PRAWO OCHRONY DANYCH OSOBOWYCH- WYKŁAD

Dr. Agnieszka Besiekierska

Przedmiot ma na celu zapoznanie studentów z podstawowymi pojęciami, instytucjami i
zasadami prawa ochrony danych osobowych. Przepisy o ochronie danych osobowych na
poziomie unijnym oraz krajowym regulują zasady przetwarzania informacji o osobach
fizycznych oraz określają prawa tych osób.
Przedmiot ma na celu zapoznanie studentów z podstawowymi pojęciami, instytucjami i
zasadami prawa ochrony danych osobowych. W trakcie wykładu zostaną poruszone
następujące zagadnienia:
1. Prywatność i jej cywilnoprawna ochrona
2. Ewolucja regulacji publicznoprawnej
3. Struktura aktualnej regulacji
4. Cel i zakres RODO
5. Stare, zmienione i nowe definicje
6. Zasady przetwarzania danych
7. Przesłanki dopuszczalności przetwarzania danych zwykłych
8. Szczególne kategorie danych, dane sensytywne.
9. Prawa osób, których dane są przetwarzane
10. Podmioty odpowiedzialne za przetwarzanie AD i IOD oraz PUODO
11. Kary za naruszenie przepisów i ich stosowanie
12. Ochrona danych osobowych w urzędzie administracji publicznej
13. Ochrona danych osobowych pracownika
14. Ochrona danych osobowych konsumenta
15. Ochrona danych osobowych pacjenta
Akty prawne:
- Konstytucja RP z 2.04.1997 r.
- Traktat o Funkcjonowaniu UE
- Karta Praw Podstawowych UE
- Konwencja 108 Rady Europy o ochronie osób fizycznych w związku z automatycznym
przetwarzaniem danych osobowych
- rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie
ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnego
przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o
ochronie danych)

1
- dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z 27.04.2016 r. w sprawie
ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe
organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych,
wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego
przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW
- ustawa z 10.05.2018 r. o ochronie danych osobowych
- ustawa z 14.12.2018 r. o ochronie danych osobowych przetwarzanych w związku z
zapobieganiem i zwalczaniem przestępczości
- ustawa z 21.02.2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania
rozporządzenia (UE) 2016/679
Literatura podstawowa:
- Podręcznik europejskiego prawa o ochronie danych. Wydanie z 2018 roku. Luksemburg
2020,
Wersja elektroniczna:
https://fra.europa.eu/sites/default/files/fra_uploads/fra-coe-edps-2018-handbook-data-
protection_pl.pdf
- P. Fajgielski, Prawo ochrony danych osobowych. Zarys wykładu, Warszawa 2019
Literatura uzupełniająca:
- RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, E. Bielak-Jomaa, D. Lubasz
(red. nauk.), Warszawa 2018
- P. Fajgielski, Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych
osobowych. Komentarz, Warszawa 2018
- Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, M. Sakowska-Baryła
(red.), Warszawa 2018
- Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem
danych osobowych i swobodnym przepływem takich daqnych. Komentarz, P. Litwiński (red.),
Warszawa 2018
- Ogólne rozporządzenie o ochronie danych. Komentarz, M. Sakowska-Baryła (red.),
Warszawa 2018
- Ustawa o ochronie danych osobowych. Komentarz, D. Lubasz (red. naukowy), Warszawa
2019
- Ustawa o ochronie danych osobowych. Komentarz, P. Litwiński (red.) Warszawa 2018
- Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i
zwalczaniem przestępczości. Komentarz, A. Grzelak (red.), Warszawa 2019
EGZAMIN JEDNOKROTNEGO WYBORU 20 PYTAŃ, PRZEDTERMIN- DATA
OSTATNIEGO ZJAZDU 28 CZERWCA

2
17.02.2024r.
Prawo do prywatności- podstawowe prawo człowieka
1997- art.47 Konstytucji prawo do prywatności
Regulacje prawne
Ustawa o ochronie danych osobowych
Ustawa szwedzka…
Wytyczne OECD
Art..8 Karty Praw podstawowych
ŹRÓDŁA PRAWA
RODO- definicje art.4 (26 pojęć)
Zasady- art.5- dotyczące przetwarzania danych os.
Dane osobowe- definicja
RODZAJE DANYCH OS.
- intymność
- prywatność
- publiczność
Art.9 ust.1
Ograniczenie przetwarzania
02.03.2024
Zasady przetwarzania danych os.- omówienie decyzji PUODO
- zasada celowości
1. Przetwarzanie- operacja lub zestaw operacji wykonywanych na danych osobowych
2. "profilowanie" oznacza dowolną formę zautomatyzowanego przetwarzania danych
osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych
czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy
aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej,
zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania,
lokalizacji lub przemieszczania się;
3. "pseudonimizacja" oznacza przetworzenie danych osobowych w taki sposób, by nie
można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia
dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są
przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi
uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do
zidentyfikowania osobie fizycznej; (niemożliwa identyfikacja)

3
 4. "administrator" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub
inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby
przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są
określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie
Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator
lub mogą zostać określone konkretne kryteria jego wyznaczania;
5. "podmiot przetwarzający" oznacza osobę fizyczną lub prawną, organ publiczny,
jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;
6. Procesor- dawniej podmiot przetwarzający
7. Nie (naruszenie obowiązku, ale nie ochrony
8. PUODO w RODO- Organ nadzorczy
23) "transgraniczne przetwarzanie" oznacza:
a) przetwarzanie danych osobowych, które odbywa się w Unii w ramach
działalności jednostek organizacyjnych w więcej, niż jednym państwie członkowskim
administratora lub podmiotu przetwarzającego w Unii posiadającego jednostki
organizacyjne w więcej niż jednym państwie członkowskim; albo
b) przetwarzanie danych osobowych, które odbywa się w Unii w ramach
działalności pojedynczej jednostki organizacyjnej administratora lub podmiotu
przetwarzającego w Unii, ale które znacznie wpływa lub może znacznie wpłynąć na
osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim;
 Odbywa się na terenie Unii Europejskiej
ZASADY PRZETWARZANIA DANYCH OSOBOWYCH
1. Zasada zgodności z prawem, przejrzystości i rzetelności- art.5 ust. 1 lit. a RODO
Dane osobowe muszą być:
a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której
dane dotyczą ("zgodność z prawem, rzetelność i przejrzystość");
2. Zasada ograniczenia celu przetwarzania/Zasada celowości- art.5 ust.1 lit. b RODO
b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i
nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do
celów archiwalnych w interesie publicznym, do celów badań naukowych lub
historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1
za niezgodne z pierwotnymi celami ("ograniczenie celu");
3. Zasada Adekwatności i minimalizacji danych- art. 5 ust.1 lit. C RODO
c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których
są przetwarzane ("minimalizacja danych");
4. Zasada prawidłowości danych- art.5 ust. 1 lit. D RODO
d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne
działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich
przetwarzania, zostały niezwłocznie usunięte lub sprostowane ("prawidłowość");
5. Zasada czasowego ograniczenia przechowywania danych- art.5 ust.1 lit. E
e) przechowywane w formie umożliwiającej identyfikację osoby, której dane
dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te
są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile
będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym,

4
 do celów badań naukowych lub historycznych lub do celów statystycznych na
mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki
techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu
ochrony praw i wolności osób, których dane dotyczą ("ograniczenie
przechowywania");
6. Zasada integralności i poufności (Zasada bezpieczeństwa danych(- art. 5 ust. 1 lit. F
f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych
osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem
przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za
pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i
poufność").
7. Zasada rozliczalności- art.5 ust.2
2. Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w
stanie wykazać ich przestrzeganie ("rozliczalność").
Zgoda na przetwarzanie danych osobowych – kiedy jej nie zbierać
06.04.2024
NSA odrzuciło skargę kasacyjną
KLASYFIKACJA OBOWIĄZKÓW
1. Obowiązki związane z przestrzeganiem zasad przetwarzania
2. Obowiązki związane z realizacją uprawnień podmiotu danych
3. Obowiązki związane z powierzeniem przetwarzania danych osobowych
4. Obowiązki związane z zabezpieczeniem danych
5. Obowiązki związane z naruszeniem ochrony danych
6. Obowiązki związane z dokumentacją przetwarzania danych osobowych
7. Inne obowiązki
SZTUCZNA INTELIGENCJA
Tworzenie komputerów, aplikacji, które są podobne do nas
Lata 50- Dortmund- systemy podobne do ludzi (system na zasadzie czatu GPT)
Test Turinga- Czy komputer oszuka nas? (głos- czy rozpoznamy komputer?)
2014 r.- pierwszy sukces (14 letni chłopiec- głos)
Różne elementy i głos- zagrożenia związane z tym
Aplikacja- 10 dolarów- podrabiająca głos minuta wystarczy
Deepfake
Jak działa sztuczna inteligencja?
Cym różni się od zwykłego programu?

5
Programy szachowe (AI 24 ruchy do przodu)
Scott Fish
Alpa 0
Alpa 0- Scott Fish
Autonomiczne samochody bez kierowcy
Medycyna- lepiej wybrać komputer (bez kolejek)
Sophia- robot (80 000zł)
11.05.2024
15 pytań- rozdział 2,3,4
Przegląd decyzji dot. RODO
Stan faktyczny, rozstrzygnięcie, wnioski do tych decyzji
Za co Prezes UODO karze…
YouTube
R. PR. Karolina Kukielska
ODO24.pl
Przetwarzanie danych bez podstawy prawnej
45 697 zł
Test równowagi
Wnioski: zgoda musi być wyraźna
Zgoda ustna-trudna do wykazania
Morele.net
Kara dla prokuratury rejonowej w G.
Niezgłoszenie bez 2
Kazusy do rozwiązania
1. Najważniejszą przetwarzania danych osobowych jest uzyskanie zgody od
osoby, której dane dotyczą
2. W sklepie internetowym jest to prawidłowe, gdyż zgoda jest niezbędna do
zrealizowania umowy, chyba że była wcześniej
1. Wszystkie przesłanki mają charakter równorzędny
2. Nie będzie prawidłowe, bo zgoda jest niezbędna do wykonania umowy
3. Świadome wyrażenie zgody
4. Przesłanki powinny być adekwatne do sytuacji
5. Nie zaczęli od odpowiedniej strony w momencie zbierania trzeba mieć podstawę

6
6. Proszenie o wyrażenie zgody na przetwarzanie danych osobowych jest nieprawidłowe
(art.6 RODO) w tej sytuacji (j.s.t.)- przepisy prawa
7. Rejestr zgód powinien być aktualizowany na bieżąco (bezpodstawne przetwarzanie
danych)
8. Powołanie, że ktoś przetwarza
Przykład: pracodawca- przesłanka wypełnienia obowiązku prawnego ciążącego na
administratorze w niektórych, w niektórych zawodach można
9. Bis nout (?) korzystanie z danych z CEIDG i nie informowali
10. Art. 13 a 14 RODO administrator ma dane, nie przetwarza, pochodzą od podmiotu
Profilowanie- art.14
Fajgielski- rozdziały
1
Omówienie kary
Za co?
Niezgłoszenie bez zbędnej zwłoki, nie później niż w terminie 72 godzin, naruszenia do
PUODO, (art. 33 ust. 1 RODO).
Niezawiadomienie o naruszeniu bez zbędnej zwłoki osób, których dane dotyczą (art. 34
ust. 1 RODO).
Wysokość kary
20 000 zł + nakaz zawiadomienia osób.
Wnioski
Zgłoszenie i zawiadomienie osob jest istotne, bo stanowi skuteczne narzędzie
przyczyniające się do realnej poprawy bezpieczeństwa danych, aktywizuje osobę do
podjęcia działań i minimalizowania skutków naruszenia.
PESEL-dana o szczególnym charakterze, jej ujawnienie rodzi wysokie ryzyko
Obowiązek zgłoszenia nie jest uzależniony od zmaterializowania się ryzyka.
W razie wątpliwości, czy naruszenie zgłaszać – należy je zgłosić.
ADO powinien przeprowadzać analizę wagi naruszenia.
ADO powinien stosować się do zasady rozliczalności.
2
KARA DLA BURMISTRZA MIASTA I GMINY W W.
(9.5.023)
Omówienie kary
Za co?

7
Niezastosowanie przez burmistrza odpowiednich środków technicznych i organizacyjnych
zapewniających bezpieczeństwo danych->co skutkowało nieuprawnionym wykonaniem
kopii danych osobowych z komputera służbowego na przenośny nośnik pamięci przez
pracownika Urzędu Miasta (art. 5.1.f, 5.2, 24.1, 25.1, 32.1,2 RODO).
Wysokość kary
10 000 złWnioski
Należy przeprowadzać rzetelną analizę ryzyka i wdrażać adekwatne środki techniczne i
organizacyjne.
Pracownicy powinni być należycie przeszkoleni. Należy przeprowadzać szkolenia przed
dopuszczeniem do przetwarzania danych i cyklicznie je powtarzać
Prawidłowo przeprowadzane szkolenia przyczyniają się do ograniczenia ryzyka
wystąpienia naruszeń. By uznać je za adekwatny środek muszą być realizowane
cyklicznie, dla wszystkich osób upoważnionych, z kompleksowym omówieniem tematyki.
Należy zapewniać rozliczalność, np. Zbierać pisemne oświadczenia pracowników.
3 KARA DLA RZECZNIKA DYSCYPLINARNEGO IZBY ADWOKACKIEJ
(20.4.2023)
Omówienie kary
Za co?
Niezastosowanie odpowiednich środków technicznych i organizacyjnych
odpowiadających ryzyku oraz regularnego testowania, mierzenia, oceniania -> co
doprowadziło do naruszenia zasady poufności i rozliczalności (art. 5.1.f, 5.2, 24.1, 25.1,
32.1,2 RODO).
Wysokość kary
23 580 zł
Wnioski
Należy weryfikować czy pracownicy stosują się do przyjętych w organizacji procedur
zapewniać rozliczalność.
Zapewnianie środków adekwatnych do zagrożeń powinno obejmować z uwzględnieniem
m.in stanu wiedzy technicznej: określenie poziomu ryzyka ustalenie odpowiednich
środków regularne testowanie, mierzenie i ocenianie ich skuteczności.
Błędne oszacowanie poziomu ryzyka uniemożliwia zastosowanie odpowiednich środków
bezpieczeństwa i zwiększa prawdopodobieństwo materializacji ryzyka.
4
KARA DLA WSPÓLNOTY MIESZKANIOWEJ W S.
(7.2.2023)

8
Omówienie kary
Za co?
Powierzenie przetwarzania bez umowy na piśmie i weryfikacji (art. 5.1.a, 28.1,3,9
RODO).
Niezgłoszenie naruszenia, niezawiadomienie osób (art. 33.1, 34.1 RODO).
Wysokość kary
1556 zł
Wnioski
Zawiadomienie osób powinno być realizowane zgodnie z art. 12 RODO (m.in. jasne,
przejrzyste, zrozumiałe) i zawierać wszystkie elementy z art.
34 RODO. Możliwość wielokrotnego zapoznania się z treścią komunikatu.
Zawiadomienie charakter indywidualnie skierowanego komunikatu.
Brak pisemnej umowy powierzenia stanowi naruszenie RODO. Decyzja komu powierzyć
dane powinna być wynikiem racjonalnego wyboru.
Konieczne jest weryfikowanie procesorów pod kątem dawanych gwarancji dla zgodnego
z prawem przetwarzania indywidualnie dla każdego przypadku ankiety bezpieczeństwa,
audyty, inspekcje rozliczalność
5
KARA DLA STOŁECZNEGO OŚRODKA DLA OSÓB NIETRZEŹWYCH
(31.5.2022)
Omówienie kary
Za co?
Nagrywanie i utrwalanie dźwięku (głosu) poprzez zainstalowany w Ośrodku system
monitoringu, tj. Przetwarzanie danych osobowych bez podstawy prawnej (art. 6.1 w zw.
25.1.a RODO).
Wysokość kary
10 000 zł
Wnioski
Przetwarzanie obrazu i dźwięku jest nierozerwalnie związane z przetwarzaniem danych
osobowych.
ADO, wybierając rozwiązania techniczne w związku z monitoringiem, nie powinien
wybierać funkcji, które nie są niezbędne.
Rejestrowanie dźwięku jest przede wszystkim dla służb.

9
Wskazywanie przez ADO art. 6 lub 9 RODO jako podstaw prawnych dla rejestracji
dźwięku – jest bezzasadne.
6 KARA DLA SANTANDER BANK POLSKA S.A.
(19.1.2022)
Omówienie kary
Za co?
Brak zawiadomienia osób, których dane dotyczą, o naruszeniu (art. 34.1 RODO).
Wysokość kary
545 748 zł
Wnioski
Status zaufanego odbiorcy mają podmioty, które działają w strukturach danej organizacji
albo są np. Dostawcą, z którego usług ADO korzysta. Powinna istnieć więź faktyczna, a
nierzadko prawna, która pozwala na ocenę stopnia zaufania stron.
Brak precyzyjnie określonego kręgu osób, których naruszenie dotyczy, nie stanowi
przeszkody do realizacji obowiązku z art. 34
→zawiadomienie może być w formie komunikatu publicznego (np. Zamieszczone w
Internecie).
Komunikat na stronie powinien być widoczny bezpośrednio na stronie, bez konieczności
otwierania dodatkowych podstron i powinien bezpośrednio wskazywać naruszenie.
7
KARA DLA KANCELARII PIONIER S.C.
(30.11.2022)
Omówienie kary
Za co?
Przetwarzanie danych osobowych bez podstawy prawnej (art. 6.1, 9.1 w zw. Z 9.2 i 5.1.a
RODO).
Wysokość kary
45 697 zł
Wnioski
• W przypadku przetwarzania danych szczególnych kategorii – zgoda musi być wyraźna -
> wymaga aktywnego działania osoby. Milczenie lub bezczynność nie może być uznane
za aktywne wskazanie wyboru.
• Ustna zgoda -> możliwa, ale trudna do wykazania.

10
• • Należy móc wykazać posiadanie ustnej zgody -> rejestrowanie np. W formie nagrań
dźwiękowych, rejestry lub spisy uzyskanych zgód i osób, które je udzieliły -> rejestry
powinny wskazywać m.in.: w jaki sposób, kiedy uzyskano zgodę, na co konkretnie, jakie
informacje były przekazywane osobie, która zgodę wyrażała.
9. KARA DLA FORTUM MARKETING AND SALES SA I PIKA SP. Z O.O.
(19.1.2022)
Omówienie kary
Za co?
Niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających
bezpieczeństwo danych, skutkujące naruszeniem ich poufności.
Brak weryfikacji podmiotu przetwarzającego, czy zapewnia wystarczające gwarancje
wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie
spełniało wymogi zawarte w RODO i chroniło prawa osób, których dane dotyczą (art.
5.1.1, 25.1,28,1, 32.1 12 RODO).
R. pr. Karolina Kukielska
S. Specjalista de ochrony danych 00024
T. Wysokość kary
U. 4911 732 zł
WSA uchylił decyzję PUODO
(II SA/Wa 567/22)
Organ:
Nie wyjaśnił wszystkich istotnych dla prawidłowego rozstrzygnięcia okoliczności, co
miało wpływ na wynik sprawy.
Decyzja nie spełniała wymogów KΡΑ
Ustalenia faktyczne organy-poczynione w sposób dowolny
Materiał dowodowy niekompletny, nie w pełni rozpatrzony
Brak oceny wiarygodności oświadczeń stanowiących dowody. W sprawie
Wnioski
Samo podpisanie umowy powierzenia-bez dokonania weryfikacji procesora -> nie może
być uznane jako realizacja obowiązku przeprowadzenia postępowania weryfikującego
podmiot
Przetwarzający pod kątem spełnienia przez niego wymogów RODO. Fakt wieloletniej
współpracy nie zwalnia z tego obowiązku.
Należy przeprowadzać weryfikację, także w czasie trwania umowy, w stosownych
przypadkach również poprzez audyty, inspekcje.

11
Należy unikać prowadzenia testów z rzeczywistymi danymi klientów.
Należy stosować ochronę danych już w fazie projektowania.
10
KARA DLA PANA R.G.
(31.8.2022)
Omówienie kary
Za co?
Brak współpracy z organem w ramach wykonywania jego zadań,
Niezapewnienie dostępu do informacji niezbędnych do realizacji zadań organu (art. 31,
58.1.e RODO).
Wysokość kary
6854 zł
Wnioski
Sankcja jest:
Skuteczna pozwala osiągnąć cel, dla którego jest wprowadzona,
Odstraszająca -> realizuje względy prewencji indywidualnej i generalnej,
Proporcjonalna -> nie przekracza progu dolegliwości w okolicznościach konkretnego
przypadku,
Ustalenie kary wymaga odniesienia się do sytuacji finansowej i majątkowej
Karanego podmiotu. Jest to konieczne, gdyż:
Kara niewspółmiernie niska w stosunku do możliwości finansowych -> nie będzie
skuteczna i odstraszająca,
Kara zbyt dolegliwa (której uiszczenie zagrozi podstawom bytu materialnego ukaranego)
-> nie będzie karą proporcjonalną.
- P. Fajgielski, Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych
osobowych. Komentarz, Warszawa 2018
- Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, M. Sakowska-Baryła
(red.), Warszawa 2018
- Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem
danych osobowych i swobodnym przepływem takich daqnych. Komentarz, P. Litwiński
(red.), Warszawa 2018
- Ogólne rozporządzenie o ochronie danych. Komentarz, M. Sakowska-Baryła (red.),
Warszawa 2018

12
- Ustawa o ochronie danych osobowych. Komentarz, D. Lubasz (red. naukowy),
Warszawa 2019
- Ustawa o ochronie danych osobowych. Komentarz, P. Litwiński (red.) Warszawa 2018
- Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i
zwalczaniem przestępczości. Komentarz, A. Grzelak (red.), Warszawa 2019
- Materiały podane przez prowadzącego w trakcie zajęć
Metody oceniania:
Prezentacje w parach- zasada adekwatności i ograniczenie zakresu danych

17.02.2024r.
- zasada celowości
2 decyzje
Przygotować decyzje- 02.03.2024r.
Przeczytać
Stan faktyczny- o co chodzi?, czego dotyczy?
Rozstrzygnięcie- w jaki sposób rozstrzygnąć decyzje (?)
Prezes UODO
Art.5 ust.1
Omówić decyzję- prezentacja PowerPoint
ZASADA ADEKWATNOŚCI I OGRANICZENIA ZAKRESU DANYCH-
PREZENTACJA
Art.5 ust.1 lit.c
Jakiej wykładni dokonał prezes UODO?
Kilka minut
Jaki stan faktyczny i rozstrzygnięcie (bez kopiuj-wklej)

13
Slajd 1
ZASADA ADEKWATNOŚCI I OGRANICZENIA ZAKRESU DANYCH
Slajd 2
Stan faktyczny:
Pani M. W. złożyła skargę do Urzędu Ochrony Danych Osobowych (UODO) dotyczącą
nieprawidłowości w procesie przetwarzania jej danych osobowych przez firmę K. P.-F.
"P…." Sp. z o.o. z siedzibą we W. Chodziło o to, że po zakończeniu współpracy jej dane
osobowe (imię, nazwisko, wizerunek) były nadal przetwarzane i wykorzystywane przez
Spółkę w kontaktach z kontrahentami.
Slajd 3
Rozstrzygnięcie:
Prezes UODO udzielił Spółce upomnienia za naruszenie przepisów Rozporządzenia
Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie
ochrony osób fizycznych w związku z przetwarzaniem danych osobowych. Decyzja
została podjęta na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks
postępowania administracyjnego oraz art. 5 ust. 1 lit. c, art. 6 ust. 1 i art. 58 ust. 2 lit. b
wspomnianego rozporządzenia.
Slajd 4
Wykładnia prezes UODO:
Prezes UODO oparł swoją decyzję na art. 6 ust. 1 lit. f RODO, który umożliwia
przetwarzanie danych osobowych, jeżeli jest to niezbędne do celów wynikających z
prawnie uzasadnionych interesów realizowanych przez administratora danych lub stronę
trzecią. Jednakże, aby to było zgodne z prawem, muszą być spełnione dwie kumulatywne

14
przesłanki: istnienie prawnie uzasadnionego interesu oraz niezbędność przetwarzania
danych do jego realizacji.
Prezes UODO stwierdził, że Spółka nie wykazała, iż przetwarzanie danych Pani M. W.
było niezbędne dla realizacji jej prawnie uzasadnionych interesów. Odnosząc się do
argumentów Spółki, że chodziło o zachowanie płynności komunikacji po nagłej
rezygnacji zleceniobiorcy, Prezes UODO uznał, że Spółka mogła skorzystać z innych
dostępnych środków, takich jak publicznie dostępne informacje o zarządzie w Krajowym
Rejestrze Sądowym.
Dodatkowo, Prezes UODO podkreślił, że nawet gdyby istniał prawnie uzasadniony
interes, to nie usprawiedliwiałby to naruszenia zasady minimalizacji danych oraz
niezgodnego z art. 5 ust. 1 lit. c RODO, który nakazuje, aby dane osobowe były
przetwarzane jedynie w celach adekwatnych, stosownych i ograniczonych do niezbędnego
zakresu.
W rezultacie, Prezes UODO uznał, że Spółka naruszyła przepisy RODO, a decyzja o
upomnieniu jest uzasadniona w celu przywrócenia stanu zgodnego z prawem w procesie
przetwarzania danych osobowych.

Slajd 5
Uzasadnienie:
1. Skarga Pani M. W.:
 Przetwarzanie danych po zakończeniu współpracy przez K. P.-F. "P…." Sp. z
o.o.
 Używanie indywidualnej skrzynki e-mail Skarżącej w kontaktach z
kontrahentami.
2. Stan Faktyczny:
 Współpraca od (...).03.2021 r. do (...).06.2021 r. na podstawie umowy zlecenia.
 Skrzynka e-mail zawierająca dane Skarżącej używana po zakończeniu
współpracy.
3. Odpowiedź Spółki:
 Prawne uzasadnienie interesu Spółki.
 Brak utraty możliwości kontaktu z kontrahentami.
 Wykorzystanie skrzynki e-mail przez ok. 2 tygodnie po zakończeniu
współpracy.
Slajd 6
Decyzja Prezesa UODO:

15
1. Podstawa Prawna:
 Art. 6 ust. 1 lit. f RODO.
2. Ocena Prezesa UODO:
 Brak spełnienia przesłanek do legalnego przetwarzania danych.
 Brak wykazania niezbędności przetwarzania danych dla prawnie
uzasadnionego interesu.
 Naruszenie zasad określonych w art. 5 ust. 1 RODO.
3. Sankcja:
 Upomnienie dla K. P.-F. "P…." Sp. z o.o.
Slajd 7
Pouczenie:
 Decyzja ostateczna.
 Prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie w
terminie 30 dni.
 Opłata skargowa: 200 zł.
 Prawo ubiegania się o zwolnienie od kosztów sądowych.

Slajd 8
 Ewentualne pytania, dyskusja
 Koniec
06.04.2024
OBOWIĄZKI ADMINISTRATORA I PODMIOTU PRZETWARZAJĄCEGO
Fajgielski Rozdział IV
Wniosek o przetwarzanie danych
Art.18
Rejestr czynności przetwarzania (archiwum)
Wojciech Wiewiórkowski- profilowanie obywatela
Podejście oparte na ryzyku- opracowanie PUODO
Inspektor danych osobowych
„Duża skala przetwarzania”
8 czerwiec „przedtermin”

16
28 maja- powtórka
Uprawnienia informacyjne: potwierdzenie faktu przetwarzania- art.15, informacja o
przetwarzaniu- art.13,14
Uprawnienia korekcyjne:zasada prawidłowości danych- art.5 ust.1 lit.d
Uprawnienia decyzyjne: definicja zgody- art.4 pkt.11, uprawnienia do żądania usunięcia
danych (prawo do bycia zapomnianym) – art.17 , sprzeciw- art.21 ust., żądanie
ograniczenia przetwarzania-art.18, uprawnienia do niepodlegania decyzjom opartym na
zautomatyzowanym przetwarzaniu- art.22, uprawnienia żądania przeniesienia danych-
art.30
Uprawnienia do korzystania ze środków ochrony prawnej i uzyskania odszkodowania:
uprawnienie do uzyskania odszkodowania za szkodę- art.82, uprawnienia do wniesienia
skargi do organu nadzorczego-art. 77, skarga do sądu administracyjnego- art.78

17
Rejestr czynności przetwarzania: sprzedaż, reklamacja i zwroty

18
Wzór rejestru czynności przetwarzania

https://kenixnl.eu/pl/i/Rejestr-czynnosci-przetwarzania/12

20.04.2024
8 czerwiec- przedtermin
Uprawnienia dotyczące danych osobowych
Obowiązki administratora
Siatka pojęciowa
Admistrator
Rozdział 2 Fajgielski
Umowa powierzenia danych osobowych badania lekarskie (ustawa o świadczeniach
medycznych), szkolenia BHP (zgoda na przetwarzanie danych)
Dokumentacja
Rejestr czynności przetwarzania
Jak wypełnić w przypadku sklepu internetowego
19
PUODO rejestr czynności przetwarzania
Sklep internetowy
Sprzedaż towarów w sklepie internetowym
REJESTR CZYNNOŚCI PRZETWARZANIA

20
Naz Cel K K Po Ź Pl Naz Ogó Tra
wa prz at at dst r an wa lny nsf
czy etw eg e aw ó o pod opis er
nno arz or g a d w miot tech do
ści ani ia or pr ł an u nicz kra
prz a os ia aw a y przet nych ju
etw ób d na te warz i trze
arz a d r ające orga cie
ani n a m go niza go
a y n in (jeśli cyjn
c y us doty ych
h c un czy) środ
h ię ków
ci bezp
a iecz
eńst
wa

sprz sprz Kl I Ar k 2 Firm Cert GI

eda eda ie m t.6 l lat a yfik OD
ż ż nc ię ust i a kurie at O
tow i, , .1 e na rska, SS (pa
aró po n lit. n ro Adm M, ńst
ww te a b c sz inistr Polit wa
skle nc z wy i cz ator, yka trze
pie jal w yk en Firm pry cie
inte ni is on ia a watn do
rnet kl k ani (r oferu ości któ
owy ie o, e ęk jąca ryc
m nc a u oj hosti h
i dr m m ng, mo
es ow ia opro żna
e- y ) gram prz
m do owa eka
ai 5 nie, zy
l, lat dosta wa
a or wca ć
dr dy usłu dan
es na gi IT e
, cj oso
te a bo
le po we
fo da Da
n tk ne
w do
a kra
ju
trze
cie
go
(sta
ny
21
Zje
dno
czo
ne)
1. Dane osobowe to:
1) Informacje, które wyłącznie odnoszą się do osoby fizycznej zidentyfikowanej lub
możliwej do zidentyfikowania
1) Informacje o osobie fizycznej utożsamiane z imieniem i nazwiskiem
1) Informacje, które odnoszą się do osoby fizycznej i do osoby prawnej

2. Anonimizacja danych:
1. Przetworzenie danych osobowych w taki sposób, by nie można ich było już
przypisać konkretnej osobiebez użycia dodatkowych informacji
1. Dane osobowe mogą zostać pozbawione cech umożliwiających identyfikację
1. Dane przechowywane w specjalnych teczkach

3. Przetwarzanie danych
a) Oznacza operacje na danych, które już zostały wprowadzone do systemu
informatycznego, polegających na przekształceniu tych danych
b) Operacje na danych wyłącznie za pomocą systemów teleinformatycznych
c) Oznacza operacje lub zestaw operacji wykonywanych na danych osobowych lub
zestawach danych osobowych w sposób zautomatyzowany lub
niezautomatyzowany

4. Dowolna forma zautomatyzowanego przetwarzania danych osobowych, która polega na

wykorzystaniu danych osobowych do oceny niektórych czynników.
a) Profilowanie
b) Pseudonimizacja
c) Transgraniczne przetwarzanie danych

5. Uporządkowany zestaw danych osobowych dostępny według określonych kryteriów

a) Zbiór danych
b) dane satystyczne
c) dane ogólnie dostępne

6. Osoba fizyczna wyznaczona przez administratora (lub podmiot przetwarzający)

posiadająca wiedzę fachową i odpowiednie umiejętności,

22
a) Organ nadzorczy
b) Organ właściwy
c) Inspektor ochrony danych (osobowych)

7. Nakaz przestrzegania przepisów prawa przy przetwarzaniu danych to:

a) zgodność przetwarzania danych z prawem
b) rzetelność przetwarzania danych
c) przejrzystość przetwarzania danych

8. Odpowiedzialny za przestrzeganie zasad rozliczalności jest:

a) operator
b) administrator
c) prezes UODO

9. Jakie przepisy nakładają na administratora wymóg zapewnienia możliwości wykazania

przestrzegania ogólnych zasad przetwarzania danych (rozliczalność)
a) dyrektywa unijna
b) rozporządzenie krajowe
c) rozporządzenie unijne
10. Model materialnoprawny jako jedno z rozwiązań przy rozstrzyganiu o
dopuszczalności przetwarzania zakłada ze:
a) przetwarzanie danych osobowych wymaga zezwolenia organu nadzorczego
b) Nie jest wymagane uzyskanie zezwolenia gdyż dopuszczalność przetwarzania
danych uzależniona jest od spełnienia określonych przepisami prawa wymogów
c) Jest wymagane uzyskanie zezwolenia gdyż dopuszczalność przetwarzania danych nie
jest objęta przepisami prawa
11. Do ogólnych podstaw dopuszczalności przetwarzania danych nie należy
a) zgoda osoby, której dane dotyczą
b) Wykonanie umowy lub przygotowanie do jej zawarcia
c) Nieuzasadnione prawnie interesy administratora

23
12. Oświadczenie woli, którego przedmiotem jest przyzwolenie na przetwarzanie danych
(zgoda) powinno być:
a) dobrowolne i konkretne
b) Świadome i jednoznaczne
c) Wszystkie odpowiedzi są poprawne
13. Konstrukcja prawna zgoda bazująca na modelu opt-in zakłada że:
a) Konieczne jest złożenie oświadczenia o wyrażeniu zgody
b) Brak sprzeciwu oznacza zgodę na przetwarzanie danych
c) Zakaz domniemywania i dorozumiewania zgody z oświadczenia woli o innej treści
14. Do danych wrażliwych nie zalicza się
a) zdjęcia legitymacyjnego
b) Poglądów politycznych
c) Przekonań religijnych
15. Wymóg w postaci ograniczenia przechowywania danych osobowych w formie
umożliwiającej identyfikację osoby, której dane dotyczą przez okres nie dłuższy niż jest to
niezbędne do celów, w których dane są przetwarzane jest związany z:
a) zasadą celowości
b) Zasada czasowego ograniczenia przechowywania danych
c) Zasada bezpieczeństwa danych

Pytania egzaminacyjne na przedmiot: Prawo ochrony danych osobowych:

Rozdział X: Organ nadzorczy

1. Według art. 89 UODO kontrola zgodności przetwarzania danych osobowych powinna
trwać:
a) Nie dłużej niż 14 dni.
b) Nie dłużej niż 30 dni.
c) Nie ma określonego limitu czasu dotyczącego kontroli.

2. Zaznacz uprawnienie, które nie przysługuje kontrolującemu:

a) Wstęp w godzinach od 6:00 do 22:00 na grunt oraz do budynków, lokali i
innych pomieszczeń.

24
 b) Utrwalanie kontroli za pomocą urządzeń rejestrujących obraz i dźwięk
bez uprzedniego poinformowania o tym kontrolowanego.
c) Żądanie złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchiwanie w
charakterze świadka osób w celu ustalenia stanu faktycznego.

3. Która odpowiedź dotycząca Europejskiej Rady Ochrony Danych jest fałszywa?

a) Działa w ramach współpracy między krajowymi organami ochrony danych
b) Monitoruje oraz egzekwuje przepisy przestrzeganie przepisów
dotyczących prywatności w mediach społecznościowych.
c) Jest niezależnym organem kolegialnym mającym osobowość prawną.

4. Jaki organ powołuje Prezesa Ochrony Danych Osobowych w Polsce?

a) Sejm RP za zgodą Senatu RP
b) Prezydent RP
c) Marszałek Sejmu

Rozdział XI: Odpowiedzialność za niezgodne z prawem przetwarzanie danych

osobowych
1. W przypadku zbiegu naruszeń różnych przepisów w ramach tych samych lub
powiązanych operacji przetwarzania, kara pieniężna jest:
a) Sumą każdego z poszczególnych naruszeń
b) Wysokością najpoważniejszego dokonanego naruszenia
c) Średnią arytmetyczną wszystkich naruszeń

2. Jakie są maksymalne kary pieniężne jakie PUODO może nałożyć?

a) Do 5 milionów euro lub 1% całkowitego rocznego światowego obrotu
przedsiębiorstwa z poprzedniego roku obrotowego w przypadku
przedsiębiorstwa.
b) Do 10 milionów euro lub 2% całkowitego rocznego światowego obrotu
przedsiębiorstwa z poprzedniego roku obrotowego w przypadku
przedsiębiorstwa.
c) Do 20 milionów euro lub 4% całkowitego rocznego światowego obrotu
przedsiębiorstwa z poprzedniego roku obrotowego w przypadku
przedsiębiorstwa.

25
 3. Jaki sąd jest właściwy do rozpatrywania roszczeń z tytułu ochrony danych osobowych?
a) Sąd Najwyższy
b) Sąd okręgowy
c) Sąd rejonowy

4. W jakiej formie nakładane są administracyjne kary pieniężne?

a) W formie stałej stawki opłaty za każdy dzień przetwarzania danych bez zgody.
b) W formie automatycznych kar za każde zgłoszone naruszenie.
c) W formie decyzji administracyjnej po indywidualnym rozpatrzeniu
sprawy.

1. W przypadku zbierania danych od osoby, której dane dotyczą, obowiązek informacyjny

powinien być spełniony:
a) podczas pozyskiwania danych.
b) w terminie 7 dni od pozyskania danych
c) w terminie 14 dni od pozyskania danych
2. Co do zasady w sytuacji, gdy dane pochodzą z innych źródeł, obowiązek informacyjny
należy spełnić w rozsądnym terminie po pozyskaniu danych osobowych, najpóźniej w ciągu:
a) najpóźniej w ciągu miesiąca
b)najpóźniej w ciągu tygodnia
c) najpóźniej w ciągu 2 tygodni
d) najpóźniej w ciągu 2 miesięcy
3. Administrator podejmuje odpowiednie środki, aby przekazać osobie, której dane dotyczą
wszelkich informacji:
A) w zwięzłej, przejrzystej, jasnym i prostym językiem
B) w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym
językiem
C)w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem
d) jasnym i prostym językiem
4. Zgodnie z ustawą o ochronie danych osobowych, podmiot certyfikujący przekazuje
Prezesowi Urzędu dane podmiotu, któremu udzielono certyfikacji, oraz podmiotu, któremu
cofnięto certyfikację, wraz ze wskazaniem:

26
a)dostatecznych danych potrzebnych do jej nadania
b)przyczyny jej cofnięcia
c)podstawy jej nadania
d)przyczyny jej przyznania
5. Osoba, której dane są przetwarzane może wnieść skargę, jeśli uważa, że przetwarzanie jej
danych narusza przepisy o ochronie danych osobowych, do :
a) Prezesa UODO
b) Właściwego WSA
c) NSA
d) TSUE
6. Zgodnie z ustawą o ochronie danych osobowych, czynności sprawdzające przeprowadza
się nie wcześniej niż po upływie 7 dni i nie później niż przed upływem:
A) 30 dni od dnia doręczenia podmiotowi zawiadomienia o zamiarze ich
przeprowadzenia
B) 21 dni od dnia doręczenia podmiotowi zawiadomienia o zamiarze ich przeprowadzenia
c) 14 dni od dnia doręczenia podmiotowi zawiadomienia o zamiarze ich przeprowadzenia
d) 34 dni od dnia doręczenia podmiotowi zawiadomienia o zamiarze ich przeprowadzenia
7. Administrator ma obowiązek dokumentowania naruszeń ochrony danych osobowych:
a) Tylko w przypadku niedozwolonego ujawnienia danych osobowych
b) Tylko w przypadku niedozwolonej utraty lub zniszczenia danych osobowych
c) Tylko w przypadku poważnych naruszeń
d) W przypadku każdego rodzaju naruszenia

8. Co oznacza prawo dostępu do danych osobowych?

A. Prawo do zmiany danych osobowych przez użytkownika.
B. Prawo do uzyskania informacji o tym, czy dane są przetwarzane, oraz do uzyskania
dostępu do tych danych.
C. Prawo do usunięcia danych z systemu.
D. Prawo do przetwarzania danych osobowych innych osób.
9. Jakie prawo przysługuje osobom w przypadku przetwarzania ich danych na podstawie
zgody?

27
A. Prawo do odszkodowania za przetwarzanie danych.
B. Prawo do cofnięcia zgody w dowolnym momencie, bez wpływu na zgodność z prawem
przetwarzania dokonanego przed jej cofnięciem.
C. Prawo do przenoszenia danych do innego administratora.
D. Prawo do zablokowania przetwarzania danych przez administratora
10. Co oznacza prawo do przenoszenia danych?
A. Prawo do przekazania danych osobowych z jednego systemu do drugiego w
ustrukturyzowanym, powszechnie używanym formacie.
B. Prawo do kopiowania danych osobowych na dowolne urządzenie.
C. Prawo do archiwizacji danych osobowych przez administratora.
D. Prawo do usunięcia danych osobowych z systemu.
11. Czym jest prawo do sprzeciwu wobec przetwarzania danych osobowych?
A. Prawo do usunięcia danych osobowych.
B. Prawo do wniesienia skargi do organu nadzorczego.
C. Prawo do zgłoszenia sprzeciwu wobec przetwarzania danych osobowych na
podstawie uzasadnionego interesu administratora lub w celach marketingowych.
D. Prawo do otrzymania informacji o wszystkich przetwarzanych danych osobowych.
12. Kiedy osoba, której dane dotyczą, może skorzystać z prawa do przenoszenia danych?
A. Kiedy dane są przetwarzane na podstawie zgody lub w ramach umowy i
przetwarzanie odbywa się w sposób zautomatyzowany.
B. Zawsze, niezależnie od podstawy przetwarzania danych.
C. Tylko w przypadku, gdy dane są przetwarzane przez organ publiczny.
D. Kiedy dane są przetwarzane wyłącznie na potrzeby marketingowe.
Jakie są obowiązki administratora danych w przypadku realizacji prawa do sprostowania
danych przez osobę, której dane dotyczą?
A. Administrator musi powiadomić organy ścigania o każdym sprostowaniu danych.
B. Administrator musi niezwłocznie sprostować nieprawidłowe dane osobowe i uzupełnić
dane niekompletne.
C. Administrator musi usunąć wszystkie dane osobowe po sprostowaniu.
D. Administrator może odrzucić żądanie sprostowania bez podania przyczyny.
13. W jakich sytuacjach osoba, której dane dotyczą, ma prawo do wniesienia sprzeciwu
wobec przetwarzania jej danych osobowych?
A. Gdy dane są przetwarzane na podstawie zgody osoby, której dane dotyczą.

28
B. Gdy dane są przetwarzane na podstawie uzasadnionego interesu administratora lub
w celach marketingowych.
C. Zawsze, gdy dane są przetwarzane przez podmioty zagraniczne.
D. Gdy dane są przetwarzane w celach statystycznych
14. Jakie są skutki skorzystania przez osobę z prawa do ograniczenia przetwarzania jej
danych osobowych?
A. Dane muszą być natychmiast usunięte przez administratora.
B. Administrator może przetwarzać dane wyłącznie w celu ich przechowywania lub za
zgodą osoby, której dane dotyczą, lub w celu ustalenia, dochodzenia lub obrony
roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na
ważne względy interesu publicznego.
C. Administrator musi zaprzestać wszelkich działań związanych z przetwarzaniem danych.
D. Administrator musi przenieść dane do innego podmiotu w ciągu 30 dni.

29