SlideShare uses cookies to improve functionality and performance, and to provide you with relevant advertising. If you continue browsing the site, you agree to the use of cookies on this website. See our User Agreement and Privacy Policy.
SlideShare uses cookies to improve functionality and performance, and to provide you with relevant advertising. If you continue browsing the site, you agree to the use of cookies on this website. See our Privacy Policy and User Agreement for details.
Successfully reported this slideshow.
Activate your 14 day free trial to unlock unlimited reading.
RODO – Jak skutecznie wypełnić obowiązek informacyjny i uniknąć kary
Prezentacja z wystąpienia Sławomira Głaza w trakcie ogólnopolskiej konferencji dla brokerów informacji i branż pokrewnych: IV Warsztat Pracy Infobrokera - 4.0 WPI
Prelegenci: Sławomir Głaz, SEFO
Wydarzenie: IV Warsztat Pracy Infobrokera - WPI 4.0
Miejsce: Wydział Zarządzania i Komunikacji Społecznej UJ, Kraków
Data: 28-29.05.2019
Więcej informacji o konferencji znajdziesz na www.spi.org.pl
Prezentacja z wystąpienia Sławomira Głaza w trakcie ogólnopolskiej konferencji dla brokerów informacji i branż pokrewnych: IV Warsztat Pracy Infobrokera - 4.0 WPI
Prelegenci: Sławomir Głaz, SEFO
Wydarzenie: IV Warsztat Pracy Infobrokera - WPI 4.0
Miejsce: Wydział Zarządzania i Komunikacji Społecznej UJ, Kraków
Data: 28-29.05.2019
Więcej informacji o konferencji znajdziesz na www.spi.org.pl
RODO – Jak skutecznie wypełnić obowiązek informacyjny i uniknąć kary
1.
RODO - jak skutecznie wypełnić
obowiązek informacyjny i uniknąć
kary (!?)
Sławomir Głaz
IV Warsztat Pracy Infobrokera
Kraków | 28-29.05.2019
1
2.
Sławomir Głaz
● Inspektor Ochrony Danych w dużej jednostce
ochrony zdrowia
● z ochroną danych osobowych związany od 10 lat
● 2008 - 2011 wydawca jednego z większych portali
o tematyce bezpieczeństwa informacji
● autor artykułów w pismach branżowych
● 2018 - członek Grupy Roboczej ds. Ochrony
Danych Osobowych przy Ministerstwie Cyfryzacji
2
3.
Obowiązek informacyjny
jeden z ważniejszych artykułów ogólnego rozporządzenia o ochronie
danych osobowych
3
4.
Obowiązek informacyjny
Osoba
PRAWO
Administrator
OBOWIĄZEK
4
6.
Dwa sposoby pozyskiwania danych
1
Art 13
Informacje podawane
w przypadku zbierania
danych od osoby, której
dane dotyczą
2
Art 14
Informacje podawane
w przypadku pozyskiwania
danych osobowych w sposób
inny niż od osoby, której dane
dotyczą
6
8.
Kiedy informować o przetwarzaniu danych?
8
Art. 13 OD RAZU
9.
Kiedy informować o przetwarzaniu danych?
9
Art. 14
a) w rozsądnym terminie po pozyskaniu danych
osobowych – najpóźniej w ciągu miesiąca
b) jeżeli dane osobowe mają być stosowane do
komunikacji z osobą, której dane dotyczą –
najpóźniej przy pierwszej takiej komunikacji
z osobą, której dane dotyczą;
c) jeżeli planuje się ujawnić dane osobowe
innemu odbiorcy – najpóźniej przy ich
pierwszym ujawnieniu.
11.
Czy trzeba informować?
*Wyjątki / Art 14 pkt 5/
11
1 osoba, której dane dotyczą, dysponuje już tymi informacjami;
1 udzielenie takich informacji okazuje się niemożliwe lub wymagałoby
niewspółmiernie dużego wysiłku (...)
W takich przypadkach administrator (...)udostępnia informacje publicznie.
1 pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub
prawem państwa członkowskiego
1 dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania
tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa
członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy
13.
Obowiązek informacyjny
RODO nakłada na administratorów obowiązek przekazywania osobom,
których dane dotyczą szerokiego zakresu informacji
13
14.
Klauzula informacyjna
w przypadku zbierania danych od osoby, której dane dotyczą
swoją tożsamość i dane kontaktowe
/precyzyjne określenie/
gdy ma to zastosowanie - dane kontaktowe Inspektora Ochrony Danych
/e-mail; adres korespondencyjny; nr telefonu/
cele przetwarzania danych oraz podstawę prawną
/wyartykułowanie celu/
jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie
uzasadnione interesy realizowane przez administratora
/opisanie interesu/
15.
Klauzula informacyjna
w przypadku zbierania danych od osoby, której dane dotyczą
15
gdy ma to zastosowanie – informacje o zamiarze przekazania danych
osobowych do państwa trzeciego
okres, przez który dane osobowe będą przechowywane, a gdy nie jest to
możliwe, kryteria ustalania tego okresu
/czas musi być podany i z czegoś wynikać/
informacje o odbiorcach danych osobowych lub o kategoriach odbiorców,
jeżeli istnieją
/unikanie określenia “MOŻEMY”, a precyzyjne wskazanie/
16.
Klauzula informacyjna
w przypadku zbierania danych od osoby, której dane dotyczą
16
informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu
na zgodność z prawem przetwarzania, którego dokonano na podstawie
zgody przed jej cofnięciem
informacje o prawie do żądania od administratora dostępu do danych
osobowych dotyczących osoby, której dane dotyczą, ich sprostowania,
usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia
sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
17.
Klauzula informacyjna
w przypadku zbierania danych od osoby, której dane dotyczą
17
informacje o prawie wniesienia skargi do organu nadzorczego
/pełen adres/
informację, czy podanie danych osobowych jest wymogiem ustawowym lub
umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane
dotyczą, jest zobowiązana do ich podania i jakie są ewentualne
konsekwencje niepodania danych;
informacje o zautomatyzowanym podejmowaniu decyzji
18.
Klauzula informacyjna
w przypadku zbierania danych w sposób inny niż od osoby, której
dane dotyczą
18
źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy
pochodzą one ze źródeł publicznie dostępnych;
Dodatkowo
20.
Obowiązek informacyjny
20
Spełnienie obowiązku informacyjnego nie musi być czynnością
jednorazową!
21.
Obowiązek informacyjny
21
Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym
niż cel, w którym te dane zostały pozyskane, przed takim dalszym
przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu
Ponownie informujemy,:
22.
Ułatwienia w wykonaniu obowiązku
informacyjnego
22
Administrator będący mikroprzedsiębiorcą może zrealizować obowiązek
informacyjny poprzez wywieszenie w widocznym miejscu w lokalu
przedsiębiorstwa lub udostępnienie na swojej stronie internetowej
stosownych informacji (art. 4a ust. 1 ustawy o prawach konsumenta)
24.
Sposób przekazywania informacji
Zasada przejrzystości wymaga, by wszelkie informacje kierowane do ogółu
społeczeństwa lub osoby, której dane dotyczą, były zwięzłe, łatwo
dostępne i zrozumiałe, by były formułowane jasnym i prostym językiem,
a w stosownych przypadkach, dodatkowo wizualizowane. (...)
Motyw 58
24
25.
Sposób przekazywania informacji
Administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej,
zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w
szczególności gdy informacje są kierowane do dziecka – udzielić osobie,
której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14 (...)
Art 12 RODO
25
26.
Sposób przekazywania informacji
(...)Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie
komunikaty związane z przetwarzaniem tych danych osobowych były łatwo
dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem.
Zasada ta dotyczy w szczególności informowania osób, których dane
dotyczą, o tożsamości administratora i celach przetwarzania (...)
Motyw 39
26
30.
Rok z RODO
25.05. 18
Wejście w życie ogólnego
rozporządzenia
o ochronie
danych osobowych
12.18
03.19
???
30
10 tysięcy skarg, pytań i
zgłoszeń odnotował
UODO
943 tys zł
pierwsza kara finansowa
w Polsce
05.19
ustawa wdrażająca
RODO
55 tys zł
druga kara finansowa
w Polsce