Rozdział 9 - PRZETWARZANIE OPERACYJNYCH DANYCH OSOBOWYCH PRZEZ ORGANY IJEDNOSTKI ORGANIZACYJNE UNII PODCZAS WYKONYWANIA PRZEZ NIE CZYNNOŚCI WCHODZĄCYCH W ZAKRES CZĘŚCI TRZECIEJ TYTUŁ V ROZDZIAŁ 4 LUB ROZDZIAŁ 5 TFUE - Rozporządzenie 2018/1725 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE
Dzienniki UE
Dz.U.UE.L.2018.295.39
Akt obowiązujący Wersja od: 21 listopada 2018 r.
ROZDZIAŁ IX
PRZETWARZANIE OPERACYJNYCH DANYCH OSOBOWYCH PRZEZ ORGANY IJEDNOSTKI ORGANIZACYJNE UNII PODCZAS WYKONYWANIA PRZEZ NIE CZYNNOŚCI WCHODZĄCYCH W ZAKRES CZĘŚCI TRZECIEJ TYTUŁ V ROZDZIAŁ 4 LUB ROZDZIAŁ 5 TFUE
PRZETWARZANIE OPERACYJNYCH DANYCH OSOBOWYCH PRZEZ ORGANY IJEDNOSTKI ORGANIZACYJNE UNII PODCZAS WYKONYWANIA PRZEZ NIE CZYNNOŚCI WCHODZĄCYCH W ZAKRES CZĘŚCI TRZECIEJ TYTUŁ V ROZDZIAŁ 4 LUB ROZDZIAŁ 5 TFUE
Zakres rozdziału
Niniejszy rozdział stosuje się jedynie do przetwarzania operacyjnych danych osobowych przez organy i jednostki organizacyjne Unii prowadzące działania, które wchodzą w zakres stosowania części trzeciej tytuł V rozdział 4 lub rozdział 5 TFUE, z zastrzeżeniem szczegółowych przepisów dotyczących ochrony danych mających zastosowanie do takich organów lub jednostek organizacyjnych Unii.
Zasady dotyczące przetwarzania operacyjnych danych osobowych
1.
Operacyjne dane osobowe są:a)
przetwarzane zgodnie z prawem i rzetelnie ("zgodność z prawem i rzetelność");b)
gromadzone w konkretnych, wyraźnych i uzasadnionych celach i nieprzetwarzane w sposób niezgodny z tymi celami ("zasada celowości");c)
adekwatne, stosowne i nienadmierne w stosunku do celów, w których są przetwarzane ("minimalizacja danych");d)
prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby operacyjne dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane ("prawidłowość");e)
przechowywane w postaci umożliwiającej identyfikację osób, których dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których operacyjne dane osobowe są przetwarzane ("ograniczenie przechowywania");f)
przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność").2.
Przetwarzanie przez tego samego lub innego administratora w jednym z celów określonych w akcie prawnym ustanawiającym organ lub jednostkę organizacyjną Unii innym niż cel, dla którego operacyjne dane osobowe zostały zebrane, jest dozwolone, o ile:a)
administrator jest uprawniony do przetwarzania takich operacyjnych danych osobowych w takim celu na mocy prawa Unii; orazb)
przetwarzanie jest niezbędne i proporcjonalne do tego innego celu na mocy prawa Unii.3.
Przetwarzanie przez tego samego lub innego administratora może obejmować archiwizację w interesie publicznym, wykorzystanie do celów naukowych, statystycznych lub historycznych, o których mowa w akcie prawnym ustanawiającym organ lub jednostkę organizacyjną Unii, o ile podlega ono odpowiednim zabezpieczeniom praw i wolności osób, których dane dotyczą.4.
Za przestrzeganie przepisów ust. 1, 2 i 3 odpowiada administrator, który musi być w stanie wykazać fakt ich przestrzegania.Zgodność z prawem przetwarzania operacyjnych danych osobowych
1.
Przetwarzanie operacyjnych danych osobowych jest zgodne z prawem wyłącznie wówczas i w zakresie, w jakim takie przetwarzanie jest niezbędne do wykonania zadań realizowanych przez organy i jednostki organizacyjne Unii wykonujące czynności, które wchodzą w zakres stosowania części trzeciej tytuł V rozdział 4 lub rozdział 5 TFUE, i opiera się na prawie Unii.2.
Szczególne akty prawne Unii regulujące przetwarzanie w zakresie stosowania tego rozdziału określają co najmniej cele przetwarzania, operacyjne dane osobowe mające podlegać przetwarzaniu, powody przetwarzania oraz okresy przechowywania operacyjnych danych osobowych lub okresowego przeglądu potrzeby dalszego przechowywania operacyjnych danych osobowych.Rozróżnianie poszczególnych kategorii osób, których dane dotyczą
Administrator - w stosownym przypadku i w miarę możliwości - wyraźnie rozróżnia operacyjne dane osobowe poszczególnych kategorii osób, których dane dotyczą, takie jak kategorie wymienione w aktach prawnych ustanawiających organy i jednostki organizacyjne Unii.
Rozróżnianie poszczególnych rodzajów operacyjnych danych osobowych i weryfikacja jakości operacyjnych danych osobowych
1.
Administrator dokonuje, w miarę możliwości, rozróżnienia pomiędzy operacyjnymi danymi osobowymi opartymi na faktach a operacyjnymi danymi osobowymi opartymi na indywidualnych ocenach.2.
Administrator podejmuje wszelkie rozsądne działania w celu zapewnienia, by nieprawidłowe, niekompletne lub nieaktualne operacyjne dane osobowe nie były przesyłane ani udostępniane. W tym celu - w miarę możliwości i w stosownych przypadkach - administrator sprawdza jakość operacyjnych danych osobowych przed ich przesłaniem lub udostępnieniem, na przykład konsultując się z właściwym organem, z którego dane pochodzą. W miarę możliwości, we wszystkich przypadkach przesyłania operacyjnych danych osobowych administrator dodaje niezbędne informacje pozwalające odbiorcy ocenić stopień prawidłowości, kompletności i wiarygodności operacyjnych danych osobowych oraz stopień ich aktualności.3.
Jeżeli okaże się, że przesłano nieprawidłowe operacyjne dane osobowe lub że operacyjne dane osobowe przesłano niezgodnie z prawem, należy o tym niezwłocznie powiadomić odbiorcę. W takim przypadku odnośne operacyjne dane osobowe należy sprostować lub usunąć, lub ograniczyć ich przetwarzanie zgodnie z art. 82.Szczególne warunki przetwarzania
1.
Jeżeli unijne prawo mające zastosowanie do administratora przesyłającego dane przewiduje szczególne warunki przetwarzania danych, administrator informuje odbiorcę takich operacyjnych danych osobowych o tych warunkach i o obowiązku ich przestrzegania.2.
Administrator spełnia szczególne warunki przetwarzania przewidziane przez właściwy przesyłający organ zgodnie z art. 9 ust. 3 i 4 dyrektywy (UE) 2016/680.Przetwarzanie szczególnych kategorii operacyjnych danych osobowych
1.
Przetwarzanie operacyjnych danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, lub przynależność do związków zawodowych oraz przetwarzanie danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej, operacyjnych danych osobowych dotyczących zdrowia lub dotyczących seksualności bądź orientacji seksualnej osoby fizycznej jest dozwolone wyłącznie wtedy, jeżeli jest bezwzględnie niezbędne do celów operacyjnych i wchodzi w zakres mandatu danego organu lub jednostki organizacyjnej Unii i podlega odpowiednim zabezpieczeniom praw i wolności osoby, której dane dotyczą. Zabrania się dyskryminacji osób fizycznych na podstawie takich danych osobowych.2.
Inspektor ochrony danych jest informowany bez zbędnej zwłoki o zastosowaniu niniejszego artykułu.Zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, w tym profilowanie
1.
Decyzje opierające się wyłącznie na zautomatyzowanym przetwarzaniu, w tym również na profilowaniu, i mające niekorzystne skutki prawne dla osoby, której dane dotyczą, lub poważnie na nią wpływające są zakazane, chyba że dopuszcza je prawo Unii, któremu podlega administrator i które przewiduje odpowiednie zabezpieczenia praw i wolności osoby, której dane dotyczą, przynajmniej prawo do uzyskania interwencji ludzkiej ze strony administratora.2.
Decyzje, o których mowa w ust. 1 niniejszego artykułu, nie mogą opierać się na szczególnych kategoriach danych osobowych, o których mowa w art. 76, chyba że istnieją właściwe środki ochrony praw, wolności i uzasadnionych interesów osoby, której dane dotyczą.3.
Profilowanie skutkujące dyskryminacją osób fizycznych na podstawie szczególnych kategorii danych osobowych, o których mowa w art. 76, jest zabronione zgodnie z prawem Unii.Komunikacja oraz metody wykonywania praw osób, których dane dotyczą
1.
Administrator podejmuje rozsądne działania, aby udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 79, oraz prowadzi z nią wszelką komunikację, o której mowa w art. 80-84 i 92 w sprawie przetwarzania w zwięzłej, zrozumiałej i łatwo dostępnej formie, przy użyciu jasnego i prostego języka. Informacji udziela się wszelkimi stosownymi sposobami, w tym elektronicznie. Co do zasady administrator udziela informacji w takiej samej formie, w jakiej wniesiono żądanie.2.
Administrator ułatwia osobie, której dane dotyczą, wykonanie praw przysługujących jej na mocy art. 79-84.3.
Administrator bez zbędnej zwłoki, a w każdym razie nie później niż w terminie trzech miesięcy od otrzymania żądania od osoby, której dane dotyczą, informuje pisemnie tę osobę o działaniach podjętych w związku z tym żądaniem.4.
Administrator zapewnia, aby informacje przekazywane na mocy art. 79 oraz wszelka komunikacja i wszelkie działania podjęte na mocy art. 80-84 i 92 były wolne od opłat. Jeżeli żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, administrator może odmówić podjęcia działań w związku z żądaniem. Obowiązek wykazania, że żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter, spoczywa na administratorze.5.
Jeżeli administrator ma uzasadnione wątpliwości co do tożsamości osoby fizycznej składającej wniosek, o którym mowa w art. 80 lub 82, może zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby, której dane dotyczą.Informacje udostępniane lub przekazywane osobie, której dane dotyczą
1.
Administrator udostępnia osobie, której dane dotyczą, przynajmniej następujące informacje:a)
nazwę i dane kontaktowe organu lub jednostki organizacyjnej Unii;b)
dane kontaktowe inspektora ochrony danych;c)
cele przetwarzania, do których mają posłużyć operacyjne dane osobowe;d)
informacje o prawie do wniesienia skargi do Europejskiego Inspektora Ochrony Danych i jego dane kontaktowe;e)
informacje o prawie do występowania do administratora z wnioskiem o dostęp do operacyjnych danych osobowych osoby, której dane dotyczą, ich sprostowania lub usunięcia, lub ograniczenia ich przetwarzania.2.
Oprócz informacji, o których mowa w ust. 1, w konkretnych przypadkach przewidzianych w prawie unijnym administrator przekazuje osobie, której dane dotyczą, następujące dalsze informacje umożliwiające korzystanie z przysługujących jej praw:a)
podstawa prawna przetwarzania;b)
okres przechowywania operacyjnych danych osobowych lub, gdy nie jest to możliwe, kryteria służące określeniu tego okresu;c)
w stosownych przypadkach kategorie odbiorców operacyjnych danych osobowych, w tym odbiorców w państwach trzecich lub organizacjach międzynarodowych;d)
w razie potrzeby dalsze informacje, zwłaszcza gdy operacyjne dane osobowe są gromadzone bez wiedzy osoby, której dotyczą.3.
Administrator może opóźnić, ograniczyć lub pominąć przekazywanie osobie, której dane dotyczą, informacji przewidzianych w ust. 2, w takim zakresie i przez taki okres, w jakim odnośny środek jest działaniem koniecznym i proporcjonalnym w społeczeństwie demokratycznym - przy uwzględnieniu praw podstawowych i uzasadnionych interesów danej osoby fizycznej - aby:a)
uniemożliwić utrudnianie czynności urzędowych lub postępowań sądowych, postępowań przygotowawczych lub procedur;b)
uniemożliwić zakłócanie zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania przestępstw i wykonywania kar;c)
chronić bezpieczeństwo publiczne państw członkowskich;d)
chronić bezpieczeństwo narodowe państw członkowskich;e)
chronić prawa i wolności innych osób, takich jak ofiary i świadkowie.Prawo dostępu przysługujące osobie, której dane dotyczą
Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są operacyjne dane osobowe jej dotyczące, a jeżeli ma to miejsce - do uzyskania dostępu do operacyjnych danych osobowych oraz do następujących informacji:
a)
cele i podstawa prawna przetwarzania;b)
kategorie odnośnych operacyjnych danych osobowych;c)
informacje o odbiorcach lub kategoriach odbiorców, którym operacyjne dane osobowe zostały ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;d)
w miarę możliwości planowany okres przechowywania operacyjnych danych osobowych lub, gdy nie jest to możliwe, kryteria służące określeniu tego okresu;e)
informacje o prawie do złożenia do administratora wniosku o sprostowanie lub usunięcie operacyjnych danych osobowych lub ograniczenie przetwarzania operacyjnych danych osobowych dotyczących tej osoby;f)
informacje o prawie do wniesienia skargi do Europejskiego Inspektora Ochrony Danych i jego dane kontaktowe;g)
przekazanie operacyjnych danych osobowych podlegających przetwarzaniu i wszelkich dostępnych informacji o ich pochodzeniu.Ograniczenia prawa dostępu
1.
Administrator może ograniczyć w całości lub w części prawo dostępu osoby, której dane dotyczą, w takim zakresie i przez taki okres, w jakim takie częściowe lub całkowite ograniczenie jest działaniem niezbędnym i proporcjonalnym w społeczeństwie demokratycznym - przy uwzględnieniu praw podstawowych i uzasadnionych interesów danej osoby fizycznej - aby:a)
uniemożliwić utrudnianie czynności urzędowych lub postępowań sądowych, postępowań przygotowawczych lub procedur;b)
uniemożliwić zakłócanie zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania przestępstw i wykonywania kar;c)
chronić bezpieczeństwo publiczne państw członkowskich;d)
chronić bezpieczeństwo narodowe państw członkowskich;e)
chronić prawa i wolności innych osób, takich jak ofiary i świadkowie.2.
W przypadkach, o których mowa w ust. 1, administrator bez zbędnej zwłoki informuje na piśmie osobę, której dane dotyczą, o każdej odmowie lub o każdym ograniczeniu dostępu i o przyczynach tej odmowy lub tego ograniczenia. Informacje takie można pominąć, jeżeli ich udzielenie godziłoby w którykolwiek z celów, o których mowa w ust. 1. Administrator informuje osobę, której dane dotyczą, o możliwości wniesienia skargi do Europejskiego Inspektora Ochrony Danych lub środka ochrony prawnej do Trybunału Sprawiedliwości. Administrator dokumentuje faktyczne lub prawne podstawy decyzji. Informacje te są udostępniane Europejskiemu Inspektorowi Ochrony Danych na jego wniosek.Prawo do sprostowania lub usunięcia operacyjnych danych osobowych oraz ograniczenia ich przetwarzania
1.
Osoba, której dane dotyczą, ma prawo uzyskać od administratora bez zbędnej zwłoki sprostowanie jej operacyjnych danych osobowych, jeżeli są nieprawidłowe. Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo uzyskania uzupełnienia niekompletnych operacyjnych danych osobowych, w tym w drodze przedstawienia dodatkowego oświadczenia.2.
Administrator bez zbędnej zwłoki usuwa operacyjne dane osobowe, a osoba, której dane dotyczą, ma prawo uzyskać od administratora usunięcie bez zbędnej zwłoki jej operacyjnych danych osobowych, w przypadku gdy ich przetwarzanie stanowi naruszenie art. 71, art. 72 ust. 1 lub art. 76 lub gdy operacyjne dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego, któremu podlega administrator.3.
Zamiast usunięcia, administrator ogranicza przetwarzanie, jeżeli:a)
osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych, a ich prawidłowości lub nieprawidłowości nie można stwierdzić lubb)
dane osobowe muszą zostać zachowane do celów dowodowych.Jeżeli przetwarzanie jest ograniczone na mocy akapitu pierwszego lit. a), przed zniesieniem tego ograniczenia administrator informuje o tym osobę, której dane dotyczą.
Dane, do których dostęp ograniczono, można przetwarzać wyłącznie w celu, ze względu na który ich usunięcie nie było możliwe.
4.
Administrator informuje na piśmie osobę, której dane dotyczą, o każdej odmowie sprostowania lub usunięcia danych osobowych lub ograniczenia przetwarzania danych oraz o przyczynach tej odmowy. Administrator może w całości lub w części ograniczyć udzielanie takich informacji, jeżeli takie ograniczenie jest działaniem niezbędnym i proporcjonalnym w społeczeństwie demokratycznym - przy uwzględnieniu praw podstawowych i uzasadnionych interesów danej osoby fizycznej - aby:a)
uniemożliwić utrudnianie czynności urzędowych lub postępowań sądowych, postępowań przygotowawczych lub procedur;b)
uniemożliwić zakłócanie zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania przestępstw i wykonywania kar;c)
chronić bezpieczeństwo publiczne państw członkowskich;d)
chronić bezpieczeństwo narodowe państw członkowskich;e)
chronić prawa i wolności innych osób, takich jak ofiary i świadkowie.Administrator informuje osobę, której dane dotyczą, o możliwości wniesienia skargi do Europejskiego Inspektora Ochrony Danych lub środka ochrony prawnej do Trybunału Sprawiedliwości.
5.
Administrator informuje o sprostowaniu nieprawidłowych operacyjnych danych osobowych właściwy organ, od którego pochodzą nieprawidłowe operacyjne dane osobowe.6.
W przypadkach sprostowania lub usunięcia operacyjnych danych osobowych lub ograniczenia ich przetwarzania na podstawie ust. 1, 2 lub 3 administrator powiadamia o tym odbiorców i informuje ich, że muszą dokonać sprostowania lub usunięcia operacyjnych danych osobowych, lub ograniczyć przetwarzanie operacyjnych danych osobowych, za które odpowiadają.Prawo dostępu w postępowaniach przygotowawczych i postępowaniach karnych
Jeżeli operacyjne dane osobowe pochodzą od właściwego organu" organy i jednostki organizacyjnej Unii - przed podjęciem decyzji o prawie dostępu osoby, której dane dotyczą - sprawdzają wraz z zainteresowanym właściwym organem, czy takie dane osobowe są ujęte w orzeczeniu sądowym, protokole lub akcie sprawy przetwarzanym w toku postępowania przygotowawczego lub postępowania karnego w państwie członkowskim tego właściwego organu. W takim przypadku decyzja w sprawie prawa dostępu jest podejmowana w porozumieniu i w ścisłej współpracy z zainteresowanym właściwym organem.
Wykonywanie praw osoby, której dane dotyczą, i weryfikacja przez Europejskiego Inspektora Ochrony Danych
1.
W przypadkach, o których mowa w art. 79 ust. 3, art. 81 i art. 82 ust. 4, osoba, której dane dotyczą, może wykonywać swoje prawa także za pośrednictwem Europejskiego Inspektora Ochrony Danych.2.
Administrator informuje osobę, której dane dotyczą, o możliwości wykonywania przysługujących jej praw za pośrednictwem Europejskiego Inspektora Ochrony Danych na mocy ust. 1.3.
W przypadku wykonywania prawa, o którym mowa w ust. 1, Europejski Inspektor Ochrony Danych informuje osobę, której dane dotyczą, przynajmniej o fakcie przeprowadzenia wszelkich niezbędnych weryfikacji lub przeglądu. Europejski Inspektor Ochrony Danych informuje także osobę, której dane dotyczą, o przysługującym jej prawie do wniesienia środka ochrony prawnej do Trybunału Sprawiedliwości.Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych
1.
Uwzględniając stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania, a także wynikające z przetwarzania ryzyko (o różnym prawdopodobieństwie i wadze) naruszenia praw i wolności osób fizycznych, zarówno w czasie określania sposobów przetwarzania, jak i w czasie samego przetwarzania, administrator wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, które zostały zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, skutecznie oraz w celu zapewnienia niezbędnych zabezpieczeń przy przetwarzaniu, tak by spełnić wymogi niniejszego rozporządzenia i aktu prawnego ustanawiającego tego administratora oraz chronić prawa osób, których dane dotyczą.2.
Administrator wdraża odpowiednie środki techniczne i organizacyjne w celu zapewnienia, że domyślnie przetwarzane będą wyłącznie te operacyjne dane osobowe, które są adekwatne, stosowne i nienadmierne w stosunku do celu przetwarzania. Obowiązek ten odnosi się do ilości gromadzonych operacyjnych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie operacyjne dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.Współadministratorzy
1.
Jeżeli co najmniej dwóch administratorów albo jeden lub większa liczba administratorów wraz z jednym lub większą liczbą administratorów innych, niż instytucje i organy Unii, wspólnie ustalają cele i sposoby przetwarzania, są oni współadministratorami. W drodze wspólnych uzgodnień współadministratorzy w przejrzysty sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków ochrony danych, w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw, oraz ich obowiązków w odniesieniu do podawania informacji, o których mowa w art. 79, chyba że - i w zakresie, w jakim - przypadające im obowiązki i ich zakres określa prawo Unii lub prawo państwa członkowskiego, któremu administratorzy ci podlegają. W uzgodnieniach można wskazać punkt kontaktowy dla osób, których dane dotyczą.2.
Uzgodnienia, o których mowa w ust. 1, odzwierciedlają odpowiednie zakresy obowiązków współadministratorów oraz relacje pomiędzy nimi a osobą, której dane dotyczą. Zasadnicza treść uzgodnień jest udostępniana osobie, której dane dotyczą.3.
Niezależnie od uzgodnień, o których mowa w ust. 1, osoba, której dane dotyczą, może wykonywać przysługujące jej prawa wynikające z niniejszego rozporządzenia wobec każdego z administratorów.Podmiot przetwarzający
1.
Jeżeli przetwarzanie ma odbywać się w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i aktu prawnego ustanawiającego administratora oraz chroniło prawa osób, których dane dotyczą.2.
Podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.3.
Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego aktu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj operacyjnych danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Ta umowa lub inny akt prawny stanowią w szczególności, że podmiot przetwarzający:a)
działa wyłącznie zgodnie z poleceniami administratora;b)
zapewnia, że osoby upoważnione do przetwarzania operacyjnych danych osobowych zobowiążą się do zachowania poufności lub będą podlegały odpowiedniemu ustawowemu obowiązkowi zachowania poufności;c)
wszelkimi odpowiednimi sposobami wspiera administratora w przestrzeganiu przepisów o prawach osoby, której dane dotyczą;d)
po zakończeniu świadczenia usług związanych z przetwarzaniem, w zależności od decyzji administratora, usuwa lub zwraca administratorowi wszelkie operacyjne dane osobowe oraz usuwa wszelkie istniejące kopie tych danych, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie operacyjnych danych osobowych;e)
udostępnia administratorowi wszelkie informacje niezbędne do wykazania wywiązywania się z obowiązków ustanowionych w niniejszym artykule;f)
przestrzega warunków, o których mowa w ust. 2 oraz w niniejszym ustępie, dotyczących zaangażowania innego podmiotu przetwarzającego.4.
Umowa lub inny akt prawny, o których mowa w ust. 3, mają formę pisemną, w tym formę elektroniczną.5.
Jeżeli podmiot przetwarzający naruszy niniejsze rozporządzenie lub akt prawny ustanawiający administratora określając cele i sposoby przetwarzania, uznaje się go za administratora w odniesieniu do tego przetwarzania.Ewidencja czynności
1.
Administrator prowadzi ewidencję następujących operacji przetwarzania prowadzonych w zautomatyzowanych systemach przetwarzania: zbieranie, modyfikowanie, dostęp, przeglądanie, ujawnianie wraz z przekazywaniem, łączenie i usuwanie operacyjnych danych osobowych. Ewidencja przeglądania i ujawniania pozwala ustalić zasadność oraz datę i godzinę przeprowadzenia takich operacji, tożsamość osoby, która przeglądała lub ujawniła operacyjne dane osobowe, oraz, w miarę możliwości, tożsamość odbiorców takich operacyjnych danych osobowych.2.
Ewidencję wykorzystuje się wyłącznie do weryfikacji zgodności przetwarzania z prawem, do monitorowania własnej działalności, zapewnienia integralności i bezpieczeństwa operacyjnych danych osobowych oraz na potrzeby postępowania karnego. Wpisy do ewidencji są usuwane po trzech latach, chyba że są wciąż potrzebne do trwających kontroli.3.
Administrator udostępnia ewidencję swojemu inspektorowi ochrony danych oraz Europejskiemu Inspektorowi Ochrony Danych na żądanie.Ocena skutków dla ochrony danych
1.
Jeżeli dany rodzaj przetwarzania - w szczególności z użyciem nowych technologii - ze względu na swój charakter, zakres, kontekst i cele może skutkować powstaniem wysokiego ryzyka naruszenia praw i wolności osób fizycznych, administrator przed przeprowadzeniem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania pod kątem ochrony operacyjnych danych osobowych.2.
Ocena, o której mowa w ust. 1, zawiera co najmniej ogólny opis planowanych operacji przetwarzania, ocenę ryzyka naruszenia praw i wolności osób, których dane dotyczą, środki planowane w celu zaradzenia takiemu ryzyku, zabezpieczenia, środki i mechanizmy bezpieczeństwa mające zapewnić ochronę operacyjnych danych osobowych i wykazać zgodność z przepisami dotyczącymi ochrony danych, z uwzględnieniem praw i uzasadnionych interesów osób, których dane dotyczą, i innych zainteresowanych osób.Uprzednie konsultacje z Europejskim Inspektorem Ochrony Danych
1.
Administrator konsultuje się z Europejskim Inspektorem Ochrony Danych przed przeprowadzeniem przetwarzania, które będzie częścią nowego systemu zbioru danych, w sytuacjach gdy:a)
ocena skutków dla ochrony danych, o której mowa w art. 89, wykaże, że przetwarzanie powodowałoby wysokie ryzyko naruszenia w razie niepodjęcia przez administratora środków w celu zminimalizowania tego ryzyka lubb)
odnośny rodzaj przetwarzania - zwłaszcza z użyciem nowych technologii, mechanizmów lub procedur - stwarza wysokie ryzyko naruszenia praw i wolności osób, których dane dotyczą.2.
Europejski Inspektor Ochrony Danych może sporządzić wykaz operacji przetwarzania, które wymagają uprzednich konsultacji zgodnie z ust. 1.3.
Administrator przedstawia Europejskiemu Inspektorowi Ochrony Danych ocenę skutków dla ochrony danych, o której mowa w art. 89, oraz - na jego wniosek - wszelkie inne informacje umożliwiające Europejskiemu Inspektorowi Ochrony Danych ocenę zgodności przetwarzania z przepisami, w szczególności ocenę zagrożenia ochrony operacyjnych danych osobowych osoby, której dane dotyczą, oraz ocenę powiązanych zabezpieczeń.4.
Jeżeli Europejski Inspektor Ochrony Danych jest zdania, że zamierzone przetwarzanie, o którym mowa w ust. 1, stanowiłoby naruszenie niniejszego rozporządzenia lub aktu prawnego ustanawiającego organ lub jednostkę organizacyjną Unii - w szczególności gdy administrator niedostatecznie zidentyfikował lub zminimalizował ryzyko - Europejski Inspektor Ochrony Danych w terminie do sześciu tygodni po otrzymaniu wniosku o konsultacje udziela administratorowi pisemnej porady. Termin ten można przedłużyć o kolejny miesiąc ze względu na złożony charakter zamierzonego przetwarzania. Europejski Inspektor Ochrony Danych informuje administratora o takim przedłużeniu w terminie jednego miesiąca od otrzymania wniosku w sprawie konsultacji, z podaniem przyczyn tego opóźnienia.Bezpieczeństwo przetwarzania operacyjnych danych osobowych
1.
Uwzględniając stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko - o różnym prawdopodobieństwie i wadze - naruszenia praw i wolności osób fizycznych, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne dla zagwarantowania poziomu bezpieczeństwa odpowiadającego temu ryzyku, zwłaszcza jeżeli chodzi o przetwarzanie szczególnych kategorii operacyjnych danych osobowych.2.
W odniesieniu do przetwarzania zautomatyzowanego administrator i podmiot przetwarzający, po ocenie ryzyka, wdrażają środki, które:a)
uniemożliwią osobom nieuprawnionym dostęp do sprzętu używanego do przetwarzania ("kontrola dostępu do sprzętu");b)
zapobiegną nieupoważnionemu odczytywaniu, kopiowaniu, modyfikowaniu lub usuwaniu nośników danych ("kontrola nośników danych");c)
zapobiegną nieupoważnionemu wprowadzaniu operacyjnych danych osobowych oraz nieupoważnionemu kontrolowaniu, zmienianiu lub usuwaniu przechowywanych operacyjnych danych osobowych ("kontrola przechowywania");d)
zapobiegną korzystaniu z systemów zautomatyzowanego przetwarzania przez osoby nieuprawnione, używające sprzętu do przesyłu danych ("kontrola użytkowników");e)
zapewnią osobom uprawnionym do korzystania z systemu zautomatyzowanego przetwarzania dostęp wyłącznie do operacyjnych danych osobowych objętych posiadanym przez nie uprawnieniem ("kontrola dostępu do danych");f)
pozwolą zweryfikować i ustalić podmioty, którym operacyjne dane osobowe zostały lub mogą zostać przesłane, lub udostępnione za pomocą przesyłu danych ("kontrola przesyłu danych");g)
pozwolą na późniejszym etapie zweryfikować i stwierdzić, które operacyjne dane osobowe zostały wprowadzone do systemów zautomatyzowanego przetwarzania operacyjnych danych osobowych, kiedy i przez kogo ("kontrola wprowadzania danych");h)
uniemożliwią nieuprawnione odczytywanie, kopiowanie, modyfikację lub usuwanie operacyjnych danych osobowych podczas przekazów operacyjnych danych osobowych lub podczas przewożenia nośników danych ("kontrola transportu");i)
zapewnią - w razie awarii - możliwość przywrócenia zainstalowanych systemów ("odzyskiwanie");j)
zapewnią wykonywanie przez system jego funkcji i zgłaszanie występujących w nich błędów (niezawodność) oraz zapobieżenie uszkodzeniom przechowywanych operacyjnych danych osobowych spowodowanym błędnym działaniem systemu ("integralność");Zgłaszanie naruszenia ochrony danych osobowych Europejskiemu Inspektorowi Ochrony Danych
1.
W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki - w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - zgłasza je Europejskiemu Inspektorowi Ochrony Danych, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego Europejskiemu Inspektorowi Ochrony Danych po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.2.
Zgłoszenie, o którym mowa w ust. 1, musi co najmniej zawierać:a)
opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazanie kategorii i przybliżonej liczby osób, których dane dotyczą, oraz kategorii i przybliżonej liczb wykazów operacyjnych danych osobowych, których dotyczy naruszenie;b)
imię i nazwisko oraz dane kontaktowe inspektora ochrony danych;c)
opis możliwych konsekwencji naruszenia ochrony danych osobowych;d)
opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków mających na celu zminimalizowania jego ewentualnych negatywnych skutków.3.
Jeżeli i o ile informacji, o których mowa w ust. 2, nie da się przekazać w tym samym czasie, można je przekazywać sukcesywnie bez zbędnej zwłoki.4.
Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, o których mowa w ust. 1, wraz z okolicznościami faktycznymi naruszenia danych osobowych, jego skutkami oraz podjętymi działaniami naprawczymi. Dokumentacja ta umożliwia Europejskiemu Inspektorowi Ochrony Danych weryfikowanie przestrzegania niniejszego artykułu.5.
W przypadku gdy naruszenie ochrony operacyjnych danych osobowych dotyczy danych osobowych przesłanych przez właściwe organy lub do nich, administrator przekazuje bez zbędnej zwłoki informacje, o których mowa w ust. 2, właściwym organom.Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych
1.
Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.2.
Skierowane do osoby, której dane dotyczą, zawiadomienie wskazane w ust. 1 niniejszego artykułu opisuje jasnym i prostym językiem charakter naruszenia ochrony danych osobowych i zawiera co najmniej informacje i zalecenia, o których mowa w art. 92 ust. 2 lit. b), c) i d).3.
Skierowane do osoby, której dane dotyczą, zawiadomienie wskazane w ust. 1 nie jest wymagane, jeżeli spełniony został którykolwiek z następujących warunków:a)
administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do operacyjnych danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych operacyjnych danych osobowych;b)
administrator zastosował następnie środki eliminujące prawdopodobieństwo wystąpienia wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w ust. 1;c)
wysłanie zawiadomienia wymagałoby niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje komunikat publiczny lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.4.
Jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, Europejski Inspektor Ochrony Danych - biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko - może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków, o których mowa w ust. 3.5.
Skierowane do osoby, której dane dotyczą, zawiadomienie wskazane w ust. 1 można opóźnić, ograniczyć lub pominąć, z zastrzeżeniem warunków i z powodów wskazanych w art. 79 ust. 3.Przekazywanie operacyjnych danych osobowych państwom trzecim i organizacjom międzynarodowym
1.
Z zastrzeżeniem ograniczeń i warunków określonych w aktach prawnych ustanawiających organy lub jednostki organizacyjne Unii, administrator może przekazać operacyjne dane osobowe organowi państwa trzeciego lub organizacji międzynarodowej w zakresie, w jakim przekazanie takie jest niezbędne do wykonywania zadań administratora i jedynie w przypadku gdy spełniono warunki określone w niniejszym artykule, a mianowicie:a)
Komisja przyjęła decyzję stwierdzającą odpowiedni stopień ochrony na podstawie art. 36 ust. 3 dyrektywy (UE) 2016/ 680 uznającą, że dane państwo trzecie lub terytorium, lub sektor, w którym odbywa się przetwarzanie danych w tym państwie trzecim, lub dana organizacja międzynarodowa zapewnia odpowiedni poziom ochrony;b)
w razie braku decyzji Komisji stwierdzającej odpowiedni stopień ochrony, o której mowa w lit. a), została zawarta umowa międzynarodowa między Unią a danym państwem trzecim lub organizacją międzynarodową na podstawie art. 218 TFUE zakładająca odpowiednie zabezpieczenia w odniesieniu do ochrony prywatności oraz podstawowych praw i wolności osób fizycznych;c)
w razie braku decyzji Komisji stwierdzającej odpowiedni stopień ochrony, o której mowa w lit. a), lub porozumienia międzynarodowego, o którym mowa w lit. b), została zawarta umowa o współpracy pozwalająca na wymianę operacyjnych danych osobowych przed rozpoczęciem stosowania aktu prawnego ustanawiającego organ lub jednostkę organizacyjną Unii między tym organem lub tą jednostką organizacyjną Unii a danym państwem trzecim.2.
Akty prawne ustanawiające organy i jednostki organizacyjne Unii mogą zachować lub wprowadzić bardziej szczegółowe przepisy dotyczące warunków międzynarodowego przekazywania operacyjnych danych osobowych, zwłaszcza w odniesieniu do przekazywania danych na podstawie odpowiednich gwarancji i odstępstw w szczególnych sytuacjach.3.
Administrator publikuje na swojej stronie internetowej i uaktualnia wykaz decyzji stwierdzających odpowiedni stopień ochrony, o których mowa w ust. 1 lit. a), umów, porozumień administracyjnych i innych instrumentów dotyczących przekazywania operacyjnych danych osobowych zgodnie z ust. 1.4.
Administrator prowadzi szczegółową ewidencję wszystkich operacji przekazania dokonanych na mocy niniejszego artykułu.Tajemnica postępowania sądowego i postępowania karnego
Akty prawne ustanawiające organy i jednostki organizacyjne Unii wykonujące zadania wchodzące w zakres części trzeciej tytuł V rozdział 4 lub rozdział 5 TFUE, mogą zobowiązywać Europejskiego Inspektora Ochrony Danych, w ramach wykonywania jego uprawnień nadzorczych, do uwzględnienia w najwyższym stopniu tajemnicy postępowania sądowego i postępowania karnego, zgodnie z prawem Unii lub prawem państwa członkowskiego.
© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.