dane osobowe nowe możliwosci i zagrozenia
TRANSCRIPT
Dane osobowe – nowe możliwości i zagrożenia
Chabasiewicz Kowalska i Partnerzy
Kraków, 28 września 2015
Plan wystąpienia
1. Pojęcie danych osobowych 2. Zasady gromadzenia i przetwarzania danych osobowych 3. Uprawnienia posiadacza danych osobowych 4. Rejestracja zbiorów danych 5. ABI – nowelizacja 6. Powierzenie przetwarzania danych osobowych 7. Bezpieczeństwo danych osobowych 8. Prawo do bycia zapomnianym 9. Kary za naruszenie przepisów dot. ochrony danych
osobowych
2
Co to są dane osobowe? dane osobowe: wszelkie informacje: imię, nazwisko i adres, zdjęcia, filmy, zarejestrowane głosy, tzw. dane biometryczne (cechy źrenicy, linie papilarne, cechy twarzy, geometria ręki) itp. – pod warunkiem, że mogą służyć do zidentyfikowania osoby. Informacja staje się więc daną osobową, jeżeli można tę informację powiązać z konkretną osobą bez ponoszenia nadmiernych kosztów; Ø Adres IP? Ø Adres e-mail? ([email protected] vs [email protected]) Ø Cookies?
Ø Rodzaje danych osobowych: zwykłe i wrażliwe
3
Co to są dane wrażliwe? Dane wrażliwe to dane ujawniające:
ü pochodzenie rasowe lub etniczne,
ü poglądy polityczne,
ü przekonania religijne lub filozoficzne, ü przynależność wyznaniową, partyjną lub związkową, jak również o stanie zdrowia, kodzie
genetycznym, nałogach lub życiu seksualnym ü dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń
wydanych w postępowaniu sądowym lub administracyjnym
Dane wrażliwe są chronione w sposób szczególny i wiążą się z nimi obowiązki: ü uzyskania pisemnej zgody na ich przetwarzanie; ü dokonywania zgłoszenia zmiany tych danych przed ujawnieniem zmiany danych w zbiorze; ü wydania przez GIODO zaświadczenia o zarejestrowaniu zbioru tych danych (w przypadku pozostałych
danych zaświadczenie jest fakultatywne); ü rejestracji zbioru nawet pomimo prowadzenia go wyłącznie w formie papierowej; ü rozpoczęcia przetwarzania danych dopiero po ich zarejestrowaniu (a nie od razu po zgłoszeniu jak w
przypadku pozostałych danych).
4
Obowiązki informacyjne - wykonywanie
System przekazywania informacji
ESPI EBI
Kto raportuje? Spółka publiczna Spółka notowana na NewConnect
O czym raportuje?
Art. 70 ustawy o ofercie Ø o zmianach w strukturze
akcjonariatu po przekroczeniu określonych progów
Art. 156 – 160 ustawy o obrocie Ø kwestie dot. ujawniania i
wykorzystywania informacji poufnej
Ø obowiązek informowania o transakcji na akcjach emitenta określonych osób
Regulamin ASO Ø raporty bieżące
(cenotwórcze) i okresowe
Zasady gromadzenia i przetwarzania danych osobowych
Zakres przetwarzania danych Przez przetwarzanie danych rozumie się jakiekolwiek operacje wykonywane na
danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
Zasady przetwarzania danych osobowych: ü Legalność: przetwarzane zgodnie z prawem ü Celowość: dane zbierane dla oznaczonych, zgodnych z prawem
celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami
ü Adekwatność: dane merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane ü Jakiego zakresu danych możemy żądać?
5
Obowiązki informacyjne - wykonywanie
System przekazywania informacji
ESPI EBI
Kto raportuje? Spółka publiczna Spółka notowana na NewConnect
O czym raportuje?
Art. 70 ustawy o ofercie Ø o zmianach w strukturze
akcjonariatu po przekroczeniu określonych progów
Art. 156 – 160 ustawy o obrocie Ø kwestie dot. ujawniania i
wykorzystywania informacji poufnej
Ø obowiązek informowania o transakcji na akcjach emitenta określonych osób
Regulamin ASO Ø raporty bieżące
(cenotwórcze) i okresowe
Zasady gromadzenia i przetwarzania danych osobowych
Podstawy przetwarzania danych osobowych
ü Zgoda posiadacza danych osobowych (chyba, że chodzi o ich usunięcie) ü Niezbędność dla zrealizowania uprawnienia lub spełnienia obowiązku
wynikającego z przepisu prawa ü Konieczność do realizacji umowy, gdy osoba, której dane dotyczą, jest jej
stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;
ü Niezbędność do wykonania określonych prawem zadań realizowanych dla dobra publicznego;
ü Niezbędność dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. ü marketing bezpośredni własnych produktów lub usług administratora danych ü dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej
6
Jak uzyskać zgodę? Na każdą formę marketingu potrzebna jest zgoda odbiorcy
Zgoda musi być: ü uprzednia ü wyraźna i oddzielona od innych zgód ü odpowiedniej treści ü utrwalona i potwierdzona przez użytkownika (gdy pozyskana drogą
elektroniczną) ü możliwa do odwołania (bez żadnych dodatkowych kosztów)
Ø uprzednia, a wiec zebrana przed wykorzystaniem urządzenia telekomunikacyjnego do marketingu bezpośredniego ü uzyskana np. przy okazji ustalania szczegółów realizacji umowy, zamówienia;
Ø samodzielne i odrębne oświadczenie (oddzielny „checkbox”) Ø utrwalona w dowolny sposób:
ü zarejestrowana w systemie ü double opt-in - po wypełnieniu formularza użytkownik musi kliknąć w link potwierdzający
wysłany mailem
7
Klauzula zgody na przetwarzanie
danych osobowych
ü niedopuszczalność zgody dorozumianej - musi być wyraźna ü ustna, pisemna, wyrażona za pomocą elektronicznych środków przekazu;
tylko pisemna: dane wrażliwe jedna zgoda = jeden cel = jeden checkbox
ü precyzyjne sformułowanie celu ü niedopuszczalność formułowania klauzuli blankietowej ü niedopuszczalność uzależniania możliwości skorzystania z płatnej usługi
od wyrażenia zgody na przetwarzanie danych (inaczej przy usługach bezpłatnych)
ü niedopuszczalne jest ukrywanie zgody w regulaminie, umowie czy łączenie z inną zgodą.
8
Klauzula zgody na przetwarzanie
danych osobowych
ü Informacja o administratorze danych (oraz ewentualnie innych podmiotach, które będą przetwarzać dane osobowe);
ü Precyzyjność: "Zgoda na przekazywanie danych musi mieć charakter wyraźny, a jej wszystkie aspekty muszą być jasne dla podpisującego w momencie jej wyrażania.” (wyrok NSA z dnia 4 kwietnia 2003 r., II SA 2135/2002)
ü Przykładowa klauzula zgody: Wyrażam zgodę na przetwarzanie moich danych osobowych przez (nazwa firmy i adres siedziby) w celu otrzymywania drogą elektroniczną wiadomości na tematy związane z _____________. Oświadczam, że znam prawo do wglądu, zmiany i żądania zaprzestania przetwarzania swoich danych. Dane podaję dobrowolnie.
ü Sankcje: grzywna, kara ograniczenia wolności, kara pozbawienia wolności do lat 2, kara pieniężna w wysokości do 3 % przychodu przedsiębiorcy z poprzedniego roku kalendarzowego.
9
Błędy związane z przetwarzaniem danych
osobowych Ø Uzależnienie możliwości skorzystania z płatnej usługi od wyrażenia zgody na przetwarzanie danych
ü usługa bezpłatna (np. poczta e-mail) – dopuszczalność wprowadzenia obowiązku zgody na wykorzystanie danych osobowych – dane osobowe jako „waluta”
Ø Zgoda wymuszona – musi zaznaczyć, by móc przejść dalej
Ø Zaznaczone domyślnie checkboxy (lub nawet ich brak) Ø Zgoda ukryta w regulaminie – brak checkboxa Ø Łączenie akceptacji regulaminu ze zgodą na przetwarzanie danych
ü Oświadczenie o wyrażeniu zgody na przetwarzanie danych w celach innych niż realizacja warunków umownych, nie może znajdować się jako jedno z postanowień umownych. Zgoda na przetwarzanie danych w celach marketingowych, reklamowych, informacyjnych [... ] musi być odrębnym oświadczeniem woli, z treści którego wynikałaby zgoda na przetwarzanie w tym właśnie celu. [wyrok Naczelnego Sądu Administracyjnego z dn. 19.11.2001 r., II SA 2748/00)
Ø Łączenie zgód na przetwarzanie danych w różnych celach/przez różne podmioty ü Zgoda na przesyłanie informacji handlowej, zgoda na cele marketingowe, zgoda na przekazanie danych
podmiotowi trzeciemu ü Zgoda na udostępnienie danych osobom trzecim musi być odrębnym od postanowień umownych oświadczeniem
woli abonenta, nie musi on bowiem godzić się na udostępnienie swych danych osobom trzecim. [wyrok Naczelnego Sądu Administracyjnego z dn. 19.11.2001 r., II SA 2748/00]
Ø Żądanie zgody blankietowej – w zakresie celu lub podmiotu który będzie przetwarzał dane osobowe; Ø uwaga na: newsletter, życzenia świąteczne, wiadomość poradnikowa, raport
10
„Tajemniczy” art. 172 UPrTelekom
25.12.2014 – nowelizacja Zakazane jest używanie telekomunikacyjnych urządzeń końcowych (każde urządzenie przeznaczone do podłączenia bezpośrednio lub pośrednio do zakończeń sieci (telefony stacjonarne, komórkowe, smartfony, tablety, faksy, komputery – wiadomości sms/mms, e-mail) i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba, że abonent lub użytkownik końcowy uprzednio wyrazi na to zgodę. Przepis ten nie narusza zakazów i ograniczeń dotyczących przesyłania niezamówionej informacji handlowej wynikających z odrębnych ustaw. Ø bezpośrednie komunikaty kierowanych do starannie wybranych, pojedynczych osób, często w
indywidualnym kontakcie, w celu uzyskania bezpośredniej reakcji (odpowiedzi) np. telemarketing (wykorzystywaniu telefonu do bezpośredniego kontaktu i sprzedaży);
Ø obowiązywanie ograniczenia również w obrocie obustronnie profesjonalnym, a więc w odniesieniu do połączeń na numery przedsiębiorców, fundacji, stowarzyszeń, szkół, szpitali itp.
Ø brak zgody - Prezes UKE decyzją może nałożyć karę pieniężną w wysokości do 3 % przychodu przedsiębiorcy z poprzedniego roku kalendarzowego;
Ø zgoda z art. 172 UPrTelekom jest NIEZALEŻNA od dotychczas funkcjonujących zgód;
„Wyrażam zgodę na używanie przez ………..… telekomunikacyjnych urządzeń końcowych, których jestem użytkownikiem dla celów marketingu bezpośredniego zgodnie z art. 172 ust.1 z dnia 25.12.2014 r.”
11
Jak wysyłać mailing zgodnie z prawem? Bez zgody odbiorcy nie ma mailingu
Ø Jak zbierać?
Bezpośrednio od użytkownika przez checkbox wszędzie tam, gdzie użytkownik podaje swój adres e-mail, np.:
ü rejestracja w sklepie ü dostęp do usługi ü darmowy e-book ü formularz kontaktowy
Ø odpowiednia treść checkboxa – zgoda musi zawierać: ü dane, których dotyczy (wszystkie dane z formularza) ü podmiot, który dane będzie wykorzystywał ü cel wykorzystania danych:
• przetwarzanie danych osobowych w celach marketingowych • wysyłanie informacji handlowej za pośrednictwem poczty elektronicznej • wykorzystywanie zebranych danych w celu marketingu bezpośredniego
ü „wysłanych przez …. w imieniu własnym oraz na zlecenie innych osób”
12
Jak wdrożyć ODO Ø proces wdrożenia ODO w działalności prowadzonej w internecie:
1) regulamin i polityka prywatności 2) proces zbierania zgód od klienta na przetwarzanie danych osobowych 3) identyfikacja i wyodrębnienie poszczególnych zbiorów danych 4) zawarcie umów o powierzeniu danych
ü hostingodawca, wysyłka newslettera (np. MailChimp), drop-shipping (wysyłka przez podmiot trzeci), e-przelewy
5) wewnętrzna dokumentacja ODO ü polityka bezpieczeństwa ochrony danych;
ü instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych;
6) wdrożenie procedur przestrzegania danych w firmie i przeszkolenie pracowników
ü domyślnie niezaznaczone checkboxy;
ü oddzielne zbiory (wg celów przetwarzania) - dane służące do: realizacji zamówienia, wysyłki newslettera, reklamacji;
13
Powierzenie a udostępnienie danych osobowych
Prawo do powierzenia przetwarzania podmiotowi trzeciemu: Ø Powierzenie a przekazanie (udostepnienie/sprzedaż) danych;
ü udostępnienie – osoba trzecia ma możliwość przetwarzania na własny użytek; staje się ADO (decyduje o celach i środkach ich przetwarzania) - wyraźna zgoda klienta
ü powierzenie – procesor ma dostęp do danych zebranych przez ADO, aby zrealizować usługę (przetwarzanie
na rzecz ADO) – nie jest potrzebna dodatkowa zgoda klienta Ø Obowiązek zawarcia pisemnej umowy o przetwarzanie danych (brak zastosowania formy
pisemnej powoduje jedynie skutki w zakresie postępowania dowodowego) Ø Odpowiedzialność administratora danych za sposób ich przetwarzania; Ø Odpowiedzialność umowna podmiotu przetwarzającego dane; Ø Ograniczenia możliwości powierzenia przetwarzania danych podmiotowi zagranicznemu:
ü obowiązek zachowania standardów ochrony danych osobowych (art. 47 UODO) ü certyfikat programu Safe harbour, ü zgoda GIODO zezwalająca na powierzenie przetwarzania danych osobowych
14
Zasady obrotu danymi osobowymi
obowiązek uzyskania zgody na sprzedaż danych?
obowiązek poinformowania osoby, której dane dotyczą o nabyciu danych (art. 25 UODO)
obowiązek poinformowania GIODO o zmianie administratora danych (art. 41 ust. 2 UODO)
15
Sprzedaż bazy danych osobowych ü traktowane jak przetwarzanie danych osobowych („nabycie w drodze umowy jest także
sposobem uzyskiwania czy wydostawania (danych), zakup bazy jest tożsamy z procesem ich zbierania i pozyskiwania”);
ü nabywca bazy danych osobowych powinien wypełnić obowiązki informacyjne (art. 25 ust. 1 UODO) bezpośrednio po utrwaleniu zebranych danych: Ø o adresie siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest
osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku; Ø celu i zakresie zbierania danych (o odbiorcach lub kategoriach odbiorców danych); Ø źródle danych; Ø prawie wglądu do swoich danych oraz ich poprawiania; Ø prawie żądania zaprzestania przetwarzania danych osobowych z uwagi na szczególną
sytuację lub prawie wniesienia sprzeciwu; ü administrator danych może przekazać bazę danych osobowych innemu administratorowi,
jeśli (odpowiednie zabezpieczenia w umowie): Ø osoba otrzyma wszystkie informacje wskazane w art. 25 ust. 1 UODO; Ø nie wniesie ona sprzeciwu wobec przekazywania danych; Ø nie zostanie zmieniony cel przetwarzania danych osobowych.
16
Uprawnienia posiadacza danych osobowych
Ø każdej osobie przysługuje prawo kontroli przetwarzania danych, które jej dotyczą, w tym do uzyskania wyczerpującej informacji od administratora danych w tym zakresie,
Ø możliwość żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia,
Ø prawo sprzeciwu wobec przetwarzania danych osobowych w celach marketingowych lub przekazywania ich innemu administratorowi danych osobowych,
Ø możliwość odwołania zgody na przetwarzanie danych osobowych – w każdym czasie, bez konieczności uzasadniania,
Ø jeśli administrator danych osobowych nie respektuje powyższych uprawnień, naraża się na odpowiedzialność karną;
17
Rejestracja zbioru danych zasada rejestracji wszystkich zbiorów danych (art. 40 UODO) Zwolnienia z obowiązku rejestracji zbiorów danych:
Ø objętych tajemnicą państwową ze względu na obronność lub bezpieczeństwo państwa, ochronę życia i zdrowia ludzi, mienia lub bezpieczeństwa i porządku publicznego,
Ø przetwarzanych przez wskazane w ustawie organy, Ø dotyczących członków kościoła lub innego związku wyznaniowego, Ø dotyczących osób u nich zatrudnionych, świadczących usługi, zrzeszonych lub uczących się, Ø dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej lub radcy
prawnego, biegłego rewidenta lub rzecznika patentowego, Ø tworzonych na podstawie ordynacji wyborczych Ø dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania
tymczasowego aresztowania lub kary pozbawienia wolności, Ø przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości
finansowej, Ø powszechnie dostępnych, Ø przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej
lub stopnia naukowego, Ø przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.
18
Prawo do informacji vs. ODO
Wyrok TSUE z 13 maja 2014, sprawa C-131/12 Google Spain SL i Google Inc. przeciwko Agencia Española de Protección de Datos (AEPD) i Mario Costeja González. ü każdy użytkownik Internetu ma prawo zgłosić swoje zastrzeżenia co do wyników
wyszukiwania, które mogą naruszać jego prywatność (usuwanie linków do informacji „nieistotnych lub nieaktualnych”);
ü przeglądarki internetowe powinny usuwać niektóre wyniki wyszukiwań, które naruszają prywatność na prośbę poszczególnych użytkowników;
ü jeżeli firma odmówi, należy zgłosić sprawę do odpowiedniej instytucji, która może wydać wyrok, zmuszający ją do tego;
ü Google np. ocenia potrzebę ochrony prywatności danej osoby, jednocześnie biorąc pod uwagę prawo dostępu do informacji publicznej i prawo do jej rozpowszechniania; sprawdza, czy wyniki wyszukiwania zawierają nieaktualne/nieprawdziwe informacje o zgłaszającym prośbę oraz czy jest interes publiczny w udostępnianiu wskazanych informacji (np. może odmówić usunięcia okreś lonych informacj i o nadużyciach f inansowych, nieprawidłowościach w pracy zawodowej, postępowaniach karnych lub publicznym zachowaniu przedstawicieli władz).
19
Możliwość pozyskania przez pokrzywdzonego danych osobowych naruszających dobra
osobiste wyrok ETS z 19 kwietnia 2012 roku Bonnier Audio i in. vs. Perfect Communication Sweden AB oraz wyroki polskie np. wyrok WSA z 17 czerwca 2013 roku (II Sa/Wa 152/13), wyrok NSA z 21 sierpnia 2013 roku (I OSK 1666/12) i z 18 kwietnia 2014 roku (I OSK 2789/12)
ü podstawa do udostępnienia danych – art. 23 ust. 1 pkt 5 UODO;
ü przesłanki udostępnienia danych osobowych: ü uzasadniony interes prawny (prawnie usprawiedliwione cele”);
ü proporcjonalność dobra chronionego a dobra naruszanego (wolność wypowiedzi vs. dobro poszkodowanego);
ü niezbędność udostępnienia danych dla ochrony praw;
ü nieuzasadniona odmowa to naruszenie prawa;
ü GIODO na podstawie art. 18 ust. 1 pkt 2 UODO może wydać decyzję nakazującą udostępnienie danych osobowych;
ü obowiązek przetwarzania danych osobowych poprzez ich udostępnienie konkretyzuje się np. w celu zainicjowania postępowania sadowego, co nie narusza praw i wolności osoby, której te dane dotyczą;
20
Rejestracja zbioru danych Zbiór danych – niezależnie od ilości rekordów czy rodzajów zbieranych danych
ü GIODO: należy zarejestrować zbiór danych osobowych, który składa się jedynie z jednego rodzaju danych osobowych, np. adresu e-mail (newsletter)
ü Teoria: obowiązek zgłoszenia zbioru danych przed ich uzyskaniem i rozpoczęciem ich przetwarzania ü Zgłoszenie nie wiąże się z żadnymi opłatami ü Możliwość zgłoszenia zbioru danych drogą elektroniczną za pomocą specjalnego formularza
(platforma egiodo.giodo.gov.pl) Konieczność wskazania:
ü Danych administratora ü Podstawy przetwarzania danych osobowych ü Zakresu zbieranych danych ü Celu przetwarzania danych ü Ewentualnych planów udostępnienia danych podmiotom trzecim ü Środków zabezpieczenia danych osobowych
Dla zgłaszanego zbioru należy opracować odpowiednią dokumentację:
ü Politykę bezpieczeństwa (wraz z wykazem zbiorów, osób uprawnionych do dokonywania czynności związanych z przetwarzaniem danych)
ü Instrukcję zarządzania systemami informatycznymi ü Rejestr jest jawny
21
22
Nowelizacja – 1.01.2015 Ø alternatywa wobec rejestracji zbioru: zgłoszenie do GIODO powołania Administratora
Bezpieczeństwa Informacji (ABI)
Ø powołanie ABI to możliwość – w innym przypadku jego funkcje pełni sam ADO
Ø głównym zadaniem ABI jest zapewnianie przestrzegania przepisów ODO, w szczególności przez:
ü sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
ü nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, oraz przestrzegania zasad w niej określonych,
ü zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.
Ø dodatkowym zadaniem ABI jest prowadzenie rejestru zbiorów danych przetwarzanych
przez ADO
23
Nowelizacja – 1.01.2015 Ø funkcję ABI może pełnić osoba, która:
ü ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych, ü posiada odpowiednią wiedzę w zakresie ochrony danych osobowych, ü nie była karana za umyślne przestępstwo.
Ø przesłanka posiadania przez ABI odpowiedniej wiedzy w zakresie ochrony danych osobowych (art. 36a ust. 5 pkt 2 u.o.d.o.) jest oceniana przez samego administratora danych. Działając we własnym interesie powinien on powołać osobę, która ma rzeczywistą wiedzę z zakresu ochrony danych. Znowelizowane przepisy u.o.d.o. nie wprowadzają wymogu posiadania przez ABI jakichkolwiek certyfikatów, poświadczeń ukończenia odpowiednich szkoleń itp. Poziom odpowiedniej wiedzy powinien być dostosowany do prowadzonych u administratora danych operacji przetwarzania danych oraz wymogów ich ochrony.
Ø fakt powołania i odwołania ABI należy zgłosić GIODO w terminie 30 dni (każda zmiana w zakresie
zgłoszenia - 14 dni)
Ø GIODO prowadzi jawny rejestr ABI – zawiera dane ADO i ABI
24
ADO bez ABI Ø w przypadku niepowołania ABI, ADO:
ü musi sprawdzać zgodność przetwarzania danych osobowych z przepisami o ochronie danych
ü nadzorować opracowywanie i aktualizację dokumentacji ochrony danych osobowych, a także zapoznawać osoby upoważnione do przetwarzania danych z odpowiednimi przepisami
ü przeprowadzać wewnętrzne kontrole i szkolenia Ø ADO nie ma żadnych wskazówek od ustawodawcy, jak wykonywać swoje obowiązki. Ø rozporządzenia MAiC z dnia 11.05.2015 roku skierowane jest do ABI, Ø ADO może tam znaleźć podpowiedzi jak zaplanować sprawdzenie, jakie obszary powinien
objąć kontrolą, czy jakimi metodami wykonać sprawdzenia; Ø modele wykonywania obowiązków przez ADO:
ü samodzielna realizacja zadań; ü powierzenie innej osobie, bez powoływania jej na ABI; ü wyznaczenie całego zespołu odpowiedzialnego za ochronę danych.
Niezależnie od modelu, to ADO odpowiada za realizację ustawowych zadań, a powierzenie obowiązków innym nie zwalnia ADO z odpowiedzialności.
25
Zadania zastrzeżone wyłącznie dla ABI
Ø ADO działający bez ABI nie musi wykonywać dwóch obowiązków: ü przygotowywać sprawozdań ze sprawdzeń; ü prowadzić rejestru zbiorów danych.
Ø ABI przekłada sprawozdanie ADO, więc, jeżeli ADO sam prowadzi
sprawdzenie, nie składa sprawozdania, jak również nie zostanie wezwany przez GIODO do sprawdzenia i przedłożenia sprawozdania;
Ø ADO, który nie powołał ABI, musi na dotychczasowych zasadach zgłaszać
zbiory do rejestracji w GIODO; powołanie i zgłoszenie ABI do rejestru, może zwolnić go z obowiązku zgłaszania zbiorów danych osobowych zwykłych (zbiory te są bowiem wpisywane do rejestru ABI);
Ø w przypadku danych wrażliwych, nawet jeżeli ABI jest powołany i prowadzi własny rejestr, zbiór takich danych musi zostać zgłoszony.
26
Jakie zbiory podlegają wpisowi do rejestru prowadzonego przez ABI?
Rejestr prowadzony przez ABI nie obejmuje:
ü zbiorów, które do tej pory nie wymagały zgłoszenia do GIODO, a więc np. zbiorów
danych pracowniczych;
ü zbiorów, zawierających tzw. dane wrażliwe, bowiem te zbiory nadal podlegają
obowiązkowemu zgłoszeniu do GIODO, nawet wówczas, gdy powołany został ABI;
Informacje o zbiorach zgłoszonych wcześniej do GIODO
ü informacje zawarte w rejestrze GIODO będą nadal jawne i dostępne, bowiem ADO nie
będzie miał obowiązku wykreślenia ich z dotychczasowego rejestru, ale jednocześnie
nie będzie musiał dokonywać ich aktualizacji.
27
Komu i w jaki sposób należy udostępniać rejestr prowadzony przez
ABI? Ø Prowadzony przez ABI rejestr jest jawny, a więc musi być dostępny do
przeglądania dla osób trzecich
Ø Zasady udostępniania zależą od tego czy rejestr jest prowadzony w wersji papierowej, czy elektronicznej
Ø Wybór sposobu udostępniania należy do ADO lub ABI
W przypadku prowadzenia zbiorów w wersji elektronicznej udostępnienie może odbywać się:
Ø na stronie internetowej administratora danych, przy czym na stronie głównej umieszcza się odwołanie umożliwiające bezpośredni dostęp do rejestru,
Ø na stanowisku dostępowym w systemie informatycznym administratora danych znajdującym się w siedzibie lub miejscu zamieszkania tego administratora,
Ø przez sporządzenie wydruku rejestru z systemu informatycznego administratora danych.
28
Problem przepisów przejściowych – art. 35 ustawy nowelizującej
Ø funkcję ABI przewidywały przepisy sprzed nowelizacji, jednak przedtem wykonywał on jedynie ogólne zadanie nadzoru nad przestrzeganiem zasad ochrony danych;
Ø zgodnie z przepisem przejściowym ABI wyznaczony przed 1 stycznia 2015 z mocy prawa pełni tę funkcję w rozumieniu nowych przepisów do czasu jego zgłoszenia do GIODO, jednak nie dłużej niż do 30 czerwca 2015 r.
Ø jeżeli administrator danych nie zgłosił dotychczasowego ABI to po 30 czerwca 2015 r. przestał on pełnić tę funkcję, a zadania określone w ustawie ODO zobowiązany jest wykonywać ADO.
29
Czy ABI jest naprawdę niezależny? Osoba pełniąca funkcję ABI po 1 lipca 2015 musi: Ø mieć wyodrębnione stanowisko pracy Ø podlegać bezpośrednio kierownikowi danej jednostki organizacyjnej (np.
zarządowi spółki) Ø mieć zagwarantowaną organizacyjną odrębność (co może się wiązać z
koniecznością utworzenia nowego etatu) Sytuacja prawna ABI: Ø pracodawcą ABI jest ADO Ø GIODO może zażądać od ABI sporządzenia raportu o sposobie przetwarzania
danych osobowych w przedsiębiorstwie Ø o wykrytych nieprawidłowościach ABI musi zawiadomić GIODO, czyli donieść na
swojego pracodawcę Ø brak formalnych gwarancji nietykalności ze strony pracodawcy, ponieważ ABI
jest finansowo i prawnie, w oparciu o kodeks pracy, uzależniony od podmiotu, który kontroluje
Ø za nieprawidłowości w firmie odpowiadać, także karnie, dalej będzie ADO, Istnieje zatem ryzyko braku obiektywizmu przy wykonywaniu obowiązków przez ABI. 30
Kary za naruszenie przepisów ODO
Ø Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2;
Ø Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2;
Ø Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku;
Ø Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku;
Ø Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku
Ø Kto inspektorowi udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
31
Dziękujemy za uwagę i zapraszamy do współpracy
Chabasiewicz, Kowalska i Partnerzy Radcowie Prawni
Centrum Biurowe BIPROSTAL
ul. Królewska 57, 30-081 Kraków
tel: +48 12 297 38 38, +48 12 297 38 30 fax: +48 12 297 38 39
www.ck-legal.pl
Zapraszamy na naszego bloga: www.prawainwestora.pl
32