Professional Documents
Culture Documents
2022-2023 Ocena Skutków W Procesie Legislacyjnym - 13 Stycznia 2023
2022-2023 Ocena Skutków W Procesie Legislacyjnym - 13 Stycznia 2023
Weronika Kowalik
Zakres przedmiotowy spotkania
Implementacja
DYREKTYWY PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/680
z dnia 27 kwietnia 2016 r.
w sprawie ochrony osób fizycznych w związku z przetwarzaniem
danych osobowych przez właściwe organy do celów zapobiegania
przestępczości, prowadzenia postępowań przygotowawczych,
wykrywania i ścigania czynów zabronionych i wykonywania kar,
w sprawie swobodnego przepływu takich danych oraz uchylająca
decyzję ramową Rady 2008/977/WSiSW
Wytyczne Europejskiej Rady Ochrony Danych
Europejska Rada Ochrony Danych jest organem Unii, który
zapewnia spójne stosowanie rozporządzenia 2016/679
M.IN. poprzez wydawanie wytycznych (jej poprzednikiem na
gruncie dyrektywy 95/46 była Grupa robocza Art. 29)
https://uodo.gov.pl/pl/p/europejska-rada-ochrony-danych
https://edpb.europa.eu/our-work-tools/our-
documents/publication-type/guidelines_pl
→ranga przepisów
• stanowiących o przetwarzaniu danych
osobowych
• mających wpływ na prawa i wolności
Błędy:
• Stanowienie praw i obowiązków, zasad w przepisach niższych niż ustawa –
np,. W rozporządzeniu gdy ustawa „milczy” → w ten sposób nie można
sanować luki prawnej
• Delegowanie ich stanowienia w przepisach nie mających rangi konstytucyjnej
– brak regulacji w ustawie ale odesłanie, że regulacje zostaną ustanowione
zarządzeniem, statutem, porozumieniem
Rozporządzenie 2016/679 a tworzenie przepisów prawa
Rozporządzenie 2016/679 a tworzenie przepisów prawa
Organ powołując się na swoje prawo i obowiązek wskazuje swą ekspercką rolę
Rozporządzenie 2016/679 a tworzenie przepisów prawa - art. 25 i 35 test prywatności,
ocena skutków
Organ powołując się na swoje prawo i obowiązek wskazuje swą ekspercką rolę
Rozporządzenie 2016/679 a tworzenie przepisów prawa - art. 25 i 35 test prywatności,
ocena skutków
Art. 35
ust. 1 Jeżeli dany rodzaj przetwarzania - w szczególności z użyciem nowych
technologii - ze względu na swój charakter, zakres, kontekst i cele z dużym
prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub
wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania
dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych
osobowych. Dla podobnych operacji przetwarzania danych wiążących się z
podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę
ust. 10
Ust. 1-7 nie mają zastosowania, jeżeli przetwarzanie na mocy art. 6 ust. 1 lit. c) lub
e) ma podstawę prawną w prawie Unii lub w prawie państwa członkowskiego,
któremu podlega administrator, i prawo takie reguluje daną operację przetwarzania
lub zestaw operacji, a oceny skutków dla ochrony danych dokonano już w ramach
oceny skutków regulacji w związku z przyjęciem tej podstawy prawnej - chyba że
państwa członkowskie uznają za niezbędne, by przed podjęciem czynności
przetwarzania dokonać oceny skutków dla ochrony danych.
Organ powołując się na swoje prawo i obowiązek wskazuje swą ekspercką rolę
Ustawa o ochronie danych osobowych 2018 r.
Organ powołując się na swoje prawo i obowiązek wskazuje swą ekspercką rolę
Organ nadzorczy jest niezależny
zwłaszcza nie znajduje się w strukturze rządu / nie podlega rządowi / ministrowi
§ 38.
Organ powołując się na swoje prawo i obowiązek wskazuje swą ekspercką rolę
Zasady dotyczące przetwarzania danych osobowych (art. 5 rozporządzenia 2016/679):
"rozliczalność"
"rozliczalność"
Rozliczalność – dwa elementy, które muszą zostać spełnione łącznie, aby zasada
ta została zrealizowana:
1) odpowiedzialność administratora za przestrzeganie przepisów,
2) wykazywanie ich przestrzegania.
• zgoda
• umowa
• obowiązek prawny
• ochrona żywotnych interesów
• wykonanie zadania realizowanego w interesie publicznym
lub w ramach sprawowania powierzonej władzy
publicznej
• cele wynikające z prawnie uzasadnionych interesów
Motyw 47
Motyw 8
W zakresie, w jakim niniejsze rozporządzenie dopuszcza
doprecyzowanie lub zawężenie jego przepisów przez prawo państw
członkowskich, mogą one - o ile jest to niezbędne, by krajowe
przepisy były spójne i zrozumiałe dla osób, do których mają
zastosowanie - włączyć elementy niniejszego rozporządzenia do
swego prawa krajowego.
Art. 6 ust. 3 cd (motyw 45) – elementy przepisów prawa
Prawo Unii
lub
prawo państwa członkowskiego muszą
➢służyć realizacji celu leżącego w interesie publicznym, oraz
➢być proporcjonalne do wyznaczonego, prawnie uzasadnionego celu.
Kompleksowość regulacji, wyczerpujące przepisy, pewność prawa
…
Motyw 41
W przypadku gdy w niniejszym rozporządzeniu jest mowa o
podstawie prawnej lub akcie prawnym, niekoniecznie wymaga to
przyjęcia aktu prawnego przez parlament, z zastrzeżeniem
wymogów wynikających z porządku konstytucyjnego danego
państwa członkowskiego. Taka podstawa prawna lub taki akt
prawny powinny być jasne i precyzyjne, a ich zastosowanie
przewidywalne dla osób im podlegających - jak wymaga tego
orzecznictwo Trybunału Sprawiedliwości Unii Europejskiej
(zwanego dalej "Trybunałem Sprawiedliwości") i Europejskiego
Trybunału Praw Człowieka.
SZKOLENIE VIS
LEGALNOŚĆ PRZETWARZANIA DANYCH SZCZEGÓLNIE CHRONIONYCH
RODO – SZCZEGÓLNYCH KATEGORII DANYCH
• niezbędne do dochodzenia praw przed sądem
RODO - niezbędne do ustalenia, dochodzenia lub obrony roszczeń
lub w ramach sprawowania wymiaru sprawiedliwości przez sądy
Art. 9 ust. 4
Państwa członkowskie mogą zachować lub wprowadzić
dalsze warunki, w tym ograniczenia w odniesieniu do
przetwarzania danych genetycznych, danych
biometrycznych lub danych dotyczących zdrowia.
Uwzględnienie ochrony danych w fazie projektowania
- TEST PRYWATNOŚCI
Uwzględnienie ochrony danych w fazie projektowania
- TEST PRYWATNOŚCI
Motyw (8) Aby zapewnić wysoki i spójny stopień ochrony osób fizycznych oraz
usunąć przeszkody w przepływie danych osobowych w Unii, należy zapewnić
równorzędny we wszystkich państwach członkowskich stopień ochrony praw i
wolności osób fizycznych w związku z przetwarzaniem takich danych. Należy
zapewnić spójne i jednolite w całej Unii stosowanie przepisów o ochronie
podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem
danych osobowych. Jeżeli chodzi o przetwarzanie danych osobowych w celu
wypełnienia obowiązku prawnego, w celu wykonania zadania realizowanego w
interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej
administratorowi, państwa członkowskie powinny móc zachować lub wprowadzić
krajowe przepisy doprecyzowujące stosowanie przepisów niniejszego
rozporządzenia. Obok ogólnego, horyzontalnego prawa o ochronie danych
wdrażającego dyrektywę 95/46/WE państwa członkowskie przyjęły uregulowania
sektorowe w dziedzinach wymagających przepisów bardziej szczegółowych.
Niniejsze rozporządzenie umożliwia też państwom członkowskim doprecyzowanie
jego przepisów, w tym w odniesieniu do przetwarzania szczególnych kategorii
danych osobowych (zwanych dalej "danymi wrażliwymi"). W tym względzie
niniejsze rozporządzenie nie wyklucza możliwości określenia w prawie państwa
członkowskiego okoliczności dotyczących konkretnych sytuacji związanych z
przetwarzaniem danych, w tym dookreślenia warunków, które decydują o
zgodności przetwarzania z prawem.
Uwzględnienie ochrony danych w fazie projektowania
- TEST PRYWATNOŚCI
Motyw (8)
W zakresie, w jakim niniejsze rozporządzenie
dopuszcza doprecyzowanie lub zawężenie jego
przepisów przez prawo państw członkowskich,
mogą one - o ile jest to niezbędne, by krajowe
przepisy były spójne i zrozumiałe dla osób, do
których mają zastosowanie - włączyć elementy
niniejszego rozporządzenia do swego prawa
krajowego.
Uwzględnienie ochrony danych w fazie projektowania
- TEST PRYWATNOŚCI
Test prywatności
Domyślna ochrona danych
- zdalne przetwarzanie
- bliżej nieokreślone aplikacje
- brak wymagań dot. systemów informatycznych
- dobry przykład to ewidencja ludności
- Przynajmniej określenie niezbędnych kryteriów
Ochrona danych w fazie projektowania - art. 25 ust. 1
Privacy / data protection by design
- Podobnie jak w art. 32 uwzględnienie przez administratora:
✓ stanu wiedzy technicznej, kosztu wdrażania
✓ charakteru, zakresu, kontekstu i celów przetwarzania
✓ ryzyka naruszenia praw lub wolności osób fizycznych
✓ różnego prawdopodobieństwa wystąpienia
✓ wagi zagrożenia
✓ wynikających z przetwarzania
- dotyczy:
✓ określania sposobów przetwarzania
✓ Trwającego procesu przetwarzania
- Wdrożenie odpowiednich środków technicznych i organizacyjnych (takich jak
pseudonimizacja)
- zaprojektowanie tych środków w celu:
✓ skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych
✓ nadania przetwarzaniu niezbędnych zabezpieczeń
✓ Spełnienia wymogów RODO
✓ ochrony praw osób, których dane dotyczą
Ochrona danych w fazie projektowania - art. 25 ust. 2
Ust. 10. Ust. 1-7 nie mają zastosowania, jeżeli przetwarzanie na mocy art. 6
ust. 1 lit. c) lub e) ma podstawę prawną w prawie Unii lub w prawie państwa
członkowskiego, któremu podlega administrator, i prawo takie reguluje daną
operację przetwarzania lub zestaw operacji, a oceny skutków dla ochrony
danych dokonano już w ramach oceny skutków regulacji w związku z
przyjęciem tej podstawy prawnej - chyba że państwa członkowskie uznają za
niezbędne, by przed podjęciem czynności przetwarzania dokonać oceny
skutków dla ochrony danych.
Test prywatności, w tym Ocena skutków dla ochrony danych
- Artykuł 35
• rodzaj przetwarzania
• użycie nowych technologii
• charakter
• zakres
• kontekst
• cele
• duże prawdopodobieństw wysokiego ryzyka naruszenia praw
lub wolności osób fizycznych
→ ocena skutków planowanych operacji przetwarzania
dla ochrony danych osobowych
→ oceny skutków dla ochrony danych dokonana już w
ramach oceny skutków regulacji w związku z przyjęciem
tej podstawy prawnej
Artykuł 35 Ocena skutków dla ochrony danych
duża skala – brak definicji - liczba osób, których dane dotyczą, ilość danych, czas
trwania lub ciągłość przetwarzania, zakres geograficzny przetwarzania.
(91) odnoszący się do oceny skutków
• operacje przetwarzania o dużej skali
- służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym,
krajowym lub ponadnarodowym
- mogą wpłynąć na dużą liczbę osób, których dane dotyczą
- monitorowanie na dużą skalę miejsc publicznie dostępnych - w szczególności za
pomocą urządzeń optyczno-elektronicznych
- wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, w
szczególności dlatego, że operacje te uniemożliwiają osobom, których dane
dotyczą, wykonywanie prawa lub korzystania z usługi lub umowy lub mają
systematyczny charakter i dużą skalę
Motyw 93
(93) Przyjmując prawo, które ma być dla organu lub podmiotu publicznego
podstawą do wykonywania zadań i ma regulować konkretną operację
przetwarzania lub konkretny zestaw operacji, państwa członkowskie mogą
uznać, że przed takimi czynnościami przetwarzania należy koniecznie
przeprowadzić taką ocenę.
Motyw 96
(96) Konsultacji z organem nadzorczym należy dokonać również w trakcie
przygotowywania aktu ustawodawczego lub wykonawczego przewidującego
przetwarzanie danych osobowych, aby zapewnić zgodność zamierzonego
przetwarzania z niniejszym rozporządzeniem, a w szczególności
zminimalizować ewentualne ryzyko dla osoby, której dane dotyczą.
Ocena skutków dla ochrony danych
Organ nadzorczy
ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania
podlegających wymogowi dokonania oceny skutków dla ochrony danych
KOMUNIKAT PREZESA URZĘDU OCHRONY DANYCH OSOBOWYCH
z dnia 17 czerwca 2019 r.
w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających
oceny skutków przetwarzania dla ich ochrony
Ewaluacja przyjętego przez polski organ wykazu – pozytywna – jako wzór dla innych
organów
Artykuł 35 Ocena skutków dla ochrony danych
Ocena zawiera co najmniej – to są wskazówki dla projektodawcy jakie
elementy powinien uznać za istotne wykonując ocenę skutków regulacji
w związku z przyjęciem tej podstawy prawnej
a) systematyczny opis planowanych operacji przetwarzania i celów
przetwarzania, w tym, gdy ma to zastosowanie - prawnie uzasadnionych
interesów realizowanych przez administratora;
b) ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w
stosunku do celów;
c) ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą,
o którym mowa w ust. 1; oraz
d) środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz
środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych
osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z
uwzględnieniem praw i prawnie uzasadnionych interesów osób, których
dane dotyczą, i innych osób, których sprawa dotyczy.
Takie wskazówki przekazuje UODO opiniując akty prawne budzące
szczególne wątpliwości
Artykuł 35 Ocena skutków dla ochrony danych
a ograniczenia
a) bezpieczeństwu narodowemu;
b) obronie;
c) bezpieczeństwu publicznemu;
d) zapobieganiu przestępczości, prowadzeniu postępowań przygotowawczych,
wykrywaniu lub ściganiu czynów zabronionych lub wykonywaniu kar, w tym
ochronie przed zagrożeniami dla bezpieczeństwa publicznego i zapobieganiu
takim zagrożeniom;
e) innym ważnym celom leżącym w ogólnym interesie publicznym Unii lub
państwa członkowskiego, w szczególności ważnemu interesowi
gospodarczemu lub finansowemu Unii lub państwa członkowskiego, w tym
kwestiom pieniężnym, budżetowym i podatkowym, zdrowiu publicznemu i
zabezpieczeniu społecznemu;
Zasady dotyczące przetwarzania danych osobowych (art. 5)
a ograniczenia
→„ograniczenia”
- środki podejmowane przez państwa członkowskie muszą być zgodne z ogólnymi
zasadami prawa, istotą podstawowych praw i wolności
- Środki podejmowane nie mogą być nieodwracalne
- administratorzy (w tym współadministratorzy) i podmioty przetwarzające nadal
przestrzegają przepisów o ochronie danych
- zasada rozliczalności określona w art. 5 ust. 2 RODO nadal ma zastosowanie
- gdy prawodawca unijny lub krajowy ustanawia ograniczenia na podstawie art. 23
RODO, zapewnia, aby spełniał on wymogi określone w art. 52 ust. 1 Karty, a w
szczególności przeprowadza ocenę proporcjonalności, tak aby ograniczenia
ograniczały się do tego, co jest absolutnie konieczne.
WYMOGI ART. 23 UST. 1 RODO - aby można było powołać się na środek
zgodnie z prawem, wszystkie te wymogi muszą zostać spełnione
2. Środki ustawodawcze
art. 52 ust. 1 Karty - przypomina wyrażenie „zgodnie z prawem” zawarte w art. 8 ust. 2
europejskiej konwencji praw człowieka
- nie tylko przestrzeganie prawa krajowego
- ale również jakość prawa krajowego
- rodzaj rozważanych środków ustawodawczych musi być zgodny z prawem
UE lub z prawem krajowym
- w zależności od stopnia ingerencji w ograniczenie, na szczeblu krajowym
może być wymagany konkretny środek ustawodawczy, uwzględniający poziom normy.
3. podstawy ograniczeń
3.4 ochrona niezawisłości sądów i postępowania sądowe
zakres tych ograniczeń dla celu ochrony niezawisłości sądów i postępowań sądowych
powinien być dostosowany do ustawodawstwa krajowego regulującego te kwestie.
3.5 zapobieganie naruszeniom etyki w zawodach regulowanych, prowadzenie
dochodzeń w ich sprawie, ich wykrywanie i ściganie
to przypadki, w których dochodzenie zasadniczo nie odnosi się do przestępstw
3.6 Monitorowanie, kontrola lub funkcja regulacyjna związane z wykonywaniem władzy
publicznej
potencjalne ograniczenie w przypadku kontroli, monitorowania lub funkcji regulacyjnej
związanej, nawet jeśli tylko sporadycznie, z wykonywaniem władzy publicznej
3.7 Ochrona osoby, której dane dotyczą, lub praw i wolności innych osób
ograniczenie, które ma na celu ochronę osoby, której dane dotyczą, lub praw i wolności
innych osób.
Np. gdy prowadzone jest dochodzenie adm. lub post. dyscyplinarne - ograniczenia
prawa dostępu co do tożsamości w celu ochrony jej przed odwetem
3.8 Dochodzenie roszczeń cywilnoprawnych
ograniczenia w celu ochrony indywidualnych interesów (potencjalnego) podmiotu
sądowego, w celu ochrony samych postępowań sądowych oraz mających zastosowanie
przepisów proceduralnych
Wytyczne 10/2020 w sprawie ograniczeń praw osób, których dane dotyczą, na
podstawie art. 23 RODO - WYMOGI ART. 23 UST. 1 RODO
Prawa osób, których dane dotyczą, i obowiązki administratora, które mogą być
ograniczone
- jedynie art. 12-22, art. 34 RODO i art. 5 - w zakresie, w jakim jego przepisy
odpowiadają prawom i obowiązkom przewidzianym w art. 12-22, mogą zostać
ograniczone
- ograniczenia obowiązków dotyczą ograniczeń zasad odnoszących się do
przetwarzania danych osobowych w zakresie, w jakim:
- przepisy art. 5 odpowiadają obowiązkom przewidzianym w art. 12-
22 RODO
- w odniesieniu do powiadamiania osób, których dane dotyczą, o
naruszeniu ochrony danych osobowych - art. 34 RODO)
- ograniczenia zasad ochrony danych muszą być należycie uzasadnione
wyjątkową sytuacją, z poszanowaniem istoty rozpatrywanych
podstawowych praw i wolności oraz po przeprowadzeniu testu konieczności
i proporcjonalności
- art. 5 RODO może być ograniczony jedynie w zakresie, w jakim jego przepisy
odpowiadają prawom i obowiązkom przewidzianym w art. 12-22 RODO
Wytyczne 10/2020 w sprawie ograniczeń praw osób, których dane dotyczą, na
podstawie art. 23 RODO - WYMOGI ART. 23 UST. 1 RODO
Prawa osób, których dane dotyczą, i obowiązki administratora, które mogą być
ograniczone
Ograniczenia praw dotyczą:
- prawa do przejrzystych informacji (art. 12 RODO),
- prawa do informacji (art. 13 i 14 RODO),
- prawa dostępu (art. 15 RODO),
- prawa do sprostowania (art. 16 RODO),
- prawa do usunięcia danych (art. 17 RODO),
- prawa do ograniczenia przetwarzania (art. 18 RODO),
- obowiązku powiadomienia o sprostowaniu lub usunięciu danych
osobowych lub ograniczenia przetwarzania (art. 19 RODO),
- prawa do przenoszenia danych (art. 20 RODO),
- prawa do sprzeciwu (art. 21 RODO),
- prawa do niepodlegania zautomatyzowanemu podejmowaniu decyzji
indywidualnej (art. 22 RODO).
→ nie można ograniczać żadnych praw innych osób, których dane dotyczą,
takich jak prawo do wniesienia skargi do organu nadzorczego (art. 77 RODO)
lub obowiązków innych administratorów danych
Wytyczne 10/2020 w sprawie ograniczeń praw osób, których dane dotyczą, na
podstawie art. 23 RODO - WYMOGI ART. 23 UST. 12 RODO
→Ograniczenia;
• są zgodne z prawem tylko wtedy, gdy są środkiem koniecznym i proporcjonalnym w
społeczeństwie demokratycznym
• muszą przejść test konieczności i proporcjonalności, aby były zgodne z RODO
→Test konieczności i proporcjonalności należy przeprowadzić przed podjęciem przez
ustawodawcę decyzji o wprowadzeniu ograniczenia
→Cel, który ma zostać zabezpieczony musi być określony w sposób wystarczająco
szczegółowy, aby umożliwić ocenę, czy dany środek jest konieczny
→Orzecznictwo TSUE stosuje ścisły test konieczności w odniesieniu do wszelkich
ograniczeń w korzystaniu z praw do ochrony danych osobowych
Zasada pewności:
→zaleca się udokumentowanie testu proporcjonalności i konieczności
→rgany nadzorcze mogą zażądać dodatkowej dokumentacji.
Wytyczne 10/2020 w sprawie ograniczeń praw osób, których dane dotyczą, na
podstawie art. 23 RODO - WYMOGI ART. 23 UST. 1 RODO
2. Ograniczenie stosowania:
1) przepisu art. 15 rozporządzenia 2016/679 dopuszcza się do czasu
zakończenia badania klinicznego;
2) przepisów art. 16, art. 18 i art. 21 rozporządzenia 2016/679 dopuszcza się w
trakcie badania klinicznego i po jego zakończeniu.
Art. 24. ustawy o prawach pacjenta i Rzeczniku praw pacjenta - sposób prowadzenia
dokumentacji medycznej; przetwarzanie danych
• Jeżeli podmiot udzielający świadczeń zdrowotnych zawarł umowę o powierzeniu
przetwarzania danych osobowych, o której mowa w art. 28 ust. 3 rozporządzenia (…)
2016/679, realizacja tej umowy nie może powodować zakłócenia udzielania świadczeń
zdrowotnych, w szczególności w zakresie zapewnienia, bez zbędnej zwłoki, dostępu do
danych zawartych w dokumentacji medycznej.
• Podmiot, któremu powierzono przetwarzanie danych osobowych w związku z realizacją
umowy o powierzeniu przetwarzania danych osobowych, o której mowa w art. 28 ust.
3 rozporządzenia 2016/679, jest obowiązany do zachowania w tajemnicy informacji
związanych z pacjentem uzyskanych w związku z realizacją tej umowy. Podmiot ten jest
związany tajemnicą także po śmierci pacjenta.
• W przypadku zaprzestania przetwarzania danych osobowych zawartych w
dokumentacji medycznej przez podmiot, któremu powierzono takie przetwarzanie, w
szczególności w związku z jego likwidacją, jest on zobowiązany do przekazania danych
osobowych zawartych w dokumentacji medycznej podmiotowi, o którym mowa w ust.
1, który powierzył przetwarzanie danych osobowych.
Podmiot przetwarzający (art. 28 rozporządzenia 2016/679)
Wytyczne 07/2020
w sprawie koncepcji administratora danych oraz podmiotu
przetwarzającego Wersja 2.0 przyjęte 7 lipca 2021 r.
Motyw 93
(93) Przyjmując prawo, które ma być dla organu lub podmiotu publicznego podstawą do
wykonywania zadań i ma regulować konkretną operację przetwarzania lub konkretny
zestaw operacji, państwa członkowskie mogą uznać, że przed takimi czynnościami
przetwarzania należy koniecznie przeprowadzić taką ocenę.
Motyw 96
(96) Konsultacji z organem nadzorczym należy dokonać również w trakcie
przygotowywania aktu ustawodawczego lub wykonawczego przewidującego
przetwarzanie danych osobowych, aby zapewnić zgodność zamierzonego przetwarzania
z niniejszym rozporządzeniem, a w szczególności zminimalizować ewentualne ryzyko dla
osoby, której dane dotyczą.
danych osobowych –
tworzenie przepisów prawa
Ocena skutków dla ochrony danych
Wytyczne dotyczące oceny skutków dla ochrony danych oraz pomagające ustalić czy
przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679
przyjęte 4 kwietnia 2017 r.
ostatnio zmienione i przyjęte 4 października 2017 r.
Zasada ograniczenia celu → przepisy wyraźnie wskazujące cel / cele przetwarzania danych → częsty brak
Udostępnianie dokumentacji
• Organy … udostępniają dokumentację, o której mowa w art. … znajdującą się w ich
posiadaniu.
• dokumentację …, o której mowa w art. …, udostępnia się na uzasadniony wniosek
złożony przez osobę, której ta dokumentacja dotyczy albo przez podmiot, o którym
mowa w art. …, jeżeli uzyskanie danych przez ten podmiot jest uzasadnione zakresem
wykonywanych zadań określonych w ustawach szczególnych.
• Wniosek, o którym mowa w …, składa się na piśmie utrwalonym w postaci papierowej,
opatrzonym podpisem własnoręcznym lub na piśmie utrwalonym w postaci
elektronicznej, opatrzonym kwalifikowanym podpisem elektronicznym, podpisem
zaufanym albo podpisem osobistym.
• Dokumentację … udostępnia się nieodpłatnie.
Wydanie zaświadczenia z odpisem danych przetwarzanych w ewidencjach …
Kodeks pracy
– zakres danych o kandydacie i pracowniku
- inne dane za zgodą
Art. 221.
§ 1. Pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych
osobowych obejmujących: 1) imię (imiona) i nazwisko; 2) data urodzenia; 3) dane
kontaktowe wskazane przez taką osobę; 4) wykształcenie; 5) kwalifikacje zawodowe; 6)
przebieg dotychczasowego zatrudnienia.
§ 2 gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym
stanowisku
§ 3. Pracodawca żąda od pracownika podania dodatkowo danych osobowych
obejmujących: 1) adres zamieszkania; 2) numer PESEL, a w przypadku jego braku - rodzaj i
numer dokumentu potwierdzającego tożsamość; 3) inne dane osobowe pracownika, a
także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli
podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze
szczególnych uprawnień przewidzianych w prawie pracy; 4) wykształcenie i przebieg
dotychczasowego zatrudnienia, jeżeli nie istniała podstawa do ich żądania od osoby
ubiegającej się o zatrudnienie; 5) numer rachunku płatniczego, jeżeli pracownik nie złożył
wniosku o wypłatę wynagrodzenia do rąk własnych
Kodeks pracy
- zakres danych o kandydacie i pracowniku
- inne dane za zgodą
Art. 221.
§ 4. Pracodawca żąda podania innych danych osobowych niż określone w § 1 i 3, gdy
jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego
z przepisu prawa.
Art.221a
§ 1. Zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić
podstawę przetwarzania przez pracodawcę innych danych osobowych niż wymienione
w art. 221 § 1 i 3, z wyjątkiem danych osobowych, o których mowa w art. 10
rozporządzenia 2016/679
§ 2. Brak zgody, o której mowa w § 1, lub jej wycofanie, nie może być podstawą
niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a
także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji,
zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia,
wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez
pracodawcę.
Zgoda zastępująca uzupełniająca przepisy
→ na ogół zbędna, niepotrzebna, wprowadzająca w błąd, pozorna
propozycja przepisów:
-zgoda może stanowić podstawę przetwarzania przez
administratora również innych danych osobowych niż wymienione
w art. / tu katalog danych zwykłych, które mogą być przetwarzane
na potrzeby celów realizowanych przez administratora/, z
wyjątkiem danych osobowych, o których mowa w art. 10 RODO
-przetwarzanie, o którym mowa, dotyczy danych osobowych
udostępnianych przez beneficjenta na żądanie administratora lub
danych osobowych przekazanych administratorowi z inicjatywy
osoby.
Co zrobić ?
1b. Decyzje, o których mowa w ust. 1a, mogą być podejmowane wyłącznie w oparciu o
następujące kategorie danych dotyczących osoby fizycznej: katalog zamknięty
...
17) stan zdrowia ubezpieczonego;
…
1c. Zakład ubezpieczeń może przetwarzać dane osobowe, o których mowa w ust. 1b,
dotyczące ubezpieczonych, ubezpieczających lub innych uprawnionych z umowy
ubezpieczenia, bez zgody osoby, której te dane dotyczą, w celach, o których mowa w
art. 33 ust. 3, nie dłużej niż 12 lat od dnia rozwiązania umowy ubezpieczenia.
Art. 33. [Wysokość składek ubezpieczeniowych]
3. Zakład ubezpieczeń gromadzi odpowiednie dane statystyczne w celu ustalania na ich
podstawie wysokości składek ubezpieczeniowych, składek reasekuracyjnych oraz rezerw
techniczno-ubezpieczeniowych dla celów wypłacalności i rezerw techniczno-
ubezpieczeniowych dla celów rachunkowości.
• Przepisy prawa pracy a praca zdalna
Test prywatności
Domyślna ochrona danych
- zdalne przetwarzanie
- bliżej nieokreślone aplikacje
- brak wymagań dot. systemów informatycznych
- dobry przykład to ewidencja ludności
Jak realizować zasadę zapewnienia bezpieczeństwa?
Ochrona danych w fazie projektowania – motyw 78
• Wytwórcy
opracowujący, projektujący, wybierający i użytkujący
-> aplikacje, usługi i produkty
-> opierające się na przetwarzaniu danych osobowych
-> przetwarzające dane osobowe -> podczas ich opracowywania i projektowania
powinni wziąć pod uwagę
-> prawo do ochrony danych osobowych
-> by z należytym uwzględnieniem stanu wiedzy technicznej
-> zapewnili administratorom i podmiotom przetwarzającym możliwość wywiązania się
ze spoczywających na nich obowiązków ochrony danych
• Uwzględnienie:
✓ Stanu wiedzy technicznej
✓ Kosztu wdrażania
✓ Charakteru, zakresu, kontekstu i celu przetwarzania
✓ Ryzyko naruszenia praw lub wolności podmiotów danych; różne
prawdopodobieństwo wystąpienia; waga zagrożenia
Przygotowanie materiału
dot. przepisów regulujących przetwarzanie danych osobowych wraz z testem
prywatności odnoszącym się do tego materiału, może to być np.:
1. Fikcyjna regulacja dot. ograniczeń, zgodnie z art. 23 RODO
2. Zmiana przepisów, które stosuję na co dzień
3. Waluacja przepisów obowiązujących, wymagających aktualizacji
ewentualnie
4. opinia nt. obowiązujących przepisów, ich wad wraz z nawiązaniem do testu
prywatności