Ustawa o ochronie danych

osobowych

Zasady ochrony danych

osobowych – stan aktualny i

perspektywy RODO

Monika Krasińska

Dyrektor Departamentu Orzecznictwa

Legislacji i Skarg

Ustawa o ochronie danych

osobowych

Przedmiot prezentacji

• organ ochrony danych osobowych – nowe uprawnienia po

1.01.2015r.

• kontrola zasad ogólnych w procesie identyfikacji zagrożeń
• przesłanki przetwarzania danych - obowiązki

administratorów

• prawa osób, których dane dotyczą
• powierzenie przetwarzania
• obowiązek zabezpieczenia danych przed i po nowelizacji
• obowiązek rejestracji zbioru danych – zmiana jakościowa

procesu notyfikacji

• zmiany w prawie krajowym i europejskim w zakresie

ochrony prywatności i danych osobowych

• odpowiedzialność karna

Ustawa o ochronie danych

osobowych

Organ ochrony danych

osobowych

•

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tj. z 2016 r. poz. 922)

•

Ustawa z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej
(Dz. U. z 2014 r. poz. 1662)

•

Konstytucja RP – art. 47 i 51

•

GIODO – atrybuty (art. 8)

•

zadania (art. 12)

•

prawa kontrolne (art. 14, 16)

•

decyzje administracyjne (art. 18, art. 21-22),
wnioski o wszczęcie post. dyscyplinarnego (art. 17),

•

zawiadomienie o popełnieniu przestępstwa (art. 19)

•

sygnalizacja (art. 12)

•

ogólnokrajowy, jawny rejestr zbiorów danych osobowych (art. 42)

•

prowadzenie rejestru administratorów bezpieczeństwa informacji (ABI) a także
udzielanie informacji o zarejestrowanych ABI (po 1 stycznia 2015 r.)

•

wystąpienia (art. 19a)

•

wystąpienie GIODO do ABI o dokonanie sprawdzenia, o którym mowa w art. 36a ust. 2
pkt 1 lit a

•

egzekucja administracyjna

Ustawa o ochronie danych

osobowych

Naczelne zasady ochrony

prywatności

• Art.16 Traktatu o Funkcjonowaniu UE

• Art. 47 i 51 Konstytucji RP

• Prawo a praktyka – charakter obrotu

danymi na podstawie umów,
porozumień, wytycznych, instrukcji,
itp.

Ustawa o ochronie danych

osobowych

Prawo ochrony danych a

przepisy branżowe

• Relacja pozioma – ado – ado
• Relacja pionowa - ado – procesor
• Zlecenie kompetencji a udostępnienie

danych

• Wyłączenie ustawy a przepisy

branżowe- art. 5, art. 18 ust. 3

• Wyłączenie ustawy a brak kompetencji

kontrolnych GIODO – art. 43 ust. 2

Ustawa o ochronie danych

osobowych

Zasady ogólne

• identyfikacja administratora danych

• identyfikacja zakresu przedmiotowego i podmiotowego ustawy

• identyfikacja danych osobowych w zasobach administratora danych

• identyfikacja zbiorów danych:

- zawierających dane zwykłe

- zawierających dane wrażliwe

- w modelu mieszanym

• identyfikacja procesów przetwarzania

• identyfikacja odbiorców danych

• identyfikacja wszystkich osób uczestniczących w procesie

przetwarzania w sposób bezpośredni i pośredni

• identyfikacja systemu (ów) informatycznego – urządzeń, programów,

procedur i narzędzi programowych służących do przetwarzania

danych

Ustawa o ochronie danych

osobowych

Zasady przetwarzania danych

osobowych zwykłych

• przesłanki legalizujące przetwarzanie danych osobowych zwykłych (art. 23

ust. 1)

– zgoda osoby, której dane dotyczą (pkt 1)
 inwentaryzacja formularzy papierowych i elektronicznych za pomocą których

pozyskiwana jest zgoda

 weryfikacja potrzeby pozyskiwania zgody
 skutki pozyskania zgody

 warunki pozyskania i odwołania zgody

•

Zgoda na udostępnienie danych o stanie zdrowia – treść i skutki niezachowania

•

Upoważnienie do dostępu do dokumentacji medycznej – za życia i po śmierci pacjenta

- uprawnienie / obowiązek wynikający z przepisu prawa (pkt 2)
– umowa (pkt 3)
– określone prawem zadania realizowane dla dobra publicznego
– prawnie usprawiedliwiony cel administratora albo odbiorcy danych (pkt 5)
. marketing usług własnych
. dochodzenie roszczeń (warunki sprzedaży wierzytelności i ich upubliczniania)

Ustawa o ochronie danych

osobowych

Zasady przetwarzania danych

osobowych danych szczególnie

chronionych

• przesłanki legalizujące przetwarzanie danych osobowych

szczególnie chronionych (art. 27 ust. 2)

–

zgoda osoby, której dane dotyczą (forma pisemna),

–

przepisy szczególne ustawy zezwalające na przetwarzanie danych bez zgody osoby, której
dane dotyczą, i stwarzające pełne gwarancje ich ochrony,

–

dla ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba,
której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu
ustanowienia opiekuna prawnego lub kuratora,

–

dla wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i
innych osób, a zakres przetwarzanych danych jest określony w ustawie

. zasady pozyskiwania i zarządzania danymi osobowymi rekrutantów i pracowników
. elektroniczny nadzór pracodawców – warunki i ograniczenia
. udostępnianie danych kadrowych
–

gdy dane zostały podane do wiadomości publicznej przez osobę, której dotyczą,

–

dla prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do
uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników
badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których
dane zostały przetworzone,

–

dla celu realizacji praw i obowiązków wynikających
z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym

Ustawa o ochronie danych

osobowych

Zasady przetwarzania

danych osobowych -

obowiązki administratora

• zasada przetwarzania danych zgodnie z prawem

(art. 26 ust. 1 pkt 1) – kształtowanie zasady legalizmu pozyskiwania

i udostępniania danych osobowych w systemach informatycznych

• zasada celowości (art. 26 ust. 1 pkt 2) - wyjątki

(art. 26 ust. 2)

• zasada merytorycznej poprawności i adekwatności danych (art. 26

ust. 1 pkt 3) –

kopiowanie i skanowanie dokumentacji

• niedopuszczalność ostatecznego rozstrzygnięcia indywidualnej

sprawy podmiotu danych, jeżeli jego treść jest wyłącznie wynikiem

operacji na danych osobowych prowadzonych wyłącznie w systemie

informatycznym/ chyba że rozstrzygnięcie zapada podczas zawarcia

lub wykonania umowy i uwzględnia wniosek osoby, której dane

dotyczą – art. 26a ust.1

Ustawa o ochronie danych

osobowych

Zasady ogólne

- obowiązki administratora a prawa

osób, których dane dotyczą

• prawo do informacji

(art. 24 i 25)

– minimum

informacji, jakie
administrator
powinien przekazać
osobie, której dane
dotyczą, po
zebraniu
i utrwaleniu jej
danych

• prawo do kontroli

przetwarzania danych
(art. 32 i 33)

– zakres informacji,

jakie administrator
jest obowiązany
przekazać osobie,
której dane
dotyczą, na żądanie
tej osoby

Ustawa o ochronie danych

osobowych

Prawo osoby, której dane

dotyczą - prawo do

informacji

•

adres siedziby i nazwa administratora (art. 24, 25)

•

cel i zakres zbierania danych (art. 24, 25)

•

dostęp do treści oraz prawo poprawiania danych
(art. 24, 25)

•

dobrowolność / obowiązek podania danych osobowych (art. 24)

•

źródło danych (art. 25)

•

uprawnienia z art. 32 ust. 1 pkt 7 i 8 (art. 25)

Zwolnienia:

•

przepis innej ustawy pozwala na przetwarzanie danych bez ujawniania faktycznego celu
ich zbierania (bez wiedzy osoby)- (art. 24, 25)

•

osoba, której dane dotyczą, posiada informacje wymienione w tych przepisach (art. 24,
25)

•

badania naukowe, historyczne, statystyczne, opinii publicznej, o ile przetwarzanie

danych nie narusza praw i wolności osoby badanej a spełnienie obowiązku wymagałoby

nadmiernych nakładów lub zagrażałoby realizacji celu badania (art. 25)

•

przetwarzanie na podstawie przepisów prawa przez organy państwowe, samorządu

terytorialnego, państwowe i komunalne jednostki organizacyjne, podmioty niepubliczne

realizujące zadania publiczne (art. 25)

Ustawa o ochronie danych

osobowych

Prawa osób, których dane

dotyczą - kontrola

przetwarzania danych

• inicjatywa (wniosek) osoby, której dane dotyczą

(art.33)

• forma – pisemna
• termin 30 dni
• obowiązek poinformowania o przysługujących prawach

w zakresie określonym art.32 ust. 1 pkt 1-5a

• okres realizacji prawa – raz na pół roku
• prawo do informacji w przypadku powierzenia

Ustawa o ochronie danych

osobowych

Prawa osób, których dane

dotyczą - zakres uprawnień

kontrolnych

• istnienie zbioru (art. 32)
• ustalenie administratora (art. 32)
• cel, zakres i sposób przetwarzania danych (art. 32 i 33)
• od kiedy dane są przetwarzane (art. 32)
• treść danych - jakie dane zawiera zbiór (art. 32 i 33)
• źródło i sposób pozyskania danych (art. 32 i 33)
• prawo do uzupełnienia, uaktualnienia, sprostowania danych (art. 32)
• czasowe / stałe wstrzymanie przetwarzania danych; usunięcie danych (art.

32)

• żądanie zaprzestania przetwarzania danych ze względu na szczególną

sytuację osoby wnoszącej żądanie (art. 32 ust. 1 pkt 7)

• wniesienie sprzeciwu wobec przetwarzania danych

w celach marketingowych, przekazywania tych danych innemu
administratorowi (art. 32 ust. 1 pkt 8)

Ustawa o ochronie danych

osobowych

Ograniczenia prawa

kontroli

• Ograniczenia wynikające z ustawy (art. 34):

– wiadomości zawierające informacje niejawne
– obronność / bezpieczeństwo państwa
– życie lub zdrowia ludzi
– bezpieczeństwo i porządek publiczny
– podstawowy interes gospodarczy lub finansowy

państwa

– istotne naruszenie dóbr osobistych podmiotu danych

lub innych osób

• Ograniczenia wynikające z innych przepisów prawa
• Ograniczenia wynikające z nieistnienia zbioru (art. 32

ust. 1)

Ustawa o ochronie danych

osobowych

Powierzenie danych przed i po

nowelizacji

• Powierzenie umowne – warunki i konsekwencje

• Forma – pisemna (art.31 ust.1)
• Strony umowy – administrator danych i inny podmiot
• Treść umowy – określenie zakresu i celu przetwarzania
• Obowiązek podjęcia przez podmiot, któremu dane powierzono, środków

zabezpieczających zbiór danych, przed rozpoczęciem przetwarzania

(art.31 ust.2)

• Odpowiedzialność solidarna stron umowy za jej niewykonanie
• Podpowierzanie za zgodą administratora jako element umowy?
• Przetwarzanie danych w tzw. chmurze – zagrożenia i wyzwania
• Kontrola wykonywania umowy powierzenia przez ado i ABI – treść

kontroli, zasady i sposoby realizacji jej realizacji przed i w trakcie

wykonywania umowy

• Umowa powierzenia na rzecz podmiotów znajdujących się w UE, EOG i w

krajach trzecich

• Powierzenie ustawowe po 1 kwietnia 2016 r. (zmiany wprowadzone tzw.

ustawą 500plus)

Ustawa o ochronie danych

osobowych

Obowiązki administratora -

zabezpieczenie danych w

środowisku kontroli ADO i ABI

• zastosowanie środków technicznych i

organizacyjnych zapewniające ochronę danych

odpowiednią do zagrożeń oraz kategorii danych

objętych ochroną, w szczególności przed

udostępnieniem danych osobom

nieupoważnionym (art. 36)

• prowadzenie dokumentacji przetwarzania danych

• wyznaczenie administratora bezpieczeństwa

informacji (art. 36 a)

Ustawa o ochronie danych

osobowych

Pozycja ABI po nowelizacji

• Charakterystyka ABI przed 1 stycznia 2015 r. – dowolność rozwiązań

przyjętych przez ado - (art. 36 ust. 3 i art. 18 Dyrektywy 95/46/WE)

• Status ABI po 1 stycznia 2015 r.
- ustawowe warunki funkcjonowania w strukturach ado – (art. 36a)
- atrybuty ABI:
> bezpośrednia podległość kierownikowi jednostki lub osobie fizycznej

(art. 36a ust. 7)

> organizacyjna odrębność, zapewnienie środków dla niezależnego

funkcjonowania (art. 36a ust. 8)

> możliwość powołania zastępców
> charakter pracy zastępców – ich prawa i obowiązki
- warunki powierzenia innych obowiązków przez ado (art. 36a ust. 4)
- charakter aktu powołania i odwołania ABI

Ustawa o ochronie danych

osobowych

Pozycja ABI po nowelizacji

• Warunki powołania ABI (art. 36a ust. 5)
- pełna zdolność do czynności prawnych orz korzystanie z pełni praw

publicznych

- posiadanie odpowiedniej wiedzy w zakresie ochrony danych
- niekaralność za przestępstwo umyślne
• Odwołanie ABI – przesłanki materialne i formalne
• Status ABI powołanych przed 1 stycznia 2015 r. w warunkach

noweli (art. 35 ustawy o swobodzie wykonywania działalności
gospodarczej)

„Administrator bezpieczeństwa informacji wyznaczony na podstawie art. 36 ust. 3

ustawy zmienianej w art. 9, w brzmieniu dotychczasowym, pełni funkcje
administratora bezpieczeństwa informacji w rozumieniu art. 36a ust. 1 ustawy
zmienianej w art. 9, w brzmieniu nadanym niniejszą ustawą, do czasu zgłoszenia go
do rejestru, o którym mowa w art. 46c ustawy zmienianej w art. 9, w brzmieniu
nadanym niniejszą ustawą, nie dłużej jednak niż do dnia 30 czerwca 2015 r.”

Ustawa o ochronie danych

osobowych

Zadania ABI po nowelizacji

Zadania ABI -
1. Zapewnienie przestrzegania przepisów o ochronie danych

osobowych, w szczególności przez:

a) sprawdzanie zgodności przetwarzania danych osobowych z

przepisami o ochronie danych osobowych

b) opracowanie w ww. zakresie sprawozdania dla administratora

danych

c) nadzorowanie opracowania i aktualizowania dokumentacji

przetwarzania danych (polityki bezpieczeństwa i instrukcji
zarządzania systemem informatycznym) oraz przestrzegania zasad w
niej określonych

d) zapewnienie zapoznania osób upoważnionych do przetwarzania

danych z przepisami o ochronie danych

2. Prowadzenie rejestru zbiorów danych przetwarzanych przez

administratora danych

Ustawa o ochronie danych

osobowych

Obowiązki administratora -

zabezpieczenie danych cd.

• nadanie upoważnień do przetwarzania danych

osobowych (art. 37)

• prowadzenie ewidencji osób upoważnionych do

przetwarzania danych

(art. 39)

• zakres ewidencji:

1) imię i nazwisko osoby upoważnionej,

2) datę nadania i ustania oraz zakres upoważnienia

do przetwarzania danych osobowych,

3) identyfikator, jeżeli dane są przetwarzane w

systemie informatycznym

• zapewnienie kontroli nad tym, jakie dane osobowe,

kiedy i przez kogo zostały do zbioru wprowadzone

oraz komu są przekazywane.

Ustawa o ochronie danych

osobowych

Bezpieczeństwo danych

Ustawa o ochronie danych

osobowych

Bezpieczeństwo danych

Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia
2004 r.
w sprawie dokumentacji przetwarzania danych osobowych oraz warunków
technicznych
i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne
służące do przetwarzania danych osobowych (Dz. U. z 2004. Nr100, poz.1024)

Główne obszary regulacji

• sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania
danych osobowych oraz środki techniczne organizacyjne zapewniające ochronę

przetwarzania danych osobowych odpowiednia do zagrożeń oraz kategorii

danych objętych ochroną;
• podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać

urządzenia i systemy informatyczne służące do przetwarzania danych

osobowych;
• wymagania w zakresie odnotowania udostępniania danych osobowych i
bezpieczeństwa przetwarzania danych osobowych

Ustawa o ochronie danych

osobowych

Zmiany prawa europejskiego i

krajowego

25 maja 2018 r. – data wejścia w życie!!

1. Najważniejsze zmiany w zakresie definicji i zakresu obowiązywania europejskich

przepisów o ochronie danych osobowych – nowe definicje danych

2. Przesłanki przetwarzania danych osobowych wrażliwych dziś i w świetle

Rozporządzenia

3. Profilowanie podmiotów danych – wyzwania w kontekście nowelizacji

obowiązujących przepisów

4. Nowe instrumenty oddziaływania i kontroli GIODO
5. Obowiązek informacyjny – konieczność przekształcenia klauzul informacyjnych
6. Treść prawa do bycia zapomnianym – prawa do przeniesienia danych – prawa do

ograniczenia przetwarzania

7. Notyfikacja zbiorów dziś a w przyszłości – identyfikacja procesów przetwarzania
8. Autokontrola administratora danych osobowych – mechanizmy weryfikacji

bezpieczeństwa danych

Ustawa o ochronie danych

osobowych

Zmiany prawa

europejskiego i krajowego

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z

dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w
związku z przetwarzaniem danych osobowych i w sprawie
swobodnego przepływu takich danych oraz uchylenia dyrektywy
95/46/WE (ogólne rozporządzenie o ochronie danych) – L. 119/1
(RODO)

Państwa członkowskie powinny mieć możliwość zachowania

lub

wprowadzenie

przepisów

szczególnych

dostosowujących stosowanie przepisów niniejszego
rozporządzenia (MOTYW 19)

Ustawa o ochronie danych

osobowych

Nowe obowiązki ado w

RODO

Szereg obowiązków zachowuje swoją aktualność- konieczność

zachowania zasad: legalizmu, adekwatności, proporcjonalności,
celowości, okresowości przechowywania, prawidłowości i
aktualności danych

Zasada legalizmu:
- Kwestia zgody jako podstawy prawnej przetwarzania danych

osobowych

- Zastosowanie przesłanki prawnie uzasadnionych interesów

administratora w przypadku organów publicznych realizujących
zadania publiczne

Konieczność przeglądu dotychczasowych regulacji prawnych pod

kątem ustalenia ról podmiotów uczestniczących w procesie
przetwarzania danych i stworzenia podwalin dla legalnego
przetwarzania danych zwykłych i wrażliwych

Ustawa o ochronie danych

osobowych

Nowe obowiązki ado w

RODO

• obowiązek uwzględniania ochrony danych osobowych w fazie projektowania
• obowiązek wprowadzenia domyślnej ochrony danych
• obowiązek dokonywania oceny skutków planowanych operacji przetwarzania danych
• obowiązek rejestrowania czynności przetwarzania danych
• obowiązek współpracy z organem nadzorczym
• obowiązek zgłaszania naruszenia ochrony danych osobowych
• konsultowanie rozpoczęcia przetwarzania danych osobowych z organem nadzorczym
• obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych w oparciu o

analizę ryzyka

Obowiązki wobec podmiotów danych:
-

Obowiązek przejrzystego informowania oraz komunikowania – rozbudowana procedura
(termin miesięczny z możliwością przedłużenia do dwóch miesięcy wraz z
poinformowaniem o przyczynach opóźnienia)

-

Poszerzony zakres przekazywanych informacji (np. planowany okres przechowywania
danych lub kryteria jego ustalania, informacja o profilowaniu, o prawie wniesienia skargi
do organu nadzorczego, o inspektorze ochrony danych)

-

Umożliwienie realizacji rozbudowanych uprawnień podmiotów danych (np. prawa do
przeniesienia danych, czy ograniczenia przetwarzania)

Ustawa o ochronie danych

osobowych

Nowe obowiązki ado w

RODO

• Obowiązek zgłoszenia zbioru danych do rejestracji – definicja

zbioru danych

• Odstępstwa od obowiązku zgłoszenia zbioru danych do rejestracji
- w przypadku zbiorów, o których mowa w art. 43 ust. 1 ustawy
- w sytuacji powołania ABI (od 1 stycznia 2015 r.)
• Obowiązek zgłoszenia do organu ochrony danych osobowych

zbiorów z danymi wrażliwymi

• Przykłady zbiorów zgłaszanych w sposób nieprawidłowy

w RODO - obowiązek rejestrowania czynności przetwarzania
- Identyfikacja procesów przetwarzania
- Identyfikacja zbiorów danych
- Identyfikacja ryzyk przetwarzania

Ustawa o ochronie danych

osobowych

Odpowiedzialność

Art. 82 RODO – prawo osoby do odszkodowania

Administracyjne kary finansowe – do 20 mln EURO a

w przypadku przedsiębiorstwa do 4% jego
całkowitego rocznego światowego obrotu z
poprzedniego roku obrotowego!! (art. 83 RODO)

Odpowiedzialność administracyjno-finansowa
Odpowiedzialność cywilna
Odpowiedzialność karna
Odpowiedzialność dyscyplinarna

Ustawa o ochronie danych

osobowych

Przepisy karne - aktualnie

• przetwarzanie w zbiorze danych, choć ich przetwarzanie nie jest

dopuszczalne albo bez uprawnienia (art. 49)

• udostępnienie danych lub umożliwienie dostępu do nich osobom

nieupoważnionym przez administrującego zbiorem lub będącego
obowiązanym do ochrony danych (art. 51)

• naruszenie przez administrującego danymi choćby nieumyślnie

obowiązku zabezpieczenia danych przed zabraniem przez osobę
nieuprawnioną, uszkodzeniem lub zniszczeniem (art. 52)

• niezgłaszenie do rejestracji zbioru danych (art. 53)
• niedopełnienie przez administrującego zbiorem obowiązku

poinformowania osoby, której dane dotyczą, o jej prawach lub
przekazania tej osobie informacji umożliwiających korzystanie z
praw przyznanych jej w niniejszej ustawie (art. 54)

• utrudnianie lub udaremnianie wykonywania czynności kontrolnych

(art. 54a)

Ustawa o ochronie danych

osobowych

Dziękuję Państwu za uwagę