Ochrona danych osobowych

Slides:



Advertisements
Podobne prezentacje
URZĄD MARSZAŁKOWSKI WOJEWÓDZTWA ŚWIĘTOKRZYSKIEGO
Advertisements

Wyciąg z dokumentacji związanej z ochroną danych osobowych uczestników projektu Akademia uczniowska przetwarzanych w ramach zbioru PEFS 2007 i obowiązującej.
Katowice, dnia 2 października 2012 roku
[Main presentation title here – Verdana – 16 font]
Kompleksowe zarządzanie bezpieczeństwem informacji
Michał Sztąberek iSecure Sp. z o.o.
Rodzaje danych i podstawy prawne ich przetwarzania w branży ubezpieczeniowej adw. dr Paweł Litwiński 1 1.
Problemy w stosowaniu przepisów o ochronie danych osobowych z perspektywy zakładów ubezpieczeń Warszawa, 21 maja 2010 r.
Emilia Stępień, Bird&Bird Warszawa, 21 maja 2010
Ochrona konsumencka dla osoby, na której rachunek zawarto umowę ubezpieczenia Dr Marcin Orlicki, LL.M. UAM Poznań
Najważniejsze prace legislacyjne dotyczące problematyki społeczeństwa informacyjnego zakończone w 2001 r. Grażyna Omarska p.o. Dyrektor Departamentu Systemów.
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
Marketing bezpośredni – jak kontaktować się z klientem zgodnie z prawem Warszawa, 28 maja 2009r.
Ochrona danych osobowych
Wybrane aspekty prawne udostępniania danych osobowych w sektorze ubezpieczeń Dr Arwid Mednis radca prawny Warszawa 2012 r.
Aktualne zagadnienia prawne.
Szkolenie w zakresie ochrony danych osobowych
OCHRONA DANYCH OSOBOWYCH -
Stypendium Marii Curie
REJESTR DZIAŁAŃ RATOWNICZYCH
Konkursowe portale społecznościowe w świetle polskiego prawa
Dane Osobowe - prezentacja zrealizowana przez Katarzynę Malinowską w ramach projektu „Twoje Dane – Twoja sprawa”
OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski
Ochrona danych osobowych w systemie prawa polskiego (1)
Rejestracja Zbioru Danych w GIODO.
PAŃSTWOWA INSPEKCJA SANITARNA
Ochrona danych osobowych w ngo
„UMOWY ŚMIECIOWE” W ŚWIETLE USTAWY
OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski
Ochrona danych osobowych
Dyrektor Departamentu Orzecznictwa, Legislacji i Skarg
Zespół Szkół w Rzepedzi Gimnazjum
Ochrona danych osobowych: wybrane aspekty
Usługi BDO - odpowiedź na realne potrzeby rynku
Zasady ochrony prywatności i danych osobowych pracownika
Podstawowe akty prawne dotyczące zadań realizowanych dla cudzoziemców
OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski
OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski
FAKTURY VAT 2014 Podlaski Urząd Skarbowy w Białymstoku
VIII. POSTĘPOWANIE ADMINISTRACYJNE Zmierza do wymuszenia na administratorze realizacji obowiązków nałożonych prawem.
Aleph Raporty, raport danych osobowych, ubytki OPAC.
Pracownicze dane osobowe
Ochrona danych osobowych i informacji niejawnych
Prawo ochrony konsumentów Wykład 8. rozumiemy umowę zawartą z konsumentem w ramach zorganizowanego systemu zawierania umów na odległość, bez jednoczesnej.
Zgłaszanie prac geodezyjnych
OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski
 Przedmiotem zamówienia jest wykonanie usług ochroniarskich i usług portierskich na terenie domów pomocy społecznej, wchodzących.
Ochrona danych osobowych w administracji publicznej
DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH dr hab. Mariusz Jagielski
Reglamentacja procesu budowy
Ochrona danych osobowych i konsekwencje jej nieprzestrzegania
Procedura rejestracji firmy Przed zarejestrowaniem firmy, ale kiedy nabrała ona już określonych kształtów przedsiębiorca powinien:  zdecydować co będzie.
Współpraca Miasta Poznania z organizacjami pozarządowymi Oddział koordynacji współpracy z organizacjami pozarządowymi.
Rada szkoleniowa „Cyfrowe bezpieczeństwo danych osobowych w szkole”
Ideas Loading Program grantowy
Pracownicze dane osobowe
Lekarska ambulatoryjna opieka rehabilitacyjna
O ochronie danych osobowych
Wydział Prawa, Administracji i Ekonomii
Co się zmienia w systemie ochrony danych osobowych w świetle RODO
Podmioty prawa pracy mgr Sabina Pochopień.
Ochrona danych osobowych w miejscu pracy poradnik dla pracodawców
Przetwarzanie danych osobowych - dokumentacja
Zmiany związane z wejściem w życie Rozporządzenia o Ochronie Danych Osobowych (RODO) stosowane od dnia r.
Podstawy prawa pracy Zajęcia nr 1.
Podstawy prawa pracy i Zabezpieczenia społecznego
OCHRONA DANYCH OSOBOWYCH Andrzej Rybus-Tołłoczko
Klauzula informacyjna
KREDYT KONSUMENCKI OCHRONA KONSUMENTA mgr Barbara Trybulińska.
Zapis prezentacji:

Ochrona danych osobowych TRAPLE KONARSKI I PODRECKI K A N C E L A R I A A D W O K A C K A S . C . Ochrona danych osobowych Paweł Litwiński Pawel.Litwinski@traple.pl

Agenda Akty prawne regulujące zasady przetwarzania danych osobowych: ustawa o ochronie danych osobowych ustawy szczególne Podstawowe pojęcia ustawy o ochronie danych osobowych Zasady przetwarzania danych osobowych: Konieczność wykazania podstawy prawnej przetwarzania danych Obowiązek informacyjny Obowiązek rejestracyjny Obowiązek zabezpieczenia zbiorów danych osobowych Ograniczenia przetwarzania niektórych kategorii danych osobowych

Przetwarzanie danych osobowych – ramy prawne Ustawa z 19 sierpnia 1997 r. o ochronie danych osobowych (uodo): Wzorowana na Dyrektywie 95/46/EC w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych Ustawa o generalnym charakterze – znajduje zastosowanie do każdych czynności „przetwarzania danych osobowych” Art. 5 uodo: Jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw. Ustawa z 2 marca 2000 r. o ochronie niektórych praw konsumentów – ograniczenie wykorzystania niektórych danych osobowych w kontaktach z konsumentami Ustawa z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną – zasady przetwarzania danych osobowych w sieci Internet

Podstawowe pojęcia uodo (1) Dane osobowe: Art. 6. 1. uodo: za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej Dane osobowe dotyczą wyłącznie osób fizycznych Danymi osobowymi mogą być wszelkie informacje Kryterium identyfikowalności osoby jako podstawowa cecha danych osobowych Ograniczenie zakresu pojęcia danych osobowych za pomocą kryterium nadmiernych kosztów, czasu lub działań Oceny, czy informacja ma charakter danych osobowych, należy dokonywać w odniesieniu do konkretnego administratora danych

Podstawowe pojęcia uodo (2) Informacje o przedsiębiorcach także mogą być danymi osobowymi: Informacje o osobach fizycznych prowadzących działalność gospodarczą Informacje o wspólnikach spółki cywilnej Informacje o osobach prawnych nigdy nie będą danymi osobowymi! Adres poczty elektronicznej także może być daną osobową: Adresy anonimowe, np. abc@onet.pl Adresy płatne, np. p_litwinski@onet.pl Adresy związane z zatrudnieniem lub prowadzeniem działalności gospodarczej, np. pawel.litwinski@traple.pl Zasady przetwarzania adresów poczty elektronicznej

Podstawowe pojęcia uodo (3) Przetwarzanie danych osobowych: Art. 7. 2. uodo: jakiekolwiek operacje wykonywane na danych osobowych Usuwanie danych także jest przetwarzaniem danych osobowych Administrator danych osobowych: Art. 7. 4. uodo: podmiot, który decyduje o celach i środkach przetwarzania danych osobowych Administrator danych a podmiot przetwarzający dane na zlecenie administratora Umowa zlecenia przetwarzania danych osobowych Forma pisemna Określenie w umowie zakresu powierzenia przetwarzania danych

Podstawy przetwarzania danych osobowych (1) Podstawy przetwarzania danych osobowych przez podmioty z sektora prywatnego (art. 23 ust. 1 uodo): Zgoda osoby, której dane dotyczą Przetwarzanie danych w związku z umową zawartą z osobą, której dane dotyczą Usprawiedliwiony cel administratora danych osobowych Wszystkie podstawy przetwarzania danych osobowych są równoważne Dla zgodnego z ustawą przetwarzania danych osobowych wystarczy istnienie jednej przesłanki

Podstawy przetwarzania danych osobowych (2) Zgoda na przetwarzanie danych osobowych musi zawierać (art. 24 uodo): Informację o dobrowolnym podaniu danych osobowych Wskazanie pełnej nazwy i siedziby administratora danych Cel przetwarzania danych (np. cel marketingowy) W przypadku zamiaru przekazywania danych innym podmiotom lub przekazywania za granicę – informacje o potencjalnych odbiorcach lub kategoriach odbiorców danych Informację o prawie wglądu do danych oraz ich poprawiania Zgoda na przetwarzanie danych osobowych musi być wyrażona dobrowolnie: Zakaz domniemania udzielenia zgody Zgoda na przetwarzanie danych osobowych jako element umowy

Podstawy przetwarzania danych osobowych (3) Forma udzielenia zgody na przetwarzanie danych osobowych – klauzula zgody (klauzula informacyjna): Wyrażam dobrowolną zgodę na przetwarzanie moich danych osobowych w celach marketingowych przez ... z siedzibą w ..., przy ul. …. Moje dane mogą być udostępniane innym podmiotom z branży ... Przysługuje mi prawo wglądu oraz prawo poprawiania moich danych osobowych. Zasada związania treścią udzielonej zgody: Cel przetwarzania Zakres udzielonej zgody

Podstawy przetwarzania danych osobowych (4) Przetwarzanie danych w związku z zawieraniem i wykonywaniem umów: Gdy jest to niezbędne do zawarcia umowy z osobą, której dane dotyczą Gdy jest to niezbędne do realizacji umowy z osobą, której dane dotyczą Brak konieczności ubiegania się o zgodę, jeżeli przetwarzanie danych następuje wyłącznie w związku z umową Przetwarzanie danych zawartych w umowie do innych celów – konieczność wykazania istnienia odrębnej podstawy przetwarzania

Podstawy przetwarzania danych osobowych (5) Pojęcie usprawiedliwionego celu administratora danych osobowych: Marketing bezpośredni własnych produktów lub usług Dochodzenie roszczeń z tytułu prowadzonej działalności Ograniczenia pojęcia usprawiedliwionego celu – niedopuszczalny gdy narusza prawa i wolności innej osoby, np. prawo do prywatności Ograniczenia przetwarzania danych na podstawie usprawiedliwionego celu w innych ustawach: Art. 6 ust. 3 ustawy o ochronie niektórych praw konsumentów – zakaz przesyłania ofert za pomocą m. in. Listów i faksów bez zgody konsumenta Art. 10 ustawy o świadczeniu usług drogą elektroniczną – zakaz spammingu, czyli niezamówionej informacji o charakterze handlowym

Obowiązek informacyjny (1) Zbieranie danych bezpośrednio od osób, których dane dotyczą (art. 24 uodo): Dobrowolne lub obowiązkowe podanie danych osobowych Pełna nazwa i siedziba administratora danych Cel przetwarzania danych W przypadku zamiaru przekazywania danych innym podmiotom lub przekazywania za granicę – informacje o potencjalnych odbiorcach lub kategoriach odbiorców danych Prawo wglądu do danych oraz ich poprawiania W praktyce realizowany przez klauzulę informacyjną (klauzulę zgody)

Obowiązek informacyjny (2) Zbieranie danych nie od osób, których dane dotyczą (art. 25 uodo) – dodatkowo informacje o: Źródle danych Prawie sprzeciwu Przez cały okres przetwarzania danych osoba, której dane są przetwarzane, ma prawo do uzyskania szczegółowych informacji o: Administratorze danych Celu, zakresie i sposobie przetwarzania danych Treści przetwarzanych danych Sposobie udostępniania danych Odbiorcach danych

Obowiązek rejestracyjny Zasada ogólna (art. 40 uodo) – administrator danych ma obowiązek zgłosić zbiór danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych - GIODO) Wyjątki (art. 43 uodo) – m. in.: Dane pracowników Przetwarzane wyłącznie w celach rozliczeń finansowych Dane przetwarzane jednorazowo Obowiązek rejestracyjny należy spełnić przed rozpoczęciem przetwarzania danych osobowych Obowiązek rejestracyjny dotyczy tylko zbiorów danych Sposób spełnienia obowiązku rejestracyjnego: Zgłoszenie zbioru do rejestracji GIODO Formularz rejestracyjny Załączniki Administrator danych ma obowiązek zgłosić zbiór danych osobowych do rejestracji – konsekwencje

Obowiązek zabezpieczenia zbiorów danych (1) Zróżnicowany w zależności od tego, czy dane przetwarzane są w systemie informatycznym Obowiązek ciąży na administratorze danych oraz na podmiocie przetwarzającym dane na zlecenie Treść obowiązku: Zabezpieczenie danych przed udostępnieniem osobom niepowołanym Zabezpieczenie danych przed ich zabraniem przez osobę niepowołaną Zabezpieczenie przed uszkodzeniem danych Zabezpieczenie przed utratą danych Zabezpieczenie przed zniszczeniem danych Zabezpieczenie przed zmianą danych Zabezpieczenie przed przetwarzaniem danych z naruszeniem przepisów uodo

Obowiązek zabezpieczenia zbiorów danych (2) Przetwarzanie danych w systemie informatycznym – szczegółowe obowiązki nałożone przez Rozporządzenie MSWiA z 3 czerwca 1998 r.: Opracowanie Instrukcji postępowania w sytuacji naruszenia ochrony danych osobowych Opracowanie Instrukcji zarządzania systemem informatycznym Spełnienie szczegółowo określonych wymagań techniczno – organizacyjnych systemu informatycznego Obowiązek ustanowienia Administratora Bezpieczeństwa Informacji: Osoba odpowiedzialna za bezpieczeństwo danych Ustawa nie określa sposobu powołania – w praktyce powinna być zatrudniona na podstawie umowy o pracę

Dane osobowe w firmie – podsumowanie (1) Kategorie najczęściej przetwarzanych danych: Dane osobowe pracowników Dane przetwarzane w celu wystawienia faktury i dokonania rozliczeń finansowych Dane klientów przetwarzane w związku z wykonywaniem umów Dane przetwarzane w celach marketingowych. Dane osobowe pracowników w związku z zatrudnieniem: Nie jest konieczne posiadanie zgody w celu ich przetwarzania, także dotyczy to osób ubiegających się o pracę (rekrutacja) Nie ma obowiązku zgłaszania zbioru do rejestracji Obowiązek informacyjny oraz zabezpieczenie – na zasadach ogólnych Bez zgody pracownika dane nie mogą być udostępniane innym podmiotom

Dane osobowe w firmie – podsumowanie (2) Dane przetwarzane w celu wystawienia faktury i dokonania rozliczeń finansowych : Nie wymagają zgody na przetwarzanie, gdyż przetwarzane są w celu wykonania (rozliczenia) umowy W przypadku dochodzenia roszczeń na drodze sądowej – klauzula usprawiedliwionego celu Nie ma obowiązku zgłaszania zbioru do rejestracji Obowiązek informacyjny oraz zabezpieczenie – na zasadach ogólnych Bez zgody osoby zainteresowanej nie mogą być udostępniane Dane klientów przetwarzane w związku z wykonywaniem umów : Nie wymagają zgody na przetwarzanie, gdyż przetwarzane są w celu wykonania umowy Jeżeli dane nie tworzą zbioru danych (nie zostały uporządkowane), nie ma obowiązku zgłaszania zbioru do rejestracji

Dane osobowe w firmie – podsumowanie (2) Dane przetwarzane w celach marketingowych: Wymagają zgody na przetwarzanie danych, chyba że są przetwarzane w ramach usprawiedliwionego celu administratora danych – uzyskanie zgody jest jednakże zalecane Powinny zostać zgłoszone do rejestracji, chyba że są przetwarzane jednorazowo, np. na potrzeby jednej akcji promocyjnej Obowiązek informacyjny oraz zabezpieczenie – na zasadach ogólnych Mogą być udostępniane za zgodą.

Kontakt z prelegentem: Paweł Litwiński pawel.litwinski@traple.pl Traple Konarski i Podrecki Kancelaria Adwokacka s.c. ul. B. Prusa 30/2 30-117 Kraków tel. (012) 427 23 98, (012) 427 32 74 fax (012) 427 22 53