RODO - istota i praktyka ochrony danych osobowych

Krzysztof Sługocki
501 091 995
k.slugocki@egocki.pl
sites.google.com/view/rodo2018
facebook.com/rodo2018
linkedin.com/in/egocki

• Czy dane osobowe trzeba chronić?
•Tak
•Nie
•Nie wiem
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 4

• Does personal data need to be protected?
•Yes
•No
•I do not know

• ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE)
• 2016/679
• z dnia 27 kwietnia 2016 roku
• w sprawie ochrony osób fizycznych
• w związku z przetwarzaniem danych osobowych
• i w sprawie swobodnego przepływu takich danych
• oraz uchylenia dyrektywy 95/46/WE
• (ogólne rozporządzenie o ochronie danych)

• REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND
OF THE COUNCIL
• of 27 April 2016
• on the protection of natural persons
• with regard to the processing of personal data
• and on the free movement of such data,
• and repealing Directive 95/46/EC
• (General Data Protection Regulation)

• Ochrona osób fizycznych w związku z przetwarzaniem
danych osobowych jest jednym z praw podstawowych.
• Art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej (zwanej
dalej „Kartą praw podstawowych”) oraz art. 16 ust. 1 Traktatu
o funkcjonowaniu Unii Europejskiej (TFUE) stanowią, że
• każda osoba ma prawo do ochrony
danych osobowych jej dotyczących.

• The protection of natural persons in relation to the
processing of personal data is a fundamental right.
• Article 8(1) of the Charter of Fundamental Rights of the
European Union (the ‘Charter’) and Article 16(1) of the Treaty
on the Functioning of the European Union (TFEU) provide that
• everyone has the right to the
protection of personal data
concerning him or her.

• Tak,
•dane osobowe
•trzeba
•chronić.

• Yes,
•personal data
•must be
•protected.

• Dane osobowe? – czyli co?
• Chronić? – czyli co robić?
• …a może raczej czego nie robić?
• …no nie, żeby wyszło na to, że się chroni, to chyba jednak
trzeba coś robić? No, ale co i jak?
• …i o tym jest to RODO?

• Personal data? – so, what?
• Protect? – so, what to do?
• …or rather, what not to do?
• … well, to be said to be protected, it's probably something
to do? Well, what and how?
• …and this is GDPR?

•…czyli co to znaczy
„chronić dane osobowe”?
• …to istota pojmowania tego prawa…
• …no i jak dowieść, że się
„chroni dane osobowe”?
• …to praktyka stosowania tego prawa…

• …What does it mean
"personal data to protect"?
• ...this is the essence of understanding this law...
• …and how to prove that
"personal data is protected"?
• …this is the practice of applying this law...

Wejście w życie i stosowanie
• 1. Niniejsze rozporządzenie wchodzi w życie dwudziestego
dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej.
• 2. Niniejsze rozporządzenie
• ma zastosowanie od dnia 25 maja 2018 r.
• Niniejsze rozporządzenie wiąże w całości
i jest bezpośrednio stosowane we wszystkich
państwach członkowskich.
• Sporządzono w Brukseli dnia 27 kwietnia 2016 r.

Entry into force and application
• 1. This Regulation shall enter into force on the
twentieth day following that of its publication in the
Official Journal of the European Union.
• 2. It shall apply from 25 May 2018.
• This Regulation shall be binding in its entirety
and directly applicable in all Member States.
• Done at Brussels, 27 April 2016.

Artykuł 5
• Zasady dotyczące przetwarzania danych osobowych
• 2. Administrator jest odpowiedzialny
za przestrzeganie przepisów ust. 1
•i musi być w stanie wykazać ich
przestrzeganie („rozliczalność”).

Article 5
• Principles relating to processing of personal data
• 2. The controller shall be responsible for,
• and be able to demonstrate compliance with,
• paragraph 1 (‘accountability’).

istota
• …co to znaczy „chronić dane osobowe”?
• Administrator jest odpowiedzialny za
przestrzeganie przepisów ust. 1 (Art. 5)
praktyka
• …jak dowieść, że się „chroni dane osobowe”?
• i musi być w stanie wykazać ich
przestrzeganie („rozliczalność”). (Art. 6?)

the essence
• …What does it mean "personal data to protect"?
• The controller shall be responsible for
paragraph 1 (Art. 5)
the practice
• how to prove that "personal data is protected"?
• and be able to demonstrate compliance with,
paragraph 1 (‘accountability’). (Art. 6?)

ARTYKUŁ 5 ZASADY DOTYCZĄCE
PRZETWARZANIA DANYCH OSOBOWYCH
1. Dane osobowe muszą być:
a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której
dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane
dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w
interesie publicznym, do celów badań naukowych lub historycznych lub do celów
statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi
celami („ograniczenie celu”);
c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są
przetwarzane („minimalizacja danych”);
d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne
działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania,
zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą,
przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są
przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one
przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań
naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z
zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne
wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób,
których dane dotyczą („ograniczenie przechowywania”);
f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych
osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem
przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą
odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
ARTYKUŁ 6 ZGODNOŚĆ PRZETWARZANIA
Z PRAWEM
1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim
zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych
osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której
dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed
zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na
administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane
dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie
publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych
interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem
sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub
podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych
osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
12
3
4

ARTICLE 5 PRINCIPLES RELATINGTO
PROCESSING OF PERSONAL DATA
1. Personal data shall be:
(a) processed lawfully, fairly and in a transparent manner in relation to the data subject
(‘lawfulness, fairness and transparency’);
(b) collected for specified, explicit and legitimate purposes and not further processed in a
manner that is incompatible with those purposes; further processing for archiving
purposes in the public interest, scientific or historical research purposes or statistical
purposes shall, in accordance with Article 89(1), not be considered to be incompatible
with the initial purposes (‘purpose limitation’);
(c) adequate, relevant and limited to what is necessary in relation to the purposes for
which they are processed (‘data minimisation’);
(d) accurate and, where necessary, kept up to date; every reasonable step must be taken
to ensure that personal data that are inaccurate, having regard to the purposes for which
they are processed, are erased or rectified without delay (‘accuracy’);
(e) kept in a form which permits identification of data subjects for no longer than is
necessary for the purposes for which the personal data are processed; personal data may
be stored for longer periods insofar as the personal data will be processed solely for
archiving purposes in the public interest, scientific or historical research purposes or
statistical purposes in accordance with Article 89(1) subject to implementation of the
appropriate technical and organisational measures required by this Regulation in order to
safeguard the rights and freedoms of the data subject (‘storage limitation’);
(f) processed in a manner that ensures appropriate security of the personal data,
including protection against unauthorised or unlawful processing and against accidental
loss, destruction or damage, using appropriate technical or organisational measures
(‘integrity and confidentiality’).
ARTICLE 6 LAWFULNESS OF PROCESSING
1. Processing shall be lawful only if and to the extent that at least one of the following
applies:
(a) the data subject has given consent to the processing of his or her personal data for
one or more specific purposes;
(b) processing is necessary for the performance of a contract to which the data subject is
party or in order to take steps at the request of the data subject prior to entering into a
contract;
(c) processing is necessary for compliance with a legal obligation to which the controller
is subject;
(d) processing is necessary in order to protect the vital interests of the data subject or of
another natural person;
(e) processing is necessary for the performance of a task carried out in the public interest
or in the exercise of official authority vested in the controller;
(f) processing is necessary for the purposes of the legitimate interests pursued by the
controller or by a third party, except where such interests are overridden by the interests
or fundamental rights and freedoms of the data subject which require protection of
personal data, in particular where the data subject is a child.
12
3
4

Materialny zakres stosowania
• 1. Niniejsze rozporządzenie ma zastosowanie do
• przetwarzania
• danych osobowych
• w sposób całkowicie lub częściowo zautomatyzowany
• oraz do
• przetwarzania w sposób inny niż zautomatyzowany
• danych osobowych
• stanowiących część zbioru danych lub mających stanowić
część zbioru danych.
zautomatyzowana
czynność przetwarzania
inna niż zautomatyzowana
czynność przetwarzania
zbiór danych

Material scope
1. This Regulation applies to
• the processing
• of personal data
• wholly or partly by automated means
• and to
• the processing other than by automated means
• of personal data
• which form part of a filing system or are intended to form
part of a filing system.
automated
processing activities
other than by automated
processing activities
filing system

Aby zapobiec poważnemu ryzyku obchodzenia prawa,
• ochrona osób fizycznych powinna być neutralna pod względem
technicznym i nie powinna zależeć od stosowanych technik.
Ochrona osób fizycznych powinna mieć zastosowanie do
• zautomatyzowanego przetwarzania danych osobowych
• oraz do przetwarzania ręcznego,
• jeżeli dane osobowe znajdują się lub mają się znaleźć w zbiorze danych.
Zbiory lub zestawy zbiorów oraz ich strony
tytułowe, które nie są uporządkowane według
określonych kryteriów nie powinny być objęte
zakresem niniejszego rozporządzenia.

In order to prevent creating a serious risk of circumvention,
• the protection of natural persons should be technologically
neutral and should not depend on the techniques used.
The protection of natural persons should apply to
• the processing of personal data by automated means,
• as well as to manual processing,
• if the personal data are contained or are intended to be contained
in a filing system.
Files or sets of files, as well as their cover pages, which
are not structured according to specific criteria should
not fall within the scope of this Regulation.

• Czy masz do czynienia z danymi osobowymi?
• Czy masz do czynienia z przetwarzaniem danych
osobowych? (czy masz do czynienia z
zautomatyzowaną czynnością przetwarzania?)
osobowych w zbiorze (ze zbioru, poprzez zbiór, do
zbioru,…) danych osobowych? (czy masz do czynienia z
inną niż zautomatyzowaną czynnością przetwarzania?)
tak
tak
tak

• Do you deal with personal data?
• Do you deal with the processing of personal data? (are
you dealing with an automated processing operation?)
• Do you deal with the processing of personal data in
the filing system (from the filing system, through the
filing system, to the filing system, ...) of personal
data? (are you dealing with a non-automated
processing operation?)
yes
yes
yes

•…że jesteś świadom
czynności przetwarzania,
z którą masz do czynienia.

•…that you are aware of
the processing activities
that you are dealing with.

…dane osobowe są:
• przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane
dotyczą;
• zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej
w sposób niezgodny z tymi celami;
• adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są
przetwarzane;
• prawidłowe i w razie potrzeby uaktualniane;
• poddawane wszelkim rozsądnym działaniom tak, aby dane osobowe, które są nieprawidłowe w
świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane;
• przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez
okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane;
• przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym
ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową
utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub
organizacyjnych.

personal data shall be:
• processed lawfully, fairly and in a transparent manner in relation to the data subject;
• collected for specified, explicit and legitimate purposes and not further processed in a
manner that is incompatible with those purposes;
• adequate, relevant and limited to what is necessary in relation to the purposes for
which they are processed;
• accurate and, where necessary, kept up to date;
• every reasonable step must be taken to ensure that personal data that are inaccurate,
having regard to the purposes for which they are processed, are erased or rectified
without delay;
• kept in a form which permits identification of data subjects for no longer than is
necessary for the purposes for which the personal data are processed;
• processed in a manner that ensures appropriate security of the personal data, including
protection against unauthorised or unlawful processing and against accidental loss,
destruction or damage, using appropriate technical or organisational measures.

Zasadę:
• „zgodności z prawem”;
• „rzetelności i przejrzystości”;
• „ograniczonego celu”;
• „minimalizacji danych”;
• „prawidłowości”;
• „ograniczenia przechowywania”;
• „integralności i poufności”;
czyli, że stosujesz zasadę „rozliczalności”

Principle:
• ‘lawfulness’;
• ‘fairness and transparency’;
• ‘purpose limitation’;
• ‘data minimisation’;
• ‘accuracy’;
• ‘storage limitation’;
• ‘integrity and confidentiality’;
that is, you apply the principle of ’accountability’

•Dane osobowe

•Personal data

Dane – informacje
Dane – informacje
(związane z celami i zakresem
funkcjonowania danego podmiotu)
Dane (informacje) o osobach
Dane
osobowe
Dobra
osobiste
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki
Informacje
publiczne
38

data - information
data - information
(related to the goals and scope of the
entity's operation)
data (information) about a
person
Personal data
personal
rights
public
information
39

Artykuł 4 Definicje
• Na użytek niniejszego rozporządzenia:
• 1) „dane osobowe” oznaczają
• informacje o zidentyfikowanej lub możliwej do
zidentyfikowania osobie fizycznej („osobie, której
dane dotyczą”);
• możliwa do zidentyfikowania osoba fizyczna to osoba, którą można
bezpośrednio lub pośrednio zidentyfikować, w szczególności na
podstawie identyfikatora takiego jak
• imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator
internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną,
fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną
tożsamość osoby fizycznej;

Article 4 Definitions
• For the purposes of this Regulation:
• ‘personal data’ means
• any information relating to an identified or identifiable
natural person (‘data subject’);
• an identifiable natural person is one who can be identified,
directly or indirectly, in particular by reference to an identifier
such as
• a name, an identification number, location data, an online identifier or to
one or more factors specific to the physical, physiological, genetic, mental,
economic, cultural or social identity of that natural person;

•przetwarzanie

•processing

• 2) „przetwarzanie” oznacza
• operację lub zestaw operacji wykonywanych na
danych osobowych lub zestawach danych osobowych
w sposób zautomatyzowany lub niezautomatyzowany,
• taką jak
• zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie,
adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie,
ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju
udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub
niszczenie;

• (2) ‘processing’ means
• any operation or set of operations which is performed on
personal data or on sets of personal data, whether or not
by automated means,
• such as
• collection, recording, organisation, structuring, storage,
adaptation or alteration, retrieval, consultation, use, disclosure
by transmission, dissemination or otherwise making available,
alignment or combination, restriction, erasure or destruction;

•Zbiór danych

•filing system

• 6) „zbiór danych” oznacza
• uporządkowany zestaw danych osobowych dostępnych
według określonych kryteriów, niezależnie od tego, czy
zestaw ten jest scentralizowany, zdecentralizowany
czy rozproszony funkcjonalnie lub geograficznie;

• (6) ‘filing system’ means
• any structured set of personal data which are
accessible according to specific criteria, whether
centralised, decentralised or dispersed on a functional
or geographical basis;

osobowych? (czy masz do czynienia z
zautomatyzowaną czynnością przetwarzania?)
osobowych w zbiorze (ze zbioru, poprzez zbiór, do
zbioru,…) danych osobowych? (czy masz do czynienia z
inną niż zautomatyzowaną czynnością przetwarzania?)

• Do you deal with the processing of personal data? (are
you dealing with an automated processing operation?)
• Do you deal with the processing of personal data in
the filing system (from the filing system, through the
filing system, to the filing system, ...) of personal
data? (are you dealing with a non-automated
processing operation?)

•…zarys
•„nowej praktyki”?

• Artykuł 32  art. 36 UODO
• 1. Uwzględniając stan wiedzy technicznej, koszt wdrażania
oraz charakter, zakres, kontekst i cele przetwarzania
oraz ryzyko naruszenia praw lub wolności osób fizycznych
o różnym prawdopodobieństwie wystąpienia i wadze
zagrożenia, administrator i podmiot przetwarzający
wdrażają odpowiednie środki techniczne i organizacyjne,
aby zapewnić stopień bezpieczeństwa odpowiadający temu
ryzyku, w tym między innymi w stosownym przypadku:
• […] + Artykuł 24, 25

• Artykuł 37  art. 36a UODO
• 1. Administrator i podmiot przetwarzający wyznaczają inspektora
ochrony danych, zawsze gdy:
• a) przetwarzania dokonują organ lub podmiot publiczny, […];
• b) główna działalność administratora lub podmiotu
przetwarzającego polega na operacjach przetwarzania,
które ze względu na swój charakter, zakres lub cele
wymagają regularnego i systematycznego monitorowania
osób, których dane dotyczą, na dużą skalę; lub
• c) główna działalność administratora lub podmiotu przetwarzającego
polega na przetwarzaniu na dużą skalę szczególnych kategorii danych
osobowych, […].

• Rejestrowanie czynności przetwarzania
• 1. Każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel
administratora prowadzą rejestr czynności przetwarzania danych
osobowych, za które odpowiadają. W rejestrze tym zamieszcza się
wszystkie następujące informacje:
• a) imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy
ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
• b) cele przetwarzania;
• c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
• d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich
lub w organizacjach międzynarodowych;
• e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w
tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art.
49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
• f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
• g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art.
32 ust. 1.

• Artykuł 5
• Zasady dotyczące przetwarzania danych osobowych
• 2. Administrator jest odpowiedzialny za
przestrzeganie przepisów ust. 1
• i musi być w stanie wykazać ich

 Art. 2. [Zakres przedmiotowy
ustawy]
 1. Ustawa określa zasady
postępowania przy przetwarzaniu
danych osobowych oraz prawa
osób fizycznych, których dane
osobowe są lub mogą być
przetwarzane w zbiorach danych.
 Artykuł 2 Materialny zakres
stosowania
 1. Niniejsze rozporządzenie ma
zastosowanie do przetwarzania
danych osobowych w sposób
całkowicie lub częściowo
zautomatyzowany oraz do
przetwarzania w sposób inny niż
zautomatyzowany danych
osobowych stanowiących część
zbioru danych lub mających
stanowić część zbioru danych.
57

REJESTR ZBIORÓW DANYCH OSOBOWYCH
(UODO)
REJESTR CZYNNOŚCI PRZETWARZANIA
(RODO)

• Najlepszym sposobem przygotowania
się do RODO
• jest (było!) najlepsze wypełnianie
obowiązków wynikających z bieżącego
stanu prawa
• w zakresie ochrony danych osobowych.

Ochrona danych osobowych
• jest koniecznym stanem świadomości
• i dbaniem o istnienie dowodów trwania tego
stanu
• w ramach obowiązujących przepisów prawa
• [dziś UODO - jutro RODO]

• Istotą pojmowania prawa ochrony danych osobowych
jest osiągnięcie stanu świadomości potrzeby jego
stosowania.
• Praktyką - jest dbanie o dowody potwierdzające fakt
istnienia owego stanu świadomości.
• A "najwłaściwszymi" dowodami są dokumenty -
najlepiej takie, których konieczność funkcjonowania
definiują przepisy prawa ochrony danych osobowych.

• Dane osobowe muszą być
przetwarzane zgodnie z prawem
• Przemijający model „dbania” o dowody
• UODO: ABI
• Nowy model „dbania” o dowody
•RODO: IODo (DPO)

• Przemijający model „dbania” o dowody
• „…mamy człowieka od ochrony
danych osobowych; wyrabia ów
pewne wyroby, z których niejako ma
wynikać, że tu oto chroni się dane
osobowe…”

• Nowy model „dbania” o dowody
• „…mamy człowieka od ochrony danych
osobowych, który zarządza tym aby każdy, kto
ma do czynienia z danymi osobowymi, miał
świadomość tego, że ma do czynienia z danymi
osobowymi oraz że istnieją dowody na tę
świadomość i dowody na zgodne z prawem
przetwarzanie danych osobowych…”

• …stosuje się do
•przetwarzania
•danych osobowych
• w zbiorach danych osobowych

• Art. 2. 1. Ustawa określa
• zasady postępowania przy
przetwarzaniu danych osobowych
• oraz prawa osób fizycznych,
• których dane osobowe są lub mogą być przetwarzane
• w zbiorach danych.

• Artykuł 2. Materialny zakres stosowania
• 1. Niniejsze rozporządzenie ma zastosowanie
• do przetwarzania danych osobowych
• w sposób całkowicie lub częściowo zautomatyzowany
oraz do przetwarzania w sposób inny niż
zautomatyzowany
• danych osobowych stanowiących część
zbioru danych lub mających stanowić część
zbioru danych.

• czyli…
• chronić, to legalnie przetwarzać
• legalnie, to zgodnie z prawem (UODO/RODO)
• przetwarzać zgodnie z prawem,
• to zgodnie z zasadami zebranymi w „uodo”
• poznanie tych zasad prowadzi do praktyki „uodo”
• praktyka ma wymiar techniczny i organizacyjny.

• 1. Administrator danych przetwarzający dane powinien dołożyć szczególnej
staranności w celu ochrony interesów osób, których dane dotyczą, a w
szczególności jest obowiązany zapewnić, aby dane te były:
• 1) przetwarzane zgodnie z prawem;
• 2) zbierane dla oznaczonych, zgodnych z prawem celów i
niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi
celami, z zastrzeżeniem ust. 2;
• 3) merytorycznie poprawne i adekwatne w stosunku do
celów, w jakich są przetwarzane;
• 4) przechowywane w postaci umożliwiającej identyfikację
osób, których dotyczą, nie dłużej niż jest to niezbędne do
osiągnięcia celu przetwarzania.

• Artykuł 5. Zasady dotyczące przetwarzania danych osobowych
• 1. Dane osobowe muszą być:
• a) przetwarzane zgodnie z prawem […];
• b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach
i nieprzetwarzane dalej w sposób niezgodny z tymi celami […];
• c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do
celów, w których są przetwarzane […];
• d) prawidłowe i w razie potrzeby uaktualniane […];
• e) przechowywane w formie umożliwiającej identyfikację osoby,
której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne
do celów, w których dane te są przetwarzane […];
• f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo
danych osobowych […].

• Artykuł 5. Zasady dotyczące przetwarzania danych
osobowych
przestrzeganie przepisów ust. 1 i musi
być w stanie wykazać ich

• 1. Administrator danych przetwarzający dane powinien
dołożyć szczególnej staranności w celu ochrony interesów
osób, których dane dotyczą, a w szczególności jest
obowiązany zapewnić, aby dane te były:
• 1) przetwarzane zgodnie z prawem;
• Artykuł 5. Zasady dotyczące przetwarzania danych
osobowych
• a) przetwarzane zgodnie z prawem […];

• … przetwarzane zgodnie z prawem
•
•Co to znaczy?

• ROZDZIAŁ 3. Zasady przetwarzania danych osobowych
• Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
• 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi
o usunięcie dotyczących jej danych,
• 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia
obowiązku wynikającego z przepisu prawa,
• 3) jest to konieczne do realizacji umowy, gdy osoba, której dane
dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań
przed zawarciem umowy na żądanie osoby, której dane dotyczą,
• 4) jest niezbędne do wykonania określonych prawem zadań realizowanych
dla dobra publicznego,
• 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów
realizowanych przez administratorów danych albo odbiorców danych,
a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

• Artykuł 6. Zgodność przetwarzania z prawem
• 1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim –
spełniony jest co najmniej jeden z poniższych warunków:
• a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub
większej liczbie określonych celów;
• b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą,
lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
• c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
• d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej
osoby fizycznej;
• e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w
ramach sprawowania władzy publicznej powierzonej administratorowi;
• f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów
realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których
nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby,
której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane
dotyczą, jest dzieckiem.

UODO – ART. 23
 1). zgoda
 2). przepis prawa
 3). umowa
 4). dobro publiczne
 5). prawnie
usprawiedliwione cele
RODO – ARTYKUŁ 6
 a). zgoda
 b). umowa
 c). obowiązek prawny
 d). żywotny interes osoby
 e). interes publiczny
 f). cele wynikające z
prawnie uzasadnionych
interesów

• Artykuł 5. Zasady dotyczące przetwarzania danych osobowych
• „zgodność z prawem, rzetelność i przejrzystość”;
• „ograniczenie celu”;
• „minimalizacja danych”;
• „prawidłowość”;
• „ograniczenie przechowywania”;
• „integralność i poufność”;
• „rozliczalność”.

• …stanowi się o głównych obowiązkach administratora danych.
• „Administrator danych przetwarzający dane powinien dołożyć
szczególnej staranności w celu ochrony interesów osób, których
dane dotyczą, a w szczególności jest obowiązany zapewnić, aby
dane te były przetwarzane zgodnie z prawem” (zasada legalności
przetwarzania); „zbierane dla oznaczonych, zgodnych z prawem
celów […]” (zasada celowości przetwarzania); „merytorycznie
poprawne” (zasada merytorycznej poprawności) „i adekwatne w
stosunku do celów […] (zasada adekwatności przetwarzania);
przechowywane w postaci umożliwiającej identyfikację osób […] nie
dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania”
(zasada ograniczenia czasowego przetwarzania).
Elementarne zasady:
• legalności;
• celowości;
• merytorycznej poprawności;
• adekwatności;
• ograniczenia czasowego.
Ograniczonego zakresu
„zgodność z prawem”,
„rzetelność i przejrzystość”;
„ograniczenie celu”;
„minimalizacja danych”;
„prawidłowość”;
„ograniczenie przechowywania”;
„integralność i poufność”;
„rozliczalność”.
78

• legalności (zgodnie z prawem);
• celowości (cel przetwarzania);
• merytorycznej poprawności (w zakresie
przetwarzania);
• adekwatności (co do celu i zakresu);
• ograniczenia czasowego.
„zgodność z prawem”,
„rzetelność i przejrzystość”;
„ograniczenie celu”;
„minimalizacja danych”;
„prawidłowość”;
„ograniczenie przechowywania”;
„integralność i poufność”;
„rozliczalność”.
79

• 1) osoba, której dane dotyczą, wyrazi na to
zgodę, chyba że chodzi o usunięcie dotyczących
jej danych,
• 2) jest to niezbędne dla zrealizowania uprawnienia lub
spełnienia obowiązku wynikającego z przepisu prawa,
• 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy
jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane
dotyczą,
• 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
• 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów
realizowanych przez administratorów danych albo odbiorców danych,

• Artykuł 6. Zgodność przetwarzania z prawem
• 1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim –
spełniony jest co najmniej jeden z poniższych warunków:
• a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich
danych osobowych w jednym lub większej liczbie określonych celów;
• b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą,
lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
• c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
• d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej
osoby fizycznej;
• e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w
ramach sprawowania władzy publicznej powierzonej administratorowi;
• f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów
realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których
nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby,
której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane
• Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w
ramach realizacji swoich zadań.

• Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko
wtedy, gdy:
• 1) osoba, której dane dotyczą,
• wyrazi na to zgodę,
• chyba że chodzi o usunięcie
dotyczących jej danych,
a) osoba, której dane dotyczą wyraziła
zgodę na przetwarzanie swoich
danych osobowych w jednym lub
większej liczbie określonych celów;
82

• 1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim
• a) osoba, której dane dotyczą wyraziła
zgodę na przetwarzanie swoich danych
osobowych w jednym lub większej liczbie
określonych celów;

• Art. 7. Ilekroć w ustawie jest mowa o:
• 5) zgodzie osoby, której dane dotyczą —
• rozumie się przez to oświadczenie woli,
• którego treścią jest zgoda na przetwarzanie danych
osobowych tego, kto składa oświadczenie;
• zgoda nie może być domniemana lub
dorozumiana z oświadczenia woli o innej treści;
• zgoda może być odwołana w każdym czasie,

• Artykuł 4. Definicje
• 11) „zgoda” osoby, której dane dotyczą oznacza
dobrowolne, konkretne, świadome i jednoznaczne
okazanie woli, którym osoba,
• której dane dotyczą, w formie oświadczenia lub wyraźnego
działania potwierdzającego,
• przyzwala na przetwarzanie dotyczących jej danych
osobowych;

• Zgoda na przetwarzanie danych
osobowych musi mieć charakter wyraźny,
a jej wszystkie aspekty muszą być jasne
dla podpisującego w momencie jej
wyrażania.
• Czynności takiej nie konwaliduje późniejsze poinformowanie o treści
regulaminu, ani możliwość zgłoszenia zastrzeżeń wobec pewnych form
przetwarzania danych.

• zgoda:
• nie może mieć charakteru abstrakcyjnego;
• nie może dotyczyć przetwarzania danych w ogóle;
• musi się odnosić do skonkretyzowanego stanu
faktycznego;
• musi obejmować jedynie pewnie i jednoznacznie
określone dane;
• musi mieć sprecyzowany sposób i cel ich
przetwarzania.

• Artykuł 7.
• Warunki wyrażenia zgody
• Artykuł 8.
• Warunki wyrażenia zgody przez dziecko w
przypadku usług społeczeństwa informacyjnego

• 1. Jeżeli przetwarzanie odbywa się na
podstawie zgody, administrator
• musi być w stanie wykazać,
• że osoba, której dane dotyczą,
• wyraziła zgodę na przetwarzanie swoich
danych osobowych.

• 2. Jeżeli osoba, której dane dotyczą, wyrażą zgodę w pisemnym
oświadczeniu, które dotyczy także innych kwestii,
• zapytanie o zgodę musi zostać przedstawione
w sposób pozwalający wyraźnie odróżnić je od
pozostałych kwestii,
• w zrozumiałej i łatwo dostępnej formie,
jasnym i prostym językiem.
• Część takiego oświadczenia osoby, której dane dotyczą,
stanowiąca naruszenie niniejszego rozporządzenia nie jest
wiążąca.

• 3. Osoba, której dane dotyczą, ma prawo w dowolnym
momencie wycofać zgodę.
• Wycofanie zgody nie wpływa na zgodność z prawem
przetwarzania, którego dokonano na podstawie zgody
przed jej wycofaniem.
• Osoba, której dane dotyczą, jest o tym informowana,
zanim wyrazi zgodę.
• Wycofanie zgody musi być równie łatwe jak jej
wyrażenie.

• 4. Oceniając, czy zgodę wyrażono dobrowolnie,
• w jak największym stopniu uwzględnia się,
• czy między innymi od zgody na przetwarzanie danych
nie jest uzależnione wykonanie umowy,
• w tym świadczenie usługi,
• jeśli przetwarzanie danych osobowych nie jest
niezbędne do wykonania tej umowy.

• 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,
• 2) jest to niezbędne dla zrealizowania
uprawnienia
• lub spełnienia obowiązku wynikającego
z przepisu prawa,
• 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed
zawarciem umowy na żądanie osoby, której dane dotyczą,
• 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
• 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych,
c) przetwarzanie jest niezbędne do
wypełnienia obowiązku prawnego
ciążącego na administratorze;
94

• c) przetwarzanie jest niezbędne do
wypełnienia obowiązku prawnego ciążącego
na administratorze;

„Moc obowiązywania normy niższego stopnia
wypływa z autorytetu normy wyższego stopnia.
Norma niższego stopnia obowiązuje jeśli została
ustanowiona na podstawie prawnego upoważnienia
normy wyższego stopnia, w sposób przewidziany
przez prawo.”

• 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej
danych,
• 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego
z przepisu prawa,
• […]
• 5) jest to niezbędne dla wypełnienia
prawnie usprawiedliwionych celów
• realizowanych przez administratorów danych albo odbiorców danych,
f) przetwarzanie jest niezbędne do celów wynikających z prawnie
uzasadnionych interesów realizowanych przez administratora lub przez stronę
trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów
mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą,
wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane
Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy
publiczne w ramach realizacji swoich zadań.
97

• 1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co
najmniej jeden z poniższych warunków:
• f) przetwarzanie jest niezbędne do celów
wynikających z prawnie uzasadnionych interesów
realizowanych przez administratora lub przez
stronę trzecią,
• z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów
mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą,
wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane
• Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania,
którego dokonują organy publiczne w ramach realizacji swoich
zadań.

• 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,
• 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
• 3) jest to konieczne do realizacji umowy, gdy osoba, której
dane dotyczą, jest jej stroną lub gdy jest to niezbędne do
podjęcia działań przed zawarciem umowy na żądanie osoby,
której dane dotyczą,
• 4) jest niezbędne do wykonania określonych prawem zadań realizowanych
dla dobra publicznego,
• 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów
danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
b) przetwarzanie jest niezbędne do wykonania umowy,
której stroną jest osoba, której dane dotyczą, lub do
podjęcia działań na żądanie osoby, której dane dotyczą,
przed zawarciem umowy;
99

• b) przetwarzanie jest niezbędne do
wykonania umowy, której stroną jest osoba,
której dane dotyczą,
• lub do podjęcia działań na żądanie osoby,
której dane dotyczą, przed zawarciem
umowy;

• Artykuł 99 Wejście w życie i stosowanie
• 1. Niniejsze rozporządzenie wchodzi w życie dwudziestego
dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej.
• 2. Niniejsze rozporządzenie ma zastosowanie od dnia
25 maja 2018 r.
• Niniejsze rozporządzenie wiąże w całości i jest
bezpośrednio stosowane we wszystkich
państwach członkowskich.

• Artykuł 5 Zasady dotyczące przetwarzania danych osobowych
• a) przetwarzane zgodnie z prawem, rzetelnie i w
sposób przejrzysty dla osoby, której dane dotyczą
(„zgodność z prawem, rzetelność i przejrzystość”);
przestrzeganie przepisów ust. 1 i musi być w stanie
wykazać ich przestrzeganie („rozliczalność”).

…więcej o RODO:
Krzysztof Sługocki
k.slugocki@egocki.pl
sites.google.com/view/rodo2018
Facebook.com/rodo2018
Nie ma tu żadnej R(ODO)ewolucji!
…a i tak jest jeszcze ogrom rzeczy do
wytłumaczenia, pokazania, wdrożenia…

niekompetencja
kompetencja
nieświadomość
świadomość
Nieświadoma Niekompetencja Świadoma Niekompetencja
Nieświadoma Kompetencja Świadoma Kompetencja
wiedza
Działanie + emocje, relacje, uczucia
Normy,
zasady,
rutyna
Rozumienie,
doświadczenie
 


• Istotą pojmowania prawa ochrony danych osobowych
jest osiągnięcie stanu świadomości potrzeby jego
stosowania.
• Praktyką - jest dbanie o dowody potwierdzające fakt
istnienia owego stanu świadomości.
• A "najwłaściwszymi" dowodami są dokumenty -
najlepiej takie, których konieczność funkcjonowania
definiują przepisy prawa ochrony danych osobowych.

RODO - istota i praktyka ochrony danych osobowych

Recommended

Recommended

More Related Content

Similar to RODO - istota i praktyka ochrony danych osobowych

Similar to RODO - istota i praktyka ochrony danych osobowych (20)

RODO - istota i praktyka ochrony danych osobowych