Grzegorz Wanio, Michał Kluska

Warszawa, dnia 9 października 2013 r.

OCHRONA DANYCH OSOBOWYCH W 2014 R. -

PRZYGOTUJ SWÓJ BIZNES NA ZMIANY Michał Kluska

Warszawa, 29.10.2013 r.

74% Europejczyków uważa ujawnianie danych osobowych za coraz

bardziej znaczący aspekt współczesnego życia.

43% użytkowników Internetu twierdzi, że proszono ich o podanie

większej ilości danych osobowych niż było to konieczne.

Tylko jedna trzecia Europejczyków ma świadomość istnienia krajowego

organu publicznego odpowiedzialnego za ochronę danych (33%).

90% Europejczyków chce takich samych praw do ochrony danych w

całej UE.

Badanie specjalne Eurobarometru 359

Attitudes on Data Protection and Electronic Identity in the European Union (Postawy wobec ochrony

danych oraz tożsamości elektronicznej w Unii Europejskiej), czerwiec 2011

Rozporządzenie Parlamentu Europejskiego i Rady w sprawie

ochrony osób fizycznych w związku z przetwarzaniem danych

osobowych i swobodnym przepływem takich danych

dyrektywa 95/46/WE z dnia 24

października 1995 r. w sprawie ochrony

osób fizycznych w zakresie

przetwarzania danych osobowych i

swobodnego przepływu tych danych

ustawa o ochronie danych osobowych –

29 sierpnia 1997 r.

różny stopień implementacji przepisów

dyrektywy

od 1995 r. do dziś liczba użytkowników

Internetu wzrosła z 18 milionów (z tego w

Polsce 0,50 miliona) do 2,2 miliarda na

świecie i 16,7 miliona w Polsce

25 stycznia 2012 r. Rozporządzenie

Parlamentu Europejskiego i Rady w

sprawie ochrony osób fizycznych w

związku z przetwarzaniem danych

osobowych i swobodnym przepływem

takich danych

bezpośrednie stosowanie przepisów

jednolite standardy w całej Unii

Europejskiej

pewność co do prawa

aktualność regulacji

62 artykuły i 8 stron 91 artykułów i 60 stron

Dyrektywa a rozporządzenie

Rozporządzenie ma zastosowanie do

przetwarzania danych osobowych

podmiotów danych mających miejsce

zamieszkania w Unii przez

administratora niemającego

siedziby w Unii, gdy przetwarzanie

wiąże się z:

a. oferowaniem towarów lub usług takim

podmiotom danych w Unii, lub

b. monitorowaniem ich zachowania.

Zakres międzynarodowy

Badania dot. zgody

zgoda na przetwarzanie danych

osobowych jako jedna z podstaw

legalnego przetwarzania

zgoda nie może być domniemana lub

dorozumiana z oświadczenia woli o innej

treści

treści klauzul zgody na przetwarzanie

danych osobowych powinno w sposób

niebudzący wątpliwości wynikać, w jakim

celu, w jakim zakresie i przez kogo dane

osobowe mogą być przetwarzane

wyrażający zgodę musi mieć pełną

świadomość tego, na co się godzi

wyrok NSA z dnia 4 kwietnia 2003 r.

(sygn. akt II SA 2135/2002) - zgoda na

przekazywanie danych musi mieć

charakter wyraźny, a jej wszystkie

aspekty muszą być jasne dla

podpisującego w momencie jej wyrażania

(…)

„zgoda podmiotu danych” oznacza

a. dobrowolne,

b. szczególne,

c. świadome i

d. wyraźne

oświadczenie woli, przez które podmiot

danych, w drodze oświadczenia lub

wyraźnego działania potwierdzającego,

wyraża zgodę na przetwarzanie dotyczących

go danych osobowych

Warunki „zgody”

równoważność podstaw legalności

przetwarzania danych

przetwarzanie danych jest dopuszczalne

tylko wtedy, gdy:

1. osoba, której dane dotyczą, wyrazi na to

zgodę,

2. jest to niezbędne dla zrealizowania

uprawnienia lub spełnienia obowiązku

wynikającego z przepisu prawa,

3. jest to konieczne do realizacji umowy, gdy

osoba, której dane dotyczą, jest jej stroną lub

gdy jest to niezbędne do podjęcia działań

przed zawarciem umowy na żądanie osoby,

której dane dotyczą,

4. jest niezbędne do wykonania określonych

prawem zadań realizowanych dla dobra

publicznego,

5. jest to niezbędne dla wypełnienia prawnie

usprawiedliwionych celów realizowanych

przez administratorów danych albo

odbiorców danych, a przetwarzanie nie

narusza praw i wolności osoby,

której dane dotyczą.

wykluczenie zgody jako przesłanki

przetwarzania w sytuacji „poważnej

nierówności pomiędzy podmiotem danych

a administratorem”

Zgoda nie stanowi podstawy prawnej

przetwarzania w sytuacji poważnej

nierówności między podmiotem

danych a administratorem

takie postanowienie oznacza, że w

stosunkach pracy jedyną podstawą

przetwarzania powinny być przepisy

prawa pracy, które na obecnym etapie są

całkowicie niedostosowane do realiów

przetwarzania danych

pytanie czy poważna nierówność nie

zachodzi pomiędzy przedsiębiorcą

konsumentem. Gdyby organy nadzorcze

zastosowały taką wykładnie oznaczałoby

to podważenie świadomość wyrażania

zgody przez konsumenta, w oparciu o

założenie, że zgoda jest wymuszona

„poważna nierówność”

według danych SMG/KRC za 2011 r. z

sieci korzysta 9% dzieci w wieku 7-12 lat

(z tego 50% regularnie, każdego dnia) –

około miliona użytkowników w Polsce

nowa definicja dziecka – osoba poniżej

18. roku życia

wymóg uzyskiwania zgody w specjalnym

reżimie

Do celów rozporządzenia, w odniesieniu

do oferowania usług społeczeństwa

informacyjnego bezpośrednio dziecku,

przetwarzanie danych osobowych

dziecka w wieku poniżej 13 lat jest

zgodne z prawem, o ile zgodę na nie

wydał lub pozwolił na nie rodzic lub

opiekun dziecka.

Administrator podejmuje racjonalne

starania w celu uzyskania możliwej do

zweryfikowania zgody, uwzględniając

dostępną technologię.

Dzieci a dane osobowe i usługi

Przetwarzanie danych jest dopuszczalne

tylko wtedy, gdy

(…)

5) jest to niezbędne dla wypełnienia prawnie

usprawiedliwionych celów realizowanych

przez administratorów danych albo

odbiorców danych, a przetwarzanie nie

narusza praw i wolności osoby,

której dane dotyczą

Za prawnie usprawiedliwiony cel uważa

się w szczególności:

1) marketing bezpośredni własnych

produktów lub usług

administratora danych

Marketing bezpośredni

dotychczas w polskich przepisach

szczątkowa regulacja

Administrator danych jest obowiązany

zastosować środki techniczne i

organizacyjne zapewniające ochronę

przetwarzanych danych osobowych

odpowiednią do zagrożeń oraz kategorii

danych objętych ochroną, a w

szczególności powinien zabezpieczyć

dane przed ich udostępnieniem osobom

nieupoważnionym, zabraniem przez

osobę nieuprawnioną, przetwarzaniem z

naruszeniem ustawy oraz zmianą, utratą,

uszkodzeniem lub zniszczeniem.

Administrator danych prowadzi

dokumentację opisującą sposób

przetwarzania danych oraz środki, o

których mowa w ust. 1.

Administrator danych wyznacza

administratora bezpieczeństwa

informacji, nadzorującego przestrzeganie

zasad ochrony, o których mowa powyżej,

chyba że sam wykonuje te czynności.

po stronie administratora lub podmiotu

przetwarzającego dane osobowe będzie

dopilnowanie, by administrator

bezpieczeństwa informacji:

- był właściwie i terminowo włączany we

wszystkie kwestie dotyczące ochrony danych

osobowych,

- wykonywał swoje obowiązki i zadania

niezależnie i nie otrzymywał żadnych poleceń

dotyczących pełnienia swojej funkcji

zgodnie z nowymi przepisami

administrator bezpieczeństwa informacji

podlega bezpośrednio kierownictwu

administratora lub podmiotu

przetwarzającego

Niezależnie od zadań przepisy statuują,

że administrator lub podmiot

przetwarzający wspiera administratora

bezpieczeństwa informacji w

wykonywaniu przez niego zadań i

zapewniają personel, pomieszczenia,

sprzęt i zasoby niezbędne do

wykonywania obowiązków i zadań ABI

Administrator Bezpieczeństwa

Administrator lub podmiot przetwarzający powierzają ABI przynajmniej poniższe zadania:

a. informowanie administratora lub podmiotu przetwarzającego o ich obowiązkach wynikających z

nowego rozporządzenia oraz dokumentowanie tej działalności i uzyskiwanych odpowiedzi

b. monitorowanie wykonania i stosowania polityk administratora lub podmiotu przetwarzającego w

zakresie ochrony danych osobowych, w tym przydział obowiązków, szkolenie personelu

zaangażowanego w operacje przetwarzania oraz powiązane kontrole

c. monitorowanie wykonania i stosowania przepisów rozporządzenia, w szczególności jeśli chodzi o

wymogi dotyczące uwzględnienia ochrony danych już w fazie projektowania, ochrony danych jako

opcji domyślnej i bezpieczeństwa danych oraz informowania podmiotów danych, a także wniosków w

ramach wykonywania praw przysługujących im na mocy niniejszego rozporządzenia

d. zapewnienie prowadzenia dokumentacji ochrony danych osobowych

e. monitorowanie dokumentacji, zgłoszeń i zawiadomień dotyczących naruszeń ochrony danych

osobowych

f. monitorowanie przeprowadzenia oceny skutków w zakresie ochrony danych przez administratora

lub podmiot przetwarzający oraz wniosków o uprzednie zezwolenie lub uprzednią konsultację

g. monitorowanie odpowiedzi na wnioski organów nadzorczych oraz, w ramach kompetencji

inspektora ochrony danych, współpraca z organem nadzorczym na wniosek tego organu lub z

inicjatywy inspektora ochrony danych

h. pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z

przetwarzaniem oraz zasięganie opinii organu nadzorczego, w odpowiednich przypadkach, z

inicjatywy inspektora ochrony danych.

adres swojej siedziby i pełna nazwa, a w

przypadku gdy

administratorem danych jest osoba

fizyczna - o miejscu swojego

zamieszkania oraz imieniu i nazwisku

cel zbierania danych, a w szczególności

o znanych administratorowi w czasie

udzielania informacji lub przewidywanych

odbiorcach lub kategoriach

odbiorców danych

prawo dostępu do treści

swoich danych oraz ich poprawiania

dobrowolności albo obowiązku

podania danych, a jeżeli taki obowiązek

istnieje, o jego podstawie prawnej

tożsamość i dane kontaktowe ADO

oraz ewentualnie przedstawiciela i

administratora i ABI

cele przetwarzania danych

okres, przez który dane osobowe będą

przechowywane

istnienie prawa do wystąpienia do

administratora o uzyskanie wglądu do

danych, poprawienie ich lub usunięcie

danych osobowych odnoszących się do

podmiotu danych lub prawo wniesienia

sprzeciwu wobec przetwarzania tych

danych osobowych

prawa złożenia skargi organowi

nadzorczemu oraz dane kontaktowe

organu nadzorczego

odbiorcy lub kategorie odbiorców danych

osobowych

zamiar przekazania danych przez

administratora do państwa trzeciego lub

organizacji międzynarodowej

wszelkie dalsze informacje potrzebne

do zagwarantowania rzetelnego

przetwarzania danych w stosunku do

podmiotu danych, uwzględniając

konkretne okoliczności, w których odbywa

się zbieranie danych

Obowiązki informacyjne

Wyciek danych

2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012

Art. 49

ust. 1 - 3 1 8 1 7 2 2 5 7 4 3

Art. 49

ust. 2 1 - - 1 1 1 - - 1 1 - -

Art. 50 1 - - - - 1 - - - - - -

Art. 51

ust. 1 6 2 5 13 10 16 11 10 7 8 12 7

Art. 51

ust. 2 1 1 2 4 1 3 2 3 1 2 4 3

Art. 52 1 5 1 7 10 4 7 7 3 1 9 2

Art. 53 - - - 1 1 - - - 2 3 - -

Art. 54 - 1 - 1 1 - - - - - 1 -

Art. 51. [Udostępnianie danych osobom nieuprawnionym]

1. Kto administrując zbiorem danych lub będąc obowiązany

do ochrony danych osobowych udostępnia je lub umożliwia dostęp do

nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia

wolności albo pozbawienia wolności do lat 2.

2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze

ograniczenia wolności albo pozbawienia wolności do roku.

Statystyki – przepisy karne

przepisy rozporządzenia przewidują, że przypadek naruszenia zasad

ochrony danych osobowych administrator zgłasza organowi

nadzorczemu bez nieuzasadnionej zwłoki i jeśli jest to możliwe,

nie później niż w ciągu 24 godzin od momentu naruszeniu

powzięcia o nim wiadomości

jeśli organ nadzorczy nie zostanie zawiadomiony w ciągu 24 godzin,

do zgłoszenia administrator musi dołączyć umotywowane wyjaśnienie

przepisy określają minimum informacji, które powinno zawierać

zawiadomienie, tj.:

a) opisanie charakteru naruszenia ochrony danych osobowych, w tym

podanie kategorii i liczby zainteresowanych podmiotów danych oraz

kategorii i liczby rekordów danych, których dotyczy naruszenie;

b) podanie imienia i nazwiska oraz danych kontaktowych inspektora

ochrony danych lub innego punktu kontaktowego, w którym można

uzyskać więcej informacji;

c) informacja o zalecanych środkach mających na celu zmniejszenie

ewentualnych negatywnych skutków naruszenia ochrony danych

osobowych;

d) opisanie konsekwencji naruszenia ochrony danych;

e) opisanie środków proponowanych lub podjętych przez administratora w

celu zaradzenia naruszeniu ochrony danych osobowych.

obowiązek prowadzenia dokumentacji zdarzenia

obowiązek notyfikacji dotyczy też podmiotów danych tzn. gdy

wyciekną nam dane Kowalskiego – mamy Kowalskiego

powiadomić

Wyciek danych

Przepisy karne.

Postępowanie egzekucyjne: grzywna w

celu przymuszenia, wykonanie zastępcze

i przymus bezpośredni (pozostałe środki

w postaci np. odebrania rzeczy ruchomej

będą miały raczej mniejsze znaczenie

praktyczne).

Sama grzywna w celu przymuszenia

nakładana może być zarówno na osoby

fizyczne jak i osoby prawne.

W stosunku do osób fizycznych grzywna

jednorazowo nie może przekraczać

kwoty 10.000 zł (max 50.000 zł).

W stosunku do osób prawnych i

jednostek organizacyjnych nie

posiadających osobowości prawnej

maksymalna wysokość grzywny wynosi

50.000 zł (max 200.000 zł).

kary finansowe będą mogły być

nakładane za praktycznie każde

naruszenie rozporządzenia (katalog

potencjalnych naruszeń jest bardzo

szeroki)

rozporządzenie rozróżnia trzy progi kar

finansowych

pierwszy próg - kary do 250 000 euro, a w

przypadku przedsiębiorstwa, do 0,5% jego

rocznego światowego obrotu

drugi próg - kary finansowe do 500 000

euro, a w przypadku przedsiębiorstwa, do 1

% jego rocznego światowego obrotu

trzeci próg - kary finansowe do 1 000 000

euro, a w przypadku przedsiębiorstwa, do

2 % jego rocznego światowego obrotu).

Sankcje i odpowiedzialność

Podmiot danych ma prawo do uzyskania od

administratora usunięcia danych osobowych

odnoszących się do niego oraz zaprzestania

dalszego rozpowszechniania tych danych,

zwłaszcza w odniesieniu do danych

osobowych, które zostały udostępnione

przez podmiot danych, kiedy był on

dzieckiem, jeśli zastosowanie ma jedna z

następujących przesłanek:

a) dane nie są już potrzebne do celów, do

których były zebrane lub przetwarzane w

inny sposób;

b) podmiot danych odwołuje zgodę, na której

opiera się przetwarzanie lub gdy minął okres

przechowywania, na który wyrażono zgodę

oraz jeśli nie ma już podstawy prawnej

przetwarzania danych;

c) podmiot danych sprzeciwia się

przetwarzaniu danych osobowych;

d) przetwarzanie danych nie jest zgodne z

rozporządzeniem z innych powodów.

Podmiot danych ma prawo, jeśli dane

osobowe są przetwarzane w sposób

elektroniczny oraz w zorganizowanym i

powszechnie używanym formacie, do

uzyskania od administratora kopii danych

podlegających przetwarzaniu w formacie

elektronicznym i zorganizowanym, który

jest powszechnie używany i umożliwia

dalsze wykorzystywanie przez podmiot

danych.

Jeżeli podmiot danych przekazał dane

osobowe a przetwarzanie opiera się na

zgodzie lub umowie, podmiot danych ma

prawo do przekazania tych danych

osobowych i innych informacji przez

siebie przekazanych i przechowywanych

w systemie automatycznego przetwarzania

danych, do innego systemu, w powszechnie

używanym formacie elektronicznym, bez

przeszkód ze strony administratora, z którego

baz dane osobowe zostają wycofane.

Data portability Right to be forgotten

Prosta Tower

ul. Prosta 32

00-838 Warszawa

Tel. (+48 22) 41 11 403

Arkady Wrocławskie

ul. Powstańców Śląskich 2-4

53-333 Wrocław

Tel. (+48 71) 75 00 700

Fax. (+48 71) 75 00 789

M65 Meduza

ul. Mogilska 65

31-545 Kraków

Tel. (+48 12) 44 46 444

Fax. (+48 12) 44 46 449

www.olesinski.com

kancelaria@olesinski.com

Michał Kluska

Adwokat

Tel. + 48 22 41 11 409

Mob. + 48 662 190 844

michal.kluska@olesinski.com