Czym jest RODO/ GDPR?

Podobne dokumenty
Słowniczek pojęć. Nowa regulacja ma przyczynić się do tworzenia przestrzeni wolności, bezpieczeństwa

OGRANICZENIE PRZETWARZANIA:

Ochrona danych osobowych w organizacjach pozarządowych (od 25 maja 2018)

Szkolenie podstawowe z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 dla wolontariuszy świadczących pomoc na rzecz podopiecznych

Monitorowanie systemów IT

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

PRAWA PODMIOTÓW DANYCH - PROCEDURA

I. Podstawowe Definicje

inny podmiot, który przetwarza dane osobowe w imieniu administratora;

KLAUZULA INFORMACYJNA DLA KANDYDATÓW DO PRACY (REKRUTACJA) Data: r. Wersja 2

RODO w praktyce psychologicznej. adw. dr Maciej Bocheński Uniwersytet Jagielloński Krakowska Izba Adwokacka

Ograniczenia w wykorzystywaniu baz danych związane ze zautomatyzowanym przetwarzaniem danych oraz wykorzystaniem chmury obliczeniowej w świetle RODO

Nadzór nad przetwarzaniem danych osobowych zgodnie z RODO

POLITYKA PRYWATNOŚCI

3) ograniczenie przetwarzania oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;

POLITYKA OCHRONY DANYCH OSOBOWYCH

Polityka Ochrony Danych Osobowych. w Luxe Property S.C.

PORADNIK PRAWNY DOTYCZĄCY STOSOWANIA W APTECE PRZEPISÓW RODO

Opracowanie dotyczące zasad ochrony danych osobowych po zmianach wprowadzanych przez rozporządzenie RODO

Procedura realizacji praw osób fizycznych

POLITYKA PRYWATNOŚCI W SPÓŁCE MIASTO DZIECI SP. Z O.O. DLA KONTROLOWANYCH PRZEZ NIĄ: NIEPUBLICZNEJ SZKOŁY PODSTAWOWEJ SZKOŁY PRZYSZŁOŚCI ORAZ

Przemysław Bańko Dyrektor ds. Bezpieczeństwa Smart In

POLITYKA PRYWATNOŚCI I. INFORMACJE DOTYCZĄCE PRZETWARZANIA DANYCH OSOBOWYCH

inny podmiot, który przetwarza dane osobowe w imieniu administratora;

Magdalena Jacolik Mgr Prawa Europejskiego Aliant Krzyżowska Międzynarodowa Kancelaria Prawna

I. Postanowienia ogólne

Dane osobowe w stacji demontażu. Marcin Witaszek Polski Związek Przemysłu Motoryzacyjnego

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

POLITYKA OCHRONY DANYCH OSOBOWYCH. z dnia Postanowienia Ogólne

System wspomagania pracy Administratora Bezpieczeństwa Informacji Opis zmian w wersji

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Dworek Bielin Sp. z o.o.

Dane osobowe w hotelarstwie Czy RODO to rewolucja? Gdańsk 21 listopada

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Pakiet RODO MEDFOOD GROUP Sp. Z O.O.

RODO, czyli co się zmieni oraz do czego (i jak) trzeba się przygotować.

RODO. 1. Obowiązki administratora danych osobowych

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

Ochrona danych osobowych w kontekście RODO dla e-commerce i marketingu

Opracował Zatwierdził Opis nowelizacji

UMOWA O UDOSTĘPNIANIE DANYCH OSOBOWYCH. reprezentowanym przez Dyrektora [ ], zwanym dalej jako Przedszkole Nr ; a

RODO w spółkach jak przygotować się do nowych unijnych przepisów o ochronie danych

Polityka bezpieczeństwa danych

POLITYKA PRYWATNOŚCI

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH

RODO - wybrane informacje ogólne

Ochrona danych osobowych w biurach rachunkowych

KLAUZULA INFORMACYJNA DLA OSÓB Z KTÓRYMI ZAWARTO UMOWY CYWILNOPRAWNE (DOSTAWY, USŁUGI I ROBOTY BUDOWLANE) Data: r.

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Klauzula informacyjna Administratora Danych Osobowych dla Kandydatów na pracowników i zleceniobiorców

RODO w firmie transportowej RADCA PRAWNY PAWEŁ JUDEK

ECDL RODO Sylabus - wersja 1.0

Polityka ochrony danych osobowych

POLITYKA PRYWATNOŚCI

RODO W ORGANIZACJI- JAK PRAWIDŁOWO PRZYGOTOWAĆ SIĘ ORAZ UNIKNĄĆ KAR PIENIĘŻNYCH

poleca e-book Instrukcja RODO

POLITYKA PRYWATNOŚCI PREAMBUŁA

Procedura postępowania reklamacyjnego dotyczącego danych osobowych w SentiOne Sp. z o. o.

PRZETWARZANIE DANYCH PRZEZ ADMINISTRATORA

POLITYKA REALIZACJI PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ

UMOWA powierzenia przetwarzania danych osobowych, zwana dalej Umową

POLITYKA PRYWATNOŚCI -dotycząca danych osobowych osób odwiedzających sklepy objęte monitoringiem wizyjnym-

B. Wybrane zasady dotyczące przetwarzania danych (art. 5)

Pakiet RODO dla Komunalnej Energetyki Cieplnej "KOMEC" Sp. z o.o.

Oświadczenie o ochronie danych zgodnie z RODO

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

ZASADY POWIERZANIA DANYCH OSOBOWYCH FIRMY ELEKTROMONTAŻ RZESZÓW S.A. z dnia 25 maja 2018r.

Polityka prywatności serwisu internetowego

1. Co to jest RODO? 2. Ważne pojęcia zawarte w RODO

art. 13 ust. 1 3 rozporządzenia 2016/679 (RODO)

POLITYKA PRYWATNOŚCI HOTELU SZRENICOWY DWÓR

Szczegółowe uprawnienia osób w związku z przetwarzaniem danych osobowych w Ośrodku Pomocy Społecznej w Nisku

WPROWADZENIE DO RODO OGÓLNE UNIJNE ROZPORZĄDZENIE O OCHRONIE DANYCH. - Leszek Zając

RODO w Hodowli, czy nas dotyczy? Doradca Podatkowy Marek Rudy nr wpisu Wojciech Nowakowski

CZĘŚĆ I PODSTAWOWE INFORMACJE O RODO

Polityka prywatności spółki BERDA spółka z ograniczoną odpowiedzialnością spółka komandytowa z siedzibą w Płochocinie

POLITYKA PRZETWARZANIA DANYCH OSOBOWYCH W NOBLE FUNDS TOWARZYSTWIE FUNDUSZY INWESTYCYJNYCH S.A. (Polityka transparentności)

Ochrona Danych Osobowych wg RODO

Radom, 13 kwietnia 2018r.

Polityka Bezpieczeństwa Danych Osobowych

Ochrona danych osobowych w biurach rachunkowych

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

POLITYKA PRYWATNOŚCI

Załącznik nr 1 do Porozumienia. Umowa powierzenia przetwarzania danych osobowych. (dalej Umowa powierzenia),

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA PRYWATNOŚCI. 1. Podstawowe pojęcia: 2. Administrator danych osobowych:

DANE OSOBOWE W DZIAŁALNOŚCI SERWISÓW AGD. Łódź, 21 września 2018 roku

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Rola biura rachunkowego w nowym modelu ochrony danych osobowych

PROCEDURA REALIZACJI PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ VISUS II SP.Z O.O. W STARACHOWICACH

Umowa powierzenia przetwarzania danych osobowych,

Informacja o zmianach w przepisach o ochronie danych osobowych W jakim celu przesyłamy Państwu Informację?

INFORMACJA O OCHRONIE DANYCH OSOBOWYCH

ZASADY REALIZACJI PRAW OSÓB KTÓRYCH DANE DOTYCZĄ W URZĘDZIE MIEJSKIM W TARCZYNIE

POLITYKA OCHRONY PRYWATNOŚCI

Jak się ustrzec przed pozwami i uniknąć kar w następstwie wejścia w życie RODO?

Procedura realizacji praw osób fizycznych oraz postępowania w przypadku naruszeń bezpieczeństwa przetwarzanych danych Spis treści

POLITYKA OCHRONY DANYCH OSOBOWYCH VELVET CARE SP. Z O.O.

POLITYKA PRZETWARZANIE DANYCH OSOBOWYCH. W SPÓŁCE Zako Apartamenty s.c

Transkrypt:

Czym jest RODO/ GDPR? RODO To dokładnie Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Zostało ono przyjęte 27 kwietnia 2016 roku i będzie stosowane w Polsce od 25 maja 2018. W Polsce używana jest również nazwa GDPR od General Data Protection Regulation. Nowa regulacja ma przyczynić się do tworzenia przestrzeni wolności, bezpieczeństwa i sprawiedliwości oraz unii gospodarczej, do postępu społeczno-gospodarczego, do wzmacniania i konwergencji gospodarek na rynku wewnętrznym. 1

Słowniczek pojęć: DANE OSOBOWE: Informacje o osobie, której tożsamość można ustalić poprzez powołanie się na min. jeden ze szczególnych czynników, które ją określają. Jest to np. imię i nazwisko, numer identyfikacyjny, dane o lokalizacji czy identyfikator internetowy. ADMINISTRATOR: Podmiot (może to być m.in. osoba fizyczna, prawna, organ publiczny), który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. PODMIOT PRZETWARZAJĄCY: Podmiot (może to być m.in. osoba fizyczna, prawna, organ publiczny), który przetwarza dane osobowe w imieniu administratora. PRZETWARZANIE: Operacja lub zestaw operacji wykonywane na danych osobowych, np.: zbieranie, utrwalanie, modyfikowanie, rozpowszechnianie czy niszczenie. PROFILOWANIE: Dowolna forma zautomatyzowanego przetwarzania danych osobowych, polegająca na ich wykorzystaniu w celu oceny niektórych czynników osobowych osoby fizycznej np. oceny jej sytuacji materialnej. PSEUDONIMIZACJA: Przetworzenie danych osobowych tak, by nie dało się ich potem przypisać konkretnej osobie bez użycia dodatkowych informacji. ODBIORCA: Osoba fizyczna lub prawna, bądź inny podmiot, któremu ujawnia się dane osobowe, bez względu na to, czy jest stroną trzecią. STRONA TRZECIA: To osoba/podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które z upoważnienia administratora lub podmiotu przetwarzającego mogą przetwarzać dane osobowe. OGRANICZENIE PRZETWARZANIA: Polega na oznaczeniu przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania. RODO/GDPR 2

Słowniczek pojęć: ZGODA: Dobrowolne, konkretne, świadome i jednoznaczne okazanie woli. Dzięki temu osoba, do której dane należą, w formie oświadczenia lub innego wyraźnego potwierdzenia, pozwala na ich przetwarzanie. NARUSZENIE OCHRONY DANYCH OSOBOWYCH: Naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do przetwarzanych danych osobowych. DANE GENETYCZNE: Dane osobowe dotyczące cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby. DANE BIOMETRYCZNE: Dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, są to na przykład: wizerunek twarzy lub dane daktyloskopijne. DANE DOTYCZĄCE ZDROWIA: Dane osobowe o zdrowiu fizycznym lub psychicznym osoby. USŁUGA SPOŁECZEŃSTWA INFORMACYJNEGO: Jest to każda usługa normalnie świadczona za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług. ORGANIZACJA MIĘDZYNARODOWA: Organizacja i organy jej podlegające, działające na podstawie prawa międzynarodowego publicznego lub na podstawie umowy zawartej między min. dwoma państwami. TRANSGRANICZNE PRZETWARZANIE: Przetwarzanie danych osobowych odbywające się w Unii w ramach działalności jednostek posiadających siedziby w więcej niż w jednym państwie członkowskim lub przetwarzanie danych osobowych odbywające się w Unii w ramach działalności pojedynczej jednostki która posiada siedzibę w jednym państwie członkowskim, ale która ma możliwość wpłynąć na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim. ORGAN NADZORCZY/NADZORU: Niezależny organ publiczny ustanowiony przez państwo członkowskie, którego dotyczy przetwarzanie danych. 3

Przepisy ogólne: Przepisy ujęte w poruszanym rozporządzeniu dotyczą kwestii prawa ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych oraz swobodnego przepływu danych osobowych. Jako dane osobowe, w kontekście tego rozporządzenia należy rozumieć informacje o zidentyfikowanej bądź możliwej do zidentyfikowania osobie fizycznej. Jako osobę możliwą do zidentyfikowania należy z kolei rozumieć osobę, której tożsamość można ustalić poprzez powołanie się na min. jeden ze szczególnych czynników, które określają jej tożsamość. Są to w szczególności: imię i nazwisko, numer identyfikacyjny (np. PESEL) oraz dane o lokalizacji (np. adres zameldowania). Nowe przepisy będą miały zastosowanie w przypadku przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany, a poprzez ich przetwarzanie należy rozumieć m.in. zbieranie, utrwalanie, przechowywanie, modyfikowanie, pobieranie, rozpowszechnianie, udostępnianie, usuwanie czy niszczenie. Nowych przepisów nie będzie się stosować w przypadku przetwarzania danych osobowych w ramach działalności, która nie jest objęta zakresem prawa UE (np. działalność dotycząca bezpieczeństwa narodowego), przez właściwe organy do celów zapobiegania przestępczości oraz postępowań związanych ze ściganiem czynów zabronionych. Ponadto przepisy nie będą miały zastosowania w przypadku wykonywania czynności przez obywatela, mających charakter czysto osobisty lub domowy. Przepisy tego rozporządzenia mają zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną w UE przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego niezależnie jednak od tego, czy przetwarzanie odbywa się na terytorium Unii czy też nie. 4

Niezależne organy nadzorcze: W Polsce organem nadzorczym jest Generalny Inspektor Ochrony Danych Osobowych (GIODO). Ma on działać w sposób niezależny na terenie państwa, z wolnymi od wpływów i instrukcji wykwalifikowanymi członkami, zajmować się naruszeniami rozporządzenia i rozpatrywaniem skarg związanych z naruszeniami danych osobowych związanymi z państwem członkowskim UE, na terenie którego działa. Organy nadzoru mają za zadanie m.in. monitorować i egzekwować to rozporządzenie, udzielać właścicielom danych na żądanie informacji dot. przysługujących im praw. Mają też prawo do wglądu w pracę administratorów i podmiotów przetwarzających dane osobowe i w razie stwierdzenia naruszeń przepisów rozporządzenia mogą wszcząć odpowiednie postępowanie. ZASADY: Z rozporządzenia jasno wynika, że dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie, w sposób przejrzysty oraz muszą być zbierane w konkretnych celach. Przetwarzanie ich powinno odbywać się w sposób zapewniający ich bezpieczeństwo. Dane mają być przechowywane zwykle przez okres niezbędny do celów przetwarzania, w formie umożliwiającej identyfikację ich właściciela. Aby przetwarzanie danych było zgodne z prawem musi być ono realizowane za zgodą osoby, której dane dotyczą. Administrator musi być w stanie wykazać, że zgoda na przetwarzanie danych została wyrażona dobrowolnie, dlatego dobrze zachować taką formę wyrażenia, by mógł tego dokonać bez problemu. Zapytanie o zgodę na przetwarzanie musi być zrozumiałe i odróżniające się od innych kwestii. Zgodę można również wycofać w dowolnym momencie przetwarzania, a wycofanie musi być tak samo proste, jak jej wyrażenie. Aby przetwarzanie danych osobowych dziecka było zgodne z prawem, może ono mieć skończone 16 lat, by móc samodzielnie wyrazić zgodę na usługi społeczeństwa formacyjnego. Jeśli nie ukończyło ono 16 lat, zgodę na przetwarzanie jego danych musi wyrazić tylko i wyłącznie osoba, która sprawuje prawnie opiekę nad dzieckiem. Nie wolno przetwarzać danych osobowych, które ujawniają m.in. pochodzenie rasowe/etniczne, poglądy polityczne, przekonania religijne/światopoglądowe, przynależność do związków zawodowych. Są to też dane genetyczne, biometryczne, dotyczące zdrowia i kwestii związanych z seksualnością. Odstępstwa są możliwe pod warunkiem, że m.in.: została wyrażona wyraźna zgoda, przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora, są wdrożone odpowiednie zabezpieczenia, dane zostały upublicznione przez osobę, której dotyczą, istnieje ważny interes publiczny (w tym dot. zdrowia publicznego). 5

Prawa osoby, której dane dotyczą: PRAWO DOSTĘPU: Osoba, której dane dotyczą, ma prawo uzyskać potwierdzenie od administratora, czy jej dane są przetwarzane, ma prawo dostępu do swoich danych, może też uzyskać takie informacje jak: cele przetwarzania, kategorie przetwarzanych danych, informacje o odbiorcach, okres przechowywania danych, informacje o swoich prawach, informacje o zabezpieczeniach w przypadku przekazywania danych do kraju spoza UE lub organizacji międzynarodowej. PRAWO DO SPROSTOWANIA DANYCH: Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej nieprawidłowych danych osobowych oraz uzupełnienia niekompletnych danych osobowych. PRAWO DO USUNIĘCIA DANYCH: Osoba, której dane dotyczą, może zażądać od administratora natychmiastowego usunięcia jej danych osobowych. Administrator musi jak najszybciej spełnić to żądanie jeśli: dane osobowe nie są już niezbędne, została cofnięta zgoda na przetwarzanie danych, został wniesiony sprzeciw wobec przetwarzania, przetwarzanie było niezgodne z prawem. PRAWO DO OGRANICZENIA PRZETWARZANIA: Osoba, której dane dotyczą, ma prawo zażądać od administratora ograniczenia przetwarzania jeśli: kwestionuje prawidłowość danych osobowych lub przetwarzanie nie jest zgodne z prawem, ale właściciel danych nie zgadza się na usunięcie danych, a w zamian żąda ograniczenia ich wykorzystywania lub administrator nie potrzebuje już danych do celów przetwarzania, ale są one potrzebne osobie, by ustalić, dochodzić bądź bronić roszczeń. PRAWO DO PRZENOSZENIA DANYCH: Właściciel danych ma prawo je otrzymać w formacie pozwalającym na swobodny odczyt przez komputer. Może on przesłać dane bez przeszkód innemu administratorowi, jeśli przetwarzanie odbywa się na podstawie zgody, umowy lub w sposób zautomatyzowany. PRAWO DO SPRZECIWU: Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania jej danych osobowych. ZAUTOMATYZOWANE PODE- JMOWANIE DECYZJI: Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji opierającej się wyłącznie na zautomatyzowanym przetwarzaniu. OGRANICZENIA: Za pomocą przepisów prawa UE lub państw członkowskich można ograniczyć zakres praw i obowiązków związanych z prawami właściciela danych. Nie można przy tym naruszać podstawowych praw i wolności człowieka i ograniczenie to ma służyć m.in.: bezpieczeństwu narodowemu, publicznemu i obronie, ważnym celom związanym z interesem publicznym, ochronie niezależności sądów czy zapobieganiu przestępczości i zagrożeniom związanych z czynami zabronionymi. 6

Administrator i podmiot przetwarzający: OBOWIĄZKI ADMINISTRATORA: Podstawowym obowiązkiem jest wdrożenie odpowiednich środków technicznych i organizacyjnych, by przetwarzanie danych osobowych odbywało się zgodnie z przepisami prawa. Administrator wdraża również środki techniczne i organizacyjne zaprojektowane w celu skutecznej ochrony danych i sprawiające, by przetwarzane były tylko i wyłącznie dane osobowe niezbędne do osiągnięcia każdego konkretnego celu przetwarzania i nie były udostępniane osobom postronnym. Jeśli administrator nieposiadający siedziby w UE przetwarza dane osób przebywających w Unii, musi na piśmie wyznaczyć swojego przedstawiciela, który posiada siedzibę w państwie osób, których dane są przetwarzane. Każdy administrator (i jego przedstawiciel) prowadzi rejestr czynności przetwarzania danych osobowych, za które odpowiada i gdzie zamieszcza swoje dane, cele przetwarzania, opisy kategorii osób i danych oraz odbiorców, planowane terminy usunięcia poszczególnych kategorii danych czy opisy środków bezpieczeństwa. Do obowiązków administratora i podmiotu przetwarzającego należy wdrożenie środków zapewniających bezpieczeństwo odpowiadające ryzyku naruszenia praw i wolności właścicieli danych. Do środków takich należą m.in.: pseudonimizacja, szyfrowanie danych, zapewnienie poufności, integralności, dostępności oraz odporności systemów i usług przetwarzania czy zdolność do szybkiego przywrócenia dostępności i dostępu do danych w razie incydentu. Oceniając stopień bezpieczeństwa, trzeba wziąć pod uwagę każde ryzyko związane z przetwarzaniem danych. Jeśli dojdzie do naruszenia ochrony danych osobowych, wówczas administrator w terminie do 72 godzin po stwierdzeniu naruszenia zgłasza je organowi nadzoru. Jeśli do zgłoszenia dojdzie później, musi on dołączyć wyjaśnienie przyczyn opóźnienia. Jeśli dojdzie do naruszenia ochrony danych osobowych i może to powodować wysokie ryzyko naruszenia praw i wolności, wówczas administrator musi bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o takim naruszeniu. Zawiadomienie to w sposób prosty i jasny opisuje charakter naruszenia i zawiera m.in. dane kontaktowe do osoby, od której można uzyskać więcej informacji, opis możliwych konsekwencji i zastosowanych środków zaradczych. Zawiadomienia nie trzeba jednak dokonywać jeśli: 1) administrator wdrożył odpowiednie środki ochrony, które zostały zastosowane do naruszonych danych; 2) administrator zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności; 3) zawiadomienie wymagałoby nadmiernego wysiłku w takim wypadku zostaje publiczny komunikat, za pomocą którego osoby, których dane dotyczą, zostaną poinformowane w równie skuteczny sposób. 7

Administrator i podmiot przetwarzający: Inspektor ochrony danych i jego zadania: Inspektor ochrony danych jest wyznaczany przez administratora (i podmiot przetwarzający) zawsze wtedy, gdy przetwarzania dokonują podmioty publiczne lub gdy główna działalność polega na przetwarzaniu szczególnych danych oraz danych dotyczących wyroków i naruszeń prawa lub polega na przetwarzaniu wymagającym regularnego monitorowania właścicieli danych. Do zadań inspektora należy: informowanie administratora oraz pracowników przetwarzających dane osobowe o obowiązkach spoczywających na nich na mocy prawa i doradzanie im w tej sprawie, monitorowanie przestrzegania przepisów prawa o ochronie danych oraz polityk administratora w dziedzinie ochrony danych osobowych, współpraca z organem nadzoru i pełnienie funkcji punktu kontaktowego z nim, udzielanie na żądanie zaleceń co do oceny skutków przetwarzania i monitorowanie ich wykonania. 8

Środki ochrony prawnej, odpowiedzialność i sankcje: Każdy właściciel przetwarzanych danych ma prawo wnieść skargę do organu nadzorczego, jeśli podejrzewa przetwarzanie niezgodne z prawem. Organ nadzorczy ma obowiązek informować skarżącego o wszelkich postępach i efektach związanych z rozpatrywaną skargą. Na rozpatrzenie lub poinformowanie ma 3 miesiące od złożenia skargi. Po przekroczeniu tego okresu czekania, właściciel danych może dochodzić swoich praw przed sądem. Każdy ma prawo odwołać się od dotyczącej go decyzji wydanej przez organ nadzoru i wystąpić przeciwko niemu do sądu. Jeśli właściciel danych uzna, że prawa, jakie mu przysługują, zostały naruszone w wyniku przetwarzania jego danych osobowych, może również wnieść sprawę przeciwko administratorowi lub podmiotowi przetwarzającemu do sądu państwa UE, w którym administrator/podmiot przetwarzający posiada jednostkę organizacyjną, ew. do sądu państwa UE, w którym przebywa właściciel. Każdy administrator uczestniczący w procesie przetwarzania odpowiada za szkody spowodowane przetwarzaniem niezgodnym z prawem. Podmiot przetwarzający ponosi odpowiedzialność za szkody tylko i wyłącznie wtedy, jeśli nie dopełnił obowiązków nałożonych na niego przez przepisy lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom. Administrator i podmiot przetwarzający mogą zostać zwolnieni z odpowiedzialności, jeśli udowodnią, że nie ponoszą winy za szkodę. Organ nadzoru może nałożyć na administratora/organ przetwarzający odpowiednią, proporcjonalną do naruszenia administracyjną karę pieniężną. Jeśli przepisy prawa nie przewidują takich kar, wówczas organ nadzoru wnosi do sądu o nałożenie kary pieniężnej. W rozporządzeniu wskazano, że sankcje mogą wynieść do 20 000 000 euro lub do 4 proc. całkowitego światowego przychodu firmy za rok poprzedni. W przypadku poniesienia szkody w wyniku naruszenia przepisów rozporządzenia o przetwarzaniu danych osobowych, poszkodowany ma prawo uzyskać od administratora/podmiotu przetwarzającego odszkodowanie w związku z jej poniesieniem. Potrzebujesz więcej infomacji? Skontaktuj się z nami www.onwelo.pl 9

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres