PRZETWARZANIE DANYCH OSOBOWYCH KLIENTÓW PRZEZ SERWISY SPRZĘTU AGD Agnieszka Wiercińska-Krużewska 15 września 2016 r.
Przepisy prawa i przydatne informacje ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych Unijne rozporządzenie o ochronie danych osobowych nr 2016/679 (będzie stosowane od 25 maja 2018 r.) Strona edugiodo: https://edugiodo.giodo.gov.pl/ Strona GIODO odpowiedzi na pytania: http://www.giodo.gov.pl/266/
Definicja danych osobowych Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej Osoba możliwa do zidentyfikowania to osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności poprzez powołanie się na specyficzne czynniki określające jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne Informacje o osobach fizycznych przedsiębiorcach oraz spółkach cywilnych są danymi osobowymi, przy czym do danych ujawnionych w CEiDG stosuje się tylko wybrane części ustawy o ochronie danych osobowych (dotyczące zabezpieczania danych)
Przykłady danych osobowych Imię i nazwisko Numer IP Adres pocztowy Numer telefonu Adres email
Inne definicje dotyczące danych osobowych Zbiór danych osobowych Każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów Przetwarzanie danych Jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie Administrator danych Podmiot decydujący o celach i środkach przetwarzania danych Podmiot przetwarzający Podmiot, który przetwarza dane osobowe na zlecenie administratora, na podstawie pisemnej umowy, wyłącznie w celach wskazanych w tej umowie Administrator bezpieczeństwa informacji (ABI) Osoba wyznaczona w danej organizacji do zapewniania przestrzegania przepisów o ochronie danych
Główne zasady przetwarzania danych osobowych zasada ochrony interesów osoby, której dane dotyczą zasada adekwatności danych (dane muszą być aktualne, prawdziwe i przydatne z punktu widzenia celu ich przetwarzania) stosowanie czterech elementarnych filarów przetwarzania danych
Filary zgodnego z prawem przetwarzania danych osobowych A. Podstawy prawne przetwarzania danych (np. za zgodą, w celu zawarcia i wykonania umowy, na podstawie przepisów prawa) B. Obowiązki informacyjne (należy poinformować osoby, których dane są przetwarzane o przetwarzaniu ich danych osobowych) A B C D C. Zabezpieczenie danych osobowych D. Zgłoszenie zbioru danych osobowych do rejestracji (z wyjątkami)
Dane osobowe klientów w serwisach sprzętu AGD Dane otrzymywane bezpośrednio od klientów Dane przechowywane w sprzęcie AGD oddawanym do naprawy Dane otrzymywane od producentów sprzętu AGD Dane osobowe klientów w posiadaniu serwisów sprzętu AGD
Dane osobowe klientów w serwisach sprzętu AGD Zbieranie danych osobowych Powierzenie przetwarzania danych osobowych Klient serwisu Producent/dystrybutor sprzętu (administrator danych klientów) Przekazanie danych w związku z naprawą sprzętu (np. w karcie naprawy sprzętu) Pisemna umowa powierzenia przetwarzania danych Serwis jest administratorem danych osobowych klienta Serwis jest podmiotem przetwarzającym dane osobowe na zlecenie producenta (administratora) w związku z wykonywaniem naprawy sprzętu
Dane otrzymywane bezpośrednio od klientów
Dane otrzymywane bezpośrednio od klientów Serwis jest administratorem danych osobowych klientów Serwis ponosi odpowiedzialność za odpowiednie przetwarzanie danych osobowych Przetwarzanie danych zgodnie z celem ich zebrania Serwis powinien poinformować klientów (np. w dokumencie przyjęcia sprzętu do naprawy) że jest administratorem ich danych osobowych o swoim adresie o celu przetwarzania danych o prawach klienta związanych z przetwarzaniem danych Odpowiednie zabezpieczanie danych osobowych Jeżeli dane osobowe klienta są zbierane do celów wykonania naprawy, to nie ma konieczności uzyskiwania zgody klienta na przetwarzanie danych osobowych
Dane zawarte w sprzęcie oddawanym do naprawy W niektórych nowoczesnych (inteligentnych) urządzeniach AGD przechowywane są dane osobowe ich użytkowników Dane te nie powinny być odczytywane lub kopiowane przez serwisy AGD, chyba że jest to niezbędne do wykonanie naprawy Dane nie mogą być wykorzystywane w innych celach niż wykonanie naprawy Jeżeli zachodzi potrzeba usunięcia danych z urządzenia, to w miarę możliwości należy o tym poinformować klienta
Dane otrzymywane od producentów sprzętu AGD Serwisy otrzymują dane osobowe klientów od producentów sprzętu AGD najczęściej na podstawie umowy powierzenia przetwarzania danych osobowych Umowa powierzenia przetwarzania danych powinna być zawarta na piśmie Administratorem danych osobowych jest producent Serwisy nie mogą przetwarzać danych osobowych w innych celach niż to wynika z umowy (np. we własnych celach marketingowych) Dane muszą być zwrócone lub usunięte na żądanie producenta (administratora danych)
Zgłoszenie zbioru danych do GIODO zbiory danych zgłaszają administratorzy danych wyjątki od obowiązku zgłoszenia zbiorów gdy dane są przetwarzane tylko w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej jeżeli dane są przetwarzane także w innych celach, np. marketingowych - trzeba zgłosić zbiór danych zbiory danych pracowników i osób świadczących usługi (np. na umowie zlecenia) gdy powołany został administratora bezpieczeństwa informacji (ABI) - tj. osoba odpowiedzialna za zapewnianie przestrzegania przepisów o ochronie danych w organizacji wniosek zgłoszenia zbioru danych jest dostępny na stronie GIODO: https://egiodo.giodo.gov.pl/personal_data_register.dhtml można go wypełnić przez Internet, a następnie wydrukować, podpisać i wysłać pocztą do GIODO
Zabezpieczanie danych osobowych Polityka bezpieczeństwa Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych Upoważnienia do przetwarzania danych osobowych Ewidencja osób upoważnionych do przetwarzania danych Dokumenty i procedury są obowiązkowe dla wszystkich podmiotów, które przetwarzają dane osobowe Dokumenty i procedury potrzebne także w odniesieniu do zbiorów danych pracowników i innych zbiorów danych
Polityka bezpieczeństwa Elementy polityki bezpieczeństwa wykaz budynków i pomieszczeń, w których przetwarzane są dane osobowe wykaz zbiorów danych osobowych wraz ze wskazaniem programów stosowanych do przetwarzania tych danych opis struktury zbiorów danych sposób przepływu danych pomiędzy poszczególnymi systemami środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych Wskazówki praktyczne dotyczące przygotowania polityki bezpieczeństwa na stronie GIODO: https://edugiodo.giodo.gov.pl/mod/resource/view.php?id=39
Instrukcja zarządzania systemem informatycznym Wybrane elementy instrukcji procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym stosowane metody i środki uwierzytelnienia procedury tworzenia kopii zapasowych zbiorów danych sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych sposób zabezpieczenia systemu informatycznego przed działalnością szkodliwego oprogramowania procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji Wskazówki praktyczne dotyczące przygotowania instrukcji na stronie GIODO: https://edugiodo.giodo.gov.pl/mod/resource/view.php?id=39
Kontrola GIODO GIODO nie nakłada kar finansowych za niezgodne z prawem przetwarzania danych GIODO wydaje decyzje, w których nakazuje przywrócenie stanu zgodnego z prawem np: zastosowanie dodatkowych środków zabezpieczających, usunięcie danych, zawarcie umowy powierzenia przetwarzania danych na piśmie Tylko w przypadku, gdy decyzja GIODO nie zostanie wykonana, GIODO może nałożyć grzywnę w celu przymuszenia przedsiębiorcy do wykonania decyzji W przypadku osób fizycznych wysokość grzywny wynosi do 10 tys. zł, a osób prawnych do 50 tys. zł
Unijne rozporządzenie o ochronie danych osobowych nr 2016/679 Rozporządzenie będzie stosowane od 25 maja 2018 r. Zastąpi polską ustawę o ochronie danych osobowych Nie będzie tak szczegółowych przepisów o zabezpieczaniu danych ani obowiązku zgłaszania zbiorów danych do rejestracji Będą surowe kary za nieprzestrzeganie przepisów o ochronie danych osobowych, np. za przetwarzanie danych bez podstawy prawnej, za brak informowania osób, których dane się przetwarza, o przetwarzaniu ich danych Kary będą nakładane w wysokości nawet do 20 mln euro albo do 4% rocznego światowego obrotu z poprzedniego roku Wysokość kar będzie się różnić w zależności od np. wagi i czasu trwania naruszenia, umyślności naruszenia, poprzednich naruszeń prawa ochrony danych
DANE KONTAKTOWE Agnieszka Wiercińska-Krużewska adwokat, starszy partner Tel. +48 22 201 00 00 Email: agnieszka.wiercinska@wkb.com.pl WKB Wierciński, Kwieciński, Baehr Sp.k. Warszawa ul. Polna 11 00-633 Warszawa Tel. +48 22 201 00 00 Poznań ul. Paderewskiego 7 61-770 Poznań Tel. +48 61 855 32 20 biuro@wkb.com.pl www.wkb.com.pl