Wyłączenie stosowania RODO | Zgodnie z art. 2 Ustawy z dnia 10 maja 2018 roku o ochronie danychosobowych (Dz. U. z 2018 roku poz. 1000), w związku z art. 85 ust.1 i 2 rozporządzenia 2016/679, Do działalnoµci polegającej na redagowaniu, przygotowaniu,tworzeniu lub publikowaniu materiałów prasowych w rozumieniuustawy z dnia 26 stycznia 1984 r. − Prawo prasowe (Dz. U.poz. 24, z pó»n. zm.), a także do wypowiedzi w ramach działalnoµciliterackiej lub artystycznej nie stosuje się przepisów art. 5–9,art. 11, art. 13–16, art. 18–22, art. 27, art. 28 ust.2–10 oraz art. 30 rozporządzenia 2016/679 (RODO) Art.5 RODO Zasadydotyczące przetwarzania danych osobowych | 1.Dane osobowe muszą być: a)przetwarzane zgodnie z prawem, rzetelnie i w sposóbprzejrzysty dla osoby, której dane dotyczą („zgodnoµćz prawem, rzetelnoµć i przejrzystoµć”); b)zbierane w konkretnych, wyra»nych i prawnieuzasadnionych celach i nieprzetwarzane dalej w sposóbniezgodny z tymi celami; dalsze przetwarzanie do celówarchiwalnych w interesie publicznym, do celów badańnaukowych lub historycznych lub do celów statystycznychnie jest uznawane w myµl art. 89 ust. 1 zaniezgodne z pierwotnymi celami („ograniczeniecelu”); c)adekwatne, stosowne oraz ograniczone do tego, co niezbędne docelów, w których są przetwarzane („minimalizacjadanych”); d)prawidłowe i w razie potrzeby uaktualniane; należypodjąć wszelkie rozsądne działania, aby dane osobowe, które sąnieprawidłowe w µwietle celów ich przetwarzania, zostałyniezwłocznie usunięte lub sprostowane („prawidłowoµć”); e)przechowywane w formie umożliwiającej identyfikację osoby,której dane dotyczą, przez okres nie dłuższy, niż jest toniezbędne do celów, w których dane te są przetwarzane;dane osobowe można przechowywać przez okres dłuższy, o ilebędą one przetwarzane wyłącznie do celów archiwalnychw interesie publicznym, do celów badań naukowychlub historycznych lub do celów statystycznych na mocyart. 89 ust. 1, z zastrzeżeniem że wdrożonezostaną odpowiednie µrodki techniczne i organizacyjnewymagane na mocy niniejszego rozporządzenia w celu ochronypraw i wolnoµci osób, których dane dotyczą („ograniczenieprzechowywania”); f)przetwarzane w sposób zapewniający odpowiedniebezpieczeństwo danych osobowych, w tym ochronę przedniedozwolonym lub niezgodnym z prawem przetwarzaniem orazprzypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocąodpowiednich µrodków technicznych lub organizacyjnych(„integralnoµć i poufnoµć”). 2.Administrator jest odpowiedzialny za przestrzeganieprzepisów ust. 1 i musi być w staniewykazać ich przestrzeganie („rozliczalnoµć”). | Art.6 RODO
Zgodnoµćprzetwarzania z prawem.
| 1.Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy- i w takim zakresie, w jakim - spełniony jest co najmniejjeden z poniższych warunków: a)osoba, której dane dotyczą wyraziła zgodę na przetwarzanieswoich danych osobowych w jednym lub większej liczbieokreµlonych celów; b)przetwarzanie jest niezbędne do wykonania umowy, której stronąjest osoba, której dane dotyczą, lub do podjęcia działań nażądanie osoby, której dane dotyczą, przed zawarciem umowy; c)przetwarzanie jest niezbędne do wypełnienia obowiązku prawnegociążącego na administratorze; d)przetwarzanie jest niezbędne do ochrony żywotnych interesówosoby, której dane dotyczą, lub innej osoby fizycznej; e)przetwarzanie jest niezbędne do wykonania zadania realizowanegow interesie publicznym lub w ramach sprawowaniawładzy publicznej powierzonej administratorowi; f)przetwarzanie jest niezbędne do celów wynikających z prawnieuzasadnionych interesów realizowanych przez administratora lubprzez stronę trzecią, z wyjątkiem sytuacji, w którychnadrzędny charakter wobec tych interesów mają interesy lubpodstawowe prawa i wolnoµci osoby, której dane dotyczą,wymagające ochrony danych osobowych, w szczególnoµci gdyosoba, której dane dotyczą, jest dzieckiem. Akapitpierwszy lit. f) nie ma zastosowania do przetwarzania,którego dokonują organy publiczne w ramach realizacjiswoich zadań. 2.Państwa członkowskie mogą zachować lub wprowadzić bardziejszczegółowe przepisy, aby dostosować stosowanie przepisówniniejszego rozporządzenia w odniesieniu do przetwarzaniasłużącego wypełnieniu warunków okreµlonych w ust. 1 lit. c)i e); w tym celu mogą dokładniej okreµlić szczegółowewymogi przetwarzania i inne µrodki w celu zapewnieniazgodnoµci przetwarzania z prawem i jego rzetelnoµci,także w innych szczególnych sytuacjach związanychz przetwarzaniem przewidzianych w rozdziale IX. 3.Podstawa przetwarzania, o którym mowa w ust. 1 lit. c) i e),musi być okreµlona: a)w prawie Unii; lub b)w prawie państwa członkowskiego, któremu podlega administrator. Celprzetwarzania musi być okreµlony w tej podstawie prawnejlub, w przypadku przetwarzania, o którym mowaw ust. 1 lit. e) – musi być ononiezbędne do wykonania zadania realizowanego w interesiepublicznym lub w ramach sprawowania władzy publicznejpowierzonej administratorowi. Podstawa prawna może zawieraćprzepisy szczegółowe dostosowujące stosowanie przepisówniniejszego rozporządzenia, w tym: ogólne warunkizgodnoµci z prawem przetwarzania przez administratora;rodzaj danych podlegających przetwarzaniu; osoby, których danedotyczą; podmioty, którym można ujawnić dane osobowe; cele,w których można je ujawnić; ograniczenia celu; okresyprzechowywania; oraz operacje i procedury przetwarzania,w tym µrodki zapewniające zgodnoµć z prawemi rzetelnoµć przetwarzania, w tym w innychszczególnych sytuacjach związanych z przetwarzaniem,o których mowa w rozdziale IX. Prawo Unii lub prawopaństwa członkowskiego muszą służyć realizacji celu leżącegow interesie publicznym, oraz być proporcjonalne dowyznaczonego, prawnie uzasadnionego celu. 4.Jeżeli przetwarzanie w celu innym niż cel, w którym daneosobowe zostały zebrane, nie odbywa się na podstawie zgodyosoby, której dane dotyczą, ani prawa Unii lub prawa państwaczłonkowskiego stanowiących w demokratycznym społeczeństwieniezbędny i proporcjonalny µrodek służący zagwarantowaniucelów, o których mowa w art. 23 ust. 1, administrator - abyustalić, czy przetwarzanie w innym celu jest zgodne z celem, wktórym dane osobowe zostały pierwotnie zebrane - bierze poduwagę między innymi: a)wszelkie związki między celami, w których zebrano daneosobowe, a celami zamierzonego dalszego przetwarzania; b)kontekst, w którym zebrano dane osobowe, w szczególnoµcirelację między osobami, których dane dotyczą,a administratorem; c)charakter danych osobowych, w szczególnoµci czyprzetwarzane są szczególne kategorie danych osobowych zgodniez art. 9 lub dane osobowe dotyczące wyrokówskazujących i naruszeń prawa zgodnie z art. 10; d)ewentualne konsekwencje zamierzonego dalszego przetwarzania dlaosób, których dane dotyczą; e)istnienie odpowiednich zabezpieczeń, w tym ewentualnieszyfrowania lub pseudonimizacji. | Art.7 RODO Warunkiwyrażenia zgody. | 1.Jeżeli przetwarzanie odbywa się na podstawie zgody,administrator musi być w stanie wykazać, że osoba, którejdane dotyczą, wyraziła zgodę na przetwarzanie swoich danychosobowych. 2.Jeżeli osoba, której dane dotyczą, wyrażą zgodę w pisemnymoµwiadczeniu, które dotyczy także innych kwestii, zapytanieo zgodę musi zostać przedstawione w sposóbpozwalający wyra»nie odróżnić je od pozostałych kwestii,w zrozumiałej i łatwo dostępnej formie, jasnymi prostym językiem. Częµć takiego oµwiadczenia osoby,której dane dotyczą, stanowiąca naruszenie niniejszegorozporządzenia nie jest wiążąca. 3.Osoba, której dane dotyczą, ma prawo w dowolnym momenciewycofać zgodę. Wycofanie zgody nie wpływa na zgodnoµć z prawemprzetwarzania, którego dokonano na podstawie zgody przed jejwycofaniem. Osoba, której dane dotyczą, jest o tyminformowana, zanim wyrazi zgodę. Wycofanie zgody musi byćrównie łatwe jak jej wyrażenie. 4.Oceniając, czy zgodę wyrażono dobrowolnie, w jaknajwiększym stopniu uwzględnia się, czy między innymi od zgodyna przetwarzanie danych nie jest uzależnione wykonanie umowy,w tym µwiadczenie usługi, jeµli przetwarzanie danychosobowych nie jest niezbędne do wykonania tej umowy. | Art.8 RODO Warunkiwyrażenia zgody przez dziecko w przypadku usługspołeczeństwa informacyjnego | 1.Jeżeli zastosowanie ma art. 6 ust. 1 lit. a),w przypadku usług społeczeństwa informacyjnego oferowanychbezpoµrednio dziecku, zgodne z prawem jest przetwarzaniedanych osobowych dziecka, które ukończyło 16 lat. Jeżelidziecko nie ukończyło 16 lat, takie przetwarzanie jest zgodnez prawem wyłącznie w przypadkach, gdy zgodę wyraziłalub zaaprobowała ją osoba sprawująca władzę rodzicielską lubopiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonejzgody. Państwaczłonkowskie mogą przewidzieć w swoim prawie niższągranicę wiekową, która musi wynosić co najmniej 13 lat. 2.W takich przypadkach administrator, uwzględniając dostępnątechnologię, podejmuje rozsądne starania, by zweryfikować, czyosoba sprawująca władzę rodzicielską lub opiekę nad dzieckiemwyraziła zgodę lub ją zaaprobowała. 3.Ust. 1 nie wpływa na ogólne przepisy prawa umów państwczłonkowskich, takie jak przepisy o ważnoµci, zawieraniulub skutkach umowy wobec dziecka. | Art.9 RODO Przetwarzanieszczególnych kategorii danych osobowych | 1.Zabrania się przetwarzania danych osobowych ujawniającychpochodzenie rasowe lub etniczne, poglądy polityczne,przekonania religijne lub µwiatopoglądowe, przynależnoµć dozwiązków zawodowych oraz przetwarzania danych genetycznych,danych biometrycznych w celu jednoznacznegozidentyfikowania osoby fizycznej lub danych dotyczącychzdrowia, seksualnoµci lub orientacji seksualnej tej osoby. 2.Ust. 1 nie ma zastosowania, jeżeli spełniony jest jeden zponiższych warunków: a) osoba, której dane dotyczą, wyraziła wyra»ną zgodę naprzetwarzanie tych danych osobowych w jednym lub kilkukonkretnych celach, chyba że prawo Unii lub prawo państwaczłonkowskiego przewidują, iż osoba, której dane dotyczą, niemoże uchylić zakazu, o którym mowa w ust. 1; b) przetwarzanie jest niezbędne do wypełnienia obowiązkówi wykonywania szczególnych praw przez administratora lubosobę, której dane dotyczą, w dziedzinie prawa pracy,zabezpieczenia społecznego i ochrony socjalnej, o ilejest to dozwolone prawem Unii lub prawem państwaczłonkowskiego, lub porozumieniem zbiorowym na mocy prawapaństwa członkowskiego przewidującymi odpowiedniezabezpieczenia praw podstawowych i interesów osoby, którejdane dotyczą; c) przetwarzanie jest niezbędne do ochrony żywotnych interesówosoby, której dane dotyczą, lub innej osoby fizycznej, a osoba,której dane dotyczą, jest fizycznie lub prawnie niezdolna dowyrażenia zgody; d) przetwarzania dokonuje się w ramach uprawnionejdziałalnoµci prowadzonej z zachowaniem odpowiednichzabezpieczeń przez fundację, stowarzyszenie lub innyniezarobkowy podmiot o celach politycznych,µwiatopoglądowych, religijnych lub związkowych, pod warunkiemże przetwarzanie dotyczy wyłącznie członków lub byłych członkówtego podmiotu lub osób utrzymujących z nim stałe kontaktyw związku z jego celami oraz że dane osobowe nie sąujawniane poza tym podmiotem bez zgody osób, których danedotyczą; e) przetwarzanie dotyczy danych osobowych w sposób oczywistyupublicznionych przez osobę, której dane dotyczą; f) przetwarzanie jest niezbędne do ustalenia, dochodzenia lubobrony roszczeń lub w ramach sprawowania wymiarusprawiedliwoµci przez sądy; g) przetwarzanie jest niezbędne ze względów związanych z ważnyminteresem publicznym, na podstawie prawa Unii lub prawa państwaczłonkowskiego, które są proporcjonalne do wyznaczonego celu,nie naruszają istoty prawa do ochrony danych i przewidująodpowiednie i konkretne µrodki ochrony praw podstawowychi interesów osoby, której dane dotyczą; h) przetwarzanie jest niezbędne do celów profilaktyki zdrowotnejlub medycyny pracy, do oceny zdolnoµci pracownika do pracy,diagnozy medycznej, zapewnienia opieki zdrowotnej lubzabezpieczenia społecznego, leczenia lub zarządzania systemamii usługami opieki zdrowotnej lub zabezpieczeniaspołecznego na podstawie prawa Unii lub prawa państwaczłonkowskiego lub zgodnie z umową z pracownikiemsłużby zdrowia i z zastrzeżeniem warunkówi zabezpieczeń, o których mowa w ust. 3; i) przetwarzanie jest niezbędne ze względów związanych zinteresem publicznym w dziedzinie zdrowia publicznego, takichjak ochrona przed poważnymi transgranicznymi zagrożeniamizdrowotnymi lub zapewnienie wysokich standardów jakoµci ibezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lubwyrobów medycznych, na podstawie prawa Unii lub prawa państwaczłonkowskiego, które przewidują odpowiednie, konkretne µrodkiochrony praw i wolnoµci osób, których dane dotyczą, wszczególnoµci tajemnicę zawodową; j) przetwarzanie jest niezbędne do celów archiwalnych w interesiepublicznym, do celów badań naukowych lub historycznych lubdo celów statystycznych zgodnie z art. 89 ust. 1,na podstawie prawa Unii lub prawa państwa członkowskiego, któresą proporcjonalne do wyznaczonego celu, nie naruszają istotyprawa do ochrony danych i przewidują odpowiednie,konkretne µrodki ochrony praw podstawowych i interesówosoby, której dane dotyczą. 3.Dane osobowe, o których mowa w ust. 1, mogą byćprzetwarzane do celów, o których mowa w ust. 2 lit. h),jeżeli są przetwarzane przez – lub na odpowiedzialnoµć –pracownika podlegającego obowiązkowi zachowania tajemnicyzawodowej na mocy prawa Unii lub prawa państwa członkowskiego,lub przepisów ustanowionych przez właµciwe organy krajowe lubprzez inną osobę również podlegającą obowiązkowi zachowaniatajemnicy zawodowej na mocy prawa Unii lub prawa państwaczłonkowskiego, lub przepisów ustanowionych przez właµciweorgany krajowe. 4.Państwa członkowskie mogą zachować lub wprowadzić dalszewarunki, w tym ograniczenia w odniesieniu doprzetwarzania danych genetycznych, danych biometrycznych lubdanych | Art.11RODO Przetwarzanieniewymagające identyfikacji | 1.Jeżeli cele, w których administrator przetwarza daneosobowe, nie wymagają lub już nie wymagają zidentyfikowaniaprzez niego osoby, której dane dotyczą, administrator nie maobowiązku zachowania, uzyskania ani przetworzenia dodatkowychinformacji w celu zidentyfikowania osoby, której danedotyczą, wyłącznie po to, by zastosować się do niniejszegorozporządzenia. 2.Jeżeli w przypadkach, o których mowa w ust. 1niniejszego artykułu, administrator może wykazać, że nie jestw stanie zidentyfikować osoby, której dane dotyczą,w miarę możliwoµci informuje o tym osobę, której danedotyczą. W takich przypadkach zastosowania nie mająart. 15–20, chyba że osoba, której dane dotyczą,w celu wykonania praw przysługujących jej na mocytych artykułów dostarczy dodatkowych informacji pozwalającychją zidentyfikować. | Art.13 RODO Informacjepodawane w przypadku zbierania danych od osoby, którejdane dotyczą | 1.Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są odtej osoby, administrator podczas pozyskiwania danych osobowychpodaje jej wszystkie następujące informacje: a)swoją tożsamoµć i dane kontaktowe oraz, gdy ma tozastosowanie, tożsamoµć i dane kontaktowe swojegoprzedstawiciela; b)gdy ma to zastosowanie – dane kontaktowe inspektoraochrony danych; c)cele przetwarzania danych osobowych, oraz podstawę prawnąprzetwarzania; d)jeżeli przetwarzanie odbywa się na podstawieart. 6 ust. 1 lit. f) – prawnieuzasadnione interesy realizowane przez administratora lub przezstronę trzecią; e)informacje o odbiorcach danych osobowych lub o kategoriachodbiorców, jeżeli istnieją; f)gdy ma to zastosowanie – informacje o zamiarzeprzekazania danych osobowych do państwa trzeciego luborganizacji międzynarodowej oraz o stwierdzeniu lub brakustwierdzenia przez Komisję odpowiedniego stopnia ochrony lubw przypadku przekazania, o którym mowa w art. 46,art. 47 lub art. 49 ust. 1 akapitdrugi, wzmiankę o odpowiednich lub właµciwychzabezpieczeniach oraz o możliwoµciach uzyskania kopiidanych lub o miejscu udostępnienia danych. 2.Poza informacjami, o których mowa w ust. 1, podczaspozyskiwania danych osobowych administrator podaje osobie,której dane dotyczą, następujące inne informacje niezbędne dozapewnienia rzetelnoµci i przejrzystoµci przetwarzania: a)okres, przez który dane osobowe będą przechowywane, a gdynie jest to możliwe, kryteria ustalania tego okresu; b)informacje o prawie do żądania od administratora dostępudo danych osobowych dotyczących osoby, której dane dotyczą, ichsprostowania, usunięcia lub ograniczenia przetwarzania lubo prawie do wniesienia sprzeciwu wobec przetwarzania,a także o prawie do przenoszenia danych; c)jeżeli przetwarzanie odbywa się na podstawieart. 6 ust. 1 lit. a) lubart. 9 ust. 2 lit. a) –informacje o prawie do cofnięcia zgody w dowolnymmomencie bez wpływu na zgodnoµć z prawem przetwarzania,którego dokonano na podstawie zgody przed jej cofnięciem; d)informacje o prawie wniesienia skargi do organunadzorczego; e)informację, czy podanie danych osobowych jest wymogiemustawowym lub umownym lub warunkiem zawarcia umowy oraz czyosoba, której dane dotyczą, jest zobowiązana do ich podaniai jakie są ewentualne konsekwencje niepodania danych; f)informacje o zautomatyzowanym podejmowaniu decyzji, w tymo profilowaniu, o którym mowa w art. 22 ust. 1i 4, oraz – przynajmniej w tych przypadkach –istotne informacje o zasadach ich podejmowania, a takżeo znaczeniu i przewidywanych konsekwencjach takiegoprzetwarzania dla osoby, której dane dotyczą. 3.Jeżeli administrator planuje dalej przetwarzać dane osobowew celu innym niż cel, w którym dane osobowe zostałyzebrane, przed takim dalszym przetwarzaniem informuje on osobę,której dane dotyczą, o tym innym celu oraz udziela jejwszelkich innych stosownych informacji, o których mowaw ust. 2. 4.Ust. 1, 2 i 3 nie mają zastosowania, gdy –i w zakresie, w jakim – osoba, której danedotyczą, dysponuje już tymi informacjami. | Art.14 RODO Informacjepodawane w przypadku pozyskiwania danych osobowychw sposób inny niż od osoby, której dane dotyczą | 1.Jeżeli danych osobowych nie pozyskano od osoby, której danedotyczą, administrator podaje osobie, której dane dotyczą,następujące informacje: a)swoją tożsamoµć i dane kontaktowe oraz, gdy ma tozastosowanie, tożsamoµć i dane kontaktowe swojegoprzedstawiciela; b)gdy ma to zastosowanie – dane kontaktowe inspektoraochrony danych; c)cele przetwarzania, do których mają posłużyć dane osobowe, orazpodstawę prawną przetwarzania; d)kategorie odnoµnych danych osobowych; e)informacje o odbiorcach danych osobowych lub o kategoriachodbiorców, jeżeli istnieją; f)gdy ma to zastosowanie – informacje o zamiarzeprzekazania danych osobowych odbiorcy w państwie trzecimlub organizacji międzynarodowej oraz o stwierdzeniu lubbraku stwierdzenia przez Komisję odpowiedniego stopnia ochronylub w przypadku przekazania, o którym mowa w art. 46,art. 47 lub art. 49 ust. 1 akapitdrugi, wzmiankę o odpowiednich lub właµciwychzabezpieczeniach oraz o możliwoµciach uzyskania kopiidanych lub o miejscu udostępnienia danych. 2.Poza informacjami, o których mowa w ust. 1,administrator podaje osobie, której dane dotyczą, następująceinformacje niezbędne do zapewnienia rzetelnoµcii przejrzystoµci przetwarzania wobec osoby, której danedotyczą: a)okres, przez który dane osobowe będą przechowywane, a gdynie jest to możliwe, kryteria ustalania tego okresu; b)jeżeli przetwarzanie odbywa się na podstawieart. 6 ust. 1 lit. f) – prawnieuzasadnione interesy realizowane przez administratora lub przezstronę trzecią; c)informacje o prawie do żądania od administratora dostępudo danych osobowych dotyczących osoby, której dane dotyczą, ichsprostowania, usunięcia lub ograniczenia przetwarzania orazo prawie do wniesienia sprzeciwu wobec przetwarzania,a także o prawie do przenoszenia danych; d)jeżeli przetwarzanie odbywa się na podstawieart. 6 ust. 1 lit. a) lubart. 9 ust. 2 lit. a) –informacje o prawie do cofnięcia zgody w dowolnymmomencie bez wpływu na zgodnoµć z prawem przetwarzania,którego dokonano na podstawie zgody przed jej cofnięciem; e)informacje o prawie wniesienia skargi do organunadzorczego; f)»ródło pochodzenia danych osobowych, a gdy ma tozastosowanie – czy pochodzą one ze »ródeł publiczniedostępnych; g)informacje o zautomatyzowanym podejmowaniu decyzji, w tymo profilowaniu, o którym mowa w art. 22 ust. 1i 4, oraz – przynajmniej w tych przypadkach –istotne informacje o zasadach ich podejmowania, a takżeo znaczeniu i przewidywanych konsekwencjach takiegoprzetwarzania dla osoby, której dane dotyczą. 3.Informacje, o których mowa w ust. 1 i 2,administrator podaje: a)w rozsądnym terminie po pozyskaniu danych osobowych –najpó»niej w ciągu miesiąca – mając na uwadzekonkretne okolicznoµci przetwarzania danych osobowych; b)jeżeli dane osobowe mają być stosowane do komunikacji z osobą,której dane dotyczą – najpó»niej przy pierwszej takiejkomunikacji z osobą, której dane dotyczą; lub c)jeżeli planuje się ujawnić dane osobowe innemu odbiorcy –najpó»niej przy ich pierwszym ujawnieniu. 4.Jeżeli administrator planuje dalej przetwarzać dane osobowew celu innym niż cel, w którym te dane zostałypozyskane, przed takim dalszym przetwarzaniem informuje onosobę, której dane dotyczą, o tym innym celu oraz udzielajej wszelkich innych stosownych informacji, o których mowaw ust. 2. 5.Ust. 1– 4 nie mają zastosowania, gdy –i w zakresie, w jakim: a)osoba, której dane dotyczą, dysponuje już tymi informacjami; b)udzielenie takich informacji okazuje się niemożliwe lubwymagałoby niewspółmiernie dużego wysiłku; w szczególnoµciw przypadku przetwarzania do celów archiwalnychw interesie publicznym, do celów badań naukowychlub historycznych lub do celów statystycznych,z zastrzeżeniem warunków i zabezpieczeń, o którychmowa w art. 89 ust. 1, lub o ileobowiązek, o którym mowa w ust. 1 niniejszegoartykułu, może uniemożliwić lub poważnie utrudnić realizacjęcelów takiego przetwarzania. W takich przypadkachadministrator podejmuje odpowiednie µrodki, by chronić prawai wolnoµci oraz prawnie uzasadnione interesy osoby, którejdane dotyczą, w tym udostępnia informacje publicznie; c)pozyskiwanie lub ujawnianie jest wyra»nie uregulowane prawemUnii lub prawem państwa członkowskiego, któremu podlegaadministrator, przewidującym odpowiednie µrodki chroniąceprawnie uzasadnione interesy osoby, której dane dotyczą; lub d)dane osobowe muszą pozostać poufne zgodnie z obowiązkiemzachowania tajemnicy zawodowej przewidzianym w prawie Uniilub w prawie państwa członkowskiego, w tym ustawowymobowiązkiem zachowania tajemnicy. | Art.15 RODO Prawodostępu przysługujące osobie, której dane dotyczą | 1.Osoba, której dane dotyczą, jest uprawniona do uzyskania odadministratora potwierdzenia, czy przetwarzane są dane osobowejej dotyczące, a jeżeli ma to miejsce, jest uprawniona douzyskania dostępu do nich oraz następujących informacji: a)cele przetwarzania; b)kategorie odnoµnych danych osobowych; c)informacje o odbiorcach lub kategoriach odbiorców, którymdane osobowe zostały lub zostaną ujawnione, w szczególnoµcio odbiorcach w państwach trzecich lub organizacjachmiędzynarodowych; d)w miarę możliwoµci planowany okres przechowywania danychosobowych, a gdy nie jest to możliwe, kryteria ustalaniatego okresu; e)informacje o prawie do żądania od administratorasprostowania, usunięcia lub ograniczenia przetwarzania danychosobowych dotyczącego osoby, której dane dotyczą, oraz downiesienia sprzeciwu wobec takiego przetwarzania; f)informacje o prawie wniesienia skargi do organunadzorczego; g)jeżeli dane osobowe nie zostały zebrane od osoby, której danedotyczą – wszelkie dostępne informacje o ich »ródle; h)informacje o zautomatyzowanym podejmowaniu decyzji, w tymo profilowaniu, o którym mowa w art. 22 ust. 1i 4, oraz – przynajmniej w tych przypadkach –istotne informacje o zasadach ich podejmowania, a takżeo znaczeniu i przewidywanych konsekwencjach takiegoprzetwarzania dla osoby, której dane dotyczą. 2.Jeżeli dane osobowe są przekazywane do państwa trzeciego luborganizacji międzynarodowej, osoba, której dane dotyczą, maprawo zostać poinformowana o odpowiednichzabezpieczeniach, o których mowa w art. 46,związanych z przekazaniem. 3.Administrator dostarcza osobie, której dane dotyczą, kopiędanych osobowych podlegających przetwarzaniu. Za wszelkiekolejne kopie, o które zwróci się osoba, której danedotyczą, administrator może pobrać opłatę w rozsądnejwysokoµci wynikającej z kosztów administracyjnych. Jeżeliosoba, której dane dotyczą, zwraca się o kopię drogąelektroniczną i jeżeli nie zaznaczy inaczej, informacjiudziela się powszechnie stosowaną drogą elektroniczną. 4.Prawo do uzyskania kopii, o której mowa w ust. 3,nie może niekorzystnie wpływać na prawa i wolnoµci innych.
| Art.16 RODO Prawodo sprostowania danych
| Osoba,której dane dotyczą, ma prawo żądania od administratoraniezwłocznego sprostowania dotyczących jej danych osobowych,które są nieprawidłowe. Z uwzględnieniem celów przetwarzania,osoba, której dane dotyczą, ma prawo żądania uzupełnienianiekompletnych danych osobowych, w tym poprzez przedstawieniedodatkowego oµwiadczenia.
| Art.18 RODO Prawodo ograniczenia przetwarzania
| 1.Osoba, której dane dotyczą, ma prawo żądania od administratoraograniczenia przetwarzania w następujących przypadkach: a)osoba, której dane dotyczą, kwestionuje prawidłowoµć danychosobowych – na okres pozwalający administratorowisprawdzić prawidłowoµć tych danych; b)przetwarzanie jest niezgodne z prawem, a osoba,której dane dotyczą, sprzeciwia się usunięciu danych osobowych,żądając w zamian ograniczenia ich wykorzystywania; c)administrator nie potrzebuje już danych osobowych do celówprzetwarzania, ale są one potrzebne osobie, której danedotyczą, do ustalenia, dochodzenia lub obrony roszczeń; d)osoba, której dane dotyczą, wniosła sprzeciw na mocyart. 21 ust. 1 wobec przetwarzania –do czasu stwierdzenia, czy prawnie uzasadnione podstawy postronie administratora są nadrzędne wobec podstaw sprzeciwuosoby, której dane dotyczą. 2.Jeżeli na mocy ust. 1 przetwarzanie zostałoograniczone, takie dane osobowe można przetwarzać, z wyjątkiemprzechowywania, wyłącznie za zgodą osoby, której dane dotyczą,lub w celu ustalenia, dochodzenia lub obrony roszczeń, lubw celu ochrony praw innej osoby fizycznej lub prawnej, lubz uwagi na ważne względy interesu publicznego Unii lubpaństwa członkowskiego. 3.Przed uchyleniem ograniczenia przetwarzania administratorinformuje o tym osobę, której dane dotyczą, która żądałaograniczenia na mocy ust. 1. | Art.19 RODO Obowiązekpowiadomienia o sprostowaniu lub usunięciu danychosobowych lub o ograniczeniu przetwarzania | Administratorinformuje o sprostowaniu lub usunięciu danych osobowych lubograniczeniu przetwarzania, których dokonał zgodnie z art. 16,art. 17 ust. 1 i art. 18, każdego odbiorcę, któremu ujawnionodane osobowe, chyba że okaże się to niemożliwe lub będziewymagać niewspółmiernie dużego wysiłku. Administrator informujeosobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba,której dane dotyczą, tego zażąda.
| Art.20 RODO Prawodo przenoszenia danych | 1.Osoba, której dane dotyczą, ma prawo otrzymaćw ustrukturyzowanym, powszechnie używanymformacie nadającym się do odczytu maszynowego dane osobowejej dotyczące, które dostarczyła administratorowi, oraz maprawo przesłać te dane osobowe innemu administratorowi bezprzeszkód ze strony administratora, któremu dostarczono te daneosobowe, jeżeli: a)przetwarzanie odbywa się na podstawie zgody w myµlart. 6 ust. 1 lit. a) lubart. 9 ust. 2 lit. a) lub na podstawieumowy w myµl art. 6 ust. 1 lit. b);oraz b)przetwarzanie odbywa się w sposób zautomatyzowany. 2.Wykonując prawo do przenoszenia danych na mocy ust. 1,osoba, której dane dotyczą, ma prawo żądania, by dane osobowezostały przesłane przez administratora bezpoµrednio innemuadministratorowi, o ile jest to technicznie możliwe. 3.Wykonanie prawa, o którym mowa w ust. 1niniejszego artykułu, pozostaje bez uszczerbku dla art. 17.Prawo to nie ma zastosowania do przetwarzania, które jestniezbędne do wykonania zadania realizowanego w interesiepublicznym lub w ramach sprawowania władzy publicznejpowierzonej administratorowi. 4.Prawo, o którym mowa w ust. 1, nie możeniekorzystnie wpływać na prawa i wolnoµci innych. | Art.21 RODO Prawodo sprzeciwu
| 1.Osoba, której dane dotyczą, ma prawo w dowolnym momenciewnieµć sprzeciw – z przyczyn związanych z jejszczególną sytuacją – wobec przetwarzania dotyczących jejdanych osobowych opartego na art. 6 ust. 1 lit. e)lub f), w tym profilowania na podstawie tych przepisów.Administratorowi nie wolno już przetwarzać tych danychosobowych, chyba że wykaże on istnienie ważnych prawnieuzasadnionych podstaw do przetwarzania, nadrzędnych wobecinteresów, praw i wolnoµci osoby, której dane dotyczą, lubpodstaw do ustalenia, dochodzenia lub obrony roszczeń. 2.Jeżeli dane osobowe są przetwarzane na potrzeby marketingubezpoµredniego, osoba, której dane dotyczą, ma prawo w dowolnymmomencie wnieµć sprzeciw wobec przetwarzania dotyczących jejdanych osobowych na potrzeby takiego marketingu, w tymprofilowania, w zakresie, w jakim przetwarzanie jestzwiązane z takim marketingiem bezpoµrednim. 3.Jeżeli osoba, której dane dotyczą, wniesie sprzeciw wobecprzetwarzania do celów marketingu bezpoµredniego, danychosobowych nie wolno już przetwarzać do takich celów. 4.Najpó»niej przy okazji pierwszej komunikacji z osobą,której dane dotyczą, wyra»nie informuje się ją o prawie,o którym mowa w ust. 1 i 2, orazprzedstawia się je jasno i odrębnie od wszelkich innychinformacji. 5.W związku z korzystaniem z usług społeczeństwainformacyjnego i bez uszczerbku dla dyrektywy 2002/58/WEosoba, której dane dotyczą, może wykonać prawo dosprzeciwu za poµrednictwem zautomatyzowanych µrodkówwykorzystujących specyfikacje techniczne. 6.Jeżeli dane osobowe są przetwarzane do celów badań naukowychlub historycznych lub do celów statystycznych na mocyart. 89 ust. 1, osoba, której dane dotyczą, maprawo wnieµć sprzeciw – z przyczyn związanych z jejszczególną sytuacją – wobec przetwarzania dotyczących jejdanych osobowych, chyba że przetwarzanie jest niezbędne dowykonania zadania realizowanego w interesie publicznym. | Art.22 RODO Zautomatyzowanepodejmowanie decyzji w indywidualnych przypadkach, w tymprofilowanie
| 1.Osoba, której dane dotyczą, ma prawo do tego, by nie podlegaćdecyzji, która opiera się wyłącznie na zautomatyzowanymprzetwarzaniu, w tym profilowaniu, i wywołuje wobectej osoby skutki prawne lub w podobny sposób istotnie nanią wpływa. 2.Ust. 1 nie ma zastosowania, jeżeli ta decyzja: a)jest niezbędna do zawarcia lub wykonania umowy między osobą,której dane dotyczą, a administratorem; b)jest dozwolona prawem Unii lub prawem państwa członkowskiego,któremu podlega administrator i które przewiduje właµciweµrodki ochrony praw, wolnoµci i prawnie uzasadnionychinteresów osoby, której dane dotyczą; lub c)opiera się na wyra»nej zgodzie osoby, której dane dotyczą. 3.W przypadkach, o których mowa w ust. 2 lit. a)i c), administrator wdraża właµciwe µrodki ochrony praw,wolnoµci i prawnie uzasadnionych interesów osoby,której dane dotyczą, a co najmniej prawa do uzyskaniainterwencji ludzkiej ze strony administratora, do wyrażeniawłasnego stanowiska i do zakwestionowania tej decyzji. 4.Decyzje, o których mowa w ust. 2, nie mogąopierać się na szczególnych kategoriach danych osobowych,o których mowa w art. 9 ust. 1, chybaże zastosowanie ma art. 9 ust. 2 lit. a)lub g) i istnieją właµciwe µrodki ochrony praw, wolnoµcii prawnie uzasadnionych interesów osoby, której danedotyczą. | Art.27 RODO Przedstawicieleadministratorów lub podmiotów przetwarzających niemającychjednostki organizacyjnej w Unii | 1.Jeżeli zastosowanie ma art. 3 ust. 2,administrator lub podmiot przetwarzający na piµmie wyznaczaswojego przedstawiciela w Unii. 2.Obowiązek ustanowiony w ust. 1 niniejszego artykułu nie mazastosowania w przypadku: a)przetwarzania, które ma charakter sporadyczny, nie obejmuje –na dużą skalę – przetwarzania szczególnych kategoriidanych osobowych, o których mowa w art. 9 ust. 1,ani przetwarzania danych osobowych dotyczących wyrokówskazujących i naruszeń prawa, o czym mowa w art. 10,i jest mało prawdopodobne, by ze względu na swójcharakter, kontekst, zakres i cele powodowało ryzykonaruszenia praw lub wolnoµci osób fizycznych; lub b)organu lub podmiotu publicznego. 3.Przedstawiciel musi mieć siedzibę w państwie członkowskim,w którym przebywają osoby, których dane dotyczą, którychdane osobowe są przetwarzane w związku z oferowaniemim towarów lub usług lub których zachowanie jest monitorowane. 4.Przedstawiciel zostaje upoważniony przez administratora lubpodmiot przetwarzający, by do celów zapewnienia przestrzeganianiniejszego rozporządzenia mogły się do niego zwracać –oprócz lub zamiast do administratora lub podmiotuprzetwarzającego – w szczególnoµci organy nadzorczei osoby, których dane dotyczą, we wszystkich sprawachzwiązanych z przetwarzaniem. 5.Wyznaczenie przedstawiciela przez administratora lub podmiotprzetwarzający pozostaje bez uszczerbku dla postępowań, któremogą zostać wszczęte przeciwko samemu administratorowi lubpodmiotowi przetwarzającemu. | Art.28 ust. 2-10 RODO Podmiotprzetwarzający | 2.Podmiot przetwarzający nie korzysta z usług innegopodmiotu przetwarzającego bez uprzedniej szczegółowej lubogólnej pisemnej zgody administratora. W przypadku ogólnejpisemnej zgody podmiot przetwarzający informuje administratorao wszelkich zamierzonych zmianach dotyczących dodania lubzastąpienia innych podmiotów przetwarzających, dając tym samymadministratorowi możliwoµć wyrażenia sprzeciwu wobec takichzmian. 3.Przetwarzanie przez podmiot przetwarzający odbywa się napodstawie umowy lub innego instrumentu prawnego, którepodlegają prawu Unii lub prawu państwa członkowskiego i wiążąpodmiot przetwarzający i administratora, okreµlająprzedmiot i czas trwania przetwarzania, charakter i celprzetwarzania, rodzaj danych osobowych oraz kategorie osób,których dane dotyczą, obowiązki i prawa administratora. Taumowa lub inny instrument prawny stanowią w szczególnoµci,że podmiot przetwarzający: a)przetwarza dane osobowe wyłącznie na udokumentowane polecenieadministratora – co dotyczy też przekazywania danychosobowych do państwa trzeciego lub organizacji międzynarodowej– chyba że obowiązek taki nakłada na niego prawo Unii lubprawo państwa członkowskiego, któremu podlega podmiotprzetwarzający; w takim przypadku przed rozpoczęciemprzetwarzania podmiot przetwarzający informuje administratorao tym obowiązku prawnym, o ile prawo to nie zabraniaudzielania takiej informacji z uwagi na ważny interespubliczny; b)zapewnia, by osoby upoważnione do przetwarzania danychosobowych zobowiązały się do zachowania tajemnicy lub bypodlegały odpowiedniemu ustawowemu obowiązkowi zachowaniatajemnicy; c)podejmuje wszelkie µrodki wymagane na mocy art. 32; d)przestrzega warunków korzystania z usług innego podmiotuprzetwarzającego, o których mowa w ust. 2 i 4; e)biorąc pod uwagę charakter przetwarzania, w miaręmożliwoµci pomaga administratorowi poprzez odpowiednie µrodkitechniczne i organizacyjne wywiązać się z obowiązkuodpowiadania na żądania osoby, której dane dotyczą, w zakresiewykonywania jej praw okreµlonych w rozdziale III; f)uwzględniając charakter przetwarzania oraz dostępne muinformacje, pomaga administratorowi wywiązać się z obowiązkówokreµlonych w art. 32–36; g)po zakończeniu µwiadczenia usług związanych z przetwarzaniemzależnie od decyzji administratora usuwa lub zwraca mu wszelkiedane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba żeprawo Unii lub prawo państwa członkowskiego nakazująprzechowywanie danych osobowych; h)udostępnia administratorowi wszelkie informacje niezbędne dowykazania spełnienia obowiązków okreµlonych w niniejszymartykule oraz umożliwia administratorowi lub audytorowiupoważnionemu przez administratora przeprowadzanie audytów,w tym inspekcji, i przyczynia się do nich. Wzwiązku z obowiązkiem okreµlonym w akapicie pierwszymlit. h) podmiot przetwarzający niezwłocznie informujeadministratora, jeżeli jego zdaniem wydane mu polecenie stanowinaruszenie niniejszego rozporządzenia lub innych przepisów Uniilub państwa członkowskiego o ochronie danych. 4.Jeżeli do wykonania w imieniu administratora konkretnychczynnoµci przetwarzania podmiot przetwarzający korzysta z usługinnego podmiotu przetwarzającego, na ten inny podmiotprzetwarzający nałożone zostają – na mocy umowy lubinnego aktu prawnego, które podlegają prawu Unii lub prawupaństwa członkowskiego – te same obowiązki ochrony danychjak w umowie lub innym akcie prawnym międzyadministratorem a podmiotem przetwarzającym, o którychto obowiązkach mowa w ust. 3, w szczególnoµciobowiązek zapewnienia wystarczających gwarancji wdrożeniaodpowiednich µrodków technicznych i organizacyjnych, byprzetwarzanie odpowiadało wymogom niniejszego rozporządzenia.Jeżeli ten inny podmiot przetwarzający nie wywiąże się zespoczywających na nim obowiązków ochrony danych, pełnaodpowiedzialnoµć wobec administratora za wypełnienie obowiązkówtego innego podmiotu przetwarzającego spoczywa na pierwotnympodmiocie przetwarzającym. 5.Wystarczające gwarancje, o których mowa w ust. 1i 4 niniejszego artykułu, podmiot przetwarzający możewykazać między innymi poprzez stosowanie zatwierdzonego kodeksupostępowania, o którym mowa w art. 40 lubzatwierdzonego mechanizmu certyfikacji, o którym mowaw art. 42. 6.Bez uszczerbku dla indywidualnych umów między administratorema podmiotem przetwarzającym, umowa lub inny akt prawny,o których mowa w ust. 3 i 4 niniejszegoartykułu, mogą się opierać w całoµci lub w częµci nastandardowych klauzulach umownych, o których mowa w ust. 7i 8 niniejszego artykułu, także gdy są one elementemcertyfikacji udzielonej administratorowi lub podmiotowiprzetwarzającemu zgodnie z art. 42 i 43. 7.Komisja może okreµlić standardowe klauzule umowne dotyczącekwestii, o których mowa w ust. 3 i 4niniejszego artykułu, zgodnie z procedurą sprawdzając |
|