Poradnik Rodo

Spis treści
RODO to unijne rozporządzenie o ochronie danych osobowych ............. 5

Rys historyczny............................................................................................ 5
Kiedy i jak zacząć się przygotowywać ....................................................... 8
24 najważniejsze zmiany w prawie ............................................................ 8
1 - Jednolite prawo w całej Europie........................................................... 9
2 - Przystępny język................................................................................... 10
3 - Prawo dostosowane do wielkości przedsiębiorstwa......................... 10
4 - Większy zasięg prawa........................................................................... 11
5 - Nowa nazwa organu i większa moc sprawcza.................................... 11
6 - Nowe sankcje to większa siła oddziaływania prawa.......................... 13
7 - Kompleksowa współpraca organów (tzw. one stop shop)................. 15
8 - Nowe obowiązki i ograniczenia procesorów...................................... 16
9 - Współadministratorzy i grupy przedsiębiorstw.................................. 17
10 - Inspektor ochrony danych zamiast administratora
bezpieczeństwa informacji................................................................ 18
11 - Ochrona prywatności by design i by default (projektowanie od
podstaw i domyślność)...................................................................... 20
12 - Dokumentacja i rejestr przetwarzania.............................................. 21
13 - Szacowanie ryzyka – ocena skutków przetwarzania danych
i uprzednie konsultacje...................................................................... 22
14 - Raportowanie naruszenia bezpieczeństwa danych
do Prezesa Urzędu ............................................................................. 24
15 - Pseudonimizacja danych................................................................... 25
16 - Retencja i usuwanie danych.............................................................. 26
17 - Większe zaufanie do podmiotów certyfikowanych.......................... 26
18 - Ułatwione przekazywanie danych do państw trzecich
– wiążące reguły korporacyjne i standardowe klauzule umowne... 27
19 - Szerszy katalog danych szczególnej kategorii.................................. 29
20 - Zakres i sposób informowania osób, których dane dotyczą............ 30
21 - Ograniczenie profilowania................................................................... 31
22 - Doprecyzowane warunki uzyskiwania zgody na przetwarzanie
danych osobowych............................................................................ 32
23 - Prawo do przenoszenia danych......................................................... 34
24 - Rozszerzone prawo do usunięcia danych i ograniczenia
przetwarzania..................................................................................... 35
Zakończenie.............................................................................................. 36
Notatki....................................................................................................... 37
ODO24.pl OCHRONA DANYCH OSOBOWYCH i BEZPIECZEŃSTWO INFORMACJI
Patron poradnika
ODO 24 sp. z o. o. oferuje kompleksowe rozwiązania
w zakresie ochrony danych osobowych i bezpieczeń-
stwa informacji. Dzięki doświadczonemu zespołowi
ekspertów z zakresu m.in. prawa, informatyki, zarządza-
nia kryzysowego oraz ciągłości działania dostarcza or-
ganizacjom praktyczne rozwiązania, pozwalające sku-
tecznie zabezpieczyć posiadane zasoby informacyjne.
Niniejszy poradnik powstał, aby poinformować polskich przedsiębiorców o zmia-

nach w przepisach o ochronie danych osobowych, które będą miały zastosowanie
od 25 maja 2018 r. oraz pozwolić im należycie i na czas się do nich przygotować.
Autor poradnika
Leszek Kępa – ekspert bezpieczeństwa informacji, autor kilku książek i wielu pu-
blikacji na temat ochrony danych osobowych i bezpieczeństwa informacji. Posia-
da, uznane na całym świecie, certyfikaty CISA (Certified Information Security Au-
ditor), CISM (Certified Information Security Manager) oraz CEH (Certified Ethical
Hacker). Jest członkiem ISACA. Absolwent Szkoły Głównej Handlowej, Politechni-
ki Częstochowskiej oraz Akademii Podlaskiej.
Ilustracje
Karol Banach (www.karolbanach.com)
Projekt i skład
Radosław Zbytniewski (www.zbytniewski.com.pl)
Redakcja i korekta
Aleksandra Kaniewska
ISBN: 978-83-943435-3-8
Wydanie II – Warszawa, czerwiec 2017 r.
Wszelkie prawa zastrzeżone.

Zarówno publikacja w całości jak też każdy jej fragment nie mogą być powie-
lane ani rozpowszechniane w żadnej formie i w żaden sposób bez uprzedniego
pisemnego zezwolenia ODO 24 sp. z o.o. Wszelkie znaki towarowe, znaki gra-
ficzne, nazwy własne, logotypy i inne dane są chronione prawem autorskim
i należą do ODO 24 sp. z o.o.
4
Reforma ochrony danych osobowych w UE - 24 kluczowe zmiany
Wszyscy przedsiębiorcy oraz instytucje, które przetwarzają dane osobowe, powinni przygotować się na rewolucyjne
zmiany. 25 maja 2016 r. weszły w życie, a od 2018 r. zaczną obowiązywać przepisy europejskiego rozporządzenia
o ochronie danych osobowych.1 Pełna nazwa tego aktu to: Rozporządzenie Parlamentu Europejskiego i Rady
w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego prze-
pływu takich danych oraz uchylenia dyrektywy 95/46/WE2 (ogólne rozporządzenie o ochronie danych), które dalej
określane jest w skrócie jako Rozporządzenie lub RODO.
RODO to europejskie rozporządzenie o ochronie

danych osobowych
Zastąpi ono Dyrektywę 95/46 WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych
i swobodnego przepływu tych danych, której zapisy sięgają 1995 roku, kiedy internet dopiero raczkował, a sposób
prowadzenia biznesu mocno różnił się od dzisiejszego. Czas między przyjęciem przepisów, a ich stosowaniem ma
służyć głównie dostosowaniu przepisów krajowych, a także umożliwić administratorom danych przygotowanie się
do realizacji nowych obowiązków, co też zostało wybitnie podkreślone w motywie 171 preambuły: przetwarzanie,
które w dniu rozpoczęcia stosowania niniejszego rozporządzenia już się toczy, powinno w terminie dwóch lat od wejścia
niniejszego rozporządzenia w życie zostać dostosowane do jego przepisów.
Proces dostosowywania jest długotrwały, przygotowania należy zacząć jak najszybciej i dlatego oddajemy w Pań-
stwa ręce przewodnik po kluczowych założeniach nowego prawa, w którym przedstawiamy, w jaki sposób wpłynie
ono na funkcjonowanie organizacji oraz w którym radzimy jak przygotować się do funkcjonowania w nowej rzeczy-
wistości prawnej.
Rys historyczny
Reforma przepisów o ochronie danych osobowych, której jesteśmy świadkami, następuje po ponad 20 latach od
uchwalenia dyrektywy 95/46/WE , która jest fundamentalnym aktem prawnym regulującym kwestie ochrony danych
osobowych w całej Europie.
Wszystko zaczęło się 4 listopada 2010 r., kiedy Komisja Europejska – po przeprowadzeniu szeroko zakrojonych kon-
sultacji społecznych – opublikowała komunikat zatytułowany Całościowe podejście do kwestii ochrony danych oso-
bowych w Unii Europejskiej. W ten sposób zapowiedziana została kompleksowa nowelizacja europejskiego prawa
w zakresie ochrony danych osobowych, która odpowiadałaby zmieniającej się rzeczywistości jednolitego rynku cy-
frowego. Niedługo później, 6 lipca 2011 r., Parlament Europejski przyjął rezolucję, w której poparł stanowisko Komi-
sji3, a 24 lutego 2011 r. swoje poparcie dla zmian wyraziła Rada Unii Europejskiej. Wśród unijnych instytucji panowała
zgodność co do tego, że przepisy o ochronie danych osobowych potrzebują odświeżenia i ujednolicenia.
1) http://ec.europa.eu/health/data_collection/docs/com_2010_0609_pl.pdf
2) http://eur-lex.europa.eu/legal-content/pl/ALL/?uri=CELEX:31995L0046
3) http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2011-0323+0+DOC+XML+V0//PL
5
24.10 Uchwalenie dyrektywy 95/46/WE

1995
Przyjęcie polskiej ustawy 29.08
o ochronie danych osobowych 1997
Zainicjowanie kompleksowego
04.11
2010 podejścia do kwestii ochrony
danych w Europie
25.01
Propozycja reformy
2012
Ustawa o ułatwieniu wykony-
07.11 wania działalności gospodarczej
2014 przygotowująca w Polsce grunt
pod przepisy europejskie
Wejście w życie przepisów 01.01
tej ww. ustawy 2015
27.04
2016 Uchwalenie RODO
25.05
Obowiązywanie RODO
2018
25 stycznia 2012 r. Komisja Europejska przedstawiła Unii Europejskiej, Parlamentem Europejskim i Komisją
opis najważniejszych elementów reformy ochrony da- Europejską, mające na celu ustalenie ostatecznej wersji
nych.4 Miały się na nią składać dwa nowe akty prawne: pakietu dokumentów.8
• europejskie rozporządzenie o ochronie danych, Po przyjęciu przez Radę dokumentów, w kwietniu 2016r.
zastępujące Dyrektywę 95/46/WE5, Parlament przegłosował pakiet nowych unijnych ram
• dyrektywa określająca przepisy o ochronie danych prawnych dla ochrony danych osobowych, czyli dyrek-
osobowych przetwarzanych do celów zwalcza- tywę i Rozporządzenie. Z perspektywy polskich podmio-
nia przestępczości, zastępująca decyzję ramową tów, istotniejszym dokumentem jest Rozporządzenie
2008/977/WSiSW6. (zwane skrótowo RODO), ponieważ zmienia i ujednolica
obowiązujące przepisy dotyczące ochrony danych oso-
W marcu 2014 r. Parlament Europejski już w pierwszym bowych w całej Unii Europejskiej oraz projekt ustawy
czytaniu zajął pozytywne stanowisko w sprawie projek- o ochronie danych osobowych, która zostanie przyjęta,
tów Rozporządzenia i dyrektywy, a rok później, w czerw- aby doprecyzować w Polsce stosowanie europejskich
cu, Rada zgodziła się z wnioskami Parlamentu i zatwier- przepisów.
dziła ogólne, całościowe podejście do ochrony danych
Aby zrozumieć, jaki wpływ na obywateli mają zapi-
osobowych w Unii.7 Tuż przed świętami, 15 grudnia 2015
sy Rozporządzenia, warto zapoznać się z konstrukcją
r., zakończyły się trójstronne negocjacje pomiędzy Radą
4) Komunikat Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu ekonomiczno-społecznego i Komitetu regionów – Ochrona prywatno-
ści w połączonym świecie – europejskie ramy ochrony danych w XXI wieku – http://orka.sejm.gov.pl/sue7.nsf/pliki-zal/com_2012_9_pl_acte_f.pdf/$file/
com_2012_9_pl_acte_f.pdf
5) Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady – Zawiera definicje podstawowych terminów odnoszących się do dziedziny danych osobowych, ustala
zasady zbierania, gromadzenia, przechowywania i udostępniania danych osobowych. Określa zasady i warunki zgodności przetwarzania danych osobowych z
prawem oraz prawa osób, których dane dotyczą – http://www.giodo.gov.pl/568/id_art/603/j/pl/
6) http://www.giodo.gov.pl/234/id_art/2501/j/pl/
7) http://www.consilium.europa.eu/press-releases-pdf/2015/6/40802199180_pl.pdf oraz http://data.consilium.europa.eu/doc/document/ST-9565-2015-INIT/pl/pdf
8) Nawiasem mówiąc, w pewnym momencie śledzenie, na jakim etapie znajdują się zmiany, było ogromnym wyzwaniem, gdyż w obiegu były trzy projekty
rozporządzenia.
6
Do RODO należy stosować

się tak, jakby to była
polska ustawa
Analizowane w niniejszym poradniku Rozporządzenie jest
próbą odpowiedzi na nowe wyzwania ery cyfrowej, m.in.:
• wzrost skali wymiany danych,

• szybki postęp technologiczny,
• różnice w poziomie ochrony danych osobowych
w państwach Unii.
Ujednolicenie i uproszczenie przepisów nie oznacza

jednak, że Rozporządzenie zastąpi całkowicie krajowe
przepisów prawa Unii Europejskiej. Składają się na nie: przepisy o ochronie danych osobowych – przewidu-
je się bowiem pewien obszar dla lokalnych regulacji
• rozporządzenia,
krajowych, które mogą dotyczyć kwestii takich jak
• dyrektywy,
np. ustanowienie niezależnego organu nadzorczego
• decyzje,
(dzisiaj GIODO) i zapewnienia mu odpowiednich środ-
• opinie,
ków technicznych, kadrowych i finansowych. Kraje
• zalecenia.
członkowskie mają również prawo uregulować indywi-
Dyrektywy europejskie mają moc wiążącą wyłącznie dualnie (jednak w określonych ramach) granicę wieku
co do rezultatu, dlatego ich rolą jest harmonizacja pra- dziecka, od którego może ono samodzielnie wyrazić
wa. Oznacza to, że państwa członkowskie mają obo- zgodę na przetwarzanie danych.
wiązek wdrożyć opisane w dyrektywie przepisy, ale po- Należy przypomnieć, że głównym celem Dyrektywy
siadają przy tym swobodę sposobu ich implementacji. 95/46/WE, która jest matką europejskich ustaw o ochro-
Przykładowo, Dyrektywa 95/46/WE weszła do polskiego nie danych osobowych, była harmonizacja podstawo-
porządku prawnego przez uchwalenie w 1997 r. ustawy wych praw i wolności osób fizycznych oraz gwarancja
o ochronie danych osobowych. swobodnego przepływu danych osobowych w ramach
Rozporządzenia europejskie są podobne do polskich Unii Europejskiej. Mimo rewolucji w europejskich prze-
ustaw, mają charakter wiążący i — co najważniejsze pisach o ochronie danych osobowych, te cele wciąż są
— obowiązują bezpośrednio. Oznacza to, że do rozpo- aktualne i pozostały niezmienione.
rządzenia UE w Polsce (i w innych krajach Unii Euro- Warto zauważyć, że w chwili gdy znana była propozycja
pejskiej) należy stosować się tak samo, jakby to była zmian w europejskich przepisach, w Polsce rozpoczęto
polska ustawa. działania tworzące grunt pod rewolucję i w listopadzie
Warto pamiętać, że władze krajowe mają obowiązek 2014 r. znowelizowano ustawę o ochronie danych oso-
uchylenia wszelkich przepisów niezgodnych z tre- bowych wprowadzając wiele rozwiązań, które widzimy
ścią rozporządzenia, mają też zakaz wydawania ak- dzisiaj w Rozporządzeniu.
tów prawnych niezgodnych z jego postanowieniami.
Hasłem przyświecającym idei stworzenia jednego unij-
nego rozporządzenia w zakresie ochrony danych osobo-
wych była bowiem zasada: jeden kontynent – jedno prawo.
Rozporządzenie pozostawiło państwom członkow-
skim, w tym Polsce, pewną swobodę w stosowaniu
przepisów i dlatego w marcu 2017 r. pojawił się projekt
ustawy o ochronie danych osobowych, jako uzupełnie-
ODO24.pl/blog
nie Rozporządzenia. W uzasadnieniu do tego projektu
podkreśla się, że „przepisy nowej ustawy o ochronie da-
nych osobowych, mają zapewnić skuteczne stosowanie
w polskim porządku prawnym rozporządzenia”.
7
Kiedy i jak zacząć się przygotowywać

Obecne przetwarzanie danych osobowych należy dostosować w ciągu dwóch lat od wejścia w życie nowych przepi-
sów. Proces dostosowywania jest długotrwały, dlatego przygotowania należy zacząć jak najszybciej.
Przygotowania do RODO trzeba zacząć już teraz,

aby 25 maja 2018 być w zgodzie z przepisami
Aby być dobrze przygotowanym należy m.in: • dokumentować naruszenia bezpieczeństwa i pro-
wadzić rejestr incydentów,
• zapewnić zgodność przetwarzania z obecnie obo-
• przygotować procesy zarządzania incydentami
wiązującymi przepisami, tj. ustawą o ochronie
bezpieczeństwa.
danych osobowych – ułatwi to przygotowania do
zapewnienia zgodności z Rozporządzeniem, Nie trzeba tłumaczyć, że dostosowanie się do Rozpo-
• poznać dobrze wymagania Rozporządzenia, rządzenia nie jest kwestią wyłącznie działu prawnego
by wiedzieć do czego należy się przygotować czy IT. Zapewnienie zgodności wymaga współpracy
– niniejszy Poradnik powinien ułatwić to zadanie, w całej organizacji – poziom kar oraz potencjalny
• przeszkolić zespół który będzie koordynował przy- wpływ na funkcjonowanie organizacji uczynił z Roz-
gotowania do Rozporządzenia, porządzenia problem na poziomie zarządu, a nie po-
• zrozumieć gdzie i jakie dane są przetwarzane, jedynczych działów.
• dokonać przeglądu własnych zleceniobiorców
(tzw. procesorów) i współpracować z nimi, aby tak- Administratorzy oraz podmioty
że dostosowali swoje procesy do Rozporządzenia,
• przeanalizować obecne procesy zbierania danych,
przetwarzające dane
• przejrzeć istniejące procedury i dokumentację, muszą się przygotować
• przeanalizować kto i za co jest odpowiedzialny
w procesach przetwarzania, Podkreślenia wymaga to, że przygotować muszą się
• wdrożyć procesy analizy i szacowania ryzyka, zarówno administratorzy danych jak i podmioty, które
• wzmocnić zabezpieczenia (tam gdzie to potrzebne, przetwarzają dane na zlecenie, szczególnie że w stosun-
bazując na ocenie ryzyka) i zapewnić, że bezpieczeń- ku do tych ostatnich Rozporządzenie definiuje bardzo
stwo będzie wbudowane we wszystkie nowe procesy, dużo nowych obowiązków.
24 najważniejsze zmiany w prawie

Przygotowanie się do zapewnienia zgodności z Rozporządzeniem, to nie tylko unikanie wysokich kar. Coraz wię-
cej uczestników rynku zdaje sobie sprawę z tego, jaka jest ekonomiczna wartość danych, które dzięki nowym
technologiom pozyskiwane i przetwarzane są z każdym rokiem coraz szybciej. Rośnie też świadomość klien-
tów (osób, których dane są przetwarzane), którzy zdają sobie sprawę z zagrożeń wynikających z udostępniania
danych. W związku z tym, coraz ważniejszym staje się zapewnienie ochrony ich prywatności, a tym samym
zdobycie ich zaufania.
Klienci oczekują ochrony ich danych osobowych

Każda organizacja, która chce spełnić oczekiwania swoich klientów, powinna zapoznać się z nowymi regulacjami,
w odpowiedni sposób przygotować się, a następnie wdrożyć przepisy Rozporządzenia. Poniżej przedstawiam
w skrócie najważniejsze zmiany, wraz z poradami, które powinny ułatwić cały proces.
8
za dobry kierunek zmian. Ujednolici to przepisy doty-

czące ochrony danych w krajach, które – wracając do
wcześniejszej obrazowej metafory – w końcu będą miały
identyczne mosty. Zmiany przepisów są szczególnie ko-
rzystne dla wszystkich przedsiębiorców, którzy aktywnie
działają na terenie całej Unii Europejskiej, tj. mają mię-
dzynarodowych partnerów, oddziały i sieć sprzedaży.
Do 25 maja 2018 r. należy

(wciąż) przestrzegać obecnie
obowiązujących przepisów
o ochronie danych osobowych
1 Jednolite prawo
w całej Europie Trzeba podkreślić, że przyjęcie rozporządzenia to zale-
dwie początek zmian w przepisach. Dzisiaj zasady prze
twarzania danych osobowych uregulowane są w kilku-
Mające obowiązywać od maja 2018 r. Rozporządzenie set aktach prawnych, nie tylko w ustawie o ochronie
będzie spójnym narzędziem do stosowania we wszyst- danych osobowych, jak zwykło się uważać – wszystkie
kich państwach członkowskich. Oznacza to, że 28 po- te przepisy muszą zostać dostosowane do Rozporzą-
rządków prawnych z dziedziny ochrony danych oso- dzenia. Oprócz tego wraz z Rozporządzeniem pojawią
bowych zostanie zastąpione jednym, obowiązującym się nowe krajowe przepisy, na które zezwala, bądź
w całej Unii, aktem prawnym.9 W efekcie wszyscy przed- których wymaga owe Rozporządzenie. Przykładowo
siębiorcy z każdego z unijnych państw członkowskich w marcu 2017 r. pojawił się projekt ustawy o ochronie
będą zobowiązani do stosowania się do tych samych danych osobowych.10 Wszystkie te zmiany warto śle-
zasad ochrony danych osobowych. dzić, aby wiedzieć jak się przygotować.
Do tej pory kwestie przetwarzania danych osobowych Dobrze też analizować sukcesywnie pojawiające się
w Europie regulowała Dyrektywa 95/46/WE. Jak wiemy, interpretacje i objaśnienia dotyczące Rozporządzenia,
dyrektywy wiążą w odniesieniu do rezultatu, który ma np. opinie i wytyczne przygotowane przez Grupę Robo-
być osiągnięty, co oznacza, że państwa członkowskie czą Art. 29 czy też Europejską Radę Ochrony Danych,
muszą wprowadzić w życie przepisy opisane w danej która docelowo Grupę Robocza ma zastąpić.11
dyrektywie, mając jednak przy tym swobodę wyboru
metod i środków jej wdrożenia. Tłumacząc obrazowo: Należy zaznaczyć, że do 25 maja 2018 r. nadal powinno
w przypadku Dyrektywy 95/46/WE każdy miał wybudo-
wać most na rzece, ale jego ostateczny kształt i rodzaj uży-
tych materiałów pozostawiono decyzji każdego z państw.
W preambule Rozporządzenia, w motywie 10, podkre-
ślono, że: aby zapewnić wysoki i spójny poziom ochrony
osób fizycznych oraz usunąć przeszkody w przepływie
danych osobowych w Unii, należy zapewnić równorzęd-
ny we wszystkich państwach członkowskich stopień
ochrony praw i wolności osób fizycznych w związku
z przetwarzaniem takich danych. Należy zapewnić
spójne i jednolite w całej Unii stosowanie przepisów
o ochronie podstawowych praw i wolności osób fizycznych
w związku z przetwarzaniem danych osobowych.
Fakt, że dyrektywę zastąpi Rozporządzenie, należy uznać
9) W chwili przygotowania publikacji nie do końca jasne było, jak traktować deklarację wyjścia Wielkiej Brytanii z Unii Europejskiej (tzw. „Brexit”). Do czasu
wyjścia jest ona członkiem Unii i musi szanować i przestrzegać europejskiego prawa.
10) https://mc.gov.pl/aktualnosci/projekt-ustawy-o-ochronie-danych-osobowych
11) Więcej na temat Grupy Roboczej Art. 20 na stronie internetowej GIODO – http://www.giodo.gov.pl/261/id_art/920/j/pl/
9
się przestrzegać obecnie obowiązujących przepisów osoby fizyczne i prawne oraz jednostki organizacyjne nie-
o ochronie danych osobowych. będące osobami prawnymi. Wracając do firmy – Kodeks
cywilny w art. 432 określał, że przedsiębiorca działa pod
firmą, czyli przez pojęcie firmy rozumiano nazwę, której
2 Przystępny język w swojej działalności używał przedsiębiorca.

W Rozporządzeniu pojawiają się też definicje, których
wcześniej w polskich przepisach nie było. Mamy na
Rozporządzenie napisano bardzo przystępnym języ-
przykład podmiot przetwarzający, w polskiej ustawie
kiem. Zaczyna się preambułą, która stanowi wstęp do
o danych osobowych określany jako podmiot, któremu
Rozporządzenia, wyjaśniający ogólne założenia i powo-
administrator danych powierzył, w drodze umowy zawar-
dy zmiany przepisów, a także dostarcza częściowej ich
tej na piśmie, przetwarzanie danych osobowych. Ta defi-
interpretacji. Preambuła Rozporządzenia, składająca
nicja była zbyt długa, więc nie powinno dziwić, że w co-
się z 173 motywów to coś więcej niż uroczyste „wpro-
dziennym użytku przyjął się anglicyzm procesor. Nowa
wadzenie” do tego aktu prawnego. Jej znajomość po-
definicja jest krótsza, przez co łatwiejsza w użyciu.
zwala zrozumieć sens i cel stosowania wielu wymagań,
dlatego też nie powinno czytać się Rozporządzenia, Przedsiębiorcy dużo łatwiej zinterpretują nowe przepi-
nie zapoznawszy się wcześniej z tekstem preambuły. sy, które mają ich obowiązywać już od 25 maja 2018 r.
Po preambule znajduje się właściwa treść Rozporzą- Wiele zagadnień, które wcześniej wymagały interpre-
dzenia podzielona na 11 rozdziałów tacji specjalistów, jest wyjaśnionych wprost. Mimo to
wciąż jest to dość trudna lektura, co wynika z faktu, że
są to nowe przepisy, i nie ma jeszcze doświadczenia
Przedsiębiorcy dużo łatwiej w ich stosowaniu. Co więcej – w najbliższym czasie po-
zinterpretują nowe przepisy, jawi się dużo zmian w krajowych przepisach i trudno
które mają ich obowiązywać wyobrazić sobie przygotowania bez pomocy profesjo-
nalisty, który na bieżąco śledzi i interpretuje zmiany.
Polskie tłumaczenie dokumentu czyta się dobrze. Ła- Przystępny język objawia się nie tylko w formie treści
two jest też zrozumieć poszczególne zapisy prawne, Rozporządzenia. Wymaga się od administratora da-
zwłaszcza jeśli porównać je do innych polskich aktów nych, aby osobom, których dane przetwarza przed-
prawa. Doskonałym przykładem może być definicja stawiał informacje (zapytanie o zgodę, informowanie
firmy. Według Rozporządzenia jest to osoba fizyczna o prawach art. 12 ust. 1, zawiadomienie o naruszeniu
lub prawna, prowadząca działalność gospodarczą. bezpieczeństwa informacji) „jasnym i prostym” języ-
To zgodne z potocznym rozumieniem słowa firma, za kiem. Przedsiębiorcy, którzy do tej pory używali bardzo
którą uważa się działające przedsiębiorstwo, czy za- formalnego, a niekiedy nawet prawniczego języka, będą
kład pracy. Natomiast w dotychczasowych przepisach musieli zastanowić się, jak przekazywać informacje.
o ochronie danych osobowych zamiast słowa firma Dotyczy to też organizacji o charakterze publicznym lub
pojawiało się coś, co dla osoby nie obytej z prawnymi państwowym, które chętnie używają urzędowego języ-
określeniami mogło stanowić dziwny twór językowy: ka, o którym trudno powiedzieć, że jest „jasny i prosty”.
3 Prawo dostosowane
do wielkości
przedsiębiorstwa
Rozporządzenie w końcu zauważa małe, średnie oraz
mikro-przedsiębiorstwa. Dotychczasowe prawo defi-
niowało takie same wymagania ochrony danych oso-
bowych zarówno osobom fizycznym prowadzącym
działalność gospodarczą, jak i dużym, międzynarodo-
wym korporacjom. Skutkowało to tym, że większość
małych podmiotów tylko w znikomym stopniu speł-
10
i organy Unii, państwa członkowskie i ich organy nadzor-

cze, by stosując niniejsze rozporządzenie, uwzględniały
szczególne potrzeby mikroprzedsiębiorstw oraz małych
i średnich przedsiębiorstw.
Obowiązki w zakresie ochrony

danych będą zależeć od rodzaju
i skali przetwarzania,
a nie od formy organizacji
Dobrym kierunkiem jest też uzależnienie obowiązków od
rodzaju przetwarzania danych, a nie od formy organizacji.
4 Większy zasięg prawa

niało wymagania przepisów z zakresu ochrony danych Przedsiębiorcy spoza Unii Europejskiej też będą musieli
osobowych, gdyż wymagało to dużych nakładów pracy stosować się do Rozporządzenia, jeśli:
i nierzadko sporych nakładów finansowych. Doskona-
łym przykładem jest agent ubezpieczeniowy. Działa on • oferują towary lub usługi osobom w UE,
jako osoba fizyczna prowadząca jednoosobową działal- • monitorują („obserwują”) zachowania i zwyczaje
ność gospodarczą, ale zgodnie z przepisami musi sam osób z obszaru UE, na przykład przy pomocy geolo-
dla siebie (sic!) przygotować politykę bezpieczeństwa kalizacji, o ile do zachowania tego dochodzi w Unii.
oraz instrukcję zarządzania systemem informatycz-
nym służącym do przetwarzania danych osobowych. Przedsiębiorcy spoza Unii
Dla jednej osoby jest to nie lada wyzwanie, nie mówiąc
o tym, że nie do końca jest to racjonalne. Rozporządze- Europejskiej też będą musieli
nie zmienia tę sytuację i tak przykładowo: stosować się do RODO
• organizacje, które nie przetwarzają danych oso-
Do oceny, czy towary lub usługi są lub mogą być ofe-
bowych na dużą skalę, nie będą musiały powoły-
rowane w Unii, wystarczy według Motywu 23 Rozpo-
wać inspektora ochrony danych osobowych,
rządzenia m.in.: posługiwanie się językiem lub walutą
• rejestrowania czynności przetwarzania nie będą
powszechnie stosowanymi w co najmniej jednym pań-
dokonywać podmioty, które zatrudniają mniej niż
stwie członkowskim oraz możliwość zamówienia towa-
250 osób i spełniają warunki określone w art. 30
rów i usług w tym języku lub wzmianka o klientach lub
ust. 5 Rozporządzenia,
użytkownikach znajdujących się w Unii.
• grupa przedsiębiorstw będzie mogła powołać jed-
nego inspektora ochrony danych osobowych. Organizacje spoza Unii zobowiązane będą dokładnie
przeanalizować w jaki sposób powinny dostosować się
W preambule Rozporządzenia, w motywie 13, podkre- do nowych wymagań, w tym wyznaczyć swojego przed-
ślono, że: aby zapewnić spójny poziom ochrony osób stawiciela na terenie Unii.
fizycznych w Unii oraz zapobiegać rozbieżnościom ha-
mującym swobodny przepływ danych osobowych na
rynku wewnętrznym, należy przyjąć rozporządzenie,
które zagwarantuje podmiotom gospodarczym – w tym 5 Nowa nazwa
organu i większa
mikroprzedsiębiorstwom oraz małym i średnim przedsię-
biorstwom – pewność prawa i przejrzystość (…). Z uwagi
na szczególną sytuację mikroprzedsiębiorstw oraz ma-
łych i średnich przedsiębiorstw niniejsze rozporządzenie moc sprawcza
przewiduje wyjątek dotyczący rejestrowania czynności
przetwarzania dla podmiotów zatrudniających mniej Dotychczasowy GIODO – Generalny Inspektor Ochrony
niż 250 pracowników. Ponadto zachęca się instytucje Danych Osobowych – zyska nową nazwę: Prezes Urzędu
11
Ochrony Danych Osobowych. Zmianę wprowadza pro-

jekt ustawy o ochronie danych osobowych. W uzasad-
nieniu do niego dowiadujemy się, że zmiana nazwy
urzędu wynika z tego, że Rozporządzenie wprowadza in-
spektora ochrony danych osobowych i mogło to prowa-
dzić do niejasności jaka jest relacja między „zwykłym”
inspektorem a inspektorem „generalnym”. Co więcej
zaproponowano aby dawnych inspektorów GIODO na-
zwać „kontrolującymi”, aby nie mylono ich z inspektora-
mi ochrony danych, o których mowa w Rozporządzeniu.
Dla ułatwienia dalej w Poradniku będzie używane okre-
ślenie UODO – Urząd Ochrony Danych Osobowych – ma-
jąc na myśli Prezesa Urzędu, a tam gdzie mowa o dzisiej-
szym organie nadzoru, stosowana będzie dotychczasowa
nazwa GIODO. Trzeba pamiętać, że UODO jest propozycją
nazwy i może w przyszłości jeszcze się zmienić.
Zgodnie z zapisami Rozporządzenia krajowe organy
nadzorcze, których odpowiednikiem w Polsce jest • prowadzeniu rejestru naruszeń,
obecnie GIODO będą musiały być wyposażone w od- • obowiązku wzajemnej pomocy i współpracy z in-
powiednie zasoby techniczne, kadrowe i finansowe. nymi organami nadzorczymi.
Można przypuszczać, że biuro Generalnego Inspektora
zostanie rozbudowane. Na gruncie Rozporządzenia, Struktury Urzędu Ochrony Danych Osobowych zostaną
GIODO stanie się organem, z którego decyzjami przed- zapewne rozbudowane. Już wcześniej o to postulowa-
siębiorcy będą musieli się liczyć. Zyska „powagę” i na- no, w efekcie czego w ramach rozporządzenia z dn. 10
zwę podobną do UOKiK. października 2011 r. w sprawie nadania statutu Biuru Ge-
neralnego Inspektora Ochrony Danych Osobowych, usta-
lone zostały siedziby dwóch jednostek zamiejscowych –
GIODO stanie się UODO w Katowicach oraz w Gdańsku. Siedziby te co prawda jesz-
- organem, z którym trzeba cze nie powstały, ale przepisy otworzyły taką możliwość.
będzie się liczyć Motyw 127 Rozporządzenia podkreśla, że każde pań-
stwo członkowskie będzie musiało zapewnić organowi
Nowe uprawnienia UODO nie będą różnić się znacząco nadzorującemu ochronę danych osobowych warunki
od obecnych, chociaż pojawiły się pewne obowiązki i możliwości operowania odpowiednimi zasobami ludz-
wymienione wprost, które w dotychczasowych prze- kimi. Czytamy tam: każdy organ nadzorczy powinien
pisach nie występowały, np. Prezes Urzędu będzie zostać wyposażony w zasoby finansowe i kadrowe, po-
udzielać zaleceń dotyczących szczególnych operacji mieszczenia i infrastrukturę, niezbędne do skutecznego
przetwarzania (art. 57 ust. 1 Rozporządzenia). Nowe wykonywania zadań, w tym zadań związanych z wzajem-
przepisy dotyczące organów nadzorczych mówią o: ną pomocą i współpracą z innymi organami nadzorczymi
z całej Unii. Każdy organ nadzorczy powinien dysponować
• przyjmowaniu standardowych klauzul umownych, odrębnym, publicznym budżetem rocznym, który może być
• prowadzeniu wykazu ocen skutków przetwarzania, częścią ogólnego budżetu krajowego lub państwowego.
• udzielaniu zaleceń jak przetwarzać dane osobo-
we, o których mowa w art. 36 ust. 2 Rozporządze- Te specjalne warunki pracy UODO podkreślone są też
nia w związku z uprzednimi konsultacjami, w treści art. 52 ust.4, 5 i 6 Rozporządzenia.
• zachęcaniu do tworzenia i stosowania kodeksów
postępowania,12 Skargę do UODO będzie można
• zachęcaniu do mechanizmów certyfikacji (dziś nie
istnieją),
złożyć bezpłatnie, więcej skarg
• akredytacji podmiotów certyfikujących, to większe ryzyko kontroli
12) GIODO obecnie także zachęca i wspiera tworzenie kodeksów postępowania, ale nie ma to prawnego umocowania, takiego jakie wprowadza Rozporządzenie
13) We wcześniejszym tłumaczeniu określony jako zainteresowany organ nadzorczy, co wydaje się było lepszym tłumaczeniem terminu „supervisory authority
concerned”.
12
Co również ważne, według nowego prawa, skargę do nadzorczym będzie spoczywać ciężar udowodnienia,
UODO będzie można złożyć bezpłatnie, a odbiorcą że mają taki charakter.
takiej skargi będzie mógł też zostać dowolny organ Jako że większość kontroli następuje w efekcie postę-
nadzorczy w UE. W takim przypadku będzie on, uprasz- powania skargowego, można zakładać, że łatwiejszy
czając, brał udział w sprawie jako tzw. organ nadzorczy, sposób składania skarg przełoży się na większe praw-
którego sprawa dotyczy.13 dopodobieństwo kontroli, gdyż skargi do tej pory są
Osoby będą mogły skarżyć się bezpośrednio do sądu, jednym z najważniejszych „wyzwalaczy” przeprowa-
z pominięciem organu nadzorczego (UODO) (art. 79 dzanych przez organ kontroli. Na pewno przygotowując
Rozporządzenia). Dzisiaj wielu przedsiębiorców „korzy- się do wdrożenia nowych przepisów warto przeanalizo-
stało” z tego, że GIODO posiada ograniczone zasoby ka- wać sposób reagowania na skargi klientów, szczególnie
drowe i skargi rozpatruje bardzo powoli. To na pewno na te związane z przetwarzaniem danych osobowych.
się zmieni. Również dlatego, że art. 24 projektowanej Warto rozważyć prowadzenie rejestru wszelkich skarg
ustawy o ochronie danych osobowych umożliwia Pre- na przetwarzanie danych osobowych, aby móc po-
zesowi UODO tymczasowe zobowiązanie administrato- znać skalę potencjalnego problemu, szczególnie że
ra do ograniczenia przetwarzania danych osobowych w przyszłości w procesie obsługi takich skarg będzie
jeszcze w toku postępowania. Będzie to możliwe, jeśli brał udział inspektor ochrony danych.
zostanie uprawdopodobnione, że przetwarzanie da-
Trzeba zauważyć, że w projektowanych przepisach
nych osobowych narusza przepisy o ochronie danych
przewiduje się, że w toku kontroli UODO kontrolujący
osobowych, a dalsze ich przetwarzanie może spowodo-
może korzystać z pomocy funkcjonariuszy innych orga-
wać poważne i trudne do usunięcia skutki.
nów kontroli państwowej lub Policji, a organy kontroli
Kolejnym ciekawym zagadnieniem jest „uprawnie- państwowej lub Policja wykonują czynności na pole-
nie organizacji społecznej do wystąpienia z żądaniem cenie kontrolującego. Co więcej, Prezes Urzędu będzie
wszczęcia postępowania bądź udziału w postępowa- uprawniony do przeprowadzania kontroli bez uprzed-
niu, nie tylko w przypadku gdy przemawia za tym inte- niego zawiadomienia o tym fakcie kontrolowanego.
res społeczny, o czym stanowi art. 31 § 1 KPA, ale rów-
nież gdy przemawia za tym interes osoby, której prawa
zostały naruszone”. Może to oznaczać wysyp organizacji
wyszukujących wszelakich potknięć w przetwarzaniu 6 Nowe sankcje jako
danych i szantażujących przedsiębiorców. Doświadczy-
liśmy tego wszyscy w związku z ustawą o świadczeniu większa siła
usług drogą elektroniczną.
Rozporządzenie określa, że organ nadzoru ma wykony-
oddziaływania
wać zadania na rzecz osób, których dane dotyczą i jeżeli
istnieje, inspektora ochrony danych w sposób wolny od
prawa
opłat. Opłaty za wniesienie skargi mogą się pojawić Za naruszenie istotnych przepisów ochrony danych
tylko wtedy, gdy wnioski skarżącego są ewidentnie nie- osobowych, Rozporządzenie przewiduje grzywnę do 20
uzasadnione lub nadmierne, ale uwaga – to na organie mln EUR, a w przypadku przedsiębiorstwa – do 4% cał-
kowitego światowego obrotu z poprzedniego roku. Niż-
sze kary do 10 mln EUR lub do 2% światowego obrotu,
przewidziane są w sprawach mniejszej wagi.
Nowe rozporządzenie
wprowadza bardzo surowe kary
Każdy przypadek będzie indywidualnie rozpatrywany
i pod uwagę będą brane m.in. następujące elementy:
• skala naruszenia,
• umyślność działań,
• co zrobiono, żeby zminimalizować szkody ponie-
sione przez osoby, których dane dotyczą,
13
nia lub pozbawienia wolności). Statystyki pokazują jed-

nak, że zawiadomienia o podejrzeniu popełnienia prze-
stępstwa należą do rzadkości, a jeśli już się zdarzają,
postępowanie bardzo często jest umarzane ze względu
na niską szkodliwość społeczną przewinienia. To dość
wygodna sytuacja dla wielu administratorów danych,
którzy często dochodzili do wniosku, iż korzyści (zazwy-
czaj finansowe) z nieprzestrzegania przepisów z zakresu
ochrony danych osobowych mogą być zdecydowanie
większe niż możliwe negatywne ich konsekwencje.
Trzeba pamiętać, że w obecnym stanie prawnym GIO-
DO nie może nakładać kar za niezgodność z przepisami,
a może jedynie nakazać zapewnienie z nimi zgodności.
Dopiero za uparte nieprzywracanie „stanu zgodnego
• „recydywa”, czyli czy jest to pierwsze, czy kolejne z prawem” organ nadzorczy może zastosować „środki
przewinienie, egzekucyjne przewidziane w ustawie z dnia 17 czerwca
• kategorie przetwarzanych danych osobowych, 1966 r. o postępowaniu egzekucyjnym w administracji”
• stopień współpracy z GIODO. Należy też podkreślić, że grzywna, czy ograniczenie lub
pozbawienie wolności określone w art. 49 do art. 54a
Organ nadzorczy może uwzględniać wszelkie okolicz-
ustawy o ochronie danych osobowych mogą zostać
ności obciążające lub łagodzące. Jeśli działanie było
nałożone wyłącznie w drodze postępowania sądowego
celowe, nie zdarzyło się pierwszy raz, a winny nie bę-
zainicjowanego przez organy ścigania (Policję, Prokura-
dzie chciał z GIODO współpracować, to można zakła-
turę). Nowe przepisy to zmieniają – teraz główny nacisk
dać wyższe kary, przy czym trzeba pamiętać, że „jeżeli
postawiono na kary finansowe, w których upraszcza-
administrator lub podmiot przetwarzający narusza
jąc, wszystko będzie zależeć od decyzji UODO. Zgodnie
umyślnie lub nieumyślnie w ramach tych samych lub
z Rozporządzeniem: „państwa członkowskie przyjmują
powiązanych operacji przetwarzania kilka przepisów
przepisy określające inne sankcje za naruszenia niniej-
niniejszego rozporządzenia, całkowita wysokość admi-
szego rozporządzenia, w szczególności za naruszenia
nistracyjnej kary pieniężnej nie przekracza wysokości
niepodlegające administracyjnym karom pieniężnym
kary za najpoważniejsze naruszenie” (art. 83 ust. 3).
na mocy art. 83, oraz podejmują wszelkie środki nie-
zbędne do ich wykonania. Sankcje te muszą być sku-
Kary dla administracji teczne, proporcjonalne i odstraszające (art. 84 ust. 1).
publicznej będą znacznie Przedsiębiorcy, którzy wcześniej mieli większy „apetyt
mniejsze w Polsce na ryzyko”, zmuszeni zostaną do ponownej jego kalku-
lacji. Warto to zrobić, bo może okazać się, że zapewnie-
W projekcie ustawy projektodawca ograniczył krąg nie zgodności z przepisami będzie lepszą strategią niż
podmiotów publicznych wobec których możliwe jest nie inwestowanie w ochronę danych osobowych.
nakładanie administracyjnych kar pieniężnych za na- Można założyć, że wysokie kary zmotywują organizacje
ruszenia przepisów o ochronie danych osobowych, do przykładania większej wagi i respektowania prze-
a tam gdzie one pozostały, maksymalna granica moż- pisów o ochronie danych osobowych, a także – co za
liwej do nałożenia kary wynosi 100 tysięcy złotych (art. tym idzie – do inwestycji w bezpieczeństwo i ochronę
50).Co ciekawe – w projekcie ustawy pojawiają się kary informacji.
dla niesolidnych świadków i biegłych –niestawienie się Organizacje będą musiały zastanowić się nad zwiększe-
bez podania przyczyny lub odmówienie zeznania może niem budżetów na zabezpieczenie informacji, a w szcze-
prowadzić do grzywny do 500 zł. gólności na rozwiązania informatyczne takie jak m.in.:
Obecne kary za nieprzestrzeganie przepisów są względ-
• systemy monitorowania zdarzeń w systemach
nie niskie. Aby doszło do nałożenia grzywny, trzeba
informatycznych (SIEM – Security Information
uparcie nie przywracać „stanu zgodnego z prawem”,
and Event Management),
czyli nie stosować się do decyzji wydanej przez GIODO.
• systemy zapobiegania wyciekom informacji
W aktualnych przepisach o ochronie danych osobowych
(tzw. DLP – ang. Data Lost Prevention),
istnieją jeszcze sankcje karne (grzywny, kara ogranicze-
• rozwiązania wykrywające i blokujące ataki sie-
14
ciowe (IDS/IPS – Intrusion Detection/Prevention organ. Swojego rodzaju sankcjami będą też odszkodo-
Systems), wania. Art. 82 Rozporządzenia określa, iż osoba, która
• mechanizmy wspierające zarządzanie dostępami poniosła szkodę majątkową lub niemajątkową w wyniku
do informacji (IdM – Identity Management). naruszenia przepisów Rozporządzenia ma prawo do uzy-
skania od administratora lub procesora odszkodowa-
W większych organizacjach zapewne trzeba będzie
nia za poniesioną szkodę. Co do zasady, administrator
rozbudować zespoły bezpieczeństwa informacji i zarzą-
odpowiada za szkody spowodowane przetwarzaniem
dzania incydentami, szczególnie w świetle obowiązku
naruszającym przepisy, a procesor tylko wtedy, gdy nie
prowadzenia rejestru incydentów oraz raportowania
dopełnił obowiązków, które Rozporządzenie nakłada
tych poważniejszych do organu nadzorczego (UODO).
bezpośrednio na niego lub gdy działał „poza zgodnymi
Konieczne będzie wdrożenie i przetestowanie procedur
z prawem instrukcjami administratora lub wbrew tym
postępowania w sytuacjach kryzysowych, np. w przy-
instrukcjom”. Oczywiście obaj zostają zwolnieni z od-
padku wycieku danych. To o tyle ważne, że do ustalenia
powiedzialności odszkodowawczej, jeżeli są w stanie
wysokości kary Prezes Urzędu będzie brał pod uwagę
udowodnić, że w żaden sposób nie ponoszą winy za
wiele czynników, m.in. sposób, w jaki dane były zabez-
zdarzenie, które doprowadziło do powstania szkody.
pieczone na poziomie technicznym lub organizacyjnym
oraz jakie działania podjęte zostały, żeby zminimalizo-
wać szkody.
W uzasadnieniu do projektu ustawy podkreśla się, że 7 Kompleksowa
współpraca organów
ogromne znaczenie Prezes Urzędu powinien przywią-
zywać do zebrania w toku postępowania dowodów
przemawiających nie tylko za wymierzeniem admini- (tzw. one stop shop)
stracyjnej kary pieniężnej, ale również wymierzeniem
kary o takiej, a nie innej wysokości. Oczekuje się też Międzynarodowe organizacje, które działają na terenie
wyczerpujących uzasadnień wydanych rozstrzygnięć. wielu państw Unii Europejskiej, będą mogły załatwić
Będzie to bez wątpienia interesująca baza wiedzy dla wszystkie formalności w jednym punkcie, przy pomocy
wszystkich zainteresowanych. tzw. organu wiodącego, który powinien współpracować
Dobrze też pamiętać, że wniesienie skargi do sądu ad- z innymi organami, których sprawa dotyczy. Przykłado-
ministracyjnego powoduje wstrzymanie wykonania de- wo polska międzynarodowa organizacja może udać się
cyzji w zakresie dotyczącym administracyjnej kary pie- do Prezesa UODO, aby załatwić kwestie związane z mię-
niężnej, zatem jeśli ukarany podmiot wniesie skargę, to dzynarodowym przetwarzaniem danych i nie musi anga-
jest szansa, że odroczy w czasie karę. Gdy o sankcjach żować organów nadzorczych w innych krajach.
mowa, trzeba pamiętać, że sankcją dla podmiotu nie W preambule Rozporządzenia dowiadujemy się:
musi być wyłącznie kara nałożona przez odpowiedni
• (Motyw 135) Należy ustanowić mechanizm spójności
na potrzeby współpracy między organami nadzor-
czymi. Mechanizm ten powinien mieć zastosowanie
w szczególności wtedy, gdy organ nadzorczy zamie-
rza przyjąć środek mający wywoływać skutki praw-
ne w odniesieniu do operacji przetwarzania, które
znacznie wpływają na istotną liczbę osób, których
dane dotyczą w kilku państwach członkowskich.
• (Motyw 133) Organy nadzorcze powinny się wza-
jemnie wspierać w wykonywaniu swoich zadań
oraz świadczyć sobie wzajemną pomoc, by zapew-
nić spójne stosowanie i egzekwowanie niniejszego
rozporządzenia na rynku wewnętrznym.
Przywilej „załatwienia” sprawy z jednym organem nie

dotyczy tylko organizacji, osoby także maja takie prawo:
• (Motyw 130) Jeżeli organ nadzorczy, do którego

wniesiono skargę nie jest wiodącym organem nad-
zorczym, wiodący organ nadzorczy powinien ściśle
15
współpracować z organem nadzorczym, do które-

go wniesiono skargę (…)
• (Motyw 141) Każda osoba, której dane dotyczą,
powinna mieć prawo wniesienia skargi do jednego
organu nadzorczego oraz prawo do skutecznego
środka ochrony prawnej przed sądem, (…) w szcze-
gólności w państwie członkowskim, w którym ma ODO24.pl/szkolenia
miejsce zwykłego pobytu (...)
Warto pamiętać, że Grupa Robocza Art. 29 przygotowa-

ła „Wytyczne dotyczące ustalenia wiodącego organu
nadzorczego właściwego dla administratora lub pod-
miotu przetwarzającego”14 , które mogą pomóc w nie-
których skomplikowanych przypadkach transgranicz-
nego przetwarzania danych.
To jest ciekawa zmiana, która bez wątpienia będzie ko-
rzystna dla grup kapitałowych, czy też przedsiębiorstw
prowadzących biznes międzynarodowy, a także dla sa- Administrator musi wyrażać
mych osób fizycznych, których dane dotyczą. Wprowa-
dza ona jednocześnie coś, co do tej pory nie występo-
zgodę na dalsze powierzanie
wało w Polsce. Przykładowo dzisiaj mieszkaniec Berlina przetwarzania
skargę na działalność przedsiębiorcy z Polski musiałby
składać do GIODO, i pewnie by od tego odstąpił ze Podmiot przetwarzający (procesor) w razie stwierdze-
względu na np. bariery językowe, zaś od maja 2018 r. nia, iż doszło do naruszenia ochrony danych osobo-
wystarczy skierować skargę do lokalnego organu, który wych, zgłasza je administratorowi (art. 33 ust. 2 Rozpo-
będzie kontaktował się z UODO. I odwrotnie – obywa- rządzenia) i nie musi ich zgłaszać do UODO.
tele Polscy na działalność niemieckiego przedsiębiorcy Już wcześniej umowa z podmiotem przetwarzającym
skargę będą niedługo mogli składać do UODO. dane osobowe w imieniu administratora (procesorem)
musiała być zawarta na piśmie (art. 31 ust. 1 ustawy
o ochronie danych osobowych). Rozporządzenie uzu-
pełnia, że taka umowa może też zostać uregulowana
8 Nowe obowiązki innym instrumentem prawnym.
i ograniczenia
Obowiązkiem podmiotu przetwarzającego będzie pro-
wadzenie rejestru wszelkich kategorii czynności prze-
dla procesorów twarzania, dokonywanych w imieniu administratora.

Procesor będzie miał również obowiązek udostępnić
taki rejestr na żądanie UODO, a także powołać inspek-
Ustawodawca w unijnym Rozporządzeniu wprowadził sze- tora ochrony danych osobowych, jeśli zaistnieje przy-
reg nowych regulacji dla procesora, czyli podmiotu prze- najmniej jeden z czynników, o których stanowi art. 37
twarzającego dane w imieniu administratora danych. Nie ust. 1 Rozporządzenia.
będzie wolno powierzać dalej przetwarzania danych oso-
Na plus warto zaliczyć fakt dokładnego sprecyzowania
bowych bez zgody administratora. Podmiot przetwarzający
obowiązków wszystkich stron. Podmiot przetwarzający
nie korzysta z usług innego podmiotu przetwarzającego bez
będzie bezpośrednio odpowiedzialny za nałożone na
uprzedniej szczegółowej lub ogólnej pisemnej zgody admini-
niego obowiązki z zakresu ochrony danych osobowych.
stratora. W przypadku ogólnej pisemnej zgody podmiot prze-
Będzie m.in. zobowiązany wdrażać stosowne środki
twarzający informuje administratora o wszelkich zamierzo-
techniczne i organizacyjne, prowadzić rejestr czynności
nych zmianach dotyczących dodania lub zastąpienia innych
przetwarzania, w konkretnych okolicznościach powołać
podmiotów przetwarzających, dając tym samym administra-
IOD, spełnić te same wymagania przekazywania danych
torowi możliwość wyrażenia sprzeciwu wobec takich zmian.
16
do państw trzecich jak administrator, czy notyfikować ustala cele i sposoby przetwarzania danych osobowych,
administratora o incydentach. Prezes UODO będzie są oni współadministratorami. W drodze wspólnych
mógł egzekwować stosowanie RODO bezpośrednio uzgodnień w przejrzysty sposób określają odpowiednie
w stosunku do przetwarzającego. Wcześniej takie zobo- zakresy swojej odpowiedzialności dotyczącej wypełnia-
wiązania trzeba było formułować samodzielnie i nie zania obowiązków wynikających z niniejszego rozporzą-
wsze pamiętano o wszystkich kluczowych elementach, dzenia, w szczególności w odniesieniu do wykonywania
które powinny znaleźć się w prawidłowo skonstruowa- przez osobę, której dane dotyczą, przysługujących jej
nej umowie powierzenia. Teraz zaś art. 28 ust. 3 RODO praw oraz ich obowiązków w odniesieniu do podawania
określa szczegółowy zakres umowy powierzenia. informacji, o których mowa w art. 13 i 14, chyba że przy-
Rozporządzenie wyraźnie podkreśla, że jeżeli podmiot padające im obowiązki i ich zakres określa prawo Unii
przetwarzający naruszy niniejsze rozporządzenie przy lub prawo państwa członkowskiego, któremu admini-
określaniu celów i sposobów przetwarzania, uznaje się stratorzy ci podlegają. W uzgodnieniach można wskazać
go za administratora w odniesieniu do tego przetwarza- punkt kontaktowy dla osób, których dane dotyczą.
nia (ale to nie wyklucza stosowania przepisów art. 82, Grupa przedsiębiorstw oznacza przedsiębiorstwo sprawu-
83 i 84 – poświęconych sankcjom, karom, odszkodowa- jące kontrolę oraz przedsiębiorstwa przez nie kontrolowane.
niom i odpowiedzialności). Oznacza to przykładowo, że
jeśli pewien zakład ubezpieczeń dane powierzy agento- RODO wprowadza
wi oferującemu ubezpieczenia, a on zmieni pierwotny
cel przetwarzania i wykorzysta te dane osobowe, żeby
współadministratorów danych
zaoferować konsumentom zupełnie inne produkty
i usługi, niż te z oferty ubezpieczyciela, to agent auto- Wcześniej współadministratorzy nie występowali
matycznie stanie się dodatkowym administratorem w Polskich przepisach (mimo, że Dyrektywa na nich po-
tych danych. Taki stan obowiązywał już wcześniej, ale zwalała), a nawet jeśli w jakimś procesie dwa podmioty
nie jako bezpośredni zapis prawny, a efekt interpretacji wspólnie przetwarzały dane osobowe, to i tak z punktu
przepisów. To kolejny dowód na to, że Rozporządzenie widzenia przepisów traktowano ich jako dwóch odręb-
zostało napisane przystępnym językiem oraz w taki nych administratorów danych. Rozporządzenie wprowa-
sposób, aby wyjaśniać i regulować kwestie niejasne dza współadministratorów i pozwala im dzielić się pra-
i wymagające wcześniej interpretacji. wami i obowiązkami, pod warunkiem, że osoby, których
dane się przetwarza, będą poinformowane o tym, kto
W ramach przygotowań administratorzy i procesorzy i za co odpowiada. Stanowi o tym art. 26 ust. 2 Roz-
powinni zinwentaryzować wszystkie przypadki powie- porządzenia: zasadnicza treść uzgodnień jest udostęp-
rzenia przetwarzania danych, zapewnić że są w formie niana podmiotom, których dane dotyczą. Jest to za-
umowy na piśmie oraz ocenić w jakim stopniu regulują gadnienie, które należy uwzględnić podczas przeglądu
kwestie zdefiniowane przez Rozporządzenie. Jeśli oka- tzw. obowiązków informacyjnych, o których będzie dalej.
że się, że umowy nie zawierają wszystkich wymagany
elementów, powinny zostać zmienione (aneksowane). Grupy przedsiębiorstw pojawiają się także przy kwe-
Administratorzy powinni na bieżąco oceniać zgodność stiach dotyczących tzw. wiążących reguł korporacyj-
współpracujących podmiotów z obecnymi i przyszłymi nych, ułatwiających międzynarodowe transfery danych
przepisami. Podmioty przetwarzające dane osobowe
usługowo (np. biura księgowe, call center, telemarketing)
powinny szczególnie przyłożyć się do analizy Rozporzą-
dzenia, gdyż nakłada na nie sporo nowych obowiązków.
9 Współadministra-
torzy i grupy
przedsiębiorstw
W Rozporządzeniu pojawiają się definicje współadmini-
stratorów oraz grup przedsiębiorstw.
Jeżeli co najmniej dwóch administratorów wspólnie
17
między przedsiębiorstwami w ramach grupy. Wspo-

mniane reguły to polityki ochrony danych osobowych
stosowane przez administratora lub podmiot przetwa-
rzający, którzy posiadają jednostkę organizacyjną na
terytorium państwa członkowskiego, przy jednorazo-
wym lub wielokrotnym przekazaniu lub przekazywaniu
danych osobowych administratorowi lub podmiotowi
przetwarzającemu w co najmniej jednym państwie
trzecim w ramach grupy przedsiębiorstw lub grupy
przedsiębiorców prowadzących wspólną działalność
gospodarczą (art. 4 pkt 20 Rozporządzenia).
10 Inspektor ochrony
danych zamiast
administratora przetwarzającego polega na przetwarzaniu na
bezpieczeństwa dużą skalę danych osobowych szczególnych kate-
gorii, o których mowa w art. 9 ust. 1, oraz danych
informacji o wyrokach skazujących za przestępstwa i o prze-
stępstwach, o których mowa w art. 9a.
Rozporządzenie zastępuje administratora bezpieczeń-
stwa informacji inspektorem ochrony danych w litera- Należy zwrócić uwagę na to, że także zleceniobiorcy
turze określanego najczęściej jako DPO (ang. data pro- (podmioty przetwarzające) będą musieli wyznaczać
tection officer), chociaż być może z czasem przyjmie się inspektora ochrony danych, w przypadku zaistnienia
polski skrót IOD (inspektor ochrony danych). Zmiana jednego z powyższych czynników.
polega nie tylko na nowym „tytule”, zmieniają się zna- Grupa robocza art. 29 w połowie grudnia 2016 r. opu-
cząco wymagania, jakie ma spełniać i sytuacje, w któ- blikowała „Wytyczne dotyczące inspektorów ochro-
rych należy go obowiązkowo powołać. ny danych (»IOD«)”15 Dokument ten rozwiewa wiele
wątpliwości związanych z tym kiedy dokładnie należy
IOD ma być wyznaczany powołać inspektora. Przykładowo trzeba go powołać,
gdy główna działalność (…) polega na przetwarzaniu na
na podstawie kwalifikacji dużą skalę szczególnych kategorii danych osobowych.
- wiedzy i doświadczenia W przypadku szpitala główną działalnością jest zapew-
nianie opieki medycznej, ale jej efektywne prowadze-
Inspektora ochrony danych należy wyznaczyć w przy- nie „nie byłoby możliwe bez przetwarzania danych me-
padku, gdy: dycznych jak np. historii choroby pacjenta. W związku
z tym działalność polegająca na przetwarzaniu historii
• przetwarzania dokonują organ lub podmiot pu-
choroby pacjenta również powinna zostać zaklasyfiko-
bliczny, z wyjątkiem sądów w ramach sprawowa-
wana jako działalność główna. Oznacza to, że szpitale
nia przez nie wymiaru sprawiedliwości, albo
będą miały obowiązek powołania IOD.
• główna działalność administratora lub podmiotu
przetwarzającego polega na operacjach przetwarza- Z Wytycznych dowiadujemy się także m.in. że:
nia, które ze względu na swój charakter, zakres lub • jeśli z przepisów nie wynika, że trzeba powołać IOD,
cele wymagają regularnego i systematycznego mo- to warto udokumentować tego rodzaju decyzję,
nitorowania podmiotów danych na dużą skalę, albo • można dobrowolnie powołać IOD, nawet jeśli ta-
• główna działalność administratora lub podmiotu kiego obowiązku nie ma,
15) http://www.giodo.gov.pl/456/id_art/9694/j/pl oraz http://ec.europa.eu/newsroom/document.cfm?doc_id=44100 (wersja z dn. 5 kwietnia 2017 r.)
18
• IOD powinien brać udział w spotkaniach przedsta- zasoby do interakcji z klientami tak aby móc odpisywać
wicieli wyższego i średniego szczebla organizacji, na ich pisma bądź udzielać telefonicznych wyjaśnień.
• zaleca się inspektorowi „ustalanie priorytetów Inspektora ochrony danych należy zaangażować, do-
w swojej pracy i koncentrowania się na aspektach konując oceny skutków przetwarzania danych, o której
pociągających za sobą większe ryzyko”. mowa w art. 35 ust. 1 Rozporządzenia (np. gdy prze-
Wytyczne podkreślają, że „administrator lub podmiot twarza się szczególne kategorie danych na dużą skalę),
przetwarzający zapewniają, by takie zadania i obowiąz- oczywiście, jeżeli został on wyznaczony.
ki nie powodowały konfliktu interesów.” Oznacza to, że Nowością jest konieczność powołania inspektora także
inspektor nie może zajmować w organizacji stanowiska przez procesora, czyli podmiot przetwarzający.
pociągającego za sobą określanie sposobów i celów Pojawiają się też jednak ułatwienia. Grupa przedsię-
przetwarzania danych. W Wytycznych zauważa się, biorstw będzie mogła powołać jednego inspektora
że „za powodujące konflikt interesów uważane będą ochrony danych pod warunkiem, że z każdej siedziby
stanowiska kierownicze (dyrektor generalny, dyrektor będzie można się z nim łatwo skontaktować. Inspektor
ds. operacyjnych, dyrektor ds. medycznych, kierow- może być pracownikiem lub wykonywać zadania na
nik działu marketingu, kierownik działu HR, kierownik podstawie umowy o świadczenie usług. Trzeba jednak
działu IT)”. Oznaczałoby to, że większość dyrektorów, podkreślić, że w każdym przypadku należy zapewnić
którzy mają coś wspólnego z przetwarzaniem danych - mu zasoby niezbędne do podtrzymania jego wiedzy
nie może być inspektorami ochrony danych. fachowej. To bez wątpienia dobra nowina dla inspek-
torów (w końcu ktoś podkreślił wyraźnie, że muszą się
W określonych przypadkach rozwijać zawodowo), a mniej dobra dla administrato-
także procesorzy muszą powołać rów – teraz będą musieli uwzględnić plany rozwoju in-
spektorów i znaleźć na nie środki finansowe.
inspektora ochrony danych
Wedle nowych przepisów, inspektor ma być zaangażo-
wany we wszystkie sprawy związane z ochroną danych
Administrator lub podmiot przetwarzający publikują
osobowych. Ma mieć odpowiednie zasoby do wykony-
dane kontaktowe inspektora ochrony danych i zawia-
wania pracy, której wyniki raportuje do najwyższego
damiają o nich organ nadzorczy, co w Polsce nie jest
kierownictwa. Może wykonywać inne obowiązki, o ile
nowością, bo już dzisiaj administratora bezpieczeń-
nie powodują konfliktu interesów.
stwa trzeba zgłaszać do rejestracji w GIODO. Informacje
o sposobie kontaktu z inspektorem trzeba będzie poda- Na pewno będzie łatwiej tym organizacjom, które
wać podczas zbierania danych osobowych. już wcześniej powołały ABI i zgłosiły go do rejestracji
w GIODO, gdyż obecny sposób uregulowania statusu
Rozporządzenie określa, że osoby, których dane się
i funkcji ABI w polskich przepisach w dużym stopniu od-
przetwarza, mogą kontaktować się z inspektorem
powiada rozwiązaniom przyjętym w Rozporządzeniu.
ochrony danych we wszystkich sprawach związanych
z przetwarzaniem ich danych oraz z korzystaniem z praw Dzisiaj powołanie ABI jest w pełni dobrowolne, dlate-
przysługujących im na mocy niniejszego rozporządzenia. go wprowadzenie konieczności powołania inspektora
ochrony danych to dodatkowy obowiązek dla przed-
Osoby będą mogły kontaktować siębiorstw i organizacji. Przede wszystkim potrzebna
będzie ocena zarówno przez administratora danych jak
się bezpośrednio z inspektorem i podmiot przetwarzający, czy musi on być powołany,
ochrony danych a jeśli tak – to należy zatrudnić osobę z odpowiednią
wiedzą i doświadczeniem, zgłosić ją do GIODO, za-
Trzeba pamiętać, że tam, gdzie inspektor będzie powo- pewnić zasoby i niezależność, poinformować klientów
łany, osoby, których dane się przetwarza, będą mogły o sposobie kontaktu z nią oraz angażować we wszystkie
się z nim bezpośrednio kontaktować. Rozporządzenie istotne kwestie dotyczące przetwarzania danych.
nie określa, jakie dane kontaktowe inspektora trzeba
będzie podać. Nie ma obowiązku podawania jego imie- Funkcję inspektora ochrony
nia i nazwiska, chociaż zaleca się, aby to były takie dane,
które pozwolą na nawiązanie kontaktu w łatwy sposób. danych można outsource’ować
Bardzo możliwe, że wystarczy bezpośredni adres mailo-
wy. Nie tylko jego dane będą musiały znaleźć się na for- Nic nie stoi na przeszkodzie, aby funkcję inspektora ochro-
mularzach zgody, będzie on musiał mieć odpowiednie ny danych pełnił podmiot zewnętrzny, Rozporządzenie
19
zezwala na taki outsourcing i prawdopodobnie będzie to

najlepsze rozwiązanie szczególnie dla tych podmiotów,
które nigdy wcześniej nie powoływały administratora
bezpieczeństwa informacji. Stanowisko takie przedsta-
wione jest także w Wytycznych grupy roboczej art. 29 na
stronie 22. gdzie podkreśla się, że „usługowy” inspek-
tor ochrony danych pozwala wykorzystać siłę tkwiącą
w zespole jaki razem z nim świadczy usługi, co pozwala
w efekcie mu lepiej wykonywać swoje zadania.
ODO24.pl/system
Jeśli chodzi o obecnych ABI - projekt ustawy zakłada, że
osoby te, o ile 24 maja 2018 r. pełnią funkcję administra-
tora bezpieczeństwa informacji, pełnią funkcję inspekto-
ra ochrony danych do dnia 1 września 2018 r. „Do tego
czasu, każdy z inspektorów ochrony danych ma czas na
podjęcie decyzji o dalszym pełnieniu takiej funkcji (i do-
konaniu stosowanego zawiadomienia do Prezesa Urzę-
du). W razie braku do tego czasu jakiejkolwiek aktywno-
ści z ich strony, w dniu 1 września 2018 r. z mocy prawa
przestaną pełnić funkcję inspektorów ochrony danych”. 16 dla klientów oraz precyzować, aby w jej wdrażanie zaan-
gażowane były odpowiednie osoby, które ocenią zgod-
ność procesu z Rozporządzeniem, a także które zweryfi-
11 Ochrona prywatności kują techniczne i organizacyjne zabezpieczenia danych.
Rozporządzenie stanowi, że wywiązywanie się z tych
by design i by default obowiązków można wykazać między innymi poprzez
wprowadzenie zatwierdzonego mechanizmu certyfika-
(projektowanie od podstaw cji, określonego w art. 42 Rozporządzenia.
i domyślność) Co ciekawe, już wcześniej mówiło się o koncepcie
privacy by design, ale skoro prawo dotyczy ochrony
Ochrona danych ma być wbudowywana w politykę przed-
danych osobowych, a prywatność to szersze pojęcie,
siębiorstwa już na etapie projektowania systemu ochrony
przemianowano go późnej na data protection by design
danych osobowych (by design), a także ma być aktywna
and by default – w polskiej wersji przetłumaczone jako
domyślnie (by default), czyli bez konieczności podejmo-
uwzględnianie ochrony danych w fazie projektowania
wania działań przez osoby, których dane dotyczą.
oraz domyślna ochrona danych (art. 25).
Uwzględnianie ochrony w fazie projektowania jest ni-
Domyślna ochrona danych funkcjonuje już gdzienie-
czym innym jak dobrą praktyką, którą można by zobra-
gdzie w praktyce. Przykładowo, producenci domowych
zować stwierdzeniem, że „lepiej zapobiegać niż leczyć”,
routerów sieci bezprzewodowej nie ustalają już takich
gdyż w procesie wprowadzania produktu, usługi lub sys-
samych haseł dla każdego urządzenia, ponieważ użyt-
temu informatycznego późniejsze wdrażanie mechani-
kownicy często korzystali z ustawień domyślnych. Uła-
zmów gwarantujących ochronę danych osobowych jest
twiało to dostęp do sieci, a przez to też do informacji
na pewno dużo droższe i trudniejsze. Od maja 2018 r.
prywatnych, osobom nieupoważnionym. Teraz przy-
ta dobra jedynie praktyka stanie się obowiązkiem.
szedł czas na dane osobowe.
W preambule (motyw 78) czytamy, że: administrator
powinien przyjąć wewnętrzne polityki i wdrożyć środki, Domyślnie mogą być
które są zgodne w szczególności z zasadą uwzględnia-
przetwarzane wyłącznie
nia ochrony danych w fazie projektowania oraz z zasadą
domyślnej ochrony danych. Procedury opisane w przed- te dane, które są niezbędne
miotowym dokumencie powinny obejmować m.in. sy- do przetwarzania
tuację, w której organizacja projektuje nową aplikację
16) https://mc.gov.pl/aktualnosci/projekt-ustawy-o-ochronie-danych-osobowych
20
programiści powinni być świadomi nowych regulacji.

Mimo, że w wielu organizacjach bezpieczeństwo infor-
macji traktuje się bardzo poważnie i stosuje się zasadę
„security by design”, to należy pamiętać, że nie jest ono
tożsame z „privacy by design” i będzie wymagać dosto-
sowania do Rozporządzenia.
12 Dokumentacja
i rejestr
przetwarzania
Zamiast rejestrowania zbiorów w GIODO, administra-
tor danych osobowych będzie musiał prowadzić rejestr
czynności przetwarzania danych osobowych. Obowią-
zek ten będzie także spoczywać na podmiotach przetwa-
Pierwotnie ta koncepcja dotyczyła korzystania z usług rzających (procesorach) – co jest absolutną nowością.
świadczonych drogą elektroniczną, szczególnie porta- W preambule (motyw 98) podkreśla się: Dyrektywa
li społecznościowych takich jak Facebook. Miała ona 95/46/WE przewidywała ogólny obowiązek zawiada-
chronić użytkowników przed nieświadomym upublicz- miania organów nadzorczych o przetwarzaniu danych
nianiem swoich danych, bowiem często okazywało się, osobowych. Obowiązek ten powoduje jednak obciąże-
że nie byli oni świadomi zastosowanych domyślnie nia administracyjne i finansowe, i nie zawsze przyczy-
ustawień prywatności. Rozporządzenie ostatecznie niał się do poprawy ochrony danych osobowych. Dla-
rozszerzyło tę koncepcję i w myśl Rozporządzenia (art. tego należy znieść te powszechne, ogólne obowiązki
25 ust. 2) domyślnie mogą być przetwarzane wyłącznie zawiadamiania i zastąpić je skutecznymi procedurami i
te dane, które są niezbędne.17 mechanizmami, koncentrującymi się w zamian na tych
Domyślną ochronę danych osobowych można łatwo rodzajach operacji przetwarzania, które ze względu na
zobrazować przykładem z serwisów społecznościo- swój charakter, zakres, kontekst i cele mogą nieść duże
wych. Każdy nowy post, który tam umieszczamy, zagrożenie dla praw i wolności osób fizycznych.
powinien być z założenia niewidoczny. Dopiero sam Likwiduje się rejestrację zbiorów, a wprowadza rejestr
użytkownik powinien móc każdorazowo zmieniać usta- czynności przetwarzania
wienia prywatności, decydując się np. na widoczność
Rozporządzenie wskazuje, iż rejestr powinien być pro-
tylko dla znajomych, czy dla wszystkich osób.
wadzony w formie pisemnej, w tym w formie elektro-
Przygotowując się należy przeanalizować jak przebie- nicznej. Rejestr przetwarzania ma zawierać m.in. nastę-
gają obecne procesy tworzenia nowych produktów pujące kategorie informacji:
czy usług, w których przetwarza się dane osobowe.
Na pewno jednym z pomysłów może być zapewnienie, • informacje o administratorze i ew. współadmini-
że wymagania i realizację wymagań w zakresie pry- stratorach,
watności będzie nadzorował np. inspektor ochrony • dane inspektora ochrony danych,
danych (o ile go powołano). Bez wątpienia ostrożniej • opis celów przetwarzania,
trzeba będzie projektować nowe produkty czy usługi, • kategorie osób, których dane się przetwarza,
a w każdym przypadku szacować potencjalne ryzyko. • kategorie danych osobowych,
Niekiedy pewne rozwiązania mogą wymagać konsulta- • informacje o odbiorcach (także w państwach trzecich),
cji z UODO, co może okazać się czasochłonne. Bardzo • planowane terminy usuwania poszczególnych ka-
ważnym elementem jest technologia komputerowa – tegorii danych,
zwłaszcza architekci rozwiązań informatycznych oraz • opis środków bezpieczeństwa.
17) Oczywiście o niezbędności danych należy mówić w kontekście domyślnego przetwarzania, nie należy uznawać, że jest to likwidacja obowiązującej wcześniej
zasady adekwatności danych.
21
kumentacja, zapewne najłatwiej będzie za wzór przyjąć

Procesorzy także będą musieli uznane standardy dokumentacji w zakresie bezpie-
prowadzić rejestr czynności czeństwa np. zgodne z normą ISO 27001.
przetwarzania Przygotowując się do rozporządzenia warto przygoto-

wywać krok po kroku opis istniejących procesów prze-
W rejestrze prowadzonym przez podmioty przetwa- twarzania dotyczący m.in.:
rzające nie podaje się celu przetwarzania i kategorii • celów przetwarzania danych,
odbiorców, którym dane osobowe zostały lub zostaną • rodzaju przetwarzanych danych,
udostępnione oraz planowanych terminów usunię- • podstaw prawnych,
cia poszczególnych kategorii danych z uwagi na to, że • okresu przez jaki dane będą przetwarzane,
o tych kwestiach decyduje administrator. • sposobu przetwarzania (komputerowo, papierowo),
Rozporządzenie zwalnia z obowiązku prowadzenia re- • lokalizacji danych,
jestru w sytuacji, gdy dana organizacja zatrudnia mniej • zarządzania dostępem,
niż 250 osób. Jest jednak od tego wyjątek: taki rejestr • stosowanych zabezpieczeń.
musi być prowadzony, jeśli przetwarzanie danych w or-
ganizacji może powodować ryzyko naruszenia praw lub
wolności osób, których dane dotyczą, przetwarzanie
nie ma charakteru sporadycznego lub obejmuje szcze-
13 Szacowanie ryzyka –
gólne kategorie danych osobowych lub dane osobowe
dotyczące wyroków skazujących i naruszeń prawa.
ocena skutków
Podkreślenia wymaga to, że rejestr czynności przetwa- przetwarzania
rzania będzie musiał być udostępniony GIODO, kiedy
tylko tego zażąda. danych i uprzednie
Zgodnie z (jeszcze obowiązującą) ustawą oraz przepi-
sami wykonawczymi na dokumentację przetwarzania
konsultacje
składają się m.in. polityka bezpieczeństwa, instrukcja
Każdy, kto przetwarza dane osobowe w sposób usys-
zarządzania systemem informatycznym służącym do
tematyzowany (uporządkowany) zobowiązany jest
przetwarzania danych osobowych, imienne upoważ-
zgłosić ten fakt do określonego organu administra-
nienia, ewidencja upoważnień, etc. Od 25 maja 2018r.
cji publicznej – znamy to dzisiaj jako rejestrowanie
prowadzenie takiej dokumentacji nie będzie obowiąz-
zbiorów danych. Proces ten to tzw. wstępna kontro-
kowe. Nie zmienia to jednak faktu, że administrator
la przetwarzania, gdyż organ państwowy ocenia, czy
będzie musiał wykazać w jaki sposób przestrzega prze-
przetwarzanie nie będzie niosło za sobą zagrożeń dla
pisy. W tym celu na pewno będzie wymagana jakaś do-
prywatności osób i nie narusza ustawy. Organ admi-
nistracji publicznej prowadzi rejestr i umożliwia wgląd
do niego każdemu zainteresowanemu, co może ułatwić
rozeznanie, kto przetwarza dane osobowe w sposób
zorganizowany.
Ten model kontroli, który wynikał z dyrektywy 95/46/
WE, zgłaszanie w tym celu zbiorów danych osobowych
do rejestracji GIODO przejdzie do historii 25 maja 2018
ODO24.pl/RODO r. Rozporządzenie wprowadza w to miejsce – jako ele-
menty nowej procedury opartej na ocenie ryzyka pla-
nowanych operacji przetwarzania danych osobowych
– nowe rozwiązania: ocenę skutków przetwarzania dla
ochrony danych osobowych dokonywaną przez admi-
nistratora (art. 35 Rozporządzenia) oraz uprzednie kon-
sultacje z organem nadzorczym.
Zdaniem autora obowiązujący jeszcze (częściowo) mo-
del rejestrowania zbiorów można porównać do wpro-
wadzanej przez Rozporządzenie oceny skutków prze-
22
twarzania danych osobowych, tyle że ta ocena była dzie brał udział podmiot działający w jego imieniu.
przeprowadzana przez GIODO. Jeśli uznawał on, że ist- Jeszcze nie wiemy dokładnie jak dokonywać oceny
nieje zagrożenie dla praw i wolności osób, których dane skutków, warto jednak śledzić pojawiające się sukce-
dotyczą, odmawiał rejestracji zbioru. Rozporządzenie sywnie publikacje na stronach internetowych GIODO
zlikwiduje rejestrację zbiorów, a w jego miejsce nakła- czy Grupy Roboczej Art. 28.18
da obowiązek dokonania oceny wpływu przetwarzania
W stosunku do niektórych operacji od razu będzie wia-
i oszacowania związanego z tym ryzyka, z tym, że teraz
domo, że należy kierować pierwsze kroki do UODO, musi
ten obowiązek ciążyć będzie na administratorze danych.
ono jednak wcześniej ustalić wykaz operacji przetwarza-
Art. 35 ust. 1 Rozporządzenia określa, że jeżeli dany nia, które będą podlegały wymogowi oceny skutków dla
rodzaj przetwarzania danych – zwłaszcza z użyciem no- ochrony danych (na mocy art. 35 ust. 4 Rozporządzenia).
wych technologii – ze względu na swój charakter, zakres, Dzisiaj wiemy jedynie, że mogą to być w szczególności:
kontekst i cele z dużym prawdopodobieństwem może
powodować wysokie ryzyko naruszenia praw lub wolno- • profilowanie, będące podstawą decyzji wywołują-
ści osób fizycznych, administrator przed rozpoczęciem cej skutki prawne wobec osoby,
przetwarzania dokonuje oceny skutków planowanych • przetwarzanie na dużą skalę szczególnych katego-
operacji przetwarzania dla ochrony danych osobowych. rii danych,
• monitorowanie na dużą skalę miejsc publicznych.
Pokazuje to, że bardzo ważną i szczególnie akcentowa-
ną koncepcją w Rozporządzeniu jest podejście oparte Obowiązek przeprowadzenia takiej oceny powinien
na ryzyku – tylko po oszacowaniu ryzyka można dobrać mieć charakter okresowy, podobnie jak ocena ryzyka.
odpowiednie środki bezpieczeństwa. Jest to prawdzi- Organizacje i przedsiębiorcy powinni konsultować się
wa rewolucja nie tylko w przepisach, ale także dla or- z UODO, jeżeli ocena skutków dla ochrony danych wska-
ganizacji, bo rzadko która organizacja szacuje ryzyko, że, że przetwarzanie powodowałoby wysokie ryzyko,
a jeśli już, to niezmiernie rzadko uwzględnia w nim ryzy- gdyby administrator nie zastosował środków w celu zmi-
ko dla ochrony danych osobowych. nimalizowania tego ryzyka (…) (art. 36 ust. 1).
Podczas przetwarzania danych osobowych trzeba brać
pod uwagę istniejące i potencjalne ryzyka dla ochro- Rejestracja zbiorów danych
ny po to, aby zastosować odpowiednie do nich środki
bezpieczeństwa. Można to zobrazować przykładem osobowych zostanie
domu – jeśli znajduje się w nim wartościowe wyposa- zlikwidowana, ale pojawią
żenie – będzie zapewne wyposażony w drzwi i okna ze
się nowe obowiązki
zwiększoną odpornością na włamanie, będzie też mo-
nitorowany przez system kamer przemysłowych oraz np. udokumentowana ocena
służby ochrony, natomiast niewielkie i słabo wyposa- skutków przetwarzania
żone mieszkanie nie będzie wymagało takich zabez-
pieczeń. Takiego racjonalnego podejścia nieco brakuje Dokonanie oceny skutków wymagać będzie zaangażo-
w dotychczasowych przepisach i cieszy fakt, że pojawia wania inspektora ochrony danych, jeśli został powo-
się ono w Rozporządzeniu. łany. Jeśli nie, jest mało prawdopodobne, żeby przed-
siębiorca, który nie posiada specjalistycznej wiedzy
Jeśli ocena skutków eksperckiej, sam był wstanie dokonać odpowiedniej
przetwarzania potwierdzi analizy skutków przetwarzania danych – dzisiaj można
założyć, że do przygotowania się w tym obszarze nie-
wysokie ryzyko, trzeba będzie zbędne będzie profesjonalne wsparcie.
konsultować się z UODO Na ocenę skutków przetwarzania, powinny się składać m.in.:
Podmiotem zobowiązanym do dokonania oceny ryzyka • opis planowanych operacji przetwarzania i ich
przed rozpoczęciem przetwarzania jest administrator celów (udokumentowanie jakie dane osobowe
danych, niezależnie od tego, czy zamierza przetwarzać przetwarza się i w jakich celach),
dane osobowe samodzielnie, czy w przetwarzaniu bę- • ocena proporcjonalności operacji przetwarzania
18) W chwili przygotowania tego Poradnika jednym z nielicznym materiałów była publikacja brytyjskiego organu dostępna pod adresem https://ico.org.uk/for-or-
ganisations/guide-to-data-protection/privacy-by-design/
23
14 Zgłaszanie
naruszenia
ochrony danych
do Prezesa Urzędu
W sytuacji, w której naruszenie ochrony danych osobo-
wych prawdopodobnie będzie skutkować ryzykiem na-
ruszenia praw lub wolności osób fizycznych, zgłasza się
je do Prezesa Urzędu Ochrony Danych Osobowych bez
zbędnej zwłoki – ale nie później niż w ciągu 72 godzin.
Motyw 75 Rozporządzenia opisuje stosunkowo wyczer-
pująco i dość dokładnie w jakich przypadkach takie ry-
zyko może występować.
W Rozporządzeniu przez naruszenie ochrony danych
osobowych należy rozumieć naruszenie bezpieczeństwa
w stosunku do celów (samoocenę, czy dane oso- prowadzące do przypadkowego lub niezgodnego z pra-
bowe są niezbędne a sposób ich przetwarzania wem zniszczenia, utracenia, zmodyfikowania, nieupraw-
jest odpowiedni do celu przetwarzania), nionego ujawnienia lub nieuprawnionego dostępu do
• ocena zagrożenia dla praw i wolności osób, danych osobowych przesyłanych, przechowywanych lub
• ocena środków mających zmniejszyć zagrożenia w inny sposób przetwarzanych.
i chronić dane osobowe. Takim zdarzeniom poświęcony jest art. 33 Rozporządzenia.
Co więcej, w stosownym przypadku administrator zasięga
opinii osób, których dane dotyczą lub ich przedstawicieli Naruszenie ochrony danych
w sprawie zamierzonego przetwarzania. Zaś jeśli ocena należy zgłosić w ciągu 72 godzin
skutków wskaże, że przetwarzanie niosłoby duże zagro-
żenie, gdyby administrator nie przedsięwziął środków
do UODO. W szczególnych
w celu zminimalizowania tego zagrożenia, to przed prze- przypadkach trzeba będzie
tworzeniem danych osobowych administrator konsul- też informować klientów
tuje się z organem nadzorczym. Oznacza to, że zawsze
w razie wątpliwości warto skonsultować się z UODO. W ust. 5 omawianego przepisu ustanowiono obowią-
Bez wątpienia niezbędne będzie przygotowanie się zek prowadzenia przez administratora danych doku-
przedsiębiorców do tego, w jaki sposób dokonywać mentacji wszelkich naruszeń ochrony danych osobo-
oceny skutków. Z czasem będą pojawiać się kolejne wych. Oznacza to, że nawet jeśli administrator danych
Wytyczne, które uregulują ten obszar, nic nie stoi jed- osobowych nie ma obowiązku poinformowania UODO
nak na przeszkodzie, aby przygotować dokumentację, o konkretnym negatywnym zdarzeniu, musi i tak je od-
która będzie pomocna przy wdrażaniu Rozporządzenia, notować we własnym rejestrze.
na którą składać będzie się: W sytuacji, w której naruszenie niesie ze sobą wysokie
• opis jakie dane osobowe są przetwarzane w organizacji, „ryzyko naruszenia praw lub wolności osób fizycznych”,
• opis jaki jest cel przetwarzania tych danych i jakie administrator powinien również bez zbędnej zwłoki
są przesłanki legalności, zawiadomić osobę, której dane dotyczą o takim naru-
• uzasadnienie zakresu zbieranych danych w uwzględ- szeniu – jasnym i prostym językiem (art. 34 ust. 1 i 2
nieniem ich adekwatności i niezbędności, Rozporządzenia).
• ustalenie w jakich miejscach te dane się znajdują Raportowanie incydentów związanych z naruszenia-
(w tym systemy informatyczne), mi danych osobowych nie jest wcale nowe. Przepisy
• oszacowanie wpływu na osoby w przypadku np. polskiego prawa nakazują zgłaszanie takich naruszeń
wycieku czy utraty tych danych, operatorom telekomunikacyjnym. Według prawa tele-
• określenie i ocenę stosowanych zabezpieczeń komunikacyjnego (Dz. U. Nr 171, poz. 1800 z późn. zm.),
tych danych. w przypadku stwierdzenia naruszenia bezpieczeństwa
24
nia). Jest to bez wątpienia powód dla którego już dzisiaj

warto odpowiednio dokumentować a także prowadzić
rejestr incydentów – to pozwoli przygotować się na
sprawne raportowanie w wymaganym czasie. Koniecz-
ne będzie przygotowanie planów awaryjnych, które
pozwolą sprawnie zareagować w przypadku incydentu.
15 Pseudonimizacja
danych
Rozporządzenie wprowadza pojęcie pseudonimizacji
danych, które oznacza przetworzenie danych osobo-
wych w taki sposób, by nie można ich było już przypisać
konkretnej osobie, której dane dotyczą, bez użycia do-
datkowych informacji, pod warunkiem że takie dodat-
kowe informacje są przechowywane osobno i są objęte
danych osobowych przedsiębiorca telekomunikacyjny środkami technicznymi i organizacyjnymi uniemożliwia-
ma obowiązek powiadomić o tym zdarzeniu GIODO, jącymi ich przypisanie zidentyfikowanej lub możliwej do
a także (w niektórych sytuacjach) abonenta lub użyt- zidentyfikowania osobie fizycznej.
kownika końcowego.
W preambule (motyw 26) wskazano, iż spseudonimizowa-
W preambule Rozporządzenia (motyw 87) czytamy, że ne dane osobowe, które przy użyciu dodatkowych informa-
należy się upewnić, czy wdrożono wszelkie odpowiednie cji można przypisać osobie fizycznej, należy uznać za infor-
techniczne środki ochrony i wszelkie odpowiednie środki macje o możliwej do zidentyfikowania osobie fizycznej.
organizacyjne, by od razu stwierdzić naruszenie ochro-
ny danych osobowych. Nie bardzo wiadomo, co należy
Pseudonimizacja danych
przez tę deklarację rozumieć. Być może takie przepisy
będą uzupełniane przez dokładną interpretację GIODO. będzie jednym z mechanizmów
Możliwe też, że konieczne stanie się wdrażanie rozwią- ochrony danych
zań, pozwalających dokładnie monitorować stan bez-
pieczeństwa, takich jak systemy klasy SIEM. Dodatkowo, ustawodawca wskazał w treści Rozporzą-
Trzeba pamiętać, że informowanie o naruszeniu bezpie- dzenia pseudonimizację jako przykład jednego z me-
czeństwa, szczególnie wszystkich klientów, może być bar- chanizmów, mających za zadanie zapewnić taki stopień
dzo kosztowne, zarówno operacyjnie, jak i wizerunkowo. bezpieczeństwa danych, który odpowiada ryzyku ich
Dlatego też warto dołożyć wszelkich starań, aby zmini- naruszenia (art. 32 ust. 1 lit. a).
malizować ryzyko wycieków danych. Z tym zaś wiąże się Przykład danych pseudonimizowanych to np. stoso-
konieczność wdrożenia rozmaitych zabezpieczeń tech- wanie wewnętrznego numeru zamiast jego danych
nicznych i organizacyjnych. Można śmiało powiedzieć, osobowych. Nawet jeśli doszłoby do wycieku takich
iż w świetle nowych przepisów organizacje będą musiały informacji jak np. ID 129871 = wynagrodzenie 3400zł,
uwzględnić większy budżet na wdrożenie mechanizmów osoba nieupoważniona niewiele by się z nich dowie-
zabezpieczenia danych osobowych niż dotychczas. działa. Cóż bowiem znaczyłaby dla niej informacja, że
Sposób, w jaki organ nadzorczy dowiedział się o na- ktoś o numerze identyfikacyjnym 129871 zarabia 3400
ruszeniu, w szczególności, czy i w jakim stopniu ad- zł? Okazuje się więc, że zastosowanie danych pseudoni-
ministrator danych lub podmiot przetwarzający zgło- mizowanych zmniejsza możliwość naruszenia bezpie-
sili naruszenie, będzie brany pod uwagę przez organ czeństwa informacji. Pseudoanonimizacja danych od
nadzorczy przy ustalaniu wysokości ewentualnej kary pewnego czasu stosowana jest w szkołach, gdzie oceny
finansowej. A jeśli zostanie wykazane, iż do naruszenia publikuje się wraz z identyfikatorem ucznia zamiast
doszło z zaniedbania administratora czy podmiotu prze- jego imienia i nazwiska.
twarzającego, można liczyć się z ryzykiem nałożenia ad- Warto zwrócić uwagę, że Rozporządzenie zauważa też
ministracyjnych kar finansowych (art. 83 Rozporządze- dane anonimowe już w samej preambule (motyw 26). Czy-
25
tamy w niej, że: zasady ochrony danych nie powinny więc

mieć zastosowania do informacji anonimowych, czyli infor-
macji, które nie wiążą się ze zidentyfikowaną lub możliwą
do zidentyfikowania osobą fizyczną, ani do danych osobo-
wych zanonimizowanych w taki sposób, że osób, których
dane dotyczą, w ogóle nie można zidentyfikować lub już
nie można zidentyfikować. Niniejsze rozporządzenie nie do-
tyczy więc przetwarzania takich anonimowych informacji,
w tym przetwarzania do celów statystycznych lub naukowych.
To, jakie narzędzia stosować (pseudonimizację, anonimiza-
cję, szyfrowanie lub inne) wynikać będzie z analizy ryzyka.
16 Retencja i usuwanie
danych
Rozporządzenie bardzo mocno podkreśla wagę retencji
danych. Przykładowo podczas zbierania danych należy Jedną z nowych zasad przetwarzania danych osobo-
podać okres, przez który dane osobowe będą przecho- wych wskazanych w Rozporządzeniu jest prawo do
wywane, a gdy nie jest to możliwe, kryteria ustalania usunięcia danych (nazywane „prawem do zapomnie-
tego okresu. Do tej pory konieczność podawania takich nia”) które określa kiedy dane osobowe należy usuwać.
informacji nie pojawiała się w przepisach. Art. 17 Rozporządzenia podkreśla, że osoba, której
dane dotyczą, ma prawo żądania od administratora
Dalej przepisy stanowią, że podmiot przetwarzający
niezwłocznego usunięcia dotyczących jej danych oso-
dane po zakończeniu świadczenia usług przetwarzania
bowych, a administrator ma obowiązek bez zbędnej
danych, zależnie od decyzji administratora, usuwa lub
zwłoki usunąć dane osobowe. Dane osobowe należy
zwraca mu wszelkie dane osobowe oraz usuwa wszelkie
usunąć wtedy, kiedy m.in:
ich istniejące kopie, chyba że prawo Unii lub prawo pań-
stwa członkowskiego nakazują mu je przechowywać. • cel przetwarzania się skończył,
• zgoda została wycofana,
Podczas zbierania danych trzeba • dane są zebrane wbrew prawu.
poinformować osobę Trzeba pamiętać, że czas przez który dane będą prze-
o tym, jak długo jej dane będą chowywane zazwyczaj jest dłuższy niż cel ich prze-
twarzania. Przykładowo umowa OC na samochód
przechowywane zawierana jest na rok (cel przetwarzania), ale zakład
ubezpieczeń musi dane przechowywać prawie 6 lat ze
Jeśli mamy zacząć zbierać dane osobowe, wcześniej nale- względu na przepisy podatkowe oraz 20 lat ze wzglę-
ży ustalić jak długo dane będą przechowywane, a gdy nie du na potencjalne roszczenia (okres przechowywania
jest to możliwe, przynajmniej określić kryteria ustalania danych) – wówczas administrator danych będzie dane
tego okresu. Mimo, iż może się to wydawać utrudnieniem, przechowywał na mocy art. 17 ust. 3 pkt b) – przepisy
tak naprawdę stanowi ułatwienie. Do tej pory organiza- podatkowe oraz pkt e) – dochodzenie roszczeń.
cje często zapominały o konieczności usuwania danych,
dowiadując się o takim obowiązku (wynikającym z art.
26. ust.1 pkt 4 ustawy o ochronie danych osobowych) 17 Większe zaufanie
do podmiotów
dopiero podczas kontroli GIODO i próbując w pośpiechu
wdrożyć jakieś mechanizmy ich usuwania. Teraz, w świe-
tle nowych przepisów, nie da się o tym zapomnieć.
Natomiast mniej korzystne jest to, że należy informo-
certyfikowanych
wać osoby o tym, kiedy ich dane będą usunięte, a jeśli
Rozporządzenie wprowadza kodeksy postępowania
nie jest to możliwe, trzeba podać, jakie są warunki obli-
i certyfikaty, które będą podnosić wiarygodność pod-
czania terminu usunięcia danych.
miotów przetwarzających dane osobowe, a właściwie
26
mechanizmów domyślnej ochrony danych (art. 25 ust.

3 Rozporządzenia).
W Polsce zakłada się, że UODO nie będzie certyfikował
podmiotów przetwarzających dane osobowe, a jego
kompetencje zostaną „ograniczone wyłącznie do akre-
ODO24.pl/pomoc dytacji podmiotów certyfikujących, a certyfikacja nale-
żeć powinna do wyspecjalizowanych podmiotów zaj-
mujących się zawodowo ochroną danych osobowych”.
Wydaje się to racjonalne, bo zapewne ciężko byłoby in-
nym podmiotom konkurować z certyfikatem od UODO.
Oczywiście certyfikacja i akredytacja podmiotów cer-
tyfikujących będzie odpłatna.Posiadanie zatwierdzo-
nych kodeksów postępowania lub certyfikatów, o któ-
rych mowa w Rozporządzeniu, może znacząco ułatwić
przedsiębiorcom udowodnienie, iż wdrożyli wymagane
przepisami mechanizmy ochrony danych osobowych.
Wydaje się, że pomoże to również pozytywnie wpłynąć
na klientów, którzy chętniej będą wybierać podmioty
które ułatwią UODO stwierdzenie czy podmiot realizuje certyfikowane, jako te bardziej godne zaufania. Kodek-
ciążące na nim obowiązki wynikające z Rozporządzenia. sy postępowania mogą być przyjmowane przez zrzesze-
W preambule określa się (motyw 100), że aby zwiększyć nia i inne podmioty reprezentujące określone kategorie
przejrzystość i poprawić przestrzeganie niniejszego Roz- administratorów lub podmiotów przetwarzających.
porządzenia, należy zachęcać do ustanowienia mecha- Przykładowo 10 maja 2016 r. GIODO zawarł porozumie-
nizmów certyfikacji oraz do wprowadzenia znaków jako- nie z Polską Izbą Ubezpieczeń, która zobowiązała się
ści i oznaczeń w dziedzinie ochrony danych, pozwalając do przygotowania kodeksu postępowania w zakresie
w ten sposób osobom, których dane dotyczą, szybko oce- danych osobowych w działalności ubezpieczeniowej
nić poziom ochrony danych, której podlegają stosowne i reasekuracyjnej, który ma być zgodny z wymaganiami
produkty i usługi. Rozporządzenia.19 Zatwierdzony kodeks będzie reje-
strowany i publikowany przez organ nadzorczy.
Kodeksy i certyfikaty ułatwią
udowodnienie, że stosuje się
przepisy RODO 18 Ułatwione
Art. 24 ust. 3 Rozporządzenia wyraźnie podkreśla, cze-
przekazywanie
mu te mechanizmy i oznaczenia mają służyć: stosowa-
nie zatwierdzonych kodeksów postępowania, o których
danych do państw
mowa w art. 40, lub zatwierdzonego mechanizmu certy- trzecich
fikacji, o którym mowa w art. 42, może być wykorzystane
– wiążące reguły korporacy-
jako element stwierdzenia przestrzegania przez admini-
stratora ciążących na nim obowiązków. Posiadanie ko- jne i standardowe klauzule
deksów czy certyfikatów znacznie ułatwia też przekazy- umowne
wanie danych osobowych do państw trzecich.
Absolutną nowością w sferze ochrony danych osobo- Postępująca globalizacja gospodarki światowej ozna-
wych jest certyfikacja na mocy art. 42 Rozporządzenia. cza wzrost wymiany danych osobowych do państw
Może ona posłużyć także do wykazania przez admini- trzecich lub organizacji międzynarodowych. Tą kwe-
stratora wywiązywania się z obowiązku uwzględniania stią w całości zajmuje się rozdział V Rozporządzenia.
ochrony danych w fazie projektowania oraz wdrażania Dowiadujemy się m.in., że przekazywanie danych oso-
19) http://www.giodo.gov.pl/1520255/id_art/9299/j/pl
27
bowych do państwa trzeciego będzie mogło nastąpić Zmiany w tym obszarze są w zasadzie kosmetyczne.
na podstawie m.in: To przede wszystkim harmonizacja prawa, na którą
już wcześniej zostaliśmy przygotowani przez noweli-
• wydanej przez Komisję Europejską decyzji stwier-
zację polskiej ustawy o ochronie danych osobowych.
dzającej, iż dane państwo trzecie zapewnia odpo-
Rozporządzenie wprowadza kodeksy postępowania
wiedni stopień ochrony danych osobowych,
i certyfikacji, uznawane jako odpowiednie gwarancje.
• zatwierdzonych przez właściwy organ nadzorczy
Małą, choć uciążliwą zmianą, będzie ograniczone prze-
wiążących reguł korporacyjnych,
kazywanie danych do państw trzecich na podstawie
• standardowych klauzul ochrony danych przyję-
zgody. Według nowych przepisów, aby osoba, której
tych przez Komisję Europejską,
dane dotyczą (czyli osoba fizyczna, najczęściej konsu-
• standardowych klauzul ochrony danych przy-
ment) mogła wyrazić zgodę na przekazanie danych,
jętych przez organ nadzorczy i zatwierdzonych
musi wcześniej zostać poinformowana o ewentualnych
przez Komisję Europejską,
zagrożeniach, wynikających z przetwarzania danych
• zatwierdzonego kodeksu postępowania,
osobowych na terenie takiego państwa. Warto treść
• zatwierdzonego mechanizmu certyfikacji.
tego rodzaju zgód dopasować do tego wymagania już
dzisiaj. Im wcześniej, tym lepiej!
Wymiana danych Zgodnie z dyrektywą 95/46/WE, Komisja Europejska
w międzynarodowych może stwierdzić, że państwo trzecie zapewnia odpo-
organizacjach będzie wiedni stopień ochrony danych osobowych na pod-
stawie swojego prawa krajowego lub zobowiązań
znacznie ułatwiona międzynarodowych. W dniu 12 lipca 2016 r. Komisja
Europejska dała zielone światło dla nowych zasad
Wymiana danych na podstawie wiążących reguł kor- przekazywania danych osobowych z UE do USA. Nowy
poracyjnych albo z użyciem standardowych klauzul pakiet tzw. Privacy Shield (Tarcza Prywatności) zastą-
umownych będzie więc znacznie ułatwiona. pił dawniejszy Safe Harbour. Zatem jeśli amerykański
Wiążące reguły korporacyjne to polityki ochrony danych podmiot bierze udział w tym programie, to nie ma prze-
osobowych stosowane przez administratora lub podmiot szkód aby do niego przekazywać dane osobowe, należy
przetwarzający, którzy posiadają jednostkę organizacyjną jednak pamiętać, że program ten co roku jest weryfi-
na terytorium państwa członkowskiego Unii, przy jedno- kowany i może się okazać, że (nagle!) przestanie sta-
razowym lub wielokrotnym przekazaniu lub przekazywa- nowić podstawę do przekazywania danych. Tam gdzie
niu danych osobowych administratorowi lub podmiotowi to możliwe, lepiej stosować tzw. zatwierdzone klauzule
przetwarzającemu w co najmniej jednym państwie trzecim umowne. Teraz warto dokonać inwentaryzacji wszyst-
w ramach grupy przedsiębiorstw lub grupy przedsiębior- kich przypadków przekazywania danych do państw
ców prowadzących wspólną działalność gospodarczą. trzecich oraz podstaw prawnych ich przekazywania.
Wciąż aktualne pozostaje przekazywanie danych na
podstawie decyzji stwierdzającej odpowiedni poziom
ich ochrony.
Możliwe będzie przekazywanie danych osobowych do
podmiotu, który stosuje kodeks postępowania bądź
posiada odpowiedni certyfikat. Ma to się dziać na pod-
stawie zatwierdzonego kodeksu postępowania opartego
na art. 40 wraz z wiążącymi i egzekwowalnymi zobowią-
zaniami administratora lub podmiotu przetwarzającego
w państwie trzecim do stosowania odpowiednich gwa-
rancji, w tym w odniesieniu do praw osób, których dane
dotyczą; lub zatwierdzonego mechanizmu certyfikacji
opartego na art. 42 wraz z wiążącymi i egzekwowalnymi
zobowiązaniami administratora lub podmiotu przetwa-
rzającego w państwie trzecim do stosowania odpowied-
nich zabezpieczeń, w tym w odniesieniu do praw osób,
których dane dotyczą.
28
dującymi odpowiednie zabezpieczenia praw i wolności

osób, których dane dotyczą. Wszelkie kompletne rejestry
wyroków skazujących są prowadzone wyłącznie pod
nadzorem władz publicznych.
Dane biometryczne
staną się danymi
szczególnie chronionymi
Zupełną nowością jest włączenie do kategorii danych
wrażliwych danych biometrycznych. Wcześniej były
one uznane za dane zwykłe, a wszelkie ograniczenia
w ich przetwarzaniu miały charakter indywidualnych
decyzji GIODO. Biometrię potocznie kojarzy się z od-
ciskami palców bądź ze skanowaniem siatkówki lub
tęczówki oka. Ta szeroka dziedzina nauki zajmuje się
pomiarami istot żywych w celu określenia ich indywi-
dualnych cech. Bada wszystko, co pozwala na identy-
fikowanie indywidualnych cech, wśród których znaleźć
19 Szerszy katalog można m.in.:
danych szczególnej • owal twarzy, rozkład punktów charakterystycz-

nych (oczy, usta) lub temperatur na twarzy,
kategorii •
•
geometria (kształt) ucha,
układ naczyń krwionośnych na dłoni lub przegu-
Tzw. dane wrażliwe, które w poprzednich przepisach nie bie ręki,
miały własnej nazwy, zostały w nowych przepisach okre- • kształt linii zgięcia wnętrza dłoni,
ślone jako dane szczególnej kategorii i zostały poszerzo- • układ linii papilarnych.
ne o dane biometryczne, a także dane genetyczne. Biometria interesuje się także cechami behawioralny-
Zgodnie z treścią art. 9 ust. 1 Rozporządzenia zabrania mi, związanymi z zachowaniem, takimi jak:
się przetwarzania danych osobowych ujawniających:
• sposób chodzenia,
• pochodzenie rasowe lub etniczne, • podpis odręczny,
• poglądy polityczne, • sposób pisania na klawiaturze,
• przekonania religijne lub światopoglądowe, • cechy charakterystyczne ruchu ust i poruszania
• przynależność do związków zawodowych, gałki ocznej.
a także przetwarzania:
• danych genetycznych, Do tej pory zasady przetwarzania danych biometrycz-
• danych biometrycznych, nych były dość niejasne, ponieważ brakowało odpo-
w celu jednoznacznego zidentyfikowania osoby; wiednich przepisów. Prób jakiejkolwiek regulacji po-
albo: dejmowało się GIODO i Grupa Robocza Art. 29, ale tak
• danych dotyczących zdrowia, naprawdę, jeśli czegoś nie ma w prawie, to jakby nie ist-
• seksualności i orientacji seksualnej. niało, więc w tym obszarze panowała duża dowolność.
Analiza danych biometrycznych wykorzystywana jest
Dane o skazaniach, w tym dane o niekaralności, moż-
głównie w takich dziedzinach jak: weryfikacja tożsa-
na przetwarzać wyłącznie pod nadzorem. Art. 10 mówi
mości, autoryzacja dostępu do systemów informatycz-
o tym, że przetwarzania danych osobowych dotyczących
nych czy identyfikacja. Rozporządzenie z pewnością
wyroków skazujących oraz naruszeń prawa lub powią-
utrudni korzystanie czy wdrażanie tego rodzaju syste-
zanych środków bezpieczeństwa na podstawie art. 6
mów, i jest to obszar, który bez wątpienia należy prze-
ust. 1 wolno dokonywać wyłącznie pod nadzorem władz
analizować pod kątem zgodności z Rozporządzeniem.
publicznych lub jeżeli przetwarzanie jest dozwolone pra-
wem Unii lub prawem państwa członkowskiego przewi-
29
20 Zakres i sposób sformułowane jasnym i prostym językiem. Zasada ta

dotyczy w szczególności informowania osób, których
informowania osób, dane dotyczą, o tożsamości administratora i celach
przetwarzania oraz podawania innych informacji mają-
których dane dotyczą cych zapewnić rzetelność i przejrzystość przetwarzania
w stosunku do osób, których sprawa dotyczy, a także pra-
Obowiązek informacyjny, narzucony na administratora wa takich osób do uzyskania potwierdzenia i informacji
podczas zbierania danych, zostanie znacznie poszerzo- o przetwarzanych danych osobowych ich dotyczących.
ny. Będzie trzeba więc informować o: W motywie 58 zaś czytamy: zasada przejrzystości wy-
maga, by wszelkie informacje kierowane do ogółu spo-
• inspektorze ochrony danych,
łeczeństwa lub osoby, której dane dotyczą, były zwięzłe,
• nazwie i danych kontaktowych przedstawiciela,
łatwo dostępne i zrozumiałe, by były formułowane ja-
jeżeli istnieje,
snym i prostym językiem, a w stosownych przypadkach,
• podstawie prawnej przetwarzania,
dodatkowo wizualizowane.
• prawnie uzasadnionym interesie administratora,
jeżeli na tej podstawie odbywa się przetwarzanie, Także art. 12 Rozporządzenia podkreśla to wyjątkowo
• informacji o zamiarze przekazywania danych do dobitnie: „aby w zwięzłej, przejrzystej, zrozumiałej i łatwo
państwa trzeciego, dostępnej formie, jasnym i prostym językiem – w szczegól-
• okresie, przez który dane osobowe będą przecho- ności gdy informacje są kierowane do dziecka – udzielić
wywane, bądź kryteria ustalania tego okresu, osobie, której dane dotyczą, wszelkich informacji”.
• profilowaniu, Administrator danych musi udzielić im informacji:
• o prawie wniesienia skargi do organu nadzorczego,
• na piśmie, elektronicznie lub ustnie, jeżeli pod-
• w przypadku istnienia obowiązku podania da-
miot danych tego zażąda,
nych osobowych: wskazaniu ewentualnych kon-
• w terminie jednego miesiąca od otrzymania wniosku,
sekwencji niepodania danych,
• bezpłatnie.
• prawach osoby, której dane dotyczą, tj. prawie do:
• usunięcia danych, Ta zmiana może być kosztowna dla przedsiębiorców,
• ograniczenia przetwarzania, gdyż oznaczać będzie wymianę wszelkich formularzy,
• prawie przenoszenia danych, zarówno tych papierowych, jak i elektronicznych, za-
• prawie do cofnięcia zgody (gdy osoba, której wierających zgody na przetwarzanie danych osobo-
dane dotyczą wyraża zgodę na przetwarza- wych. Trzeba będzie przejrzeć wszystkie formularze
nie danych). i umowy, gdziekolwiek zbiera się jakiekolwiek dane
i sporządzić ich listę oraz przygotować propozycje tre-
Osobom trzeba będzie ści obowiązków informacyjnych.
przekazywać więcej informacji
w sposób przyjazny i zrozumiały
Jeśli pozyskujemy dane osobowe nie bezpośrednio od
osoby, której dane dotyczą, obowiązek informacyjny
poszerza się jeszcze o informację o źródle pochodzenia
danych osobowych, a gdy ma to zastosowanie – czy po-
chodzą one ze źródeł publicznie dostępnych. Poszerza się
również prawo do udzielenia informacji na żądanie.
Rozporządzenie narzuca obowiązek komunikowania
się z osobami w sposób przyjazny, przystępnym i zro-
zumiałym językiem, tak aby przekaz do nich kierowany
można było odebrać i zrozumieć bez wysiłku.
Preambuła Rozporządzenia (motyw 39) stanowi: za-
sada przejrzystości wymaga, by wszelkie informacje
i wszelkie komunikaty związane z przetwarzaniem da-
nych osobowych były łatwo dostępne i zrozumiałe oraz
30
i wywołuje wobec tej osoby skutki prawne lub w podob-

ny sposób istotnie na niego wpływa. Chodzi tutaj o to,
aby osoby miały prawo nie zgodzić się na to, że dana
decyzja zostanie podjęta wyłącznie przez automat, co
zresztą można wywnioskować ze stwierdzenia, że przy
automatycznym przetwarzaniu administrator wdraża
właściwe środki ochrony praw, wolności i uzasadnionych
interesów osoby, której dane dotyczą, a co najmniej pra-
wa do uzyskania interwencji ludzkiej ze strony admini-
stratora, do wyrażenia własnego stanowiska i do zakwe-
stionowania danej decyzji.
Należy jednak zwrócić uwagę, że ten zapis nie ma zasto-
sowania, jeśli decyzja jest niezbędna do zawarcia lub
wykonania umowy między podmiotem danych, a admi-
nistratorem lub opiera się na wyraźnej zgodzie osoby.
Do profilowania co do zasady nie wolno używać danych
wrażliwych, chyba, że osoba, której dane dotyczą:
• wyraziła na to zgodę,
• jest to podyktowane ważnym interesem publicznym.
21 Ograniczenie
O profilowaniu trzeba
profilowania informować na etapie
Przez „profilowanie” należy rozumieć dowolną formę zbierania danych
zautomatyzowanego przetwarzania danych osobowych,
które polega na wykorzystaniu tych danych do oceny nie- W Polsce pojęcie automatycznego przetwarzania da-
których czynników osobowych osoby fizycznej, w szcze- nych obecne jest już od dawna w obowiązującej usta-
gólności do analizy lub prognozy aspektów dotyczących wie o ochronie danych osobowych. Europejskie Rozpo-
efektów pracy tej osoby fizycznej, jej sytuacji ekonomicz- rządzenie jedynie uszczegółowiło cały proces i warunki,
nej, zdrowia, osobistych preferencji, zainteresowań, wia- w jakich może do niego dochodzić. Jeżeli profilowanie
rygodności, zachowania, lokalizacji lub przemieszczania odbywa się w celu marketingu bezpośredniego (który
się. Upraszczając jest to zautomatyzowany proces pro- do tej pory stanowił w polskim prawie tzw. usprawiedli-
wadzący do wnioskowania o posiadaniu przez człowie- wiony prawnie cel przetwarzania, zaś Rozporządzenie
ka określonych cech. Przykładem może być aplikacja określa go jako tzw. cel wynikający z uzasadnionych in-
bankowa, która na podstawie pozyskanych informacji teresów administratora danych20), można zgłosić sprze-
automatycznie ocenia, że dana osoba nie powinna do- ciw w związku z takim przetwarzaniem. Niekorzystny
stać kredytu, ze względu na jej niskie wynagrodzenie wpływ tej zmiany na funkcjonowanie przedsiębiorstw
i liczną rodzinę. Bardzo istotne jest tutaj zautomaty- łagodzi możliwość korzystania z profilowania, o ile jest
zowanie procesu, jeśli wyłącznie maszynowo (kom- to niezbędne do zawarcia umowy – tak będzie zapewne
puterowo) dokonuje się oceny i podejmuje decyzje, w przypadku np. ubezpieczeń.
bez istotnego udziału człowieka, to co do zasady jest O profilowaniu należy informować na etapie zbiera-
to zabronione, ale jeśli profilowanie wykonuje człowiek nia danych osobowych, a także na wniosek osoby fi-
(a nie komputer), to nie stawia się tutaj ograniczeń. zycznej, której dane dotyczą. Spowoduje to z pewno-
Dalej dowiadujemy się z art. 22 Rozporządzenia, ścią konieczność modyfikacji istniejących formularzy
że osoba, której dane dotyczą, ma prawo do tego, by i pism dotyczących zbierania oraz przetwarzania da-
nie podlegać decyzji, która opiera się wyłącznie na zau- nych osobowych, zatem aby przygotować się do wdro-
tomatyzowanym przetwarzaniu, w tym profilowaniu, żenia zasad opisanych w rozporządzeniu należy przede
20) Ta zmiana bardzo cieszy autora tego poradnika, bo określanie marketingu bezpośredniego mianem czegoś prawnie usprawiedliwionego (a więc wynikającego
z prawa) było nienaturalne.
31
wszystkim ocenić, w jakich procesach „szufladkuje” nej, potwierdzającej czynności, która wyraża odnoszą-
się (profiluje) klientów oraz gdzie na takiej podstawie ce się do określonej sytuacji dobrowolne, świadome
podejmowane są automatyczne decyzje. Wszędzie tam i jednoznaczne przyzwolenie osoby, których dane
trzeba będzie informować już na etapie pozyskiwania dotyczą na przetwarzanie dotyczących jej danych
danych o podejmowaniu zautomatyzowanych decyzji osobowych i która ma na przykład formę pisemnego
opartych o profilowanie. (w tym elektronicznego) lub ustnego oświadczenia.
Może to polegać na zaznaczeniu okienka wyboru pod-
czas przeglądania strony internetowej, na wyborze
22 Doprecyzowane ustawień technicznych do korzystania z usług społe-

czeństwa informacyjnego lub też na innym oświad-
warunki czeniu bądź zachowaniu, które w danym kontekście

klarownie wskazuje, że osoba, której dane dotyczą, za-
uzyskiwania zgody akceptowała proponowane przetwarzanie jego danych
osobowych. Milczenie, okienka domyślnie zaznaczone
na przetwarzanie lub niepodjęcie działania nie powinny zatem oznaczać
zgody. Zgoda powinna dotyczyć wszystkich czynności
danych osobowych przetwarzania dokonywanych w tym samym celu lub
w tych samych celach. Jeżeli przetwarzanie służy roż-
Rozporządzenie zgodę definiuje następująco w art. nym celom, potrzebna jest zgoda na wszystkie te cele.
4 pkt 11) i jest nią dobrowolne, konkretne, świadome Jeżeli osoba, której dane dotyczą, ma udzielić zgody
i jednoznaczne okazanie woli, którym osoba, której dane w odpowiedzi na elektroniczne zapytanie, zapytanie
dotyczą w formie oświadczenia lub wyraźnego działania takie musi być jasne, zwięzłe i nie zakłócać niepotrzeb-
potwierdzającego, przyzwala na przetwarzanie dotyczą- nie korzystania z usługi, której dotyczy.
cych jej danych osobowych.
W polskich przepisach, dotychczasowa definicja Odwołanie zgody musi być tak
brzmiała następująco: to oświadczenie woli, którego samo łatwe, jak jej udzielenie
treścią jest zgoda na przetwarzanie danych osobowych
tego, kto składa oświadczenie; zgoda nie może być do- Trzeba zauważyć, że art. 25. ust. 2 podkreśla, że: Admi-
mniemana lub dorozumiana z oświadczenia woli o innej nistrator wdraża odpowiednie środki techniczne i orga-
treści. Jeśli dobrze przyjrzeć się obu definicjom, widać nizacyjne, aby domyślnie przetwarzane były wyłącznie
w nich wyraźne podobieństwa, przy czym zamiast te dane osobowe, które są niezbędne dla osiągnięcia
oświadczenia woli mamy okazanie woli. każdego konkretnego celu przetwarzania. Obowiązek
Rozporządzenie podkreśla w preambule (motyw 32), ten odnosi się do ilości zbieranych danych osobowych,
że zgoda powinna być wyrażona w drodze jednoznacz- zakresu ich przetwarzania, okresu ich przechowywania
oraz ich dostępności. Niezbędność w tym kontekście
należy rozpatrywać w odniesieniu do kwestii domyśl-
ności przetwarzania danych – zatem można pozyski-
wać dane adekwatne do celu, jednak domyślnie należy
przetwarzać dane niezbędne. Przykładowo bank zbiera
bardzo dużo rozmaitych danych osobowych, ale w mo-
bilnej aplikacji bankowej są jedynie dane niezbędne do
jej funkcjonowania (a nie wszystkie dane), właśnie jako
realizacja zasady domyślnego bezpieczeństwa.
Dalej czytamy, że (motyw 43): zgoda nie powinna sta-
nowić ważnej podstawy prawnej przetwarzania danych
osobowych w szczególnej sytuacji, w której istnieje wy-
raźny brak równowagi między osobą, której dane doty-
czą a administratorem, zwłaszcza gdy administrator jest
organem publicznym i dlatego jest mało prawdopodob-
ne, by w tej konkretnej sytuacji zgody udzielano dobro-
wolnie we wszystkich przypadkach.
32
Kolejną kwestią wyróżniającą nową definicję zgody jest

pewna kategoria zachowań, określona jako wyraźne dzia-
łanie potwierdzające. Oznacza to, że zgodę można wyra-
zić także poprzez działanie, a nie jedynie oświadczenie.
Dopuszczalna będzie zgoda

ustna lub wyrażona poprzez
działanie, np. wręczenie
wizytówki
Na pewno za takie działanie będzie uważać się „zazna-
czenie” zgody w elektronicznym formularzu. W świetle
nowych przepisów już samo przesłanie aplikacji do po-
tencjalnego pracodawcy może stanowić wyrażenie zgo-
dy na przetwarzanie danych w celu rekrutacji. W świetle
obecnie obowiązującego prawa takie czynności wyma-
gały zgody, którą dołączano do życiorysu z poczuciem, iż
działanie to jest pozbawione sensu. Bardzo ważne jest, że konieczna w przypadku usług profilaktycznych lub
na administratorze będzie ciążył dowód uzyskania zgody. doradczych oferowanych bezpośrednio dziecku.
Według nowych przepisów zgodę na przetwarzanie • Motyw 58: Zważywszy, że dzieci zasługują na szcze-
danych osobowych przy świadczeniu usług społeczeń- gólną ochronę, wszelkie informacje i komunikaty –
stwa informacyjnego (takich jak Facebook, poczta elek- gdy przetwarzanie dotyczy dziecka – powinny być
troniczna, gry w sieci czy sprzedaż internetowa) może sformułowane tak jasnym i prostym językiem, by
wyrazić dziecko, które ukończyło 13 lat. W przeciwnym dziecko mogło go bez trudu zrozumieć.
wypadku zgodę musi zaaprobować lub wyrazić w jego Po wprowadzeniu nowych przepisów trzeba będzie
imieniu osoba sprawująca władzę rodzicielską lub podejmować racjonalne działania, żeby zweryfikować
opiekę prawną. Rozporządzenie mówi o wieku 16 lat, wiek użytkownika, uwzględniając dostępną technolo-
ale krajom członkowskim pozostawiło możliwość obni- gię. Oznacza to, że częściej będzie dochodzić do zbie-
żenia progu do lat 13. Polska zamierza z tego skorzystać rania dat urodzenia. W przypadku dziecka gromadzić
i argumentuje się to następująco: „zgodnie z art. 15 będzie się informacje głównie o rodzicu lub opiekunie
ustawy z dnia 23 kwietnia 1964 r. - Kodeks cywilny prawnym, tym bardziej, że administrator powinien wy-
(Dz.U. z 2016 r. poz. 380, z późn. zm.) osoba, która ukoń- kazać fakt, że zebrane zgody są prawidłowe.
czyła 13 lat ma ograniczoną zdolność do czynności
Dane, które obecnie przetwarza się na podstawie zgody
prawnych, a zatem może zawierać umowy w drobnych
będzie można dalej przetwarzać, o ile zgody spełniały
bieżących sprawach życia codziennego, może także
warunki określone w Rozporządzeniu. Można bardzo
rozporządzać swoim zarobkiem. W ocenie projekto-
ogólnie założyć, że jeśli zgody na przetwarzanie danych
dawcy w tym kontekście uzasadnione jest przyjęcie
były zgodne z obowiązującymi przepisami, to będą też
granicy lat 13 także dla skutecznego wyrażenia przez
odpowiadać wymaganiom Rozporządzenia, ale trzeba
dziecko zgody na przetwarzanie dotyczących go danych
pamiętać o tym, że (art. 7. ust. 1) jeżeli przetwarzanie
osobowych, w związku z kierowanymi bezpośrednio
odbywa się na podstawie zgody, administrator musi być
do dziecka usługami społeczeństwa informacyjnego.
w stanie wykazać, że osoba, której dane dotyczą, wyra-
Nie ma powodu, aby przyjąć, że osoba mogąca rozpo-
ziła zgodę na przetwarzanie swoich danych osobowych.
rządzić swoim zarobkiem oraz zawierać drobne umowy,
nie była jednocześnie uprawniona do wyrażenia zgody Przygotowując się należy dokonać inwentaryzacji pod-
na przetwarzanie dotyczących jej danych osobowych, staw prawnych przetwarzania danych. W przypadku
szczególnie, że zgodnie z przepisami rozporządzenia przetwarzania na podstawie zgody należy ocenić, czy
2016/679 zgodę można w każdym czasie wycofać”. administrator będzie w stanie udowodnić wyrażenie
zgody oraz wykazać, że zgody spełniają wymagania
Nowe przepisy podkreślają w preambule:
stawiane przez uchylaną dyrektywę 95/46/WE (motyw
• Motyw 38: Zgoda osoby sprawującej odpowie- 171)– jeśli tak, dane można przetwarzać, jeśli nie – naj-
dzialność rodzicielską lub opiekę nie powinna być pewniej trzeba będzie zebrać je ponownie.
33
Należy też przeanalizować czy i w jakich przypadkach

zbiera się dane dzieci oraz przygotować na rozbudo-
wanie procesu o weryfikację wieku oraz zgody rodzica
bądź opiekuna prawnego.
23 Prawo
do przenoszenia
danych
Art. 20 Rozporządzenia wskazuje, że osoba, której dane
dotyczą, ma prawo otrzymać w ustrukturyzowanym, po-
wszechnie używanym formacie nadającym się do odczy-
tu maszynowego dane osobowe jej dotyczące, które do-
starczyła administratorowi, oraz ma prawo przesłać te
dane innemu administratorowi bez przeszkód ze strony
administratora, któremu dane te dostarczono. cyjnych systemów, a nie kompatybilnych systemów”,
Będzie to możliwe wtedy, kiedy: w Wytycznych czytamy, że chodzi o możliwość łatwego
przenoszenia, kopiowania lub przesyłania danych oso-
• przetwarzanie jest automatyczne, bowych z jednego środowiska IT do innego.22
• dane przetwarza się na podstawie zgody lub
Wszyscy przedsiębiorcy będą musieli zapewne odpo-
w celu zawarcia bądź realizacji umowy (dane zwy-
wiednio zmodyfikować systemy, aby te były w stanie
kłe), bądź na podstawie zgody (dane wrażliwe).
wygenerować dane do przeniesienia, a wszystko to bez
Ogólną zasadą jest to, że można przenosić takie dane, żadnej opłaty!
które przetwarzane są w pełni automatycznie i wyłącz-
Artykuł 12 ust. 3 podkreśla, że dane należy przekazać,
nie na podstawie zgody osoby, której dotyczą. Jed-
„bez zbędnej zwłoki” lub „w terminie miesiąca od
nak nie jest do końca jasne, co należy rozumieć przez
otrzymania żądania” lub w ciągu maksymalnie trzech
„w pełni automatyczne przetwarzanie”? Czy są to np.
miesięcy w przypadku naprawdę skomplikowanych
dane przetwarzane przez serwis aukcyjny Allegro?
spraw, pod warunkiem, że poinformuje się osobę
A może inne? Z odpowiedzią na takie pytania przycho-
o przyczynach takiego odległego terminu.
dzi opracowanie Grupy Roboczej Art. 29 zatytułowane
„Wytyczne dotyczące prawa do przenoszenia danych”.21 Wydawałoby się, że adresatem takich wymagań są
głównie serwisy społecznościowe, przykładowo dzisiaj
Facebook pozwala wykonać i ściągnąć kopię swoich
Celem przenoszenia danych
danych, okazuje się jednak, że to wymaganie dotyczy
jest ułatwienie zamiany bardzo wiele podmiotów, np. banki czy zakłady ubez-
jednego dostawcy usług pieczeń. W Wytycznych czytamy, że administratorzy
danych powinni zacząć opracowywać środki, które
na innego przyczynią się do udzielania odpowiedzi na wnioski
o przeniesienie danych, takie jak narzędzia do pobie-
Rzeczywiście głównym celem przenoszenia danych
rania i interfejsy programowania aplikacji (Application
jest ułatwienie zamiany jednego dostawcy usług na
Programming Interfaces - API). Powinni oni zagwaran-
innego, w ten sposób zwiększając konkurencję wśród
tować, że dane osobowe będą przekazywane w ustruk-
dostawców usług (ułatwiając osobom zmianę dostaw-
turyzowanym, powszechnie używanym formacie nada-
ców usług). Umożliwia ono tworzenie nowych usług
jącym się do odczytu maszynowego, oraz powinni być
w kontekście strategii jednolitego rynku cyfrowego.
zachęcani do zapewnienia interoperacyjności formatu
Przenoszenie ma też na celu tworzenie „interopera-
22) Wytyczne dotyczące prawa do przenoszenia… str. 14.
34
danych przekazywanych w ramach realizacji wniosku ich replikację. Widać więc wyraźne wzmocnienie prawa
o przeniesienie danych. do usunięcia danych upublicznionych.
Modyfikacja systemów informatycznych to niekiedy Art. 18 Rozporządzenia podkreśla, że przetwarzanie
proces długotrwały i pracochłonny. W wielu organiza- danych osobowych można ograniczyć wyłącznie do
cjach będzie to po prostu całkowita wymiana systemu. przechowywania, jeśli osoba kwestionuje prawdziwość
W wielu innych – kosztowne zmiany. danych lub gdy cel przetwarzania wygasł, ale dane na-
Trzeba też pamiętać, że o prawie do przenoszenia da- leży dalej przechowywać, na wypadek potencjalnych
nych trzeba informować podczas zbierania danych (art. roszczeń.
13 i 14 ust. 2 pkt c). O prawie do usunięcia danych (prawie do zapomnie-
nia) głośno dyskutowano przez ostatnie lata. Prawo do
usunięcia danych jest obecne w obowiązującej jeszcze
24 Rozszerzone prawo
polskiej ustawie o ochronie danych osobowych, jednak
w wersji znacznie uproszczonej (art. 35 ustawy o ochro-
do usunięcia danych nie danych osobowych). Rozporządzenie znacznie roz-

szerzyło zakres tych przepisów.
i ograniczenia Najciekawszą zmianą jest obowiązek informowania
innych podmiotów przetwarzających dane, że osoba,
przetwarzania której dane dotyczą, zawnioskowała o „bycie zapo-
mnianym”.
Usuwaniu danych poświęcono w Rozporządzeniu całą Trudno jest powiedzieć, jak praktycznie należałoby
sekcję 3. Rozdziału III. W preambule (motyw 66) stwier- przygotować się do realizacji prawa do usunięcia da-
dza się, że, aby wzmocnić prawo do bycia zapomnia- nych. Na pewno trzeba posiadać procedury i procesy,
nym w Internecie, należy rozszerzyć prawo do usunięcia które są wymagane przez obecne prawo, a które doty-
danych, poprzez zobowiązanie administratora, który czą usuwania danych w przypadku złożenia sprzeciwu
upublicznił te dane osobowe, do poinformowania admi- czy odwołania zgody. Inne podmioty, którym udostęp-
nistratorów, którzy przetwarzają takie dane osobowe, niono zbiór danych, musiały być jedynie informowa-
o usunięciu wszelkich łączy do tych danych, kopii tych ne o uaktualnieniu lub sprostowaniu danych (art. 35
danych osobowych lub ich replikacji. ust.3), nie było wprost w przepisach wyrażonego obo-
Art. 17. Rozporządzenia stanowi zaś: Osoba, której dane wiązku przekazywania żądania. Możliwe, że koniecz-
dotyczą, ma prawo żądania od administratora, aby dane ne będzie utrzymywanie rejestru podmiotów, którym
zostały usunięte jeśli: dane udostępniono, aby móc im przekazać każdy wnio-
sek o usunięcie danych.
• nie są już potrzebne do celu przetwarzania,
• zgoda na przetwarzanie została cofnięta,
• dane są przetwarzane niezgodnie z prawem,
• dane zostały zebrane w związku z oferowaniem
usług społeczeństwa informacyjnego,
• osoba, której dane dotyczą wnosi sprzeciw wobec
przetwarzania,
• dane osobowe muszą zostać usunięte ze względu
na prawo Unii lub państwa członkowskiego, które-
mu podlega administrator.
Uwagę zwraca możliwość zażądania, aby usunięto

dane zebrane w związku z oferowaniem usług społe-
czeństwa informacyjnego.
Wedle nowych przepisów, jeśli administrator upublicz-
nił dane osobowe, musi też podjąć racjonalne działa-
nia, w tym środki techniczne, by poinformować admi-
nistratorów przetwarzających te dane, że osoba, której
dane dotyczą wystąpiła o to, by administratorzy ci usu-
nęli wszelkie łącza do tych danych, kopie tych danych lub
35
Zakończenie
Rozporządzenie stanowi bez wątpienia poważne wyzwanie dla wszystkich instytucji przetwarzających dane osobo-
we. Mamy już coraz mniej czasu do 25 maja 2018 r., kiedy to przepisy zaczną już obowiązywać oraz kiedy to trzeba
będzie być w pełni z nimi zgodnym. To oznacza, że do tego terminu organizacje muszą być doskonale przygotowane
do rewolucji narzuconych regulacjami Rozporządzenia, a w odpowiedniej chwili zacząć je stosować.
Poradnik ten powstał aby pomóc w przygotowaniach. Gdzie tylko było to możliwe, proponowaliśmy rozwiązania lub
sposób podejścia do przygotowań. Mamy nadzieję, że poradnik pomoże Państwu w dostosowaniu się do wymagań
stawianych przez Rozporządzenie!
36
Notatki
37
POLECAMY
„Unijna reforma ochrony danych
osobowych – analiza zmian”
Książka opisuje najważniejsze zmiany jakie zajdą w przepisach ochrony danych osobowych po 25 maja 2018 r.
Przedsiębiorcy do tego czasu muszą dostosować procesy przetwarzania danych osobowych poprzez sukcesywne
wdrażanie wytycznych zawartych w ogólnym rozporządzeniu o ochronie danych. Książka ma ułatwić organiza-
cjom zrozumienie głównych motywów i założeń nowych przepisów w celu ich jak najefektywniejszej implemen-
tacji w funkcjonujący u nich model przetwarzania danych. Publikacja skierowana jest do wszystkich przedsię-
biorców, osób piastujących funkcję administratorów bezpieczeństwa informacji oraz osób odpowiedzialnych
za ochronę danych w organizacji.
Książka zawiera:
- analizę zmian jakie zajdą w przepisach o ochronie
danych,
- omówienie nowych obowiązków nałożonych
na administratorów danych,
- wzory dokumentów,
- wzory nowych klauzul zgód na przetwarzanie danych;
- analizę zmiany statusu administratora bezpieczeństwa
informacji na inspektora ochrony danych,
- omówienie nowych uprawnień GIODO, w tym wytycznych
dotyczących nakładania kar na administratorów danych
i podmioty przetwarzające;
- wyjaśnienie nowych zagadnień takich jak profilowanie
czy prawo do bycia zapomnianym,
- omówienie nowych obowiązków nałożonych na podmiot
przetwarzający (procesora),
- omówienie procedury postępowania w razie wystąpienia
incydentu w zakresie ochrony danych osobowych.
Autorzy
Specjaliści ds. ochrony danych w ODO 24 sp. z o.o.,
adwokaci, członkowie Okręgowej Rady Adwokackiej
w Warszawie, absolwenci Wydziału Prawa i Administra-
cji Uniwersytetu Warszawskiego. Zajmują się szeroko
pojętym zagadnieniem bezpieczeństwa informacji.
Doradzają w zakresie stosowania przepisów o ochro-
nie danych osobowych oraz prowadzą w tym obszarze
szkolenia. Współpracują m.in. z dużymi grupami ka-
pitałowymi gdzie przeprowadzają audyty w zakresie
bezpieczeństwa informacji, tworzą wewnętrzne pro-
cedury, dokumentację oraz opinie prawne. Posiadają
wieloletnie doświadczenia w prowadzeniu spraw roz-
strzyganych przed sądami powszechnymi. Adw. Anna Dmochowska Adw. Marcin Zadrożny

Poradnik Rodo

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Poradnik Rodo

Uploaded by

Copyright:

Available Formats

Spis treści

RODO to unijne rozporządzenie o ochronie danych osobowych ............. 5

Niniejszy poradnik powstał, aby poinformować polskich przedsiębiorców o zmia-

Wydanie II – Warszawa, czerwiec 2017 r.

Wszelkie prawa zastrzeżone.

RODO to europejskie rozporządzenie o ochronie

24.10 Uchwalenie dyrektywy 95/46/WE

Do RODO należy stosować

• wzrost skali wymiany danych,

Ujednolicenie i uproszczenie przepisów nie oznacza

Kiedy i jak zacząć się przygotowywać

Przygotowania do RODO trzeba zacząć już teraz,

24 najważniejsze zmiany w prawie

Klienci oczekują ochrony ich danych osobowych

za dobry kierunek zmian. Ujednolici to przepisy doty-

Do 25 maja 2018 r. należy

2 Przystępny język w swojej działalności używał przedsiębiorca.

i organy Unii, państwa członkowskie i ich organy nadzor-

Obowiązki w zakresie ochrony

4 Większy zasięg prawa

Ochrony Danych Osobowych. Zmianę wprowadza pro-

nia lub pozbawienia wolności). Statystyki pokazują jed-

Przywilej „załatwienia” sprawy z jednym organem nie

• (Motyw 130) Jeżeli organ nadzorczy, do którego

współpracować z organem nadzorczym, do które-

Warto pamiętać, że Grupa Robocza Art. 29 przygotowa-

dla procesorów twarzania, dokonywanych w imieniu administratora.

między przedsiębiorstwami w ramach grupy. Wspo-

15) http://www.giodo.gov.pl/456/id_art/9694/j/pl oraz http://ec.europa.eu/newsroom/document.cfm?doc_id=44100 (wersja z dn. 5 kwietnia 2017 r.)

zezwala na taki outsourcing i prawdopodobnie będzie to

programiści powinni być świadomi nowych regulacji.

kumentacja, zapewne najłatwiej będzie za wzór przyjąć

przetwarzania Przygotowując się do rozporządzenia warto przygoto-

nia). Jest to bez wątpienia powód dla którego już dzisiaj

tamy w niej, że: zasady ochrony danych nie powinny więc

mechanizmów domyślnej ochrony danych (art. 25 ust.

dującymi odpowiednie zabezpieczenia praw i wolności

danych szczególnej • owal twarzy, rozkład punktów charakterystycz-

20 Zakres i sposób sformułowane jasnym i prostym językiem. Zasada ta

i wywołuje wobec tej osoby skutki prawne lub w podob-

22 Doprecyzowane ustawień technicznych do korzystania z usług społe-

warunki czeniu bądź zachowaniu, które w danym kontekście

Kolejną kwestią wyróżniającą nową definicję zgody jest

Dopuszczalna będzie zgoda

Należy też przeanalizować czy i w jakich przypadkach

do usunięcia danych nie danych osobowych). Rozporządzenie znacznie roz-

Uwagę zwraca możliwość zażądania, aby usunięto

You might also like

2 Przystępny język w swojej działalności używał przedsiębiorca.

22 Doprecyzowane ustawień technicznych do korzystania z usług społe-