Ochrona danych osobowych

Temat: Pojęcie, geneza, regulacja prawna

Ochrona danych osobowych:

• Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych

i swobodnym przepływie danych – nazwa właściwa

• Celem ochrony nie są same dane a osoby, których dane poddawane są przetwarzaniu,
przed negatywnymi konsekwencjami, jakie mogą się wiązać ze zautomatyzowanym
przetwarzaniem danych

Prawo ochrony danych osobowych:

• Całokształt przepisów prawnych regulujących przetwarzanie i ochronę danych

osobowych

• W zakresie znajduje się: terminologia, ogólne zasady przetwarzania danych,

dopuszczalność przetwarzania danych, uprawnienia osób, których dane dotyczą
i obowiązków podmiotów, które przetwarzają dane oraz odpowiedzialność za
naruszenie przepisów, o organie sprawującym nadzór nad przetwarzaniem i ochroną
danych

• Znaczenie przedmiotowe = przepisy

• Znaczenie podmiotowe = prawo przysługujące osobie, której dane dotyczą, na które

składa się szereg uprawnień

Geneza prawnej ochrony danych osobowych:

• 1890 r – Samuel D. Warren i Louis D. Brandeis “The Right to Privacy”; prawo do

prywatności = prawo do bycia pozostawionym w spokoju

• Prawo do prywatności to jedno z podstawowych praw człowieka, np.:

➢ Powszechna Deklaracja Praw Człowieka (art. 12):

Nikt nie może być poddany arbitralnemu ingerowaniu w jego życie prywatne,
rodzinne, domowe lub korespondencję ani też atakom na jego honor i dobre
imię. Każdy człowiek ma prawo do ochrony prawnej przeciwko takim
ingerencjom i atakom

➢ Konwencja Praw Człowieka i Podstawowych Wartości (art. 8)

Każdy ma prawo do poszanowania swojego życia prywatnego i rodzinnego,

swojego mieszkania i swojej korespondencji.
• W Polsce w 1997 r w Konstytucji RP prawo do prywatności zostało zapisane (art. 47)

Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego

imienia oraz do decydowania o swoim życiu osobistym.

• Ustawa z 29.08.1997 r. o ochronie danych osobowych – wzorowana na Konwencji

nr 108 oraz dyrektywie 95/46/WE (w sprawie ochrony osób w odniesieniu do
przetwarzania danych osobowych i swobodnego przepływu tych danych); uregulowano
zagadnienia ogólne (zakres stosowania ustawy, definicje podstawowych pojęć,
powołano GIODO, określono ogólne zasady, opisano uprawnienia osób, których dane
dotyczą, zagadnienia zabezpieczenia danych, zasady przekazywania do państw
trzecich)

• Rozporządzenie 2016/679 (RODO) – nowe uregulowanie w ramach UE; w formie

rozporządzenia a nie dyrektywy, tj. nie wymaga implementacji, lecz ma być stosowane
wprost (krajowe regulacje mogą być tylko jej uzupełnieniem)

➢ Motywy: odnoszą się do treści kolejnych artykułów RODO; motywy zawierają

wskazówki, wytyczne, a niejednokrotnie przykłady prawidłowego stosowania
przepisów właściwych ogólnego rozporządzenia o ochronie danych. Ważne jest
zatem, aby w ich świetle interpretować poszczególne artykuły

➢ Wyłączenie zastosowania: w ramach działalności nieobjętej zakresem prawa

Unii; przez państwa członkowskie w ramach wykonywania działań
wchodzących w zakres tytułu V rozdział 2 TUE; przez osobę fizyczną w ramach
czynności o czysto osobistym lub domowym charakterze; przez właściwe
organy do celów zapobiegania przestępczości, prowadzenia postępowań
przygotowawczych, wykrywania i ścigania czynów zabronionych lub
wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa
publicznego i zapobiegania takim zagrożeniom

➢ Zastosowanie: do przetwarzania danych osobowych w sposób całkowicie lub

częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż
zautomatyzowany danych osobowych stanowiących część zbioru danych lub
mających stanowić część zbioru danych

➢ Terytorialny zakres: w związku z działalnością prowadzoną przez jednostkę

organizacyjną administratora lub podmiotu przetwarzającego w Unii,
niezależnie od tego, czy przetwarzanie odbywa się w Unii; osób, których dane
dotyczą, przebywających w Unii przez administratora lub podmiot
przetwarzający niemających jednostek organizacyjnych w Unii, jeżeli czynności
przetwarzania wiążą się z: oferowaniem towarów lub usług takim osobom,
 których dane dotyczą, w Unii – niezależnie od tego, czy wymaga się od tych
osób zapłaty / lub monitorowaniem ich zachowania, o ile do zachowania tego
dochodzi w Unii; zastosowanie do przetwarzania danych osobowych przez
administratora niemającego jednostki organizacyjnej w Unii, ale posiadającego
jednostkę organizacyjną w miejscu, w którym na mocy prawa
międzynarodowego publicznego ma zastosowanie prawo państwa
członkowskiego.

Inne podstawowe informacje:

• Godność ludzka jest uznawana za bezwzględne prawo podstawowe. W tym pojęciu

godności prywatność lub prawo do życia prywatnego, do bycia autonomicznym,
do kontrolowania informacji o sobie, do bycia pozostawionym w spokoju, odgrywa
kluczową rolę. Prywatność to nie tylko prawo indywidualne, ale także wartość
społeczna.

• Dyrektywa 95/46/WE – przetwarzanie oparte na jednej z przesłanek: zgoda osoby;

realizacja umowy; wykonywanie zobowiązania prawnego; ochrona żywotnych
interesów osób; realizacja zadania wykonywanego w interesie publicznym lub dla
wykonywania władzy publicznej; potrzeby wynikające z uzasadnionych interesów
administratora danych lub osoby trzeciej

• TFUE – art. 16: Każda osoba ma prawo do ochrony danych osobowych jej dotyczących

• KPPUE – art. 8: Każdy ma prawo do ochrony danych osobowych, które go dotyczą

Źródła prawa ochrony danych osobowych:

• Konstytucja RP - art. 51. [Prawo ochrony danych osobowych]

1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania
informacji dotyczących jego osoby.

2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji

o obywatelach niż niezbędne w demokratycznym państwie prawnym.

3. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów

danych. Ograniczenie tego prawa może określić ustawa.

4. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji

nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą.

5. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.

• Rozporządzenie PE i Rady (UE) 2016/679 z 27.04.2016 r. (RODO)

• Ustawa z 10.05.2018 r. o ochronie danych osobowych – uzupełnienie regulacji RODO,
np. przepisy o PUODO oraz kwestii proceduralnych dotyczących prowadzonych przez
niego postępowań kontrolnych i postępowań w sprawie naruszenia przepisów itp.

• Dyrektywa PE i Rady (UE) 2016/680 z 27.04.2016 r. w sprawie ochrony osób

fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do
celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych,
wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie
swobodnego przepływu takich danych → w PL implementacja ustawą o ochronie
danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem
przestępczości, która reguluje przetwarzanie danych m.in. przez policję, sądy itd.
Temat: Terminologia ochrony danych osobowych

Dane osobowe;

• Wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie

fizycznej ("osobie, której dane dotyczą" / „podmiot danych”); możliwa do
zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio
zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię
i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub
jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną,
genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby
fizycznej

• Dotyczy tylko osób żyjących, nie obejmuje osób zmarłych

• Teoria sfer:

➢ Sfera intymności – intensywna ochrona i nie powinny być dostępne dla innych

➢ Sfera prywatności – chronione, ale dostęp możliwy pod pewnymi warunkami

➢ Sfera publiczna – powszechnie dostępne i nie podlegające ochronie

• Teoria mozaiki:

➢ Różne dane osobowe zestawione ze sobą mogą tworzyć obraz człowieka

(mozaikę odzwierciedlającą różne aspekty życia osoby); stąd potrzeba ochrony
danych bez względu na ich charakter

• Powszechna ochrona danych – unijne rozwiązanie:

➢ Zasadniczo nie wyłącza się spod ochrony żadnych rodzajów danych, ale
wyróżnienie kilku kategorii danych, które wymagają bardziej intensywnej
ochrony

➢ Kategorie:

o Dane zwykłe

o Szczególne kategorie danych (dane sensytywne)

o Dane dotyczące wyroków skazujących i czynów zabronionych

 • Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub
etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe,
przynależność do związków zawodowych oraz przetwarzania danych genetycznych,
danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub
danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby → dane
sensytywne / dane wrażliwe

• Dane genetyczne – dane osobowe dotyczące odziedziczonych lub nabytych cech

genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii
lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej
pochodzącej od tej osoby fizycznej

• Dane biometryczne – dane osobowe, które wynikają ze specjalnego przetwarzania

technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby
fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie
jak wizerunek twarzy lub dane daktyloskopijne

• Dane dotyczące zdrowia – dane osobowe o zdrowiu fizycznym lub psychicznym osoby
fizycznej - w tym o korzystaniu z usług opieki zdrowotnej - ujawniające informacje
o stanie jej zdrowia

Pseudonimizacja:

• Przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać
konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod
warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte
środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie
zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej

• Pseudonimizacja może w szczególności polegać na zamianie posiadanych danych

(np. imienia i nazwiska) na ciąg liter albo cyfr, które można rozszyfrować wyłącznie na
podstawie przechowywanych oddzielnie informacji (tzw. klucza)

• Anonimizacja – pozbawienie danych cech umożliwiających identyfikację’ przepisy

o ochronie danych osobowych nie mają zastosowania do danych anonimowych
Przetwarzanie danych:

• Operacje lub zestaw operacji wykonywanych na danych osobowych lub zestawach

danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak
zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie
lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez
przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub
łączenie, ograniczanie, usuwanie lub niszczenie

• Zautomatyzowane przetwarzanie – operacje na danych osobowych wykonywane są

z wykorzystaniem mechanizmów pozwalających na samoczynne wykonywanie tych
działań, bez każdorazowej aktywności człowieka

• Niezautomatyzowane przetwarzanie – czynności na danych wykonywane są ręcznie

(każda czynność wymaga aktywności człowieka), zazwyczaj na tradycyjnych
nośnikach danych

• Przepisy unijne dotyczą wyłącznie zautomatyzowanego przetwarzania danych,

natomiast dla przetwarzania niezautomatyzowanego przepisy stosujemy tylko, jeżeli
dane mają być lub są częścią zbioru danych

• Ograniczenie przetwarzania - oznaczenie przechowywanych danych osobowych w celu

ograniczenia ich przyszłego przetwarzania

• Transgraniczne przetwarzanie:

➢ przetwarzanie danych osobowych, które odbywa się w Unii w ramach

działalności jednostek organizacyjnych w więcej, niż jednym państwie
członkowskim administratora lub podmiotu przetwarzającego w Unii
posiadającego jednostki organizacyjne w więcej niż jednym państwie
członkowskim

➢ przetwarzanie danych osobowych, które odbywa się w Unii w ramach

działalności pojedynczej jednostki organizacyjnej administratora lub podmiotu
przetwarzającego w Unii, ale które znacznie wpływa lub może znacznie
wpłynąć na osoby, których dane dotyczą, w więcej niż jednym państwie
członkowskim
Profilowanie:

• Oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które

polega na wykorzystaniu danych osobowych do oceny niektórych czynników
osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów
dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia,
osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub
przemieszczania się

Zbiór danych:

• uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów,

niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy
rozproszony funkcjonalnie lub geograficznie

Administrator:

• Oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który
samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych
osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub
w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa
członkowskiego może zostać wyznaczony administrator lub mogą zostać określone
konkretne kryteria jego wyznaczania

• Współadministratorzy:

➢ Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby

przetwarzania, są oni współadministratorami. W drodze wspólnych uzgodnień
współadministratorzy w przejrzysty sposób określają odpowiednie zakresy
swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających
z niniejszego rozporządzenia, w szczególności w odniesieniu do wykonywania
przez osobę, której dane dotyczą, przysługujących jej praw, oraz ich
obowiązków w odniesieniu do podawania informacji, chyba że przypadające im
obowiązki i ich zakres określa prawo Unii lub prawo państwa członkowskiego,
któremu administratorzy ci podlegają. W uzgodnieniach można wskazać punkt
kontaktowy dla osób, których dane dotyczą

• Przedstawiciel administratora lub podmiotu przetwarzającego niemającego jednostki

organizacyjnej w UE:

➢ Może być osoba fizyczna lub prawna mająca miejsce zamieszkania lub siedzibę
w UE

➢ Reprezentuje administratora w zakresie obowiązków

Podmiot przetwarzający dane na zlecenie:

• Oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który
przetwarza dane osobowe w imieniu administratora

• Na podstawie umowy powierzenia bądź innego instrumentu prawnego

(np. porozumienie administracyjne między podmiotami publicznymi); prawodawca
unijny szczegółowo określa wymogi, jakim powinna odpowiadać umowa powierzenia
lub inny instrument prawny oraz nakłada na podmiot przetwarzający szereg
obowiązków, przewidując odpowiedzialność za ich wykonanie

• Możliwość podpowierzenia podwykonawcy – dopuszczalność jest uzależniona od

zgody administratora danych

Osoba upoważniona do przetwarzania danych:

• Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub

podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je
wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo
państwa członkowskiego

Odbiorca danych:

• Oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot,
któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy
publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania
zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane
za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z
przepisami o ochronie danych mającymi zastosowanie stosownie do celów
przetwarzania

Strona trzecia:

• Oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż
osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które
- z upoważnienia administratora lub podmiotu przetwarzającego - mogą przetwarzać
dane osobowe

Inspektor ochrony danych:

• Osoba fizyczna wyznaczona przez administratora, posiadająca wiedzę fachową

i odpowiednie umiejętności, która ma za zadanie wspomagać administratora,
monitorowanie przestrzegania przepisów o ochronie danych, współprace z organem
nadzorczym i pełnienie funkcji punktu kontaktowego
Organ nadzorczy – organ właściwy w sprawach ochrony danych:

• Niezależny organ publiczny ustanowiony przez państwo członkowskie

• Prawodawca unijny uregulował zasady powoływania organu nadzorczego, określił jego

status i właściwość, a także unormował jego zadania i uprawnienia

• W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych – uprawniony jest do

prowadzenia kontroli przestrzegania przepisów o ochronie danych oraz do wydawania
decyzji administracyjnych zmierzających do przywrócenia stanu zgodnego z prawem,
jak również do nakładania administracyjnych kar pieniężnych

Naruszenie ochrony danych:

• Naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem

zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub
nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub
w inny sposób przetwarzanych

• Obowiązek zgłaszania naruszeń organowi nadzorczemu oraz zawiadamiania osób,

których dane dotyczą, o naruszeniu ochrony danych

Ochrona a zabezpieczenie danych:

• Ochrona danych – całokształt mechanizmów prawnych pozwalających chronić osobę,

której dane dotyczą, przed negatywnymi konsekwencjami przetwarzania jej danych
osobowych; ochrona realizowana przez spełnienie wymogów prawnych

• Zabezpieczenie danych – wymóg wdrożenia odpowiednich środków technicznych

i organizacyjnych, które pozwolą zapewnić, aby przetwarzanie odbywało się zgodnie
z przepisami ochronie danych

• Unijny prawodawca przyjął podejście oparte na ryzyku:

➢ Administrator danych powinien przeprowadzić ocenę ryzyka, uwzględniając

charakter, zakres, kontekst oraz cele przetwarzania danych, i w oparciu o wyniki
takiej analizy powinien dokonywać wyboru odpowiednich zabezpieczeń
technicznych i organizacyjnych, które pozwolą zapewnić wymagany przepisami
prawa poziom ochrony danych
Temat: Zasady przetwarzania danych osobowych

Katalog zasad zgodnie z art. 5 dyrektywy RODO:

• Zgodność z prawem, rzetelność i przejrzystość – ust. 1 lit. a

• Celowość (ograniczenie celu) – ust. 1 lit. b

• Adekwatność i ograniczenie zakresu danych – ust. 1 lit. c

• Merytoryczna poprawność – ust. 1 lit. d

• Czasowego ograniczenia przechowywania danych – ust. 1 lit. e

• Zabezpieczenia (bezpieczeństwa) danych (integralności i poufności danych) – ust.1 lit.f

• Nałożenie na administratora odpowiedzialności za przestrzeganie zasad oraz wymóg

rozliczalności

Zasada zgodności z prawem, rzetelności i przejrzystości przetwarzania danych:

• Zgodność przetwarzania danych z prawem – nakaz przestrzegania przepisów prawa

przy przetwarzaniu danych; dotyczy prawa unijnego oraz krajowego; przestrzeganie
norm prawa materialnego, jak i norm proceduralnych; odnosi się też do respektowania
pozostałych zasad przetwarzania i ochrony danych; realizacji uprawnień podmiotów
danych oraz spełniania innych obowiązków określonych przepisami; konieczność
oparcia przetwarzania na jednej z podstaw dopuszczalności przetwarzania (przesłanki
legalności)

• Rzetelność przetwarzania danych – konieczność przetwarzania danych w sposób

staranny, dokładny, należyty, właściwy, postępowania zgodnego ze standardami
i regułami przyjętymi w praktyce dla danego rodzaju działalności; obejmuje to również
postepowanie w sposób uczciwy i w dobrej wierze

• Przejrzystość przetwarzania danych dla osoby, której dane dotyczą – przetwarzanie

danych tak, aby podmiot danych uzyskał wiedzę, że jego dane są przetwarzane oraz
informację o tym, jakie uprawnienia przysługują mu w związku z tym; sprowadza się
to do obowiązku informacyjnego

Zasada celowości przetwarzania danych (ograniczenie celu przetwarzania):

• Dane powinny być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach

i nieprzetwarzane dalej w sposób niezgodny z tymi celami → cel determinuje zakres
przetwarzania danych
 • Cel dla podmiotów publicznych powinien być określony w przepisach prawa (zasada
legalności działań administracji publicznej); cel w sektorze prywatnym może być nie
tylko oparty na określeniu przepisami, ale może być samodzielnie wyznaczony (np. cele
marketingowe)

• Zakaz dalszego przetwarzania w sposób niezgodny z celem, dla których były zbierane;
w szczególności za zgodne z pierwotnymi celami prawodawca uznał dalsze
przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań
naukowych, historycznych oraz statystycznych

Zasada adekwatności i minimalizacji danych:

• Dane powinny być odpowiednie, proporcjonalne, nienadmierne, ograniczone do tego,

co niezbędne do celów, w których są przetwarzane

• Minimalizacja z uwzględnieniem adekwatności – wymóg ograniczenia zakresu

przetwarzanych danych przy jednoczesnym uwzględnieniu okoliczności związanych
z osiągnieciem celu przetwarzania

• Ocena adekwatności – dokonuje administrator danych albo ocena już dokonana przez
prawodawcę, który wskazał w przepisach, jakie dane mogą być przetwarzane dla
osiągnięcia określonego celu

• Ochrona prywatności w ustawieniach domyślnych – administrator powinien wdrożyć

odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były
wyłącznie te dane osobowe, które są niezbędne do osiągnięcia każdego konkretnego
celu przetwarzania

• Nakaz usunięcia danych, które stały się zbędne do osiągnięcia celu przetwarzania

Zasada merytorycznej poprawności danych:

• Przetwarzane dane powinny być prawidłowe oraz w razie potrzeby aktualizowane (dane
aktualne, pozbawione błędów i zgodne ze stanem faktycznym)

• Obowiązek podjęcia wszelkich rozsądnych działań, aby dane osobowe, które są

nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub
sprostowane; obowiązek leży na administratorze

Zasada czasowego ograniczenia przechowywania danych:

• Dane osobowe powinny być przechowywane w formie umożliwiającej identyfikację

osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów,
w których dane te są przetwarzane; po tym czasie powinny być usunięte lub
zanonimizowane
 • Rozporządzenie wymaga aby administrator określił terminy usuwania danych oraz
informował o tych terminach osoby, których dane dotyczą; czasami przepisy wskazują
te terminy

• Wyjątki:

➢ Dane osobowe można przechowywać przez okres dłuższy, o ile będą one
przetwarzane do celów archiwalnych, badań naukowych, historycznych lub
statystycznych, z zastrzeżeniem wdrożenia odpowiednich środków
technicznych i organizacyjnych celem ochrony praw i wolności osób, których
dotyczą

Zasada zabezpieczenia (bezpieczeństwa) danych:

• Bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub

niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub
uszkodzeniem, za pomocą odpowiednich środków technicznych i organizacyjnych

• Administrator powinien dokonać analizy ryzyka i ocenić, z jakimi zagrożeniami ma do

czynienia, aby móc zastosować odpowiednie środki pozwalające skutecznie
zabezpieczyć przetwarzane dane; zastosowane zabezpieczenia mają być proporcjonalne
do zagrożeń

• Zabezpieczenia służą zachowaniu integralności i poufności danych:

➢ Integralność – wymaganie, aby dane nie były zmieniane ani usuwane w sposób
nieautoryzowany (przez osoby nieuprawnione)

➢ Poufność – wymóg, by dane nie były udostępniane osobom, które nie są

uprawnione do dostępu do danych

• Konsekwencją niewłaściwego zabezpieczenia danych może być naruszenie

bezpieczeństwa danych, które pociąga za sobą obowiązki dotyczące zgłaszania
naruszeń organowi nadzorczemu, prowadzenia rejestru naruszeń oraz zawiadamiania
osób, których dane dotyczą, o naruszeniu ochrony danych

• Powiązanie z wymogiem dotyczącym uwzględniania prywatności na etapie

projektowania – obowiązek zastosowania odpowiednich zabezpieczeń już przy
tworzeniu koncepcji, projektowaniu procesów przetwarzania

Odpowiedzialność za przestrzeganie zasad, rozliczalność:

• Za przestrzeganie zasad odpowiedzialny jest administrator, który powinien być w stanie

wykazać ich przestrzeganie (obarczenie zasadne, ponieważ adresatem norm
określających zasady przetwarzania jest administrator)
• Naruszenie przepisów określających zasady przetwarzania danych może pociągać za
sobą: odpowiedzialność administracyjną (np. kary pieniężne nakładane przez organ
nadzorczy); odpowiedzialność cywilną (np. odpowiedzialność odszkodowawcza za
naruszenie prawa do prywatności) oraz odpowiedzialność karna (np. za bezprawne
przetwarzanie danych)

• Z odpowiedzialnością związany jest wymóg zapewnienia możliwości wykazania

przestrzegania ogólnych zasad przetwarzania danych → rozliczalność; jest to nałożenie
na administratora ciężaru dowodu; udowodnienie możliwe głównie w oparciu
o dokumenty, które wskazują działania podjęte przez administratora w celu
przestrzegania zasad ochrony danych (np. rejestr czynności przetwarzania)

• Rozliczalność w znaczeniu technicznym – właściwość zapewniająca, że działania

podmiotu mogą być przepisane w sposób jednoznaczny tylko temu podmiotowi
Temat: Prawa osób, których dane poddawane są przetwarzaniu

Prawo do ochrony danych osobowych – istota, zakres:

• Prawo do ochrony danych osobowych jako prawo podmiotowe, to podstawowe prawo

człowieka do tego, by był chroniony przez niezgodnym z przepisami przetwarzaniem
jego danych i negatywnymi konsekwencjami, jakie z tego wynikają – cel to
zagwarantowanie ochrony osobie; ochrona jej danych to tylko instrument

• Kategorie uprawnień:

➢ Uprawnienia informacyjne

➢ Uprawnienia korekcyjne

➢ Uprawnienia decyzyjne

➢ Uprawnienia do korzystania ze środków ochrony prawnej i uzyskiwania

odszkodowania

• Korzystanie z powyższych uprawnień jest co do zasady wolne od opłat; wyjątek to

sytuacja, gdy żądanie osoby jest ewidentnie nieuzasadnione lub nadmierne

• W celu realizacji uprawnień podmiot może zwrócić się do inspektora ochrony danych,
a jeżeli takiej osoby brak to wystąpić z wnioskiem do administratora; poszczególnym
uprawnieniom podmiotu odpowiadają określone obowiązki administratora

Uprawnienia informacyjne:

• Uprawnienia do uzyskania informacji o przetwarzaniu danych oraz dostępu do danych

na swój temat; mają charakter pierwotny w stosunku do pozostałych uprawnień
podmiotu danych, tj. bez możliwości ich realizacji nie jest możliwe skorzystanie
z innych uprawnień

• Nakaz przetwarzania danych w sposób przejrzysty dla osoby, której dane dotyczą,
tj. aby informacje podawane były w zwięzłej, przejrzystej, zrozumiałem i łatwo
dostępnej formie, jasnym i prostym językiem

• Bierne uprawnienia informacyjne:

➢ Prawo do bycia poinformowanym – realizacja tych uprawnień nie wymaga od

osoby szczególnej aktywności, gdyż wynika z nałożonego na administratora
obowiązku informowania podmiotów danych
 • Czynna uprawnienia informacyjne:

➢ Uprawnienie do uzyskania informacji na wniosek podmiotu danych oraz

uzyskania dostępu do danych

• Uprawnienia te mogą być realizowane na różnych etapach przetwarzania danych –

podstawowe znaczenie ma informowanie osoby, której dane dotyczą, o przetwarzaniu
jej danych na etapie gromadzenia danych; odmienne uregulowania w zależności od
tego, czy informacje zbierane są bezpośrednio od osoby, której dotyczą, czy też
gromadzone są z innych źródeł (informacje do podania: kto, w jakim celu, na jakiej
podstawie i w jakim zakresie przetwarza dane); dodatkowo obowiązek informowania
o zmianie celu przetwarzania oraz naruszeniach ochrony danych

• Uprawnienia mogą być realizowane także na dalszych etapach przetwarzania –

uprawnienie do żądania od administratora udzielenia informacji o tym, czy dane na
temat wnioskodawcy są przetwarzane, a jeżeli tak, to żądanie dostępu do danych;
dostarczenia kopii danych oraz podania szczegółowych informacji na temat
przetwarzania danych

• Realizacja żądania dostępu do danych może polegać na umożliwieniu osobie

zapoznania się z treścią zgromadzonych danych, natomiast spełnienie żądania
dostarczenia kopii danych podlegających przetwarzaniu wymaga przekazania osobie
kopii danych zapisanych w odpowiednim formacie elektronicznym lub w postaci
wydruku

Uprawnienia korekcyjne:

• Dane osobowe powinny być prawidłowe, w razie potrzeby uaktualniane, a ponadto

należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe
w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane

• Osoba może domagać się od administratora niezwłocznego sprostowania danych; ciężar

dowodu wykazania nieprawidłowości spoczywa na osobie, której dane dotyczą,
domagającej się sprostowania danych

• Możliwość żądania od administratora uzupełnienia niekompletnych danych (brak

charakteru bezwzględnego, o jego zasadności rozstrzyga administrator)

• Uprawnienie do żądania usunięcia danych w sytuacji, gdy: danie nie są już niezbędne
do osiągnięcia celu lub dane są przetwarzane niezgodnie z prawem
Uprawnienia decyzyjne:

• Osoba, której dane dotyczą, nie ma pełnej swobody, gdy chodzi o decydowanie
o przetwarzaniu jej danych, ponieważ czasami prawodawca przesądził
o dopuszczalności przetwarzania danych, ograniczając tym samym wpływ podmiotu
danych na procesy przetwarzania

• Uprawnienia pozwalające wywierać decydujący wpływ na przetwarzanie danych:

➢ Zgoda na przetwarzanie danych

➢ Żądanie usunięcia danych (tzw. prawa do bycia zapomnianym)

➢ Żądanie ograniczenia przetwarzania danych

➢ Możliwość wyrażenia sprzeciwy

Dodatkowo:

➢ Prawo do przenoszenia danych

➢ Prawo do niepodlegania decyzjom opartym na zautomatyzowanym

przetwarzaniu, w tym profilowaniu

• Zgoda na przetwarzanie danych jest podstawą dopuszczalności przetwarzania danych;

administrator musi uzyskać dobrowolną, konkretną, świadomą i jednoznaczną zgodę od
osoby, której dane dotyczą; podmiot danych musi mieć swobodę w zakresie udzielenia
bądź odmowy udzielenia zgody

• Uprawnienie do wniesienia sprzeciwu wobec przetwarzania danych; sprzeciw nie ma

charakteru powszechnego i przysługuje, tylko w przypadku, gdy dane przetwarzane są
na jednej z dwóch podstaw: (1) przetwarzanie niezbędne do wykonania zadania
realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej
powierzonej administratorowi; (2) przetwarzanie niezbędne do celów wynikających
z prawnie uzasadnionych interesów realizowanych przez administratora lub przez
stronę trzecią

• Żądanie ograniczenia przetwarzania danych – przypadki:

➢ osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych - na

okres pozwalający administratorowi sprawdzić prawidłowość tych danych

➢ przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia

się usunięciu danych osobowych, żądając w zamian ograniczenia ich
wykorzystywania
 ➢ administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale
są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub
obrony roszczeń

➢ osoba, której dane dotyczą, wniosła sprzeciw wobec przetwarzania (z wyjątkiem

sprzeciwu w celach marketingowych) do czasu stwierdzenia, czy prawnie
uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw
sprzeciwu osoby, której dane dotyczą

• Żądanie usunięcia danych (prawo do bycia zapomnianym) – przesłanki:

➢ Dane nie są już niezbędne do osiągnięcia celu, w którym zostały zebrane

➢ Dane przetwarzane są niezgodnie z prawem bądź przepisy nakładają obowiązek

usunięcia danych

➢ Usunięcie, jeżeli osoba nie życzy sobie dalszego przetwarzania:

o Cofnięcie zgody na przetwarzanie danych

o Wyrażenie sprzeciwu

o Dane zostały zebrane w związku z oferowaniem usług społeczeństwa

informacyjnego dziecku

Dalsze informacje do tematu:

➢ Administrator ma obowiązek podjąć rozsądne działania, by poinformować

administratorów przetwarzających dane, że osoba żąda usunięcia wszelkich
łączy do tych danych, kopie tych danych oraz ich replikacje

➢ Wyjątki od powyższego („gdy dane przetwarzane niezbędne są do…”):

o do korzystania z prawa do wolności wypowiedzi i informacji

o do wywiązania się z prawnego obowiązku wymagającego przetwarzania

na mocy prawa lub do wykonania zadania realizowanego w interesie
publicznym lub w ramach sprawowania władzy publicznej powierzonej
administratorowi

o z uwagi na względy interesu publicznego w dziedzinie zdrowia

publicznego

o do celów archiwalnych w interesie publicznym, do celów badań

naukowych lub historycznych lub do celów statystycznych o ile
prawdopodobne jest, że prawo uniemożliwi lub poważnie utrudni
realizację celów takiego przetwarzania
 o do ustalenia, dochodzenia lub obrony roszczeń

• Żądanie przeniesienia danych:

➢ Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym,

powszechnie używanym formacie nadającym się do odczytu maszynowego
dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo
przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony
administratora, któremu dostarczono te dane osobowe

→ zapewnienie swobodnej zmiany dostawcy usług

➢ Uprawnienie przysługuje tylko, jeżeli spełnione są dwa wymogi:

o Przetwarzanie odbywa się na podstawie zgody lub umowy

o Przetwarzanie odbywa się w sposób zautomatyzowany

• Niepodleganie decyzjom opartym na zautomatyzowanym przetwarzaniu:

➢ Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która
opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu,
i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią
wpływa

➢ Powyższe nie ma zastosowania, gdy:

o jest niezbędna do zawarcia lub wykonania umowy między osobą, której

dane dotyczą, a administratorem

o jest dozwolona prawem, które przewiduje właściwe środki ochrony

praw, wolności i prawnie uzasadnionych interesów osoby, której dane
dotyczą

o opiera się na wyraźnej zgodzie osoby, której dane dotyczą

Uprawnienia do korzystania ze środków ochrony prawnej i uzyskania odszkodowania:

• Środki ochrony prawnej:

➢ Skarga do organu nadzorczego

➢ Skarga do sądu administracyjnego na decyzję bądź bezczynność organu

nadzorczego

➢ Powództwo do sądu przeciwko administratorowi lub podmiotowi

przetwarzającemu
 Dodatkowy punkt:

➢ Osoba, która poniosła szkodę w wyniku naruszenia przepisów unijnego

rozporządzenia, ma prawo do uzyskania odszkodowania od administratora lub
podmiotu przetwarzającego

• Skarga do organu nadzorczego:

➢ Przysługuje osobie, której dane dotyczą, gdy ta osoba uważa, że przetwarzanie

jej danych narusza przepisy o ochronie danych osobowych; organ właściwy to
PUODO (rozpatruje skargi i posiada uprawnienia nadzorcze pozwalające
odprowadzić do przywrócenia stanu zgodnego z prawem)

➢ Skarga inicjuje postępowanie administracyjne, które może zakończyć się

wydaniem decyzji administracyjnej

• Skarga do sądu administracyjnego:

➢ Przysługuje każdemu, kogo dotyczy prawnie wiążąca decyzja organu

nadzorczego lub gdy organ nie rozpatrzył skargi bądź nie poinformował
podmiotu danych w terminie 3 miesięcy o postępach lub efektach rozpatrywania
skargi

➢ Postępowanie przed PUODO jest jednoinstancyjne, czyli decyzja tego organu

podlega zaskarżeniu do sądu administracyjnego bez wniosku o ponowne
rozpatrzenie sprawy – skarga na decyzję do WSA, skarga kasacyjna NSA

• Powództwo do sądu:

➢ Osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej

przed sądem, jeżeli uzna, że prawa przysługujące jej na mocy rozporządzenia
zostały naruszone w wyniku przetwarzania danych z naruszeniem
rozporządzenia; w PL prawie są to roszczenia cywilne; właściwy jest sąd
okręgowy

• Uzyskanie odszkodowania za szkodę:

➢ W przypadku szkody majątkowej lub niemajątkowej; przepisy wskazują

przesłanki zwolnienia z odpowiedzialności; przewidziana odpowiedzialność
solidarna administratorów oraz podmiotów oraz uregulowanie roszczeń
regresowych

• Możliwość umocowania organizacji społecznej do reprezentowania osoby

w postepowaniach przed organem lub sądami
Temat: Inspektor ochrony danych

Unijny prawodawca uznał, że administrator danych, a także podmiot przetwarzający mogą być
wspierani w tym zakresie przez osobę mającą odpowiednie przygotowanie merytoryczne
(wiedzę i umiejętności) w dziedzinie ochrony danych osobowych. Taką rolę spełniają
inspektorzy ochrony danych (zastąpili administratorów bezpieczeństwa informacji).

Wyznaczenie inspektora ochrony danych:

• W niektórych przypadkach jest obligatoryjne – obowiązek mają trzy grupy:

➢ przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów

w zakresie sprawowania przez nie wymiaru sprawiedliwości; w PL: jednostki
sektora finansów publicznych, instytuty badawcze oraz NBP

➢ główna działalność administratora lub podmiotu przetwarzającego polega na

operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele
wymagają regularnego i systematycznego monitorowania osób, których dane
dotyczą, na dużą skalę (monitorowanie oznacza prowadzenie obserwacji i może
dotyczyć zachowań, zainteresowań czy preferencji osób)

➢ główna działalność administratora lub podmiotu przetwarzającego polega na

przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych lub
danych osobowych dotyczących wyroków skazujących i czynów zabronionych

→ w pozostałych przypadkach wyznaczenie IOD jest fakultatywne

• Grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych, o ile

można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej
(tzw. outsourcing funkcji IOD)

• Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych,

a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony
danych oraz umiejętności wypełnienia zadań

• Inspektor ochrony danych może być członkiem personelu administratora lub podmiotu
przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług
(stosunek cywilnoprawny)

• Administrator lub podmiot przetwarzający publikują dane kontaktowe inspektora

ochrony danych i zawiadamiają o nich organ nadzorczy; w PL: publikacja na stronie
internetowej, a jeżeli jej brak to w sposób ogólnie dostępny w miejscu prowadzenia
działalności; obowiązkowe wskazanie imienia i nazwiska
 • W polskim uodo uregulowano kwestię wyznaczania zastępcy inspektora ochrony
danych – możliwe wyznaczenie zastępcy, gdy IOD nieobecny; względem takiej osoby
stosuje się wszystkie uregulowania dotyczące IOD

• W sytuacji, gdy z przepisów nie wynika obowiązek wyznaczenia IOD Grupa robocza
zaleca administratorom i podmiotom przetwarzającym udokumentowanie wewnętrznej
procedury przeprowadzonej w celu ustalenia obowiązku bądź braku obowiązku
wyznaczenia IOD, celem wykazania, iż stosowne czynniki zostały uwzględnione. Ta
procedura powinna stać się częścią dokumentacji tworzonej zgodnie z zasadą
rozliczalności

Status inspektora ochrony danych:

• Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych

był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych
osobowych

• Administrator oraz podmiot przetwarzający wspierają inspektora ochrony danych

w wypełnianiu przez niego zadań, zapewniając mu zasoby niezbędne do wykonania
tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby
niezbędne do utrzymania jego wiedzy fachowej

• Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych

nie otrzymywał instrukcji dotyczących wykonywania tych zadań. Nie jest on
odwoływany ani karany przez administratora ani podmiot przetwarzający za
wypełnianie swoich zadań. Inspektor ochrony danych bezpośrednio podlega
najwyższemu kierownictwu administratora lub podmiotu przetwarzającego

• Osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych we
wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz
z wykonywaniem praw przysługujących im

• Inspektor ochrony danych jest zobowiązany do zachowania tajemnicy lub poufności co

do wykonywania swoich zadań - zgodnie z prawem Unii lub prawem państwa
członkowskiego

• Inspektor ochrony danych może wykonywać inne zadania i obowiązki. Administrator

lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały
konfliktu interesów

• Charakter obowiązków jest zarówno wewnętrzny oraz zewnętrzny – IOD ma być

punktem kontaktowym nie tylko dla organu nadzorczego, ale również dla podmiotów
danych
Zadania inspektora ochrony danych:

• Zadania można podzielić na 4 grupy:

➢ Zadania informacyjne i doradcze

➢ Zadania monitorujące i nadzorcze

➢ Zadania w zakresie współpracy z organem nadzorczym

➢ Inne zadania

• Zadania informacyjne i doradcze:

➢ informowanie administratora, podmiotu przetwarzającego oraz pracowników,

którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na
mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw
członkowskich o ochronie danych i doradzanie im w tej sprawie

➢ udzielanie zaleceń co do oceny skutków dla ochrony danych

• Zadania monitorujące i nadzorcze:

➢ monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów

Unii lub państw członkowskich o ochronie danych oraz polityk administratora
lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych,
w tym podział obowiązków, działania zwiększające świadomość, szkolenia
personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym
audyty

➢ jeżeli stwierdzi nieprawidłowości – podejmuje władcze działania zmierzające

do usunięcia nieprawidłowości i doprowadzenia do stanu zgodnego z prawem

• Zadania w zakresie współpracy z organem nadzorczym:

➢ obowiązek udostępniania na żądanie organu informacji mających związek

z przetwarzaniem danych; umożliwienie kontrolującym z UODO
przeprowadzenie czynności kontrolnych

➢ pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach

związanych z przetwarzaniem, w tym z uprzednimi konsultacjami oraz
w stosownych przypadkach prowadzenie konsultacji we wszelkich innych
sprawach

• Inne zadania:

➢ Pełnienie funkcji punktu kontaktowego dla osób, których dane dotyczą

Temat: Organ nadzorczy

Prezes Urzędu Ochrony Danych Osobowych jako organ nadzorczy:

• Każde państwo członkowskie zapewnia, by za monitorowanie stosowania niniejszego

rozporządzenia odpowiadał co najmniej jeden niezależny organ publiczny w celu
ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem
oraz ułatwiania swobodnego przepływu danych osobowych w Unii

• Każdy organ nadzorczy podczas wypełniania swoich zadań i wykonywania swoich

uprawnień zgodnie z niniejszym rozporządzeniem działa w sposób w pełni niezależny

• Członek lub członkowie każdego organu nadzorczego podczas wypełniania swoich

zadań i wykonywania swoich uprawnień zgodnie z niniejszym rozporządzeniem
pozostają wolni od bezpośrednich i pośrednich wpływów zewnętrznych, nie zwracają
się do nikogo o instrukcje ani ich od nikogo nie przyjmują

• Członek lub członkowie każdego organu nadzorczego powstrzymują się od wszelkich

czynności sprzecznych ze swoimi obowiązkami i podczas swojej kadencji nie
podejmują żadnego zajęcia zarobkowego ani niezarobkowego sprzecznego z tymi
obowiązkami

• Każde państwo członkowskie zapewnia, by każdy organ nadzorczy dysponował

zasobami kadrowymi, technicznymi i finansowymi, pomieszczeniami i infrastrukturą
niezbędnymi do skutecznego wypełniania swoich zadań i wykonywania swoich
uprawnień, w tym w zakresie wzajemnej pomocy, współpracy i uczestnictwa w pracach
Europejskiej Rady Ochrony Danych

• Każde państwo członkowskie zapewnia, by każdy organ nadzorczy wybierał i posiadał

własny personel, działający pod wyłącznym kierownictwem członka lub członków
danego organu nadzorczego

• Każde państwo członkowskie zapewnia, by każdy organ nadzorczy podlegał kontroli

finansowej w sposób nienaruszający jego niezależności oraz dysponował odrębnym,
publicznym budżetem rocznym, który może być częścią ogólnego budżetu
państwowego lub krajowego

• W PL organem właściwym oraz organem nadzorczym jest Prezes UODO

• Gwarancje niezależności PUODO:

➢ Podległość wyłącznie ustawie w zakresie wykonywania swoich zadań

➢ Sposób powoływania i odwoływania organu

o Powołanie i odwołanie przez Sejm za zgodą Senatu

o Kadencja wygasa ze śmiercią, odwołaniem lub utratą obywatelstwa

o Odwołanie możliwe tylko, gdy: zrzekł się stanowiska, stał się trwale
niezdolny do pełnienia obowiązków, sprzeniewierzył się ślubowaniu,
został pozbawiony praw publicznych, został skazany prawomocnym
wyrokiem sądu za popełnienie umyślnego przestępstwa lub przestępstwa
skarbowego

➢ Wymogi stawiane kandydatowi

o Obywatel polski

o Wyższe wykształcenie

o Wyróżniająca się wiedza prawnicza i doświadczenie z zakresu ochrony

danych osobowych

o Korzysta z pełni praw publicznych

o Nie była skazana prawomocnym wyrokiem za umyślne przestępstwo lub

przestępstwo skarbowe

o Nieposzlakowana opinia

➢ Zakaz łączenia stanowisk (incompatibilitas) i wykonywania innych zadań

➢ Zakaz przynależności do partii politycznej i związku zawodowego

➢ Kadencyjność

o 4 lata kadencja

o max. 2 kadencje

➢ Immunitet

o Formalny – nie może być pociągnięty do odpowiedzialności karnej ani

pozbawiony wolności bez uprzedniej zgody Sejmu

o Gwarancje nietykalności osobistej

 • PUODO może powołać do 3 zastępców spośród osób spełniających wymogi określone
przepisami; aparatem pomocniczym do wykonywania jego zadań jest UODO, którego
organizację i zakres zadań Prezes określa w statucie nadawanym w formie zarządzenia

Zadania organu nadzorczego:

• Pięć zasadniczych grup zadań:

➢ Zadania nadzorcze

o monitoruje i egzekwuje stosowanie niniejszego rozporządzenia

o rozpatruje skargi i prowadzi postępowania w sprawach skarg

o przyjmuje standardowe klauzule umowne

o ustanawia i prowadzi wykaz dotyczący dokonywania oceny skutków dla

ochrony danych

o opiniuje i zatwierdza kodeksy postępowania; zatwierdza kryteria

certyfikacji oraz dokonuje okresowego przeglądu certyfikacji

o opracowuje i publikuje wymogi akredytacji podmiotu monitorującego

kodeksy postępowania

o wydaje zezwolenia na klauzule umowne i postanowienia uzgodnień

administracyjnych mające stanowić odpowiednie zabezpieczenie

o zatwierdzanie wiążących reguł korporacyjnych

➢ Zadania doradcze

o Doradzanie, zgodnie z prawem państwa, parlamentowi, rządowi oraz

innym instytucjom i organom w sprawie aktów prawnych
i administracyjnych środków ochrony praw i wolności osób fizycznych
w związku z przetwarzaniem

o Udzielanie osobie, której dane dotyczą, na jej żądanie informacji

o wykonywaniu praw przysługujących jej na mocy rozporządzenia

➢ Zadania edukacyjne

o Upowszechnianie w społeczeństwie wiedzy o ryzyku, przepisach,

zabezpieczeniach i prawach związanych z przetwarzaniem oraz
rozumieniem tych zjawisk

o Upowszechnianie wśród administratorów i podmiotów

przetwarzających wiedzy o obowiązkach na nich spoczywających
 o Zachęcanie do sporządzania kodeksów postepowania

o Zachęcanie do ustanawiania mechanizmów certyfikacji oraz znaków

jakości i oznaczeń z dziedziny ochrony danych osobowych

➢ Zadania w zakresie współpracy z innymi organami

o Współpraca z organami nadzorczymi innych państw w celu udzielania

osobie, której dane dotyczą, na jej żądanie informacji o wykonywaniu
praw przysługujących

o Współpraca z innymi organami nadzorczymi, w tym dzielenie się

informacjami oraz świadczenie wzajemnej pomocy w celu zapewnienia
spójnego stosowania i egzekwowania rozporządzenia

o Uczestnictwo w pracach Europejskiej Rady Ochrony Danych

➢ Inne zadania

o Monitorowanie zmian w stosowanych dziedzinach, gdzie występuje

zagadnienie ochrony danych osobowych

o Inne zadania związane z ochroną danych osobowych określone

w przepisach (np. roczne sprawozdanie z działalności)

Uprawnienia organu nadzorczego:

• Trzy grupy uprawnień:

➢ Uprawnienia związane z prowadzonymi postępowaniami

o nakazanie dostarczenia wszelkich informacji potrzebnych organowi

nadzorczemu do realizacji swoich zadań

o prowadzenie postępowań w formie audytów ochrony danych

o dokonywanie przeglądu udzielonych certyfikacji

o zawiadamianie o podejrzeniu naruszenia rozporządzenia

o uzyskiwanie dostępu do wszelkich danych osobowych i wszelkich

informacji niezbędnych organowi nadzorczemu do realizacji swoich
zadań

o uzyskiwanie dostępu do wszystkich pomieszczeń administratora

i podmiotu przetwarzającego, w tym do sprzętu i środków służących do
przetwarzania danych, zgodnie z procedurami określonymi prawem
➢ Uprawnienia naprawcze

o Wydawanie ostrzeżeń – powinny mieć charakter prewencyjny

i wydawane, gdy organ dostrzega możliwość naruszenia przepisów przez
planowane operacje przetwarzania

o Udzielanie upomnień – może być stosowane, gdy naruszenie przepisów

jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby
fizycznej nieproporcjonalne obciążenie

o Wydawanie nakazów i zakazów

✓ nakazanie spełnienia żądania osoby, której dane dotyczą

✓ nakazanie dostosowania operacji przetwarzania do przepisów

rozporządzenia

✓ nakazanie zawiadomienia osoby, której dane dotyczą,

o naruszeniu ochrony danych

✓ nakazanie sprostowania lub usunięcia danych osobowych lub

ograniczenia ich przetwarzania oraz powiadomienia o tym
odbiorców

✓ nakazanie zawieszenia przepływu danych do odbiorcy

w państwie trzecim lub do organizacji międzynarodowej

✓ nakazanie podmiotowi certyfikującemu nieudzielania lub

cofnięcia certyfikacji (organ nadzorczy może samodzielnie
cofnąć certyfikację)

o Nakładanie administracyjnych kar pieniężnych

→ charakter oddziaływania władczego

➢ Uprawnienia w zakresie wydawania zezwoleń i uprawnienia doradcze

o Zezwolenia:

✓ Zgoda na przetwarzanie danych osobowych do celów wykonania

zadania w interesie publicznym, w tym przetwarzaniu w związku
z ochroną socjalną i zdrowiem publicznym; polskie prawo nie
przewiduje tego typu zezwoleń

✓ Zezwoleń na klauzule umowne

✓ Zezwoleń na uzgodnienia administracyjne

 ✓ Zatwierdzania: projektów kodeksów postępowania, kryteriów
certyfikacji, wiążących reguł korporacyjnych

✓ Akredytowania podmiotów certyfikujących; udzielania

certyfikacji oraz przyjmowania standardowych klauzul ochrony
danych

o Udzielanie porad administratorowi zgodnie z procedurę uprzednich

konsultacji

o Wydawanie opinii przeznaczonych dla parlamentu, rządu lub innych

instytucji i organów oraz ogółu społeczeństwa we wszelkich sprawach
związanych z ochroną danych osobowych

Kontrola zgodności przetwarzania danych osobowych z prawem:

• Rodzaje kontroli:

➢ instytucjonalna – kontrola sprawowana przez organ nadzorczy

➢ indywidualna – sprawowana przez osoby, których dane dotyczą

➢ funkcjonalna – sprawowana przez administratorów i podmioty przetwarzające

➢ uzupełniająca – realizowana przez inne podmioty, np. sąd, prokuratura itp.

• Charakter kontroli:

➢ Pośrednia – wykonywana w siedzibie organu na podstawie informacji

i dokumentów dostarczonych przez kontrolowanego

➢ Bezpośrednia – realizowana w formie inspekcji w miejscu wykonywania

działalności podmiotu kontrolowanego

➢ Planowa – wcześniej ujęta w planie kontroli

➢ Doraźna – wcześniej nieplanowana, podejmowana, gdy organ uzna to za

konieczne

• PUODO jest organem właściwym do przeprowadzania kontroli, jednak w praktyce

mogą to być pracownicy Urzędu upoważnieni przez PUODO – nazywamy ich
kontrolującymi

• Rozpoczęcie kontroli i podjęcie czynności kontrolnych jest dopuszczalne po okazaniu

imiennego upoważnienia i legitymacji służbowej kontrolującego; czynności dokonuje
się w obecności kontrolowanego
 • Uprawnienia kontrolującego:

➢ Wstęp w godzinach 6 – 22 na grunt oraz do budynków, lokali lub innych

pomieszczeń

➢ Wgląd do dokumentów i informacji mających bezpośredni związek z zakresem

przedmiotowych kontroli

➢ Przeprowadzanie oględzin miejsc, przedmiotów, urządzeń, nośników oraz

systemów informatycznych lub teleinformatycznych służących do
przetwarzania danych

➢ Żądanie złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchiwanie

w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu
faktycznego

➢ Zlecenie sporządzania ekspertyz i opinii

• Kontrola nie dłuższa niż 30 dni od jej rozpoczęcia; wynikiem kontroli jest ustalenie
stanu faktycznego na podstawie dowodów; przebieg czynności kontrolnych oraz wyniki
kontroli spisywane są w protokole kontroli; kontrolowany może podpisać protokół, co
oznacza, że zgadza się z ustaleniami tam zawartymi, może również złożyć pisemne
zastrzeżenia lub może odmówić podpisania protokołu; protokół z załącznikami
dostarczany jest kontrolowanemu

• Jeżeli na podstawie informacji w postepowaniu kontrolnym PUODO uzna, że mogło

dojść do naruszenia przepisów, ma obowiązek wszcząć postepowanie w tej sprawie

Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych:

• Podstawą wszczęcia postępowania mogą być:

➢ Wyniki kontroli wskazujące na to, że mogło dojść do naruszenia przepisów

o ochronie danych osobowych

➢ Uzyskanie informacji o możliwym naruszeniu przepisów o ochronie danych

osobowych z innych źródeł

➢ Skarga osoby, której dane tyczą

• Organizacja społeczna może występować w postępowaniu za zgodą osoby, której dane

dotyczą, w jej imieniu i na jej rzecz

• W przypadku niezałatwienia sprawy w terminie, Prezes Urzędu jest obowiązany

poinformować o stanie sprawy i przeprowadzonych w jej toku czynnościach
• Prezes Urzędu może żądać od strony przedstawienia tłumaczenia na język polski
sporządzonej w języku obcym dokumentacji przedłożonej przez stronę. Tłumaczenie
dokumentacji strona jest obowiązana wykonać na własny koszt

• W celu realizacji swoich zadań Prezes Urzędu ma prawo dostępu do informacji objętych
tajemnicą prawnie chronioną; strona może zastrzec informacje, dokumenty lub ich
części zawierające tajemnicę przedsiębiorstwa, przedstawiane Prezesowi Urzędu

• PUODO może również wydać postanowienie o odmowie udostępnienia stronie akt

sprawy, gdy udostępnienie informacji i dokumentów, grozi ujawnieniem tajemnic
prawnie chronionych albo ujawnieniem tajemnicy przedsiębiorstwa, jeżeli
o ograniczenie wglądu do akt dla stron postępowania wnosi przedsiębiorca, od którego
informacja pochodzi

• Jeżeli w toku postępowania zajdzie konieczność uzupełnienia dowodów, Prezes Urzędu

może przeprowadzić postępowanie kontrolne

• Jeżeli w toku postępowania zostanie uprawdopodobnione, że przetwarzanie danych

osobowych narusza przepisy o ochronie danych osobowych, a dalsze ich przetwarzanie
może spowodować poważne i trudne do usunięcia skutki, Prezes Urzędu, w celu
zapobieżenia tym skutkom, może, w drodze postanowienia, zobowiązać podmiot,
któremu jest zarzucane naruszenie przepisów o ochronie danych osobowych, do
ograniczenia przetwarzania danych osobowych, wskazując dopuszczalny zakres tego
przetwarzania

• W przypadku stwierdzenia naruszenia przepisów PUODO powinien wydać decyzję

administracyjną , w ramach której może wykorzystać swoje uprawnienia nadzorcze:
udzielić upomnienia; wydać nakaz lub zakaz; a także nałożyć administracyjną karę
pieniężną

• Prezes Urzędu, jeżeli uzna, że przemawia za tym interes publiczny, po zakończeniu

postępowania informuje o wydaniu decyzji na swojej stronie podmiotowej w Biuletynie
Informacji Publicznej

• Jednostki sektora finansów publicznych, instytuty badawcze oraz Narodowy Bank

Polski, w stosunku do których Prezes Urzędu wydał prawomocną decyzję stwierdzającą
naruszenie, niezwłocznie podają do publicznej wiadomości na swojej stronie
internetowej lub stronie podmiotowej w Biuletynie Informacji Publicznej, informację o
działaniach podjętych w celu wykonania decyzji

• Postępowanie przed PUODO jest jednoinstancyjne; przysługuje skarga do sądu

administracyjnego (wstrzymuje ona wykonanie decyzji o administracyjnej karze
pieniężnej)
Współpraca PUODO z innymi organami nadzorczymi:

• W przypadku transgranicznego przetwarzania danych, przepis art. 56 RODO wskazuje,

który organ nadzorczy jest właściwy do rozpatrzenia sprawy; rozwiązanie zwane
one-stop shop ma na celu usprawnienie wydawania decyzji, zmniejszenie biurokracji
oraz jednolitość wydawanych w danej sprawie decyzji (tzw. wiodący organ nadzorczy)

• Organ nadzorczy głównej lub pojedynczej jednostki organizacyjnej administratora lub

podmiotu przetwarzającego jest właściwy do podejmowania działań jako wiodący
organ nadzorczy

• W drodze wyjątku każdy organ nadzorczy jest właściwy do rozpatrzenia skargi, którą
do niego wniesiono, lub zajęcia się ewentualnym naruszeniem niniejszego
rozporządzenia, jeżeli sprawa dotyczy wyłącznie jednostki organizacyjnej w jego
państwie członkowskim lub znacznie wpływa na osoby, których dane dotyczą,
wyłącznie w jego państwie członkowskim; organ nadzorczy niezwłocznie informuje
o danej sprawie wiodący organ nadzorczy

• Przepisy odnośnie organu wiodącego nie mają zastosowania, gdy organy publiczne lub
podmioty prywatne dokonują przetwarzania w interesie publicznym – wtedy organ
wiodący to ten, w którym organ publiczny ma jednostkę organizacyjną

• Wiodący organ nadzorczy współpracuje z innymi organami nadzorczymi, których

sprawa dotyczy w celu osiągnięcia porozumienia. Wiodący organ nadzorczy i organy
nadzorcze, których sprawa dotyczy, wymieniają się wszelkimi stosownymi
informacjami

• Wiodący organ nadzorczy niezwłocznie przekazuje innym organom nadzorczym,

których sprawa dotyczy, stosowne informacje dotyczące danej sprawy. Niezwłocznie
przedkłada innym organom, których sprawa dotyczy, nadzorczym projekt decyzji
w celu uzyskania ich opinii i należytego uwzględnienia ich uwag

• Jeżeli inny organ nadzorczy, którego sprawa dotyczy, zgłosi mający znaczenie dla
sprawy i uzasadniony sprzeciw wobec projektu decyzji, wiodący organ nadzorczy -
jeżeli nie przychyla się do mającego znaczenie dla sprawy i uzasadnionego sprzeciwu
lub sądzi, że sprzeciw nie ma znaczenia dla sprawy lub nie jest uzasadniony - przekazuje
sprawę w ramach mechanizmu spójności

• Jeżeli wiodący organ nadzorczy zamierza przychylić się do zgłoszonego mającego

znaczenie dla sprawy i uzasadnionego sprzeciwu, przedkłada innym organom
nadzorczym, których sprawa dotyczy, zmieniony projekt decyzji w celu uzyskania ich
opinii
 • Jeżeli żaden inny organ nadzorczy, którego sprawa dotyczy, nie zgłosi sprzeciwu wobec
projektu decyzji przedłożonego przez wiodący organ nadzorczy, uznaje się, że wiodący
organ nadzorczy i organy nadzorcze, których sprawa dotyczy, porozumiały się
w sprawie projektu decyzji i są nią związane

• Wiodący organ nadzorczy przyjmuje decyzję i doręcza ją odpowiednio głównej lub

pojedynczej jednostce organizacyjnej administratora lub podmiotu przetwarzającego
oraz informuje o decyzji inne organy nadzorcze, których sprawa dotyczy, i Europejską
Radę Ochrony Danych. Organ nadzorczy, do którego wniesiono skargę, informuje
skarżącego o decyzji

• Jeżeli skarga zostaje oddalona lub odrzucona, organ nadzorczy, do którego wniesiono
skargę, przyjmuje decyzję i doręcza ją skarżącemu oraz informuje o niej administratora

• Mechanizm spójności – polega na uzyskaniu opinii Europejskiej Rady Ochrony Danych

w określonych przypadkach oraz rozstrzyganiu przez Europejską Radę Ochrony
Danych sporów między organami nadzorczymi w formie decyzji

• Tryb pilny – zastosowanie w wyjątkowych okolicznościach, jeżeli organ nadzorczy,

którego sprawa dotyczy, uzna, że istnieje pilna potrzeba podjęcia działań w celu
ochrony praw i wolności osób, których dane dotyczą; działanie polega na niezwłocznym
przyjęciu środków tymczasowych mających wywołać skutki prawne przez określony
okres nieprzekraczający 3 miesięcy; organ nadzorczy ma obowiązek poinformować
pozostałe organy nadzorcze, Europejską Radę Ochrony Danych i Komisję

Europejska Rada Ochrony Danych:

• Niezależny organ kolegialny mający osobowość prawną, powołany w celu zapewnienia

spójnego stosowania przepisów o RODO

• Skład:

➢ Przewodniczący jednego organu nadzorczego każdego państwa członkowskiego

➢ Europejski Inspektor Ochrony Danych

➢ W posiedzeniach może także uczestniczyć przedstawiciel KE bez prawa głosu

• Decyzje zaskarżalne do TSUE

Temat: Odpowiedzialność za niezgodne z prawem przetwarzanie danych
osobowych

Odpowiedzialność administracyjna:

• Organ nadzorczy po przeprowadzeniu postępowania administracyjnego, w przypadku

stwierdzenia naruszenia przepisów może w drodze decyzji udzielić upomnienia, wydać
nakaz lub zakaz, a także nałożyć administracyjną karę pieniężną – kara jest przejawem
odpowiedzialności administracyjnej (stanowi sankcję); pozostałe środki służą
przywróceniu stanu zgodnego z prawem

• Organ nadzorczy ma zapewnić, aby kara pieniężna była w każdym indywidualnym

przypadku skuteczna, proporcjonalna i odstraszająca; wymiar kary ma być dostosowany
do okoliczności konkretnej sprawy; przesłanki do oceny:

➢ charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru,

zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których
dane dotyczą, oraz rozmiaru poniesionej przez nie szkody

➢ umyślny lub nieumyślny charakter naruszenia

➢ działania podjęte przez administratora lub podmiot przetwarzający w celu

zminimalizowania szkody poniesionej przez osoby, których dane dotyczą

➢ stopień odpowiedzialności administratora lub podmiotu przetwarzającego

z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez
nich

➢ wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub

podmiotu przetwarzającego

➢ stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz

złagodzenia jego ewentualnych negatywnych skutków

➢ kategorie danych osobowych, których dotyczyło naruszenie

➢ sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności,

czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili
naruszenie

➢ jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa

dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki
- przestrzeganie tych środków
 ➢ stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub
zatwierdzonych mechanizmów certyfikacji

➢ wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do

okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku
z naruszeniem korzyści finansowe lub uniknięte straty

• PUODO nie jest zobowiązany do nałożenia kary pieniężnej w każdym przypadku; może
uznać, że nałożenie kary było nieproporcjonalne do rodzaju naruszenia, i poprzestać na
zastosowaniu innych środków nadzorczych

• W przypadku zbiegu naruszeń różnych przepisów całkowita wysokość administracyjnej

kary pieniężnej nie powinna przekraczać wysokości kary za najpoważniejsze naruszenie

• Kary mogą być nakładane na: administratorów, podmioty przetwarzające, podmioty

certyfikujące oraz podmioty monitorujące, które dopuściły się naruszenia przepisów

• Górne granice wysokości kar określono przy zastosowaniu dwóch kryteriów:

kwotowego i procentowego

➢ Kwotowo – wskazana maksymalna kwota, do wysokości której kara może

zostać nałożona

➢ Procentowo – maksymalna kara jako określony procent całkowitego rocznego

światowego obrotu przedsiębiorcy w poprzednim roku obrotowym

→ stosuje się wyższe ograniczenie

• Naruszenia „mniejszej wagi” – limit 10 mln EUR lub 2%; np. naruszenie obowiązków
w zakresie zabezpieczenia danych

• Naruszenia „większej wagi” – limit 20 mln EUR lub 4%; np. zasady przetwarzania
danych; podstawy dopuszczalności przetwarzania danych

• Kraje członkowskie określają, czy i w jakim zakresie administracyjne kary pieniężne

można nakładać na organy i podmioty publiczne w danym państwie; w PL: jednostki
sektora finansów publicznych, instytuty badawcze i NBP – limit 100 tys. PLN;
państwowe i samorządowe instytucje kultury – limit 10 tys. PLN

• Kary pieniężne nakładane są w formie decyzji administracyjnej wydawanej przez

PUODO i stanowią dochód budżetu państwa

Odpowiedzialność cywilna:

• Gdy wskutek przetwarzania danych wyrządzona została krzywda lub szkoda, istnieje
możliwość domagania się zadośćuczynienia lub odszkodowania
 • Roszczenia odszkodowawcze mogą być dochodzone od administratora lub podmiotu
przetwarzającego, przy czym zakres odpowiedzialności administratora jest znacznie
szersza niż odpowiedzialność podmiotu przetwarzającego – administrator
uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem,
natomiast podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem
wyłącznie, gdy nie dopełnił obowiązków, które rozporządzenie nakłada bezpośrednio
na podmioty lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub
wbrew tym instrukcjom

• Zwolnienie z odpowiedzialności odszkodowawczej, gdy administrator lub podmiot

przetwarzający udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które
doprowadziło do powstania szkody

• Gdy w tym samym przetwarzaniu uczestniczy więcej niż jeden administrator lub
podmiot przetwarzający to odpowiadają oni solidarnie za całą szkodę; przewidziane
również roszczenie regresowe względem innych administratorów, jeżeli jeden z nich
pokrył całość odszkodowania

• Osoba, której prawa zostały naruszone ma możliwość wyboru sądu właściwego; co do

zasady jest to sąd właściwy w sprawach o odszkodowanie w państwie członkowskim,
w którym administrator lub podmiot przetwarzający posiadają jednostkę organizacyjną;
ale może być także sąd państwa członkowskiego, w którym osoba, której dane dotyczą
ma miejsce zwykłego pobytu

Odpowiedzialność porządkowa i dyscyplinarna:

• Jeżeli naruszenie przepisów o ochronie danych osobowych jest jednocześnie

naruszeniem obowiązków pracowniczych lub służbowych, może to pociągać za sobą
odpowiedzialność porządkową lub dyscyplinarna

• Pracownik ma obowiązek przestrzegać ustalonej organizacji i porządku w procesie

pracy oraz postępować zgodnie z regulaminami – za nieprzestrzeganie przewidziana
została odpowiedzialność porządkowa (np. kara upomnienia lub nagany)

• Jeżeli pracownik wskutek niewykonania lub nienależytego wykonania obowiązków

pracowniczych ze swej winy wyrządził pracodawcy szkodę, ponosi odpowiedzialność
materialną – ograniczona jest do wysokości trzymiesięcznego wynagrodzenia
przysługującego pracownikowi, jednak nie obowiązuje jeżeli pracownik umyślnie
wyrządził szkodę (wtedy obowiązany do naprawienia szkody w całej wysokości)

• W przypadku osób wykonujących zawody lub pełniących funkcje uregulowane w tzw.

pragmatykach zawodowych w przepisach przewidziana została odpowiedzialność
 dyscyplinarna; sprawy takie toczą się przed komisjami dyscyplinarnymi, które mogą
orzec przewidziane przepisami kary dyscyplinarne

• PUODO nie jest organem właściwym do nakładania kar porządkowych

i dyscyplinarnych, ale jeżeli uzna, że doszło do naruszenia przepisów dotyczących
przetwarzania danych osobowych, może żądać wszczęcia postępowania
dyscyplinarnego; nie pociąga to obowiązku ukarania, ale powoduje konieczność
przeprowadzenia postępowania oraz powiadomienia organu o wyniku

Odpowiedzialność karna:

• Polska: odpowiedzialność za bezprawne przetwarzanie danych oraz odpowiedzialność

za udaremnianie lub utrudnianie kontroli oraz niedostarczenie danych niezbędnych do
określenia podstawy wymiaru administracyjnej kary pieniężnej

• Bezprawne przetwarzanie danych – odpowiedzialności podlega ten, kto przetwarza

dane osobowe , choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania
nie jest uprawniony – niedopuszczalność przetwarzania ma charakter przedmiotowy
i oznacza brak podstawy uprawniającej do przetwarzania danych, natomiast brak
uprawnienia ma charakter podmiotowy i dotyczy osób, które nie są uprawnione do
przetwarzania

• Udaremnianie lub utrudnianie kontrolującemu prowadzenie kontroli – niedopuszczenie

do kontroli, uniemożliwienie jej przeprowadzenia, natomiast utrudnianie prowadzenia
kontroli polega na stwarzaniu trudności, przeszkód, które zakłócają prawidłowy
przebieg kontroli

• Również odpowiedzialność karna za niedostarczenie organowi nadzorczemu danych

niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej lub
dostarczenie danych, które uniemożliwiają ustalenie podstawy wymiaru
administracyjnej kary pieniężnej w związku z toczącym się postepowaniem

• Powyższe przestępstwa ścigane są z urzędu, stanowią występki, które można popełnić

tylko umyślnie; odpowiedzialność również za usiłowanie, współsprawstwo, podżeganie
i pomocnictwo

• Kradzież tożsamości – polega na podszywaniu się pod inną osobę, wykorzystując jej
wizerunek lub inne jej dane osobowe w celu wyrządzenia jej szkody majątkowej lub
osobistej i zagrożone jest karą pozbawienia wolności do lat trzech

• Przestępstwo przeciwko ochronie informacji – bezprawne ujawnienie informacji,

uzyskanie informacji, niszczenie informacji, niszczenie danych informatycznych,
sabotaż komputerowy