1 / 76

OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski

OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski. V OBOWIĄZKI ADMINISTRATORA DANYCH. A. OBOWIĄZEK DBANIA O INTERESY OSÓB KTÓRYCH DANE DOTYCZĄ.

baxter
Télécharger la présentation

OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. OCHRONA DANYCH OSOBOWYCHDr hab. Mariusz Jagielski

  2. VOBOWIĄZKIADMINISTRATORADANYCH

  3. A. OBOWIĄZEK DBANIA O INTERESY OSÓB KTÓRYCH DANE DOTYCZĄ

  4. Przetwarzając dane o jakiejś osobie należy pamiętać, że zawsze możemy jej wyrządzić szkodę. STĄD: obowiązek dołożenia należytej staranności by tego uniknąć

  5. czytaj: jeżeli szkoda powstanie będziemy rozliczeni z tego, czy przemyśleliśmy zagrożenia i podjęliśmy odpowiednie działania by ich uniknąć

  6. w szczególności należy zwrócić uwagę na następujące kwestie (wypełnić następujące przesłanki):

  7. a. przesłanka legalnościtrzeba sprawdzić, czy administrator spełnia choć jeden z ogólnych warunków przetwarzania

  8. + Zgoda osoby+ Przepis prawa + Realizacja umowy+ Dobro publiczne+ Usprawiedliwiony cel administratora danych

  9. b. przesłanka celunależy określić dla jakiego celu dane są przetwarzane

  10. W TYM WZGLĘDZIE MUSIMY PAMIĘTAĆ BY: - cel był zgodny z prawem- dane były przetwarzane jedynie dla celu dla którego zostały zebrane- by były przetwarzane tylko takie dane, które są adekwatne do celu przetwarzania

  11. W KONSEKWENCJI:- Administrator nie może swobodnie zmienić celu przetwarzania danych (bez względu na to na podstawie którego z ogólnych warunków dopuszczalności przetwarzaniadane przetwarza).

  12. Zmiana celu jest możliwa jedynie wyjątkowo, gdy nowym celem mają być badania naukowe, dydaktyczne, historyczne lub statystyczne(art. 26.2 uodo)

  13. zmiana celu na inny niż określony w art. 26 u.o.d.o. nie jest możliwabyłoby to potraktowane jako odrębne przetwarzanie, a zatem wymagałoby odrębnej podstawy (warunku dopuszczalności przetwarzania)

  14. - Administrator musi dołożyć staranności by podmiot, któremu dane udostępnia również przestrzegał celu dla którego zostały zebrane

  15. c. przesłanka merytorycznej poprawności danychnależy dołożyć staranności by posiadane przez nas dane były prawdziwe i aktualne

  16. Wymaga się od administratora wdrożenia procedur, które to zagwarantująpowinno być to uwzględnione w polityce bezpieczeństwa informacji oraz instrukcji zarządzania systemem informatycznym

  17. d. przesłanka czasu przechowywania danychdane można przechowywać jedynie tak długo jak jest to konieczne dla osiągnięcia celu przetwarzania (potem powinny zostać usunięte)

  18. UWAGA!ustawodawca może określić czas przechowywania pewnych kategorii danych

  19. B. OBOWIĄZKI ZWIĄZANE ZE ZBIERANIEM DANYCH

  20. Zbieranie danych pierwotne wtórne

  21. Zbieranie pierwotne – to zbieranie bezpośrednio od osoby, której dane dotyczą Zbieranie wtórne – to zbieranie z dowolnego innego źródła

  22. a. Zbieranie danych od osób których dotyczą (tzw. pierwotne) skutkuje koniecznością wykonania TZW. PIERWOTNEGO OBOWIĄZKU INFORMACYJNEGOArt. 24 USTAWY:

  23. Art. 241. W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych, 3) prawie dostępu do treści swoich danych oraz ich poprawiania, 4) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

  24. 2. Przepisu ust. 1 nie stosuje się, jeżeli: 1) przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania, 2) osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1.

  25. MOMENT POINFORMOWANIA:w trakcie zbieraniaFORMA jest dowolnaale na administratorze spoczywa obowiązek udowodnienia, że go wykonał

  26. W praktyce administrator musi pomyśleć o przygotowaniu kwestionariusza personalnego uwzględniającego wymogi art.. 24 u.o.d.o. Podobnie, musi przyjąć jedno z możliwych rozwiązań spełniających wymogi ustawy odnośnie do własnych pracowników

  27. b. Zbieranie danych z innych źródeł (tzw. wtórne) skutkuje koniecznością wykonania TZW. WTÓRNEGO OBOWIĄZKU INFORMACYJNEGO Art. 25 USTAWY:

  28. Art. 251. W przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych, 3) źródle danych, 4) prawie dostępu do treści swoich danych oraz ich poprawiania, 5) uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8.

  29. 2. Przepisu ust. 1 nie stosuje się, jeżeli: 1) przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą, 2) uchylony 3) dane te są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą, a spełnienie wymagań określonych w ust. 1 wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania, 4) uchylony5) dane są przetwarzane przez administratora, o którym mowa w art. 3 ust. 1 i ust. 2 pkt 1, na podstawie przepisów prawa, 6) osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1.

  30. MOMENT POINFORMOWANIA: bezpośrednio po utrwaleniu danych“Utrwalenie danych” to druga po zebraniu danych czynność przetwarzania – polega na zapisaniu danych umożliwiających korzystanie z nich

  31. CHARAKTER POINFORMOWANIA: zindywidualizowany – trzeba dotrzeć bezpośrednio do danej osoby. FORMA jest dowolna (ale na administratorze spoczywa obowiązek udowodnienia, że go wykonał)

  32. W praktyce administrator powinienuwzględnić powyższy obowiązek w instrukcji zarządzania systemem informatycznym - najlepiej przygotować wzór w postaci załącznikaszczegóły: dalej

  33. C. OBOWIĄZEK REJESTRACYJNY

  34. Co do zasady administrator powinien zbiór danych zarejestrować.Czyni to poprzez dokonanie zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych

  35. UWAGA:rejestrujemy tylko zbiory danych

  36. TERMIN: jeszcze przed rozpoczęciem przetwarzania należy rozumieć: natychmiast po zebraniu wszystkich informacji koniecznych do wypełnienia zgłoszenia

  37. UWAGA: rozpocząć przetwarzanie można natychmiast po dokonaniu zgłoszenia (nie trzeba czekać na rejestrację)

  38. Generalny Inspektor może jednak wydać decyzję o odmowie rejestracji zbioru danych

  39. Jeżeli po usunięciu wad administrator ponownie zgłosi ten sam zbiór danych do rejestracji może rozpocząć ich przetwarzanie dopiero po zarejestrowaniu zbioru.

  40. (UWAGA! PRZYPOMINAM)inne rozwiązanie w przypadku danych wrażliwych

  41. jeżeli zbiór zawiera DANE WRAŻLIWE to rozpoczęcie przetwarzania danych z tego zbioru jest możliwe dopiero po zarejestrowaniu zbioruZAŚWIADCZENIE O ZAREJESTROWANIU ZBIORU otrzymamy automatycznie

  42. Nie wszystkie zbiory podlegają obowiązkowi rejestracyjnego.WYJĄTKI:

  43. Nie trzeba zgłaszać zbiorów zawierających dane:1) objętych tajemnicą państwową ze względu na obronność lub bezpieczeństwo państwa, ochronę życia i zdrowia ludzi, mienia lub bezpieczeństwa i porządku publicznego, 1a) które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności, 2) przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym, 2a) przetwarzanych przez Generalnego Inspektora Informacji Finansowej, 3) dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego.

  44. 4) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,5) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta, 6) tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego,

  45. 7) dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności, 8) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej, 9) powszechnie dostępnych, 10) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego, 11) przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.

  46. D. OBOWIĄZEK ZABEZPIECZENIA ZBIORÓW DANYCH

  47. Polega na wypełnieniu całego szeregu wymogów określonych w ustawie o ochronie danych osobowych oraz aktach wykonawczych do niej

  48. WYRÓŻNIA SIĘ WYMOGI: a. o charakterze formalnymprzygotowanie i wdrożenie odpowiednich dokumentów

  49. - opracowanie i wdrożenie “polityki bezpieczeństwa informacji” - opracowanie i wdrożenie instrukcji zarządzania systemem informatycznym

  50. b. o charakterze organizacyjnymstworzenie i wdrożenie odpowiednich procedur[na podstawie wyżej wymienionych dokumentów]

More Related