Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Generalny Inspektor Ochrony Danych Osobowych ul. Stawki 2, 00-193 Warszawa Zasady ochrony danych osobowych Bogusława.

Podobne prezentacje


Prezentacja na temat: "Generalny Inspektor Ochrony Danych Osobowych ul. Stawki 2, 00-193 Warszawa Zasady ochrony danych osobowych Bogusława."— Zapis prezentacji:

1 Generalny Inspektor Ochrony Danych Osobowych ul. Stawki 2, Warszawa Zasady ochrony danych osobowych Bogusława Pilc, radca prawny, Dyrektor Departamentu Inspekcji w Biurze Generalnego Inspektora Ochrony Danych Osobowych

2 EUROPEJSKA KONWENCJA O OCHRONIE PRAW CZŁOWIEKA I PODSTAWOWYCH WOLNOŚCI sporządzona w Rzymie dnia 4 listopada 1950 r., zmieniona następnie Protokołami nr 3, 5 i 8 oraz uzupełniona Protokołem nr 2 (Dz. U. z 1993 r. Nr 61, poz. 284 ze zm.)‏

3 Art. 8. Prawo do poszanowania życia prywatnego i rodzinnego 1. Każdy ma prawo do poszanowania swojego życia prywatnego i rodzinnego, swojego mieszkania i swojej korespondencji. 2. Niedopuszczalna jest ingerencja władzy publicznej w korzystanie z tego prawa, z wyjątkiem przypadków przewidzianych przez ustawę i koniecznych w demokratycznym społeczeństwie z uwagi na bezpieczeństwo państwowe, bezpieczeństwo publiczne lub dobrobyt gospodarczy kraju, ochronę porządku i zapobieganie przestępstwom, ochronę zdrowia i moralności lub ochronę praw i wolności innych osób.

4 Landowa ustawa o ochronie danych osobowych ogłoszona w Hesji w 1970 r. Federalna (RFN) ustawa o ochronie danych osobowych ogłoszona w 1977 r. Ustawy o ochronie danych osobowych uchwalone w Szwecji, Danii, Norwegii, Francji, Luksemburgu (lata 70-te XX w.)‏ Ustawy o ochronie danych osobowych uchwalone w Austrii, Islandii, Irlandii, Finlandii, Wielkiej Brytanii, na Węgrzech (lata 80-te i początek lat 90-tych XX w.)

5 Konwencja 108 Rady Europy z dnia 28 stycznia 1981 r. o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (Dz. U. z 2006 r. Nr 3, poz. 15) weszła w życie z dniem 1 października 1985 r. (Francja, RFN, Norwegia, Hiszpania, Szwecja)‏ Polska ratyfikowała Konwencję dnia 24 kwietnia 2002 r.

6 Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/WE) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz. L 281, z dnia , s. 31)‏

7 Art. 47 Konstytucji RP Każdy ma prawo do ochrony życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym.

8 Art. 51 Konstytucji RP 1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby. 2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. 3. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa. 4. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. 5. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.

9 Art. 47 Konstytucji poręcza prawo do prywatności (wyrok TK z 12 listopada 2002 r., SK 40/01, OTK-A 2002, nr 6, poz. 81). Na płaszczyźnie konstytucyjnej prawo do ochrony danych osobowych jednostki zostało zagwarantowane w art. 51 Konstytucji. Zarówno w literaturze, jak i orzecznictwie TK jest ono też określane mianem autonomii informacyjnej.

10 Art. 23 kodeksu cywilnego DOBRA OSOBISTE CZŁOWIEKA, jak w szczególności zdrowie, wolność, cześć, swoboda sumienia, nazwisko lub pseudonim, wizerunek, tajemnica korespondencji, nietykalność mieszkania, twórczość naukowa, artystyczna, wynalazcza i racjonalizatorska, pozostają pod ochroną prawa cywilnego niezależnie od ochrony przewidzianej w innych przepisach.

11 Art. 24 kodeksu cywilnego § 1. Ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne. W razie dokonanego naruszenia może on także żądać, ażeby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności ażeby złożyła oświadczenie odpowiedniej treści i w odpowiedniej formie. Na zasadach przewidzianych w kodeksie może on również żądać zadośćuczynienia pieniężnego lub zapłaty odpowiedniej sumy pieniężnej na wskazany cel społeczny. § 2. Jeżeli wskutek naruszenia dobra osobistego została wyrządzona szkoda majątkowa, poszkodowany może żądać jej naprawienia na zasadach ogólnych.

12 Pojedyncze dane osobowe nie są odrębnymi dobrami osobistymi. Dane osobowe jednak mogą być uznane za dobra osobiste, jeżeli np. są objęte sferą życia prywatnego.

13 Rozporządzenie MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024)‏

14 Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.)‏

15 zakres podmiotowy i przedmiotowy stosowania ustawy definicje ustawowe

16 Art. 3a ust. 1 Ustawy nie stosuje się do: 1) osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych 2) podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania danych

17 Art. 3 ust. 2 Ustawy, z wyjątkiem przepisów art i art. 36 ust. 1, nie stosuje się również do prasowej działalności dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. - Prawo prasowe (Dz. U. Nr 5, poz. 24, z późn. zm.) oraz do działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą.

18 Państwo trzecie państwo nienależące do Europejskiego Obszaru Gospodarczego EOG (European Economic Area)‏ Państwa należące do EOG: - państwa członkowskie Unii Europejskiej - państwa członkowskie Europejskiego Stowarzyszenia Wolnego Handlu EFTA (European Free Trade Association): Islandia, Lichtenstein, Norwegia

19 Art. 2 ust. 3 W odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie przepisy jedynie rozdziału 5.

20 Art. 4 Przepisów ustawy nie stosuje się, jeżeli umowa międzynarodowa, której stroną jest Rzeczpospolita Polska, stanowi inaczej.

21 Art. 5. Jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw.

22 Art. 3 ust. 1 Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych.

23 Zakres podmiotowy ustawy o ochronie danych osobowych 1.Podmioty publiczne mogą decydować o celach i środkach przetwarzania danych w ramach zadań przyznanych im przepisami prawa: organy państwowe, organy samorządu terytorialnego, państwowe i komunalne jednostki organizacyjne. 2. Kontrolą mogą być objęte np. Kancelaria Prezydenta RP, Kancelaria Senatu, Kancelaria Sejmu, Kancelaria Prezesa Rady Ministrów, ministerstwa, sądy, prokuratury, jednostki policji, urzędy skarbowe, publiczne zakłady opieki zdrowotnej, Zakład Ubezpieczeń Społecznych, Główny Urząd Statystyczny, gminy, powiaty, województwa i inne.

24 Art. 3 ust. 2 Ustawę stosuje się również do: 1) podmiotów niepublicznych realizujących zadania publiczne, 2) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych - które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej.

25 Zakres podmiotowy ustawy o ochronie danych osobowych - Podmioty prywatne mogą realizować cele i środki w zakresie przetwarzania danych osobowych, które wynikają ze specyfiki prowadzonej przez nie działalności: podmioty niepubliczne realizujące zadania publiczne (np. prywatne zakłady opieki zdrowotnej, prywatne szkoły i przedszkola), osoby fizyczne i osoby prawne (np.. Spółki z o.o., spółki akcyjne, stowarzyszenia, fundacje) oraz jednostki organizacyjne niebędące osobami prawnymi (np. niemające osobowości prawnej spółki prawa handlowego); objęte są one zakresem stosowania ustawy, jeżeli przetwarzają dane w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych (art. 3 ust. 2 pkt 2 ustawy).

26 Zakres podmiotowy ustawy o ochronie danych osobowych 1.Podmioty posiadające status administratora danych: administratorzy podlegający obowiązkowi zgłoszenia zbioru do rejestracji, administratorzy zwolnieni z mocy ustawy z obowiązku zgłoszenia zbioru do rejestracji. 2.Podmioty przetwarzający dane na zlecenia administratora danych: zleceniobiorcy (przetwarzający) w drodze umowy zawartej na piśmie tzw. umowy powierzenia (art.31 ustawy).

27 Art. 6 W rozumieniu ustawy za DANE OSOBOWE uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. OSOBĄ MOŻLIWĄ DO ZIDENTYFIKOWANIA jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

28 Identyfikacja danych podlegających ochronie Dane tzw. zwykłe – np. imię, nazwisko, data urodzenia, PESEL, adres zamieszkania, wysokość osiąganych dochodów, stan konta bankowego, informacje o mieniu ruchomym czy nieruchomościach i inne Dane tzw. wrażliwe, sensytywne – jako szczególny rodzaj danych, do których art. 27 ust. 1 u.o.d.o. zalicza: dane ujawniające pochodzenie rasowe, etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym Informacje o osobach zmarłych nie podlegają ochronie u.o.d.o. – zdolność prawna człowieka, a tym samym zdolność do bycia podmiotem praw i obowiązków ustaje z chwilą jego śmierci

29 Dane osobowe Charakter danych osobowych posiadają informacje „ z różnych dziedzin życia”, o ile istnieje możliwość powiązania ich z oznaczoną osobą; mogą to być informacje o charakterze obiektywnym lub subiektywnym, wymiernym lub ocennym, o okolicznościach dawnych, obecnych lub przyszłych, trwałych lub przemijających Danymi osobowymi są między innymi informacje: o zasadniczo „niezależnych okolicznościach” (imię, nazwisko, płeć, wzrost, znaki szczególne, obywatelstwo, linie papilarne, miejsce i data urodzenia, cechy dokumentów tożsamości, numer PESEL); o cechach nabytych (wykształcenie, znajomość języków, posiadane uprawnienia, charakter pisma, stan cywilny);

30 Dane osobowe o cechach osobowościowych, psychologicznych, w tym o przekonaniach, zainteresowaniach, światopoglądzie, upodobaniach, sposobie spędzania wolnego czasu); o sytuacji majątkowej, operacjach finansowych, w tym również o „zaniechaniach” ( np. wykaz zaległości czynszowych); o różnych przejawach działalności (np. podróżach, uczestniczeniu w życiu kulturalnym); dotyczące aktywnego lub biernego uczestnictwa w różnego rodzaju wydarzeniach, część informacji już z natury rzeczy identyfikuje osobę; większość informacji uzyskuje charakter danych osobowych dopiero w połączeniu z informacjami identyfikującymi wprost lub pośrednio osobę;

31 Dane osobowe pod tym warunkiem danymi osobowymi stają się m.in. informacje o stanie fizycznym i psychicznym, o przebytych chorobach, o kalectwie, o wynikach badań medycznych (zdjęcia rendtgenowskie, ciśnienie krwi, poziom cukru i wiele innych), o rezultatach testów psychologicznych, zręcznościowych, wyniki egzaminów, rezultaty uzyskiwane na zawodach sportowych; charakter danych osobowych posiadają informacje dotyczące przygotowania zawodowego i przebiegu pracy danej osoby, o jej sytuacji rodzinnej, o stanie posiadania ( w tym o posiadanych dobrach, o zgromadzonych oszczędnościach, kontach bankowych, o wysokości płaconych podatków), o jej zachowaniach (zakupach towarów lub usług, prowadzonych rozmowach telefonicznych, w tym tzw. biling), naruszeniach prawa, wszelkie opinie na temat danej osoby.

32 Art. 7 DEFINICJE: 1) zbioru danych 2) przetwarzania danych 2a) systemu informatycznego 2b) zabezpieczenia danych w systemie informatycznym 3) usuwania danych 4) administratora danych 5) zgody osoby, której dane dotyczą 6) odbiorcy danych 7) państwa trzeciego

33 USUWANIE DANYCH zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą

34 ZBIÓR DANYCH każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie,

35 PRZETWARZANIE DANYCH jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych,

36 SYSTEM INFORMATYCZNY zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych ZABEZPIECZENIE DANYCH W SYSTEMIE INFORMATYCZNYM wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem,

37 ADMINISTRATOR DANYCH organ, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych,

38 ODBIORCA DANYCH każdy, komu udostępnia się dane osobowe, z wyłączeniem: a) osoby, której dane dotyczą, b) osoby upoważnionej do przetwarzania danych, c) przedstawiciela, o którym mowa w art. 31a, d) podmiotu, o którym mowa w art. 31, e) organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem

39 Art. 8 ust. 1 Organem do spraw ochrony danych osobowych jest GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Art. 8 ust. 2 Generalnego Inspektora powołuje i odwołuje Sejm Rzeczypospolitej Polskiej za zgodą Senatu.

40 Art. 11 IMMUNITET Generalnego Inspektora Ochrony Danych Osobowych nie może być bez uprzedniej zgody Sejmu pociągnięty do odpowiedzialności karnej ani pozbawiony wolności nie może być zatrzymany lub aresztowany, z wyjątkiem ujęcia go na gorącym uczynku przestępstwa i jeżeli jego zatrzymanie jest niezbędne do zapewnienia prawidłowego toku postępowania.

41 Art. 12 ZADANIA Generalnego Inspektora 1) kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych, 2) wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych, 3) zapewnienie wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym wynikających z decyzji, o których mowa w pkt 2, przez stosowanie środków egzekucyjnych przewidzianych w ustawie z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. z 2005 r. Nr 229, poz. 1954, z późn. zm., 4) prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach, 5) opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych,

42 ZADANIA Generalnego Inspektora c. d. 6) inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych, 7) uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych.

43 Art. 23 ust. 1 Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

44 ZGODA OSOBY, KTÓREJ DANE DOTYCZĄ (Art. 7 pkt 5)‏ oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści, zgoda może być odwołana w każdym czasie

45 Zgoda na przetwarzanie danych osobowych (1) -uodo nie przewiduje szczególnej formy udzielenia zgody jak i odwołania zgody na przetwarzanie danych, -jako oświadczenie woli – może przybrać formę każdego zachowania się tej osoby, które ujawnia jej wolę w sposób dostateczny, w tym w przez ujawnienie woli w postaci elektronicznej,

46 Zgoda na przetwarzanie danych osobowych (2) Wola osoby dokonującej czynności prawnej może być wyrażona przez każde zachowanie się tej osoby, które ujawnia jej wolę w sposób dostateczny, w tym również przez ujawnienie tej woli w postaci elektronicznej (oświadczenie woli) – art. 60 kc

47 Zgoda na przetwarzanie danych osobowych (3) do oświadczenia woli dotyczącego odwołania zgody na przetwarzanie danych osobowych, powinno się stosować ogólną zasadę wynikającą z art. 60 kc, w przypadku gdy uodo przewiduje formę pisemną dla oświadczenia woli dotyczącego zgody na przetwarzanie danych (dane tzw. „sensytywne”, przekazywanie danych do państwa trzeciego) niezbędne jest, aby odwołanie zgody na przetwarzanie danych osobowych również przybrało formę pisemną, administrator danych ze względów dowodowych powinien utrwalać takie oświadczenie woli w zakresie wyrażenia zgody jak i jej odwołania przepisy szczególne przewidujące możliwość odwołania zgody: -ustawa Prawo telekomunikacyjne, -ustawa o świadczeniu usług drogą elektroniczną, -ustawa Prawo bankowe

48 Art. 23 ust. 2 Zgoda, o której mowa w ust. 1 pkt 1, może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania. Art. 23 ust. 3 Jeżeli przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a spełnienie warunku określonego w ust. 1 pkt 1 jest niemożliwe, można przetwarzać dane bez zgody tej osoby, do czasu, gdy uzyskanie zgody będzie możliwe.

49 Art. 23 ust. 4 PRAWNIE USPRAWIEDLIWIONY CEL ADMINISTRATORA DANYCH w szczególności: 1) marketing bezpośredni własnych produktów lub usług administratora danych, 2) dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

50 Zgoda według opinii Grypy Roboczej art. 29 nr 15/2011 Grupa Robocza art. 29 została powołana na mocy art. 29 Dyrektywy 95/46/WE. Jest niezależnym organem doradczym w zakresie ochrony danych osobowych i prywatności W dniu 13 lipca 2011 r. Grupa przyjęła opinię nr 15/2011 w sprawie definicji zgody Główne powody przyjęcia opinii: -Zróżnicowana praktyka poszczególnych państw członkowskich m.in.: -w zakresie wymogu pisemnej zgody, -akceptowania zgody dorozumianej, -konieczne ujednolicenie interpretacji

51 Analiza elementów zgody Zgoda osoby, której dane dotyczą, oznacza konkretne i świadome, dobrowolne wskazanie przez tę osobę na to, że wyraża przyzwolenie na przetwarzanie odnoszących się do niej danych osobowych „wskazanie na to, że wyraża” – pisemna forma co do zasady nie jest konieczna. Dowolne zachowanie wyraźnie wskazujące na wolę osoby, „dobrowolne” – możliwość dokonania rzeczywistego wyboru. Zgoda w relacjach pracodawca – pracownik (np. I OSK 249/09, I OSK 1476/10 – wyroki NSA – dane biometryczne), „konkretne” – ściśle określony cel – nowy cel – nowa zgoda, „świadome” – warunkiem zgody jest pełne poinformowanie podmiotu danych

52 Zgoda w szczególnych warunkach Konieczna wyraźna zgoda (explicit consent) na przetwarzanie szczególnych kategorii danych Zgoda na konkretną propozycję, najczęściej udzielana w formie pisemnej z odręcznym podpisem Nie może być dorozumiana Zgoda na transfer do państw trzecich – jednoznaczna Zgoda osób nieposiadających pełnej zdolności do czynności prawnych – brak konkretnych zasad w Dyrektywie 95/46/WE. Grupa zwraca uwagę na trudności w tym obszarze

53 Art. 27 ust. 1 ZABRANIA SIĘ PRZETWARZANIA DANYCH: ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

54 Art. 27 ust. 2 Przetwarzanie danych, o których mowa w ust. 1, jest jednak dopuszczalne, jeżeli: 1) osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych, 2) przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony, 3) przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora,

55 6) przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie, 7) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych,

56 8) przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą, 9) jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone, 10) przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.

57 Wrażliwe przetwarzanie „Profil” oznacza zestaw danych charakteryzujący kategorię osób, który ma zostać zastosowany w odniesieniu do danej osoby „Tworzenie profili” oznacza automatyczną technikę przetwarzania danych polegającą na przypisaniu danej osobie „profilu” w celu podejmowania dotyczących jej decyzji bądź analizy lub przewidywania jej preferencji, zachowań i postaw Tworzenie profili, wg Grupy Art istnieją dwa podstawowe podejścia do tworzenia profili użytkowników: - Profile predykcyjne tworzy się w drodze wnioskowania na podstawie obserwacji indywidualnego i zbiorowego zachowania użytkowników w czasie, w szczególności poprzez monitorowanie odwiedzanych stron oraz reklam, które użytkownik wyświetla, lub na które klika

58 Wrażliwe przetwarzanie cd. Profile jawne tworzy się na podstawie danych osobowych przekazywanych w ramach usługi sieciowej przez same osoby, których dane dotyczą, np. podczas rejestracji. Wspomniane podejścia można łączyć Ponadto profile predykcyjne mogą stać się jawne później, kiedy osoba, której dane dotyczą, utworzy dane logowania dla danej strony internetowej Patrz: Opinia Grupy Art. 29 nr 2/2010 w sprawie internetowej reklamy behawioralnej przyjęta dnia 22 czerwca 2010 r., pkt 2, 3, str. 8

59 Art. 26 ust. 1 Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były: 1) przetwarzane zgodnie z prawem, 2) zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2, 3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, 4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

60 Art. 26 ust. 2 Przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą, oraz następuje: 1) w celach badań naukowych, dydaktycznych, historycznych lub statystycznych, 2) z zachowaniem przepisów art. 23 i 25.

61 Identyfikacja danych podlegających ochronie Dane w kartotekach, skorowidzach, księgach, wykazach i innych urządzeniach ewidencyjnych Dane w systemach informatycznych Dane w zbiorach danych i poza zbiorami danych System informatyczny (art. 7 pkt 2a u.o.d.o.) – zespół współpracujących ze sobą: urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych 61

62 Analiza zagrożeń i ocena ryzyka procesu przetwarzania (1) Zagrożenia – to zjawiska wywołane działaniem człowieka (umyślne, nieumyślne) lub sił wyższych (przyrody, środków trwałych itp.), które powodują, że poczucie bezpieczeństwa maleje bądź zupełnie zanika. Analiza i ocena obejmuje identyfikację i szacowanie zagrożeń występujących na poszczególnych etapach procesu przetwarzania: zbieranie, utrwalanie, opracowywanie, zmienianie, udostępnianie, przechowywanie, usuwanie Prowadzona systematycznie pozwala na zastosowanie odpowiednich zabezpieczeń, które zminimalizują prawdopodobieństwo ich wystąpienia

63 Analiza zagrożeń i ocena ryzyka procesu przetwarzania (2) Zagrożenia zasobów komputerowych: działalność umyślna sieciowa (zazwyczaj przestępcza) związana z atakami i włamaniami hakerskimi przy użyciu różnych technik i metod (np. złośliwych programów, rozsyłania spamu), często zautomatyzowanymi powodująca: utratę poufności (np. ujawnienie informacji), utratę integralności (np. modyfikacja informacji), utratę dostępności zasobów (np. brak dostępu do informacji czy systemu dla uprawnionych użytkowników). Działania umyślne fizyczne – bezpośrednia obserwacja, podsłuch czy kradzież zasobów Działania przypadkowe – pomyłki, pominięcia czy wypadki fizyczne wynikające z problemów technicznych (wady sprzętu i oprogramowania, awarie sprzętu, przerwy i zakłócenia w sieci energetycznej)

64 Analiza zagrożeń i ocena ryzyka procesu przetwarzania (3) problemów organizacyjnych – zła organizacja pracy, brak odpowiednich procedur, brak organizacji infrastruktury informatycznej, niedostateczna wiedza, niewystarczające monitorowanie zabezpieczeń, brak lub niewłaściwe utrzymywanie zasobów, błędów ludzkich – nieprzestrzeganie podstawowych zasad bezpieczeństwa, brak świadomości zagrożeń, zapisywanie haseł, zniszczenie urządzenia na skutek niedbalstwa, omyłkowe skasowanie danych, nieprawidłowe administrowanie systemu i inne

65 Wymagane środki bezpieczeństwa środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem dokumentacja opisująca sposób przetwarzania danych oraz środki ochrony przetwarzania danych administrator bezpieczeństwa informacji 65

66 Wymagane środki bezpieczeństwa Dopuszczenie do przetwarzania danych wyłącznie osób posiadających upoważnienie nadane przez administratora danych (art. 37 u.o.d.o.) Zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane (art. 38 u.o.d.o.) Ewidencja osób upoważnionych do przetwarzania danych (art.39 u.o.d.o.). Obowiązek zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia. 66

67 Wymagane środki bezpieczeństwa Dokumentacja przetwarzania danych: polityka bezpieczeństwa instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych 67

68 68 (§ 4) Polityka bezpieczeństwa zawiera w szczególności: wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi sposób przepływu danych pomiędzy poszczególnymi systemami określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych Wymagane środki bezpieczeństwa ‏

69 69 1)procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności; 2)stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem; 3)procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu; 4)procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania; Wymagane środki bezpieczeństwa (§ 5) Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych zawiera w szczególności:

70 70 a)elektronicznych nośników informacji zawierających dane osobowe, b) kopii zapasowych, o których mowa w pkt 4; Wymagane środki bezpieczeństwa (§ 5 )Instrukcja zarządzania systemem informatycznym cd: 5)sposób, miejsce i okres przechowywania: 6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia; 7) sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4; 8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

71 Wymagane środki bezpieczeństwa Poziomy bezpieczeństwa: podstawowy podwyższony wysoki 71

72 Czy jest dostęp do sieci publicznej? Czy przetw. są dane wrażliwe? Poziom wysoki Poziom podwyższony Poziom podstawowy Tak Nie Tak 72

73 ŚRODKI BEZPIECZEŃSTWA NA POZIOMIE PODSTAWOWYM Zabezpieczenie obszaru przed dostępem osób nieuprawnionych na czas nieobecności osób uprawnionych do przetwarzania danych osobowych Mechanizmy kontroli dostępu w systemie informatycznym Zabezpieczenie systemu przed oprogramowaniem umożliwiającym uzyskanie nieuprawnionego dostępu oraz utratą zasilania 73

74 ŚRODKI BEZPIECZEŃSTWA NA POZIOMIE PODSTAWOWYM Hasła (min. 6 znaków, zmiana nie rzadziej niż co 30 dni) i identyfikatory (zakaz ponownego przydzielania tych samych identyfikatorów)‏ Kopie zapasowe zbiorów i programów służących do przetwarzania danych Kryptografia – urządzenia przenośne Reguły dotyczące nośników danych 74

75 REGUŁY DOTYCZĄCE - NOŚNIKÓW DANYCH Nośniki do likwidacji – pozbawienie zapisu danych bądź ich uszkodzenie uniemożliwiające ich odczytanie przed likwidacją, Nośniki przekazywane podmiotom nieuprawnionym do przetwarzania danych – uprzednie pozbawienie zapisu danych w sposób uniemożliwiający ich odczytanie, Nośniki przeznaczone do naprawy – uprzednie pozbawienie zapisu danych w sposób uniemożliwiający ich odczytanie bądź naprawa pod nadzorem osoby upoważnionej przez administratora danych. 75

76 ŚRODKI BEZPIECZEŃSTWA NA POZIOMIE PODWYŻSZONYM Środki ochrony na poziomie podstawowym Hasła (min. 8 znaków, małe i wielkie litery, cyfry lub znaki specjalne)‏ 76

77 ŚRODKI BEZPIECZEŃSTWA NA POZIOMIE PODWYŻSZONYM Urządzenia i nośniki zawierające dane osobowe szczególnie chronione przekazywane poza obszar, w którym przetwarzane są dane osobowe, zabezpiecza się w sposób zapewniający poufność i integralność tych danych Instrukcja zarządzania systemem informatycznym musi zawierać sposób stosowania środków zabezpieczenia poufności i integralności danych 77

78 ŚRODKI BEZPIECZEŃSTWA NA POZIOMIE WYSOKIM Środki ochrony na poziomie podstawowym i podwyższonym Ochrona przed zagrożeniami pochodzącymi z sieci publicznej (wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem) Środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej 78

79 79 1)daty pierwszego wprowadzenia danych do systemu; 2)identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba; 3)źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą; 4)informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych; FUNKCJONALNOŚĆ ZAPEWNIAJĄCA ODNOTOWYWANIE § 7 ust rozporządzenia MSWiA (Ust. 1) Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym - z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie - system ten zapewnia odnotowanie:

80 80 5) sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy. FUNKCJONALNOŚĆ ZAPEWNIAJĄCA ODNOTOWYWANIE § 7 ust rozporządzenia MSWiA (Ust. 2) Odnotowanie informacji, o których mowa w ust. 1 pkt 1 i 2, następuje automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych. (Ust. 3) Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w ust. 1. (Ust. 4) W przypadku przetwarzania danych osobowych, w co najmniej dwóch systemach informatycznych, wymagania, o których mowa w ust. 1 pkt 4, mogą być realizowane w jednym z nich lub w odrębnym systemie informatycznym przeznaczonym do tego celu.

81 Kontrola zastosowanych zabezpieczeń Cel kontroli – ustalenie stanu faktycznego w zakresie przestrzegania przepisów o ochronie danych osobowych oraz udokumentowanie dokonanych ustaleń Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024)

82 Kontrola zastosowanych zabezpieczeń Uprawnienia kontrolne GIODO: Wstęp do pomieszczeń (od 6.00 do 22.00)‏ Przeprowadzenie niezbędnych badań lub innych czynności kontrolnych Żądanie złożenia pisemnych lub ustnych wyjaśnień, wzywanie i przesłuchiwanie osób Wgląd do wszelkich dokumentów i danych oraz prawo do sporządzania ich kopii, Przeprowadzanie oględzin urządzeń, nośników oraz systemów informatycznych, Zlecanie sporządzania ekspertyz i opinii. 82

83 Przebieg kontroli (1) Obowiązki inspektora: okazanie dokumentów uprawniających do kontroli, poinformowanie kontrolowanego o jego prawach i obowiązkach, przedstawienie zakresu przedmiotowego kontroli, wskazanie przewidywanego terminu trwania kontroli, dokonywanie czynności wyłącznie w zakresie upoważnienia udzielonego przez GIODO, wykazanie się obiektywizmem oraz zachowaniem w tajemnicy informacji uzyskanych w związku z kontrolą. Obowiązki kontrolowanego: umożliwienie inspektorowi przeprowadzenie kontroli, udostępnienie wszelkich żądanych dokumentów i nośników informacji,

84 Przebieg kontroli (2) wydanie żądanych kopii dokumentów oraz wydruków obrazów z ekranu komputerowego, czynne uczestnictwo w poszczególnych czynnościach kontrolnych (udzielanie wyjaśnień, zapewnienie terminowego udzielania informacji przez podległych pracowników i inne osoby, być do dyspozycji w czasie trwania kontroli), zapewnienie sprawnego przebiegu kontroli.

85 Dokumentowanie czynności kontrolnych (1) 1.Rodzaje protokołów z poszczególnych czynności: protokół przyjęcia ustnych wyjaśnień, protokół przesłuchania świadka, protokół oględzin.

86 Dokumentowanie czynności kontrolnych (2) 2. Protokół kontroli: nazwa podmiotu kontrolowanego w pełnym brzmieniu i jego adres, imię i nazwisko, stanowisko służbowe, numer legitymacji służbowej oraz numer upoważnienia inspektora, imię i nazwisko osoby reprezentującej podmiot kontrolowany oraz nazwę organu reprezentującego ten podmiot, datę rozpoczęcia i zakończenia czynności kontrolnych, z wymienieniem dni przerw w kontroli, określenie przedmiotu i zakresu kontroli, opis stanu faktycznego stwierdzonego w toku kontroli oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych, wyszczególnienie załączników stanowiących składową część protokołu, omówienie dokonanych w protokole poprawek, skreśleń i uzupełnień, parafy inspektora i osoby reprezentującej podmiot kontrolowany na każdej stronie protokołu

87 Dokumentowanie czynności kontrolnych (3) wzmianka o doręczeniu egzemplarza protokołu osobie reprezentującej podmiot kontrolowany, wzmianka o wniesieniu lub niewniesieniu zastrzeżeń i uwag do protokołu, data i miejsce podpisania protokołu przez inspektora oraz przez osobę lub organ reprezentujący podmiot kontrolowany.

88 Uprawnienia pokontrolne 1.Wszczęcie postępowania administracyjnego: zawiadomienie o wszczęciu: wyszczególnienie stwierdzonych w toku kontroli uchybień, uzasadnienie prawne i faktyczne, wskazanie dowodów, informacja o przysługujących prawach, określenie terminu do realizacji uprawnień, 2.Rodzaje decyzji: nakazujące przywrócenie stanu zgodnego z prawem (treść nakazu wynika z art.18 ustawy), umarzające postępowanie jako bezprzedmiotowe. 3.Wniosek o wszczęcie postępowania dyscyplinarnego. 4.Zawiadomienie o popełnieniu przestępstwa.

89 Odpowiedzialność karna za naruszenie przepisów o ochronie danych osobowych (1) Przetwarzanie danych w zbiorze wbrew zakazowi przetwarzania bądź przy braku uprawnienia do przetwarzania (art. 49) Udostępnienie danych lub umożliwienie dostępu osobom nieupoważnionym (art. 51)‏ Naruszenie obowiązku zabezpieczenia danych (art. 52)‏ Niezgłoszenie zbioru do rejestracji (art. 53)‏ Niedopełnienie obowiązku informacyjnego (art. 54)‏ 89

90 Odpowiedzialność karna za naruszenie przepisów o ochronie danych osobowych (2) Udaremnienie lub utrudnienie wykonania czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2 (Art. 54a) „Udaremnienie” – całkowite uniemożliwienie dokonania czynności „Utrudnienie” – stworzenie lub doprowadzenie do powstania sytuacji, gdy wykonanie czynności kontrolnej napotyka przeszkody, które w istotny sposób wpływają na przeprowadzaną czynność, ograniczając jej efektywność

91 Odpowiedzialność karna za naruszenie przepisów o ochronie danych osobowych (3) Przykłady zachowań stanowiących udaremnienie lub utrudnienie kontroli: niewpuszczenie inspektorów na teren jednostki kontrolowanej lub do pomieszczenia, w którym zlokalizowany jest zbiór danych, bądź do pomieszczenia, w którym przetwarzane są dane poza zbiorem, nieokazanie przedmiotu mającego podlegać oględzinom (urządzeń, nośników, systemów informatycznych służących do przetwarzania danych osobowych), odmowa okazania dokumentów, nieuzasadnione opóźnienia w udostępnianiu żądanych dokumentów, odmowa złożenia zeznań osobie uprawnionej do przeprowadzenia kontroli (inspektorowi), udzielenie nieprawdziwych informacji

92 Dyskusja nad zmianami w europejskich ramach ochrony danych osobowych (1) Komisja Europejska 4 listopada 2010 r. przyjęła kompleksową strategię dotyczącą ochrony danych osobowych w Unii Europejskiej (komunikat KOM (2010) 609/3). Zakłada ona modernizację istniejących na poziomie Unii Europejskiej (UE) ram prawnych w zakresie ochrony danych osobowych Zmiany i inne inicjatywy: -Komisja Europejska (KE) w 2011 r. przedstawi projekt zmian Dyrektywy 95/46/WE o ochronie osób w związku z przetwarzaniem danych osobowych oraz o swobodnym ich przepływie, a także podejmie działania pozalegislacyjne, mające na celu skuteczniejszą ochronę danych osobowych w UE -Planowane działania mają przede wszystkim odpowiedzieć na wyzwania związane z rozwojem technologii informatycznych oraz procesami legislacyjnymi

93 Dyskusja nad zmianami w europejskich ramach ochrony danych osobowych (2) Podstawowe cele: wzmocnienie praw jednostki, wzmocnienie pozycji i zwiększenie uprawnień organów ochrony danych osobowych, przegląd przepisów dotyczących ochrony danych osobowych w obszarze współpracy policji i wymiaru sprawiedliwości w sprawach karnych, zapewnienie swobodnego przepływu danych w obrębie Unii Europejskiej, zapewnienie wysokiego poziomu ochrony w przypadku transferu danych poza UE

94 Dyskusja nad zmianami w europejskich ramach ochrony danych osobowych (3) Komisja zbada sposoby: wzmocnienia zasady minimalizacji danych, poprawy metod faktycznego korzystania z prawa do dostępu do danych, ich poprawiania, usuwania lub blokowania ( np. poprzez wprowadzenie terminów na odpowiedź na wnioski osób fizycznych, umożliwienie korzystania z praw za pomocą środków elektronicznych lub zapewnienie, że korzystanie z praw do dostępu powinno być co do zasady bezpłatne, wyjaśnienia tzw. „prawa do bycia zapomnianym” tzn. prawa osób fizycznych do spowodowania usunięcia ich danych oraz zaprzestania ich przetwarzania, jeżeli przestały być potrzebne do zgodnych z prawem celów np. sytuacja, w której przetwarzanie odbywa się na podstawie zgody danej osoby, jeśli ta wycofała swoją zgodę lub skończył się okres przechowywania danych

95 Dyskusja nad zmianami w europejskich ramach ochrony danych osobowych (4) uzupełnienie praw osób, których dane dotyczą przez zapewnienie „przenoszalności danych” tzn. wyraźne wskazanie praw osób fizycznych do wycofania swoich danych (np. zdjęć lub listy przyjaciół) z jednej aplikacji lub usługi, tak by można je było przenieść do innej, w zakresie, w jakim jest to technicznie możliwe, bez przeszkód ze strony administratorów danych Komisja rozważy: czy należy uznać inne kategorie danych np. dane genetyczne, za „dane szczególnie chronione”, dalszą harmonizację warunków umożliwiających przetwarzanie kategorii danych szczególnie chronionych, znaczenie zgody i zgody dorozumianej zwłaszcza w środowisku internetowym, system notyfikacji (art. 18 i 19 dyrektywy) – zharmonizowany i uproszczony system doprowadziłby do ograniczenia kosztów, obciążeń administratorów, zwłaszcza dla podmiotów działających w wielu państwach członkowskich

96 Biuro Generalnego Inspektora Ochrony Danych Osobowych ul. Stawki 2, Warszawa tel. (0 22) fax. (0 22) Dziękuję za uwagę


Pobierz ppt "Generalny Inspektor Ochrony Danych Osobowych ul. Stawki 2, 00-193 Warszawa Zasady ochrony danych osobowych Bogusława."

Podobne prezentacje


Reklamy Google