Professional Documents
Culture Documents
• Celem ochrony nie są same dane a osoby, których dane poddawane są przetwarzaniu,
przed negatywnymi konsekwencjami, jakie mogą się wiązać ze zautomatyzowanym
przetwarzaniem danych
Nikt nie może być poddany arbitralnemu ingerowaniu w jego życie prywatne,
rodzinne, domowe lub korespondencję ani też atakom na jego honor i dobre
imię. Każdy człowiek ma prawo do ochrony prawnej przeciwko takim
ingerencjom i atakom
• TFUE – art. 16: Każda osoba ma prawo do ochrony danych osobowych jej dotyczących
1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania
informacji dotyczących jego osoby.
Dane osobowe;
• Teoria sfer:
➢ Sfera intymności – intensywna ochrona i nie powinny być dostępne dla innych
• Teoria mozaiki:
➢ Zasadniczo nie wyłącza się spod ochrony żadnych rodzajów danych, ale
wyróżnienie kilku kategorii danych, które wymagają bardziej intensywnej
ochrony
➢ Kategorie:
o Dane zwykłe
• Dane dotyczące zdrowia – dane osobowe o zdrowiu fizycznym lub psychicznym osoby
fizycznej - w tym o korzystaniu z usług opieki zdrowotnej - ujawniające informacje
o stanie jej zdrowia
Pseudonimizacja:
• Przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać
konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod
warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte
środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie
zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej
• Transgraniczne przetwarzanie:
Zbiór danych:
Administrator:
• Oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który
samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych
osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub
w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa
członkowskiego może zostać wyznaczony administrator lub mogą zostać określone
konkretne kryteria jego wyznaczania
• Współadministratorzy:
➢ Może być osoba fizyczna lub prawna mająca miejsce zamieszkania lub siedzibę
w UE
• Oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który
przetwarza dane osobowe w imieniu administratora
Odbiorca danych:
• Oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot,
któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy
publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania
zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane
za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z
przepisami o ochronie danych mającymi zastosowanie stosownie do celów
przetwarzania
Strona trzecia:
• Oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż
osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które
- z upoważnienia administratora lub podmiotu przetwarzającego - mogą przetwarzać
dane osobowe
• Zakaz dalszego przetwarzania w sposób niezgodny z celem, dla których były zbierane;
w szczególności za zgodne z pierwotnymi celami prawodawca uznał dalsze
przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań
naukowych, historycznych oraz statystycznych
• Ocena adekwatności – dokonuje administrator danych albo ocena już dokonana przez
prawodawcę, który wskazał w przepisach, jakie dane mogą być przetwarzane dla
osiągnięcia określonego celu
• Nakaz usunięcia danych, które stały się zbędne do osiągnięcia celu przetwarzania
• Przetwarzane dane powinny być prawidłowe oraz w razie potrzeby aktualizowane (dane
aktualne, pozbawione błędów i zgodne ze stanem faktycznym)
• Wyjątki:
➢ Dane osobowe można przechowywać przez okres dłuższy, o ile będą one
przetwarzane do celów archiwalnych, badań naukowych, historycznych lub
statystycznych, z zastrzeżeniem wdrożenia odpowiednich środków
technicznych i organizacyjnych celem ochrony praw i wolności osób, których
dotyczą
➢ Integralność – wymaganie, aby dane nie były zmieniane ani usuwane w sposób
nieautoryzowany (przez osoby nieuprawnione)
• Kategorie uprawnień:
➢ Uprawnienia informacyjne
➢ Uprawnienia korekcyjne
➢ Uprawnienia decyzyjne
• W celu realizacji uprawnień podmiot może zwrócić się do inspektora ochrony danych,
a jeżeli takiej osoby brak to wystąpić z wnioskiem do administratora; poszczególnym
uprawnieniom podmiotu odpowiadają określone obowiązki administratora
Uprawnienia informacyjne:
• Nakaz przetwarzania danych w sposób przejrzysty dla osoby, której dane dotyczą,
tj. aby informacje podawane były w zwięzłej, przejrzystej, zrozumiałem i łatwo
dostępnej formie, jasnym i prostym językiem
Uprawnienia korekcyjne:
• Uprawnienie do żądania usunięcia danych w sytuacji, gdy: danie nie są już niezbędne
do osiągnięcia celu lub dane są przetwarzane niezgodnie z prawem
Uprawnienia decyzyjne:
• Osoba, której dane dotyczą, nie ma pełnej swobody, gdy chodzi o decydowanie
o przetwarzaniu jej danych, ponieważ czasami prawodawca przesądził
o dopuszczalności przetwarzania danych, ograniczając tym samym wpływ podmiotu
danych na procesy przetwarzania
Dodatkowo:
o Wyrażenie sprzeciwu
➢ Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która
opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu,
i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią
wpływa
• Powództwo do sądu:
Unijny prawodawca uznał, że administrator danych, a także podmiot przetwarzający mogą być
wspierani w tym zakresie przez osobę mającą odpowiednie przygotowanie merytoryczne
(wiedzę i umiejętności) w dziedzinie ochrony danych osobowych. Taką rolę spełniają
inspektorzy ochrony danych (zastąpili administratorów bezpieczeństwa informacji).
• Inspektor ochrony danych może być członkiem personelu administratora lub podmiotu
przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług
(stosunek cywilnoprawny)
• W sytuacji, gdy z przepisów nie wynika obowiązek wyznaczenia IOD Grupa robocza
zaleca administratorom i podmiotom przetwarzającym udokumentowanie wewnętrznej
procedury przeprowadzonej w celu ustalenia obowiązku bądź braku obowiązku
wyznaczenia IOD, celem wykazania, iż stosowne czynniki zostały uwzględnione. Ta
procedura powinna stać się częścią dokumentacji tworzonej zgodnie z zasadą
rozliczalności
• Osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych we
wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz
z wykonywaniem praw przysługujących im
➢ Inne zadania
• Inne zadania:
o Odwołanie możliwe tylko, gdy: zrzekł się stanowiska, stał się trwale
niezdolny do pełnienia obowiązków, sprzeniewierzył się ślubowaniu,
został pozbawiony praw publicznych, został skazany prawomocnym
wyrokiem sądu za popełnienie umyślnego przestępstwa lub przestępstwa
skarbowego
o Obywatel polski
o Wyższe wykształcenie
o Nieposzlakowana opinia
➢ Kadencyjność
o 4 lata kadencja
o max. 2 kadencje
➢ Immunitet
➢ Zadania nadzorcze
➢ Zadania doradcze
➢ Zadania edukacyjne
➢ Inne zadania
o Zezwolenia:
• Rodzaje kontroli:
• Charakter kontroli:
• Kontrola nie dłuższa niż 30 dni od jej rozpoczęcia; wynikiem kontroli jest ustalenie
stanu faktycznego na podstawie dowodów; przebieg czynności kontrolnych oraz wyniki
kontroli spisywane są w protokole kontroli; kontrolowany może podpisać protokół, co
oznacza, że zgadza się z ustaleniami tam zawartymi, może również złożyć pisemne
zastrzeżenia lub może odmówić podpisania protokołu; protokół z załącznikami
dostarczany jest kontrolowanemu
• W celu realizacji swoich zadań Prezes Urzędu ma prawo dostępu do informacji objętych
tajemnicą prawnie chronioną; strona może zastrzec informacje, dokumenty lub ich
części zawierające tajemnicę przedsiębiorstwa, przedstawiane Prezesowi Urzędu
• W drodze wyjątku każdy organ nadzorczy jest właściwy do rozpatrzenia skargi, którą
do niego wniesiono, lub zajęcia się ewentualnym naruszeniem niniejszego
rozporządzenia, jeżeli sprawa dotyczy wyłącznie jednostki organizacyjnej w jego
państwie członkowskim lub znacznie wpływa na osoby, których dane dotyczą,
wyłącznie w jego państwie członkowskim; organ nadzorczy niezwłocznie informuje
o danej sprawie wiodący organ nadzorczy
• Przepisy odnośnie organu wiodącego nie mają zastosowania, gdy organy publiczne lub
podmioty prywatne dokonują przetwarzania w interesie publicznym – wtedy organ
wiodący to ten, w którym organ publiczny ma jednostkę organizacyjną
• Jeżeli inny organ nadzorczy, którego sprawa dotyczy, zgłosi mający znaczenie dla
sprawy i uzasadniony sprzeciw wobec projektu decyzji, wiodący organ nadzorczy -
jeżeli nie przychyla się do mającego znaczenie dla sprawy i uzasadnionego sprzeciwu
lub sądzi, że sprzeciw nie ma znaczenia dla sprawy lub nie jest uzasadniony - przekazuje
sprawę w ramach mechanizmu spójności
• Jeżeli skarga zostaje oddalona lub odrzucona, organ nadzorczy, do którego wniesiono
skargę, przyjmuje decyzję i doręcza ją skarżącemu oraz informuje o niej administratora
• Skład:
Odpowiedzialność administracyjna:
• PUODO nie jest zobowiązany do nałożenia kary pieniężnej w każdym przypadku; może
uznać, że nałożenie kary było nieproporcjonalne do rodzaju naruszenia, i poprzestać na
zastosowaniu innych środków nadzorczych
• Naruszenia „mniejszej wagi” – limit 10 mln EUR lub 2%; np. naruszenie obowiązków
w zakresie zabezpieczenia danych
• Naruszenia „większej wagi” – limit 20 mln EUR lub 4%; np. zasady przetwarzania
danych; podstawy dopuszczalności przetwarzania danych
Odpowiedzialność cywilna:
• Gdy wskutek przetwarzania danych wyrządzona została krzywda lub szkoda, istnieje
możliwość domagania się zadośćuczynienia lub odszkodowania
• Roszczenia odszkodowawcze mogą być dochodzone od administratora lub podmiotu
przetwarzającego, przy czym zakres odpowiedzialności administratora jest znacznie
szersza niż odpowiedzialność podmiotu przetwarzającego – administrator
uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem,
natomiast podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem
wyłącznie, gdy nie dopełnił obowiązków, które rozporządzenie nakłada bezpośrednio
na podmioty lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub
wbrew tym instrukcjom
• Gdy w tym samym przetwarzaniu uczestniczy więcej niż jeden administrator lub
podmiot przetwarzający to odpowiadają oni solidarnie za całą szkodę; przewidziane
również roszczenie regresowe względem innych administratorów, jeżeli jeden z nich
pokrył całość odszkodowania
Odpowiedzialność karna:
• Kradzież tożsamości – polega na podszywaniu się pod inną osobę, wykorzystując jej
wizerunek lub inne jej dane osobowe w celu wyrządzenia jej szkody majątkowej lub
osobistej i zagrożone jest karą pozbawienia wolności do lat trzech