Ochrona danych osobowych dla rzeczników patentowych adw. dr Paweł Litwiński
System źródeł prawa ochrony danych osobowych KONSTYTUCJA RP art.47, art.51 Konwencja Nr 108 Rady Europy Inne przepisy prawa stanowiące podstawę przetwarzania danych, np. art. 22 (1) Kodeksu pracy odesłania: - art.5 - art.27. 2.2 - art. 23.1.2 art.51 ust.5 Konstytucji RP ustawa o ochronie danych osobowych Dyrektywa 95/46 Parlamentu Europejskiego i Rady delegacje do wydania przepisów wykonawczych: - art.22a, 39a i 46a - art. 13 ust.2 - rozporządzenia wykonawcze, w tym rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024)
Zakres zastosowania ustawy o ochronie danych osobowych art. 2 (I) Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych. Ustawę stosuje się do przetwarzania danych osobowych: w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych, w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych. W odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5.
Zakres zastosowania ustawy o ochronie danych osobowych art. 2 (II) wszelkie materiały gromadzone w formie akt, w tym sądowe, prokuratorskie, policyjne i inne zawierające dane osobowe, są zbiorem danych osobowych w rozumieniu art. 7 pkt 1 ustawy [o ochronie danych osobowych] - stanowisko Generalnego Inspektora Ochrony Danych Osobowych dostępne na stronie www.giodo.gov.pl w dziale Pytania i odpowiedzi. zbiorem, zgodnie z art. 7 pkt 1 ustawy, jest każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony, czy też podzielony funkcjonalnie. Zbiór akt postępowania administracyjnego zawierając dane stron, ich adresy i inne informacje, spełnia te kryteria i wobec tego jest zbiorem danych w rozumieniu ustawy. Na organie administracji (gminie) ciążą zatem takie same obowiązki, jak na innych administratorach danych, w szczególności zaś obowiązek właściwego zabezpieczenia danych. - sprawozdanie Generalnego Inspektora Ochrony Danych Osobowych za rok 1999, str. 17.
Zakres zastosowania ustawy o ochronie danych osobowych art. 3 i 3a Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych. Ustawę stosuje się również do: podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej. Ustawy nie stosuje się do: osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych, podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania danych. Ustawy, z wyjątkiem przepisów art. 14-19 i art. 36 ust. 1, nie stosuje się również do prasowej działalności dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. Prawo prasowe (Dz. U. Nr 5, poz. 24, z późn. zm.) oraz do działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą.
Pojęcie danych osobowych art. 6 Za dane osobowe uważa się: wszelkie informacje dotyczące osoby fizycznej zidentyfikowanej lub możliwej do zidentyfikowania. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
Rodzaje danych osobowych Dane zwykłe Dane wrażliwe brak wyliczenia (wszelkie inne dane osobowe oprócz danych wrażliwych) dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym (art. 27 ust. 1 u.o.d.o.)
Dane osobowe w działalności rzeczników patentowych Dane osobowe przetwarzane w związku z prowadzonymi postępowaniami dane osobowe stron postępowania inne dane osobowe znajdujące się aktach Dane osobowe pracowników i współpracowników
Osoby odpowiedzialne za przetwarzanie i ochronę danych osobowych Administrator danych - organ, jednostka organizacyjna, podmiot lub osoba decydujące o celach i środkach przetwarzania danych osobowych osoba administrująca danymi osobowymi osoba administrująca zbiorami danych Administrator bezpieczeństwa informacji osoba nadzorująca przestrzeganie zasady zabezpieczenia danych osobowych wyznaczona przez administratora danych Osoba upoważniona do przetwarzania danych osobowych (zamiast: osoba zatrudniona przy przetwarzaniu danych osobowych)
Kategorie obowiązków administratora danych 1. warunki ( przesłanki ) dopuszczalności przetwarzania danych osobowych: - tzw. danych zwykłych, - danych wrażliwych, 1. obowiązki informacyjne w stosunku do podmiotu danych (art. 24 i art. 25), 2. obowiązek informacyjne względem innych administratorów danych (art. 35 ust. 3), 3. obowiązki szczególnej staranności (art. 26), 4. zakaz automatyzacji rozstrzygnięć indywidualnych (art. 26a), 5. obowiązki dotyczące treści numerów porządkowych (art. 28), 6. udostępnienie danych osobowych 7. wymogi powierzenia przetwarzania danych osobowych (art. 31), 8. obowiązki realizacji żądań osoby, której dane dotyczą (art. 32-35), 9. obowiązki zabezpieczenia technicznego i organizacyjnego zbiorów danych (art. 36-39), 10. zgłoszenie zbioru danych do rejestracji GIODO/aktualizacja zgłoszenia (art. 40-46), 11. warunki przekazywania danych osobowych do państwa trzeciego (art. 47-48).
Przesłanki przetwarzania tzw. danych zwykłych Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: (...) 1. osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, 2. jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisów prawa, 3. jest konieczne dla realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, 4. jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, 5. jest niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych albo odbiorców danych, a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą. 4. Za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważa się w szczególności: (...) 1. marketing bezpośredni własnych produktów lub usług administratora danych,
Przesłanki przetwarzania tzw. danych wrażliwych Art. 27. 1. Zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. 2. Przetwarzanie danych, o których mowa w ust. 1, jest jednak dopuszczalne, jeżeli: (...) osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych, przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony, przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem, przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie,
Obowiązek informacyjny Zbieranie danych bezpośrednio od osób, których dane dotyczą (art. 24) Dobrowolne lub obowiązkowe podanie danych osobowych Pełna nazwa i siedziba administratora danych Cel przetwarzania danych W przypadku zamiaru przekazywania danych innym podmiotom lub przekazywania za granicę informacje o potencjalnych odbiorcach lub kategoriach odbiorców danych Prawo dostępu do treści danych oraz ich poprawiania wyłączenia spod obowiązku informacyjnego przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania osoba, której dane dotyczą, posiada już informacje, które mają być jej przekazane
Obowiązek informacyjny Zbieranie danych nie od osób, których dane dotyczą (art. 25) Dobrowolne lub obowiązkowe podanie danych osobowych Pełna nazwa i siedziba administratora danych Cel przetwarzania danych W przypadku zamiaru przekazywania danych innym podmiotom lub przekazywania za granicę informacje o potencjalnych odbiorcach lub kategoriach odbiorców danych Prawo dostępu do treści danych oraz ich poprawiania Źródło danych Prawo sprzeciwu Wyłączenia spod obowiązku informacyjnego Przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą Dane są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą, a spełnienie obowiązku informacyjnego nadmiernych nakładów lub zagrażałoby realizacji celu badania Dane są przetwarzane przez administratora ze sfery prawa publicznego, na podstawie przepisów prawa Osoba, której dane dotyczą, posiada już informacje, które mają być jej przekazane
Prawo osoby, której dane dotyczą, do uzyskania informacji Podmiot danych: wniosek o udzielenie informacji o przetwarzaniu swoich danych (art.32 ust.1 pkt 1-5a) Administrator danych: poinformowanie o prawach udzielenie informacji odnośnie danych osobowych (art.33)
Obowiązek udzielenia informacji Art. 33. 1. Na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie jej danych osobowych, informacji, o których mowa w art. 32 ust. 1 pkt 1-5a, a w szczególności podać w formie zrozumiałej: 1) jakie dane osobowe zawiera zbiór, 2) w jaki sposób zebrano dane, 3) w jakim celu i zakresie dane są przetwarzane, 4) w jakim zakresie oraz komu dane zostały udostępnione. 2. Na wniosek osoby, której dane dotyczą informacji, o których mowa w ust. 1, udziela się na piśmie.
Obowiązki szczególnej staranności 1. Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były: 1) przetwarzane zgodnie z prawem, 2) zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2, 3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, 4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. 2. Przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą, oraz następuje: 1) w celach badań naukowych, dydaktycznych, historycznych lub statystycznych, 2) z zachowaniem przepisów art. 23 i 25.
Udostępnianie i powierzanie danych do przetwarzania Udostępnianie danych osobowych przekazanie danych osobowych pomiędzy administratorami danych osobowych Powierzenie danych osobowych do przetwarzania przekazanie danych w celu ich dalszego przetwarzania podmiotowi przetwarzającemu dane na zlecenie administratora danych osobowych Outsourcing a powierzenie danych osobowych do przetwarzania Udostępnianie a powierzanie danych osobowych do przetwarzania
Powierzanie danych do przetwarzania (I) Wymagania formalne związane z powierzeniem danych do przetwarzania zawarcie umowy na piśmie określenie w umowie celu i zakresu przetwarzania danych ujawnienie processora w zgłoszeniu rejestracyjnym Jakie operacje na danych osobowych może wykonywać podmiot przetwarzający dane na zlecenie?
Powierzanie danych do przetwarzania (II) Podmioty ponoszące odpowiedzialność za przestrzeganie przepisów ustawy o ochronie danych osobowych administrator danych w pełnym zakresie określonym w ustawie processor w zakresie określonym w art. 36 39a ustawy Kontrola przetwarzania danych osobowych przez processora Processor jako adresat decyzji administracyjnych GIODO
Powierzanie danych do przetwarzania (III) Kwalifikacja umowy powierzenia z punktu widzenia przepisów prawa cywilnego jest to najczęściej umowa o świadczenie usług odpowiednie stosowanie przepisów o zleceniu może mieć postać samodzielniej umowy, bądź dodatkowych postanowień do umów o świadczenie usług Obowiązkowe postanowienia umowy powierzenia zlecenie przetwarzania danych określenie zakresu powierzonych do przetwarzania danych określenie celu przetwarzania danych Dodatkowe postanowienia umowy powierzenia zobowiązanie do udzielania informacji uprawnienia kontrolne administratora danych regres i kary umowne
Rejestracja zbiorów danych (I) obowiązek zgłoszenia zbioru danych osobowych do rejestracji charakterystyka ogólna zakres przedmiotowy obowiązku zbiory danych osobowych pojęcie zbioru danych osobowych każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie zakres podmiotowy administrator danych osobowych chwila powstania obowiązku rejestracyjnego zbiory danych osobowych zwykłych zbiory danych osobowych wrażliwych sposób wykonania obowiązku rejestracyjnego zgłoszenie rejestracyjne platforma egiodo
Rejestracja zbiorów danych (II) Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych: 1) objętych tajemnicą państwową ze względu na obronność lub bezpieczeństwo państwa, ochronę życia i zdrowia ludzi, mienia lub bezpieczeństwa i porządku publicznego, [...] 2) przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym, [...] 3) dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego, 4) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się, 5) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta, [...] 8) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej, 9) powszechnie dostępnych, [...] 11) przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.
Postępowanie przed Generalnym Inspektorem postępowanie prowadzone na podstawie przepisów Kodeksu postępowania administracyjnego, z odrębnościami wynikającymi z ustawy o ochronie danych osobowych etapy postępowania kontrola wszczęcie postępowania administracyjnego decyzja administracyjna wniosek o ponowne rozpatrzenie sprawy skarga do Wojewódzkiego Sądu Administracyjnego skarga kasacyjna inspekcja przyjęcie ustnych lub pisemnych wyjaśnień oględziny protokół inspekcji prawo do wniesienia umotywowanych zastrzeżeń i uwag prawo do odmowy podpisania protokołu prawo do przedstawienia własnego stanowiska
Uprawnienia GIODO Do zadań Generalnego Inspektora w szczególności należy kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych, wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych (art.. 12 u.o.d.o.) uprawnienia kontrolne GIODO uprawnienie do wydawania decyzji administracyjnych w indywidualnych sprawach uprawnienie do żądania wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom winnym dopuszczenia do uchybień obowiązek złożenia zawiadomienia o popełnieniu przestępstwa w razie stwierdzenia popełnienia przestępstwa przewidzianego w u.o.d.o.
Uprawnienia GIODO Protokół kontroli protokół kontroli powinien zawierać nazwę podmiotu kontrolowanego w pełnym brzmieniu i jego adres imię i nazwisko, stanowisko służbowe, numer legitymacji służbowej oraz numer upoważnienia inspektora imię i nazwisko osoby reprezentującej podmiot kontrolowany oraz nazwę organu reprezentującego ten podmiot datę rozpoczęcia i zakończenia czynności kontrolnych, z wymienieniem dni przerw w kontroli określenie przedmiotu i zakresu kontroli opis stanu faktycznego stwierdzonego w toku kontroli oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych wyszczególnienie załączników stanowiących składową część protokołu omówienie dokonanych w protokole poprawek, skreśleń i uzupełnień parafy inspektora i osoby reprezentującej podmiot kontrolowany na każdej stronie protokołu wzmiankę o doręczeniu egzemplarza protokołu osobie reprezentującej podmiot kontrolowany wzmiankę o wniesieniu lub niewniesieniu zastrzeżeń i uwag do protokołu datę i miejsce podpisania protokołu przez inspektora oraz przez osobę lub organ reprezentujący podmiot kontrolowany
Uprawnienia GIODO uprawnienia GIODO nakazanie przywrócenia stanu zgodnego z prawem, a w szczególności usunięcie uchybień uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe wstrzymanie przekazywania danych osobowych do państwa trzeciego zabezpieczenie danych lub przekazanie ich innym podmiotom usunięcie danych osobowych
Uprawnienia GIODO Wystąpienia GIODO podejmowane w celu dążenia do zapewnienia skutecznej ochrony danych osobowych cel wystąpienia inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych, do kogo może zostać skierowane wystąpienie? charakter prawny wystąpienia obowiązki podmiotu, do którego zostało skierowane wystąpienie Wystąpienia kierowane do właściwych organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych
Zabezpieczenie danych osobowych Zasada proporcjonalności stosowanych środków ochrony danych do zagrożeń i kategorii przetwarzanych danych osobowych - zgodnie z art. 36 ust. 1 ustawy, administrator danych jest obowiązany zastosować środki zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną Czynniki wpływające na zastosowanie konkretnych środków zabezpieczenia danych istniejące zagrożenia dla bezpieczeństwa danych kategorie przetwarzanych danych osobowych Obowiązki zabezpieczenia danych osobowych obowiązki techniczne - rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych obowiązki organizacyjne prowadzenie dokumentacji przetwarzania danych osobowych (art. 36 ust. 2 ustawy) wyznaczenie administratora bezpieczeństwa informacji (art. 36 ust. 3 ustawy) dopuszczenie do przetwarzania danych osobowych wyłącznie osób posiadających stosowne upoważnienie (art. 37 ustawy) zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane (art. 38 ustawy) prowadzenie ewidencji osób upoważnionych do przetwarzania danych (art. 39 ust. 1 ustawy)
Dziękuję za uwagę litwinski@bartalitwinski.pl