Prawne aspekty Big data w sektorze bankowym 22 maja 2017

Podobne dokumenty
Ograniczenia w wykorzystywaniu baz danych związane ze zautomatyzowanym przetwarzaniem danych oraz wykorzystaniem chmury obliczeniowej w świetle RODO

Nadzór nad przetwarzaniem danych osobowych zgodnie z RODO

Ochrona danych osobowych w organizacjach pozarządowych (od 25 maja 2018)

Monitorowanie systemów IT

Dane osobowe w stacji demontażu. Marcin Witaszek Polski Związek Przemysłu Motoryzacyjnego

ZAŁĄCZNIK SPROSTOWANIE

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Prawne ograniczenia dotyczące zautomatyzowanego podejmowania decyzji

PRAWA PODMIOTÓW DANYCH - PROCEDURA

Radca Prawny Anna Matusiak-Wekiera. Kancelaria Radcy Prawnego Anna Matusiak-Wekiera

RODO w praktyce psychologicznej. adw. dr Maciej Bocheński Uniwersytet Jagielloński Krakowska Izba Adwokacka

I. Podstawowe Definicje

Dane osobowe w hotelarstwie Czy RODO to rewolucja? Gdańsk 21 listopada

ECDL RODO Sylabus - wersja 1.0

POLITYKA PRYWATNOŚCI I. INFORMACJE DOTYCZĄCE PRZETWARZANIA DANYCH OSOBOWYCH

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Polityka Ochrony Danych Osobowych. w Luxe Property S.C.

Nadzór nad przetwarzaniem kadrowych danych osobowych zgodnie z RODO

Ochrona danych osobowych w kontekście RODO dla e-commerce i marketingu

Polityka prywatności spółki BERDA spółka z ograniczoną odpowiedzialnością spółka komandytowa z siedzibą w Płochocinie

B. Wybrane zasady dotyczące przetwarzania danych (art. 5)

RODO W WYKONYWANIU ZAWODU RADCY PRAWNEGO

RODO W WYKONYWANIU ZAWODU RADCY PRAWNEGO

Polityka prywatności i wykorzystywania plików cookies

POLITYKA OCHRONY PRYWATNOŚCI

I. Postanowienia ogólne

Rola biura rachunkowego w nowym modelu ochrony danych osobowych

Szkolenie podstawowe z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 dla wolontariuszy świadczących pomoc na rzecz podopiecznych

Nowe przepisy i zasady ochrony danych osobowych

Ochrona danych osobowych w biurach rachunkowych

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

Ochrona danych osobowych w biurach rachunkowych

KLAUZULA INFORMACYJNA DLA KANDYDATÓW DO PRACY (REKRUTACJA) Data: r. Wersja 2

RODO W ORGANIZACJI- JAK PRAWIDŁOWO PRZYGOTOWAĆ SIĘ ORAZ UNIKNĄĆ KAR PIENIĘŻNYCH

CZĘŚĆ I PODSTAWOWE INFORMACJE O RODO

ZASADY PRZETWARZANIA DANYCH OSOBOWYCH PRZEZ FOR EVER SPÓŁKA Z OGRANICZONA ODPOWIEDZIALNOŚCIĄ

Jak się ustrzec przed pozwami i uniknąć kar w następstwie wejścia w życie RODO?

POLITYKA OCHRONY DANYCH OSOBOWYCH. z dnia Postanowienia Ogólne

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

OCHRONA DANYCH OD A DO Z

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

POLITYKA OCHRONY DANYCH OSOBOWYCH

Przemysław Bańko Dyrektor ds. Bezpieczeństwa Smart In

Polityka prywatności dla dostawców

PINTA WROCŁAW POLITYKA PRYWATNOŚCI. Niniejsza Polityka prywatności zawiera informacje związane z przetwarzaniem danych osobowych

Technologia Informacyjna i Prawo w służbie ochrony danych - #RODO2018

Szkolenie podstawowe z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 dla wolontariuszy świadczących pomoc na rzecz podopiecznych

Przesłanki przetwarzania danych osobowych zgodnie z prawem. dr Jarosław Greser

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

DANE OSOBOWE W DZIAŁALNOŚCI SERWISÓW AGD. Łódź, 21 września 2018 roku

Pakiet RODO MEDFOOD GROUP Sp. Z O.O.

POLITYKA OCHRONY DANYCH OSOBOWYCH

Technologia Infromacyjna i Prawo w służbie ochrony danych - #RODO2018

Wdrożenie Rozporządzenia o Ochronie Danych Osobowych w ZHP Chorągwi Wielkopolskiej im. Powstańców Wielkopolskich

Reforma regulacyjna sektora bankowego

Maciej Byczkowski ENSI 2017 ENSI 2017

inny podmiot, który przetwarza dane osobowe w imieniu administratora;

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Realizacja zasady integralności danych w zatrudnieniu zgodnie z podejściem PbD

POLITYKA PRYWATNOŚCI Up&More Sp. z o.o.

Polityka ochrony danych i prywatności

POLITYKA PRYWATNOŚCI W SPÓŁCE MIASTO DZIECI SP. Z O.O. DLA KONTROLOWANYCH PRZEZ NIĄ: NIEPUBLICZNEJ SZKOŁY PODSTAWOWEJ SZKOŁY PRZYSZŁOŚCI ORAZ

Polityka ochrony danych osobowych

POLITYKA PRYWATNOŚCI

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH

1. Co to jest RODO? 2. Ważne pojęcia zawarte w RODO

Klauzula informacyjna o przetwarzaniu danych osobowych

POLITYKA PRYWATNOŚCI HOTELU SZRENICOWY DWÓR

Unijne rozporządzenie o ochronie danych osobowych (RODO) konsekwencje dla centrów danych. Kraków, dnia 22 lutego 2017 r.

POLITYKA PRYWATNOŚCI dotycząca danych osobowych użytkowników strony internetowej

3) ograniczenie przetwarzania oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

POLITYKA OCHRONY DANYCH OSOBOWYCH W HELSE CLINIC SPÓŁKA Z ORGANICZONĄ ODPOWIEDZIALNOŚCIĄ SP.K.

Opracowanie dotyczące zasad ochrony danych osobowych po zmianach wprowadzanych przez rozporządzenie RODO

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Szkolenie. Ochrona danych osobowych

Procedura realizacji praw osób fizycznych

RODO. Wszystko co musi wiedzieć marketingowiec. Witold Chomiczewski

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej Sp. z o.o.

Oświadczenie o ochronie danych zgodnie z RODO

POLITYKA PRYWATNOŚCI PREAMBUŁA

art. 13 ust. 1 3 rozporządzenia 2016/679 (RODO)

Polityka bezpieczeństwa danych

Ryzyko nadmiernego przetwarzania danych osobowych

Czym jest RODO? Jak można skorzystać z przysługujących praw? Kim jest administrator danych osobowych (ADO) Kim jest podmiot przetwarzający?

Wprowadzenie do RODO. Dr Jarosław Greser

SZCZEGÓŁOWY HARMONOGRAM KURSU

Polityka Prywatności w Muzeum Wojsk Lądowych w Bydgoszczy

Dekalog umowy SaaS. 18 października 2017 Tomasz Zalewski Radca prawny Wierzbowski Eversheds Sutherland

WPROWADZENIE DO RODO OGÓLNE UNIJNE ROZPORZĄDZENIE O OCHRONIE DANYCH. - Leszek Zając

POLITYKA PRZETWARZANIA DANYCH OSOBOWYCH W KANCELARII: PATRYCJA JANKOWSKA KANCELARIA RADCY PRAWNEGO. Warszawa, r.

RODO w spółkach jak przygotować się do nowych unijnych przepisów o ochronie danych

POLITYKA PRYWATNOŚCI SERWISU

inny podmiot, który przetwarza dane osobowe w imieniu administratora;

Przykład klauzul umownych dotyczących powierzenia przetwarzania

PARTNER.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH Szkoły Podstawowej nr 3 im. Henryka Brodatego w Złotoryi

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Dworek Bielin Sp. z o.o.

WZÓR UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

Transkrypt:

Prawne aspekty Big data w sektorze bankowym 22 maja 2017 Karolina Gałęzowska Prawnik, TMT

Dane osobowe Definicja Dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ( osobie, której dane dotyczą ); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Definicja danych osobowych ulega rozszerzeniu: Sprawa C-582/14, Breyer vs. Niemcy (dynamiczne IP) 2

Podstawowe zagrożenia wynikające z profilowania Naruszenie prywatności, wykorzystanie danych osobowych Zagrożenie dla autonomii woli jednostki Dyskryminacja Kwestia przewagi konkurencyjnej 3

Profilowanie w obowiązujących przepisach Brak definicji legalnej Profilowanie nie jest celem przetwarzania danych, profilowanie jest rodzajem (czynnością) przetwarzania danych Nie ma definicji ustawowej ani szczególnych regulacji prawnych dotyczących profilowania Prawa podmiotu danych (sprzeciw, żądanie zaprzestania przetwarzania danych) Zakaz podejmowania zautomatyzowanych decyzji Brak sankcji za naruszenia 4

Rekomendacja CM/Rec (2010) 13 Definicje Profil oznacza zestaw danych charakteryzujący kategorię osób, który ma zostać zastosowany odniesieniu do danej osoby. Tworzenie profili oznacza automatyczną technikę przetwarzania danych polegającą na przypisaniu danej osobie profilu w celu podejmowania dotyczących jej decyzji bądź analizy lub przewidywania jej preferencji, zachowań i postaw. Compupics.com 5

Rodzaje profilowania Grupa robocza art. 29 dyrektywy 95/46: profilowanie predykcyjne (wnioskowanie o nieznanych cechach) vs. Profilowanie jednoznaczne (ocena na podstawie danych) Projekt FIDIS: profilowanie bezpośrednie (oparte na danych o podmiocie profilowanym) vs. Profilowanie pośrednie (oparte w znacznej mierze na danych o innych osobach) Profilowanie pośrednie i wynikające z niego decyzje mogą naruszać autonomię woli jednostki (kto będzie kontrolował ten aspekt?) Wierzbowski Eversheds Sutherland 22/05/2017 Rozporządzenie ogólne UE w sprawie ochrony danych osobowych 6

Profilowanie Definicja w RODO Profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu tych danych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się. 7

Profilowanie wyjaśnienie z preambuły Zastosowanie odpowiednich procedur Aby zapewnić rzetelność i przejrzystość przetwarzania wobec osoby, której dane dotyczą, mając na uwadze konkretne okoliczności i kontekst przetwarzania danych osobowych, administrator powinien stosować odpowiednie matematyczne lub statystyczne procedury profilowania, wdrożyć środki techniczne i organizacyjne zapewniające w szczególności korektę powodujących nieprawidłowości w danych osobowych i maksymalne zmniejszenie ryzyka błędów, zabezpieczyć dane osobowe w sposób uwzględniający potencjalne ryzyko dla interesów i praw osoby, której dane dotyczą, oraz zapobiegający m.in. skutkom w postaci dyskryminacji osób fizycznych z uwagi na pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania, przynależność do związków zawodowych, stan genetyczny lub zdrowotny, orientację seksualną lub skutkujący środkami mającymi taki efekt. 8

Prawo sprzeciwu Ograniczone zastosowanie Artykuł 21 Prawo do sprzeciwu 1. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw z przyczyn związanych z jego indywidualną sytuacją wobec przetwarzania dotyczących niej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f) [zadania realizowane w interesie publicznym lub w usprawiedliwionym celu], w tym profilowania na podstawie tych przepisów. Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń. 9

Zautomatyzowane decyzje Skutki prawne lub istotny wpływ Artykuł 22 Zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, w tym profilowanie 1. Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. 2. Ust. 1 nie ma zastosowania, jeżeli dana decyzja: a) jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą a administratorem; b) jest dozwolona prawem Unii lub prawem krajowym, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i uzasadnionych interesów osoby, której dane dotyczą; lub c) opiera się na wyraźnej zgodzie osoby, której dane dotyczą. 0 1

Profilowanie pod rządami RODO Nowe obowiązki Obowiązki informacyjne zasady profilowania i podejmowania zautomatyzowanych decyzji informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz przynajmniej w tych przypadkach istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą Dostęp do danych informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz przynajmniej w tych przypadkach istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą. Ocena skutków 1 1

Źródła danych osobowych Ograniczenia pozyskiwania i udostępniania Pozyskiwanie i udostępnianie jako czynności z zakresu przetwarzania danych muszą mieć podstawę prawną (art. 23 ust. Ustawy o ochronie danych osobowych, art. 6 ust. 1 RODO): Zgoda osoby Ochrona żywotnych interesów Umowa Zadania publiczne Przepis prawa Prawnie uzasadniony interes Ograniczenia wynikające z tajemnic prawnie chronionych czy można udostępnić dane anonimowe? 2 1

Zasada celowości Ograniczenie dla analityki? Jeżeli dane przetwarzane są w celu innym niż cel, w którym dane zostały zgromadzone i nie odbywa się to na podstawie zgody podmiotu danych, Administrator jest zobowiązany ustalić: Wszelkie związki między celami gromadzenia danych Kontekst, w którym zgromadzono dane Charakter danych osobowych Ewentualne konsekwencje dalszego przetwarzania dla podmiotów danych Istnienie odpowiednich gwarancji np. pseudonimizacja Ponadto Administrator informuje podmiot danych o przetwarzaniu danych w innym celu niż cel, w którym dane zostały zebrane. 3 1

Bezpieczeństwo danych osobowych Podejście oparte na ocenie ryzyka Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane (24.1). 4 1

Bezpieczeństwo danych osobowych Podejście oparte na ocenie ryzyka Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: a) pseudonimizację i szyfrowanie danych osobowych; b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. 5 1

Anonimizacja w RODO Definicja Pseudonimizacja oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, o ile takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej 6 1

Anonimizacja w RODO Brak definicji Motyw 26 Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. Niniejsze rozporządzenie nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych. 7 1

Kontakt: Karolina Gałęzowska Prawnik T: +48 22 50 50 108 E: karolina.galezowska@eversheds-sutherland.pl Wierzbowski Eversheds Sutherland Centrum Jasna ul. Jasna 14/16A 00-041 Warszawa eversheds-sutherland.pl Informacje zawarte w tym dokumencie nie stanowią porady prawnej. Osoby zainteresowane uzyskaniem porady prawnej lub bardziej szczegółowych informacji prosimy o bezpośredni kontakt ze wskazanym wyżej prawnikiem. This information pack is intended as a guide only. Whilst the information it contains is believed to be correct, it is not a substitute for appropriate legal advice. Wierzbowski Eversheds Sutherland can take no responsibility for actions taken based on the information contained in this pack. Wierzbowski Eversheds Sutherland 2017. All rights reserved. Wierzbowski Eversheds Sutherland jest członkiem Eversheds Sutherland (Europe) Limited Wierzbowski Eversheds Sutherland is a member of Eversheds Sutherland (Europe) Limited

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres