200 likes | 426 Views
Ochrona danych osobowych. Paweł Litwiński Pawel.Litwinski @traple.pl. T RAPLE K ONARSKI I P ODRECKI K A N C E L A R I A A D W O K A C K A S . C . . Agenda. Akty prawne regulujące zasady przetwarzania danych osobowych: ustawa o ochronie danych osobowych ustawy szczególne
E N D
Ochrona danych osobowych Paweł LitwińskiPawel.Litwinski@traple.pl TRAPLEKONARSKII PODRECKIK A N C E L A R I A A D W O K A C K A S . C .
Agenda • Akty prawne regulujące zasady przetwarzania danych osobowych: • ustawa o ochronie danych osobowych • ustawy szczególne • Podstawowe pojęcia ustawy o ochronie danych osobowych • Zasady przetwarzania danych osobowych: • Konieczność wykazania podstawy prawnej przetwarzania danych • Obowiązek informacyjny • Obowiązek rejestracyjny • Obowiązek zabezpieczenia zbiorów danych osobowych • Ograniczenia przetwarzania niektórych kategorii danych osobowych
Przetwarzanie danych osobowych – ramy prawne • Ustawa z 19 sierpnia 1997 r. o ochronie danych osobowych (uodo): • Wzorowana na Dyrektywie 95/46/EC w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych • Ustawa o generalnym charakterze – znajduje zastosowanie do każdych czynności „przetwarzania danych osobowych” • Art. 5 uodo: Jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw. • Ustawa z 2 marca 2000 r. o ochronie niektórych praw konsumentów – ograniczenie wykorzystania niektórych danych osobowych w kontaktach z konsumentami • Ustawa z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną – zasady przetwarzania danych osobowych w sieci Internet
Podstawowe pojęcia uodo (1) • Dane osobowe: • Art. 6. 1. uodo:za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej • Dane osobowe dotyczą wyłącznie osób fizycznych • Danymi osobowymi mogą być wszelkie informacje • Kryterium identyfikowalności osoby jako podstawowa cecha danych osobowych • Ograniczenie zakresu pojęcia danych osobowych za pomocą kryterium nadmiernych kosztów, czasu lub działań • Oceny, czy informacja ma charakter danych osobowych, należy dokonywać w odniesieniu do konkretnego administratora danych
Podstawowe pojęcia uodo (2) • Informacje o przedsiębiorcach także mogą być danymi osobowymi: • Informacje o osobach fizycznych prowadzących działalność gospodarczą • Informacje o wspólnikach spółki cywilnej • Informacje o osobach prawnych nigdy nie będą danymi osobowymi! • Adres poczty elektronicznej także może być daną osobową: • Adresy anonimowe, np. abc@onet.pl • Adresy płatne, np. p_litwinski@onet.pl • Adresy związane z zatrudnieniem lub prowadzeniem działalności gospodarczej, np. pawel.litwinski@traple.pl • Zasady przetwarzania adresów poczty elektronicznej
Podstawowe pojęcia uodo (3) • Przetwarzanie danych osobowych: • Art. 7. 2. uodo: jakiekolwiek operacje wykonywane na danych osobowych • Usuwanie danych także jest przetwarzaniem danych osobowych • Administrator danych osobowych: • Art. 7. 4. uodo: podmiot, który decyduje o celach i środkach przetwarzania danych osobowych • Administrator danych a podmiot przetwarzający dane na zlecenie administratora • Umowa zlecenia przetwarzania danych osobowych • Forma pisemna • Określenie w umowie zakresu powierzenia przetwarzania danych
Podstawy przetwarzania danych osobowych (1) • Podstawy przetwarzania danych osobowych przez podmioty z sektora prywatnego (art. 23 ust. 1 uodo): • Zgoda osoby, której dane dotyczą • Przetwarzanie danych w związku z umową zawartą z osobą, której dane dotyczą • Usprawiedliwiony cel administratora danych osobowych • Wszystkie podstawy przetwarzania danych osobowych są równoważne • Dla zgodnego z ustawą przetwarzania danych osobowych wystarczy istnienie jednej przesłanki
Podstawy przetwarzania danych osobowych (2) • Zgoda na przetwarzanie danych osobowych musi zawierać (art. 24 uodo): • Informację o dobrowolnym podaniu danych osobowych • Wskazanie pełnej nazwy i siedziby administratora danych • Cel przetwarzania danych (np. cel marketingowy) • W przypadku zamiaru przekazywania danych innym podmiotom lub przekazywania za granicę – informacje o potencjalnych odbiorcach lub kategoriach odbiorców danych • Informację o prawie wglądu do danych oraz ich poprawiania • Zgoda na przetwarzanie danych osobowych musi być wyrażona dobrowolnie: • Zakaz domniemania udzielenia zgody • Zgoda na przetwarzanie danych osobowych jako element umowy
Podstawy przetwarzania danych osobowych (3) • Forma udzielenia zgody na przetwarzanie danych osobowych – klauzula zgody (klauzula informacyjna): Wyrażam dobrowolną zgodę na przetwarzanie moich danych osobowych w celach marketingowych przez ... z siedzibą w ..., przy ul. …. Moje dane mogą być udostępniane innym podmiotom z branży ... Przysługuje mi prawo wglądu oraz prawo poprawiania moich danych osobowych. • Zasada związania treścią udzielonej zgody: • Cel przetwarzania • Zakres udzielonej zgody
Podstawy przetwarzania danych osobowych (4) • Przetwarzanie danych w związku z zawieraniem i wykonywaniem umów: • Gdy jest to niezbędne do zawarcia umowy z osobą, której dane dotyczą • Gdy jest to niezbędne do realizacji umowy z osobą, której dane dotyczą • Brak konieczności ubiegania się o zgodę, jeżeli przetwarzanie danych następuje wyłącznie w związku z umową • Przetwarzanie danych zawartych w umowie do innych celów – konieczność wykazania istnienia odrębnej podstawy przetwarzania
Podstawy przetwarzania danych osobowych (5) • Pojęcie usprawiedliwionego celu administratora danych osobowych: • Marketing bezpośredni własnych produktów lub usług • Dochodzenie roszczeń z tytułu prowadzonej działalności • Ograniczenia pojęcia usprawiedliwionego celu – niedopuszczalny gdy narusza prawa i wolności innej osoby, np. prawo do prywatności • Ograniczenia przetwarzania danych na podstawie usprawiedliwionego celu w innych ustawach: • Art. 6 ust. 3 ustawy o ochronie niektórych praw konsumentów – zakaz przesyłania ofert za pomocą m. in. Listów i faksów bez zgody konsumenta • Art. 10 ustawy o świadczeniu usług drogą elektroniczną – zakaz spammingu, czyli niezamówionej informacji o charakterze handlowym
Obowiązek informacyjny (1) • Zbieranie danych bezpośrednio od osób, których dane dotyczą (art. 24 uodo): • Dobrowolne lub obowiązkowe podanie danych osobowych • Pełna nazwa i siedziba administratora danych • Cel przetwarzania danych • W przypadku zamiaru przekazywania danych innym podmiotom lub przekazywania za granicę – informacje o potencjalnych odbiorcach lub kategoriach odbiorców danych • Prawo wglądu do danych oraz ich poprawiania • W praktyce realizowany przez klauzulę informacyjną (klauzulę zgody)
Obowiązek informacyjny (2) • Zbieranie danych nie od osób, których dane dotyczą (art. 25 uodo) – dodatkowo informacje o: • Źródle danych • Prawie sprzeciwu • Przez cały okres przetwarzania danych osoba, której dane są przetwarzane, ma prawo do uzyskania szczegółowych informacji o: • Administratorze danych • Celu, zakresie i sposobie przetwarzania danych • Treści przetwarzanych danych • Sposobie udostępniania danych • Odbiorcach danych
Obowiązek rejestracyjny • Zasada ogólna (art. 40 uodo) – administrator danych ma obowiązek zgłosić zbiór danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych - GIODO) • Wyjątki (art. 43 uodo) – m. in.: • Dane pracowników • Przetwarzane wyłącznie w celach rozliczeń finansowych • Dane przetwarzane jednorazowo • Obowiązek rejestracyjny należy spełnić przed rozpoczęciem przetwarzania danych osobowych • Obowiązek rejestracyjny dotyczy tylko zbiorów danych • Sposób spełnienia obowiązku rejestracyjnego: • Zgłoszenie zbioru do rejestracji GIODO • Formularz rejestracyjny • Załączniki • Administrator danych ma obowiązek zgłosić zbiór danych osobowych do rejestracji – konsekwencje
Obowiązek zabezpieczenia zbiorów danych (1) • Zróżnicowany w zależności od tego, czy dane przetwarzane są w systemie informatycznym • Obowiązek ciąży na administratorze danych oraz na podmiocie przetwarzającym dane na zlecenie • Treść obowiązku: • Zabezpieczenie danych przed udostępnieniem osobom niepowołanym • Zabezpieczenie danych przed ich zabraniem przez osobę niepowołaną • Zabezpieczenie przed uszkodzeniem danych • Zabezpieczenie przed utratą danych • Zabezpieczenie przed zniszczeniem danych • Zabezpieczenie przed zmianą danych • Zabezpieczenie przed przetwarzaniem danych z naruszeniem przepisów uodo
Obowiązek zabezpieczenia zbiorów danych (2) • Przetwarzanie danych w systemie informatycznym – szczegółowe obowiązki nałożone przez Rozporządzenie MSWiA z 3 czerwca 1998 r.: • Opracowanie Instrukcji postępowania w sytuacji naruszenia ochrony danych osobowych • Opracowanie Instrukcji zarządzania systemem informatycznym • Spełnienie szczegółowo określonych wymagań techniczno – organizacyjnych systemu informatycznego • Obowiązek ustanowienia Administratora Bezpieczeństwa Informacji: • Osoba odpowiedzialna za bezpieczeństwo danych • Ustawa nie określa sposobu powołania – w praktyce powinna być zatrudniona na podstawie umowy o pracę
Dane osobowe w firmie – podsumowanie (1) • Kategorie najczęściej przetwarzanych danych: • Dane osobowe pracowników • Dane przetwarzane w celu wystawienia faktury i dokonania rozliczeń finansowych • Dane klientów przetwarzane w związku z wykonywaniem umów • Dane przetwarzane w celach marketingowych. • Dane osobowe pracowników w związku z zatrudnieniem: • Nie jest konieczne posiadanie zgody w celu ich przetwarzania, także dotyczy to osób ubiegających się o pracę (rekrutacja) • Nie ma obowiązku zgłaszania zbioru do rejestracji • Obowiązek informacyjny oraz zabezpieczenie – na zasadach ogólnych • Bez zgody pracownika dane nie mogą być udostępniane innym podmiotom
Dane osobowe w firmie – podsumowanie (2) • Dane przetwarzane w celu wystawienia faktury i dokonania rozliczeń finansowych : • Nie wymagają zgody na przetwarzanie, gdyż przetwarzane są w celu wykonania (rozliczenia) umowy • W przypadku dochodzenia roszczeń na drodze sądowej – klauzula usprawiedliwionego celu • Nie ma obowiązku zgłaszania zbioru do rejestracji • Obowiązek informacyjny oraz zabezpieczenie – na zasadach ogólnych • Bez zgody osoby zainteresowanej nie mogą być udostępniane • Dane klientów przetwarzane w związku z wykonywaniem umów : • Nie wymagają zgody na przetwarzanie, gdyż przetwarzane są w celu wykonania umowy • Jeżeli dane nie tworzą zbioru danych (nie zostały uporządkowane), nie ma obowiązku zgłaszania zbioru do rejestracji • Obowiązek informacyjny oraz zabezpieczenie – na zasadach ogólnych • Bez zgody osoby zainteresowanej nie mogą być udostępniane
Dane osobowe w firmie – podsumowanie (2) • Dane przetwarzane w celach marketingowych: • Wymagają zgody na przetwarzanie danych, chyba że są przetwarzane w ramach usprawiedliwionego celu administratora danych – uzyskanie zgody jest jednakże zalecane • Powinny zostać zgłoszone do rejestracji, chyba że są przetwarzane jednorazowo, np. na potrzeby jednej akcji promocyjnej • Obowiązek informacyjny oraz zabezpieczenie – na zasadach ogólnych • Mogą być udostępniane za zgodą.
Kontakt z prelegentem: • Paweł Litwiński • pawel.litwinski@traple.pl • Traple Konarski i Podrecki Kancelaria Adwokacka s.c. • ul. B. Prusa 30/2 • 30-117 Kraków • tel. (012) 427 23 98, (012) 427 32 74 • fax (012) 427 22 53