Przetwarzanie danych osobowych w Internecie European Commission Enterprise and Industry
Title of the presentation Date 2 Zakres prezentacji Biznes w sieci a dane osobowe aspekty praktyczne Podstawowe definicje Obowiązki Marketing w sieci
Title of the presentation Date 3 Podstawowe akty prawne dotyczące ochrony danych osobowych Konstytucja Rzeczypospolitej Polskiej (art. 47, 51) Ustawa o ochronie danych osobowych z 29 sierpnia 1997 r. ( UODO ) Ustawa o świadczeniu usług drogą elektroniczną z 18 lipca 2002 r. Rozporządzenia MSWiA z 29 kwietnia 2004 ( Rozporządzenie ) w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych
Title of the presentation Date 4 Dane osobowe. Definicja Wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej Możliwość identyfikacji osoby fizycznej (gdy tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne ( ) Brak możliwości identyfikacji gdy określenie tożsamości osoby wymagałoby nadmiernych kosztów, czasu lub działań Informacje o użytkownikach: nick, adres e-mail, adres IP, login
Title of the presentation Date 5 Dane osobowe Brak zamkniętego katalogu danych osobowych. Adres e-mail, adres IP, login? Dane osobowe samodzielne (numer PESEL) Dane osobowe kontekstowe Dane sensytywne Casus Naszej-klasy
Title of the presentation Date 6 Zakres stosowania UODO (1) wyłącznie do danych dotyczących osób fizycznych gdy dane są lub mogą być przetwarzane w zbiorach danych, a w przypadku przetwarzania danych w systemach informatycznych także poza zbiorem danych
Title of the presentation Date 7 Zakres stosowania UODO (2) Wyłączenia spod zakresu obowiązywania UODO Cele osobiste lub domowe Dane o przedsiębiorcach (ewidencja działalności gospodarczej) - regulacja tymczasowa Zbiory danych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji zastosowanie UODO ograniczone do przepisów o zabezpieczeniu danych
Title of the presentation Date 8 Administrator danych osobowych organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych główny adresat obowiązków związanych z przetwarzaniem danych osobowych główny odpowiedzialny za przetwarzanie danych osobowych Decydowanie o celach i środkach przetwarzania danych: faktyczne i realne rzeczywiste na czyją rzecz (w czyim interesie) Opinia nr 1/2010 Grupy roboczej Artykułu 29 z dnia 15 lutego 2010 r. odnośnie definicji administratora danych osobowych.
Title of the presentation Date 9 Przetwarzanie danych Jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie Zwłaszcza te, które wykonuje się w systemach informatycznych Utrzymywanie na serwerach? Czytanie?
Title of the presentation Date 10 Legalność przetwarzania danych osobowych Podstawa prawna przetwarzania danych Spełnienie obowiązków wynikających z UODO zabezpieczenie danych rejestracja bazy obowiązek informacyjny Przetwarzanie danych zgodnie z celem dla jakiego zostały zebrane zasada celowości Adekwatność danych do celu, dla jakiego zostały zebrane zasada adekwatności Przetwarzanie nie dłużej niż jest to niezbędne do osiągnięcia celu zasada czasowości
Title of the presentation Date 11 Podstawy prawne przetwarzania danych osobowych Zgoda osoby, której dane dotyczą nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści, na każdy cel przetwarzania z osobna Realizacja uprawnienia lub spełnienie obowiązku wynikającego z przepisu prawa Realizacja umowy osoba, której dane dotyczą jest stroną umowy działania przed zawarciem umowy, na żądanie osoby, której dane dotyczą Zadania publiczne Prawnie usprawiedliwiony cel administratora/odbiorcy danych marketing bezpośredni własnych produktów lub usług, roszczenia z tytułu prowadzonej działalności gospodarczej
Title of the presentation Date 12 Obowiązki Rejestracja zbioru danych Zabezpieczenie Poinformowanie Wdrożenie dokumentacji
Title of the presentation Date 13 Rejestracja zbioru danych Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi Wzór zgłoszenia znajduje się na stronie www.giodo.gov.pl Wniosek rejestracyjny należy złożyć przed rozpoczęciem przetwarzania danych Zgłoszenie wniosku rejestracyjnego wystarczy do rozpoczęcia przetwarzania danych (art. 46 UODO) zarejestrowanie zbioru nie jest warunkiem legalności przetwarzania danych (chyba że chodzi o tzw. dane sensytywne art. 46 ust. 2 UODO) Wyłączenia spod obowiązku rejestracji zbioru
Title of the presentation Date 14 Zabezpieczenie danych (1) Środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną Zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem Kontrola nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane Ewidencja osób upoważnionych do przetwarzania danych osobowych
Title of the presentation Date 15 Zabezpieczenia danych (2) Administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzania danych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. ABI nadzoruje przestrzeganie zasad ochrony danych we wszelkich jej aspektach także w przypadku przetwarzania metodami tradycyjnymi (art. 36 ust. 3 UODO).
Title of the presentation Date 16 Obowiązki dokumentacyjne Ewidencji osób upoważnionych do przetwarzania danych osobowych Wdrożenie polityki bezpieczeństwa ochrony danych osobowych Wdrożenie instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych Polityka prywatności
Title of the presentation Date 17 Obowiązek informacyjny Podział obowiązków informacyjnych na podstawie UODO: 1. Pierwotny obowiązek informacyjny: Dane osobowe zbierane są z urzędu od: osoby, której te dane dotyczą (art. 24 ust. 1 UODO) lub osoby innej niż ta, której dane dotyczą (art. 25 ust. 1 UODO) 2. Wtórny obowiązek informacyjny: Obowiązek poinformowania na wniosek osoby, której dane są przetwarzane (art. 32 UODO)
Title of the presentation Date 18 Obowiązek informacyjny Pierwotny obowiązek informacyjny - art. 24 UODO W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o: adresie swojej siedziby i pełnej nazwie celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych prawie dostępu do (wcześniej wglądu do ) treści swoich danych oraz ich poprawiania dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej
Title of the presentation Date 19 Przetwarzanie danych za granicą W ramach Europejskiego Obszaru Gospodarczego regulacje jak na terytorium RP Poza EOG regulacje obostrzone Outsourcing IT do np. Indii, USA, Chin
Title of the presentation Date 20 Odpowiedzialność karna Brak rejestracji Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku Brak zabezpieczeń Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku Niedopełnienie obowiązku informacji Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach, lub przekazanie tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku
Title of the presentation Date 21 Marketing (1) Tradycyjny Korespondencja pocztowa Ulotki itp. Za pomocą środków komunikacji elektronicznej Poczta e-mail, sms i inne Podstawy prawne z ustawy o świadczeniu usług drogą elektroniczną Definicja zgody
Title of the presentation Date 22 Marketing (2) Zgoda na marketing jako odrębne oświadczenie woli? Orzeczenie Naczelnego Sądu Administracyjnego z dnia 19 listopada 2001 r. (sygn. akt II SA 2748/00) nie ulega wątpliwości, iż celem osoby zawierającej umowę jest chęć nabycia oferowanego produktu za ustaloną opłatą, a nie chęć pozbycia się swojego prawa do ochrony danych osobowych określonego w art. 1 ust. 1 ustawy. Tym samym uznać należy, że działanie osób dokonujących zamówienia jednego z oferowanych przez Spółkę produktów zmierza do zawarcia stosownej umowy a nie wyrażenia zgody na przetwarzanie danych osobowych ich dotyczących. Zgoda na przetwarzanie danych osobowych w celach marketingowych a zgoda na otrzymywanie informacji handlowej drogą elektroniczną.
Gerard Karp gerard.karp@eversheds.pl +48 22 50 50 749