolnieni z tej odpowiedzialności w całości lub w części wyłącznie, gdy udowodni, że członek ten nie ponosi odpowiedzialności za wydarzenie, które doprowadziło do powstania szkody;

ELEMENTY WIĄŻĄCYCH REGUŁ KORPORACYJNYCH g) sposób, w jaki osobom, których dane dotyczą, podaje się oprócz informacji, o których mowa w art. 13 i 14 informacje o wiążących regułach korporacyjnych, w szczególności o postanowieniach, o których mowa w lit. d), e) i f) niniejszego ustępu; h) zadania inspektora ochrony danych wyznaczonego zgodnie z art. 37 lub innej osoby lub podmiotu odpowiedzialnych za monitorowanie przestrzegania wiążących reguł korporacyjnych w ramach grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą oraz monitorowanie szkoleń i rozpatrywanie skarg; i) procedury dotyczące skarg;

ELEMENTY WIĄŻĄCYCH REGUŁ KORPORACYJNYCH j) stosowane w grupie przedsiębiorstw lub w grupie przedsiębiorców prowadzących wspólną działalność gospodarczą mechanizmy zapewniające weryfikację przestrzegania wiążących reguł korporacyjnych. Mechanizmy takie obejmują audyty w zakresie ochrony danych oraz metody zapewniania działań naprawczych mających chronić prawa osób, których dane dotyczą. Wyniki takiej weryfikacji powinny być przekazywane osobie lub podmiotowi, o których mowa w lit. h), oraz zarządowi przedsiębiorstwa sprawującego kontrolę w grupie przedsiębiorstw lub organowi kierującemu grupą przedsiębiorców prowadzących wspólną działalność gospodarczą i powinny być dostępne na żądanie właściwego organu nadzorczego; k) mechanizmy zgłaszania i rejestrowania zmian w zasadach i zgłaszania tych zmian organowi nadzorczemu

3. Z zastrzeżeniem zezwolenia właściwego organu nadzorczego odpowiednie zabezpieczenia, o których mowa w ust. 1, można także zapewnić w szczególności za pomocą: a) klauzul umownych między administratorem lub podmiotem przetwarzającym a administratorem, podmiotem przetwarzającym lub odbiorcą danych osobowych w państwie trzecim lub organizacji międzynarodowej; lub b) Zezwolenie Przesa UODO

Zezwolenie Prezesa UODO 3. Z zastrzeżeniem zezwolenia właściwego organu nadzorczego odpowiednie zabezpieczenia, o których mowa w ust. 1, można także zapewnić w szczególności za pomocą: b) postanowień uzgodnień administracyjnych między organami lub podmiotami publicznymi, w których przewidziane będą egzekwowalne i skuteczne prawa osób, których dane dotyczą. W przypadkach, o których mowa w ust. 3 niniejszego artykułu, organ nadzorczy stosuje mechanizm spójności, o którym mowa w art. 63.

Przekazywanie danych na podstawie wyjątków w szczególnych sytuacjach określonych w art. 49 RODO Piotr Drobek Dyrektor Zespołu Analiz i Strategii UODO.

WYJĄTKI W SZCZEGÓLNYCH SYTUACJACH a) osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, z którymi ze względu na brak decyzji stwierdzającej odpowiedni stopień ochrony oraz na brak odpowiednich zabezpieczeń może się dla niej wiązać proponowane przekazanie, wyraźnie wyraziła na nie zgodę; b) przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą, a administratorem lub do wprowadzenia w życie środków przedumownych podejmowanych na żądanie osoby, której dane dotyczą; c) przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, których dane dotyczą, między administratorem a inną osobą fizyczną lub prawną; d) przekazanie jest niezbędne ze względu na ważne względy interesu publicznego;

WYJĄTKI W SZCZEGÓLNYCH SYTUACJACH e) przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń; f) przekazanie jest niezbędne do ochrony żywotnych interesów osoby, których dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody; lub g) przekazanie następuje z rejestru, który zgodnie z prawem Unii lub prawem państwa członkowskiego ma służyć za źródło informacji dla ogółu obywateli i który jest dostępny dla ogółu obywateli lub dla każdej osoby mogącej wykazać prawnie uzasadniony interes ale wyłącznie w zakresie, w jakim w danym przypadku spełnione zostały warunki takiego dostępu określone w prawie Unii lub w prawie państwa członkowskiego.

WYJĄTKI W SZCZEGÓLNYCH SYTUACJACH Jeżeli przekazanie nie może się opierać na art. 45 ani 46, w tym na przepisach dotyczących wiążących reguł korporacyjnych, i nie ma zastosowania żaden z wyjątków mających zastosowanie w szczególnych sytuacjach zgodnie z akapitem pierwszym niniejszego ustępu, przekazanie do państwa trzeciego lub organizacji międzynarodowej może nastąpić wyłącznie, gdy przekazanie: nie jest powtarzalne, dotyczy tylko ograniczonej liczby osób, których dane dotyczą, jest niezbędne ze względu na ważne prawnie uzasadnione interesy realizowane przez administratora, wobec których charakteru nadrzędnego nie mają interesy ani prawa i wolności osoby, której dane dotyczą a administrator ocenił wszystkie okoliczności przekazania danych i na podstawie tej oceny zapewnił odpowiednie zabezpieczenia w zakresie ochrony danych osobowych.

WYJĄTKI W SZCZEGÓLNYCH SYTUACJACH Administrator informuje organ nadzorczy o przekazaniu. Poza informacjami, o których mowa w art. 13 i 14, administrator podaje osobie, której dane dotyczą, także informacje o przekazaniu i o ważnych prawnie uzasadnionych interesach realizowanych przez niego.

. Podsumowanie szkolenia

Dziękuję za uwagę!

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres