SlideShare a Scribd company logo

Rodo podstawy przetwarzania_danych_ dla pracownikow

Download as PPTX, PDF
Szymon Konkol - Publikacje Cyfrowe
Szymon Konkol - Publikacje Cyfrowe

Kurs RODO

Education
1 of 22
Podstawy przetwarzania danych osobowych. Dlaczego warto je znać?
Podstawa prawna • rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE. L Nr 119, str. 1) EDICUS Ochrona Danych Osobowych
Wstęp • Dane osobowe powinny być przetwarzane zgodnie z regułami: • legalności, rzetelności i przejrzystości - zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą • PRZETWARZANIE DANYCH OSOBOWYCH MUSI W KAŻDYM PRZYPADKU ZNAJDOWAĆ ODPOWIEDNIĄ PODSTAWĘ PRAWNĄ – PATRZ ART. 6 I 9 RODO • ograniczenia celu - w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami). • minimalizacji danych - adekwatnie, stosownie oraz z ograniczeniem do tego, co niezbędne do celów, w których są przetwarzane, EDICUS Ochrona Danych Osobowych
Wstęp Dane osobowe powinny być przetwarzane zgodnie z regułami: • prawidłowości - prawidłowo i w razie potrzeby z uaktualnianiem (należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane), • ograniczenia przechowywania – dane powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane (dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy RODO w celu ochrony praw i wolności osób, których dane dotyczą). • integralności i poufności - w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. EDICUS Ochrona Danych Osobowych
Przesłanka 1. Wykonanie umowy Dane osobowe można przetwarzać jeżeli … … przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy (art. 6 ust. 1 lit. b RODO). • Przetwarzanie danych jest legalne, jeżeli następuje w celu realizacji obowiązków i uprawnień potrzebnych do wykonania tej umowy (mogą one wynikać z samej umowy lub z załączników np. OWU). • Podmiot danych musi być stroną umowy. • Podjęciem działań na żądanie podmiotu danych przed zawarciem umowy jest najczęściej: a) negocjacje, b) przetarg, aukcja, c) weryfikacja zdolności kredytowej, d) rezerwacja danej usługi (przykładowo pokoju hotelowego). EDICUS Ochrona Danych Osobowych
Przesłanka 2. Wykonanie obowiązku prawnego Dane osobowe można przetwarzać jeżeli … … przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO). • Obowiązek prawny musi wynikać z prawa unijnego lub krajowego. • Podstawa prawna musi określać cel przetwarzania. Tylko taki przepis uprawni do przetwarzania danych w oparciu o art. 6 ust. 1 lit. c RODO. • Musimy więc odwołać się nie tylko do RODO ale także do innego przepisu unijnego lub krajowego. EDICUS Ochrona Danych Osobowych
Przesłanka 3. Ochrona żywotnych interesów podmiotu danych Dane osobowe można przetwarzać jeżeli … … przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej (art. 6 ust. 1 lit. d RODO). • Należy zwrócić uwagę na szczególną doniosłość tego warunku ze względu na okoliczności, które legalizuje. Chodzi tu przede wszystkim o przypadki ochrony życia i zdrowia osoby, której dane dotyczą lub innej osoby (motyw 46 preambuły RODO). • Żywotny interes innej osoby fizycznej powinien zasadniczo być podstawą przetwarzania danych osobowych wyłącznie w przypadkach, gdy ewidentnie przetwarzania tego nie można oprzeć na innej podstawie prawnej. Jest to więc ostateczność. • Przykład. W następstwie wypadku komunikacyjnego przetwarzanie danych osobowych, która ucierpiała w wypadku jest konieczne, aby ochronić jej zdrowie, a może nawet życie. W tej sytuacji przetwarzanie musi nastąpić niezwłocznie, jako że najważniejszą rolę odgrywa wiedza i czas. EDICUS Ochrona Danych Osobowych
Przesłanka 4. Realizacja interesu publicznego Dane osobowe można przetwarzać jeżeli … … przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (art. 6 ust. 1 lit. e RODO). • Tu także podstawa prawna musi być określa w prawie unijnym lub krajowym. • Podstawa prawna musi określać cel przetwarzania. • Przetwarzanie danych na tej podstawie musi być konieczne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. EDICUS Ochrona Danych Osobowych
Przesłanka 5. Realizacja interesu administratora Dane osobowe można przetwarzać jeżeli … … przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią (art. 6 ust. 1 lit. f RODO). • Nie można powołać się na tę podstawę, jeżeli nadrzędny charakter wobec wskazanych interesów administratora lub osoby trzeciej mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. • Podstawa ta nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań. • Prawnie uzasadniony interes to np.: a) marketing bezpośredni, b) zapobieganie oszustwom, c) przesyłanie danych osobowych w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych, d) zapewnienia odporności sieci lub systemu informacyjnego na danym poziomie poufności na przypadkowe zdarzenia albo niezgodne z prawem lub nieprzyjazne działania naruszające dostępność, autentyczność, integralność i poufność przechowywanych lub przesyłanych danych osobowych. EDICUS Ochrona Danych Osobowych
Przesłanka 6. Zgoda podmiotu danych Dane osobowe można przetwarzać jeżeli … … osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów (art. 6 ust. 1 lit. a RODO). • Zgoda jest stosowana zazwyczaj wtedy, gdy administrator ustali, że w danych okolicznościach nie może się powołać na pozostałe przesłanki. • Aby zgoda na przetwarzanie danych mogła zostać uznana za skuteczną, powinna być dobrowolna, konkretna, świadoma i jednoznaczna. • Zgoda może być udzielona w formie oświadczenia lub wyraźnego działania potwierdzającego, z którego wynika, że osoba przyzwala na przetwarzanie dotyczących jej danych osobowych. • Zapytanie o zgodę musi być wyraźnie odseparowane od pozostałych kwestii. • Administrator powinien być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na operację przetwarzania danych osobowych, spełniającą wskazane wyżej kryteria. • Wyrażenie zgody nie będzie uznawane za udzielone w warunkach dobrowolności jeśli uzależniono od niego wykonanie umowy, w tym świadczenie usługi. • RODO wskazuje na konieczność uprzedniego poinformowania osoby fizycznej o możliwości wycofania zgody w dowolnym momencie oraz wymaga, by wycofanie zgody było równie łatwe, jak jej wyrażenie. EDICUS Ochrona Danych Osobowych
Odrębne regulacje dla danych szczególnej kategorii Dane szczególnej kategorii (tzw. wrażliwe) – dane osobowe, które ujawniają: • pochodzenie rasowe lub etniczne, • poglądy polityczne, • przekonania religijne lub światopoglądowe, • przynależność do związków zawodowych, a także • dane genetyczne i dane biometryczne (w celu jednoznacznego zidentyfikowania osoby fizycznej), • dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby. EDICUS Ochrona Danych Osobowych
Odrębne regulacje dla danych szczególnej kategorii Dane szczególnej kategorii (tzw. wrażliwe) – dane osobowe, które ujawniają: • pochodzenie rasowe lub etniczne, • poglądy polityczne, • przekonania religijne lub światopoglądowe, • przynależność do związków zawodowych, a także • dane genetyczne i dane biometryczne (w celu jednoznacznego zidentyfikowania osoby fizycznej), • dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby. EDICUS Ochrona Danych Osobowych
Odrębne regulacje dla danych szczególnej kategorii Generalnie przetwarzanie danych szczególnej kategorii jest zabronione. Przetwarzania tych danych nie legalizują podstawy z art. 6 RODO. Przetwarzanie danych szczególnej kategorii jest legalne jedynie w przypadku wystąpienia podstaw z art. 9 ust. 2 RODO. EDICUS Ochrona Danych Osobowych
Przesłanka 1. Realizacja szczególnych obowiązków lub uprawnień administratora • Niezbędność przetwarzania celem wypełnienia obowiązków i wykonywania szczególnych uprawnień przez administratora danych osobowych lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą. • W tym zakresie należy odwołać się do źródeł prawa pracy, przede wszystkim Kodeksu pracy, ale także przepisów innych ustaw i aktów wykonawczych, określających prawa i obowiązki pracowników i pracodawców (np. ustawy o pracownikach samorządowych, Karty Nauczyciela, ustawy o działalności leczniczej), a także postanowień układów zbiorowych pracy i innych opartych na ustawie porozumień zbiorowych, regulaminów i statutów określających prawa i obowiązki stron stosunku pracy (a więc również regulaminów pracy i wynagradzania). Przesłanka ta legalizuje posługiwanie się danymi wrażliwymi kandydata do pracy jak również pracowników. • Przykład 1. Przetwarzanie danych osobowych członków związku zawodowego (przynależność do związku) w związku z realizacją uprawnienia pracownika do szczególnej ochrony stosunku pracy z art. 32 ustawy o związkach zawodowych albo zwolnienia z obowiązku świadczenia pracy z art. 31 ustawy o związkach zawodowych). • Przykład 2. Komisja konkursowa przetwarzania dane osobowe o stanie zdrowia kandydata na stanowisko dyrektora szkoły widniejące w orzeczeniu lekarskim. Odpowiedni stan zdrowia jest jednym z wymogów do objęcia funkcji dyrektora szkoły. EDICUS Ochrona Danych Osobowych
Przesłanka 2. Ochrona żywotnych interesów innej osoby • Niezbędność przetwarzania celem ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody. • W niektórych przypadkach przetwarzanie może służyć zarówno ważnemu interesowi publicznemu, jak i żywotnym interesom osoby, której dane dotyczą, na przykład gdy przetwarzanie jest niezbędne do celów humanitarnych, w tym monitorowania epidemii i ich rozprzestrzeniania się lub w nadzwyczajnych sytuacjach humanitarnych, a zwłaszcza w przypadkach klęsk żywiołowych i katastrof spowodowanych przez człowieka (motyw 46 preambuły RODO). EDICUS Ochrona Danych Osobowych
Przesłanka 3. Dane wcześniej upublicznione • Objęcie przetwarzaniem danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą • Chodzi tu wyłącznie o ewidentny przypadek upublicznienia danych osobowych przez sam podmiot tych danych. • Przykład. Polityk zamieszcza na portalu społecznościowym filmik z ceremonii zawarcia związku partnerskiego ze swoim partnerem. EDICUS Ochrona Danych Osobowych
Przesłanka 4. Dochodzenie roszczeń • Niezbędność przetwarzania danych osobowych celem ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy. • Wskazana podstawa przetwarzania danych szczególnej kategorii dotyczy przypadków prowadzenia sporów sądowych. • Przykład. Pracodawca zwolnił pracownika, podając jako przyczynę częste absencje wywołane zwolnieniami lekarskimi powodujące dezorganizację pracy. Pracownik pozwał pracodawcę przed sądem pracy. Aby obronić swoje stanowisko pracodawca musi przedstawić przedkładane przez pracownika zwolnienia lekarskie. EDICUS Ochrona Danych Osobowych
Przesłanka 5. Zabezpieczenie zdrowotne • Niezbędność przetwarzania danych osobowych do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia • Dane osobowe mogą być przetwarzane na tej podstawie z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 9 ust. 3 RODO tj. jeżeli są przetwarzane przez – lub na odpowiedzialność – pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe lub przez inną osobę również podlegającą obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe. • Przykład. Pracodawca przetwarza dane osobowe o stanie zdrowia kandydata do pracy, odbierając orzeczenie lekarza medycyny pracy w sprawie przeciwwskazań do wykonywania pracy na danym stanowisku. Analogicznie pracodawca przetwarza takie dane pracownika w związku z badaniami okresowymi i kontrolnymi.
Przesłanka 6. Zdrowie publiczne • Niezbędność przetwarzania ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową. EDICUS Ochrona Danych Osobowych
Przesłanka 7. Cele szczególne • Niezbędność przetwarzania danych osobowych do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1 RODO, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą. EDICUS Ochrona Danych Osobowych
Przesłanka 8. Wyraźna zgoda podmiotu danych • Wyraźna zgoda osoby, której dane dotyczą, na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu przetwarzania danych ze szczególnej kategorii • Najprostszą formą udzielenia zgody wyraźnej (która gwarantuje też rozliczalność administratora) z całą pewnością jest jej forma pisemna. • Nie można też wykluczyć zgody udzielonej w formie elektronicznej i telefonicznej. • Co najistotniejsze, zgoda wyraźna nie powinna przybierać brzmienia „przyjmuję do wiadomości..”, ponieważ przyjęcie do wiadomości nie oznacza wyrażenia zgody wyraźnej.
Dziękujemy za uwagę

Recommended

Rodo bezpieczenstwo _dla_pracownikow
Rodo bezpieczenstwo _dla_pracownikowRodo bezpieczenstwo _dla_pracownikow
Rodo bezpieczenstwo _dla_pracownikow
Szymon Konkol - Publikacje Cyfrowe
 
Rodo reakcja na_naruszenia
Rodo reakcja na_naruszeniaRodo reakcja na_naruszenia
Rodo reakcja na_naruszenia
Szymon Konkol - Publikacje Cyfrowe
 
Prezentacja o ochronie danych osobowych
Prezentacja o ochronie danych osobowychPrezentacja o ochronie danych osobowych
Prezentacja o ochronie danych osobowych
SzkoleniaCognity
 
Pytania RODO do prezentacji
Pytania RODO do prezentacjiPytania RODO do prezentacji
Pytania RODO do prezentacji
Szymon Konkol - Publikacje Cyfrowe
 
Rodo prezentacja dla_pracownikow (1)
Rodo prezentacja dla_pracownikow (1)Rodo prezentacja dla_pracownikow (1)
Rodo prezentacja dla_pracownikow (1)
Szymon Konkol - Publikacje Cyfrowe
 
ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)
ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)
ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)
PwC Polska
 
General Data Protection Regulation
General Data Protection RegulationGeneral Data Protection Regulation
General Data Protection Regulation
BCC - Solutions for IBM Collaboration Software
 
Grundlagen der DSGVO
Grundlagen der DSGVOGrundlagen der DSGVO
Grundlagen der DSGVO
Michael Rohrlich
 

Recommended

Rodo bezpieczenstwo _dla_pracownikow
Rodo bezpieczenstwo _dla_pracownikowRodo bezpieczenstwo _dla_pracownikow
Rodo bezpieczenstwo _dla_pracownikow
Szymon Konkol - Publikacje Cyfrowe
 
Rodo reakcja na_naruszenia
Rodo reakcja na_naruszeniaRodo reakcja na_naruszenia
Rodo reakcja na_naruszenia
Szymon Konkol - Publikacje Cyfrowe
 
Prezentacja o ochronie danych osobowych
Prezentacja o ochronie danych osobowychPrezentacja o ochronie danych osobowych
Prezentacja o ochronie danych osobowych
SzkoleniaCognity
 
Pytania RODO do prezentacji
Pytania RODO do prezentacjiPytania RODO do prezentacji
Pytania RODO do prezentacji
Szymon Konkol - Publikacje Cyfrowe
 
Rodo prezentacja dla_pracownikow (1)
Rodo prezentacja dla_pracownikow (1)Rodo prezentacja dla_pracownikow (1)
Rodo prezentacja dla_pracownikow (1)
Szymon Konkol - Publikacje Cyfrowe
 
ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)
ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)
ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)
PwC Polska
 
General Data Protection Regulation
General Data Protection RegulationGeneral Data Protection Regulation
General Data Protection Regulation
BCC - Solutions for IBM Collaboration Software
 
Grundlagen der DSGVO
Grundlagen der DSGVOGrundlagen der DSGVO
Grundlagen der DSGVO
Michael Rohrlich
 
Quiz 1
Quiz 1Quiz 1
Quiz 1
Szymon Konkol - Publikacje Cyfrowe
 
Kebijakan Perlindungan Data Pribadi Melalui RUU PDP
Kebijakan Perlindungan Data Pribadi Melalui RUU PDPKebijakan Perlindungan Data Pribadi Melalui RUU PDP
Kebijakan Perlindungan Data Pribadi Melalui RUU PDP
Unggul Sagena
 
GDPR Introduction and overview
GDPR Introduction and overviewGDPR Introduction and overview
GDPR Introduction and overview
Jane Lambert
 
Henkilötiedot ja tietosuoja opetuksessa
Henkilötiedot ja tietosuoja opetuksessaHenkilötiedot ja tietosuoja opetuksessa
Henkilötiedot ja tietosuoja opetuksessa
Harto Pönkä
 
LGPD e Segurança da Informação
LGPD e Segurança da InformaçãoLGPD e Segurança da Informação
LGPD e Segurança da Informação
RicardoCrdobaBaptist
 
A importância da Segurança da Informação e os impactos da LGPD
A importância da Segurança da Informação e os impactos da LGPDA importância da Segurança da Informação e os impactos da LGPD
A importância da Segurança da Informação e os impactos da LGPD
Eliézer Zarpelão
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
M2 Informatica
 
Begriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des DatenschutzrechtsBegriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des Datenschutzrechts
Michael Rohrlich
 
LGPD | CICLO DE PALESTRAS
LGPD | CICLO DE PALESTRASLGPD | CICLO DE PALESTRAS
LGPD | CICLO DE PALESTRAS
Wellington Monaco
 
Workshop (LGPD)
Workshop (LGPD)Workshop (LGPD)
Workshop (LGPD)
Marcos Aurelio Paixao
 
LGPD | IMPACTOS NO DIA-A-DIA CORPORATIVO
LGPD | IMPACTOS NO DIA-A-DIA CORPORATIVOLGPD | IMPACTOS NO DIA-A-DIA CORPORATIVO
LGPD | IMPACTOS NO DIA-A-DIA CORPORATIVO
Wellington Monaco
 
EU's General Data Protection Regulation (GDPR)
EU's General Data Protection Regulation (GDPR)EU's General Data Protection Regulation (GDPR)
EU's General Data Protection Regulation (GDPR)
Kimberly Simon MBA
 
RGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, OutilsRGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, Outils
aYaline
 
PDPA 2010 at office (HairulHafiz)
PDPA 2010 at office (HairulHafiz)PDPA 2010 at office (HairulHafiz)
PDPA 2010 at office (HairulHafiz)
Hairul Hafiz Hasbullah
 
GDPR
GDPRGDPR
GDPR
Gopi PD
 
General Data Protection Regulations (GDPR): Do you understand it and are you ...
General Data Protection Regulations (GDPR): Do you understand it and are you ...General Data Protection Regulations (GDPR): Do you understand it and are you ...
General Data Protection Regulations (GDPR): Do you understand it and are you ...
Cvent
 
What about GDPR?
What about GDPR?What about GDPR?
What about GDPR?
Martin Hawksey
 
GDPR and Security.pdf
GDPR and Security.pdfGDPR and Security.pdf
GDPR and Security.pdf
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
GDPR Basics - General Data Protection Regulation
GDPR Basics - General Data Protection RegulationGDPR Basics - General Data Protection Regulation
GDPR Basics - General Data Protection Regulation
Vicky Dallas
 
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umDSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
Michael Rohrlich
 
Netcamp #12 - Ochrona danych osobowych w Internecie
Netcamp #12 - Ochrona danych osobowych w InternecieNetcamp #12 - Ochrona danych osobowych w Internecie
Netcamp #12 - Ochrona danych osobowych w Internecie
Fundacja Rozwoju Branży Internetowej Netcamp
 
[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...
[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...
[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...
Stowarzyszenie Jakości Systemów Informatycznych (SJSI)
 

More Related Content

What's hot

LGPD | CICLO DE PALESTRAS
LGPD | CICLO DE PALESTRASLGPD | CICLO DE PALESTRAS
LGPD | CICLO DE PALESTRAS
Wellington Monaco
 
General Data Protection Regulations (GDPR): Do you understand it and are you ...
General Data Protection Regulations (GDPR): Do you understand it and are you ...General Data Protection Regulations (GDPR): Do you understand it and are you ...
General Data Protection Regulations (GDPR): Do you understand it and are you ...
Cvent
 

What's hot (20)

Quiz 1
Quiz 1Quiz 1
Quiz 1
 
Kebijakan Perlindungan Data Pribadi Melalui RUU PDP
Kebijakan Perlindungan Data Pribadi Melalui RUU PDPKebijakan Perlindungan Data Pribadi Melalui RUU PDP
Kebijakan Perlindungan Data Pribadi Melalui RUU PDP
 
GDPR Introduction and overview
GDPR Introduction and overviewGDPR Introduction and overview
GDPR Introduction and overview
 
Henkilötiedot ja tietosuoja opetuksessa
Henkilötiedot ja tietosuoja opetuksessaHenkilötiedot ja tietosuoja opetuksessa
Henkilötiedot ja tietosuoja opetuksessa
 
LGPD e Segurança da Informação
LGPD e Segurança da InformaçãoLGPD e Segurança da Informação
LGPD e Segurança da Informação
 
A importância da Segurança da Informação e os impactos da LGPD
A importância da Segurança da Informação e os impactos da LGPDA importância da Segurança da Informação e os impactos da LGPD
A importância da Segurança da Informação e os impactos da LGPD
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
 
Begriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des DatenschutzrechtsBegriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des Datenschutzrechts
 
LGPD | CICLO DE PALESTRAS
LGPD | CICLO DE PALESTRASLGPD | CICLO DE PALESTRAS
LGPD | CICLO DE PALESTRAS
 
Workshop (LGPD)
Workshop (LGPD)Workshop (LGPD)
Workshop (LGPD)
 
LGPD | IMPACTOS NO DIA-A-DIA CORPORATIVO
LGPD | IMPACTOS NO DIA-A-DIA CORPORATIVOLGPD | IMPACTOS NO DIA-A-DIA CORPORATIVO
LGPD | IMPACTOS NO DIA-A-DIA CORPORATIVO
 
EU's General Data Protection Regulation (GDPR)
EU's General Data Protection Regulation (GDPR)EU's General Data Protection Regulation (GDPR)
EU's General Data Protection Regulation (GDPR)
 
RGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, OutilsRGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, Outils
 
PDPA 2010 at office (HairulHafiz)
PDPA 2010 at office (HairulHafiz)PDPA 2010 at office (HairulHafiz)
PDPA 2010 at office (HairulHafiz)
 
GDPR
GDPRGDPR
GDPR
 
General Data Protection Regulations (GDPR): Do you understand it and are you ...
General Data Protection Regulations (GDPR): Do you understand it and are you ...General Data Protection Regulations (GDPR): Do you understand it and are you ...
General Data Protection Regulations (GDPR): Do you understand it and are you ...
 
What about GDPR?
What about GDPR?What about GDPR?
What about GDPR?
 
GDPR and Security.pdf
GDPR and Security.pdfGDPR and Security.pdf
GDPR and Security.pdf
 
GDPR Basics - General Data Protection Regulation
GDPR Basics - General Data Protection RegulationGDPR Basics - General Data Protection Regulation
GDPR Basics - General Data Protection Regulation
 
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umDSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
 

Similar to Rodo podstawy przetwarzania_danych_ dla pracownikow

[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...
[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...
[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...
Stowarzyszenie Jakości Systemów Informatycznych (SJSI)
 
RODOhohohoo
RODOhohohooRODOhohohoo
RODOhohohoo
Krzysztof Sługocki
 
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w organizacji pozarządowej
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w organizacji pozarządowejWebinarium SCWO/portal ngo.pl 2017: Dane osobowe w organizacji pozarządowej
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w organizacji pozarządowej
ngopl
 
Webinarium SCWO/portal ngo.pl 2018: Dane osobowe
Webinarium SCWO/portal ngo.pl 2018: Dane osoboweWebinarium SCWO/portal ngo.pl 2018: Dane osobowe
Webinarium SCWO/portal ngo.pl 2018: Dane osobowe
ngopl
 
Przetwarzanie danych osobowych w przedsiębiorstwie.pdf
Przetwarzanie danych osobowych w przedsiębiorstwie.pdfPrzetwarzanie danych osobowych w przedsiębiorstwie.pdf
Przetwarzanie danych osobowych w przedsiębiorstwie.pdf
CyberAlex_pl
 
Cognity Ochrona Danych Osobowych
Cognity Ochrona Danych OsobowychCognity Ochrona Danych Osobowych
Cognity Ochrona Danych Osobowych
COGNITY Szkolenia
 
Aspekty prawne monitorowania aktywności użytkowników komputerów firmowych
Aspekty prawne monitorowania aktywności użytkowników komputerów firmowychAspekty prawne monitorowania aktywności użytkowników komputerów firmowych
Aspekty prawne monitorowania aktywności użytkowników komputerów firmowych
Cyberlaw Beata Marek
 

Similar to Rodo podstawy przetwarzania_danych_ dla pracownikow (20)

Netcamp #12 - Ochrona danych osobowych w Internecie
Netcamp #12 - Ochrona danych osobowych w InternecieNetcamp #12 - Ochrona danych osobowych w Internecie
Netcamp #12 - Ochrona danych osobowych w Internecie
 
[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...
[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...
[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...
 
Ochrona danych osobowych w hospicjum
Ochrona danych osobowych w hospicjumOchrona danych osobowych w hospicjum
Ochrona danych osobowych w hospicjum
 
Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowych
Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowychObowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowych
Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowych
 
RODO - istota i praktyka ochrony danych osobowych
RODO - istota i praktyka ochrony danych osobowychRODO - istota i praktyka ochrony danych osobowych
RODO - istota i praktyka ochrony danych osobowych
 
Michał Kluska - Ochrona danych osobowych w 2014 r. - przygotuj swój biznes na...
Michał Kluska - Ochrona danych osobowych w 2014 r. - przygotuj swój biznes na...Michał Kluska - Ochrona danych osobowych w 2014 r. - przygotuj swój biznes na...
Michał Kluska - Ochrona danych osobowych w 2014 r. - przygotuj swój biznes na...
 
Dane osobowe w data center
Dane osobowe w data centerDane osobowe w data center
Dane osobowe w data center
 
Ochrona danych osobowych (ODO2013)
Ochrona danych osobowych (ODO2013)Ochrona danych osobowych (ODO2013)
Ochrona danych osobowych (ODO2013)
 
RODOhohohoo
RODOhohohooRODOhohohoo
RODOhohohoo
 
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w organizacji pozarządowej
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w organizacji pozarządowejWebinarium SCWO/portal ngo.pl 2017: Dane osobowe w organizacji pozarządowej
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w organizacji pozarządowej
 
Webinarium SCWO/portal ngo.pl 2018: Dane osobowe
Webinarium SCWO/portal ngo.pl 2018: Dane osoboweWebinarium SCWO/portal ngo.pl 2018: Dane osobowe
Webinarium SCWO/portal ngo.pl 2018: Dane osobowe
 
Przetwarzanie danych osobowych w przedsiębiorstwie.pdf
Przetwarzanie danych osobowych w przedsiębiorstwie.pdfPrzetwarzanie danych osobowych w przedsiębiorstwie.pdf
Przetwarzanie danych osobowych w przedsiębiorstwie.pdf
 
Rodo dla hr
Rodo dla hrRodo dla hr
Rodo dla hr
 
IT w RODO - praktyczne informacje.
IT w RODO - praktyczne informacje.IT w RODO - praktyczne informacje.
IT w RODO - praktyczne informacje.
 
RODO – Jak skutecznie wypełnić obowiązek informacyjny i uniknąć kary
RODO – Jak skutecznie wypełnić obowiązek informacyjny i uniknąć karyRODO – Jak skutecznie wypełnić obowiązek informacyjny i uniknąć kary
RODO – Jak skutecznie wypełnić obowiązek informacyjny i uniknąć kary
 
Cognity Ochrona Danych Osobowych
Cognity Ochrona Danych OsobowychCognity Ochrona Danych Osobowych
Cognity Ochrona Danych Osobowych
 
Cognity - Ochrona Danych Osobowych w Firmie
Cognity - Ochrona Danych Osobowych w FirmieCognity - Ochrona Danych Osobowych w Firmie
Cognity - Ochrona Danych Osobowych w Firmie
 
Aspekty prawne monitorowania aktywności użytkowników komputerów firmowych
Aspekty prawne monitorowania aktywności użytkowników komputerów firmowychAspekty prawne monitorowania aktywności użytkowników komputerów firmowych
Aspekty prawne monitorowania aktywności użytkowników komputerów firmowych
 
PLNOG14: Zmiany w prawie konsumenckim i ochronie prywatności w 2015 r. - Artu...
PLNOG14: Zmiany w prawie konsumenckim i ochronie prywatności w 2015 r. - Artu...PLNOG14: Zmiany w prawie konsumenckim i ochronie prywatności w 2015 r. - Artu...
PLNOG14: Zmiany w prawie konsumenckim i ochronie prywatności w 2015 r. - Artu...
 
Odo03a 20150821
Odo03a 20150821Odo03a 20150821
Odo03a 20150821
 

More from Szymon Konkol - Publikacje Cyfrowe

More from Szymon Konkol - Publikacje Cyfrowe (20)

k1.pdf
k1.pdfk1.pdf
k1.pdf
 
t1.pdf
t1.pdft1.pdf
t1.pdf
 
Quiz3
Quiz3Quiz3
Quiz3
 
Quiz2
Quiz2Quiz2
Quiz2
 
4
44
4
 
3
33
3
 
2
2 2
2
 
1
11
1
 
6
66
6
 
5
55
5
 
4
44
4
 
3
33
3
 
2
22
2
 
1
11
1
 
Atlas anatomiczny
Atlas anatomicznyAtlas anatomiczny
Atlas anatomiczny
 
Podstawy anatomii i fizjologii człowieka
Podstawy anatomii i fizjologii człowiekaPodstawy anatomii i fizjologii człowieka
Podstawy anatomii i fizjologii człowieka
 
Fototechnik 313[01] z2.02_u
Fototechnik 313[01] z2.02_uFototechnik 313[01] z2.02_u
Fototechnik 313[01] z2.02_u
 
Fototechnik 313[01] z2.02_u
Fototechnik 313[01] z2.02_uFototechnik 313[01] z2.02_u
Fototechnik 313[01] z2.02_u
 
TECHNIK FOTOGRAFII I MULTIMEDIÓW
TECHNIK FOTOGRAFII I MULTIMEDIÓWTECHNIK FOTOGRAFII I MULTIMEDIÓW
TECHNIK FOTOGRAFII I MULTIMEDIÓW
 
Fototechnik 313[01] z3.02_u
Fototechnik 313[01] z3.02_uFototechnik 313[01] z3.02_u
Fototechnik 313[01] z3.02_u
 

Rodo podstawy przetwarzania_danych_ dla pracownikow

  • 1. Podstawy przetwarzania danych osobowych. Dlaczego warto je znać?
  • 2. Podstawa prawna • rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE. L Nr 119, str. 1) EDICUS Ochrona Danych Osobowych
  • 3. Wstęp • Dane osobowe powinny być przetwarzane zgodnie z regułami: • legalności, rzetelności i przejrzystości - zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą • PRZETWARZANIE DANYCH OSOBOWYCH MUSI W KAŻDYM PRZYPADKU ZNAJDOWAĆ ODPOWIEDNIĄ PODSTAWĘ PRAWNĄ – PATRZ ART. 6 I 9 RODO • ograniczenia celu - w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami). • minimalizacji danych - adekwatnie, stosownie oraz z ograniczeniem do tego, co niezbędne do celów, w których są przetwarzane, EDICUS Ochrona Danych Osobowych
  • 4. Wstęp Dane osobowe powinny być przetwarzane zgodnie z regułami: • prawidłowości - prawidłowo i w razie potrzeby z uaktualnianiem (należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane), • ograniczenia przechowywania – dane powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane (dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy RODO w celu ochrony praw i wolności osób, których dane dotyczą). • integralności i poufności - w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. EDICUS Ochrona Danych Osobowych
  • 5. Przesłanka 1. Wykonanie umowy Dane osobowe można przetwarzać jeżeli … … przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy (art. 6 ust. 1 lit. b RODO). • Przetwarzanie danych jest legalne, jeżeli następuje w celu realizacji obowiązków i uprawnień potrzebnych do wykonania tej umowy (mogą one wynikać z samej umowy lub z załączników np. OWU). • Podmiot danych musi być stroną umowy. • Podjęciem działań na żądanie podmiotu danych przed zawarciem umowy jest najczęściej: a) negocjacje, b) przetarg, aukcja, c) weryfikacja zdolności kredytowej, d) rezerwacja danej usługi (przykładowo pokoju hotelowego). EDICUS Ochrona Danych Osobowych
  • 6. Przesłanka 2. Wykonanie obowiązku prawnego Dane osobowe można przetwarzać jeżeli … … przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO). • Obowiązek prawny musi wynikać z prawa unijnego lub krajowego. • Podstawa prawna musi określać cel przetwarzania. Tylko taki przepis uprawni do przetwarzania danych w oparciu o art. 6 ust. 1 lit. c RODO. • Musimy więc odwołać się nie tylko do RODO ale także do innego przepisu unijnego lub krajowego. EDICUS Ochrona Danych Osobowych
  • 7. Przesłanka 3. Ochrona żywotnych interesów podmiotu danych Dane osobowe można przetwarzać jeżeli … … przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej (art. 6 ust. 1 lit. d RODO). • Należy zwrócić uwagę na szczególną doniosłość tego warunku ze względu na okoliczności, które legalizuje. Chodzi tu przede wszystkim o przypadki ochrony życia i zdrowia osoby, której dane dotyczą lub innej osoby (motyw 46 preambuły RODO). • Żywotny interes innej osoby fizycznej powinien zasadniczo być podstawą przetwarzania danych osobowych wyłącznie w przypadkach, gdy ewidentnie przetwarzania tego nie można oprzeć na innej podstawie prawnej. Jest to więc ostateczność. • Przykład. W następstwie wypadku komunikacyjnego przetwarzanie danych osobowych, która ucierpiała w wypadku jest konieczne, aby ochronić jej zdrowie, a może nawet życie. W tej sytuacji przetwarzanie musi nastąpić niezwłocznie, jako że najważniejszą rolę odgrywa wiedza i czas. EDICUS Ochrona Danych Osobowych
  • 8. Przesłanka 4. Realizacja interesu publicznego Dane osobowe można przetwarzać jeżeli … … przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (art. 6 ust. 1 lit. e RODO). • Tu także podstawa prawna musi być określa w prawie unijnym lub krajowym. • Podstawa prawna musi określać cel przetwarzania. • Przetwarzanie danych na tej podstawie musi być konieczne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. EDICUS Ochrona Danych Osobowych
  • 9. Przesłanka 5. Realizacja interesu administratora Dane osobowe można przetwarzać jeżeli … … przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią (art. 6 ust. 1 lit. f RODO). • Nie można powołać się na tę podstawę, jeżeli nadrzędny charakter wobec wskazanych interesów administratora lub osoby trzeciej mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. • Podstawa ta nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań. • Prawnie uzasadniony interes to np.: a) marketing bezpośredni, b) zapobieganie oszustwom, c) przesyłanie danych osobowych w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych, d) zapewnienia odporności sieci lub systemu informacyjnego na danym poziomie poufności na przypadkowe zdarzenia albo niezgodne z prawem lub nieprzyjazne działania naruszające dostępność, autentyczność, integralność i poufność przechowywanych lub przesyłanych danych osobowych. EDICUS Ochrona Danych Osobowych
  • 10. Przesłanka 6. Zgoda podmiotu danych Dane osobowe można przetwarzać jeżeli … … osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów (art. 6 ust. 1 lit. a RODO). • Zgoda jest stosowana zazwyczaj wtedy, gdy administrator ustali, że w danych okolicznościach nie może się powołać na pozostałe przesłanki. • Aby zgoda na przetwarzanie danych mogła zostać uznana za skuteczną, powinna być dobrowolna, konkretna, świadoma i jednoznaczna. • Zgoda może być udzielona w formie oświadczenia lub wyraźnego działania potwierdzającego, z którego wynika, że osoba przyzwala na przetwarzanie dotyczących jej danych osobowych. • Zapytanie o zgodę musi być wyraźnie odseparowane od pozostałych kwestii. • Administrator powinien być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na operację przetwarzania danych osobowych, spełniającą wskazane wyżej kryteria. • Wyrażenie zgody nie będzie uznawane za udzielone w warunkach dobrowolności jeśli uzależniono od niego wykonanie umowy, w tym świadczenie usługi. • RODO wskazuje na konieczność uprzedniego poinformowania osoby fizycznej o możliwości wycofania zgody w dowolnym momencie oraz wymaga, by wycofanie zgody było równie łatwe, jak jej wyrażenie. EDICUS Ochrona Danych Osobowych
  • 11. Odrębne regulacje dla danych szczególnej kategorii Dane szczególnej kategorii (tzw. wrażliwe) – dane osobowe, które ujawniają: • pochodzenie rasowe lub etniczne, • poglądy polityczne, • przekonania religijne lub światopoglądowe, • przynależność do związków zawodowych, a także • dane genetyczne i dane biometryczne (w celu jednoznacznego zidentyfikowania osoby fizycznej), • dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby. EDICUS Ochrona Danych Osobowych
  • 12. Odrębne regulacje dla danych szczególnej kategorii Dane szczególnej kategorii (tzw. wrażliwe) – dane osobowe, które ujawniają: • pochodzenie rasowe lub etniczne, • poglądy polityczne, • przekonania religijne lub światopoglądowe, • przynależność do związków zawodowych, a także • dane genetyczne i dane biometryczne (w celu jednoznacznego zidentyfikowania osoby fizycznej), • dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby. EDICUS Ochrona Danych Osobowych
  • 13. Odrębne regulacje dla danych szczególnej kategorii Generalnie przetwarzanie danych szczególnej kategorii jest zabronione. Przetwarzania tych danych nie legalizują podstawy z art. 6 RODO. Przetwarzanie danych szczególnej kategorii jest legalne jedynie w przypadku wystąpienia podstaw z art. 9 ust. 2 RODO. EDICUS Ochrona Danych Osobowych
  • 14. Przesłanka 1. Realizacja szczególnych obowiązków lub uprawnień administratora • Niezbędność przetwarzania celem wypełnienia obowiązków i wykonywania szczególnych uprawnień przez administratora danych osobowych lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą. • W tym zakresie należy odwołać się do źródeł prawa pracy, przede wszystkim Kodeksu pracy, ale także przepisów innych ustaw i aktów wykonawczych, określających prawa i obowiązki pracowników i pracodawców (np. ustawy o pracownikach samorządowych, Karty Nauczyciela, ustawy o działalności leczniczej), a także postanowień układów zbiorowych pracy i innych opartych na ustawie porozumień zbiorowych, regulaminów i statutów określających prawa i obowiązki stron stosunku pracy (a więc również regulaminów pracy i wynagradzania). Przesłanka ta legalizuje posługiwanie się danymi wrażliwymi kandydata do pracy jak również pracowników. • Przykład 1. Przetwarzanie danych osobowych członków związku zawodowego (przynależność do związku) w związku z realizacją uprawnienia pracownika do szczególnej ochrony stosunku pracy z art. 32 ustawy o związkach zawodowych albo zwolnienia z obowiązku świadczenia pracy z art. 31 ustawy o związkach zawodowych). • Przykład 2. Komisja konkursowa przetwarzania dane osobowe o stanie zdrowia kandydata na stanowisko dyrektora szkoły widniejące w orzeczeniu lekarskim. Odpowiedni stan zdrowia jest jednym z wymogów do objęcia funkcji dyrektora szkoły. EDICUS Ochrona Danych Osobowych
  • 15. Przesłanka 2. Ochrona żywotnych interesów innej osoby • Niezbędność przetwarzania celem ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody. • W niektórych przypadkach przetwarzanie może służyć zarówno ważnemu interesowi publicznemu, jak i żywotnym interesom osoby, której dane dotyczą, na przykład gdy przetwarzanie jest niezbędne do celów humanitarnych, w tym monitorowania epidemii i ich rozprzestrzeniania się lub w nadzwyczajnych sytuacjach humanitarnych, a zwłaszcza w przypadkach klęsk żywiołowych i katastrof spowodowanych przez człowieka (motyw 46 preambuły RODO). EDICUS Ochrona Danych Osobowych
  • 16. Przesłanka 3. Dane wcześniej upublicznione • Objęcie przetwarzaniem danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą • Chodzi tu wyłącznie o ewidentny przypadek upublicznienia danych osobowych przez sam podmiot tych danych. • Przykład. Polityk zamieszcza na portalu społecznościowym filmik z ceremonii zawarcia związku partnerskiego ze swoim partnerem. EDICUS Ochrona Danych Osobowych
  • 17. Przesłanka 4. Dochodzenie roszczeń • Niezbędność przetwarzania danych osobowych celem ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy. • Wskazana podstawa przetwarzania danych szczególnej kategorii dotyczy przypadków prowadzenia sporów sądowych. • Przykład. Pracodawca zwolnił pracownika, podając jako przyczynę częste absencje wywołane zwolnieniami lekarskimi powodujące dezorganizację pracy. Pracownik pozwał pracodawcę przed sądem pracy. Aby obronić swoje stanowisko pracodawca musi przedstawić przedkładane przez pracownika zwolnienia lekarskie. EDICUS Ochrona Danych Osobowych
  • 18. Przesłanka 5. Zabezpieczenie zdrowotne • Niezbędność przetwarzania danych osobowych do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia • Dane osobowe mogą być przetwarzane na tej podstawie z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 9 ust. 3 RODO tj. jeżeli są przetwarzane przez – lub na odpowiedzialność – pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe lub przez inną osobę również podlegającą obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe. • Przykład. Pracodawca przetwarza dane osobowe o stanie zdrowia kandydata do pracy, odbierając orzeczenie lekarza medycyny pracy w sprawie przeciwwskazań do wykonywania pracy na danym stanowisku. Analogicznie pracodawca przetwarza takie dane pracownika w związku z badaniami okresowymi i kontrolnymi.
  • 19. Przesłanka 6. Zdrowie publiczne • Niezbędność przetwarzania ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową. EDICUS Ochrona Danych Osobowych
  • 20. Przesłanka 7. Cele szczególne • Niezbędność przetwarzania danych osobowych do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1 RODO, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą. EDICUS Ochrona Danych Osobowych
  • 21. Przesłanka 8. Wyraźna zgoda podmiotu danych • Wyraźna zgoda osoby, której dane dotyczą, na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu przetwarzania danych ze szczególnej kategorii • Najprostszą formą udzielenia zgody wyraźnej (która gwarantuje też rozliczalność administratora) z całą pewnością jest jej forma pisemna. • Nie można też wykluczyć zgody udzielonej w formie elektronicznej i telefonicznej. • Co najistotniejsze, zgoda wyraźna nie powinna przybierać brzmienia „przyjmuję do wiadomości..”, ponieważ przyjęcie do wiadomości nie oznacza wyrażenia zgody wyraźnej.