html5-img
1 / 96

Zasady ochrony danych osobowych

Zasady ochrony danych osobowych. Bogusława Pilc, radca prawny, Dyrektor Departamentu Inspekcji w Biurze Generalnego Inspektora Ochrony Danych Osobowych. EUROPEJSKA KONWENCJA O OCHRONIE PRAW CZŁOWIEKA I PODSTAWOWYCH WOLNOŚCI

katy
Télécharger la présentation

Zasady ochrony danych osobowych

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Zasady ochrony danych osobowych Bogusława Pilc, radca prawny, Dyrektor Departamentu Inspekcji w Biurze Generalnego Inspektora Ochrony Danych Osobowych

  2. EUROPEJSKA KONWENCJA O OCHRONIE PRAW CZŁOWIEKA I PODSTAWOWYCH WOLNOŚCI sporządzona w Rzymie dnia 4 listopada 1950 r., zmieniona następnie Protokołami nr 3, 5 i 8 oraz uzupełniona Protokołem nr 2 (Dz. U. z 1993 r. Nr 61, poz. 284 ze zm.)‏

  3. Art. 8. Prawo do poszanowania życia prywatnego i rodzinnego 1. Każdy ma prawo do poszanowania swojego życia prywatnego i rodzinnego, swojego mieszkania i swojej korespondencji. 2. Niedopuszczalna jest ingerencja władzy publicznej w korzystanie z tego prawa, z wyjątkiem przypadków przewidzianych przez ustawę i koniecznych w demokratycznym społeczeństwie z uwagi na bezpieczeństwo państwowe, bezpieczeństwo publiczne lub dobrobyt gospodarczy kraju, ochronę porządku i zapobieganie przestępstwom, ochronę zdrowia i moralności lub ochronę praw i wolności innych osób.

  4. Landowa ustawa o ochronie danych osobowych ogłoszona w Hesji w 1970 r. Federalna (RFN) ustawa o ochronie danych osobowych ogłoszona w 1977 r. Ustawy o ochronie danych osobowych uchwalone w Szwecji, Danii, Norwegii, Francji, Luksemburgu (lata 70-te XX w.)‏ Ustawy o ochronie danych osobowych uchwalone w Austrii, Islandii, Irlandii, Finlandii, Wielkiej Brytanii, na Węgrzech (lata 80-te i początek lat 90-tych XX w.) 

  5. Konwencja 108 Rady Europy z dnia 28 stycznia 1981 r. o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (Dz. U. z 2006 r. Nr 3, poz. 15) weszła w życie z dniem 1 października 1985 r. (Francja, RFN, Norwegia, Hiszpania, Szwecja)‏ Polska ratyfikowała Konwencję dnia 24 kwietnia 2002 r.

  6. Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/WE) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz. L 281, z dnia 23.11.1995, s. 31)‏

  7. Art. 47 Konstytucji RP Każdy ma prawo do ochrony życia prywatnego, rodzinnego, czci i  dobrego imienia oraz do decydowania o swoim życiu osobistym.

  8. Art. 51 Konstytucji RP 1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby. 2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. 3. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa. 4. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. 5. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.

  9. Art. 47 Konstytucji poręcza prawo do prywatności (wyrok TK z 12 listopada 2002 r., SK 40/01 , OTK-A 2002, nr 6, poz. 81). Na płaszczyźnie konstytucyjnej prawo do ochrony danych osobowych jednostki zostało zagwarantowane w art. 51 Konstytucji. Zarówno w literaturze, jak i orzecznictwie TK jest ono też określane mianem autonomii informacyjnej.

  10. Art. 23 kodeksu cywilnego DOBRA OSOBISTE CZŁOWIEKA, jak w szczególności zdrowie, wolność, cześć, swoboda sumienia, nazwisko lub pseudonim, wizerunek, tajemnica korespondencji, nietykalność mieszkania, twórczość naukowa, artystyczna, wynalazcza i racjonalizatorska, pozostają pod ochroną prawa cywilnego niezależnie od ochrony przewidzianej w innych przepisach.

  11. Art. 24 kodeksu cywilnego § 1. Ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne. W razie dokonanego naruszenia może on także żądać, ażeby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności ażeby złożyła oświadczenie odpowiedniej treści i w odpowiedniej formie. Na zasadach przewidzianych w kodeksie może on również żądać zadośćuczynienia pieniężnego lub zapłaty odpowiedniej sumy pieniężnej na wskazany cel społeczny. § 2. Jeżeli wskutek naruszenia dobra osobistego została wyrządzona szkoda majątkowa, poszkodowany może żądać jej naprawienia na zasadach ogólnych.

  12. Pojedyncze dane osobowe nie są odrębnymi dobrami osobistymi. Dane osobowe jednak mogą być uznane za dobra osobiste, jeżeli np. są objęte sferą życia prywatnego.

  13. Rozporządzenie MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024)‏

  14. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.)‏

  15. zakres podmiotowy i przedmiotowy stosowania ustawy definicje ustawowe

  16. Art. 3a ust. 1 Ustawy nie stosuje się do: 1) osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych 2) podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania danych

  17. Art. 3 ust. 2 Ustawy, z wyjątkiem przepisów art. 14-19 i art. 36 ust. 1, nie stosuje się również do prasowej działalności dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. - Prawo prasowe (Dz. U. Nr 5, poz. 24, z późn. zm.) oraz do działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą.

  18. Państwo trzecie państwo nienależące do Europejskiego Obszaru Gospodarczego EOG (European Economic Area)‏ Państwa należące do EOG: - państwa członkowskie Unii Europejskiej - państwa członkowskie Europejskiego Stowarzyszenia Wolnego Handlu EFTA (European Free Trade Association): Islandia, Lichtenstein, Norwegia

  19. Art. 2 ust. 3 W odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie przepisy jedynie rozdziału 5.

  20. Art. 4 Przepisów ustawy nie stosuje się, jeżeli umowa międzynarodowa, której stroną jest Rzeczpospolita Polska, stanowi inaczej.

  21. Art. 5. Jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw.

  22. Art. 3 ust. 1 Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych.

  23. Zakres podmiotowy ustawy o ochronie danych osobowych • Podmioty publiczne mogą decydować o celach i środkach przetwarzania danych w ramach zadań przyznanych im przepisami prawa: • organy państwowe, • organy samorządu terytorialnego, • państwowe i komunalne jednostki organizacyjne. 2. Kontrolą mogą być objęte np. Kancelaria Prezydenta RP, Kancelaria Senatu, Kancelaria Sejmu, Kancelaria Prezesa Rady Ministrów, ministerstwa, sądy, prokuratury, jednostki policji, urzędy skarbowe, publiczne zakłady opieki zdrowotnej, Zakład Ubezpieczeń Społecznych, Główny Urząd Statystyczny, gminy, powiaty, województwa i inne.

  24. Art. 3 ust. 2 Ustawę stosuje się również do: 1) podmiotów niepublicznych realizujących zadania publiczne, 2) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych - które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej.

  25. Zakres podmiotowy ustawy o ochronie danych osobowych - Podmioty prywatne mogą realizować cele i środki w zakresie przetwarzania danych osobowych, które wynikają ze specyfiki prowadzonej przez nie działalności: • podmioty niepubliczne realizujące zadania publiczne (np. prywatne zakłady opieki zdrowotnej, prywatne szkoły i przedszkola), • osoby fizyczne i osoby prawne (np.. Spółki z o.o., spółki akcyjne, stowarzyszenia, fundacje) oraz jednostki organizacyjne niebędące osobami prawnymi (np. niemające osobowości prawnej spółki prawa handlowego); objęte są one zakresem stosowania ustawy, jeżeli przetwarzają dane w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych (art. 3 ust. 2 pkt 2 ustawy).

  26. Zakres podmiotowy ustawy o ochronie danych osobowych • Podmioty posiadające status administratora danych: • administratorzy podlegający obowiązkowi zgłoszenia zbioru do rejestracji, • administratorzy zwolnieni z mocy ustawy z obowiązku zgłoszenia zbioru do rejestracji. • Podmioty przetwarzający dane na zlecenia administratora danych: • zleceniobiorcy (przetwarzający) w drodze umowy zawartej na piśmie tzw. umowy powierzenia (art.31 ustawy).

  27. Art. 6 W rozumieniu ustawy za DANE OSOBOWE uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. OSOBĄ MOŻLIWĄ DO ZIDENTYFIKOWANIA jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

  28. Identyfikacja danych podlegających ochronie • Dane tzw. zwykłe – np. imię, nazwisko, data urodzenia, PESEL, adres zamieszkania, wysokość osiąganych dochodów, stan konta bankowego, informacje o mieniu ruchomym czy nieruchomościach i inne • Dane tzw. wrażliwe, sensytywne – jako szczególny rodzaj danych, do których art. 27 ust. 1 u.o.d.o. zalicza: dane ujawniające pochodzenie rasowe, etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym • Informacje o osobach zmarłych nie podlegają ochronie u.o.d.o. – zdolność prawna człowieka, a tym samym zdolność do bycia podmiotem praw i obowiązków ustaje z chwilą jego śmierci

  29. Dane osobowe • Charakter danych osobowych posiadają informacje „ z różnych dziedzin życia”, o ile istnieje możliwość powiązania ich z oznaczoną osobą; mogą to być informacje o charakterze obiektywnym lub subiektywnym, wymiernym lub ocennym, o okolicznościach dawnych, obecnych lub przyszłych, trwałych lub przemijających • Danymi osobowymi są między innymi informacje: • o zasadniczo „niezależnych okolicznościach” (imię, nazwisko, płeć, wzrost, znaki szczególne, obywatelstwo, linie papilarne, miejsce i data urodzenia, cechy dokumentów tożsamości, numer PESEL); • o cechach nabytych (wykształcenie, znajomość języków, posiadane uprawnienia, charakter pisma, stan cywilny);

  30. Dane osobowe • o cechach osobowościowych, psychologicznych, w tym o przekonaniach, zainteresowaniach, światopoglądzie, upodobaniach, sposobie spędzania wolnego czasu); • o sytuacji majątkowej, operacjach finansowych, w tym również o „zaniechaniach” ( np. wykaz zaległości czynszowych); • o różnych przejawach działalności (np. podróżach, uczestniczeniu w życiu kulturalnym); • dotyczące aktywnego lub biernego uczestnictwa w różnego rodzaju wydarzeniach, • część informacji już z natury rzeczy identyfikuje osobę; • większość informacji uzyskuje charakter danych osobowych dopiero w połączeniu z informacjami identyfikującymi wprost lub pośrednio osobę;

  31. Dane osobowe • pod tym warunkiem danymi osobowymi stają się m.in. informacje o stanie fizycznym i psychicznym, o przebytych chorobach, o kalectwie, o wynikach badań medycznych (zdjęcia rendtgenowskie, ciśnienie krwi, poziom cukru i wiele innych), o rezultatach testów psychologicznych, zręcznościowych, wyniki egzaminów, rezultaty uzyskiwane na zawodach sportowych; • charakter danych osobowych posiadają informacje dotyczące przygotowania zawodowego i przebiegu pracy danej osoby, o jej sytuacji rodzinnej, o stanie posiadania ( w tym o posiadanych dobrach, o zgromadzonych oszczędnościach, kontach bankowych, o wysokości płaconych podatków), o jej zachowaniach (zakupach towarów lub usług, prowadzonych rozmowach telefonicznych, w tym tzw. biling), naruszeniach prawa, wszelkie opinie na temat danej osoby.

  32. Art. 7 DEFINICJE: 1) zbioru danych 2) przetwarzania danych 2a) systemu informatycznego 2b) zabezpieczenia danych w systemie informatycznym 3) usuwania danych 4) administratora danych 5) zgody osoby, której dane dotyczą 6) odbiorcy danych 7) państwa trzeciego

  33. USUWANIE DANYCH zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą

  34. ZBIÓR DANYCH każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie,

  35. PRZETWARZANIE DANYCH jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych,

  36. SYSTEM INFORMATYCZNY zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych ZABEZPIECZENIE DANYCH W SYSTEMIE INFORMATYCZNYM wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem,

  37. ADMINISTRATOR DANYCH organ, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych,

  38. ODBIORCA DANYCH każdy, komu udostępnia się dane osobowe, z wyłączeniem: a) osoby, której dane dotyczą, b) osoby upoważnionej do przetwarzania danych, c) przedstawiciela, o którym mowa w art. 31a, d) podmiotu, o którym mowa w art. 31, e) organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem

  39. Art. 8 ust. 1 Organem do spraw ochrony danych osobowych jest GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Art. 8 ust. 2 Generalnego Inspektora powołuje i odwołuje Sejm Rzeczypospolitej Polskiej za zgodą Senatu.

  40. Art. 11 IMMUNITET Generalnego Inspektora Ochrony Danych Osobowych nie może być bez uprzedniej zgody Sejmu pociągnięty do odpowiedzialności karnej ani pozbawiony wolności nie może być zatrzymany lub aresztowany, z wyjątkiem ujęcia go na gorącym uczynku przestępstwa i jeżeli jego zatrzymanie jest niezbędne do zapewnienia prawidłowego toku postępowania.

  41. Art. 12 ZADANIA Generalnego Inspektora 1) kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych, 2) wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych, 3) zapewnienie wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym wynikających z decyzji, o których mowa w pkt 2, przez stosowanie środków egzekucyjnych przewidzianych w ustawie z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. z 2005 r. Nr 229, poz. 1954, z późn. zm., 4) prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach, 5) opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych,

  42. ZADANIA Generalnego Inspektora c. d. • 6) inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych, • 7) uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych.

  43. Art. 23 ust. 1 Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

  44. ZGODA OSOBY, KTÓREJ DANE DOTYCZĄ (Art. 7 pkt 5)‏ oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści, zgoda może być odwołana w każdym czasie

  45. Zgoda na przetwarzanie danych osobowych (1) • uodo nie przewiduje szczególnej formy udzielenia zgody jak i odwołania zgody na przetwarzanie danych, • jako oświadczenie woli – może przybrać formę każdego zachowania się tej osoby, które ujawnia jej wolę w sposób dostateczny, w tym w przez ujawnienie woli w postaci elektronicznej,

  46. Zgoda na przetwarzanie danych osobowych (2) • Wola osoby dokonującej czynności prawnej może być wyrażona przez każde zachowanie się tej osoby, które ujawnia jej wolę w sposób dostateczny, w tym również przez ujawnienie tej woli w postaci elektronicznej (oświadczenie woli) – art. 60 kc

  47. Zgoda na przetwarzanie danych osobowych (3) • do oświadczenia woli dotyczącego odwołania zgody na przetwarzanie danych osobowych, powinno się stosować ogólną zasadę wynikającą z art. 60 kc, • w przypadku gdy uodo przewiduje formę pisemną dla oświadczenia woli dotyczącego zgody na przetwarzanie danych (dane tzw. „sensytywne”, przekazywanie danych do państwa trzeciego) niezbędne jest, aby odwołanie zgody na przetwarzanie danych osobowych również przybrało formę pisemną, • administrator danych ze względów dowodowych powinien utrwalać takie oświadczenie woli w zakresie wyrażenia zgody jak i jej odwołania • przepisy szczególne przewidujące możliwość odwołania zgody: • ustawa Prawo telekomunikacyjne, • ustawa o świadczeniu usług drogą elektroniczną, • ustawa Prawo bankowe

  48. Art. 23 ust. 2 Zgoda, o której mowa w ust. 1 pkt 1, może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania. Art. 23 ust. 3 Jeżeli przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a spełnienie warunku określonego w ust. 1 pkt 1 jest niemożliwe, można przetwarzać dane bez zgody tej osoby, do czasu, gdy uzyskanie zgody będzie możliwe.

  49. Art. 23 ust. 4 PRAWNIE USPRAWIEDLIWIONY CEL ADMINISTRATORA DANYCH w szczególności: 1) marketing bezpośredni własnych produktów lub usług administratora danych, 2) dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

  50. Zgoda według opinii Grypy Roboczej art. 29 nr 15/2011 • Grupa Robocza art. 29 została powołana na mocy art. 29 Dyrektywy 95/46/WE. Jest niezależnym organem doradczym w zakresie ochrony danych osobowych i prywatności • W dniu 13 lipca 2011 r. Grupa przyjęła opinię nr 15/2011 w sprawie definicji zgody • Główne powody przyjęcia opinii: • Zróżnicowana praktyka poszczególnych państw członkowskich m.in.: • w zakresie wymogu pisemnej zgody, • akceptowania zgody dorozumianej, • konieczne ujednolicenie interpretacji

More Related