OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski
V OBOWIĄZKI ADMINISTRATORA DANYCH
A. OBOWIĄZEK DBANIA O INTERESY OSÓB KTÓRYCH DANE DOTYCZĄ
Przetwarzając dane o jakiejś osobie należy pamiętać, że zawsze możemy jej wyrządzić szkodę. STĄD: obowiązek dołożenia należytej staranności by tego uniknąć
czytaj: jeżeli szkoda powstanie będziemy rozliczeni z tego, czy przemyśleliśmy zagrożenia i podjęliśmy odpowiednie działania by ich uniknąć
w szczególności należy zwrócić uwagę na następujące kwestie (wypełnić następujące przesłanki):
a. przesłanka legalności trzeba sprawdzić, czy administrator spełnia choć jeden z ogólnych warunków przetwarzania
+ Zgoda osoby + Przepis prawa + Realizacja umowy + Dobro publiczne + Usprawiedliwiony cel administratora danych
b. przesłanka celu należy określić dla jakiego celu dane są przetwarzane
W TYM WZGLĘDZIE MUSIMY PAMIĘTAĆ BY: - cel był zgodny z prawem - dane były przetwarzane jedynie dla celu dla którego zostały zebrane - by były przetwarzane tylko takie dane, które są adekwatne do celu przetwarzania
W KONSEKWENCJI: - Administrator nie może swobodnie zmienić celu przetwarzania danych (bez względu na to na podstawie którego z ogólnych warunków dopuszczalności przetwarzania dane przetwarza).
Zmiana celu jest możliwa jedynie wyjątkowo, gdy nowym celem mają być badania naukowe, dydaktyczne, historyczne lub statystyczne (art. 26.2 uodo)
zmiana celu na inny niż określony w art. 26 u. o. d. o zmiana celu na inny niż określony w art. 26 u.o.d.o. nie jest możliwa byłoby to potraktowane jako odrębne przetwarzanie, a zatem wymagałoby odrębnej podstawy (warunku dopuszczalności przetwarzania)
- Administrator musi dołożyć staranności by podmiot, któremu dane udostępnia również przestrzegał celu dla którego zostały zebrane
c. przesłanka merytorycznej poprawności danych należy dołożyć staranności by posiadane przez nas dane były prawdziwe i aktualne
Wymaga się od administratora wdrożenia procedur, które to zagwarantują powinno być to uwzględnione w polityce bezpieczeństwa informacji oraz instrukcji zarządzania systemem informatycznym
d. przesłanka czasu przechowywania danych dane można przechowywać jedynie tak długo jak jest to konieczne dla osiągnięcia celu przetwarzania (potem powinny zostać usunięte)
UWAGA! ustawodawca może określić czas przechowywania pewnych kategorii danych
B. OBOWIĄZKI ZWIĄZANE ZE ZBIERANIEM DANYCH
Zbieranie danych pierwotne wtórne
Zbieranie pierwotne – to zbieranie bezpośrednio od osoby, której dane dotyczą Zbieranie wtórne – to zbieranie z dowolnego innego źródła
a. Zbieranie danych od osób których dotyczą (tzw a. Zbieranie danych od osób których dotyczą (tzw. pierwotne) skutkuje koniecznością wykonania TZW. PIERWOTNEGO OBOWIĄZKU INFORMACYJNEGO Art. 24 USTAWY:
Art. 24 1. W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych, 3) prawie dostępu do treści swoich danych oraz ich poprawiania, 4) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
2. Przepisu ust. 1 nie stosuje się, jeżeli: 1) 2. Przepisu ust. 1 nie stosuje się, jeżeli: 1) przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania, 2) osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1.
MOMENT POINFORMOWANIA: w trakcie zbierania FORMA jest dowolna ale na administratorze spoczywa obowiązek udowodnienia, że go wykonał
W praktyce administrator musi pomyśleć o przygotowaniu kwestionariusza personalnego uwzględniającego wymogi art.. 24 u.o.d.o. Podobnie, musi przyjąć jedno z możliwych rozwiązań spełniających wymogi ustawy odnośnie do własnych pracowników
b. Zbieranie danych z innych źródeł (tzw b. Zbieranie danych z innych źródeł (tzw. wtórne) skutkuje koniecznością wykonania TZW. WTÓRNEGO OBOWIĄZKU INFORMACYJNEGO Art. 25 USTAWY:
Art. 25 1. W przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych, 3) źródle danych, 4) prawie dostępu do treści swoich danych oraz ich poprawiania, 5) uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8.
2. Przepisu ust. 1 nie stosuje się, jeżeli: 1) 2. Przepisu ust. 1 nie stosuje się, jeżeli: 1) przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą, 2) uchylony 3) dane te są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą, a spełnienie wymagań określonych w ust. 1 wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania, 4) uchylony 5) dane są przetwarzane przez administratora, o którym mowa w art. 3 ust. 1 i ust. 2 pkt 1, na podstawie przepisów prawa, 6) osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1.
MOMENT POINFORMOWANIA: bezpośrednio po utrwaleniu danych “Utrwalenie danych” to druga po zebraniu danych czynność przetwarzania – polega na zapisaniu danych umożliwiających korzystanie z nich
CHARAKTER POINFORMOWANIA: zindywidualizowany – trzeba dotrzeć bezpośrednio do danej osoby. FORMA jest dowolna (ale na administratorze spoczywa obowiązek udowodnienia, że go wykonał)
W praktyce administrator powinien uwzględnić powyższy obowiązek w instrukcji zarządzania systemem informatycznym - najlepiej przygotować wzór w postaci załącznika szczegóły: dalej
C. OBOWIĄZEK REJESTRACYJNY
Co do zasady administrator powinien zbiór danych zarejestrować Co do zasady administrator powinien zbiór danych zarejestrować. Czyni to poprzez dokonanie zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych
UWAGA: rejestrujemy tylko zbiory danych
TERMIN: jeszcze przed rozpoczęciem przetwarzania należy rozumieć: natychmiast po zebraniu wszystkich informacji koniecznych do wypełnienia zgłoszenia
UWAGA: rozpocząć przetwarzanie można natychmiast po dokonaniu zgłoszenia (nie trzeba czekać na rejestrację)
Generalny Inspektor może jednak wydać decyzję o odmowie rejestracji zbioru danych
Jeżeli po usunięciu wad administrator ponownie zgłosi ten sam zbiór danych do rejestracji może rozpocząć ich przetwarzanie dopiero po zarejestrowaniu zbioru.
(UWAGA! PRZYPOMINAM) inne rozwiązanie w przypadku danych wrażliwych
jeżeli zbiór zawiera DANE WRAŻLIWE to rozpoczęcie przetwarzania danych z tego zbioru jest możliwe dopiero po zarejestrowaniu zbioru ZAŚWIADCZENIE O ZAREJESTROWANIU ZBIORU otrzymamy automatycznie
Nie wszystkie zbiory podlegają obowiązkowi rejestracyjnego. WYJĄTKI:
Nie trzeba zgłaszać zbiorów zawierających dane: 1) Nie trzeba zgłaszać zbiorów zawierających dane: 1) objętych tajemnicą państwową ze względu na obronność lub bezpieczeństwo państwa, ochronę życia i zdrowia ludzi, mienia lub bezpieczeństwa i porządku publicznego, 1a) które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności, 2) przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym, 2a) przetwarzanych przez Generalnego Inspektora Informacji Finansowej, 3) dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego.
4) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się, 5) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta, 6) tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego,
7) dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności, 8) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej, 9) powszechnie dostępnych, 10) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego, 11) przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.
D. OBOWIĄZEK ZABEZPIECZENIA ZBIORÓW DANYCH
Polega na wypełnieniu całego szeregu wymogów określonych w ustawie o ochronie danych osobowych oraz aktach wykonawczych do niej
WYRÓŻNIA SIĘ WYMOGI: a. o charakterze formalnym przygotowanie i wdrożenie odpowiednich dokumentów
- opracowanie i wdrożenie “polityki bezpieczeństwa informacji” - opracowanie i wdrożenie instrukcji zarządzania systemem informatycznym
b. o charakterze organizacyjnym stworzenie i wdrożenie odpowiednich procedur [na podstawie wyżej wymienionych dokumentów]
c. o charakterze personalnym powołanie odpowiednich stanowisk i nadanie pracownikom dokonującym przetwarzania specjalnych uprawnień
- wyznaczenie administratora bezpieczeństwa informacji, (art. 36 - wyznaczenie administratora bezpieczeństwa informacji, (art. 36.3 USTAWY) - dopuszczenie do przetwarzania danych wyłącznie osób posiadających upoważnienie nadane przez administratora danych (art.37 USTAWY), - prowadzenie przez administratora danych ewidencji osób upoważnionych do ich przetwarzania, (art. 39.1 USTAWY) .
d. o charakterze technicznym zastosowanie odpowiednich sprzętów i programów [to również powinno być wykazane w powyższych dokumentach]
E. OBOWIĄZKI ZWIĄZANE Z UDOSTĘPNIENIEM DANYCH
UWAGA: udostępnianie danych stanowi jeden z elementów przetwarzania danych. Oznacza to, że jeżeli spełniamy któryś z ogólnych warunków dokonywania przetwarzania to możemy także dokonywać udostępniania.
udostępnianie danych oznacza możliwość zapoznania się z ich treścią przez inny podmiot (administratora) przekazywanie danych w obrębie jednego podmiotu (administratora) nie stanowi udostępnienia danych
Uwaga: jeszcze do niedawna obowiązywała szczególna procedura udostępniania danych (art. 29 uodo) jednak od 7 marca 2011 r. została ona zniesiona
a zatem, od 7 marca 2011 można dane udostępniać jeżeli spełnione są ogólne wymogi przetwarzania z uodo
CZYLI: - odbiorca musi wykazać jedną z przesłanek przetwarzania (art CZYLI: - odbiorca musi wykazać jedną z przesłanek przetwarzania (art.. 23 lub art. 27) - administrator udostępniający dane musimy dbać o interesy osób, których dane dotyczą (art.26.1)
Przypomnijmy, to ostatnie oznacza w szczególności, że administrator musimy zadbać: - by dane były przetwarzane zgodnie z prawem - by cel przetwarzania nie uległ zmianie - by dane były adekwatne w stosunku do celu
w praktyce: musimy “sprawdzić” podmiot, któremu dane udostępniamy, uprawdopodobnić, że będzie on przetwarzał dane zgodnie z u.o.d.o.
przykładowo: zażądać wypisu z rejestru przedsiębiorców; określić w umowie cel przetwarzania danych; zażądać podania podstawy przetwarzania danych (art. 23 lub art.. 27 u.o.d.o.); uwzględnić w umowie realizację obowiązku informacyjnego (art. 25 u.o.d.o.),
Jeżeli jednak dane przekazujemy podmiotowi wiarygodnemu (np Jeżeli jednak dane przekazujemy podmiotowi wiarygodnemu (np. do ZUS, do Urzędu Skarbowego) to żadne specjalne wynikające z u.o.d.o. wymogi nie muszą być spełnione
Przypominam: oceniani będziemy za to czy dołożyliśmy należytej staranności w celu ochrony interesów podmiotu danych
E. SZCZEGÓLNE ZAKAZY
CO DO NUMERÓW EWIDENCJONUJĄCYCH (ART. 28)
Numery porządkowe stosowane w ewidencji ludności mogą zawierać tylko oznaczenie płci, daty urodzenia, numer nadania oraz liczbę kontrolną
Zabronione jest nadawanie ukrytych znaczeń elementom numerów porządkowych w systemach ewidencjonujących osoby fizyczne.
CO DO PODEJMOWANIA ZAUTOMATYZOWANYCH DECYZJI (ART. 26a)
Niedopuszczalne jest ostateczne rozstrzygnięcie indywidualnej sprawy osoby, której dane dotyczą, jeżeli jego treść jest wyłącznie wynikiem operacji na danych osobowych, prowadzonych w systemie informatycznym.
Chodzi o problem tzw. profilingu, gdy rozstrzygnięcie jest efektem przetworzenia PRZEZ PROGRAM informacji zebranych o osobie BEZ UDZIAŁU CZYNNIKA LUDZKIEGO
Jeśli takie rozstrzygnięcie zapadło podmiot danych może zażądać ponownego, indywidualnego rozstrzygnięcia sprawy (art. 32 ust. 1 pkt. 9)
Jednak prawo europejskie dopuszcza podejmowanie tego typu decyzji, gdy są oparte na pojedynczych, jasno określonych kryteriach
Wyjątek z polskiej u. o. d. o Wyjątek z polskiej u.o.d.o.: rozstrzygnięcie zostało podjęte podczas zawierania lub wykonywania umowy i uwzględnia wniosek osoby, której dane dotyczą
W takim przypadku podmiot danych może zażądać podania informacji o przesłankach podjęcia decyzji (art. 32 ust. 1 pkt. 5 lit. a)
koniec