10 najważniejszych zmian w ochronie danych osobowych

„Co w RODO piszczy?” –
10 najważniejszych zmian w ochronie
danych osobowych
adw. Sylwia Kilińska
apl. adw. Rafał Mierkiewicz
Olga Kowalewska

31 marca 2017 r. RK LEGAL - RĄCZKOWSKI, KWIECIŃSKI ADWOKACI 2
Będziemy mówić o:
Głównych celach i założeniach RODO
Różnicach między dotychczasowymi a przyszłymi obowiązkami
przedsiębiorców względem GIODO
Klauzulach zgody według RODO
Prawach osób, których dane są przetwarzane
Sankcjach i ryzyku związanym z niewykonaniem wymogów
RODO

RK LEGAL - RĄCZKOWSKI, KWIECIŃSKI ADWOKACI 331 marca 2017 r.
ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE)
2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób
fizycznych w związku z przetwarzaniem danych osobowych
i w sprawie swobodnego przepływu takich danych oraz uchylenia
dyrektywy 95/46/WE.
Czym jest RODO?
Będzie dotyczyło:
Wszystkich przedsiębiorców prowadzących działalność
w UE przetwarzających dane obywateli Unii
Europejskiej.

Ochrona danych osobowych
Pytania:
 Kto podlega pod obowiązki spełnienia przepisów ochrony danych osobowych?
 Jakie kategorie przedsiębiorstw oraz jednostek organizacyjnych bez żadnych
wątpliwości podlegają pod obowiązki ochrony danych osobowych?

Istotne informacje
4 maja 2016 r. – publikacja RODO.
25 maja 2016 r. – wejście w życie.
Czas na dostosowanie: 2 lata.
Dotyczy: wszystkich przedsiębiorstw działających na
terenie Unii Europejskiej.
25 maja 2018 r. – od tej daty nowe prawo będzie
egzekwowane.

Nowe Rozporządzenie – koniec ustawy o ochronie
danych osobowych?
OBECNIE
Ustawa o ochronie
danych osobowych
Dyrektywa 95/46/WE
Akty wykonawcze, np.
rozporządzenia
RODO – zastępuje
ustawę o ochronie
danych osobowych
Nowa ustawa
o ochronie danych
osobowych
Dobre praktyki Prezesa
UODO
od 2018 r.

Projekt ustawy o ochronie danych osobowych
zmiana statusu
Prezes Urzędu Ochrony
Danych Osobowych

Zmiana statusu i rola ABI
ABI
Inspektor
Ochrony
Danych
Wyznaczenie inspektora ochrony danych będzie co do zasady fakultatywne.
W następujących sytuacjach będzie ono jednak obowiązkowe:
Jeżeli główna działalność przedsiębiorcy zakresie przetwarzania ze względu na swój charakter,
zakres lub cele wymaga regularnego i systematycznego monitorowania osób na dużą skalę.
Gdy główna działalność administratora lub podmiotu przetwarzającego polega na
przetwarzaniu danych wrażliwych.
Przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie
sprawowania przez nie wymiaru sprawiedliwości.

Zadania inspektora ochrony danych
Do zadań inspektora należy w szczególności:
 Informowanie pracowników o zasadach przetwarzania danych
osobowych
 Przeprowadzanie szkoleń personelu uczestniczącego
w przetwarzaniu danych osobowych
 Prowadzenie konsultacji w sprawach związanych
z przetwarzaniem danych osobowych
 Monitorowanie przestrzegania przepisów rozporządzenia
 Współpraca z organem nadzorczym, a także udzielanie porad na żądanie
co do oceny skutków pod kątem ochrony danych osobowych

Status Inspektora Ochrony Danych
Informacja o ustanowieniu IOD wraz z jego danymi są udostępniane:
 Organowi nadzorczemu.
 Osobom, których dane są przetwarzane (w formularzach zgody).
Rozporządzenie określa, że osoby, których dane się przetwarza, mogą
kontaktować się z inspektorem ochrony danych we wszystkich sprawach
związanych z przetwarzaniem ich danych oraz z korzystaniem z praw
przysługujących im na mocy niniejszego rozporządzenia.

Prowadzenie rejestru czynności przetwarzania.
Obowiązki względem osób, których dane są przetwarzane.
Konsekwencje powierzenia przetwarzania danych osobowych
zewnętrznemu podmiotowi.
Zgłaszanie naruszeń Prezesowi Urzędu Ochrony Danych
Osobowych.
Utworzenie nowych formularzy zgody.
Nowe obowiązki przedsiębiorców

Rejestr czynności przetwarzania
Obecnie każdy podmiot posiada obowiązek
rejestracji zbioru danych osobowych w GIODO
w przypadku nie wyznaczenia ABI.
Wraz z wejściem w życie RODO znika obowiązek
zgłaszania bazy danych dla GIODO na rzecz
obowiązku prowadzenia rejestru czynności
przetwarzanych.

Obowiązek „rejestrowania czynności przetwarzania”
Art. 30 Rozporządzenia stanowi, iż „Każdy administrator oraz – gdy ma
to zastosowanie – przedstawiciel administratora prowadzą rejestr
czynności przetwarzania danych osobowych, za które odpowiadają.”
Obowiązek prowadzenia rejestru czynności przetwarzania dotyczy:
Przetwarzanie, którego dokonują, może powodować ryzyko naruszenia
praw lub wolności osób, których dane dotyczą.
Przetwarzanie nie ma charakteru sporadycznego.
Przetwarzanie obejmuje szczególną kategorię danych osobowych,
o których mowa w art. 9 ust. 1 rozporządzenia.
Przedsiębiorcy lub podmiotu zatrudniającego powyżej 250 osób.
Przedsiębiorcy lub podmioty zatrudniające mniej niż 250 osób, jeżeli:

Rejestr czynności przetwarzania
Rejestr prowadzony przez administratora danych powinien zawierać:
 Imię i nazwisko lub nazwę administratora wraz z jego danymi
kontaktowymi oraz wszystkich współadministratorów.*
 Jeżeli administrator posiada przedstawiciela na terenie Unii, również
jego dane.
 W przypadku wyznaczenia IODO powinien także w rejestrze wskazać
jego imię i nazwisko oraz dane kontaktowe.
 wskazanie w rejestrze celów przetwarzania danych.
 wskazać kategorie przetwarzanych danych osobowych oraz opis
kategorii osób, których dane dotyczą.
*Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania,
są oni współadministratorami.

Wzór rejestru czynności przetwarzania

Zgłaszanie naruszeń Prezesowi UODO
Artykuł 33 RODO
„Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu
w przypadku naruszenia ochrony danych osobowych, administrator bez
zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin
po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu (…), chyba
że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem
naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego
organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie
przyczyn opóźnienia.”

Powierzanie przetwarzania danych osobowych
Administrator Danych może powierzyć przetwarzanie danych osobowych innemu
podmiotowi na podstawie umowy o przetwarzania danych osobowych zawieranej
pomiędzy administratorem danych a podmiotem przyjmującym dane w powierzenie
tzw. procesorem.
Umowa powierzania może dotyczyć różnych form przetwarzania danych np.:
przetwarzanie danych w chmurze, przez firmy marketingowe, kurierów czy
wszelkiego rodzaju outsourcing’ów takich jak księgowości, IT.

Powierzanie przetwarzania danych osobowych
Ustawa o ochronie danych osobowych Rozporządzenie „ RODO”
Podstawa Art.31 Art. 28
Forma umowy Forma pisemna Forma pisemna, w tym
elektroniczna
Elementy umowy • Zakres danych osobowych
• Cel przetwarzania
• Przedmiot
• czas trwania powierzenia
• charakter i cel przetwarzania
• rodzaj danych osobowych
• kategorie osób, których dane
dotyczą
• warunki podpowierzenia
przetwarzania danych
• obowiązki i prawa
administratora danych
• obowiązki procesora
Podpowierzenie
•brak regulacji •pisemna zgoda administratora
danych (szczegółowa lub ogólna)

Konsekwencje powierzenia przetwarzania danych
osobowych zewnętrznemu podmiotowi
Zasadą jest, że odpowiedzialność za przestrzeganie przepisów spoczywa na
Administratorze danych, ale w przypadku powierzenia nie wyłącza to odpowiedzialności
podmiotu, z którym została zawarta umowa.
Podmiot przyjmujący dane w powierzenie ponosi odpowiedzialność cywilną w stosunku
do administratora, która wynika z postanowień umowy.

Podstawy przetwarzania danych osobowych
Rozporządzenie zawiera zamknięty katalog warunków, w jakich przetwarzanie danych może zostać
uznane za zgodne z prawem. Następujące sytuacje mogą być podstawą przetwarzania danych:
 Osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym
lub większej liczbie określonych celów (m.in. wyrażenie zgody na tzw. formularzach)
 Przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą,
lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.
 Przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.
 Przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej
osoby fizycznej.
 Przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub
w ramach sprawowania władzy publicznej powierzonej administratorowi.

Nowe zasady dotyczące zgód na
przetwarzanie danych osobowych
2017-04-04 RK LEGAL - RĄCZKOWSKI, KWIECIŃSKI ADWOKACI 21
Uzyskanie zgody osoby, której dane mają być
przetwarzane.
Sposoby wyrażania zgody.
Automatyczne zaznaczanie zgody jest zabronione.
Zakaz łączenia zgód na przetwarzanie danych.
Zgoda wyrażona bez przymusu.

2017-04-04
RK LEGAL - RĄCZKOWSKI, KWIECIŃSKI ADWOKACI
22
Uzyskanie zgody
Elementy zgody :
 Zgoda musi zostać udzielona przed rozpoczęciem przetwarzania danych osobowych.
 Zgoda na przetwarzanie danych osobowych powinna być udzielona za pomocą
klarownego, potwierdzającego czynność działania lub oświadczenia złożonego
w formie pisemnej lub ustnej.
 Zgoda musi być odrębnym oświadczeniem woli.
 Zgoda musi być konkretna (dotyczyć konkretnych danych, przetwarzanych
w konkretnym czasie i w konkretnym celu).
 Poparta rzetelną informacją o: administratorze danych, prawie do poprawy lub
usunięcia danych, obowiązku lub braku obowiązki ich podania, ewentualnym
przekazaniu danych podmiotom trzecim – tzw. klauzula informacyjna.
 Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę.
Późniejsze załączenie klauzuli zgody

Formy wyrażenia zgody
Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być
w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie
swoich danych osobowych.
Forma pisemna Checkboxy Telefoniczna

Wzór poprawnego formularza zgody
Wyrażam zgodę na przetwarzanie moich danych osobowych zgodnie
z ustawą o ochronie danych osobowych w związku z ( np. realizacją
zgłoszenia). Podanie danych jest dobrowolne, ale niezbędne do
przetworzenia zapytania. Zostałem /am poinformowany /a, że przysługuje
mi prawo do:
1) dostępu do swoich danych, możliwości ich sprostowania;
2) wniesienia sprzeciwu;
3) żądania zaprzestania ich przetwarzania i wycofania zgody na
przetwarzanie danych;
4) przenoszenia danych osobowych.
5) „bycia zapomnianym”,
Administratorem danych osobowych jest [pełna nazwa firmy]
z siedzibą [adres firmy].

Zgoda bez przymusu
Zgodnie z art. 7 ust. 4 RODO: „Oceniając, czy zgodę wyrażono dobrowolnie, w jak największym
stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest
uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych
osobowych nie jest niezbędne do wykonania tej umowy”.
PRZYKŁAD:

Co w przypadku, gdy firma przekazuje dane
podmiotom trzecim?
Wyrażam zgodę na przetwarzanie moich danych
osobowych przez Nazwa firmy z siedzibą adres firmy,
jako administratora danych osobowych, w celu
realizacji usług dostępnych w serwisie oraz w celach
marketingowych, w tym na otrzymywanie na podany
adres e-mail informacji handlowej wysłanej przez
[nazwa firmy] w imieniu własnym lub na zlecenie jej
partnerów biznesowych, a także na przekazywanie
danych osobowych innym podmiotom.
Jeżeli Administrator przekazuje dane podmiotom trzecim, pod formularzem
powinna znaleźć się kolejna zgoda informująca o takiej praktyce, a użytkownik
powinien mieć możliwość wyrażenia na to zgody lub nie.
Czyli kto może być
odbiorcą danych ?

Wzór klauzuli informacyjnej

Prawa osób, których dane są przetwarzane
Prawo do bycia zapomnianym.
Prawo żądania sprostowania i uzupełnienia danych.
Prawo sprzeciwu wobec przetwarzania danych.
Prawo dostępu do danych i informacji.
Prawo do przeniesienia danych.

Prawo do bycia zapomnianym
Osoba, której dane dotyczą, ma prawo żądania od
administratora niezwłocznego usunięcia dotyczących jej
danych osobowych, a administrator ma obowiązek bez
zbędnej zwłoki usunąć dane osobowe.
Obowiązek ten powstaje, gdy zachodzi jedna
z poniższych sytuacji:
Dane osobowe nie są już administratorowi
niezbędne;
Została cofnięta zgoda na przetwarzanie danych
osobowych;
Osoba, której dane dotyczą wnosi sprzeciw co do ich
przetwarzania;
Dane osobowe były przetwarzane niezgodnie
z prawem.

Prawo do bycia zapomnianym – kto może korzystać?
Wszystkie osoby, które przekazały swoje dane osobowe oraz osoby, które
nie przekazały swoich danych bezpośrednio, ale dane te zostały w inny
sposób pozyskane przez administratora.
np. w przypadku pozyskania danych w wyniku działań reklamowych czy
promocyjnych.
Prawo nie przysługuje dla osób przekazujących swoje dane na podstawie
umowy.

Prawo do przenoszenia danych
Każda osoba ma prawo do otrzymania danych osobowych, które
dostarczyła administratorowi. Prawo do przeniesienia danych umożliwia
również żądanie, aby to administrator posiadający dane przesłał je
innemu administratorowi.
Administrator ma przekazać dane osobowe w ustrukturyzowanym formacie
(np. w pliku pdf), tak aby możliwy był ich odczyt komputerowy.
Uprawnienie to może być przez daną osobę zrealizowane, jeżeli
przetwarzanie odbywa się na podstawie zgody wyrażonej przez tę osobę lub
na podstawie umowy z nią zawartej oraz jeżeli przetwarzanie odbywa się
w sposób zautomatyzowany.

Prawo do przenoszenia danych – obowiązki
administratora
Przygotowanie nowych systemów do odpowiadania
na żądania o przenoszenie danych.
Opracowanie procedur w celu sprawnego
odpowiadania na zgłoszone żądania.

Prawo żądania sprostowania danych i ich
uzuopełnienia
Na żądanie uprawnionego, administrator będzie miał obowiązek
udostępnić kopię danych podlegających przetwarzaniu oraz
wprowadzić odpowiednie zmiany do systemu.

Prawo dostępu do danych i informacji
Obowiązek administratorów danych do przekazywania osobie fizycznej
podczas pozyskiwania jej danych, następujących informacji:
 Tożsamości i danych kontaktowych administratora
 Celu przetwarzania danych osobowych
 Informacji o odbiorcach danych osobowych
 Okresu, przez jaki dane osobowe będą przetwarzane
 Gdy ma to zastosowanie – informacji o zamiarze przekazania danych
osobowych poza Unię Europejską oraz wzmianki o odpowiednich
zabezpieczeniach danych osobowych stosowanych przez podmiot,
któremu dane są przekazywane

Prawo do złożenia sprzeciwu
Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść
sprzeciw, może z tego prawa skorzystać m.in. gdy dane osobowe konkretnej
osoby są przetwarzane na potrzeby marketingu bezpośredniego (w tym
z wykorzystaniem metod profilowania danych).
Prawo do sprzeciwu można wykonać za pośrednictwem
zautomatyzowanych środków wykorzystujących specyfikacje
techniczne.

Sankcje
Zgodnie z regulacjami UODO, GIODO
nie może nakładać kar finansowych,
aczkolwiek może nakładać grzywnę
administracyjna w wysokości 50.000
zł w celu przymuszenia do
wykonania wydanej przez niego
decyzji administracyjnej.
Za wielokrotne niewykonywanie
decyzji GIODO wysokość grzywny
przymuszającej może wynieść
maksymalnie 200.000 zł.
W zależności od kategorii
naruszenia przepisów RODO
przewiduje kary finansowe w
wysokości:
10.000.000 EUR lub 2%
całkowitego rocznego
światowego obrotu
przedsiębiorstwa
20.000.000 EUR lub 4 %
całkowitego rocznego obrotu
przedsiębiorstwa.
Do 24 maja 2018 Od 25 maja 2018 r.

Sankcje
Karę organ nadzorczy będzie mógł nałożyć m.in. za:

Zapraszamy do kontaktu
RK LEGAL - RĄCZKOWSKI, KWIECIŃSKI ADWOKACI 38
Rączkowski, Kwieciński Adwokaci
ul. Wilcza 46, IV p.,
00-679 Warszawa
www.rklegal.pl
www.rklwindykacja.pl
Tel: 22 380 33 44
Fax: 22 380 33 46
E-mail: kancelaria@rklegal.pl
RK LEGAL w serwisie LinkedIn
www.linkedin.com/company/rączkowski-
kwieciński-adwokaci
RK LEGAL w serwisie Google plus
Google.com/+
RączkowskiKwiecińskiAdwokaciWarszawa
Cup of Law
cupoflaw@rklegal.pl

10 najważniejszych zmian w ochronie danych osobowych

Recommended

Recommended

More Related Content

What's hot

What's hot (19)

Similar to 10 najważniejszych zmian w ochronie danych osobowych

Similar to 10 najważniejszych zmian w ochronie danych osobowych (20)

More from RK Legal

More from RK Legal (16)

10 najważniejszych zmian w ochronie danych osobowych

Editor's Notes