OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski I PODSTAWOWE POJĘCIA Nauka o ochronie danych osobowych posługuje się własnym aparatem pojęciowym innym niż pozostałe dziedziny prawa.

Download Report

Transcript OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski I PODSTAWOWE POJĘCIA Nauka o ochronie danych osobowych posługuje się własnym aparatem pojęciowym innym niż pozostałe dziedziny prawa.

OCHRONA DANYCH
OSOBOWYCH
Dr hab. Mariusz Jagielski
I
PODSTAWOWE POJĘCIA
Nauka o ochronie danych
osobowych posługuje się
własnym aparatem pojęciowym
innym niż pozostałe
dziedziny prawa
A. D A N E
OSOBOWE
DANE OSOBOWE to –zgodnie
z art. 6.1 USTAWYwszelkie informacje
dotyczące
zidentyfikowanej lub
możliwej do
zidentyfikowania osoby
fizycznej
Cecha
charakterystyczna
brak anonimowości
osoby, której dane
dotyczą
informacja będzie miała
charakter osobowy:
- jeżeli na jej
podstawie możemy ustalić
tożsamość osoby, do
której się odnosi
(zidentyfikować ją)
- jeżeli dotyczy ona
osoby już
zidentyfikowanej
TZW. PROBLEMEM
IDENTYFIKALNOŚCI
kiedy możemy
powiedzieć, że osoba
jest możliwa do
zidentyfikowania?
PROBLEM METODY:
Art. 6.2 USTAWY: Osobą możliwą
do zidentyfikowania jest osoba,
której tożsamość można określić
bezpośrednio lub pośrednio, w
szczególności przez powołanie
się na numer identyfikacyjny
albo jeden lub kilka
specyficznych czynników
określających jej cechy
fizyczne, fizjologiczne,
umysłowe, ekonomiczne,
kulturowe lub społeczne.
słowem: nie ma
znaczenia jak, ważne
by było wiadomo o kogo
chodzi
PROBLEM NAKŁADÓW:
Art. 6.3 USTAWY: Informacji
nie uważa się za
umożliwiającą określenie
tożsamości osoby, jeżeli
wymagałoby to nadmiernych
kosztów, czasu lub działań.
słowem: ustalenie
tożsamości jest
stosunkowo łatwe
ERGO: DANE OSOBOWE TO
WSZELKIE INFORMACJE NA
TEMAT OSOBY, KTÓREJ
TOŻSAMOŚĆ ZNAMY, LUB
KTÓREJ TOŻSAMOŚĆ Z
ŁATWOŚCIĄ MOŻEMY
USTALIĆ
UWAGI DODATKOWE:
Inne niż wyżej opisane
cechy informacji są bez
znaczenia
- te odnoszące się do jej
treści (charakter, waga,
stopień intymności)
- te odnoszące się do jej
formy (sposób utrwalenia
pisemny, elektroniczny,
fotograficzny, itd.)
Dane osobowe to też
wizerunek i głos
człowieka, w tym
zarejestrowane na
zdjęciach, nagraniach
audio, wideo i
zapisane cyfrowo
Niemożliwe jest stworzenie
katalogu danych osobowych.
Charakter osobowy zależy od
kontekstu, każda więc
informacja potencjalnie
może mieć charakter osobowy
i jednocześnie żadna nie ma
na stałe przypisanego
wyznacznika osobowego.
PRZEDMIOT OCHRONY
prawa i wolności
osób fizycznych
KONWENCJA (art. 1),
DYREKTYWA (art.1.1),
USTAWA (art. 6.1),
CZYTAJ:
dane osobowe to dane
o osobach fizycznych
ludziach
ALE UWAGA!: EUROPEJSKA
KONWENCJA (art. 3.2.b) pozwala
rozszerzyć stronę podmiotową
ochrony uznając, że może być
ona stosowana także do ochrony
innych niż człowiek podmiotów chodzi o: UGRUPOWANIA,
STOWARZYSZENIA, FUNDACJE,
SPÓŁKI, KORPORACJE ORAZ O
WSZELKIE INNE ORGANIZACJE
GROMADZĄCE OSOBY FIZYCZNE
NIEZALEŻNIE OD POSIADANIA PRZEZ
NIE OSOBOWOŚCI PRAWNEJ.
Kilka państw
europejskich
AUSTRIA, WŁOCHY,
LUKSEMBURG, LICHTENSTEIN
I SZWAJCARIA
zdecydowało się na
dokonanie takiego
właśnie rozszerzenia
POLSKA – jedynie dane
o osobach fizycznych
ALE UWAGA PEWNE ZAWĘŻENIA:
CO Z DANYMI
O PRZEDSIĘBIORCACH ?
jeśli chodzi o ewidencję
działalności gospodarczej
to : nie
INNE JAWNE PUBLICZNE
REJESTRY ? GIODO przyjął
interpretację, że też nie
!!! JEDNAK UWAGA !!!
każda sprawa przed
GIODO ma incydentalny
(wyjątkowy) charakter
i wyłączeń nie można
interpretować
rozszerzająco
dane o osobach
zmarłych – NA PEWNO
NIE (bo prawa i
wolności dotyczą
jedynie osób żyjących)
B. PRZETWARZANIE
DANYCH OSOBOWYCH
USTAWA -art.7(2)
przetwarzanie danych - rozumie się
przez to jakiekolwiek operacje
wykonywane na danych osobowych,
takie jak zbieranie, utrwalanie,
przechowywanie, opracowywanie,
zmienianie, udostępnianie i
usuwanie, a zwłaszcza te, które
wykonuje się w systemach
informatycznych.
WNIOSEK: każda operacja
na danych oznacza ich
przetworzenie
przetwarzaniem jest
nawet przechowywanie
danych
wystarczy zatem sama
potencjalna możliwość
uczynienia czegoś z
danymi
Wniosek:
nie ważne
jest jakie czynności
podejmujemy w stosunku
do danych, ale to czy
znajdują się w naszym
władztwie
Dwie CZYNNOŚCI "BRZEGOWE"
to:
zbieranie (gromadzenie)
czynność początkowa - czyli
wejście w posiadanie danych
osobowych w dowolny sposób
usuwanie (niszczenie)
czynność końcowa - czyli
fizyczne zniszczenie lub
taka ich modyfikacja, która
uniemożliwia ustalenie
tożsamości osoby której
dotyczą
C. ZBIÓR DANYCH
OSOBOWYCH
USTAWA art.7(1)
zbiór danych - rozumie się
przez to każdy posiadający
strukturę zestaw danych o
charakterze osobowym,
dostępnych według określonych
kryteriów, niezależnie od tego,
czy zestaw ten jest rozproszony
lub podzielony funkcjonalnie
„rozproszony lub podzielony
funkcjonalnie” ?
jego elementy składowe znajdują
się w różnych miejscach
(np. w różnych segregatorach
lub w różnych miejscach sieci)
KRYTERIUM DOSTĘPU ? –
abyśmy mieli do
czynienia ze zbiorem
dane muszą być tak
uporządkowane, by móc
dotrzeć do poszukiwanej
informacji bez
konieczności
przeglądania całego
zbioru.
Musi istnieć cecha lub
cechy umożliwiające
wyszukiwanie
konkretnych danych.
Siłą rzeczy kryterium
dostępu musi mieć
charakter osobowy.
D. ZAKRES OCHRONY
DANYCH OSOBOWYCH
DYREKTYWA art.3.1. – jest
stosowana do przetwarzania
danych osobowych w całości
lub w części w sposób
zautomatyzowany oraz innego
przetwarzania danych
osobowych, stanowiących
część zbioru danych lub
mających stanowić część
zbioru danych
JAK TO ROZUMIEĆ? dane
osobowe będą podlegały
ochronie przewidzianej
w DYREKTYWIE w dwóch
przypadkach:
- gdy są
przetwarzane w sposób
zautomatyzowany
-
gdy stanowią część
zbioru
Polska USTAWIA art.2.2 Ustawę stosuje się do
przetwarzania danych
osobowych:
1) w kartotekach,
skorowidzach, księgach,
wykazach i w innych
zbiorach ewidencyjnych,
2) w systemach
informatycznych, także w
przypadku przetwarzania
danych poza zbiorem danych.
Przy czym system
informatyczny - zgodnie z
art.7(2.a) - to zespół
współpracujących ze sobą
urządzeń, programów,
procedur przetwarzania
informacji i narzędzi
programowych zastosowanych
w celu przetwarzania
danych.
UWAGA: Definicja powyższa
werbalnie odbiega nieco od
tych z aktów europejskich,
ale powinna być
interpretowana
"proeuropejsko".
DANE OSOBOWE BĘDĄ PODLEGAĆ
OCHRONIE:
- gdy są przetwarzane w
zbiorze danych (katalog z
art.2.2 trzeba traktować
jako przykładowe wyliczenie
takich zbiorów)
- gdy są przetwarzane w
"systemach informatycznych"
(to ostatnie określenie
należy interpretować jako
funkcjonalny odpowiednik
używanego w dyrektywie
pojęcia "przetwarzanie
zautomatyzowane").
Zatem DANE OSOBOWE NIE BĘDĄ
PODLEGAĆ USTAWOWEJ OCHRONIE
JEDYNIE W PRZYPADKU, GDY
NIE BĘDĄC ELEMENTEM ZBIORU
DANYCH, BĘDĄ PRZETWARZANE
POZA SYSTEMEM
INFORMATYCZNYM (W SPOSÓB
NIEZAUTOMATYZOWANY)
chodzi przykładowo o dane
osobowe zawarte
w książkach i czasopismach,
rozpowszechniane w radiu i
telewizji, podawane w
wystąpieniach czy na
wykładach
Ale już nie w Internecie
(dane przetwarzane za
pomocą Internetu podlegają
ustawie)
Uwaga: pierwszą czynnością
przetwarzania jest
zbieranie danych, a zatem
ustawę zastosujemy także do
zbierania danych, jeśli
jest to czynione by włączyć
je do zbioru danych lub
wprowadzić do systemu
informatycznego
E.
WYJĄTKI
Ustawy nie stosuje się
do:
1) osób fizycznych, które
przetwarzają dane wyłącznie
w celach osobistych lub
domowych,
2) podmiotów mających
siedzibę lub miejsce
zamieszkania w państwie
trzecim, wykorzystujących
środki techniczne
znajdujące się na
terytorium Rzeczypospolitej
Polskiej wyłącznie do
przekazywania danych.
3) prasowej działalności
dziennikarskiej w rozumieniu
ustawy Prawo prasowe oraz do
działalności literackiej lub
artystycznej, chyba że wolność
wyrażania swoich poglądów i
rozpowszechniania informacji
istotnie narusza prawa i
wolności osoby, której dane
dotyczą (z wyjątkiem przepisów
o kontroli i zabezpieczeniu
zbiorów danych)
4. do zbiorów danych osobowych
sporządzanych doraźnie,
wyłącznie ze względów
technicznych, szkoleniowych lub
w związku z dydaktyką w
szkołach wyższych, a po ich
wykorzystaniu niezwłocznie
usuwanych albo poddanych
anonimizacji, (z wyjątkiem
przepisów o zabezpieczeniu
zbiorów danych)
II
PODMIOTY OBOWIĄZKU:
A. ADMINISTRATOR
DANYCH
(uwaga: należy go odróżnić od
administratora bazy danych,
czy administratora
bezpieczeństwa informacji)
administrator danych to ten, kto
“decydujące o celach i
środkach przetwarzania
danych osobowych” (art. 7.4
USTAWY)
Administratorem danych mogą być:
1) organy państwowe,
2) organy samorządu terytorialnego,
3) państwowe i komunalne jednostki
organizacyjne,
4) podmioty niepubliczne realizujące
zadania publiczne,
5) osoby fizyczne, osoby prawne i jednostki
organizacyjne niebędące osobami
prawnymi, które przetwarzają dane w
związku z działalnością zarobkową,
zawodową lub dla realizacji celów
statutowych,
W PRZYPADKU PODMIOTÓW O
ZŁOŻONEJ STRUKTURZE NALEŻY
ODNALEŹĆ ORGAN UPRAWNIONY DO
PODEJMOWANIA WIĄŻĄCYCH DECYZJI
(ten który określa cele i środki
działania podmiotu)
B. PODMIOT, KTÓREMU
ADMINISTRATOR
POWIERZYŁ
PRZETWARZANIE DANYCH
OSOBOWYCH (TZW.
PRZETWARZAJĄCY)
PODSTAWA PRAWNA:
art. 31 USTAWY
WYMOGI: umowa
sporządzona na piśmie
CO W UMOWIE:
- wyraźne określenie celu
przetwarzania
- wyraźnie określony zakres
powierzenia
(jakie kategorie danych może
zleceniobiorca przetwarzać)
warto też w tej umowie określić
zakres działań do podejmowania
których przetwarzający jest
uprawniony
gdyż można z tego
wyinterpretować pewne
dodatkowe uprawnienia
przetwarzającego, gdyby były
potrzebne
KONSEKWENCJE POWIERZENIA
PRZETWARZANIA:
Zasada ogólna:
przetwarzający może
czynić jedynie to co
mógłby czynić sam
administrator
Sytuacja prawna
administratora
- nadal decyduje o celu i
środkach przetwarzania
- nadal ponosi
odpowiedzialność na podstawie
ustawy o ochronie danych
osobowych za jej wykonanie
Sytuacja prawna
przetwarzający
- ma obowiązek wykonania
umowy zawartej z
administratorem danych
- jest związany określonymi przez
administratora celami i środkami
przetwarzania
- odpowiada na podstawie
ustawy za zabezpieczenie
zbioru danych
III
OGÓLNE WARUNKI
DOPUSZCZALNOŚCI
PRZETWARZANIA
Są to wymogi, od spełnienia
których uzależniona jest
możliwość przetwarzania
danych osobowych - jeżeli
administrator nie spełnia co
najmniej jednej z poniższych
przesłanek powinien
natychmiast zaprzestać
przetwarzania.
A. ZGODA OSOBY
KTÓREJ DANE DOTYCZĄ
Art. 23.1.1 Przetwarzanie
danych jest dopuszczalne (...),
gdy osoba, której dane dotyczą,
wyrazi na to zgodę, chyba że
chodzi o usunięcie dotyczących
jej danych,
Uwaga: do zgody należy
podchodzić ostrożnie
musi być ona świadoma,
swobodna i podmiot jej
udzielający musi być
poinformowany o istotnych dla
niego konsekwencjach jej
udzielenia
Jeżeli przetwarzanie danych
jest niezbędne dla ochrony
żywotnych interesów osoby,
której dane dotyczą, a
uzyskanie zgody jest
niemożliwe, można
przetwarzać dane bez zgody tej
osoby, do czasu, gdy uzyskanie
zgody będzie możliwe.
B. PRZEPIS PRAWA
Art. 23.1.2 Przetwarzanie
danych jest dopuszczalne (...),
gdy jest to niezbędne dla
zrealizowania uprawnienia lub
spełnienia obowiązku
wynikającego z przepisu
prawa.
Przepis prawa stanowi
najpewniejszą podstawę
dopuszczalności przetwarzania
należy jednak pamiętać by nie
przekroczyć zawartego w nim
upoważnienia
C. REALIZACJA UMOWY
Art. 23.1.3 Przetwarzanie danych
jest dopuszczalne (...), gdy jest to
konieczne do realizacji umowy,
gdy osoba, której dane dotyczą,
jest jej stroną lub gdy jest to
niezbędne do podjęcia działań
przed zawarciem umowy na
żądanie osoby, której dane
dotyczą.
GIODO uznał, że za stronę umowy
należy traktować także
poręczyciela
D. DOBRO PUBLICZNE
Art. 23.1.4 Przetwarzanie
danych jest dopuszczalne (...),
gdy jest niezbędne do
wykonania określonych
prawem zadań realizowanych
dla dobra publicznego.
Tylko podmioty realizujące
zadania publiczne mogą się na
tę podstawę powoływać
E. USPRAWIEDLIWIONY CEL
ADMINISTRATORA
Art. 23.1.5 Przetwarzanie danych jest
dopuszczalne (...), gdy jest to
niezbędne dla wypełniania prawnie
usprawiedliwionych celów
realizowanych przez administratorów
danych albo odbiorców danych, a
przetwarzanie nie narusza praw i
wolności osoby, której dane dotyczą.
Jeśli administrator nie spełnia żadnej
z wcześniej wymienionych ogólnych
warunków to musi umieć
usprawiedliwić konieczność
przetwarzania danych
Jako przykłady usprawiedliwienia
ustawodawca wymienia (art. 23.4) :
1) marketing bezpośredni własnych
produktów lub usług administratora
danych,
2) dochodzenie roszczeń z tytułu
prowadzonej działalności
gospodarczej.
Co do marketingu:
uwaga! ustawa o świadczeniu usług
drogą elektroniczną wymaga by przed
wysłaniem informacji marketingowej
uzyskać zgodę osoby do której ma być
ona adresowana
Co do dochodzenia roszczeń:
GIODO traktuje art. 23.4 w zw. z art.
23.1.5 jako podstawę do
przetwarzania danych w celach
windykacyjnych.
Co ważne dotyczy to także zbierania
danych specjalnie na potrzeby
dochodzenia roszczeń.
IV
DANE WRAŻLIWE –
SENSITIVE DATA
ART. 27.1 USTAWY
dane ujawniające pochodzenie rasowe lub
etniczne, poglądy polityczne, przekonania
religijne lub filozoficzne, przynależność
wyznaniową, partyjną lub związkową,
jak również dane o stanie zdrowia, kodzie
genetycznym, nałogach lub życiu seksualnym
oraz dane dotyczące skazań, orzeczeń o
ukaraniu i mandatów karnych, a także innych
orzeczeń wydanych w postępowaniu
sądowym lub administracyjnym.
O ILE PRZETWARZANIE
WSZYSTKICH POZOSTAŁYCH
DANYCH JEST ZASADNICZO
DOZWOLONE (po spełnieniu
odpowiednich przesłanek) TO
PRZETWARZANIE DANYCH
WRAŻLIWYCH JEST
ZASADNICZO ZAKAZANE (chyba
że spełni się pewne, dodatkowe
przesłanki) – określa je art. 27.2
USTAWY
osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba
że chodzi o usunięcie dotyczących jej danych,
2)
przepis szczególny innej ustawy zezwala na przetwarzanie takich
danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje
ich ochrony,
3)
przetwarzanie takich danych jest niezbędne do ochrony
żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy
osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do
wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora,
4)
jest to niezbędne do wykonania statutowych zadań kościołów i
innych związków wyznaniowych, stowarzyszeń, fundacji lub innych
niezarobkowych organizacji lub instytucji o celach politycznych,
naukowych, religijnych, filozoficznych lub związkowych, pod
warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych
organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w
związku z ich działalnością i zapewnione są pełne gwarancje ochrony
przetwarzanych danych,
5)
przetwarzanie dotyczy danych, które są niezbędne do
dochodzenia praw przed sądem,
1)
6)
przetwarzanie jest niezbędne do wykonania zadań administratora
danych odnoszących się do zatrudnienia pracowników i innych osób, a
zakres przetwarzanych danych jest określony w ustawie,
7)
przetwarzanie jest prowadzone w celu ochrony stanu zdrowia,
świadczenia usług medycznych lub leczenia pacjentów przez osoby
trudniące się zawodowo leczeniem lub świadczeniem innych usług
medycznych, zarządzania udzielaniem usług medycznych i są stworzone
pełne gwarancje ochrony danych osobowych,
8)
przetwarzanie dotyczy danych, które zostały podane do
wiadomości publicznej przez osobę, której dane dotyczą,
9)
jest to niezbędne do prowadzenia badań naukowych, w tym do
przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia
szkoły wyższej lub stopnia naukowego; publikowanie wyników badań
naukowych nie może następować w sposób umożliwiający identyfikację
osób, których dane zostały przetworzone,
10)
przetwarzanie danych jest prowadzone przez stronę w celu
realizacji praw i obowiązków wynikających z orzeczenia wydanego w
postępowaniu sądowym lub administracyjnym.
PRAKTYCZNA RÓŻNICA: jeżeli
zbiór zawiera DANE WRAŻLIWE to
rozpoczęcie przetwarzania danych z
tego zbioru jest możliwe dopiero po
zarejestrowaniu zbioru
W przypadku wszystkich pozostałych
zbiorów rozpoczęcie przetwarzania
jest możliwe od momentu dokonania
zgłoszenia (art. 46 USTAWY)
W KONSEKWENCJI: w przypadku
zbioru zawierającego dane wrażliwe
GIODO automatycznie wydaje
ZAŚWIADCZENIE O
ZAREJESTROWANIU ZBIORU. W
przypadku pozostałych zbiorów takie
zaświadczenie jest wydawane na
żądanie administratora (art. 42.2-3
USTAWY)
koniec