#e-biznes festiwal 2012 - Komórka kluczem do Internetu
Michał Kluska - Ochrona danych osobowych w 2014 r. - przygotuj swój biznes na zmiany.
1. OCHRONA DANYCH OSOBOWYCH W 2014 R. PRZYGOTUJ SWÓJGrzegorz Wanio, Michał Kluska
BIZNES NA ZMIANY
Michał Kluska
Warszawa, 29.10.2013
Warszawa, dnia 9 października 2013 r.
2. 74%
Europejczyków uważa ujawnianie danych osobowych za coraz
bardziej znaczący aspekt współczesnego życia.
43%
użytkowników Internetu twierdzi, że proszono ich o podanie
większej ilości danych osobowych niż było to konieczne.
Tylko jedna trzecia Europejczyków ma świadomość istnienia krajowego
organu publicznego odpowiedzialnego za ochronę danych
90%
(33%).
Europejczyków chce takich samych praw do ochrony danych w
całej UE.
Badanie specjalne Eurobarometru 359
Attitudes on Data Protection and Electronic Identity in the European Union (Postawy wobec ochrony
danych oraz tożsamości elektronicznej w Unii Europejskiej), czerwiec 2011
Rozporządzenie Parlamentu Europejskiego i Rady w sprawie
ochrony osób fizycznych w związku z przetwarzaniem danych
osobowych i swobodnym przepływem takich danych
3. Dyrektywa a rozporządzenie
dyrektywa
95/46/WE z
dnia 24
października 1995 r. w sprawie ochrony
osób
fizycznych
w
zakresie
przetwarzania danych osobowych i
swobodnego przepływu tych danych
ustawa o ochronie danych osobowych –
29 sierpnia 1997 r.
25 stycznia 2012 r. Rozporządzenie
Parlamentu Europejskiego i Rady w
sprawie ochrony osób fizycznych w
związku z przetwarzaniem danych
osobowych i swobodnym przepływem
takich danych
bezpośrednie stosowanie przepisów
różny stopień implementacji przepisów
dyrektywy
jednolite standardy
Europejskiej
od 1995 r. do dziś liczba użytkowników
Internetu wzrosła z 18 milionów (z tego w
Polsce 0,50 miliona) do 2,2 miliarda na
świecie i 16,7 miliona w Polsce
całej
pewność co do prawa
aktualność regulacji
62 artykuły i 8 stron
w
91 artykułów i 60 stron
Unii
4. Zakres międzynarodowy
Rozporządzenie ma zastosowanie do
przetwarzania
danych
osobowych
podmiotów danych mających miejsce
zamieszkania
w
Unii
przez
administratora
siedziby w Unii,
niemającego
gdy przetwarzanie
wiąże się z:
a.
oferowaniem towarów lub usług takim
podmiotom danych w Unii, lub
b.
monitorowaniem ich zachowania.
6. Warunki „zgody”
zgoda
na
przetwarzanie
osobowych jako jedna z
legalnego przetwarzania
danych
podstaw
zgoda nie może być domniemana lub
dorozumiana z oświadczenia woli o innej
treści
treści klauzul zgody na przetwarzanie
danych osobowych powinno w sposób
niebudzący wątpliwości wynikać, w jakim
celu, w jakim zakresie i przez kogo dane
osobowe mogą być przetwarzane
wyrażający zgodę musi mieć
świadomość tego, na co się godzi
wyrok NSA z dnia 4 kwietnia 2003 r.
(sygn. akt II SA 2135/2002) - zgoda na
przekazywanie danych musi mieć
charakter wyraźny, a jej wszystkie
aspekty
muszą
być
jasne
dla
podpisującego w momencie jej wyrażania
(…)
pełną
a.
b.
c.
d.
„zgoda podmiotu danych” oznacza
dobrowolne,
szczególne,
świadome i
wyraźne
oświadczenie woli, przez które podmiot
danych, w drodze oświadczenia lub
wyraźnego
działania
potwierdzającego,
wyraża zgodę na przetwarzanie dotyczących
go danych osobowych
7.
równoważność
podstaw
przetwarzania danych
przetwarzanie danych jest dopuszczalne
tylko wtedy, gdy:
„poważna nierówność”
legalności
1. osoba, której dane dotyczą, wyrazi na to
zgodę,
wykluczenie zgody jako przesłanki
przetwarzania w sytuacji „poważnej
nierówności pomiędzy podmiotem danych
a administratorem”
Zgoda nie stanowi podstawy prawnej
przetwarzania w sytuacji poważnej
nierówności
między
podmiotem
danych a administratorem
takie postanowienie oznacza, że w
stosunkach pracy jedyną podstawą
przetwarzania powinny być przepisy
prawa pracy, które na obecnym etapie są
całkowicie niedostosowane do realiów
przetwarzania danych
pytanie czy poważna nierówność nie
zachodzi
pomiędzy
przedsiębiorcą
konsumentem. Gdyby organy nadzorcze
zastosowały taką wykładnie oznaczałoby
to podważenie świadomość wyrażania
zgody przez konsumenta, w oparciu o
założenie, że zgoda jest wymuszona
2. jest to niezbędne dla zrealizowania
uprawnienia lub spełnienia obowiązku
wynikającego z przepisu prawa,
3. jest to konieczne do realizacji umowy, gdy
osoba, której dane dotyczą, jest jej stroną lub
gdy jest to niezbędne do podjęcia działań
przed zawarciem umowy na żądanie osoby,
której dane dotyczą,
4. jest niezbędne do wykonania określonych
prawem zadań realizowanych dla dobra
publicznego,
5. jest to niezbędne dla wypełnienia prawnie
usprawiedliwionych celów realizowanych
przez
administratorów
danych
albo
odbiorców danych, a przetwarzanie nie
narusza
praw
i
wolności
osoby,
której dane dotyczą.
8. Dzieci a dane osobowe i usługi
według danych SMG/KRC za 2011 r. z
sieci korzysta 9% dzieci w wieku 7-12 lat
(z tego 50% regularnie, każdego dnia) –
około miliona użytkowników w Polsce
nowa definicja dziecka – osoba poniżej
18. roku życia
wymóg uzyskiwania zgody w specjalnym
reżimie
Do celów rozporządzenia, w odniesieniu
do oferowania usług społeczeństwa
informacyjnego bezpośrednio dziecku,
przetwarzanie
danych
osobowych
dziecka w wieku poniżej 13 lat jest
zgodne z prawem, o ile zgodę na nie
wydał lub pozwolił na nie rodzic lub
opiekun dziecka.
Administrator
podejmuje
racjonalne
starania w celu uzyskania możliwej do
zweryfikowania zgody, uwzględniając
dostępną technologię.
9. Przetwarzanie danych jest dopuszczalne
tylko wtedy, gdy
(…)
5) jest to niezbędne dla wypełnienia prawnie
usprawiedliwionych celów realizowanych
przez
administratorów
danych
albo
odbiorców danych, a przetwarzanie nie
narusza
praw
i
wolności
osoby,
której dane dotyczą
Za prawnie usprawiedliwiony cel uważa
się w szczególności:
1) marketing bezpośredni
produktów
lub
administratora danych
własnych
usług
Marketing bezpośredni
10.
dotychczas w polskich
szczątkowa regulacja
Administrator danych jest obowiązany
zastosować
środki
techniczne
i
organizacyjne zapewniające ochronę
przetwarzanych
danych
osobowych
odpowiednią do zagrożeń oraz kategorii
danych
objętych
ochroną,
a
w
szczególności powinien zabezpieczyć
dane przed ich udostępnieniem osobom
nieupoważnionym,
zabraniem
przez
osobę nieuprawnioną, przetwarzaniem z
naruszeniem ustawy oraz zmianą, utratą,
uszkodzeniem lub zniszczeniem.
przepisach
Administrator
danych
prowadzi
dokumentację
opisującą
sposób
przetwarzania danych oraz środki, o
których mowa w ust. 1.
Administrator
danych
wyznacza
administratora
bezpieczeństwa
informacji, nadzorującego przestrzeganie
zasad ochrony, o których mowa powyżej,
chyba że sam wykonuje te czynności.
Administrator Bezpieczeństwa
po stronie administratora lub podmiotu
przetwarzającego dane osobowe będzie
dopilnowanie,
by
administrator
bezpieczeństwa informacji:
- był właściwie i terminowo włączany we
wszystkie kwestie dotyczące ochrony danych
osobowych,
- wykonywał swoje obowiązki i zadania
niezależnie i nie otrzymywał żadnych poleceń
dotyczących pełnienia swojej funkcji
zgodnie
z
nowymi
przepisami
administrator bezpieczeństwa informacji
podlega bezpośrednio kierownictwu
administratora
lub
podmiotu
przetwarzającego
Niezależnie od zadań przepisy statuują,
że
administrator
lub
podmiot
przetwarzający wspiera administratora
bezpieczeństwa
informacji
w
wykonywaniu przez niego zadań i
zapewniają personel, pomieszczenia,
sprzęt i zasoby niezbędne do
wykonywania obowiązków i zadań ABI
11. Administrator lub podmiot przetwarzający powierzają ABI przynajmniej poniższe zadania:
a. informowanie administratora lub podmiotu przetwarzającego o ich obowiązkach wynikających z
nowego rozporządzenia oraz dokumentowanie tej działalności i uzyskiwanych odpowiedzi
b. monitorowanie wykonania i stosowania polityk administratora lub podmiotu przetwarzającego w
zakresie ochrony danych osobowych, w tym przydział obowiązków, szkolenie personelu
zaangażowanego w operacje przetwarzania oraz powiązane kontrole
c. monitorowanie wykonania i stosowania przepisów rozporządzenia, w szczególności jeśli chodzi o
wymogi dotyczące uwzględnienia ochrony danych już w fazie projektowania, ochrony danych jako
opcji domyślnej i bezpieczeństwa danych oraz informowania podmiotów danych, a także wniosków w
ramach wykonywania praw przysługujących im na mocy niniejszego rozporządzenia
d. zapewnienie prowadzenia dokumentacji ochrony danych osobowych
e. monitorowanie dokumentacji, zgłoszeń i zawiadomień dotyczących naruszeń ochrony danych
osobowych
f. monitorowanie przeprowadzenia oceny skutków w zakresie ochrony danych przez administratora
lub podmiot przetwarzający oraz wniosków o uprzednie zezwolenie lub uprzednią konsultację
g. monitorowanie odpowiedzi na wnioski organów nadzorczych oraz, w ramach kompetencji
inspektora ochrony danych, współpraca z organem nadzorczym na wniosek tego organu lub z
inicjatywy inspektora ochrony danych
h. pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z
przetwarzaniem oraz zasięganie opinii organu nadzorczego, w odpowiednich przypadkach, z
inicjatywy inspektora ochrony danych.
12.
adres swojej siedziby i pełna nazwa, a w
przypadku
gdy
administratorem danych jest osoba
fizyczna
o
miejscu
swojego
zamieszkania oraz imieniu i nazwisku
cel zbierania danych, a w szczególności
o znanych administratorowi w czasie
udzielania informacji lub przewidywanych
odbiorcach
lub
kategoriach
odbiorców danych
dobrowolności
albo
obowiązku
podania danych, a jeżeli taki obowiązek
istnieje, o jego podstawie prawnej
prawo
dostępu
do
treści
swoich danych oraz ich poprawiania
Obowiązki informacyjne
tożsamość i dane kontaktowe ADO
oraz ewentualnie przedstawiciela i
administratora i ABI
cele przetwarzania danych
okres, przez który dane osobowe będą
przechowywane
istnienie prawa do wystąpienia do
administratora o uzyskanie wglądu do
danych, poprawienie ich lub usunięcie
danych osobowych odnoszących się do
podmiotu danych lub prawo wniesienia
sprzeciwu wobec przetwarzania tych
danych osobowych
prawa
złożenia
skargi
organowi
nadzorczemu oraz dane kontaktowe
organu nadzorczego
odbiorcy lub kategorie odbiorców danych
osobowych
zamiar
przekazania
danych
przez
administratora do państwa trzeciego lub
organizacji międzynarodowej
wszelkie dalsze informacje potrzebne
do
zagwarantowania
rzetelnego
przetwarzania danych w stosunku do
podmiotu
danych,
uwzględniając
konkretne okoliczności, w których odbywa
się zbieranie danych
14. Statystyki – przepisy karne
2001
2002
2003
2004
2005
2006
2007
2008
2009
2010
2011
2012
Art. 49
ust. 1
-
3
1
8
1
7
2
2
5
7
4
3
Art. 49
ust. 2
1
-
-
1
1
1
-
-
1
1
-
-
Art. 50
1
-
-
-
-
1
-
-
-
-
-
-
Art. 51
ust. 1
6
2
5
13
10
16
11
10
7
8
12
7
Art. 51
ust. 2
1
1
2
4
1
3
2
3
1
2
4
3
Art. 52
1
5
1
7
10
4
7
7
3
1
9
2
Art. 53
-
-
-
1
1
-
-
-
2
3
-
-
Art. 54
-
1
-
1
1
-
-
-
-
-
1
-
Art. 51. [Udostępnianie danych osobom nieuprawnionym]
1. Kto administrując zbiorem danych lub będąc obowiązany
do ochrony danych osobowych udostępnia je lub umożliwia dostęp do
nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia
wolności albo pozbawienia wolności do lat 2.
2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze
ograniczenia wolności albo pozbawienia wolności do roku.
15.
przepisy rozporządzenia przewidują, że przypadek naruszenia zasad
ochrony danych osobowych administrator zgłasza organowi
nadzorczemu bez nieuzasadnionej zwłoki i jeśli jest to możliwe,
nie później niż w ciągu 24 godzin od momentu naruszeniu
powzięcia o nim wiadomości
jeśli organ nadzorczy nie zostanie zawiadomiony w ciągu 24 godzin,
do zgłoszenia administrator musi dołączyć umotywowane wyjaśnienie
przepisy określają minimum informacji, które powinno zawierać
zawiadomienie, tj.:
a) opisanie charakteru naruszenia ochrony danych osobowych, w tym
podanie kategorii i liczby zainteresowanych podmiotów danych oraz
kategorii i liczby rekordów danych, których dotyczy naruszenie;
b) podanie imienia i nazwiska oraz danych kontaktowych inspektora
ochrony danych lub innego punktu kontaktowego, w którym można
uzyskać więcej informacji;
c) informacja o zalecanych środkach mających na celu zmniejszenie
ewentualnych negatywnych skutków naruszenia ochrony danych
osobowych;
d) opisanie konsekwencji naruszenia ochrony danych;
e) opisanie środków proponowanych lub podjętych przez administratora w
celu zaradzenia naruszeniu ochrony danych osobowych.
obowiązek prowadzenia dokumentacji zdarzenia
obowiązek notyfikacji dotyczy też podmiotów danych tzn. gdy
wyciekną nam dane Kowalskiego – mamy Kowalskiego
powiadomić
Wyciek danych
16.
Przepisy karne.
Postępowanie egzekucyjne: grzywna w
celu przymuszenia, wykonanie zastępcze
i przymus bezpośredni (pozostałe środki
w postaci np. odebrania rzeczy ruchomej
będą miały raczej mniejsze znaczenie
praktyczne).
Sankcje i odpowiedzialność
Sama grzywna w celu przymuszenia
nakładana może być zarówno na osoby
fizyczne jak i osoby prawne.
W stosunku do osób fizycznych grzywna
jednorazowo nie może przekraczać
kwoty 10.000 zł (max 50.000 zł).
W stosunku do osób prawnych i
jednostek
organizacyjnych
nie
posiadających
osobowości
prawnej
maksymalna wysokość grzywny wynosi
50.000 zł (max 200.000 zł).
kary finansowe będą mogły być
nakładane
za
praktycznie
każde
naruszenie
rozporządzenia
(katalog
potencjalnych naruszeń jest bardzo
szeroki)
rozporządzenie rozróżnia trzy progi kar
finansowych
pierwszy próg - kary do 250 000 euro, a w
przypadku przedsiębiorstwa, do 0,5% jego
rocznego światowego obrotu
drugi próg - kary finansowe do 500 000
euro, a w przypadku przedsiębiorstwa, do 1
% jego rocznego światowego obrotu
trzeci próg - kary finansowe do 1 000 000
euro, a w przypadku przedsiębiorstwa, do
2 % jego rocznego światowego obrotu).
17.
18. Right to be forgotten
Data portability
Podmiot danych ma prawo do uzyskania od
administratora usunięcia danych osobowych
odnoszących się do niego oraz zaprzestania
dalszego rozpowszechniania tych danych,
zwłaszcza w odniesieniu do danych
osobowych, które zostały udostępnione
przez podmiot danych, kiedy był on
dzieckiem, jeśli zastosowanie ma jedna z
następujących przesłanek:
a) dane nie są już potrzebne do celów, do
których były zebrane lub przetwarzane w
inny sposób;
b) podmiot danych odwołuje zgodę, na której
opiera się przetwarzanie lub gdy minął okres
przechowywania, na który wyrażono zgodę
oraz jeśli nie ma już podstawy prawnej
przetwarzania danych;
c)
podmiot
danych
sprzeciwia
przetwarzaniu danych osobowych;
się
d) przetwarzanie danych nie jest zgodne z
rozporządzeniem z innych powodów.
Podmiot danych ma prawo, jeśli dane
osobowe są przetwarzane w sposób
elektroniczny oraz w zorganizowanym i
powszechnie używanym formacie, do
uzyskania od administratora kopii danych
podlegających przetwarzaniu w formacie
elektronicznym i zorganizowanym, który
jest powszechnie używany i umożliwia
dalsze wykorzystywanie przez podmiot
danych.
Jeżeli podmiot danych przekazał dane
osobowe a przetwarzanie opiera się na
zgodzie lub umowie, podmiot danych ma
prawo do przekazania tych danych
osobowych i innych informacji przez
siebie przekazanych i przechowywanych
w systemie automatycznego przetwarzania
danych, do innego systemu, w powszechnie
używanym formacie elektronicznym, bez
przeszkód ze strony administratora, z którego
baz dane osobowe zostają wycofane.