Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski

Podobne prezentacje


Prezentacja na temat: "OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski"— Zapis prezentacji:

1 OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski

2 V OBOWIĄZKI ADMINISTRATORA DANYCH

3 A. OBOWIĄZEK DBANIA O INTERESY OSÓB KTÓRYCH DANE DOTYCZĄ

4 Przetwarzając dane o jakiejś osobie należy pamiętać, że zawsze możemy jej wyrządzić szkodę. STĄD: obowiązek dołożenia należytej staranności by tego uniknąć

5 czytaj: jeżeli szkoda powstanie będziemy rozliczeni z tego, czy przemyśleliśmy zagrożenia i podjęliśmy odpowiednie działania by ich uniknąć

6 w szczególności należy zwrócić uwagę na następujące kwestie (wypełnić następujące przesłanki):

7 a. przesłanka legalności trzeba sprawdzić, czy administrator spełnia choć jeden z ogólnych warunków przetwarzania

8 + Zgoda osoby + Przepis prawa + Realizacja umowy Dobro publiczne + Usprawiedliwiony cel administratora danych

9 b. przesłanka celu należy określić dla jakiego celu dane są przetwarzane

10 W TYM WZGLĘDZIE MUSIMY PAMIĘTAĆ BY: - cel był zgodny z prawem - dane były przetwarzane jedynie dla celu dla którego zostały zebrane - by były przetwarzane tylko takie dane, które są adekwatne do celu przetwarzania

11 W KONSEKWENCJI: - Administrator nie może swobodnie zmienić celu przetwarzania danych (bez względu na to na podstawie którego z ogólnych warunków dopuszczalności przetwarzania dane przetwarza).

12 Zmiana celu jest możliwa jedynie wyjątkowo, gdy nowym celem mają być badania naukowe, dydaktyczne, historyczne lub statystyczne (art uodo)

13 zmiana celu na inny niż określony w art. 26 u. o. d. o
zmiana celu na inny niż określony w art. 26 u.o.d.o. nie jest możliwa byłoby to potraktowane jako odrębne przetwarzanie, a zatem wymagałoby odrębnej podstawy (warunku dopuszczalności przetwarzania)

14 - Administrator musi dołożyć staranności by podmiot, któremu dane udostępnia również przestrzegał celu dla którego zostały zebrane

15 c. przesłanka merytorycznej poprawności danych należy dołożyć staranności by posiadane przez nas dane były prawdziwe i aktualne

16 Wymaga się od administratora wdrożenia procedur, które to zagwarantują powinno być to uwzględnione w polityce bezpieczeństwa informacji oraz instrukcji zarządzania systemem informatycznym

17 d. przesłanka czasu przechowywania danych dane można przechowywać jedynie tak długo jak jest to konieczne dla osiągnięcia celu przetwarzania (potem powinny zostać usunięte)

18 UWAGA! ustawodawca może określić czas przechowywania pewnych kategorii danych

19 B. OBOWIĄZKI ZWIĄZANE ZE ZBIERANIEM DANYCH

20 Zbieranie danych pierwotne wtórne

21 Zbieranie pierwotne – to zbieranie bezpośrednio od osoby, której dane dotyczą Zbieranie wtórne – to zbieranie z dowolnego innego źródła

22 a. Zbieranie danych od osób których dotyczą (tzw
a. Zbieranie danych od osób których dotyczą (tzw. pierwotne) skutkuje koniecznością wykonania TZW. PIERWOTNEGO OBOWIĄZKU INFORMACYJNEGO Art. 24 USTAWY:

23 Art W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych, 3) prawie dostępu do treści swoich danych oraz ich poprawiania, 4) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

24 2. Przepisu ust. 1 nie stosuje się, jeżeli: 1)
2. Przepisu ust. 1 nie stosuje się, jeżeli: 1) przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania, 2) osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1.

25 MOMENT POINFORMOWANIA: w trakcie zbierania FORMA jest dowolna ale na administratorze spoczywa obowiązek udowodnienia, że go wykonał

26 W praktyce administrator musi pomyśleć o przygotowaniu kwestionariusza personalnego uwzględniającego wymogi art.. 24 u.o.d.o. Podobnie, musi przyjąć jedno z możliwych rozwiązań spełniających wymogi ustawy odnośnie do własnych pracowników

27 b. Zbieranie danych z innych źródeł (tzw
b. Zbieranie danych z innych źródeł (tzw. wtórne) skutkuje koniecznością wykonania TZW. WTÓRNEGO OBOWIĄZKU INFORMACYJNEGO Art. 25 USTAWY:

28 Art W przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych, 3) źródle danych, 4) prawie dostępu do treści swoich danych oraz ich poprawiania, 5) uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8.

29 2. Przepisu ust. 1 nie stosuje się, jeżeli: 1)
2. Przepisu ust. 1 nie stosuje się, jeżeli: 1) przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą, 2) uchylony 3) dane te są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą, a spełnienie wymagań określonych w ust. 1 wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania, 4) uchylony 5) dane są przetwarzane przez administratora, o którym mowa w art. 3 ust. 1 i ust. 2 pkt 1, na podstawie przepisów prawa, 6) osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1.

30 MOMENT POINFORMOWANIA: bezpośrednio po utrwaleniu danych “Utrwalenie danych” to druga po zebraniu danych czynność przetwarzania – polega na zapisaniu danych umożliwiających korzystanie z nich

31 CHARAKTER POINFORMOWANIA: zindywidualizowany – trzeba dotrzeć bezpośrednio do danej osoby. FORMA jest dowolna (ale na administratorze spoczywa obowiązek udowodnienia, że go wykonał)

32 W praktyce administrator powinien uwzględnić powyższy obowiązek w instrukcji zarządzania systemem informatycznym - najlepiej przygotować wzór w postaci załącznika szczegóły: dalej

33 C. OBOWIĄZEK REJESTRACYJNY

34 Co do zasady administrator powinien zbiór danych zarejestrować
Co do zasady administrator powinien zbiór danych zarejestrować. Czyni to poprzez dokonanie zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych

35 UWAGA: rejestrujemy tylko zbiory danych

36 TERMIN: jeszcze przed rozpoczęciem przetwarzania należy rozumieć: natychmiast po zebraniu wszystkich informacji koniecznych do wypełnienia zgłoszenia

37 UWAGA: rozpocząć przetwarzanie można natychmiast po dokonaniu zgłoszenia (nie trzeba czekać na rejestrację)

38 Generalny Inspektor może jednak wydać decyzję o odmowie rejestracji zbioru danych

39 Jeżeli po usunięciu wad administrator ponownie zgłosi ten sam zbiór danych do rejestracji może rozpocząć ich przetwarzanie dopiero po zarejestrowaniu zbioru.

40 (UWAGA! PRZYPOMINAM) inne rozwiązanie w przypadku danych wrażliwych

41 jeżeli zbiór zawiera DANE WRAŻLIWE to rozpoczęcie przetwarzania danych z tego zbioru jest możliwe dopiero po zarejestrowaniu zbioru ZAŚWIADCZENIE O ZAREJESTROWANIU ZBIORU otrzymamy automatycznie

42 Nie wszystkie zbiory podlegają obowiązkowi rejestracyjnego. WYJĄTKI:

43 Nie trzeba zgłaszać zbiorów zawierających dane: 1)
Nie trzeba zgłaszać zbiorów zawierających dane: 1) objętych tajemnicą państwową ze względu na obronność lub bezpieczeństwo państwa, ochronę życia i zdrowia ludzi, mienia lub bezpieczeństwa i porządku publicznego, 1a) które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności, 2) przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym, 2a) przetwarzanych przez Generalnego Inspektora Informacji Finansowej, 3) dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego.

44 4) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się, 5) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta, 6) tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego,

45 7) dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności, 8) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej, 9) powszechnie dostępnych, 10) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego, 11) przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.

46 D. OBOWIĄZEK ZABEZPIECZENIA ZBIORÓW DANYCH

47 Polega na wypełnieniu całego szeregu wymogów określonych w ustawie o ochronie danych osobowych oraz aktach wykonawczych do niej

48 WYRÓŻNIA SIĘ WYMOGI: a. o charakterze formalnym przygotowanie i wdrożenie odpowiednich dokumentów

49 - opracowanie i wdrożenie “polityki bezpieczeństwa informacji” - opracowanie i wdrożenie instrukcji zarządzania systemem informatycznym

50 b. o charakterze organizacyjnym stworzenie i wdrożenie odpowiednich procedur [na podstawie wyżej wymienionych dokumentów]

51 c. o charakterze personalnym powołanie odpowiednich stanowisk i nadanie pracownikom dokonującym przetwarzania specjalnych uprawnień

52 - wyznaczenie administratora bezpieczeństwa informacji, (art. 36
- wyznaczenie administratora bezpieczeństwa informacji, (art USTAWY) - dopuszczenie do przetwarzania danych wyłącznie osób posiadających upoważnienie nadane przez administratora danych (art.37 USTAWY), - prowadzenie przez administratora danych ewidencji osób upoważnionych do ich przetwarzania, (art USTAWY) .

53 d. o charakterze technicznym zastosowanie odpowiednich sprzętów i programów [to również powinno być wykazane w powyższych dokumentach]

54 E. OBOWIĄZKI ZWIĄZANE Z UDOSTĘPNIENIEM DANYCH

55 UWAGA: udostępnianie danych stanowi jeden z elementów przetwarzania danych. Oznacza to, że jeżeli spełniamy któryś z ogólnych warunków dokonywania przetwarzania to możemy także dokonywać udostępniania.

56 udostępnianie danych oznacza możliwość zapoznania się z ich treścią przez inny podmiot (administratora) przekazywanie danych w obrębie jednego podmiotu (administratora) nie stanowi udostępnienia danych

57 Uwaga: jeszcze do niedawna obowiązywała szczególna procedura udostępniania danych (art. 29 uodo) jednak od 7 marca 2011 r. została ona zniesiona

58 a zatem, od 7 marca 2011 można dane udostępniać jeżeli spełnione są ogólne wymogi przetwarzania z uodo

59 CZYLI: - odbiorca musi wykazać jedną z przesłanek przetwarzania (art
CZYLI: - odbiorca musi wykazać jedną z przesłanek przetwarzania (art.. 23 lub art. 27) - administrator udostępniający dane musimy dbać o interesy osób, których dane dotyczą (art.26.1)

60 Przypomnijmy, to ostatnie oznacza w szczególności, że administrator musimy zadbać: - by dane były przetwarzane zgodnie z prawem - by cel przetwarzania nie uległ zmianie - by dane były adekwatne w stosunku do celu

61 w praktyce: musimy “sprawdzić” podmiot, któremu dane udostępniamy, uprawdopodobnić, że będzie on przetwarzał dane zgodnie z u.o.d.o.

62 przykładowo: zażądać wypisu z rejestru przedsiębiorców; określić w umowie cel przetwarzania danych; zażądać podania podstawy przetwarzania danych (art. 23 lub art.. 27 u.o.d.o.); uwzględnić w umowie realizację obowiązku informacyjnego (art. 25 u.o.d.o.),

63 Jeżeli jednak dane przekazujemy podmiotowi wiarygodnemu (np
Jeżeli jednak dane przekazujemy podmiotowi wiarygodnemu (np. do ZUS, do Urzędu Skarbowego) to żadne specjalne wynikające z u.o.d.o. wymogi nie muszą być spełnione

64 Przypominam: oceniani będziemy za to czy dołożyliśmy należytej staranności w celu ochrony interesów podmiotu danych

65 E. SZCZEGÓLNE ZAKAZY

66 CO DO NUMERÓW EWIDENCJONUJĄCYCH (ART. 28)

67 Numery porządkowe stosowane w ewidencji ludności mogą zawierać tylko oznaczenie płci, daty urodzenia, numer nadania oraz liczbę kontrolną

68 Zabronione jest nadawanie ukrytych znaczeń elementom numerów porządkowych w systemach ewidencjonujących osoby fizyczne.

69 CO DO PODEJMOWANIA ZAUTOMATYZOWANYCH DECYZJI (ART. 26a)

70 Niedopuszczalne jest ostateczne rozstrzygnięcie indywidualnej sprawy osoby, której dane dotyczą, jeżeli jego treść jest wyłącznie wynikiem operacji na danych osobowych, prowadzonych w systemie informatycznym.

71 Chodzi o problem tzw. profilingu, gdy rozstrzygnięcie jest efektem przetworzenia PRZEZ PROGRAM informacji zebranych o osobie BEZ UDZIAŁU CZYNNIKA LUDZKIEGO

72 Jeśli takie rozstrzygnięcie zapadło podmiot danych może zażądać ponownego, indywidualnego rozstrzygnięcia sprawy (art. 32 ust. 1 pkt. 9)

73 Jednak prawo europejskie dopuszcza podejmowanie tego typu decyzji, gdy są oparte na pojedynczych, jasno określonych kryteriach

74 Wyjątek z polskiej u. o. d. o
Wyjątek z polskiej u.o.d.o.: rozstrzygnięcie zostało podjęte podczas zawierania lub wykonywania umowy i uwzględnia wniosek osoby, której dane dotyczą

75 W takim przypadku podmiot danych może zażądać podania informacji o przesłankach podjęcia decyzji (art. 32 ust. 1 pkt. 5 lit. a)

76 koniec


Pobierz ppt "OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski"

Podobne prezentacje


Reklamy Google