Dowiedz się jak RODO wpłynie na pracę działów HR! Przygotuj się do nadchodzących zmian w ochronie i przetwarzaniu danych osobowych.

1. Jak RODO wpłynie na pracę działów
HR?
PREZENTACJA

2. Jak RODO wpłynie na pracę działów HR?
Damian Stańczyk
Menedżer ds. Rozwoju Biznesu Katarzyna Cieślak
Administrator Bezpieczeństwa Informacji
Audytor wewnętrzny ISO 27001
Wojciech Walczakowski
Radca prawny

3. O czym porozmawiamy?
1.Kwestie ogólne o rozporządzeniu
2. Definicje występujące w RODO
3. Zasady związane z przetwarzaniem danych
4. Konsekwencje niedostosowania się do zmian
5. Obowiązki administratora danych, które wiążą się z HR
6. Powierzenie przetwarzania danych – odpowiedzialność
3. Pytania i odpowiedzi od uczestników

4. RODO – kwestie ogólne
Rozporządzenie Parlamentu Europejskiego i Rady (UE)
2016/679 z 27.04.2016r.:
1. weszło w życie 24.05.2016r.,
2.zacznie być stosowane od 25.05.2018r.,
3.wraz z rozpoczęciem stosowania przestanie
obowiązywać dyrektywa 95/46/WE.

5. RODO – kwestie ogólne
Rozporządzenie a polski porządek prawny:
1.Do dnia rozpoczęcia stosowania RODO obowiązują
przepisu ustawy z dnia 29 sierpnia 1997 roku o
ochronie danych osobowych.
2.Początek stosowania RODO – przepisy Rozporządzenia
zastąpią ustawę o ochronie danych osobowych.
3.Nowa ustawa – co będzie regulować?

6. RODO – kwestie ogólne
Stosowanie RODO:
1. Ogólny zakres rozporządzenia:
 wiąże w całości,
 stosowane w sposób bezpośredni,
 nie wymaga implementacji.
2. Kompleksowa regulacja:
 prawa osób, których dane są przetwarzane,
 obowiązki administratorów i podmiotów przetwarzających.
3. Jednolite regulacje obowiązujące w państwach członkowskich
UE.

7. Co zmienia RODO?
Najistotniejsze zmiany:
1. Nowe obowiązki informacyjne – możliwie pełna świadomość
osoby udostępniającej dane:
● rodzaj gromadzonych danych,
● cel zbierania danych,
● komu dane mogą zostać udostępnione,
● podmiot będąc administratorem danych,
● uprawnienia przysługujące osobie, której dane są gromadzone.
2. Ograniczenie profilowania
● profilowanie – zbieranie informacji o konsumencie na podstawie
jego aktywności w Internecie, dotychczas brak szczegółowych
regulacji,
● art. 4 pkt 4 RODO – pierwsza legalna definicja profilowania,
● konieczność uzyskania zgody na profilowanie,
● co nie jest profilowaniem?

8. Co zmienia RODO?
Najistotniejsze zmiany c.d.:
3. Prawo do bycia zapomnianym – osoba, której dane dotyczą, może zażądać od
administratora ich usunięcia, a żądanie to jest wiążące, jeśli:
● dane nie są już niezbędne do celów, w których zostały zebrane lub
przetwarzane,
● cofnięto zgodę, na której opiera się przetwarzanie danych,
● wniesiono sprzeciw wobec przetwarzania danych w trybie przewidzianym w art.
21,
● dane były przetwarzane niezgodnie z prawem,
● ich usunięcia wymagają regulacje przewidziane w prawie UE lub prawie państwa
członkowskiego, któremu podlega administrator,
● dane zostały zebrane w związku z oferowaniem usług społeczeństwa
informacyjnego, o których mowa w art. 8 ust. 1.

9. Co zmienia RODO?
Najważniejsze zmiany c.d.:
4.Sankcje – surowsze konsekwencje naruszenia zasad
przetwarzania danych:
● uprawnienia naprawcze organu nadzorczego,
● administracyjne kary pieniężne,
● możliwość zgłoszenia naruszeń organom wymiaru
sprawiedliwości oraz udziału w postępowaniu
sądowym.

10. Podstawowe pojęcia
Art. 4 RODO zawiera definicje pojęć stosowanych w
Rozporządzeniu:
 część pojęć nie występowała w dotychczas
obowiązujących regulacjach,
 znaczenie pojęć funkcjonujących w dotychczasowym
stanie prawnym uległo modyfikacji
- w niewielkim zakresie, np. dane osobowe,
- w istotnym zakresie, np. zgoda.

11. Ograniczenie przetwarzania
Ograniczenie przetwarzania – dwa znaczenia na gruncie RODO:
a) uprawnienie osoby, której dane są przetwarzane (art. 18),
b) uprawnienie organu nadzorczego (art. 58 ust. 2 lit. f i g).
Ad. a) Oznaczenie przechowywanych danych w celu ograniczenia ich przyszłego
przetwarzania – administrator przechowuje zgromadzone dane bez możliwości
dokonywania jakichkolwiek innych operacji z ich udziałem; możliwe w sytuacjach,
gdy:
● osoba, której dane dotyczą kwestionuje ich prawidłowość,
● przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą,
sprzeciwia się ich usunięciu, żądając ograniczenia,
● administrator nie potrzebuje już danych do celów przetwarzania, ale są one
potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony
roszczeń,
● osoba, której dane dotyczą, wniosła sprzeciw w trybie art. 21.

12. Ograniczenie przetwarzania
W przypadku ograniczenia przetwarzania, dane można
przetwarzać, z wyjątkiem przechowywania, wyłącznie:
a) za zgodą osoby, której dane dotyczą, lub
b) w celu ustalenia, dochodzenia lub obrony roszczeń, lub
c) w celu ochrony praw innej osoby fizycznej lub prawnej,
d) z uwagi na ważne względy interesu publicznego Unii
lub państwa członkowskiego.

13. Ograniczenie przetwarzania
Ad. b) Jedne z uprawnień naprawczych
przysługujących organowi nadzorczemu, polegają
na:
a) wprowadzeniu czasowego lub całkowitego
ograniczenia przetwarzania, w tym zakazu
przetwarzania – art. 58 ust. 2 lit. f),
b) nakazaniu m.in. ograniczenia przetwarzania
danych osobowych oraz nakazaniu
powiadomienia o tej czynności odbiorców,
którym ujawniono dane – art. 58 ust. 2 lit. g).

14. Profilowanie
Profilowanie – dowolna forma zautomatyzowanego
przetwarzania danych osobowych, polegającego na
ich wykorzystaniu do oceny niektórych czynników
osobowych osoby fizycznej.
Kontrowersje:
1) ryzyko naruszenia prawa do prywatności,
2) prawdopodobieństwo dokonania błędnej oceny.

15. Profilowanie
•Art. 22 ust. 1 – zakaz podejmowania decyzji wobec osób fizycznych wyłącznie
w oparciu o zautomatyzowane przetwarzanie danych osobowych – zasada
•Wyjątki:
1) decyzja jest niezbędna do zawarcia lub wykonania umowy między osobą,
której dane dotyczą, a administratorem,
2) decyzja jest dozwolona prawem UE lub prawem państwa członkowskiego,
któremu podlega administrator i które przewiduje właściwe środki
ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której
dane dotyczą,
3) decyzja opiera się na wyraźnej zgodzie osoby, której dane dotyczą.

16. Profilowanie
 Trudności interpretacyjne – jak rozumieć
wywołanie skutków prawnych?
 wąskie ujęcie – jako następstwo określonych
przepisami prawa okoliczności, polegających
na powstaniu, zmianie lub wygaśnięciu
stosunku prawnego?
 szerokie ujęcie – jakikolwiek wpływ
wywierany na sytuację prawną jednostki?

17. Profilowanie
 Profilowanie a dane wrażliwe – art. 22 ust. 4
wprowadził generalny zakaz podejmowania decyzji na
podstawie danych wrażliwych.
 Wyjątek:
1) zgoda osoby, której dane dotyczą, na ich
przetwarzanie – art. 9 ust. 2 lit. a),
2) przetwarzanie jest niezbędne ze względów związanych
z ważnym interesem publicznym, na podstawie prawa
UE lub prawa państwa członkowskiego – art. 9 ust. 2
lit. g)

18. Pseudonimizacja
 Pseudonimizacja – mechanizm mający na celu
podwyższenie bezpieczeństwa przetwarzania
danych, który ma na celu utrudnienie
identyfikacji konkretnej osoby, przy
jednoczesnym zachowaniu możliwości ustalenia
jej tożsamości na podstawie dodatkowych
informacji.
 Powrotna identyfikacja – sposób przechowywania
danych umożliwiających odwrócenie
pseudonimizacji.

19. Naruszenie ochrony danych
osobowych
 Naruszenie ochrony danych osobowych – naruszenie
bezpieczeństwa prowadzące do przypadkowego lub
niezgodnego z prawem zniszczenia, utracenia,
zmodyfikowania, nieuprawnionego ujawnienia lub
nieuprawnionego dostępu do danych osobowych
przesyłanych, przechowywanych lub w inny sposób
przetwarzanych.
 O naruszeniu ochrony danych osobowych można
mówić wyłączenie w przypadku kumulatywnego
wystąpienia przesłanek wskazanych w Rozporządzeniu.

20. Naruszenie ochrony danych
osobowych
 Rodzaj naruszenia:
1) naruszenie integralności danych osobowych,
np. zniszczenie,
2) nieuprawnione zapoznanie się z danymi, np.
uzyskanie dostępu do danych przez osobę
trzecią.

21. Dane genetyczne
 Dane genetyczne – dane osobowe dotyczące
odziedziczonych lub nabytych cech genetycznych
osoby fizycznej, które ujawniają niepowtarzalne
informacje o fizjologii lub zdrowiu tej osoby i
które wynikają w szczególności z analizy próbki
biologicznej pochodzącej od tej osoby.
 Zakres danych genetycznych – czy wszystkie dane
dotyczące stanu zdrowia jednostki?

22. Dane biometryczne
 Dane biometryczne – dane osobowe, które wynikają ze
specjalnego przetwarzania technicznego, dotyczą cech
fizycznych, fizjologicznych lub behawioralnych osoby
fizycznej oraz umożliwiają lub potwierdzają
jednoznaczną identyfikację tej osoby.
 Charakterystyka danych biometrycznych:
 uniwersalne – występują u każdego człowieka,
 indywidualne – mają niepowtarzalny charakter.

23. Przedstawiciel
 Przedstawiciel – osoba fizyczna lub prawna
mająca miejsce zamieszkania lub siedzibę w Unii,
która została wyznaczona na piśmie przez
administratora lub podmiot przetwarzający na
mocy art. 27 do reprezentowania administratora
lub podmiotu przetwarzającego w zakresie ich
obowiązków wynikających z Rozporządzenia.
 Powołanie przedstawiciela – obligatoryjne czy
fakultatywne?

24. Grupa przedsiębiorstw
 Grupa przedsiębiorstw – przedsiębiorstwo
sprawujące kontrolę oraz przedsiębiorstwa przez
nie kontrolowane.
 Kiedy mamy do czynienia z grupą
przedsiębiorstw?
 Cechy charakterystyczne – ułatwienia w
przetwarzaniu danych osobowych

25. Przedstawiciel
Charakterystyka przedstawiciela:
1) przedstawicielem może być zarówno osoba fizyczna, jak i
osoba prawna,
2) musi posiadać siedzibę w państwie członkowskim, w którym
przebywają osoby, których dane dotyczą, których dane
osobowe są przetwarzane w związku z oferowaniem im
towarów lub usług lub których zachowanie jest
monitorowane,
3) działa w imieniu administratora lub podmiotu
przetwarzającego,
4) umocowany na podstawie jednoznacznego upoważnienia
wyrażonego na piśmie,

26. Zasady przetwarzania danych osobowych
1.Zasada zgodności z prawem, rzetelności i przejrzystości
1.Zasada ograniczenia celu
1.Zasada minimalizacji danych
1.Zasada prawidłowości
1.Zasada ograniczenia przechowywania
1.Zasada integralności i poufności
1.Zasada rozliczalności

27. Prawa osób, których dane dotyczą
1.Prawo do przejrzystości danych
1.Prawo dostępu do danych
1.Prawo do sprostowania i usunięcia danych
1.Prawo do ograniczenia przetwarzania
1.Prawo do przenoszenia danych
1.Prawo do sprzeciwu
1.Prawa związane z profilowaniem danych

28. Konsekwencje nieprzestrzegania RODO
 Znaczne zaostrzenie, w stosunku do obecnie
obowiązujących regulacji, konsekwencji
związanych z niezgodnym z prawem
przetwarzaniem danych osobowych.
 Ujednolicenie sankcji na terenach wszystkich
państw członkowskich UE.

29. Konsekwencje nieprzestrzegania RODO
 Sposób sprawowania kontroli nad prawidłowym stosowaniem
Rozporządzenia – rola niezależnych organów nadzorczych.
 Charakterystyka działania organów nadzorczych:
1) niezależność w wypełnianiu zadań,
2) właściwość organu nadzorczego,
3) zadania organu nadzorczego,
4) uprawnienia organu nadzorczego.

30. Uprawnienia organu nadzorczego
 Podział przysługujących uprawnień:
1) uprawnienia w zakresie prowadzonych postępowań – służą
weryfikacji prawidłowego stosowania Rozporządzenia,
2) uprawnienia naprawcze (w tym uprawnienia do nakładania kar) –
mają na celu doprowadzenie do zgodności procedur stosowanych
przez administratora lub podmiot przetwarzający z wymogami
Rozporządzenia,
3) uprawnienia w zakresie wydawania zezwoleń i uprawnienia
doradcze.

31. Uprawnienia naprawcze
1) wydawanie ostrzeżeń administratorowi lub podmiotowi przetwarzającemu
dotyczących możliwości naruszenia przepisów niniejszego rozporządzenia poprzez
planowane operacje przetwarzania,
2) udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w
przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje
przetwarzania,
3) nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania
osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy
niniejszego rozporządzenia,
4) nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji
przetwarzania do przepisów niniejszego rozporządzenia, a w stosownych przypadkach
wskazanie sposobu i terminu,
5) nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu
ochrony danych

32. Uprawnienia naprawcze
6) wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu
przetwarzania
7) nakazanie na mocy art. 16, 17 i 18 sprostowania lub usunięcia danych osobowych lub
ograniczenia ich przetwarzania oraz nakazanie na mocy art. 17 ust. 2 i art. 19 powiadomienia
o tych czynnościach odbiorców, którym dane osobowe ujawniono
5) cofnięcie certyfikacji lub nakazanie podmiotowi certyfikującemu cofnięcia certyfikacji
udzielonej na mocy art. 42 lub 43, lub nakazanie podmiotowi certyfikującemu nieudzielania
certyfikacji, jeżeli jej wymogi nie są spełnione lub przestały być spełniane,
6) zastosowanie, oprócz lub zamiast środków, o których mowa w niniejszym ustępie,
administracyjnej kary pieniężnej na mocy art. 83, zależnie od okoliczności konkretnej sprawy,
7) nakazanie zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do
organizacji międzynarodowej.

33. Administracyjne kary pieniężne
1.Stanowią alternatywę lub dodatek do pozostałych
uprawnień naprawczych przysługujących organowi
nadzorczemu.
2.Zróżnicowana wysokość kar pieniężnych – uzależniona
od podmiotu, który dopuścił się naruszenia oraz
rodzaju naruszenia.
3.Zakaz kumulacji kar – dotyczy sytuacji, w której w
ramach tych samych lub powiązanych operacji
administrator lub podmiot przetwarzający naruszyli
kilka przepisów Rozporządzenia – górną granicę kary

34. Administracyjne kary pieniężne
 Kryteria nakładania kar pieniężnych – konieczność dokonania osobnej weryfikacji
każdego naruszenia, brak jest katalogu zamkniętego okoliczności, które powinny
zostać wzięte pod uwagę; w szczególności istotne są:
1) charakter, waga i czas trwania naruszenia – następstwa naruszenia,
2) umyślny lub nieumyślny charakter naruszenia oraz stopień odpowiedzialności
administratora lub podmiotu przetwarzającego,
3) postawa administratora lub podmiotu przetwarzającego - ewentualne działania
podjęte w celu zminimalizowania negatywnych następstw naruszenia, współpraca
z organem nadzorczym,
4) dotychczasowe przestrzeganie (lub nie) obowiązujących regulacji,
5) kategorie danych osobowych, których dotyczyło naruszenie,

35. Administracyjne kary pieniężne
7) okoliczności, w jakich organ nadzorczy powziął wiedzę o
naruszeniu, ewentualne samodzielne zgłoszenie naruszenia
przez administratora/podmiot przetwarzający,
8) ,,recydywa'' – uprzednie zastosowanie wobec
administratora/podmiotu przetwarzającego środków wskazanych
w art. 58 ust. 2,
9) stosowanie zatwierdzonych kodeksów postępowania lub
zatwierdzonych mechanizmów certyfikacji,
10) wszelkie inne okoliczności mające wpływ na stan faktyczny –
otwarty katalog.

36. Administracyjne kary pieniężne
 Wysokość kar pieniężnych – art. 83 ust. 4 – w przypadku:
1) naruszenia przepisów dotyczących obowiązków administratora i podmiotu
przetwarzającego określonych w art. 8, 11, 25-39 oraz 42 i 43,
2) naruszenia przepisów dotyczących obowiązków podmiotu certyfikującego, o
których mowa w art. 42 oraz 43,
3) naruszenia przepisów dotyczących obowiązków podmiotu monitorującego, o
których mowa w art. 41 ust. 4,
kara pieniężna może wynieść do 10 000 000 euro – w przypadku osób niebędących
przedsiębiorstwem – lub do 2% całkowitego rocznego światowego obrotu z
poprzedniego roku obrotowego przedsiębiorcy, przy czym zastosowanie ma kwota
wyższa.

37. Administracyjne kary pieniężne
•Wysokość kar pieniężnych – art. 83 ust. 5 – w przypadku:
1) naruszenia przepisów dotyczących podstawowych zasad przetwarzania, w tym warunków zgody,
o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9,
2) naruszenia przepisów dotyczących praw osób, których dane dotyczą, o których mowa w art. 12-
22,
3) naruszenia przepisów dotyczących przekazywania danych osobowych odbiorcy w państwie
trzecim lub organizacji międzynarodowej, o którym to przekazywaniu mowa w art. 44-49,
4) naruszenia przepisów dotyczących wszelkich obowiązków wynikających z prawa państwa
członkowskiego przyjętego na podstawie rozdziału IX,
5) naruszenia przepisów dotyczących nieprzestrzegania nakazu, tymczasowego lub ostatecznego
ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ
nadzorczy na podstawie art. 58 ust. 2 lub niezapewnienia dostępu skutkującego naruszeniem art.
58 ust. 1,
kara pieniężna może wynieść do 20 000 00 euro – w przypadku osób niebędących przedsiębiorstwem
– lub do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego
przedsiębiorcy, przy czym zastosowanie ma kwota wyższa.

38. Administracyjne kary pieniężne
 Nieprzestrzeganie nakazu orzeczonego przez
organ nadzorczy na podstawie art. 58 ust. 2
podlega administracyjnej karze pieniężnej w
wysokości do 20 000 000 EUR, a w przypadku
przedsiębiorstwa - w wysokości do 4 % jego
całkowitego rocznego światowego obrotu z
poprzedniego roku obrotowego, przy czym
zastosowanie ma kwota wyższa.

39. Środki ochrony prawnej
1. prawo do wniesienia skargi do organu nadzoru,
2. prawo do skutecznego środka ochrony przed sądem przeciwko
organowi nadzoru,
3. prawo do skutecznego środka ochrony prawnej przed sądem
przeciwko administratorowi lub podmiotowi przetwarzającemu.
Z wymienionych środków ochrony można korzystać bez uszczerbku dla
innych administracyjnych lub pozasądowych środków ochrony prawnej.

40. Konsekwencje nieprzestrzegania RODO
 Konsekwencje nieprzestrzegania Rozporządzenia mogą mieć wymiar:
 finansowy – sankcyjny,
 finansowy – szkoda,
 organizacyjny,
 wizerunkowy.
Alternatywa – skuteczne wdrożenie systemu ochrony danych
osobowych odpowiadającego wymogom Rozporządzenia.

41. Powierzenie przetwarzania danych
 Powierzenie przetwarzania danych osobowych jest
zleceniem wykonania czynności przetwarzania danych
osobowych przez podmiot zewnętrzny (procesor) na
rzecz Administratora Danych.
 tzn.:
 Powierzenie danych to sytuacja, gdy przekazujesz
innemu podmiotowi zebrane przez siebie dane osobowe
po to, aby ten podmiot przetwarzał dane w twoim
imieniu.

42. PowierzenieMarketing
Usługi
informatyczne
Archiwa
Hosting
Kurierzy
Obsługa
prawna
Niszczenie
dokumentów
Powierzenie przetwarzania danych

43. Powierzenie przetwarzania danych -
przykłady
Powierzenie
Ochrona
fizyczna i
mienie
Karty
multisport
Biuro
rachunkowe
Newsletter
Chmura
BHP

44. Chodzi o ich
przekazanie
innemu
administratorowi
jest postacią
przetwarzania
danych
możliwe tylko
wówczas, gdy
istnieje ku temu
przesłanka
legalizacyjna
Udostępnienie danych

45. Udostępnienie danych – przykłady
UdostępnieniePolicja
ZUS
Banki
Firmy
windykacyjne
Prokuratura
Urzędy
skarbowe

46. Wyodrębnieniu procesów przetwarzania danych osobowych
Wydawaniu upoważnień do przetwarzania danych osobowych
Odbieraniu oświadczeń o zachowaniu poufności
Realizacji obowiązku informacyjnego
Odbieraniu zgód na przetwarzanie danych osobowych
Szkoleniach o ochronie danych osobowych
Podpisaniu umów powierzenia przetwarzania danych osobowych
HR powinien pamiętać o:

47. Polityka
Bezpieczeństwa
Danych Osobowych
Instrukcja
Zarządzania
Systemem
Informatycznym
Upoważnienia do
przetwarzania
danych osobowych
Oświadczenia o
zachowaniu
poufności
Rejestry i
ewidencje
Umowy
powierzenia
przetwarzania
danych osobowych
Rejestr czynności
przetwarzania
danych osobowych
Funkcja IOD Szkolenia
Zabezpieczenia do wdrożenia

48. RODO dla wszystkich pracowników Twojej
firmy
Chcesz profesjonalnie przygotować
swoją firmę do RODO?
Zamów szkolenie e-learningowe i
zadbaj o bezpieczeństwo danych w
firmie!
Skontaktuj się z nami i zacznij szkolić
swoich pracowników już dziś!
Damian Stańczyk
e: d.stanczyk@gromar.eu
m: +48 790 228 636
w: www.gromar.eu

49. FORSAFE Sp. z o.o.
ul. Żwirki 17, 90-539 Łódź
tel.: +48 42 631 95 62, tel. kom. +48 600 005 880
www.forsafe.pl
biuro@forsafe.pl
FORSAFE Sp. z o.o.
ul. Żwirki 17, 90-539 Łódź
tel.: +48 42 631 95 62,
tel. kom. +48 600 005 880
www.forsafe.pl
biuro@forsafe.pl
GroMar Sp.z o.o.
ul. Tuszyńska 98, 93-305
Łódź
tel.: +48 42 279 70 20,
tel. kom. +48 790 228 636
www.gromar.eu
info@gromar.eu
Jankowski
ul. Piotrkowska 29, 90-410
Łódź
tel.: 42 631 18 39,
tel. kom. +48 661 744 602
w.walczakowski@jankowski-
adwokat.pl