Podczas spotkania nasi eksperci skupili się na omówieniu zaangażowania Inspektora Ochrony Danych zarówno w realizację praw podmiotów, jak i skutecznej z nimi komunikacji.
RODO daje osobom fizycznym szereg uprawnień, dzięki którym mogą one łatwiej kontrolować, kto i w jaki sposób przetwarza ich dane osobowe. https://pwc.to/2twV232
2. PwC
Presentation Title [View > Master and edit/delete on very top slide master] Date [View > Master and edit/delete on very top slide master]
2
Przejrzystość
Zasady ogólne
Zwięzła, przejrzysta, zrozumiała i łatwo dostępna forma informacji
Jasny i prosty język (w szczególności, gdy informacje są kierowane do dziecka)
Obowiązek prowadzenia z podmiotem danych wszelkiej komunikacji na mocy art. 15–22 i 34
[prawa podmiotu danych] w sprawie przetwarzania
Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach
– elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić
ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą
3. PwC
Presentation Title [View > Master and edit/delete on very top slide master] Date [View > Master and edit/delete on very top slide master]
3
Przejrzystość
Informacja „Zwięzła, przejrzysta, zrozumiała i łatwo dostępna”
• Informacja wyraźnie wyodrębniona
• Dostosowana do grupy odbiorców
• Łatwo dostępna
4. PwC
Presentation Title [View > Master and edit/delete on very top slide master] Date [View > Master and edit/delete on very top slide master]
4
Jasny i prosty język (w szczególności, gdy
informacje są kierowane do dziecka)
• jednoznaczny
• „możemy” „może” „niektóre”
„często” „możliwe”
• zwroty niedookreślone i nieprecyzyjne
• język komunikacji kierowanej do dzieci
Przejrzystość
Język komunikacji
5. PwC
Presentation Title [View > Master and edit/delete on very top slide master] Date [View > Master and edit/delete on very top slide master]
5
Forma komunikacji
• Informacji udziela się na piśmie lub w inny sposób,
w tym w stosownych przypadkach – elektronicznie.
Jeżeli osoba, której dane dotyczą, tego zażąda,
informacji można udzielić ustnie, o ile innymi sposobami
potwierdzi się tożsamość osoby, której dane dotyczą
• Warstwowe oświadczenia
6. PwC
Presentation Title [View > Master and edit/delete on very top slide master] Date [View > Master and edit/delete on very top slide master]
6
Forma komunikacji
Pulpit nawigacyjny prywatności
7. PwC
Presentation Title [View > Master and edit/delete on very top slide master] Date [View > Master and edit/delete on very top slide master]
7
Forma komunikacji
„Just – in – time”
8. PwC
Presentation Title [View > Master and edit/delete on very top slide master] Date [View > Master and edit/delete on very top slide master]
8
Forma komunikacji
• Urządzenia mobilne
• Internet Rzeczy
• Inne „smart devices”
• Inne rodzaje „odpowiednich środków”
9. PwC
Presentation Title [View > Master and edit/delete on very top slide master] Date [View > Master and edit/delete on very top slide master]
9
Narzędzia wizualizacyjne
• Informacje można opatrzyć standardowymi znakami graficznymi,
które w widoczny, zrozumiały i czytelny sposób przedstawią
sens zamierzonego przetwarzania
• Jeżeli znaki te są przedstawione elektronicznie, muszą się
nadawać do odczytu maszynowego
• Znaki graficzne nie powinny zastępować informacji
• Celem jest zwiększenie przejrzystości
• Użyteczność zależy od standaryzacji symboli/rysunków
• Na Komisję nałożono obowiązek określenia informacji
przedstawianych za pomocą znaków graficznych i procedur
ustanowienia standardowych znaków graficznych
10. PwC
Presentation Title [View > Master and edit/delete on very top slide master] Date [View > Master and edit/delete on very top slide master]
10
Termin udzielenia odpowiedzi
• Bez zbędnej zwłoki
• W każdym razie w terminie miesiąca od otrzymania żądania
• Termin ten można przedłużyć o kolejne dwa miesiące
• W przypadku art. 13 - informacje podawane „podczas
pozyskiwania danych osobowych”
• W przypadku art. 14:
– najpóźniej w ciągu miesiąca
– najpóźniej przy pierwszej takiej komunikacji z osobą, której
dane dotyczą; lub
– najpóźniej przy ich pierwszym ujawnieniu innemu odbiorcy
• Niepodjęcie działań
11. PwC
Presentation Title [View > Master and edit/delete on very top slide master] Date [View > Master and edit/delete on very top slide master]
11
Komunikacja zmian w informacjach
• Powiadamianie o istotnych i dużych zmianach
• Istotne lub duże zmiany – wpływ na osoby, czy zmiana będzie
zaskakująca lub niespodziewana
• Zmiany istotne/duże: cel przetwarzania, tożsamość ADO,
sposób wykonywania praw
• Komunikowanie o zmianach tak, aby większość odbiorców je
dostrzegła – odpowiedni środek (e-mail, list, wyskakujące okno)
• Zobowiązanie użytkownika do śledzenia zmian?
• Z wyprzedzeniem w stosunku do wejścia zmiany (zasada
rzetelności)
• Przypomnienia o oświadczeniu o ochronie prywatności/polityce
prywatności
12. PwC
Presentation Title [View > Master and edit/delete on very top slide master] Date [View > Master and edit/delete on very top slide master]
12
Opłaty za komunikację z podmiotem danych
• Co do zasady komunikacja „wolna od opłat”
• Rozsądna opłata – opłata uwzględniająca administracyjne
koszty udzielenia informacji, prowadzenia komunikacji lub
podjęcia żądanych działań, gdy żądanie:
– ewidentnie nieuzasadnione lub nadmierne, w szczególności
ze względu na swój ustawiczny charakter
• Odmowa podjęcia działań lub nałożenie opłaty
13. PwC
Presentation Title [View > Master and edit/delete on very top slide master] Date [View > Master and edit/delete on very top slide master]
13
Wyjątki od obowiązku podania informacji
• Osoba, której dane dotyczą, dysponuje już tymi informacjami
• Udzielenie takich informacji okazuje się niemożliwe lub
wymagałoby niewspółmiernie dużego wysiłku lub o ile
obowiązek ten mógłby uniemożliwić lub poważnie utrudnić
realizację celów przetwarzania
• Pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem
Unii lub prawem państwa członkowskiego
• Dane osobowe muszą pozostać poufne zgodnie z obowiązkiem
zachowania tajemnicy zawodowej, w tym ustawowym
obowiązkiem zachowania tajemnicy
• Art. 23 RODO – w określonych sytuacjach państwa
członkowskie (lub UE) mogą ustanowić akty prawne dotyczące
dalszych ograniczeń zakresu praw osoby, której dane dotyczą,
w odniesieniu do przejrzystości i praw podmiotowych osoby
14. PwC
Presentation Title [View > Master and edit/delete on very top slide master] Date [View > Master and edit/delete on very top slide master]
14
Obowiązek informacyjny – wyjątki
• Ustawa z 10 maja 2018 r. o ochronie danych osobowych
Art. 3.
1. Administrator wykonujący zadanie publiczne nie przekazuje informacji, o których mowa
w art. 13 ust. 3 rozporządzenia 2016/679, jeżeli zmiana celu przetwarzania służy realizacji
zadania publicznego i niewykonanie obowiązku, o którym mowa w art. 13 ust. 3
rozporządzenia 2016/679, jest niezbędne dla realizacji celów, o których mowa w art. 23 ust.
1 tego rozporządzenia, oraz przekazanie tych informacji
1) uniemożliwi lub znacząco utrudni prawidłowe wykonanie zadania publicznego, a interes
lub podstawowe prawa lub wolności osoby, której dane dotyczą, nie są nadrzędne
w stosunku do interesu wynikającego z realizacji tego zadania publicznego lub
2) naruszy ochronę informacji niejawnych
2. W przypadku, o którym mowa w ust. 1, administrator zapewnia odpowiednie środki służące
ochronie interesu lub podstawowych praw i wolności osoby, której dane dotyczą
3. Administrator jest obowiązany poinformować osobę, której dane dotyczą, na jej wniosek,
bez zbędnej zwłoki, nie później jednak niż w terminie miesiąca od dnia otrzymania wniosku,
o podstawie nieprzekazania informacji, o których mowa w art. 13 ust. 3 rozporządzenia
2016/679
15. PwC
Presentation Title [View > Master and edit/delete on very top slide master] Date [View > Master and edit/delete on very top slide master]
15
Obowiązek informacyjny – wyjątki
• Art. 4 ustawy z 10 maja 2018 r. o ochronie danych osobowych
Art. 4.
1. W zakresie nieuregulowanym w art. 14 ust. 5 rozporządzenia 2016/679 administrator
wykonujący zadanie publiczne nie przekazuje informacji, o których mowa w art. 14
ust. 1, 2 i 4 rozporządzenia 2016/679, jeżeli służy to realizacji zadania publicznego
i niewykonanie obowiązku, o którym mowa w art. 14 ust. 1, 2 i 4 rozporządzenia 2016/679,
jest niezbędne dla realizacji celów, o których mowa w art. 23 ust. 1 tego rozporządzenia,
oraz przekazanie tych informacji
1) Uniemożliwi lub znacząco utrudni prawidłowe wykonanie zadania publicznego,
a interes lub podstawowe prawa lub wolności osoby, której dane dotyczą, nie są
nadrzędne w stosunku do interesu wynikającego z realizacji tego zadania publicznego
lub
2) Naruszy ochronę informacji niejawnych
2. W przypadku, o którym mowa w ust. 1, administrator zapewnia odpowiednie środki służące
ochronie interesu lub podstawowych praw i wolności osoby, której dane dotyczą
3. Administrator jest obowiązany poinformować osobę, której dane dotyczą, na jej wniosek,
bez zbędnej zwłoki, nie później jednak niż w terminie miesiąca od dnia otrzymania wniosku,
o podstawie nieprzekazania informacji, o których mowa w art. 14 ust. 1, 2 i 4
rozporządzenia 2016/679
16. PwC
Presentation Title [View > Master and edit/delete on very top slide master] Date [View > Master and edit/delete on very top slide master]
16
• Uzasadnione wątpliwości
co do tożsamości osoby
fizycznej składającej żądanie
• Przetwarzanie niewymagające
identyfikacji
• Forma ustna żądania
Weryfikacja
podmiotu
danych
16
18. PwC
Presentation Title [View > Master and edit/delete on very top slide master] Date [View > Master and edit/delete on very top slide master]
18
PwC
Przejrzystość
komunikacji
Obowiązek
informacyjny
Podstawa
prawna
Naruszenia rozpatrywane przez CNIL
Skargi zbiorowe wniesione przez None of Your Business
i La Quadrature du Net
• Niejasność co do podstawy prawnej
(art. 6 RODO)
• Przejrzystość informacji
(art. 12 RODO)
• Błędy w obowiązku informacyjnym
(art. 13 RODO)
19. PwC
Presentation Title [View > Master and edit/delete on very top slide master] Date [View > Master and edit/delete on very top slide master]
19
PwC
Przejrzystość
komunikacji
Obowiązek
informacyjny
Podstawa
prawna
Naruszenie zasad przejrzystej komunikacji
Art. 12 RODO – przejrzysta, zrozumiała
i łatwo dostępna forma komunikacji
Główne zarzuty:
• Aby otrzymać pełną informację
o zasadach przetwarzania danych,
użytkownik musi wykonać pięć
czynności.
• Informacje z art. 13 RODO są
rozproszone i trudno je znaleźć.
• Tytuły zakładek i dokumentów
nie odzwierciedlają zawartości.
20. PwC
Presentation Title [View > Master and edit/delete on very top slide master] Date [View > Master and edit/delete on very top slide master]
20
PwC
Przejrzystość
komunikacji
Obowiązek
informacyjny
Podstawa
prawna
Wady podstawy prawnej
Art. 6 RODO – Podstawy prawne
Główne zarzuty:
• Z klauzul informacyjnych nie wynika
czy podstawą prawną jest zgoda
czy prawnie uzasadniony interes
• Zakwestionowano świadomy
charakter zgody (informacja jest
rozproszona)
• Jedna zgoda na wiele celów
• Zgody na personalizację zaznaczone
domyślnie
21. PwC
Presentation Title [View > Master and edit/delete on very top slide master] Date [View > Master and edit/delete on very top slide master]
21
PwC
Wadliwie realizowany obowiązek informacyjny
Art. 13 RODO – Obowiązek informacyjny
Główne zarzuty:
• Informacja nie pozwala
na zrozumienie konsekwencji
przetwarzania danych.
• Błędna informacja o okresach
retencji.
Przejrzystość
komunikacji
Obowiązek
informacyjny
Podstawa
prawna
22. PwC
Presentation Title [View > Master and edit/delete on very top slide master] Date [View > Master and edit/delete on very top slide master]
22
• Kwestia właściwości CNIL
• Wysokość kary
Pozostałe
kwestie
22
23. PwC
Presentation Title [View > Master and edit/delete on very top slide master] Date [View > Master and edit/delete on very top slide master]
23
Treść obowiązku informacyjnego – Art. 13 RODO
– dane zbierane od osoby, której dotyczą
a) Tożsamość i dane kontaktowe ADO oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela
b) Gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych
c) Cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania
d) Jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub
przez stronę trzecią
e) Informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją
f) Gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji
międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub (…) wzmiankę
o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia
danych
g) Okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu
h) Informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania,
usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie
do przenoszenia danych
i) Informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano
na podstawie zgody przed jej cofnięciem
j) Informacje o prawie wniesienia skargi do organu nadzorczego
k) Informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz
czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych
l) Informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz - przynajmniej
w tych przypadkach - istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego
przetwarzania dla osoby, której dane dotyczą
24. PwC
Presentation Title [View > Master and edit/delete on very top slide master] Date [View > Master and edit/delete on very top slide master]
24
Treść obowiązku informacyjnego – Art. 14 RODO
– dane zbierane od osoby innej niż podmiot danych
a) Tożsamość i dane kontaktowe ADO oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela
b) Gdy ma to zastosowanie - dane kontaktowe inspektora ochrony danych
c) Cele przetwarzania, do których mają posłużyć dane osobowe, oraz podstawę prawną przetwarzania
d) Kategorie odnośnych danych osobowych
e) Informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją
f) Gdy ma to zastosowanie - informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji
międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub (…) wzmiankę
o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia
danych
g) Okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu
h) Jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub
przez stronę trzecią
i) Informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania,
usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie
do przenoszenia danych
j) Jeżeli przetwarzanie odbywa się na podstawie zgody informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu
na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem
k) Informacje o prawie wniesienia skargi do organu nadzorczego
l) Informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której
dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych
m) Informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych
przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego
przetwarzania dla osoby, której dane dotyczą