1. Dane osobowe w data center –
podstawowe pojęcia,
możliwości, zagrożenia
Chabasiewicz Kowalska i Partnerzy
Warszawa, 21 kwietnia 2015
1
2. Plan wystąpienia
1. Pojęcie danych osobowych
2. Zasady gromadzenia i przetwarzania danych osobowych
3. Uprawnienia posiadacza danych osobowych
4. Rejestracja zbiorów danych
5. ABI – nowelizacja
6. Powierzenie przetwarzania danych osobowych
7. Bezpieczeństwo danych osobowych w data center
8. Kary za naruszenie przepisów dot. ochrony danych
osobowych
9. Prawo do bycia zapomnianym
2
3. Co to są dane osobowe?
dane osobowe: wszelkie informacje: imię, nazwisko i adres, zdjęcia,
filmy, zarejestrowane głosy, tzw. dane biometryczne (cechy źrenicy, linie
papilarne, cechy twarzy, geometria ręki) itp. – pod warunkiem, że mogą
służyć do zidentyfikowania osoby. Informacja staje się więc daną
osobową, jeżeli można tę informację powiązać z konkretną osobą bez
ponoszenia nadmiernych kosztów;
Ø Adres IP?
Ø Adres e-mail? (kancelaria@ck-legal.pl vs agata.kowalska@ck-legal.pl)
Ø Cookies?
Ø Rodzaje danych osobowych: zwykłe i wrażliwe
4. Obowiązki informacyjne - wykonywanie
System
przekazywania
informacji
ESPI EBI
Kto raportuje? Spółka publiczna Spółka notowana na
NewConnect
O czym
raportuje?
Art. 70 ustawy o ofercie
Ø o zmianach w strukturze
akcjonariatu po
przekroczeniu określonych
progów
Art. 156 – 160 ustawy o obrocie
Ø kwestie dot. ujawniania i
wykorzystywania informacji
poufnej
Ø obowiązek informowania o
transakcji na akcjach
emitenta określonych osób
Regulamin ASO
Ø raporty bieżące
(cenotwórcze) i
okresowe
Zasady gromadzenia i przetwarzania
danych osobowych
ü Zakres przetwarzania danych
„Przez przetwarzanie danych rozumie się jakiekolwiek operacje wykonywane na
danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie,
opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które
wykonuje się w systemach informatycznych.”
ü Zasady przetwarzania danych osobowych
ü Legalność: przetwarzane zgodnie z prawem
ü Celowość: dane zbierane dla oznaczonych, zgodnych z prawem
celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi
celami
ü Adekwatność: dane merytorycznie poprawne i adekwatne w stosunku
do celów, w jakich są przetwarzane
ü Jakiego zakresu danych możemy żądać?
5. Obowiązki informacyjne - wykonywanie
System
przekazywania
informacji
ESPI EBI
Kto raportuje? Spółka publiczna Spółka notowana na
NewConnect
O czym
raportuje?
Art. 70 ustawy o ofercie
Ø o zmianach w strukturze
akcjonariatu po
przekroczeniu określonych
progów
Art. 156 – 160 ustawy o obrocie
Ø kwestie dot. ujawniania i
wykorzystywania informacji
poufnej
Ø obowiązek informowania o
transakcji na akcjach
emitenta określonych osób
Regulamin ASO
Ø raporty bieżące
(cenotwórcze) i
okresowe
Zasady gromadzenia i przetwarzania
danych osobowych
Podstawy przetwarzania danych osobowych
ü Zgoda posiadacza danych osobowych (chyba, że chodzi o ich usunięcie)
ü Niezbędność dla zrealizowania uprawnienia lub spełnienia obowiązku
wynikającego z przepisu prawa
ü Konieczność do realizacji umowy, gdy osoba, której dane dotyczą, jest jej
stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy
na żądanie osoby, której dane dotyczą;
ü Niezbędność do wykonania określonych prawem zadań realizowanych dla
dobra publicznego;
ü Niezbędność dla wypełnienia prawnie usprawiedliwionych celów realizowanych
przez administratorów danych albo odbiorców danych, a przetwarzanie nie
narusza praw i wolności osoby, której dane dotyczą.
ü marketing bezpośredni własnych produktów lub usług administratora danych
ü dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej
6.
Klauzula zgody na przetwarzanie
danych osobowych
ü Forma:
ü niedopuszczalność zgody dorozumianej! Musi być wyraźna
ü ustna, pisemna, wyrażona za pomocą elektronicznych środków przekazu (np.
„checkboxa” w internetowym formularzu),
ü tylko pisemna: dane wrażliwe
ü Jedna zgoda = jeden cel
ü precyzyjne sformułowanie celu
ü niedopuszczalność formułowania klauzuli blankietowej
ü niedopuszczalność uzależniania możliwości skorzystania z płatnej usługi od
wyrażenia zgody na przetwarzanie danych (inaczej przy usługach bezpłatnych)
6
7.
Klauzula zgody na przetwarzanie
danych osobowych
ü Informacja o administratorze danych (oraz ewentualnie innych podmiotach, które
będą przetwarzać dane osobowe)
ü Precyzyjność: "Zgoda na przekazywanie danych musi mieć charakter wyraźny, a
jej wszystkie aspekty muszą być jasne dla podpisującego w momencie jej
wyrażania.” (wyrok NSA z dnia 4 kwietnia 2003 r., sygn. akt II SA 2135/2002)
ü Przykładowa klauzula zgody:
Wyrażam zgodę na przetwarzanie moich danych osobowych przez (nazwa firmy i
adres siedziby) w celu otrzymywania drogą elektroniczną wiadomości na tematy
związane z e-biznesem, takie jak ______________. Oświadczam, że znam prawo do
wglądu, zmiany i żądania zaprzestania przetwarzania swoich danych. Dane podaję
dobrowolnie.
7
8. Uprawnienia posiadacza danych
osobowych
Ø każdej osobie przysługuje prawo kontroli przetwarzania danych, które jej
dotyczą, w tym do uzyskania wyczerpującej informacji od administratora danych
w tym zakresie,
Ø możliwość żądania uzupełnienia, uaktualnienia, sprostowania danych
osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich
usunięcia,
Ø prawo sprzeciwu wobec przetwarzania danych osobowych w celach
marketingowych lub przekazywania ich innemu administratorowi danych
osobowych,
Ø możliwość odwołania zgody na przetwarzanie danych osobowych – w każdym
czasie, bez konieczności uzasadniania,
Ø jeśli administrator danych osobowych nie respektuje powyższych uprawnień,
naraża się na odpowiedzialność karną;
8
9. Rejestracja zbioru danych
1. Generalna zasada rejestracji wszystkich zbiorów danych (art. 40
UODO).
2. Zwolnienia z obowiązku rejestracji zbiorów danych:
Ø objętych tajemnicą państwową ze względu na obronność lub bezpieczeństwo
państwa, ochronę życia i zdrowia ludzi, mienia lub bezpieczeństwa i porządku
publicznego,
Ø przetwarzanych przez wskazane w ustawie organy,
Ø dotyczących członków kościoła lub innego związku wyznaniowego,
Ø dotyczących osób u nich zatrudnionych, świadczących usługi, zrzeszonych lub
uczących się,
Ø dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej,
adwokackiej lub radcy prawnego, biegłego rewidenta lub rzecznika
patentowego,
- tworzonych na podstawie ordynacji wyborczych
Ø dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie
niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia
wolności,
Ø przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub
prowadzenia sprawozdawczości finansowej,
Ø powszechnie dostępnych,
Ø przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu
ukończenia szkoły wyższej lub stopnia naukowego,
Ø przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.
10. Rejestracja zbioru danych
ü Zbiór danych – niezależnie od ilości rekordów czy rodzajów zbieranych
danych
ü GIODO: należy zarejestrować zbiór danych osobowych, który składa się
jedynie z jednego rodzaju danych osobowych, np. adresu e-mail (newsletter)
ü Teoria: obowiązek zgłoszenia zbioru danych przed ich uzyskaniem i rozpoczęciem
ich przetwarzania
ü Zgłoszenie nie wiąże się z żadnymi opłatami
ü Możliwość zgłoszenia zbioru danych drogą elektroniczną za pomocą specjalnego
formularza (platforma egiodo.giodo.gov.pl)
ü Konieczność wskazania:
ü Danych administratora
ü Podstawy przetwarzania danych osobowych
ü Zakresu zbieranych danych
ü Celu przetwarzania danych
ü Ewentualnych planów udostępnienia danych podmiotom trzecim
ü Środków zabezpieczenia danych osobowych
ü Dla zgłaszanego zbioru należy opracować odpowiednią dokumentację:
ü Politykę bezpieczeństwa (wraz z wykazem zbiorów, osób uprawnionych do
dokonywania czynności związanych z przetwarzaniem danych)
ü Instrukcję zarządzania systemami informatycznymi
ü Rejestr jest jawny
11.
12. Nowelizacja – 1.01.2015
ü Alternatywa wobec rejestracji zbioru: zgłoszenie GIODO faktu powołania
Administratora Bezpieczeństwa Informacji (ABI)
ü Powołanie ABI to jedynie możliwość – w innym przypadku jego funkcje pełni
sam administrator danych osobowych
ü Głównym zadaniem ABI jest zapewnianie przestrzegania przepisów o ochronie
danych osobowych , w szczególności przez:
ü sprawdzanie zgodności przetwarzania danych osobowych z przepisami
o ochronie danych osobowych oraz opracowanie w tym
zakresie sprawozdania dla administratora danych,
ü nadzorowanie opracowania i aktualizowania dokumentacji opisującej
sposób przetwarzania danych oraz środki techniczne i organizacyjne
zapewniające ochronę przetwarzanych danych osobowych odpowiednią
do zagrożeń oraz kategorii danych objętych ochroną, oraz przestrzegania
zasad w niej określonych,
ü zapewnianie zapoznania osób upoważnionych do przetwarzania danych
osobowych z przepisami o ochronie danych osobowych.
ü Dodatkowym zadaniem ABI jest prowadzenie rejestru zbiorów
danych przetwarzanych przez administratora danych
13. Nowelizacja – 1.01.2015
ü Funkcję ABI może pełnić osoba, która:
ü ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw
publicznych,
ü posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,
ü nie była karana za umyślne przestępstwo.
ü Przesłanka posiadania przez ABI odpowiedniej wiedzy w zakresie ochrony
danych osobowych (art. 36a ust. 5 pkt 2 u.o.d.o.) jest oceniana przez samego
administratora danych. Działając we własnym interesie powinien on powołać
osobę, która ma rzeczywistą wiedzę z zakresu ochrony danych. Znowelizowane
przepisy u.o.d.o. nie wprowadzają wymogu posiadania przez ABI jakichkolwiek
certyfikatów, poświadczeń ukończenia odpowiednich szkoleń itp. Poziom
odpowiedniej wiedzy powinien być dostosowany do prowadzonych u administratora
danych operacji przetwarzania danych oraz wymogów ich ochrony.
ü Fakt powołania ABI należy zgłosić GIODO w ciągu 30 dni
ü GIODO prowadzi rejestr ABI, który jest jawny – zawiera dane administratora
i dane ABI
14. Zasady obrotu danymi osobowymi
Obowiązek uzyskania zgody na sprzedaż
danych
Obowiązek poinformowania osoby, której
dane dotyczą o nabyciu danych (art. 25
UODO)
Obowiązek poinformowania GIODO o zmianie
administratora danych (art. 41 ust. 2 UODO)
15. Powierzenie przetwarzania danych
osobowych
Prawo do powierzenia przetwarzania podmiotowi trzeciemu:
Ø Powierzenie a przekazanie (sprzedaż) danych
Ø Obowiązek zawarcia pisemnej umowy o przetwarzanie danych;
Ø Odpowiedzialność administratora danych za sposób ich
przetwarzania;
Ø Odpowiedzialność umowna podmiotu przetwarzającego dane;
Ø Ograniczenia możliwości powierzenia przetwarzania danych
podmiotowi zagranicznemu:
ü obowiązek zachowania standardów ochrony danych osobowych (art. 47
UODO)
ü certyfikat programu Safe harbour,
ü zgoda GIODO zezwalająca na powierzenie przetwarzania danych
osobowych
16.
Bezpieczeństwo danych osobowych
w data center
ü „Dekalog Chmuroluba”
ü przygotowany przez GIODO dla administracji publicznej, lecz jest na tyle uniwersalny, że mogą
stosować go inne podmioty
ü Mówi m.in. o:
ü obowiązkach informacyjnych w zakresie fizycznej lokalizacji serwerów,
ü obowiązku raportowania o wszystkich incydentach bezpieczeństwa danych,
ü stosowaniu jednolitych klauzul umownych i kontroli łańcucha podwykonawców,
ü ełnym dostępie do dokumentacji dotyczącej zasad bezpieczeństwa i stosowanych
zabezpieczeniach
ü norma ISO/IEC 27018:2014 Code of practice for protection of personally identifiable information (PII) in
public clouds acting as PII processors
ü opracowana przez Międzynarodową Organizację Normalizacyjną (ISO) i Międzynarodową
Komisję Elektrotechniczną (IEC)
ü celem jest zapewnienie jakości i jednolitości standardów w zakresie ochrony danych stosowanych
przez globalnych dostawców usług w chmurze działających transgranicznie
16
17.
Bezpieczeństwo danych osobowych
w data center
ü norma ISO/IEC 27018:2014 – podstawowe założenia
ü zapewnienie użytkownikom kontroli nad przetwarzanymi danymi - możliwość dostępu,
poprawiania i usunięcia danych, a także przetwarzania ich zgodnie z instrukcjami i
wskazanym celem
ü zapewnienie ograniczeń w ujawnianiu i dostępie do danych ze strony podmiotów trzecich
np. podwykonawców
ü zapewnienie odpowiedniego szkolenia zespołowi który ma dostęp do danych
ü przetwarzanie informacji w celach marketingowych jest dopuszczalne wyłącznie po
wyrażeniu jednoznacznej zgody przez klienta, a korzystanie z usługi nie może być
uzależnione od wyrażenia takiej zgody
ü obowiązek powiadomienia o każdym przypadku uzyskania dostępu do informacji przez
nieuprawniony do tego podmiot
ü wdrożenie norm jest dobrowolne - niemniej ułatwia wykazanie zachowania standardów
bezpieczeństwa ; potwierdzane jest certyfikatem
17
18.
Błędy związane z przetwarzaniem
danych osobowych
ü Uzależnienia możliwości skorzystania z płatnej usługi od wyrażenia zgody na przetwarzanie
danych
ü usługa bezpłatna (np. poczta e-mail) – dopuszczalność wprowadzenia obowiązku zgody na wykorzystanie danych
osobowych – dane osobowe jako „waluta”
ü Zaznaczone domyślnie checkboxy (lub nawet ich brak)
ü Łączenie akceptacji regulaminu ze zgodą na przetwarzanie danych
ü Oświadczenie o wyrażeniu zgody na przetwarzanie danych w celach innych niż realizacja warunków umownych,
nie może znajdować się jako jedno z postanowień umownych. Zgoda na przetwarzanie danych w celach
marketingowych, reklamowych, informacyjnych [... ] musi być odrębnym oświadczeniem woli, z treści którego
wynikałaby zgoda na przetwarzanie w tym właśnie celu. [wyrok Naczelnego Sądu Administracyjnego z dn.
19.11.2001 r., II SA 2748/00)
ü Łączenie zgód na przetwarzanie danych w różnych celach/przez różne podmioty
ü Zgoda na przesyłanie informacji handlowej, zgoda na cele marketingowe, zgoda na przekazanie danych
podmiotowi trzeciemu
ü Zgoda na udostępnienie danych osobom trzecim musi być odrębnym od postanowień umownych oświadczeniem
woli abonenta, nie musi on bowiem godzić się na udostępnienie swych danych osobom trzecim. [wyrok
Naczelnego Sądu Administracyjnego z dn. 19.11.2001 r., II SA 2748/00]
ü Żądanie zgody blankietowej – w zakresie celu lub podmiotu który będzie przetwarzał dane
osobowe
18
19. Kary związane z naruszeniem przepisów
dot. ochrony danych osobowych
Ø Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest
dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega
grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2;
Ø Kto administrując zbiorem danych lub będąc obowiązany
do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich
osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo
pozbawienia wolności do lat 2;
Ø Kto administrując danymi narusza choćby nieumyślnie obowiązek
zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem
lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo
pozbawienia wolności do roku;
19
20. Kary związane z naruszeniem przepisów
dot. ochrony danych osobowych
Ø Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega
grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku;
Ø Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania
osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji
umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do
roku
Ø Kto inspektorowi udaremnia lub utrudnia wykonanie czynności kontrolnej,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat
2.
20
21. Informacja vs ochrona danych osobowych
Wyrok TSUE z 13 maja 2014, sprawa C-131/12 Google Spain SL i Google Inc.
przeciwko Agencia Española de Protección de Datos (AEPD) i Mario Costeja
González.
ü każdy użytkownik Internetu ma prawo zgłosić swoje zastrzeżenia co do wyników
wyszukiwania, które mogą naruszać jego prywatność (usuwanie linków do informacji
„nieistotnych lub nieaktualnych”);
ü przeglądarki internetowe powinny usuwać niektóre wyniki wyszukiwań, które naruszają
prywatność na prośbę poszczególnych użytkowników;
ü jeżeli firma odmówi, należy zgłosić sprawę do odpowiedniej instytucji, która może wydać
wyrok, zmuszający ją do tego;
ü Google np. ocenia potrzebę ochrony prywatności danej osoby, jednocześnie biorąc pod
uwagę prawo dostępu do informacji publicznej i prawo do jej rozpowszechniania; sprawdza, czy
wyniki wyszukiwania zawierają nieaktualne/nieprawdziwe informacje o zgłaszającym prośbę
oraz czy jest interes publiczny w udostępnianiu wskazanych informacji (np. może odmówić
usunięcia określonych informacji o nadużyciach finansowych, nieprawidłowościach w pracy
zawodowej, postępowaniach karnych lub publicznym zachowaniu przedstawicieli władz).
21
22. Dziękujemy za uwagę
i zapraszamy do współpracy
Chabasiewicz, Kowalska i Partnerzy
Radcowie Prawni
Centrum Biurowe BIPROSTAL
ul. Królewska 57, 30-081 Kraków
tel: +48 12 297 38 38, +48 12 297 38 30
fax: +48 12 297 38 39
agata.kowalska@ck-legal.pl
kancelaria@ck-legal.pl
www.ck-legal.pl
zapraszamy na naszego bloga:
www.prawainwestora.pl