DPO Talks - Rola Inspektora Ochrony Danych w realizacji praw i komunikacji z podmiotami danych

DPO Talks:
Komunikacja
z podmiotami
danych
Prezentacja PwC
21.02.2019

PwC
Presentation Title [View > Master and edit/delete on very top slide master] Date [View > Master and edit/delete on very top slide master]
2
Przejrzystość
Zasady ogólne
Zwięzła, przejrzysta, zrozumiała i łatwo dostępna forma informacji
Jasny i prosty język (w szczególności, gdy informacje są kierowane do dziecka)
Obowiązek prowadzenia z podmiotem danych wszelkiej komunikacji na mocy art. 15–22 i 34
[prawa podmiotu danych] w sprawie przetwarzania
Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach
– elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić
ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą

PwC
3
Przejrzystość
Informacja „Zwięzła, przejrzysta, zrozumiała i łatwo dostępna”
• Informacja wyraźnie wyodrębniona
• Dostosowana do grupy odbiorców
• Łatwo dostępna

PwC
4
Jasny i prosty język (w szczególności, gdy
informacje są kierowane do dziecka)
• jednoznaczny
• „możemy” „może” „niektóre”
„często” „możliwe”
• zwroty niedookreślone i nieprecyzyjne
• język komunikacji kierowanej do dzieci
Przejrzystość
Język komunikacji

PwC
5
Forma komunikacji
• Informacji udziela się na piśmie lub w inny sposób,
w tym w stosownych przypadkach – elektronicznie.
Jeżeli osoba, której dane dotyczą, tego zażąda,
informacji można udzielić ustnie, o ile innymi sposobami
potwierdzi się tożsamość osoby, której dane dotyczą
• Warstwowe oświadczenia

PwC
6
Forma komunikacji
Pulpit nawigacyjny prywatności

PwC
7
Forma komunikacji
„Just – in – time”

PwC
8
Forma komunikacji
• Urządzenia mobilne
• Internet Rzeczy
• Inne „smart devices”
• Inne rodzaje „odpowiednich środków”

PwC
9
Narzędzia wizualizacyjne
• Informacje można opatrzyć standardowymi znakami graficznymi,
które w widoczny, zrozumiały i czytelny sposób przedstawią
sens zamierzonego przetwarzania
• Jeżeli znaki te są przedstawione elektronicznie, muszą się
nadawać do odczytu maszynowego
• Znaki graficzne nie powinny zastępować informacji
• Celem jest zwiększenie przejrzystości
• Użyteczność zależy od standaryzacji symboli/rysunków
• Na Komisję nałożono obowiązek określenia informacji
przedstawianych za pomocą znaków graficznych i procedur
ustanowienia standardowych znaków graficznych

PwC
10
Termin udzielenia odpowiedzi
• Bez zbędnej zwłoki
• W każdym razie w terminie miesiąca od otrzymania żądania
• Termin ten można przedłużyć o kolejne dwa miesiące
• W przypadku art. 13 - informacje podawane „podczas
pozyskiwania danych osobowych”
• W przypadku art. 14:
– najpóźniej w ciągu miesiąca
– najpóźniej przy pierwszej takiej komunikacji z osobą, której
dane dotyczą; lub
– najpóźniej przy ich pierwszym ujawnieniu innemu odbiorcy
• Niepodjęcie działań

PwC
11
Komunikacja zmian w informacjach
• Powiadamianie o istotnych i dużych zmianach
• Istotne lub duże zmiany – wpływ na osoby, czy zmiana będzie
zaskakująca lub niespodziewana
• Zmiany istotne/duże: cel przetwarzania, tożsamość ADO,
sposób wykonywania praw
• Komunikowanie o zmianach tak, aby większość odbiorców je
dostrzegła – odpowiedni środek (e-mail, list, wyskakujące okno)
• Zobowiązanie użytkownika do śledzenia zmian?
• Z wyprzedzeniem w stosunku do wejścia zmiany (zasada
rzetelności)
• Przypomnienia o oświadczeniu o ochronie prywatności/polityce
prywatności

PwC
12
Opłaty za komunikację z podmiotem danych
• Co do zasady komunikacja „wolna od opłat”
• Rozsądna opłata – opłata uwzględniająca administracyjne
koszty udzielenia informacji, prowadzenia komunikacji lub
podjęcia żądanych działań, gdy żądanie:
– ewidentnie nieuzasadnione lub nadmierne, w szczególności
ze względu na swój ustawiczny charakter
• Odmowa podjęcia działań lub nałożenie opłaty

PwC
13
Wyjątki od obowiązku podania informacji
• Osoba, której dane dotyczą, dysponuje już tymi informacjami
• Udzielenie takich informacji okazuje się niemożliwe lub
wymagałoby niewspółmiernie dużego wysiłku lub o ile
obowiązek ten mógłby uniemożliwić lub poważnie utrudnić
realizację celów przetwarzania
• Pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem
Unii lub prawem państwa członkowskiego
• Dane osobowe muszą pozostać poufne zgodnie z obowiązkiem
zachowania tajemnicy zawodowej, w tym ustawowym
obowiązkiem zachowania tajemnicy
• Art. 23 RODO – w określonych sytuacjach państwa
członkowskie (lub UE) mogą ustanowić akty prawne dotyczące
dalszych ograniczeń zakresu praw osoby, której dane dotyczą,
w odniesieniu do przejrzystości i praw podmiotowych osoby

PwC
14
Obowiązek informacyjny – wyjątki
• Ustawa z 10 maja 2018 r. o ochronie danych osobowych
Art. 3.
1. Administrator wykonujący zadanie publiczne nie przekazuje informacji, o których mowa
w art. 13 ust. 3 rozporządzenia 2016/679, jeżeli zmiana celu przetwarzania służy realizacji
zadania publicznego i niewykonanie obowiązku, o którym mowa w art. 13 ust. 3
rozporządzenia 2016/679, jest niezbędne dla realizacji celów, o których mowa w art. 23 ust.
1 tego rozporządzenia, oraz przekazanie tych informacji
1) uniemożliwi lub znacząco utrudni prawidłowe wykonanie zadania publicznego, a interes
lub podstawowe prawa lub wolności osoby, której dane dotyczą, nie są nadrzędne
w stosunku do interesu wynikającego z realizacji tego zadania publicznego lub
2) naruszy ochronę informacji niejawnych
2. W przypadku, o którym mowa w ust. 1, administrator zapewnia odpowiednie środki służące
ochronie interesu lub podstawowych praw i wolności osoby, której dane dotyczą
3. Administrator jest obowiązany poinformować osobę, której dane dotyczą, na jej wniosek,
bez zbędnej zwłoki, nie później jednak niż w terminie miesiąca od dnia otrzymania wniosku,
o podstawie nieprzekazania informacji, o których mowa w art. 13 ust. 3 rozporządzenia
2016/679

PwC
15
Obowiązek informacyjny – wyjątki
• Art. 4 ustawy z 10 maja 2018 r. o ochronie danych osobowych
Art. 4.
1. W zakresie nieuregulowanym w art. 14 ust. 5 rozporządzenia 2016/679 administrator
wykonujący zadanie publiczne nie przekazuje informacji, o których mowa w art. 14
ust. 1, 2 i 4 rozporządzenia 2016/679, jeżeli służy to realizacji zadania publicznego
i niewykonanie obowiązku, o którym mowa w art. 14 ust. 1, 2 i 4 rozporządzenia 2016/679,
jest niezbędne dla realizacji celów, o których mowa w art. 23 ust. 1 tego rozporządzenia,
oraz przekazanie tych informacji
1) Uniemożliwi lub znacząco utrudni prawidłowe wykonanie zadania publicznego,
a interes lub podstawowe prawa lub wolności osoby, której dane dotyczą, nie są
nadrzędne w stosunku do interesu wynikającego z realizacji tego zadania publicznego
lub
2) Naruszy ochronę informacji niejawnych
2. W przypadku, o którym mowa w ust. 1, administrator zapewnia odpowiednie środki służące
ochronie interesu lub podstawowych praw i wolności osoby, której dane dotyczą
3. Administrator jest obowiązany poinformować osobę, której dane dotyczą, na jej wniosek,
bez zbędnej zwłoki, nie później jednak niż w terminie miesiąca od dnia otrzymania wniosku,
o podstawie nieprzekazania informacji, o których mowa w art. 14 ust. 1, 2 i 4
rozporządzenia 2016/679

PwC
16
• Uzasadnione wątpliwości
co do tożsamości osoby
fizycznej składającej żądanie
• Przetwarzanie niewymagające
identyfikacji
• Forma ustna żądania
Weryfikacja
podmiotu
danych
16

Kara 50 mln
Euro dla Google
LLC
Decyzja CNIL
z 21/01/2019

PwC
18
PwC
Przejrzystość
komunikacji
Obowiązek
informacyjny
Podstawa
prawna
Naruszenia rozpatrywane przez CNIL
Skargi zbiorowe wniesione przez None of Your Business
i La Quadrature du Net
• Niejasność co do podstawy prawnej
(art. 6 RODO)
• Przejrzystość informacji
(art. 12 RODO)
• Błędy w obowiązku informacyjnym
(art. 13 RODO)

PwC
19
PwC
Przejrzystość
komunikacji
Obowiązek
informacyjny
Podstawa
prawna
Naruszenie zasad przejrzystej komunikacji
Art. 12 RODO – przejrzysta, zrozumiała
i łatwo dostępna forma komunikacji
Główne zarzuty:
• Aby otrzymać pełną informację
o zasadach przetwarzania danych,
użytkownik musi wykonać pięć
czynności.
• Informacje z art. 13 RODO są
rozproszone i trudno je znaleźć.
• Tytuły zakładek i dokumentów
nie odzwierciedlają zawartości.

PwC
20
PwC
Przejrzystość
komunikacji
Obowiązek
informacyjny
Podstawa
prawna
Wady podstawy prawnej
Art. 6 RODO – Podstawy prawne
Główne zarzuty:
• Z klauzul informacyjnych nie wynika
czy podstawą prawną jest zgoda
czy prawnie uzasadniony interes
• Zakwestionowano świadomy
charakter zgody (informacja jest
rozproszona)
• Jedna zgoda na wiele celów
• Zgody na personalizację zaznaczone
domyślnie

PwC
21
PwC
Wadliwie realizowany obowiązek informacyjny
Art. 13 RODO – Obowiązek informacyjny
Główne zarzuty:
• Informacja nie pozwala
na zrozumienie konsekwencji
przetwarzania danych.
• Błędna informacja o okresach
retencji.
Przejrzystość
komunikacji
Obowiązek
informacyjny
Podstawa
prawna

PwC
22
• Kwestia właściwości CNIL
• Wysokość kary
Pozostałe
kwestie
22

PwC
23
Treść obowiązku informacyjnego – Art. 13 RODO
– dane zbierane od osoby, której dotyczą
a) Tożsamość i dane kontaktowe ADO oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela
b) Gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych
c) Cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania
d) Jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub
przez stronę trzecią
e) Informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją
f) Gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji
międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub (…) wzmiankę
o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia
danych
g) Okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu
h) Informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania,
usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie
do przenoszenia danych
i) Informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano
na podstawie zgody przed jej cofnięciem
j) Informacje o prawie wniesienia skargi do organu nadzorczego
k) Informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz
czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych
l) Informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz - przynajmniej
w tych przypadkach - istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego
przetwarzania dla osoby, której dane dotyczą

PwC
24
Treść obowiązku informacyjnego – Art. 14 RODO
– dane zbierane od osoby innej niż podmiot danych
a) Tożsamość i dane kontaktowe ADO oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela
b) Gdy ma to zastosowanie - dane kontaktowe inspektora ochrony danych
c) Cele przetwarzania, do których mają posłużyć dane osobowe, oraz podstawę prawną przetwarzania
d) Kategorie odnośnych danych osobowych
e) Informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją
f) Gdy ma to zastosowanie - informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji
międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub (…) wzmiankę
o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia
danych
g) Okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu
h) Jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub
przez stronę trzecią
i) Informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania,
usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie
do przenoszenia danych
j) Jeżeli przetwarzanie odbywa się na podstawie zgody informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu
na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem
k) Informacje o prawie wniesienia skargi do organu nadzorczego
l) Informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której
dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych
m) Informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych
przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego
przetwarzania dla osoby, której dane dotyczą

Dziękujemy
za uwagę
© 2019 PwC Advisory spółka z ograniczoną odpowiedzialnością sp.k. (dawniej: PwC Polska sp. z o.o.) Wszelkie prawa zastrzeżone. PwC
może odnosić się zarówno do spółki członkowskiej w Polsce jak również do sieci PwC. Każda ze spółek stanowi odrębny i niezależny podmiot
prawny. Niniejsza treść ma charakter ogólny i nie powinna być używana jako odpowiednik konsultacji
z profesjonalnymi doradcami.
W PwC naszym celem jest budowanie zaufania wśród społeczeństwa i odpowiadanie na kluczowe wyzwania współczesnego świata.
Jesteśmy siecią firm działającą w 158 krajach. Zatrudniamy ponad 236 tysiące osób, dostarczających naszym klientom najwyższą jakość usług
w zakresie audytu, doradztwa biznesowego oraz doradztwa podatkowego i prawnego. Dowiedz się więcej na www.pwc.pl
Arwid Mednis
Partner
Arwid.Mednis@pwc.com
www.pwc.pl/rodo
Dagmara Jaskulak
Counsel
Dagmara.Jaskulak@pwc.com

DPO Talks - Rola Inspektora Ochrony Danych w realizacji praw i komunikacji z podmiotami danych

Recommended

Recommended

More Related Content

More from PwC Polska

More from PwC Polska (20)

DPO Talks - Rola Inspektora Ochrony Danych w realizacji praw i komunikacji z podmiotami danych