DPO Talks - Rola Inspektora Ochrony Danych w realizacji praw podmiotów danych, cz.2

DPO Talks:
Komunikacja
z podmiotami
danych
Część 2
Prezentacja PwC
11.04.2019

Pierwsza kara
nałożona przez
PUODO w wysokości
943 tys. PLN
Decyzja PUODO
z 15/03/2019

PwC
Presentation Title [View > Master and edit/delete on very top slide master] Date [View > Master and edit/delete on very top slide master]
3
Kara 943 tys. PLN
Decyzja PUODO z 15.03.2019 r. dot. wywiadowni gospodarczej
• Nakaz poinformowania podmiotów, w tym również „nieaktywnych” przedsiębiorców;
• Kara 943 tys. PLN
Główne wątpliwości:
• Mamy do czynienia z podmiotami gospodarczymi (zasada jawności obrotu
gospodarczego, jawność rejestrów i ewidencji typu CEIDG);
• Część danych zebrana przed 25.05.2018 r. (organy wyrażały stanowisko, że
obowiązek informacyjny nie musi być realizowany „wstecznie”);
• „Umyślny” charakter czynu;
• Przesłanki orzeczenia o karze i jej wysokości
• Brak możliwości realizacji obowiązku lub niewspółmiernie duży wysiłek

PwC
4
• Podpisanie przez Prezydenta
RP ustawy o zmianie
niektórych ustaw w związku
z zapewnieniem stosowania
RODO
Zmiany
w otoczeniu
regulacyjnym
4

PwC
5
Kodeks Pracy
Art. 22(1). § 1. Pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych
obejmujących:
1) imię (imiona) i nazwisko;
2) datę urodzenia;
3) dane kontaktowe wskazane przez taką osobę;
4) wykształcenie;
5) kwalifikacje zawodowe;
6) przebieg dotychczasowego zatrudnienia.
§ 2. Pracodawca żąda podania danych osobowych, o których mowa w § 1 pkt 4–6, gdy jest to niezbędne do
wykonywania pracy określonego rodzaju lub na określonym stanowisku.
§ 3. Pracodawca żąda od pracownika podania dodatkowo danych osobowych obejmujących:
1) adres zamieszkania;
2) numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość;
3) inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej
rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych
uprawnień przewidzianych w prawie pracy;
4) wykształcenie i przebieg dotychczasowego zatrudnienia, jeżeli nie istniała podstawa do ich żądania od
osoby ubiegającej się o zatrudnienie;
5)numer rachunku patniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych.

PwC
6
Kodeks Pracy
Art. 22(1a). § 1. Zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić
podstawę przetwarzania przez pracodawcę innych danych osobowych niż wymienione w art. 22(1) §
1 i 3, z wyjątkiem danych osobowych, o których mowa w art. 10 rozporządzenia Parlamentu Europejskiego
i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z
przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia
dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z
późn. zm.3)), zwanego dalej „rozporządzeniem 2016/679”.
Art. 22(1b.) § 1. Zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić
podstawę przetwarzania przez pracodawcę danych osobowych, o których mowa w art. 9 ust. 1
rozporządzenia 2016/679, wyłącznie w przypadku, gdy przekazanie tych danych osobowych następuje z
inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika. Przepis art. 22(1a) § 2 stosuje się
odpowiednio.
§ 2. Przetwarzanie danych biometrycznych pracownika jest dopuszczalne także wtedy, gdy podanie
takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których
ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej
ochrony.

PwC
7
Zakładowy Fundusz Świadczeń Socjalnych
Art. 8 ust.1a. Udostępnienie pracodawcy danych osobowych osób uprawnionych do
korzystania z Funduszu, w celu przyznania ulgowej usługi i świadczenia oraz dopłaty z
Funduszu i ustalenia ich wysokości, następuje w formie oświadczenia. Pracodawca może żądać
udokumentowania danych osobowych w zakresie niezbędnym do ich potwierdzenia. Potwierdzenie
może odbywać się w szczególności na podstawie oświadczeń i zaświadczeń o sytuacji życiowej (w
tym zdrowotnej), rodzinnej i materialnej osoby uprawnionej do korzystania z Funduszu.
1c. Pracodawca przetwarza dane osobowe, o których mowa w ust. 1a, przez okres niezbędny do
przyznania ulgowej usługi i świadczenia, dopłaty z Funduszu oraz ustalenia ich wysokości, a także
przez okres niezbędny do dochodzenia praw lub roszczeń.
1d. Pracodawca dokonuje przeglądu danych osobowych, o których mowa w ust. 1a, nie
rzadziej niż raz w roku kalendarzowym w celu ustalenia niezbędności ich dalszego
przechowywania. Pracodawca usuwa dane osobowe, których dalsze przechowywanie jest zbędne
do realizacji celu określonego w ust. 1a.i 1c.

PwC
8
Kodeks Pracy i Zakładowy Fundusz Świadczeń Socjalnych
Kodeks Pracy
Art. 22 (1b) § 3. Do przetwarzania danych osobowych, o których mowa w § 1, mogą być
dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania
takich danych wydane przez pracodawcę. Osoby dopuszczone do przetwarzania takich
danych są obowiązane do zachowania ich w tajemnicy.
Zakładowy Fundusz Świadczeń Socjalnych
Art. 8 § 1b. Do przetwarzania danych osobowych dotyczących zdrowia, o których mowa w
art. 9 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27
kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych
osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy
95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str.
1, z późn. zm.3)), mogą być dopuszczone wyłącznie osoby posiadające pisemne
upoważnienie do przetwarzania takich danych wydane przez pracodawcę. Osoby
dopuszczone do przetwarzania takich danych są obowiązane do zachowania ich w
tajemnicy.

PwC
9
Ustawa o radcach prawnych i Prawo o adwokaturze
• Ograniczenie stosowania art. 15 ust. 1 i 3 (prawo dostępu), art. 18 (prawo do
ograniczenia przetwarzania), art. 19 (obowiązek powiadomienia o sprostowaniu
lub usunięciu danych osobowych lub o ograniczeniu przetwarzania) – przepisy te
stosuje się w zakresie w jakim nie naruszają obowiązku zachowania tajemnicy przez
radcę prawnego/adwokata
• Wyłączenie stosowania art. 21 ust. 1 (prawo do sprzeciwu, gdy dane przetwarzane
na podstawie art. 6 ust. 1 lit f) lub lit. e) – w przypadku danych osobowych
pozyskanych przez radcę prawnego/adwokata w związku z udzielaniem pomocy
prawnej
• Okresy przechowywania danych – np. 10 letni okres retencji w przypadku danych
osobowych przetwarzanych przez radcę prawnego/adwokata w ramach wykonywania
zawodu
• Brak postanowienia zawartego w projekcie dot. roli radcy prawnego/adwokat
w przypadku danych osobowych przetwarzanych w ramach wykonywania zawodu

PwC
10
Zmiany w innych ustawach - CEIDG, Prawa Konsumenta
• Uchylenie art. 50 ustawy o Centralnej Ewidencji i Informacji o Działalności
Gospodarczej i Punkcie Informacji dla Przedsiębiorców, zgodnie z którą do jawnych
danych i informacji udostępnianych przez CEIDG nie stosuje się przepisów ustawy
o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (z wyjątkami)
• Zmiany w ustawie o prawach konsumenta – w zakresie umów zawieranych poza
lokalem przedsiębiorstwa lub na odległość oraz innych umów, obowiązek
informacyjny może być wykonany przez przedsiębiorcę poprzez wywieszenie
informacji w widocznym miejscu lub udostępnienie na swojej stronie internetowej, z
wyjątkami:
 osoba nie ma możliwości zapoznania się z tymi informacjami;
 przetwarzane są dane szczególnych kategorii;
 dane szczególnych kategorii są udostępniane innym administratorom, chyba że podmiot
danych wyraził zgodę na udostępnienie albo udostępnienie jest niezbędne do
wypełnienia obowiązku ciążącego na administratorze

PwC
11
Prawo bankowe
Zmiany m. in. w zakresie oceny zdolności kredytowej
Art. 70a. 1. Banki i inne instytucje ustawowo upoważnione do udzielania kredytów na
wniosek osoby fizycznej, prawnej lub jednostki organizacyjnej niemającej osobowości
prawnej, o ile posiada zdolność prawną, ubiegającej się o kredyt przekazują, w formie
pisemnej, wyjaśnienie dotyczące dokonanej przez siebie oceny zdolności
kredytowej wnioskującego.
2. Wyjaśnienie, o którym mowa w ust. 1, obejmuje informacje na temat czynników,
w tym danych osobowych wnioskującego, które miały wpływ na dokonaną ocenę
zdolności kredytowej.
3. W przypadku przedsiębiorców bank i inna instytucja ustawowo upoważniona do
udzielania kredytów może pobierać opłatę za sporządzenie wyjaśnienia, o którym mowa
w ust. 1. Wysokość opłaty powinna być odpowiednia do wysokości kredytu.
4. Przepisy ust. 1–3 stosuje się odpowiednio do przedsiębiorcy ubiegającego się
o pożyczkę pieniężną.

PwC
12
Prawo bankowe
Zmiany m. in. w zakresie oceny zdolności kredytowej art. 105a
1a. Banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje
pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r.
o kredycie konsumenckim, a także instytucje utworzone na podstawie art. 105 ust. 4, mogą
w celu oceny zdolności kredytowej i analizy ryzyka kredytowego podejmować decyzje,
opierając się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu,
danych osobowych – również stanowiących tajemnicę bankową – pod warunkiem
zapewnienia osobie, której dotyczy decyzja podejmowana w sposób zautomatyzowany,
prawa do otrzymania stosownych wyjaśnień co do podstaw podjętej decyzji, do
uzyskania interwencji ludzkiej w celu podjęcia ponownej decyzji oraz do wyrażenia
własnego stanowiska.
1b. Decyzje, o których mowa w ust. 1a, mogą być podejmowane wyłącznie w oparciu o dane
niezbędne z uwagi na cel i rodzaj kredytu, w szczególności w oparciu o następujące
kategorie danych:
(…) Zakaz podejmowania decyzji w oparciu o dane z art. 9 RODO.

PwC
13
Ustawa o działalności ubezpieczeniowej i reasekuracyjnej
Zmiany m. in. w zakresie oceny ryzyka ubezpieczeniowego – art. 41
1. Zakład ubezpieczeń przetwarza dane, o których mowa w art. 9 rozporządzenia 2016/679 dotyczące
zdrowia, ubezpieczonych lub uprawnionych z umowy ubezpieczenia, zawarte w umowach ubezpieczenia lub
oświadczeniach składanych przed zawarciem umowy ubezpieczenia, odpowiednio w celu oceny ryzyka
ubezpieczeniowego lub wykonania umowy ubezpieczenia, w zakresie niezbędnym z uwagi na cel i rodzaj
ubezpieczenia.
1a. Zakład ubezpieczeń może podejmować decyzje w indywidualnych przypadkach, opierając się wyłącznie
o zautomatyzowane przetwarzanie, w tym profilowanie, danych osobowych w celu:
1) dokonania oceny ryzyka ubezpieczeniowego – w przypadku danych osobowych dotyczących
ubezpieczonych,
2) wykonania czynności ubezpieczeniowych, o których mowa w art. 4 ust. 9 pkt 1 i 2 – w przypadku danych
osobowych dotyczących ubezpieczonych, ubezpieczających i uprawnionych z umowy ubezpieczenia
– pod warunkiem zapewnienia osobie, której dotyczy zautomatyzowana decyzja, prawa do otrzymania
stosownych wyjaśnień co do podstaw podjętej decyzji, zakwestionowania tej decyzji, wyrażenia
własnego stanowiska oraz do uzyskania interwencji ludzkiej.
1b. Decyzje, o których mowa w ust. 1a, mogą być podejmowane wyłącznie w oparciu o następujące
kategorie danych dotyczących osoby fizycznej: (…)

PwC
14
Ustawa o świadczeniu usług drogą elektroniczną
Art. 18 ust. 3 i 4
3. Usługodawca wyróżnia i oznacza te spośród danych, o których mowa w ust. 2, jako
dane, których podanie jest niezbędne do świadczenia usługi drogą elektroniczną.
4. Usługodawca może przetwarzać, za zgodą usługobiorcy i dla celów reklamy,
badania rynku oraz zachowań i preferencji usługobiorców z przeznaczeniem
wyników tych badań na potrzeby polepszenia jakości usług świadczonych przez
usługodawcę, inne dane dotyczące usługobiorcy, które nie są niezbędne do
świadczenia usługi drogą elektroniczną.

PwC
15
Jakie zmiany należy wprowadzić
do systemów IT, żeby móc
realizować żądania podmiotów
danych?
Realizacja praw
podmiotów
danych
15

PwC
16
Systemy IT a prawo dostępu
Zgodnie z art. 15 RODO, osobie, której dane dotyczą (podmiot danych) przysługuje tzw. prawo
dostępu
Systemy IT, przetwarzające dane osobowe muszą umożliwiać realizację prawa dostępu
Podmiot danych może żądać od administratora uzyskania kopii danych. Realizacja
pierwszej prośby powinna odbyć się bezpłatnie, przy kolejnych wnioskujący może zostać
obarczony opłatą. Z tego powodu, system powinien umożliwiać eksport danych
osobowych dotyczących konkretnego podmiotu do pliku (np. .csv).
W związku z powyższym, należy:
• zidentyfikować i zinwentaryzować dane osobowe przetwarzane we wszystkich
systemach informatycznych,
• umożliwić podmiotowi danych wgląd do danych osobowych, które go dotyczą.
Realizacja może odbyć się dwutorowo: przez zapewnienie bezpośredniego dostępu do
danych (np. poprzez „portal klienta”) lub utworzenie procesu zapewniającego sprawną
realizację prawa poprzez kontakt z klientem
• dostosować systemy informatyczne przechowujące dane osobowe w taki sposób, aby
były one dostępne dla upoważnionych pracowników lub bezpośrednio dla podmiotu
danych

PwC
17
Systemy IT a prawo do bycia zapomnianym
Prawo do bycia zapomnianym jest nowym uprawnieniem, przyznanym osobom, których dane
dotyczą (zgodnie z art. 17 RODO)
Prawo do bycia zapomnianym składa się z dwóch elementów:
• możliwości żądania przez podmiot danych usunięcia jej danych osobowych przez
administratora danych osobowych,
• możliwości żądania, aby administrator danych poinformował innych administratorów,
którym upublicznił dane osobowe, że osoba której dane dotyczą, żąda, by ci
administratorzy usunęli wszelkie łącza do tych danych lub ich kopie
• określić czy występuje podstawa do ich usunięcia
• sprawdzić czy do danych zastosowano odpowiednie okresy retencji
• umożliwić usunięcie danych osobowych z uwzględnieniem podstawy prawnej
przetwarzania z wszystkich systemów informatycznych, w których przechowywane są
dane osobowe
• utworzyć proces realizacji praw do zapomnienia gwarantujący, że dane zostaną
usunięte z wszystkich systemów, w których są przechowywane

PwC
18
Systemy IT a prawo do sprostowania
Zgodnie z art. 16 RODO, podmiot danych ma prawo żądania od administratora niezwłocznego
sprostowania nieprawidłowych danych osobowych
Uwzględniając cele przetwarzania, osoba, której dane dotyczą, ma prawo żądania
uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie
dodatkowego oświadczenia.
• określić czy występuje podstawa do ich sprostowania,
• umożliwić podmiotowi danych modyfikację danych osobowych, które go dotyczą.
Prawo to realizowane może być dwutorowo: bądź poprzez zapewnienie
bezpośredniego dostępu do edycji danych (np. poprzez „portal klienta”) lub poprzez
utworzenie procesu zapewniającego sprawną realizację prawa poprzez kontakt
z klientem
• dostosować systemy informatyczne przechowujące dane osobowe w taki sposób, aby
były one dostępne i możliwe do edycji dla upoważnionych pracowników lub
bezpośrednio dla podmiotu danych

PwC
19
Systemy IT a prawo do sprzeciwu
Podmiot danych ma prawo wnieść sprzeciw – związany z jego szczególną sytuacją – wobec
przetwarzania jego danych, w tym profilowania, oparty na art. 6 ust. 1 lit. e) lub f)
Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże
istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych
wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia,
dochodzenia lub obrony roszczeń.
• określić czy występuje podstawa do wyrażenia sprzeciwu
• utworzyć proces, który umożliwi sprawną realizację prawa poprzez kontakt z klientem
• dostosować systemy IT przechowujące dane, w taki sposób, aby możliwe było
tymczasowe zawieszenie przetwarzania dla danych dotyczących konkretnego
podmiotu (np. poprzez oznaczenie rekordu danych skutkujące wyłączeniem ich
z przetwarzania w danym systemie)

PwC
20
Systemy IT a prawo do wycofania zgody
Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę
Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na
podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym
informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej
wyrażenie.
systemach informatycznych oraz powiązać je z odpowiednimi zgodami
• dostosować proces zarządzania zgodami w taki sposób, by jej wycofanie było dla
podmiotu danych równie proste co jej wyrażenie
• dostosować systemy IT przechowujące dane, na których przetwarzanie administrator
posiada zgodę, w taki sposób aby możliwe było śledzenie i utrzymanie procesu
zarządzania zgodami

PwC
21
Środki techniczne i organizacyjne
Wdrożenie odpowiednich środków technicznych i organizacyjnych jest zadaniem
administratora i podmiotu przetwarzającego
Administrator wdrażają środki techniczne i organizacyjne, aby zapewnić stopień
bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi:
• pseudonimizację i szyfrowanie danych osobowych;
• zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności
systemów i usług przetwarzania;
• zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do
nich w razie incydentu fizycznego lub technicznego;
• regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych
i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
• zidentyfikować i zinwentaryzować systemy IT, które przetwarzają dane osobowe
• zidentyfikować obecne środki techniczne i organizacyjne związane z zapewnieniem
bezpieczeństwa przetwarzania
• wdrożyć dodatkowe mechanizmy bezpieczeństwa w systemach przetwarzających
dane, takie jak szyfrowanie, ograniczenie dostępu, separacja obowiązków
(„separation of duties”)

Dziękujemy
za uwagę
© 2019 PwC Advisory spółka z ograniczoną odpowiedzialnością sp.k. (dawniej: PwC Polska sp. z o.o.) Wszelkie prawa zastrzeżone. PwC
może odnosić się zarówno do spółki członkowskiej w Polsce jak również do sieci PwC. Każda ze spółek stanowi odrębny i niezależny podmiot
prawny. Niniejsza treść ma charakter ogólny i nie powinna być używana jako odpowiednik konsultacji
z profesjonalnymi doradcami.
W PwC naszym celem jest budowanie zaufania wśród społeczeństwa i odpowiadanie na kluczowe wyzwania współczesnego świata.
Jesteśmy siecią firm działającą w 158 krajach. Zatrudniamy ponad 236 tysiące osób, dostarczających naszym klientom najwyższą jakość usług
w zakresie audytu, doradztwa biznesowego oraz doradztwa podatkowego i prawnego. Dowiedz się więcej na www.pwc.pl
Arwid Mednis
Partner
Arwid.Mednis@pwc.com
Dagmara Jaskulak
Counsel
Dagmara.Jaskulak@pwc.com
Paweł Kostrowiecki-Łopata
Starszy Konsultant
Pawel.Kostrowiecki-Lopata@pwc.com

DPO Talks - Rola Inspektora Ochrony Danych w realizacji praw podmiotów danych, cz.2

Recommended

Recommended

More Related Content

What's hot

What's hot (18)

Similar to DPO Talks - Rola Inspektora Ochrony Danych w realizacji praw podmiotów danych, cz.2

Similar to DPO Talks - Rola Inspektora Ochrony Danych w realizacji praw podmiotów danych, cz.2 (20)

More from PwC Polska

More from PwC Polska (20)

DPO Talks - Rola Inspektora Ochrony Danych w realizacji praw podmiotów danych, cz.2