zasady ochrony danych osobowych
DESCRIPTION
Zasady ochrony danych osobowych. Bogusława Pilc, radca prawny, Dyrektor Departamentu Inspekcji w Biurze Generalnego Inspektora Ochrony Danych Osobowych. EUROPEJSKA KONWENCJA O OCHRONIE PRAW CZŁOWIEKA I PODSTAWOWYCH WOLNOŚCI - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/1.jpg)
Generalny InspektorOchrony Danych Osobowych
ul. Stawki 2, 00-193 Warszawawww.giodo.gov.pl
Zasady ochrony danych osobowych
Bogusława Pilc, radca prawny, Dyrektor Departamentu Inspekcji w Biurze Generalnego Inspektora Ochrony
Danych Osobowych
![Page 2: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/2.jpg)
www.giodo.gov.pl
EUROPEJSKA KONWENCJA O OCHRONIE EUROPEJSKA KONWENCJA O OCHRONIE
PRAW CZŁOWIEKA I PODSTAWOWYCH PRAW CZŁOWIEKA I PODSTAWOWYCH WOLNOŚCIWOLNOŚCI
sporządzona w Rzymie dnia 4 listopada 1950 r., sporządzona w Rzymie dnia 4 listopada 1950 r., zmieniona następnie Protokołami nr 3, 5 i 8 zmieniona następnie Protokołami nr 3, 5 i 8
oraz uzupełniona Protokołem nr 2oraz uzupełniona Protokołem nr 2(Dz. U. z 1993 r. Nr 61, poz. 284 ze zm.)(Dz. U. z 1993 r. Nr 61, poz. 284 ze zm.)
![Page 3: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/3.jpg)
www.giodo.gov.pl
Art. 8. Prawo do poszanowania życia prywatnego i rodzinnego
1. Każdy ma prawo do poszanowania swojego życia prywatnego i rodzinnego, swojego mieszkania i swojej
korespondencji.
2. Niedopuszczalna jest ingerencja władzy publicznej w korzystanie z tego prawa, z wyjątkiem przypadków
przewidzianych przez ustawę i koniecznych w demokratycznym społeczeństwie z uwagi na
bezpieczeństwo państwowe, bezpieczeństwo publiczne lub dobrobyt gospodarczy kraju, ochronę porządku i zapobieganie
przestępstwom, ochronę zdrowia i moralności lub ochronę praw i wolności innych osób.
![Page 4: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/4.jpg)
www.giodo.gov.pl
Landowa ustawa o ochronie danych osobowych ogłoszona w Hesji w 1970 r.
Federalna (RFN) ustawa o ochronie danych osobowych ogłoszona w 1977 r.
Ustawy o ochronie danych osobowych uchwalone w Szwecji, Danii, Norwegii, Francji, Luksemburgu
(lata 70-te XX w.)
Ustawy o ochronie danych osobowych uchwalone w Austrii, Islandii, Irlandii, Finlandii, Wielkiej Brytanii,
na Węgrzech (lata 80-te i początek lat 90-tych XX w.)
![Page 5: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/5.jpg)
www.giodo.gov.pl
Konwencja 108 Rady Europy z dnia 28 stycznia 1981 r. o ochronie osób w związku z automatycznym
przetwarzaniem danych osobowych(Dz. U. z 2006 r. Nr 3, poz. 15) (Dz. U. z 2006 r. Nr 3, poz. 15)
weszła w życie z dniem 1 października 1985 r.(Francja, RFN, Norwegia, Hiszpania, Szwecja)
Polska ratyfikowała Konwencję dnia 24 kwietnia 2002 r.
![Page 6: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/6.jpg)
www.giodo.gov.pl
Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/WE) w sprawie
ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych
danych(Dz. Urz. L 281, z dnia 23.11.1995, s. 31)(Dz. Urz. L 281, z dnia 23.11.1995, s. 31)
![Page 7: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/7.jpg)
www.giodo.gov.pl
Art. 47Art. 47 Konstytucji RP Konstytucji RP
Każdy ma prawo do ochrony życia Każdy ma prawo do ochrony życia prywatnego, rodzinnego, czci i dobrego prywatnego, rodzinnego, czci i dobrego
imienia oraz do decydowania o swoim życiu imienia oraz do decydowania o swoim życiu osobistym. osobistym.
![Page 8: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/8.jpg)
www.giodo.gov.pl
Art. 51Art. 51 Konstytucji RP Konstytucji RP
1. Nikt nie może być obowiązany inaczej niż na podstawie 1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby.ustawy do ujawniania informacji dotyczących jego osoby.
2. Władze publiczne nie mogą pozyskiwać, gromadzić i 2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym.demokratycznym państwie prawnym.
3. Każdy ma prawo dostępu do dotyczących go urzędowych 3. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa.określić ustawa.
4. Każdy ma prawo do żądania sprostowania oraz usunięcia 4. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą.sprzeczny z ustawą.
5. Zasady i tryb gromadzenia oraz udostępniania informacji 5. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.określa ustawa.
![Page 9: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/9.jpg)
www.giodo.gov.pl
Art. 47 Konstytucji poręcza prawo do prywatności (wyrok TK z 12 listopada 2002 r.,
SK 40/01 , OTK-A 2002, nr 6, poz. 81).
Na płaszczyźnie konstytucyjnej prawo do ochrony danych osobowych jednostki zostało
zagwarantowane w art. 51 Konstytucji.
Zarówno w literaturze, jak i orzecznictwie TK jest ono też określane mianem autonomii
informacyjnej.
![Page 10: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/10.jpg)
www.giodo.gov.pl
Art. 23 kodeksu cywilnego
DOBRA OSOBISTE CZŁOWIEKA,
jak w szczególności zdrowie, wolność, cześć, swoboda sumienia, nazwisko lub pseudonim,
wizerunek, tajemnica korespondencji, nietykalność mieszkania, twórczość naukowa, artystyczna,
wynalazcza i racjonalizatorska,
pozostają pod ochroną prawa cywilnego niezależnie od ochrony przewidzianej w innych przepisach.
![Page 11: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/11.jpg)
www.giodo.gov.pl
Art. 24 kodeksu cywilnego
§ 1. Ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że
nie jest ono bezprawne. W razie dokonanego naruszenia może on także żądać, ażeby
osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności ażeby
złożyła oświadczenie odpowiedniej treści i w odpowiedniej formie.
Na zasadach przewidzianych w kodeksie może on również żądać zadośćuczynienia pieniężnego lub zapłaty odpowiedniej
sumy pieniężnej na wskazany cel społeczny.
§ 2. Jeżeli wskutek naruszenia dobra osobistego została wyrządzona szkoda majątkowa, poszkodowany może żądać jej
naprawienia na zasadach ogólnych.
![Page 12: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/12.jpg)
www.giodo.gov.pl
Pojedyncze dane osobowe nie są odrębnymi dobrami osobistymi.
Dane osobowe jednak mogą być uznane za dobra osobiste, jeżeli np. są objęte
sferą życia prywatnego.
![Page 13: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/13.jpg)
www.giodo.gov.pl
Rozporządzenie MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych
osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące
do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024)
![Page 14: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/14.jpg)
www.giodo.gov.pl
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
(Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.)
![Page 15: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/15.jpg)
www.giodo.gov.pl
zakres podmiotowy i przedmiotowy stosowania ustawy
definicje ustawowe
![Page 16: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/16.jpg)
www.giodo.gov.pl
Art. 3a ust. 1Art. 3a ust. 1Ustawy nie stosuje się do:Ustawy nie stosuje się do:
1) osób fizycznych, które przetwarzają dane wyłącznie 1) osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowychw celach osobistych lub domowych
2) podmiotów mających siedzibę lub miejsce zamieszkania w 2) podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej znajdujące się na terytorium Rzeczypospolitej Polskiej
wyłącznie do przekazywania danychwyłącznie do przekazywania danych
![Page 17: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/17.jpg)
www.giodo.gov.pl
Art. 3 ust. 2Art. 3 ust. 2
Ustawy, z wyjątkiem przepisów art. 14-19 i art. 36 ust. 1, nie Ustawy, z wyjątkiem przepisów art. 14-19 i art. 36 ust. 1, nie stosuje się również do prasowej działalności dziennikarskiej w stosuje się również do prasowej działalności dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. - Prawo prasowe rozumieniu ustawy z dnia 26 stycznia 1984 r. - Prawo prasowe
(Dz. U. Nr 5, poz. 24, z późn. zm.) oraz do działalności (Dz. U. Nr 5, poz. 24, z późn. zm.) oraz do działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich literackiej lub artystycznej, chyba że wolność wyrażania swoich
poglądów i rozpowszechniania informacji istotnie narusza poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą.prawa i wolności osoby, której dane dotyczą.
![Page 18: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/18.jpg)
www.giodo.gov.pl
Państwo trzeciePaństwo trzeciepaństwo nienależące do Europejskiego Obszaru państwo nienależące do Europejskiego Obszaru
GospodarczegoGospodarczego
EOG (European Economic Area)EOG (European Economic Area)
Państwa należące do EOG:Państwa należące do EOG:
- państwa członkowskie Unii Europejskiej- państwa członkowskie Unii Europejskiej
- państwa członkowskie Europejskiego Stowarzyszenia Wolnego - państwa członkowskie Europejskiego Stowarzyszenia Wolnego HandluHandlu
EFTA (European Free Trade Association):EFTA (European Free Trade Association):
Islandia, Lichtenstein, NorwegiaIslandia, Lichtenstein, Norwegia
![Page 19: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/19.jpg)
www.giodo.gov.pl
Art. 2 ust. 3Art. 2 ust. 3
W odniesieniu do zbiorów danych osobowychW odniesieniu do zbiorów danych osobowych
sporządzanych doraźnie, sporządzanych doraźnie,
wyłącznie ze względów technicznych, szkoleniowych lub w wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, związku z dydaktyką w szkołach wyższych,
a po ich wykorzystaniu niezwłocznie usuwanych albo a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji,poddanych anonimizacji,
mają zastosowanie przepisy jedynie rozdziału 5.mają zastosowanie przepisy jedynie rozdziału 5.
![Page 20: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/20.jpg)
www.giodo.gov.pl
Art. 4Art. 4
Przepisów ustawy nie stosuje się, jeżeli Przepisów ustawy nie stosuje się, jeżeli umowa międzynarodowa, której stroną jest umowa międzynarodowa, której stroną jest Rzeczpospolita Polska, stanowi inaczej. Rzeczpospolita Polska, stanowi inaczej.
![Page 21: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/21.jpg)
www.giodo.gov.pl
Art. 5.
Jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych,
przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych
ustaw.
![Page 22: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/22.jpg)
www.giodo.gov.pl
Art. 3 ust. 1
Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do
państwowych i komunalnych jednostek organizacyjnych.
![Page 23: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/23.jpg)
www.giodo.gov.pl
Zakres podmiotowy ustawy o ochronie danych osobowych
1. Podmioty publiczne mogą decydować o celach i środkach przetwarzania danych w ramach zadań przyznanych im przepisami prawa:
• organy państwowe,• organy samorządu terytorialnego,• państwowe i komunalne jednostki organizacyjne.
2. Kontrolą mogą być objęte np. Kancelaria Prezydenta RP, Kancelaria Senatu, Kancelaria Sejmu, Kancelaria Prezesa Rady Ministrów, ministerstwa, sądy, prokuratury, jednostki policji, urzędy skarbowe, publiczne zakłady opieki zdrowotnej, Zakład Ubezpieczeń Społecznych, Główny Urząd Statystyczny, gminy, powiaty, województwa i inne.
![Page 24: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/24.jpg)
www.giodo.gov.pl
Art. 3 ust. 2Ustawę stosuje się również do:
1) podmiotów niepublicznych realizujących zadania publiczne,
2) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością
zarobkową, zawodową lub dla realizacji celów statutowych
- które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków
technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej.
![Page 25: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/25.jpg)
www.giodo.gov.pl
Zakres podmiotowy ustawy o ochronie danych osobowych
- Podmioty prywatne mogą realizować cele i środki w zakresie przetwarzania danych osobowych, które wynikają ze specyfiki prowadzonej przez nie działalności:
• podmioty niepubliczne realizujące zadania publiczne (np. prywatne zakłady opieki zdrowotnej, prywatne szkoły i przedszkola),
• osoby fizyczne i osoby prawne (np.. Spółki z o.o., spółki akcyjne, stowarzyszenia, fundacje) oraz jednostki organizacyjne niebędące osobami prawnymi (np. niemające osobowości prawnej spółki prawa handlowego); objęte są one zakresem stosowania ustawy, jeżeli przetwarzają dane w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych (art. 3 ust. 2 pkt 2 ustawy).
![Page 26: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/26.jpg)
www.giodo.gov.pl
Zakres podmiotowy ustawy o ochronie danych osobowych
1. Podmioty posiadające status administratora danych:• administratorzy podlegający obowiązkowi zgłoszenia zbioru do
rejestracji,• administratorzy zwolnieni z mocy ustawy z obowiązku zgłoszenia
zbioru do rejestracji.
2. Podmioty przetwarzający dane na zlecenia administratora danych:
• zleceniobiorcy (przetwarzający) w drodze umowy zawartej na piśmie tzw. umowy powierzenia (art.31 ustawy).
![Page 27: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/27.jpg)
www.giodo.gov.pl
Art. 6
W rozumieniu ustawy za DANE OSOBOWE uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do
zidentyfikowania osoby fizycznej.
OSOBĄ MOŻLIWĄ DO ZIDENTYFIKOWANIA jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w
szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub
społeczne.
Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub
działań.
![Page 28: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/28.jpg)
www.giodo.gov.pl
Identyfikacja danych podlegających ochronie
• Dane tzw. zwykłe – np. imię, nazwisko, data urodzenia, PESEL, adres zamieszkania, wysokość osiąganych dochodów, stan konta bankowego, informacje o mieniu ruchomym czy nieruchomościach i inne
• Dane tzw. wrażliwe, sensytywne – jako szczególny rodzaj danych, do których art. 27 ust. 1 u.o.d.o. zalicza: dane ujawniające pochodzenie rasowe, etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym
• Informacje o osobach zmarłych nie podlegają ochronie u.o.d.o. – zdolność prawna człowieka, a tym samym zdolność do bycia podmiotem praw i obowiązków ustaje z chwilą jego śmierci
![Page 29: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/29.jpg)
www.giodo.gov.pl
Dane osobowe
• Charakter danych osobowych posiadają informacje „ z różnych dziedzin życia”, o ile istnieje możliwość powiązania ich z oznaczoną osobą; mogą to być informacje o charakterze obiektywnym lub subiektywnym, wymiernym lub ocennym, o okolicznościach dawnych, obecnych lub przyszłych, trwałych lub przemijających
• Danymi osobowymi są między innymi informacje:• o zasadniczo „niezależnych okolicznościach” (imię, nazwisko, płeć,
wzrost, znaki szczególne, obywatelstwo, linie papilarne, miejsce i data urodzenia, cechy dokumentów tożsamości, numer PESEL);
• o cechach nabytych (wykształcenie, znajomość języków, posiadane uprawnienia, charakter pisma, stan cywilny);
![Page 30: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/30.jpg)
www.giodo.gov.pl
Dane osobowe
• o cechach osobowościowych, psychologicznych, w tym o przekonaniach, zainteresowaniach, światopoglądzie, upodobaniach, sposobie spędzania wolnego czasu);
• o sytuacji majątkowej, operacjach finansowych, w tym również o „zaniechaniach” ( np. wykaz zaległości czynszowych);
• o różnych przejawach działalności (np. podróżach, uczestniczeniu w życiu kulturalnym);
• dotyczące aktywnego lub biernego uczestnictwa w różnego rodzaju wydarzeniach,
• część informacji już z natury rzeczy identyfikuje osobę;• większość informacji uzyskuje charakter danych osobowych
dopiero w połączeniu z informacjami identyfikującymi wprost lub pośrednio osobę;
![Page 31: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/31.jpg)
www.giodo.gov.pl
Dane osobowe
• pod tym warunkiem danymi osobowymi stają się m.in. informacje o stanie fizycznym i psychicznym, o przebytych chorobach, o kalectwie, o wynikach badań medycznych (zdjęcia rendtgenowskie, ciśnienie krwi, poziom cukru i wiele innych), o rezultatach testów psychologicznych, zręcznościowych, wyniki egzaminów, rezultaty uzyskiwane na zawodach sportowych;
• charakter danych osobowych posiadają informacje dotyczące przygotowania zawodowego i przebiegu pracy danej osoby, o jej sytuacji rodzinnej, o stanie posiadania ( w tym o posiadanych dobrach, o zgromadzonych oszczędnościach, kontach bankowych, o wysokości płaconych podatków), o jej zachowaniach (zakupach towarów lub usług, prowadzonych rozmowach telefonicznych, w tym tzw. biling), naruszeniach prawa, wszelkie opinie na temat danej osoby.
![Page 32: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/32.jpg)
www.giodo.gov.pl
Art. 7
DEFINICJE:
1) zbioru danych2) przetwarzania danych 2a) systemu informatycznego 2b) zabezpieczenia danych w systemie informatycznym3) usuwania danych4) administratora danych5) zgody osoby, której dane dotyczą6) odbiorcy danych 7) państwa trzeciego
![Page 33: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/33.jpg)
www.giodo.gov.pl
USUWANIE DANYCH
zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwoli na ustalenie
tożsamości osoby, której dane dotyczą
![Page 34: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/34.jpg)
www.giodo.gov.pl
ZBIÓR DANYCH
każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według
określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony
funkcjonalnie,
![Page 35: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/35.jpg)
www.giodo.gov.pl
PRZETWARZANIE DANYCH
jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie,
przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te,
które wykonuje się w systemach informatycznych,
![Page 36: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/36.jpg)
www.giodo.gov.pl
SYSTEM INFORMATYCZNYzespół współpracujących ze sobą urządzeń,
programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w
celu przetwarzania danych
ZABEZPIECZENIE DANYCH W SYSTEMIE INFORMATYCZNYM
wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych
zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem,
![Page 37: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/37.jpg)
www.giodo.gov.pl
ADMINISTRATOR DANYCH
organ, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3,
decydujące o celach i środkach przetwarzania danych osobowych,
![Page 38: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/38.jpg)
www.giodo.gov.pl
ODBIORCA DANYCHkażdy, komu udostępnia się dane osobowe,
z wyłączeniem:
a) osoby, której dane dotyczą, b) osoby upoważnionej do przetwarzania danych, c) przedstawiciela, o którym mowa w art. 31a, d) podmiotu, o którym mowa w art. 31, e) organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem
![Page 39: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/39.jpg)
www.giodo.gov.pl
Art. 8 ust. 1 Organem do spraw ochrony danych osobowych jest
GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH
Art. 8 ust. 2Generalnego Inspektora powołuje i odwołuje Sejm
Rzeczypospolitej Polskiej za zgodą Senatu.
![Page 40: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/40.jpg)
www.giodo.gov.pl
Art. 11
IMMUNITETGeneralnego Inspektora Ochrony Danych Osobowych
nie może być bez uprzedniej zgody Sejmu pociągnięty do odpowiedzialności karnej ani pozbawiony wolności
nie może być zatrzymany lub aresztowany, z wyjątkiem ujęcia go na gorącym uczynku przestępstwa i jeżeli jego
zatrzymanie jest niezbędne do zapewnienia prawidłowego toku postępowania.
![Page 41: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/41.jpg)
www.giodo.gov.pl
Art. 12
ZADANIA Generalnego Inspektora
1) kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych, 2) wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych, 3) zapewnienie wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym wynikających z decyzji, o których mowa w pkt 2, przez stosowanie środków egzekucyjnych przewidzianych w ustawie z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. z 2005 r. Nr 229, poz. 1954, z późn. zm., 4) prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach,5) opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych,
![Page 42: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/42.jpg)
www.giodo.gov.pl
ZADANIA Generalnego Inspektora c. d.
• 6) inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych,
• 7) uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych.
![Page 43: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/43.jpg)
www.giodo.gov.pl
Art. 23 ust. 1 Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,
2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
![Page 44: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/44.jpg)
www.giodo.gov.pl
ZGODA OSOBY, KTÓREJ DANE DOTYCZĄ (Art. 7 pkt 5)
oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego,
kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z
oświadczenia woli o innej treści, zgoda może być odwołana w każdym czasie
![Page 45: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/45.jpg)
www.giodo.gov.pl
Zgoda na przetwarzanie danych osobowych (1)
- uodo nie przewiduje szczególnej formy udzielenia zgody jak i odwołania zgody na przetwarzanie danych,
- jako oświadczenie woli – może przybrać formę każdego zachowania się tej osoby, które ujawnia jej wolę w sposób dostateczny, w tym w przez ujawnienie woli w postaci elektronicznej,
![Page 46: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/46.jpg)
www.giodo.gov.pl
Zgoda na przetwarzanie danych osobowych (2)
• Wola osoby dokonującej czynności prawnej może być wyrażona przez każde zachowanie się tej osoby, które ujawnia jej wolę w sposób dostateczny, w tym również przez ujawnienie tej woli w postaci elektronicznej (oświadczenie woli) – art. 60 kc
![Page 47: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/47.jpg)
www.giodo.gov.pl
Zgoda na przetwarzanie danych osobowych (3)
• do oświadczenia woli dotyczącego odwołania zgody na przetwarzanie danych osobowych, powinno się stosować ogólną zasadę wynikającą z art. 60 kc,
• w przypadku gdy uodo przewiduje formę pisemną dla oświadczenia woli dotyczącego zgody na przetwarzanie danych (dane tzw. „sensytywne”, przekazywanie danych do państwa trzeciego) niezbędne jest, aby odwołanie zgody na przetwarzanie danych osobowych również przybrało formę pisemną,
• administrator danych ze względów dowodowych powinien utrwalać takie oświadczenie woli w zakresie wyrażenia zgody jak i jej odwołania
• przepisy szczególne przewidujące możliwość odwołania zgody:
- ustawa Prawo telekomunikacyjne,
- ustawa o świadczeniu usług drogą elektroniczną,
- ustawa Prawo bankowe
![Page 48: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/48.jpg)
www.giodo.gov.pl
Art. 23 ust. 2Zgoda, o której mowa w ust. 1 pkt 1, może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel
przetwarzania.
Art. 23 ust. 3Jeżeli przetwarzanie danych jest niezbędne dla ochrony
żywotnych interesów osoby, której dane dotyczą, a spełnienie warunku określonego w ust. 1 pkt 1 jest niemożliwe, można
przetwarzać dane bez zgody tej osoby, do czasu, gdy uzyskanie zgody będzie możliwe.
![Page 49: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/49.jpg)
www.giodo.gov.pl
Art. 23 ust. 4PRAWNIE USPRAWIEDLIWIONY CEL
ADMINISTRATORA DANYCH
w szczególności:1) marketing bezpośredni własnych produktów lub usług administratora danych,2) dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
![Page 50: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/50.jpg)
www.giodo.gov.pl
Zgoda według opinii Grypy Roboczej art. 29 nr 15/2011
• Grupa Robocza art. 29 została powołana na mocy art. 29 Dyrektywy 95/46/WE. Jest niezależnym organem doradczym w zakresie ochrony danych osobowych i prywatności
• W dniu 13 lipca 2011 r. Grupa przyjęła opinię nr 15/2011 w sprawie definicji zgody
• Główne powody przyjęcia opinii:- Zróżnicowana praktyka poszczególnych państw członkowskich
m.in.:- w zakresie wymogu pisemnej zgody,- akceptowania zgody dorozumianej,- konieczne ujednolicenie interpretacji
![Page 51: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/51.jpg)
www.giodo.gov.pl
Analiza elementów zgody
• Zgoda osoby, której dane dotyczą, oznacza konkretne i świadome, dobrowolne wskazanie przez tę osobę na to, że wyraża przyzwolenie na przetwarzanie odnoszących się do niej danych osobowych
• „wskazanie na to, że wyraża” – pisemna forma co do zasady nie jest konieczna. Dowolne zachowanie wyraźnie wskazujące na wolę osoby,
• „dobrowolne” – możliwość dokonania rzeczywistego wyboru. Zgoda w relacjach pracodawca – pracownik (np. I OSK 249/09, I OSK 1476/10 – wyroki NSA – dane biometryczne),
• „konkretne” – ściśle określony cel – nowy cel – nowa zgoda,• „świadome” – warunkiem zgody jest pełne poinformowanie
podmiotu danych
![Page 52: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/52.jpg)
www.giodo.gov.pl
Zgoda w szczególnych warunkach
• Konieczna wyraźna zgoda (explicit consent) na przetwarzanie szczególnych kategorii danych
• Zgoda na konkretną propozycję, najczęściej udzielana w formie pisemnej z odręcznym podpisem
• Nie może być dorozumiana• Zgoda na transfer do państw trzecich – jednoznaczna• Zgoda osób nieposiadających pełnej zdolności do czynności
prawnych – brak konkretnych zasad w Dyrektywie 95/46/WE. Grupa zwraca uwagę na trudności w tym obszarze
![Page 53: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/53.jpg)
www.giodo.gov.pl
Art. 27 ust. 1
ZABRANIA SIĘ PRZETWARZANIA DANYCH:
ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne,
przynależność wyznaniową, partyjną lub związkową,
danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym
danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu
sądowym lub administracyjnym.
![Page 54: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/54.jpg)
www.giodo.gov.pl
Art. 27 ust. 2 Przetwarzanie danych, o których mowa w ust. 1, jest
jednak dopuszczalne, jeżeli:
1) osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych,
2) przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony,
3) przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora,
![Page 55: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/55.jpg)
www.giodo.gov.pl
6) przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie,
7) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych,
![Page 56: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/56.jpg)
www.giodo.gov.pl
8) przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą, 9) jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone,
10) przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.
![Page 57: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/57.jpg)
www.giodo.gov.pl
Wrażliwe przetwarzanie
• „Profil” oznacza zestaw danych charakteryzujący kategorię osób, który ma zostać zastosowany w odniesieniu do danej osoby
• „Tworzenie profili” oznacza automatyczną technikę przetwarzania danych polegającą na przypisaniu danej osobie „profilu” w celu podejmowania dotyczących jej decyzji bądź analizy lub przewidywania jej preferencji, zachowań i postaw
• Tworzenie profili, wg Grupy Art. 29. - istnieją dwa podstawowe podejścia do tworzenia profili użytkowników:
- Profile predykcyjne tworzy się w drodze wnioskowania na podstawie obserwacji indywidualnego i zbiorowego zachowania użytkowników w czasie, w szczególności poprzez monitorowanie odwiedzanych stron oraz reklam, które użytkownik wyświetla, lub na które klika
![Page 58: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/58.jpg)
www.giodo.gov.pl
Wrażliwe przetwarzanie cd.
• Profile jawne tworzy się na podstawie danych osobowych przekazywanych w ramach usługi sieciowej przez same osoby, których dane dotyczą, np. podczas rejestracji.
• Wspomniane podejścia można łączyć• Ponadto profile predykcyjne mogą stać się jawne później, kiedy
osoba, której dane dotyczą, utworzy dane logowania dla danej strony internetowej
Patrz: Opinia Grupy Art. 29 nr 2/2010 w sprawie internetowej reklamy behawioralnej przyjęta dnia 22 czerwca 2010 r., pkt 2, 3, str. 8
![Page 59: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/59.jpg)
www.giodo.gov.pl
Art. 26 ust. 1 Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były:
1) przetwarzane zgodnie z prawem,
2) zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2,
3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,
4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
![Page 60: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/60.jpg)
www.giodo.gov.pl
Art. 26 ust. 2Przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza
praw i wolności osoby, której dane dotyczą, oraz następuje:
1) w celach badań naukowych, dydaktycznych, historycznych
lub statystycznych,
2) z zachowaniem przepisów art. 23 i 25.
![Page 61: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/61.jpg)
www.giodo.gov.pl
Identyfikacja danych podlegających ochronie
• Dane w kartotekach, skorowidzach, księgach, wykazach i innych urządzeniach ewidencyjnych
• Dane w systemach informatycznych• Dane w zbiorach danych i poza zbiorami danych
• System informatyczny (art. 7 pkt 2a u.o.d.o.) – zespół współpracujących ze sobą:
• urządzeń,• programów,• procedur przetwarzania informacji i narzędzi programowych
61
![Page 62: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/62.jpg)
www.giodo.gov.pl
Analiza zagrożeń i ocena ryzyka procesu przetwarzania (1)
• Zagrożenia – to zjawiska wywołane działaniem człowieka (umyślne, nieumyślne) lub sił wyższych (przyrody, środków trwałych itp.), które powodują, że poczucie bezpieczeństwa maleje bądź zupełnie zanika.
• Analiza i ocena obejmuje identyfikację i szacowanie zagrożeń występujących na poszczególnych etapach procesu przetwarzania:
• zbieranie,• utrwalanie,• opracowywanie,• zmienianie,• udostępnianie,• przechowywanie,• usuwanie• Prowadzona systematycznie pozwala na zastosowanie odpowiednich
zabezpieczeń, które zminimalizują prawdopodobieństwo ich wystąpienia
![Page 63: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/63.jpg)
www.giodo.gov.pl
Analiza zagrożeń i ocena ryzyka procesu przetwarzania (2)
• Zagrożenia zasobów komputerowych:
• działalność umyślna sieciowa (zazwyczaj przestępcza) związana z atakami i włamaniami hakerskimi przy użyciu różnych technik i metod (np. złośliwych programów, rozsyłania spamu), często zautomatyzowanymi powodująca:
• utratę poufności (np. ujawnienie informacji),
• utratę integralności (np. modyfikacja informacji),
• utratę dostępności zasobów (np. brak dostępu do informacji czy systemu dla uprawnionych użytkowników).
• Działania umyślne fizyczne – bezpośrednia obserwacja, podsłuch czy kradzież zasobów
• Działania przypadkowe – pomyłki, pominięcia czy wypadki fizyczne wynikające z problemów technicznych (wady sprzętu i oprogramowania, awarie sprzętu, przerwy i zakłócenia w sieci energetycznej)
![Page 64: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/64.jpg)
www.giodo.gov.pl
Analiza zagrożeń i ocena ryzyka procesu przetwarzania (3)
• problemów organizacyjnych – zła organizacja pracy, brak odpowiednich procedur, brak organizacji infrastruktury informatycznej, niedostateczna wiedza, niewystarczające monitorowanie zabezpieczeń, brak lub niewłaściwe utrzymywanie zasobów,
• błędów ludzkich – nieprzestrzeganie podstawowych zasad bezpieczeństwa, brak świadomości zagrożeń, zapisywanie haseł, zniszczenie urządzenia na skutek niedbalstwa, omyłkowe skasowanie danych, nieprawidłowe administrowanie systemu i inne
![Page 65: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/65.jpg)
www.giodo.gov.pl
Wymagane środki bezpieczeństwa
• środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem
• dokumentacja opisująca sposób przetwarzania danych oraz środki ochrony przetwarzania danych
• administrator bezpieczeństwa informacji
65
![Page 66: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/66.jpg)
www.giodo.gov.pl
Wymagane środki bezpieczeństwa
• Dopuszczenie do przetwarzania danych wyłącznie osób posiadających upoważnienie nadane przez administratora danych (art. 37 u.o.d.o.)
• Zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane (art. 38 u.o.d.o.)
• Ewidencja osób upoważnionych do przetwarzania danych (art.39 u.o.d.o.).
• Obowiązek zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia.
66
![Page 67: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/67.jpg)
www.giodo.gov.pl
Wymagane środki bezpieczeństwa
Dokumentacja przetwarzania danych:
•polityka bezpieczeństwa
•instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych
67
![Page 68: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/68.jpg)
www.giodo.gov.pl68
(§ 4) Polityka bezpieczeństwa zawiera w szczególności: wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących
obszar, w którym przetwarzane są dane osobowe
wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych
opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi
sposób przepływu danych pomiędzy poszczególnymi systemami
określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych
Wymagane środki bezpieczeństwa
![Page 69: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/69.jpg)
www.giodo.gov.pl69
1)procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
Wymagane środki bezpieczeństwa
(§ 5) Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych zawiera w szczególności:
![Page 70: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/70.jpg)
www.giodo.gov.pl70
a) elektronicznych nośników informacji zawierających dane osobowe,
b) kopii zapasowych, o których mowa w pkt 4;
Wymagane środki bezpieczeństwa
(§ 5 ) Instrukcja zarządzania systemem informatycznym cd:
5) sposób, miejsce i okres przechowywania:
6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia;7) sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4;8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.
![Page 71: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/71.jpg)
www.giodo.gov.pl
Wymagane środki bezpieczeństwa
Poziomy bezpieczeństwa:
•podstawowy
•podwyższony
•wysoki
71
![Page 72: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/72.jpg)
www.giodo.gov.pl
Czy jest dostęp do sieci publicznej?
Czy przetw. są danewrażliwe?
Poziom wysoki
Poziom podwyższony
Poziom podstawowy
Tak
Nie
Nie
Tak
72
![Page 73: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/73.jpg)
www.giodo.gov.pl
ŚRODKI BEZPIECZEŃSTWA NA POZIOMIE PODSTAWOWYM
•Zabezpieczenie obszaru przed dostępem osób nieuprawnionych na czas nieobecności osób uprawnionych do przetwarzania danych osobowych
•Mechanizmy kontroli dostępu w systemie informatycznym
•Zabezpieczenie systemu przed oprogramowaniem umożliwiającym uzyskanie nieuprawnionego dostępu oraz utratą zasilania
73
![Page 74: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/74.jpg)
www.giodo.gov.pl
ŚRODKI BEZPIECZEŃSTWA NA POZIOMIE PODSTAWOWYM
• Hasła (min. 6 znaków, zmiana nie rzadziej niż co 30 dni) i identyfikatory (zakaz ponownego przydzielania tych samych identyfikatorów)
• Kopie zapasowe zbiorów i programów służących do przetwarzania danych
• Kryptografia – urządzenia przenośne
• Reguły dotyczące nośników danych
74
![Page 75: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/75.jpg)
www.giodo.gov.pl
REGUŁY DOTYCZĄCE - NOŚNIKÓW DANYCH
• Nośniki do likwidacji – pozbawienie zapisu danych bądź ich uszkodzenie uniemożliwiające ich odczytanie przed likwidacją,
• Nośniki przekazywane podmiotom nieuprawnionym do przetwarzania danych – uprzednie pozbawienie zapisu danych w sposób uniemożliwiający ich odczytanie,
• Nośniki przeznaczone do naprawy – uprzednie pozbawienie zapisu danych w sposób uniemożliwiający ich odczytanie bądź naprawa pod nadzorem osoby upoważnionej przez administratora danych.
75
![Page 76: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/76.jpg)
www.giodo.gov.pl
ŚRODKI BEZPIECZEŃSTWA NA POZIOMIE PODWYŻSZONYM
•Środki ochrony na poziomie podstawowym
•Hasła (min. 8 znaków, małe i wielkie litery, cyfry lub znaki specjalne)
76
![Page 77: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/77.jpg)
www.giodo.gov.pl
ŚRODKI BEZPIECZEŃSTWA NA POZIOMIE PODWYŻSZONYM
• Urządzenia i nośniki zawierające dane osobowe szczególnie chronione przekazywane poza obszar, w którym przetwarzane są dane osobowe, zabezpiecza się w sposób zapewniający poufność i integralność tych danych
• Instrukcja zarządzania systemem informatycznym musi zawierać sposób stosowania środków zabezpieczenia poufności i integralności danych
77
![Page 78: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/78.jpg)
www.giodo.gov.pl
ŚRODKI BEZPIECZEŃSTWA NA POZIOMIE WYSOKIM
• Środki ochrony na poziomie podstawowym i podwyższonym
• Ochrona przed zagrożeniami pochodzącymi z sieci publicznej (wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem)
• Środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej
78
![Page 79: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/79.jpg)
www.giodo.gov.pl79
1) daty pierwszego wprowadzenia danych do systemu;
2) identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba;
3) źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą;
4) informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych;
FUNKCJONALNOŚĆ ZAPEWNIAJĄCA ODNOTOWYWANIE § 7 ust. 1 - 4 rozporządzenia MSWiA
• (Ust. 1) Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym - z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie - system ten zapewnia odnotowanie:
![Page 80: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/80.jpg)
www.giodo.gov.pl80
5) sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy.
FUNKCJONALNOŚĆ ZAPEWNIAJĄCA ODNOTOWYWANIE § 7 ust. 1 - 4 rozporządzenia MSWiA
• (Ust. 2) Odnotowanie informacji, o których mowa w ust. 1 pkt 1 i 2, następuje automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych.
• (Ust. 3) Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w ust. 1.
• (Ust. 4) W przypadku przetwarzania danych osobowych, w co najmniej dwóch systemach informatycznych, wymagania, o których mowa w ust. 1 pkt 4, mogą być realizowane w jednym z nich lub w odrębnym systemie informatycznym przeznaczonym do tego celu.
![Page 81: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/81.jpg)
www.giodo.gov.pl
Kontrola zastosowanych zabezpieczeń
• Cel kontroli – ustalenie stanu faktycznego w zakresie przestrzegania przepisów o ochronie danych osobowych oraz udokumentowanie dokonanych ustaleń
• Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.)
• Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024)
![Page 82: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/82.jpg)
www.giodo.gov.pl
Kontrola zastosowanych zabezpieczeń
Uprawnienia kontrolne GIODO:
• Wstęp do pomieszczeń (od 6.00 do 22.00)• Przeprowadzenie niezbędnych badań lub innych czynności
kontrolnych• Żądanie złożenia pisemnych lub ustnych wyjaśnień, wzywanie i
przesłuchiwanie osób• Wgląd do wszelkich dokumentów i danych oraz prawo do
sporządzania ich kopii, • Przeprowadzanie oględzin urządzeń, nośników oraz systemów
informatycznych, • Zlecanie sporządzania ekspertyz i opinii.
82
![Page 83: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/83.jpg)
www.giodo.gov.pl
Przebieg kontroli (1)
Obowiązki inspektora:• okazanie dokumentów uprawniających do kontroli,
• poinformowanie kontrolowanego o jego prawach i obowiązkach,
• przedstawienie zakresu przedmiotowego kontroli,
• wskazanie przewidywanego terminu trwania kontroli,
• dokonywanie czynności wyłącznie w zakresie upoważnienia udzielonego przez GIODO,
• wykazanie się obiektywizmem oraz zachowaniem w tajemnicy informacji uzyskanych w związku z kontrolą.
Obowiązki kontrolowanego:• umożliwienie inspektorowi przeprowadzenie kontroli,
• udostępnienie wszelkich żądanych dokumentów i nośników informacji,
![Page 84: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/84.jpg)
www.giodo.gov.pl
Przebieg kontroli (2)
• wydanie żądanych kopii dokumentów oraz wydruków obrazów z ekranu komputerowego,
• czynne uczestnictwo w poszczególnych czynnościach kontrolnych (udzielanie wyjaśnień, zapewnienie terminowego udzielania informacji przez podległych pracowników i inne osoby, być do dyspozycji w czasie trwania kontroli),
• zapewnienie sprawnego przebiegu kontroli.
![Page 85: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/85.jpg)
www.giodo.gov.pl
Dokumentowanie czynności kontrolnych (1)
1. Rodzaje protokołów z poszczególnych czynności:
• protokół przyjęcia ustnych wyjaśnień,• protokół przesłuchania świadka,• protokół oględzin.
![Page 86: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/86.jpg)
www.giodo.gov.pl
Dokumentowanie czynności kontrolnych (2)
2. Protokół kontroli:• nazwa podmiotu kontrolowanego w pełnym brzmieniu i jego adres,• imię i nazwisko, stanowisko służbowe, numer legitymacji służbowej oraz
numer upoważnienia inspektora,• imię i nazwisko osoby reprezentującej podmiot kontrolowany oraz nazwę
organu reprezentującego ten podmiot,• datę rozpoczęcia i zakończenia czynności kontrolnych, z wymienieniem
dni przerw w kontroli,• określenie przedmiotu i zakresu kontroli,• opis stanu faktycznego stwierdzonego w toku kontroli oraz inne informacje
mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
• wyszczególnienie załączników stanowiących składową część protokołu,• omówienie dokonanych w protokole poprawek, skreśleń i uzupełnień,• parafy inspektora i osoby reprezentującej podmiot kontrolowany na każdej
stronie protokołu
![Page 87: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/87.jpg)
www.giodo.gov.pl
Dokumentowanie czynności kontrolnych (3)
• wzmianka o doręczeniu egzemplarza protokołu osobie reprezentującej podmiot kontrolowany,
• wzmianka o wniesieniu lub niewniesieniu zastrzeżeń i uwag do protokołu,
• data i miejsce podpisania protokołu przez inspektora oraz przez osobę lub organ reprezentujący podmiot kontrolowany.
![Page 88: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/88.jpg)
www.giodo.gov.pl
Uprawnienia pokontrolne
1. Wszczęcie postępowania administracyjnego:• zawiadomienie o wszczęciu: wyszczególnienie stwierdzonych w
toku kontroli uchybień, uzasadnienie prawne i faktyczne, wskazanie dowodów, informacja o przysługujących prawach, określenie terminu do realizacji uprawnień,
2. Rodzaje decyzji:• nakazujące przywrócenie stanu zgodnego z prawem (treść
nakazu wynika z art.18 ustawy),• umarzające postępowanie jako bezprzedmiotowe.
3. Wniosek o wszczęcie postępowania dyscyplinarnego.
4. Zawiadomienie o popełnieniu przestępstwa.
![Page 89: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/89.jpg)
www.giodo.gov.pl
Odpowiedzialność karna za naruszenie przepisów o ochronie danych osobowych (1)
• Przetwarzanie danych w zbiorze wbrew zakazowi przetwarzania bądź przy braku uprawnienia do przetwarzania (art. 49)
• Udostępnienie danych lub umożliwienie dostępu osobom nieupoważnionym (art. 51)
• Naruszenie obowiązku zabezpieczenia danych (art. 52)
• Niezgłoszenie zbioru do rejestracji (art. 53)
• Niedopełnienie obowiązku informacyjnego (art. 54)
89
![Page 90: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/90.jpg)
www.giodo.gov.pl
Odpowiedzialność karna za naruszenie przepisów o ochronie danych osobowych (2)
• Udaremnienie lub utrudnienie wykonania czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2 (Art. 54a)
• „Udaremnienie” – całkowite uniemożliwienie dokonania czynności
• „Utrudnienie” – stworzenie lub doprowadzenie do powstania sytuacji, gdy wykonanie czynności kontrolnej napotyka przeszkody, które w istotny sposób wpływają na przeprowadzaną czynność, ograniczając jej efektywność
![Page 91: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/91.jpg)
www.giodo.gov.pl
Odpowiedzialność karna za naruszenie przepisów o ochronie danych osobowych (3)
• Przykłady zachowań stanowiących udaremnienie lub utrudnienie kontroli:
• niewpuszczenie inspektorów na teren jednostki kontrolowanej lub do pomieszczenia, w którym zlokalizowany jest zbiór danych, bądź do pomieszczenia, w którym przetwarzane są dane poza zbiorem,
• nieokazanie przedmiotu mającego podlegać oględzinom (urządzeń, nośników, systemów informatycznych służących do przetwarzania danych osobowych),
• odmowa okazania dokumentów,
• nieuzasadnione opóźnienia w udostępnianiu żądanych dokumentów,
• odmowa złożenia zeznań osobie uprawnionej do przeprowadzenia kontroli (inspektorowi),
• udzielenie nieprawdziwych informacji
![Page 92: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/92.jpg)
www.giodo.gov.pl
Dyskusja nad zmianami w europejskich ramach ochrony danych osobowych (1)• Komisja Europejska 4 listopada 2010 r. przyjęła kompleksową
strategię dotyczącą ochrony danych osobowych w Unii Europejskiej (komunikat KOM (2010) 609/3). Zakłada ona modernizację istniejących na poziomie Unii Europejskiej (UE) ram prawnych w zakresie ochrony danych osobowych
• Zmiany i inne inicjatywy:- Komisja Europejska (KE) w 2011 r. przedstawi projekt zmian
Dyrektywy 95/46/WE o ochronie osób w związku z przetwarzaniem danych osobowych oraz o swobodnym ich przepływie, a także podejmie działania pozalegislacyjne, mające na celu skuteczniejszą ochronę danych osobowych w UE
- Planowane działania mają przede wszystkim odpowiedzieć na wyzwania związane z rozwojem technologii informatycznych oraz procesami legislacyjnymi
![Page 93: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/93.jpg)
www.giodo.gov.pl
Dyskusja nad zmianami w europejskich ramach ochrony danych osobowych (2)• Podstawowe cele:• wzmocnienie praw jednostki,• wzmocnienie pozycji i zwiększenie uprawnień organów ochrony
danych osobowych,• przegląd przepisów dotyczących ochrony danych osobowych w
obszarze współpracy policji i wymiaru sprawiedliwości w sprawach karnych,
• zapewnienie swobodnego przepływu danych w obrębie Unii Europejskiej,
• zapewnienie wysokiego poziomu ochrony w przypadku transferu danych poza UE
![Page 94: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/94.jpg)
www.giodo.gov.pl
Dyskusja nad zmianami w europejskich ramach ochrony danych osobowych (3)• Komisja zbada sposoby:• wzmocnienia zasady minimalizacji danych,• poprawy metod faktycznego korzystania z prawa do dostępu do
danych , ich poprawiania, usuwania lub blokowania ( np. poprzez wprowadzenie terminów na odpowiedź na wnioski osób fizycznych, umożliwienie korzystania z praw za pomocą środków elektronicznych lub zapewnienie, że korzystanie z praw do dostępu powinno być co do zasady bezpłatne,
• wyjaśnienia tzw. „prawa do bycia zapomnianym” tzn. prawa osób fizycznych do spowodowania usunięcia ich danych oraz zaprzestania ich przetwarzania, jeżeli przestały być potrzebne do zgodnych z prawem celów np. sytuacja, w której przetwarzanie odbywa się na podstawie zgody danej osoby, jeśli ta wycofała swoją zgodę lub skończył się okres przechowywania danych
![Page 95: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/95.jpg)
www.giodo.gov.pl
Dyskusja nad zmianami w europejskich ramach ochrony danych osobowych (4)• uzupełnienie praw osób, których dane dotyczą przez zapewnienie
„przenoszalności danych” tzn. wyraźne wskazanie praw osób fizycznych do wycofania swoich danych (np. zdjęć lub listy przyjaciół) z jednej aplikacji lub usługi , tak by można je było przenieść do innej, w zakresie, w jakim jest to technicznie możliwe, bez przeszkód ze strony administratorów danych
• Komisja rozważy:• czy należy uznać inne kategorie danych np. dane genetyczne, za
„dane szczególnie chronione”,• dalszą harmonizację warunków umożliwiających przetwarzanie
kategorii danych szczególnie chronionych,• znaczenie zgody i zgody dorozumianej zwłaszcza w środowisku
internetowym,• system notyfikacji (art. 18 i 19 dyrektywy) – zharmonizowany i
uproszczony system doprowadziłby do ograniczenia kosztów, obciążeń administratorów, zwłaszcza dla podmiotów działających w wielu państwach członkowskich
![Page 96: Zasady ochrony danych osobowych](https://reader033.vdocuments.pub/reader033/viewer/2022051001/568143f8550346895db087d9/html5/thumbnails/96.jpg)
Biuro Generalnego Inspektora
Ochrony Danych Osobowych
ul. Stawki 2, 00-193 Warszawa
tel. (0 22) 860 70 81
fax. (0 22) 860 70 86
www.giodo.gov.pl
Dziękuję za uwagę