Transcript OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski V OBOWIĄZKI ADMINISTRATORA DANYCH A. OBOWIĄZEK DBANIA O INTERESY OSÓB KTÓRYCH DANE DOTYCZĄ.

OCHRONA DANYCH
OSOBOWYCH
Dr hab. Mariusz Jagielski
V
OBOWIĄZKI
ADMINISTRATORA
DANYCH
A. OBOWIĄZEK DBANIA O
INTERESY OSÓB KTÓRYCH
DANE DOTYCZĄ
Przetwarzając dane o jakiejś
osobie należy pamiętać, że
zawsze możemy jej wyrządzić
szkodę.
STĄD: obowiązek dołożenia
należytej staranności by tego
uniknąć
czytaj: jeżeli szkoda powstanie
będziemy rozliczeni z tego, czy
przemyśleliśmy zagrożenia i
podjęliśmy odpowiednie
działania by ich uniknąć
w szczególności należy zwrócić
uwagę na następujące kwestie
(wypełnić następujące
przesłanki):
a. przesłanka legalności
trzeba sprawdzić, czy
administrator spełnia choć jeden
z ogólnych warunków
przetwarzania
+ Zgoda osoby
+ Przepis prawa
+ Realizacja umowy
+
Dobro publiczne
+ Usprawiedliwiony cel
administratora danych
b. przesłanka celu
należy określić dla jakiego celu
dane są przetwarzane
W TYM WZGLĘDZIE
MUSIMY PAMIĘTAĆ BY:
- cel był zgodny z prawem
- dane były przetwarzane jedynie dla
celu dla którego zostały zebrane
- by były przetwarzane tylko takie
dane, które są adekwatne do celu
przetwarzania
W KONSEKWENCJI:
- Administrator nie może
swobodnie zmienić celu
przetwarzania danych (bez
względu na to na podstawie
którego z ogólnych warunków
dopuszczalności przetwarzania
dane przetwarza).
Zmiana celu jest możliwa jedynie
wyjątkowo, gdy nowym celem mają
być badania naukowe, dydaktyczne,
historyczne lub statystyczne
(art. 26.2 uodo)
zmiana celu na inny niż określony
w art. 26 u.o.d.o. nie jest możliwa
byłoby to potraktowane jako odrębne
przetwarzanie, a zatem wymagałoby
odrębnej podstawy (warunku
dopuszczalności przetwarzania)
- Administrator musi dołożyć
staranności by podmiot, któremu
dane udostępnia również
przestrzegał celu dla którego
zostały zebrane
c. przesłanka merytorycznej
poprawności danych
należy dołożyć staranności by
posiadane przez nas dane były
prawdziwe i aktualne
Wymaga się od administratora
wdrożenia procedur, które to
zagwarantują
powinno być to uwzględnione w
polityce bezpieczeństwa informacji
oraz instrukcji zarządzania
systemem informatycznym
d. przesłanka czasu
przechowywania danych
dane można przechowywać
jedynie tak długo jak jest to
konieczne dla osiągnięcia celu
przetwarzania (potem powinny
zostać usunięte)
UWAGA!
ustawodawca może określić
czas przechowywania pewnych
kategorii danych
B. OBOWIĄZKI ZWIĄZANE
ZE ZBIERANIEM DANYCH
Zbieranie danych
pierwotne
wtórne
Zbieranie pierwotne – to
zbieranie bezpośrednio od
osoby, której dane dotyczą
Zbieranie wtórne – to
zbieranie z dowolnego innego
źródła
a. Zbieranie danych od osób
których dotyczą (tzw.
pierwotne) skutkuje
koniecznością wykonania TZW.
PIERWOTNEGO
OBOWIĄZKU
INFORMACYJNEGO
Art. 24 USTAWY:
Art. 24
1.
W przypadku zbierania danych osobowych od osoby,
której one dotyczą, administrator danych jest obowiązany
poinformować tę osobę o:
1)
adresie swojej siedziby i pełnej nazwie, a w
przypadku gdy administratorem danych jest osoba fizyczna o miejscu swojego zamieszkania oraz imieniu i nazwisku,
2)
celu zbierania danych, a w szczególności o znanych
mu w czasie udzielania informacji lub przewidywanych
odbiorcach lub kategoriach odbiorców danych,
3)
prawie dostępu do treści swoich danych oraz ich
poprawiania,
4)
dobrowolności albo obowiązku podania danych, a
jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
Przepisu ust. 1 nie stosuje się, jeżeli:
1) przepis innej ustawy zezwala na
przetwarzanie danych bez ujawniania
faktycznego celu ich zbierania,
2) osoba, której dane dotyczą, posiada
informacje, o których mowa w ust. 1.
2.
MOMENT POINFORMOWANIA:
w trakcie zbierania
FORMA jest dowolna
ale na administratorze spoczywa
obowiązek udowodnienia, że go wykonał
W praktyce administrator musi
pomyśleć o przygotowaniu
kwestionariusza personalnego
uwzględniającego wymogi art.. 24
u.o.d.o.
Podobnie, musi przyjąć jedno z
możliwych rozwiązań spełniających
wymogi ustawy odnośnie
do własnych pracowników
b. Zbieranie danych z innych
źródeł (tzw. wtórne) skutkuje
koniecznością wykonania TZW.
WTÓRNEGO OBOWIĄZKU
INFORMACYJNEGO Art. 25
USTAWY:
Art. 25
1.
W przypadku zbierania danych osobowych nie od
osoby, której one dotyczą, administrator danych jest
obowiązany poinformować tę osobę, bezpośrednio po
utrwaleniu zebranych danych, o:
1)
adresie swojej siedziby i pełnej nazwie, a w
przypadku gdy administratorem danych jest osoba fizyczna o miejscu swojego zamieszkania oraz imieniu i nazwisku,
2)
celu i zakresie zbierania danych, a w szczególności o
odbiorcach lub kategoriach odbiorców danych,
3)
źródle danych,
4)
prawie dostępu do treści swoich danych oraz ich
poprawiania,
5)
uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8.
Przepisu ust. 1 nie stosuje się, jeżeli:
1)
przepis innej ustawy przewiduje lub dopuszcza
zbieranie danych osobowych bez wiedzy osoby, której dane
dotyczą,
2)
uchylony
3)
dane te są niezbędne do badań naukowych,
dydaktycznych, historycznych, statystycznych lub badania
opinii publicznej, ich przetwarzanie nie narusza praw lub
wolności osoby, której dane dotyczą, a spełnienie wymagań
określonych w ust. 1 wymagałoby nadmiernych nakładów lub
zagrażałoby realizacji celu badania,
4)
uchylony
5)
dane są przetwarzane przez administratora, o którym
mowa w art. 3 ust. 1 i ust. 2 pkt 1, na podstawie przepisów
prawa,
6) osoba, której dane dotyczą, posiada informacje, o których
mowa w ust. 1.
2.
MOMENT POINFORMOWANIA:
bezpośrednio po utrwaleniu danych
“Utrwalenie danych” to druga po
zebraniu danych czynność przetwarzania
– polega na zapisaniu danych
umożliwiających korzystanie z nich
CHARAKTER
POINFORMOWANIA:
zindywidualizowany – trzeba
dotrzeć bezpośrednio do danej
osoby. FORMA jest dowolna (ale
na administratorze spoczywa
obowiązek udowodnienia, że go
wykonał)
W praktyce administrator powinien
uwzględnić powyższy obowiązek w
instrukcji zarządzania systemem
informatycznym - najlepiej
przygotować wzór w postaci
załącznika
szczegóły: dalej
C. OBOWIĄZEK
REJESTRACYJNY
Co do zasady administrator
powinien zbiór danych
zarejestrować.
Czyni to poprzez dokonanie
zgłoszenia zbioru do rejestracji
Generalnemu Inspektorowi
Ochrony Danych Osobowych
UWAGA:
rejestrujemy tylko zbiory danych
TERMIN: jeszcze przed
rozpoczęciem przetwarzania
należy rozumieć: natychmiast po
zebraniu wszystkich informacji
koniecznych do wypełnienia
zgłoszenia
UWAGA: rozpocząć
przetwarzanie można
natychmiast po dokonaniu
zgłoszenia (nie trzeba czekać na
rejestrację)
Generalny Inspektor może jednak
wydać decyzję o odmowie
rejestracji zbioru danych
Jeżeli po usunięciu wad
administrator ponownie zgłosi
ten sam zbiór danych do
rejestracji może rozpocząć ich
przetwarzanie dopiero po
zarejestrowaniu zbioru.
(UWAGA! PRZYPOMINAM)
inne rozwiązanie w przypadku
danych wrażliwych
jeżeli zbiór zawiera DANE
WRAŻLIWE to rozpoczęcie
przetwarzania danych z tego
zbioru jest możliwe dopiero po
zarejestrowaniu zbioru
ZAŚWIADCZENIE O
ZAREJESTROWANIU
ZBIORU otrzymamy
automatycznie
Nie wszystkie zbiory podlegają
obowiązkowi rejestracyjnego.
WYJĄTKI:
Nie trzeba zgłaszać zbiorów zawierających dane:
1)
objętych tajemnicą państwową ze względu na
obronność lub bezpieczeństwo państwa, ochronę życia i
zdrowia ludzi, mienia lub bezpieczeństwa i porządku
publicznego,
1a) które zostały uzyskane w wyniku czynności operacyjnorozpoznawczych przez funkcjonariuszy organów
uprawnionych do tych czynności,
2)
przetwarzanych przez właściwe organy dla potrzeb
postępowania sądowego oraz na podstawie przepisów o
Krajowym Rejestrze Karnym,
2a) przetwarzanych przez Generalnego Inspektora Informacji
Finansowej,
3)
dotyczących osób należących do kościoła lub innego
związku wyznaniowego, o uregulowanej sytuacji prawnej,
przetwarzanych na potrzeby tego kościoła lub związku
wyznaniowego.
przetwarzanych w związku z zatrudnieniem u
nich, świadczeniem im usług na podstawie umów
cywilnoprawnych, a także dotyczących osób u nich
zrzeszonych lub uczących się,
5)
dotyczących osób korzystających z ich usług
medycznych, obsługi notarialnej, adwokackiej, radcy
prawnego, rzecznika patentowego, doradcy podatkowego lub
biegłego rewidenta,
6)
tworzonych na podstawie przepisów dotyczących
wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad
gmin, rad powiatów i sejmików województw, wyborów na
urząd Prezydenta Rzeczypospolitej Polskiej, na wójta,
burmistrza, prezydenta miasta oraz dotyczących referendum
ogólnokrajowego i referendum lokalnego,
4)
7)
dotyczących osób pozbawionych wolności na
podstawie ustawy, w zakresie niezbędnym do wykonania
tymczasowego aresztowania lub kary pozbawienia wolności,
8)
przetwarzanych wyłącznie w celu wystawienia
faktury, rachunku lub prowadzenia sprawozdawczości
finansowej,
9)
powszechnie dostępnych,
10)
przetwarzanych w celu przygotowania rozprawy
wymaganej do uzyskania dyplomu ukończenia szkoły
wyższej lub stopnia naukowego,
11)
przetwarzanych w zakresie drobnych bieżących spraw
życia codziennego.
D. OBOWIĄZEK
ZABEZPIECZENIA
ZBIORÓW DANYCH
Polega na wypełnieniu całego
szeregu wymogów określonych
w ustawie o ochronie danych
osobowych oraz aktach
wykonawczych do niej
WYRÓŻNIA SIĘ WYMOGI:
a. o charakterze formalnym
przygotowanie i wdrożenie
odpowiednich dokumentów
- opracowanie i wdrożenie
“polityki bezpieczeństwa
informacji”
- opracowanie i wdrożenie
instrukcji zarządzania
systemem informatycznym
b. o charakterze organizacyjnym
stworzenie i wdrożenie
odpowiednich procedur
[na podstawie wyżej
wymienionych dokumentów]
c. o charakterze personalnym
powołanie odpowiednich
stanowisk i nadanie
pracownikom dokonującym
przetwarzania specjalnych
uprawnień
- wyznaczenie administratora
bezpieczeństwa informacji, (art. 36.3
USTAWY)
- dopuszczenie do przetwarzania
danych wyłącznie osób posiadających
upoważnienie nadane przez
administratora danych (art.37
USTAWY),
- prowadzenie przez administratora
danych ewidencji osób upoważnionych
do ich przetwarzania, (art. 39.1
USTAWY) .
d. o charakterze technicznym
zastosowanie odpowiednich
sprzętów i programów
[to również powinno być wykazane w
powyższych dokumentach]
E. OBOWIĄZKI ZWIĄZANE
Z UDOSTĘPNIENIEM
DANYCH
UWAGA: udostępnianie
danych stanowi jeden z
elementów przetwarzania
danych.
Oznacza to, że jeżeli spełniamy
któryś z ogólnych warunków
dokonywania przetwarzania to
możemy także dokonywać
udostępniania.
udostępnianie danych oznacza
możliwość zapoznania się z ich
treścią przez inny podmiot
(administratora)
przekazywanie danych w
obrębie jednego podmiotu
(administratora) nie stanowi
udostępnienia danych
Uwaga:
jeszcze do niedawna obowiązywała
szczególna procedura
udostępniania danych
(art. 29 uodo)
jednak od 7 marca 2011 r.
została ona zniesiona
a zatem, od 7 marca 2011
można dane udostępniać jeżeli
spełnione są ogólne wymogi
przetwarzania z uodo
CZYLI:
- odbiorca musi wykazać jedną
z przesłanek przetwarzania
(art.. 23 lub art. 27)
- administrator udostępniający
dane musimy dbać o interesy
osób, których dane dotyczą
(art.26.1)
Przypomnijmy, to ostatnie oznacza
w szczególności, że administrator
musimy zadbać:
- by dane były przetwarzane
zgodnie z prawem
- by cel przetwarzania nie uległ
zmianie
- by dane były adekwatne w
stosunku do celu
w praktyce:
musimy “sprawdzić” podmiot,
któremu dane udostępniamy,
uprawdopodobnić, że będzie on
przetwarzał dane zgodnie z
u.o.d.o.
przykładowo:
zażądać wypisu z rejestru
przedsiębiorców; określić w
umowie cel przetwarzania danych;
zażądać podania podstawy
przetwarzania danych (art. 23 lub
art.. 27 u.o.d.o.); uwzględnić w
umowie realizację obowiązku
informacyjnego (art. 25 u.o.d.o.),
Jeżeli jednak dane
przekazujemy podmiotowi
wiarygodnemu
(np. do ZUS, do Urzędu
Skarbowego)
to żadne specjalne wynikające z
u.o.d.o. wymogi nie muszą być
spełnione
Przypominam: oceniani
będziemy za to czy dołożyliśmy
należytej staranności w celu
ochrony interesów podmiotu
danych
E. SZCZEGÓLNE ZAKAZY
- CO DO NUMERÓW
EWIDENCJONUJĄCYCH
(ART. 28)
Numery porządkowe stosowane
w ewidencji ludności mogą
zawierać tylko oznaczenie
płci, daty urodzenia, numer
nadania oraz liczbę
kontrolną
Zabronione jest nadawanie
ukrytych znaczeń
elementom numerów
porządkowych w systemach
ewidencjonujących osoby
fizyczne.
- CO DO PODEJMOWANIA
ZAUTOMATYZOWANYCH
DECYZJI
(ART. 26a)
Niedopuszczalne jest ostateczne
rozstrzygnięcie indywidualnej
sprawy osoby, której dane
dotyczą, jeżeli jego treść jest
wyłącznie wynikiem operacji
na danych osobowych,
prowadzonych w systemie
informatycznym.
Chodzi o problem
tzw. profilingu,
gdy rozstrzygnięcie jest
efektem przetworzenia
PRZEZ PROGRAM
informacji zebranych o osobie
BEZ UDZIAŁU CZYNNIKA
LUDZKIEGO
Jeśli takie rozstrzygnięcie
zapadło podmiot danych może
zażądać ponownego,
indywidualnego rozstrzygnięcia
sprawy
(art. 32 ust. 1 pkt. 9)
Jednak prawo europejskie
dopuszcza podejmowanie tego
typu decyzji, gdy są oparte na
pojedynczych, jasno
określonych kryteriach
Wyjątek z polskiej u.o.d.o.:
rozstrzygnięcie zostało podjęte
podczas zawierania lub
wykonywania umowy i
uwzględnia wniosek osoby,
której dane dotyczą
W takim przypadku podmiot
danych może zażądać podania
informacji o przesłankach
podjęcia decyzji
(art. 32 ust. 1 pkt. 5 lit. a)
koniec