Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Dr Małgorzata Ganczar. Obowiązki administratora danych ustawodawca podaje pewien minimalny zakres informacji, jakie powinny być udzielone przez administratora.

Podobne prezentacje


Prezentacja na temat: "Dr Małgorzata Ganczar. Obowiązki administratora danych ustawodawca podaje pewien minimalny zakres informacji, jakie powinny być udzielone przez administratora."— Zapis prezentacji:

1 Dr Małgorzata Ganczar

2 Obowiązki administratora danych ustawodawca podaje pewien minimalny zakres informacji, jakie powinny być udzielone przez administratora danych osobie, której dotyczą zbierane dane. Są to tzw. obowiązki informacyjne - normy poświęcone zbieraniu danych, procedurze zbierania. I w tym przypadku można wyróżnić dwie grupy przepisów w zależności od tego, od kogo dane są pozyskiwane. jedna grupa odnosi się do bezpośredniego zbierania ich od osoby, której one dotyczą (zob. art. 24 u.o.d.o.), druga natomiast - do pozostałych przypadków zbierania danych, a więc do gromadzenia pośredniego (zob. art. 25 u.o.d.o.).

3 Obowiązki administratora danych W obydwu przypadkach Funkcją tych przepisów jest to, aby na podstawie uzyskanych informacji zainteresowany miał możliwość właściwego ocenienia sytuacji i podjęcia decyzji co do ujawnienia i udostępnienia danych, a także aby mógł wykonywać prawa przyznane mu w art. 32 u.o.d.o. czy występować z roszczeniami wynikającymi z innych ustaw (np. majątkowymi i pozamajątkowymi z kodeksu cywilnego).

4 Obowiązki administratora danych Dla stosowania komentowanego przepisu nie ma znaczenia, w jaki sposób dane są zbierane (przy bezpośrednim kontakcie, przez telefon), w jaki sposób są utrwalane ani też jaki charakter ma zbiór, do którego są one wprowadzane (m.in. czy jest to zbiór tradycyjny - manualny - czy też funkcjonujący na podstawie technik informatycznych). Informacje należy przekazać osobie, której dane dotyczą, natomiast nie osobom, które niejako przy okazji zostają wskazane. Tak więc w przypadku danych: "Pan X po 5 latach pracy został zwolniony przez swego pracodawcę Pana Y", osobą, której należy przekazać odpowiednie informacje, jest Pan X.

5 Obowiązki administratora danych Udzielenie przez administratora informacji wskazanych w komentowanym przepisie jest warunkiem legalności zbierania danych. Innymi słowy, niespełnienie przez administratora danych obowiązków informacyjnych przewidzianych w art. 24(podobnie - art. 25) powoduje, iż przetwarzanie przez niego danych jest sprzeczne z prawem (ma nielegalny charakter); może zatem rodzić odpowiedzialność przewidzianą ustawą (w tym odpowiedzialność karną)

6 Obowiązki administratora danych Zbieranie danych wprost od osoby, której dane dotyczą, nakłada na administratora obowiązek powiadomienia jej o: a) swej nazwie (nazwisku), siedzibie (miejscu zamieszkania); dane te powinny być ścisłe, pełne i aktualne, tak aby umożliwiały zainteresowanemu wystąpienie z roszczeniami informacyjnymi, o których mowa w art. 32 ust. 1; b) celu zbierania danych, w tym przewidywanych odbiorcach danych; gdy w czasie zbierania danych nie można jeszcze ich dokładnie określić, podać należy przynajmniej kategorię potencjalnych odbiorców; c) prawie dostępu do treści swych danych i do ich poprawiania; d) dobrowolności albo obowiązku podania danych, a jeśli taki obowiązek istnieje - o jego prawnej podstawie.

7 Obowiązki administratora danych Obowiązek powiadomienia nie powstaje wówczas, gdy: ustawa zezwala na przetwarzanie danych bez ujawniania celu ich zbierania (art. 24 ust. 2 pkt 1 u.o.d.o.), jak to ma miejsce np. w zakresie działalności policji, osoba, której dane dotyczą, ma już informacje, które miałyby zostać jej przekazane (art. 24 ust. 2 pkt 2 u.o.d.o.).

8 Obowiązki administratora danych Osoba, której dane są zbierane bez jej udziału, powinna być poinformowana przez administratora bezpośrednio po utrwaleniu danych o: a) jego nazwie (nazwisku), siedzibie (miejscu zamieszkania); b) celu i zakresie zbierania danych, w tym przewidywanych odbiorcach danych; obowiązek informowania o "zakresie zbieranych danych" zobowiązuje - jak można przyjąć - do podania rodzaju zbieranych danych, natomiast nie wynika z niego powinność informowania o treści danych; c) źródle danych; d) prawie dostępu do treści swoich danych i do ich poprawiania;

9 Obowiązki administratora danych e) prawie wniesienia - umotywowanego żądania zaprzestania przetwarzania danych ze względu na jej szczególną sytuację oraz - sprzeciwu co do przetwarzania jej danych: gdy chodzi o przetwarzanie niezbędne do wykonania zadań określonych prawem, a realizowanych dla dobra publicznego, lub wobec przetwarzania niezbędnego do osiągania prawnie usprawiedliwionych celów administratorów danych albo odbiorców danych (gdy administrator zamierza je przetwarzać w celach marketingowych lub wobec przekazywania danych innemu administratorowi).

10 Obowiązki administratora danych Powiadomienie, o którym mowa w komentowanym artykule, następować powinno z inicjatywy administratora; nie są tu potrzebne prośba, pytanie czy wniosek ze strony zainteresowanego. W rezultacie można mówić, iż w art. 24 mamy do czynienia z "aktywnym obowiązkiem informacyjnym"; podobnie jak w art. 25. Powiadomienia dokonuje nie zawsze sam administrator, lecz często działająca w jego imieniu i na jego zlecenie osoba kontaktująca się z tym, od kogo dane się pozyskuje (może to być pracownik administratora, pełnomocnik lub osoba działająca na jego rzecz na podstawie innego rodzaju umocowania). Udzielenie informacji może mieć charakter indywidualny lub zbiorowy - np. w obecności całej grupy respondentów, wielu członków związku lub stowarzyszenia.

11 Obowiązki administratora danych Przepis art. 26 u.o.d.o., wyznaczając główne zasady postępowania przy przetwarzaniu danych osobowych, ujmuje je w formę podstawowych obowiązków, których musi zawsze przestrzegać administrator danych. Jest on odpowiedzialny nie tylko za samo przetwarzanie danych, w wąskim znaczeniu, ale także za jakość danych.

12 Obowiązki administratora danych Przepis art. 26, wyznaczając główne zasady postępowania przy przetwarzaniu danych osobowych, ujmuje je w formę podstawowych obowiązków, których musi zawsze przestrzegać administrator danych. Jest on odpowiedzialny nie tylko za samo przetwarzanie danych, w wąskim znaczeniu, ale także za jakość danych. Obowiązkiem nadrzędnym administratora jest dołożenie szczególnej staranności w celu ochrony interesów osób, których dane dotyczą.

13 Obowiązki administratora danych Artykuł 26 ust. 1 statuuje następujące zasady: legalności (pkt 1),- celowości (pkt 2), - merytorycznej poprawności (pkt 3), - adekwatności (pkt 3) oraz- ograniczenia czasowego (pkt 4).

14 Zasada legalności W pkt 1 przewidziano obowiązek przetwarzania danych zgodnie z prawem. Chodzi tu o zgodność nie tylko z komentowaną ustawą (art. 23), ale także z wszelkimi normami prawa, zarówno tymi już istniejącymi w momencie wejścia w życie ustawy, jak i tymi, które dopiero później zostały wprowadzone do porządku prawnego. Zgodność z prawem dotyczy przestrzegania zarówno przepisów prawa materialnego, jak i przepisów dotyczących postępowania. Legalność odnosi się do zgodności przetwarzania danych nie tylko z przepisami rangi ustawowej, ale także z normami zawartymi w aktach wykonawczych. Natomiast nie jest objęte omawianą zasadą przetwarzanie naruszające postanowienia umowne.

15 Zasada celowości Zbieranie danych osobowych powinno być dokonywane dla oznaczonych, zgodnych z prawem celów; nie jest dozwolone ich dalsze przetwarzanie niezgodne z tymi celami (zasada związania celem). Dotyczy to także przypadków, gdy owo dalsze przetwarzanie dokonywane jest przez tego samego administratora. Wspomniany cel wyznacza zakres przetwarzania danych. Zbieranie danych musi następować do celów: a) oznaczonych,b) zgodnych z prawem.

16 Zasada merytorycznej poprawności Kolejnym obowiązkiem administratora jest zapewnienie, aby zbierane dane osobowe były merytorycznie poprawne - zasada poprawności (prawdziwości) danych. Wynikające z tych danych informacje powinny być zgodne z prawdą, pełne (kompletne) i - choć ustawa tego nie stanowi expressis verbis - na ile to możliwe oraz uzasadnione celem przetwarzania danych, odpowiadać aktualnemu (najnowszemu) stanowi rzeczy (zasada aktualności danych); w pozostałych przypadkach danym powinno towarzyszyć oznaczenie, kiedy były one ustalane. Mówiąc skrótowo i w przenośni: dane powinny być osadzone w czasie.

17 Zasada adekwatności Ustawa wyraźnie wymaga, aby zbierane dane były adekwatne do celów, w jakich są przetwarzane - zasada adekwatności (relewantności) danych. Rodzajem i treścią dane nie powinny wykraczać poza potrzeby wynikające z celu ich zbierania. Omawiany wymóg sprzeciwia się też zbieraniu zarówno wszelkich danych dla tego celu nieistotnych, niemających znaczenia, jak i danych o "większym - niż uzasadniony z tego względu - stopniu szczegółowości". PRZYKŁAD: W ocenie Generalnego Inspektora Ochrony Danych Osobowych żądanie od osoby przystępującej do ubezpieczenia grupowego takich informacji, jak rodzaj wykonywanej pracy, wykształcenie czy stan cywilny, narusza zasadę adekwatności, wykracza poza potrzeby związane z zawarciem i realizacją umowy ubezpieczenia.

18 Zasada ograniczenia czasowego Ustawa nakłada obowiązek przechowywania danych w postaci umożliwiającej identyfikację osób, których one dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. Nawet wówczas, gdy określone dane odpowiadają celowi, w którym są zbierane i do tego celu adekwatne, to nie wynika z tego, iż mogą być one przetwarzane, w tym też udostępniane innym podmiotom, ad infinitum. Czasowym wyznacznikiem jest tu osiągnięcie zamierzonego celu przetwarzania (np. wykonanie zawartej umowy). Później nie muszą być one wprawdzie "z urzędu" usunięte, natomiast powinny być co najmniej poddane anonimizacji, pozbawione cech identyfikujących; nie wystarcza w żadnej mierze jedynie utrudnienie identyfikacji.

19 Obowiązki administratora danych Na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie do jej danych osobowych, właściwych informacji. Na wniosek osoby, której dane dotyczą, informacji tych udziela się na piśmie. Przewidziane ustawą uprawnienia osoby fizycznej (osoby, której dane dotyczą) do uzyskiwania informacji na temat administratora i prowadzonego przez niego przetwarzania odnoszących się do niej danych (m.in. w kwestii źródła pozyskiwania danych, ich treści, celu i zakresu wykorzystywania) nie mają charakteru bezwzględnego.

20 Odmowa udzielenia informacji przez administratora danych Administrator ma prawo, a nawet obowiązek, odmówić udzielenia informacji w tych wszystkich przypadkach, w których ich przekazanie powodowałoby: 1) ujawnienie wiadomości zawierających informacje niejawne albo 2) zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi, lub bezpieczeństwa i porządku publicznego, albo 3) zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa, albo 4) istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób.

21 Odmowa udzielenia informacji przez administratora danych Przedstawione wyżej powody odmowy zaspokojenia żądań osoby zainteresowanej dyktowane są w większości przypadków przeważającym interesem publicznym (np. walką z przestępczością, dbałością o ważne interesy gospodarcze państwa itp.). W przypadku udzielenia odmowy udostępniania danych osobie, której dane te dotyczą, pojawia się problem prawnego charakteru takiej odmowy, a w tym pytanie, czy należy uznać, iż następuje to w formie decyzji administracyjnej, postanowienia, czy w innej formie.


Pobierz ppt "Dr Małgorzata Ganczar. Obowiązki administratora danych ustawodawca podaje pewien minimalny zakres informacji, jakie powinny być udzielone przez administratora."

Podobne prezentacje


Reklamy Google