Obowiązki MŚP po nowelizacji ustawy o ochronie danych osobowych

Transkrypt

„Obowiązki MŚP po nowelizacji
ustawy o ochronie danych
osobowych” Cz. 1
mec. Agnieszka Goźlińska
mec. dr Justyna Kurek
Projekt Enterprise Europe Network – Central Poland jest współfinansowany przez
Komisję Europejską ze środków pochodzących z programu COSME (na lata 2014–2020)
na podstawie umowy o udzielenie dotacji nr 649259 – EEN-CP oraz Ministerstwo
Gospodarki ze środków budżetu państwa.
OCHRONA DANYCH OSOBOWYCH
Title of the presentation
| Date2015
|‹#› r. | 2
| 30 czerwca
 Ustawa z dnia 29.08.1997r o ochronie danych osobowych tj. z dnia
17.06.2002 [ Dz. U. Nr. 101 poz. 926]
 Dyrektywa nr 95/46/WE Parlamentu Europejskiego i Rady z dnia
24 października 1995 r. w sprawie ochrony osób fizycznych w
zakresie przetwarzania danych osobowych i swobodnego przepływu
tych danych
W przyszłości:
 Wniosek w sprawie Rozporządzenia Parlamentu Europejskiego i
Rady w sprawie ochrony osób fizycznych w związku z
przetwarzaniem danych osobowych i swobodnym przepływem
takich danych
| Date2015
|‹#› r. | 3
| 30 czerwca
Interpretacja… Opinie Grupy Art. 29
Grupa Robocza Artykułu 29 ds. ochrony osób fizycznych w
zakresie przetwarzania danych osobowych to niezależny organ
doradczy w sprawach ochrony danych i prywatności, powołany na
mocy artykułu 29 Dyrektywy o ochronie danych 95/46/WE.
Skład: przedstawiciele krajowych organów ochrony danych,
Europejski Inspektor Ochrony Danych oraz przedstawiciele KE.
| Date2015
|‹#› r. | 4
| 30 czerwca
Część 1
Organizacja przetwarzania danych
osobowych w MŚP po nowelizacji
UODO 2015
| Date2015
|‹#› r. | 5
| 30 czerwca
Ustawa o ochronie danych osobowych – główne zadania
instrument zapewnienie każdemu wiedzę na temat tego, gdzie (przez
kogo), jakie i z jakim przeznaczeniem przetwarzane są dotyczące go
dane, z możliwością ingerencji w określonych przypadkach w ten
proces (np. dla korekty danych)
Albo … jako stworzenie skutecznych gwarancji decydowania o
jakimkolwiek wykorzystaniu "własnych danych”
Art. 1 UODO
1. Każdy ma prawo do ochrony dotyczących go danych osobowych.
2. Przetwarzanie danych osobowych może mieć miejsce ze względu na dobro
publiczne, dobro osoby, której dane dotyczą, lub dobro osób trzecich w zakresie
i trybie określonym ustawą.
| Date2015
|‹#› r. | 6
| 30 czerwca
 Zakres zastosowania przepisów – Do kogo się stosuje a do
kogo nie?
 Podstawowe pojęcia m.in.: dane osobowe, dane
sensytywne, marketing własny, przetwarzanie,
administrator danych osobowych, podmiot administrujący,
administrator bezpieczeństwa informacji, zbiory danych
osobowych, GIODO, Grupa Art. 29
| Date2015
|‹#› r. | 7
| 30 czerwca
Podmioty publiczne:
a) organy państwowe (organy
władzy państwowej: Sejm,
Senat, Prezydent oraz organy
administracji rządowej);
b) organy samorządu
terytorialnego;
c) inne państwowe i
komunalne jednostki
organizacyjne.
Podmioty prywatne:
a) podmioty niepubliczne realizujące zadania
publ. (np. prywatne zoz szkoły, przedszkola);
b) osoby fizyczne;
c) Inne osoby prawne (np. kapitałowe spółki pr.
handlowego, stowarzyszenia, spółdzielnie,
fundacje);
d) jedn. organizacyjne niebędące osobami
prawnymi (np. niemające osobowości prawnej
spółki prawa handlowego).
Podmioty prywatne objęte są zakresem ustawy, jeżeli przetwarzają dane
w zw. z działalnością zarobkową, zawodową lub dla realizacji celów
statutowych
| Date2015
|‹#› r. | 8
| 30 czerwca
UODO znajduje zastosowanie do dwóch grup podmiotów prywatnych
przetwarzających dane w związku z działalnością zarobkową, zawodową
lub realizacją celów statutowych:
1. podmiotów, które mają siedzibę albo miejsce zamieszkania na
terytorium RP;
2. podmiotów, które mają siedzibę albo miejsce zamieszkania w państwie
trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków
technicznych znajdujących się na terytorium RP.
| Date2015
|‹#› r. | 9
| 30 czerwca
Siedziba zgodnie z dyr. 95/46/WE (pkt 19) - miejsce, gdzie
występuje efektywne i rzeczywiste wykonywanie określonej
działalności w sposób stały; nie ma natomiast decydującego
znaczenia status prawny tego rodzaju działalności, a więc to, czy jest
ona prowadzona przez jednostkę podporządkowaną, przez oddział,
czy filię posiadającą osobowość prawną.
| Date
|‹#›r. | 10
| 30 czerwca
2015
PODSTAWOWE POJĘCIA
Z
ZAKRESU OCHRONY
DANYCH OSOBOWYCH
| Date
|‹#›r. | 11
| 30 czerwca
2015
Pojęcie danych osobowych (art. 6 UODO)
1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje
dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby
fizycznej.
2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można
określić bezpośrednio lub pośrednio, w szczególności przez powołanie się
na numer identyfikacyjny albo jeden lub kilka specyficznych czynników
określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne,
kulturowe lub społeczne.
3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby,
jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
| Date
|‹#›r. | 12
| 30 czerwca
2015
 Informacje odnoszące się do osób fizycznych
 Informacje które umożliwiające bezpośrednio i pośrednio
identyfikację
 dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby
fizycznej
 Nie generujące nadmiernych kosztów
numer identyfikacyjny, czynniki określające cechy fizyczne, fizykalne,
ekonomiczne
| Date
|‹#›r. | 13
| 30 czerwca
2015
Które z informacji odpowiada definicji danych osobowych?
 Imię i nazwisko?
Jan Kowalski, Justyna Kurek, dr Justyna Kurek, Donald Tusk
 Numer?
81122900807, WN 2448C, 38114010100000210209001009, +48601220305
 adres e-mail
[email protected], [email protected], [email protected]
[email protected]
Czy adres e-mail odpowiada definicji
danych osobowych?
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
| Date
|‹#›r. | 14
| 30 czerwca
2015
Czy adres IP odpowiada definicji danych
osobowych?
| Date
|‹#›r. | 15
| 30 czerwca
2015
Problem – dynamiczne adresy IP
Zazwyczaj adresy IP nie są przyznawane na stałe, ponadto w czasie
zbyt długich sesji odłącza się użytkownika na parę sekund
użytkownika i podłącza z nowym IP
Grupa art. 29 opinia 4/2007 w spr. pojęcia danych osobowych
| Date
|‹#›r. | 16
| 30 czerwca
2015
Czy adres IP odpowiada definicji danych osobowych?
Dynamiczne adresy IP stanowią dane dotyczące możliwej do
zidentyfikowania osoby gdyż dostawcy Internetu i administratorzy sieci
lokalnych mają możliwość zidentyfikowania użytkowników Internetu, którym
przydzielili adresy IP. Jest to związane z praktyką systematycznego
rejestrowania w pliku daty, godziny, czasu trwania sesji w połączeniu z
dynamicznym adresem IP przydzielonym użytkownikowi Internetu.
Wyjątek: adresy IP niezarejestrowanych i niemożliwych do
zidentyfikowania użytkowników – np. IP przypisane do komputerów w
kawiarni internetowej
| Date
|‹#›r. | 17
| 30 czerwca
2015
Dane osobowe w praktyce
1. Cechą wyróżniającą dane osobowe od innych informacji dotyczących
osób jest brak anonimowości. Informacja ma zatem charakter danych
osobowych, jeżeli jest możliwe ustalenie tożsamości osoby, której
dotyczy. „Osobowy” charakter nie może zatem być przypisany żadnej
kategorii danych (J. Jankowski, Problemy Egzekucji 2001/11/5);
2. Definicja danych osobowych uwzględnia zjawisko relatywizacji danych
osobowych. Ta sama informacja, która dla jednego podmiotu może być
wystarczająca dla szybkiego ustalenia tożsamości osoby, której dotyczy,
dla innego podmiotu wiąże się z działaniami nieproporcjonalnymi, a
więc nie może być uznana za mająca charakter danych osobowych w
świetle art. 6 ust. 3 (P. Litwiński, glosa do wyroku NSA I OSK 756/09,
Monitor Prawa Bankowego, 2011/5/28-36)
| Date
|‹#›r. | 18
| 30 czerwca
2015
Pojęcie danych osobowych w opinii 4/2007
dane osobowe oznacza wszelkie informacje dotyczące zidentyfikowanej
lub możliwej do zidentyfikowania osoby fizycznej („osoby, której dane
dotyczą”); Osoba możliwa do zidentyfikowania to osoba, której tożsamość
można ustalić bezpośrednio lub pośrednio, szczególnie przez powołanie się
na numer identyfikacyjny lub jeden bądź kilka szczególnych czynników
określających jej fizyczną, fizjologiczną umysłową, ekonomiczną,
kulturową lub społeczną tożsamość.
Po pierwsze
„Wszelkie informacje”
| Date
|‹#›r. | 19
| 30 czerwca
2015
• pojęcie danych osobowych obejmuje wszelkie stwierdzenia na temat
osoby. Obejmuje ono informacje „obiektywne” a także informacje
„subiektywne”, opinie lub oceny;
• Pojęcie to obejmuje dane zawierające wszelkie rodzaje informacji.
Obejmuje „dane szczególnie chronione”, ale także bardziej ogólne
rodzaje informacji.
• Termin „dane osobowe” obejmuje informacje dotyczące życia
prywatnego i rodzinnego sensu stricto danej osoby, ale także
informacje dotyczące wszelkich działań przez nią podejmowanych,
np. relacji zawodowych lub też zachowań ekonomicznych albo
społecznych osoby. Obejmuje ono zatem informacje o osobach
niezależnie od ich pozycji lub stanowiska (jako konsument, pacjent,
pracownik, klient itp.).
| Date
|‹#›r. | 20
| 30 czerwca
2015
W PRAKTYCE:
Przykład: Bankowe usługi telefoniczne:
Jeżeli instrukcje głosowe klienta nagrywane są na taśmę, te
nagrane instrukcje należy uważać za dane osobowe.
Przykład: Nadzór wideo
Obrazy osób zarejestrowane przez system nadzoru wideo mogą
stanowić dane osobowe, jeżeli można rozpoznać te osoby.
Po drugie „dotyczące”
| Date
|‹#›r. | 21
| 30 czerwca
2015
 Informacje muszą dotyczyć osoby;
 Bardzo często informacje odnoszą się nie do osoby a do
rzeczy, która należy do osoby;
 Element ten odgrywa kluczową role przy ustalaniu zakresu
przedmiotowego pojęcia, szczególnie w odniesieniu do
przedmiotów i nowych technologii. W opinii określono trzy
alternatywne elementy – tzn. treść, cel lub skutek –
pozwalające na ustalenie, czy informacje „dotyczą” osoby.
Dotyczy to również informacji, które mogą mieć
zdecydowany wpływ na sposób traktowania lub oceny osoby.
| Date
|‹#›r. | 22
| 30 czerwca
2015
Summing up
dane dotyczą osoby …
jeżeli odnoszą się do tożsamości, cech lub zachowania danej
osoby lub też jeśli informacje te determinują lub też wpływają na
sposób traktowania lub ocenę danej osoby.
dane można uznać za „dotyczące” osoby, jeżeli występuje jeden
z elementów: „treść” „cel” lub „skutek”.
| Date
|‹#›r. | 23
| 30 czerwca
2015
zidentyfikowanej lub możliwej do zidentyfikowania
Osobę fizyczną można uważać za zidentyfikowaną, jeśli w grupie można ją
odróżnić od wszystkich pozostałych członków grupy.
Osoba fizyczna jest możliwa do zidentyfikowania, jeżeli, mimo że nie
została zidentyfikowana, taka identyfikacja jest możliwa (na co wskazuje
słowo „możliwa”).
Identyfikacji dokonuje się dzięki informacjom tzw. czynnikom
identyfikującym, które wiążą się w sposób szczególny i bliski z daną osobą
np.: wzrost, kolor włosów, ubranie, zawód, stanowisko, nazwisko.
A w dyrektywie: numer identyfikacyjny lub jeden bądź kilka szczególnych czynników
określających fizyczną, fizjologiczną, umysłową, ekonomiczną, kulturową lub społeczną
tożsamość podmiotu
| Date
|‹#›r. | 24
| 30 czerwca
2015
 Pospolite nazwisko nie pozwoli na zidentyfikowanie
(wyodrębnienie go – spośród ogółu ludności danego kraju)
natomiast zazwyczaj umożliwi zidentyfikowanie ucznia w
klasie.
 Natomiast nawet drugorzędna informacja, „mężczyzna w
czarnym garniturze”, może pozwolić na zidentyfikowanie
kogoś wśród pieszych stojących na światłach. W związku z
tym ustalenie, czy osoba, której dotyczy informacja, jest
zidentyfikowana czy też nie, zależy od okoliczności sprawy.
| Date
|‹#›r. | 25
| 30 czerwca
2015
POŚREDNIA IDENTYFIKACJA
 Jeśli chodzi o osobę zidentyfikowaną lub możliwą do zidentyfikowania
„pośrednio”, kategoria ta zwykle odnosi się do zjawiska „niepowtarzalnej
kombinacji”, w większym lub mniejszym wymiarze.
 W przypadkach gdy dostępne czynniki identyfikujące nie pozwalają prima
facie na wyodrębnienie konkretnej osoby, osoba ta może pomimo to być
„możliwa do zidentyfikowania”, ponieważ informacje te, w połączeniu z
innymi informacjami (którymi administrator danych dysponuje lub nie),
pozwalają na odróżnienie tej osoby od innych.
Tego właśnie dotyczy sformułowanie dyrektywy: „jeden bądź kilka
szczególnych czynników określających jej fizyczną, fizjologiczną,
umysłową, ekonomiczną, kulturową lub społeczną tożsamość”.
| Date
|‹#›r. | 26
| 30 czerwca
2015
Po czwarte „osoby fizycznej”
 Pojęcie danych osobowych odnosi się do osób fizycznych, to znaczy do
ludzi. Prawo do ochrony danych osobowych jest w tym znaczeniu prawem
uniwersalnym, a nie prawem ograniczonym do obywateli lub osób
zamieszkałych w danym kraju.
 Dane osobowe stanowią więc w zasadzie dane dotyczące zidentyfikowanych
lub możliwych do zidentyfikowania żyjących osób fizycznych.
 Problemy:
 Dane osób nieżyjących - nie podlegają ochronie jako dane osobowe;
 Dane nienarodzonych dzieci – w zależności od systemu prawnego;
 Dane osób prawnych - w zależności od systemu prawnego;
| Date
|‹#›r. | 27
| 30 czerwca
2015
Osoby prawne prowadzące działalność gospodarczą
ETS w sprawie Lindqvist (C-101/2001) stwierdził, iż nic nie stoi na
przeszkodzie rozszerzeniu przez państwa członkowskie zakresu
ustawodawstwa krajowego wdrażającego przepisy dyrektywy na
obszary będące poza jej zakresem, o ile nie wyklucza tego żaden inny
przepis prawa Wspólnoty.
W związku z tym Włochy, Austria czy Luksemburg rozszerzyły
zakres stosowania niektórych przepisów ustaw krajowych
przyjętych zgodnie z dyrektywą (takich jak przepisy dotyczące
środków bezpieczeństwa) na przetwarzania danych dotyczących
osób prawnych.
| Date
|‹#›r. | 28
| 30 czerwca
2015
Dane wrażliwe (dane sensytywne)
Zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub
etniczne, poglądy polityczne, przekonania religijne lub filozoficzne,
przynależność wyznaniową, partyjną lub związkową, jak również danych o
stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz
danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a
także innych orzeczeń wydanych w postępowaniu sądowym lub
administracyjnym.
Art. 27 ust. 1 uodo
Wyjątki
Wyjątki
| Date
|‹#›r. | 29
| 30 czerwca
2015
1. pisemna zgoda podmiotu osoby. Wyjątek usunięcie danych.
2. Wynika z przepisu prawa i stworzona jest pełna gwarancja ich ochrony,
3. Ochrona żywotnych interesów podmiotu danych lub innej osoby, a nie jest
ona fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu
ustanowienia opiekuna prawnego lub kuratora,
4. Statutowe zadania m.in. kościołów, związków wyznaniowych,
stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub
instytucji o celach politycznych, naukowych, religijnych, Warunek: dane
dotyczą wyłącznie członków lub osób będących w stałym kontakty i
zapewnione są pełne gwarancje ochrony przetwarzanych danych,
5. Dochodzenie praw przed sądem,
6. Wykonanie zadań administratora danych dot. zatrudnienia pracowników i
innych osób, a zakres przetwarzanych danych jest określony w ustawie;
| Date
|‹#›r. | 30
| 30 czerwca
2015
7. ochrona stanu zdrowia, świadczenia usług medycznych lub leczenia
pacjentów przez osoby trudniące się zawodowo leczeniem lub
świadczeniem innych usług medycznych, zarządzania udzielaniem usług
medycznych i są stworzone pełne gwarancje ochrony danych osobowych,
8. dane zostały podane do wiadomości publicznej przez osobę, której dane
dotyczą,
9. prowadzenie badań naukowych o ile publikowanie wyników
uniemożliwia identyfikację osób,
10. realizacja praw i obowiązków wynikających z orzeczenia sądowego lub
administracyjnego.
| Date
|‹#›r. | 31
| 30 czerwca
2015
Co to jest zbiór danych
Ilekroć w ustawie jest mowa o zbiorze danych rozumie się przez to każdy posiadający strukturę
zestaw danych o charakterze osobowym, dostępnych
według określonych kryteriów, niezależnie od tego,
czy zestaw ten jest rozproszony lub podzielony
funkcjonalnie.
Art. 7 pkt. 1 UoDO
| Date
|‹#›r. | 32
| 30 czerwca
2015
W rozumieniu ustawy zbiorem danych jest więc:
- zestaw danych o charakterze osobowym,
- posiadający własną strukturę, w którym dane są dostępne według
określonych kryteriów.
 Nie ma znaczenia, czy zestaw ten jest scentralizowany, czy
rozproszony, jednolity albo podzielony funkcjonalnie bądź
geograficznie.
 Pojęcie zbioru danych obejmuje swoim zakresem zarówno zbiory
zautomatyzowane, jak i niezautomatyzowane
| Date
|‹#›r. | 33
| 30 czerwca
2015
Problemy praktyczne
1. Problemy ilościowe. Z ilu elementów musi się składać zbiór aby był
zbiorem danych? Czy wystarczy aby zbiór składał się z dwóch
elementów?
2. Problemy czasowe. Jak długo musi istnieć zbiór aby był zbiorem
danych?
3. Problem z rozstrzygnięciem w konkretnym przypadku czy mamy jeden
zbiór w skład którego wchodzi wiele mniejszych podzbiorów, czy też z
wielością zbiorów, które łączy pewien związek funkcjonalny? Jak więc
w konsekwencji rejestrować zbiory danych?
| Date
|‹#›r. | 34
| 30 czerwca
2015
Co to jest przetwarzanie danych ?
Ilekroć w ustawie jest mowa o przetwarzaniu danych - rozumie się przez
to jakiekolwiek operacje wykonywane na danych osobowych, takie
jak zbieranie, utrwalanie, przechowywanie, opracowywanie,
zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje
się w systemach informatycznych,
Art. 7 pkt. 2 UoDO
| Date
|‹#›r. | 35
| 30 czerwca
2015
PRZETWARZANIE DANYCH OSOBOWYCH
Oznacza jakiekolwiek operacje wykonywane na danych
osobowych od ich pozyskania do usunięcia (wymazania).
Są to więc takie działania, jak: zbieranie, utrwalanie, przechowywanie,
opracowywanie, zmienianie, łączenie, zestawianie, wywoływanie,
udostępnianie, rozpowszechnianie, przesyłanie, usuwanie, a zwłaszcza
te, które wykonuje się w systemach informatycznych.
System informatyczny
| Date
|‹#›r. | 36
| 30 czerwca
2015
Ilekroć w ustawie mowa jest o systemie informatycznym - rozumie
się przez to zespół współpracujących ze sobą urządzeń,
programów, procedur przetwarzania informacji i narzędzi
programowych zastosowanych w celu przetwarzania danych. (Art.
7 pkt. 2a UoDO)
Co to jest zabezpieczenie danych w systemie informatycznym?
Ilekroć w ustawie jest mowa o zabezpieczeniu danych w systemie
informatycznym - rozumie się przez to wdrożenie i eksploatację
stosownych środków technicznych i organizacyjnych
zapewniających ochronę danych przed ich nieuprawnionym
przetwarzaniem. (Art. 7 pkt. 2b UoDO)
| Date
|‹#›r. | 37
| 30 czerwca
2015
Co to jest usuwanie danych ?
Ilekroć w ustawie jest mowa o usuwaniu danych - rozumie się
przez to zniszczenie danych osobowych lub taką ich
modyfikację, która nie pozwoli na ustalenie tożsamości osoby,
której dane dotyczą.
Art. 7 pkt. 3 UoDO
| Date
|‹#›r. | 38
| 30 czerwca
2015
Usuwania danych może polegać na:
a) zniszczeniu danych osobowych
b) takiej modyfikacji danych os., która nie pozwoli na ustalenie
tożsamości osoby, której dane dotyczą - w tym przypadku dane
tracą swój osobowy charakter.
Są to takie procedury, których rezultatem jest pozbawienie
administratora możliwości dalszego przetwarzania danych os.
Kategorię „usuwanie” danych należy odróżnić od kategorii
„wstrzymania (czasowego lub stałego) przetwarzania danych”
| Date
|‹#›r. | 39
| 30 czerwca
2015
Kto to jest administrator danych ?
Ilekroć w ustawie jest mowa administratorze danych - rozumie się przez to organ,
jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3, decydujące o
celach i środkach przetwarzania danych osobowych (Art. 7 pkt. 4 UoDO)
Decyzja o celach i środkach przetwarzania danych osobowych
| Date
|‹#›r. | 40
| 30 czerwca
2015
O tym, kto jest administratorem, powinno decydować faktyczne władztwo
nad konkretnymi danymi (danymi konkretnych osób), a nie władztwo
abstrakcyjne nad danymi lub/i procesem przetwarzania danych.
Dodatkowymi kryteriami odróżniającymi powinno być to, kto określa cel i
sposób przetwarzania danych, oraz to, kto przeznacza konkretne dane do
przetwarzania w danym celu i w określony sposób oraz na czyją rzecz lub w
czyim interesie odbywa się takie przetwarzanie. (G.Karp Palestra 2011 nr 12 str. 60-71)
| Date
|‹#›r. | 41
| 30 czerwca
2015
Administrator danych osobowych w sprawozdaniach
GIODO…
 Administratorem zawartych w ewidencji kierowców prowadzonej w
związku z wydawaniem praw jazdy jest STAROSTA
 Administratorem danych właścicieli pojazdów przetwarzanych w związku
z pobieraniem opłat parkingowych uznano MIASTO (GMINA)
 Administratorem przetwarzanych przez miejski ośrodek pomocy rodzinie
uznano DYREKTORA OŚRODKA
 Administratorem danych osób bezrobotnych zarejestrowanych w
powiatowym urzędzie pracy uznano URZĄD PRACY
 Administratorem danych członków służby zagranicznej uznano
MINISTERSTWO SPRAW ZAGRNICZNYCH.
| Date
|‹#›r. | 42
| 30 czerwca
2015
W przypadku podmiotów prywatnych
Administratorem będzie:
 Bank,
 Fundusz emerytalny,
 Spółka,
 Fundacja
A nie osoby pełniące funkcję kierowniczą !
Administratorem danych nie jest również pracownik, któremu powierzono
pełnienie obowiązków…
Ale administratorem danych może być osoba fizyczna np. w sytuacji
indywidualnego, niezinstytucjonalizowanego przetwarzania danych osobowych,
np. naukowiec, który w pracy badawczej gromadzi dane osobowe w ramach
przeprowadzanych ankiet
Podsumowując …
| Date
|‹#›r. | 43
| 30 czerwca
2015
 Urząd Pracy - w stosunku do danych osób poszukujących pracy
 ZUS – w stosunku do danych osób ubezpieczonych (wyrok WSA z dn.
2.04.2007 r II SA/Wa 2328/06)
 Spółka jawna a nie na przykład wspólnicy spółki jawnej (wyrok WSA z
dn.10.07.2006 r. II SA/Wa 955/06)
 Spółka z ograniczoną odpowiedzialnością a nie członek zarządu (Wyrok
NSA z dnia 30.01.2002 r. II SA 1098/01)
 Jan Kowalski prowadzący działalność jako PPH J. Kowalski
 Mec. Agnieszka Goźlińska – w stosunku do danych z książki
teleadresowej klientów
| Date
|‹#›r. | 44
| 30 czerwca
2015
Administrator danych a Administrujący danymi
na gruncie ustawy o ochronie danych osobowych administratorem
danych osobowych jest jedynie ten podmiot, który decyduje o celach i
środkach przetwarzania tych danych (art. 7 pkt 4 ustawy), natomiast
administrującym - także taki podmiot, który zarządza, zawiaduje
zbiorem danych (art. 50, 51, 54) lub danymi (art. 52) w procesie ich
przetwarzania, w tym i powierzonego mu w trybie wskazanym w art.
31 tej ustawy, przy czym odpowiedzialność karna administrującego
nie będącego administratorem danych wchodzi w rachubę
wówczas, gdy jego zachowanie - uznane za karalne przez ustawę wynika z powierzonych mu czynności przetwarzania danych.
| Date
|‹#›r. | 45
| 30 czerwca
2015
Dopuszczalność powierzenia przetwarzania danych
 Administrator danych może powierzyć przetwarzanie danych w
drodze pisemnej umowy innemu podmiotowi.
 Podmiot ten może przetwarzać dane wyłącznie w zakresie i celu
przewidzianym w umowie.
 Podmiot przetwarzający jest obowiązany przed rozpoczęciem
przetwarzania danych podjąć środki zabezpieczające zbiór danych,
Art. 31 UoDO
| Date
|‹#›r. | 46
| 30 czerwca
2015
 W zakresie przestrzegania przepisów o zabezpieczeniu danych podmiot
przetwarzający ponosi odpowiedzialność jak administrator danych.
 W przypadku powierzenia przetwarzania odpowiedzialność za
przestrzeganie przepisów uodo spoczywa na administratorze danych, a
odpowiedzialność za zgodność z umową przetwarzanych danych - na
podmiocie któremu powierzono przetwarzanie.
Art. 31 UODO
 W przypadku przetwarzania danych osobowych przez podmioty
mające siedzibę albo miejsce zamieszkania w państwie trzecim,
administrator danych jest obowiązany wyznaczyć swojego
przedstawiciela RP.
Art. 31a UODO
| Date
|‹#›r. | 47
| 30 czerwca
2015
Co to jest państwo trzecie ?
Ilekroć w ustawie jest mowa o państwie trzecim rozumie się przez to państwo nienależące do
Europejskiego Obszaru Gospodarczego
Art. 7 pkt. 7 UoDO
| Date
|‹#›r. | 48
| 30 czerwca
2015
Co to jest zgoda podmiotu danych?
Ilekroć w ustawie jest mowa o zgodzie osoby, której dane dotyczą rozumie się przez to oświadczenie woli, którego treścią jest zgoda na
przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda
nie może być domniemana lub dorozumiana z oświadczenia woli o innej
treści; zgoda może być odwołana w każdym czasie,
Art. 7 pkt. 5 UODO
| Date
|‹#›r. | 49
| 30 czerwca
2015
Z orzecznictwa….
Zgoda na przetwarzanie danych osobowych musi być
sformułowana w sposób wyraźny i jednoznaczny i wyróżniać się
spośród innych pochodzących od tej osoby informacji i
oświadczeń. Nie może mieć ona charakteru abstrakcyjnego, lecz
winna odnosić się do skonkretyzowanego stanu faktycznego,
obejmując tylko określone dane oraz sprecyzowany sposób i cel
ich przetwarzania
Wyrok NSA z dnia 11.04.2011 w sprawie II SA 3942/02
| Date
|‹#›r. | 50
| 30 czerwca
2015
Zgoda na przetwarzanie w praktyce
 Wyraźna, nie może stanowić dodatkowego elementu innego oświadczenia;
 Precyzująca cel przetwarzania;
 Nie może łączyć różnych oświadczeń w jednym;
 Nie może być domniemana ani dorozumiana z innego oświadczenia;
 Nie może jej konwalidować późniejsza czynność np. późniejsze przesłanie
regulaminu (wyrok NSA z dnia 4.04.2003 w sprawie II SA 2135/02);
| Date
|‹#›r. | 51
| 30 czerwca
2015
Przykład nieważnej zgody na dalsze wykorzystywanie danych
klientów:
Księgarnia internetowa rozsyła do uczestników swojego programu
lojalnościowego wiadomości e-mail, informując ich, że ich dane zostaną
przekazane firmie reklamowej, która planuje wykorzystać je do celów
marketingowych. Użytkownicy mają dwa tygodnie, by odpowiedzieć na
wiadomość e-mail. Informuje się ich, że brak odpowiedzi zostanie uznany
za zgodę na przekazanie danych.
Ten rodzaj mechanizmu, w którym o zgodzie wnioskuje się na podstawie
braku reakcji osób fizycznych, nie skutkuje ważną, jednoznaczną zgodą.
Nie można w niewątpliwy sposób ustalić, czy osoba fizyczna wyraziła
przyzwolenie na przekazanie danych, na podstawie braku odpowiedzi.
| Date
|‹#›r. | 52
| 30 czerwca
2015
 Czy po nowelizacji ustawy z 2015 r. należy
powołać ABI?
 Co z ABI powołanymi przed 2015 r.?
 Jaką rolę pełni ABI po nowelizacji UODO?
| Date
|‹#›r. | 53
| 30 czerwca
2015
Ustawa z dnia 7 listopada 2014 r. o ułatwieniu wykonywania
działalności gospodarczej (Dz.U. z 2014 r. poz. 1662)
Art. 9 – zmiana w UODO
Przepisy przejściowe art. 35 i 36 Ustawy
Wejście w życie 1 stycznia 2015
3 rozporządzenia wykonawcze Ministra Administracji i
Cyfryzacji
| Date
|‹#›r. | 54
| 30 czerwca
2015
3 rozporządzenia wykonawcze:
 Rozporządzenie MAiC z dnia 10.12.2014 r. w sprawie wzorów
zgłoszeń powołania i odwołania Administratora Bezpieczeństwa
Informacji (Dz.U. poz. 1934) – w życie 1.01.2015
 Rozporządzenie MAIC z dnia 11.05.2015 r. w sprawie sposobu
prowadzenia przez administratora bezpieczeństwa informacji
rejestru zbiorów danych (Dz.U. poz. 719 ) – życie od 26.05.2015 r.
 Rozporządzenie MAIC z dnia 11.05.2015 r. w sprawie trybu I
sposobu realizacji zadań w celu zapewnienia przestrzegania
przepisów o ochronie danych osobowych przez Administratora
Danych Osobowych - (Dz.U. poz. 745) w życie 30.05.2015 r.
| Date
|‹#›r. | 55
| 30 czerwca
2015
Pozycja ABI
Administrator danych może obok ABI powołać także zastępców
administratora bezpieczeństwa informacji. Do zastępców stosuje się zasady
dotyczące ABI
WYMÓG NIEZALEŻNOŚCI ABI
 ABI podlega bezpośrednio kierownikowi jednostki organizacyjnej lub
osobie fizycznej będącej administratorem danych !
 Administrator danych zapewnia środki i organizacyjną odrębność
administratora bezpieczeństwa informacji niezbędne do niezależnego
wykonywania przez niego zadań !
| Date
|‹#›r. | 56
| 30 czerwca
2015
 ADO ma termin 30 dni na zgłoszenia GIODO powołania i odwołania
ABI;
 ADO ma 14 dni na zgłoszenie zmian do rejestru.
Zgłoszenie powołania ABI do rejestracji musi zawierać:
1. Oznaczenie ADO + adres siedziby lub miejsca zamieszkania i dane
rejestrowe;
2. Dane ABI (imię i nazwisko, PESEL, dane z dowodu tożsamości, adres do
korespondencji, datę powołania, oświadczenie ADO o spełnieniu
warunków z art. 36a ust. 5 i 7
Zgłoszenie odwołania ABI: - Informacje jw. + datę i przyczynę odwołania
Na żądanie ADO – GIODO wydaje zaświadczenie o zarejestrowaniu ABI
| Date
|‹#›r. | 57
| 30 czerwca
2015
A co z ABI, którzy byli już powołani przed styczniem 2015 r.?
Jeżeli ADO chce aby nadal pełnił on funkcję. Konieczne jest spełnianie
wszystkich warunków przewidzianych mocą art. 36a ust. 5, 7 i 8 uodo.
Termin do zgłoszenia do GIODO przedłuża się do 30 czerwca 2015 r.
Jeżeli ADO nie zgłosił do 30.06.2015 r. ABI?
Z dniem 30.06. przestaje on pełnić funkcję a jego zadania przejmuje ADO.
ADO ponosi też pełną odpowiedzialność za przetwarzanie danych osobowych
w firmie
| Date
|‹#›r. | 58
| 30 czerwca
2015
c.d. do przerwie
Dziękujemy za uwagę
Title of the presentation | Date |‹#›
CZĘŚĆ 2 ???

Obowiązki MŚP po nowelizacji ustawy o ochronie danych osobowych

Transkrypt

Podobne dokumenty

Title

Fundusz na Rzecz Bioroznorodnosci

Usługi Enterprise Europe Network dla firm z sektora MŚP