Ochrona danych osobowych przy obrocie wierzytelnościami

Transkrypt

1 Ochrona danych osobowych przy obrocie wierzytelnościami

2 Prawo do prywatności Art. 47 Konstytucji - Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym. Art. 51 Konstytucji 1.Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby. 2.Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. 3.Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa. 4.Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. 5.Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.

3 Pojęcie danych osobowych Wszelkie informacje dotyczące: zidentyfikowanej osoby fizycznej możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

4 Pojęcie danych osobowych Danymi osobowymi są informacje: 1)o zasadniczo niezależnych okolicznościach (imię, nazwisko, nr identyfikacyjny, obywatelstwo, linie papilarne, data i miejsce urodzenia); 2)o cechach nabytych (wykształcenie, znajomość języków, uprawnienia, charakter pisma, stan cywilny); 3)o cechach osobowościowych, psychologicznych, w tym zainteresowaniach, światopoglądzie, upodobaniach; 4)o sytuacji materialnej, operacjach finansowych (np. lista zaległości czynszowych); 5)o przejawach aktywności (podróże, działalność kulturalna, uczestnictwo w wydarzeniach).

5 Przetwarzania danych wrażliwych Przetwarzanie danych sentensywnych (wrażliwych) jest możliwe za zgodą osoby, której dane dotyczą wyrażoną na piśmie, a bez zgody w przypadku; przepis szczególny na to zezwala; przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby; wykonywanie statutowych zadań kościołów, związków wyznaniowych, fundacji, stowarzyszeń, instytucji politycznych, naukowych zwiazkowych jeżeli dotyczy ich członków dochodzenia praw przed sądem; zatrudniania pracowników; ochrony zdrowia; podania danych do wiadomości publicznej badania naukowe; orzeczenia sądowego lub administracyjnego.

6 Przetwarzanie danych osobowych w zbiorach danych Wszelkie operacje wykonywane na danych osobowych uznane będzie za ich przetwarzanie. Za przetwarzanie danych uznane będzie zatem tak samo zbieranie np. wizytówek, które co do zasady zawierają dane osobowe, jak również gromadzenie danych w systemie teleinformatycznym, obejmującym szerszy zakres danych. Przetwarzaniem jest już samo przechowywanie danych, nawet jeśli podmiot faktycznie z nich nie korzysta

7 Dopuszczalność przetwarzania danych osobowych Zgodnie z ustawą o ochronie danych osobowych, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 1)osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, 2)jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, 3)jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, 4)jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, 5)jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą

8 Zasady przetwarzania danych osobowych Dane osobowe muszą być: przetwarzane zgodnie z prawem; merytorycznie poprawne; przetwarzane dla określonych prawem celów (nie mogą być dalej przetwarzane niezgodnie z tymi celami); przetwarzane adekwatnie do celów; przechowywane nie dłużej niż jest to niezbędne dla określonych celów; przechowywane w postaci umożliwiającej identyfikację osób, których dane dotyczą

9 Prawa osób, których dane są przetwarzane W zależności od tego, czy administrator pozyskał dane od osoby, której dane dotyczą czy też z innego źródła, spoczywają na nim obowiązki informacyjne wobec tej osoby. W szczególności administrator zobowiązany jest do poinformowania tej osoby o: 1)adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku; 2)celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych; 3)prawie dostępu do treści swoich danych oraz ich poprawiania; 4)dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

10 Prawa osób, których dane są przetwarzane W przypadku, gdy dane nie pochodzą od osoby, której dotyczą administrator ma obowiązek dodatkowo poinformować tą osobę o źródle, z którego dane otrzymał oraz uprawnieniu do wniesienia pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację, a także wniesienia sprzeciwu wobec przetwarzania jej danych, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych.

11 Prawa osób, których dane są przetwarzane Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do: 1)uzyskania wyczerpującej informacji, czy taki zbiór istnieje, 2)ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna - jej miejsca zamieszkania oraz imienia i nazwiska, 3)uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze, 4)uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych, 5)uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie tajemnicy państwowej, służbowej lub zawodowej,

12 Prawa osób, których dane są przetwarzane 6) uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane, 7) uzyskania informacji o przesłankach podjęcia ostatecznego rozstrzygnięcia indywidualnej sprawy osoby, 8) żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, 9) czasowego lub stałego wstrzymania ich przetwarzania 10) ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane

13 Prawa osób, których dane są przetwarzane 11) wniesienia, pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację, 12) wniesienia sprzeciwu wobec przetwarzania jej danych, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych, 13) wniesienia do administratora danych żądania ponownego, indywidualnego rozpatrzenia sprawy

14 Prawa osób, których dane są przetwarzane Na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie jej danych osobowych, odpowiednich informacji (o których mowa w art. 32 ust. 1 pkt. 1-5a), a w szczególności podać w formie zrozumiałej: czy zbiór istnieje; dane administratora; jakie dane zawiera zbiór; źródle danych; celu i zakresie przetwarzania; od kiedy dane są przetwarzane; w jakim zakresie oraz komu dane są udostępniane.

15 Zabezpieczenie danych osobowych Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien: zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy zmianą, utratą, uszkodzeniem zniszczeniem.

16 Zabezpieczenie danych osobowych Administrator obowiązany jest prowadzić dokumentację opisującą: sposób przetwarzania danych; środki techniczne; środki organizacyjne. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.

17 Zabezpieczenie danych osobowych Administrator danych prowadzi ewidencję osób uprawnionych do przetwarzania danych, która powinna zawierać: imię i nazwisko osoby upoważnionej; datę nadania i ustania uprawnień; zakres upoważnienia do przetwarzania danych; identyfikator, jeżeli dane są przetwarzane w systemie informatycznym. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane oraz sposoby ich zabezpieczenia.

18 Udostępnianie danych osobowych Warunkiem udostępnienia danych innemu podmiotowi jest proporcjonalność środków i celów oraz równowaga pomiędzy ochroną różnych dóbr. Podmiot żądający udostępnienia danych osobowych musi swoje stanowisko uzasadnić. Wedle art. 23 ust. 1 pkt 5 muszą być to "prawnie usprawiedliwione cele". Udostępniając dane osobowe należy pamiętać, że w myśl art. 51 ust. 1 u.o.d.o. osoba, która administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.W tym wypadku odpowiedzialność sprawcy jest także za działanie nieumyślne. Wówczas sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

19 Powierzenie przetwarzania danych osobowych Zgodnie z art. 31 ust. 1 u.o.d.o. administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Podmiot, któremu administrator powierzył przetwarzanie danych jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art ustawy, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a (posiadać odpowiednie procedury, dokumentację itp.).

20 Powierzenie przetwarzania danych osobowych Zgodnie z art. 31 ust. 1 u.o.d.o. administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Podmiot, któremu administrator powierzył przetwarzanie danych jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art ustawy, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a (posiadać odpowiednie procedury, dokumentację itp.).

21 Powierzenie przetwarzania danych osobowych Powierzając dane osobowe należy pamiętać, że administrator danych w tym przypadku nie ulega zmianie. Tym samym wszelkie obowiązki informacyjne względem osoby, której dane są przetwarzane wykonywane są nadal przez administratora danych, dotyczy to także decyzji dotyczących indywidulanych rozstrzygnięć, zaprzestania przetwarzania danych czy też ich usunięcia. W przypadku zatem otrzymania przez podmiot, któremu administrator powierzył przetwarzanie danych żądania np. usunięcia danych, podmiot ten przekazuje takie żądanie niezwłocznie do administratora, który w tym zakresie podejmuje decyzję.

22 Usuwanie danych osobowych Usuwanie danych to zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą. Usuwanie danych musi prowadzić do takiego ich zniszczenia lub modyfikacji, aby nie było możliwości przywrócenia danych. Po wygaśnięciu podstawy prawnej lub celu przetwarzania danych osobowych, dalsze przetwarzanie jest niedopuszczalne. Zgodnie z art. 49 ust. 1 u.o.d.o. osoba, która przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

23 Dziękuję za uwagę Jarosław Olejarz Radca prawny