Podstawowe definicje: Dane osobowe oraz zbiory danych osobowych. Zasady udostępniania danych osobowych. Mgr Maciej Chodorowski Lublin, 28 października 2017 r.
Plan wykładu: 1. Definicja danych osobowych i zbioru danych osobowych 2. Kim jest administrator, procesor oraz współadministrator? 3. Udostępnienie a powierzenie 4. Zasady legalnego udostępniania danych osobowych
DANE OSOBOWE nowe kategorie w GDPR Dane osobowe są to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (Art. 6 ust. 1 UODO) Przesłanki: 1. osoba fizyczna 2. zidentyfikowana lub możliwej do zidentyfikowania 3. wszelkie informacje
Zakres podmiotowy danych osobowych Osoby żyjące (nie dotyczy osoby zmarłej) Obywatele RP i cudzoziemcy Przedsiębiorcy
Dane osobowe osób prowadzących jednoosobową działalność gospodarczą USDG: Art. 39b. Do jawnych danych i informacji udostępnianych przez CEIDG nie stosuje się przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182 i 1662 oraz z 2015 r. poz. 1309), z wyjątkiem przepisów art. 14 19a i art. 21 22a oraz rozdziału 5 tej ustawy. RODO: Niniejsze rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej.
Dane osobowe wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (Art. 6 ust. 1 UODO) DANE OSOBOWE nowe kategorie w GDPR MOŻLIWEJ DO ZWERYFIKOWANIA Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (art. 6 ust. 2 UODO)
Numery identyfikacyjne: Cechy fizyczne: PESEL, NIP, numer i seria dokumentu tożsamości (paszport, dowód osobisty) wygląd zewnętrzny, linie papilarne, wzrost, waga, wiek Cechy ekonomiczne: status majątkowy, lista zaległości finansowych Cechy fizjologiczne: grupa krwi, kod genetyczny Cechy umysłowe, kulturowe lub społeczne: Poglądy polityczne, wyznanie( pastor XY), pochodzenie lub przynależność związkowa
Nowe kategorie danych W rozporządzeniu pojawia się wyjaśnienie pojęcia osoby możliwej do zidentyfikowania na podstawie: numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy (adres IP - sprawa C-582/14 Breyer) dane biometryczne Art. 4 RODO
Nowe kategorie danych NADMIERNE KOSZTY, CZAS LUB DZIAŁANIA Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań (art. 6 ust. 3 UODO) (26) RODO: Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny.
Dane zanonimizowane / speudonimizowane Anonimizacja Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. Niniejsze rozporządzenie nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych. Pseudonimizacja Pseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej.
Dane zanonimizowane / speudonimizowane Anonimizacja Np. z bazy danych, w której zawarte są: imię, nazwisko, adres e- mail, historia zamówień, usuwamy wszystkie dane, które są niezbędne do identyfikacji danej osoby (pozostawiamy tylko informacje o współpracy, czyli np. mieliśmy 20 000 rekordów, do których w okresie od 1 do 22 maja 2017 wysłaliśmy dwie wiadomości mailowe i jedną smsową). Pseudonimizacja Np. z ww. bazy danych wyłączamy te informacje, na podstawie których możemy ustalić tożsamość osób (imię, nazwisko, adres e-mail) i przechowujemy na innym dysku z ograniczonym dostępem. Na potrzeby realizacji celów biznesowych korzystamy tylko z informacji o współpracy.
DANE WRAŻLIWE Jakie to informacje?
Dane wrażliwe Art. 27 UODO Zabrania się przetwarzania danych: ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. + dane biometryczne (RODO)
Dane wrażliwe Dane biometryczne Art. 4 pkt 14 RODO oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne.
Dane zwykłe, a dane wrażliwe Zakres informacji: Dane zwykłe- katalog otwarty Dane wrażliwe- katalog zamknięty Inne podstawy prawne: Dane wrażliwe- bardziej restrykcyjne Zabezpieczenia: UODO- wyższy poziom bezpieczeństwa RODO- większe ryzyko naruszenia praw i wolności, dobór lepszych zabezpieczeń
Zbiór danych osobowych Każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. (art. 7 pkt 1 UODO) W jaki sposób zidentyfikować zbiory danych? Wytyczne GIODO w zakresie identyfikacji danych cel przetwarzania danych.
Zbiory danych Przykładowe zbiory danych: Pracownicy, praktykanci i współpracownicy Potencjalni pracownicy i współpracownicy Kontrahenci i pracownicy kontrahentów Klienci Marketing Serwisy internetowe (storna internetowa, fanpage FB) Rejestr korespondencji Osoby kontaktowe Monitoring wizyjny
Rejestracja Rejestracja zbioru ma charakter czynności materialno-technicznej. Prawidłowe zgłoszenie zbioru danych obliguje Generalnego Inspektora do dokonania czynności wpisu do ogólnokrajowego jawnego rejestru zbiorów danych osobowych. Fakt zgłoszenia zbioru do rejestracji oraz ewentualny brak sprzeciwu ze strony organu nie ma znaczenia dla kwestii legalności prowadzenia takiego zbioru. II Sa/Wa 1707/08
Podejście procesowe RODO odchodzi od filozofii zbiorów danych osobowych wprowadzając czynności przetwarzania (niezbędne do stworzenia rejestru czynności) Nie zostało one jednak wprost zdefiniowane. 3 koncepcje: 1. Czynność jako operacja na danych (np. zbieranie danych) 2. Czynność jako proces (np. rekrutacja przez agencję) 3. Czynność jako cel przetwarzania (np. rekrutacja)
Przetwarzanie DO Zbieranie, Utrwalanie Backup/ hosting Jakiekolwiek operacje na danych osobowych (art.7 pkt 2 UODO) Opracowywanie, Zmienianie, Udostępnianie Usuwanie Przechowywanie/ wgląd
Zapraszam na przerwę osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; 21
ADMINISTRATOR DANYCH OSOBOWYCH Administrator danych osobowych Podmiot, który decyduje o celach i środkach przetwarzania danych art. 7 pkt 4) UODO
ADMINISTRATOR DANYCH Administrator danych osobowych Ma obowiązek chronić interesy osób, których dane posiada (przetwarzanie zgodnie z prawem, zgodnie z celem zbierania; poprawne merytorycznie)
Przesłanki przetwarzania DO Zasada legalności i przejrzystości Zgoda art. 23 ust. 1 pkt 1 Przepis prawa art. 23 ust. 1 pkt 2 Umowa art. 23 ust. 1 pkt 3 Dobro publiczne art. 23 ust. 1 pkt 4 Usprawiedliwiony interes art. 23 ust. 1 pkt 5
Obowiązek informacyjny Obowiązek informacyjny Art. 24 Ustawy: W przypadku zbierania danych osobowych od osoby, której one dotyczą Art. 25 Ustawy: W przypadku zbierania danych osobowych nie od osoby, której one dotyczą ( np. CEIDG, inne podmioty)
ZASADA CELOWOŚCI I OKRES PRZECHOWYWANIA Zasada celowości Dane osobowe mogą być przetwarzane jedynie w celu w jakim zostały zebrane. Zakaz wykorzystywania danych w celach prywatnych Możliwość zamiany celu po uwzględnieniu wymagań z art. 26 ust. 2 ustawy o ochronie danych osobowych Zasada ograniczenia czasowego Dane powinny być przechowywane tak długo jak jest to niezbędne do wypełnienia celu (następnie anonimizowane lub usuwane). Przepis prawa określa czas przechowywania danych. 26
ZASADA ADEKWATNOŚCI Zasada adekwatności Administrator danych może przetwarzać jedynie te dane, które są niezbędne do wypełniania celu w jakim zostały zebrane. Zakaz zbierania danych na zapas (Adekwatność ocenia się indywidualnie w zależności od okoliczności, w obrocie gospodarczym zależy od rodzaju umowy, usługi, ryzyka gospodarczego) Przykład: wyłącznie adres e-mail jest niezbędny do wysyłki newslettera. 27
ZASADA RZETELNOŚCI Zasada aktualności i prawdziwości Administrator danych jest zobowiązany do posiadania danych prawdziwych i aktualnych. Powyższa zasada obliguje nas do reagowania na wnioski dotyczące danych osobowych np. poprzez udzielenie odpowiedzi, albo poprzez aktualizację danych. Nie oznacza to konieczności cyklicznego sprawdzania zbiorów. 28
WIĘCEJ NIŻ JEDEN ADO Współadministrator (więcej niż jeden administrator danych) UODO Dotychczas, na gruncie interpretacji UODO, nie była przez GIODO dopuszczana możliwość, aby istniał więcej niż jeden administrator określonego zbioru danych [art. 7 pkt 4 UODO] RODO Wprost przewiduje możliwość istnienia joint controllers, czyli wspólnych administratorów danych lub połączonych administratorów danych [art. 26 RODO]- niezbędne jest określenie obowiązków i zakresów
Umowa powierzenia Administrator Danych Osobowych Umowa powierzenia Procesor Np. obsługa kadrowo-księgowa
Udostępnienie a powierzenie Powierzenie przetwarzania danych Udostępnianie danych To pojęcie oznacza, że administrator danych nie wykonuje sam operacji na danych osobowych, do których jest uprawniony, lecz zleca ich wykonanie w całości lub w części - innemu podmiotowi (outsourcing). Podmiot, któremu zostało powierzone przetwarzanie danych musi przetwarzać te dane w zakresie i celu określonym przez administratora danych. Takie powierzenie musi nastąpić w pisemnej umowie. Pojęcie to oznacza wszelkie działania stwarzające możliwość zapoznania się z danymi osobowymi osobom lub podmiotom, innym niż: osoba, której dane dotyczą, osoby, dopuszczone do przetwarzania danych przez administratora danych, podmioty, które przetwarzają te dane na zlecenie administratora danych (czyli podmioty, z którymi powinny być zawarte umowy powierzenia przetwarzania danych)
Udostępnienie a powierzenie ADO ADO Własny cel ADO Procesor Cel ADO
Cele udostępnienia danych osobowych 1. Wywiązanie się z przepisów prawa (np. ZUS, policja itp.) 2. Rozwoju prowadzonej działalności (wymiany danymi, sprzedaży danych)
Udostępnienie danych pomiędzy podmiotami publicznymi Na co zwrócić uwagę przy udostępnieniu danych: Czy istnieje podstawa prawna danych osobowych- tylko przepis prawa Organy publiczne działają na podstawie i w granicach prawa
Udostępnienie danych w celu realizacji prawa Na co zwrócić uwagę przy udostępnieniu danych (ZUS, US, komornicy, sąd, policja, inni) Wniosek i odpowiedź na piśmie Zakres podmiotowy (czyje dane, zakres danych) Wskazanie przez podmiot żądający- podstawy prawnej
Udostępnienie danych w ramach prowadzonej działalności Jakie mogą to być sytuacje? 1. Udostępnienie w celu marketingu podmiotów trzecich 2. Udostępnienie w celach statystycznych podmiotów trzecich 3. Udostępnienie w celu realizacji umowy (pośrednicy płatności) 4. Udostępnienie w celach funkcjonowania powiązań korporacyjnych (korporacyjne książki mailowe)
Udostępnienie danych w ramach prowadzonej działalności Na co zwrócić uwagę przy udostępnieniu danych innym podmiotom? Czy posiadamy podstawę prawną udostępnienia? Zgoda osoby (marketing podmiotów trzecich) Realizacja umowy (pośrednicy płatnościach) Prawnie uzasadniony interes (korporacyjna książka mailowa) Jaki jest zakres danych? Czy jest adekwatny? Czy poinformowaliśmy osobę, której dane dotyczą o możliwości udostępnienia ich danych?
Udostępnienie danych w ramach prowadzonej działalności Jak powinna być zbudowana zgoda na udostępnienie danych podmiotom trzecim? Zgoda musi być świadoma; Musi być dobrowolna (niewymuszona) Nie może być ogólna; Udostępniona tylko jednemu podmiotowi (ewe. odwołanie do partnerów współpracujących)
Udostępnienie danych w ramach prowadzonej działalności Przykład zgody na udostępnienie danych: Wyrażam zgodę ABC sp. z o.o. na udostępnienie moich danych osobowych podmiotowi XYZ w celu (np. marketingu jego produktów i usług)
Konsekwencje legalnego udostępnienia Podmiot udostępniający: Poinformować osobę fizyczną o możliwości udostępnienia jej danych osobowych w obowiązku informacyjnym (raz, a nie za każdym razem udostępnienia) Odbiorca danych musi: Posiadać własną podstawę prawną do dalszego przetwarzania; Spełnić obowiązek informacyjny z art. 25 UODO (14 RODO);
Konsekwencje nielegalnego udostępnienia Odpowiedzialność karna Nieuprawniony dostęp do danych art. 51 uodo: 1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Odpowiedzialność pracownicza Upomnienie, nagana lub dyscyplinarne zwolnienie (ciężkie naruszenie obowiązków) Odpowiedzialność cywilnoprawna roszczenie z tytułu naruszenia dóbr osobistych (art.23 UODO)
PYTANIA?
Dziękuję za uwagę!! Prezentacja w PDF na stronie: jakchronicinformacje.pl/studia_pod Maciej Chodorowski Prawnik, Specjalista ds. ochrony danych osobowych