Urząd Ochrony Danych Osobowych

ul. Stawki 2, 00-193 Warszawa

www.uodo.gov.pl

kancelaria@uodo.gov.pl

RODO i ochrona danych osobowych

w szkoleniu operatorów dronów

Krzysztof Król

Zespół Analiz i Strategii

Urząd Ochrony Danych Osobowych

Urząd Lotnictwa Cywilnego,

13.07.2018 r.

www.uodo.gov.plSlajd nr 2

Reforma prawa UE

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679z dnia 27 kwietnia 2016 r.

DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/680z dnia 27 kwietnia 2016 r.

.

www.uodo.gov.plSlajd nr 3

Reforma prawa UE

Doprecyzowanie treści rozporządzenia

❑Nowa ustawa o ochronie danych osobowych

❑Nowelizacja przepisów sektorowych

www.uodo.gov.plSlajd nr 4

Reforma prawa UE

Doprecyzowanie treści rozporządzenia

❑Wytyczne Grupy Roboczej Art. 29 (EuropejskiejRady Ochrony Danych)

❑Opinie i wyjaśnienia GIODO

www.uodo.gov.plSlajd nr 5

Reforma prawa UE

Wytyczne Grupy Roboczej Art. 29

• Zgoda

• IOD

• Ocena skutków dla ochrony danych osobowych

• Zgłaszanie naruszeń ochrony danych

• Zasada przejrzystości

• Certyfikacja

• Mechanizmy współpracy

• Profilowanie

• Zasady działania Europejskiej Rady Ochrony Danych

• Opinia 1/2015 w sprawie kwestii ochrony danych

i prywatności dotyczących wykorzystania dronów

(WP231) z 16 czerwca 2015 r.

www.uodo.gov.plSlajd nr 6

Reforma prawa UE

Istota oraz cele unijnej reformy prawa ochronydanych osobowych:

❑ Lepsza ochrona danych osobowych w dobiepostępu technologicznego i globalizacji

❑Harmonizacja przepisów – spójny stopień ochronydanych w UE, pewność prawa dla przedsiębiorców(jeden zestaw przepisów dla całej UE)

www.uodo.gov.plSlajd nr 7

Reforma prawa UE

www.uodo.gov.plSlajd nr 8

Reforma prawa UE

Nowe podejście do ochrony danych osobowych

❑Dostosowanie zasad ochrony danych do aktualnegostanu wiedzy

❑Podejście oparte na ryzyku

❑Rozliczalność – wdrożenie i wykazanie przestrzegania przepisów o ochronie danych

www.uodo.gov.plSlajd nr 9

Reforma prawa UE

Nowe rozwiązania dla zwiększonego bezpieczeństwa danych

❑Ocena skutków dla ochrony danych

❑Uwzględnienie ochrony danych w fazieprojektowania i domyślna ochrona danych

www.uodo.gov.plSlajd nr 10

Reforma prawa UE – Ocena skutków

❑ Jeżeli dany rodzaj przetwarzania z dużym

prawdopodobieństwem może powodować wysokie

ryzyko naruszenia praw lub wolności osób

fizycznych, administrator przed rozpoczęciem

przetwarzania dokonuje oceny skutków

planowanych operacji przetwarzania dla ochrony

danych osobowych.

❑ Ocena skutków dla ochrony danych jest niezbędna

również w przypadku monitorowania na dużą skalę

miejsc publicznie dostępnych - w szczególności

za pomocą urządzeń optyczno-elektronicznych

www.uodo.gov.plSlajd nr 11

Reforma prawa UE – Ocena skutków

✓a) systematyczny opis planowanych operacji

przetwarzania i celów przetwarzania;

✓b) ocenę, czy operacje przetwarzania są niezbędne

oraz proporcjonalne w stosunku do celów;

✓c) ocenę ryzyka naruszenia praw lub wolności osób,

których dane dotyczą; oraz

✓d) środki planowane w celu zaradzenia ryzyku, w

tym zabezpieczenia oraz środki i mechanizmy

bezpieczeństwa

www.uodo.gov.plSlajd nr 12

Reforma prawa UE

Nowe rozwiązania wobec naruszeń danych

❑ Zgłaszanie naruszeń danych

❑Odpowiedzialność finansowa

www.uodo.gov.plSlajd nr 13

Reforma prawa UE

Nowe rozwiązania dla lepszej zgodności przetwarzania danych z przepisami rozporządzenia

❑Kodeksy postępowania i certyfikacja

www.uodo.gov.plSlajd nr 14

Zasady przetwarzania danych

Zasady przetwarzania danych – niezmienne

wartości

www.uodo.gov.plSlajd nr 15

UODO RODO

✓legalizm

✓celowość

✓merytoryczna poprawność

✓adekwatność

✓ograniczenie czasowe

✓zgodność z prawem,

rzetelność i przejrzystość

✓ograniczenie celu

✓minimalizacja danych

✓prawidłowość

✓ograniczenie

przechowywaniaintegralność i poufność

rozliczalność

Zasady przetwarzania danych

www.uodo.gov.plSlajd nr 16

Zasady przetwarzania danych – art. 5 RODO

„zgodność z prawem, rzetelność i przejrzystość”

„ograniczenie celu”

„minimalizacja danych”

www.uodo.gov.plSlajd nr 17

Zasady przetwarzania danych – art. 5 RODO

„prawidłowość”

„ograniczenie przechowywania”

„integralność i poufność”

www.uodo.gov.plSlajd nr 18

innowacje wprowadzane przez rozporządzenie

Rozliczalność czyli

Obowiązek przestrzegania zasad ochrony danych i zdolność do wykazania tego

poprzez

Wdrożenie wewnętrznych mechanizmów i procedur

www.uodo.gov.plSlajd nr 19

Dla realizacji zadań przez administratora

istotne jest:

Podsumowując …

zasady przetwarzania danych – niezmienne

wartości

niemniej

1. analiza nowego ukształtowania niektórych przesłanek

przetwarzania

2. analiza nowych pojęć i definicji

3. analiza modelu komunikowania o procesie przetwarzania

www.uodo.gov.plSlajd nr 20

Dziękuję za uwagę

Krzysztof M. Król

k_krol@uodo.gov.pl

Urząd Ochrony Danych Osobowych

ul. Stawki 2, 00-193 Warszawa

www.uodo.gov.pl

kancelaria@uodo.gov.pl Liczba slajdów:

Podstawy prawne przetwarzania danych

oraz

uprawnienia osób, których dane dotyczą

Warszawa, 26.06.2018 r.

40

www.uodo.gov.plSlajd nr 22

AUDYT?

→ co jako administrator wiem o danych?

→ i sposobach ich przetwarzania?• jakie dane osobowe są przetwarzane?

• czy dane są prawidłowe i aktualne → aktualizacja danych: usunięcie,

sprostowanie danych?

• skąd dane pochodzą?

• jakie są podstawy prawne przetwarzania danych?

• czy i komu dane są udostępniane?

• jak dane są zabezpieczone?

→ analiza wszystkich operacji przetwarzania danych → procedur

przetwarzania → rejestr czynności przetwarzania

→ dokumentowanie przetwarzania → uporządkowanie dokumentacji →

zasada rozliczalności

www.uodo.gov.plSlajd nr 23

legalność – warunki zgodnego z prawem przetwarzania danych

- dane zwykłe art. 23 ustawy

- dane szczególnie chronione – art. 27 ustawy

Art. 6 RODO zgodność przetwarzania z prawem

Art. 9 RODO– przetwarzanie szczególnych kategorii danych

Art. 10 RODO – przetwarzanie danych osobowych dotyczących

wyroków skazujących i naruszeń prawa

PODSTAWY PRAWNE

www.uodo.gov.plSlajd nr 24

DANE ZWYKŁE

→ Zgoda

→ uprawnienie lub spełnienie obowiązku wynikającego z przepisu

prawa - WYPEŁNIENIE OBOWIĄZKU PRAWNEGO → w granicach

obowiązujących przepisów prawa

→ realizacja umowy, także przed zawarciem umowy

→ określone prawem zadania realizowane dla dobra publicznego

→ WYKONANIE ZADANIA REALIZOWANEGO W INTERESIE

PUBLICZNYM LUB W RAMACH SPRAWOWANIA WŁADZY

PUBLICZNEJ

→ wypełnianie prawnie usprawiedliwionych celów, a przetwarzanie nie

narusza praw i wolności osoby, której dane dotyczą / PRAWNIE

UZASADNIONE INTERESY→ to co nie jest zabronione

PODSTAWY PRAWNE

www.uodo.gov.plSlajd nr 25

informacja – obowiązek informacyjny unormowany w art. 24 i 25 ustawyArt. 12 RODO – przejrzyste informowanie i przejrzysta komunikacja oraz tryb wykonywania praw przez osobę, Art. 13 RODO – informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą, Art. 14 RODO – informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą

respektowanie praw osób, których dane dotyczą - art. 32-35 ustawyArt. 15 – 22 RODO szereg praw osób, których dane dotyczą

Uprawnienia podmiotów, których dane dotyczą

www.uodo.gov.plSlajd nr 26

Przejrzyste – w jaki sposób

→ Wszelkie informacje i komunikaty związane z przetwarzaniem

danych powinny być:

• łatwo dostępne

• zrozumiałe

• sformułowane jasnym i prostym językiem

Przejrzyste – jakie elementy

→informowanie podmiotów danych o:

• tożsamości administratora,

• celach przetwarzania

• innych informacji zapewniające rzetelność i przejrzystość

przetwarzania

• prawa osób

Legalność przetwarzania – zasada przejrzystości

www.uodo.gov.plSlajd nr 27

→podczas pozyskiwania

danych osobowych

•tożsamość administratora

i dane kontaktowe

•gdy ma to zastosowanie –

dane kontaktowe inspektora

ochrony danych

•cele przetwarzania danych

Informacje podawane w przypadku zbierania

danych od osoby, której dane dotyczą

www.uodo.gov.plSlajd nr 28

• okres, przez który dane osobowe będą przechowywane / kryteria ustalania

tego okresu

• informacje o prawach 1) dostępu do danych osobowych dotyczących

osoby, której dane dotyczą, 2) sprostowania, 3) usunięcia lub 4)

ograniczenia przetwarzania lub o 5) do wniesienia sprzeciwu wobec

przetwarzania, a także o 6) do przenoszenia danych;

• jeśli przetwarzane na podstawie zgody - informacje o prawie do cofnięcia

zgody w dowolnym momencie bez wpływu na zgodność z prawem

przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem

• informacje o prawie wniesienia skargi do organu nadzorczego;

• informację, czy podanie danych osobowych jest wymogiem ustawowym

lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane

dotyczą, jest zobowiązana do ich podania i jakie są ewentualne

konsekwencje niepodania danych;

• informacje o zautomatyzowanym podejmowaniu decyzji, w tym

o profilowaniu, o którym mowa w art. 22 ust. 1 i 4

Oraz niezbędne do zapewnienia rzetelności

i przejrzystości przetwarzania:

www.uodo.gov.plSlajd nr 29

nie mają zastosowania, gdy – i w zakresie, w jakim –

osoba, której dane dotyczą, dysponuje już tymi

informacjami.

Wyjątek

www.uodo.gov.plSlajd nr 30

→ podaje osobie, której dane dotyczą, następujące

informacje:• tożsamość i dane kontaktowe

• gdy ma to zastosowanie – dane kontaktowe inspektora ochrony

danych

• cele przetwarzania, do których mają posłużyć dane osobowe

• podstawę prawną przetwarzania

• kategorie odnośnych danych osobowych

• informacje o odbiorcach danych osobowych lub o kategoriach

odbiorców, jeżeli istnieją;

Informacje podawane w przypadku

pozyskiwania danych osobowych w sposób

inny niż od osoby, której dane dotyczą

www.uodo.gov.plSlajd nr 31

okres, przez który dane osobowe będą przechowywane / kryteria ustalania tego

okresu;

prawnie uzasadnione interesy realizowane przez administratora lub przez tronę

trzecią;

informacje o prawie do: 1) dostępu do danych osobowych dotyczących osoby, której

dane dotyczą, 2) sprostowania, 3) usunięcia lub 4) ograniczenia przetwarzania oraz

o 5) wniesienia sprzeciwu wobec przetwarzania, a także 6) przenoszenia danych;

• jeśli przetwarzane na podstawie zgody - informacje o prawie do cofnięcia zgody

w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego

dokonano na podstawie zgody przed jej cofnięciem

• informacje o prawie wniesienia skargi do organu nadzorczego;

• źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą

one ze źródeł publicznie dostępnych;

• informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu,

o którym mowa w art. 22 ust. 1 i 4

oraz informacje niezbędne do zapewnienia

rzetelności i przejrzystości przetwarzania

wobec osoby, której dane dotyczą:

www.uodo.gov.plSlajd nr 32

RODO – art. 14

Informacje te administrator podaje:

• w rozsądnym terminie po pozyskaniu danych osobowych –

najpóźniej w ciągu miesiąca – mając na uwadze konkretne

okoliczności przetwarzania danych osobowych;

• jeżeli dane osobowe mają być stosowane do komunikacji

z osobą, której dane dotyczą – najpóźniej przy pierwszej

takiej komunikacji z osobą, której dane dotyczą; lub

• jeżeli planuje się ujawnić dane osobowe innemu odbiorcy –

najpóźniej przy ich pierwszym ujawnieniu.

www.uodo.gov.plSlajd nr 33

• osoba, której dane dotyczą, dysponuje już tymi informacjami;

• udzielenie takich informacji okazuje się niemożliwe lub wymagałoby

niewspółmiernie dużego wysiłku (w szczególności cele archiwalne,

w interesie publicznym, do celów badań naukowych lub historycznych lub

do celów statystycznych

• pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub

prawem państwa członkowskiego, któremu podlega administrator,

przewidującym odpowiednie środki chroniące prawnie uzasadnione

interesy osoby, której dane dotyczą; lub

• dane osobowe muszą pozostać poufne zgodnie z obowiązkiem

zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub

w prawie państwa członkowskiego, w tym ustawowym obowiązkiem

zachowania tajemnicy.

Wyjątki

www.uodo.gov.plSlajd nr 34

Prawo dostępu → art. 15 – informacje + kopia danych podlegających

przetwarzaniu

Prawo do sprostowania danych → art. 16

Prawo do usunięcia danych „prawo do bycia zapomnianym”

→ art. 17,

www.uodo.gov.plSlajd nr 35

• potwierdzenie, czy przetwarzane są dane osobowe jej

dotyczące

• uzyskania dostępu do danych

• oraz informacji:

a) cele przetwarzania;

b) kategorie odnośnych danych osobowych;

c) informacje o odbiorcach lub kategoriach odbiorców

d) w miarę możliwości planowany okres przechowywania

danych osobowych, a gdy nie jest to możliwe, kryteria

ustalania tego okresu;

Prawo dostępu

www.uodo.gov.plSlajd nr 36

e) informacje o prawach do 1) żądania od administratora

sprostowania, 2) usunięcia lub 3) ograniczenia

przetwarzania danych osobowych dotyczącego osoby,

której dane dotyczą, oraz do 4) wniesienia sprzeciwu

wobec takiego przetwarzania;

f) informacje o prawie wniesienia skargi do organu

nadzorczego;

g) wszelkie dostępne informacje o ich źródle;

h) informacje o zautomatyzowanym podejmowaniu

decyzji, w tym o profilowaniu,

www.uodo.gov.plSlajd nr 37

RODO – art. 15

• Administrator dostarcza osobie, której dane dotyczą, kopię

danych osobowych podlegających przetwarzaniu

• Za kolejne kopie może pobrać opłatę w rozsądnej wysokości

wynikającej z kosztów administracyjnych

• Jeśli osoba tak oczekuje to powszechnie stosowaną drogą

elektroniczną.

www.uodo.gov.plSlajd nr 38

niezwłocznego sprostowania dotyczących danych osobowych,

które są nieprawidłowe

Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą,

ma prawo żądania uzupełnienia niekompletnych danych

osobowych, w tym poprzez przedstawienie dodatkowego

oświadczenia.

Prawo do sprostowania danych

www.uodo.gov.plSlajd nr 39

→„prawo do bycia zapomnianym”

jeżeli zachodzi jedna z następujących okoliczności:

• dane zbędne

• cofnięcie zgody

• wniesienie sprzeciwu

• przetwarzanie niezgodnie z prawem

• usunięcie w celu wywiązania się z obowiązku prawnego

przewidzianego w prawie Unii lub prawie państwa

członkowskiego, któremu podlega administrator;

• zebranie danych w związku z oferowaniem usług

społeczeństwa informacyjnego, o których mowa

w art. 8 ust. 1.

Prawo do usunięcia danych

www.uodo.gov.plSlajd nr 40

Wyjątki

• korzystanie z prawa do wolności wypowiedzi

i informacji;

• wywiązywanie się z prawnego obowiązku

• względy interesu publicznego w dziedzinie zdrowia

publicznego

• celów archiwalne w interesie publicznym, cele badań

naukowych lub historycznych lub do cele statystyczne

• do ustalenia, dochodzenia lub obrony roszczeń.

www.uodo.gov.plSlajd nr 41

Prawo do ograniczenia przetwarzania → art. 18

Prawo do przenoszenia danych – N O W E → art. 20 - otrzymanie

danych, które osoba dostarczyła administratorowi, przetwarzanych w

sposób zautomatyzowany na podstawie zgody lub umowy, w

odpowiednim formacie – ustrukturyzowanym i powszechnie

używanym, nadającym się do odczytu maszynowego, celem

przekazania innemu administratorowi

Prawo sprzeciwu → art. 21

www.uodo.gov.plSlajd nr 42

Prawo do ograniczenia przetwarzania

• kwestionowanie prawidłowość danych osobowych – na

okres pozwalający administratorowi sprawdzić

prawidłowość tych danych;

• przetwarzanie niezgodne z prawem + sprzeciw wobec

usunięcia → w zamian ograniczenie wykorzystywania;

• administrator nie potrzebuje już danych osobowych do

celów przetwarzania, ale dane są potrzebne osobie,

której dane dotyczą, do ustalenia, dochodzenia lub

obrony roszczeń;

• po wniesieniu sprzeciwu wobec przetwarzania – do

czasu stwierdzenia, czy prawnie uzasadnione podstawy

po stronie administratora są nadrzędne wobec podstaw

sprzeciwu osoby, której dane dotyczą.

www.uodo.gov.plSlajd nr 43

Prawo do przenoszenia danych

• otrzymanie w ustrukturyzowanym, powszechnie

używanym formacie nadającym się do odczytu

maszynowego danych dostarczonych administratorowi

• przesłanie tych danych innemu administratorowi bez

przeszkód ze strony administratora, któremu

dostarczono te dane osobowe

• prawo żądania, by dane osobowe zostały przesłane

przez administratora bezpośrednio innemu

administratorowi, o ile jest to technicznie możliwe

• Jeżeli przetwarzanie odbywa się

→ na podstawie zgody oraz w sposób zautomatyzowany

www.uodo.gov.plSlajd nr 44

Prawo do sprzeciwu

• prawo w dowolnym momencie wnieść sprzeciw – z przyczyn

związanych z jej szczególną sytuacją – wobec przetwarzania

dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e)

lub f), w tym profilowania na podstawie tych przepisów.

→ nie wolno już przetwarzać tych danych osobowych, chyba że

wykaże on istnienie ważnych prawnie uzasadnionych podstaw do

przetwarzania, nadrzędnych wobec interesów, praw i wolności

osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia

lub obrony roszczeń.

• sprzeciw wobec przetwarzania dotyczących jej danych osobowych

na potrzeby marketingu bezpośredniego, w tym profilowania

→ nie wolno już przetwarzać do takich celów.

www.uodo.gov.plSlajd nr 45

→ sprawdzić skuteczność stosowanych dotąd procedur

→ wypracować sposoby reakcji na wnioski osób, których dane

dotyczą o realizację ich praw z RODO

kto i na jakich zasadach będzie:

• zajmował się obsługą wniosków

• lokalizował dane w zbiorach

• usuwał / przygotowywał / udostępniał dane

• terminy z art. 13 i 14 RODO – nie dłużej niż miesiąc

• odpłatność / odmowa – w jakich sytuacjach?

www.uodo.gov.plSlajd nr 46

Dziękuję za uwagę

Weronika Kowalik

w_kowalik@uodo.gov.pl