Obowiązki MŚP po nowelizacji ustawy o ochronie danych osobowych Cz. 1

Transkrypt

1 Obowiązki MŚP po nowelizacji ustawy o ochronie danych osobowych Cz. 1 mec. Agnieszka Goźlińska mec. dr Justyna Kurek Projekt Enterprise Europe Network Central Poland jest współfinansowany przez Komisję Europejską ze środków pochodzących z programu COSME (na lata ) na podstawie umowy o udzielenie dotacji nr EEN-CP oraz Ministerstwo Gospodarki ze środków budżetu państwa.

2 Title of the presentation 30 czerwca Date 2015 # r. 2 Ustawa z dnia r o ochronie danych osobowych tj. z dnia [ Dz. U. Nr. 101 poz. 926] Dyrektywa nr 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych W przyszłości: Wniosek w sprawie Rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych

3 Title of the presentation 30 czerwca Date 2015 # r. 3 Interpretacja Opinie Grupy Art. 29 Grupa Robocza Artykułu 29 ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych to niezależny organ doradczy w sprawach ochrony danych i prywatności, powołany na mocy artykułu 29 Dyrektywy o ochronie danych 95/46/WE. Skład: przedstawiciele krajowych organów ochrony danych, Europejski Inspektor Ochrony Danych oraz przedstawiciele KE.

4 Title of the presentation 30 czerwca Date 2015 # r. 4 Część 1 Organizacja przetwarzania danych osobowych w MŚP po nowelizacji UODO 2015

5 Title of the presentation 30 czerwca Date 2015 # r. 5 Ustawa o ochronie danych osobowych główne zadania instrument zapewnienie każdemu wiedzę na temat tego, gdzie (przez kogo), jakie i z jakim przeznaczeniem przetwarzane są dotyczące go dane, z możliwością ingerencji w określonych przypadkach w ten proces (np. dla korekty danych) Albo jako stworzenie skutecznych gwarancji decydowania o jakimkolwiek wykorzystaniu "własnych danych Art. 1 UODO 1. Każdy ma prawo do ochrony dotyczących go danych osobowych. 2. Przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą, lub dobro osób trzecich w zakresie i trybie określonym ustawą.

6 Title of the presentation 30 czerwca Date 2015 # r. 6 Zakres zastosowania przepisów Do kogo się stosuje a do kogo nie? Podstawowe pojęcia m.in.: dane osobowe, dane sensytywne, marketing własny, przetwarzanie, administrator danych osobowych, podmiot administrujący, administrator bezpieczeństwa informacji, zbiory danych osobowych, GIODO, Grupa Art. 29

7 Title of the presentation 30 czerwca Date 2015 # r. 7 Podmioty publiczne: a) organy państwowe (organy władzy państwowej: Sejm, Senat, Prezydent oraz organy administracji rządowej); b) organy samorządu terytorialnego; c) inne państwowe i komunalne jednostki organizacyjne. Podmioty prywatne: a) podmioty niepubliczne realizujące zadania publ. (np. prywatne zoz szkoły, przedszkola); b) osoby fizyczne; c) Inne osoby prawne (np. kapitałowe spółki pr. handlowego, stowarzyszenia, spółdzielnie, fundacje); d) jedn. organizacyjne niebędące osobami prawnymi (np. niemające osobowości prawnej spółki prawa handlowego). Podmioty prywatne objęte są zakresem ustawy, jeżeli przetwarzają dane w zw. z działalnością zarobkową, zawodową lub dla realizacji celów statutowych

8 Title of the presentation 30 czerwca Date 2015 # r. 8 UODO znajduje zastosowanie do dwóch grup podmiotów prywatnych przetwarzających dane w związku z działalnością zarobkową, zawodową lub realizacją celów statutowych: 1. podmiotów, które mają siedzibę albo miejsce zamieszkania na terytorium RP; 2. podmiotów, które mają siedzibę albo miejsce zamieszkania w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium RP.

9 Title of the presentation 30 czerwca Date 2015 # r. 9 Siedziba zgodnie z dyr. 95/46/WE (pkt 19) - miejsce, gdzie występuje efektywne i rzeczywiste wykonywanie określonej działalności w sposób stały; nie ma natomiast decydującego znaczenia status prawny tego rodzaju działalności, a więc to, czy jest ona prowadzona przez jednostkę podporządkowaną, przez oddział, czy filię posiadającą osobowość prawną.

10 Title of the presentation 30 czerwca Date 2015 # r. 10 PODSTAWOWE POJĘCIA Z ZAKRESU OCHRONY DANYCH OSOBOWYCH

11 Title of the presentation 30 czerwca Date 2015 # r. 11 Pojęcie danych osobowych (art. 6 UODO) 1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. 2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. 3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

12 Title of the presentation 30 czerwca Date 2015 # r. 12 Informacje odnoszące się do osób fizycznych Informacje które umożliwiające bezpośrednio i pośrednio identyfikację dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej Nie generujące nadmiernych kosztów numer identyfikacyjny, czynniki określające cechy fizyczne, fizykalne, ekonomiczne

13 Title of the presentation 30 czerwca Date 2015 # r. 13 Które z informacji odpowiada definicji danych osobowych? Imię i nazwisko? Jan Kowalski, Justyna Kurek, dr Justyna Kurek, Donald Tusk Numer? , WN 2448C, , adres j.kurek@wp.pl, j.kurek@uksw.edu.pl, justyna1234@interia.pl justyna.kurek@adwokatura.pl

14 Czy adres odpowiada definicji danych osobowych? OCHRONA DANYCH OSOBOWYCH Title of the presentation 30 czerwca Date 2015 # r. 14 j.kurek@wp.pl j.kurek@uksw.edu.pl justyna1234@interia.pl justyna.kurek@adwokatura.pl justyna@kurek.eu

15 Czy adres IP odpowiada definicji danych osobowych? OCHRONA DANYCH OSOBOWYCH Title of the presentation 30 czerwca Date 2015 # r. 15 Problem dynamiczne adresy IP Zazwyczaj adresy IP nie są przyznawane na stałe, ponadto w czasie zbyt długich sesji odłącza się użytkownika na parę sekund użytkownika i podłącza z nowym IP Grupa art. 29 opinia 4/2007 w spr. pojęcia danych osobowych

16 Title of the presentation 30 czerwca Date 2015 # r. 16 Czy adres IP odpowiada definicji danych osobowych? Dynamiczne adresy IP stanowią dane dotyczące możliwej do zidentyfikowania osoby gdyż dostawcy Internetu i administratorzy sieci lokalnych mają możliwość zidentyfikowania użytkowników Internetu, którym przydzielili adresy IP. Jest to związane z praktyką systematycznego rejestrowania w pliku daty, godziny, czasu trwania sesji w połączeniu z dynamicznym adresem IP przydzielonym użytkownikowi Internetu. Wyjątek: adresy IP niezarejestrowanych i niemożliwych do zidentyfikowania użytkowników np. IP przypisane do komputerów w kawiarni internetowej

17 Title of the presentation 30 czerwca Date 2015 # r. 17 Dane osobowe w praktyce 1. Cechą wyróżniającą dane osobowe od innych informacji dotyczących osób jest brak anonimowości. Informacja ma zatem charakter danych osobowych, jeżeli jest możliwe ustalenie tożsamości osoby, której dotyczy. Osobowy charakter nie może zatem być przypisany żadnej kategorii danych (J. Jankowski, Problemy Egzekucji 2001/11/5); 2. Definicja danych osobowych uwzględnia zjawisko relatywizacji danych osobowych. Ta sama informacja, która dla jednego podmiotu może być wystarczająca dla szybkiego ustalenia tożsamości osoby, której dotyczy, dla innego podmiotu wiąże się z działaniami nieproporcjonalnymi, a więc nie może być uznana za mająca charakter danych osobowych w świetle art. 6 ust. 3 (P. Litwiński, glosa do wyroku NSA I OSK 756/09, Monitor Prawa Bankowego, 2011/5/28-36)

18 Title of the presentation 30 czerwca Date 2015 # r. 18 Pojęcie danych osobowych w opinii 4/2007 dane osobowe oznacza wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej ( osoby, której dane dotyczą ); Osoba możliwa do zidentyfikowania to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, szczególnie przez powołanie się na numer identyfikacyjny lub jeden bądź kilka szczególnych czynników określających jej fizyczną, fizjologiczną umysłową, ekonomiczną, kulturową lub społeczną tożsamość.

19 Po pierwsze Wszelkie informacje OCHRONA DANYCH OSOBOWYCH Title of the presentation 30 czerwca Date 2015 # r. 19 pojęcie danych osobowych obejmuje wszelkie stwierdzenia na temat osoby. Obejmuje ono informacje obiektywne a także informacje subiektywne, opinie lub oceny; Pojęcie to obejmuje dane zawierające wszelkie rodzaje informacji. Obejmuje dane szczególnie chronione, ale także bardziej ogólne rodzaje informacji. Termin dane osobowe obejmuje informacje dotyczące życia prywatnego i rodzinnego sensu stricto danej osoby, ale także informacje dotyczące wszelkich działań przez nią podejmowanych, np. relacji zawodowych lub też zachowań ekonomicznych albo społecznych osoby. Obejmuje ono zatem informacje o osobach niezależnie od ich pozycji lub stanowiska (jako konsument, pacjent, pracownik, klient itp.).

20 Title of the presentation 30 czerwca Date 2015 # r. 20 W PRAKTYCE: Przykład: Bankowe usługi telefoniczne: Jeżeli instrukcje głosowe klienta nagrywane są na taśmę, te nagrane instrukcje należy uważać za dane osobowe. Przykład: Nadzór wideo Obrazy osób zarejestrowane przez system nadzoru wideo mogą stanowić dane osobowe, jeżeli można rozpoznać te osoby.

21 Po drugie dotyczące OCHRONA DANYCH OSOBOWYCH Title of the presentation 30 czerwca Date 2015 # r. 21 Informacje muszą dotyczyć osoby; Bardzo często informacje odnoszą się nie do osoby a do rzeczy, która należy do osoby; Element ten odgrywa kluczową role przy ustalaniu zakresu przedmiotowego pojęcia, szczególnie w odniesieniu do przedmiotów i nowych technologii. W opinii określono trzy alternatywne elementy tzn. treść, cel lub skutek pozwalające na ustalenie, czy informacje dotyczą osoby. Dotyczy to również informacji, które mogą mieć zdecydowany wpływ na sposób traktowania lub oceny osoby.

22 Title of the presentation 30 czerwca Date 2015 # r. 22 Summing up dane dotyczą osoby jeżeli odnoszą się do tożsamości, cech lub zachowania danej osoby lub też jeśli informacje te determinują lub też wpływają na sposób traktowania lub ocenę danej osoby. dane można uznać za dotyczące osoby, jeżeli występuje jeden z elementów: treść cel lub skutek.

23 Title of the presentation 30 czerwca Date 2015 # r. 23 zidentyfikowanej lub możliwej do zidentyfikowania Osobę fizyczną można uważać za zidentyfikowaną, jeśli w grupie można ją odróżnić od wszystkich pozostałych członków grupy. Osoba fizyczna jest możliwa do zidentyfikowania, jeżeli, mimo że nie została zidentyfikowana, taka identyfikacja jest możliwa (na co wskazuje słowo możliwa ). Identyfikacji dokonuje się dzięki informacjom tzw. czynnikom identyfikującym, które wiążą się w sposób szczególny i bliski z daną osobą np.: wzrost, kolor włosów, ubranie, zawód, stanowisko, nazwisko. A w dyrektywie: numer identyfikacyjny lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, umysłową, ekonomiczną, kulturową lub społeczną tożsamość podmiotu

24 Title of the presentation 30 czerwca Date 2015 # r. 24 Pospolite nazwisko nie pozwoli na zidentyfikowanie (wyodrębnienie go spośród ogółu ludności danego kraju) natomiast zazwyczaj umożliwi zidentyfikowanie ucznia w klasie. Natomiast nawet drugorzędna informacja, mężczyzna w czarnym garniturze, może pozwolić na zidentyfikowanie kogoś wśród pieszych stojących na światłach. W związku z tym ustalenie, czy osoba, której dotyczy informacja, jest zidentyfikowana czy też nie, zależy od okoliczności sprawy.

25 Title of the presentation 30 czerwca Date 2015 # r. 25 POŚREDNIA IDENTYFIKACJA Jeśli chodzi o osobę zidentyfikowaną lub możliwą do zidentyfikowania pośrednio, kategoria ta zwykle odnosi się do zjawiska niepowtarzalnej kombinacji, w większym lub mniejszym wymiarze. W przypadkach gdy dostępne czynniki identyfikujące nie pozwalają prima facie na wyodrębnienie konkretnej osoby, osoba ta może pomimo to być możliwa do zidentyfikowania, ponieważ informacje te, w połączeniu z innymi informacjami (którymi administrator danych dysponuje lub nie), pozwalają na odróżnienie tej osoby od innych. Tego właśnie dotyczy sformułowanie dyrektywy: jeden bądź kilka szczególnych czynników określających jej fizyczną, fizjologiczną, umysłową, ekonomiczną, kulturową lub społeczną tożsamość.

26 Title of the presentation 30 czerwca Date 2015 # r. 26 Po czwarte osoby fizycznej Pojęcie danych osobowych odnosi się do osób fizycznych, to znaczy do ludzi. Prawo do ochrony danych osobowych jest w tym znaczeniu prawem uniwersalnym, a nie prawem ograniczonym do obywateli lub osób zamieszkałych w danym kraju. Dane osobowe stanowią więc w zasadzie dane dotyczące zidentyfikowanych lub możliwych do zidentyfikowania żyjących osób fizycznych. Problemy: Dane osób nieżyjących - nie podlegają ochronie jako dane osobowe; Dane nienarodzonych dzieci w zależności od systemu prawnego; Dane osób prawnych - w zależności od systemu prawnego;

27 Title of the presentation 30 czerwca Date 2015 # r. 27 Osoby prawne prowadzące działalność gospodarczą ETS w sprawie Lindqvist (C-101/2001) stwierdził, iż nic nie stoi na przeszkodzie rozszerzeniu przez państwa członkowskie zakresu ustawodawstwa krajowego wdrażającego przepisy dyrektywy na obszary będące poza jej zakresem, o ile nie wyklucza tego żaden inny przepis prawa Wspólnoty. W związku z tym Włochy, Austria czy Luksemburg rozszerzyły zakres stosowania niektórych przepisów ustaw krajowych przyjętych zgodnie z dyrektywą (takich jak przepisy dotyczące środków bezpieczeństwa) na przetwarzania danych dotyczących osób prawnych.

28 Title of the presentation 30 czerwca Date 2015 # r. 28 Dane wrażliwe (dane sensytywne) Zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Wyjątki Art. 27 ust. 1 uodo

29 Wyjątki OCHRONA DANYCH OSOBOWYCH Title of the presentation 30 czerwca Date 2015 # r pisemna zgoda podmiotu osoby. Wyjątek usunięcie danych. 2. Wynika z przepisu prawa i stworzona jest pełna gwarancja ich ochrony, 3. Ochrona żywotnych interesów podmiotu danych lub innej osoby, a nie jest ona fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora, 4. Statutowe zadania m.in. kościołów, związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, Warunek: dane dotyczą wyłącznie członków lub osób będących w stałym kontakty i zapewnione są pełne gwarancje ochrony przetwarzanych danych, 5. Dochodzenie praw przed sądem, 6. Wykonanie zadań administratora danych dot. zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie;

30 Title of the presentation 30 czerwca Date 2015 # r ochrona stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych, 8. dane zostały podane do wiadomości publicznej przez osobę, której dane dotyczą, 9. prowadzenie badań naukowych o ile publikowanie wyników uniemożliwia identyfikację osób, 10. realizacja praw i obowiązków wynikających z orzeczenia sądowego lub administracyjnego.

31 Title of the presentation 30 czerwca Date 2015 # r. 31 Co to jest zbiór danych Ilekroć w ustawie jest mowa o zbiorze danych - rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Art. 7 pkt. 1 UoDO

32 Title of the presentation 30 czerwca Date 2015 # r. 32 W rozumieniu ustawy zbiorem danych jest więc: - zestaw danych o charakterze osobowym, - posiadający własną strukturę, w którym dane są dostępne według określonych kryteriów. Nie ma znaczenia, czy zestaw ten jest scentralizowany, czy rozproszony, jednolity albo podzielony funkcjonalnie bądź geograficznie. Pojęcie zbioru danych obejmuje swoim zakresem zarówno zbiory zautomatyzowane, jak i niezautomatyzowane

33 Title of the presentation 30 czerwca Date 2015 # r. 33 Problemy praktyczne 1. Problemy ilościowe. Z ilu elementów musi się składać zbiór aby był zbiorem danych? Czy wystarczy aby zbiór składał się z dwóch elementów? 2. Problemy czasowe. Jak długo musi istnieć zbiór aby był zbiorem danych? 3. Problem z rozstrzygnięciem w konkretnym przypadku czy mamy jeden zbiór w skład którego wchodzi wiele mniejszych podzbiorów, czy też z wielością zbiorów, które łączy pewien związek funkcjonalny? Jak więc w konsekwencji rejestrować zbiory danych?

34 Title of the presentation 30 czerwca Date 2015 # r. 34 Co to jest przetwarzanie danych? Ilekroć w ustawie jest mowa o przetwarzaniu danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych, Art. 7 pkt. 2 UoDO

35 Title of the presentation 30 czerwca Date 2015 # r. 35 PRZETWARZANIE DANYCH OSOBOWYCH Oznacza jakiekolwiek operacje wykonywane na danych osobowych od ich pozyskania do usunięcia (wymazania). Są to więc takie działania, jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, łączenie, zestawianie, wywoływanie, udostępnianie, rozpowszechnianie, przesyłanie, usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

36 System informatyczny OCHRONA DANYCH OSOBOWYCH Title of the presentation 30 czerwca Date 2015 # r. 36 Ilekroć w ustawie mowa jest o systemie informatycznym - rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. (Art. 7 pkt. 2a UoDO) Co to jest zabezpieczenie danych w systemie informatycznym? Ilekroć w ustawie jest mowa o zabezpieczeniu danych w systemie informatycznym - rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem. (Art. 7 pkt. 2b UoDO)

37 Title of the presentation 30 czerwca Date 2015 # r. 37 Co to jest usuwanie danych? Ilekroć w ustawie jest mowa o usuwaniu danych - rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą. Art. 7 pkt. 3 UoDO

38 Title of the presentation 30 czerwca Date 2015 # r. 38 Usuwania danych może polegać na: a) zniszczeniu danych osobowych b) takiej modyfikacji danych os., która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą - w tym przypadku dane tracą swój osobowy charakter. Są to takie procedury, których rezultatem jest pozbawienie administratora możliwości dalszego przetwarzania danych os. Kategorię usuwanie danych należy odróżnić od kategorii wstrzymania (czasowego lub stałego) przetwarzania danych

39 Title of the presentation 30 czerwca Date 2015 # r. 39 Kto to jest administrator danych? Ilekroć w ustawie jest mowa administratorze danych - rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych (Art. 7 pkt. 4 UoDO) Decyzja o celach i środkach przetwarzania danych osobowych

40 Title of the presentation 30 czerwca Date 2015 # r. 40 O tym, kto jest administratorem, powinno decydować faktyczne władztwo nad konkretnymi danymi (danymi konkretnych osób), a nie władztwo abstrakcyjne nad danymi lub/i procesem przetwarzania danych. Dodatkowymi kryteriami odróżniającymi powinno być to, kto określa cel i sposób przetwarzania danych, oraz to, kto przeznacza konkretne dane do przetwarzania w danym celu i w określony sposób oraz na czyją rzecz lub w czyim interesie odbywa się takie przetwarzanie. (G.Karp Palestra 2011 nr 1-2 str )

41 Title of the presentation 30 czerwca Date 2015 # r. 41 Administrator danych osobowych w sprawozdaniach GIODO Administratorem zawartych w ewidencji kierowców prowadzonej w związku z wydawaniem praw jazdy jest STAROSTA Administratorem danych właścicieli pojazdów przetwarzanych w związku z pobieraniem opłat parkingowych uznano MIASTO (GMINA) Administratorem przetwarzanych przez miejski ośrodek pomocy rodzinie uznano DYREKTORA OŚRODKA Administratorem danych osób bezrobotnych zarejestrowanych w powiatowym urzędzie pracy uznano URZĄD PRACY Administratorem danych członków służby zagranicznej uznano MINISTERSTWO SPRAW ZAGRNICZNYCH.

42 Title of the presentation 30 czerwca Date 2015 # r. 42 W przypadku podmiotów prywatnych Administratorem będzie: Bank, Fundusz emerytalny, Spółka, Fundacja A nie osoby pełniące funkcję kierowniczą! Administratorem danych nie jest również pracownik, któremu powierzono pełnienie obowiązków Ale administratorem danych może być osoba fizyczna np. w sytuacji indywidualnego, niezinstytucjonalizowanego przetwarzania danych osobowych, np. naukowiec, który w pracy badawczej gromadzi dane osobowe w ramach przeprowadzanych ankiet

43 Podsumowując OCHRONA DANYCH OSOBOWYCH Title of the presentation 30 czerwca Date 2015 # r. 43 Urząd Pracy - w stosunku do danych osób poszukujących pracy ZUS w stosunku do danych osób ubezpieczonych (wyrok WSA z dn r II SA/Wa 2328/06) Spółka jawna a nie na przykład wspólnicy spółki jawnej (wyrok WSA z dn r. II SA/Wa 955/06) Spółka z ograniczoną odpowiedzialnością a nie członek zarządu (Wyrok NSA z dnia r. II SA 1098/01) Jan Kowalski prowadzący działalność jako PPH J. Kowalski Mec. Agnieszka Goźlińska w stosunku do danych z książki teleadresowej klientów

44 Title of the presentation 30 czerwca Date 2015 # r. 44 Administrator danych a Administrujący danymi na gruncie ustawy o ochronie danych osobowych administratorem danych osobowych jest jedynie ten podmiot, który decyduje o celach i środkach przetwarzania tych danych (art. 7 pkt 4 ustawy), natomiast administrującym - także taki podmiot, który zarządza, zawiaduje zbiorem danych (art. 50, 51, 54) lub danymi (art. 52) w procesie ich przetwarzania, w tym i powierzonego mu w trybie wskazanym w art. 31 tej ustawy, przy czym odpowiedzialność karna administrującego nie będącego administratorem danych wchodzi w rachubę wówczas, gdy jego zachowanie - uznane za karalne przez ustawę - wynika z powierzonych mu czynności przetwarzania danych.

45 Title of the presentation 30 czerwca Date 2015 # r. 45 Dopuszczalność powierzenia przetwarzania danych Administrator danych może powierzyć przetwarzanie danych w drodze pisemnej umowy innemu podmiotowi. Podmiot ten może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie. Podmiot przetwarzający jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, Art. 31 UoDO

46 Title of the presentation 30 czerwca Date 2015 # r. 46 W zakresie przestrzegania przepisów o zabezpieczeniu danych podmiot przetwarzający ponosi odpowiedzialność jak administrator danych. W przypadku powierzenia przetwarzania odpowiedzialność za przestrzeganie przepisów uodo spoczywa na administratorze danych, a odpowiedzialność za zgodność z umową przetwarzanych danych - na podmiocie któremu powierzono przetwarzanie. Art. 31 UODO W przypadku przetwarzania danych osobowych przez podmioty mające siedzibę albo miejsce zamieszkania w państwie trzecim, administrator danych jest obowiązany wyznaczyć swojego przedstawiciela RP. Art. 31a UODO

47 Title of the presentation 30 czerwca Date 2015 # r. 47 Co to jest państwo trzecie? Ilekroć w ustawie jest mowa o państwie trzecim - rozumie się przez to państwo nienależące do Europejskiego Obszaru Gospodarczego Art. 7 pkt. 7 UoDO

48 Title of the presentation 30 czerwca Date 2015 # r. 48 Co to jest zgoda podmiotu danych? Ilekroć w ustawie jest mowa o zgodzie osoby, której dane dotyczą - rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie, Art. 7 pkt. 5 UODO

49 Title of the presentation 30 czerwca Date 2015 # r. 49 Z orzecznictwa. Zgoda na przetwarzanie danych osobowych musi być sformułowana w sposób wyraźny i jednoznaczny i wyróżniać się spośród innych pochodzących od tej osoby informacji i oświadczeń. Nie może mieć ona charakteru abstrakcyjnego, lecz winna odnosić się do skonkretyzowanego stanu faktycznego, obejmując tylko określone dane oraz sprecyzowany sposób i cel ich przetwarzania Wyrok NSA z dnia w sprawie II SA 3942/02

50 Title of the presentation 30 czerwca Date 2015 # r. 50 Zgoda na przetwarzanie w praktyce Wyraźna, nie może stanowić dodatkowego elementu innego oświadczenia; Precyzująca cel przetwarzania; Nie może łączyć różnych oświadczeń w jednym; Nie może być domniemana ani dorozumiana z innego oświadczenia; Nie może jej konwalidować późniejsza czynność np. późniejsze przesłanie regulaminu (wyrok NSA z dnia w sprawie II SA 2135/02);

51 Title of the presentation 30 czerwca Date 2015 # r. 51 Przykład nieważnej zgody na dalsze wykorzystywanie danych klientów: Księgarnia internetowa rozsyła do uczestników swojego programu lojalnościowego wiadomości , informując ich, że ich dane zostaną przekazane firmie reklamowej, która planuje wykorzystać je do celów marketingowych. Użytkownicy mają dwa tygodnie, by odpowiedzieć na wiadomość . Informuje się ich, że brak odpowiedzi zostanie uznany za zgodę na przekazanie danych. Ten rodzaj mechanizmu, w którym o zgodzie wnioskuje się na podstawie braku reakcji osób fizycznych, nie skutkuje ważną, jednoznaczną zgodą. Nie można w niewątpliwy sposób ustalić, czy osoba fizyczna wyraziła przyzwolenie na przekazanie danych, na podstawie braku odpowiedzi.

52 Title of the presentation 30 czerwca Date 2015 # r. 52 Czy po nowelizacji ustawy z 2015 r. należy powołać ABI? Co z ABI powołanymi przed 2015 r.? Jaką rolę pełni ABI po nowelizacji UODO?

53 Title of the presentation 30 czerwca Date 2015 # r. 53 Ustawa z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz.U. z 2014 r. poz. 1662) Art. 9 zmiana w UODO Przepisy przejściowe art. 35 i 36 Ustawy Wejście w życie 1 stycznia rozporządzenia wykonawcze Ministra Administracji i Cyfryzacji

54 Title of the presentation 30 czerwca Date 2015 # r rozporządzenia wykonawcze: Rozporządzenie MAiC z dnia r. w sprawie wzorów zgłoszeń powołania i odwołania Administratora Bezpieczeństwa Informacji (Dz.U. poz. 1934) w życie Rozporządzenie MAIC z dnia r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz.U. poz. 719 ) życie od r. Rozporządzenie MAIC z dnia r. w sprawie trybu I sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez Administratora Danych Osobowych - (Dz.U. poz. 745) w życie r.

55 Title of the presentation 30 czerwca Date 2015 # r. 55 Pozycja ABI Administrator danych może obok ABI powołać także zastępców administratora bezpieczeństwa informacji. Do zastępców stosuje się zasady dotyczące ABI WYMÓG NIEZALEŻNOŚCI ABI ABI podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych! Administrator danych zapewnia środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania przez niego zadań!

56 Title of the presentation 30 czerwca Date 2015 # r. 56 ADO ma termin 30 dni na zgłoszenia GIODO powołania i odwołania ABI; ADO ma 14 dni na zgłoszenie zmian do rejestru. Zgłoszenie powołania ABI do rejestracji musi zawierać: 1. Oznaczenie ADO + adres siedziby lub miejsca zamieszkania i dane rejestrowe; 2. Dane ABI (imię i nazwisko, PESEL, dane z dowodu tożsamości, adres do korespondencji, datę powołania, oświadczenie ADO o spełnieniu warunków z art. 36a ust. 5 i 7 Zgłoszenie odwołania ABI: - Informacje jw. + datę i przyczynę odwołania Na żądanie ADO GIODO wydaje zaświadczenie o zarejestrowaniu ABI

57 Title of the presentation 30 czerwca Date 2015 # r. 57 A co z ABI, którzy byli już powołani przed styczniem 2015 r.? Jeżeli ADO chce aby nadal pełnił on funkcję. Konieczne jest spełnianie wszystkich warunków przewidzianych mocą art. 36a ust. 5, 7 i 8 uodo. Termin do zgłoszenia do GIODO przedłuża się do 30 czerwca 2015 r. Jeżeli ADO nie zgłosił do r. ABI? Z dniem przestaje on pełnić funkcję a jego zadania przejmuje ADO. ADO ponosi też pełną odpowiedzialność za przetwarzanie danych osobowych w firmie

58 Title of the presentation 30 czerwca Date 2015 # r. 58 c.d. do przerwie Dziękujemy za uwagę

59 Title of the presentation Date # CZĘŚĆ 2???