Upload
e-biznes-festiwal
View
683
Download
0
Embed Size (px)
DESCRIPTION
Prezentacja z Warszawa Business Day w ramach #e-biznes festiwal 2013.
Citation preview
Grzegorz Wanio, Michał Kluska
Warszawa, dnia 9 października 2013 r.
OCHRONA DANYCH OSOBOWYCH W 2014 R. -
PRZYGOTUJ SWÓJ BIZNES NA ZMIANY Michał Kluska
Warszawa, 29.10.2013 r.
74% Europejczyków uważa ujawnianie danych osobowych za coraz
bardziej znaczący aspekt współczesnego życia.
43% użytkowników Internetu twierdzi, że proszono ich o podanie
większej ilości danych osobowych niż było to konieczne.
Tylko jedna trzecia Europejczyków ma świadomość istnienia krajowego
organu publicznego odpowiedzialnego za ochronę danych (33%).
90% Europejczyków chce takich samych praw do ochrony danych w
całej UE.
Badanie specjalne Eurobarometru 359
Attitudes on Data Protection and Electronic Identity in the European Union (Postawy wobec ochrony
danych oraz tożsamości elektronicznej w Unii Europejskiej), czerwiec 2011
Rozporządzenie Parlamentu Europejskiego i Rady w sprawie
ochrony osób fizycznych w związku z przetwarzaniem danych
osobowych i swobodnym przepływem takich danych
dyrektywa 95/46/WE z dnia 24
października 1995 r. w sprawie ochrony
osób fizycznych w zakresie
przetwarzania danych osobowych i
swobodnego przepływu tych danych
ustawa o ochronie danych osobowych –
29 sierpnia 1997 r.
różny stopień implementacji przepisów
dyrektywy
od 1995 r. do dziś liczba użytkowników
Internetu wzrosła z 18 milionów (z tego w
Polsce 0,50 miliona) do 2,2 miliarda na
świecie i 16,7 miliona w Polsce
25 stycznia 2012 r. Rozporządzenie
Parlamentu Europejskiego i Rady w
sprawie ochrony osób fizycznych w
związku z przetwarzaniem danych
osobowych i swobodnym przepływem
takich danych
bezpośrednie stosowanie przepisów
jednolite standardy w całej Unii
Europejskiej
pewność co do prawa
aktualność regulacji
62 artykuły i 8 stron 91 artykułów i 60 stron
Dyrektywa a rozporządzenie
Rozporządzenie ma zastosowanie do
przetwarzania danych osobowych
podmiotów danych mających miejsce
zamieszkania w Unii przez
administratora niemającego
siedziby w Unii, gdy przetwarzanie
wiąże się z:
a. oferowaniem towarów lub usług takim
podmiotom danych w Unii, lub
b. monitorowaniem ich zachowania.
Zakres międzynarodowy
Badania dot. zgody
zgoda na przetwarzanie danych
osobowych jako jedna z podstaw
legalnego przetwarzania
zgoda nie może być domniemana lub
dorozumiana z oświadczenia woli o innej
treści
treści klauzul zgody na przetwarzanie
danych osobowych powinno w sposób
niebudzący wątpliwości wynikać, w jakim
celu, w jakim zakresie i przez kogo dane
osobowe mogą być przetwarzane
wyrażający zgodę musi mieć pełną
świadomość tego, na co się godzi
wyrok NSA z dnia 4 kwietnia 2003 r.
(sygn. akt II SA 2135/2002) - zgoda na
przekazywanie danych musi mieć
charakter wyraźny, a jej wszystkie
aspekty muszą być jasne dla
podpisującego w momencie jej wyrażania
(…)
„zgoda podmiotu danych” oznacza
a. dobrowolne,
b. szczególne,
c. świadome i
d. wyraźne
oświadczenie woli, przez które podmiot
danych, w drodze oświadczenia lub
wyraźnego działania potwierdzającego,
wyraża zgodę na przetwarzanie dotyczących
go danych osobowych
Warunki „zgody”
równoważność podstaw legalności
przetwarzania danych
przetwarzanie danych jest dopuszczalne
tylko wtedy, gdy:
1. osoba, której dane dotyczą, wyrazi na to
zgodę,
2. jest to niezbędne dla zrealizowania
uprawnienia lub spełnienia obowiązku
wynikającego z przepisu prawa,
3. jest to konieczne do realizacji umowy, gdy
osoba, której dane dotyczą, jest jej stroną lub
gdy jest to niezbędne do podjęcia działań
przed zawarciem umowy na żądanie osoby,
której dane dotyczą,
4. jest niezbędne do wykonania określonych
prawem zadań realizowanych dla dobra
publicznego,
5. jest to niezbędne dla wypełnienia prawnie
usprawiedliwionych celów realizowanych
przez administratorów danych albo
odbiorców danych, a przetwarzanie nie
narusza praw i wolności osoby,
której dane dotyczą.
wykluczenie zgody jako przesłanki
przetwarzania w sytuacji „poważnej
nierówności pomiędzy podmiotem danych
a administratorem”
Zgoda nie stanowi podstawy prawnej
przetwarzania w sytuacji poważnej
nierówności między podmiotem
danych a administratorem
takie postanowienie oznacza, że w
stosunkach pracy jedyną podstawą
przetwarzania powinny być przepisy
prawa pracy, które na obecnym etapie są
całkowicie niedostosowane do realiów
przetwarzania danych
pytanie czy poważna nierówność nie
zachodzi pomiędzy przedsiębiorcą
konsumentem. Gdyby organy nadzorcze
zastosowały taką wykładnie oznaczałoby
to podważenie świadomość wyrażania
zgody przez konsumenta, w oparciu o
założenie, że zgoda jest wymuszona
„poważna nierówność”
według danych SMG/KRC za 2011 r. z
sieci korzysta 9% dzieci w wieku 7-12 lat
(z tego 50% regularnie, każdego dnia) –
około miliona użytkowników w Polsce
nowa definicja dziecka – osoba poniżej
18. roku życia
wymóg uzyskiwania zgody w specjalnym
reżimie
Do celów rozporządzenia, w odniesieniu
do oferowania usług społeczeństwa
informacyjnego bezpośrednio dziecku,
przetwarzanie danych osobowych
dziecka w wieku poniżej 13 lat jest
zgodne z prawem, o ile zgodę na nie
wydał lub pozwolił na nie rodzic lub
opiekun dziecka.
Administrator podejmuje racjonalne
starania w celu uzyskania możliwej do
zweryfikowania zgody, uwzględniając
dostępną technologię.
Dzieci a dane osobowe i usługi
Przetwarzanie danych jest dopuszczalne
tylko wtedy, gdy
(…)
5) jest to niezbędne dla wypełnienia prawnie
usprawiedliwionych celów realizowanych
przez administratorów danych albo
odbiorców danych, a przetwarzanie nie
narusza praw i wolności osoby,
której dane dotyczą
Za prawnie usprawiedliwiony cel uważa
się w szczególności:
1) marketing bezpośredni własnych
produktów lub usług
administratora danych
Marketing bezpośredni
dotychczas w polskich przepisach
szczątkowa regulacja
Administrator danych jest obowiązany
zastosować środki techniczne i
organizacyjne zapewniające ochronę
przetwarzanych danych osobowych
odpowiednią do zagrożeń oraz kategorii
danych objętych ochroną, a w
szczególności powinien zabezpieczyć
dane przed ich udostępnieniem osobom
nieupoważnionym, zabraniem przez
osobę nieuprawnioną, przetwarzaniem z
naruszeniem ustawy oraz zmianą, utratą,
uszkodzeniem lub zniszczeniem.
Administrator danych prowadzi
dokumentację opisującą sposób
przetwarzania danych oraz środki, o
których mowa w ust. 1.
Administrator danych wyznacza
administratora bezpieczeństwa
informacji, nadzorującego przestrzeganie
zasad ochrony, o których mowa powyżej,
chyba że sam wykonuje te czynności.
po stronie administratora lub podmiotu
przetwarzającego dane osobowe będzie
dopilnowanie, by administrator
bezpieczeństwa informacji:
- był właściwie i terminowo włączany we
wszystkie kwestie dotyczące ochrony danych
osobowych,
- wykonywał swoje obowiązki i zadania
niezależnie i nie otrzymywał żadnych poleceń
dotyczących pełnienia swojej funkcji
zgodnie z nowymi przepisami
administrator bezpieczeństwa informacji
podlega bezpośrednio kierownictwu
administratora lub podmiotu
przetwarzającego
Niezależnie od zadań przepisy statuują,
że administrator lub podmiot
przetwarzający wspiera administratora
bezpieczeństwa informacji w
wykonywaniu przez niego zadań i
zapewniają personel, pomieszczenia,
sprzęt i zasoby niezbędne do
wykonywania obowiązków i zadań ABI
Administrator Bezpieczeństwa
Administrator lub podmiot przetwarzający powierzają ABI przynajmniej poniższe zadania:
a. informowanie administratora lub podmiotu przetwarzającego o ich obowiązkach wynikających z
nowego rozporządzenia oraz dokumentowanie tej działalności i uzyskiwanych odpowiedzi
b. monitorowanie wykonania i stosowania polityk administratora lub podmiotu przetwarzającego w
zakresie ochrony danych osobowych, w tym przydział obowiązków, szkolenie personelu
zaangażowanego w operacje przetwarzania oraz powiązane kontrole
c. monitorowanie wykonania i stosowania przepisów rozporządzenia, w szczególności jeśli chodzi o
wymogi dotyczące uwzględnienia ochrony danych już w fazie projektowania, ochrony danych jako
opcji domyślnej i bezpieczeństwa danych oraz informowania podmiotów danych, a także wniosków w
ramach wykonywania praw przysługujących im na mocy niniejszego rozporządzenia
d. zapewnienie prowadzenia dokumentacji ochrony danych osobowych
e. monitorowanie dokumentacji, zgłoszeń i zawiadomień dotyczących naruszeń ochrony danych
osobowych
f. monitorowanie przeprowadzenia oceny skutków w zakresie ochrony danych przez administratora
lub podmiot przetwarzający oraz wniosków o uprzednie zezwolenie lub uprzednią konsultację
g. monitorowanie odpowiedzi na wnioski organów nadzorczych oraz, w ramach kompetencji
inspektora ochrony danych, współpraca z organem nadzorczym na wniosek tego organu lub z
inicjatywy inspektora ochrony danych
h. pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z
przetwarzaniem oraz zasięganie opinii organu nadzorczego, w odpowiednich przypadkach, z
inicjatywy inspektora ochrony danych.
adres swojej siedziby i pełna nazwa, a w
przypadku gdy
administratorem danych jest osoba
fizyczna - o miejscu swojego
zamieszkania oraz imieniu i nazwisku
cel zbierania danych, a w szczególności
o znanych administratorowi w czasie
udzielania informacji lub przewidywanych
odbiorcach lub kategoriach
odbiorców danych
prawo dostępu do treści
swoich danych oraz ich poprawiania
dobrowolności albo obowiązku
podania danych, a jeżeli taki obowiązek
istnieje, o jego podstawie prawnej
tożsamość i dane kontaktowe ADO
oraz ewentualnie przedstawiciela i
administratora i ABI
cele przetwarzania danych
okres, przez który dane osobowe będą
przechowywane
istnienie prawa do wystąpienia do
administratora o uzyskanie wglądu do
danych, poprawienie ich lub usunięcie
danych osobowych odnoszących się do
podmiotu danych lub prawo wniesienia
sprzeciwu wobec przetwarzania tych
danych osobowych
prawa złożenia skargi organowi
nadzorczemu oraz dane kontaktowe
organu nadzorczego
odbiorcy lub kategorie odbiorców danych
osobowych
zamiar przekazania danych przez
administratora do państwa trzeciego lub
organizacji międzynarodowej
wszelkie dalsze informacje potrzebne
do zagwarantowania rzetelnego
przetwarzania danych w stosunku do
podmiotu danych, uwzględniając
konkretne okoliczności, w których odbywa
się zbieranie danych
Obowiązki informacyjne
Wyciek danych
2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012
Art. 49
ust. 1 - 3 1 8 1 7 2 2 5 7 4 3
Art. 49
ust. 2 1 - - 1 1 1 - - 1 1 - -
Art. 50 1 - - - - 1 - - - - - -
Art. 51
ust. 1 6 2 5 13 10 16 11 10 7 8 12 7
Art. 51
ust. 2 1 1 2 4 1 3 2 3 1 2 4 3
Art. 52 1 5 1 7 10 4 7 7 3 1 9 2
Art. 53 - - - 1 1 - - - 2 3 - -
Art. 54 - 1 - 1 1 - - - - - 1 -
Art. 51. [Udostępnianie danych osobom nieuprawnionym]
1. Kto administrując zbiorem danych lub będąc obowiązany
do ochrony danych osobowych udostępnia je lub umożliwia dostęp do
nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia
wolności albo pozbawienia wolności do lat 2.
2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze
ograniczenia wolności albo pozbawienia wolności do roku.
Statystyki – przepisy karne
przepisy rozporządzenia przewidują, że przypadek naruszenia zasad
ochrony danych osobowych administrator zgłasza organowi
nadzorczemu bez nieuzasadnionej zwłoki i jeśli jest to możliwe,
nie później niż w ciągu 24 godzin od momentu naruszeniu
powzięcia o nim wiadomości
jeśli organ nadzorczy nie zostanie zawiadomiony w ciągu 24 godzin,
do zgłoszenia administrator musi dołączyć umotywowane wyjaśnienie
przepisy określają minimum informacji, które powinno zawierać
zawiadomienie, tj.:
a) opisanie charakteru naruszenia ochrony danych osobowych, w tym
podanie kategorii i liczby zainteresowanych podmiotów danych oraz
kategorii i liczby rekordów danych, których dotyczy naruszenie;
b) podanie imienia i nazwiska oraz danych kontaktowych inspektora
ochrony danych lub innego punktu kontaktowego, w którym można
uzyskać więcej informacji;
c) informacja o zalecanych środkach mających na celu zmniejszenie
ewentualnych negatywnych skutków naruszenia ochrony danych
osobowych;
d) opisanie konsekwencji naruszenia ochrony danych;
e) opisanie środków proponowanych lub podjętych przez administratora w
celu zaradzenia naruszeniu ochrony danych osobowych.
obowiązek prowadzenia dokumentacji zdarzenia
obowiązek notyfikacji dotyczy też podmiotów danych tzn. gdy
wyciekną nam dane Kowalskiego – mamy Kowalskiego
powiadomić
Wyciek danych
Przepisy karne.
Postępowanie egzekucyjne: grzywna w
celu przymuszenia, wykonanie zastępcze
i przymus bezpośredni (pozostałe środki
w postaci np. odebrania rzeczy ruchomej
będą miały raczej mniejsze znaczenie
praktyczne).
Sama grzywna w celu przymuszenia
nakładana może być zarówno na osoby
fizyczne jak i osoby prawne.
W stosunku do osób fizycznych grzywna
jednorazowo nie może przekraczać
kwoty 10.000 zł (max 50.000 zł).
W stosunku do osób prawnych i
jednostek organizacyjnych nie
posiadających osobowości prawnej
maksymalna wysokość grzywny wynosi
50.000 zł (max 200.000 zł).
kary finansowe będą mogły być
nakładane za praktycznie każde
naruszenie rozporządzenia (katalog
potencjalnych naruszeń jest bardzo
szeroki)
rozporządzenie rozróżnia trzy progi kar
finansowych
pierwszy próg - kary do 250 000 euro, a w
przypadku przedsiębiorstwa, do 0,5% jego
rocznego światowego obrotu
drugi próg - kary finansowe do 500 000
euro, a w przypadku przedsiębiorstwa, do 1
% jego rocznego światowego obrotu
trzeci próg - kary finansowe do 1 000 000
euro, a w przypadku przedsiębiorstwa, do
2 % jego rocznego światowego obrotu).
Sankcje i odpowiedzialność
Podmiot danych ma prawo do uzyskania od
administratora usunięcia danych osobowych
odnoszących się do niego oraz zaprzestania
dalszego rozpowszechniania tych danych,
zwłaszcza w odniesieniu do danych
osobowych, które zostały udostępnione
przez podmiot danych, kiedy był on
dzieckiem, jeśli zastosowanie ma jedna z
następujących przesłanek:
a) dane nie są już potrzebne do celów, do
których były zebrane lub przetwarzane w
inny sposób;
b) podmiot danych odwołuje zgodę, na której
opiera się przetwarzanie lub gdy minął okres
przechowywania, na który wyrażono zgodę
oraz jeśli nie ma już podstawy prawnej
przetwarzania danych;
c) podmiot danych sprzeciwia się
przetwarzaniu danych osobowych;
d) przetwarzanie danych nie jest zgodne z
rozporządzeniem z innych powodów.
Podmiot danych ma prawo, jeśli dane
osobowe są przetwarzane w sposób
elektroniczny oraz w zorganizowanym i
powszechnie używanym formacie, do
uzyskania od administratora kopii danych
podlegających przetwarzaniu w formacie
elektronicznym i zorganizowanym, który
jest powszechnie używany i umożliwia
dalsze wykorzystywanie przez podmiot
danych.
Jeżeli podmiot danych przekazał dane
osobowe a przetwarzanie opiera się na
zgodzie lub umowie, podmiot danych ma
prawo do przekazania tych danych
osobowych i innych informacji przez
siebie przekazanych i przechowywanych
w systemie automatycznego przetwarzania
danych, do innego systemu, w powszechnie
używanym formacie elektronicznym, bez
przeszkód ze strony administratora, z którego
baz dane osobowe zostają wycofane.
Data portability Right to be forgotten
Prosta Tower
ul. Prosta 32
00-838 Warszawa
Tel. (+48 22) 41 11 403
Arkady Wrocławskie
ul. Powstańców Śląskich 2-4
53-333 Wrocław
Tel. (+48 71) 75 00 700
Fax. (+48 71) 75 00 789
M65 Meduza
ul. Mogilska 65
31-545 Kraków
Tel. (+48 12) 44 46 444
Fax. (+48 12) 44 46 449
www.olesinski.com
Michał Kluska
Adwokat
Tel. + 48 22 41 11 409
Mob. + 48 662 190 844