SPROSTOWANIE z maja 2018 r.

SPROSTOWANIE

do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

(Dziennik Urzędowy Unii Europejskiej L 119 z dnia 4 maja 2016 r.)

Strona 14, motyw 71, zdania piąte i szóste zamiast:

„(71) (…) Takie przetwarzanie nie powinno dotyczyć dzieci. Aby zapewnić rzetelność i przejrzystość przetwarzania wobec osoby, której dane dotyczą, mając na uwadze konkretne okoliczności i kontekst przetwarzania danych osobowych, administrator powinien stosować odpowiednie matematyczne lub statystyczne procedury profilowania, wdrożyć środki techniczne i organizacyjne zapewniające w szczególności korektę powodujcych nieprawidłowości w danych osobowych i maksymalne zmniejszenie ryzyka błędów, zabezpieczyć dane osobowe w sposób uwzględniający potencjalne ryzyko dla interesów i praw osoby, której dane dotyczą, oraz zapobiegający m.in. skutkom w postaci dyskryminacji osób fizycznych z uwagi na pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania, przynależność do związków zawodowych, stan genetyczny lub zdrowotny, orientację seksualną lub skutkujący środkami mającymi taki efekt.”

powinno być:

„(71) (…) Takie przetwarzanie nie powinno dotyczyć dzieci. Aby zapewnić rzetelność i przejrzystość przetwarzania wobec osoby, której dane dotyczą, mając na uwadze konkretne okoliczności i kontekst przetwarzania danych osobowych, administrator powinien stosować odpowiednie matematyczne lub statystyczne procedury profilowania, wdrożyć środki techniczne i organizacyjne zapewniające w szczególności korektę czynników powodujących nieprawidłowości w danych osobowych i maksymalne zmniejszenie ryzyka błędów, zabezpieczyć dane osobowe w sposób uwzględniający potencjalne ryzyko dla interesów i praw osoby, której dane dotyczą, oraz zapobiec m.in. skutkom w postaci dyskryminacji osób fizycznych z uwagi na pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania, przynależność do związków zawodowych, stan genetyczny lub zdrowotny lub orientację seksualną, lub przetwarzaniu skutkującemu środkami mającymi taki efekt.”.

Strona 15, motyw 75

zamiast:

„(75) Ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze zagrożeń, może wynikać z przetwarzania danych osobowych (…) jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi; jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i naruszeń prawa lub związanych z tym środków bezpieczeństwa; (…)”

powinno być:

„(75) Ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze, może wynikać z przetwarzania danych osobowych (…) jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi; jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i czynów zabronionych lub związanych z tym środków bezpieczeństwa; (…)”.

Strona 15, motyw 77

zamiast:

„(77) Wskazówki co do tego, jak wdrożyć odpowiednie środki oraz wykazać przestrzeganie prawa przez administratora lub podmiot przetwarzający dane – w szczególności jeżeli chodzi o identyfikowanie ryzyka związanego z przetwarzaniem, o jego ocenę pod kątem źródła, charakteru, prawdopodobieństwa i wagi zagrożenia oraz o najlepsze praktyki pozwalające zminimalizować to ryzyko (…)”

powinno być:

„(77) Wskazówki co do tego, jak wdrożyć odpowiednie środki oraz wykazać przestrzeganie prawa przez administratora lub podmiot przetwarzający dane – w szczególności jeżeli chodzi o identyfikowanie ryzyka związanego z przetwarzaniem, o jego ocenę pod kątem źródła, charakteru, prawdopodobieństwa i wagi oraz o najlepsze praktyki pozwalające zminimalizować to ryzyko (…)”.

Strona 15, motyw 80

zamiast:

„(80) Gdy administrator lub podmiot przetwarzający niemający jednostki organizacyjnej w Unii przetwarza dane osobowe osób, których dane dotyczą, znajdujących się w Unii, a jego czynności przetwarzania wiążą się z oferowaniem towarów lub usług tym osobom w Unii (niezależnie od tego, czy wymaga od tych osób płatności) lub z monitorowaniem ich zachowania (o ile ma ono miejsce w Unii), to taki administrator lub podmiot przetwarzający powinien wyznaczyć przedstawiciela, chyba że przetwarzanie ma charakter sporadyczny, nie obejmuje – na dużą skalę – przetwarzania szczególnych kategorii danych osobowych, ani przetwarzania danych osobowych dotyczących wyroków skazujących i naruszeń prawa, i jest mało prawdopodobne (…)”

powinno być:

„(80) Gdy administrator lub podmiot przetwarzający niemający jednostki organizacyjnej w Unii przetwarza dane osobowe osób, których dane dotyczą, znajdujących się w Unii, a jego czynności przetwarzania wiążą się z oferowaniem towarów lub usług tym osobom w Unii (niezależnie od tego, czy wymaga od tych osób płatności) lub z monitorowaniem ich zachowania (o ile ma ono miejsce w Unii), to taki administrator lub podmiot przetwarzający powinien wyznaczyć przedstawiciela, chyba że przetwarzanie ma charakter sporadyczny, nie obejmuje – na dużą skalę – przetwarzania szczególnych kategorii danych osobowych, ani przetwarzania danych osobowych dotyczących wyroków skazujących i czynów zabronionych, i jest mało prawdopodobne (…)”.

Strona 17, motyw 91, zdanie drugie

zamiast:

„Oceny skutków dla ochrony danych należy także dokonywać w przypadkach, w których dane osobowe przetwarza się w celu podjęcia decyzji wobec konkretnej osoby fizycznej po dokonaniu systematycznej, kompleksowej oceny czynników osobowych osób fizycznych na podstawie profilowania tych danych lub po przetworzeniu szczególnych kategorii danych osobowych, danych biometrycznych lub danych osobowych dotyczących wyroków skazujących, naruszeń prawa lub odnośnych środków bezpieczeństwa.”

powinno być:

„Oceny skutków dla ochrony danych należy także dokonywać w przypadkach, w których dane osobowe przetwarza się w celu podjęcia decyzji wobec konkretnej osoby fizycznej po dokonaniu systematycznej, kompleksowej oceny czynników osobowych osób fizycznych na podstawie profilowania tych danych lub po przetworzeniu szczególnych kategorii danych osobowych, danych biometrycznych lub danych osobowych dotyczących wyroków skazujących, czynów zabronionych lub odnośnych środków bezpieczeństwa.”.

Strona 18, motyw 97

zamiast:

„(97) Jeżeli przetwarzania dokonuje organ publiczny z wyjątkiem sądów lub niezależnych organów wymiaru sprawiedliwości w ramach sprawowania wymiaru sprawiedliwości lub jeżeli w sektorze prywatnym przetwarzania dokonuje administrator, którego główna działalność polega na operacjach przetwarzania wymagających regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę lub jeżeli główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, to w monitorowaniu wewnętrznego przestrzegania (…)”

powinno być:

„(97) Jeżeli przetwarzania dokonuje organ publiczny z wyjątkiem sądów lub niezależnych organów wymiaru sprawiedliwości w ramach sprawowania wymiaru sprawiedliwości lub jeżeli w sektorze prywatnym przetwarzania dokonuje administrator, którego główna działalność polega na operacjach przetwarzania wymagających regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę lub jeżeli główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i czynów zabronionych, to w monitorowaniu wewnętrznego przestrzegania (…)”.

Strona 33, art. 4 ust. 1

zamiast:

„1) „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); (…)”

powinno być:

„1) „dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); (…)”.

Strona 37, art. 6 ust. 4 lit c)

zamiast:

„c) charakter danych osobowych, w szczególności czy przetwarzane są szczególne kategorie danych osobowych zgodnie z art. 9 lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa zgodnie z art. 10;”

powinno być:

„c) charakter danych osobowych, w szczególności czy przetwarzane są szczególne kategorie danych osobowych zgodnie z art. 9 lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych zgodnie z art. 10;”.

Strona 39, art. 10

zamiast:

Artykuł 10

Przetwarzanie danych osobowych dotyczących wyroków skazujących i naruszeń prawa

Przetwarzania danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa na podstawie art. 6 ust. 1 (…)”

powinno być:

Artykuł 10

Przetwarzanie danych osobowych dotyczących wyroków skazujących i czynów zabronionych

Przetwarzania danych osobowych dotyczących wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa na podstawie art. 6 ust. 1 (…)”.

Strona 41, art. 13 ust. 1 lit. f)

zamiast:

„f) (…) wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.”

powinno być:

„f) (…) wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.”.

Strona 42, art. 14 ust. 1 lit. f)

zamiast:

„f) (…) wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.”

powinno być:

„f) (…) wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.”.

Strona 43, art. 15 ust. 3

zamiast:

„3. (…) Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się powszechnie stosowaną drogą elektroniczną.”

powinno być:

„3. (…) Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się w powszechnie stosowanej formie elektronicznej.”.

Strona 47, art. 23 ust. 2 lit. g)

zamiast:

„g) ryzyka naruszenia praw lub wolności osoby, której dane dotyczą; oraz”

powinno być:

„g) ryzykach naruszenia praw lub wolności osoby, której dane dotyczą; oraz”.

Strona 47, art. 23 ust. 2 lit. h)

zamiast:

„h) prawie osób, której dane dotyczą, do uzyskania informacji o ograniczeniach, o ile nie narusza to celu ograniczenia.”

powinno być:

„h) prawie osób, których dane dotyczą, do uzyskania informacji o ograniczeniach, o ile nie narusza to celu ograniczenia.”.

Strona 47, art. 24 ust. 1

zamiast:

„1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne,(…)”

powinno być:

„1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, (..)”.

Strona 48, art. 25 ust. 1

zamiast:

„1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, (…)”

powinno być:

„1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, (…)”.

Strona 48, art. 27 ust. 2 lit. a)

zamiast:

„a) przetwarzania, które ma charakter sporadyczny, nie obejmuje – na dużą skalę – przetwarzania szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, ani przetwarzania danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10, (…)”

powinno być:

„a) przetwarzania, które ma charakter sporadyczny, nie obejmuje – na dużą skalę – przetwarzania szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, ani przetwarzania danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10, (…)”.

Strona 50, art. 28 ust. 9

zamiast:

„9. Umowa lub inny akt prawny, o których mowa w art. 3 i 4, mają formę pisemną, w tym formę elektroniczną.”

powinno być:

„9. Umowa lub inny akt prawny, o których mowa w ust. 3 i 4, mają formę pisemną, w tym formę elektroniczną.”.

Strona 51, art. 30 ust. 5

zamiast:

„5. Obowiązki, o których mowa w ust. 1 i 2, nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.”

powinno być:

„5. Obowiązki, o których mowa w ust. 1 i 2, nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych, o czym mowa w art. 10.”

Strona 51, art. 32 ust. 1

zamiast:

„1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający (…)”

powinno być:

„1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający (…)”.

Strona 53, art. 35 ust. 3 lit. b)

zamiast:

„b) przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10; lub”

powinno być:

„b) przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10; lub”.

Strona 55, art. 37 ust. 1 lit. c)

zamiast:

„c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.”

powinno być:

„c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10.”.

Strona 58, art. 41 ust. 3

zamiast:

„3. Właściwy organ nadzorczy przedkłada proponowane kryteria akredytacji podmiotu, o którym mowa w ust. 1 niniejszego artykułu, Europejskiej Radzie Ochrony Danych zgodnie z mechanizmem spójności, o którym mowa w art. 63.”

powinno być:

„3. Właściwy organ nadzorczy przedkłada proponowane wymogi akredytacji podmiotu, o którym mowa w ust. 1 niniejszego artykułu, Europejskiej Radzie Ochrony Danych zgodnie z mechanizmem spójności, o którym mowa w art. 63.”.

Strona 58, art. 41 ust. 5

zamiast:

„5. Właściwy organ nadzorczy cofa akredytację podmiotu, o którym mowa w ust. 1, jeżeli podmiot ten nie spełnia lub przestał spełniać warunki akredytacji lub jeżeli działania przez niego podejmowane nie są zgodne z niniejszym rozporządzeniem.”

powinno być:

„5. Właściwy organ nadzorczy cofa akredytację podmiotu, o którym mowa w ust. 1, jeżeli podmiot ten nie spełnia lub przestał spełniać wymogi akredytacji lub jeżeli działania przez niego podejmowane nie są zgodne z niniejszym rozporządzeniem.”.

Strona 59, art. 42 ust. 7

zamiast:

„7. Certyfikacji administratora lub podmiotu przetwarzającego udziela się na maksymalny okres 3 lat; certyfikację można przedłużyć na tych samych warunkach, o ile nadal spełnione są stosowne wymogi. W stosownym przypadku organy certyfikujące, o których mowa w art. 43, lub właściwy organ nadzorczy cofają certyfikację, jeżeli jej wymogi nie są spełnione lub przestały być spełniane.”

powinno być:

„7. Certyfikacji administratora lub podmiotu przetwarzającego udziela się na maksymalny okres 3 lat; certyfikację można przedłużyć na tych samych warunkach, o ile nadal spełnione są stosowne kryteria. W stosownym przypadku organy certyfikujące, o których mowa w art. 43, lub właściwy organ nadzorczy cofają certyfikację, jeżeli jej kryteria nie są spełnione lub przestały być spełniane.”.

Strona 60, art. 43 ust. 3

zamiast:

„3. Akredytacja podmiotów certyfikujących, o których mowa w ust. 1 i 2 niniejszego artykułu, jest dokonywana na podstawie kryteriów zatwierdzonych przez organ nadzorczy właściwy zgodnie z art. 55 lub 56 lub przez Europejską Radę Ochrony Danych zgodnie z art. 63. W przypadku akredytacji na mocy ust. 1 lit. c) niniejszego artykułu wymogi te są uzupełnieniem wymogów przewidzianych w rozporządzeniu (WE) nr 765/2008 oraz przepisów technicznych określających metody i procedury podmiotów certyfikujących.”

powinno być:

„3. Akredytacja podmiotów certyfikujących, o których mowa w ust. 1 i 2 niniejszego artykułu, jest dokonywana na podstawie wymogów zatwierdzonych przez organ nadzorczy właściwy zgodnie z art. 55 lub 56 lub przez Europejską Radę Ochrony Danych zgodnie z art. 63. W przypadku akredytacji na mocy ust. 1 lit. b) niniejszego artykułu wymogi te są uzupełnieniem wymogów przewidzianych w rozporządzeniu (WE) nr 765/2008 oraz przepisów technicznych określających metody i procedury podmiotów certyfikujących.”.

Strona 60, art. 43 ust. 6

zamiast:

„6. Organ nadzorczy w łatwo dostępny sposób podaje do wiadomości publicznej wymogi, o których mowa w ust. 3 niniejszego artykułu, oraz kryteria, o których mowa w art. 42 ust. 5. Organy nadzorcze przekazują te wymogi i kryteria także Europejskiej Radzie Ochrony Danych. Gromadzi ona w rejestrze wszystkie mechanizmy certyfikacji oraz znaki jakości w dziedzinie ochrony danych i udostępnia je opinii publicznej za pomocą odpowiednich środków.”

powinno być:

„6. Organ nadzorczy w łatwo dostępny sposób podaje do wiadomości publicznej wymogi, o których mowa w ust. 3 niniejszego artykułu, oraz kryteria, o których mowa w art. 42 ust. 5. Organy nadzorcze przekazują te wymogi i kryteria także Europejskiej Radzie Ochrony Danych.”.

Strona 62, art. 46 ust. 3

zamiast:

„3. Z zastrzeżeniem zezwolenia właściwego organu nadzorczego (…)”

powinno być:

„3. Pod warunkiem uzyskania zezwolenia właściwego organu nadzorczego (…)”.

Strona 62, art. 47, tytuł

zamiast:

„Artykuł 47 wiążące reguły korporacyjnych”

powinno być:

„Artykuł 47 Wiążące reguły korporacyjne”.

Strona 69, art. 57 ust. 1 lit. p)

zamiast:

„p) opracowuje i publikuje kryteria akredytacji podmiotu monitorującego kodeksy postępowania na mocy art. 41 oraz podmiotu certyfikującego na mocy art. 43;”

powinno być:

„p) opracowuje i publikuje wymogi akredytacji podmiotu monitorującego kodeksy postępowania na mocy art. 41 oraz podmiotu certyfikującego na mocy art. 43;”.

Strona 74, art. 64 ust. 1 lit. c)

zamiast:

„c) zatwierdzenia kryteriów akredytacji podmiotu na mocy art. 41 ust. 3 lub podmiotu certyfikującego na mocy art. 43 ust. 3;”

powinno być:

„c) zatwierdzenia wymogów akredytacji podmiotu na mocy art. 41 ust. 3, podmiotu certyfikującego na mocy art. 43 ust. 3 lub kryteriów akredytacji, o których mowa w art. 42 ust. 5;”.

Strona 74, art. 64 ust. 6, 7 i 8

zamiast:

„6. Właściwy organ nadzorczy nie przyjmuje projektu decyzji, o którym mowa w art. ust. 1 przed upływem terminu, o którym mowa w ust. 3.

7. Organ nadzorczy, o którym mowa w ust. 1, w jak największym stopniu uwzględnia opinię Europejskiej Rady Ochrony Danych i w terminie dwóch tygodni po otrzymaniu tej opinii informuje drogą elektroniczną przewodniczącego Europejskiej Rady Ochrony Danych, czy podtrzymuje projekt decyzji, czy też go zmieni, a w stosownym przypadku przekazuje mu w standardowym formacie zmieniony projekt decyzji.

8. Jeżeli w terminie, o którym mowa w ust. 7 niniejszego artykułu, organ nadzorczy, którego sprawa dotyczy, poinformuje przewodniczącego Europejskiej Rady Ochrony Danych, że nie zamierza się zastosować do całości lub części jej opinii podając odpowiednie uzasadnienie, zastosowanie ma art. 65 ust. 1.”

powinno być:

„6. Właściwy organ nadzorczy, o którym mowa w ust. 1, nie przyjmuje projektu decyzji przed upływem terminu, o którym mowa w ust. 3.

7. Właściwy organ nadzorczy, o którym mowa w ust. 1, w jak największym stopniu uwzględnia opinię Europejskiej Rady Ochrony Danych i w terminie dwóch tygodni po otrzymaniu tej opinii informuje drogą elektroniczną przewodniczącego Europejskiej Rady Ochrony Danych, czy podtrzymuje projekt decyzji, czy też go zmieni, a w stosownym przypadku przekazuje mu w standardowym formacie zmieniony projekt decyzji.

8. Jeżeli w terminie, o którym mowa w ust. 7 niniejszego artykułu, właściwy organ nadzorczy, o którym mowa w ust. 1, poinformuje przewodniczącego Europejskiej Rady Ochrony Danych, że nie zamierza się zastosować do całości lub części jej opinii podając odpowiednie uzasadnienie, zastosowanie ma art. 65 ust. 1.”.

Strona 74, art. 65 ust. 1 lit. a)

zamiast:

„a) jeżeli w przypadku, o którym mowa w art. 60 ust. 4, organ nadzorczy, którego sprawa dotyczy, zgłosił mający znaczenie dla sprawy i uzasadniony sprzeciw wobec projektu decyzji wiodącego organu nadzorczego, a wiodący organ nadzorczy odrzucił taki sprzeciw jako niemający znaczenia dla sprawy lub nieuzasadniony. …”

powinno być:

„a) jeżeli w przypadku, o którym mowa w art. 60 ust. 4, organ nadzorczy, którego sprawa dotyczy, zgłosił mający znaczenie dla sprawy i uzasadniony sprzeciw wobec projektu decyzji wiodącego organu nadzorczego, a wiodący organ nadzorczy nie przychylił się do tego sprzeciwu lub odrzucił taki sprzeciw jako niemający znaczenia dla sprawy lub nieuzasadniony. …”.

Strona 76, art. 69 ust. 2

zamiast:

„2. Bez uszczerbku dla wniosków Komisji, o których mowa w art. 70 ust. 1 lit. b) i art. 70 ust. 2, Europejska Rada Ochrony Danych podczas wypełniania swoich zadań lub wykonywania swoich uprawnień nie zwraca się do nikogo o instrukcje ani ich od nikogo nie przyjmuje.”

powinno być:

„2. Bez uszczerbku dla wniosków Komisji, o których mowa w art. 70 ust. 1 i 2, Europejska Rada Ochrony Danych podczas wypełniania swoich zadań lub wykonywania swoich uprawnień nie zwraca się do nikogo o instrukcje ani ich od nikogo nie przyjmuje.”.

Strona 77, art. 70 ust. 1 lit. l)

zamiast:

„l) dokonuje przeglądu praktycznego stosowania wytycznych, zaleceń i najlepszych praktyk, o których mowa w lit. e) i f);”

powinno być:

„l) dokonuje przeglądu praktycznego stosowania wytycznych, zaleceń i najlepszych praktyk;”.

Strona 77, art. 70 ust. 1 lit o)

zamiast:

„o) akredytuje podmioty certyfikujące i dokonuje okresowego przeglądu certyfikacji zgodnie z art. 43 oraz prowadzi publiczny rejestr podmiotów akredytowanych zgodnie z art. 43 ust. 6 i administratorów i podmiotów przetwarzających akredytowanych zgodnie z art. 42 ust. 7, mających siedzibę w państwach trzecich;”

powinno być:

„o) zatwierdza kryteria certyfikacji zgodnie z art. 42 ust. 5 oraz prowadzi publiczny rejestr mechanizmów certyfikacji oraz znaków jakości i oznaczeń w dziedzinie ochrony danych zgodnie z art. 42 ust. 8, a także administratorów lub podmiotów przetwarzających certyfikowanych zgodnie z art. 42 ust. 7, mających siedzibę w państwach trzecich;”.

Strona 77, art. 70 ust. 1 lit p)

zamiast:

„p) precyzuje wymogi, o których mowa w art. 43 ust. 3, z myślą o akredytacji podmiotów certyfikujących zgodnie z art. 42;”

powinno być:

„p) zatwierdza wymogi, o których mowa w art. 43 ust. 3, z myślą o akredytacji podmiotów certyfikujących, o których mowa w art. 43;”.

Certyfikacja i akredytacja na gruncie RODO

Nowelizacja przepisów dotyczących ochrony danych osobowych wprowadza nowość w zakresie standardów ochrony danych w postaci certyfikatów potwierdzających zgodność podmiotu z przepisami o ochronie danych. Certyfikaty mają zachęcać administratorów danych i podmioty przetwarzające do wdrażania ochrony danych do ich organizacji i postępowania w zgodzie z przepisami. Mechanizmy certyfikacji i akredytacji ustanowione w RODO i właściwych przepisach krajowych mają służyć realizacji tego celu.

RODO wskazuje, że wszelkie certyfikaty i znaki jakości wydawane na tej podstawie powinny podlegać rejestracji przez Europejską Radę Ochrony Danych ( „EROD”), na którą nałożono obowiązek prowadzenia rejestru wszystkich mechanizmów certyfikacji, znaków jakości i oznaczeń w dziedzinie ochrony danych. Warto wspomnieć, że podmiotami akredytowanymi, inaczej mówiąc uprawnionymi do udzielania certyfikacji, na gruncie RODO będą organy nadzorcze państw członkowskich Unii Europejskiej oraz krajowe jednostki akredytujące określone zgodnie z Rozporządzeniem nr 765/2008 i dodatkowymi wymogami wskazanymi przez organy nadzorcze.

Organizacja może zostać akredytowana do udzielania certyfikacji, gdy:

  • W sposób satysfakcjonujący wykaże organowi nadzorczemu swoją niezależność i wiedzę fachową w dziedzinie ochrony danych osobowych;
  • Zobowiąże się do przestrzegania kryteriów certyfikacji określonych przez organ nadzorczy lub EROD;
  • Dysponuje procedurami wydawania, okresowego przeglądu i cofania certyfikacji, znaków jakości i oznaczeń w dziedzinie ochrony danych;
  • Dysponuje procedurami i strukturami, które pozwalają rozpatrywać skargi na naruszenie warunków certyfikacji i które zapewniają przejrzystość tych procedur i struktur dla osób, których dane dotyczą i dla opinii publicznej;
  • Wykaże organowi nadzorczemu, że jej zadania i obowiązki nie powodują konfliktu interesów.

Podmioty certyfikujące dokonują oceny organizacji administratora lub procesora przed udzieleniem lub cofnięciem certyfikacji bez uszczerbku dla obowiązków w zakresie przestrzegania postanowień RODO. W ten sposób ustawodawca unijny chciał uniknąć kumulacji kompetencji kontrolera i certyfikującego w jednym ciele. Nietrudno bowiem wyobrazić sobie sytuację, kiedy to w trakcie procedury certyfikacyjnej wykryte zostaną nieprawidłowości mogące skutkować sankcją na gruncie RODO. Takie sformułowanie procedury pozwala, przynajmniej w teorii, liczyć na wstrzemięźliwość certyfikującego, nawet jeśli jest nim organ nadzorczy.

Istotnym elementem jest także możliwość cofnięcia certyfikacji w przypadku gdy podmiot przestał spełniać pierwotne wymogi. Istotna jest w tym kontekście możliwość reagowania podmiotów akredytujących  na skargi osób, których dane dotyczą i bieżącego sprawdzania przestrzegania przepisów ochrony danych przez podmioty certyfikowane. Certyfikacja jest udzielana na maksymalnie pięć lat i po tym czasie powinna zostać odnowiona.

Wpływ RODO na zmiany w Kodeksie Pracy

Nowe Rozporządzenie o ochronie danych osobowych (RODO) niejako wymusiło na lokalnym ustawodawcy wprowadzenie zmian do wielu obowiązujących aktów prawnych. Duże zmiany zapowiada projekt Kodeksu Pracy, który także będzie musiał zostać dostosowany do wymogów Rozporządzenia.

Nowelizacja dotyczyć ma przede wszystkim art. 221kp, który mówi o zasadach przetwarzania przez pracodawców danych kandydatów do pracy oraz pracowników.

Zgodnie z nowymi zapisami zmianie ulegnie zakres danych, jaki pracodawca będzie mógł pozyskać w procesie rekrutacji. Do danych tych należeć będą: imię i nazwisko kandydata, adres do korespondencji, data urodzenia, adres poczty elektronicznej lub numer telefonu, wykształcenie oraz przebieg dotychczasowego zatrudnienia. Katalog ten nie zawiera już imion rodziców oraz miejsca zamieszkania.

Natomiast od pracownika pracodawca będzie mógł żądać podania: numeru PESEL, adresu zamieszkania oraz innych danych osobowych pracownika, a także danych osobowych dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień, przewidzianych w prawie pracy. Zaznaczyć należy, iż pracodawca, chcąc przetwarzać dane wychodzące poza zakres wskazany w projekcje ustawy, musi uzyskać odrębną zgodę pracownika na przetwarzanie tych danych.

Istotne jest, iż pracodawca żąda podania informacji wymienionych powyżej, zatem nie musi on pozyskać zgody na ich przetwarzanie. Podstawą prawną do przetwarzania tych danych będzie wykonanie ciążącego na pracodawcy obowiązku.

Projekt ustawy reguluje również kwestie monitoringu wizyjnego w miejscu pracy. Pracodawca będzie mógł wykorzystywać monitoring jedynie w celu zapewnienia bezpieczeństwa, ochrony mienia i zachowania w tajemnicy informacji, których ujawnienie może narazić pracodawcę na szkody. Pracodawca nie może stosować monitoringu w celu kontroli pracy pracowników oraz w miejscach, które nie są miejscami przeznaczonymi do wykonywania pracy, np. szatnie, stołówki, miejsca sanitarne. Ponadto pracodawca nie musi pozyskać zgody pracowników, ale musi on poinformować ich o stosowaniu monitoringu w miejscu pracy.

Kolejną istotną kwestią, do której odnosi się ustawodawca, to dane biometryczne. Zgodnie z propozycją nowych zapisów pracodawca będzie miał prawo przetwarzać dane biometryczne pracownika jedynie za jego zgodą. Dodatkowo zgoda ta musi być wyrażona w formie pisemnej. Natomiast pracodawca nie będzie mógł żądać danych biometrycznych od kandydata do pracy. Warto zaznaczyć, iż pracodawca musi zapewnić odpowiednie środki techniczne i organizacyjne w celu ochrony danych kandydatów do pracy i pracowników. Jednak w przypadku przetwarzania danych biometrycznych, powinien on szczególnie zadbać o ich ochronę.