Ochrona danych osobowych (notatki z wykładu) PDF

Preview

Summary

WYKŁADBOGDAN FISCHEROCHRONA DANYCHOSOBOWYCHDane osobowe - wyjaśnienie pojęciaInformacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Pojęcie “nadmiernych kosztów” jest niedookreślone, więc w razie wątpliwości bezpieczniej je...

Description

WYKŁAD

BOGDAN FISCHER

OCHRONA DANYCH OSOBOWYCH Dane osobowe - wyjaśnienie pojęcia Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Pojęcie “nadmiernych kosztów” jest niedookreślone, więc w razie wątpliwości bezpieczniej jest uznać konkretne dane za dane osobowe. Przykład: informacja o zajmowanym stanowisku w spółce kontrahenta może w zależności od okoliczności pozwalać na identyfikację tej osoby. Posiadając np. numer telefonu lub zdjęcie oraz informację, że dane te dotyczą prezesa spółki wpisanej do KRS, jesteśmy w stanie bez nadmiernych kosztów ustalić personalia tej osoby. Inaczej jest już w przypadku danych dotyczących anonimowego przedstawiciela handlowego kontrahenta, szczególnie jeżeli tych przedstawicieli kontrahent zatrudnia więcej niż jednego. Danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Dane osobowe muszą dotyczyć osób fizycznych. Szeroki zakres pojęcia - dane osobowe to zarówno dane, które identyfikują osobę (np. imię, nazwisko, PESEL), jak również dane, które bezpośrednio nie służą do jej identyfikacji, ale które powiążemy z osobą zidentyfikowaną lub możliwą do zidentyfikowania (np. numer telefonu, pracodawca, numer IP). Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Na gruncie rozporządzenia definicja danych osobowych pozostaje równie szeroka, jak dotychczas. Rozporządzenie 2016/679 nie wyłącza spod ochrony osób fizycznych prowadzących jednoosobową działalność gospodarczą. W rozporządzeniu 2016/679 brak przepisów, które ograniczałyby jego zastosowanie do jawnych danych i informacji udostępnianych w CEIDG.

Powyższe oznacza, że wszelkie dane osobowe, niezależnie do tego gdzie się znajdują (np. w CEIDG) lub niezależnie od tego czy były ujawnione, będą objęte taką samą ochroną.

Przykłady danych osobowych Obojętny jest sposób wyrażania (komunikowania) informacji stanowiących dane osobowe. Może być ona zatem wyrażona w szczególności: - słowem, - dźwiękiem (w tym nagranie głosu), - obrazem (np. jako zdjęcie fotograficzne, rentgenowskie), w tym też obrazem ruchomym (nagranie z monitoringu), - może w szczególności przybierać formę zapisu informatycznego (w tym też być zakodowana zaszyfrowanie danych nie pozbawia ich przymiotu danych osobowych). Świadomość jak szerokim może być pojęcie danych osobowych jest podstawą dla skutecznej ochrony tych danych. Dla uznania za dane osobowe, nie ma znaczenia, czy są to dane ogólnodostępne. Ochronie podlegają również dane osobowe osób fizycznych prowadzących jednoosobową działalność gospodarczą. Dotychczas dane przedsiębiorców inne niż ujawniane w CEIDG (chociażby niektóre dane kontaktowe, czy dane dotyczące pracowników tych przedsiębiorców) podlegały przepisom ustawy w całości.

Podstawy prawne dotyczące ochrony danych osobowych: 1) Konstytucja Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997r. 2) Prawo unijne: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE RODO 3) Ustawa o ochronie danych osobowych z 10 maja 2018r. 4) Ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 5) Akty wewnętrzne: Polityka ochrony danych oraz inne wewnętrzne akty dotyczące bezpieczeństwa danych.

RODO - nowe regulacje dotyczące ochrony danych osobowych Rozporządzenie 2016/679 zastąpiło dotychczasową dyrektywę 95/46/WE. Rozporządzenie jest stosowane wprost, we wszystkich krajach UE, do wszystkich podmiotów w UE, w tym podmiotów prywatnych. Ma zastosowanie do przetwarzania danych w związku z działalnością administratora mającego siedzibę w UE lub gdy nie ma on siedziby w UE, lecz osobom przebywającym w UE, są oferowane usługi lub towary.

Poszczególne państwa mogą przyjąć przepisy wyłącznie w zakresie w jakim będzie to niezbędne do stosowania przepisów rozporządzenia w kraju lub zezwala na to RODO.

RODO - umiejscowienie w hierarchii źródeł prawa RODO stanowi akt przyjęty na szczeblu europejskim (rozporządzenie ogólne), co oznacza, że w hierarchii źródeł prawa stoi wyżej niż ustawodawstwo krajowe. Polskie ustawy i rozporządzenia muszą być zgodne z RODO. Do krajowych ustaw nie wolno wprowadzać kwestii objętych RODO, nie wolno powielać treści RODO.

Przetwarzanie na gruncie RODO Przetwarzanie jest dopuszczalne w przypadku: - wyrażenia przez osobę, której dane dotyczą, zgody, - przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, - przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego administratora lub zadania realizowanego w interesie publicznym, - przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, - przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów administratora.

Zgoda podmiotu, którego dotyczą dane osobowe: Zgoda - oświadczenie woli, którego treścią jest zgoda składającego oświadczenie na przetwarzanie jego danych osobowych. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Przepisy nie przewidują szczegółowych zasad formułowania klauzul zgody, z treści klauzul zgody na przetwarzanie danych osobowych powinno jednak w sposób niebudzący wątpliwości wynikać, w jakim celu, w jakim zakresie i przez kogo dane osobowe będą przetwarzane. Wyrażający zgodę musi mieć pełną świadomość tego, na co się godzi. W przypadku zgody na wykorzystywanie danych osobowych podlegających szczególnej ochronie tzw. danych wrażliwych - zgoda musi być wyraźna. Zgoda może również obejmować przetwarzanie danych w przyszłości - przy niezmienionym celu.

Zgoda na gruncie rozporządzenia RODO Administrator musi wykazać, że osoba wyraziła świadomą, dobrowolną i konkretną zgodę na przetwarzanie danych osobowych. Zapytanie o zgodę musi być przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Zgoda uzyskana z naruszeniem ww. zasad nie wiąże.

Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie musi być równie łatwe jak jej wyrażenie.

Ważność starych zgód: Zasadniczo zgody wyrażone na gruncie starych przepisów są ważne, o ile są zgodne z RODO. Dotychczasowe polskie przepisy UODO były restrykcyjne w tym zakresie, w przeciwieństwie do innych krajów, a więc co do zasady zgody pozostają aktualne i ważne.

Kategorie danych osobowych Dane zwykłe - te, które nie zostały uznane za wrażliwe (imię, nazwisko, adres zamieszkania, PESEL, NIP, numer i seria dowodu osobistego, płeć, wykształcenie, zawód, etc.). Dane wrażliwe - ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzanie danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. Na gruncie RODO przetwarzanie danych wrażliwych (zwanych w rozporządzeniu szczególnymi danymi) jest zakazane, o ile nie zostały spełnione przesłanki w rozporządzeniu. Dodano pojęcie danych biometrycznych, tj. dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne.

Przetwarzanie danych wrażliwych Przetwarzanie tych danych wrażliwych będzie dopuszczalne, gdy: - osoba, której dane dotyczą, wyraziła wyraźną zgodę, chyba że prawo krajowe lub unijne przewiduje, że osoba, której dane dotyczą nie może uchylić zakazu przetwarzania wrażliwych danych; - przetwarzanie jest niezbędne do wypełnienia obowiązku i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy lub zabezpieczenia społecznego czy ochrony socjalnej, o ile jest to dozwolone prawem krajowym lub unijnym. - przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody, - przetwarzanie dotyczy danych, które zostały upublicznione przez osobę, której dotyczą, - przetwarzanie jest niezbędne do ustalenie, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy,

- przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, Państwa członkowskie będą mogły zachować lub wprowadzić dalsze warunki i ograniczenia w odniesieniu do przetwarzania danych genetycznych, danych biometrycznych lub danych dotyczących zdrowia.

Kategorie danych osobowych Dane dotyczące wyroków skazujących i naruszeń prawa - nowa, odrębna kategoria danych osobowych. Przetwarzanie danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa na podstawie art.6 ust.1 wolno dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego, przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą.

Przetwarzanie danych osobowych Przez pojęcie przetwarzania danych osobowych rozumieć należy jakiekolwiek operacje wykonywane na danych osobowych, takie jak: - zbieranie, - utrwalanie, - przechowywanie, - opracowywanie, - zmienianie, - udostępnianie, - usuwanie A zwłaszcza te, które wykonuje się w systemach informatycznych. Przetwarzaniem jest zatem już samo przechowywanie danych, nawet jeśli podmiot faktycznie z nich nie korzysta. Przetwarzaniem będzie również udostępnianie danych osobowych “na zewnątrz” w tym zakresie należy zachować szczególną ostrożność. Przetwarzanie danych osobowych może następować w zbiorach mających formę: - papierową (w kartotekach, skorowidzach, księgach, wykazach, zbiorach umów), - elektroniczną (w systemach informatycznych - z przetwarzaniem będziemy mieli wówczas do czynienia także jeżeli dane mają formę rozproszoną, nie są fizycznie zebrane w jeden zbiór, np. jeden plik lub jedną bazę danych). Zbiór może również jednocześnie składać się z danych przetwarzanych w formie papierowej i elektronicznej (np. zbiór umów z kontrahentami posegregowany wg. dat zawarcia i plik elektroniczny z zestawieniem tych umów). RODO ma zastosowanie wówczas, gdy:

- przetwarzanie danych następuje w sposób całkowicie lub częściowo zautomatyzowany, - przetwarzanie w sposób inny niż zautomatyzowany gdy stanowią część zbioru danych lub mogą stanowić część zbioru danych (dane w postaci papierowej).

Administrator danych osobowych Administrator danych osobowych - podmiot decydujący o celach i środkach przetwarzania danych osobowych. Administratorem jest sama spółka, a nie osoba pełniąca funkcje kierownicze (dyrektor, prezes, zarząd itd.), ani pracownik, któremu powierzono wykonywanie obowiązków związanych z przetwarzaniem danych osobowych. To administrator ponosi przede wszystkim odpowiedzialność za stosowanie przepisów w zakresie ochrony danych osobowych, przy czym każdy pracownik - osoba upoważniona odpowiada za przetwarzanie danych i należytą ochronę.

Obowiązki administratora Główne obowiązki administratora danych osobowych: Ochrona interesów osób, których dane dotyczą poprzez zapewnienie, aby dane te były: 1) przetwarzane zgodnie z prawem, rzetelnie i przejrzyście (zasada legalności); (w oparciu o właściwe przesłanki, zgodnie z prawem, wewnętrznymi procedurami), 2) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami (zasada ograniczenia celu); (czyli np. dane przechowywane w kadrach nie mogą być wykorzystywane w celach marketingowych); 3) adekwatne i ograniczone w stosunku do celów, w jakich są przetwarzane (zasada minimalizacji danych); (czyli przetwarzać tylko te dane, które są rzeczywiście niezbędne np. do marketingu: imię, nazwisko, email, ale już nie adres zamieszkania). NEXT

Podmioty, które biorą udział w przetwarzaniu danych: 1) 2) 3) 4) 5) 6) 7)

osoba której dane są przetwarzane, administrator, podmiot przetwarzający dane na zlecenie, osoba upoważniona do przetwarzania danych, odbiorca, inspektor ochrony danych, organ nadzorczy - właściwy w sprawach ochrony danych.

Obowiązki administratora: - zapewnienie przestrzegania zasad przetwarzania danych (omawianych wcześniej), - realizacja uprawnień podmiotów danych,

-

zabezpieczenie danych, obowiązki na wypadek naruszenia ochrony danych, dokumentacyjne, związane z powierzaniem przetwarzania danych (jeśli występuje), inne.

Realizacja uprawnień podmiotów danych: 1) informacyjne, 2) korekcyjne, 3) zapewniające realizację uprawnień decyzyjnych.

Obowiązki informacyjne administratora Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą (artykuł 13 RODO) 1. Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje: a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela; b) gdy ma to zastosowanie - dane kontaktowe inspektora ochrona danych; c) cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania, d) jeżeli przetwarzanie odbywa się w prawnie uzasadnionych interesach administratora - prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią; e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją; f) gdy ma to zastosowanie - informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej; g) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalenia okresu; h) informacje o prawie do żądania administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych; i) jeżeli przetwarzanie odbywa się na podstawie zgody - informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem; j) informacje o prawie wniesienia skargi do organu nadzorczego; k) informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą,

jest zobowiązana do ich podania i jakie są ewentualnie konsekwencje niepodania danych; l) informację o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art.22 ust.1 i 4, oraz - przynajmniej w tych przypadkach - istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Obowiązki informacyjne administratora Klauzulę informacyjną podaje się podczas pozyskiwania danych (np. zawierania umowy) tylko jeden raz - jeżeli zmieni się cel przetwarzania lub dojdzie nowy - należy podać nową klauzulę informacyjną dotyczącą tego celu. Informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą (artykuł 14) 1. Jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą, administrator podaje osobie, której dane dotyczą, informacje takie same jak w przypadku pozyskiwania bezpośrednio od tej osoby plus: a) kategorie danych osobowych; b) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją; c) źródło pochodzenia danych osobowych, a gdy ma to zastosowanie czy pochodzą one ze źródeł publicznie dostępnych. Informacje podaje się w rozsądnym terminie po pozyskaniu danych osobowych najpóźniej w ciągu miesiąca - mając na uwadze konkretne okoliczności przetwarzania danych osobowych lub podczas pierwszego kontaktu.

Udostępnianie, powierzanie i transfer danych osobowych W czasie przetwarzania danych osobowych powszechnie dochodzi także do przekazania podmiotom trzecim posiadanych danych osobowych innym podmiotom. Może to nastąpić w drodze: - udostępnienia danych osobowych - wówczas otrzymujący może decydować o celach i środkach przetwarzania danych. Potrzebna w tym celu jest albo zgoda podmiotów, których dane dotyczą na przekazanie ich danych, albo osobna podstawa prawna do przekazania danych. Przykłady: przekazanie danych do komornika, policji, do innego administratora. - powierzenia danych do przetwarzania - wówczas o celach i środkach przetwarzania nadal decyduje spółka i to ona odpowiada przede wszystkim za bezpieczeństwo tych

danych, - nie jest potrzebna zgoda podmiotów, których dane dotyczą na przekazanie ich danych, ani osobna podstawa prawna, ale strony muszą zawrzeć pisemną umowę, - przykłady: przekazanie danych dostawcy oprogramowania w chmurze, które może wykonywać działania serwisowe lub kopie zapasowe, podwykonawcy danego zlecenia. NEXT Wizerunek - ochrona danych osobowych w administracji publicznej Zgodnie z definicją w art.4 pkt 1 RODO “dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (“osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Wizerunek - pojęcie prawne, prawnicze, potoczne; - 3 podstawowe sposoby ochrony, które nas interesują; - ale mowa o wizerunku także w prawie prasowym (art.14 i 31-33), Kodeksie karnym (art. 202, 212-216, 267) czy Kodeksie postępowania karnego (art. 279 - 280); - ochrona prawa autorskiego (niezdefiniowana); - wytwór niematerialny, który za pomocą środków plastycznych przedstawia rozpoznawalną podobiznę danej osoby lub danych osób. Ważny jest odbiór jak i wartość identyfikacyjna (J.Barta, R.Markiewicz); - treść prawa - wyłączność rozpowszechniania swojego wizerunku (art.81 upa); - utworem rozpowszechnionym jest utwór, który za zezwoleniem twórcy został w jakikolwiek sposób udostępniony publicznie; - utworem opublikowanym jest utwór, który za zezwoleniem twórcy został zwielokrotniony i którego egzemplarze zostały udostępnione publicznie; - w języku potocznym wizerunek = podobizna, - może to być portret, fotografia, karykatura, maska artystyczna, głos (choć jest to też odrębne dobro). - elementy identyfikujące np. szczególny sposób poruszania, zwrot, - wizerunkiem jest “ustalenie obrazu fizycznego, zdatne do zwielokrotniania i do rozpowszechniania”, - ustalenie - możliwość publicznego postrzegania wyglądu człowieka w danej chwili przez

inne osoby poza nim samym. Ustalenie a utrwalenie. - Utworem jest każdy przejaw działalności twórczej człowieka o indywidualnym i oryginalnym charakterze, ustalonym w jakiejkolwiek postaci, niezależnie od wartości, przeznaczenia i sposobu jego wyrażenia.

Różne pojęcia (ujęcia wizerunku) - obraz fizyczny, wizerunek, portret i egzemplarz (T.Grzeszak); - obraz fizyczny człowieka - jego wygląd, czyli dostrzeganie cechy - wizerunek to cechy fizyczne i to co zostało do nich dodane, np. makijaż, gesty. Konkretyzacja obrazu fizycznego zdatna do rozpowszechniania. - Do naruszenia wystarczy zidentyfikowanie (np. przez znajomych na zdjęciu) - portret to utwór będący przedstawieniem określonej osoby ...