Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

T RAPLE K ONARSKI I P ODRECKI K A N C E L A R I A A D W O K A C K A S. C. Ochrona danych osobowych Paweł Litwiński

Podobne prezentacje


Prezentacja na temat: "T RAPLE K ONARSKI I P ODRECKI K A N C E L A R I A A D W O K A C K A S. C. Ochrona danych osobowych Paweł Litwiński"— Zapis prezentacji:

1 T RAPLE K ONARSKI I P ODRECKI K A N C E L A R I A A D W O K A C K A S. C. Ochrona danych osobowych Paweł Litwiński

2 Agenda Akty prawne regulujące zasady przetwarzania danych osobowych: – ustawa o ochronie danych osobowych – ustawy szczególne Podstawowe pojęcia ustawy o ochronie danych osobowych Zasady przetwarzania danych osobowych: – Konieczność wykazania podstawy prawnej przetwarzania danych – Obowiązek informacyjny – Obowiązek rejestracyjny – Obowiązek zabezpieczenia zbiorów danych osobowych Ograniczenia przetwarzania niektórych kategorii danych osobowych

3 Przetwarzanie danych osobowych – ramy prawne Ustawa z 19 sierpnia 1997 r. o ochronie danych osobowych (uodo): – Wzorowana na Dyrektywie 95/46/EC w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych – Ustawa o generalnym charakterze – znajduje zastosowanie do każdych czynności przetwarzania danych osobowych – Art. 5 uodo: Jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw. Ustawa z 2 marca 2000 r. o ochronie niektórych praw konsumentów – ograniczenie wykorzystania niektórych danych osobowych w kontaktach z konsumentami Ustawa z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną – zasady przetwarzania danych osobowych w sieci Internet

4 Podstawowe pojęcia uodo (1) Dane osobowe: – Art uodo: za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej – Dane osobowe dotyczą wyłącznie osób fizycznych – Danymi osobowymi mogą być wszelkie informacje – Kryterium identyfikowalności osoby jako podstawowa cecha danych osobowych – Ograniczenie zakresu pojęcia danych osobowych za pomocą kryterium nadmiernych kosztów, czasu lub działań – Oceny, czy informacja ma charakter danych osobowych, należy dokonywać w odniesieniu do konkretnego administratora danych

5 Podstawowe pojęcia uodo (2) Informacje o przedsiębiorcach także mogą być danymi osobowymi: – Informacje o osobach fizycznych prowadzących działalność gospodarczą – Informacje o wspólnikach spółki cywilnej Informacje o osobach prawnych nigdy nie będą danymi osobowymi! Adres poczty elektronicznej także może być daną osobową: – Adresy anonimowe, np. – Adresy płatne, np. – Adresy związane z zatrudnieniem lub prowadzeniem działalności gospodarczej, np. – Zasady przetwarzania adresów poczty elektronicznej

6 Podstawowe pojęcia uodo (3) Przetwarzanie danych osobowych: – Art uodo: jakiekolwiek operacje wykonywane na danych osobowych – Usuwanie danych także jest przetwarzaniem danych osobowych Administrator danych osobowych: – Art uodo: podmiot, który decyduje o celach i środkach przetwarzania danych osobowych – Administrator danych a podmiot przetwarzający dane na zlecenie administratora – Umowa zlecenia przetwarzania danych osobowych Forma pisemna Określenie w umowie zakresu powierzenia przetwarzania danych

7 Podstawy przetwarzania danych osobowych (1) Podstawy przetwarzania danych osobowych przez podmioty z sektora prywatnego (art. 23 ust. 1 uodo): – Zgoda osoby, której dane dotyczą – Przetwarzanie danych w związku z umową zawartą z osobą, której dane dotyczą – Usprawiedliwiony cel administratora danych osobowych Wszystkie podstawy przetwarzania danych osobowych są równoważne Dla zgodnego z ustawą przetwarzania danych osobowych wystarczy istnienie jednej przesłanki

8 Podstawy przetwarzania danych osobowych (2) Zgoda na przetwarzanie danych osobowych musi zawierać (art. 24 uodo): – Informację o dobrowolnym podaniu danych osobowych – Wskazanie pełnej nazwy i siedziby administratora danych – Cel przetwarzania danych (np. cel marketingowy) – W przypadku zamiaru przekazywania danych innym podmiotom lub przekazywania za granicę – informacje o potencjalnych odbiorcach lub kategoriach odbiorców danych – Informację o prawie wglądu do danych oraz ich poprawiania Zgoda na przetwarzanie danych osobowych musi być wyrażona dobrowolnie: – Zakaz domniemania udzielenia zgody – Zgoda na przetwarzanie danych osobowych jako element umowy

9 Podstawy przetwarzania danych osobowych (3) Forma udzielenia zgody na przetwarzanie danych osobowych – klauzula zgody (klauzula informacyjna): Wyrażam dobrowolną zgodę na przetwarzanie moich danych osobowych w celach marketingowych przez... z siedzibą w..., przy ul. …. Moje dane mogą być udostępniane innym podmiotom z branży... Przysługuje mi prawo wglądu oraz prawo poprawiania moich danych osobowych. Zasada związania treścią udzielonej zgody: – Cel przetwarzania – Zakres udzielonej zgody

10 Podstawy przetwarzania danych osobowych (4) Przetwarzanie danych w związku z zawieraniem i wykonywaniem umów: – Gdy jest to niezbędne do zawarcia umowy z osobą, której dane dotyczą – Gdy jest to niezbędne do realizacji umowy z osobą, której dane dotyczą Brak konieczności ubiegania się o zgodę, jeżeli przetwarzanie danych następuje wyłącznie w związku z umową Przetwarzanie danych zawartych w umowie do innych celów – konieczność wykazania istnienia odrębnej podstawy przetwarzania

11 Podstawy przetwarzania danych osobowych (5) Pojęcie usprawiedliwionego celu administratora danych osobowych: – Marketing bezpośredni własnych produktów lub usług – Dochodzenie roszczeń z tytułu prowadzonej działalności Ograniczenia pojęcia usprawiedliwionego celu – niedopuszczalny gdy narusza prawa i wolności innej osoby, np. prawo do prywatności Ograniczenia przetwarzania danych na podstawie usprawiedliwionego celu w innych ustawach: – Art. 6 ust. 3 ustawy o ochronie niektórych praw konsumentów – zakaz przesyłania ofert za pomocą m. in. Listów i faksów bez zgody konsumenta – Art. 10 ustawy o świadczeniu usług drogą elektroniczną – zakaz spammingu, czyli niezamówionej informacji o charakterze handlowym

12 Obowiązek informacyjny (1) Zbieranie danych bezpośrednio od osób, których dane dotyczą (art. 24 uodo): – Dobrowolne lub obowiązkowe podanie danych osobowych – Pełna nazwa i siedziba administratora danych – Cel przetwarzania danych – W przypadku zamiaru przekazywania danych innym podmiotom lub przekazywania za granicę – informacje o potencjalnych odbiorcach lub kategoriach odbiorców danych – Prawo wglądu do danych oraz ich poprawiania W praktyce realizowany przez klauzulę informacyjną (klauzulę zgody)

13 Obowiązek informacyjny (2) Zbieranie danych nie od osób, których dane dotyczą (art. 25 uodo) – dodatkowo informacje o: – Źródle danych – Prawie sprzeciwu Przez cały okres przetwarzania danych osoba, której dane są przetwarzane, ma prawo do uzyskania szczegółowych informacji o: – Administratorze danych – Celu, zakresie i sposobie przetwarzania danych – Treści przetwarzanych danych – Sposobie udostępniania danych – Odbiorcach danych

14 Obowiązek rejestracyjny Zasada ogólna (art. 40 uodo) – administrator danych ma obowiązek zgłosić zbiór danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych - GIODO) Wyjątki (art. 43 uodo) – m. in.: – Dane pracowników – Przetwarzane wyłącznie w celach rozliczeń finansowych – Dane przetwarzane jednorazowo Obowiązek rejestracyjny należy spełnić przed rozpoczęciem przetwarzania danych osobowych Obowiązek rejestracyjny dotyczy tylko zbiorów danych Sposób spełnienia obowiązku rejestracyjnego: – Zgłoszenie zbioru do rejestracji GIODO – Formularz rejestracyjny – Załączniki Administrator danych ma obowiązek zgłosić zbiór danych osobowych do rejestracji – konsekwencje

15 Obowiązek zabezpieczenia zbiorów danych (1) Zróżnicowany w zależności od tego, czy dane przetwarzane są w systemie informatycznym Obowiązek ciąży na administratorze danych oraz na podmiocie przetwarzającym dane na zlecenie Treść obowiązku: – Zabezpieczenie danych przed udostępnieniem osobom niepowołanym – Zabezpieczenie danych przed ich zabraniem przez osobę niepowołaną – Zabezpieczenie przed uszkodzeniem danych – Zabezpieczenie przed utratą danych – Zabezpieczenie przed zniszczeniem danych – Zabezpieczenie przed zmianą danych – Zabezpieczenie przed przetwarzaniem danych z naruszeniem przepisów uodo

16 Obowiązek zabezpieczenia zbiorów danych (2) Przetwarzanie danych w systemie informatycznym – szczegółowe obowiązki nałożone przez Rozporządzenie MSWiA z 3 czerwca 1998 r.: – Opracowanie Instrukcji postępowania w sytuacji naruszenia ochrony danych osobowych – Opracowanie Instrukcji zarządzania systemem informatycznym – Spełnienie szczegółowo określonych wymagań techniczno – organizacyjnych systemu informatycznego Obowiązek ustanowienia Administratora Bezpieczeństwa Informacji: – Osoba odpowiedzialna za bezpieczeństwo danych – Ustawa nie określa sposobu powołania – w praktyce powinna być zatrudniona na podstawie umowy o pracę

17 Dane osobowe w firmie – podsumowanie (1) Kategorie najczęściej przetwarzanych danych: – Dane osobowe pracowników – Dane przetwarzane w celu wystawienia faktury i dokonania rozliczeń finansowych – Dane klientów przetwarzane w związku z wykonywaniem umów – Dane przetwarzane w celach marketingowych. Dane osobowe pracowników w związku z zatrudnieniem: – Nie jest konieczne posiadanie zgody w celu ich przetwarzania, także dotyczy to osób ubiegających się o pracę (rekrutacja) – Nie ma obowiązku zgłaszania zbioru do rejestracji – Obowiązek informacyjny oraz zabezpieczenie – na zasadach ogólnych – Bez zgody pracownika dane nie mogą być udostępniane innym podmiotom

18 Dane osobowe w firmie – podsumowanie (2) Dane przetwarzane w celu wystawienia faktury i dokonania rozliczeń finansowych : – Nie wymagają zgody na przetwarzanie, gdyż przetwarzane są w celu wykonania (rozliczenia) umowy – W przypadku dochodzenia roszczeń na drodze sądowej – klauzula usprawiedliwionego celu – Nie ma obowiązku zgłaszania zbioru do rejestracji – Obowiązek informacyjny oraz zabezpieczenie – na zasadach ogólnych – Bez zgody osoby zainteresowanej nie mogą być udostępniane Dane klientów przetwarzane w związku z wykonywaniem umów : – Nie wymagają zgody na przetwarzanie, gdyż przetwarzane są w celu wykonania umowy – Jeżeli dane nie tworzą zbioru danych (nie zostały uporządkowane), nie ma obowiązku zgłaszania zbioru do rejestracji – Obowiązek informacyjny oraz zabezpieczenie – na zasadach ogólnych – Bez zgody osoby zainteresowanej nie mogą być udostępniane

19 Dane osobowe w firmie – podsumowanie (2) Dane przetwarzane w celach marketingowych: – Wymagają zgody na przetwarzanie danych, chyba że są przetwarzane w ramach usprawiedliwionego celu administratora danych – uzyskanie zgody jest jednakże zalecane – Powinny zostać zgłoszone do rejestracji, chyba że są przetwarzane jednorazowo, np. na potrzeby jednej akcji promocyjnej – Obowiązek informacyjny oraz zabezpieczenie – na zasadach ogólnych – Mogą być udostępniane za zgodą.

20 Kontakt z prelegentem: Paweł Litwiński Traple Konarski i Podrecki Kancelaria Adwokacka s.c. ul. B. Prusa 30/ Kraków tel. (012) , (012) fax (012)


Pobierz ppt "T RAPLE K ONARSKI I P ODRECKI K A N C E L A R I A A D W O K A C K A S. C. Ochrona danych osobowych Paweł Litwiński"

Podobne prezentacje


Reklamy Google