1.
RODO - jak skutecznie wypełnić
obowiązek informacyjny i uniknąć
kary (!?)
Sławomir Głaz
IV Warsztat Pracy Infobrokera
Kraków | 28-29.05.2019
1

2.
Sławomir Głaz
● Inspektor Ochrony Danych w dużej jednostce
ochrony zdrowia
● z ochroną danych osobowych związany od 10 lat
● 2008 - 2011 wydawca jednego z większych portali
o tematyce bezpieczeństwa informacji
● autor artykułów w pismach branżowych
● 2018 - członek Grupy Roboczej ds. Ochrony
Danych Osobowych przy Ministerstwie Cyfryzacji
2

3.
Obowiązek informacyjny
jeden z ważniejszych artykułów ogólnego rozporządzenia o ochronie
danych osobowych
3

4.
Obowiązek informacyjny
Osoba
PRAWO
Administrator
OBOWIĄZEK
4

5.
Pozyskiwanie
danych
5

6.
Dwa sposoby pozyskiwania danych
1
Art 13
Informacje podawane
w przypadku zbierania
danych od osoby, której
dane dotyczą
2
Art 14
Informacje podawane
w przypadku pozyskiwania
danych osobowych w sposób
inny niż od osoby, której dane
dotyczą
6

7.
Termin
informowania
7

8.
Kiedy informować o przetwarzaniu danych?
8
Art. 13 OD RAZU

9.
Kiedy informować o przetwarzaniu danych?
9
Art. 14
a) w rozsądnym terminie po pozyskaniu danych
osobowych – najpóźniej w ciągu miesiąca
b) jeżeli dane osobowe mają być stosowane do
komunikacji z osobą, której dane dotyczą –
najpóźniej przy pierwszej takiej komunikacji
z osobą, której dane dotyczą;
c) jeżeli planuje się ujawnić dane osobowe
innemu odbiorcy – najpóźniej przy ich
pierwszym ujawnieniu.

10.
Czy trzeba informować?
Tak*.
10

11.
Czy trzeba informować?
*Wyjątki / Art 14 pkt 5/
11
1 osoba, której dane dotyczą, dysponuje już tymi informacjami;
1 udzielenie takich informacji okazuje się niemożliwe lub wymagałoby
niewspółmiernie dużego wysiłku (...)
W takich przypadkach administrator (...)udostępnia informacje publicznie.
1 pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub
prawem państwa członkowskiego
1 dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania
tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa
członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy

12.
O czym informować
12

13.
Obowiązek informacyjny
RODO nakłada na administratorów obowiązek przekazywania osobom,
których dane dotyczą szerokiego zakresu informacji
13

14.
Klauzula informacyjna
w przypadku zbierania danych od osoby, której dane dotyczą
swoją tożsamość i dane kontaktowe
/precyzyjne określenie/
gdy ma to zastosowanie - dane kontaktowe Inspektora Ochrony Danych
/e-mail; adres korespondencyjny; nr telefonu/
cele przetwarzania danych oraz podstawę prawną
/wyartykułowanie celu/
jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie
uzasadnione interesy realizowane przez administratora
/opisanie interesu/

15.
Klauzula informacyjna
w przypadku zbierania danych od osoby, której dane dotyczą
15
gdy ma to zastosowanie – informacje o zamiarze przekazania danych
osobowych do państwa trzeciego
okres, przez który dane osobowe będą przechowywane, a gdy nie jest to
możliwe, kryteria ustalania tego okresu
/czas musi być podany i z czegoś wynikać/
informacje o odbiorcach danych osobowych lub o kategoriach odbiorców,
jeżeli istnieją
/unikanie określenia “MOŻEMY”, a precyzyjne wskazanie/

16.
Klauzula informacyjna
w przypadku zbierania danych od osoby, której dane dotyczą
16
informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu
na zgodność z prawem przetwarzania, którego dokonano na podstawie
zgody przed jej cofnięciem
informacje o prawie do żądania od administratora dostępu do danych
osobowych dotyczących osoby, której dane dotyczą, ich sprostowania,
usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia
sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;

17.
Klauzula informacyjna
w przypadku zbierania danych od osoby, której dane dotyczą
17
informacje o prawie wniesienia skargi do organu nadzorczego
/pełen adres/
informację, czy podanie danych osobowych jest wymogiem ustawowym lub
umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane
dotyczą, jest zobowiązana do ich podania i jakie są ewentualne
konsekwencje niepodania danych;
informacje o zautomatyzowanym podejmowaniu decyzji

18.
Klauzula informacyjna
w przypadku zbierania danych w sposób inny niż od osoby, której
dane dotyczą
18
źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy
pochodzą one ze źródeł publicznie dostępnych;
Dodatkowo

19.
Kiedy informować
19

20.
Obowiązek informacyjny
20
Spełnienie obowiązku informacyjnego nie musi być czynnością
jednorazową!

21.
Obowiązek informacyjny
21
Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym
niż cel, w którym te dane zostały pozyskane, przed takim dalszym
przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu
Ponownie informujemy,:

22.
Ułatwienia w wykonaniu obowiązku
informacyjnego
22
Administrator będący mikroprzedsiębiorcą może zrealizować obowiązek
informacyjny poprzez wywieszenie w widocznym miejscu w lokalu
przedsiębiorstwa lub udostępnienie na swojej stronie internetowej
stosownych informacji (art. 4a ust. 1 ustawy o prawach konsumenta)

23.
Jakość komunikacji
23

24.
Sposób przekazywania informacji
Zasada przejrzystości wymaga, by wszelkie informacje kierowane do ogółu
społeczeństwa lub osoby, której dane dotyczą, były zwięzłe, łatwo
dostępne i zrozumiałe, by były formułowane jasnym i prostym językiem,
a w stosownych przypadkach, dodatkowo wizualizowane. (...)
Motyw 58
24

25.
Sposób przekazywania informacji
Administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej,
zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w
szczególności gdy informacje są kierowane do dziecka – udzielić osobie,
której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14 (...)
Art 12 RODO
25

26.
Sposób przekazywania informacji
(...)Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie
komunikaty związane z przetwarzaniem tych danych osobowych były łatwo
dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem.
Zasada ta dotyczy w szczególności informowania osób, których dane
dotyczą, o tożsamości administratora i celach przetwarzania (...)
Motyw 39
26

27.
Rozliczalność
27

28.
Czy klauzula informacyjna musi być
podpisana?
● Tak
● Nie
● Nie zaszkodzi
28

29.
Rok
z RODO
29

30.
Rok z RODO
25.05. 18
Wejście w życie ogólnego
rozporządzenia
o ochronie
danych osobowych
12.18
03.19
???
30
10 tysięcy skarg, pytań i
zgłoszeń odnotował
UODO
943 tys zł
pierwsza kara finansowa
w Polsce
05.19
ustawa wdrażająca
RODO
55 tys zł
druga kara finansowa
w Polsce

31.
Dziękuję
31
Sławomir Głaz
www.sefo.pl
kontakt@sefo.pl