Scribd Logo
Upload

Welcome to Scribd!

  • Ograniczanie Przetwarzania

    Uploaded by

    Przemysław Siembida
    46 views7 pages
    Fragment przygotowywanej książki "Podejście procesowe a dane osobowe" przedstawiający opis i model referencyjny procesu ograniczania przetwarzania danych osobowych zgodnie z art. 18 RODO.

    Original Title

    Ograniczanie przetwarzania

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document
    Fragment przygotowywanej książki "Podejście procesowe a dane osobowe" przedstawiający opis i model referencyjny procesu ograniczania przetwarzania danych osobowych zgodnie z art. 18 RODO.

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    46 views7 pages

    Ograniczanie Przetwarzania

    Uploaded by

    Przemysław Siembida
    Fragment przygotowywanej książki "Podejście procesowe a dane osobowe" przedstawiający opis i model referencyjny procesu ograniczania przetwarzania danych osobowych zgodnie z art. 18 RODO.

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 7

    Załącznik 2 - Modele referencyjne procesów wynikających z RODO

    Art. 18 RODO - Realizacja prawa ograniczenia przetwarzania


    Proces ograniczenia przetwarzania w omawianym przykładzie polega
    na przeniesieniu danych z bazy danych „A” - która jest bazą danych
    wykorzystywaną do realizacji celu przetwarzania do odrębnego
    rejestru, do bazy danych „B”, która jest dedykowana wyłącznie
    przechowywaniu danych, dla których ograniczono przetwarzanie.

    Całość realizacji prawa do ograniczenia przetwarzania składa się z


    dwóch elementów: ograniczenia przetwarzania i zakończenia
    ograniczenia przetwarzania. O ile w procesie ograniczenia
    przetwarzania dane zawsze trafiają do bazy danych „B”, o tyle w
    momencie zakończenia ograniczenia w niektórych sytuacjach dane
    wracają do bazy danych „A”, a w niektórych są usuwane.

    Uzależnione jest to od powodu ograniczenia. Zakończenie


    ograniczenia przetwarzania jest możliwe w chwili zaistnienia minimum
    jednego ze zdarzeń w odniesieniu do przyczyny ograniczenia:

    1) Potwierdzenie prawidłowości danych,


    2) Potwierdzenie możliwości usunięcia danych,
    3) Potwierdzenie nadrzędności prawnie uzasadnionych interesów
    wobec podstaw sprzeciwu.

    Powyższe sytuacje powinny być powiązane z przyczynami


    ograniczenia.

    „Osoba, której dane dotyczą, ma prawo żądania od


    administratora ograniczenia przetwarzania w następujących
    przypadkach:

    a) osoba, której dane dotyczą, kwestionuje prawidłowość


    danych osobowych – na okres pozwalający administratorowi
    sprawdzić prawidłowość tych danych;

    b) przetwarzanie jest niezgodne z prawem, a osoba, której


    dane dotyczą, sprzeciwia się usunięciu danych osobowych,
    żądając w zamian ograniczenia ich wykorzystywania;

    c) administrator nie potrzebuje już danych osobowych do


    celów przetwarzania, ale są one potrzebne osobie, której

    319 Bezpłatna kopia do użycia wyłącznie w serwisie Scribd.com.


    Treść poradnika w postaci pliku PDF dostępna jest na stronie konsilo.pl/szkolenia.
    Załącznik 2 - Modele referencyjne procesów wynikających z RODO

    dane dotyczą, do ustalenia, dochodzenia lub obrony


    roszczeń;

    d) osoba, której dane dotyczą, wniosła sprzeciw na mocy


    art. 21 ust. 1 wobec przetwarzania – do czasu stwierdzenia,
    czy prawnie uzasadnione podstawy po stronie
    administratora są nadrzędne wobec podstaw sprzeciwu
    osoby, której dane dotyczą.”240

    W przypadku a) zakończenie ograniczania przetwarzania wiąże się z


    potwierdzeniem prawidłowości danych i skutkuje przywróceniem
    danych z bazy „B” do bazy „A”.

    W przypadku b) administrator w ogóle nie powinien przetwarzać tych


    danych przed ograniczeniem, powinien więc je możliwie szybko
    usunąć. W tej sytuacji zakończenie ograniczania przetwarzania wiąże
    się z potwierdzeniem możliwości usunięcia danych i oczywiście
    skutkuje wykonaniem tej operacji.

    W przypadku c) analogicznie do przypadku b) zakończenie


    ograniczania przetwarzania wiąże się z potwierdzeniem możliwości
    usunięcia danych i oczywiście skutkuje wykonaniem tej operacji.

    W przypadku d) zakończenie ograniczania przetwarzania wiąże się z


    potwierdzeniem nadrzędności prawnie uzasadnionych interesów
    wobec podstaw sprzeciwu i skutkuje podobnie jak w przypadku a)
    przywróceniem danych z bazy „B” do bazy „A”. W przypadku, gdy
    jednak nie potwierdzono nadrzędności, ADO traci przesłankę z art. 6 i
    dane powinny zostać usunięte bez przywracania ich do bazy „A”.

    Proces ograniczenia przetwarzania:


    Cel: ocena zasadności wniosku podmiotu danych o ograniczenie
    przetwarzania danych i w zasadnych przypadkach ograniczenie
    przetwarzania poprzez umieszczenie danych w osobnej bazie

    240 Art. 18 ust. 1 RODO

    320 Bezpłatna kopia do użycia wyłącznie w serwisie Scribd.com.


    Treść poradnika w postaci pliku PDF dostępna jest na stronie konsilo.pl/szkolenia.
    Załącznik 2 - Modele referencyjne procesów wynikających z RODO

    danych, w której dane są przetwarzane wyłącznie w zakresie


    przechowywania.

    Parametry początkowe: przetwarzanie danych z wykorzystaniem


    informacji dotyczących możliwej do zidentyfikowania osoby, która
    złożyła żądanie ograniczenia przetwarzania jej danych osobowych.

    Parametry końcowe: ograniczenie przetwarzania danych osobowych


    osoby, która tego zażądała poprzez przeniesienie danych z bazy „A”
    do bazy „B”.

    Właściciel procesu: Specjalista do spraw ochrony danych


    osobowych.

    Opis procesu:

    1) Wysłanie przez podmiot danych żądania ograniczenia


    przetwarzania danych osobowych.
    2) Weryfikacja osoby, która wystąpiła z żądaniem. Jeśli
    administrator nie ma pewności, że żądanie ograniczenia
    przetwarzania danych zostało wysłane przez podmiot danych,
    powinien poprosić o dodatkowe informacje, które umożliwią
    jednoznaczną identyfikację241.
    3) W tym procesie administrator ograniczył liczbę próśb o
    dosłanie informacji pomagających w identyfikacji do trzech.
    Jeśli pomimo trzech próśb osoba podająca się za podmiot
    danych nie potrafi wykazać, że jest podmiotem danych,
    proces może zostać przerwany.
    4) Jeśli miało miejsce przerwanie procesu bez zrealizowania
    żądania, administrator informuje o tym fakcie osobę
    wnioskującą o ograniczenie przetwarzania danych, by w
    przypadku, gdyby jednak osoba wnioskująca była podmiotem
    danych miała możliwość podjęcia innych działań (na przykład
    osobistego zgłoszenia się do siedziby ADO, by potwierdzić
    swoją tożsamość).

    241 Art. 12 ust. 6 RODO

    321 Bezpłatna kopia do użycia wyłącznie w serwisie Scribd.com.


    Treść poradnika w postaci pliku PDF dostępna jest na stronie konsilo.pl/szkolenia.
    Załącznik 2 - Modele referencyjne procesów wynikających z RODO

    5) Jeśli tożsamość osoby żądającej została potwierdzona należy


    sprawdzić czy przetwarzanie służy ustalaniu, dochodzeniu lub
    obronie roszczeń.
    6) Jeśli przetwarzanie służy ustalaniu, dochodzeniu lub obronie
    roszczeń, wniosek zostaje odrzucony, a proces przerwany242.
    7) Sprawdzenie czy przetwarzanie odbywa się w celu ochrony
    praw innej osoby fizycznej lub prawnej.
    8) Jeśli przetwarzanie odbywa się w celu ochrony praw innej
    osoby fizycznej lub prawnej wniosek zostaje odrzucony, a
    proces przerwany243.
    9) Sprawdzenie czy przetwarzanie odbywa się z uwagi na ważne
    względy interesu publicznego.
    10) Jeśli przetwarzanie odbywa się z uwagi na ważne względy
    interesu publicznego wniosek zostaje odrzucony, a proces
    przerwany244.
    11) Sprawdzenie czy wniosek wynika faktu, że wcześniej osoba,
    której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1
    wobec przetwarzania.
    12) Jeżeli wniosek wynika z faktu, że wcześniej osoba, której dane
    dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 wobec
    przetwarzania, uznanie wniosku za zasadny i przeniesienie
    danych z bazy danych „A” do bazy danych „B”.
    13) Jeżeli wniosek nie wynika z faktu, że wcześniej osoba, której
    dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 wobec
    przetwarzania sprawdzenie czy przetwarzanie jest niezgodne z
    prawem, a osoba, której dane dotyczą, sprzeciwia się
    usunięciu danych osobowych, żądając w zamian ograniczenia
    ich wykorzystywania.
    14) Jeżeli przetwarzanie jest niezgodne z prawem, a osoba, której
    dane dotyczą, sprzeciwia się usunięciu danych osobowych,
    żądając w zamian ograniczenia ich wykorzystywania, uznanie
    wniosku za zasadny i przeniesienie danych z bazy danych „A”

    242 Art. 18 ust. 2 RODO


    243 Art. 18 ust. 2 RODO
    244 Art. 18 ust. 2 RODO

    322 Bezpłatna kopia do użycia wyłącznie w serwisie Scribd.com.


    Treść poradnika w postaci pliku PDF dostępna jest na stronie konsilo.pl/szkolenia.
    Załącznik 2 - Modele referencyjne procesów wynikających z RODO

    do bazy danych „B”, a także przygotowanie raportu do ADO


    ze wskazaniem przetwarzania niezgodnego z prawem.
    15) Jeżeli w uzasadnieniu wniosku nie wskazano ani przyczyny
    opisanej w pkt. 11, ani przyczyny opisanej w pkt. 13
    sprawdzenie, czy uzasadnieniem wniosku jest sytuacja, w której
    administrator nie potrzebuje już danych osobowych do celów
    przetwarzania, ale są one potrzebne osobie, której dane
    dotyczą, do ustalenia, dochodzenia lub obrony roszczeń.
    16) Jeśli ma miejsce sytuacja opisana w pkt. 15 uznanie wniosku za
    zasadny i przeniesienie danych z bazy danych „A” do bazy
    danych „B”.
    17) Jeżeli w uzasadnieniu wniosku nie wskazano przyczyny opisanej
    w pkt. 11, 13 ani 15 sprawdzenie czy osoba, której dane
    dotyczą, kwestionuje prawidłowość danych osobowych.
    18) Jeżeli w uzasadnieniu wniosku nie wskazano przyczyny opisanej
    w pkt. 11, 13, 15 ani 17 wniosek zostaje odrzucony, a proces
    przerwany.
    19) Jeżeli osoba, której dane dotyczą, kwestionuje prawidłowość
    danych osobowych uznanie wniosku za zasadny i przeniesienie
    danych z bazy danych „A” do bazy danych „B”.
    20) Jeżeli wniosek został uznany za zasadny sprawdzenie, czy w
    przetwarzaniu uczestniczą odbiorcy danych.
    21) Jeżeli w procesie uczestniczą odbiorcy danych przygotowanie
    listy odbiorców.
    22) Przekazanie podmiotom przetwarzającym informacji o
    ograniczeniu przetwarzania, które powinni wykonać również w
    odniesieniu do danych przetwarzanych w swoich zasobach.
    23) Odebranie informacji przez odbiorców, obsługa ograniczenia i
    odesłanie potwierdzenia zrealizowania ograniczenia.
    24) Otrzymanie potwierdzenia przez administratora, który otrzymał
    wniosek.

    323 Bezpłatna kopia do użycia wyłącznie w serwisie Scribd.com.


    Treść poradnika w postaci pliku PDF dostępna jest na stronie konsilo.pl/szkolenia.
    Załącznik 2 - Modele referencyjne procesów wynikających z RODO

    25) Potwierdzenie zrealizowania wniosku osobie, której dane


    dotyczą i jeżeli osoba, której dane dotyczą, tego zażąda
    dołączenie informacji o odbiorcach245.
    26) Otrzymanie potwierdzenia i informacji o odbiorcach przez
    podmiot danych.
    27) Jeżeli proces zostaje przerwany w związku z odrzuceniem
    wniosku wysłanie informacji o tym fakcie wraz z uzasadnieniem
    podmiotowi danych.

    Dla podmiotu danych proces zaczyna się od wnioskowania o


    ograniczenie przetwarzania, a kończy się na otrzymaniu
    potwierdzenia zrealizowania tego wniosku (na modelu zdarzenie
    „Odebranie potwierdzenia ograniczenia przetwarzania”) lub
    otrzymaniem informacji o przerwaniu procesu w przypadku, gdy nie
    potwierdzono, że osoba wnioskująca to podmiot danych lub gdy
    uznano, że wniosek należy odrzucić z innych powodów.

    Dla administratora danych proces zaczyna się od otrzymania wniosku


    o ograniczenie przetwarzania danych (na modelu zdarzenie
    „Otrzymanie wniosku”) i kończy się na wysłaniu potwierdzenia
    usunięcia danych (zdarzenie „Wysłanie potwierdzenia ograniczenia
    przetwarzania danych i informacji o odbiorcach”) lub na przerwaniu
    procesu przypadku, gdy nie potwierdzono, że osoba wnioskująca to
    podmiot danych lub gdy uznano, że wniosek należy odrzucić z innych
    powodów (zdarzenie „Wniosek odrzucony”).

    245 Art. 19 RODO

    324 Bezpłatna kopia do użycia wyłącznie w serwisie Scribd.com.


    Treść poradnika w postaci pliku PDF dostępna jest na stronie konsilo.pl/szkolenia.
    Załącznik 2 - Modele referencyjne procesów wynikających z RODO

    Rysunek 80 Model procesu realizacji prawa do ograniczenia przetwarzania. Źródło:


    opracowanie własne.

    Dla podmiotu przetwarzającego proces zaczyna się od otrzymania


    informacji o konieczności ograniczenia przetwarzania danych
    325 Bezpłatna kopia do użycia wyłącznie w serwisie Scribd.com.
    Treść poradnika w postaci pliku PDF dostępna jest na stronie konsilo.pl/szkolenia.

    You might also like