1. Krzysztof Sługocki
501 091 995
k.slugocki@egocki.pl
sites.google.com/view/rodo2018
facebook.com/rodo2018
linkedin.com/in/egocki
2. Krzysztof Sługocki
501 091 995
k.slugocki@egocki.pl
sites.google.com/view/rodo2018
facebook.com/rodo2018
linkedin.com/in/egocki
3. Krzysztof Sługocki
501 091 995
k.slugocki@egocki.pl
sites.google.com/view/rodo2018
facebook.com/rodo2018
linkedin.com/in/egocki
4. • Czy dane osobowe trzeba chronić?
•Tak
•Nie
•Nie wiem
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 4
5. • Does personal data need to be protected?
•Yes
•No
•I do not know
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 5
6. • ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE)
• 2016/679
• z dnia 27 kwietnia 2016 roku
• w sprawie ochrony osób fizycznych
• w związku z przetwarzaniem danych osobowych
• i w sprawie swobodnego przepływu takich danych
• oraz uchylenia dyrektywy 95/46/WE
• (ogólne rozporządzenie o ochronie danych)
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 6
7. • REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND
OF THE COUNCIL
• of 27 April 2016
• on the protection of natural persons
• with regard to the processing of personal data
• and on the free movement of such data,
• and repealing Directive 95/46/EC
• (General Data Protection Regulation)
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 7
8. • Ochrona osób fizycznych w związku z przetwarzaniem
danych osobowych jest jednym z praw podstawowych.
• Art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej (zwanej
dalej „Kartą praw podstawowych”) oraz art. 16 ust. 1 Traktatu
o funkcjonowaniu Unii Europejskiej (TFUE) stanowią, że
• każda osoba ma prawo do ochrony
danych osobowych jej dotyczących.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 8
9. • The protection of natural persons in relation to the
processing of personal data is a fundamental right.
• Article 8(1) of the Charter of Fundamental Rights of the
European Union (the ‘Charter’) and Article 16(1) of the Treaty
on the Functioning of the European Union (TFEU) provide that
• everyone has the right to the
protection of personal data
concerning him or her.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 9
11. • Yes,
•personal data
•must be
•protected.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 11
12. • Dane osobowe? – czyli co?
• Chronić? – czyli co robić?
• …a może raczej czego nie robić?
• …no nie, żeby wyszło na to, że się chroni, to chyba jednak
trzeba coś robić? No, ale co i jak?
• …i o tym jest to RODO?
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 12
13. • Personal data? – so, what?
• Protect? – so, what to do?
• …or rather, what not to do?
• … well, to be said to be protected, it's probably something
to do? Well, what and how?
• …and this is GDPR?
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 13
14. •…czyli co to znaczy
„chronić dane osobowe”?
• …to istota pojmowania tego prawa…
• …no i jak dowieść, że się
„chroni dane osobowe”?
• …to praktyka stosowania tego prawa…
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 14
15. • …What does it mean
"personal data to protect"?
• ...this is the essence of understanding this law...
• …and how to prove that
"personal data is protected"?
• …this is the practice of applying this law...
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 15
16. Wejście w życie i stosowanie
• 1. Niniejsze rozporządzenie wchodzi w życie dwudziestego
dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej.
• 2. Niniejsze rozporządzenie
• ma zastosowanie od dnia 25 maja 2018 r.
• Niniejsze rozporządzenie wiąże w całości
i jest bezpośrednio stosowane we wszystkich
państwach członkowskich.
• Sporządzono w Brukseli dnia 27 kwietnia 2016 r.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 16
17. Entry into force and application
• 1. This Regulation shall enter into force on the
twentieth day following that of its publication in the
Official Journal of the European Union.
• 2. It shall apply from 25 May 2018.
• This Regulation shall be binding in its entirety
and directly applicable in all Member States.
• Done at Brussels, 27 April 2016.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 17
18. Artykuł 5
• Zasady dotyczące przetwarzania danych osobowych
• 2. Administrator jest odpowiedzialny
za przestrzeganie przepisów ust. 1
•i musi być w stanie wykazać ich
przestrzeganie („rozliczalność”).
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 18
19. Article 5
• Principles relating to processing of personal data
• 2. The controller shall be responsible for,
• and be able to demonstrate compliance with,
• paragraph 1 (‘accountability’).
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 19
20. istota
• …co to znaczy „chronić dane osobowe”?
• Administrator jest odpowiedzialny za
przestrzeganie przepisów ust. 1 (Art. 5)
praktyka
• …jak dowieść, że się „chroni dane osobowe”?
• i musi być w stanie wykazać ich
przestrzeganie („rozliczalność”). (Art. 6?)
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 20
21. the essence
• …What does it mean "personal data to protect"?
• The controller shall be responsible for
paragraph 1 (Art. 5)
the practice
• how to prove that "personal data is protected"?
• and be able to demonstrate compliance with,
paragraph 1 (‘accountability’). (Art. 6?)
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 21
22. ARTYKUŁ 5 ZASADY DOTYCZĄCE
PRZETWARZANIA DANYCH OSOBOWYCH
1. Dane osobowe muszą być:
a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której
dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane
dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w
interesie publicznym, do celów badań naukowych lub historycznych lub do celów
statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi
celami („ograniczenie celu”);
c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są
przetwarzane („minimalizacja danych”);
d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne
działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania,
zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą,
przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są
przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one
przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań
naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z
zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne
wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób,
których dane dotyczą („ograniczenie przechowywania”);
f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych
osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem
przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą
odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
ARTYKUŁ 6 ZGODNOŚĆ PRZETWARZANIA
Z PRAWEM
1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim
zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych
osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której
dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed
zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na
administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane
dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie
publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych
interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem
sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub
podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych
osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 22
12
3
4
23. ARTICLE 5 PRINCIPLES RELATINGTO
PROCESSING OF PERSONAL DATA
1. Personal data shall be:
(a) processed lawfully, fairly and in a transparent manner in relation to the data subject
(‘lawfulness, fairness and transparency’);
(b) collected for specified, explicit and legitimate purposes and not further processed in a
manner that is incompatible with those purposes; further processing for archiving
purposes in the public interest, scientific or historical research purposes or statistical
purposes shall, in accordance with Article 89(1), not be considered to be incompatible
with the initial purposes (‘purpose limitation’);
(c) adequate, relevant and limited to what is necessary in relation to the purposes for
which they are processed (‘data minimisation’);
(d) accurate and, where necessary, kept up to date; every reasonable step must be taken
to ensure that personal data that are inaccurate, having regard to the purposes for which
they are processed, are erased or rectified without delay (‘accuracy’);
(e) kept in a form which permits identification of data subjects for no longer than is
necessary for the purposes for which the personal data are processed; personal data may
be stored for longer periods insofar as the personal data will be processed solely for
archiving purposes in the public interest, scientific or historical research purposes or
statistical purposes in accordance with Article 89(1) subject to implementation of the
appropriate technical and organisational measures required by this Regulation in order to
safeguard the rights and freedoms of the data subject (‘storage limitation’);
(f) processed in a manner that ensures appropriate security of the personal data,
including protection against unauthorised or unlawful processing and against accidental
loss, destruction or damage, using appropriate technical or organisational measures
(‘integrity and confidentiality’).
ARTICLE 6 LAWFULNESS OF PROCESSING
1. Processing shall be lawful only if and to the extent that at least one of the following
applies:
(a) the data subject has given consent to the processing of his or her personal data for
one or more specific purposes;
(b) processing is necessary for the performance of a contract to which the data subject is
party or in order to take steps at the request of the data subject prior to entering into a
contract;
(c) processing is necessary for compliance with a legal obligation to which the controller
is subject;
(d) processing is necessary in order to protect the vital interests of the data subject or of
another natural person;
(e) processing is necessary for the performance of a task carried out in the public interest
or in the exercise of official authority vested in the controller;
(f) processing is necessary for the purposes of the legitimate interests pursued by the
controller or by a third party, except where such interests are overridden by the interests
or fundamental rights and freedoms of the data subject which require protection of
personal data, in particular where the data subject is a child.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 23
12
3
4
24. Materialny zakres stosowania
• 1. Niniejsze rozporządzenie ma zastosowanie do
• przetwarzania
• danych osobowych
• w sposób całkowicie lub częściowo zautomatyzowany
• oraz do
• przetwarzania w sposób inny niż zautomatyzowany
• danych osobowych
• stanowiących część zbioru danych lub mających stanowić
część zbioru danych.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 24
zautomatyzowana
czynność przetwarzania
inna niż zautomatyzowana
czynność przetwarzania
zbiór danych
25. Material scope
1. This Regulation applies to
• the processing
• of personal data
• wholly or partly by automated means
• and to
• the processing other than by automated means
• of personal data
• which form part of a filing system or are intended to form
part of a filing system.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 25
automated
processing activities
other than by automated
processing activities
filing system
26. Aby zapobiec poważnemu ryzyku obchodzenia prawa,
• ochrona osób fizycznych powinna być neutralna pod względem
technicznym i nie powinna zależeć od stosowanych technik.
Ochrona osób fizycznych powinna mieć zastosowanie do
• zautomatyzowanego przetwarzania danych osobowych
• oraz do przetwarzania ręcznego,
• jeżeli dane osobowe znajdują się lub mają się znaleźć w zbiorze danych.
Zbiory lub zestawy zbiorów oraz ich strony
tytułowe, które nie są uporządkowane według
określonych kryteriów nie powinny być objęte
zakresem niniejszego rozporządzenia.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 26
27. In order to prevent creating a serious risk of circumvention,
• the protection of natural persons should be technologically
neutral and should not depend on the techniques used.
The protection of natural persons should apply to
• the processing of personal data by automated means,
• as well as to manual processing,
• if the personal data are contained or are intended to be contained
in a filing system.
Files or sets of files, as well as their cover pages, which
are not structured according to specific criteria should
not fall within the scope of this Regulation.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 27
28. • Czy masz do czynienia z danymi osobowymi?
• Czy masz do czynienia z przetwarzaniem danych
osobowych? (czy masz do czynienia z
zautomatyzowaną czynnością przetwarzania?)
• Czy masz do czynienia z przetwarzaniem danych
osobowych w zbiorze (ze zbioru, poprzez zbiór, do
zbioru,…) danych osobowych? (czy masz do czynienia z
inną niż zautomatyzowaną czynnością przetwarzania?)
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 28
tak
tak
tak
29. • Do you deal with personal data?
• Do you deal with the processing of personal data? (are
you dealing with an automated processing operation?)
• Do you deal with the processing of personal data in
the filing system (from the filing system, through the
filing system, to the filing system, ...) of personal
data? (are you dealing with a non-automated
processing operation?)
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 29
yes
yes
yes
30. •…że jesteś świadom
czynności przetwarzania,
z którą masz do czynienia.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 30
31. •…that you are aware of
the processing activities
that you are dealing with.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 31
32. …dane osobowe są:
• przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane
dotyczą;
• zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej
w sposób niezgodny z tymi celami;
• adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są
przetwarzane;
• prawidłowe i w razie potrzeby uaktualniane;
• poddawane wszelkim rozsądnym działaniom tak, aby dane osobowe, które są nieprawidłowe w
świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane;
• przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez
okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane;
• przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym
ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową
utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub
organizacyjnych.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 32
33. personal data shall be:
• processed lawfully, fairly and in a transparent manner in relation to the data subject;
• collected for specified, explicit and legitimate purposes and not further processed in a
manner that is incompatible with those purposes;
• adequate, relevant and limited to what is necessary in relation to the purposes for
which they are processed;
• accurate and, where necessary, kept up to date;
• every reasonable step must be taken to ensure that personal data that are inaccurate,
having regard to the purposes for which they are processed, are erased or rectified
without delay;
• kept in a form which permits identification of data subjects for no longer than is
necessary for the purposes for which the personal data are processed;
• processed in a manner that ensures appropriate security of the personal data, including
protection against unauthorised or unlawful processing and against accidental loss,
destruction or damage, using appropriate technical or organisational measures.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 33
34. Zasadę:
• „zgodności z prawem”;
• „rzetelności i przejrzystości”;
• „ograniczonego celu”;
• „minimalizacji danych”;
• „prawidłowości”;
• „ograniczenia przechowywania”;
• „integralności i poufności”;
czyli, że stosujesz zasadę „rozliczalności”
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 34
35. Principle:
• ‘lawfulness’;
• ‘fairness and transparency’;
• ‘purpose limitation’;
• ‘data minimisation’;
• ‘accuracy’;
• ‘storage limitation’;
• ‘integrity and confidentiality’;
that is, you apply the principle of ’accountability’
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 35
36. •Dane osobowe
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 36
37. •Personal data
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 37
38. Dane – informacje
Dane – informacje
(związane z celami i zakresem
funkcjonowania danego podmiotu)
Dane (informacje) o osobach
Dane
osobowe
Dobra
osobiste
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki
Informacje
publiczne
38
39. data - information
data - information
(related to the goals and scope of the
entity's operation)
data (information) about a
person
Personal data
personal
rights
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki
public
information
39
40. Artykuł 4 Definicje
• Na użytek niniejszego rozporządzenia:
• 1) „dane osobowe” oznaczają
• informacje o zidentyfikowanej lub możliwej do
zidentyfikowania osobie fizycznej („osobie, której
dane dotyczą”);
• możliwa do zidentyfikowania osoba fizyczna to osoba, którą można
bezpośrednio lub pośrednio zidentyfikować, w szczególności na
podstawie identyfikatora takiego jak
• imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator
internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną,
fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną
tożsamość osoby fizycznej;
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 40
41. Article 4 Definitions
• For the purposes of this Regulation:
• ‘personal data’ means
• any information relating to an identified or identifiable
natural person (‘data subject’);
• an identifiable natural person is one who can be identified,
directly or indirectly, in particular by reference to an identifier
such as
• a name, an identification number, location data, an online identifier or to
one or more factors specific to the physical, physiological, genetic, mental,
economic, cultural or social identity of that natural person;
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 41
44. Artykuł 4 Definicje
• Na użytek niniejszego rozporządzenia:
• 2) „przetwarzanie” oznacza
• operację lub zestaw operacji wykonywanych na
danych osobowych lub zestawach danych osobowych
w sposób zautomatyzowany lub niezautomatyzowany,
• taką jak
• zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie,
adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie,
ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju
udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub
niszczenie;
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 44
45. Article 4 Definitions
• For the purposes of this Regulation:
• (2) ‘processing’ means
• any operation or set of operations which is performed on
personal data or on sets of personal data, whether or not
by automated means,
• such as
• collection, recording, organisation, structuring, storage,
adaptation or alteration, retrieval, consultation, use, disclosure
by transmission, dissemination or otherwise making available,
alignment or combination, restriction, erasure or destruction;
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 45
46. •Zbiór danych
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 46
47. •filing system
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 47
48. Artykuł 4 Definicje
• Na użytek niniejszego rozporządzenia:
• 6) „zbiór danych” oznacza
• uporządkowany zestaw danych osobowych dostępnych
według określonych kryteriów, niezależnie od tego, czy
zestaw ten jest scentralizowany, zdecentralizowany
czy rozproszony funkcjonalnie lub geograficznie;
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 48
49. Article 4 Definitions
• For the purposes of this Regulation:
• (6) ‘filing system’ means
• any structured set of personal data which are
accessible according to specific criteria, whether
centralised, decentralised or dispersed on a functional
or geographical basis;
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 49
50. • Czy masz do czynienia z przetwarzaniem danych
osobowych? (czy masz do czynienia z
zautomatyzowaną czynnością przetwarzania?)
• Czy masz do czynienia z przetwarzaniem danych
osobowych w zbiorze (ze zbioru, poprzez zbiór, do
zbioru,…) danych osobowych? (czy masz do czynienia z
inną niż zautomatyzowaną czynnością przetwarzania?)
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 50
51. • Do you deal with the processing of personal data? (are
you dealing with an automated processing operation?)
• Do you deal with the processing of personal data in
the filing system (from the filing system, through the
filing system, to the filing system, ...) of personal
data? (are you dealing with a non-automated
processing operation?)
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 51
53. • Artykuł 32 art. 36 UODO
• 1. Uwzględniając stan wiedzy technicznej, koszt wdrażania
oraz charakter, zakres, kontekst i cele przetwarzania
oraz ryzyko naruszenia praw lub wolności osób fizycznych
o różnym prawdopodobieństwie wystąpienia i wadze
zagrożenia, administrator i podmiot przetwarzający
wdrażają odpowiednie środki techniczne i organizacyjne,
aby zapewnić stopień bezpieczeństwa odpowiadający temu
ryzyku, w tym między innymi w stosownym przypadku:
• […] + Artykuł 24, 25
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 53
54. • Artykuł 37 art. 36a UODO
• 1. Administrator i podmiot przetwarzający wyznaczają inspektora
ochrony danych, zawsze gdy:
• a) przetwarzania dokonują organ lub podmiot publiczny, […];
• b) główna działalność administratora lub podmiotu
przetwarzającego polega na operacjach przetwarzania,
które ze względu na swój charakter, zakres lub cele
wymagają regularnego i systematycznego monitorowania
osób, których dane dotyczą, na dużą skalę; lub
• c) główna działalność administratora lub podmiotu przetwarzającego
polega na przetwarzaniu na dużą skalę szczególnych kategorii danych
osobowych, […].
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 54
55. • Rejestrowanie czynności przetwarzania
• 1. Każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel
administratora prowadzą rejestr czynności przetwarzania danych
osobowych, za które odpowiadają. W rejestrze tym zamieszcza się
wszystkie następujące informacje:
• a) imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy
ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
• b) cele przetwarzania;
• c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
• d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich
lub w organizacjach międzynarodowych;
• e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w
tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art.
49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
• f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
• g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art.
32 ust. 1.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 55
56. • Artykuł 5
• Zasady dotyczące przetwarzania danych osobowych
• 2. Administrator jest odpowiedzialny za
przestrzeganie przepisów ust. 1
• i musi być w stanie wykazać ich
przestrzeganie („rozliczalność”).
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 56
57. Art. 2. [Zakres przedmiotowy
ustawy]
1. Ustawa określa zasady
postępowania przy przetwarzaniu
danych osobowych oraz prawa
osób fizycznych, których dane
osobowe są lub mogą być
przetwarzane w zbiorach danych.
Artykuł 2 Materialny zakres
stosowania
1. Niniejsze rozporządzenie ma
zastosowanie do przetwarzania
danych osobowych w sposób
całkowicie lub częściowo
zautomatyzowany oraz do
przetwarzania w sposób inny niż
zautomatyzowany danych
osobowych stanowiących część
zbioru danych lub mających
stanowić część zbioru danych.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki
57
58. REJESTR ZBIORÓW DANYCH OSOBOWYCH
(UODO)
REJESTR CZYNNOŚCI PRZETWARZANIA
(RODO)
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 58
59. • Najlepszym sposobem przygotowania
się do RODO
• jest (było!) najlepsze wypełnianie
obowiązków wynikających z bieżącego
stanu prawa
• w zakresie ochrony danych osobowych.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 59
60. Ochrona danych osobowych
• jest koniecznym stanem świadomości
• i dbaniem o istnienie dowodów trwania tego
stanu
• w ramach obowiązujących przepisów prawa
• [dziś UODO - jutro RODO]
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 60
61. • Istotą pojmowania prawa ochrony danych osobowych
jest osiągnięcie stanu świadomości potrzeby jego
stosowania.
• Praktyką - jest dbanie o dowody potwierdzające fakt
istnienia owego stanu świadomości.
• A "najwłaściwszymi" dowodami są dokumenty -
najlepiej takie, których konieczność funkcjonowania
definiują przepisy prawa ochrony danych osobowych.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 61
62. • Dane osobowe muszą być
przetwarzane zgodnie z prawem
• Przemijający model „dbania” o dowody
• UODO: ABI
• Nowy model „dbania” o dowody
•RODO: IODo (DPO)
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 62
63. • Przemijający model „dbania” o dowody
• „…mamy człowieka od ochrony
danych osobowych; wyrabia ów
pewne wyroby, z których niejako ma
wynikać, że tu oto chroni się dane
osobowe…”
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 63
64. • Nowy model „dbania” o dowody
• „…mamy człowieka od ochrony danych
osobowych, który zarządza tym aby każdy, kto
ma do czynienia z danymi osobowymi, miał
świadomość tego, że ma do czynienia z danymi
osobowymi oraz że istnieją dowody na tę
świadomość i dowody na zgodne z prawem
przetwarzanie danych osobowych…”
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 64
65. • …stosuje się do
•przetwarzania
•danych osobowych
• w zbiorach danych osobowych
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 65
66. • Art. 2. 1. Ustawa określa
• zasady postępowania przy
przetwarzaniu danych osobowych
• oraz prawa osób fizycznych,
• których dane osobowe są lub mogą być przetwarzane
• w zbiorach danych.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 66
67. • Artykuł 2. Materialny zakres stosowania
• 1. Niniejsze rozporządzenie ma zastosowanie
• do przetwarzania danych osobowych
• w sposób całkowicie lub częściowo zautomatyzowany
oraz do przetwarzania w sposób inny niż
zautomatyzowany
• danych osobowych stanowiących część
zbioru danych lub mających stanowić część
zbioru danych.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 67
68. • czyli…
• chronić, to legalnie przetwarzać
• legalnie, to zgodnie z prawem (UODO/RODO)
• przetwarzać zgodnie z prawem,
• to zgodnie z zasadami zebranymi w „uodo”
• poznanie tych zasad prowadzi do praktyki „uodo”
• praktyka ma wymiar techniczny i organizacyjny.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 68
69. • 1. Administrator danych przetwarzający dane powinien dołożyć szczególnej
staranności w celu ochrony interesów osób, których dane dotyczą, a w
szczególności jest obowiązany zapewnić, aby dane te były:
• 1) przetwarzane zgodnie z prawem;
• 2) zbierane dla oznaczonych, zgodnych z prawem celów i
niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi
celami, z zastrzeżeniem ust. 2;
• 3) merytorycznie poprawne i adekwatne w stosunku do
celów, w jakich są przetwarzane;
• 4) przechowywane w postaci umożliwiającej identyfikację
osób, których dotyczą, nie dłużej niż jest to niezbędne do
osiągnięcia celu przetwarzania.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 69
70. • Artykuł 5. Zasady dotyczące przetwarzania danych osobowych
• 1. Dane osobowe muszą być:
• a) przetwarzane zgodnie z prawem […];
• b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach
i nieprzetwarzane dalej w sposób niezgodny z tymi celami […];
• c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do
celów, w których są przetwarzane […];
• d) prawidłowe i w razie potrzeby uaktualniane […];
• e) przechowywane w formie umożliwiającej identyfikację osoby,
której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne
do celów, w których dane te są przetwarzane […];
• f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo
danych osobowych […].
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 70
71. • Artykuł 5. Zasady dotyczące przetwarzania danych
osobowych
• 2. Administrator jest odpowiedzialny za
przestrzeganie przepisów ust. 1 i musi
być w stanie wykazać ich
przestrzeganie („rozliczalność”).
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 71
72. • 1. Administrator danych przetwarzający dane powinien
dołożyć szczególnej staranności w celu ochrony interesów
osób, których dane dotyczą, a w szczególności jest
obowiązany zapewnić, aby dane te były:
• 1) przetwarzane zgodnie z prawem;
• Artykuł 5. Zasady dotyczące przetwarzania danych
osobowych
• 1. Dane osobowe muszą być:
• a) przetwarzane zgodnie z prawem […];
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 72
73. • … przetwarzane zgodnie z prawem
•
•Co to znaczy?
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 73
74. • ROZDZIAŁ 3. Zasady przetwarzania danych osobowych
• Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
• 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi
o usunięcie dotyczących jej danych,
• 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia
obowiązku wynikającego z przepisu prawa,
• 3) jest to konieczne do realizacji umowy, gdy osoba, której dane
dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań
przed zawarciem umowy na żądanie osoby, której dane dotyczą,
• 4) jest niezbędne do wykonania określonych prawem zadań realizowanych
dla dobra publicznego,
• 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów
realizowanych przez administratorów danych albo odbiorców danych,
a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 74
75. • Artykuł 6. Zgodność przetwarzania z prawem
• 1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim –
spełniony jest co najmniej jeden z poniższych warunków:
• a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub
większej liczbie określonych celów;
• b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą,
lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
• c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
• d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej
osoby fizycznej;
• e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w
ramach sprawowania władzy publicznej powierzonej administratorowi;
• f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów
realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których
nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby,
której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane
dotyczą, jest dzieckiem.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 75
76. UODO – ART. 23
1). zgoda
2). przepis prawa
3). umowa
4). dobro publiczne
5). prawnie
usprawiedliwione cele
RODO – ARTYKUŁ 6
a). zgoda
b). umowa
c). obowiązek prawny
d). żywotny interes osoby
e). interes publiczny
f). cele wynikające z
prawnie uzasadnionych
interesów
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 76
77. • Artykuł 5. Zasady dotyczące przetwarzania danych osobowych
• „zgodność z prawem, rzetelność i przejrzystość”;
• „ograniczenie celu”;
• „minimalizacja danych”;
• „prawidłowość”;
• „ograniczenie przechowywania”;
• „integralność i poufność”;
• „rozliczalność”.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 77
78. • …stanowi się o głównych obowiązkach administratora danych.
• „Administrator danych przetwarzający dane powinien dołożyć
szczególnej staranności w celu ochrony interesów osób, których
dane dotyczą, a w szczególności jest obowiązany zapewnić, aby
dane te były przetwarzane zgodnie z prawem” (zasada legalności
przetwarzania); „zbierane dla oznaczonych, zgodnych z prawem
celów […]” (zasada celowości przetwarzania); „merytorycznie
poprawne” (zasada merytorycznej poprawności) „i adekwatne w
stosunku do celów […] (zasada adekwatności przetwarzania);
przechowywane w postaci umożliwiającej identyfikację osób […] nie
dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania”
(zasada ograniczenia czasowego przetwarzania).
Elementarne zasady:
• legalności;
• celowości;
• merytorycznej poprawności;
• adekwatności;
• ograniczenia czasowego.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki
Ograniczonego zakresu
„zgodność z prawem”,
„rzetelność i przejrzystość”;
„ograniczenie celu”;
„minimalizacja danych”;
„prawidłowość”;
„ograniczenie przechowywania”;
„integralność i poufność”;
„rozliczalność”.
78
79. • legalności (zgodnie z prawem);
• celowości (cel przetwarzania);
• merytorycznej poprawności (w zakresie
przetwarzania);
• adekwatności (co do celu i zakresu);
• ograniczenia czasowego.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki
„zgodność z prawem”,
„rzetelność i przejrzystość”;
„ograniczenie celu”;
„minimalizacja danych”;
„prawidłowość”;
„ograniczenie przechowywania”;
„integralność i poufność”;
„rozliczalność”.
79
80. • ROZDZIAŁ 3. Zasady przetwarzania danych osobowych
• Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
• 1) osoba, której dane dotyczą, wyrazi na to
zgodę, chyba że chodzi o usunięcie dotyczących
jej danych,
• 2) jest to niezbędne dla zrealizowania uprawnienia lub
spełnienia obowiązku wynikającego z przepisu prawa,
• 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy
jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane
dotyczą,
• 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
• 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów
realizowanych przez administratorów danych albo odbiorców danych,
a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 80
81. • Artykuł 6. Zgodność przetwarzania z prawem
• 1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim –
spełniony jest co najmniej jeden z poniższych warunków:
• a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich
danych osobowych w jednym lub większej liczbie określonych celów;
• b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą,
lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
• c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
• d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej
osoby fizycznej;
• e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w
ramach sprawowania władzy publicznej powierzonej administratorowi;
• f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów
realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których
nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby,
której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane
dotyczą, jest dzieckiem.
• Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w
ramach realizacji swoich zadań.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 81
82. • ROZDZIAŁ 3. Zasady przetwarzania danych osobowych
• Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko
wtedy, gdy:
• 1) osoba, której dane dotyczą,
• wyrazi na to zgodę,
• chyba że chodzi o usunięcie
dotyczących jej danych,
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki
a) osoba, której dane dotyczą wyraziła
zgodę na przetwarzanie swoich
danych osobowych w jednym lub
większej liczbie określonych celów;
82
83. • 1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim
zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
• a) osoba, której dane dotyczą wyraziła
zgodę na przetwarzanie swoich danych
osobowych w jednym lub większej liczbie
określonych celów;
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 83
84. Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 84
85. • Art. 7. Ilekroć w ustawie jest mowa o:
• 5) zgodzie osoby, której dane dotyczą —
• rozumie się przez to oświadczenie woli,
• którego treścią jest zgoda na przetwarzanie danych
osobowych tego, kto składa oświadczenie;
• zgoda nie może być domniemana lub
dorozumiana z oświadczenia woli o innej treści;
• zgoda może być odwołana w każdym czasie,
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 85
86. • Artykuł 4. Definicje
• Na użytek niniejszego rozporządzenia:
• 11) „zgoda” osoby, której dane dotyczą oznacza
dobrowolne, konkretne, świadome i jednoznaczne
okazanie woli, którym osoba,
• której dane dotyczą, w formie oświadczenia lub wyraźnego
działania potwierdzającego,
• przyzwala na przetwarzanie dotyczących jej danych
osobowych;
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 86
87. • Zgoda na przetwarzanie danych
osobowych musi mieć charakter wyraźny,
a jej wszystkie aspekty muszą być jasne
dla podpisującego w momencie jej
wyrażania.
• Czynności takiej nie konwaliduje późniejsze poinformowanie o treści
regulaminu, ani możliwość zgłoszenia zastrzeżeń wobec pewnych form
przetwarzania danych.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 87
88. • zgoda:
• nie może mieć charakteru abstrakcyjnego;
• nie może dotyczyć przetwarzania danych w ogóle;
• musi się odnosić do skonkretyzowanego stanu
faktycznego;
• musi obejmować jedynie pewnie i jednoznacznie
określone dane;
• musi mieć sprecyzowany sposób i cel ich
przetwarzania.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 88
89. • Artykuł 7.
• Warunki wyrażenia zgody
• Artykuł 8.
• Warunki wyrażenia zgody przez dziecko w
przypadku usług społeczeństwa informacyjnego
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 89
90. • 1. Jeżeli przetwarzanie odbywa się na
podstawie zgody, administrator
• musi być w stanie wykazać,
• że osoba, której dane dotyczą,
• wyraziła zgodę na przetwarzanie swoich
danych osobowych.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 90
91. • 2. Jeżeli osoba, której dane dotyczą, wyrażą zgodę w pisemnym
oświadczeniu, które dotyczy także innych kwestii,
• zapytanie o zgodę musi zostać przedstawione
w sposób pozwalający wyraźnie odróżnić je od
pozostałych kwestii,
• w zrozumiałej i łatwo dostępnej formie,
jasnym i prostym językiem.
• Część takiego oświadczenia osoby, której dane dotyczą,
stanowiąca naruszenie niniejszego rozporządzenia nie jest
wiążąca.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 91
92. • 3. Osoba, której dane dotyczą, ma prawo w dowolnym
momencie wycofać zgodę.
• Wycofanie zgody nie wpływa na zgodność z prawem
przetwarzania, którego dokonano na podstawie zgody
przed jej wycofaniem.
• Osoba, której dane dotyczą, jest o tym informowana,
zanim wyrazi zgodę.
• Wycofanie zgody musi być równie łatwe jak jej
wyrażenie.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 92
93. • 4. Oceniając, czy zgodę wyrażono dobrowolnie,
• w jak największym stopniu uwzględnia się,
• czy między innymi od zgody na przetwarzanie danych
nie jest uzależnione wykonanie umowy,
• w tym świadczenie usługi,
• jeśli przetwarzanie danych osobowych nie jest
niezbędne do wykonania tej umowy.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 93
94. • ROZDZIAŁ 3. Zasady przetwarzania danych osobowych
• Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
• 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,
• 2) jest to niezbędne dla zrealizowania
uprawnienia
• lub spełnienia obowiązku wynikającego
z przepisu prawa,
• 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed
zawarciem umowy na żądanie osoby, której dane dotyczą,
• 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
• 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych,
a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki
c) przetwarzanie jest niezbędne do
wypełnienia obowiązku prawnego
ciążącego na administratorze;
94
95. • 1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim
zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
• c) przetwarzanie jest niezbędne do
wypełnienia obowiązku prawnego ciążącego
na administratorze;
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 95
96. „Moc obowiązywania normy niższego stopnia
wypływa z autorytetu normy wyższego stopnia.
Norma niższego stopnia obowiązuje jeśli została
ustanowiona na podstawie prawnego upoważnienia
normy wyższego stopnia, w sposób przewidziany
przez prawo.”
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 96
97. • ROZDZIAŁ 3. Zasady przetwarzania danych osobowych
• Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
• 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej
danych,
• 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego
z przepisu prawa,
• […]
• 5) jest to niezbędne dla wypełnienia
prawnie usprawiedliwionych celów
• realizowanych przez administratorów danych albo odbiorców danych,
a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki
f) przetwarzanie jest niezbędne do celów wynikających z prawnie
uzasadnionych interesów realizowanych przez administratora lub przez stronę
trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów
mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą,
wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane
dotyczą, jest dzieckiem.
Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy
publiczne w ramach realizacji swoich zadań.
97
98. • 1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co
najmniej jeden z poniższych warunków:
• f) przetwarzanie jest niezbędne do celów
wynikających z prawnie uzasadnionych interesów
realizowanych przez administratora lub przez
stronę trzecią,
• z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów
mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą,
wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane
dotyczą, jest dzieckiem.
• Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania,
którego dokonują organy publiczne w ramach realizacji swoich
zadań.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 98
99. • ROZDZIAŁ 3. Zasady przetwarzania danych osobowych
• Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
• 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,
• 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
• 3) jest to konieczne do realizacji umowy, gdy osoba, której
dane dotyczą, jest jej stroną lub gdy jest to niezbędne do
podjęcia działań przed zawarciem umowy na żądanie osoby,
której dane dotyczą,
• 4) jest niezbędne do wykonania określonych prawem zadań realizowanych
dla dobra publicznego,
• 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów
danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki
b) przetwarzanie jest niezbędne do wykonania umowy,
której stroną jest osoba, której dane dotyczą, lub do
podjęcia działań na żądanie osoby, której dane dotyczą,
przed zawarciem umowy;
99
100. • 1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim
zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
• b) przetwarzanie jest niezbędne do
wykonania umowy, której stroną jest osoba,
której dane dotyczą,
• lub do podjęcia działań na żądanie osoby,
której dane dotyczą, przed zawarciem
umowy;
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 100
101. Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 101
102. • Artykuł 99 Wejście w życie i stosowanie
• 1. Niniejsze rozporządzenie wchodzi w życie dwudziestego
dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej.
• 2. Niniejsze rozporządzenie ma zastosowanie od dnia
25 maja 2018 r.
• Niniejsze rozporządzenie wiąże w całości i jest
bezpośrednio stosowane we wszystkich
państwach członkowskich.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 102
103. • Artykuł 5 Zasady dotyczące przetwarzania danych osobowych
• 1. Dane osobowe muszą być:
• a) przetwarzane zgodnie z prawem, rzetelnie i w
sposób przejrzysty dla osoby, której dane dotyczą
(„zgodność z prawem, rzetelność i przejrzystość”);
• 2. Administrator jest odpowiedzialny za
przestrzeganie przepisów ust. 1 i musi być w stanie
wykazać ich przestrzeganie („rozliczalność”).
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 103
104. …więcej o RODO:
Krzysztof Sługocki
k.slugocki@egocki.pl
sites.google.com/view/rodo2018
Facebook.com/rodo2018
Nie ma tu żadnej R(ODO)ewolucji!
…a i tak jest jeszcze ogrom rzeczy do
wytłumaczenia, pokazania, wdrożenia…
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 104
106. • Istotą pojmowania prawa ochrony danych osobowych
jest osiągnięcie stanu świadomości potrzeby jego
stosowania.
• Praktyką - jest dbanie o dowody potwierdzające fakt
istnienia owego stanu świadomości.
• A "najwłaściwszymi" dowodami są dokumenty -
najlepiej takie, których konieczność funkcjonowania
definiują przepisy prawa ochrony danych osobowych.
Istota i praktyka ochrony danych osobowych (UODO/RODO), Krzysztof Sługocki 106