Ochrona danych osobowych TRAPLE KONARSKI I PODRECKI K A N C E L A R I A A D W O K A C K A S . C . Ochrona danych osobowych Paweł Litwiński Pawel.Litwinski@traple.pl

Agenda Akty prawne regulujące zasady przetwarzania danych osobowych: ustawa o ochronie danych osobowych ustawy szczególne Podstawowe pojęcia ustawy o ochronie danych osobowych Zasady przetwarzania danych osobowych: Konieczność wykazania podstawy prawnej przetwarzania danych Obowiązek informacyjny Obowiązek rejestracyjny Obowiązek zabezpieczenia zbiorów danych osobowych Ograniczenia przetwarzania niektórych kategorii danych osobowych

Przetwarzanie danych osobowych – ramy prawne Ustawa z 19 sierpnia 1997 r. o ochronie danych osobowych (uodo): Wzorowana na Dyrektywie 95/46/EC w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych Ustawa o generalnym charakterze – znajduje zastosowanie do każdych czynności „przetwarzania danych osobowych” Art. 5 uodo: Jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw. Ustawa z 2 marca 2000 r. o ochronie niektórych praw konsumentów – ograniczenie wykorzystania niektórych danych osobowych w kontaktach z konsumentami Ustawa z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną – zasady przetwarzania danych osobowych w sieci Internet

Podstawowe pojęcia uodo (1) Dane osobowe: Art. 6. 1. uodo: za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej Dane osobowe dotyczą wyłącznie osób fizycznych Danymi osobowymi mogą być wszelkie informacje Kryterium identyfikowalności osoby jako podstawowa cecha danych osobowych Ograniczenie zakresu pojęcia danych osobowych za pomocą kryterium nadmiernych kosztów, czasu lub działań Oceny, czy informacja ma charakter danych osobowych, należy dokonywać w odniesieniu do konkretnego administratora danych

Podstawowe pojęcia uodo (2) Informacje o przedsiębiorcach także mogą być danymi osobowymi: Informacje o osobach fizycznych prowadzących działalność gospodarczą Informacje o wspólnikach spółki cywilnej Informacje o osobach prawnych nigdy nie będą danymi osobowymi! Adres poczty elektronicznej także może być daną osobową: Adresy anonimowe, np. abc@onet.pl Adresy płatne, np. p_litwinski@onet.pl Adresy związane z zatrudnieniem lub prowadzeniem działalności gospodarczej, np. pawel.litwinski@traple.pl Zasady przetwarzania adresów poczty elektronicznej

Podstawowe pojęcia uodo (3) Przetwarzanie danych osobowych: Art. 7. 2. uodo: jakiekolwiek operacje wykonywane na danych osobowych Usuwanie danych także jest przetwarzaniem danych osobowych Administrator danych osobowych: Art. 7. 4. uodo: podmiot, który decyduje o celach i środkach przetwarzania danych osobowych Administrator danych a podmiot przetwarzający dane na zlecenie administratora Umowa zlecenia przetwarzania danych osobowych Forma pisemna Określenie w umowie zakresu powierzenia przetwarzania danych

Podstawy przetwarzania danych osobowych (1) Podstawy przetwarzania danych osobowych przez podmioty z sektora prywatnego (art. 23 ust. 1 uodo): Zgoda osoby, której dane dotyczą Przetwarzanie danych w związku z umową zawartą z osobą, której dane dotyczą Usprawiedliwiony cel administratora danych osobowych Wszystkie podstawy przetwarzania danych osobowych są równoważne Dla zgodnego z ustawą przetwarzania danych osobowych wystarczy istnienie jednej przesłanki

Podstawy przetwarzania danych osobowych (2) Zgoda na przetwarzanie danych osobowych musi zawierać (art. 24 uodo): Informację o dobrowolnym podaniu danych osobowych Wskazanie pełnej nazwy i siedziby administratora danych Cel przetwarzania danych (np. cel marketingowy) W przypadku zamiaru przekazywania danych innym podmiotom lub przekazywania za granicę – informacje o potencjalnych odbiorcach lub kategoriach odbiorców danych Informację o prawie wglądu do danych oraz ich poprawiania Zgoda na przetwarzanie danych osobowych musi być wyrażona dobrowolnie: Zakaz domniemania udzielenia zgody Zgoda na przetwarzanie danych osobowych jako element umowy

Podstawy przetwarzania danych osobowych (3) Forma udzielenia zgody na przetwarzanie danych osobowych – klauzula zgody (klauzula informacyjna): Wyrażam dobrowolną zgodę na przetwarzanie moich danych osobowych w celach marketingowych przez ... z siedzibą w ..., przy ul. …. Moje dane mogą być udostępniane innym podmiotom z branży ... Przysługuje mi prawo wglądu oraz prawo poprawiania moich danych osobowych. Zasada związania treścią udzielonej zgody: Cel przetwarzania Zakres udzielonej zgody

Podstawy przetwarzania danych osobowych (4) Przetwarzanie danych w związku z zawieraniem i wykonywaniem umów: Gdy jest to niezbędne do zawarcia umowy z osobą, której dane dotyczą Gdy jest to niezbędne do realizacji umowy z osobą, której dane dotyczą Brak konieczności ubiegania się o zgodę, jeżeli przetwarzanie danych następuje wyłącznie w związku z umową Przetwarzanie danych zawartych w umowie do innych celów – konieczność wykazania istnienia odrębnej podstawy przetwarzania

Podstawy przetwarzania danych osobowych (5) Pojęcie usprawiedliwionego celu administratora danych osobowych: Marketing bezpośredni własnych produktów lub usług Dochodzenie roszczeń z tytułu prowadzonej działalności Ograniczenia pojęcia usprawiedliwionego celu – niedopuszczalny gdy narusza prawa i wolności innej osoby, np. prawo do prywatności Ograniczenia przetwarzania danych na podstawie usprawiedliwionego celu w innych ustawach: Art. 6 ust. 3 ustawy o ochronie niektórych praw konsumentów – zakaz przesyłania ofert za pomocą m. in. Listów i faksów bez zgody konsumenta Art. 10 ustawy o świadczeniu usług drogą elektroniczną – zakaz spammingu, czyli niezamówionej informacji o charakterze handlowym

Obowiązek informacyjny (1) Zbieranie danych bezpośrednio od osób, których dane dotyczą (art. 24 uodo): Dobrowolne lub obowiązkowe podanie danych osobowych Pełna nazwa i siedziba administratora danych Cel przetwarzania danych W przypadku zamiaru przekazywania danych innym podmiotom lub przekazywania za granicę – informacje o potencjalnych odbiorcach lub kategoriach odbiorców danych Prawo wglądu do danych oraz ich poprawiania W praktyce realizowany przez klauzulę informacyjną (klauzulę zgody)

Obowiązek informacyjny (2) Zbieranie danych nie od osób, których dane dotyczą (art. 25 uodo) – dodatkowo informacje o: Źródle danych Prawie sprzeciwu Przez cały okres przetwarzania danych osoba, której dane są przetwarzane, ma prawo do uzyskania szczegółowych informacji o: Administratorze danych Celu, zakresie i sposobie przetwarzania danych Treści przetwarzanych danych Sposobie udostępniania danych Odbiorcach danych

Obowiązek rejestracyjny Zasada ogólna (art. 40 uodo) – administrator danych ma obowiązek zgłosić zbiór danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych - GIODO) Wyjątki (art. 43 uodo) – m. in.: Dane pracowników Przetwarzane wyłącznie w celach rozliczeń finansowych Dane przetwarzane jednorazowo Obowiązek rejestracyjny należy spełnić przed rozpoczęciem przetwarzania danych osobowych Obowiązek rejestracyjny dotyczy tylko zbiorów danych Sposób spełnienia obowiązku rejestracyjnego: Zgłoszenie zbioru do rejestracji GIODO Formularz rejestracyjny Załączniki Administrator danych ma obowiązek zgłosić zbiór danych osobowych do rejestracji – konsekwencje

Obowiązek zabezpieczenia zbiorów danych (1) Zróżnicowany w zależności od tego, czy dane przetwarzane są w systemie informatycznym Obowiązek ciąży na administratorze danych oraz na podmiocie przetwarzającym dane na zlecenie Treść obowiązku: Zabezpieczenie danych przed udostępnieniem osobom niepowołanym Zabezpieczenie danych przed ich zabraniem przez osobę niepowołaną Zabezpieczenie przed uszkodzeniem danych Zabezpieczenie przed utratą danych Zabezpieczenie przed zniszczeniem danych Zabezpieczenie przed zmianą danych Zabezpieczenie przed przetwarzaniem danych z naruszeniem przepisów uodo

Obowiązek zabezpieczenia zbiorów danych (2) Przetwarzanie danych w systemie informatycznym – szczegółowe obowiązki nałożone przez Rozporządzenie MSWiA z 3 czerwca 1998 r.: Opracowanie Instrukcji postępowania w sytuacji naruszenia ochrony danych osobowych Opracowanie Instrukcji zarządzania systemem informatycznym Spełnienie szczegółowo określonych wymagań techniczno – organizacyjnych systemu informatycznego Obowiązek ustanowienia Administratora Bezpieczeństwa Informacji: Osoba odpowiedzialna za bezpieczeństwo danych Ustawa nie określa sposobu powołania – w praktyce powinna być zatrudniona na podstawie umowy o pracę

Dane osobowe w firmie – podsumowanie (1) Kategorie najczęściej przetwarzanych danych: Dane osobowe pracowników Dane przetwarzane w celu wystawienia faktury i dokonania rozliczeń finansowych Dane klientów przetwarzane w związku z wykonywaniem umów Dane przetwarzane w celach marketingowych. Dane osobowe pracowników w związku z zatrudnieniem: Nie jest konieczne posiadanie zgody w celu ich przetwarzania, także dotyczy to osób ubiegających się o pracę (rekrutacja) Nie ma obowiązku zgłaszania zbioru do rejestracji Obowiązek informacyjny oraz zabezpieczenie – na zasadach ogólnych Bez zgody pracownika dane nie mogą być udostępniane innym podmiotom

Dane osobowe w firmie – podsumowanie (2) Dane przetwarzane w celu wystawienia faktury i dokonania rozliczeń finansowych : Nie wymagają zgody na przetwarzanie, gdyż przetwarzane są w celu wykonania (rozliczenia) umowy W przypadku dochodzenia roszczeń na drodze sądowej – klauzula usprawiedliwionego celu Nie ma obowiązku zgłaszania zbioru do rejestracji Obowiązek informacyjny oraz zabezpieczenie – na zasadach ogólnych Bez zgody osoby zainteresowanej nie mogą być udostępniane Dane klientów przetwarzane w związku z wykonywaniem umów : Nie wymagają zgody na przetwarzanie, gdyż przetwarzane są w celu wykonania umowy Jeżeli dane nie tworzą zbioru danych (nie zostały uporządkowane), nie ma obowiązku zgłaszania zbioru do rejestracji

Dane osobowe w firmie – podsumowanie (2) Dane przetwarzane w celach marketingowych: Wymagają zgody na przetwarzanie danych, chyba że są przetwarzane w ramach usprawiedliwionego celu administratora danych – uzyskanie zgody jest jednakże zalecane Powinny zostać zgłoszone do rejestracji, chyba że są przetwarzane jednorazowo, np. na potrzeby jednej akcji promocyjnej Obowiązek informacyjny oraz zabezpieczenie – na zasadach ogólnych Mogą być udostępniane za zgodą.

Kontakt z prelegentem: Paweł Litwiński pawel.litwinski@traple.pl Traple Konarski i Podrecki Kancelaria Adwokacka s.c. ul. B. Prusa 30/2 30-117 Kraków tel. (012) 427 23 98, (012) 427 32 74 fax (012) 427 22 53