Cyfroteka.pl

klikaj i czytaj online

Cyfro
Czytomierz
00034 006077 22940868 na godz. na dobę w sumie
RODO. Ochrona danych osobowych. Przewodnik po zmianach - ebook/pdf
RODO. Ochrona danych osobowych. Przewodnik po zmianach - ebook/pdf
Autor: Liczba stron:
Wydawca: Infor Język publikacji: polski
ISBN: 978-83-65887-75-7 Data wydania:
Lektor:
Kategoria: ebooki >> prawo i podatki >> administracyjne
Porównaj ceny (książka, ebook, audiobook).

 

 

Prezentujemy Państwu jedyną na rynku publikację, w której przedstawiono szczegółowe porównanie przepisów ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych z nowymi przepisami, zawartymi w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Przygotowaliśmy ją z myślą o wszystkich, którzy muszą jak najszybciej wdrożyć nową regulację w swojej działalności.

Zmiany przepisów zostały przedstawione w unikalnej, tabelarycznej formule. Publikacja zawiera:

tabelaryczne zestawienie treści przepisów ustawy o ochronie danych osobowych i odpowiadających im – pod względem przedmiotu regulacji – przepisów nowego rozporządzenia w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych;

wyjaśnienia i komentarze ekspertów do każdego zmienionego przepisu wraz z uzasadnieniem prawodawcy, jaki skutek wywiera poszczególna zmiana.

Dzięki temu książka jest znakomitym drogowskazem w gąszczu nowej regulacji i znacznie ułatwia zorientowanie się w zmianach, jakie wprowadza nowe rozporządzenie o ochronie danych (RODO).

Aby sprostać oczekiwaniom profesjonalistów, zmiany ujawnione są w konfiguracji dotychczas obowiązujących przepisów. Tekst przepisów wzbogaciliśmy ponadto o hasła w klamrach opisujące poszczególne artykuły.

Niniejsza publikacja adresowana jest zarówno do osób pełniących funkcje administratora danych w organach administracji rządowej i samorządowej, osób zarządzających, kierowników jednostek oraz ich pracowników, jak i do przedsiębiorców, którzy zobowiązani są do gromadzenia danych swoich petentów i klientów.

 

Znajdź podobne książki Ostatnio czytane w tej kategorii

Darmowy fragment publikacji:

PRAWO 2 Barbara Pióro RODO OCHRONA DANYCH OSOBOWYCH PRZEWODNIK PO ZMIANACH PRZEPISY • KOMENTARZE EKSPERTÓW • PRZEJRZYSTE TABELE R E K O M E N D U J E Grupa INFOR PL Prezes Zarządu Ryszard Pieńkowski Dyrektor Centrum Wydawniczego Marzena Nikiel Redaktor merytoryczny Radosław Stępień Korekta Karolina Strzelczyk (UKKLW) Redaktor graficzny Anna Stefańska Druk: Mazowieckie Centrum Poligrafii © Copyright by INFOR PL S.A. Warszawa 2017 INFOR PL S.A. 01-042 Warszawa, ul. Okopowa 58/72 www.infor.pl Biuro Opiekunów Klienta 01-042 Warszawa, ul. Okopowa 58/72 tel. 22 761 30 30 infolinia: 801 626 666 e-mail: bok@infor.pl Księgarnia internetowa: www.sklep.infor.pl Profesjonalne księgarnie stacjonarne w kraju oraz księgarnie internetowe. Publikacja jest chroniona przepisami prawa autorskiego. Wykonywanie kserokopii bądź powielanie inną metodą oraz rozpowszechnianie bez zgody Wydawcy w całości lub części jest zabro- nione i podlega odpowiedzialności karnej. ISBN 978-83-65887-75-7 Spis treści: USTAWA Z DNIA 29 SIERPNIA 1997 R. O OCHRONIE DANYCH OSOBOWYCH Rozdział 1. Przepisy ogólne ...................................................................................................................................................................................................................................................................... 5 Rozdział 2. Organ ochrony danych osobowych .................................................................................................................................................................................................................................... 25 Rozdział 3. Zasady przetwarzania danych osobowych ....................................................................................................................................................................................................................... 58 Rozdział 4. Prawa osoby, której dane dotyczą ...................................................................................................................................................................................................................................... 90 Rozdział 5. Zabezpieczenie danych osobowych .................................................................................................................................................................................................................................. 104 Rozdział 6. Rejestracja zbiorów danych osobowych oraz administratorów bezpieczeństwa informacji .................................................................................................................................. 116 Rozdział 7. Przekazywanie danych osobowych do państwa trzeciego ............................................................................................................................................................................................ 129 Rozdział 8. Przepisy karne ........................................................................................................................................................................................................................................................................ 143 Rozdział 9. Zmiany w przepisach obowiązujących, przepisy przejściowe i końcowe ................................................................................................................................................................... 149 ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 Z DNIA 27 KWIETNIA 2016 R. W SPRAWIE OCHRONY OSÓB FIZYCZNYCH W ZWIĄZKU Z PRZETWARZANIEM DANYCH OSOBOWYCH I W SPRAWIE SWOBODNEGO PRZEPŁYWU TAKICH DANYCH ORAZ UCHYLENIA DYREKTYWY 95/46/WE (OGÓLNE ROZPORZĄDZENIE O OCHRONIE DANYCH) Artykuły niemające odniesienia w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych ...................................................................................................................................... 152 3 WSTĘP 4 Prezentujemy Państwu jedyną na rynku publikację, w której przedstawiono szczegółowe porównanie przepisów ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych z nowymi przepisami, zawartymi w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Przygotowaliśmy ją z myślą o wszystkich, którzy muszą jak najszybciej wdrożyć nową regulację w swojej działalności. Zmiany przepisów zostały przedstawione w unikalnej, tabelarycznej formule. Publikacja zawiera: n tabelaryczne zestawienie treści przepisów ustawy o ochronie danych osobowych i odpowiadających im – pod względem przedmiotu regulacji – przepisów nowego rozporządzenia w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobod- nego przepływu takich danych; n wyjaśnienia i komentarze ekspertów do każdego zmienionego przepisu wraz z uzasadnieniem prawodawcy, jaki skutek wywiera poszczególna zmiana. Dzięki temu książka jest znakomitym drogowskazem w gąszczu nowej regulacji i znacznie ułatwia zorientowanie się w zmianach wprowadzonych nowym rozporządzeniem o ochronie danych (RODO). Aby sprostać oczekiwaniom profesjonalistów, zmiany ujawnione są w konfiguracji dotychczas obowiązujących przepisów. Tekst przepisów wzbo- gaciliśmy ponadto o hasła w klamrach opisujące poszczególne artykuły. Niniejsza publikacja adresowana jest zarówno do osób będących administratorami danych w organach administracji rządowej i samorządowej, osób zarządzających, kierowników jednostek oraz ich pracowników, jak i do przedsiębiorców, którzy zobowiązani są do gromadzenia danych swoich petentów i klientów. USTAWA z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (j.t. Dz.U. z 2016 r., poz. 922) ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE z dnia 27 kwietnia 2016 r. (ogólne rozporządzenie o ochronie danych) [Dziennik Urzędowy Unii Europejskiej, L z 2016 r., Nr 119, poz. 1] Rozdział 1 Przepisy ogólne Rozdział 1 Przepisy ogólne Art. 1. [Prawo do ochrony danych osobowych] 1. Każdy ma prawo do ochrony dotyczących go danych osobowych. Art. 1. [Przedmiot i cele] 1. W niniejszym rozporządzeniu ustanowione zostają przepisy o ochronie osób fizycz- nych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepły- wie danych osobowych. Uzasadnienie: Cele i zasady dyrektywy 95/46/WE pozostają aktualne, jednak wdrażając ochronę danych w Unii, nie uniknięto fragmentaryzacji, niepewności prawnej oraz upo- wszechnienia się poglądu, że ochrona osób fizycznych jest znacznie zagrożona, w szcze- gólności w związku z działaniami w internecie. Różnice w stopniu ochrony praw i wolności osób fizycznych w państwach członkowskich – w szczególności prawa do ochrony da- nych osobowych – w związku z przetwarzaniem danych osobowych mogą utrudniać swo- bodny przepływ danych osobowych w Unii. Mogą zatem stanowić przeszkodę w prowa- dzeniu działalności gospodarczej na szczeblu Unii, zakłócać konkurencję oraz utrudniać organom wykonywanie obowiązków nałożonych na nie prawem Unii. Różnice w stopniu ochrony wynikają z różnic we wdrażaniu i stosowaniu dyrektywy 95/46/WE. Art. 1. [Przedmiot i cele] 2. Niniejsze rozporządzenie chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych. Uzasadnienie: Ochrona osób fizycznych w związku z przetwarzaniem danych osobo- wych jest jednym z praw podstawowych. Art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej (zwanej dalej „Kartą praw podstawowych”) oraz art. 16 ust. 1 Traktatu o funk- cjonowaniu Unii Europejskiej (TFUE) stanowią, że każda osoba ma prawo do ochrony danych osobowych jej dotyczących. Przetwarzanie danych osobowych należy zorganizować w taki sposób, aby służyło ludz- kości. Prawo do ochrony danych osobowych nie jest prawem bezwzględnym; należy je postrzegać w kontekście jego funkcji społecznej i wyważyć względem innych praw podsta- wowych w myśl zasady proporcjonalności. Niniejsze rozporządzenie nie narusza praw pod- stawowych, wolności i zasad uznanych w Karcie praw podstawowych – zapisanych w Trak- tatach – w szczególności prawa do poszanowania życia prywatnego i rodzinnego, domu  5 RODO. OCHRONA DANYCH OSOBOWYCH – PRZEWODNIK PO ZMIANACH 6 Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (ogólne rozporządzenie o ochronie danych) oraz komunikowania się, ochrony danych osobowych, wolności myśli, sumienia i religii, wol- ności wypowiedzi i informacji, wolności prowadzenia działalności gospodarczej, prawa do skutecznego środka prawnego i dostępu do bezstronnego sądu oraz różnorodności kulturowej, religijnej i językowej. Komentarz: Zmienia się filozofia podejścia do przetwarzania danych osobowych. RODO kładzie bardzo duży nacisk na przestrzeganie praw osób, których dane są przetwarzane. Takie podejście odzwierciedla możliwość nakładania kar administracyjnych na administratorów, którzy nie respektują praw osób, których dane są przetwarzane. Art. 1. [Prawo do ochrony danych osobowych] 2. Przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą, lub dobro osób trzecich w zakresie i trybie określonym ustawą. Art. 1. [Przedmiot i cele] 3. Nie ogranicza się ani nie zakazuje swobodnego przepływu danych osobowych w Unii z powodów odnoszących się do ochrony osób fizycznych w związku z przetwarzaniem da- nych osobowych. Uzasadnienie: Integracja społeczno-gospodarcza wynikająca z funkcjonowania rynku wewnętrznego doprowadziła do znacznego zwiększenia transgranicznych przepływów danych osobowych. Wzrosła wymiana danych osobowych między podmiotami publicz- nymi i prywatnymi, w tym między osobami fizycznymi, zrzeszeniami i przedsiębiorstwami w Unii. Od organów krajowych państw członkowskich prawo Unii coraz częściej wymaga, by w celu wykonania swoich obowiązków lub w celu realizacji zadań w imieniu organu innego państwa członkowskiego współpracowały ze sobą i wymieniały się danymi oso- bowymi. Aby zapewnić wysoki i spójny stopień ochrony osób fizycznych oraz usunąć przeszkody w przepływie danych osobowych w Unii, należy zapewnić równorzędny we wszystkich państwach członkowskich stopień ochrony praw i wolności osób fizycznych w związku z przetwarzaniem takich danych. Należy zapewnić spójne i jednolite w całej Unii stosowanie przepisów o ochronie podstawowych praw i wolności osób fizycznych w związku z prze- twarzaniem danych osobowych. Jeżeli chodzi o przetwarzanie danych osobowych w celu wypełnienia obowiązku prawnego, w celu wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, państwa członkowskie powinny móc zachować lub wprowadzić krajowe przepisy doprecy- zowujące stosowanie przepisów niniejszego rozporządzenia. Obok ogólnego, horyzontal- nego prawa o ochronie danych wdrażającego dyrektywę 95/46/WE państwa członkowskie przyjęły uregulowania sektorowe w dziedzinach wymagających przepisów bardziej szcze- gółowych. Niniejsze rozporządzenie umożliwia też państwom członkowskim doprecyzowa- nie jego przepisów, w tym w odniesieniu do przetwarzania szczególnych kategorii danych osobowych (zwanych dalej „danymi wrażliwymi”). W tym względzie niniejsze rozporządze- nie nie wyklucza możliwości określenia w prawie państwa członkowskiego okoliczności do- tyczących konkretnych sytuacji związanych z przetwarzaniem danych, w tym dookreślenia warunków, które decydują o zgodności przetwarzania z prawem. Art. 16 ust. 2 TFUE powierza Parlamentowi Europejskiemu i Radzie określenie zasad ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz zasad swo- bodnego przepływu takich danych. Aby zapewnić spójny stopień ochrony osób fizycznych w Unii oraz zapobiegać rozbież- nościom hamującym swobodny przepływ danych osobowych na rynku wewnętrznym, należy przyjąć rozporządzenie, które zagwarantuje podmiotom gospodarczym – w tym mikroprzedsiębiorstwom oraz małym i średnim przedsiębiorstwom – pewność prawa i przejrzystość, a osobom fizycznym we wszystkich państwach członkowskich ten sam poziom prawnie egzekwowalnych praw oraz obowiązków i zadań administratorów i pod- miotów przetwarzających, które pozwoli spójnie monitorować przetwarzanie danych osobowych, a także które zapewni równoważne kary we wszystkich państwach człon- kowskich oraz skuteczną współpracę organów nadzorczych z różnych państw człon- kowskich. Aby rynek wewnętrzny mógł właściwie funkcjonować, swobodny przepływ da- nych osobowych w Unii nie jest ograniczany ani zakazany z powodów odnoszących się do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych. Z uwagi na szczególną sytuację mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw niniejsze rozporządzenie przewiduje wyjątek dotyczący rejestrowania czynności prze- twarzania dla podmiotów zatrudniających mniej niż 250 pracowników. Ponadto zachęca się instytucje i organy Unii, państwa członkowskie i ich organy nadzorcze, by stosując niniejsze rozporządzenie, uwzględniały szczególne potrzeby mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw. Rozumienie pojęcia mikroprzedsiębiorstw oraz ma- łych i średnich przedsiębiorstw powinno opierać się na art. 2 załącznika do zalecenia Komisji 2003/361/WE. Komentarz: RODO nie wprowadza zmian w zasadach transferu danych. Art. 2. [Zakres przedmiotowy ustawy] 1. Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych. Art. 2. [Materialny zakres stosowania] 1. Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych. Uzasadnienie: Szybki postęp techniczny i globalizacja przyniosły nowe wyzwania w dzie- dzinie ochrony danych osobowych. Skala zbierania i wymiany danych osobowych znaczą- co wzrosła. Dzięki technologii zarówno przedsiębiorstwa prywatne, jak i organy publiczne mogą na niespotykaną dotąd skalę wykorzystywać dane osobowe w swojej działalności. Osoby fizyczne coraz częściej udostępniają informacje osobowe publicznie i globalnie. Technologia zmieniła gospodarkę i życie społeczne i powinna nadal ułatwiać swobodny przepływ danych osobowych w Unii oraz ich przekazywanie do państw trzecich i organi- zacji międzynarodowych, równocześnie zaś powinna zapewniać wysoki stopień ochrony danych osobowych.  7 RODO. OCHRONA DANYCH OSOBOWYCH – PRZEWODNIK PO ZMIANACH 8 Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (ogólne rozporządzenie o ochronie danych) Przemiany te wymagają stabilnych, spójniejszych ram ochrony danych w Unii oraz zdecy- dowanego ich egzekwowania, gdyż ważna jest budowa zaufania, które pozwoli na rozwój gospodarki cyfrowej na rynku wewnętrznym. Osoby fizyczne powinny mieć kontrolę nad własnymi danymi osobowymi. Osoby fizyczne, podmioty gospodarcze i organy publiczne powinny zyskać większe poczucie pewności prawa i jego stosowania w praktyce. Aby zapobiec poważnemu ryzyku obchodzenia prawa, ochrona osób fizycznych powinna być neutralna pod względem technicznym i nie powinna zależeć od stosowanych technik. Ochrona osób fizycznych powinna mieć zastosowanie do zautomatyzowanego przetwa- rzania danych osobowych oraz do przetwarzania ręcznego, jeżeli dane osobowe znajdują się lub mają się znaleźć w zbiorze danych. Zbiory lub zestawy zbiorów oraz ich strony tytułowe, które nie są uporządkowane według określonych kryteriów, nie powinny być objęte zakresem niniejszego rozporządzenia. Komentarz: RODO nie ma zastosowania do przetwarzania niezautomatyzowanego danych osobowych pod warunkiem, że dane te nie mają stanowić część zbioru danych. Zatem możliwe jest wyłączenie lub ograniczenie uprawnień osób, których dane są przetwarzane, co do przetwarzania danych w postaci papierowej, np. ewidencja gości prowadzona w formie pisemnej. Przy- kładowo: Jeśli dane są zamieszczone wyłącznie w dokumentach papierowych, administrator nie ma obowiązku podawania informacji, jakie dane zostały zamieszczone w tych dokumentach. Art. 2. [Zakres przedmiotowy ustawy] 2. Ustawę stosuje się do przetwarzania danych osobowych: 1) w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych; 2) w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych. 3. W odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zasto- sowanie jedynie przepisy rozdziału 5. Art. 3. [Zakres podmiotowy ustawy] 1. Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych. 2. Ustawę stosuje się również do: 1) podmiotów niepublicznych realizujących zadania publiczne, 2) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawo- dową lub dla realizacji celów statutowych – które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej. Art. 3. [Terytorialny zakres stosowania] 1. Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub pod- miotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii. Uzasadnienie: Przetwarzanie danych osobowych w kontekście działalności prowadzonej przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii po- winno odbywać się zgodnie z niniejszym rozporządzeniem, niezależnie od tego, czy samo przetwarzanie ma miejsce w Unii. Pojęcie „jednostka organizacyjna” zakłada skuteczne i faktyczne prowadzenie działalności poprzez stabilne struktury. Forma prawna takich struktur, niezależnie od tego, czy chodzi o oddział czy spółkę zależną posiadającą osobo- wość prawną, nie jest w tym względzie czynnikiem decydującym. 2. Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych osób, których dane dotyczą, przebywających w Unii przez administratora lub podmiot prze- twarzający niemających jednostek organizacyjnych w Unii, jeżeli czynności przetwarzania wiążą się z: a) oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii – niezależnie od tego, czy wymaga się od tych osób zapłaty; lub b) monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii. Uzasadnienie: Aby osoby fizyczne nie zostały pozbawione ochrony przysługującej im na mocy niniejszego rozporządzenia, przetwarzanie danych osobowych osób, których dane dotyczą, znajdujących się w Unii, przez administratora lub podmiot przetwarzający, którzy nie posiadają jednostki organizacyjnej w Unii, powinno podlegać niniejszemu rozporzą- dzeniu, jeżeli czynności przetwarzania wiążą się z oferowaniem takim osobom towarów lub usług, niezależnie od tego, czy pociąga to za sobą płatność. Aby stwierdzić, czy ad- ministrator lub podmiot przetwarzający oferują towary lub usługi znajdującym się w Unii osobom, których dane dotyczą, należy ustalić, czy jest oczywiste, że administrator lub podmiot przetwarzający planują oferować usługi osobom, których dane dotyczą, w co najmniej jednym państwie członkowskim Unii. O ile do ustalenia takiego zamiaru nie wy- starczy sama dostępność w Unii strony internetowej administratora, podmiotu przetwa- rzającego, pośrednika, adresu poczty elektronicznej lub innych danych kontaktowych ani posługiwanie się językiem powszechnie stosowanym w państwie trzecim, w którym jednostkę organizacyjną ma administrator, o tyle potwierdzeniem oczywistości faktu, że administrator planuje oferować w Unii towary lub usługi osobom, których dane dotyczą, mogą być czynniki takie, jak posługiwanie się językiem lub walutą powszechnie stosowa- nymi w co najmniej jednym państwie członkowskim oraz możliwość zamówienia towarów i usług w tym języku lub wzmianka o klientach lub użytkownikach znajdujących się w Unii. Ochrona zapewniana niniejszym rozporządzeniem powinna mieć zastosowanie do osób fizycznych – niezależnie od ich obywatelstwa czy miejsca zamieszkania – w związku z przetwarzaniem ich danych osobowych. Niniejsze rozporządzenie nie dotyczy przetwa- rzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontak- towych osoby prawnej. 3. Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych przez administratora niemającego jednostki organizacyjnej w Unii, ale posiadającego jednostkę organizacyjną w miejscu, w którym na mocy prawa międzynarodowego publicznego ma za- stosowanie prawo państwa członkowskiego. Uzasadnienie: Zasady i przepisy dotyczące ochrony osób fizycznych w związku z prze- twarzaniem ich danych osobowych nie mogą – niezależnie od obywatelstwa czy miejsca zamieszkania takich osób – naruszać ich podstawowych praw i wolności, w szczególności  9 RODO. OCHRONA DANYCH OSOBOWYCH – PRZEWODNIK PO ZMIANACH 10 Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (ogólne rozporządzenie o ochronie danych) prawa do ochrony danych osobowych. Niniejsze rozporządzenie ma na celu przyczyniać się do tworzenia przestrzeni wolności, bezpieczeństwa i sprawiedliwości oraz unii gospo- darczej, do postępu społeczno-gospodarczego, do wzmacniania i konwergencji gospo- darek na rynku wewnętrznym, a także do pomyślności ludzi. Celem dyrektywy Parlamentu Europejskiego i Rady 95/46/WE jest zharmonizowanie ochrony podstawowych praw i wolności osób fizycznych w związku z czynnościami przetwarzania oraz zapewnienie swobodnego przepływu danych osobowych między państwami członkowskimi. Przetwarzanie danych osobowych znajdujących się w Unii osób, których dane dotyczą, przez administratora lub podmiot przetwarzający, którzy nie mają jednostki organizacyjnej w Unii, powinno podlegać niniejszemu rozporządzeniu także w przypadkach, gdy wiąże się z monitorowaniem zachowania takich osób, których dane dotyczą, o ile zachowanie to ma miejsce w Unii. Aby stwierdzić, czy czynność przetwarzania można uznać za „mo- nitorowanie zachowania” osób, których dane dotyczą, należy ustalić, czy osoby fizyczne są obserwowane w internecie, w tym także czy później potencjalnie stosowane są techniki przetwarzania danych polegające na profilowaniu osoby fizycznej, w szczególności w celu podjęcia decyzji jej dotyczącej lub przeanalizowania lub prognozowania jej osobistych pre- ferencji, zachowań i postaw. Niniejsze rozporządzenie powinno mieć zastosowanie do administratora niemającego je- dnostki organizacyjnej w Unii także w przypadkach, gdy na mocy prawa międzynarodowe- go publicznego stosuje się prawo państwa członkowskiego, na przykład na terenie misji dyplomatycznej lub placówki konsularnej państwa członkowskiego. Komentarz: De facto rozporządzenie dotyczy przetwarzania danych we wszystkich państwach członkowskich, ale obowiązuje również podmioty, które mają siedzibę w państwie trzecim. Rozporządzenie nie dotyczy ochrony danych osób prawnych. Osobami prawnymi w myśl art. 33 kodeksu cywilnego są Skarb Państwa i jednostki organizacyjne, którym przepisy szczególne przyznają osobowość prawną. Wyłączenie danych kontaktowych osoby prawnej jest określone tylko w tym miejscu. Dane kontaktowe osoby prawnej to dane: ■■ osób reprezentujących osobę prawną (dane ujawnione w KRS), ■■ ujawnione na stronie WWW jako dane osoby do kontaktu, ■■ wskazane w umowach jako osoby kontaktowe w związku z realizacją danej umowy. Art. 3a. [Wyłączenia z zakresu stosowania ustawy] 1. Ustawy nie stosuje się do: 1) osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych; 2) podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystu- jących środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącz- nie do przekazywania danych. Art. 2. [Materialny zakres stosowania] 2. Niniejsze rozporządzenie nie ma zastosowania do przetwarzania danych osobowych: a) w ramach działalności nieobjętej zakresem prawa Unii; b) przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres tytu- łu V rozdział 2 TUE; c) przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze; d) przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom. Uzasadnienie: Niniejsze rozporządzenie nie ma zastosowania do kwestii ochrony podsta- wowych praw i wolności ani do swobodnego przepływu danych osobowych w związku z działalnością nieobjętą zakresem prawa Unii, taką jak działalność dotycząca bezpie- czeństwa narodowego. Niniejsze rozporządzenie nie ma zastosowania do przetwarzania danych osobowych przez państwa członkowskie w związku z działaniami związanymi ze wspólną polityką zagraniczną i bezpieczeństwa Unii. Niniejsze rozporządzenie nie ma zastosowania do przetwarzania danych osobowych przez osobę fizyczną w ramach działalności czysto osobistej lub domowej, czyli bez związku z działalnością zawodową lub handlową. Działalność osobista lub domowa może między innymi polegać na korespondencji i przechowywaniu adresów, podtrzymywaniu więzi społecznych oraz działalności internetowej podejmowanej w ramach takiej działal- ności. Niniejsze rozporządzenie ma jednak zastosowanie do administratorów lub podmio- tów przetwarzających, którzy udostępniają środki przetwarzania danych osobowych na potrzeby takiej działalności osobistej lub domowej. Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych przez właści- we organy w ramach zapobiegania przestępczości, prowadzenia postępowań przygoto- wawczych, wykrywania lub ścigania czynów zabronionych, lub wykonywania kar, w tym w celu ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom, oraz swobodny przepływ takich danych podlegają szczególnemu aktowi prawnemu Unii. Niniejsze rozporządzenie nie powinno zatem mieć zastosowania do czynności przetwarzania w tych celach. Jeżeli jednak dane osobowe przetwarzane przez organy publiczne na mocy niniejszego rozporządzenia są wykorzystywane do tych celów, dane te powinny podlegać szczególnemu aktowi prawnemu Unii, mianowi- cie dyrektywie Parlamentu Europejskiego i Rady (UE) 2016/680. Państwa członkowskie mogą powierzyć właściwym organom w rozumieniu dyrektywy (UE) 2016/680 zadania – które niekoniecznie służą zapobieganiu przestępczości, prowadzeniu postępowań przygotowawczych, wykrywaniu lub ściganiu czynów zabronionych, lub też wykonywa- niu kar, w tym ochronie przed zagrożeniami dla bezpieczeństwa publicznego i zapo- bieganiu takim zagrożeniom – tak by przetwarzanie danych osobowych do tych innych celów, o ile objęte jest zakresem prawa Unii, wchodziło w zakres zastosowania niniej- szego rozporządzenia. Jeżeli chodzi o przetwarzanie danych osobowych przez te właściwe organy do celów wchodzących w zakres niniejszego rozporządzenia, państwa członkowskie powinny mieć możliwość zachowania lub wprowadzenia przepisów szczególnych dostosowujących stosowanie przepisów niniejszego rozporządzenia. W takich przepisach możliwe jest do- precyzowanie szczególnych wymogów przetwarzania danych przez te właściwe organy do tych innych celów, z uwzględnieniem konstytucyjnych, organizacyjnych i administracyjnych struktur danego państwa członkowskiego. Jeżeli przetwarzanie danych osobowych przez podmioty prywatne objęte jest zakresem stosowania niniejszego rozporządzenia, niniejsze rozporządzenie powinno na określonych warunkach umożliwiać państwom członkowskim ograniczenie w swoich przepisach niektórych obowiązków i praw, o ile takie ograniczenie  11 RODO. OCHRONA DANYCH OSOBOWYCH – PRZEWODNIK PO ZMIANACH 12 Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (ogólne rozporządzenie o ochronie danych) stanowi w demokratycznym społeczeństwie niezbędny i proporcjonalny środek chroniący określone, ważne interesy, w tym bezpieczeństwo publiczne oraz zapobieganie przestęp- czości, prowadzenie postępowań przygotowawczych, wykrywanie lub ściganie czynów zabronionych, lub też wykonywanie kar, w tym ochronę przed zagrożeniami dla bezpieczeń- stwa publicznego i zapobieganie takim zagrożeniom. Jest to istotne na przykład w związku z przeciwdziałaniem praniu pieniędzy lub w działalności laboratoriów kryminalistycznych. Komentarz: Przepisy rozporządzenia nie mają zastosowania do przetwarzania danych osobowych w celach prywatnych, niezarobkowych. Art. 2. [Materialny zakres stosowania] 3. Do przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii zastosowanie ma rozporządzenie (WE) nr 45/2001. Rozporządzenie (WE) nr 45/2001 oraz inne unijne akty prawne mające zastosowanie do takiego przetwarzania danych osobowych zostają dostosowane do zasad i przepisów niniejszego rozporządzenia zgodnie z art. 98. Uzasadnienie: Do przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii ma zastosowanie rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 45/2001. Rozporządzenie (WE) nr 45/2001 oraz inne unijne akty prawne mające zasto- sowanie do takiego przetwarzania danych osobowych należy dostosować do zasad i prze- pisów ustanowionych w niniejszym rozporządzeniu oraz stosować w świetle niniejszego rozporządzenia. Aby zapewnić solidne i spójne ramy ochrony danych w Unii, należy po przy- jęciu niniejszego rozporządzenia dokonać koniecznych modyfikacji rozporządzenia (WE) nr 45/2001, tak by umożliwić jego stosowanie równocześnie z niniejszym rozporządzeniem. 4. Niniejsze rozporządzenie pozostaje bez uszczerbku dla stosowania dyrektywy 2000/31/ WE, w szczególności dla zasad odpowiedzialności usługodawców będących pośrednikami, o których to zasadach mowa w art. 12–15 tej dyrektywy. Uzasadnienie: Niniejsze rozporządzenie pozostaje bez uszczerbku dla stosowania dy- rektywy Parlamentu Europejskiego i Rady 2000/31/WE, w szczególności dla zasad odpowiedzialności usługodawców będących pośrednikami, o których to zasadach mowa w art. 12–15 tej dyrektywy. Dyrektywa ta ma przyczyniać się do właściwego funkcjono- wania rynku wewnętrznego przez zapewnienie swobodnego przepływu usług społeczeń- stwa informacyjnego między państwami członkowskimi. Komentarz: Do czasu zmiany dyrektywy 2000/31/WE (obecnie trwają prace nad rozporządzeniem e-Privacy) istnieje konieczność pozyskiwania zgody na przesyłanie informacji handlowej, o której mowa w ustawie o świadczeniu usług drogą elektroniczną. RODO rzuca nowe światło na przetwarzanie informacji o świadczonych usługach drogą elektroniczną, tzn. istnieje możliwość łączenia informacji o tych usługach (art. 18 i 19 UŚUDE – usta- wa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną – Dz. U. z 2013 r., poz. 1422 ze zm.). Przykładowo: Administrator danych będący usługodawcą może chcieć przetwarzać dane osobowe osób będących usługobiorcami po zakończeniu korzystania z usługi świadczonej drogą elektroniczną na potrzeby tworzenia profili użytkownika. Art. 3a. [Wyłączenia z zakresu stosowania ustawy] 2. Ustawy, z wyjątkiem przepisów art. 14–19 i art. 36 ust. 1, nie stosuje się również do prasowej działalności dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. – Prawo prasowe (Dz.U. poz. 24, z późn. zm.) oraz do działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza pra- wa i wolności osoby, której dane dotyczą. Przepisy dotyczące szczególnych sytuacji związanych z przetwarzaniem ROZDZIAŁ IX Art. 85. [Przetwarzanie a wolność wypowiedzi i informacji] 1. Państwa członkowskie przyjmują przepisy pozwalające pogodzić prawo do ochrony danych osobowych na mocy niniejszego rozporządzenia z wolnością wypowiedzi i informa- cji, w tym do przetwarzania dla potrzeb dziennikarskich oraz do celów wypowiedzi akademi- ckiej, artystycznej lub literackiej. 2. Dla przetwarzania do celów dziennikarskich lub do celów wypowiedzi akademickiej, artystycznej lub literackiej państwa członkowskie określają odstępstwa lub wyjątki od roz- działu II (Zasady), rozdziału III (Prawa osoby, której dane dotyczą), rozdziału IV (Administra- tor i podmiot przetwarzający), rozdziału V (Przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych), rozdziału VI (Niezależne organy nadzorcze), rozdziału VII (Współpraca i spójność) oraz rozdziału IX (Szczególne sytuacje związane z przetwarzaniem danych), jeżeli są one niezbędne, by pogodzić prawo do ochrony danych osobowych z wolnością wypowiedzi i informacji. 3. Każde państwo członkowskie zawiadamia Komisję o przepisach, które przyjęło zgod- nie z ust. 2, a następnie niezwłocznie o wszelkich późniejszych aktach zmieniających lub zmianach ich dotyczących. Uzasadnienie: Prawo państw członkowskich powinno godzić przepisy regulujące wol- ność wypowiedzi i informacji, w tym wypowiedzi dziennikarskiej, akademickiej, arty- stycznej lub literackiej, z prawem do ochrony danych osobowych na mocy niniejszego rozporządzenia. Przetwarzanie danych osobowych jedynie do celów dziennikarskich lub do celów wypowiedzi akademickiej, artystycznej lub literackiej powinno podlegać wyjątkom lub odstępstwom od niektórych przepisów niniejszego rozporządzenia, jeżeli jest to niezbędne, by pogodzić prawo do ochrony danych osobowych z prawem do wolności wypowiedzi i informacji, przewidzianymi w art. 11 Karty praw podstawowych. Powinno mieć to zastosowanie w szczególności do przetwarzania danych osobowych w dziedzinie audiowizualnej oraz w archiwach i bibliotekach prasowych. Państwa człon- kowskie powinny więc przyjąć akty prawne określające odstępstwa i wyjątki niezbędne do zapewnienia równowagi między tymi prawami podstawowymi. Państwa członkow- skie powinny przyjąć takie odstępstwa i wyjątki w odniesieniu do zasad ogólnych, praw przysługujących osobie, której dane dotyczą, administratora i podmiotu przetwarzają- cego, przekazywania danych osobowych do państw trzecich lub organizacji międzyna- rodowych, niezależnych organów nadzorczych, współpracy i spójności oraz szczegól- nych sytuacji przetwarzania danych. Jeżeli odstępstwa i wyjątki różnią się zależnie od państwa członkowskiego, zastosowanie powinno mieć prawo państwa członkowskiego, któremu podlega administrator. Aby uwzględnić, jak ważna dla każdego demokratycz- nego społeczeństwa jest wolność wypowiedzi, pojęcia dotyczące tej wolności, takie jak dziennikarstwo, należy interpretować szeroko.  13 RODO. OCHRONA DANYCH OSOBOWYCH – PRZEWODNIK PO ZMIANACH 14 Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (ogólne rozporządzenie o ochronie danych) Art. 4. [Pierwszeństwo umów międzynarodowych] Przepisów ustawy nie stosuje się, jeżeli umowa międzynarodowa, której stroną jest Rzeczpospolita Polska, stanowi inaczej. Komentarz: Przepisy RODO mają zastosowanie przed regulacjami państwa członkowskiego. Art. 5. [Zbieg przepisów] Jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw. Komentarz: Przepisy RODO mają zastosowanie przed regulacjami państwa członkowskiego. Art. 86 [Przetwarzanie a publiczny dostęp do dokumentów urzędowych] Dane osobowe zawarte w dokumentach urzędowych, które posiada organ lub podmiot publiczny lub podmiot prywatny w celu wykonania zadania realizowanego w interesie pub- licznym, mogą zostać przez ten organ lub podmiot ujawnione zgodnie z prawem Unii lub prawem państwa członkowskiego, któremu podlegają ten organ lub podmiot, dla pogodze- nia publicznego dostępu do dokumentów urzędowych z prawem do ochrony danych osobo- wych na mocy niniejszego rozporządzenia. Uzasadnienie: Niniejsze rozporządzenie pozwala uwzględnić przy stosowaniu jego prze- pisów zasadę publicznego dostępu do dokumentów urzędowych. Publiczny dostęp do dokumentów urzędowych można uznać za interes publiczny. Organ publiczny lub pod- miot publiczny powinny móc publicznie ujawniać dane osobowe z dokumentów przez siebie przechowywanych, jeżeli takie ujawnienie jest przewidziane przepisami prawa Unii lub prawa państwa członkowskiego, któremu organ ten lub podmiot podlegają. Przepisy takie powinny godzić publiczny dostęp do dokumentów urzędowych i ponowne wyko- rzystywanie informacji sektora publicznego z prawem do ochrony danych osobowych, i dlatego mogą przewidywać niezbędne uwzględnienie prawa do ochrony danych oso- bowych na podstawie niniejszego rozporządzenia. Wzmianka o organach i podmiotach publicznych powinna w tym kontekście dotyczyć wszystkich organów lub innych pod- miotów objętych prawem państwa członkowskiego dotyczącym publicznego dostępu do dokumentów. Dyrektywa Parlamentu Europejskiego i Rady 2003/98/WE nie narusza ani w żaden sposób nie wpływa na stopień ochrony osób fizycznych w związku z przetwa- rzaniem danych osobowych wynikający z przepisów prawa Unii i prawa państwa człon- kowskiego, a w szczególności nie zmienia obowiązków i praw przewidzianych w niniej- szym rozporządzeniu. Dyrektywa ta nie powinna mieć zastosowania w szczególności do dokumentów, do których – w ramach systemów dostępu – dostęp jest wykluczony lub ograniczony z powodu ochrony danych osobowych, ani do fragmentów dokumentów Art. 6. [Definicja danych osobowych] 1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące ziden- tyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. 2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bez- pośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. dostępnych w ramach tych systemów, ale zawierających dane osobowe, których ponow- ne wykorzystanie zostało określone w prawie jako niezgodne z prawem o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych. Art. 4. [Definicje] Na użytek niniejszego rozporządzenia: 1. „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfiko- wania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczegól- ności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określa- jących fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społecz- ną tożsamość osoby fizycznej; Uzasadnienie: Zasady ochrony danych powinny mieć zastosowanie do wszelkich informa- cji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. Spseu- donizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fi- zycznej. Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, nale- ży wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione praw- dopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do ziden- tyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. Niniejsze rozporzą- dzenie nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarza- nia do celów statystycznych lub naukowych. Komentarz: Definicja nie uległa zmianie, została jedynie doprecyzowana. System informatyczny, tak jak dotychczas, powinien odróżniać osoby prawne od osób fizycznych (konsumentów) i osób fizycznych prowadzących działalność gospodarczą (przedsiębiorców). Osoba prowadząca jednoosobową działalność gospodarczą w świetle polskiego prawa nie jest osobą prawną. Zatem przetwarzanie ich danych osobowych podlega pod przepisy rozporządzenia (analogicznie jak to ma miejsce obecnie). 3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymaga- łoby to nadmiernych kosztów, czasu lub działań. Uzasadnienie: Niniejsze rozporządzenie nie ma zastosowania do danych osobowych osób zmarłych. Państwa członkowskie mogą przyjąć przepisy o przetwarzaniu danych osobowych osób zmarłych.  15
Pobierz darmowy fragment (pdf)

Gdzie kupić całą publikację:

RODO. Ochrona danych osobowych. Przewodnik po zmianach
Autor:

Opinie na temat publikacji:


Inne popularne pozycje z tej kategorii:


Czytaj również:


Prowadzisz stronę lub blog? Wstaw link do fragmentu tej książki i współpracuj z Cyfroteką: