1 / 20

T RAPLE K ONARSKI I P ODRECKI K A N C E L A R I A A D W O K A C K A S . C .

Ochrona danych osobowych. Paweł Litwiński Pawel.Litwinski @traple.pl. T RAPLE K ONARSKI I P ODRECKI K A N C E L A R I A A D W O K A C K A S . C . . Agenda. Akty prawne regulujące zasady przetwarzania danych osobowych: ustawa o ochronie danych osobowych ustawy szczególne

damita
Download Presentation

T RAPLE K ONARSKI I P ODRECKI K A N C E L A R I A A D W O K A C K A S . C .

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Ochrona danych osobowych Paweł LitwińskiPawel.Litwinski@traple.pl TRAPLEKONARSKII PODRECKIK A N C E L A R I A A D W O K A C K A S . C .

  2. Agenda • Akty prawne regulujące zasady przetwarzania danych osobowych: • ustawa o ochronie danych osobowych • ustawy szczególne • Podstawowe pojęcia ustawy o ochronie danych osobowych • Zasady przetwarzania danych osobowych: • Konieczność wykazania podstawy prawnej przetwarzania danych • Obowiązek informacyjny • Obowiązek rejestracyjny • Obowiązek zabezpieczenia zbiorów danych osobowych • Ograniczenia przetwarzania niektórych kategorii danych osobowych

  3. Przetwarzanie danych osobowych – ramy prawne • Ustawa z 19 sierpnia 1997 r. o ochronie danych osobowych (uodo): • Wzorowana na Dyrektywie 95/46/EC w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych • Ustawa o generalnym charakterze – znajduje zastosowanie do każdych czynności „przetwarzania danych osobowych” • Art. 5 uodo: Jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw. • Ustawa z 2 marca 2000 r. o ochronie niektórych praw konsumentów – ograniczenie wykorzystania niektórych danych osobowych w kontaktach z konsumentami • Ustawa z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną – zasady przetwarzania danych osobowych w sieci Internet

  4. Podstawowe pojęcia uodo (1) • Dane osobowe: • Art. 6. 1. uodo:za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej • Dane osobowe dotyczą wyłącznie osób fizycznych • Danymi osobowymi mogą być wszelkie informacje • Kryterium identyfikowalności osoby jako podstawowa cecha danych osobowych • Ograniczenie zakresu pojęcia danych osobowych za pomocą kryterium nadmiernych kosztów, czasu lub działań • Oceny, czy informacja ma charakter danych osobowych, należy dokonywać w odniesieniu do konkretnego administratora danych

  5. Podstawowe pojęcia uodo (2) • Informacje o przedsiębiorcach także mogą być danymi osobowymi: • Informacje o osobach fizycznych prowadzących działalność gospodarczą • Informacje o wspólnikach spółki cywilnej • Informacje o osobach prawnych nigdy nie będą danymi osobowymi! • Adres poczty elektronicznej także może być daną osobową: • Adresy anonimowe, np. abc@onet.pl • Adresy płatne, np. p_litwinski@onet.pl • Adresy związane z zatrudnieniem lub prowadzeniem działalności gospodarczej, np. pawel.litwinski@traple.pl • Zasady przetwarzania adresów poczty elektronicznej

  6. Podstawowe pojęcia uodo (3) • Przetwarzanie danych osobowych: • Art. 7. 2. uodo: jakiekolwiek operacje wykonywane na danych osobowych • Usuwanie danych także jest przetwarzaniem danych osobowych • Administrator danych osobowych: • Art. 7. 4. uodo: podmiot, który decyduje o celach i środkach przetwarzania danych osobowych • Administrator danych a podmiot przetwarzający dane na zlecenie administratora • Umowa zlecenia przetwarzania danych osobowych • Forma pisemna • Określenie w umowie zakresu powierzenia przetwarzania danych

  7. Podstawy przetwarzania danych osobowych (1) • Podstawy przetwarzania danych osobowych przez podmioty z sektora prywatnego (art. 23 ust. 1 uodo): • Zgoda osoby, której dane dotyczą • Przetwarzanie danych w związku z umową zawartą z osobą, której dane dotyczą • Usprawiedliwiony cel administratora danych osobowych • Wszystkie podstawy przetwarzania danych osobowych są równoważne • Dla zgodnego z ustawą przetwarzania danych osobowych wystarczy istnienie jednej przesłanki

  8. Podstawy przetwarzania danych osobowych (2) • Zgoda na przetwarzanie danych osobowych musi zawierać (art. 24 uodo): • Informację o dobrowolnym podaniu danych osobowych • Wskazanie pełnej nazwy i siedziby administratora danych • Cel przetwarzania danych (np. cel marketingowy) • W przypadku zamiaru przekazywania danych innym podmiotom lub przekazywania za granicę – informacje o potencjalnych odbiorcach lub kategoriach odbiorców danych • Informację o prawie wglądu do danych oraz ich poprawiania • Zgoda na przetwarzanie danych osobowych musi być wyrażona dobrowolnie: • Zakaz domniemania udzielenia zgody • Zgoda na przetwarzanie danych osobowych jako element umowy

  9. Podstawy przetwarzania danych osobowych (3) • Forma udzielenia zgody na przetwarzanie danych osobowych – klauzula zgody (klauzula informacyjna): Wyrażam dobrowolną zgodę na przetwarzanie moich danych osobowych w celach marketingowych przez ... z siedzibą w ..., przy ul. …. Moje dane mogą być udostępniane innym podmiotom z branży ... Przysługuje mi prawo wglądu oraz prawo poprawiania moich danych osobowych. • Zasada związania treścią udzielonej zgody: • Cel przetwarzania • Zakres udzielonej zgody

  10. Podstawy przetwarzania danych osobowych (4) • Przetwarzanie danych w związku z zawieraniem i wykonywaniem umów: • Gdy jest to niezbędne do zawarcia umowy z osobą, której dane dotyczą • Gdy jest to niezbędne do realizacji umowy z osobą, której dane dotyczą • Brak konieczności ubiegania się o zgodę, jeżeli przetwarzanie danych następuje wyłącznie w związku z umową • Przetwarzanie danych zawartych w umowie do innych celów – konieczność wykazania istnienia odrębnej podstawy przetwarzania

  11. Podstawy przetwarzania danych osobowych (5) • Pojęcie usprawiedliwionego celu administratora danych osobowych: • Marketing bezpośredni własnych produktów lub usług • Dochodzenie roszczeń z tytułu prowadzonej działalności • Ograniczenia pojęcia usprawiedliwionego celu – niedopuszczalny gdy narusza prawa i wolności innej osoby, np. prawo do prywatności • Ograniczenia przetwarzania danych na podstawie usprawiedliwionego celu w innych ustawach: • Art. 6 ust. 3 ustawy o ochronie niektórych praw konsumentów – zakaz przesyłania ofert za pomocą m. in. Listów i faksów bez zgody konsumenta • Art. 10 ustawy o świadczeniu usług drogą elektroniczną – zakaz spammingu, czyli niezamówionej informacji o charakterze handlowym

  12. Obowiązek informacyjny (1) • Zbieranie danych bezpośrednio od osób, których dane dotyczą (art. 24 uodo): • Dobrowolne lub obowiązkowe podanie danych osobowych • Pełna nazwa i siedziba administratora danych • Cel przetwarzania danych • W przypadku zamiaru przekazywania danych innym podmiotom lub przekazywania za granicę – informacje o potencjalnych odbiorcach lub kategoriach odbiorców danych • Prawo wglądu do danych oraz ich poprawiania • W praktyce realizowany przez klauzulę informacyjną (klauzulę zgody)

  13. Obowiązek informacyjny (2) • Zbieranie danych nie od osób, których dane dotyczą (art. 25 uodo) – dodatkowo informacje o: • Źródle danych • Prawie sprzeciwu • Przez cały okres przetwarzania danych osoba, której dane są przetwarzane, ma prawo do uzyskania szczegółowych informacji o: • Administratorze danych • Celu, zakresie i sposobie przetwarzania danych • Treści przetwarzanych danych • Sposobie udostępniania danych • Odbiorcach danych

  14. Obowiązek rejestracyjny • Zasada ogólna (art. 40 uodo) – administrator danych ma obowiązek zgłosić zbiór danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych - GIODO) • Wyjątki (art. 43 uodo) – m. in.: • Dane pracowników • Przetwarzane wyłącznie w celach rozliczeń finansowych • Dane przetwarzane jednorazowo • Obowiązek rejestracyjny należy spełnić przed rozpoczęciem przetwarzania danych osobowych • Obowiązek rejestracyjny dotyczy tylko zbiorów danych • Sposób spełnienia obowiązku rejestracyjnego: • Zgłoszenie zbioru do rejestracji GIODO • Formularz rejestracyjny • Załączniki • Administrator danych ma obowiązek zgłosić zbiór danych osobowych do rejestracji – konsekwencje

  15. Obowiązek zabezpieczenia zbiorów danych (1) • Zróżnicowany w zależności od tego, czy dane przetwarzane są w systemie informatycznym • Obowiązek ciąży na administratorze danych oraz na podmiocie przetwarzającym dane na zlecenie • Treść obowiązku: • Zabezpieczenie danych przed udostępnieniem osobom niepowołanym • Zabezpieczenie danych przed ich zabraniem przez osobę niepowołaną • Zabezpieczenie przed uszkodzeniem danych • Zabezpieczenie przed utratą danych • Zabezpieczenie przed zniszczeniem danych • Zabezpieczenie przed zmianą danych • Zabezpieczenie przed przetwarzaniem danych z naruszeniem przepisów uodo

  16. Obowiązek zabezpieczenia zbiorów danych (2) • Przetwarzanie danych w systemie informatycznym – szczegółowe obowiązki nałożone przez Rozporządzenie MSWiA z 3 czerwca 1998 r.: • Opracowanie Instrukcji postępowania w sytuacji naruszenia ochrony danych osobowych • Opracowanie Instrukcji zarządzania systemem informatycznym • Spełnienie szczegółowo określonych wymagań techniczno – organizacyjnych systemu informatycznego • Obowiązek ustanowienia Administratora Bezpieczeństwa Informacji: • Osoba odpowiedzialna za bezpieczeństwo danych • Ustawa nie określa sposobu powołania – w praktyce powinna być zatrudniona na podstawie umowy o pracę

  17. Dane osobowe w firmie – podsumowanie (1) • Kategorie najczęściej przetwarzanych danych: • Dane osobowe pracowników • Dane przetwarzane w celu wystawienia faktury i dokonania rozliczeń finansowych • Dane klientów przetwarzane w związku z wykonywaniem umów • Dane przetwarzane w celach marketingowych. • Dane osobowe pracowników w związku z zatrudnieniem: • Nie jest konieczne posiadanie zgody w celu ich przetwarzania, także dotyczy to osób ubiegających się o pracę (rekrutacja) • Nie ma obowiązku zgłaszania zbioru do rejestracji • Obowiązek informacyjny oraz zabezpieczenie – na zasadach ogólnych • Bez zgody pracownika dane nie mogą być udostępniane innym podmiotom

  18. Dane osobowe w firmie – podsumowanie (2) • Dane przetwarzane w celu wystawienia faktury i dokonania rozliczeń finansowych : • Nie wymagają zgody na przetwarzanie, gdyż przetwarzane są w celu wykonania (rozliczenia) umowy • W przypadku dochodzenia roszczeń na drodze sądowej – klauzula usprawiedliwionego celu • Nie ma obowiązku zgłaszania zbioru do rejestracji • Obowiązek informacyjny oraz zabezpieczenie – na zasadach ogólnych • Bez zgody osoby zainteresowanej nie mogą być udostępniane • Dane klientów przetwarzane w związku z wykonywaniem umów : • Nie wymagają zgody na przetwarzanie, gdyż przetwarzane są w celu wykonania umowy • Jeżeli dane nie tworzą zbioru danych (nie zostały uporządkowane), nie ma obowiązku zgłaszania zbioru do rejestracji • Obowiązek informacyjny oraz zabezpieczenie – na zasadach ogólnych • Bez zgody osoby zainteresowanej nie mogą być udostępniane

  19. Dane osobowe w firmie – podsumowanie (2) • Dane przetwarzane w celach marketingowych: • Wymagają zgody na przetwarzanie danych, chyba że są przetwarzane w ramach usprawiedliwionego celu administratora danych – uzyskanie zgody jest jednakże zalecane • Powinny zostać zgłoszone do rejestracji, chyba że są przetwarzane jednorazowo, np. na potrzeby jednej akcji promocyjnej • Obowiązek informacyjny oraz zabezpieczenie – na zasadach ogólnych • Mogą być udostępniane za zgodą.

  20. Kontakt z prelegentem: • Paweł Litwiński • pawel.litwinski@traple.pl • Traple Konarski i Podrecki Kancelaria Adwokacka s.c. • ul. B. Prusa 30/2 • 30-117 Kraków • tel. (012) 427 23 98, (012) 427 32 74 • fax (012) 427 22 53

More Related