2022-2023 Ocena Skutków W Procesie Legislacyjnym - 13 Stycznia 2023

13 stycznia 2023 r.
Ocena skutków dla ochrony danych

w procesie legislacyjnym
Weronika Kowalik
Zakres przedmiotowy spotkania
▪ wpływ ogólnego rozporządzenia o ochronie danych na przepisy

krajowe
▪ określenie roli w procesie przetwarzania danych –
administrator / współadministrator / przetwarzający
▪ ocena skutków dla ochrony danych / projekty legislacyjne
▪ Test prywatności (privacy by design) – wdrażanie ochrony
danych na etapie projektowania, także przepisów prawa
▪ współpraca służb legislacyjnych z IOD
▪ przykłady projektów legislacyjnych niewdrażających
rozporządzenia 2016/679, najczęściej popełniane błędy
Rozporządzenie Parlamentu Europejskiego
i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w
sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych
i w sprawie swobodnego przepływu takich danych
oraz uchylenia dyrektywy 95/46
(ogólne rozporządzenie o ochronie danych,
rozporządzenie 2016/679, RODO)
→ obowiązuje od 2016 r.
→ jest stosowane w krajowym porządku prawnym
od 25 maja 2018 r.
ustawa o ochronie danych osobowych
z dnia 29 sierpnia 1997 r.
i
wydane do niej rozporządzenia wykonawcze
→ utraciły moc
Ustawa z dnia 10 maja 2018 r. o ochronie

danych osobowych
(Dz. U. z 2019, poz. 1781 tekst jednolity)
ZAPEWNIENIE STOSOWANIA NORM RODO
W PRZEPISACH PRAWA KRAJOWEGO
Konieczność
→zapewnienia stosowania rozporządzenia 2016/679 w przepisach
prawa krajowego
m.in. Ustawa z dnia 21 lutego 2019 r.
o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia
Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie
ochrony osób fizycznych
w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu
takich danych oraz uchylenia dyrektywy 95/46 (ogólne rozporządzenie o ochronie
danych) Dz.U. z 2019 r. poz. 730
Weszła w życie 4 maja 2019
– brak przeglądu ustawy o dostępie do informacji publicznej
→weryfikowania obowiązujących przepisów i zapewnienia

stosowania przepisów rozporządzenia 2016/679 w
nowopowstających / nowelizowanych przepisach obowiązujących
USTAWA
z dnia 14 grudnia 2018 r.
o ochronie danych osobowych przetwarzanych w związku z
zapobieganiem i zwalczaniem przestępczości
(Dz. U. 2019 poz. 125)
Weszła w życie 6 lutego 2019 r.
Implementacja
DYREKTYWY PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/680
z dnia 27 kwietnia 2016 r.
w sprawie ochrony osób fizycznych w związku z przetwarzaniem
danych osobowych przez właściwe organy do celów zapobiegania
przestępczości, prowadzenia postępowań przygotowawczych,
wykrywania i ścigania czynów zabronionych i wykonywania kar,
w sprawie swobodnego przepływu takich danych oraz uchylająca
decyzję ramową Rady 2008/977/WSiSW
Wytyczne Europejskiej Rady Ochrony Danych
Europejska Rada Ochrony Danych jest organem Unii, który
zapewnia spójne stosowanie rozporządzenia 2016/679
M.IN. poprzez wydawanie wytycznych (jej poprzednikiem na
gruncie dyrektywy 95/46 była Grupa robocza Art. 29)
https://uodo.gov.pl/pl/p/europejska-rada-ochrony-danych
https://edpb.europa.eu/our-work-tools/our-
documents/publication-type/guidelines_pl
Komunikat Prezesa Urzędu Ochrony Danych Osobowych

z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji
przetwarzania danych osobowych wymagających oceny skutków
przetwarzania dla ich ochrony (M.P z 2019 r., poz. 666)
KONSTYTUCJA RP
Art. 47 – prawo do prywatności
Każdy ma prawo do
ochrony życia prywatnego, rodzinnego, czci i dobrego imienia oraz do
decydowania o swoim życiu osobistym
Art. 51 - autonomia informacyjna jednostki
Nikt nie może być obowiązany inaczej niż na podstawie ustawy

do ujawniania informacji dotyczących jego osoby
Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych
informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym
Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów
i zbiorów danych.
Ograniczenie tego prawa może określić ustawa
Każdy ma prawo do żądania sprostowania oraz usunięcia informacji
nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą
Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa
Art. 31 ust. 3 – zasada wolności
– ograniczenia konstytucyjnych wolności i praw
Wolność człowieka podlega ochronie prawnej.
Każdy jest obowiązany szanować wolności i prawa innych.
Nikogo nie wolno zmuszać do czynienia tego, czego
prawo mu nie nakazuje.
Ograniczenia w zakresie korzystania z konstytucyjnych
wolności i praw mogą być ustanowione tylko w ustawie
i tylko wtedy, gdy są konieczne w demokratycznym
państwie, dla jego bezpieczeństwa lub porządku
publicznego (…) albo wolności i praw innych osób.
Ograniczenia te nie mogą naruszać istoty wolności i praw.
Art. 51 i 31 ust. 3 – zasada wolności
Fundamentalne znaczenie ma
→ranga przepisów
• stanowiących o przetwarzaniu danych osobowych
• mających wpływ na prawa i wolności
Art. 87. Źródła prawa powszechnie obowiązującego

1. Źródłami powszechnie obowiązującego prawa
Rzeczypospolitej Polskiej są: Konstytucja, ustawy,
ratyfikowane umowy międzynarodowe oraz rozporządzenia.
2. Źródłami powszechnie obowiązującego prawa
Rzeczypospolitej Polskiej są na obszarze działania organów,
które je ustanowiły, akty prawa miejscowego.
Art. 51 i 31 ust. 3 – zasada wolności
→ranga przepisów
• stanowiących o przetwarzaniu danych
osobowych
• mających wpływ na prawa i wolności
Błędy:
• Stanowienie praw i obowiązków, zasad w przepisach niższych niż ustawa –
np,. W rozporządzeniu gdy ustawa „milczy” → w ten sposób nie można
sanować luki prawnej
• Delegowanie ich stanowienia w przepisach nie mających rangi konstytucyjnej
– brak regulacji w ustawie ale odesłanie, że regulacje zostaną ustanowione
zarządzeniem, statutem, porozumieniem
Rozporządzenie 2016/679 a tworzenie przepisów prawa
Rozporządzenie 2016/679 a tworzenie przepisów prawa
• Artykuł 57 Zadania organu nadzorczego

Ust. 1 lit c) bez uszczerbku dla innych zadań określonych na mocy
niniejszego rozporządzenia każdy organ nadzorczy na swoim terytorium
doradza, zgodnie z prawem państwa członkowskiego, parlamentowi
narodowemu, rządowi oraz innym instytucjom i organom w sprawie aktów
prawnych i administracyjnych środków ochrony praw i wolności osób
fizycznych w związku z przetwarzaniem
• Artykuł 36 Uprzednie konsultacje
Ust. 4 Państwa członkowskie konsultują się z organem nadzorczym,
przygotowując projekt aktu prawnego przyjmowanego przez parlament
narodowy lub aktu wykonawczego opartego na takim akcie prawnym, jeżeli
projekt dotyczy przetwarzania
• Art. 25 i 35 test prywatności, ocena skutków
Organ powołując się na swoje prawo i obowiązek wskazuje swą ekspercką rolę
Rozporządzenie 2016/679 a tworzenie przepisów prawa - art. 25 i 35 test prywatności,
ocena skutków
Art. 25 ust. 1 Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz

charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub
wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze
wynikające z przetwarzania, administrator - zarówno przy określaniu sposobów
przetwarzania, jak i w czasie samego przetwarzania - wdraża odpowiednie środki
techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu
skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w
celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi
niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą
Rozporządzenie 2016/679 a tworzenie przepisów prawa - art. 25 i 35 test prywatności,
ocena skutków
Art. 35
ust. 1 Jeżeli dany rodzaj przetwarzania - w szczególności z użyciem nowych
technologii - ze względu na swój charakter, zakres, kontekst i cele z dużym
prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub
wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania
dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych
osobowych. Dla podobnych operacji przetwarzania danych wiążących się z
podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę
ust. 10
Ust. 1-7 nie mają zastosowania, jeżeli przetwarzanie na mocy art. 6 ust. 1 lit. c) lub
e) ma podstawę prawną w prawie Unii lub w prawie państwa członkowskiego,
któremu podlega administrator, i prawo takie reguluje daną operację przetwarzania
lub zestaw operacji, a oceny skutków dla ochrony danych dokonano już w ramach
oceny skutków regulacji w związku z przyjęciem tej podstawy prawnej - chyba że
państwa członkowskie uznają za niezbędne, by przed podjęciem czynności
przetwarzania dokonać oceny skutków dla ochrony danych.
Ustawa o ochronie danych osobowych 2018 r.
• Art. 51. Opiniowanie założeń i projektów aktów prawnych przez

Prezesa Urzędu Ochrony Danych Osobowych
Założenia i projekty aktów prawnych dotyczące danych osobowych są
przedstawiane do zaopiniowania Prezesowi Urzędu
• Art. 52 brak inicjatywy ustawodawczej ale możliwość skierowania

wystąpienia
Art. 52 ust. 2 [Wystąpienia Prezesa Urzędu Ochrony Danych Osobowych do

innych podmiotów]
Prezes Urzędu może również występować do właściwych organów z wnioskami
o podjęcie inicjatywy ustawodawczej albo o wydanie lub zmianę aktów
prawnych w sprawach dotyczących ochrony danych osobowych.
Podmiot, do którego zostało skierowane wystąpienie lub wniosek, o których
mowa w ust. 1 i 2, jest obowiązany ustosunkować się do tego wystąpienia lub
wniosku na piśmie w terminie 30 dni od daty jego otrzymania.
Organ nadzorczy jest niezależny
zwłaszcza nie znajduje się w strukturze rządu / nie podlega rządowi / ministrowi
UCHWAŁA Nr 190 RADY MINISTRÓW z dnia 29 października 2013 r. Regulamin

pracy Rady Ministrów
§ 38.
1. Organ wnioskujący kieruje projekt dokumentu rządowego do zaopiniowania przez:

1) Prokuratorię Generalną Rzeczypospolitej Polskiej,
2) Prezesa Urzędu Ochrony Konkurencji i Konsumentów,
3) inne organy administracji rządowej lub inne organy i instytucje państwowe
- jeżeli projekt dotyczy ich zakresu działania.
2. W przypadkach określonych w odrębnych przepisach projekt dokumentu rządowego

przekazuje się do zaopiniowania podmiotom wskazanym w tych przepisach, w
szczególności projekt, którego przepisy dotyczą problematyki objętej zakresem działania
komisji wspólnej Rządu i przedstawicieli samorządu terytorialnego, kościołów, partnerów
społecznych lub innych podmiotów, przekazuje się do zaopiniowania właściwej komisji
wspólnej.
Zasady dotyczące przetwarzania danych osobowych (art. 5 rozporządzenia 2016/679):
• zgodność z prawem, rzetelność i przejrzystość

• ograniczenie celu
• minimalizacja danych
• prawidłowość
• ograniczenie przechowywania
• integralność i poufność
• rozliczalność (art. 5 ust. 2 rozporządzenia 2016/679) - konieczność
inwentaryzacji zasobów, procesów przetwarzania, ryzyk - wdrożenie zasad w
przyjętych procedurach (politykach ochrony danych)
Niezbędność uwzględniania tych zasad w stanowionych / zmienianych przepisach

krajowych
• przepisy odpowiadające tym zasadom
• niemożność stanowienia przepisów negujących / wyłączających zasady / prawa
• niemożność stanowienia przepisów nakładających na administratorów prawa /
obowiązki sprzecznie z przepisami RODO → odpowiedzialność za stosowanie
RODO, także finansowa
Właściwie w każdej opinii legislacyjnej zawierającej uwagi do projektu / przepisów

konieczne jest wskazywanie niezbędności zapewnienia stosowania zasad dot.
Przetwarzania danych osobowych
Zasady dotyczące przetwarzania danych osobowych (art. 5 rozporządzenia
2016/679):
Ust. 1 Dane osobowe muszą być:

a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby,
której dane dotyczą ("zgodność z prawem, rzetelność i przejrzystość");
b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i
nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie
do celów archiwalnych w interesie publicznym, do celów badań naukowych
lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89
ust. 1 za niezgodne z pierwotnymi celami ("ograniczenie celu");
c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w
których są przetwarzane ("minimalizacja danych");
d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne
działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich
przetwarzania, zostały niezwłocznie usunięte lub sprostowane
("prawidłowość");
2016/679):
Ust. 1 Dane osobowe muszą być:

e) przechowywane w formie umożliwiającej identyfikację osoby, której dane
dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane
te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o
ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie
publicznym, do celów badań naukowych lub historycznych lub do celów
statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną
odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego
rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą
("ograniczenie przechowywania");
f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych
osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem
przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za
pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i
poufność")
2016/679):
Ust. 2 Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i

musi być w stanie wykazać ich przestrzeganie ("rozliczalność")
• zasada rozliczalności jest wskazana wprost w jego przepisach (w u.o.d.o. z

1997 r. nie była, choć była z nich wywodzona)
• rozliczalność na gruncie RODO została ukształtowana znacznie szerzej niż na
gruncie jej dotychczasowego rozumienia
• nie należy odnosić rozliczalności wyłącznie do kwestii związanych z
przetwarzaniem danych w systemie informatycznym czy zapewnieniem
bezpieczeństwa danych (tak było na gruncie u.o.d.o. z 1997 r.)
• dotyczy zapewnienia zgodności ze wszystkimi zasadami przetwarzania, bez
względu na sposób, w jaki dane są przetwarzane
2016/679):
"rozliczalność"
doprecyzowanie zasady rozliczalności – art. 24

→ administrator ma obowiązek wdrożyć odpowiednie środki techniczne i
organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO i aby móc to
wykazać → uwzględnić:
• charakter, zakres, kontekst i cele przetwarzania
• ryzyko naruszenia praw lub wolności osób fizycznych o różnym
prawdopodobieństwie i wadze zagrożenia
zasada ma być realizowana przez wdrożenie odpowiednich środków technicznych

i organizacyjnych
2016/679):
"rozliczalność"
Rozliczalność – dwa elementy, które muszą zostać spełnione łącznie, aby zasada
ta została zrealizowana:
1) odpowiedzialność administratora za przestrzeganie przepisów,
2) wykazywanie ich przestrzegania.
przestrzeganie przepisów RODO + udokumentowanie w należyty sposób jak

przepisy są przestrzegane → już samo niewykazanie przestrzegania może wiązać
się z poniesieniem przez administratora odpowiedzialności (tak jak za ich
nieprzestrzeganie)
Zasady dotyczące przetwarzania danych osobowych (art. 5 rozporządzenia 2016/679):
- niemożność stanowienia przepisów negujących / wyłączających zasady / prawa

- niemożność stanowienia przepisów nakładających na administratorów prawa /
obowiązki sprzecznie z przepisami RODO → odpowiedzialność za stosowanie
RODO, także finansowa
Europejska Rada Ochrony Danych przyjęła 13 października 2021 r.

Wytyczne 10/2020 w sprawie ograniczeń praw osób, których dane dotyczą, na
podstawie art. 23 RODO
RODO pozwala na ograniczenie zakresu praw i obowiązków wynikających z części

przepisów RODO - Artykuł 23 Ograniczenia
Ust. 1.
Prawo Unii lub prawo państwa członkowskiego, któremu podlegają
administrator danych lub podmiot przetwarzający, może aktem prawnym
ograniczyć zakres obowiązków i praw przewidzianych w art. 12-22 i w art. 34,
a także w art. 5 - o ile jego przepisy odpowiadają prawom i obowiązkom
przewidzianym w art. 12-22 - jeżeli ograniczenie takie nie narusza istoty
podstawowych praw i wolności oraz jest w demokratycznym społeczeństwie
środkiem niezbędnym i proporcjonalnym, służącym:
Zgodność przetwarzania z prawem (art. 6 ust. 1
rozporządzenia 206/679)
• zgoda
• umowa
• obowiązek prawny
• ochrona żywotnych interesów
• wykonanie zadania realizowanego w interesie publicznym
lub w ramach sprawowania powierzonej władzy
publicznej
• cele wynikające z prawnie uzasadnionych interesów
wielokrotnie wskazywane jest projektodawcom, iż sposób

formułowania przepisu musi odpowiadać obowiązkowi
przetwarzania danych osobowych
Zgodność przetwarzania z prawem - przesłanki w sektorze publicznym
Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w

takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych
warunków:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich
danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną
jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie
osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego
ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów
osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w

interesie publicznym lub w ramach sprawowania władzy publicznej
powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie
uzasadnionych interesów realizowanych przez administratora lub przez stronę
trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych
interesów mają interesy lub podstawowe prawa i wolności osoby, której dane
dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba,
której dane dotyczą, jest dzieckiem.
Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego

dokonują organy publiczne w ramach realizacji swoich zadań.
→Przepis ten zastrzega wykonywanie kompetencji organów publicznych
do wyłącznej właściwości administratora działającego na podstawie i w
granicach obowiązujących przepisów prawa
→Nie oznacza to, że administrator będący podmiotem publicznym nie
może przetwarzać danych na postawie innej przesłanki gdy tak stanowią
przepisy prawa
Motyw 47
… Ponieważ dla organów publicznych podstawę prawną przetwarzania danych

osobowych powinien określić ustawodawca, prawnie uzasadniony interes
administratora nie powinien mieć zastosowania jako podstawa prawna do
przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich
zadań.
Art. 6 ust. 2
Państwa członkowskie mogą zachować lub wprowadzić bardziej
szczegółowe przepisy, aby dostosować stosowanie przepisów
niniejszego rozporządzenia w odniesieniu do przetwarzania
służącego wypełnieniu warunków określonych w ust. 1 lit. c) i
e);
w tym celu mogą dokładniej określić szczegółowe wymogi
przetwarzania i inne środki w celu zapewnienia zgodności
przetwarzania z prawem i jego rzetelności, także w innych
szczególnych sytuacjach związanych z przetwarzaniem
przewidzianych w rozdziale IX.
Art. 6 ust. 3
Podstawa przetwarzania, o którym mowa w ust. 1 lit. c) i e), musi
być określona:
a) w prawie Unii; lub
b) w prawie państwa członkowskiego, któremu podlega
administrator
Motyw 8
W zakresie, w jakim niniejsze rozporządzenie dopuszcza
doprecyzowanie lub zawężenie jego przepisów przez prawo państw
członkowskich, mogą one - o ile jest to niezbędne, by krajowe
przepisy były spójne i zrozumiałe dla osób, do których mają
zastosowanie - włączyć elementy niniejszego rozporządzenia do
swego prawa krajowego.
Art. 6 ust. 3 cd (motyw 45) – elementy przepisów prawa
Cel przetwarzania musi być określony w tej podstawie prawnej lub, w

przypadku przetwarzania, o którym mowa w ust. 1 lit. e) - musi być ono
niezbędne do wykonania zadania realizowanego w interesie publicznym lub w
ramach sprawowania władzy publicznej powierzonej administratorowi.
Podstawa prawna może zawierać przepisy szczegółowe dostosowujące
stosowanie przepisów niniejszego rozporządzenia, w tym:
➢ogólne warunki zgodności z prawem przetwarzania przez
administratora;
➢rodzaj danych podlegających przetwarzaniu;
➢osoby, których dane dotyczą;
➢podmioty, którym można ujawnić dane osobowe;
➢cele, w których można je ujawnić;
➢ograniczenia celu;
➢okresy przechowywania; oraz
➢operacje i procedury przetwarzania, w tym środki zapewniające
zgodność z prawem i rzetelność przetwarzania,
w tym w innych szczególnych sytuacjach związanych z przetwarzaniem, o
których mowa w rozdziale IX.
Motyw 45 – elementy przepisów prawa
(45) Jeżeli przetwarzanie odbywa się w celu wypełnienia obowiązku prawnego,

któremu podlega administrator, lub jeżeli jest niezbędne do wykonania
zadania realizowanego w interesie publicznym lub w ramach sprawowania
władzy publicznej, podstawę przetwarzania powinno stanowić prawo Unii lub
prawo państwa członkowskiego.
Niniejsze rozporządzenie nie nakłada wymogu, aby dla każdego

indywidualnego przetwarzania istniało szczegółowe uregulowanie prawne.
Wystarczyć może to, że dane uregulowanie prawne stanowi podstawę różnych
operacji przetwarzania wynikających z obowiązku prawnego, któremu podlega
administrator, lub że przetwarzanie jest niezbędne do wykonania zadania
realizowanego w interesie publicznym lub w ramach sprawowania władzy
publicznej. Prawo Unii lub prawo państwa członkowskiego powinno określać
także cel przetwarzania.
Konstytucyjna zasada legalizmu Art. 7. [Zasada praworządności]

Organy władzy publicznej działają na podstawie i w granicach prawa.
Motyw 45 – elementy przepisów prawa
(45) (…)
Ponadto prawo to może doprecyzowywać ogólne warunki określone w
niniejszym rozporządzeniu dotyczące zgodności przetwarzania z prawem,
określać sposoby wskazywania administratora, rodzaj danych osobowych
podlegających przetwarzaniu, osoby, których dane dotyczą, podmioty, którym
można ujawniać dane osobowe, ograniczenia celu, okres przechowywania oraz
inne środki zapewniające zgodność z prawem i rzetelność przetwarzania.
Prawo Unii lub prawo państwa członkowskiego powinno określać także, czy
administratorem wykonującym zadanie realizowane w interesie publicznym
lub w ramach sprawowania władzy publicznej powinien być organ publiczny
czy inna osoba fizyczna lub prawna podlegająca prawu publicznemu lub prawu
prywatnemu, na przykład zrzeszenie zawodowe, jeżeli uzasadnia to interes
publiczny, w tym cele zdrowotne, takie jak zdrowie publiczne, ochrona
socjalna oraz zarządzanie usługami opieki zdrowotnej.
W opiniach prawnych UODO często wskazuje na konieczność wskazania w przepisie

celu przetwarzania danych osobowych, a innych elementów ze wzgl. Na konieczność
stosowania zasady przejrzystości i zasady praworządności
Art. 6 ust. 3 cd (motyw 45) – elementy przepisów prawa
Cel przetwarzania musi być określony w tej podstawie prawnej

Kompleksowość regulacji, wyczerpujące przepisy, pewność prawa …
Prawo Unii
lub
prawo państwa członkowskiego muszą
➢służyć realizacji celu leżącego w interesie publicznym, oraz
➢być proporcjonalne do wyznaczonego, prawnie uzasadnionego celu.
Kompleksowość regulacji, wyczerpujące przepisy, pewność prawa
…
Motyw 41
W przypadku gdy w niniejszym rozporządzeniu jest mowa o
podstawie prawnej lub akcie prawnym, niekoniecznie wymaga to
przyjęcia aktu prawnego przez parlament, z zastrzeżeniem
wymogów wynikających z porządku konstytucyjnego danego
państwa członkowskiego. Taka podstawa prawna lub taki akt
prawny powinny być jasne i precyzyjne, a ich zastosowanie
przewidywalne dla osób im podlegających - jak wymaga tego
orzecznictwo Trybunału Sprawiedliwości Unii Europejskiej
(zwanego dalej "Trybunałem Sprawiedliwości") i Europejskiego
Trybunału Praw Człowieka.
UODO powołuje się na te aspekty w opiniach prawnych – w szczególności na

orzecznictwo TSUE, wytyczne EROD oraz konieczność zapewnienia stosowania
RODO w interesie osób kt. dane dotyczą oraz wykonawców norm – by przepisy
krajowe nie prowadziły do rozbieżności z RODO
Motyw 19
Jeżeli chodzi o przetwarzanie danych osobowych przez te

właściwe organy do celów wchodzących w zakres niniejszego
rozporządzenia, państwa członkowskie powinny mieć możliwość
zachowania lub wprowadzenia przepisów szczególnych
dostosowujących stosowanie przepisów niniejszego
rozporządzenia.
W takich przepisach możliwe jest doprecyzowanie szczególnych
wymogów przetwarzania danych przez te właściwe organy do tych
innych celów, z uwzględnieniem konstytucyjnych, organizacyjnych
i administracyjnych struktur danego państwa członkowskiego
Wprost stanowi także o tym art. 9 ust. 4 RODO

Motyw 19
Jeżeli przetwarzanie danych osobowych przez podmioty prywatne

objęte jest zakresem stosowania niniejszego rozporządzenia,
niniejsze rozporządzenie powinno na określonych warunkach
umożliwiać państwom członkowskim ograniczenie w swoich
przepisach niektórych obowiązków i praw, o ile takie ograniczenie
stanowi w demokratycznym społeczeństwie niezbędny i
proporcjonalny środek chroniący określone, ważne interesy, w
tym bezpieczeństwo publiczne oraz zapobieganie przestępczości,
prowadzenie postępowań przygotowawczych, wykrywanie lub
ściganie czynów zabronionych, lub też wykonywanie kar, w tym
ochronę przed zagrożeniami dla bezpieczeństwa publicznego i
zapobieganie takim zagrożeniom. Jest to istotne na przykład w
związku z przeciwdziałaniem praniu pieniędzy lub w działalności
laboratoriów kryminalistycznych → art. 23 - ograniczenia
niezbędność wypełnienia obowiązku prawnego
• konieczność powiązania z odpowiednim przepisem prawa obowiązującego w

polskim porządku prawnym o treści zgodnej z art. 6 ust. 3
• zastosowanie do organów publicznych jak i podmiotów prywatnych
• nie ma znaczenia gałąź prawa
• niezbędność – obowiązek przetwarzania danych osobowych
• kompetencje organów publicznych
• cele przetwarzania danych przez organy publiczne
• konkretny przepis prawa UE lub krajowego
• niezbędność – zgodność z zasadami: proporcjonalności, ograniczenia celu,
minimalizacji danych
• (39) gdy celu przetwarzania nie można osiągnąć w rozsądny sposób innymi
sposobami
• wyłączenie obowiązku usunięcia danych – prawa do bycia zapomnianym
(art. 17 ust. 3 lit b)
• wyłączenie prawa do przenoszenia danych (art. 20 ust. 3 + motyw 68)
S
Niezbędność przetwarzania do wykonania zadania realizowanego
w interesie publicznym lub w ramach sprawowania władzy
publicznej powierzonej administratorowi
• zadanie, jak i sprawowanie władzy publicznej musza zostać sprecyzowane w
przepisach, o których mowa w art. 6 ust. 3
• niezbędność podstawy prawej określone w prawie UE lub krajowym
• RODO nie wymaga określenia w podstawie prawnej celu przetwarzania lecz
takiej konstrukcji przepisu, z której wynika niezbędność przetwarzania do
wykonania zadania realizowanego w interesie publicznym lub w ramach
władzy publicznej powierzonej administratorowi
• (45) wystarczyć może, że przetwarzanie danych jest niezbędne do…
• brak ograniczenia podmiotowego stosowania tej przesłanki
• powiązanie z pojęciem zadania publicznego
• przysługuje prawo do wniesienia sprzeciwu w związku ze szczególna
sytuacją, ale wyłączone wobec przetwarzania danych do celów badań
naukowych lub historycznych lub do celów statystycznych (art. 89)
• wyłączone prawo do przenoszenia danych
• wyłączone prawo do usunięcia danych / prawo do bycia zapomnianym
LEGALNOŚĆ PRZETWARZANIA
DANYCH SZCZEGÓLNIE CHRONIONYCH
RODO – SZCZEGÓLNYCH KATEGORII DANYCH
przepis szczególny innej ustawy zezwala na

przetwarzanie takich danych i stwarza pełne gwarancje
ich ochrony
RODO - przetwarzanie jest niezbędne ze względów
związanych z ważnym interesem publicznym, na
podstawie prawa Unii lub prawa państwa
członkowskiego, które są proporcjonalne do
wyznaczonego celu, nie naruszają istoty prawa do
ochrony danych i przewidują odpowiednie i konkretne
środki ochrony praw podstawowych i interesów osoby,
której dane dotyczą
SZKOLENIE VIS
LEGALNOŚĆ PRZETWARZANIA DANYCH SZCZEGÓLNIE CHRONIONYCH
• niezbędne do dochodzenia praw przed sądem
RODO - niezbędne do ustalenia, dochodzenia lub obrony roszczeń
lub w ramach sprawowania wymiaru sprawiedliwości przez sądy
• niezbędne do wykonania zadań administratora danych

odnoszących się do zatrudnienia pracowników i innych osób
(zakres przetwarzanych danych jest określony w ustawie)
RODO - wypełnienie obowiązków i wykonywanie szczególnych praw
przez administratora lub osobę, której dane dotyczą, w dziedzinie
prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile
jest to dozwolone prawem Unii lub prawem państwa
członkowskiego, lub porozumieniem zbiorowym na mocy prawa
państwa członkowskiego przewidującymi odpowiednie
zabezpieczenia praw podstawowych i interesów osoby, której
dane dotyczą
LEGALNOŚĆ PRZETWARZANIA DANYCH SZCZEGÓLNIE
CHRONIONYCH
w celu realizacji praw i obowiązków wynikających z

orzeczenia wydanego w postępowaniu sądowym lub
administracyjnym
RODO - przetwarzanie jest niezbędne ze względów

związanych z interesem publicznym w dziedzinie zdrowia
publicznego, takich jak ochrona przed poważnymi
transgranicznymi zagrożeniami zdrowotnymi lub
zapewnienie wysokich standardów jakości
i bezpieczeństwa opieki zdrowotnej oraz produktów
leczniczych lub wyrobów medycznych, na podstawie
prawa Unii lub prawa państwa członkowskiego, które
przewidują odpowiednie, konkretne środki ochrony praw
i wolności osób, których dane dotyczą, w szczególności
tajemnicę zawodową
CHRONIONYCH
RODO - przetwarzanie jest niezbędne do celów

archiwalnych w interesie publicznym, do celów
badań naukowych lub historycznych lub do celów
statystycznych zgodnie z art. 89 ust. 1, na
podstawie prawa Unii lub prawa państwa
członkowskiego, które są proporcjonalne do
wyznaczonego celu, nie naruszają istoty prawa do
ochrony danych i przewidują odpowiednie,
konkretne środki ochrony praw podstawowych
i interesów osoby, której dane dotyczą
CHRONIONYCH
Art. 9 ust. 4
Państwa członkowskie mogą zachować lub wprowadzić
dalsze warunki, w tym ograniczenia w odniesieniu do
przetwarzania danych genetycznych, danych
biometrycznych lub danych dotyczących zdrowia.
Uwzględnienie ochrony danych w fazie projektowania
- TEST PRYWATNOŚCI
- TEST PRYWATNOŚCI
Motyw (8) Aby zapewnić wysoki i spójny stopień ochrony osób fizycznych oraz
usunąć przeszkody w przepływie danych osobowych w Unii, należy zapewnić
równorzędny we wszystkich państwach członkowskich stopień ochrony praw i
wolności osób fizycznych w związku z przetwarzaniem takich danych. Należy
zapewnić spójne i jednolite w całej Unii stosowanie przepisów o ochronie
podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem
danych osobowych. Jeżeli chodzi o przetwarzanie danych osobowych w celu
wypełnienia obowiązku prawnego, w celu wykonania zadania realizowanego w
interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej
administratorowi, państwa członkowskie powinny móc zachować lub wprowadzić
krajowe przepisy doprecyzowujące stosowanie przepisów niniejszego
rozporządzenia. Obok ogólnego, horyzontalnego prawa o ochronie danych
wdrażającego dyrektywę 95/46/WE państwa członkowskie przyjęły uregulowania
sektorowe w dziedzinach wymagających przepisów bardziej szczegółowych.
Niniejsze rozporządzenie umożliwia też państwom członkowskim doprecyzowanie
jego przepisów, w tym w odniesieniu do przetwarzania szczególnych kategorii
danych osobowych (zwanych dalej "danymi wrażliwymi"). W tym względzie
niniejsze rozporządzenie nie wyklucza możliwości określenia w prawie państwa
członkowskiego okoliczności dotyczących konkretnych sytuacji związanych z
przetwarzaniem danych, w tym dookreślenia warunków, które decydują o
zgodności przetwarzania z prawem.
- TEST PRYWATNOŚCI
Motyw (8)
W zakresie, w jakim niniejsze rozporządzenie
dopuszcza doprecyzowanie lub zawężenie jego
przepisów przez prawo państw członkowskich,
mogą one - o ile jest to niezbędne, by krajowe
przepisy były spójne i zrozumiałe dla osób, do
których mają zastosowanie - włączyć elementy
niniejszego rozporządzenia do swego prawa
krajowego.
- TEST PRYWATNOŚCI
Ochrona danych w fazie projektowania

Artykuł 25 ust. 1 Uwzględnianie ochrony danych w fazie projektowania
Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres,
kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób
fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z
przetwarzania, administrator - zarówno przy określaniu sposobów
przetwarzania, jak i w czasie samego przetwarzania - wdraża odpowiednie
środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w
celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja
danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by
spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których
dane dotyczą.
Zasadnicze uwagi UODO do projektów aktów prawnych

Domyślna ochrona danych
Artykuł 25 ust. 2 Domyślna ochrona danych

Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby
domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne
dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi
się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu
ich przechowywania oraz ich dostępności. W szczególności środki te
zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji
danej osoby nieokreślonej liczbie osób fizycznych.
Test prywatności
Uwagi dot. wprowadzania rozwiązań dot. przetwarzania danych przy użyciu

różnego rodzaju rozwiązań informatycznych – neutralność technologiczna a
zasady i funkcjonalności wynikające z RODO
- zdalne przetwarzanie
- bliżej nieokreślone aplikacje
- brak wymagań dot. systemów informatycznych
- dobry przykład to ewidencja ludności
- Przynajmniej określenie niezbędnych kryteriów
Ochrona danych w fazie projektowania - art. 25 ust. 1
Privacy / data protection by design
- Podobnie jak w art. 32 uwzględnienie przez administratora:
✓ stanu wiedzy technicznej, kosztu wdrażania
✓ charakteru, zakresu, kontekstu i celów przetwarzania
✓ ryzyka naruszenia praw lub wolności osób fizycznych
✓ różnego prawdopodobieństwa wystąpienia
✓ wagi zagrożenia
✓ wynikających z przetwarzania
- dotyczy:
✓ określania sposobów przetwarzania
✓ Trwającego procesu przetwarzania
- Wdrożenie odpowiednich środków technicznych i organizacyjnych (takich jak
pseudonimizacja)
- zaprojektowanie tych środków w celu:
✓ skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych
✓ nadania przetwarzaniu niezbędnych zabezpieczeń
✓ Spełnienia wymogów RODO
✓ ochrony praw osób, których dane dotyczą
Ochrona danych w fazie projektowania - art. 25 ust. 2
• Privacy / data protection by default
• Administrator wdraża odpowiednie środki techniczne

i organizacyjne -> aby domyślnie przetwarzane były wyłącznie te
dane osobowe, które są niezbędne dla osiągnięcia każdego
konkretnego celu przetwarzania
• Obowiązek ten odnosi się do:
✓ ilości zbieranych danych osobowych
✓ zakresu ich przetwarzania
✓ okresu ich przechowywania
✓ ich dostępności
By dane osobowe domyślnie -> nie były udostępniane

✓ bez interwencji danej osoby
✓ nieokreślonej liczbie osób fizycznych
Test prywatności, w tym Ocena skutków dla ochrony danych
- Artykuł 35
Ust. 1. Jeżeli dany rodzaj przetwarzania - w szczególności z użyciem nowych

technologii - ze względu na swój charakter, zakres, kontekst i cele z dużym
prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw
lub wolności osób fizycznych, administrator przed rozpoczęciem
przetwarzania dokonuje oceny skutków planowanych operacji
przetwarzania dla ochrony danych osobowych. Dla podobnych operacji
przetwarzania danych wiążących się z podobnym wysokim ryzykiem można
przeprowadzić pojedynczą ocenę.
Ust. 10. Ust. 1-7 nie mają zastosowania, jeżeli przetwarzanie na mocy art. 6
ust. 1 lit. c) lub e) ma podstawę prawną w prawie Unii lub w prawie państwa
członkowskiego, któremu podlega administrator, i prawo takie reguluje daną
operację przetwarzania lub zestaw operacji, a oceny skutków dla ochrony
danych dokonano już w ramach oceny skutków regulacji w związku z
przyjęciem tej podstawy prawnej - chyba że państwa członkowskie uznają za
niezbędne, by przed podjęciem czynności przetwarzania dokonać oceny
skutków dla ochrony danych.
Test prywatności, w tym Ocena skutków dla ochrony danych
- Artykuł 35
• rodzaj przetwarzania
• użycie nowych technologii
• charakter
• zakres
• kontekst
• cele
• duże prawdopodobieństw wysokiego ryzyka naruszenia praw
lub wolności osób fizycznych
→ ocena skutków planowanych operacji przetwarzania
dla ochrony danych osobowych
→ oceny skutków dla ochrony danych dokonana już w
ramach oceny skutków regulacji w związku z przyjęciem
tej podstawy prawnej
Artykuł 35 Ocena skutków dla ochrony danych
duża skala – brak definicji - liczba osób, których dane dotyczą, ilość danych, czas
trwania lub ciągłość przetwarzania, zakres geograficzny przetwarzania.
(91) odnoszący się do oceny skutków
• operacje przetwarzania o dużej skali
- służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym,
krajowym lub ponadnarodowym
- mogą wpłynąć na dużą liczbę osób, których dane dotyczą
- monitorowanie na dużą skalę miejsc publicznie dostępnych - w szczególności za
pomocą urządzeń optyczno-elektronicznych
- wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, w
szczególności dlatego, że operacje te uniemożliwiają osobom, których dane
dotyczą, wykonywanie prawa lub korzystania z usługi lub umowy lub mają
systematyczny charakter i dużą skalę
przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na

dużą skalę, jeżeli dotyczy danych osobowych pacjentów lub klientów i jest
dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub
prawnika
Motyw 93
(93) Przyjmując prawo, które ma być dla organu lub podmiotu publicznego
podstawą do wykonywania zadań i ma regulować konkretną operację
przetwarzania lub konkretny zestaw operacji, państwa członkowskie mogą
uznać, że przed takimi czynnościami przetwarzania należy koniecznie
przeprowadzić taką ocenę.
Motyw 96
(96) Konsultacji z organem nadzorczym należy dokonać również w trakcie
przygotowywania aktu ustawodawczego lub wykonawczego przewidującego
przetwarzanie danych osobowych, aby zapewnić zgodność zamierzonego
przetwarzania z niniejszym rozporządzeniem, a w szczególności
zminimalizować ewentualne ryzyko dla osoby, której dane dotyczą.
Wytyczne dotyczące oceny skutków dla ochrony danych oraz pomagające

ustalić czy przetwarzanie „może powodować wysokie ryzyko” do celów
rozporządzenia 2016/679
przyjęte 4 kwietnia 2017 r.
ostatnio zmienione i przyjęte 4 października 2017 r.
Wytyczne nr 4/2-19 dotyczące artykułu 25 Uwzględnienie ochrony danych w

fazie projektowania oraz domyślna ochrona danych
Wersja 2.0
Przyjęte 20 października 2020 r.
Komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019

r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych
wymagających oceny skutków przetwarzania dla ich ochrony (M.P z 2019 r., poz.
666)
Organ nadzorczy
ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania
podlegających wymogowi dokonania oceny skutków dla ochrony danych
KOMUNIKAT PREZESA URZĘDU OCHRONY DANYCH OSOBOWYCH
z dnia 17 czerwca 2019 r.
w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających
oceny skutków przetwarzania dla ich ochrony
może także ustanowić i podać do wiadomości publicznej wykaz rodzajów operacji

przetwarzania niepodlegających wymogowi dokonania oceny skutków dla ochrony danych
przekazywane Europejskiej Radzie Ochrony Danych
Ewaluacja przyjętego przez polski organ wykazu – pozytywna – jako wzór dla innych
organów
Ocena zawiera co najmniej – to są wskazówki dla projektodawcy jakie
elementy powinien uznać za istotne wykonując ocenę skutków regulacji
w związku z przyjęciem tej podstawy prawnej
a) systematyczny opis planowanych operacji przetwarzania i celów
przetwarzania, w tym, gdy ma to zastosowanie - prawnie uzasadnionych
interesów realizowanych przez administratora;
b) ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w
stosunku do celów;
c) ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą,
o którym mowa w ust. 1; oraz
d) środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz
środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych
osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z
uwzględnieniem praw i prawnie uzasadnionych interesów osób, których
dane dotyczą, i innych osób, których sprawa dotyczy.
Takie wskazówki przekazuje UODO opiniując akty prawne budzące
szczególne wątpliwości
ust. 10 przyjmowanie podstawy prawnej
Ust. 1-7 nie mają zastosowania

• jeżeli przetwarzanie na mocy art. 6 ust. 1 lit. c) lub e) ma
podstawę prawną w prawie Unii lub w prawie państwa
członkowskiego, któremu podlega administrator
• i prawo takie reguluje daną operację przetwarzania lub zestaw
operacji
• a oceny skutków dla ochrony danych dokonano już w ramach
oceny skutków regulacji w związku z przyjęciem tej podstawy
prawnej
chyba że państwa członkowskie uznają za niezbędne, by przed
podjęciem czynności przetwarzania dokonać oceny skutków dla
ochrony danych.
Artykuł 25 ust. 1 - Uwzględnianie ochrony danych w fazie
projektowania
a współpraca służb legislacyjnych z inspektorem ochrony danych

(IOD)
dokonując oceny skutków dla ochrony danych, administrator
konsultuje się z inspektorem ochrony danych, jeżeli został on
wyznaczony
Nie ma przeszkód by konsultować projekt legislacyjny z IOD

choć, oczywiście:
• nie ma takiego obowiązku
• nie jest to, tym bardziej wskazany wprost, obowiązek IOD
• IOD nie może być zmuszony
• IOD nie może zastępować służb legislacyjnych
Uwzględnianie ochrony w fazie projektowania
oraz
domyślna ochrona danych osobowych - art. 25
• Podejście proaktywne (art. 24, 32, 35 i 36 rozporządzenia 2016/679 –

prewencyjna ochrona)
• Prywatność jako ustawienie domyślne (zasada minimalizacji danych,
anonimizacja)
• Prywatność włączona w projekt (jako część składowa projektu a nie dodatek)
• Pełna funkcjonalność (wbudowanie prywatności w narzędzia, procesy i
procedury)
• Ochrona od początku do końca cyklu życia informacji (ciągłość ochrony)
• Transparentność i przejrzystość (gwarancją realizacji praw podmiotów danych)
• Poszanowanie dla prywatności użytkowników (kontrola nad danymi i pewna
swoboda w określaniu granic ingerencji w prywatność przez osoby, których
dane dotyczą)
To wskazówki także dla projektodawcy

Uwzględnienie:
- stanu wiedzy technicznej,
- kosztu wdrażania
- charakteru, zakresu, kontekstu i celów przetwarzania
- ryzyka naruszenia praw lub wolności osób fizycznych o różnym
prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania
-dotyczy określania sposobów przetwarzania
-dotyczy samego przetwarzania
-wymaga wdrożenia odpowiednich środków technicznych i organizacyjnych
-w celu skutecznej realizacji zasad ochrony danych
-w celu nadania przetwarzaniu niezbędnych zabezpieczeń
-by spełnić wymogi rozporządzenia
-by chronić prawa osób, których dane dotyczą.
Ocena wszystkich obszarów dla dokonania testu privacy by design – m.in.
zamówienia publiczne, projekty unijne, procedury zgłaszania naruszeń i
postępowania whistleblowingowego, procedury archiwizacji i in.
OGRANICZENIA
Art. 23 – ograniczenia praw z art. 12-22 /prawa osoby której dane dotyczą/, 34
/zgłaszanie naruszeń/, 5 /zasady przetwarzania danych, w tym zasada
rozliczalności/
→ tylko w zakresie przewidzianym w RODO:
• gdy będzie to przewidziane przepisami prawa
• o ile przepisy odpowiadać będą prawom i obowiązkom przewidzianym w art. 12-22
• jeżeli ograniczenie nie narusza istoty podstawowych praw i wolności
• jeżeli ograniczenie jest w demokratycznym społeczeństwie środkiem niezbędnym i
proporcjonalnym służącym istotnym celom służącym np. zdrowiu publicznemu
• akt prawny ograniczający prawa musi zawierać normy w określonym w art. 23 ust. 2
zakresie, m.in. cele przetwarzania, kategorie danych, zakres ograniczeń,
zabezpieczeniach, prawie do informacji o ograniczeniach
→ dlatego niedopuszczalnym jest wprowadzenie w przepisach szczególnych
rozwiązania polegającego na całkowitym wyłączeniu obowiązków
WYŁĄCZENIA
• w ściśle określonych sytuacjach
• nie każdego prawa dotyczą
Art. 13 – w zakresie w jakim osoba dysponuje już informacjami

Art. 14 – m.in. W zakresie w jakim pozyskiwanie i ujawniania jest wyraźnie
uregulowane prawem UE lub prawem państwa członkowskiego , któremu
podlega administrator, przewidującym odpowiednie środki chroniące
prawnie uzasadnione interesy osoby, której dane dotyczą
Art. 17 /prawo do bycia zapomnianym/ - m.in.: wywiązanie się z prawnego
obowiązku, względy interesu publicznego w ochronie zdrowia
OGRANICZENIA a WYŁĄCZENIA
Niestety wątek ten dość często pojawia się w opiniach legislacyjnych –
zwłaszcza w przypadkach gdy projektodawca, powołując się na art. 2 ust. 2
i niestosowanie RODO
Artykuł 2 ust. 2 Materialny zakres stosowania
Niniejsze rozporządzenie nie ma zastosowania do przetwarzania danych
osobowych:
a) w ramach działalności nieobjętej zakresem prawa Unii;
b) przez państwa członkowskie w ramach wykonywania działań wchodzących w
zakres tytułu V rozdział 2 TUE;
d) przez właściwe organy do celów zapobiegania przestępczości, prowadzenia
postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub
wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa
publicznego i zapobiegania takim zagrożeniom → USTAWA z dnia 14 grudnia
2018 r. o ochronie danych osobowych przetwarzanych w związku z
zapobieganiem i zwalczaniem przestępczości (dyrektywa 2016/680)
Artykuł 23 ust. 1 Ograniczenia
Prawo Unii lub prawo państwa członkowskiego, któremu podlegają
administrator danych lub podmiot przetwarzający, może
• aktem prawnym → ranga przepisów
• ograniczyć → a więc nie wyłączyć
• zakres obowiązków i praw przewidzianych w art. 12-22 i w
art. 34, a także w art. 5 → zakres przedmiotowy
ograniczenia, nie wyłączenia oraz nie całego RODO
• o ile jego przepisy odpowiadają prawom i obowiązkom
przewidzianym w art. 12-22 → regulacje odpowiadające w
miejsce ograniczonych przepisów RODO
• jeżeli ograniczenie takie nie narusza istoty podstawowych
praw i wolności oraz jest w demokratycznym społeczeństwie
środkiem niezbędnym i proporcjonalnym → wyłączenie
narusza istotę
• służącym ściśle określonym celom → ograniczenia dla
realizacji ściśle określonych interesów
Artykuł 23 ust. 2 Ograniczenia
W szczególności akt prawny, o którym mowa w ust. 1, musi zawierać
szczegółowe przepisy przynajmniej - w stosownym przypadku - o:
a) celach przetwarzania lub kategorii przetwarzania;
b) kategoriach danych osobowych;
c) zakresie wprowadzonych ograniczeń;
d) zabezpieczeniach zapobiegających nadużyciom lub niezgodnemu z prawem
dostępowi lub przekazywaniu;
e) określeniu administratora lub kategorii administratorów;
f) okresach przechowywania oraz mających zastosowanie zabezpieczeniach z
uwzględnieniem charakteru, zakresu i celów przetwarzania lub kategorii
przetwarzania;
g) ryzykach naruszenia praw lub wolności osoby, której dane dotyczą; oraz
h) prawie osób, których dane dotyczą, do uzyskania informacji o
ograniczeniach, o ile nie narusza to celu ograniczenia.
ograniczenia muszą zatem
• uwzględniać obowiązujące w tym zakresie przepisy art. 23 rozporządzenia
2016/679
• nie mogą prowadzić do wyłączenia praw,
• przyjmowania rozwiązań niezgodnych z rozporządzeniem 2016/679
• mogą następować tylko gdy ograniczenie jest środkiem niezbędnym i
proporcjonalnym do celów, ze względu na które jest wprowadzane
• mogą mieć miejsce tylko na zasadach przewidzianych przepisami, w
szczególności art. 23 rozporządzenia 2016/679
• mogą następować jedynie z uwzględnieniem zastosowania odpowiednich
gwarancji w treści aktów prawnych ograniczających
→ ograniczenie osobie fizycznej jej praw może być przyjęte w
porządku krajowym jedynie przy spełnieniu norm i warunków
wskazanych w art. 23 rozporządzenia 2016/679 tak by nie
dochodziło do braku poszanowania zasady zgodności z prawem, w
postaci niedopuszczalnego przepisami rozporządzenia 2019/679
wyłączenia stosowania jego przepisów.
Zasady dotyczące przetwarzania danych osobowych (art. 5)
a ograniczenia
Art. 23 ust. 1. Ograniczenia – istotne cele uzasadniające ograniczenia:
a) bezpieczeństwu narodowemu;
b) obronie;
c) bezpieczeństwu publicznemu;
d) zapobieganiu przestępczości, prowadzeniu postępowań przygotowawczych,
wykrywaniu lub ściganiu czynów zabronionych lub wykonywaniu kar, w tym
ochronie przed zagrożeniami dla bezpieczeństwa publicznego i zapobieganiu
takim zagrożeniom;
e) innym ważnym celom leżącym w ogólnym interesie publicznym Unii lub
państwa członkowskiego, w szczególności ważnemu interesowi
gospodarczemu lub finansowemu Unii lub państwa członkowskiego, w tym
kwestiom pieniężnym, budżetowym i podatkowym, zdrowiu publicznemu i
zabezpieczeniu społecznemu;
Zasady dotyczące przetwarzania danych osobowych (art. 5)
a ograniczenia
Art. 23 ust. 1. Ograniczenia – istotne cele uzasadniające ograniczenia:
f) ochronie niezależności sądów i postępowania sądowego;

g) zapobieganiu naruszeniom zasad etyki w zawodach regulowanych, prowadzeniu
postępowań w takich sprawach, ich wykrywaniu oraz ściganiu;
h) funkcjom kontrolnym, inspekcyjnym lub regulacyjnym związanym, nawet
sporadycznie, ze sprawowaniem władzy publicznej w przypadkach, o których mowa w
lit. a) - e) oraz g);
i) ochronie osoby, której dane dotyczą, lub praw i wolności innych osób;
j) egzekucji roszczeń cywilnoprawnych.
Art. 23 ust. 2 – niezbędne elementy aktu prawnego ograniczającego
obowiązki i prawa wynikające z RODO

d) zabezpieczeniach zapobiegających nadużyciom lub niezgodnemu z prawem
dostępowi lub przekazywaniu;
f) okresach przechowywania oraz mających zastosowanie zabezpieczeniach z
uwzględnieniem charakteru, zakresu i celów przetwarzania lub kategorii
przetwarzania;
g) ryzykach naruszenia praw lub wolności osoby, której dane dotyczą; oraz
CEL DOKUMENTU → dostarczenie wskazówek dotyczących stosowania art. 23 RODO.
→ dogłębna analiza:
- kryteriów stosowania ograniczeń,
- ocen, których należy przestrzegać,
- sposobu, w jaki osoby, których dane dotyczą, mogą korzystać ze swoich praw po
zniesieniu ograniczenia
- konsekwencji dla naruszeń art. 23 RODO
→ ochrona osób fizycznych w związku z przetwarzaniem danych osobowych - prawo
podstawowe
→ ochrony danych nie można zapewnić bez przestrzegania praw i zasad określonych w
RODO (art. 12-22 i art. 34, a także art. 5, o ile jego przepisy odpowiadają prawom i
obowiązkom przewidzianym w art. 12-22 RODO)
→ stosowanie praw i obowiązków (podstaw) powinno być zasadą ogólną
→ każde ograniczenie podstawowego prawa do ochrony danych musi być zgodne z art.
52 Karty praw podstawowych Unii Europejskiej
Artykuł 52 ust. 1 KPP - Zakres i wykładnia praw i zasad - wszelkie ograniczenia w
korzystaniu z praw i wolności uznanych w niniejszej Karcie muszą być przewidziane
ustawą i szanować istotę tych praw i wolności. Z zastrzeżeniem zasady
proporcjonalności, ograniczenia mogą być wprowadzone wyłącznie wtedy, gdy są
konieczne i rzeczywiście odpowiadają celom interesu ogólnego uznawanym przez Unię
lub potrzebom ochrony praw i wolności innych osób.
→ art. 23 RODO należy interpretować w kontekście art. 52 KPP - ograniczenia muszą

być przewidziane ustawą i szanować istotę tych praw i wolności; mogą być
wprowadzone wyłącznie wtedy, gdy są konieczne i rzeczywiście odpowiadają celom
interesu ogólnego uznawanym przez Unię lub potrzebom ochrony praw i wolności
innych osób.
→ „ograniczenia”
- stosowanie niektórych przepisów RODO może być ograniczone w sytuacjach
wymienionych w art. 23
- należy je postrzegać jako wyjątki od ogólnej zasady umożliwiającej wykonywanie
praw i nakładającej obowiązki zapisane w RODO
- interpretowane zawężająco
- stosowane jedynie w określonych okolicznościach i tylko wtedy, gdy spełnione są
określone warunki
- nawet w wyjątkowych sytuacjach ochrona danych osobowych nie może być w
całości ograniczona
- ochronę danych osobowych należy utrzymać we wszystkich środkach
nadzwyczajnych
- wartości, jakimi są demokracja, praworządność i prawa podstawowe, na których
opiera się Unia są nadrzędne
→„ograniczenia”
- środki podejmowane przez państwa członkowskie muszą być zgodne z ogólnymi
zasadami prawa, istotą podstawowych praw i wolności
- Środki podejmowane nie mogą być nieodwracalne
- administratorzy (w tym współadministratorzy) i podmioty przetwarzające nadal
przestrzegają przepisów o ochronie danych
- zasada rozliczalności określona w art. 5 ust. 2 RODO nadal ma zastosowanie
- gdy prawodawca unijny lub krajowy ustanawia ograniczenia na podstawie art. 23
RODO, zapewnia, aby spełniał on wymogi określone w art. 52 ust. 1 Karty, a w
szczególności przeprowadza ocenę proporcjonalności, tak aby ograniczenia
ograniczały się do tego, co jest absolutnie konieczne.
→ wytyczne - zalecenia są kierowane, w stosownych przypadkach, również do

przetwórców (podmiotów przetwarzających)
ZNACZENIE OGRANICZEŃ
- termin „ograniczenia” brak definicji w RODO
- motyw 73 i art. 23 RODO - warunki, na jakich ograniczenia mogą być stosowane
(73) W prawie Unii lub w prawie państwa członkowskiego można przewidzieć ograniczenia
dotyczące określonych *zasad oraz *prawa do informacji, *dostępu do danych osobowych i ich
*sprostowania lub *usuwania, *prawa do przenoszenia danych, *prawa do sprzeciwu,* decyzji
opartych na profilowaniu, *zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony
danych osobowych oraz określonych powiązanych obowiązków administratorów, o ile jest to
niezbędne i proporcjonalne w społeczeństwie demokratycznym, by zapewnić *bezpieczeństwo
publiczne, w tym ochronę życia ludzkiego - w szczególności w ramach reakcji na klęski żywiołowe
lub katastrofy spowodowane przez człowieka - *zapobieganie przestępczości, *prowadzenie
postępowań przygotowawczych, *ściganie czynów zabronionych, lub *wykonywanie kar, w tym
*ochronę przed zagrożeniami dla bezpieczeństwa publicznego i *zapobieganie takim zagrożeniom
lub *zapobieganie naruszeniom zasad etyki w zawodach regulowanych,* ochronę innych ważnych
celów leżących w ogólnym interesie publicznym Unii lub państwa członkowskiego, w szczególności
*ważnego interesu gospodarczego lub finansowego Unii lub państwa członkowskiego,
*prowadzenie rejestrów publicznych z uwagi na względy ogólnego interesu publicznego, *dalsze
przetwarzanie zarchiwizowanych danych osobowych w celu dostarczenia konkretnych informacji o
postawie politycznej w ramach dawnych systemów państw totalitarnych lub ochronę osoby, której
dane dotyczą, lub praw i wolności innych osób, w tym *cele w dziedzinie ochrony socjalnej,
*zdrowia publicznego i *cele humanitarne. Ograniczenia te powinny być zgodne z wymogami
Karty praw podstawowych oraz Europejskiej konwencji o ochronie praw człowieka i
podstawowych wolności.
ZNACZENIE OGRANICZEŃ
- termin „ograniczenia” brak definicji w RODO
- motyw 73 i art. 23 RODO - warunki, na jakich ograniczenia mogą być stosowane
- dot. obowiązków i praw przewidzianych w art. 12-22 i 34 RODO, a także
odpowiadające im przepisy art. 5 zgodnie z art. 23 RODO. Ograniczenie prawa
jednostki musi chronić ważne cele, na przykład ochronę praw i wolności innych osób
lub ważne cele leżące w ogólnym interesie publicznym Unii lub państwa
członkowskiego wymienione w art. 23 ust. 1 RODO. W związku z tym ograniczenia
praw osób, których dane dotyczą, mogą mieć miejsce tylko wtedy, gdy zagrożone są
wymienione interesy, a ograniczenia te mają na celu ochronę takich interesów
- uzasadnienie ograniczenia musi:
✓ być jasne
✓ być przewidziane w środku ustawodawczym
✓ dotyczyć ograniczonej liczby praw osób, których dane dotyczą / obowiązków
z art. 23 RODO
✓ szanować istotę rozpatrywanych podstawowych praw i wolności
✓ być niezbędnym i proporcjonalnym środkiem w społeczeństwie demokratycznym
✓ chronić jedną z podstaw określonych w art. 23 ust. 1 RODO
✓ być zgodne z wymogami określonymi w Karcie i europejskiej Konwencji o ochronie
praw człowieka i podstawowych wolności.
Istnieją prawa, których nie można ograniczyć na mocy art. 23 RODO, takie jak prawo do
wniesienia skargi do organu nadzorczego (art. 77 RODO).
Wytyczne 10/2020 w sprawie ograniczeń praw osób, których dane dotyczą,
na podstawie art. 23 RODO
ograniczenie zakresu obowiązków i praw przewidzianych w art. 12-22 i art. 34

może przybierać różne formy
nigdy nie może dojść do ogólnego zawieszenia wszystkich praw
środek ustawodawczy ustanawiający ograniczenia na mocy art. 23 RODO mogą

również przewidywać, że
- korzystanie z prawa jest opóźnione w czasie
- prawo jest wykonywane częściowo
- prawo jest ograniczone do określonych kategorii danych
- prawo może być wykonywane pośrednio za pośrednictwem
niezależnego organu nadzorczego
Wytyczne 10/2020 w sprawie ograniczeń praw osób, których dane dotyczą,
na podstawie art. 23 RODO
WYMOGI ART. 23 UST. 1 RODO - aby można było powołać się na środek
zgodnie z prawem, wszystkie te wymogi muszą zostać spełnione
1. poszanowanie istoty podstawowych praw i wolności – nie mogą to być:

- ograniczenia, które są szeroko zakrojone i inwazyjne w zakresie, w jakim
unieważniają prawo podstawowe jego podstawowej treści
- ogólne wyłączenie praw osób, których dane dotyczą, w odniesieniu do
wszystkich lub szczególnych operacji przetwarzania danych lub w
odniesieniu do konkretnych administratorów
- WYMOGI ART. 23 UST. 1 RODO
2. Środki ustawodawcze określające ograniczenia i potrzebę przewidywalności (motyw

41 i orzecznictwo TSUE)
- administratorzy mogą powoływać się na ograniczenie przewidziane w art. 23 RODO
jedynie w zakresie, w jakim ograniczenie to zostało określone w prawie Unii lub
prawie państwa członkowskiego - bez odpowiedniego środka ustawodawczego
administratorzy nie mogą powoływać się bezpośrednio na podstawy wymienione w
art. 23 ust. 1 RODO
- (41) RODO stanowi, że "[w] przypadku gdy niniejsze rozporządzenie odnosi się do
podstawy prawnej lub aktu ustawodawczego, niekoniecznie wymaga to aktu
ustawodawczego przyjętego przez parlament, bez uszczerbku dla wymogów
wynikających z porządku konstytucyjnego danego państwa członkowskiego. Taka
podstawa prawna lub środek ustawodawczy powinny być jednak jasne i precyzyjne,
a ich stosowanie powinno być przewidywalne dla osób, którym podlega, zgodnie z
orzecznictwem Trybunału Sprawiedliwości Unii Europejskiej [...] i Europejskiego
Trybunału Praw Człowieka
- art. 52 ust. 1 Karty - wszelkie ograniczenia w korzystaniu z praw i wolności uznanych
w karcie są „przewidziane ustawą”.
podstawie art. 23 RODO - WYMOGI ART. 23 UST. 1 RODO
2. Środki ustawodawcze
art. 52 ust. 1 Karty - przypomina wyrażenie „zgodnie z prawem” zawarte w art. 8 ust. 2
europejskiej konwencji praw człowieka
- nie tylko przestrzeganie prawa krajowego
- ale również jakość prawa krajowego
- rodzaj rozważanych środków ustawodawczych musi być zgodny z prawem
UE lub z prawem krajowym
- w zależności od stopnia ingerencji w ograniczenie, na szczeblu krajowym
może być wymagany konkretny środek ustawodawczy, uwzględniający poziom normy.
Zob. w szczególności wyrok Europejskiego Trybunału Praw Człowieka z dnia 14

września 2010 r. w sprawie Sanoma Uitgevers B.V. przeciwko Niderlandom,
EC:ECHR:2010:0914JUD003822403, pkt 83: „Ponadto, w odniesieniu do słów "zgodnie z prawem" i
"przewidzianych przez prawo", które pojawiają się w art. 8-11 konwencji, Trybunał zauważa, że zawsze rozumiał
termin "prawo" w znaczeniu "istotnym", a nie "formalnym”; obejmuje ono zarówno „prawo pisemne”, które
obejmuje uchwalenie statutu niższego rzędu, jak i środki regulacyjne podejmowane przez profesjonalne organy
regulacyjne na mocy niezależnych uprawnień prawodawczych przekazanych im przez parlament, jak i niepisane
prawo. Pojęcie „prawo” należy rozumieć jako obejmujące zarówno ustawę, jak i ustawę sędziego.
Podsumowując, "prawo" jest przepisem obowiązującym zgodnie z jego wykładnią przez właściwe sądy”. Jeżeli
chodzi o pojęcie „przewidzianych ustawą”, kryteria opracowane przez Europejski Trybunał Praw Człowieka
powinny być stosowane zgodnie z sugestią zawartą w opiniach rzecznika generalnego TSUE w sprawach
połączonych CB203/15 i CB698/15, Tele2 Sverige AB, ECLI:EU:C:2016:572, pkt 137-154 lub w sprawie C-70/10,
Scarlet Extended, ECLI:EU:C:2011:255, pkt 99.
- WYMOGI ART. 23 UST. 1 RODO
2. Środki ustawodawcze - jakość prawa krajowego

- prawo krajowe musi być wystarczająco jasne, aby umożliwić jednostkom
odpowiednie wskazanie okoliczności i warunków, na jakich administratorzy są
uprawnieni do korzystania z takich ograniczeń
- należy stosować te same rygorystyczne normy
- zgodnie z RODO i orzecznictwem Trybunału Sprawiedliwości Unii
Europejskiej (TSUE) i Europejskiego Trybunału Praw Człowieka (ETPC) istotne jest, aby
środki ustawodawcze mające na celu ograniczenie zakresu praw osób, których dane
dotyczą lub obowiązków administratora, były przewidywalne dla osób, których dane
dotyczą.
- każdy środek ustawodawczy musi w każdym przypadku być dostosowany do
zamierzonego celu i spełniać kryterium przewidywalności
- środki ustawodawcze powinny odnosić się do podstawy ograniczenia, która
ma być chroniona na bieżąco lub trwale w społeczeństwie demokratycznym
- związek między przewidywanymi ograniczeniami a realizowanym celem
powinien zostać jasno określony i wykazany w danym akcie ustawodawczym lub w
dodatkowych dokumentach uzupełniających
- każde ograniczenie powinno wyraźnie przyczyniać się do ochrony ważnego
celu leżącego w ogólnym interesie publicznym Unii lub państwa członkowskiego
3. podstawy ograniczeń - aby przyjąć środek ustawodawczy dotyczący ograniczeń i
zastosować ograniczenie w konkretnym przypadku, należy spełnić co najmniej jeden z
następujących warunków określonych w art. 23 ust. 1 RODO
- wykaz ten jest wyczerpujący - ograniczenia nie mogą być stosowane na warunkach
innych niż wymienione poniżej
- w środku ustawodawczym należy wyraźnie określić związek między przewidywanymi
ograniczeniami a realizowanym celem
3.1 Bezpieczeństwo narodowe, obrona i bezpieczeństwo publiczne
- bezpieczeństwo publiczne obejmuje ochronę życia ludzkiego, zwłaszcza w odpowiedzi
na klęski żywiołowe lub katastrofy spowodowane przez człowieka.
3.2 Zapobieganie przestępstwom, prowadzenie dochodzeń w ich sprawie, ich
wykrywanie i ściganie lub wykonywanie kar kryminalnych, w tym ochrona przed
zagrożeniami dla bezpieczeństwa publicznego i zapobieganie takim zagrożeniom
- udzielanie informacji osobom, których dane dotyczą, może zagrozić powodzeniu tego
dochodzenia
- pominięte informacje są jednak przekazywane, zgodnie z orzecznictwem TSUE, jeden raz i
jeżeli nie jest już możliwe zagrożenie dla prowadzonego dochodzenia
- osoba, której dane dotyczą, powinna jak najszybciej otrzymać konkretną (dostosowaną)
informację o ochronie danych, określającą różne prawa, takie jak dostęp, sprostowanie itp.
- celem ochrony bezpieczeństwa publicznego jest ochrona życia ludzkiego, zwłaszcza w
odpowiedzi na klęski żywiołowe lub katastrofy spowodowane przez człowieka (19)
3. podstawy ograniczeń
3.3 Inne ważne cele leżące w ogólnym interesie publicznym
- istotny interes gospodarczy lub finansowy, w tym kwestie pieniężne,

budżetowe i podatkowe, zdrowie publiczne i zabezpieczenie społeczne - np.
prowadzenie rejestrów publicznych prowadzonych ze względu na ogólny
interes publiczny lub dalszego przetwarzania zarchiwizowanych danych
osobowych w celu dostarczenia konkretnych informacji związanych z
zachowaniem politycznym w byłych totalitarnych reżimach państwowych
- koszty poniesione w związku z dostarczaniem informacji, a tym samym
obciążenie finansowe dla budżetów publicznych, nie są jednak
wystarczające, aby uzasadnić interes publiczny polegający na ograniczeniu
praw osób, których dane dotyczą (ograniczenie do czasu niezbędnego do
przeprowadzenia konkretnego dochodzenia zniesione niezwłocznie po
zamknięciu dochodzenia przez administrację podatkową)
3. podstawy ograniczeń
3.4 ochrona niezawisłości sądów i postępowania sądowe
zakres tych ograniczeń dla celu ochrony niezawisłości sądów i postępowań sądowych
powinien być dostosowany do ustawodawstwa krajowego regulującego te kwestie.
3.5 zapobieganie naruszeniom etyki w zawodach regulowanych, prowadzenie
dochodzeń w ich sprawie, ich wykrywanie i ściganie
to przypadki, w których dochodzenie zasadniczo nie odnosi się do przestępstw
3.6 Monitorowanie, kontrola lub funkcja regulacyjna związane z wykonywaniem władzy
publicznej
potencjalne ograniczenie w przypadku kontroli, monitorowania lub funkcji regulacyjnej
związanej, nawet jeśli tylko sporadycznie, z wykonywaniem władzy publicznej
3.7 Ochrona osoby, której dane dotyczą, lub praw i wolności innych osób
ograniczenie, które ma na celu ochronę osoby, której dane dotyczą, lub praw i wolności
innych osób.
Np. gdy prowadzone jest dochodzenie adm. lub post. dyscyplinarne - ograniczenia
prawa dostępu co do tożsamości w celu ochrony jej przed odwetem
3.8 Dochodzenie roszczeń cywilnoprawnych
ograniczenia w celu ochrony indywidualnych interesów (potencjalnego) podmiotu
sądowego, w celu ochrony samych postępowań sądowych oraz mających zastosowanie
przepisów proceduralnych
Prawa osób, których dane dotyczą, i obowiązki administratora, które mogą być
ograniczone
- jedynie art. 12-22, art. 34 RODO i art. 5 - w zakresie, w jakim jego przepisy
odpowiadają prawom i obowiązkom przewidzianym w art. 12-22, mogą zostać
ograniczone
- ograniczenia obowiązków dotyczą ograniczeń zasad odnoszących się do
przetwarzania danych osobowych w zakresie, w jakim:
- przepisy art. 5 odpowiadają obowiązkom przewidzianym w art. 12-
22 RODO
- w odniesieniu do powiadamiania osób, których dane dotyczą, o
naruszeniu ochrony danych osobowych - art. 34 RODO)
- ograniczenia zasad ochrony danych muszą być należycie uzasadnione
wyjątkową sytuacją, z poszanowaniem istoty rozpatrywanych
podstawowych praw i wolności oraz po przeprowadzeniu testu konieczności
i proporcjonalności
- art. 5 RODO może być ograniczony jedynie w zakresie, w jakim jego przepisy
odpowiadają prawom i obowiązkom przewidzianym w art. 12-22 RODO
Prawa osób, których dane dotyczą, i obowiązki administratora, które mogą być
ograniczone
Ograniczenia praw dotyczą:
- prawa do przejrzystych informacji (art. 12 RODO),
- prawa do informacji (art. 13 i 14 RODO),
- prawa dostępu (art. 15 RODO),
- prawa do sprostowania (art. 16 RODO),
- prawa do usunięcia danych (art. 17 RODO),
- prawa do ograniczenia przetwarzania (art. 18 RODO),
- obowiązku powiadomienia o sprostowaniu lub usunięciu danych
osobowych lub ograniczenia przetwarzania (art. 19 RODO),
- prawa do przenoszenia danych (art. 20 RODO),
- prawa do sprzeciwu (art. 21 RODO),
- prawa do niepodlegania zautomatyzowanemu podejmowaniu decyzji
indywidualnej (art. 22 RODO).
→ nie można ograniczać żadnych praw innych osób, których dane dotyczą,
takich jak prawo do wniesienia skargi do organu nadzorczego (art. 77 RODO)
lub obowiązków innych administratorów danych
Art. 23 ust. 2 RODO określa elementy aktu prawnego w sytuacji

stanowienia ograniczeń
d) zabezpieczeniach zapobiegających nadużyciom lub niezgodnemu
z prawem dostępowi lub przekazywaniu;
f) okresach przechowywania oraz mających zastosowanie
zabezpieczeniach z uwzględnieniem charakteru, zakresu i celów
przetwarzania lub kategorii przetwarzania;
g) ryzykach naruszenia praw lub wolności osoby, której dane
dotyczą; oraz
Test konieczności i proporcjonalności
→Ograniczenia;
• są zgodne z prawem tylko wtedy, gdy są środkiem koniecznym i proporcjonalnym w
społeczeństwie demokratycznym
• muszą przejść test konieczności i proporcjonalności, aby były zgodne z RODO
→Test konieczności i proporcjonalności należy przeprowadzić przed podjęciem przez
ustawodawcę decyzji o wprowadzeniu ograniczenia
→Cel, który ma zostać zabezpieczony musi być określony w sposób wystarczająco
szczegółowy, aby umożliwić ocenę, czy dany środek jest konieczny
→Orzecznictwo TSUE stosuje ścisły test konieczności w odniesieniu do wszelkich
ograniczeń w korzystaniu z praw do ochrony danych osobowych
Zasada pewności:
→zaleca się udokumentowanie testu proporcjonalności i konieczności
→rgany nadzorcze mogą zażądać dodatkowej dokumentacji.

TSUE stosuje
→ścisły test konieczności w odniesieniu do wszelkich ograniczeń w korzystaniu z praw
do ochrony danych osobowych i poszanowania życia prywatnego w odniesieniu do
przetwarzania danych osobowych: „odstępstwa i ograniczenia w odniesieniu do
ochrony danych osobowych (...) muszą mieć zastosowanie jedynie w takim zakresie, w
jakim jest to absolutnie konieczne”.
ETPCz stosuje
→test ścisłej konieczności w zależności od kontekstu i wszystkich okoliczności, na
przykład w odniesieniu do tajnych środków nadzoru.
→ocenę proporcjonalności planowanego środka

→jeżeli projektowany środek nie przejdzie testu konieczności, nie ma potrzeby badania
jego proporcjonalności
→nie należy proponować środka, który nie jest konieczny, dopóki nie zostanie
zmieniony w celu spełnienia wymogu konieczności
→test oznacza ocenę zagrożeń dla praw i wolności osób, których dane dotyczą.
Zagrożenia dla praw i wolności osób, których dane dotyczą, opisano szczegółowo w pkt

→Zgodnie z zasadą proporcjonalności treść aktu ustawodawczego nie może wykraczać poza to, co
jest absolutnie niezbędne do ochrony celów wymienionych w art. 23 ust. 1 lit. a)–j) RODO
→ograniczenie to powinno zatem być odpowiednie do osiągnięcia uzasadnionych celów, do
których dąży sporne uregulowanie, i nie wykraczać poza to, co jest właściwe i konieczne do
osiągnięcia tych celów
→Zgodnie z orzecznictwem TSUE art. 23 RODO nie może być interpretowany jako mogący
przyznawać państwom członkowskim uprawnienie do naruszania poszanowania życia prywatnego,
z naruszeniem art. 7 karty lub jakiejkolwiek z innych gwarancji w niej zawartych.
→Proponowany środek ograniczający powinien być poparty dowodami opisującymi problem,
który ma zostać rozwiązany w ramach tego środka, sposobu jego rozwiązania oraz tego, dlaczego
istniejące lub mniej inwazyjne środki nie są w stanie rozwiązać tego problemu w wystarczającym
stopniu. Istnieje również wymóg wykazania, w jaki sposób proponowana ingerencja lub
ograniczenia rzeczywiście spełniają cele leżące w ogólnym interesie państwa i UE lub potrzebę
ochrony praw i wolności innych osób
→Ograniczenie praw do ochrony danych będzie musi koncentrować się na konkretnych
zagrożeniach.
• wyrok TSUE z dnia 16 grudnia 2008 r., sprawa C-73/07, Tietosuojavaltuutettu przeciwko
Satakunnan Markkinaporssi Oy i Satamedia Oy, ECLI:EU:C:2008:727, pkt 56.
• wyrok ETPC z dnia 12 stycznia 2016 r. w sprawie Szabo i Vissy przeciwko Węgrom, pkt 73.
• wyrok TSUE z dnia 6 października 2020 r., La Quadrature du net i in., sprawy połączone C-
511/18, C-512/18 i C-520/18, ECLI:EU:C:2020:791, pkt 210.
akty prawny dot. ograniczeń, przykłady:
1. Projekt ustawy o sygnalistach – Projekt ustawy o ochronie osób

zgłaszających naruszenia prawa
Wyłączenie / ograniczenie obowiązku informacyjnego z art. 14 ust. 1 lit f
wyłączenie obowiązku informacyjnego w zakresie źródła danych osobowych
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23

października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa
Unii dyrektywę Parlamentu Europejskiego i Rady (UE) 2019/1937 (Dz. Urz. UE L
305 z 26.11.2019)
2. Projekt ustawy o badaniach klinicznych produktów leczniczych stosowanych

u ludzi
„Przepisów art. 15, 16, 18 i 21 rozporządzenia 2016/679 nie stosuje się do
badań klinicznych, jako badań naukowych, w zakresie w jakim przetwarzanie
danych jest konieczne do realizacji badania klinicznego, a stosowanie tych
przepisów uniemożliwia lub poważnie utrudnia prowadzenie badania
klinicznego”
Art. 8. 1. Przy realizacji badań klinicznych będących badaniami naukowymi

dopuszcza się ograniczenie stosowania przepisów art. 15, art. 16, art. 18 i art.
21 rozporządzenia 2016/679, jeżeli jest prawdopodobne, że prawa określone w
tych przepisach uniemożliwią lub poważnie utrudnią realizację celów badania
klinicznego będącego badaniem naukowym, i jeżeli wyłączenia te są konieczne
do realizacji tych celów.
2. Projekt ustawy o badaniach klinicznych produktów leczniczych stosowanych u ludzi
2. Ograniczenie stosowania:
1) przepisu art. 15 rozporządzenia 2016/679 dopuszcza się do czasu
zakończenia badania klinicznego;
2) przepisów art. 16, art. 18 i art. 21 rozporządzenia 2016/679 dopuszcza się w
trakcie badania klinicznego i po jego zakończeniu.
3. Ograniczenie, o którym mowa w ust. 1, nie dotyczy następujących danych:

1) imię i nazwisko;
2) numer PESEL, a w przypadku gdy nie nadano tego numeru – rodzaj i numer
dokumentu potwierdzającego tożsamość oraz data urodzenia;
3) adres korespondencyjny;
4) numer telefonu lub adres poczty elektronicznej.
2. Projekt ustawy o badaniach klinicznych produktów leczniczych stosowanych u ludzi
4. Przy przetwarzaniu danych osobowych uzyskanych na potrzeby badania

klinicznego oraz w trakcie tego badania, administrator danych wdraża
odpowiednie zabezpieczenia techniczne i organizacyjne, o których mowa w art.
32 ust. 1 rozporządzenia 2016/679, mając w szczególności na względzie
charakter danych osobowych przetwarzanych w badaniu klinicznym i ryzyko
naruszenia praw lub wolności osób, których dane są przetwarzane w związku z
prowadzonym badaniem klinicznym.
Przykłady – ograniczenia/wyłączenia
ograniczenie prawa dostępu osoby do danych osobowych przetwarzanych w

dokumentacji administratora – np. poprzez wyraźne wskazanie, że
ograniczenia do dostępu do dokumentów nie dotyczą dostępu do danych
osobowych wnioskującego beneficjenta
wyłączenie prawa do informacji o źródle danych (art. 14 ust. 1 lit e) –

przepisy projektu ustawy o sygnalistach – np. poprzez wprowadzenie regulacji
o odsunięciu w czasie realizacji tego prawa, po zakończeniu postępowania
prowadzonego na skutek sygnału
Określanie w przepisach ról w procesach przetwarzania danych,
m.in. administratora
Administrator / współadministrowanie
"administrator" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę

lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby
przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są
określone w prawie Unii lub w prawie państwa członkowskiego, to również w
prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony
administrator lub mogą zostać określone konkretne kryteria jego wyznaczania
(art. 4 pkt 7 rozporządzenia 2016/679)
-podstawa prawna funkcjonowania
-cel / cele przetwarzania danych osobowych
-zgodność procesów przetwarzania danych osobowych z zasadami przetwarzania,
zwłaszcza:
proporcjonalność
bezpieczeństwo danych,
przejrzystość
retencja
Kto będzie realizował tworzone przepisy prawa ?

TERMINOLOGIA
"administrator”
• osoba fizyczna
• osoba prawna
• organ publiczny
• jednostka
• inny podmiot
- samodzielnie lub wspólnie z innymi
- ustala cele i sposoby przetwarzania danych
osobowych
jeżeli cele i sposoby takiego przetwarzania są określone w

prawie Unii lub w prawie państwa członkowskiego, to
również w prawie Unii lub w prawie państwa członkowskiego
może zostać wyznaczony administrator lub mogą zostać
określone konkretne kryteria jego wyznaczania;
WSPÓŁADMINISTROWANIE
KONCEPCJA PRZETWARZANIA W ŚWIETLE WSPÓŁADMINISTROWANIA
→Co najmniej dwóch administratorów

→Wspólne ustalenie celów i sposobów przetwarzania
→Wspólne uzgodnienia
→Przejrzyste określenie odpowiedzialności dot. wypełniania obowiązków z
RODO, w szczególności:
• Wykonywanie praw podmiotów danych
• Podawania informacji zgodnie z art. 13 i 14
→Wspólny punkt kontaktowy
→Relacje pomiędzy współadministratorami a podmiotami danych
→Wykonywanie prawa przez osobę wobec każdego z administratorów
Współadministrowanie (art. 26 rozporządzenia 2016/679)
co najmniej dwóch administratorów

wspólne ustalenie celów i sposobów przetwarzania
- w drodze wspólnych uzgodnień
- w przejrzysty sposób
- określenie odpowiednich zakresów odpowiedzialności
współadministratorów
- odpowiedzialność za wypełnianie obowiązków wynikających z
rozporządzenia
w szczególności w odniesieniu do:
- wykonywania przez osobę, której dane dotyczą, przysługujących jej
praw,
- podawania informacji, o których mowa w art. 13 i 14,
chyba że przypadające im obowiązki i ich zakres określa prawo Unii lub prawo
państwa członkowskiego, któremu administratorzy ci podlegają
Współadministrowanie (art. 26 rozporządzenia 2016/679)
w uzgodnieniach można wskazać punkt kontaktowy dla osób, których dane

dotyczą
uzgodnienia muszą należycie odzwierciedlać:

- odpowiednie zakresy obowiązków współadministratorów
- relacje pomiędzy nimi a podmiotami, których dane dotyczą
zasadnicza treść uzgodnień jest udostępniana podmiotom, których dane
dotyczą
osoba, której dane dotyczą, może wykonywać przysługujące jej prawa

wynikające z niniejszego rozporządzenia wobec każdego z administratorów
→ Współadministrowanie ustawowe – elementy art. 26

TERMINOLOGIA
„podmiot przetwarzający” – ODRĘBNE ZAJĘCIA

• osoba fizyczna
• osoba prawna
• organ publiczny
• jednostka
• inny podmiot
- przetwarza dane osobowe w imieniu
administratora
Podmiot przetwarzający (art. 28 rozporządzenia 2016/679)
• przetwarzanie dokonywane w imieniu administratora

• administrator korzysta wyłącznie z usług takich podmiotów
przetwarzających, które zapewniają wystarczające gwarancje wdrożenia
odpowiednich środków technicznych i organizacyjnych, by przetwarzanie
spełniało wymogi niniejszego rozporządzenia
i chroniło prawa osób, których dane dotyczą
• podmiot przetwarzający nie korzysta z usług innego podmiotu
przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej
zgody administratora
• podmiot przetwarzający informuje administratora o wszelkich
zamierzonych zmianach dotyczących dodania lub zastąpienia innych
podmiotów przetwarzających, dając tym samym administratorowi
możliwość wyrażenia sprzeciwu wobec takich zmian.
Podmiot przetwarzający (art. 28 rozporządzenia 2016/679) – cd.
• na podstawie umowy lub innego instrumentu prawnego:

- podlegają prawu Unii lub prawu państwa członkowskiego
- wiążą podmiot przetwarzający i administratora,
- określają przedmiot i czas trwania przetwarzania,
- określają charakter i cel przetwarzania,
- określają rodzaj danych osobowych oraz kategorie osób, których dane
dotyczą,
- określają obowiązki i prawa administratora
• Zakres przedmiotowy regulacji – art. 28 ust. 3 rozporządzenia 2016/679

Podmiot przetwarzający (art. 28 rozporządzenia 2016/679) – cd.
Zakres przedmiotowy regulacji – art. 28 ust. 3 rozporządzenia 2016/679,

zwłaszcza:
• udokumentowane polecenie administratora – częsty błąd wskazywanie
upoważnienia pisemnego a taki obowiązek nie istnieje
• zapewnienie, by osoby upoważnione do przetwarzania danych osobowych
zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu
ustawowemu obowiązkowi zachowania tajemnicy – to rzadziej jest
problematyczne
• Ustalenie mocą przepisów realizacji praw osób – zależy od celów i zakresu
regulacji polegającej na współadministrowaniu
• usuwanie lub zwracanie danych osobowych oraz usuwanie wszelkich ich
istniejących kopii, chyba że prawo Unii lub prawo państwa członkowskiego
nakazują przechowywanie danych osobowych - istotne
• spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia
administratorowi lub audytorowi upoważnionemu przez administratora
przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich - istotne
Art. 24. ustawy o prawach pacjenta i Rzeczniku praw pacjenta - sposób prowadzenia
dokumentacji medycznej; przetwarzanie danych
• Jeżeli podmiot udzielający świadczeń zdrowotnych zawarł umowę o powierzeniu
przetwarzania danych osobowych, o której mowa w art. 28 ust. 3 rozporządzenia (…)
2016/679, realizacja tej umowy nie może powodować zakłócenia udzielania świadczeń
zdrowotnych, w szczególności w zakresie zapewnienia, bez zbędnej zwłoki, dostępu do
danych zawartych w dokumentacji medycznej.
• Podmiot, któremu powierzono przetwarzanie danych osobowych w związku z realizacją
umowy o powierzeniu przetwarzania danych osobowych, o której mowa w art. 28 ust.
3 rozporządzenia 2016/679, jest obowiązany do zachowania w tajemnicy informacji
związanych z pacjentem uzyskanych w związku z realizacją tej umowy. Podmiot ten jest
związany tajemnicą także po śmierci pacjenta.
• W przypadku zaprzestania przetwarzania danych osobowych zawartych w
dokumentacji medycznej przez podmiot, któremu powierzono takie przetwarzanie, w
szczególności w związku z jego likwidacją, jest on zobowiązany do przekazania danych
osobowych zawartych w dokumentacji medycznej podmiotowi, o którym mowa w ust.
1, który powierzył przetwarzanie danych osobowych.
Art. 30a. ustawy o prawach pacjenta i Rzeczniku praw pacjenta

- Przechowywanie i udostępnianie dokumentacji medycznej po
zaprzestaniu wykonywania działalności leczniczej
• W przypadku zaprzestania wykonywania działalności leczniczej
podmiot udzielający świadczeń zdrowotnych przekazuje
dokumentację medyczną podmiotom, o których mowa w ust. 2-
4 i 7, w sposób zapewniający zabezpieczenie przed jej
zniszczeniem, uszkodzeniem lub utratą oraz dostępem osób
nieuprawnionych.
• Osoby, które w związku z realizacją umowy o powierzeniu
przetwarzania danych osobowych, o której mowa w art. 28 ust.
3 rozporządzenia 2016/679, uzyskały dostęp do informacji
związanych z pacjentem, są obowiązane do zachowania ich w
tajemnicy, także po śmierci pacjenta.
Administrator / Współadministrowanie / Podmiot przetwarzający
• Przepisy niedoskonale / niewystarczająco określające role

poszczególnych podmiotów w procesach przetwarzania danych
osobowych, bez przypisania celu / celów przetwarzania danych
• Niebezpieczeństwo nieprawidłowego przypisania roli
administratora – bezpośrednie go nazwanie ale niezgodnie ze
stanem rzeczywistym por. Wytyczne dot. Administratora i
podmitu przetwarzającego
• Nazwanie administratorem z pominięciem innego podmiotu /
in. podmiotów pełniącego również rolę administratora / -ów
• Nazywanie „administratorem systemu” – uznawanie, że nie
pełni roli administratora
• Wskazywanie rzeczywistego administratora jako „podmiot
zapewniający system / bezpieczeństwo” celem
nieprzypisywania mu roli i odpowiedzialności administratora
Administrator
Współadministrowanie
Podmiot przetwarzający
Wytyczne 07/2020
w sprawie koncepcji administratora danych oraz podmiotu
przetwarzającego Wersja 2.0 przyjęte 7 lipca 2021 r.
Pojęcia administratora i podmiotu przetwarzającego są pojęciami

funkcjonalnymi: mają one na celu podział odpowiedzialności zgodnie z
rzeczywistymi rolami stron.
Oznacza to, że status prawny podmiotu jako „administratora” lub
„przetwarzającego” musi zasadniczo być określany przez jego rzeczywistą
działalność w określonej sytuacji, a nie od formalnego wyznaczenia podmiotu
jako „administratora” lub „przetwarzającego” (np. w umowie).
Oznacza to, że podział ról zwykle powinien wynikać z analizy elementów
faktycznych lub okoliczności sprawy i jako taki nie podlega negocjacjom.
Wytyczne 07/2020
Jeżeli administrator został wyraźnie zidentyfikowany przez prawo, będzie to

miało decydujące znaczenie dla ustalenia, kto działa jako administrator danych.
Zakłada to, że prawodawca wyznaczył na administratora podmiot, który ma
rzeczywistą zdolność do sprawowania kontroli.
W niektórych krajach prawo krajowe przewiduje, że organy publiczne są
odpowiedzialne za przetwarzanie danych osobowych w ramach swoich
obowiązków.
Wytyczne 07/2020
Jednak częściej, zamiast bezpośrednio wyznaczać administratora lub określać kryteria
jego powołania, ustawa ustanawia zadanie lub nakłada na kogoś obowiązek gromadzenia
i przetwarzania określonych danych.
W takich przypadkach cel przetwarzania jest często określany przez prawo.
Administratorem jest zwykle administrator wyznaczony przez prawo do realizacji tego
celu, czyli zadania publicznego.
Miałoby to miejsce na przykład w przypadku, gdy podmiot, któremu powierzono
określone zadania publiczne (np. zabezpieczenie społeczne), których nie można
zrealizować bez gromadzenia co najmniej niektórych danych osobowych, tworzy bazę
danych lub rejestr w celu realizacji tych zadań publicznych. W takim przypadku prawo,
choć pośrednio, określa, kto jest administratorem danych. Ogólnie rzecz biorąc, prawo
może również nakładać na podmioty publiczne lub prywatne obowiązek zatrzymywania
lub przekazywania określonych danych. Podmioty te byłyby wówczas zwykle uznawane za
administratorów danych w odniesieniu do przetwarzania, które jest niezbędne do
wykonania tego obowiązku.
danych osobowych –
tworzenie przepisów prawa
Motyw 93
(93) Przyjmując prawo, które ma być dla organu lub podmiotu publicznego podstawą do
wykonywania zadań i ma regulować konkretną operację przetwarzania lub konkretny
zestaw operacji, państwa członkowskie mogą uznać, że przed takimi czynnościami
przetwarzania należy koniecznie przeprowadzić taką ocenę.
Motyw 96
(96) Konsultacji z organem nadzorczym należy dokonać również w trakcie
przygotowywania aktu ustawodawczego lub wykonawczego przewidującego
przetwarzanie danych osobowych, aby zapewnić zgodność zamierzonego przetwarzania
z niniejszym rozporządzeniem, a w szczególności zminimalizować ewentualne ryzyko dla
osoby, której dane dotyczą.
Wytyczne dotyczące oceny skutków dla ochrony danych oraz pomagające ustalić czy
przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679
przyjęte 4 kwietnia 2017 r.
ostatnio zmienione i przyjęte 4 października 2017 r.
Wytyczne nr 4/2-19 dotyczące artykułu 25 Uwzględnienie ochrony danych w fazie

projektowania oraz domyślna ochrona danych
Wersja 2.0
Przyjęte 20 października 2020 r.
Komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w

sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających
oceny skutków przetwarzania dla ich ochrony (M.P z 2019 r., poz. 666)
Inne istotne kwestie
Zasada ograniczenia celu → przepisy wyraźnie wskazujące cel / cele przetwarzania danych → częsty brak
Zasada minimalizacji danych → przepisy wyznaczające zakres / kategorie przetwarzanych danych

→ problematyczne otwarte katalogi
→ dane wykraczające poza cel przetwarzania
→ ogólne odesłanie do art. 9 ust. 1 – przetwarzanie szczególnych kategorii danych osobowych
ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub
światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych,
danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących
zdrowia, seksualności lub orientacji seksualnej tej osoby
→ art. 10 przetwarzanie danych osobowych dotyczących wyroków skazujących i czynów zabronionych
Przetwarzania danych osobowych dotyczących wyroków skazujących oraz czynów zabronionych lub
powiązanych środków bezpieczeństwa na podstawie art. 6 ust. 1 wolno dokonywać wyłącznie pod
nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa
członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą.
Wszelkie kompletne rejestry wyroków skazujących są prowadzone wyłącznie pod nadzorem władz
publicznych
→ art. 87 przetwarzanie krajowego numeru identyfikacyjnego (w RP głównie numeru PESEL)
Państwa członkowskie mogą określić szczególne warunki przetwarzania krajowego numeru
identyfikacyjnego lub innego identyfikatora o zasięgu ogólnym. W takim przypadku krajowego numeru
identyfikacyjnego lub innego identyfikatora o zasięgu ogólnym używa się wyłącznie z zachowaniem
odpowiednich zabezpieczeń praw i wolności osoby, której dane dotyczą, które przewiduje niniejsze
rozporządzenie.
Zasada ograniczenia przechowywania / przetwarzania → przepisy wyznaczające okresy przechowywania

/ przetwarzania danych → częsty brak
Zasada poufności i integralności → przepisy dotyczące przetwarzania danych w systemach

informatycznych
→ brak bliższego określenia tych systemów, blankietowe odsyłanie do definicji „systemu
informatycznego” z art. 3 pkt 3 ustawy o informatyzacji działalności podmiotów realizujących zadania
publiczne
system teleinformatyczny - zespół współpracujących ze sobą urządzeń informatycznych i oprogramowania
zapewniający przetwarzanie, przechowywanie, a także wysyłanie i odbieranie danych przez sieci
telekomunikacyjne za pomocą właściwego dla danego rodzaju sieci telekomunikacyjnego urządzenia
końcowego w rozumieniu przepisów ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne (Dz. U. z
2019 r. poz. 2460 oraz z 2020 r. poz. 374, 695 i 875)
→ Odnoszenie się do wszystkich okoliczności wskazanych w definicji „naruszenia ochrony danych
osobowych" (art. 4 pkt 12 rozporządzenia 2016/679)
oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem
zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do
danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
Zasada zgodności z prawem, rzetelności przejrzystości → wyczerpująca, zupełna

regulacja
- prawo do pewności, jasności prawa – osoby, których dane dotyczą
- pełna regulacja praw i obowiązków, pewność prawa – administratorzy /
podmioty przetwarzające dane osobowe / wykonawcy norm
- zasada legalizmu – działanie na podstawie i w granicach prawa - należyte
wypełnienie obowiązków projektodawcy / ustawodawcy
Wytyczne w sprawie przejrzystości na podstawie rozporządzenia 2016/679

przyjęte przez Grupę Roboczą Art. 29 29 listopada 2017 r.
zmienione i przyjęte 11 kwietnia 2018 r.
Inspektor ochrony danych a
legislacja
Artykuł 25 ust. 1 - Uwzględnianie ochrony danych w fazie projektowania

a współpraca służb legislacyjnych z inspektorem ochrony danych (IOD)

• Uwzględnianie ochrony w fazie projektowania oraz domyślna ochrona danych
osobowych (art. 25 rozporządzenia 2016/679)
- Podejście proaktywne (art. 24, 32, 35 i 36 rozporządzenia 2016/679 – prewencyjna

ochrona)
- Prywatność jako ustawienie domyślne (zasada minimalizacji danych, anonimizacja)
- Prywatność włączona w projekt (jako część składowa projektu a nie dodatek)
- Pełna funkcjonalność (wbudowanie prywatności w narzędzia, procesy i procedury)
- Ochrona od początku do końca cyklu życia informacji (ciągłość ochrony)
- Transparentność i przejrzystość (gwarancją realizacji praw podmiotów danych)
- Poszanowanie dla prywatności użytkowników (kontrola nad danymi i pewna
swoboda w określaniu granic ingerencji w prywatność przez osoby, których dane
dotyczą)
• Uwzględnienie:
- stanu wiedzy technicznej,
- kosztu wdrażania
- charakteru, zakresu, kontekstu i celów przetwarzania
- ryzyka naruszenia praw lub wolności osób fizycznych o różnym
prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania
- dotyczy określania sposobów przetwarzania
- dotyczy samego przetwarzania
- wymaga wdrożenia odpowiednich środków technicznych i organizacyjnych
- w celu skutecznej realizacji zasad ochrony danych
- w celu nadania przetwarzaniu niezbędnych zabezpieczeń
- by spełnić wymogi rozporządzenia
- by chronić prawa osób, których dane dotyczą.
Ocena wszystkich obszarów dla dokonania testu privacy by design – m.in. zamówienia
publiczne, projekty unijne, procedury zgłaszania naruszeń i postępowania
whistleblowingowego, procedury archiwizacji i in.
Ocena procesu udostępnienia danych przez pryzmat:
• Obowiązujących przepisów prawa – jakie przepisy wiążą podmioty

uczestniczące w udostępnianiu / wymianie danych
• Zastosowanych środków bezpieczeństwa – w jaki sposób, na jakich
zasadach udostępnianie / wymieniane będą dane zważywszy na
obowiązki administratorów związanych przepisami RODO, przepisami
szczegółowymi
• Zakresu wnioskowanych danych – określenie zakresów / kategorii
danych, które mają podlegać udostępnieniu / wymianie
• Trybu przewidzianego w regulacjach odrębnych (np. ustawa o dostępie
do informacji publicznej)
• Udostępnianie wnioskowe i bezwnioskowe
• Analizy ryzyka
Podmiot udostępniający – administrator, współadministrator

Udostępnienie przez podmiot przetwarzający (na polecenie administratora)
Jak kształtować przepisy prawa dotyczące udostępniania, wymiany danych,

tryb wnioskowy / bez wnioskowy / online ?
proces udostępniania danych - Jak kształtować przepisy prawa
dotyczące udostępniania, wymiany danych, tryb wnioskowy / bez
wnioskowy / online ?
Udostępnianie danych zgromadzonych w centralnej ewidencji

• Kto jest właściwy – minister …
• Udostępnianie z wyłączeniem danych …
• Komu dane mogą być udostępnione – ścisły katalog, katalog
zamknięty – niedomniemywanie kompetencji – w zakresie
niezbędnym do realizacji ich ustawowych zadań
• Tryb udostępniania danych z centralnej ewidencji - w trybie: 1)
pełnej teletransmisji danych; 2) jednostkowym.
• Odpłatność/ / nieodpłatność - dane z centralnej ewidencji
udostępnia się nieodpłatnie…
proces udostępniania danych - Jak kształtować przepisy prawa dotyczące
udostępniania, wymiany danych, tryb wnioskowy / bez wnioskowy / online ?
Udostępnianie danych zgromadzonych w centralnej ewidencji

• Udostępnianie danych zgromadzonych w centralnej ewidencji za pomocą
urządzeń teletransmisji danych - Minister właściwy … może wyrazić zgodę,
w drodze decyzji administracyjnej, na udostępnienie danych
zgromadzonych w centralnej ewidencji, podmiotom, o których mowa w
art. …, za pomocą urządzeń teletransmisji danych, po złożeniu
jednorazowego, uproszczonego wniosku, jeżeli spełniają łącznie
następujące warunki:
1) posiadają urządzenia umożliwiające odnotowanie w systemie, kto, kiedy,
w jakim celu oraz jakie dane uzyskał;
2) posiadają zabezpieczenia techniczne i organizacyjne uniemożliwiające
wykorzystanie danych niezgodnie z celem ich uzyskania;
3) jest to uzasadnione specyfiką lub zakresem ustawowo określonych zadań.
• Minister właściwy … odmawia udostępnienia danych w trybie pełnej

teletransmisji danych, jeżeli podmioty uprawnione nie spełniają wymogów
określonych w …
Udostępnianie danych zgromadzonych w centralnej ewidencji w trybie jednostkowym –
• minister właściwy … udostępnia dane dotyczące dokumentu lub jego posiadacza, z
wyłączeniem danych … w postaci … na jednorazowy wniosek podmiotów, o których
mowa w art…, złożony na piśmie utrwalonym w postaci papierowej, opatrzonym
podpisem własnoręcznym lub na piśmie utrwalonym w postaci elektronicznej,
opatrzonym kwalifikowanym podpisem elektronicznym, podpisem zaufanym albo
podpisem osobistym.
Udostępnianie dokumentacji
• Organy … udostępniają dokumentację, o której mowa w art. … znajdującą się w ich
posiadaniu.
• dokumentację …, o której mowa w art. …, udostępnia się na uzasadniony wniosek
złożony przez osobę, której ta dokumentacja dotyczy albo przez podmiot, o którym
mowa w art. …, jeżeli uzyskanie danych przez ten podmiot jest uzasadnione zakresem
wykonywanych zadań określonych w ustawach szczególnych.
• Wniosek, o którym mowa w …, składa się na piśmie utrwalonym w postaci papierowej,
opatrzonym podpisem własnoręcznym lub na piśmie utrwalonym w postaci
elektronicznej, opatrzonym kwalifikowanym podpisem elektronicznym, podpisem
zaufanym albo podpisem osobistym.
• Dokumentację … udostępnia się nieodpłatnie.
Wydanie zaświadczenia z odpisem danych przetwarzanych w ewidencjach …
• Organy … na wniosek osoby, której dane dotyczą, wydają zaświadczenie

zawierające pełny odpis danych dotyczących tej osoby, przetwarzanych w
prowadzonych przez nie ewidencjach …, z wyłączeniem danych …
• Wniosek, o którym mowa w …, składa się na piśmie utrwalonym w postaci
papierowej, opatrzonym podpisem własnoręcznym lub na piśmie
utrwalonym w postaci elektronicznej, opatrzonym kwalifikowanym
podpisem elektronicznym, podpisem zaufanym albo podpisem osobistym.
• Zaświadczenie jest przekazywane, w zależności od żądania wnioskodawcy,
na piśmie utrwalonym w postaci papierowej, opatrzonym podpisem
własnoręcznym lub na piśmie utrwalonym w postaci elektronicznej,
opatrzonym kwalifikowanym podpisem elektronicznym, podpisem
zaufanym albo podpisem osobistym.
• Zaświadczenie może mieć formę wydruku z systemu teleinformatycznego.
Udostępnianie danych z ewidencji …
• Organ … udostępnia z ewidencji … dane dotyczące dokumentu lub jego posiadacza, z

wyłączeniem danych .. w postaci …, na jednorazowy wniosek podmiotu, o którym
mowa w art. …, złożony na piśmie utrwalonym w postaci papierowej, opatrzonym
podpisem własnoręcznym lub na piśmie utrwalonym w postaci elektronicznej,
opatrzonym kwalifikowanym podpisem elektronicznym, podpisem zaufanym albo
podpisem osobistym.
• W trybie, o którym mowa w ust. …, dane udostępnia się nieodpłatnie.
Delegacja ustawowa - wzory wniosków o udostępnienie danych lub dokumentacji
• Minister właściwy … w porozumieniu z ministrem właściwym … określi, w drodze

rozporządzenia wzór wniosku o:
1) udostępnienie danych z ewidencji … i z centralnej ewidencji w trybie jednostkowym,
2) udostępnianie danych z centralnej ewidencji w trybie pełnej teletransmisji danych,
3) udostępnienie dokumentacji, o której mowa w art. …
– uwzględniając potrzebę zapewnienia sprawności i bezpieczeństwa udostępniania
danych oraz dokumentacji, o której mowa w art. …
Zgoda zastępująca / uzupełniająca przepisy prawa
→ na ogół zbędna, niepotrzebna, wprowadzająca w błąd, pozorna
Kodeks pracy
– zakres danych o kandydacie i pracowniku
- inne dane za zgodą
Art. 221.
§ 1. Pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych
osobowych obejmujących: 1) imię (imiona) i nazwisko; 2) data urodzenia; 3) dane
kontaktowe wskazane przez taką osobę; 4) wykształcenie; 5) kwalifikacje zawodowe; 6)
przebieg dotychczasowego zatrudnienia.
§ 2 gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym
stanowisku
§ 3. Pracodawca żąda od pracownika podania dodatkowo danych osobowych
obejmujących: 1) adres zamieszkania; 2) numer PESEL, a w przypadku jego braku - rodzaj i
numer dokumentu potwierdzającego tożsamość; 3) inne dane osobowe pracownika, a
także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli
podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze
szczególnych uprawnień przewidzianych w prawie pracy; 4) wykształcenie i przebieg
dotychczasowego zatrudnienia, jeżeli nie istniała podstawa do ich żądania od osoby
ubiegającej się o zatrudnienie; 5) numer rachunku płatniczego, jeżeli pracownik nie złożył
wniosku o wypłatę wynagrodzenia do rąk własnych
Kodeks pracy
- zakres danych o kandydacie i pracowniku
- inne dane za zgodą
Art. 221.
§ 4. Pracodawca żąda podania innych danych osobowych niż określone w § 1 i 3, gdy
jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego
z przepisu prawa.
Art.221a
§ 1. Zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić
podstawę przetwarzania przez pracodawcę innych danych osobowych niż wymienione
w art. 221 § 1 i 3, z wyjątkiem danych osobowych, o których mowa w art. 10
rozporządzenia 2016/679
§ 2. Brak zgody, o której mowa w § 1, lub jej wycofanie, nie może być podstawą
niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a
także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji,
zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia,
wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez
pracodawcę.
Zgoda zastępująca uzupełniająca przepisy
→ na ogół zbędna, niepotrzebna, wprowadzająca w błąd, pozorna
propozycja przepisów:
-zgoda może stanowić podstawę przetwarzania przez
administratora również innych danych osobowych niż wymienione
w art. / tu katalog danych zwykłych, które mogą być przetwarzane
na potrzeby celów realizowanych przez administratora/, z
wyjątkiem danych osobowych, o których mowa w art. 10 RODO
-przetwarzanie, o którym mowa, dotyczy danych osobowych
udostępnianych przez beneficjenta na żądanie administratora lub
danych osobowych przekazanych administratorowi z inicjatywy
osoby.
Co zrobić ?
→ nie stosować rozwiązania w postaci takiej zgody, która powoduje

wątpliwości na gruncie RODO, lecz:
• skoro nie można wykluczyć sytuacji gdy administrator będzie
potrzebował zweryfikować zasadność przyznawania wsparcia osobie
i w tym celu będzie musiał przetwarzać inne dane osobowe niż
wskazane wcześniej w katalogu zamkniętym, w ustawie
• to - w miejsce rozwiązań opartych na zgodzie jako warunku
przetwarzania danych osobowych - uzasadnionym byłoby przyjęcie w
przepisach rozwiązania dopuszczającego przetwarzanie innych
danych osobowych niż wymienione ze wskazaniem celu i warunku
niezbędności takiego przetwarzania nierozerwalnie związanych
(niezbędnych) z profilem działania / celami administratora, jak i
wsparciem osoby znajdującej się w konkretnej sytuacji
uzasadniającej przetwarzanie takich innych niż wymienione w art. …
• art. 4 pkt 11 rozporządzenia 2016/679 - "zgoda" osoby, której dane dotyczą oznacza
dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której
dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego,
przyzwala na przetwarzanie dotyczących jej danych osobowych.
• proponowane brzmienie będzie powodowało, iż administrator będzie mógł
jednocześnie żądać danych osobowych (ust. 4 przetwarzanie, o którym mowa w ust.
3, dotyczy danych osobowych udostępnianych przez osobę na żądanie administratora)
oraz przetwarzać te dane osobowe na podstawie zgody (ust. 3 - zgoda osoby może
stanowić podstawę przetwarzania przez administratora (…) danych osobowych)
→ nieakceptowalne jest
• przetwarzanie danych osobowych na podstawie pozornej zgody, pozbawionej
niezbędnej cechy dobrowolności
• brak przekazania danych przez osobę będzie się wiązał z potencjalnymi negatywnymi
skutkami, np. nieuzyskaniem świadczeń i jego konsekwencjami
Wytyczne Grupy roboczej Art. 29 dotyczących zgody na mocy rozporządzenia 2016/679

(WP259 rev.01 – obecnie rolę Grupy roboczej pełni Europejska Rada Ochrony Danych) co
do zasady zgoda może być właściwą, zgodną z prawem podstawą wyłącznie wówczas,
gdy osobie, której dane dotyczą, zapewnia się kontrolę oraz rzeczywistą możliwość
wyboru w odniesieniu do przyjęcia lub odrzucenia zaoferowanych warunków lub
odrzucenia ich bez niekorzystnych konsekwencji. Projektowane przepisy nie spełniają
jednak tych warunków i wymagają zmiany przez projektodawcę
RODO – art. 22
Artykuł 22 - Zautomatyzowane podejmowanie decyzji
w indywidualnych przypadkach, w tym profilowanie
1. Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać
decyzji, która opiera się wyłącznie na zautomatyzowanym
przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby
skutki prawne lub w podobny sposób istotnie na nią wpływa.
2. Ust. 1 nie ma zastosowania, jeżeli ta decyzja:
a) jest niezbędna do zawarcia lub wykonania umowy między osobą,
której dane dotyczą, a administratorem;
b) jest dozwolona prawem Unii lub prawem państwa
członkowskiego, któremu podlega administrator i które
przewiduje właściwe środki ochrony praw, wolności
i prawnie uzasadnionych interesów osoby, której dane dotyczą;
lub
c) opiera się na wyraźnej zgodzie osoby, której dane dotyczą.
RODO – art. 22
3. W przypadkach, o których mowa w ust. 2 lit. a) i c), administrator

wdraża właściwe środki ochrony praw, wolności
i prawnie uzasadnionych interesów osoby, której dane dotyczą,
a co najmniej prawa do uzyskania interwencji ludzkiej ze strony
administratora, do wyrażenia własnego stanowiska i do
zakwestionowania tej decyzji.
4. Decyzje, o których mowa w ust. 2, nie mogą opierać się na
szczególnych kategoriach danych osobowych, o których mowa
w art. 9 ust. 1, chyba że zastosowanie ma art. 9 ust. 2 lit. a) lub g)
i istnieją właściwe środki ochrony praw, wolności i prawnie
uzasadnionych interesów osoby, której dane dotyczą.
Profilowanie – przykład – Prawo bankowe
Art. 105a. [Zasady przetwarzania danych objętych tajemnicą bankową]

1a. Banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje
pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o
kredycie konsumenckim, a także instytucje utworzone na podstawie art. 105 ust. 4,
mogą w celu oceny zdolności kredytowej i analizy ryzyka kredytowego podejmować
decyzje, opierając się wyłącznie na zautomatyzowanym przetwarzaniu, w tym
profilowaniu, danych osobowych - również stanowiących tajemnicę bankową - pod
warunkiem zapewnienia osobie, której dotyczy decyzja podejmowana w sposób
zautomatyzowany, prawa do otrzymania stosownych wyjaśnień co do podstaw podjętej
decyzji, do uzyskania interwencji ludzkiej w celu podjęcia ponownej decyzji oraz do
wyrażenia własnego stanowiska.
1b. Decyzje, o których mowa w ust. 1a, mogą być podejmowane wyłącznie w oparciu o
dane niezbędne z uwagi na cel i rodzaj kredytu, w szczególności w oparciu o
następujące kategorie danych:
1) dane dotyczące osoby fizycznej: …
2) dane dotyczące zobowiązania: …
1c. Decyzje, o których mowa w ust. 1a, nie mogą być podejmowane w oparciu o dane,
o których mowa w art. 9 rozporządzenia 2016/679.
Prawo bankowe - Art. 105a Zasady przetwarzania danych
objętych tajemnicą bankową
Przetwarzanie przez banki, inne instytucje … w zakresie dotyczącym

osób fizycznych może być wykonywane (z zastrzeżeniem in. przepisów
Pr.bank.) w celu oceny zdolności kredytowej i analizy ryzyka
kredytowego
Banki mogą w celu oceny zdolności kredytowej i analizy ryzyka

kredytowego podejmować decyzje, opierając się wyłącznie na
zautomatyzowanym przetwarzaniu, w tym profilowaniu, danych
osobowych - również stanowiących tajemnicę bankową - pod
warunkiem zapewnienia osobie, której dotyczy decyzja podejmowana w
sposób zautomatyzowany:
- prawa do otrzymania stosownych wyjaśnień co do podstaw podjętej
decyzji
- do uzyskania interwencji ludzkiej w celu podjęcia ponownej decyzji
oraz
- do wyrażenia własnego stanowiska.
decyzje opierające się wyłącznie na
zautomatyzowanym przetwarzaniu, w tym
profilowaniu nie mogą być podejmowane w
oparciu o dane szczególnych kategorii - o których
mowa w art. 9 rozporządzenia 2016/679.
decyzje opierające się wyłącznie na zautomatyzowanym
przetwarzaniu, w tym profilowaniu mogą być podejmowane
- wyłącznie w oparciu o dane niezbędne z uwagi na cel i rodzaj
kredytu,
- w szczególności w oparciu o następujące kategorie danych:
1) dane dotyczące osoby fizycznej:
a) imię (imiona) i nazwisko b) nazwisko rodowe c) imiona rodziców
d) datę i miejsce urodzenia e) wiek f) płeć g) obywatelstwo h) stan
cywilny i) serię i numer dowodu osobistego lub innego dokumentu
potwierdzającego tożsamość j) numer PESEL, o ile został nadany
k) numer identyfikacji podatkowej, o ile został nadany l) adres
zamieszkania, adres zameldowania na pobyt stały lub czasowy, aktualny
adres pobytu czasowego inny niż adres zamieszkania lub zameldowania,
adres do korespondencji m) tytuł prawny do zajmowanego lokalu
n) miejsce pracy o) zawód p) wykształcenie q) formę zatrudnienia
r) sytuację finansową, w tym dochody i wydatki s) osoby pozostające na
utrzymaniu t) ustrój majątkowy małżonków.
decyzje opierające się wyłącznie na zautomatyzowanym
przetwarzaniu, w tym profilowaniu mogą być podejmowane
- wyłącznie w oparciu o dane niezbędne z uwagi na cel i rodzaj
kredytu,
- w szczególności w oparciu o następujące kategorie danych:
2) dane dotyczące zobowiązania:
a) źródło zobowiązania b) kwotę i walutę c) numer i stan
rachunku prowadzonego w banku lub innej instytucji ustawowo
upoważnionej do udzielania kredytów, nazwę i adres siedziby
lub oddziału banku lub innej instytucji ustawowo upoważnionej
do udzielania kredytów d) datę powstania zobowiązania
e) warunki spłaty zobowiązania f) ustanowione zabezpieczenia
prawne g) przebieg realizacji zobowiązania h) stan zadłużenia z
tytułu zobowiązania i) datę wygaśnięcia zobowiązania
j) przyczyny niewykonania zobowiązania lub dopuszczenia się
zwłoki, o której mowa w ust. 3 k) przyczyny wygaśnięcia
zobowiązania.
Profilowanie – przykład – Działalność ubezpieczeniowa i reasekuracyjna
Art. 41. [Przetwarzanie przez zakład ubezpieczeń danych wrażliwych; podejmowanie

decyzji w oparciu o zautomatyzowane przetwarzanie danych osobowych]
1. Zakład ubezpieczeń przetwarza dane, o których mowa w art. 9 rozporządzenia
2016/679, dotyczące zdrowia, ubezpieczonych lub uprawnionych z umowy ubezpieczenia,
zawarte w umowach ubezpieczenia lub oświadczeniach składanych przed zawarciem
umowy ubezpieczenia, odpowiednio w celu oceny ryzyka ubezpieczeniowego lub
wykonania umowy ubezpieczenia, w zakresie niezbędnym z uwagi na cel i rodzaj
ubezpieczenia.
1a. Zakład ubezpieczeń może podejmować decyzje w indywidualnych przypadkach,
opierając się wyłącznie o zautomatyzowane przetwarzanie, w tym profilowanie, danych
osobowych w celu: 1) dokonania oceny ryzyka ubezpieczeniowego - w przypadku danych
osobowych dotyczących ubezpieczonych, 2) wykonania czynności ubezpieczeniowych, o
których mowa w art. 4 ust. 9 pkt 1 i 2 - w przypadku danych osobowych dotyczących
ubezpieczonych, ubezpieczających i uprawnionych z umowy ubezpieczenia
– pod warunkiem zapewnienia osobie, której dotyczy zautomatyzowana decyzja, prawa do
otrzymania stosownych wyjaśnień co do podstaw podjętej decyzji, zakwestionowania tej
decyzji, wyrażenia własnego stanowiska oraz do uzyskania interwencji ludzkiej.
Profilowanie – przykład – Działalność ubezpieczeniowa i reasekuracyjna
1b. Decyzje, o których mowa w ust. 1a, mogą być podejmowane wyłącznie w oparciu o
następujące kategorie danych dotyczących osoby fizycznej: katalog zamknięty
...
17) stan zdrowia ubezpieczonego;
…
1c. Zakład ubezpieczeń może przetwarzać dane osobowe, o których mowa w ust. 1b,
dotyczące ubezpieczonych, ubezpieczających lub innych uprawnionych z umowy
ubezpieczenia, bez zgody osoby, której te dane dotyczą, w celach, o których mowa w
art. 33 ust. 3, nie dłużej niż 12 lat od dnia rozwiązania umowy ubezpieczenia.
Art. 33. [Wysokość składek ubezpieczeniowych]
3. Zakład ubezpieczeń gromadzi odpowiednie dane statystyczne w celu ustalania na ich
podstawie wysokości składek ubezpieczeniowych, składek reasekuracyjnych oraz rezerw
techniczno-ubezpieczeniowych dla celów wypłacalności i rezerw techniczno-
ubezpieczeniowych dla celów rachunkowości.
• Przepisy prawa pracy a praca zdalna
• Przepisy prawa pracy nie wskazują konkretnych rozwiązań, pracodawcy mają

dużą swobodę w kształtowaniu tego jak praca zdalna ma się odbywać
• Platforma lub oprogramowanie do realizacji pracy zdalnej musi być

zaprojektowane w taki sposób, aby przetwarzanie danych osobowych w
procesie kształcenia wypełniało normy wynikające z przepisów o ochronie
danych osobowych
• Przy wyborze narzędzi, aplikacji, innych form komunikacji, należy zwracać

uwagę do jakich danych osobowych dostęp będą miały poszczególne
platformy i aplikacje (także z perspektywy cyberbezpieczeństwa)
• Należy zapoznać się z polityką ochrony danych osobowych
• Wykonanie testu privacy by design, który pozwoli na przygotowanie

procedur w środowisku pracy z uwzględnieniem ochrony danych osobowych
Rozporządzenie ogólne
a środki techniczne i organizacyjne
ochrony danych
- zasada zapewnienia bezpieczeństwa
„naruszenie ochrony danych osobowych”
• naruszenie bezpieczeństwa
• prowadzące do przypadkowego lub niezgodnego z
prawem zniszczenia, utracenia, zmodyfikowania,
nieuprawnionego ujawnienia lub nieuprawnionego
dostępu do danych osobowych przesyłanych,
przechowywanych lub w inny sposób przetwarzanych
Test prywatności
Uwagi dot. wprowadzania rozwiązań dot. przetwarzania danych przy użyciu

różnego rodzaju rozwiązań informatycznych – neutralność technologiczna a
zasady i funkcjonalności wynikające z RODO
- zdalne przetwarzanie
- bliżej nieokreślone aplikacje
- brak wymagań dot. systemów informatycznych
- dobry przykład to ewidencja ludności
Jak realizować zasadę zapewnienia bezpieczeństwa?
Ochrona danych w fazie projektowania – motyw 78
• Wytwórcy
opracowujący, projektujący, wybierający i użytkujący
-> aplikacje, usługi i produkty
-> opierające się na przetwarzaniu danych osobowych
-> przetwarzające dane osobowe -> podczas ich opracowywania i projektowania
powinni wziąć pod uwagę
-> prawo do ochrony danych osobowych
-> by z należytym uwzględnieniem stanu wiedzy technicznej
-> zapewnili administratorom i podmiotom przetwarzającym możliwość wywiązania się
ze spoczywających na nich obowiązków ochrony danych
• Zasadę uwzględniania ochrony danych w fazie projektowania i zasadę domyślnej

ochrony danych należy też brać pod uwagę w przetargach publicznych
Art. 24 RODO
• Koniczność uwzględnienia:
- charakter, zakres, kontekst i cele przetwarzania
- ryzyko naruszenia praw lub wolności
- różne prawdopodobieństwo i waga zagrożenia
• Nakaz wdrożenia odpowiednich środków technicznych i organizacyjnych
• Celem przetwarzania zgodnie z RODO
• Celem wykazania tego faktu – ZASADA ROZLICZALNOŚCI
• Przegląd i uaktualnianie przyjętych środków, a w razie potrzeby (zmiana przepisów,

sposobów, celów, technik przetwarzania, działania administratora)
• Wdrożenie odpowiednich polityk ochrony danych
• Fakultatywne stosowanie zatwierdzonych kodeksów postepowania (art. 40) lub
zatwierdzonego mechanizmu certyfikacji (art. 42) – mogą być wykorzystane jako
element potwierdzający przestrzeganie przez administratora ciążących na nim
obowiązków
- Wdrożenie zatwierdzonego kodeksu postępowania z danego sektora
- Uzyskanie przez administratora certyfikatu potwierdzającego zgodność
operacji przetwarzania z RODO, w ramach zatwierdzonego mechanizmu certyfikacji
art. 32
• Wdrożenie zabezpieczających środków technicznych i organizacyjnych
adekwatnych do ryzyka jakie towarzyszy przetwarzaniu (art. 32)
• Uwzględnienie:
✓ Stanu wiedzy technicznej
✓ Kosztu wdrażania
✓ Charakteru, zakresu, kontekstu i celu przetwarzania
✓ Ryzyko naruszenia praw lub wolności podmiotów danych; różne
prawdopodobieństwo wystąpienia; waga zagrożenia
• Celem zapewnienia stopnia bezpieczeństwa odpowiadającego ryzyku

• Między innymi
• W stosownym przypadku
art. 32
Przykładowe środki techniczne i organizacyjne (ust. 1)

✓ Pseudonimizacja i szyfrowanie danych osobowych
✓ Zdolność do ciągłego zapewniania poufności,
integralności, dostępności i odporności systemów i
usług przetwarzania
✓ Zdolność do szybkiego przywrócenia dostępności
danych osobowych i dostępu do nich w razie incydentu
fizycznego lub technicznego
✓ Regularne testowanie, mierzenie i ocenianie
skuteczności środków technicznych i organizacyjnych
mających zapewnić bezpieczeństwo przetwarzania
art. 32
Przykładowe środki techniczne i organizacyjne (ust. 2)
✓ Ocena, czy stopień bezpieczeństwa jest odpowiedni, uwzględnianie w

szczególności:
- Ocena ryzyka wiążącego się z przetwarzaniem
- Przypadkowe / niezgodne z prawem: zniszczenie, utrata,
modyfikacja, nieuprawnione ujawnienie, nieuprawniony dostęp do danych
- Dane przesyłane, przechowywane, w inny sposób przetwarzane
✓ Stosowanie
- zatwierdzonego kodeksu postepowania lub
- zatwierdzonego mechanizmu certyfikacji
✓ Działania w celu zapewnienia, by każda osoba fizyczna działająca z
upoważnienia administratora / podmiotu przetwarzającego, która ma
dostęp do danych:
- Przetwarzała je wyłącznie na polecenie administratora
- Wyjątek: wymóg prawa europejskiego lub prawo państwa
członkowskiego
PODSUMOWANIE
Uwzględnianie ochrony w fazie projektowania oraz domyślna
ochrona danych osobowych (art. 25 rozporządzenia 2016/679)
ocena skutków dla ochrony danych (projekty legislacyjne)
privacy by design – wdrażanie ochrony danych / dbanie o
prywatność już na etapie projektowania procesu/-ów
przetwarzania danych osobowych (także przepisów prawa)
Artykuł 25 ust. 1 I ust. 2

Art.. 35 ust. 1, ust. 7, ust. 10
Istotne kwestie
Zasada ograniczenia celu → przepisy wyraźnie wskazujące cel / cele

przetwarzania danych → częsty brak
Zasada minimalizacji danych → przepisy wyznaczające zakres / kategorie

przetwarzanych danych
→problematyczne otwarte katalogi
→dane wykraczające poza cel przetwarzania
→ogólne odesłanie do art. 9 ust. 1 – przetwarzanie szczególnych kategorii
danych osobowych
ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne,
przekonania religijne lub światopoglądowe, przynależność do związków
zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych
w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych
dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby
Istotne kwestie
→ art. 10 przetwarzanie danych osobowych dotyczących wyroków

skazujących i czynów zabronionych
Przetwarzania danych osobowych dotyczących wyroków skazujących oraz
czynów zabronionych lub powiązanych środków bezpieczeństwa na podstawie
art. 6 ust. 1 wolno dokonywać wyłącznie pod nadzorem władz publicznych lub
jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa
członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności
osób, których dane dotyczą. Wszelkie kompletne rejestry wyroków skazujących
są prowadzone wyłącznie pod nadzorem władz publicznych
→ art. 87 przetwarzanie krajowego numeru identyfikacyjnego (w RP głównie
numeru PESEL)
Państwa członkowskie mogą określić szczególne warunki przetwarzania
krajowego numeru identyfikacyjnego lub innego identyfikatora o zasięgu
ogólnym. W takim przypadku krajowego numeru identyfikacyjnego lub innego
identyfikatora o zasięgu ogólnym używa się wyłącznie z zachowaniem
odpowiednich zabezpieczeń praw i wolności osoby, której dane dotyczą, które
przewiduje niniejsze rozporządzenie.
Istotne kwestie
Zasada ograniczenia przechowywania / przetwarzania → przepisy wyznaczające okresy

przechowywania / przetwarzania danych → częsty brak
Zasada poufności i integralności → przepisy dotyczące przetwarzania danych w

systemach informatycznych
→ brak bliższego określenia tych systemów, blankietowe odsyłanie do definicji
„systemu informatycznego” z art. 3 pkt 3 ustawy o informatyzacji działalności
podmiotów realizujących zadania publiczne
system teleinformatyczny - zespół współpracujących ze sobą urządzeń informatycznych i
oprogramowania zapewniający przetwarzanie, przechowywanie, a także wysyłanie i
odbieranie danych przez sieci telekomunikacyjne za pomocą właściwego dla danego
rodzaju sieci telekomunikacyjnego urządzenia końcowego w rozumieniu przepisów
ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne (Dz. U. z 2019 r. poz. 2460 oraz z
2020 r. poz. 374, 695 i 875)
→Odnoszenie się do wszystkich okoliczności wskazanych w definicji „naruszenia
ochrony danych osobowych" (art. 4 pkt 12 rozporządzenia 2016/679)
oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z
prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub
nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w
inny sposób przetwarzanych;
Istotne kwestie
Zasada zgodności z prawem, rzetelności przejrzystości → wyczerpująca,

zupełna regulacja
- prawo do pewności, jasności prawa – osoby, których dane dotyczą
- pełna regulacja praw i obowiązków, pewność prawa –
administratorzy / podmioty przetwarzające dane osobowe / wykonawcy
norm
- zasada legalizmu – działanie na podstawie i w granicach prawa -
należyte wypełnienie obowiązków projektodawcy / ustawodawcy
Wytyczne w sprawie przejrzystości na podstawie rozporządzenia 2016/679

przyjęte przez Grupę Roboczą Art. 29 29 listopada 2017 r.
zmienione i przyjęte 11 kwietnia 2018 r.
Podczas opracowywania nowych regulacji prawnych, wytycznych i zaleceń
należy pamiętać o zasadach dotyczących przetwarzania danych osobowych
m.in.:
- postawa prawna przetwarzania (zasada zgodności z prawem, rzetelności i
przejrzystości – art. 5 ust. 1 lit a RODO)
- niezbędność realizacji konkretnego celu, np. zalecenia Głównego
Inspektora Sanitarnego (zasada ograniczenia celu – art. 5 ust. 1 lit b RODO)
- Wypełnienie przesłanki przetwarzania danych osobowych – art. 6 i 9
- art. 6 ust. 3 nakłada obowiązek określenia celu przetwarzania w
przepisach prawa wiążących podmioty publiczne
- art. 9 ust. 2 lit i) stanowi o możliwości kierowania się interesem
publicznym w dziedzinie zdrowia publicznego, jak ochrona przed
poważnymi transgranicznymi zagrożeniami zdrowotnymi ale z
zachowaniem odpowiednich podstaw prawnych, które przewidują
odpowiednie, konkretne środki ochrony praw i wolności osób, których
dane dotyczą, w szczególności tajemnicę zawodową;
Podczas opracowywania nowych regulacji prawnych, wytycznych i zaleceń
należy pamiętać o zasadach dotyczących przetwarzania danych osobowych
m.in.:
- przetwarzanie przez czas nie dłuższy niż wymaga tego określone
rozwiązanie (zasada ograniczenia przechowywania – art. 5 ust. 1 lit e
RODO)
- odpowiednie zabezpieczenie danych (zasada integralności i poufności –
art. 5 ust. 1 lit f RODO)
- Konsultowanie rozwiązań z IOD – odpowiedzialność administratora
- zasada rozliczalności – odpowiedzialność administratora za wdrożenie i
stosowanie przepisów RODO
ZADANIE:
Przygotowanie materiału
dot. przepisów regulujących przetwarzanie danych osobowych wraz z testem
prywatności odnoszącym się do tego materiału, może to być np.:
1. Fikcyjna regulacja dot. ograniczeń, zgodnie z art. 23 RODO
2. Zmiana przepisów, które stosuję na co dzień
3. Waluacja przepisów obowiązujących, wymagających aktualizacji
ewentualnie
4. opinia nt. obowiązujących przepisów, ich wad wraz z nawiązaniem do testu
prywatności
- Nie musi być długi

- Ważne żeby odnosił się do tematyki zajęć z 13.01.2023
- W terminie do 15 lutego 2023
Dziękuję za uwagę
i życzę powodzenia
w przetwarzaniu danych osobowych ☺

2022-2023 Ocena Skutków W Procesie Legislacyjnym - 13 Stycznia 2023

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

2022-2023 Ocena Skutków W Procesie Legislacyjnym - 13 Stycznia 2023

Uploaded by

Copyright:

Available Formats

13 stycznia 2023 r.

Ocena skutków dla ochrony danych

▪ wpływ ogólnego rozporządzenia o ochronie danych na przepisy

Ustawa z dnia 10 maja 2018 r. o ochronie

→weryfikowania obowiązujących przepisów i zapewnienia

Komunikat Prezesa Urzędu Ochrony Danych Osobowych

Art. 51 - autonomia informacyjna jednostki

Nikt nie może być obowiązany inaczej niż na podstawie ustawy

Art. 87. Źródła prawa powszechnie obowiązującego

• Artykuł 57 Zadania organu nadzorczego

Art. 25 ust. 1 Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz

• Art. 51. Opiniowanie założeń i projektów aktów prawnych przez

• Art. 52 brak inicjatywy ustawodawczej ale możliwość skierowania

Art. 52 ust. 2 [Wystąpienia Prezesa Urzędu Ochrony Danych Osobowych do

UCHWAŁA Nr 190 RADY MINISTRÓW z dnia 29 października 2013 r. Regulamin

1. Organ wnioskujący kieruje projekt dokumentu rządowego do zaopiniowania przez:

2. W przypadkach określonych w odrębnych przepisach projekt dokumentu rządowego

• zgodność z prawem, rzetelność i przejrzystość

Niezbędność uwzględniania tych zasad w stanowionych / zmienianych przepisach

Właściwie w każdej opinii legislacyjnej zawierającej uwagi do projektu / przepisów

Ust. 1 Dane osobowe muszą być:

Ust. 1 Dane osobowe muszą być:

Ust. 2 Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i

• zasada rozliczalności jest wskazana wprost w jego przepisach (w u.o.d.o. z

doprecyzowanie zasady rozliczalności – art. 24

zasada ma być realizowana przez wdrożenie odpowiednich środków technicznych

przestrzeganie przepisów RODO + udokumentowanie w należyty sposób jak

- niemożność stanowienia przepisów negujących / wyłączających zasady / prawa

Europejska Rada Ochrony Danych przyjęła 13 października 2021 r.

RODO pozwala na ograniczenie zakresu praw i obowiązków wynikających z części

wielokrotnie wskazywane jest projektodawcom, iż sposób

Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w

e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w

Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego

… Ponieważ dla organów publicznych podstawę prawną przetwarzania danych

Cel przetwarzania musi być określony w tej podstawie prawnej lub, w

(45) Jeżeli przetwarzanie odbywa się w celu wypełnienia obowiązku prawnego,

Niniejsze rozporządzenie nie nakłada wymogu, aby dla każdego

Konstytucyjna zasada legalizmu Art. 7. [Zasada praworządności]

W opiniach prawnych UODO często wskazuje na konieczność wskazania w przepisie

Cel przetwarzania musi być określony w tej podstawie prawnej

UODO powołuje się na te aspekty w opiniach prawnych – w szczególności na

Jeżeli chodzi o przetwarzanie danych osobowych przez te

Wprost stanowi także o tym art. 9 ust. 4 RODO

Jeżeli przetwarzanie danych osobowych przez podmioty prywatne

• konieczność powiązania z odpowiednim przepisem prawa obowiązującego w

przepis szczególny innej ustawy zezwala na

• niezbędne do wykonania zadań administratora danych

w celu realizacji praw i obowiązków wynikających z

RODO - przetwarzanie jest niezbędne ze względów

RODO - przetwarzanie jest niezbędne do celów

Ochrona danych w fazie projektowania

Zasadnicze uwagi UODO do projektów aktów prawnych

Domyślna ochrona danych

Artykuł 25 ust. 2 Domyślna ochrona danych

Uwagi dot. wprowadzania rozwiązań dot. przetwarzania danych przy użyciu

• Privacy / data protection by default

• Administrator wdraża odpowiednie środki techniczne

By dane osobowe domyślnie -> nie były udostępniane

Ust. 1. Jeżeli dany rodzaj przetwarzania - w szczególności z użyciem nowych

przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na

Wytyczne dotyczące oceny skutków dla ochrony danych oraz pomagające

Wytyczne nr 4/2-19 dotyczące artykułu 25 Uwzględnienie ochrony danych w