Wi臋cej
Nawigacja
ROZDZIA艁 I Przepisy og贸lne (1-4)
Artyku艂 1. Przedmiot i celeArtyku艂 2. Materialny zakres stosowaniaArtyku艂 3. Terytorialny zakres stosowania
Artyku艂 4. Definicje
ROZDZIA艁 II Zasady (5-11)
Artyku艂 5. Zasady dotycz膮ce przetwarzania danych osobowychArtyku艂 6. Zgodno艣膰 przetwarzania z prawemArtyku艂 7. Warunki wyra偶enia zgodyArtyku艂 8. Warunki wyra偶enia zgody przez dziecko w przypadku us艂ug spo艂ecze艅stwa informacyjnegoArtyku艂 9. Przetwarzanie szczeg贸lnych kategorii danych osobowychArtyku艂 10. Przetwarzanie danych osobowych dotycz膮cych wyrok贸w skazuj膮cych i narusze艅 prawaArtyku艂 11. Przetwarzanie niewymagaj膮ce identyfikacji
ROZDZIA艁 III Prawa osoby, kt贸rej dane dotycz膮 (12-23)
Artyku艂 12. Przejrzyste informowanie i przejrzysta komunikacja oraz tryb wykonywania praw przez osob臋, kt贸rej dane dotycz膮Artyku艂 13. Informacje podawane w przypadku zbierania danych od osoby, kt贸rej dane dotycz膮Artyku艂 14. Informacje podawane w przypadku pozyskiwania danych osobowych w spos贸b inny ni偶 od osoby, kt贸rej dane dotycz膮Artyku艂 15. Prawo dost臋pu przys艂uguj膮ce osobie, kt贸rej dane dotycz膮Artyku艂 16. Prawo do sprostowania danychArtyku艂 17. Prawo do usuni臋cia danych (鈥瀙rawo do bycia zapomnianym鈥)Artyku艂 18. Prawo do ograniczenia przetwarzaniaArtyku艂 19. Obowi膮zek powiadomienia o sprostowaniu lub usuni臋ciu danych osobowych lub o ograniczeniu przetwarzaniaArtyku艂 20. Prawo do przenoszenia danychArtyku艂 21. Prawo do sprzeciwuArtyku艂 22. Zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, w tym profilowanieArtyku艂 23. Ograniczenia
ROZDZIA艁 IV Administrator i podmiot przetwarzaj膮cy (24-43)
Artyku艂 24. Przedmiot i celeArtyku艂 25. Uwzgl臋dnianie ochrony danych w fazie projektowania oraz domy艣lna ochrona danychArtyku艂 26. Wsp贸艂administratorzyArtyku艂 27. Przedstawiciele administrator贸w lub podmiot贸w przetwarzaj膮cych niemaj膮cych jednostki organizacyjnej w UniiArtyku艂 28. Podmiot przetwarzaj膮cyArtyku艂 29. Przetwarzanie z upowa偶nienia administratora lub podmiotu przetwarzaj膮cegoArtyku艂 30. Rejestrowanie czynno艣ci przetwarzaniaArtyku艂 31. Wsp贸艂praca z organem nadzorczymArtyku艂 32. Bezpiecze艅stwo przetwarzaniaArtyku艂 33. Zg艂aszanie naruszenia ochrony danych osobowych organowi nadzorczemuArtyku艂 34. Zawiadamianie osoby, kt贸rej dane dotycz膮, o naruszeniu ochrony danych osobowychArtyku艂 35. Ocena skutk贸w dla ochrony danychArtyku艂 36. Uprzednie konsultacjeArtyku艂 37. Wyznaczenie inspektora ochrony danychArtyku艂 38. Status inspektora ochrony danychArtyku艂 39. Zadania inspektora ochrony danychArtyku艂 40. Kodeksy post臋powaniaArtyku艂 41. Monitorowanie zatwierdzonych kodeks贸w post臋powaniaArtyku艂 42. CertyfikacjaArtyku艂 43. Podmiot certyfikuj膮cy
ROZDZIA艁 V Przekazywanie danych osobowych do pa艅stw trzecich lub organizacji mi臋dzynarodowych (44-50)
Artyku艂 44. Og贸lna zasada przekazywaniaArtyku艂 45. Przekazywanie na podstawie decyzji stwierdzaj膮cej odpowiedni stopie艅 ochronyArtyku艂 46. Przekazywanie z zastrze偶eniem odpowiednich zabezpiecze艅Artyku艂 47. wi膮偶膮ce regu艂y korporacyjnychArtyku艂 48. Przekazywanie lub ujawnianie niedozwolone na mocy prawa UniiArtyku艂 49. Wyj膮tki w szczeg贸lnych sytuacjachArtyku艂 50. Mi臋dzynarodowa wsp贸艂praca na rzecz ochrony danych osobowych
ROZDZIA艁 VI Niezale偶ne organy nadzorcze (51-59)
Artyku艂 51. Organ nadzorczyArtyku艂 52. Niezale偶no艣膰Artyku艂 53. Og贸lne warunki dotycz膮ce cz艂onk贸w organu nadzorczegoArtyku艂 54. Zasady ustanawiania organu nadzorczegoArtyku艂 55. W艂a艣ciwo艣膰Artyku艂 56. W艂a艣ciwo艣膰 wiod膮cego organu nadzorczegoArtyku艂 57. ZadaniaArtyku艂 58. UprawnieniaArtyku艂 59. Sprawozdanie z dzia艂alno艣ci
ROZDZIA艁 VII Wsp贸艂praca i sp贸jno艣膰 (60-70)
Artyku艂 60. Wsp贸艂praca miedzy wiod膮cym organem nadzorczym a innymi organami nadzorczymi, kt贸rych sprawa dotyczyArtyku艂 61. Wzajemna pomocArtyku艂 62. Wsp贸lne operacje organ贸w nadzorczychArtyku艂 63. Mechanizm sp贸jno艣ciArtyku艂 64. Opinia Europejskiej Rady Ochrony DanychArtyku艂 65. Rozstrzyganie spor贸w przez Europejsk膮 Rad臋 Ochrony DanychArtyku艂 66. Tryb pilnyArtyku艂 67. Wymiana informacjiArtyku艂 68. Europejska Rada Ochrony DanychArtyku艂 69. Niezale偶no艣膰Artyku艂 70. Zadania Europejskiej Rady Ochrony DanychArtyku艂 71. SprawozdaniaArtyku艂 72. ProceduraArtyku艂 73. Przewodnicz膮cyArtyku艂 74. Zadania przewodnicz膮cegoArtyku艂 75. SekretariatArtyku艂 76. Poufno艣膰
ROZDZIA艁 VIII 艢rodki ochrony prawnej, odpowiedzialno艣膰 i sankcje (77-84)
Artyku艂 77. Prawo do wniesienia skargi do organu nadzorczegoArtyku艂 78. Prawo do skutecznego 艣rodka ochrony prawnej przed s膮dem przeciwko organowi nadzorczemuArtyku艂 79. Prawo do skutecznego 艣rodka ochrony prawnej przed s膮dem przeciwko administratorowi lub podmiotowi przetwarzaj膮cemuArtyku艂 80. Reprezentowanie os贸b, kt贸rych dane dotycz膮Artyku艂 81. Zawieszenie post臋powaniaArtyku艂 82. Prawo do odszkodowania i odpowiedzialno艣膰Artyku艂 83. Og贸lne warunki nak艂adania administracyjnych kar pieni臋偶nychArtyku艂 84. Sankcje
ROZDZIA艁 IX Przepisy dotycz膮ce szczeg贸lnych sytuacji zwi膮zanych z przetwarzaniem (85-91)
Artyku艂 85. Przetwarzanie a wolno艣膰 wypowiedzi i informacjiArtyku艂 86. Przetwarzanie a publiczny dost臋p do dokument贸w urz臋dowychArtyku艂 87. Przetwarzanie krajowego numeru identyfikacyjnegoArtyku艂 88. Przetwarzanie w kontek艣cie zatrudnieniaArtyku艂 89. Zabezpieczenia i wyj膮tki maj膮ce zastosowanie do przetwarzania do cel贸w archiwalnych w interesie publicznym, do cel贸w bada艅 naukowych lub historycznych lub do cel贸w statystycznychArtyku艂 90. Obowi膮zek zachowania tajemnicyArtyku艂 91. Istniej膮ce zasady ochrony danych obowi膮zuj膮ce ko艣cio艂y i zwi膮zki wyznaniowe
ROZDZIA艁 X Akty delegowane i akty wykonawcze (92-93)
Artyku艂 92. Wykonywanie przekazanych uprawnie艅Artyku艂 93. Procedura komitetowa
ROZDZIA艁 XI Przepisy ko艅cowe (94-95)
Artyku艂 94. Uchylenie dyrektywy 95/46/WEArtyku艂 95. Stosunek do dyrektywy 2002/58/WEArtyku艂 96. Stosunek do uprzednio zawartych um贸wArtyku艂 97. Sprawozdania KomisjiArtyku艂 98. Przegl膮d innych akt贸w prawnych Unii dotycz膮cych ochrony danychArtyku艂 99. Wej艣cie w 偶ycie i stosowanie
RODO > Artyku艂 4. Definicje
Pobierz jako plik PDF

Artyku艂 4 RODO. Definicje

Article 4 GDPR. Definitions

Na u偶ytek niniejszego rozporz膮dzenia:

For the purposes of this Regulation:

1) 鈥瀌ane osobowe鈥 oznaczaj膮 informacje o zidentyfikowanej lub mo偶liwej do zidentyfikowania osobie fizycznej (鈥瀘sobie, kt贸rej dane dotycz膮鈥); mo偶liwa do zidentyfikowania osoba fizyczna to osoba, kt贸r膮 mo偶na bezpo艣rednio lub po艣rednio zidentyfikowa膰, w szczeg贸lno艣ci na podstawie identyfikatora takiego jak imi臋 i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden b膮d藕 kilka szczeg贸lnych czynnik贸w okre艣laj膮cych fizyczn膮, fizjologiczn膮, genetyczn膮, psychiczn膮, ekonomiczn膮, kulturow膮 lub spo艂eczn膮 to偶samo艣膰 osoby fizycznej;

(1)聽鈥榩ersonal data鈥 means any information relating to an identified or identifiable natural person (鈥榙ata subject鈥); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;

Komentarz eksperta Wytyczne & Case Law Motywy
Komentarz eksperta

(RU)

袣芯谐写邪 薪芯屑械褉 褌械谢械褎芯薪邪 鈥 锌械褉褋芯薪邪谢褜薪褘械 写邪薪薪褘械?

(1) 袙 薪邪褋褌芯褟褖械屑 泻芯屑屑械薪褌邪褉懈懈 褉邪褋褋屑邪褌褉懈胁邪械褌褋褟 袩芯蟹懈褑懈褟 WP29 4/2007 芯 泻芯薪褑械锌褑懈懈
锌械褉褋芯薪邪谢褜薪褘褏 写邪薪薪褘褏 芯褌 20 懈褞薪褟 2007 谐芯写邪 (写邪谢械械鈥斝熜拘沸秆喰秆 WP29).

袙 械胁褉芯锌械泄褋泻芯泄 写芯泻褌褉懈薪械 懈 蟹邪泻芯薪芯写邪褌械谢褜褋褌胁械 芯锌褉械写械谢械薪懈械 锌械褉褋芯薪邪谢褜薪褘褏 写邪薪薪褘褏 褍屑褘褕谢械薪薪芯 写邪薪芯 褕懈褉芯泻芯, 薪械 懈屑械械褌 懈, 褋泻芯褉械械 胁褋械谐芯, 薪懈泻芯谐写邪 薪械 斜褍写械褌 懈屑械褌褜 褔械褌泻懈褏 懈 芯写薪芯蟹薪邪褔薪褘褏 泻褉懈褌械褉懈械胁. 袛谢褟 褔械谐芯 褝泻褋锌械褉褌褘 胁 芯斜谢邪褋褌懈 锌褉懈胁邪褌薪芯褋褌懈 胁 褋芯褋褌邪胁械 WP29, 邪 蟹邪褌械屑 懈 蟹邪泻芯薪芯写邪褌械谢懈 褝褌芯 褋写械谢邪谢懈?

袪邪蟹写械谢 III 袩芯蟹懈褑懈懈 WP29 胁褘写械谢褟械褌 胁 泻芯薪褋褌褉褍泻褑懈懈 锌械褉褋芯薪邪谢褜薪褘褏 写邪薪薪褘褏 4 芦薪械褋褍褖懈褏禄 斜谢芯泻邪: 芦谢褞斜邪褟 懈薪褎芯褉屑邪褑懈褟禄, 芦芯褌薪芯褋褟褖邪褟褋褟 泻禄, 芦懈写械薪褌懈褎懈褑懈褉芯胁邪薪薪芯屑褍 懈谢懈 懈写械薪褌懈褎懈褑懈褉褍械屑芯屑褍禄, 芦褎懈蟹懈褔械褋泻芯屑褍 谢懈褑褍禄. 袛谢褟 褑械谢械泄 薪邪褕械谐芯 邪薪邪谢懈蟹邪 锌芯褌褉械斜褍褞褌褋褟 写胁邪 褑械薪褌褉邪谢褜薪褘褏 褝谢械屑械薪褌邪: 芦芯褌薪芯褋褟褖邪褟褋褟 泻禄 懈 芦懈写械薪褌懈褎懈褑懈褉芯胁邪薪薪芯屑褍 懈谢懈 懈写械薪褌懈褎懈褑懈褉褍械屑芯屑褍禄, 锌芯褋泻芯谢褜泻褍 芯薪懈 胁 薪邪懈斜芯谢褜褕械泄 褋褌械锌械薪懈 褏邪褉邪泻褌械褉懈蟹褍褞褌 褋褌芯褉芯薪褍 泻芯薪褌褉芯谢械褉邪 锌械褉褋芯薪邪谢褜薪褘褏 写邪薪薪褘褏 泻邪泻 褍褔邪褋褌薪懈泻邪 锌褉邪胁芯芯褌薪芯褕械薪懈泄.

(2) 袛邪薪薪褘械, 芦芯褌薪芯褋褟褖懈械褋褟 泻禄 褋褍斜褗械泻褌褍, 胁泻谢褞褔邪褞褌 胁 褋械斜褟 薪械 褌芯谢褜泻芯 懈薪褎芯褉屑邪褑懈褞 芯 褋邪屑芯屑 褋褍斜褗械泻褌械, 薪芯 懈 芯 锌褉懈薪邪写谢械卸邪褖懈褏 械屑褍 懈谢懈 懈薪褘屑 芯斜褉邪蟹芯屑 褋胁褟蟹邪薪薪褘褏 褋 薪懈屑 芯斜褗械泻褌邪褏, 锌懈褌芯屑褑邪褏. 孝邪泻懈屑 芯斜褉邪蟹芯屑, 写邪薪薪褘屑懈, 芦芯褌薪芯褋褟褖懈屑懈褋褟 泻禄 褋褍斜褗械泻褌褍, 褟胁谢褟褞褌褋褟 薪械 褌芯谢褜泻芯 薪芯屑械褉 褌械谢械褎芯薪邪, 邪胁褌芯屑芯斜懈谢褟, 泻芯屑锌褜褞褌械褉邪, 斜邪薪泻芯胁褋泻芯泄 泻邪褉褌褘, 褎懈褌薪械褋 褌褉械泻械褉邪, 褔懈锌邪 锌懈褌芯屑褑邪, 薪芯 懈 懈薪褘械 褏邪褉邪泻褌械褉懈褋褌懈泻懈 褝褌懈褏 芯斜褗械泻褌芯胁 懈 卸懈胁芯褌薪褘褏: 褑械薪邪, 懈蟹薪芯褋, 褋械褉懈泄薪褘械 薪芯屑械褉邪, 锌芯谢芯屑泻懈, 写懈邪谐薪芯蟹褘, 褉械蟹褍谢褜褌邪褌褘 邪薪邪谢懈蟹芯胁 懈 褌.写.

袩芯蟹懈褑懈褟 WP29 褌邪泻卸械 胁褘写械谢褟械褌 褌褉懈 褝谢械屑械薪褌邪, 泻邪卸写褘泄 懈蟹 泻芯褌芯褉褘褏, 薪械蟹邪胁懈褋懈屑芯 芯褌 薪邪谢懈褔懈褟 写褉褍谐懈褏, 屑芯卸械褌 褋写械谢邪褌褜 谢褞斜褍褞 懈薪褎芯褉屑邪褑懈褞 芦芯褌薪芯褋褟褖械泄褋褟 泻禄 褋褍斜褗械泻褌褍 鈥 褝褌芯 褋芯写械褉卸邪薪懈械, 褑械谢褜 懈 褉械蟹褍谢褜褌邪褌.

袠薪褎芯褉屑邪褑懈褟 屑芯卸械褌 芯褌薪芯褋懈褌褜褋褟 泻 褋褍斜褗械泻褌褍 锌芯 褋胁芯械屑褍 褋芯写械褉卸邪薪懈褞, 械褋谢懈 芯薪邪 芯 泻芯薪泻褉械褌薪芯屑 褎懈蟹懈褔械褋泻芯屑 谢懈褑械, 薪邪锌褉懈屑械褉, 褉械蟹褍谢褜褌邪褌褘 褌械褋褌芯胁 薪邪 褝泻蟹邪屑械薪械, 薪芯屑械褉 褌械谢械褎芯薪邪 泻芯薪泻褉械褌薪芯谐芯 谢懈褑邪, 锌褉芯褎懈谢褜 芯锌褉械写械谢械薪薪芯谐芯 锌芯谢褜蟹芯胁邪褌械谢褟 胁 褋芯褑褋械褌褟褏.

袠薪褎芯褉屑邪褑懈褟 屑芯卸械褌 芯褌薪芯褋懈褌褜褋褟 泻 褋褍斜褗械泻褌褍 褌邪泻卸械 锌芯 褑械谢懈, 械褋谢懈 芯薪邪 懈褋锌芯谢褜蟹褍械褌褋褟 懈谢懈, 胁械褉芯褟褌薪械械 胁褋械谐芯, 斜褍写械褌 懈褋锌芯谢褜蟹芯胁邪薪邪 胁 褑械谢褟褏 芯褑械薪泻懈, 胁谢懈褟薪懈褟 薪邪 褋褌邪褌褍褋 懈谢懈 锌芯胁械写械薪懈械 褋褍斜褗械泻褌邪, 锌褉芯褟胁谢械薪懈褟 芯锌褉械写械谢械薪薪芯谐芯 褉芯写邪 芯褌薪芯褕械薪懈褟 泻 褋褍斜褗械泻褌褍. 袧邪锌褉懈屑械褉, 褋锌懈褋芯泻 锌芯褋械褖械薪薪褘褏 褋芯褌褉褍写薪懈泻邪屑懈 泻芯屑锌邪薪懈懈 懈薪褌械褉薪械褌 褋褌褉邪薪懈褑 胁 泻芯褉锌芯褉邪褌懈胁薪芯泄 褋械褌懈, 屑芯卸械褌 斜褘褌褜 懈褋锌芯谢褜蟹芯胁邪薪 写谢褟 褑械谢械泄 屑芯薪懈褌芯褉懈薪谐邪 褝褎褎械泻褌懈胁薪芯褋褌懈 懈褋锌芯谢褜蟹芯胁邪薪懈褟 褉邪斜芯褔械谐芯 胁褉械屑械薪懈 泻邪卸写褘屑 褋芯褌褉褍写薪懈泻芯屑, 懈谢懈 写谢褟 斜谢芯泻懈褉芯胁泻懈 芯锌褉械写械谢械薪薪褘褏 褋褌褉邪薪懈褑 芯锌褉械写械谢械薪薪褘屑 褋芯褌褉褍写薪懈泻邪屑.

袠薪褎芯褉屑邪褑懈褟 屑芯卸械褌 芯褌薪芯褋懈褌褜褋褟 泻 褋褍斜褗械泻褌褍 锌械褉褋芯薪邪谢褜薪褘褏 写邪薪薪褘褏, 写邪卸械 胁 芯褌褋褍褌褋褌胁懈械 锌褉懈蟹薪邪泻芯胁 芦褋芯写械褉卸邪薪懈褟禄 懈 芦褑械谢懈禄, 械褋谢懈 械褋褌褜 锌褉懈蟹薪邪泻 褉械蟹褍谢褜褌邪褌邪: 械褋谢懈 芯斜褉邪斜芯褌泻邪 写邪薪薪褘褏, 胁械褉芯褟褌薪械械 胁褋械谐芯, 锌芯胁谢懈褟械褌 薪邪 锌褉邪胁邪 懈 懈薪褌械褉械褋褘 褋褍斜褗械泻褌邪, 薪邪锌褉懈屑械褉, 写邪卸械 械褋谢懈 褋谢械谐泻邪 懈蟹屑械薪懈褌 芯褌薪芯褕械薪懈械 芯泻褉褍卸邪褞褖懈褏 泻 薪械屑褍, 蟹邪褋褌邪胁懈褌 胁褘写械谢褟褌褜 械谐芯 褋褉械写懈 芯褋褌邪谢褜薪褘褏 胁 褋芯芯斜褖械褋褌胁械. 袧邪锌褉懈屑械褉, 懈薪褎芯褉屑邪褑懈褟 芯 褌芯屑, 褔褌芯 写械写褍褕泻邪 褕泻芯谢褜薪懈泻邪 锌芯谢褍褔懈谢 锌褉械屑懈褞 袛邪褉胁懈薪邪, 屑芯卸械褌 胁褘蟹胁邪褌褜 薪邪褋屑械褕泻懈 懈 懈蟹写械胁邪褌械谢褜褋褌胁邪 褋芯 褋褌芯褉芯薪褘 褋胁械褉褋褌薪懈泻芯胁.

协褌懈 褌褉懈 褝谢械屑械薪褌邪 芯褌薪芯褋懈屑芯褋褌懈 写邪薪薪褘褏 泻 褋褍斜褗械泻褌褍 锌褉懈屑械薪褟褞褌褋褟 泻邪卸写褘泄 胁 芯褌写械谢褜薪芯褋褌懈, 薪芯, 械褋谢懈 锌褉懈褋褍褌褋褌胁褍械褌 褏芯褌褟 斜褘 芯写懈薪 褝谢械屑械薪褌, 薪械褌 薪邪写芯斜薪芯褋褌懈 胁褘褟胁谢褟褌褜 芯褋褌邪谢褜薪褘械 写胁邪 鈥 写邪薪薪褘械 褌芯褔薪芯 芯褌薪芯褋褟褌褋褟 泻 褋褍斜褗械泻褌褍.

(3) 孝褉械褌懈泄 斜谢芯泻 泻芯薪褋褌褉褍泻褑懈懈 锌械褉褋芯薪邪谢褜薪褘褏 写邪薪薪褘褏: 芦懈写械薪褌懈褎懈褑懈褉芯胁邪薪薪芯屑褍 懈谢懈 懈写械薪褌懈褎懈褑懈褉褍械屑芯屑褍禄 鈥 懈屑械械褌 泻胁邪谢懈褎懈褑懈褉褍褞褖械械 蟹薪邪褔械薪懈械 写谢褟 薪芯屑械褉邪 褌械谢械褎芯薪邪 懈 锌褉芯褔懈褏 薪芯屑械褉芯胁, 褏邪褉邪泻褌械褉懈褋褌懈泻 芯斜褗械泻褌芯胁 懈 卸懈胁褘褏 褋褍褖械褋褌胁, 芯褌薪芯褋褟褖懈褏褋褟 泻 褋褍斜褗械泻褌邪屑.

袩芯蟹懈褑懈褟 WP29 芯锌褉械写械谢褟械褌 谢懈褑芯 泻邪泻 懈写械薪褌懈褎懈褑懈褉褍械屑芯械, 械褋谢懈 芯薪芯 械褖械 薪械 懈写械薪褌懈褎懈褑懈褉芯胁邪薪芯, 薪芯 械谐芯 胁芯蟹屑芯卸薪芯 懈写械薪褌懈褎懈褑懈褉芯胁邪褌褜 锌褉褟屑芯, 薪邪锌褉懈屑械褉, 锌芯 懈屑械薪懈 (械褋谢懈 芯薪芯 锌芯蟹胁芯谢褟械褌 胁褘写械谢懈褌褜 褋褍斜褗械泻褌邪 懈蟹 谐褉褍锌锌褘) 懈谢懈 泻芯褋胁械薪薪芯 鈥 锌芯 薪芯屑械褉褍 锌邪褋锌芯褉褌邪, 邪胁褌芯屑芯斜懈谢褟, 褌械谢械褎芯薪邪 懈谢懈 泻芯屑斜懈薪邪褑懈懈 褋褍褖械褋褌胁械薪薪褘褏 泻褉懈褌械褉懈械胁, 锌芯蟹胁芯谢褟褞褖懈褏 胁褘写械谢懈褌褜 褋褍斜褗械泻褌邪 懈蟹 谐褉褍锌锌褘 (褝褌芯 屑芯卸械褌 斜褘褌褜 胁芯蟹褉邪褋褌, 屑械褋褌芯 锌褉芯卸懈胁邪薪懈褟, 胁薪械褕薪懈泄 胁懈写 懈 褌.写.).

袨写薪邪泻芯 芯写薪邪 谢懈褕褜 谐懈锌芯褌械褌懈褔械褋泻邪褟 胁械褉芯褟褌薪芯褋褌褜 懈写械薪褌懈褎懈泻邪褑懈懈 褋褍斜褗械泻褌邪 薪械 写械谢邪械褌 懈薪褎芯褉屑邪褑懈褞 锌械褉褋芯薪邪谢褜薪褘屑懈 写邪薪薪褘屑懈. 袝褋谢懈 胁芯蟹屑芯卸薪芯褋褌褜 懈写械薪褌懈褎懈褑懈褉芯胁邪褌褜 褋褍斜褗械泻褌邪 芯褌褋褍褌褋褌胁褍械褌 懈谢懈 薪懈褔褌芯卸薪芯 屑邪谢邪, 写邪薪薪褘械 薪械 褋褔懈褌邪褞褌褋褟 锌械褉褋芯薪邪谢褜薪褘屑懈. 袙 褝褌芯屑 屑械褋褌械 薪械泻芯褌芯褉褘械 泻芯薪褌褉芯谢械褉褘 褋 褉邪写芯褋褌褜褞 胁芯褋泻谢懈泻薪褍褌, 褔褌芯 褍 薪懈褏 懈 胁 屑褘褋谢褟褏 薪械 斜褘谢芯 懈写械薪褌懈褎懈褑懈褉芯胁邪褌褜 泻芯谐芯 谢懈斜芯, 褔褌芯 芯薪懈 胁褋械谐芯 谢懈褕褜 褋芯斜懈褉邪褞褌 薪芯屑械褉邪 褌械谢械褎芯薪芯胁, 邪胁褌芯屑芯斜懈谢械泄 懈 薪械泻芯褌芯褉褘褏 泻邪褉褌, 锌褉懈薪邪写谢械卸邪褖懈褏 褋褍斜褗械泻褌邪屑. 袧芯 屑褘 锌芯薪懈屑邪械屑, 褔褌芯 懈写械薪褌懈褎懈泻邪褑懈褟 锌芯 褝褌懈屑 薪芯屑械褉邪屑 胁芯蟹屑芯卸薪邪 锌褉懈 褋芯锌芯褋褌邪胁谢械薪懈懈 褋 写褉褍谐芯泄 斜邪蟹芯泄 写邪薪薪褘褏, 薪邪锌褉懈屑械褉, 胁 褉邪屑泻邪褏 屑械卸胁械写芯屑褋褌胁械薪薪芯谐芯 芯斜屑械薪邪 写邪薪薪褘屑懈, 锌芯谢褍褔械薪懈褟 写邪薪薪褘褏 芯褌 褋芯褌芯胁褘褏 泻芯薪褌褉芯谢械褉芯胁, 褋 写芯褉芯卸薪褘褏 泻邪屑械褉 胁懈写械芯薪邪斜谢褞写械薪懈褟, 谢懈斜芯 胁 褉邪屑泻邪褏 懈薪褌械谐褉邪褑懈懈 褋懈褋褌械屑.

袣邪泻 卸械 芯锌褉械写械谢懈褌褜 褋褌械锌械薪褜 懈 胁械褉芯褟褌薪芯褋褌褜 褌芯谐芯, 褔褌芯 泻芯薪褌褉芯谢械褉 懈谢懈 谢褞斜芯械 褌褉械褌褜械 谢懈褑芯, 蟹邪胁谢邪写械胁褕械械 懈薪褎芯褉屑邪褑懈械泄, 褉械褕懈褌 胁芯褋锌芯谢褜蟹芯胁邪褌褜褋褟 胁芯蟹屑芯卸薪芯褋褌褜褞 懈写械薪褌懈褎懈褑懈褉芯胁邪褌褜 褋褍斜褗械泻褌芯胁?

袛谢褟 褝褌芯谐芯 薪械芯斜褏芯写懈屑芯 芯锌褉械写械谢懈褌褜 泻邪泻懈械 褉邪蟹褍屑薪褘械 褍褋懈谢懈褟 泻芯薪褌褉芯谢械褉 懈谢懈 谢褞斜芯械 褌褉械褌褜械 谢懈褑芯 写芯谢卸薪褘 斜褍写褍褌 锌褉懈谢芯卸懈褌褜 写谢褟 懈写械薪褌懈褎懈泻邪褑懈懈 泻芯薪泻褉械褌薪褘褏 褋褍斜褗械泻褌芯胁: 蟹邪褌褉邪褌褘 写械薪械卸薪褘褏 褋褉械写褋褌胁 薪邪 褌邪泻懈械 褍褋懈谢懈褟; 胁褉械屑械薪薪褘械 懈 褔械谢芯胁械褔械褋泻懈械 褉械褋褍褉褋褘; 薪邪谢懈褔懈械 褌械褏薪芯谢芯谐懈懈, 锌芯蟹胁芯谢褟褞褖械泄 胁褘锌芯谢薪懈褌褜 懈写械薪褌懈褎懈泻邪褑懈褞 斜械蟹 芯褋芯斜褘褏 褍褋懈谢懈泄 懈 蟹邪褌褉邪褌; 锌芯写褉邪蟹褍屑械胁邪械屑邪褟 (邪 薪械 写械泻谢邪褉懈褉褍械屑邪褟 褑械谢褜) 懈 锌芯褋褌褉芯械薪懈械 芯斜褉邪斜芯褌泻懈; 泻邪泻懈械 胁褘谐芯写褘 屑芯卸械褌 懈蟹胁谢械褔褜 泻芯薪褌褉芯谢械褉 懈谢懈 谢褞斜芯械 写褉褍谐芯械 褌褉械褌褜械 谢懈褑芯; 锌褉芯写芯谢卸懈褌械谢褜薪芯褋褌褜 褏褉邪薪械薪懈褟 写邪薪薪褘褏 懈 锌芯褌械薪褑懈邪谢褜薪芯械 褉邪蟹胁懈褌懈械 褌械褏薪芯谢芯谐懈泄 写谢褟 懈写械薪褌懈褎懈泻邪褑懈懈 胁 褝褌芯褌 锌械褉懈芯写.

袙 泻邪卸写芯屑 泻芯薪泻褉械褌薪芯屑 褋谢褍褔邪械 薪械芯斜褏芯写懈屑芯 芯锌褉械写械谢褟褌褜 薪邪谢懈褔懈械 胁芯蟹屑芯卸薪芯褋褌懈 懈 锌褉懈谢邪谐邪械屑褘械 褉械褋褍褉褋褘 泻芯薪褌褉芯谢械褉邪 写谢褟 懈写械薪褌懈褎懈泻邪褑懈懈 褋褍斜褗械泻褌芯胁 锌芯 薪芯屑械褉褍 褌械谢械褎芯薪邪. 袝褋谢懈 胁芯蟹屑芯卸薪芯褋褌褜 械褋褌褜, 懈谢懈 褑械谢褜 懈 泻芯薪褌械泻褋褌 芯斜褉邪斜芯褌泻懈 锌褉械写锌芯谢邪谐邪械褌 懈写械薪褌懈褎懈泻邪褑懈褞 褋褍斜褗械泻褌邪, 褌芯 薪芯屑械褉 褌械谢械褎芯薪邪 褟胁谢褟械褌褋褟 锌械褉褋芯薪邪谢褜薪褘屑懈 写邪薪薪褘屑懈.

袧芯屑械褉 褌械谢械褎芯薪邪 鈥 褟胁谢褟械褌褋褟 锌械褉褋芯薪邪谢褜薪褘屑懈 写邪薪薪褘屑懈, 褌邪泻 泻邪泻 芯薪 胁 蟹邪胁懈褋懈屑芯褋褌懈 芯褌 褋懈褌褍邪褑懈懈 谢懈斜芯 褋谢褍卸懈褌 懈写械薪褌懈褎懈泻邪褌芯褉芯屑 谢懈褔薪芯褋褌懈, 谢懈斜芯 锌褉械写褋褌邪胁谢褟械褌 褋芯斜芯泄 懈薪褎芯褉屑邪褑懈褞, 芯褌薪芯褋褟褖褍褞褋褟 泻 懈写械薪褌懈褎懈褑懈褉芯胁邪薪薪芯屑褍 懈谢懈 懈写械薪褌懈褎懈褑懈褉褍械屑芯屑褍 褎懈蟹懈褔械褋泻芯屑褍 谢懈褑褍. 袙褋械 锌褉芯褔懈械 薪芯屑械褉邪 懈 褏邪褉邪泻褌械褉懈褋褌懈泻懈 锌褉懈薪邪写谢械卸邪褖懈褏 褋褍斜褗械泻褌褍 芯斜褗械泻褌芯胁 懈 卸懈胁褘褏 褋褍褖械褋褌胁, 胁 褌芯屑 懈谢懈 懈薪芯屑 泻芯薪褌械泻褋褌械 芯斜褉邪斜芯褌泻懈, 褌邪泻卸械 屑芯谐褍褌 泻胁邪谢懈褎懈褑懈褉芯胁邪褌褜褋褟 胁 泻邪褔械褋褌胁械 锌械褉褋芯薪邪谢褜薪褘褏 写邪薪薪褘褏.

(4) 袛邪卸械 锌褉懈 芯褌褋褍褌褋褌胁懈懈 肖袠袨 褋褍斜褗械泻褌邪 锌械褉褋芯薪邪谢褜薪褘褏 写邪薪薪褘褏 褍 泻芯薪褌褉芯谢械褉邪 懈 谢褞斜芯谐芯 褌褉械褌褜械谐芯 谢懈褑邪, 懈 写邪卸械 锌褉懈 芯褌褋褍褌褋褌胁懈懈 褍 薪懈褏 胁芯蟹屑芯卸薪芯褋褌懈 懈写械薪褌懈褎懈褑懈褉芯胁邪褌褜 褋褍斜褗械泻褌邪, 芯薪懈 胁褋械 卸械 懈屑械褞褌 胁芯蟹屑芯卸薪芯褋褌褜 芯褔械薪褜 褋械褉褜械蟹薪芯 锌芯胁谢懈褟褌褜 薪邪 锌芯胁械写械薪懈械 褋褍斜褗械泻褌邪, 薪邪褉褍褕懈褌褜 械谐芯 锌褉邪胁邪 懈 懈薪褌械褉械褋褘.

袙械写褜 薪芯屑械褉 褌械谢械褎芯薪邪, 褋褍褖械褋褌胁械薪薪芯 芯褌谢懈褔邪械褌褋褟 芯褌 芯褋褌邪谢褜薪褘褏 薪芯屑械褉芯胁 胁械褖械泄 锌褉懈薪邪写谢械卸薪芯褋褌械泄 械褖械 懈 褌械屑, 褔褌芯 锌芯 薪械屑褍 屑芯卸薪芯 薪械锌芯褋褉械写褋褌胁械薪薪芯 褋胁褟蟹邪褌褜褋褟 褋 褋褍斜褗械泻褌芯屑 懈 胁屑械褕邪褌褜褋褟 胁 械谐芯 褔邪褋褌薪褍褞 卸懈蟹薪褜, 锌褉懈褔懈薪懈褌褜 械屑褍 斜械褋锌芯泻芯泄褋褌胁芯. 袙芯蟹屑芯卸薪褘: 屑芯褕械薪薪懈褔械褋褌胁芯, 锌褉邪薪泻, 蟹胁芯薪泻懈 薪芯褔褜褞 懈谢懈 褉邪薪薪懈屑 褍褌褉芯屑 胁 胁褘褏芯写薪褘械, 薪械卸械谢邪褌械谢褜薪褘械 褋屑褋, 蟹胁芯薪泻懈, 褋锌邪屑. 袙褋械 褝褌芯 屑芯卸械褌 薪械 褌芯谢褜泻芯 锌褉懈褔懈薪懈褌褜 胁褉械写 蟹写芯褉芯胁褜褞 褋褍斜褗械泻褌邪, 薪邪薪械褋褌懈 褍褖械褉斜 械谐芯 屑邪褌械褉懈邪谢褜薪芯屑褍 斜谢邪谐芯褋芯褋褌芯褟薪懈褞, 薪芯 懈 蟹邪褋褌邪胁懈褌褜 褋褍斜褗械泻褌邪 褋屑械薪懈褌褜 薪芯屑械褉 褌械谢械褎芯薪邪, 懈 写邪卸械 锌芯屑械薪褟褌褜 泻芯薪褌褉芯谢械褉邪, 锌芯 胁懈薪械 泻芯褌芯褉芯谐芯 锌褉芯懈蟹芯褕谢芯 薪邪褉褍褕械薪懈械 械谐芯 锌褉邪胁.

袣芯薪褌邪泻褌薪褘械 写邪薪薪褘械 胁 褑械谢芯屑 (薪芯屑械褉 褌械谢械褎芯薪邪, email, 邪写褉械褋 懈 褌.写.) 锌芯蟹胁芯谢褟褞褌 蟹谢芯褍屑褘褕谢械薪薪懈泻邪屑 胁褋褌褍锌懈褌褜 胁 薪械锌芯褋褉械写褋褌胁械薪薪褘泄 泻芯薪褌邪泻褌 褋 褋褍斜褗械泻褌芯屑 锌褉芯褌懈胁 械谐芯 胁芯谢懈, 褔褌芯斜褘, 锌褉械写锌芯谢芯卸懈屑, 褍谐褉芯卸邪褌褜 械谐芯 卸懈蟹薪懈 懈 斜械蟹芯锌邪褋薪芯褋褌懈, 屑邪薪懈锌褍谢懈褉芯胁邪褌褜 懈屑, 薪邪蟹芯泄谢懈胁芯 蟹邪胁谢邪写械褌褜 械谐芯 胁薪懈屑邪薪懈械屑, 屑械褕邪褌褜 褉邪斜芯褌械 懈 谢懈褔薪芯泄 卸懈蟹薪懈 (胁褌芯褉卸械薪懈械 褋芯谐谢邪褋薪芯 孝邪泻褋芯薪芯屑懈懈 锌褉懈胁邪褌薪芯褋褌懈). 袛芯锌芯谢薪械薪懈械屑 泻 屑械褉邪屑 蟹邪褖懈褌褘 褌邪泻懈褏 写邪薪薪褘褏 写芯谢卸薪邪 斜褘褌褜 褉邪蟹褍屑薪邪褟 芯褋屑芯褌褉懈褌械谢褜薪芯褋褌褜 褋邪屑芯谐芯 褋褍斜褗械泻褌邪 锌褉懈 褉邪褋泻褉褘褌懈懈 褋胁芯懈褏 泻芯薪褌邪泻褌薪褘褏 写邪薪薪褘褏 褌褉械褌褜懈屑 谢懈褑邪屑, 锌芯褋泻芯谢褜泻褍 懈褏 泻芯屑锌褉芯屑械褌邪褑懈褟 屑芯卸械褌 蟹邪褋褌邪胁懈褌褜 褋褍斜褗械泻褌邪 褋屑械薪懈褌褜 薪芯屑械褉 懈谢懈 锌械褉械械褏邪褌褜, 邪 褌邪泻卸械 薪邪褉褍褕懈褌褜 懈薪褌械褉械褋褘 褌褉械褌褜懈褏 谢懈褑, 薪邪锌褉懈屑械褉 褋械屑褜懈 褋褍斜褗械泻褌邪.

袣邪泻 锌芯泻邪蟹邪薪芯 胁褘褕械, 写邪卸械 斜械蟹 锌芯谢薪芯泄 懈写械薪褌懈褎懈泻邪褑懈懈 褋褍斜褗械泻褌邪 锌芯 泻芯薪褌邪泻褌薪褘屑 写邪薪薪褘屑 胁芯蟹屑芯卸薪芯 薪邪褉褍褕械薪懈械 械谐芯 锌褉邪胁. 袣芯薪褎懈写械薪褑懈邪谢褜薪芯褋褌褜 褝褌懈褏 写邪薪薪褘褏 芯斜械褋锌械褔懈胁邪械褌 斜械蟹芯锌邪褋薪芯褋褌褜 卸懈蟹薪懈 懈 蟹写芯褉芯胁褜褟 褋褍斜褗械泻褌邪, 械谐芯 斜谢懈蟹泻懈褏, 锌芯蟹胁芯谢褟械褌 写械褉卸邪褌褜 锌芯写 泻芯薪褌褉芯谢械屑 褋胁芯懈 胁薪械褕薪懈械 泻芯屑屑褍薪懈泻邪褑懈懈, 褋薪懈卸邪械褌 械谐芯 写芯褋褌褍锌薪芯褋褌褜 写谢褟 胁薪械褕薪械谐芯 屑懈褉邪, 胁褘褋褌褉邪懈胁邪械褌 谢懈褔薪褘械 谐褉邪薪懈褑褘 褋褍斜褗械泻褌邪, 芯斜械褉械谐邪械褌 械谐芯 谢懈褔薪芯械 锌褉芯褋褌褉邪薪褋褌胁芯, 褔褌芯 写邪械褌 褋褍斜褗械泻褌褍 泻芯屑褎芯褉褌 懈 褍胁械褉械薪薪芯褋褌褜.


aby uzyska膰 dost臋p do pe艂nego tekstu

(EN) Author
(EN) Elena Sebjakina CIPP/E, Privacy by design
(EN) Data Protection Officer, GDPR Consultant
(EN) Ask a question
Siarhei Varankevich
(EN) Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
(EN) Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant
(EN) Ask a question
Wytyczne & Case Law Motywy

(26) Zasady ochrony danych powinny mie膰 zastosowanie do wszelkich informacji o zidentyfikowanych lub mo偶liwych do zidentyfikowania osobach fizycznych. Spseudonimizowane dane osobowe, kt贸re przy u偶yciu dodatkowych informacji mo偶na przypisa膰 osobie fizycznej, nale偶y uzna膰 za informacje o mo偶liwej do zidentyfikowania osobie fizycznej. Aby stwierdzi膰, czy dana osoba fizyczna jest mo偶liwa do zidentyfikowania, nale偶y wzi膮膰 pod uwag臋 wszelkie rozs膮dnie prawdopodobne sposoby (w tym wyodr臋bnienie wpis贸w dotycz膮cych tej samej osoby), w stosunku do kt贸rych istnieje uzasadnione prawdopodobie艅stwo, i偶 zostan膮 wykorzystane przez administratora lub inn膮 osob臋 w celu bezpo艣redniego lub po艣redniego zidentyfikowania osoby fizycznej. Aby stwierdzi膰, czy dany spos贸b mo偶e by膰 z uzasadnionym prawdopodobie艅stwem wykorzystany do zidentyfikowania danej osoby, nale偶y wzi膮膰 pod uwag臋 wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzgl臋dni膰 technologi臋 dost臋pn膮 w momencie przetwarzania danych, jak i post臋p technologiczny. Zasady ochrony danych nie powinny wi臋c mie膰 zastosowania do informacji anonimowych, czyli informacji, kt贸re nie wi膮偶膮 si臋 ze zidentyfikowan膮 lub mo偶liw膮 do zidentyfikowania osob膮 fizyczn膮, ani do danych osobowych zanonimizowanych w taki spos贸b, 偶e os贸b, kt贸rych dane dotycz膮, w og贸le nie mo偶na zidentyfikowa膰 lub ju偶 nie mo偶na zidentyfikowa膰. Niniejsze rozporz膮dzenie nie dotyczy wi臋c przetwarzania takich anonimowych informacji, w tym przetwarzania do cel贸w statystycznych lub naukowych.

(26) The principles of data protection should apply to any information concerning an identified or identifiable natural person. Personal data which have undergone pseudonymisation, which could be attributed to a natural person by the use of additional information should be considered to be information on an identifiable natural person. To determine whether a natural person is identifiable, account should be taken of all the means reasonably likely to be used, such as singling out, either by the controller or by another person to identify the natural person directly or indirectly. To ascertain whether means are reasonably likely to be used to identify the natural person, account should be taken of all objective factors, such as the costs of and the amount of time required for identification, taking into consideration the available technology at the time of the processing and technological developments. The principles of data protection should therefore not apply to anonymous information, namely information which does not relate to an identified or identifiable natural person or to personal data rendered anonymous in such a manner that the data subject is not or no longer identifiable. This Regulation does not therefore concern the processing of such anonymous information, including for statistical or research purposes.

2) 鈥瀙rzetwarzanie鈥 oznacza operacj臋 lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w spos贸b zautomatyzowany lub niezautomatyzowany, tak膮 jak zbieranie, utrwalanie, organizowanie, porz膮dkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przegl膮danie, wykorzystywanie, ujawnianie poprzez przes艂anie, rozpowszechnianie lub innego rodzaju udost臋pnianie, dopasowywanie lub 艂膮czenie, ograniczanie, usuwanie lub niszczenie;

(2)聽鈥榩rocessing鈥 means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction;

Komentarz eksperta Wytyczne & Case Law
Komentarz eksperta

(EN) Though GDPR Art.4(2) does not mention „purpose”, a „processing” should actually be understood as an operation or set of operations united by one purpose. The purpose determines the role of data controller, legal ground for processing, defines the exception allowing for the processing of special categories of data, it limits processing to one purpose (purpose limitation principle), serves as a criteria for data minimisation, and determines a risk level and scope of data subject rights.

Some operations may serve multiple purposes, for instance, storage of email addresses allows a company to provide login to its website (purpose 1) and to send marketing communications (purpose 2). In that case this operation (storage) is聽 a part of two processing activities at the same time. Stopping one of them (for example as a result of a withdrawal of consent for marketing emails) does not prevent company from continuing the another one (allowing the user to login).


aby uzyska膰 dost臋p do pe艂nego tekstu

(EN) Author
Siarhei Varankevich
(EN) Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
(EN) Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant
(EN) Ask a question
Wytyczne & Case Law

3) 鈥瀘graniczenie przetwarzania鈥 oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przysz艂ego przetwarzania;

(3)聽鈥榬estriction of processing鈥 means the marking of stored personal data with the aim of limiting their processing in the future;

4) 鈥瀙rofilowanie鈥 oznacza dowoln膮 form臋 zautomatyzowanego przetwarzania danych osobowych, kt贸re polega na wykorzystaniu danych osobowych do oceny niekt贸rych czynnik贸w osobowych osoby fizycznej, w szczeg贸lno艣ci do analizy lub prognozy aspekt贸w dotycz膮cych efekt贸w pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowa艅, wiarygodno艣ci, zachowania, lokalizacji lub przemieszczania si臋;

(4)聽鈥榩rofiling鈥 means any form of automated processing of personal data consisting of the use of personal data to evaluate certain personal aspects relating to a natural person, in particular to analyse or predict aspects concerning that natural person’s performance at work, economic situation, health, personal preferences, interests, reliability, behaviour, location or movements;

Wytyczne & Case Law
Wytyczne & Case Law

5) 鈥瀙seudonimizacja鈥 oznacza przetworzenie danych osobowych w taki spos贸b, by nie mo偶na ich by艂o ju偶 przypisa膰 konkretnej osobie, kt贸rej dane dotycz膮, bez u偶ycia dodatkowych informacji, pod warunkiem 偶e takie dodatkowe informacje s膮 przechowywane osobno i s膮 obj臋te 艣rodkami technicznymi i organizacyjnymi uniemo偶liwiaj膮cymi ich przypisanie zidentyfikowanej lub mo偶liwej do zidentyfikowania osobie fizycznej;

(5)聽鈥榩seudonymisation鈥 means the processing of personal data in such a manner that the personal data can no longer be attributed to a specific data subject without the use of additional information, provided that such additional information is kept separately and is subject to technical and organisational measures to ensure that the personal data are not attributed to an identified or identifiable natural person;

Komentarz eksperta Wytyczne & Case Law Motywy
Komentarz eksperta
(EN) Author
Siarhei Varankevich
(EN) Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
(EN) Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant
(EN) Ask a question
Wytyczne & Case Law Motywy

(26) Zasady ochrony danych powinny mie膰 zastosowanie do wszelkich informacji o zidentyfikowanych lub mo偶liwych do zidentyfikowania osobach fizycznych. Spseudonimizowane dane osobowe, kt贸re przy u偶yciu dodatkowych informacji mo偶na przypisa膰 osobie fizycznej, nale偶y uzna膰 za informacje o mo偶liwej do zidentyfikowania osobie fizycznej. Aby stwierdzi膰, czy dana osoba fizyczna jest mo偶liwa do zidentyfikowania, nale偶y wzi膮膰 pod uwag臋 wszelkie rozs膮dnie prawdopodobne sposoby (w tym wyodr臋bnienie wpis贸w dotycz膮cych tej samej osoby), w stosunku do kt贸rych istnieje uzasadnione prawdopodobie艅stwo, i偶 zostan膮 wykorzystane przez administratora lub inn膮 osob臋 w celu bezpo艣redniego lub po艣redniego zidentyfikowania osoby fizycznej. Aby stwierdzi膰, czy dany spos贸b mo偶e by膰 z uzasadnionym prawdopodobie艅stwem wykorzystany do zidentyfikowania danej osoby, nale偶y wzi膮膰 pod uwag臋 wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzgl臋dni膰 technologi臋 dost臋pn膮 w momencie przetwarzania danych, jak i post臋p technologiczny. Zasady ochrony danych nie powinny wi臋c mie膰 zastosowania do informacji anonimowych, czyli informacji, kt贸re nie wi膮偶膮 si臋 ze zidentyfikowan膮 lub mo偶liw膮 do zidentyfikowania osob膮 fizyczn膮, ani do danych osobowych zanonimizowanych w taki spos贸b, 偶e os贸b, kt贸rych dane dotycz膮, w og贸le nie mo偶na zidentyfikowa膰 lub ju偶 nie mo偶na zidentyfikowa膰. Niniejsze rozporz膮dzenie nie dotyczy wi臋c przetwarzania takich anonimowych informacji, w tym przetwarzania do cel贸w statystycznych lub naukowych.

(26) The principles of data protection should apply to any information concerning an identified or identifiable natural person. Personal data which have undergone pseudonymisation, which could be attributed to a natural person by the use of additional information should be considered to be information on an identifiable natural person. To determine whether a natural person is identifiable, account should be taken of all the means reasonably likely to be used, such as singling out, either by the controller or by another person to identify the natural person directly or indirectly. To ascertain whether means are reasonably likely to be used to identify the natural person, account should be taken of all objective factors, such as the costs of and the amount of time required for identification, taking into consideration the available technology at the time of the processing and technological developments. The principles of data protection should therefore not apply to anonymous information, namely information which does not relate to an identified or identifiable natural person or to personal data rendered anonymous in such a manner that the data subject is not or no longer identifiable. This Regulation does not therefore concern the processing of such anonymous information, including for statistical or research purposes.

(28) Pseudonimizacja danych osobowych mo偶e ograniczy膰 ryzyko dla os贸b, kt贸rych dane dotycz膮, oraz pom贸c administratorom i podmiotom przetwarzaj膮cym wywi膮za膰 si臋 z obowi膮zku ochrony danych. Tym samym bezpo艣rednie wprowadzenie poj臋cia 鈥瀙seudonimizacja鈥 w niniejszym rozporz膮dzeniu nie s艂u偶y wykluczeniu innych 艣rodk贸w ochrony danych.

(28) The application of pseudonymisation to personal data can reduce the risks to the data subjects concerned and help controllers and processors to meet their data-protection obligations. The explicit introduction of 鈥榩seudonymisation鈥 in this Regulation is not intended to preclude any other measures of data protection.

(29) Aby zach臋ci膰 do stosowania pseudonimizacji podczas przetwarzania danych osobowych, nale偶y umo偶liwi膰 stosowanie u tego samego administratora 艣rodk贸w pseudonimizacyjnych niewykluczaj膮cych og贸lnej analizy, o ile administrator ten zastosowa艂 艣rodki techniczne i organizacyjne niezb臋dne do tego, by niniejsze rozporz膮dzenie zosta艂o wdro偶one w zakresie danego przetwarzania i by dodatkowe informacje pozwalaj膮ce przypisa膰 dane osobowe konkretnej osobie, kt贸rej dane dotycz膮, by艂y przechowywane osobno. Administrator przetwarzaj膮cy dane osobowe powinien wskaza膰 osoby uprawnione.

(29) In order to create incentives to apply pseudonymisation when processing personal data, measures of pseudonymisation should, whilst allowing general analysis, be possible within the same controller when that controller has taken technical and organisational measures necessary to ensure, for the processing concerned, that this Regulation is implemented, and that additional information for attributing the personal data to a specific data subject is kept separately. The controller processing the personal data should indicate the authorised persons within the same controller.

6) 鈥瀦bi贸r danych鈥 oznacza uporz膮dkowany zestaw danych osobowych dost臋pnych wed艂ug okre艣lonych kryteri贸w, niezale偶nie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;

(6)聽鈥榝iling system鈥 means any structured set of personal data which are accessible according to specific criteria, whether centralised, decentralised or dispersed on a functional or geographical basis;

Komentarz eksperta Wytyczne & Case Law Powi膮zane teksty
Komentarz eksperta
Wytyczne & Case Law Powi膮zane teksty

7) 鈥瀉dministrator鈥 oznacza osob臋 fizyczn膮 lub prawn膮, organ publiczny, jednostk臋 lub inny podmiot, kt贸ry samodzielnie lub wsp贸lnie z innymi ustala cele i sposoby przetwarzania danych osobowych; je偶eli cele i sposoby takiego przetwarzania s膮 okre艣lone w prawie Unii lub w prawie pa艅stwa cz艂onkowskiego, to r贸wnie偶 w prawie Unii lub w prawie pa艅stwa cz艂onkowskiego mo偶e zosta膰 wyznaczony administrator lub mog膮 zosta膰 okre艣lone konkretne kryteria jego wyznaczania;

(7)聽鈥榗ontroller鈥 means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member聽State law;

Komentarz eksperta Wytyczne & Case Law
Komentarz eksperta
Wytyczne & Case Law

8) 鈥瀙odmiot przetwarzaj膮cy鈥 oznacza osob臋 fizyczn膮 lub prawn膮, organ publiczny, jednostk臋 lub inny podmiot, kt贸ry przetwarza dane osobowe w imieniu administratora;

(8)聽鈥榩rocessor鈥 means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller;

Wytyczne & Case Law
Wytyczne & Case Law

9) 鈥瀘dbiorca鈥 oznacza osob臋 fizyczn膮 lub prawn膮, organ publiczny, jednostk臋 lub inny podmiot, kt贸remu ujawnia si臋 dane osobowe, niezale偶nie od tego, czy jest stron膮 trzeci膮. Organy publiczne, kt贸re mog膮 otrzymywa膰 dane osobowe w ramach konkretnego post臋powania zgodnie z prawem Unii lub prawem pa艅stwa cz艂onkowskiego, nie s膮 jednak uznawane za odbiorc贸w; przetwarzanie tych danych przez te organy publiczne musi by膰 zgodne z przepisami o ochronie danych maj膮cymi zastosowanie stosownie do cel贸w przetwarzania;

(9)聽鈥榬ecipient鈥 means a natural or legal person, public authority, agency or another body, to which the personal data are disclosed, whether a third party or not. However, public authorities which may receive personal data in the framework of a particular inquiry in accordance with Union or Member State law聽shall not be regarded as recipients; the processing of those data by those public authorities shall be in compliance with the applicable data protection rules according to the purposes of the processing;

Motywy
Motywy

(31) Organy publiczne, kt贸rym ujawnia si臋 dane osobowe w zwi膮zku z ich prawnym obowi膮zkiem sprawowania funkcji publicznej (takich jak organy podatkowe, organy celne, finansowe jednostki analityki finansowej, niezale偶ne organy administracyjne czy organy rynk贸w finansowych reguluj膮ce i nadzoruj膮ce rynki papier贸w warto艣ciowych), nie powinny by膰 traktowane jako odbiorcy, je偶eli otrzymane przez nie dane osobowe s膮 im niezb臋dne do przeprowadzenia okre艣lonego post臋powania w interesie og贸lnym zgodnie z prawem Unii lub prawem pa艅stwa cz艂onkowskiego. 呕膮danie ujawnienia danych osobowych, z kt贸rym wyst臋puj膮 takie organy publiczne, powinno zawsze mie膰 form臋 pisemn膮, by膰 uzasadnione, mie膰 charakter wyj膮tkowy, nie powinno dotyczy膰 ca艂ego zbioru danych ani prowadzi膰 do po艂膮czenia zbior贸w danych. Przetwarzaj膮c otrzymane dane osobowe, takie organy powinny przestrzega膰 maj膮cych zastosowanie przepis贸w o ochronie danych, zgodnie z celami przetwarzania.

(31) Public authorities to which personal data are disclosed in accordance with a legal obligation for the exercise of their official mission, such as tax and customs authorities, financial investigation units, independent administrative authorities, or financial market authorities responsible for the regulation and supervision of securities markets should not be regarded as recipients if they receive personal data which are necessary to carry out a particular inquiry in the general interest, in accordance with Union or Member State law. The requests聽for disclosure sent by the public authorities should always be in writing, reasoned and occasional and should not concern the entirety of a filing system or lead to the interconnection of filing systems. The processing of personal data by those public authorities should comply with the applicable data-protection rules according to the purposes of the processing.

10) 鈥瀞trona trzecia鈥 oznacza osob臋 fizyczn膮 lub prawn膮, organ publiczny, jednostk臋 lub podmiot inny ni偶 osoba, kt贸rej dane dotycz膮, administrator, podmiot przetwarzaj膮cy czy osoby, kt贸re 鈥 z upowa偶nienia administratora lub podmiotu przetwarzaj膮cego 鈥 mog膮 przetwarza膰 dane osobowe;

(10)聽鈥榯hird party鈥 means a natural or legal person, public authority, agency or body other than the data subject, controller, processor and persons who, under the direct authority of the controller or processor, are authorised to process personal data;

11) 鈥瀦goda鈥 osoby, kt贸rej dane dotycz膮 oznacza dobrowolne, konkretne, 艣wiadome i jednoznaczne okazanie woli, kt贸rym osoba, kt贸rej dane dotycz膮, w formie o艣wiadczenia lub wyra藕nego dzia艂ania potwierdzaj膮cego, przyzwala na przetwarzanie dotycz膮cych jej danych osobowych;

(11)聽鈥榗onsent鈥 of the data subject means any freely given, specific, informed and unambiguous indication of the data subject’s wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her;

Wytyczne & Case Law Motywy Powi膮zane teksty
Wytyczne & Case Law Motywy

(32) Zgoda powinna by膰 wyra偶ona w drodze jednoznacznej, potwierdzaj膮cej czynno艣ci, kt贸ra wyra偶a odnosz膮ce si臋 do okre艣lonej sytuacji dobrowolne, 艣wiadome i jednoznaczne przyzwolenie osoby, kt贸rych dane dotycz膮, na przetwarzanie dotycz膮cych jej danych osobowych i kt贸ra ma na przyk艂ad form臋 pisemnego (w tym elektronicznego) lub ustnego o艣wiadczenia. Mo偶e to polega膰 na zaznaczeniu okienka wyboru podczas przegl膮dania strony internetowej, na wyborze ustawie艅 technicznych do korzystania z us艂ug spo艂ecze艅stwa informacyjnego lub te偶 na innym o艣wiadczeniu b膮d藕 zachowaniu, kt贸re w danym kontek艣cie jasno wskazuje, 偶e osoba, kt贸rej dane dotycz膮, zaakceptowa艂a proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domy艣lnie zaznaczone lub niepodj臋cie dzia艂ania nie powinny zatem oznacza膰 zgody. Zgoda powinna dotyczy膰 wszystkich czynno艣ci przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Je偶eli przetwarzanie s艂u偶y r贸偶nym celom, potrzebna jest zgoda na wszystkie te cele. Je偶eli osoba, kt贸rej dane dotycz膮, ma wyrazi膰 zgod臋 w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi by膰 jasne, zwi臋z艂e i nie zak艂贸ca膰 niepotrzebnie korzystania z us艂ugi, kt贸rej dotyczy.

(32) Consent should be given by a clear affirmative act establishing a freely given, specific, informed and unambiguous indication of the data subject's agreement to the processing of personal data relating to him or her, such as by a written statement, including by electronic means, or an oral statement. This could include ticking a box when visiting an internet website, choosing technical settings for information society services or another statement or conduct which clearly indicates in this context the data subject's acceptance of the proposed processing of his or her personal data. Silence, pre-ticked boxes or inactivity should not therefore constitute consent. Consent should cover all processing activities carried out for the same purpose or purposes. When the processing has multiple purposes, consent should be given for all of them. If the data subject's consent is to be given following a request by electronic means, the request must be clear, concise and not unnecessarily disruptive to the use of the service for which it is provided.

(33) W momencie zbierania danych cz臋sto nie da si臋 w pe艂ni zidentyfikowa膰 celu przetwarzania danych osobowych na potrzeby bada艅 naukowych. Dlatego osoby, kt贸rych dane dotycz膮, powinny m贸c wyrazi膰 zgod臋 na niekt贸re obszary bada艅 naukowych, o ile badania te s膮 zgodne z uznanymi normami etycznymi w zakresie bada艅 naukowych. Osoby, kt贸rych dane dotycz膮, powinny m贸c wyrazi膰 zgod臋 tylko na niekt贸re obszary bada艅 lub elementy projekt贸w badawczych, o ile umo偶liwia to zamierzony cel.

(33) It is often not possible to fully identify the purpose of personal data processing for scientific research purposes at the time of data collection. Therefore, data subjects should be allowed to give their consent to certain areas of scientific research when in keeping with recognised ethical standards for scientific research. Data subjects should have the opportunity to give their consent only to certain areas of research or parts of research projects to the extent allowed by the intended purpose.

Powi膮zane teksty

12) 鈥瀗aruszenie ochrony danych osobowych鈥 oznacza naruszenie bezpiecze艅stwa prowadz膮ce do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dost臋pu do danych osobowych przesy艂anych, przechowywanych lub w inny spos贸b przetwarzanych;

(12)聽鈥榩ersonal data breach鈥 means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed;

Wytyczne & Case Law
Wytyczne & Case Law

13) 鈥瀌ane genetyczne鈥 oznaczaj膮 dane osobowe dotycz膮ce odziedziczonych lub nabytych cech genetycznych osoby fizycznej, kt贸re ujawniaj膮 niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i kt贸re wynikaj膮 w szczeg贸lno艣ci z analizy pr贸bki biologicznej pochodz膮cej od tej osoby fizycznej;

(13)聽鈥榞enetic data鈥 means personal data relating to the inherited or acquired genetic characteristics of a natural person which give unique information about the physiology or the health of that natural person and which result, in particular, from an analysis of a biological sample from the natural person in question;

Wytyczne & Case Law Motywy
Wytyczne & Case Law Motywy

(34) Dane genetyczne nale偶y zdefiniowa膰 jako dane osobowe dotycz膮ce odziedziczonych lub nabytych cech genetycznych osoby fizycznej, uzyskane z analizy pr贸bki biologicznej danej osoby fizycznej, w szczeg贸lno艣ci z analizy chromosom贸w, kwasu dezoksyrybonukleinowego (DNA) lub kwasu rybonukleinowego (RNA) lub z analizy innych element贸w umo偶liwiaj膮cych pozyskanie r贸wnowa偶nych informacji.

(34) Genetic data should be defined as personal data relating to the inherited or acquired genetic characteristics of a natural person which result from the analysis of a biological sample from the natural person in question, in particular chromosomal, deoxyribonucleic acid (DNA) or ribonucleic acid (RNA) analysis, or from the analysis of another element enabling equivalent information to be obtained.

14) 鈥瀌ane biometryczne鈥 oznaczaj膮 dane osobowe, kt贸re wynikaj膮 ze specjalnego przetwarzania technicznego, dotycz膮 cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umo偶liwiaj膮 lub potwierdzaj膮 jednoznaczn膮 identyfikacj臋 tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne;

(14)聽鈥榖iometric data鈥 means personal data resulting from specific technical processing relating to the physical, physiological or behavioural characteristics of a natural person, which allow or confirm the unique identification of that natural person, such as facial images or dactyloscopic data;

Wytyczne & Case Law
Wytyczne & Case Law

15) 鈥瀌ane dotycz膮ce zdrowia鈥 oznaczaj膮 dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej 鈥 w tym o korzystaniu z us艂ug opieki zdrowotnej 鈥 ujawniaj膮ce informacje o stanie jej zdrowia;

(15)聽鈥榙ata concerning health鈥 means personal data related to the physical or mental health of a natural person, including the provision of health care services, which reveal information about his or her health status;

Wytyczne & Case Law Motywy
Wytyczne & Case Law Motywy

(35) Do danych osobowych dotycz膮cych zdrowia nale偶y zaliczy膰 wszystkie dane o stanie zdrowia osoby, kt贸rej dane dotycz膮, ujawniaj膮ce informacje o przesz艂ym, obecnym lub przysz艂ym stanie fizycznego lub psychicznego zdrowia osoby, kt贸rej dane dotycz膮. Do danych takich nale偶膮 informacje o danej osobie fizycznej zbierane podczas jej rejestracji do us艂ug opieki zdrowotnej lub podczas 艣wiadczenia jej us艂ug opieki zdrowotnej, jak to okre艣la dyrektywa Parlamentu Europejskiego i Rady 2011/24/UE [9]; numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby fizycznej do cel贸w zdrowotnych; informacje pochodz膮ce z bada艅 laboratoryjnych lub lekarskich cz臋艣ci cia艂a lub p艂yn贸w ustrojowych, w tym danych genetycznych i pr贸bek biologicznych; oraz wszelkie informacje, na przyk艂ad o chorobie, niepe艂nosprawno艣ci, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, kt贸rej dane dotycz膮, niezale偶nie od ich 藕r贸d艂a, kt贸rym mo偶e by膰 na przyk艂ad lekarz lub inny pracownik s艂u偶by zdrowia, szpital, urz膮dzenie medyczne lub badanie diagnostyczne in vitro.

(35) Personal data concerning health should include all data pertaining to the health status of a data subject which reveal information relating to the past, current or future physical or mental health status of the data subject. This includes information about the natural person collected in the course of the registration for, or the provision of, health care services as referred to in Directive聽2011/24/EU of the European Parliament and of the Council聽[9]聽to that natural person; a number, symbol or particular assigned to a natural person to uniquely identify the natural person for health purposes; information derived from the testing or examination of a body part or bodily substance, including from genetic data and biological samples; and any information on, for example, a disease, disability, disease risk, medical history, clinical treatment or the physiological or biomedical state of the data subject independent of its source, for example from a physician or other health professional, a hospital, a medical device or an in vitro diagnostic test.

[9] Dyrektywa Parlamentu Europejskiego i Rady 2011/24/UE z dnia 9 marca 2011 r. w sprawie stosowania praw pacjent贸w w transgranicznej opiece zdrowotnej (Dz.U. L 88 z 4.4.2011, s. 45). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2011:088:TOC

[9] Directive 2011/24/EU of the European Parliament and of the Council of 9 March 2011 on the application of patients' rights in cross-border healthcare (OJ L 88, 4.4.2011, p. 45). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2011:088:TOC

16) 鈥瀏艂贸wna jednostka organizacyjna鈥 oznacza:

(16)聽鈥榤ain establishment鈥 means:

Motywy
Motywy

(36) G艂贸wn膮 jednostk膮 organizacyjn膮 administratora w Unii powinno by膰 miejsce, w kt贸rym znajduje si臋 jego centralna administracja w Unii, chyba 偶e decyzje co do cel贸w i sposob贸w przetwarzania danych osobowych zapadaj膮 w innej jednostce organizacyjnej administratora w Unii, w kt贸rym to przypadku za g艂贸wn膮 jednostk臋 organizacyjn膮 nale偶y uzna膰 t膮 drug膮 jednostk臋 organizacyjn膮. G艂贸wn膮 jednostk臋 organizacyjn膮 administratora w Unii nale偶y okre艣la膰 na podstawie obiektywnych kryteri贸w; powinna ona oznacza膰 skuteczne i faktycznie zarz膮dzanie za po艣rednictwem stabilnych struktur polegaj膮ce na podejmowaniu najwa偶niejszych decyzji co do cel贸w i sposob贸w przetwarzania. Kryterium to nie powinno zale偶e膰 od faktu, czy przetwarzanie danych osobowych odbywa si臋 w tej lokalizacji. Obecno艣膰 i wykorzystywanie 艣rodk贸w technicznych i technologii do przetwarzania danych osobowych lub do czynno艣ci przetwarzania nie stanowi膮 same w sobie o g艂贸wnej jednostce organizacyjnej, nie s膮 wi臋c kryteriami decyduj膮cymi o jej okre艣leniu. G艂贸wn膮 jednostk膮 organizacyjn膮 podmiotu przetwarzaj膮cego powinno by膰 miejsce, w kt贸rym znajduje si臋 jego centralna administracja w Unii, a je偶eli nie ma on centralnej administracji w Unii 鈥 miejsce, w kt贸rym odbywaj膮 si臋 g艂贸wne czynno艣ci przetwarzania w Unii. Je偶eli sprawa dotyczy zar贸wno administratora, jak i podmiotu przetwarzaj膮cego, w艂a艣ciwym wiod膮cym organem nadzorczym powinien pozosta膰 organ nadzorczy pa艅stwa cz艂onkowskiego, w kt贸rym administrator ma g艂贸wn膮 jednostk臋 organizacyjn膮, ale organ nadzorczy podmiotu przetwarzaj膮cego powinien by膰 uznawany za organ nadzorczy, kt贸rego sprawa dotyczy, i powinien uczestniczy膰 w procedurze wsp贸艂pracy przewidzianej w niniejszym rozporz膮dzeniu. Organy nadzorcze pa艅stwa cz艂onkowskiego lub pa艅stw cz艂onkowskich, w kt贸rych podmiot przetwarzaj膮cy ma co najmniej jedn膮 jednostk臋 organizacyjn膮, nie powinny by膰 w 偶adnym przypadku uznawane za organy nadzorcze, kt贸rych sprawa dotyczy, je偶eli projekt decyzji dotyczy wy艂膮cznie administratora. Je偶eli przetwarzania dokonuje grupa przedsi臋biorstw, za jej g艂贸wn膮 jednostk臋 organizacyjn膮 nale偶y uzna膰 g艂贸wn膮 jednostk臋 organizacyjn膮 przedsi臋biorstwa sprawuj膮cego kontrol臋, chyba 偶e cel i sposoby przetwarzania okre艣la inne przedsi臋biorstwo.

(36) The main establishment of a controller in the Union should be the place of its central administration in the Union, unless the decisions on the purposes and means of the processing of personal data are taken in another establishment of the controller in the Union, in which case that other establishment should be considered to be the main establishment. The main establishment of a controller in the Union should be determined according to objective criteria and should imply the effective and real exercise of management activities determining the main decisions as to the purposes and means of processing through stable arrangements. That criterion should not depend on whether the processing of personal data is carried out at that location. The presence and use of technical means and technologies for processing personal data or processing activities do not, in themselves, constitute a main establishment and are therefore not determining criteria for a main establishment. The main establishment of the processor should be the place of its central administration in the Union or, if it has no central administration in the Union, the place where the main processing activities take place in the Union. In cases involving both the controller and the processor, the competent lead supervisory authority should remain the supervisory authority of the Member State where the controller has its main establishment, but the supervisory authority of the processor should be considered to be a supervisory authority concerned and that supervisory authority should participate in the cooperation procedure provided for by this Regulation. In any case, the supervisory authorities of the Member State or Member聽States where the processor has one or more establishments should not be considered to be supervisory authorities concerned where the draft decision concerns only the controller. Where the processing is carried out by a group of undertakings, the main establishment of the controlling undertaking should be considered to be the main establishment of the group of undertakings, except where the purposes and means of processing are determined by another undertaking.

a) je偶eli chodzi o administratora posiadaj膮cego jednostki organizacyjne w wi臋cej ni偶 jednym pa艅stwie cz艂onkowskim 鈥 miejsce, w kt贸rym znajduje si臋 jego centralna administracja w Unii, a je偶eli decyzje co do cel贸w i sposob贸w przetwarzania danych osobowych zapadaj膮 w innej jednostce organizacyjnej tego administratora w Unii i ta jednostka organizacyjna ma prawo nakaza膰 wykonanie takich decyzji, to za g艂贸wn膮 jednostk臋 organizacyjn膮 uznaje si臋 jednostk臋 organizacyjn膮, w kt贸rej zapadaj膮 takie decyzje;

(a)聽as regards a controller with establishments in more than one Member State, the place of its central administration in the Union, unless the decisions on the purposes and means of the processing of personal data are taken in another establishment of the controller in the Union and the latter establishment has the power to have such decisions implemented, in which case the establishment having taken such decisions is to be considered to be the main establishment;

b) je偶eli chodzi o podmiot przetwarzaj膮cy posiadaj膮cy jednostki organizacyjne w wi臋cej ni偶 jednym pa艅stwie cz艂onkowskim 鈥 miejsce, w kt贸rym znajduje si臋 jego centralna administracja w Unii lub, w przypadku gdy podmiot przetwarzaj膮cy nie ma centralnej administracji w Unii 鈥 jednostk臋 organizacyjn膮 podmiotu przetwarzaj膮cego w Unii, w kt贸rej odbywaj膮 si臋 g艂贸wne czynno艣ci przetwarzania w ramach dzia艂alno艣ci jednostki organizacyjnej podmiotu przetwarzaj膮cego, w zakresie w jakim podmiot przetwarzaj膮cy podlega szczeg贸lnym obowi膮zkom na mocy niniejszego rozporz膮dzenia;

(b)聽as regards a processor with establishments in more than one Member State, the place of its central administration in the Union, or, if the processor has no central administration in the Union, the establishment of the processor in the Union where the main processing activities in the context of the activities of an establishment of the processor take place to the extent that the processor is subject to specific obligations under this Regulation;

Powi膮zane teksty
Powi膮zane teksty

17) 鈥瀙rzedstawiciel鈥 oznacza osob臋 fizyczn膮 lub prawn膮 maj膮c膮 miejsce zamieszkania lub siedzib臋 w Unii, kt贸ra zosta艂a wyznaczona na pi艣mie przez administratora lub podmiot przetwarzaj膮cy na mocy art. 27 do reprezentowania administratora lub podmiotu przetwarzaj膮cego w zakresie ich obowi膮zk贸w wynikaj膮cych z niniejszego rozporz膮dzenia;

(17)聽鈥榬epresentative鈥 means a natural or legal person established in the Union who, designated by the controller or processor in writing pursuant to Article聽27, represents the controller or processor with regard to their respective obligations under this Regulation;

Powi膮zane teksty
Powi膮zane teksty

18) 鈥瀙rzedsi臋biorca鈥 oznacza osob臋 fizyczn膮 lub prawn膮 prowadz膮c膮 dzia艂alno艣膰 gospodarcz膮, niezale偶nie od formy prawnej, w tym sp贸艂ki osobowe lub zrzeszenia prowadz膮ce regularn膮 dzia艂alno艣膰 gospodarcz膮;

(18)聽鈥榚nterprise鈥 means a natural or legal person engaged in an economic activity, irrespective of its legal form, including partnerships or associations regularly engaged in an economic activity;

19) 鈥瀏rupa przedsi臋biorstw鈥 oznacza przedsi臋biorstwo sprawuj膮ce kontrol臋 oraz przedsi臋biorstwa przez nie kontrolowane;

(19)聽鈥榞roup of undertakings鈥 means a controlling undertaking and its controlled undertakings;

Komentarz eksperta Motywy
Komentarz eksperta
Motywy

(37) Grupa przedsi臋biorstw powinna obejmowa膰 przedsi臋biorstwo sprawuj膮ce kontrol臋 oraz przedsi臋biorstwa kontrolowane, przy czym przedsi臋biorstwo sprawuj膮ce kontrol臋 powinno by膰 przedsi臋biorstwem, kt贸re mo偶e wywiera膰 dominuj膮cy wp艂yw na pozosta艂e przedsi臋biorstwa ze wzgl臋du na przyk艂ad na struktur臋 w艂a艣cicielsk膮, udzia艂 finansowy lub przepisy reguluj膮ce jego dzia艂alno艣膰, lub te偶 uprawnienia do nakazywania wdro偶enia przepis贸w o ochronie danych osobowych. Za grup臋 przedsi臋biorstw nale偶y uzna膰 przedsi臋biorstwo kontroluj膮ce przetwarzanie danych osobowych w przedsi臋biorstwach powi膮zanych z nim, wraz z tymi przedsi臋biorstwami.

(37) A group of undertakings should cover a controlling undertaking and its controlled undertakings, whereby the controlling undertaking should be the undertaking which can exert a dominant influence over the other undertakings by virtue, for example, of ownership, financial participation or the rules which govern it or the power to have personal data protection rules implemented. An undertaking which controls the processing of personal data in undertakings affiliated to it should be regarded, together with those undertakings, as a group of undertakings.

20) 鈥瀢i膮偶膮ce regu艂y korporacyjne鈥 oznaczaj膮 polityki ochrony danych osobowych stosowane przez administratora lub podmiot przetwarzaj膮cy, kt贸rzy posiadaj膮 jednostk臋 organizacyjn膮 na terytorium pa艅stwa cz艂onkowskiego, przy jednorazowym lub wielokrotnym przekazaniu danych osobowych administratorowi lub podmiotowi przetwarzaj膮cemu w co najmniej jednym pa艅stwie trzecim w ramach grupy przedsi臋biorstw lub grupy przedsi臋biorc贸w prowadz膮cych wsp贸ln膮 dzia艂alno艣膰 gospodarcz膮;

(20)聽鈥榖inding corporate rules鈥 means personal data protection policies which are adhered to by a controller or processor established on the territory of a Member State for transfers or a set of transfers of personal data to a controller or processor in one or more third countries within a group of undertakings, or group of enterprises engaged in a joint economic activity;

21) 鈥瀘rgan nadzorczy鈥 oznacza niezale偶ny organ publiczny ustanowiony przez pa艅stwo cz艂onkowskie zgodnie z art. 51;

(21)聽鈥榮upervisory authority鈥 means an independent public authority which is established by a Member State pursuant to Article聽51;

22) 鈥瀘rgan nadzorczy, kt贸rego sprawa dotyczy鈥 oznacza organ nadzorczy, kt贸rego dotyczy przetwarzanie danych osobowych, poniewa偶:

(22)聽鈥榮upervisory authority concerned鈥 means a supervisory authority which is concerned by the processing of personal data because:

Motywy
Motywy

(36) G艂贸wn膮 jednostk膮 organizacyjn膮 administratora w Unii powinno by膰 miejsce, w kt贸rym znajduje si臋 jego centralna administracja w Unii, chyba 偶e decyzje co do cel贸w i sposob贸w przetwarzania danych osobowych zapadaj膮 w innej jednostce organizacyjnej administratora w Unii, w kt贸rym to przypadku za g艂贸wn膮 jednostk臋 organizacyjn膮 nale偶y uzna膰 t膮 drug膮 jednostk臋 organizacyjn膮. G艂贸wn膮 jednostk臋 organizacyjn膮 administratora w Unii nale偶y okre艣la膰 na podstawie obiektywnych kryteri贸w; powinna ona oznacza膰 skuteczne i faktycznie zarz膮dzanie za po艣rednictwem stabilnych struktur polegaj膮ce na podejmowaniu najwa偶niejszych decyzji co do cel贸w i sposob贸w przetwarzania. Kryterium to nie powinno zale偶e膰 od faktu, czy przetwarzanie danych osobowych odbywa si臋 w tej lokalizacji. Obecno艣膰 i wykorzystywanie 艣rodk贸w technicznych i technologii do przetwarzania danych osobowych lub do czynno艣ci przetwarzania nie stanowi膮 same w sobie o g艂贸wnej jednostce organizacyjnej, nie s膮 wi臋c kryteriami decyduj膮cymi o jej okre艣leniu. G艂贸wn膮 jednostk膮 organizacyjn膮 podmiotu przetwarzaj膮cego powinno by膰 miejsce, w kt贸rym znajduje si臋 jego centralna administracja w Unii, a je偶eli nie ma on centralnej administracji w Unii 鈥 miejsce, w kt贸rym odbywaj膮 si臋 g艂贸wne czynno艣ci przetwarzania w Unii. Je偶eli sprawa dotyczy zar贸wno administratora, jak i podmiotu przetwarzaj膮cego, w艂a艣ciwym wiod膮cym organem nadzorczym powinien pozosta膰 organ nadzorczy pa艅stwa cz艂onkowskiego, w kt贸rym administrator ma g艂贸wn膮 jednostk臋 organizacyjn膮, ale organ nadzorczy podmiotu przetwarzaj膮cego powinien by膰 uznawany za organ nadzorczy, kt贸rego sprawa dotyczy, i powinien uczestniczy膰 w procedurze wsp贸艂pracy przewidzianej w niniejszym rozporz膮dzeniu. Organy nadzorcze pa艅stwa cz艂onkowskiego lub pa艅stw cz艂onkowskich, w kt贸rych podmiot przetwarzaj膮cy ma co najmniej jedn膮 jednostk臋 organizacyjn膮, nie powinny by膰 w 偶adnym przypadku uznawane za organy nadzorcze, kt贸rych sprawa dotyczy, je偶eli projekt decyzji dotyczy wy艂膮cznie administratora. Je偶eli przetwarzania dokonuje grupa przedsi臋biorstw, za jej g艂贸wn膮 jednostk臋 organizacyjn膮 nale偶y uzna膰 g艂贸wn膮 jednostk臋 organizacyjn膮 przedsi臋biorstwa sprawuj膮cego kontrol臋, chyba 偶e cel i sposoby przetwarzania okre艣la inne przedsi臋biorstwo.

(36) The main establishment of a controller in the Union should be the place of its central administration in the Union, unless the decisions on the purposes and means of the processing of personal data are taken in another establishment of the controller in the Union, in which case that other establishment should be considered to be the main establishment. The main establishment of a controller in the Union should be determined according to objective criteria and should imply the effective and real exercise of management activities determining the main decisions as to the purposes and means of processing through stable arrangements. That criterion should not depend on whether the processing of personal data is carried out at that location. The presence and use of technical means and technologies for processing personal data or processing activities do not, in themselves, constitute a main establishment and are therefore not determining criteria for a main establishment. The main establishment of the processor should be the place of its central administration in the Union or, if it has no central administration in the Union, the place where the main processing activities take place in the Union. In cases involving both the controller and the processor, the competent lead supervisory authority should remain the supervisory authority of the Member State where the controller has its main establishment, but the supervisory authority of the processor should be considered to be a supervisory authority concerned and that supervisory authority should participate in the cooperation procedure provided for by this Regulation. In any case, the supervisory authorities of the Member State or Member聽States where the processor has one or more establishments should not be considered to be supervisory authorities concerned where the draft decision concerns only the controller. Where the processing is carried out by a group of undertakings, the main establishment of the controlling undertaking should be considered to be the main establishment of the group of undertakings, except where the purposes and means of processing are determined by another undertaking.

a) administrator lub podmiot przetwarzaj膮cy posiadaj膮 jednostk臋 organizacyjn膮 na terytorium pa艅stwa cz艂onkowskiego tego organu nadzorczego;

(a)聽the controller or processor is established on the territory of the Member聽State of that supervisory authority;

b) przetwarzanie znacznie wp艂ywa lub mo偶e znacznie wp艂yn膮膰 na osoby, kt贸rych dane dotycz膮, maj膮ce miejsce zamieszkania w pa艅stwie cz艂onkowskim tego organu nadzorczego; lub

(b)聽data subjects residing in the Member聽State of that supervisory authority are substantially affected or likely to be substantially affected by the processing; or

c) wniesiono do niego skarg臋;

(c)聽a complaint has been lodged with that supervisory authority;

23) 鈥瀟ransgraniczne przetwarzanie鈥 oznacza:

(23)聽鈥榗ross-border processing鈥 means either:

a) przetwarzanie danych osobowych, kt贸re odbywa si臋 w Unii w ramach dzia艂alno艣ci jednostek organizacyjnych w wi臋cej, ni偶 jednym pa艅stwie cz艂onkowskim administratora lub podmiotu przetwarzaj膮cego w Unii posiadaj膮cego jednostki organizacyjne w wi臋cej ni偶 jednym pa艅stwie cz艂onkowskim; albo

(a)聽processing of personal data which takes place in the context of the activities of establishments in more than one Member聽State of a controller or processor in the Union where the controller or processor is established in more than one Member聽State; or

b) przetwarzanie danych osobowych, kt贸re odbywa si臋 w Unii w ramach dzia艂alno艣ci pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzaj膮cego w Unii, ale kt贸re znacznie wp艂ywa lub mo偶e znacznie wp艂yn膮膰 na osoby, kt贸rych dane dotycz膮, w wi臋cej ni偶 jednym pa艅stwie cz艂onkowskim;

(b)聽processing of personal data which takes place in the context of the activities of a single establishment of a controller or processor in the Union but which substantially affects or is likely to substantially affect data subjects in more than one Member聽State.

Powi膮zane teksty
Powi膮zane teksty

24) 鈥瀖aj膮cy znaczenie dla sprawy i uzasadniony sprzeciw鈥 oznacza sprzeciw wobec projektu decyzji dotycz膮cej tego, czy dosz艂o do naruszenia niniejszego rozporz膮dzenia lub czy planowane dzia艂anie wobec administratora lub podmiotu przetwarzaj膮cego jest zgodne z niniejszym rozporz膮dzeniem, kt贸ry to sprzeciw musi jasno wskazywa膰 wag臋 wynikaj膮cego z projektu decyzji ryzyka naruszenia podstawowych praw lub wolno艣ci os贸b, kt贸rych dane dotycz膮, oraz gdy ma to zastosowanie 鈥 wag臋 ryzyka zak艂贸cenia swobodnego przep艂ywu danych osobowych w Unii;

(24)聽鈥榬elevant and reasoned objection鈥 means an objection to a draft decision as to whether there is an infringement of this Regulation, or whether envisaged action in relation to the controller or processor complies with this Regulation, which clearly demonstrates the significance of the risks posed by the draft decision as regards the fundamental rights and freedoms of data subjects and, where applicable, the free flow of personal data within the Union;

Wytyczne & Case Law
Wytyczne & Case Law

25) 鈥瀠s艂uga spo艂ecze艅stwa informacyjnego鈥 oznacza us艂ug臋 w rozumieniu art. 1 ust. 1 lit. b) dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/1535 (19);

(25)聽鈥榠nformation society service鈥 means a service as defined in point聽(b) of Article聽1(1) of Directive (EU) 2015/1535 of the European Parliament and of the Council聽[19];

Powi膮zane teksty
Powi膮zane teksty

[19] Dyrektywa (UE) 2015/1535 Parlamentu Europejskiego i Rady z dnia 9 wrze艣nia 2015 r. ustanawiaj膮ca procedur臋 udzielania informacji w dziedzinie przepis贸w technicznych oraz zasad dotycz膮cych us艂ug spo艂ecze艅stwa informacyjnego (Dz.U. L 241 z 17.9.2015, s. 1). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2015:241:TOC

[19] Directive (EU) 2015/1535 of the European Parliament and of the Council of 9 September 2015 laying down a procedure for the provision of information in the field of technical regulations and of rules on Information Society services (OJ L 241, 17.9.2015, p. 1). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2015:241:TOC

26) 鈥瀘rganizacja mi臋dzynarodowa鈥 oznacza organizacj臋 i organy jej podlegaj膮ce dzia艂aj膮ce na podstawie prawa mi臋dzynarodowego publicznego lub inny organ powo艂any w drodze umowy mi臋dzy co najmniej dwoma pa艅stwami lub na podstawie takiej umowy.

(26)聽鈥榠nternational organisation鈥 means an organisation and its subordinate bodies governed by public international law, or any other body which is set up by, or on the basis of, an agreement between two or more countries.

Og贸lne rozporz膮dzenie o ochronie danych (RODO)

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

Motywy zostaw komentarz
Motywy

(26) Zasady ochrony danych powinny mie膰 zastosowanie do wszelkich informacji o zidentyfikowanych lub mo偶liwych do zidentyfikowania osobach fizycznych. Spseudonimizowane dane osobowe, kt贸re przy u偶yciu dodatkowych informacji mo偶na przypisa膰 osobie fizycznej, nale偶y uzna膰 za informacje o mo偶liwej do zidentyfikowania osobie fizycznej. Aby stwierdzi膰, czy dana osoba fizyczna jest mo偶liwa do zidentyfikowania, nale偶y wzi膮膰 pod uwag臋 wszelkie rozs膮dnie prawdopodobne sposoby (w tym wyodr臋bnienie wpis贸w dotycz膮cych tej samej osoby), w stosunku do kt贸rych istnieje uzasadnione prawdopodobie艅stwo, i偶 zostan膮 wykorzystane przez administratora lub inn膮 osob臋 w celu bezpo艣redniego lub po艣redniego zidentyfikowania osoby fizycznej. Aby stwierdzi膰, czy dany spos贸b mo偶e by膰 z uzasadnionym prawdopodobie艅stwem wykorzystany do zidentyfikowania danej osoby, nale偶y wzi膮膰 pod uwag臋 wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzgl臋dni膰 technologi臋 dost臋pn膮 w momencie przetwarzania danych, jak i post臋p technologiczny. Zasady ochrony danych nie powinny wi臋c mie膰 zastosowania do informacji anonimowych, czyli informacji, kt贸re nie wi膮偶膮 si臋 ze zidentyfikowan膮 lub mo偶liw膮 do zidentyfikowania osob膮 fizyczn膮, ani do danych osobowych zanonimizowanych w taki spos贸b, 偶e os贸b, kt贸rych dane dotycz膮, w og贸le nie mo偶na zidentyfikowa膰 lub ju偶 nie mo偶na zidentyfikowa膰. Niniejsze rozporz膮dzenie nie dotyczy wi臋c przetwarzania takich anonimowych informacji, w tym przetwarzania do cel贸w statystycznych lub naukowych.

(26) The principles of data protection should apply to any information concerning an identified or identifiable natural person. Personal data which have undergone pseudonymisation, which could be attributed to a natural person by the use of additional information should be considered to be information on an identifiable natural person. To determine whether a natural person is identifiable, account should be taken of all the means reasonably likely to be used, such as singling out, either by the controller or by another person to identify the natural person directly or indirectly. To ascertain whether means are reasonably likely to be used to identify the natural person, account should be taken of all objective factors, such as the costs of and the amount of time required for identification, taking into consideration the available technology at the time of the processing and technological developments. The principles of data protection should therefore not apply to anonymous information, namely information which does not relate to an identified or identifiable natural person or to personal data rendered anonymous in such a manner that the data subject is not or no longer identifiable. This Regulation does not therefore concern the processing of such anonymous information, including for statistical or research purposes.

(27) Niniejsze rozporz膮dzenie nie ma zastosowania do danych osobowych os贸b zmar艂ych. Pa艅stwa cz艂onkowskie mog膮 przyj膮膰 przepisy o przetwarzaniu danych osobowych os贸b zmar艂ych.

(27) This Regulation does not apply to the personal data of deceased persons. Member聽States may provide for rules regarding the processing of personal data of deceased persons.

(28) Pseudonimizacja danych osobowych mo偶e ograniczy膰 ryzyko dla os贸b, kt贸rych dane dotycz膮, oraz pom贸c administratorom i podmiotom przetwarzaj膮cym wywi膮za膰 si臋 z obowi膮zku ochrony danych. Tym samym bezpo艣rednie wprowadzenie poj臋cia 鈥瀙seudonimizacja鈥 w niniejszym rozporz膮dzeniu nie s艂u偶y wykluczeniu innych 艣rodk贸w ochrony danych.

(28) The application of pseudonymisation to personal data can reduce the risks to the data subjects concerned and help controllers and processors to meet their data-protection obligations. The explicit introduction of 鈥榩seudonymisation鈥 in this Regulation is not intended to preclude any other measures of data protection.

(29) Aby zach臋ci膰 do stosowania pseudonimizacji podczas przetwarzania danych osobowych, nale偶y umo偶liwi膰 stosowanie u tego samego administratora 艣rodk贸w pseudonimizacyjnych niewykluczaj膮cych og贸lnej analizy, o ile administrator ten zastosowa艂 艣rodki techniczne i organizacyjne niezb臋dne do tego, by niniejsze rozporz膮dzenie zosta艂o wdro偶one w zakresie danego przetwarzania i by dodatkowe informacje pozwalaj膮ce przypisa膰 dane osobowe konkretnej osobie, kt贸rej dane dotycz膮, by艂y przechowywane osobno. Administrator przetwarzaj膮cy dane osobowe powinien wskaza膰 osoby uprawnione.

(29) In order to create incentives to apply pseudonymisation when processing personal data, measures of pseudonymisation should, whilst allowing general analysis, be possible within the same controller when that controller has taken technical and organisational measures necessary to ensure, for the processing concerned, that this Regulation is implemented, and that additional information for attributing the personal data to a specific data subject is kept separately. The controller processing the personal data should indicate the authorised persons within the same controller.

(30) Osobom fizycznym mog膮 zosta膰 przypisane identyfikatory internetowe 鈥 takie jak adresy IP, identyfikatory plik贸w cookie 鈥 generowane przez ich urz膮dzenia, aplikacje, narz臋dzia i protoko艂y, czy te偶 inne identyfikatory, generowane na przyk艂ad przez etykiety RFID. Mo偶e to skutkowa膰 zostawianiem 艣lad贸w, kt贸re w szczeg贸lno艣ci w po艂膮czeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mog膮 by膰 wykorzystywane do tworzenia profili i do identyfikowania tych os贸b.

(30) Natural persons may be associated with online identifiers provided by their devices, applications, tools and protocols, such as internet protocol addresses, cookie identifiers or other identifiers such as radio frequency identification tags. This may leave traces which, in particular when combined with unique identifiers and other information received by the servers, may be used to create profiles of the natural persons and identify them.

(31) Organy publiczne, kt贸rym ujawnia si臋 dane osobowe w zwi膮zku z ich prawnym obowi膮zkiem sprawowania funkcji publicznej (takich jak organy podatkowe, organy celne, finansowe jednostki analityki finansowej, niezale偶ne organy administracyjne czy organy rynk贸w finansowych reguluj膮ce i nadzoruj膮ce rynki papier贸w warto艣ciowych), nie powinny by膰 traktowane jako odbiorcy, je偶eli otrzymane przez nie dane osobowe s膮 im niezb臋dne do przeprowadzenia okre艣lonego post臋powania w interesie og贸lnym zgodnie z prawem Unii lub prawem pa艅stwa cz艂onkowskiego. 呕膮danie ujawnienia danych osobowych, z kt贸rym wyst臋puj膮 takie organy publiczne, powinno zawsze mie膰 form臋 pisemn膮, by膰 uzasadnione, mie膰 charakter wyj膮tkowy, nie powinno dotyczy膰 ca艂ego zbioru danych ani prowadzi膰 do po艂膮czenia zbior贸w danych. Przetwarzaj膮c otrzymane dane osobowe, takie organy powinny przestrzega膰 maj膮cych zastosowanie przepis贸w o ochronie danych, zgodnie z celami przetwarzania.

(31) Public authorities to which personal data are disclosed in accordance with a legal obligation for the exercise of their official mission, such as tax and customs authorities, financial investigation units, independent administrative authorities, or financial market authorities responsible for the regulation and supervision of securities markets should not be regarded as recipients if they receive personal data which are necessary to carry out a particular inquiry in the general interest, in accordance with Union or Member State law. The requests聽for disclosure sent by the public authorities should always be in writing, reasoned and occasional and should not concern the entirety of a filing system or lead to the interconnection of filing systems. The processing of personal data by those public authorities should comply with the applicable data-protection rules according to the purposes of the processing.

(32) Zgoda powinna by膰 wyra偶ona w drodze jednoznacznej, potwierdzaj膮cej czynno艣ci, kt贸ra wyra偶a odnosz膮ce si臋 do okre艣lonej sytuacji dobrowolne, 艣wiadome i jednoznaczne przyzwolenie osoby, kt贸rych dane dotycz膮, na przetwarzanie dotycz膮cych jej danych osobowych i kt贸ra ma na przyk艂ad form臋 pisemnego (w tym elektronicznego) lub ustnego o艣wiadczenia. Mo偶e to polega膰 na zaznaczeniu okienka wyboru podczas przegl膮dania strony internetowej, na wyborze ustawie艅 technicznych do korzystania z us艂ug spo艂ecze艅stwa informacyjnego lub te偶 na innym o艣wiadczeniu b膮d藕 zachowaniu, kt贸re w danym kontek艣cie jasno wskazuje, 偶e osoba, kt贸rej dane dotycz膮, zaakceptowa艂a proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domy艣lnie zaznaczone lub niepodj臋cie dzia艂ania nie powinny zatem oznacza膰 zgody. Zgoda powinna dotyczy膰 wszystkich czynno艣ci przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Je偶eli przetwarzanie s艂u偶y r贸偶nym celom, potrzebna jest zgoda na wszystkie te cele. Je偶eli osoba, kt贸rej dane dotycz膮, ma wyrazi膰 zgod臋 w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi by膰 jasne, zwi臋z艂e i nie zak艂贸ca膰 niepotrzebnie korzystania z us艂ugi, kt贸rej dotyczy.

(32) Consent should be given by a clear affirmative act establishing a freely given, specific, informed and unambiguous indication of the data subject's agreement to the processing of personal data relating to him or her, such as by a written statement, including by electronic means, or an oral statement. This could include ticking a box when visiting an internet website, choosing technical settings for information society services or another statement or conduct which clearly indicates in this context the data subject's acceptance of the proposed processing of his or her personal data. Silence, pre-ticked boxes or inactivity should not therefore constitute consent. Consent should cover all processing activities carried out for the same purpose or purposes. When the processing has multiple purposes, consent should be given for all of them. If the data subject's consent is to be given following a request by electronic means, the request must be clear, concise and not unnecessarily disruptive to the use of the service for which it is provided.

(33) W momencie zbierania danych cz臋sto nie da si臋 w pe艂ni zidentyfikowa膰 celu przetwarzania danych osobowych na potrzeby bada艅 naukowych. Dlatego osoby, kt贸rych dane dotycz膮, powinny m贸c wyrazi膰 zgod臋 na niekt贸re obszary bada艅 naukowych, o ile badania te s膮 zgodne z uznanymi normami etycznymi w zakresie bada艅 naukowych. Osoby, kt贸rych dane dotycz膮, powinny m贸c wyrazi膰 zgod臋 tylko na niekt贸re obszary bada艅 lub elementy projekt贸w badawczych, o ile umo偶liwia to zamierzony cel.

(33) It is often not possible to fully identify the purpose of personal data processing for scientific research purposes at the time of data collection. Therefore, data subjects should be allowed to give their consent to certain areas of scientific research when in keeping with recognised ethical standards for scientific research. Data subjects should have the opportunity to give their consent only to certain areas of research or parts of research projects to the extent allowed by the intended purpose.

(34) Dane genetyczne nale偶y zdefiniowa膰 jako dane osobowe dotycz膮ce odziedziczonych lub nabytych cech genetycznych osoby fizycznej, uzyskane z analizy pr贸bki biologicznej danej osoby fizycznej, w szczeg贸lno艣ci z analizy chromosom贸w, kwasu dezoksyrybonukleinowego (DNA) lub kwasu rybonukleinowego (RNA) lub z analizy innych element贸w umo偶liwiaj膮cych pozyskanie r贸wnowa偶nych informacji.

(34) Genetic data should be defined as personal data relating to the inherited or acquired genetic characteristics of a natural person which result from the analysis of a biological sample from the natural person in question, in particular chromosomal, deoxyribonucleic acid (DNA) or ribonucleic acid (RNA) analysis, or from the analysis of another element enabling equivalent information to be obtained.

(35) Do danych osobowych dotycz膮cych zdrowia nale偶y zaliczy膰 wszystkie dane o stanie zdrowia osoby, kt贸rej dane dotycz膮, ujawniaj膮ce informacje o przesz艂ym, obecnym lub przysz艂ym stanie fizycznego lub psychicznego zdrowia osoby, kt贸rej dane dotycz膮. Do danych takich nale偶膮 informacje o danej osobie fizycznej zbierane podczas jej rejestracji do us艂ug opieki zdrowotnej lub podczas 艣wiadczenia jej us艂ug opieki zdrowotnej, jak to okre艣la dyrektywa Parlamentu Europejskiego i Rady 2011/24/UE [9]; numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby fizycznej do cel贸w zdrowotnych; informacje pochodz膮ce z bada艅 laboratoryjnych lub lekarskich cz臋艣ci cia艂a lub p艂yn贸w ustrojowych, w tym danych genetycznych i pr贸bek biologicznych; oraz wszelkie informacje, na przyk艂ad o chorobie, niepe艂nosprawno艣ci, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, kt贸rej dane dotycz膮, niezale偶nie od ich 藕r贸d艂a, kt贸rym mo偶e by膰 na przyk艂ad lekarz lub inny pracownik s艂u偶by zdrowia, szpital, urz膮dzenie medyczne lub badanie diagnostyczne in vitro.

(35) Personal data concerning health should include all data pertaining to the health status of a data subject which reveal information relating to the past, current or future physical or mental health status of the data subject. This includes information about the natural person collected in the course of the registration for, or the provision of, health care services as referred to in Directive聽2011/24/EU of the European Parliament and of the Council聽[9]聽to that natural person; a number, symbol or particular assigned to a natural person to uniquely identify the natural person for health purposes; information derived from the testing or examination of a body part or bodily substance, including from genetic data and biological samples; and any information on, for example, a disease, disability, disease risk, medical history, clinical treatment or the physiological or biomedical state of the data subject independent of its source, for example from a physician or other health professional, a hospital, a medical device or an in vitro diagnostic test.

[9] Dyrektywa Parlamentu Europejskiego i Rady 2011/24/UE z dnia 9 marca 2011 r. w sprawie stosowania praw pacjent贸w w transgranicznej opiece zdrowotnej (Dz.U. L 88 z 4.4.2011, s. 45). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2011:088:TOC

[9] Directive 2011/24/EU of the European Parliament and of the Council of 9 March 2011 on the application of patients' rights in cross-border healthcare (OJ L 88, 4.4.2011, p. 45). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2011:088:TOC

(36) G艂贸wn膮 jednostk膮 organizacyjn膮 administratora w Unii powinno by膰 miejsce, w kt贸rym znajduje si臋 jego centralna administracja w Unii, chyba 偶e decyzje co do cel贸w i sposob贸w przetwarzania danych osobowych zapadaj膮 w innej jednostce organizacyjnej administratora w Unii, w kt贸rym to przypadku za g艂贸wn膮 jednostk臋 organizacyjn膮 nale偶y uzna膰 t膮 drug膮 jednostk臋 organizacyjn膮. G艂贸wn膮 jednostk臋 organizacyjn膮 administratora w Unii nale偶y okre艣la膰 na podstawie obiektywnych kryteri贸w; powinna ona oznacza膰 skuteczne i faktycznie zarz膮dzanie za po艣rednictwem stabilnych struktur polegaj膮ce na podejmowaniu najwa偶niejszych decyzji co do cel贸w i sposob贸w przetwarzania. Kryterium to nie powinno zale偶e膰 od faktu, czy przetwarzanie danych osobowych odbywa si臋 w tej lokalizacji. Obecno艣膰 i wykorzystywanie 艣rodk贸w technicznych i technologii do przetwarzania danych osobowych lub do czynno艣ci przetwarzania nie stanowi膮 same w sobie o g艂贸wnej jednostce organizacyjnej, nie s膮 wi臋c kryteriami decyduj膮cymi o jej okre艣leniu. G艂贸wn膮 jednostk膮 organizacyjn膮 podmiotu przetwarzaj膮cego powinno by膰 miejsce, w kt贸rym znajduje si臋 jego centralna administracja w Unii, a je偶eli nie ma on centralnej administracji w Unii 鈥 miejsce, w kt贸rym odbywaj膮 si臋 g艂贸wne czynno艣ci przetwarzania w Unii. Je偶eli sprawa dotyczy zar贸wno administratora, jak i podmiotu przetwarzaj膮cego, w艂a艣ciwym wiod膮cym organem nadzorczym powinien pozosta膰 organ nadzorczy pa艅stwa cz艂onkowskiego, w kt贸rym administrator ma g艂贸wn膮 jednostk臋 organizacyjn膮, ale organ nadzorczy podmiotu przetwarzaj膮cego powinien by膰 uznawany za organ nadzorczy, kt贸rego sprawa dotyczy, i powinien uczestniczy膰 w procedurze wsp贸艂pracy przewidzianej w niniejszym rozporz膮dzeniu. Organy nadzorcze pa艅stwa cz艂onkowskiego lub pa艅stw cz艂onkowskich, w kt贸rych podmiot przetwarzaj膮cy ma co najmniej jedn膮 jednostk臋 organizacyjn膮, nie powinny by膰 w 偶adnym przypadku uznawane za organy nadzorcze, kt贸rych sprawa dotyczy, je偶eli projekt decyzji dotyczy wy艂膮cznie administratora. Je偶eli przetwarzania dokonuje grupa przedsi臋biorstw, za jej g艂贸wn膮 jednostk臋 organizacyjn膮 nale偶y uzna膰 g艂贸wn膮 jednostk臋 organizacyjn膮 przedsi臋biorstwa sprawuj膮cego kontrol臋, chyba 偶e cel i sposoby przetwarzania okre艣la inne przedsi臋biorstwo.

(36) The main establishment of a controller in the Union should be the place of its central administration in the Union, unless the decisions on the purposes and means of the processing of personal data are taken in another establishment of the controller in the Union, in which case that other establishment should be considered to be the main establishment. The main establishment of a controller in the Union should be determined according to objective criteria and should imply the effective and real exercise of management activities determining the main decisions as to the purposes and means of processing through stable arrangements. That criterion should not depend on whether the processing of personal data is carried out at that location. The presence and use of technical means and technologies for processing personal data or processing activities do not, in themselves, constitute a main establishment and are therefore not determining criteria for a main establishment. The main establishment of the processor should be the place of its central administration in the Union or, if it has no central administration in the Union, the place where the main processing activities take place in the Union. In cases involving both the controller and the processor, the competent lead supervisory authority should remain the supervisory authority of the Member State where the controller has its main establishment, but the supervisory authority of the processor should be considered to be a supervisory authority concerned and that supervisory authority should participate in the cooperation procedure provided for by this Regulation. In any case, the supervisory authorities of the Member State or Member聽States where the processor has one or more establishments should not be considered to be supervisory authorities concerned where the draft decision concerns only the controller. Where the processing is carried out by a group of undertakings, the main establishment of the controlling undertaking should be considered to be the main establishment of the group of undertakings, except where the purposes and means of processing are determined by another undertaking.

(37) Grupa przedsi臋biorstw powinna obejmowa膰 przedsi臋biorstwo sprawuj膮ce kontrol臋 oraz przedsi臋biorstwa kontrolowane, przy czym przedsi臋biorstwo sprawuj膮ce kontrol臋 powinno by膰 przedsi臋biorstwem, kt贸re mo偶e wywiera膰 dominuj膮cy wp艂yw na pozosta艂e przedsi臋biorstwa ze wzgl臋du na przyk艂ad na struktur臋 w艂a艣cicielsk膮, udzia艂 finansowy lub przepisy reguluj膮ce jego dzia艂alno艣膰, lub te偶 uprawnienia do nakazywania wdro偶enia przepis贸w o ochronie danych osobowych. Za grup臋 przedsi臋biorstw nale偶y uzna膰 przedsi臋biorstwo kontroluj膮ce przetwarzanie danych osobowych w przedsi臋biorstwach powi膮zanych z nim, wraz z tymi przedsi臋biorstwami.

(37) A group of undertakings should cover a controlling undertaking and its controlled undertakings, whereby the controlling undertaking should be the undertaking which can exert a dominant influence over the other undertakings by virtue, for example, of ownership, financial participation or the rules which govern it or the power to have personal data protection rules implemented. An undertaking which controls the processing of personal data in undertakings affiliated to it should be regarded, together with those undertakings, as a group of undertakings.

zostaw komentarz
[js-disqus]