Dane osobowe – nowe możliwości i zagrożenia

Chabasiewicz Kowalska i Partnerzy

Kraków, 28 września 2015

Plan wystąpienia

1.  Pojęcie danych osobowych 2.  Zasady gromadzenia i przetwarzania danych osobowych 3.  Uprawnienia posiadacza danych osobowych 4.  Rejestracja zbiorów danych 5.  ABI – nowelizacja 6.  Powierzenie przetwarzania danych osobowych 7.  Bezpieczeństwo danych osobowych 8.  Prawo do bycia zapomnianym 9.  Kary za naruszenie przepisów dot. ochrony danych

osobowych

2  

Co to są dane osobowe? dane osobowe: wszelkie informacje: imię, nazwisko i adres, zdjęcia, filmy, zarejestrowane głosy, tzw. dane biometryczne (cechy źrenicy, linie papilarne, cechy twarzy, geometria ręki) itp. – pod warunkiem, że mogą służyć do zidentyfikowania osoby. Informacja staje się więc daną osobową, jeżeli można tę informację powiązać z konkretną osobą bez ponoszenia nadmiernych kosztów; Ø  Adres IP? Ø  Adres e-mail? (kancelaria@ck-legal.pl vs agata.kowalska@ck-legal.pl) Ø  Cookies?

Ø  Rodzaje danych osobowych: zwykłe i wrażliwe

3  

Co to są dane wrażliwe? Dane wrażliwe to dane ujawniające:

ü  pochodzenie rasowe lub etniczne,

ü  poglądy polityczne,

ü  przekonania religijne lub filozoficzne, ü  przynależność wyznaniową, partyjną lub związkową, jak również o stanie zdrowia, kodzie

genetycznym, nałogach lub życiu seksualnym ü  dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń

wydanych w postępowaniu sądowym lub administracyjnym

Dane wrażliwe są chronione w sposób szczególny i wiążą się z nimi obowiązki: ü  uzyskania pisemnej zgody na ich przetwarzanie; ü  dokonywania zgłoszenia zmiany tych danych przed ujawnieniem zmiany danych w zbiorze; ü  wydania przez GIODO zaświadczenia o zarejestrowaniu zbioru tych danych (w przypadku pozostałych

danych zaświadczenie jest fakultatywne); ü  rejestracji zbioru nawet pomimo prowadzenia go wyłącznie w formie papierowej; ü  rozpoczęcia przetwarzania danych dopiero po ich zarejestrowaniu (a nie od razu po zgłoszeniu jak w

przypadku pozostałych danych).

4  

Obowiązki informacyjne - wykonywanie

System przekazywania informacji

ESPI EBI

Kto raportuje? Spółka publiczna Spółka notowana na NewConnect

O czym raportuje?

Art. 70 ustawy o ofercie Ø  o zmianach w strukturze

akcjonariatu po przekroczeniu określonych progów

Art. 156 – 160 ustawy o obrocie Ø  kwestie dot. ujawniania i

wykorzystywania informacji poufnej

Ø  obowiązek informowania o transakcji na akcjach emitenta określonych osób

Regulamin ASO Ø  raporty bieżące

(cenotwórcze) i okresowe

Zasady gromadzenia i przetwarzania danych osobowych

Zakres przetwarzania danych Przez przetwarzanie danych rozumie się jakiekolwiek operacje wykonywane na

danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Zasady przetwarzania danych osobowych: ü  Legalność: przetwarzane zgodnie z prawem ü  Celowość: dane zbierane dla oznaczonych, zgodnych z prawem

celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami

ü  Adekwatność: dane merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane ü  Jakiego zakresu danych możemy żądać?

5  

Obowiązki informacyjne - wykonywanie

System przekazywania informacji

ESPI EBI

Kto raportuje? Spółka publiczna Spółka notowana na NewConnect

O czym raportuje?

Art. 70 ustawy o ofercie Ø  o zmianach w strukturze

akcjonariatu po przekroczeniu określonych progów

Art. 156 – 160 ustawy o obrocie Ø  kwestie dot. ujawniania i

wykorzystywania informacji poufnej

Ø  obowiązek informowania o transakcji na akcjach emitenta określonych osób

Regulamin ASO Ø  raporty bieżące

(cenotwórcze) i okresowe

Zasady gromadzenia i przetwarzania danych osobowych

Podstawy przetwarzania danych osobowych

ü  Zgoda posiadacza danych osobowych (chyba, że chodzi o ich usunięcie) ü  Niezbędność dla zrealizowania uprawnienia lub spełnienia obowiązku

wynikającego z przepisu prawa ü  Konieczność do realizacji umowy, gdy osoba, której dane dotyczą, jest jej

stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;

ü  Niezbędność do wykonania określonych prawem zadań realizowanych dla dobra publicznego;

ü  Niezbędność dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. ü  marketing bezpośredni własnych produktów lub usług administratora danych ü  dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej  

6  

Jak uzyskać zgodę? Na każdą formę marketingu potrzebna jest zgoda odbiorcy

Zgoda musi być: ü  uprzednia ü  wyraźna i oddzielona od innych zgód ü  odpowiedniej treści ü  utrwalona i potwierdzona przez użytkownika (gdy pozyskana drogą

elektroniczną) ü  możliwa do odwołania (bez żadnych dodatkowych kosztów)

Ø  uprzednia, a wiec zebrana przed wykorzystaniem urządzenia telekomunikacyjnego do marketingu bezpośredniego ü  uzyskana np. przy okazji ustalania szczegółów realizacji umowy, zamówienia;

Ø  samodzielne i odrębne oświadczenie (oddzielny „checkbox”) Ø  utrwalona w dowolny sposób:

ü  zarejestrowana w systemie ü  double opt-in - po wypełnieniu formularza użytkownik musi kliknąć w link potwierdzający

wysłany mailem

7  

 Klauzula zgody na przetwarzanie

danych osobowych

ü  niedopuszczalność zgody dorozumianej - musi być wyraźna ü  ustna, pisemna, wyrażona za pomocą elektronicznych środków przekazu;

tylko pisemna: dane wrażliwe jedna zgoda = jeden cel = jeden checkbox

ü  precyzyjne sformułowanie celu ü  niedopuszczalność formułowania klauzuli blankietowej ü  niedopuszczalność uzależniania możliwości skorzystania z płatnej usługi

od wyrażenia zgody na przetwarzanie danych (inaczej przy usługach bezpłatnych)

ü  niedopuszczalne jest ukrywanie zgody w regulaminie, umowie czy łączenie z inną zgodą.

8  

 Klauzula zgody na przetwarzanie

danych osobowych

ü  Informacja o administratorze danych (oraz ewentualnie innych podmiotach, które będą przetwarzać dane osobowe);

ü  Precyzyjność: "Zgoda na przekazywanie danych musi mieć charakter wyraźny, a jej wszystkie aspekty muszą być jasne dla podpisującego w momencie jej wyrażania.” (wyrok NSA z dnia 4 kwietnia 2003 r., II SA 2135/2002)

ü  Przykładowa klauzula zgody: Wyrażam zgodę na przetwarzanie moich danych osobowych przez (nazwa firmy i adres siedziby) w celu otrzymywania drogą elektroniczną wiadomości na tematy związane z _____________. Oświadczam, że znam prawo do wglądu, zmiany i żądania zaprzestania przetwarzania swoich danych. Dane podaję dobrowolnie.

ü  Sankcje: grzywna, kara ograniczenia wolności, kara pozbawienia wolności do lat 2, kara pieniężna w wysokości do 3 % przychodu przedsiębiorcy z poprzedniego roku kalendarzowego.

9  

 Błędy związane z przetwarzaniem danych

osobowych Ø  Uzależnienie możliwości skorzystania z płatnej usługi od wyrażenia zgody na przetwarzanie danych

ü  usługa bezpłatna (np. poczta e-mail) – dopuszczalność wprowadzenia obowiązku zgody na wykorzystanie danych osobowych – dane osobowe jako „waluta”

Ø  Zgoda wymuszona – musi zaznaczyć, by móc przejść dalej

Ø  Zaznaczone domyślnie checkboxy (lub nawet ich brak) Ø  Zgoda ukryta w regulaminie – brak checkboxa Ø  Łączenie akceptacji regulaminu ze zgodą na przetwarzanie danych

ü  Oświadczenie o wyrażeniu zgody na przetwarzanie danych w celach innych niż realizacja warunków umownych, nie może znajdować się jako jedno z postanowień umownych. Zgoda na przetwarzanie danych w celach marketingowych, reklamowych, informacyjnych [... ] musi być odrębnym oświadczeniem woli, z treści którego wynikałaby zgoda na przetwarzanie w tym właśnie celu. [wyrok Naczelnego Sądu Administracyjnego z dn. 19.11.2001 r., II SA 2748/00)

Ø  Łączenie zgód na przetwarzanie danych w różnych celach/przez różne podmioty ü  Zgoda na przesyłanie informacji handlowej, zgoda na cele marketingowe, zgoda na przekazanie danych

podmiotowi trzeciemu ü  Zgoda na udostępnienie danych osobom trzecim musi być odrębnym od postanowień umownych oświadczeniem

woli abonenta, nie musi on bowiem godzić się na udostępnienie swych danych osobom trzecim. [wyrok Naczelnego Sądu Administracyjnego z dn. 19.11.2001 r., II SA 2748/00]

Ø  Żądanie zgody blankietowej – w zakresie celu lub podmiotu który będzie przetwarzał dane osobowe; Ø  uwaga na: newsletter, życzenia świąteczne, wiadomość poradnikowa, raport      

10  

„Tajemniczy” art. 172 UPrTelekom

25.12.2014 – nowelizacja Zakazane jest używanie telekomunikacyjnych urządzeń końcowych (każde urządzenie przeznaczone do podłączenia bezpośrednio lub pośrednio do zakończeń sieci (telefony stacjonarne, komórkowe, smartfony, tablety, faksy, komputery – wiadomości sms/mms, e-mail) i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba, że abonent lub użytkownik końcowy uprzednio wyrazi na to zgodę. Przepis ten nie narusza zakazów i ograniczeń dotyczących przesyłania niezamówionej informacji handlowej wynikających z odrębnych ustaw. Ø  bezpośrednie komunikaty kierowanych do starannie wybranych, pojedynczych osób, często w

indywidualnym kontakcie, w celu uzyskania bezpośredniej reakcji (odpowiedzi) np. telemarketing (wykorzystywaniu telefonu do bezpośredniego kontaktu i sprzedaży);

Ø  obowiązywanie ograniczenia również w obrocie obustronnie profesjonalnym, a więc w odniesieniu do połączeń na numery przedsiębiorców, fundacji, stowarzyszeń, szkół, szpitali itp.

Ø  brak zgody - Prezes UKE decyzją może nałożyć karę pieniężną w wysokości do 3 % przychodu przedsiębiorcy z poprzedniego roku kalendarzowego;

Ø  zgoda z art. 172 UPrTelekom jest NIEZALEŻNA od dotychczas funkcjonujących zgód;

„Wyrażam zgodę na używanie przez ………..… telekomunikacyjnych urządzeń końcowych, których jestem użytkownikiem dla celów marketingu bezpośredniego zgodnie z art. 172 ust.1 z dnia 25.12.2014 r.”

11  

Jak wysyłać mailing zgodnie z prawem? Bez zgody odbiorcy nie ma mailingu

Ø  Jak zbierać?

Bezpośrednio od użytkownika przez checkbox wszędzie tam, gdzie użytkownik podaje swój adres e-mail, np.:

ü  rejestracja w sklepie ü  dostęp do usługi ü  darmowy e-book ü  formularz kontaktowy

Ø  odpowiednia treść checkboxa – zgoda musi zawierać: ü  dane, których dotyczy (wszystkie dane z formularza) ü  podmiot, który dane będzie wykorzystywał ü  cel wykorzystania danych:

•  przetwarzanie danych osobowych w celach marketingowych •  wysyłanie informacji handlowej za pośrednictwem poczty elektronicznej •  wykorzystywanie zebranych danych w celu marketingu bezpośredniego

ü  „wysłanych przez …. w imieniu własnym oraz na zlecenie innych osób”

12  

Jak wdrożyć ODO Ø  proces wdrożenia ODO w działalności prowadzonej w internecie:

1)  regulamin i polityka prywatności 2)  proces zbierania zgód od klienta na przetwarzanie danych osobowych 3)  identyfikacja i wyodrębnienie poszczególnych zbiorów danych 4)  zawarcie umów o powierzeniu danych

ü  hostingodawca, wysyłka newslettera (np. MailChimp), drop-shipping (wysyłka przez podmiot trzeci), e-przelewy

5)  wewnętrzna dokumentacja ODO ü  polityka bezpieczeństwa ochrony danych;

ü  instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych;

6)  wdrożenie procedur przestrzegania danych w firmie i przeszkolenie pracowników

ü  domyślnie niezaznaczone checkboxy;

ü  oddzielne zbiory (wg celów przetwarzania) - dane służące do: realizacji zamówienia, wysyłki newslettera, reklamacji;

13  

Powierzenie a udostępnienie danych osobowych

Prawo do powierzenia przetwarzania podmiotowi trzeciemu: Ø  Powierzenie a przekazanie (udostepnienie/sprzedaż) danych;

ü  udostępnienie – osoba trzecia ma możliwość przetwarzania na własny użytek; staje się ADO (decyduje o celach i środkach ich przetwarzania) - wyraźna zgoda klienta

ü  powierzenie – procesor ma dostęp do danych zebranych przez ADO, aby zrealizować usługę (przetwarzanie

na rzecz ADO) – nie jest potrzebna dodatkowa zgoda klienta Ø  Obowiązek zawarcia pisemnej umowy o przetwarzanie danych (brak zastosowania formy

pisemnej powoduje jedynie skutki w zakresie postępowania dowodowego) Ø  Odpowiedzialność administratora danych za sposób ich przetwarzania; Ø  Odpowiedzialność umowna podmiotu przetwarzającego dane; Ø  Ograniczenia możliwości powierzenia przetwarzania danych podmiotowi zagranicznemu:

ü  obowiązek zachowania standardów ochrony danych osobowych (art. 47 UODO) ü  certyfikat programu Safe harbour, ü  zgoda GIODO zezwalająca na powierzenie przetwarzania danych osobowych

14

Zasady obrotu danymi osobowymi

obowiązek uzyskania zgody na sprzedaż danych?  

obowiązek poinformowania osoby, której dane dotyczą o nabyciu danych (art. 25 UODO)

obowiązek poinformowania GIODO o zmianie administratora danych (art. 41 ust. 2 UODO)  

15  

Sprzedaż bazy danych osobowych ü  traktowane jak przetwarzanie danych osobowych („nabycie w drodze umowy jest także

sposobem uzyskiwania czy wydostawania (danych), zakup bazy jest tożsamy z procesem ich zbierania i pozyskiwania”);

ü  nabywca bazy danych osobowych powinien wypełnić obowiązki informacyjne (art. 25 ust. 1 UODO) bezpośrednio po utrwaleniu zebranych danych: Ø  o adresie siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest

osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku; Ø  celu i zakresie zbierania danych (o odbiorcach lub kategoriach odbiorców danych); Ø  źródle danych; Ø  prawie wglądu do swoich danych oraz ich poprawiania; Ø  prawie żądania zaprzestania przetwarzania danych osobowych z uwagi na szczególną

sytuację lub prawie wniesienia sprzeciwu; ü  administrator danych może przekazać bazę danych osobowych innemu administratorowi,

jeśli (odpowiednie zabezpieczenia w umowie): Ø  osoba otrzyma wszystkie informacje wskazane w art. 25 ust. 1 UODO; Ø  nie wniesie ona sprzeciwu wobec przekazywania danych; Ø  nie zostanie zmieniony cel przetwarzania danych osobowych.

16  

Uprawnienia posiadacza danych osobowych

Ø  każdej osobie przysługuje prawo kontroli przetwarzania danych, które jej dotyczą, w tym do uzyskania wyczerpującej informacji od administratora danych w tym zakresie,

Ø  możliwość żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia,

Ø  prawo sprzeciwu wobec przetwarzania danych osobowych w celach marketingowych lub przekazywania ich innemu administratorowi danych osobowych,

Ø  możliwość odwołania zgody na przetwarzanie danych osobowych – w każdym czasie, bez konieczności uzasadniania,

Ø  jeśli administrator danych osobowych nie respektuje powyższych uprawnień, naraża się na odpowiedzialność karną;

17  

Rejestracja zbioru danych zasada rejestracji wszystkich zbiorów danych (art. 40 UODO) Zwolnienia z obowiązku rejestracji zbiorów danych:

Ø  objętych tajemnicą państwową ze względu na obronność lub bezpieczeństwo państwa, ochronę życia i zdrowia ludzi, mienia lub bezpieczeństwa i porządku publicznego,

Ø  przetwarzanych przez wskazane w ustawie organy, Ø  dotyczących członków kościoła lub innego związku wyznaniowego, Ø  dotyczących osób u nich zatrudnionych, świadczących usługi, zrzeszonych lub uczących się, Ø  dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej lub radcy

prawnego, biegłego rewidenta lub rzecznika patentowego, Ø  tworzonych na podstawie ordynacji wyborczych Ø  dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania

tymczasowego aresztowania lub kary pozbawienia wolności, Ø  przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości

finansowej, Ø  powszechnie dostępnych, Ø  przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej

lub stopnia naukowego, Ø  przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.

18  

Prawo do informacji vs. ODO

Wyrok TSUE z 13 maja 2014, sprawa C-131/12 Google Spain SL i Google Inc. przeciwko Agencia Española de Protección de Datos (AEPD) i Mario Costeja González. ü  każdy użytkownik Internetu ma prawo zgłosić swoje zastrzeżenia co do wyników

wyszukiwania, które mogą naruszać jego prywatność (usuwanie linków do informacji „nieistotnych lub nieaktualnych”);

ü  przeglądarki internetowe powinny usuwać niektóre wyniki wyszukiwań, które naruszają prywatność na prośbę poszczególnych użytkowników;

ü  jeżeli firma odmówi, należy zgłosić sprawę do odpowiedniej instytucji, która może wydać wyrok, zmuszający ją do tego;

ü  Google np. ocenia potrzebę ochrony prywatności danej osoby, jednocześnie biorąc pod uwagę prawo dostępu do informacji publicznej i prawo do jej rozpowszechniania; sprawdza, czy wyniki wyszukiwania zawierają nieaktualne/nieprawdziwe informacje o zgłaszającym prośbę oraz czy jest interes publiczny w udostępnianiu wskazanych informacji (np. może odmówić usunięcia okreś lonych informacj i o nadużyciach f inansowych, nieprawidłowościach w pracy zawodowej, postępowaniach karnych lub publicznym zachowaniu przedstawicieli władz).

19

Możliwość pozyskania przez pokrzywdzonego danych osobowych naruszających dobra

osobiste wyrok ETS z 19 kwietnia 2012 roku Bonnier Audio i in. vs. Perfect Communication Sweden AB oraz wyroki polskie np. wyrok WSA z 17 czerwca 2013 roku (II Sa/Wa 152/13), wyrok NSA z 21 sierpnia 2013 roku (I OSK 1666/12) i z 18 kwietnia 2014 roku (I OSK 2789/12)

ü  podstawa do udostępnienia danych – art. 23 ust. 1 pkt 5 UODO;

ü  przesłanki udostępnienia danych osobowych: ü  uzasadniony interes prawny (prawnie usprawiedliwione cele”);

ü  proporcjonalność dobra chronionego a dobra naruszanego (wolność wypowiedzi vs. dobro poszkodowanego);

ü  niezbędność udostępnienia danych dla ochrony praw;

ü  nieuzasadniona odmowa to naruszenie prawa;

ü  GIODO na podstawie art. 18 ust. 1 pkt 2 UODO może wydać decyzję nakazującą udostępnienie danych osobowych;

ü  obowiązek przetwarzania danych osobowych poprzez ich udostępnienie konkretyzuje się np. w celu zainicjowania postępowania sadowego, co nie narusza praw i wolności osoby, której te dane dotyczą;

20

Rejestracja zbioru danych Zbiór danych – niezależnie od ilości rekordów czy rodzajów zbieranych danych

ü  GIODO: należy zarejestrować zbiór danych osobowych, który składa się jedynie z jednego rodzaju danych osobowych, np. adresu e-mail (newsletter)

ü  Teoria: obowiązek zgłoszenia zbioru danych przed ich uzyskaniem i rozpoczęciem ich przetwarzania ü  Zgłoszenie nie wiąże się z żadnymi opłatami ü  Możliwość zgłoszenia zbioru danych drogą elektroniczną za pomocą specjalnego formularza

(platforma egiodo.giodo.gov.pl) Konieczność wskazania:

ü  Danych administratora ü  Podstawy przetwarzania danych osobowych ü  Zakresu zbieranych danych ü  Celu przetwarzania danych ü  Ewentualnych planów udostępnienia danych podmiotom trzecim ü  Środków zabezpieczenia danych osobowych

Dla zgłaszanego zbioru należy opracować odpowiednią dokumentację:

ü  Politykę bezpieczeństwa (wraz z wykazem zbiorów, osób uprawnionych do dokonywania czynności związanych z przetwarzaniem danych)

ü  Instrukcję zarządzania systemami informatycznymi ü  Rejestr jest jawny

21  

22  

Nowelizacja – 1.01.2015 Ø  alternatywa wobec rejestracji zbioru: zgłoszenie do GIODO powołania Administratora

Bezpieczeństwa Informacji (ABI)

Ø  powołanie ABI to możliwość – w innym przypadku jego funkcje pełni sam ADO

Ø  głównym zadaniem ABI jest zapewnianie przestrzegania przepisów ODO, w szczególności przez:

ü  sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,

ü  nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, oraz przestrzegania zasad w niej określonych,

ü  zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

Ø  dodatkowym zadaniem ABI jest prowadzenie rejestru zbiorów danych przetwarzanych

przez ADO

23  

Nowelizacja – 1.01.2015 Ø  funkcję ABI może pełnić osoba, która:

ü  ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych, ü  posiada odpowiednią wiedzę w zakresie ochrony danych osobowych, ü  nie była karana za umyślne przestępstwo.

Ø  przesłanka posiadania przez ABI odpowiedniej wiedzy w zakresie ochrony danych osobowych (art. 36a ust. 5 pkt 2 u.o.d.o.) jest oceniana przez samego administratora danych. Działając we własnym interesie powinien on powołać osobę, która ma rzeczywistą wiedzę z zakresu ochrony danych. Znowelizowane przepisy u.o.d.o. nie wprowadzają wymogu posiadania przez ABI jakichkolwiek certyfikatów, poświadczeń ukończenia odpowiednich szkoleń itp. Poziom odpowiedniej wiedzy powinien być dostosowany do prowadzonych u administratora danych operacji przetwarzania danych oraz wymogów ich ochrony.

Ø  fakt powołania i odwołania ABI należy zgłosić GIODO w terminie 30 dni (każda zmiana w zakresie

zgłoszenia - 14 dni)

Ø  GIODO prowadzi jawny rejestr ABI – zawiera dane ADO i ABI

24  

ADO bez ABI Ø  w przypadku niepowołania ABI, ADO:

ü  musi sprawdzać zgodność przetwarzania danych osobowych z przepisami o ochronie danych

ü  nadzorować opracowywanie i aktualizację dokumentacji ochrony danych osobowych, a także zapoznawać osoby upoważnione do przetwarzania danych z odpowiednimi przepisami

ü  przeprowadzać wewnętrzne kontrole i szkolenia Ø  ADO nie ma żadnych wskazówek od ustawodawcy, jak wykonywać swoje obowiązki. Ø  rozporządzenia MAiC z dnia 11.05.2015 roku skierowane jest do ABI, Ø  ADO może tam znaleźć podpowiedzi jak zaplanować sprawdzenie, jakie obszary powinien

objąć kontrolą, czy jakimi metodami wykonać sprawdzenia; Ø  modele wykonywania obowiązków przez ADO:

ü  samodzielna realizacja zadań; ü  powierzenie innej osobie, bez powoływania jej na ABI; ü  wyznaczenie całego zespołu odpowiedzialnego za ochronę danych.

Niezależnie od modelu, to ADO odpowiada za realizację ustawowych zadań, a powierzenie obowiązków innym nie zwalnia ADO z odpowiedzialności.

25  

Zadania zastrzeżone wyłącznie dla ABI

Ø  ADO działający bez ABI nie musi wykonywać dwóch obowiązków: ü  przygotowywać sprawozdań ze sprawdzeń; ü  prowadzić rejestru zbiorów danych.

Ø  ABI przekłada sprawozdanie ADO, więc, jeżeli ADO sam prowadzi

sprawdzenie, nie składa sprawozdania, jak również nie zostanie wezwany przez GIODO do sprawdzenia i przedłożenia sprawozdania;

Ø  ADO, który nie powołał ABI, musi na dotychczasowych zasadach zgłaszać

zbiory do rejestracji w GIODO; powołanie i zgłoszenie ABI do rejestru, może zwolnić go z obowiązku zgłaszania zbiorów danych osobowych zwykłych (zbiory te są bowiem wpisywane do rejestru ABI);

Ø  w przypadku danych wrażliwych, nawet jeżeli ABI jest powołany i prowadzi własny rejestr, zbiór takich danych musi zostać zgłoszony.

26  

Jakie zbiory podlegają wpisowi do rejestru prowadzonego przez ABI?

Rejestr prowadzony przez ABI nie obejmuje:

ü  zbiorów, które do tej pory nie wymagały zgłoszenia do GIODO, a więc np. zbiorów

danych pracowniczych;

ü  zbiorów, zawierających tzw. dane wrażliwe, bowiem te zbiory nadal podlegają

obowiązkowemu zgłoszeniu do GIODO, nawet wówczas, gdy powołany został ABI;

Informacje o zbiorach zgłoszonych wcześniej do GIODO

ü  informacje zawarte w rejestrze GIODO będą nadal jawne i dostępne, bowiem ADO nie

będzie miał obowiązku wykreślenia ich z dotychczasowego rejestru, ale jednocześnie

nie będzie musiał dokonywać ich aktualizacji.

27  

Komu i w jaki sposób należy udostępniać rejestr prowadzony przez

ABI? Ø  Prowadzony przez ABI rejestr jest jawny, a więc musi być dostępny do

przeglądania dla osób trzecich

Ø  Zasady udostępniania zależą od tego czy rejestr jest prowadzony w wersji papierowej, czy elektronicznej

Ø  Wybór sposobu udostępniania należy do ADO lub ABI

W przypadku prowadzenia zbiorów w wersji elektronicznej udostępnienie może odbywać się:

Ø  na stronie internetowej administratora danych, przy czym na stronie głównej umieszcza się odwołanie umożliwiające bezpośredni dostęp do rejestru,

Ø  na stanowisku dostępowym w systemie informatycznym administratora danych znajdującym się w siedzibie lub miejscu zamieszkania tego administratora,

Ø  przez sporządzenie wydruku rejestru z systemu informatycznego administratora danych.

28  

Problem przepisów przejściowych – art. 35 ustawy nowelizującej

Ø  funkcję ABI przewidywały przepisy sprzed nowelizacji, jednak przedtem wykonywał on jedynie ogólne zadanie nadzoru nad przestrzeganiem zasad ochrony danych;  

Ø  zgodnie z przepisem przejściowym ABI wyznaczony przed 1 stycznia 2015 z mocy prawa pełni tę funkcję w rozumieniu nowych przepisów do czasu jego zgłoszenia do GIODO, jednak nie dłużej niż do 30 czerwca 2015 r.  

Ø  jeżeli administrator danych nie zgłosił dotychczasowego ABI to po 30 czerwca 2015 r. przestał on pełnić tę funkcję, a zadania określone w ustawie ODO zobowiązany jest wykonywać ADO.  

29  

Czy ABI jest naprawdę niezależny? Osoba pełniąca funkcję ABI po 1 lipca 2015 musi: Ø  mieć wyodrębnione stanowisko pracy Ø  podlegać bezpośrednio kierownikowi danej jednostki organizacyjnej (np.

zarządowi spółki) Ø  mieć zagwarantowaną organizacyjną odrębność (co może się wiązać z

koniecznością utworzenia nowego etatu) Sytuacja prawna ABI: Ø  pracodawcą ABI jest ADO Ø  GIODO może zażądać od ABI sporządzenia raportu o sposobie przetwarzania

danych osobowych w przedsiębiorstwie Ø  o wykrytych nieprawidłowościach ABI musi zawiadomić GIODO, czyli donieść na

swojego pracodawcę Ø  brak formalnych gwarancji nietykalności ze strony pracodawcy, ponieważ ABI

jest finansowo i prawnie, w oparciu o kodeks pracy, uzależniony od podmiotu, który kontroluje

Ø  za nieprawidłowości w firmie odpowiadać, także karnie, dalej będzie ADO, Istnieje zatem ryzyko braku obiektywizmu przy wykonywaniu obowiązków przez ABI. 30  

Kary za naruszenie przepisów ODO

Ø  Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2;

Ø  Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2;

Ø  Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku;

Ø  Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku;

Ø  Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku

Ø  Kto inspektorowi udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

31

Dziękujemy za uwagę i zapraszamy do współpracy

Chabasiewicz, Kowalska i Partnerzy Radcowie Prawni

Centrum Biurowe BIPROSTAL

ul. Królewska 57, 30-081 Kraków

tel: +48 12 297 38 38, +48 12 297 38 30 fax: +48 12 297 38 39

agata.kowalska@ck-legal.pl

www.ck-legal.pl

Zapraszamy na naszego bloga: www.prawainwestora.pl

32