Weronika Kowalik: Nadużycia w kontekście ustawy o ochronie danych osobowych

706 views

Published on

• Kradzież tożsamości a ochrona danych osobowych.
• Jakie prawa i obowiązki, na gruncie obowiązujących przepisów, mają administratorzy danych

Published in: Economy & Finance
0 Comments
0 Likes
Statistics
Notes
 • Be the first to comment

 • Be the first to like this

No Downloads
Views
Total views
706
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Weronika Kowalik: Nadużycia w kontekście ustawy o ochronie danych osobowych

 1. 1. Generalny InspektorOchrony Danych Osobowychul. Stawki 2, 00-193 Warszawawww.giodo.gov.plkancelaria@giodo.gov.plNADUŻYCIA W KONTEKŚCIE USTAWYO OCHRONIE DANYCH OSOBOWYCH(wybrane zagadnienia)WERONIKA KOWALIKz-ca dyrektoraDEPARTAMENT ORZECZNICTWA, LEGISLACJI ISKARGBiuro Generalnego Inspektora Ochrony Danych Osobowychwww.giodo.gov.pl• wybrane definicje z zakresu ochrony danych osobowych• podstawy, warunki legalizujące przetwarzanie danych osobowych,w tym danych szczególnie chronionych• najważniejsze zasady przetwarzania danych osobowych• podstawowe obowiązki administratora danych• wybrane prawa i obowiązki na podstawie przepisów szczególnych• podsumowaniePLAN PREZENTACJI - WYKŁADU
 2. 2. www.giodo.gov.pl•nikt nie może być obowiązany inaczej niż na podstawie ustawydo ujawniania informacji dotyczących jego osoby•każdy ma prawo dostępu do dotyczących go urzędowych dokumentówi zbiorów danych, ograniczenie tego prawa może określić ustawa•każdy ma prawo do żądania sprostowania oraz usunięcia informacjinieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą•zasady i tryb gromadzenia oraz udostępniania informacji określa ustawaKONSTYTUCJA RZECZYPOSPOLITEJ POLSKIEJ -Art. 51SZKOLENIE VISwww.giodo.gov.pl• ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych(Dz. U. z 2002 r. Nr 101, poz. 926, ze zm.)ogólne zasady przetwarzania danych osobowych• ustawa z dnia 29 października 2010 r. o zmianie ustawyo ochronie danych osobowych oraz niektórych innych ustaw(Dz. U. 2010 r., Nr 229, poz. 1497) – wejście w życie 7 marca 2011 r.• cztery rozporządzenia wykonawcze MSWiA (systemy, rejestracja,legitymacja i upoważnienie, statut BGIODO)USTAWA O OCHRONIE DANYCH OSOBOWYCHSZKOLENIE VIS
 3. 3. www.giodo.gov.plDane osobowe – wszelkie informacje dotyczące zidentyfikowanej lubmożliwej do zidentyfikowania osoby fizycznej (art. 6 ust. 1).Osoba możliwa do zidentyfikowania – osoba, której tożsamość możnaokreślić bezpośrednio lub pośrednio, w szczególności przez powołaniesię na numer identyfikacyjny albo jeden lub kilka specyficznychczynników określających jej cechy fizyczne, fizjologiczne, umysłowe,ekonomiczne, kulturowe lub społeczne (art. 6 ust. 2).Informacji nie uważa się za umożliwiające określenie tożsamości osoby,jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań(art. 6 ust. 3).Przetwarzanie danych – jakiekolwiek operacje na danych osobowychstatyczne (np. przechowywanie danych) jak i dynamiczne(pozyskiwanie, udostępnianie, zmienianie, usuwanie itd.)DANE OSOBOWE / PRZETWARZANIEART. 6 i 7SZKOLENIE VISwww.giodo.gov.pldane ujawniające:• pochodzenie rasowe lub etniczne• poglądy polityczne• przekonania religijne lub filozoficzne• przynależność wyznaniową, partyjną lub związkową,dane o:• stanie zdrowia• kodzie genetycznym• nałogach• życiu seksualnym• skazaniach, orzeczeniach o ukaraniu i mandatach karnych, innychorzeczeniach wydanych w postępowaniu sądowym lubadministracyjnymdane dotyczące sytuacji finansowej nie są danymi szczególniechronionymi (wrażliwymi, sensytywnymi) na gruncie ustawyDANE SZCZEGÓLNIE CHRONIONE/SENSYTYWNE/ - ART. 27SZKOLENIE VIS
 4. 4. www.giodo.gov.pl• wizerunek – portret, podobizna, zdjęcie, fotografia – cechy zewnętrzneumożliwiające identyfikację osoby• orzeczenie NSA z 18. 11. 2009 r. (I OSK 667/09) także zdjęciawykonane w przeszłości, umożliwiające identyfikację osoby, gdyzdjęcie jest umieszczone wraz z imieniem i nazwiskiem osoby na nimwystępującej, w miejscu dostępnym dla nieograniczonej liczbypodmiotów; dane osobowe to zespół wiadomości (komunikatów) okonkretnym człowieku, na tyle zintegrowany, że pozwala na jegozindywidualizowanie• imię i nazwisko – popularność• adres (zamieszkania/zameldowania, do korespondencji, elektroniczny)• imiona i nazwiska rodziców• PESEL• NIP• inne dane określone przepisami szczególnymiDANE OSOBOWE, przykładySZKOLENIE VISwww.giodo.gov.pl• zbiór danych - każdy posiadający strukturęzestaw danych o charakterze osobowym, dostępnych wedługokreślonych kryteriów, niezależnie od tego, czy zestaw tenjest rozproszony lub podzielony funkcjonalnie• zgoda osoby, której dane dotyczą – oświadczenie woli,którego treścią jest zgoda na przetwarzanie danychosobowych tego, kto składa oświadczenie; zgoda może byćodwołana w każdym czasie – od 7 marca 2011 r.ZBIÓR DANYCH i ZGODA NAPRZETWARZANIE DANYCH OSOBOWYCH- ART. 7 PKT 4 i 5SZKOLENIE VIS
 5. 5. www.giodo.gov.pl• organ państwowy• organ samorządu terytorialnego• państwowa lub komunalna jednostka organizacyjna• podmiot niepubliczny realizujący zadania publiczne• osoby fizyczne i prawne• jednostki organizacyjne niebędące osobami prawnymi- przetwarzające dane osobowe w związku z działalnością zarobkową,zawodową lub dla realizacji celów statutowych mające siedzibę albomiejsce zamieszkania na terytorium RP albo w państwie trzecim, o ileprzetwarzają dane osobowe przy wykorzystaniu środków technicznychznajdujących się na terytorium RPdecydujące o celach i środkach przetwarzania danych osobowychADMINISTRATOR DANYCH - ART. 7 PKT 4SZKOLENIE VISwww.giodo.gov.pl• przesłanki legalności przetwarzania danych• obowiązek informacyjny unormowany w art. 24 i 25 ustawy• obowiązek dołożenia szczególnej staranności w celu ochronyinteresów osób, których dane dotyczą (art. 26 ustawy)• obowiązek respektowania praw osób, których dane dotyczą - art. 32- 35 ustawy• obowiązek zastosowania środków technicznych i organizacyjnychzapewniających ochronę przetwarzanych danych osobowych(art. 36 – 39 ustawy)• obowiązek zgłoszenia zbioru danych do zarejestrowaniaw prowadzonym przez GIODO ogólnokrajowym, jawnym rejestrzezbiorów danych osobowych (art. 40 ustawy), z wyjątkiemprzypadków wymienionych w art. 43 ust. 1OBOWIĄZKI ADMINISTRATORÓW DANYCH– ART. 23, 27, 24, 25, 32-35, 36-39, 40, 43 UST. 1
 6. 6. www.giodo.gov.pl• osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzio usunięcie dotyczących jej danych• jest to niezbędne dla zrealizowania uprawnienia lub spełnieniaobowiązku wynikającego z przepisu prawa• jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą,jest jej stroną lub gdy jest to niezbędne do podjęcia działań przedzawarciem umowy na żądanie osoby, której dane dotyczą• jest to niezbędne dla wypełniania prawnie usprawiedliwionych celówrealizowanych przez administratorów danych albo odbiorców danych,a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.LEGALNOŚĆ PRZETWARZANIA DANYCH"ZWYKŁYCH"- ART. 23SZKOLENIE VISwww.giodo.gov.pladministrator danych przetwarzający dane powinien dołożyć szczególnejstaranności w celu ochrony interesów osób, których dane dotyczą, a wszczególności jest obowiązany zapewnić,aby dane te były:• przetwarzane zgodnie z prawem – ZASADA LEGALIZMU• zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawanedalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniemust. 2 – ZASADA ZWIĄZANIA CELEM• merytorycznie poprawne i adekwatne w stosunku do celów, wjakich są przetwarzane – ZASADA MERYTORYCZNEJPOPRAWNOŚCI, ZASADA ADEKWATNOŚCI• przechowywane w postaci umożliwiającej identyfikację osób,których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celuprzetwarzania - ZASADA OGRANICZENIA CZASOWEGOZASADY PRZETWARZANIA DANYCH- ART. 26 UST. 1SZKOLENIE VIS
 7. 7. www.giodo.gov.plzbieranie danych bezpośrednio od osoby, której one dotyczą• adres siedziby/miejsca zamieszkania administratora• prawo dostępu do treści danych i ich poprawiania• dobrowolność lub obowiązek podania danych• cel zbierania danych, znanych odbiorcach danych lub ich kategoriachwyłączenia:- przepis innej ustawy pozwala na przetwarzanie bez ujawnianiafaktycznego celu zbierania danych- osoba posiada ww. informacjeOBOWIĄZEK INFORMACYJNY- ART. 24SZKOLENIE VISwww.giodo.gov.plzbieranie danych z innego źródła/nie od osoby, której one dotyczą/• adres siedziby i pełna nazwa, a w przypadku gdy administratoremdanych jest osoba fizyczna - miejsce zamieszkania oraz imię inazwisko• cel i zakres zbierania danych, a w szczególności informacje oodbiorcach lub kategoriach odbiorców danych• źródło danych• prawo dostępu do treści danych oraz ich poprawiania• uprawnienia wynikające z art. 32 ust. 1 pkt 7 i 8 (żądanie zaprzestaniaprzetwarzania danych i sprzeciw)+ wyłączeniaOBOWIĄZEK INFORMACYJNYZBIERANIE DANYCH Z INNYCH ŹRODEŁ- ART. 25
 8. 8. www.giodo.gov.plwyłączenia:• przepis innej ustawy pozwala na przetwarzanie bez wiedzy osoby,której dane dotyczą• dane są przetwarzane przez administratora, o którym mowa w art. 3ust. 1 i ust. 2 pkt 1, na podstawie przepisów prawa• osoba posiada ww. informacje• dane są niezbędne dla badań naukowych, dydaktycznych,historycznych, statystycznych lub badania opinii publicznej,spełnienie obowiązku informacyjnego wymagałoby nadmiernychnakładów lub zagrażałoby realizacji celu badaniaZWOLNIENIA Z OBOWIĄZKU- ART. 25 UST. 2SZKOLENIE VISwww.giodo.gov.plPRZEPISY KARNE - ROZDZIAŁ 8• przetwarzanie danych w zbiorze wbrew zakazowi przetwarzania bądźprzy braku uprawnienia do przetwarzania (art. 49)• udostępnienie danych lub umożliwienie dostępu osobomnieupoważnionym (art. 51)• naruszenie obowiązku zabezpieczenia danych (art. 52)• niezgłoszenie zbioru do rejestracji (art. 53)• niedopełnienie obowiązku informacyjnego (art. 54)• udaremnianie lub utrudnianie wykonania czynności kontrolnych(art. 54A) nowy od 7 marca 2011 r.+ uchylenie art. 50 – przewidywał sankcje za przechowywaniew zbiorze danych niezgodnie z celem utworzenia zbioru16
 9. 9. www.giodo.gov.plPRAWO BANKOWE, wybrane przepisy• art. 70 – ocena zdolności kredytowej – przedłożenie na żądanie bankudokumentów i informacji niezbędnych do dokonania oceny tej zdolności,tj. zdolności do spłaty zaciągniętego kredytu wraz z odsetkami wterminach określonych w umowie• art. 104 ust. 1 – tajemnica bankowa – wszystkie informacje dotycząceczynności bankowej, uzyskane w czasie negocjacji, w trakcie zawierania irealizacji umowy, na podstawie której bank tę czynność wykonuje• art. 105 ust. 4 – instytucje upoważnione do przetwarzania (gromadzenia,udostępniania) bankom, instytucjom upoważnionym do udzielaniakredytów, czy kredytowym informacji stanowiących tajemnicę bankową(czynność bankowa, metody statystyczne, kredyt, pożyczka, gwarancjebankowe, poręczenia, ryzyko kredytowe etc.)• art. 112 b – banki mogą przetwarzać dla celów prowadzonej działalnościbankowej informacje zawarte w dokumentach tożsamości osobyfizycznej17www.giodo.gov.plUSTAWA O KREDYCIE KONSUMENCKIM,wybrane przepisy• art. 5 pkt 16 – ocena ryzyka kredytowego – ocena zdolności konsumentado spłaty zaciągniętego kredytu wraz z odsetkami, w terminachokreślonych w umowie o kredyt konsumencki, dokonywana przezkredytodawcę• art. 5 pkt 15 – baza danych – zbiór prowadzony na podstawie art. 105ust. 4 prawa bankowego (BIK SA, ZBP), zbiór BIG SA, prowadzony napodstawie ustawy o biurach informacji gospodarczej…• art. 9 – obowiązek kredytodawcy – dokonanie oceny ryzyka kredytowegokonsumenta, na podstawie informacji uzyskanych od konsumenta(niezbędne dokumenty i informacje) lub na podstawie informacji wbazie danych (BIK SA, ZBP, BIG-i) lub zbiorze danych kredytodawcy• art. 10 – odmowa udzielenia kredytu konsumenckiego – bezpłatnainformacja o wynikach sprawdzenia, wskazanie bazy danych, w którejdokonano sprawdzenia• art. 30 – umowa o kredyt konsumencki – imię, nazwisko i adres – daneosobowe konsumenta18
 10. 10. www.giodo.gov.plUSTAWA O UDOSTĘPNIANIU INFORMACJIGOSPODARCZYCH…, wybrane przepisy• art. 2 ust. 1 pkt 2 – informacje gospodarcze to dane dotyczące osobyfizycznej – imiona, nazwiska, adres miejsca zamieszkania/doręczeń,numer PESEL/inny numer potwierdzający tożsamość, seria i numerdowodu osobistego/innego dokumentu potwierdzającego tożsamość• art. 2 ust. 1 pkt 2 – informacje gospodarcze to dane dotycząceposłużenia się podrobionym lub cudzym dokumentem w zakresie jegonazwy, serii i numeru, daty wystawienia, wystawcy, imion i nazwiskaosoby, której dokument dotyczy, okoliczności posłużenia siędokumentem, osoby/organu, który stwierdził, że dokument jestpodrobiony lub cudzy• art. 13 – BIG SA ujawnia dane udostępnione przez instytucje utworzonena podstawie art. 105 ust. 4 Prawa bankowego• art. 17 – przekazanie informacji o posłużeniu się cudzym lubpodrobionym dokumentem (dokument potwierdzający tożsamość,zaświadczenie o zatrudnieniu) do BIG SA przez podmiot wobec któregoposłużono się taką informacją gospodarczą + informacja dla osoby, którejdokumentu to dotyczy19www.giodo.gov.pl„KRADZIEŻ TOŻSAMOŚCI” – art. 190a kodeksukarnego• § 1. Kto przez uporczywe nękanie innej osoby lub osoby jej najbliższejwzbudza u niej uzasadnione okolicznościami poczucie zagrożenia lubistotnie narusza jej prywatność, podlega karze pozbawienia wolności dolat 3• § 2. Tej samej karze podlega, kto, podszywając się pod inną osobę,wykorzystuje jej wizerunek lub inne jej dane osobowe w celuwyrządzenia jej szkody majątkowej lub osobistej20
 11. 11. www.giodo.gov.pl„KRADZIEŻ TOŻSAMOŚCI” – art. 190a kodeksukarnego• posłużenie się cudzymi danymi osobowymi przez osobę nieupoważnioną• przybranie cudzej tożsamości• podszycie się pod inną osobę• uzyskiwanie danych w celu popełnienia przestępstwa• posiadanie/przekazywanie danych innej osobie celem popełnieniaprzestępstwa• dane, które można pozbawić znaczenia (np. numer karty kredytowej)a dane niezmienne (np. nazwisko, czy PESEL)• działanie nakierowane na osobę (np. użycie/ podanie cudzych danychosobowych)• odziaływanie na urządzenie (np. wprowadzeniedo systemu informatycznego weryfikującego dostęp na podstawiepodawanych danych)21www.giodo.gov.plPODSUMOWANIE – eliminowanie ryzykaa przetwarzanie danych osobowych• ryzyko nadużyć i jego eliminowanie – poważne problemy• tylko legalne przetwarzanie danych osobowych- przepisy prawa, szerokie i wyczerpujące, wewnętrzne regulacje- nadużywanie pozycji- uwaga na zgodę, nie zawsze- dane szczególnie chronione- dane proporcjonalne, niezbędne do celu, balans interesów- prawa osób, których dane dotyczą- ilość przetwarzanych danych a ich bezpieczeństwo- okresy przechowywania- privacy by design22
 12. 12. www.giodo.gov.plDZIĘKUJĘ ZA UWAGĘl

×