OCHRONA DANYCH OSOBOWYCH dr hab. Mariusz Jagielski

Prezentacja na temat: "OCHRONA DANYCH OSOBOWYCH dr hab. Mariusz Jagielski"— Zapis prezentacji:

1 OCHRONA DANYCH OSOBOWYCH dr hab. Mariusz Jagielski
Wydział Prawa i Administracji OCHRONA DANYCH OSOBOWYCH - 2015! dr hab. Mariusz Jagielski

2 Pojęcie danych osobowych
Art. 6.1 u.o.d.o. Wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej

3 Cecha charakterystyczna:
brak anonimowości osoby, której dane dotyczą

4 Informacja będzie miała charakter osobowy:
- jeżeli na jej podstawie możemy ustalić tożsamość osoby, do której się odnosi (dane identyfikujące).

5 - jeżeli dotyczy ona osoby już zidentyfikowanej (dane osoby zidentyfikowanej).

6 Dowolne dane o człowieku
Nie ma znaczenia waga i charakter informacji. Dotyczy też danych powszechnie dostępnych. Nie ma znaczenia sposób zapisu informacji.

7 UWAGA! Dane osobowe to też wizerunek i głos człowieka, w tym zarejestrowane na zdjęciach, nagraniach audio, nagraniach wideo i zapisane cyfrowo.

8 W Polsce tylko dane o człowieku – nie dotyczy osób prawnych.
Granice pojęcia (1) W Polsce tylko dane o człowieku – nie dotyczy osób prawnych. UWAGA! są kraje, gdzie jest inaczej: AUSTRIA, WŁOCHY, DANIA, ISLANDIA, NORWEGIA, SZWAJCARIA

9 Tylko dane o osobach żyjących – nie dotyczy osób zmarłych.
Granice pojęcia (2) Tylko dane o osobach żyjących – nie dotyczy osób zmarłych. UWAGA! W razie wątpliwości ochronę należy stosować do całego zbioru.

10 Problem identyfikalności (1)
Kiedy możemy powiedzieć, że osoba jest możliwa do zidentyfikowania? Gdy wiadomo o kogo chodzi! (identyfikacja może nastąpić także w inny sposób niż poprzez imię i nazwisko).

11 Problem identyfikalności (2)
W żYCIU ZAWODOWYM: Numer identyfikacyjny, numer telefonu, IP komputera, - ważne by można było odszukać osobę. Uwaga! Ta sama informacja może być dla jednych identyfikująca, a dla innych nie.

12 Problem identyfikalności (3)
W żYCIU PRYWATNYM: Wystarczy, że adresaci informacji wiedzą o kogo chodzi uwaga na portale społecznościowe (nie plotkujemy w sieci, nie wrzucamy zdjęć, filmików i nagrań bez zgody zainteresowanych!).

13 Problem nakładów (1) Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

14 Problem nakładów (2) W konsekwencji: można posługiwać się kodami identyfikacyjnymi (loginy, numery identyfikacyjne, numery kart, itd.) jeśli zapewni się ochronę ich poufności.

15 Problem nakładów (3) Uwaga na Internet: ze względu na jego publiczny charakter (nieograniczony krąg odbiorców) należy założyć, że umieszczenie informacji osobowej w sieci niemal zawsze prowadzi do identyfikacji osoby!

16 Kiedy dane podlegają ochronie?
Ustawę o ochronie danych osobowych stosuje się do przetwarzania danych osobowych w zbiorach danych oraz w systemach informatycznych.

17 Pojęcie przetwarzania danych osobowych
Jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

18 Zbieranie danych Zauważ: pierwszą czynnością przetwarzania jest zbieranie danych, a zatem ustawę zastosujemy także do pozyskiwania informacji, jeśli jest to czynione by włączyć je do zbioru danych lub wprowadzić do systemu informatycznego.

19 Przechowywanie danych
Przetwarzaniem jest nawet przechowywanie danych – charakter bierny! Wystarczy zatem, że dane znajdują się w naszym władztwie (potencjalnie możemy z nimi coś uczynić).

20 Usuwanie danych To ostatnia czynność przetwarzania - rozumie się przez to zniszczenie danych lub taką ich modyfikację, która uniemożliwi ustalenie tożsamości osoby, której dane dotyczą. 

21 Czasookres przetwarzania danych
Przetwarzanie danych trwa od momentu rozpoczęcia pierwszej czynności (zbierania danych) do zakończenia ostatniej czynności (usunięcie danych). Nie ma znaczenia czy w tym czasie są w stosunku do danych podejmowane jakiekolwiek czynności!

22 Pojęcie zbioru danych Każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

23 1. Posiadający strukturę
Struktura = budowa, układ, sposób uporządkowania. Uodo: kartoteki, skorowidze, księgi, wykazy i inne zbiory ewidencyjne (to przykłady).

24 2. Dostępny według określonych kryteriów
Abyśmy mieli do czynienia ze zbiorem dane muszą być tak uporządkowane, by móc dotrzeć do poszukiwanej informacji bez konieczności przeglądania całego zbioru - musi istnieć cecha lub cechy umożliwiające wyszukiwanie konkretnych danych.

25 Kryteria uporządkowania
Alfabetyczne, chronologiczne, może być też kombinacja różnych kryteriów – liczy się to by dało się wyszukać informację.

26 3. Rozproszony lub podzielony funkcjonalnie
Jego elementy składowe znajdują się w różnych miejscach (np. w różnych segregatorach lub w różnych miejscach sieci).

27 System informatyczny To zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.

28 System informatyczny – jak interpretować? (1)
Dyrektywa 95/46 – dane podlegają ochronie, gdy są przetwarzane w całości lub części w sposób zautomatyzowany - obowiązuje nas prounijna interpretacja przepisów prawa.

29 System informatyczny – jak interpretować? (2)
Czyli: przetwarzanie danych za pomocą komputera należy traktować jako przetwarzanie w systemie informatyczym. UWAGA: Internet i sieć wewnętrzna to też system informatyczny.

30 Wyjątki: Ustawy nie stosuje się do: 1) osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych.

31 Ale uwaga: Umieszczenie danych w Internecie wykracza poza pojęci celu osobistego lub domowego.

32 Ustawy nie stosuje się do:
2) podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne znajdujące się w Polsce wyłącznie do przekazywania danych.

33 Ustawy nie stosuje się do:
3) prasowej działalności dziennikarskiej oraz do działalności literackiej lub artystycznej (z wyjątkiem przepisów o kontroli i zabezpieczeniu zbiorów danych).

34 Tu regulacja w Prawie prasowym
Nie wolno bez zgody osoby zainteresowanej publikować informacji oraz danych dotyczących prywatnej sfery życia, chyba że wiąże się to bezpośrednio z działalnością publiczną danej osoby.

35 Ustawy nie stosuje się do:
4. zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, (z wyjątkiem przepisów o zabezpieczeniu zbiorów danych).

36 ADMINISTRATOR DANYCH OSOBOWYCH

37 Administrator danych osobowych (1)
To ten, kto decyduje o celach i środkach przetwarzania danych osobowych. UWAGA: Chodzi także o przypadki, gdy uprawnienia decyzyjne na dany podmiot nakłada ustawa.

38 Administrator danych osobowych (2)
1) organy państwowe, 2) organy samorządu terytorialnego, 3) państwowe i komunalne jednostki organizacyjne, 4) podmioty niepubliczne realizujące zadania publiczne, 5) osoby fizyczne, osoby prawne i jednostki organizacyjne niebędące osobami prawnymi, które przetwarzają dane w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych.

39 Administrator danych osobowych (3)
W przypadku złożonych struktur poszukujemy kogoś kto jest uprawniony do reprezentowania administratora. Np. spółka akcyjna – zarząd uniwersytet – rektor Chodzi o tego kto posiada uprawnienia decyzyjne w stosunku do danych.

40 Co to znaczy być administratorem?
Posiadać obowiązki z zakresu realizacji ustawy o ochronie danych osobowych. Pracownicy oraz osoby z zewnątrz, którym powierzono realizację pewnych zadań działają na konto administratora. Odpowiedzialność ustawową ponosi administrator.

41 Outsorsing w dziedzinie przetwarzania danych osobowych
Administrator może powierzyć przetwarzanie danych osobowych podmiotowi zewnętrznemu. Przetwarzający - PODMIOT, KTÓREMU ADMINISTRATOR POWIERZYŁ PRZETWARZANIE DANYCH OSOBOWYCH.

42 Nie chodzi o zadania zlecone na podstawie ustawy!
Przetwarzającym można stać się wyłącznie na podstawie pisemnej umowy. W przypadku zadań zleconych na podstawie ustawy organ, który realizuje zadanie zlecone jest administratorem danych.

43 Relacje pomiędzy administratorem a przetwarzającym
Zasady: przetwarzający może jedynie to co mógłby sam administrator; przetwarzający może jedynie to na co pozwoli mu administrator.

44 Sytuacja prawna przetwarzającego (zleceniobiorcy):
ma obowiązek wykonania umowy zawartej z administratorem danych; jest związany określonymi przez administratora celami i środkami przetwarzania; na podstawie ustawy odpowiada samodzielnie tylko za zabezpieczenie danych.

45 Sytuacja prawna administratora (zlecającego):
nadal decyduje o celu i środkach przetwarzania; nadal ponosi odpowiedzialność na podstawie ustawy o ochronie danych osobowych za jej wykonanie.

46 Jaki jest więc sens outsorsingu?
Zazwyczaj: - administrator posługuje się profesjonalnym podmiotem, - przetwarzający otrzymuje zapłatę za usługę.

47 Co w umowie powierzenia (zlecenia)?
wyraźne określenie celu przetwarzania; wyraźnie określony zakres powierzenia (jakie kategorie danych może zleceniobiorca przetwarzać). Warto też w tej umowie określić zakres działań do podejmowania których przetwarzający ma być uprawniony.

48 ZASADY PRZETWARZANIA DANYCH OSOBWYCH

49 ZASADA LEGALIZMU — dane wolno przetwarzać jedynie wtedy, gdy podmiot spełnia jeden z ogólnych warunków dopuszczalności przetwarzania

50 Ogólne warunki dopuszczalności przetwarzania
+ Zgoda podmiotu danych + Przepis prawa + Realizacja umowy + Dobro publiczne + Usprawiedliwiony cel administratora danych wystarczy by był spełniony jeden dowolny z tych warunków.

51 Zgoda podmiotu danych (1)
Przetwarzanie danych jest dopuszczalne, gdy: (...) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych.

52 Zgoda podmiotu danych (2)
Uwaga: do zgody należy podchodzić ostrożnie musi być ona świadoma, swobodna i podmiot jej udzielający musi być poinformowany o istotnych dla niego konsekwencjach jej udzielenia.

53 Zgoda podmiotu danych (3)
Jeżeli przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a uzyskanie zgody jest niemożliwe, można przetwarzać dane bez zgody tej osoby, do czasu, gdy uzyskanie zgody będzie możliwe.

54 Przepis prawa (1) Przetwarzanie danych jest dopuszczalne, gdy: (...), jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa

55 Przepis prawa (2) Należy wskazać konkretny przepis, który stanowi podstawę podjęcia działań. Dane można przetworzyć jedynie wówczas, gdy bez przetworzenia danych nie da się zrealizować przepisu.

56 Przepis prawa (3) Nie można przekroczyć upoważnienia zawartego w przepisie, na który się powołujemy. Należy określić cel przepisu i dostosować przetwarzanie do tego celu – chodzi zarówno o podejmowane działania, jak i o zakres przetwarzanych danych.

57 Realizacja umowy (1) Przetwarzanie danych jest dopuszczalne, gdy: (...) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą.

58 Realizacja umowy (2) UWAGA: tego warunku nie można zastosować w przypadku umowy pomiędzy dwoma administratorami (np. zbywcą nabywcą danych)! Chodzi wyłącznie o umowę, której stroną jest podmiot danych.

59 Realizacja dobra publicznego (1)
Przetwarzanie danych jest dopuszczalne, gdy: (…) jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego.

60 Realizacja dobra publicznego (1)
Jest to warunek z którego skorzystać mogą wyłącznie podmioty realizujące zadania dla dobra publicznego. O kogo chodzi? - o podmioty realizujące zadania publiczne, czyli przede wszystkim organy władzy publicznej.

61 Realizacja dobra publicznego (2)
Podmiot realizujący zadanie publiczne może się na tę podstawę powołać, gdy brak przepisów, które wprost pozwalają na przetworzenie danych, a przetworzenie danych jest konieczne do wykonania zadania.

62 Realizacja dobra publicznego (3)
JEDNAK UWAGA! Zadanie musi leżeć w zakresie kompetencji administratora – zadanie musi być określone w przepisach.

63 Ogólne warunki dopuszczalności przetwarzania a organy władzy publicznej
Dla tych podmiotów kluczowe są warunki: 1) przepisu prawa oraz ) realizacji dobra publicznego. DLACZEGO? - bo organy władzy publicznej działają na podstawie i w granicach prawa!

64 Usprawiedliwiony cel administratora danych
Przetwarzanie danych jest dopuszczalne, gdy: (…) jest to niezbędne dla wypełniania prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

65 Istota warunku usprawiedliwionego celu
„Koło ratunkowe” Jeśli administrator nie spełnia żadnego z wcześniej wymienionych ogólnych warunków przetwarzania to musi umieć przynajmniej usprawiedliwić konieczność przetwarzania danych.

66 Ustawowe przykłady usprawiedliwień:
Jako przykłady usprawiedliwienia ustawodawca wymienia (art. 23.4): marketing bezpośredni własnych produktów lub usług administratora danych, dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

67 Marketing Rozumiany szeroko! Obejmuje wszelkie działania promocyjne (w tym te o charakterze politycznym i społecznym).

68 Dochodzenie roszczeń GIODO traktuje powyższy ogólny warunek jako podstawę do przetwarzania danych w celach windykacyjnych. Co ważne, dotyczy to także zbierania danych specjalnie na potrzeby dochodzenia roszczeń.

69 Inne usprawiedliwienia
Administrator może usprawiedliwiać za pomocą tego warunku także inne typy przetwarzania danych. Najczęściej stosowane usprawiedliwienia: przetwarzanie danych pracowników; zapewnienie bezpieczeństwa osób i mienia.

70 Granice zastosowania ALE UWAGA! Podejmowane działania należy skonfrontować z prawami i wolnościami osób, których działania dotyczą (zwłaszcza prywatnością). Przesłanka usprawiedliwionego celu nie usprawiedliwia naruszania praw i wolności!

71 Przypadek szczególny – dane wrażliwe
Dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

72 Dane wrażliwe – podstawy przetwarzania
Poza wyżej wymienionymi ogólnymi warunkami dopuszczalności przetwarzania trzeba spełnić jedną z dodatkowych, szczególnych przesłanek legalizujących przetwarzanie danych wrażliwych. Przesłanki dodatkowe są określone w art. 27 ust. 2 uodo.

73 Dane wrażliwe a zgoda samego zainteresowanego (1)
Zgoda kwalifikowana: Osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych. Upublicznienie informacji: Przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą.

74 Dane wrażliwe a przepis prawa (2)
Szczególny przepis prawa: Ustawa szczególna zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą i stwarza pełne gwarancje ich ochrony. UWAGA: brak przesłanki realizacji dobra publicznego!

75 Dane wrażliwe a prawo pracy (3)
- przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie.

76 Dane wrażliwe a ochrona żywotnych interesów (4)
- przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora.

77 Dane wrażliwe a ochrona zdrowia (5)
- przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych;

78 Dane wrażliwe a postępowanie sądowe i administracyjne (6)
Dwie specjalne przesłanki: - przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem; - przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.

79 Dane wrażliwe a badania naukowe i szkolnictwo wyższe (7)
-  jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone.

80 Dane wrażliwe a pozostali uprawnieni (8)
-  jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych.

81 Szczególna ochrona danych wrażliwych
1). Zbiory zawierające dane wrażliwe można przetwarzać dopiero po ich zarejestrowaniu w rejestrze prowadzonym przez GIODO. 2). W systemach informatycznych w których przetwarza się dane wrażliwe należy zastosować podwyższony poziom bezpieczeństwa przetwarzania danych (np. hasła dostępu muszą składać się z co najmniej 8 znaków, zawierać małe i wielkie litery oraz cyfry lub znaki specjalne).

82 ZASADA CELOWOŚCI PRZETWARZANIA
— dane mogą być przetwarzane jedynie w oznaczonych, zgodnych z prawem, celach.

83 Określoność celu Przed rozpoczęciem przetwarzania zawsze należy określić jego cel!

84 Co do celu: a. można przetwarzać jedynie takie dane, które są adekwatne w stosunku do celu przetwarzania; b. dane wolno przetwarzać jedynie dla celu, dla którego zostały zebrane.

85 Ad a) adekwatność Dane przetwarza się tylko wtedy i w takim zakresie, w jakim jest to konieczne do osiągnięcia celu. Uwaga na manierę biurokratyczną! nie wolno zbierać i przechowywać danych „na w razie czego”.

86 Ad b) zakaz swobodnej zmiany celu
Zmiana celu jest możliwa jedynie wyjątkowo, gdy nowym celem mają być badania naukowe, dydaktyczne, historyczne lub statystyczne. Zmiana celu na inny niż podane wyżej wymaga wskazania odrębnego ogólnego warunku dopuszczalności przetwarzania danych.

87 OCHRONA POUFNOŚCI DANYCH
— rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom.

88 Obowiązek wystawienia upoważnień
Obowiązkiem administratora jest: - nadanie upoważnień do przetwarzania danych wszystkim, którzy mają dostęp do danych; - prowadzenie ewidencji osób upoważnionych do przetwarzania danych (chodzi o to, by było wiadomo kto ma dostęp do jakich danych).

89 Pouczenie i przeszkolenie
Wystawienie upoważnień powinno być powiązane z pouczeniem o obowiązku zachowania poufności. Pracownicy powinni zostać zapoznani z przepisami o ochronie danych osobowych (przeszkolenie) - nowe 2015!

90 Wdrożenie systemu zabezpieczenia danych osobowych
Polega na zastosowaniu środków mających uniemożliwić nieautoryzowany dostęp do danych: 1) zastosowanie odpowiednich programów i narzędzi systemowych; 2) zastosowanie odpowiednich procedur przetwarzania informacji.

91 Telefon a ochrona danych
Obowiązuje zakaz podawania danych przez telefon – nigdy nie wiadomo kto jest po drugiej stronie. Podawanie danych telefonicznie jest dopuszczalne, gdy wdrożono system identyfikujący rozmówcę lub mamy pewność z kim rozmawiamy.

92 E-mail a ochrona danych
Przekazywanie danych mailowo jest dopuszczalne jedynie wtedy, gdy dane te są zaszyfrowane. Jeśli poczta elektroniczna nie zapewnia takiej funkcji to nie należy przesyłać danych osobowych mailem nawet w korespondencji pomiędzy pracownikami upoważnionymi do przetwarzania danych.

93 Przekazywanie danych w ramach jednostek podległych jednemu administratorowi
Powinno następować wyłącznie poprzez pracowników (kurierów) posiadających odpowiednie upoważnienie. System obiegu dokumentów powinien gwarantować poufność (wszyscy pracownicy biorący udział w tym procesie powinni być zidentyfikowani i upoważnieni).

94 Udostępnianie danych Oznacza możliwość zapoznania się z ich treścią przez podmiot nie podlegający administratorowi. Udostępnianie danych jest zasadniczo dopuszczalne. Administrator musi jednak wdrożyć procedury chroniące interesy osób, których dane udostępnia.

95 Zmiana przepisów z 7 marca 2011 r.
Do 7 marca 2011 obowiązywała szczególna procedura udostępniania danych (art. 29 u.o.d.o). Aktualnie nie ma szczególnego przepisu, na podstawie którego udostępnia się dane osobowe.

96 Przekazywanie danych na podstawie przepisów prawa
Jeśli administrator jest zobowiązany do przekazywana danych przez przepisy, to czyni to zgodnie z tymi przepisami (żadne szczególne wymagania nie są konieczne), np. przekazywanie danych do ZUS i Urzędów Skarbowych.

97 Gdy administrator jest zobowiązany prawem do podawania pewnych informacji na wniosek
Analogicznie – czynimy to zgodnie z tymi przepisami.

98 Jeśli do administratora wystąpi podmiot, który twierdzi, że jest uprawniony na podstawie przepisów prawa 1. żądamy podania tego przepisu 2. weryfikujemy czy składający wniosek jest podmiotem, za który się podaje (legitymujemy go, dzwonimy do instytucji, itd.);

99 3. ewidencjonujemy fakt udostępnienia danych; 4. udostępniamy dane.

100 UWAGI: 1. obowiązuje zasada minimalizmu (podajemy tylko dane adekwatne do celu) 2. szczegółowa procedura powinna być opisana w polityce bezpieczeństwa informacji

101 Gdy wnioskodawca stwierdzi, że istnieje konieczność niezwłocznego działania
(np. policjant stwierdzi, że jest w trakcie pościgu lub chodzi o ratowanie życia lub zdrowia) udostępniamy dane niezwłocznie, ale: 1. po wylegitymowaniu wnioskującego 2. na podstawie pisemnego oświadczenia (jeśli to ostatnie jest niemożliwe, należy sporządzić notatkę służbową).

102 Gdy wnioskodawca nie jest uprawniony na podstawie przepisów prawa
Udostępnienie jest możliwe jedynie po spełnieniu dodatkowych wymogów: 1. Cel przetwarzania nie ulega zmianie albo są nim badania naukowe, dydaktyczne, historyczne lub statystyczne;

103 2. Umożliwimy osobie, której dane dotyczą, wyrażenie sprzeciwu – nie dotyczy badań n-d-h-s; 3. Sprawdzimy podmiot, któremu udostępniamy dane (żądamy dokumentów potwierdzających kim jest i w jakim celu będzie dane wykorzystywać).

104 UWAGI: 1. obowiązuje zasada minimalizmu (podajemy tylko dane adekwatne do celu); 2. szczegółowa procedura powinna być opisana w polityce bezpieczeństwa informacji.

105 OCHRONA INTEGRALNOŚCI DANYCH
— należy dołożyć staranności, by dane nie zostały zmienione, dodane lub usunięte w nieautoryzowany sposób

106 Istota Nie tylko przejęcie danych przez nieuprawniony podmiot może naruszyć interesy osoby, której dane dotyczą. Równie niebezpieczna jest utrata danych przez administratora.

107 Metoda Ten obowiązek również realizuje się poprzez: 1) zastosowanie odpowiednich programów i narzędzi systemowych; 2) zastosowanie odpowiednich procedur przetwarzania informacji.

108 Jak? Należy przemyśleć zagrożenia i zastosować odpowiednie środki i procedury przeciwdziałania. Powinny one zostać opisane w polityce bezpieczeństwa informacji instrukcji zarządzania systemem informatycznym.

109 Wymóg szczególny Nakaz robienia kopii bezpieczeństwa (beckup). Należy precyzyjnie określić kto i kiedy powinien je robić oraz gdzie mają być przechowywane.

110 OCHRONA PRAWIDŁOWOŚCI DANYCH
— należy dołożyć staranności, by posiadane przez urząd dane były prawdziwe, aktualne i kompletne.

111 Procedury gwarantujące prawidłowość danych (1)
Trzeba je przemyśleć, opracować i wdrożyć: 1. Prawdziwość – jak wyeliminować pomyłki przy zbieraniu? (np. odpowiednie przygotowanie formularzy, zobowiązanie do przeczytania, itd.).

112 Procedury gwarantujące prawidłowość danych (2)
2. Aktualność – jak dokonywać aktualizacji? (np. wdrożenie procedur aktualizacyjnych, akcje aktualizacyjne, itd.).

113 Procedury gwarantujące prawidłowość danych (3)
2. Kompletność – czy posiadane zasoby danych są właściwe dla realizacji celu przetwarzania? (danych nie może być, ani za dużo, ani za mało).

114 Wyraz formalny Podobnie jak w wyżej wymienionych przypadkach opracowane procedury opisujemy w: polityce bezpieczeństwa informacji, instrukcji zarządzania systemem informatycznym.

115 POZOSTAŁE STANDARDY PRZETWARZANIA

116 1. Czas przechowywania danych
- dane można przechowywać jedynie tak długo, jak długo jest to konieczne dla osiągnięcia celu przetwarzania (potem powinny zostać usunięte).

117 Uwaga! Jeśli przepisy określają czas przechowywania pewnych kategorii danych, to należy postępować zgodnie z tymi przepisami. W takiej sytuacji jesteśmy związani celem określonym przez te przepisy!

118 2. Numery ewidencyjne ewidencja numery ludności ewidencjonujące

119 Ewidencja ludności Numery porządkowe stosowane w ewidencji ludności mogą zawierać tylko oznaczenie płci, daty urodzenia, numer nadania oraz liczbę kontrolną. (PESEL)

120 Numery ewidencjonujące
Zabronione jest nadawanie ukrytych znaczeń elementom numerów porządkowych w systemach ewidencjonujących osoby fizyczne.

121 3. Monitoring wizyjny Aktualna regulacja jest bardzo wybiórcza – dotyczy jedynie pewnych dziedzin życia i podmiotów: placówek oświatowych, straży gminnych, miejsc detencji. W przygotowaniu jest ustawa regulująca kompleksowo kwestię monitoringu w miejscach publicznych.

122 GIODO o monitoringu wizyjnym
GIODO wydał interpretację zgodnie z którą szczegółowe regulacje w dziedzinie monitoringu wizyjnego jedynie uzupełniają, a nie zastępują rozwiązania z ustawy o ochronie danych osobowych. Co to oznacza?

123 Monitoring wizyjny - zasady
Stosujemy zasady określone w ustawie odo: Legalność Celowość Poufność Obowiązek informacyjny Pamiętać o dokumentacji! – należy opracować i wdrożyć procedury nagrywania i postępowania z nagraniami.

124 Monitoring wizyjny – kilka uwag szczegółowych
toalety i przebieralnie i tym podobne miejsca; tylko wideo (bez audio); wgląd do nagrań tylko gdy konieczny; czas przechowywania nagrań.

125 4. Zautomatyzowane decyzje
Niedopuszczalne jest ostateczne rozstrzygnięcie indywidualnej sprawy osoby, której dane dotyczą, jeżeli jego treść jest wyłącznie wynikiem operacji na danych osobowych, prowadzonych w systemie informatycznym.

126 Prawa osoby, której dane dotyczą
Wniesienie do administratora danych żądania ponownego, indywidualnego rozpatrzenia sprawy. Administrator albo rozpatruje sprawę albo przekazuje ją GIODO.

127 Wyjątek Rozstrzygnięcie zostało podjęte podczas zawierania lub wykonywania umowy i uwzględnia wniosek osoby, której dane dotyczą.

128 Prawa osoby, której dane dotyczą
W takim przypadku podmiot danych może zażądać podania informacji o przesłankach podjęcia decyzji.

129 5. Usunięcie danych Dwa sposoby: 1). Fizyczne zniszczenie nośnika danych; 2). Taka modyfikacja danych, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą.

130 Skuteczność usunięcia
Uwaga: należy zastosować oprogramowania i procedury gwarantujące trwałość usunięcia danych. Szczególny przypadek – zbycie nośników danych.

131 SZCZEGÓLNE OBOWIĄZKI ADMINISTRATORA
DANYCH OSOBOWYCH

132 1. OBOWIĄZKI REJESTRACYJNE
Obowiązki te dotyczą: 1). rejestracji Administratorów Bezpieczeństwa Informacji (ABI) - nowe 2015! 2). rejestracji zbiorów danych.

133 ABI - nowe 2015! Poczynając od 1 stycznia 2015 r. administrator ma wybór: - powołać ABI; - działać bez ABI. Opcja z ABI oznacza konieczność dokonania rejestracji ABI u GIODO.

134 Z ABI czy bez ABI? z ABI: - nowe 2015! ABI zapewnia przestrzeganie przepisów odo u administratora (realizuje samokontrolę); ABI prowadzi rejestr większości zbiorów administratora danych.

135 Z ABI czy bez ABI? bez ABI: administrator sam zapewnia przestrzeganie u siebie przepisów odo (realizuje samokontrolę) - nowe 2015! administrator rejestruje zbiory u GIODO.

136 Z ABI czy bez ABI? Opcja bez ABI zwiększa prawdopodobieństwo kontroli ze strony GIODO. W przypadku opcji z ABI GIODO w pierwszej kolejności żąda przeprowadzenia kontroli, a potem sprawozdania od ABI - nowe 2015!

137 Jak zarejestrować ABI? - nowe 2015!
Wzór zgłoszenia w rozporządzeniu ministra administracji i cyfryzacji z 10 grudnia 2014 – UWAGA: zgłoszenia nie można dokonać przez platformę e-GIODO Zgłoszenia należy dokonać w terminie 30 dni od powołania ABI.

138 Przepisy przejściowe - nowe 2015!
Brak zgłoszenia do 30 czerwca 2015 r. oznaczał wybór opcji bez ABI. Przejście na opcję z ABI jest możliwe w każdej chwili – wystarczy przesłać zgłoszenie.

139 Zmiany w rejestrze - nowe 2015!
Administrator danych zobowiązany jest zgłaszać GIODO każdą zmianę informacji objętych zgłoszeniem ABI w terminie 14 dni. Fakt odwołania ABI należy zgłosić w terminie 30 dni.

140 REJESTRACJA ZBIORÓW – NOWOŚCI - nowe 2015!
Zawsze u GIODO: - zbiory zawierające dane wrażliwe Nie podlegają rejestracji w ogóle: - zbiory wyliczone w art. 43 ust. 1 uodo. Rejestracja u GIODO lub ABI: - pozostałe zbiory

141 Nie trzeba rejestrować w ogóle zbiorów (art. 43 ust. 1 uodo):
1)   zawierających informacje niejawne; 1a)  które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności; 2)   przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym; 2a)  przetwarzanych przez Generalnego Inspektora Informacji Finansowej;

142 2b)  przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym; 2c)  przetwarzanych przez właściwie organy na podstawie przepisów o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej; 3)   dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego;

143 4)   przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się; 5)   dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta; 6)   tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego;

144 7)   dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności; 8)   przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej; 9)   powszechnie dostępnych;

145 10)  przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; 11)  przetwarzanych w zakresie drobnych bieżących spraw życia codziennego; 12)  przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiem zbiorów zawierających dane wrażliwe – nowe 2015!

146 a). ZGŁOSZENIE DO GIODO ZAKRES: rejestracji podlegają tylko zbiory (nie pojedyncze dane). TERMIN: przed rozpoczęciem przetwarzania (należy rozumieć: po zebraniu wszystkich informacji koniecznych do wypełnienia zgłoszenia).

147 Sposób zgłoszenia Dwie możliwości: wypełniając papierowy formularz i dostarczając go GIODO (np. pismem poleconym); poprzez platformę e-GIODO.

148 Kiedy można zacząć pracować na zbiorze?
Rozpocząć przetwarzanie można natychmiast po dokonaniu zgłoszenia (nie trzeba czekać na rejestrację). Generalny Inspektor może jednak wydać decyzję o odmowie rejestracji zbioru danych.

149 Zasada ograniczonego zaufania
Administrator może po poprawieniu błędów ponownie zgłosić ten sam zbiór do rejestracji. Jednak tym razem może rozpocząć przetwarzanie dopiero po zarejestrowaniu zbioru.

150 Wyjątek - dane wrażliwe
Przetwarzanie danych w zbiorach zawierających dane wrażliwe jest dopuszczalne dopiero po zarejestrowaniu zbioru. GIODO wydaje wtedy administratorowi „zaświadczenie o zarejestrowaniu zbioru danych”, które potwierdza dopuszczenie zbioru do przetwarzania.

151 Zmiany w rejestrze Administrator danych zobowiązany jest zgłaszać GIODO każdą zmianę informacji objętych zgłoszeniem w terminie 30 dni. Jeśli zmiana polega na rozpoczęciu przetwarzania danych wrażliwych to zgłoszenie musi nastąpić przed dokonaniem zmiany.

152 b). REJESTR PROWADZONY PRZEZ ABI - nowe 2015!
Rejestr prowadzony jest w postaci papierowej lub elektronicznej. W rejestrze uwzględniamy zbiory: 1) niezawierające danych wrażliwych, 2) nieobjęte wyłączeniami z art. 43 ust. 1 ustawy odo.

153 Zakres informacji - nowe 2015!
Zasadniczo te same, które dotychczas były podawane w zgłoszeniu do GIODO (nawet trochę mniej) + data dokonania wpisu każdej informacji oraz jej ostatniej aktualizacji.

154 Terminy - nowe 2015! TERMIN WPISU: przed rozpoczęciem przetwarzania (czyli tak jak w przypadku zgłoszenia do GIODO). ZMIANY W REJESTRZE: aktualizacje i wykreślenie zbioru – niezwłocznie

155 Rejestr a GIODO - nowe 2015! UWAGA: o niczym nie informujemy GIODO (to procedura wewnętrzna administratora).

156 Zapewnienie publicznego dostępu do rejestru - nowe 2015!
Rejestr prowadzony w formie papierowej - w siedzibie administratora; Rejestr prowadzony w formie elektronicznej - na stronie internetowej administratora lub na stanowisku komputerowym w siedzibie administratora lub przez sporządzenie wydruku rejestru.

157 2. OBOWIĄZKI DOKUMENTACYJNE
Polegają na przygotowaniu i wdrożeniu odpowiednich dokumentów wewnętrznych

158 Jakie dokumenty, od kiedy lub na kiedy?
a. Polityka bezpieczeństwa informacji – 2004 r.; b. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych – 2004 r.;

159 c. Indywidualne upoważnienia do przetwarzania danych osobowych nadane przez administratora każdej osobie, która bierze udział w procesie przetwarzania danych osobowych – 2004 r.; d. Potwierdzenie zobowiązania do zachowania danych oraz sposobu ich zabezpieczenia w tajemnicy – 2004 r.; e. Ewidencja osób upoważnionych do przetwarzania danych osobowych – 2004 r.;

160 f. Plan sprawdzeń zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych – nowe 2015! – niezwłocznie; g. Programy poszczególnych sprawdzeń zaplanowanych zgodnie z planem sprawdzeń – nowe 2015! – zgodnie z planem sprawdzeń, na co najmniej 7 dni przed podjęciem planowanych czynności;

161 h. Alternatywnie (w zależności od tego czy został powołany ABI):
Jest ABI: Sprawozdania z poszczególnych sprawdzeń – nowe 2015! – najpóźniej 30 dni po przeprowadzeniu sprawdzenia; Brak ABI: Dokumentacja poszczególnych sprawdzeń – nowe 2015! – niezwłocznie po przeprowadzeniu sprawdzenia;

162 i. Potwierdzenie zapoznania z przepisami o ochronie danych osobowych – nowe 2015! – niezwłocznie.

163 Ad. a) Polityka bezpieczeństwa
Musi być na piśmie Stanowi połączenie dokumentu programowego i prawnego – ma mieć charakter opisowy, nie tylko wyjaśniać zasady, ale też opisywać system ochrony danych u administratora.

164 Charakter polityki bezpieczeństwa
Polityka bezpieczeństwa powinna odnosić się całościowo do problemu zabezpieczenia danych osobowych u administratora danych tj. zarówno do zabezpieczenia danych przetwarzanych tradycyjnie jak i danych przetwarzanych w systemach informatycznych.

165 Szczególna treść polityka bezpieczeństwa
1. Określenie miejsc, zbiorów i systemów informatycznych, w których przetwarzane są dane osobowe, opis ich struktury oraz wzajemnych powiązań (sposobu przepływu danych).

166 2. Ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie wykonać obowiązki administratora danych w zakresie ich zabezpieczenia (w szczególności chodzi o zapewnienie poufności, integralności i rozliczalności).

167 Zakres określa … §4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100 poz. 1024)

168 Ad. b) Instrukcja Musi być na piśmie Stanowi zestaw procedur, które należy stosować – czyli jest wewnętrznym aktem prawnym.

169 Charakter instrukcji Odnosi się do danych przetwarzanych w systemie informatycznym (nie dotyczy przetwarzania tradycyjnego)

170 Szczególna treść instrukcji
Poszczególne procedury: nadawania uprawnień; uwierzytelniania; rozpoczęcia, zawieszenia i zakończenia pracy; tworzenia kopii zapasowych; procedury wykonywania przeglądów i konserwacji; itd. ….

171 Zakres określa … §5 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100 poz. 1024)

172 Ad. c) Upoważnienia do przetwarzania danych osobowych
Każda osoba biorąca udział w procesie przetwarzania musi być zidentyfikowana i otrzymać indywidualne upoważnienie. Upoważnienie nie może być blankietowe – musi z niego wynikać jakie uprawnienia w zakresie przetwarzania ma upoważniony.

173 Ad. d) Zobowiązanie do zachowania danych oraz sposobu ich zabezpieczenia w tajemnicy
Ma charakter indywidualny (podobnie jak upoważnienie). Dotyczy wszystkich upoważnionych do przetwarzania danych u administratora. Musi być podpisane przez pracownika (to wynika z prawa pracy).

174 Ad. e) Ewidencja upoważnień
Powinna zapewnić orientację w zakresie tego kto do jakich zasobów danych ma dostęp. UWAGA! Musi być stale aktualizowana – należy wdrożyć procedury aktualizacyjne i opisać je w Polityce bezpieczeństwa.

175 Ad. f) Plan sprawdzeń – nowe 2015!
Nowelizacja uodo zobowiązała administratorów do dokonywania okresowych samokontroli w zakresie zapewnienia przestrzegania przepisów o ochronie danych osobowych. Oficjalna nazwa - sprawdzenia

176 Częstotliwość i terminy - nowe 2015!
Plan sprawdzeń jest przygotowany na maksimum 1 rok - w tym czasie minimum 1 pełne sprawdzenie. Plan musi być przedstawiony administratorowi na 2 tygodnie przed rozpoczęciem sprawdzenia. Można sprawdzać się częściej – minimalny czasookres planu to 1 kwartał.

177 Treść - nowe 2015! Plan sprawdzeń określa: przedmiot poszczególnych sprawdzeń, zakres czynności, które będą podjęte w toku sprawdzenia oraz termin przeprowadzenia sprawdzenia.

178 Możliwości - nowe 2015! Można zaplanować jedno całościowe sprawdzenie lub kilka sprawdzeń cząstkowych. Przykładowo, dotyczących poszczególnych systemów (np. monitoring wizyjny), jednostek (np. kadry) lub czynności przetwarzania (np. udostępnianie danych).

179 Pięcioletni czasookres sprawdzeń - nowe 2015!
UWAGA: plan sprawdzeń nie musi obejmować całości zasobów administratora. Każdy zbiór danych oraz każdy system informatyczny służący do przetwarzania danych powinien być objęty sprawdzeniem co najmniej raz na 5 lat.

180 Ad. g) Programy poszczególnych sprawdzeń – nowe 2015!
Dla każdego sprawdzenia określonego planem przygotowuje się program sprawdzenia, który określa: zakres czynności oraz sposób ich dokumentowania.

181 Zakres czynności - nowe 2015!
Wskazanie elementów systemu przetwarzania, które zostaną sprawdzone.

182 Metody dokumentowania - nowe 2015!
1) notatki z czynności; 2) protokoły odebrania ustnych wyjaśnień; 3) protokoły z oględzin; 4) kopie otrzymanych dokumentów. Sposób dokumentowania może być zarówno elektroniczny, jak i „papierowy”.

183 Termin - nowe 2015! Zgodnie z planem sprawdzeń, na co najmniej 7 dni przed podjęciem planowanych czynności

184 Ad. h) Sprawozdanie// //dokumentacja sprawdzenia – nowe 2015!
Kiedy? - należy przygotować po zakończeniu sprawdzenia Co? - dokument zestawiający wyniki sprawdzenia. Szczegóły: art. 36c uodo.

185 W skrócie - nowe 2015! wykaz podjętych czynności;
opis stanu faktycznego stwierdzonego w toku sprawdzenia; stwierdzone przypadki naruszenia przepisów; planowane lub podjęte działania przywracające stan zgodny z prawem.

186 Z ABI - nowe 2015! Plan sprawdzeń, program sprawdzeń i sprawozdania z poszczególnych sprawdzeń przygotowuje ABI (formalnie dla administratora). Termin przygotowania sprawozdania – 30 dni od zakończenia sprawdzenia.

187 Bez ABI - nowe 2015! Plan sprawdzeń i programy poszczególnych sprawdzeń przygotowuje sam administrator. Zamiast sprawozdania przygotowuje dokumentację sprawdzeń (na potrzeby kontroli GIODO). Termin przygotowania dokumentacji sprawdzenia – niezwłocznie.

188 Ad. i) Potwierdzenie zapoznania z przepisami o ochronie danych osobowych – nowe 2015!
Kto? Wszystkie osoby, które zostały upoważnione do przetwarzania danych. Jak? Brak wskazania – decyduje administrator.

189 3. OBOWIĄZKI INFORMACYJNE
Dwa przypadki: 1). Informacja w związku ze zbieraniem danych. 2). Informacja na żądanie.

190 Obowiązek informacyjny w związku ze zbieraniem danych
Zbieranie danych pierwotne wtórne

191 Zbieranie pierwotne – to zbieranie bezpośrednio od osoby, której dane dotyczą
Zbieranie wtórne – to zbieranie z dowolnego innego źródła

192 Istota konstrukcji Osoba o której zbiera się dane ma prawo do informacji pozwalających jej na kontrolę procesu przetwarzania. Chodzi o to by mogła podejmować świadome decyzje.

193 Zbieranie pierwotne – zakres informacji
1) adresie swojej siedziby i pełnej nazwie, 2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych, 3) prawie dostępu do treści swoich danych oraz ich poprawiania, 4) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

194 Wyjątek Nie trzeba podawać powyższych informacji w zakresie w jakim osoba, której dane dotyczą, już je zna.

195 Moment i forma poinformowania
MOMENT POINFORMOWANIA: w trakcie zbierania FORMA jest dowolna (można np. wywiesić informację na tablicy informacyjnej, można wpisać informację do kwestionariusza, przygotować informację na odrębnej kartce, itd.)

196 Zbieranie wtórne – zakres informacji
1) adresie swojej siedziby i pełnej nazwie, 2) celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych, 3) źródle danych, 4) prawie dostępu do treści swoich danych oraz ich poprawiania, 5) możliwości skorzystania z prawa żądania zaprzestania przetwarzania lub prawa sprzeciwu

197 Wyjątki Nie trzeba podawać tych informacji, jeżeli: 1) osoba, której dane dotyczą, już je zna 2) dane te są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą, a spełnienie wymagań informacyjnych wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania, 3) organ publiczny lub inny podmiot realizujący zadania publiczne przetwarza dane na podstawie przepisu prawa.

198 Moment poinformowania
Bezpośrednio po utrwaleniu danych. “Utrwalenie danych” to druga po zebraniu danych czynność przetwarzania – polega na zapisaniu danych w taki sposób, że umożliwia to korzystanie z nich.

199 Charakter i forma poinformowania
CHARAKTER POINFORMOWANIA: zindywidualizowany – trzeba dotrzeć bezpośrednio do danej osoby. FORMA jest dowolna (ale na administratorze spoczywa obowiązek udowodnienia, że go wykonał).

200 Przypadek szczególny – monitoring wizyjny
Aktualnie – brak szczególnych regulacji Formalnie powinno się realizować wymogi takie same jak w przypadku zbierania pierwotnego – w praktyce niewykonalne! Dobra rada – tabliczka przy wejściu, a szczegóły udostępniane na portierni lub w Internecie.

201 Dokumentacja obowiązku informacyjnego
Zagadnienie realizacji powyższych obowiązków powinno zostać uwzględnione w: - polityce bezpieczeństwa informacji - instrukcji zarządzania systemem informatycznym.

202 OBOWIĄZEK INFORMACYJNY NA ŻĄDANIE
PODSTAWA PRAWNA – art. 32 ust. 1 ustawy ZAKRES ZAPYTANIA – właściwie wszystko, co dotyczy przetwarzania danych pytającej osoby.

203 Wymagania względem administratora
żądanych informacji należy udzielić w terminie 30 dni; informacja musi być podana w sposób czytelny dla odbiorcy (bez kodów, skrótów, itd.);

204 należy też poinformować żądającego o przysługujących mu innych prawach (patrz dalej);
jeśli jest to wyraźnie określone w żądaniu informacje powinny być udzielone na piśmie.

205 Granica realizacji obowiązku
Ta sama osoba w tej samej sprawie z wnioskiem może występować nie częściej niż raz na 6 miesięcy. Opłata? … zdania naukowców są podzielone.

206 Odmowa udzielenia informacji, gdy:
ujawnienie wiadomości zawierających informacje niejawne, zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego, zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa, istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób.

207 Prawo dostępu do danych a prawo dostępu do akt
To nie to samo! Prawo dostępu do akt ma strona postępowania. Może przeglądać i kopiować całość. Prawo dostępu do swoich danych ma każdy. Nie otrzymuje jednak dostępu do całego dokumentu tylko informację o dotyczących go danych.

208 OSOBY, KTÓREJ DANE DOTYCZĄ
SZCZEGÓLNE PRAWA OSOBY, KTÓREJ DANE DOTYCZĄ

209 PRAWO DOSTĘPU DO DANYCH
Patrz: obowiązek informacyjny na żądanie

210 PRAWO DO POPRAWIANIA DANYCH
Można żądać: 1). uzupełnienia, jeżeli są one niekompletne 2). uaktualnienia, jeżeli są one nieaktualne 3). sprostowania, jeżeli są one nieprawdziwe

211 4). wstrzymania ich przetwarzania
5). usunięcia ... jeżeli zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane.

212 Wymagania po stronie administratora
Żądanie należy zrealizować bez zbędnej zwłoki. Trzeba też poinformować administratora, któremu udostępniło się dane, o dokonanym uaktualnieniu lub sprostowaniu.

213 Wymagania po stronie osoby wnioskującej
Jeżeli w odniesieniu do danych tryb ich uzupełnienia, uaktualnienia lub sprostowania określają odrębne ustawy stosuje się te ustawy.

214 PRAWO DO WYCOFANIA ZGODY
PODSTAWA PRAWNA: art. 7 pkt. 5 Zgoda może być odwołana: w każdym czasie; w dowolnej formie; bez podawania przyczyn.

215 Wymogi po stronie administratora
Administrator ma obowiązek odnotować we własnym systemie fakt wycofania zgody.

216 PRAWO SPRZECIWU PODSTAWA PRAWNA: art. 32 ust. 1 pkt. 8 Przysługuje, gdy administrator danych: - zamierza je przetwarzać w celach marketingowych, - chce je przekazać innemu administratorowi danych.

217 Zakres Nie przysługuje, gdy administrator czyni to: na podstawie przepisów prawa; w ramach realizacji umowy, której podmiot danych jest stroną.

218 Prawo sprzeciwu a wycofanie zgody
Identycznie! Z prawa sprzeciwu można skorzystać: w dowolnej formie; bez podawania przyczyn.

219 Wymagania po stronie administratora
SKUTEK SPRZECIWU: obowiązek zaniechania przetwarzania nie ma trybu odwołania od sprzeciwu

220 PRAWO ŻĄDANIA ZAPRZESTANIA PRZETWARZANIA
PODSTAWA PRAWNA: art. 32 ust. 1 pkt. 8 ISTOTA KONSTRUKCJI: trzeba powołać się na „szczególną sytuację”

221 Zakres Tak jak w przypadku sprzeciwu: nie przysługuje, gdy administrator przetwarza dane: na podstawie przepisów prawa; w ramach realizacji umowy, której podmiot danych jest stroną.

222 Forma i skutki FORMA: pisemna gdy administrator nie uwzględni żądania musi sam zawiadomić o tym Generalnego Inspektora

223 Podsumowanie: Kiedy i na jakich zasadach podmiot danych może żądać od administratora zaprzestania przetwarzania lub usunięcia danych? Trzy przypadki:

224 Żądanie zaprzestania przetwarzania (usunięcia danych) -
1) Niemożliwe: administrator realizuje przepis prawa, administrator wykonuje umowę z podmiotem danych (trzeba wypowiedzieć umowę).

225 2) Możliwe bez podawania przyczyn:
dane zebrane z naruszeniem ustawy, dane zbędne do osiągnięcia celu przetwarzania, przetwarzanie na podstawie zgody, przetwarzanie w celach marketingowych, administrator zamierza dane przekazać innemu administratorowi.

226 3) Możliwe po wykazaniu „szczególnej sytuacji”:
pozostałe przypadki

227 PRZEKAZYWANIE DANYCH OSOBOWYCH ZA GRANICĘ

228 Dwa obszary przetwarzania danych osobowych
Europejski Tzw. państwa Obszar trzecie Gospodarczy wszystkie pozostałe UE + Norwegia państwa świata Islandia i Lichtenstein

229 Europejski Obszar Gospodarczy
Standardy ochrony danych osobowych są w całym EOG identyczne (w tym w Polsce) – obowiązuje Dyrektywa 95/46 i inne rozwiązania unijne. Przekazywanie danych swobodne – brak jakichkolwiek dodatkowych wymogów.

230 Tzw. państwa trzecie Przekazanie danych jest dopuszczalne w trzech przypadkach: stwierdzenia stwierdzenia wyjątki adekwatności adekwatności ustanowione ochrony zabezpieczeń w ustawie na poziomie na poziomie odo państwowym administratora

231 Praktyka Paradoksalnie najistotniejsze w obrocie międzynarodowym są wyjątki (3). To na ich podstawie najczęściej dochodzi do przekazania danych do państw trzecich – dlatego od nich trzeba zacząć.

232 Ad.3) wyjątki ustanowione w ustawie odo
Ustawa odo określa 7 przypadków (dalej: a. - g.), gdy można przekazywać dane do państwa trzeciego, mimo że: państwo trzecie nie zapewnia adekwatnego poziomu ochrony; administrator nie stosuje adekwatnych zabezpieczeń; GIODO nie został spytany o zgodę.

233 a. Przepis prawa lub umowy międzynarodowej nakazuje transfer
Przesłanie danych osobowych wynika z obowiązku nałożonego na administratora danych przepisami prawa lub postanowieniami ratyfikowanej umowy międzynarodowej, gwarantującymi odpowiedni poziom ochrony tych danych.

234 b. Realizacja dobra publicznego lub roszczenia prawnego
Przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych.

235 c. Pisemna zgoda podmiotu danych
Osoba udzielająca zgody: musi być świadoma, że dane zostaną przekazane za granicę; musi być świadoma, że w państwie docelowym poziom ochrony danych jest niższy niż w Polsce.

236 d. Realizacja umowy lub życzenia podmiotu danych
Przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie. Życzenie? Chodzi o działania podejmowane przed zawarciem umowy.

237 e. Realizacja umowy w interesie podmiotu danych
Przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych a innym podmiotem.

238 f. Ochrona żywotnych interesów podmiotu danych
Przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą. UWAGA: interesy żywotne dotyczą życia – nie chodzi o interesy ekonomiczne.

239 g. Dane ogólnie dostępne
Dane w zasobach publicznych lub upublicznione przez ich podmiot. UWAGA: nie ma zastosowania, gdy dane stały się ogólnie dostępne z naruszeniem prawa.

240 Ad.1) adekwatność ochrony państwowej
Oznacza uznanie, że w państwie docelowym istnieje taki sam poziom ochrony danych osobowych jak w państwach EOG. Uznanie adekwatności ochrony może dotyczyć całego systemu prawnego, konkretnej branży (sektora) lub określonego typu transferów danych.

241 Kto stwierdza adekwatność ochrony państwowej?
Komisja zainteresowany Europejska administrator UWAGA! GIODO nie ma takiej kompetencji

242 Stwierdzenie adekwatności przez Komisję Europejską
Co do całego systemu prawnego: Szwajcaria; Węgry; Argentyna; Guernsey; Wyspa Man; Jersey; Wyspy Owcze; Nowa Zelandia; Co od danych w systemie informatycznym: Izrael; Co do pewnych branż lub typów transferów: Stany Zjednoczone; Kanada; Australia.

243 Stwierdzenie adekwatności przez administratora
Administrator sam ocenia adekwatność (ustawa zawiera tylko ogólne kryteria). ALE UWAGA: nawet nieumyślne udostępnienie danych osobom nieupoważnionym stanowi przestępstwo zagrożone karą do 1 roku pozbawienia wolności – w efekcie nikt tego nie robi!

244 Ad.2) adekwatność zastosowanych zabezpieczeń (1)
Administrator sam zapewnia poziom ochrony danych nie mniejszy niż w państwach EOG. W takiej sytuacji co do zasady na każde przekazanie danych osobowych (każdy pojedynczy transfer danych) konieczna jest zgoda GIODO!

245 Adekwatność zastosowanych zabezpieczeń (2)
Po co zgoda GIODO? Bo GIODO ocenia czy zastosowany przez administratora poziom zabezpieczeń jest właściwy.

246 Wyjątek: Kiedy zgoda GIODO na każdy pojedynczy transfer nie jest wymagana? zastosowanie przyjęcie standardowych wiążących reguł klauzul umownych korporacyjnych

247 Standardowe klauzule umowne
Są to klauzule zatwierdzone przez Komisję Europejską, które można wprowadzić do umowy, na podstawie której przekazuje się dane. UWAGA! Klauzule trzeba wprowadzić bez jakichkolwiek zmian – w przeciwnym wypadku konieczna jest zgoda GIODO.

248 Wiążące reguły korporacyjne
Są to rozwiązania wewnętrzne („kodeksy dobrych praktyk”, „polityki prywatności”, itd.), które zapewniają stosowanie odpowiedniego poziomu ochrony danych osobowych w całej organizacji, w tym w oddziałach znajdujący się w państwach trzecich.

249 Wiążące reguły korporacyjne - wymagania
Muszą być wiążące. Muszą być zatwierdzone przez GIODO. Czyli zamiast zgody na poszczególne transfery GIODO wydaje jedną ogólną zgodę na stosowane w organizacji praktyki.

250 Gdy organizacja działa w kilku krajach EOG
Formalnie zatwierdzenie musi nastąpić we wszystkich zainteresowanych państwach. Organy ochrony danych z różnych państw EOG mogą jednak konsultować ze sobą kwestię zatwierdzenia reguł. Zatwierdzenie reguł w jednym państwie jest zazwyczaj honorowane w pozostałych.

251 koniec