dane osobowe w data center
TRANSCRIPT
Dane osobowe w data center – podstawowe pojęcia,
możliwości, zagrożenia
Chabasiewicz Kowalska i Partnerzy
Warszawa, 21 kwietnia 2015
1
Plan wystąpienia
1. Pojęcie danych osobowych 2. Zasady gromadzenia i przetwarzania danych osobowych 3. Uprawnienia posiadacza danych osobowych 4. Rejestracja zbiorów danych 5. ABI – nowelizacja 6. Powierzenie przetwarzania danych osobowych 7. Bezpieczeństwo danych osobowych w data center 8. Kary za naruszenie przepisów dot. ochrony danych
osobowych 9. Prawo do bycia zapomnianym
2
Co to są dane osobowe? dane osobowe: wszelkie informacje: imię, nazwisko i adres, zdjęcia, filmy, zarejestrowane głosy, tzw. dane biometryczne (cechy źrenicy, linie papilarne, cechy twarzy, geometria ręki) itp. – pod warunkiem, że mogą służyć do zidentyfikowania osoby. Informacja staje się więc daną osobową, jeżeli można tę informację powiązać z konkretną osobą bez ponoszenia nadmiernych kosztów; Ø Adres IP? Ø Adres e-mail? ([email protected] vs [email protected]) Ø Cookies?
Ø Rodzaje danych osobowych: zwykłe i wrażliwe
Obowiązki informacyjne - wykonywanie
System przekazywania informacji
ESPI EBI
Kto raportuje? Spółka publiczna Spółka notowana na NewConnect
O czym raportuje?
Art. 70 ustawy o ofercie Ø o zmianach w strukturze
akcjonariatu po przekroczeniu określonych progów
Art. 156 – 160 ustawy o obrocie Ø kwestie dot. ujawniania i
wykorzystywania informacji poufnej
Ø obowiązek informowania o transakcji na akcjach emitenta określonych osób
Regulamin ASO Ø raporty bieżące
(cenotwórcze) i okresowe
Zasady gromadzenia i przetwarzania danych osobowych
ü Zakres przetwarzania danych „Przez przetwarzanie danych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.”
ü Zasady przetwarzania danych osobowych ü Legalność: przetwarzane zgodnie z prawem ü Celowość: dane zbierane dla oznaczonych, zgodnych z prawem
celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami
ü Adekwatność: dane merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane ü Jakiego zakresu danych możemy żądać?
Obowiązki informacyjne - wykonywanie
System przekazywania informacji
ESPI EBI
Kto raportuje? Spółka publiczna Spółka notowana na NewConnect
O czym raportuje?
Art. 70 ustawy o ofercie Ø o zmianach w strukturze
akcjonariatu po przekroczeniu określonych progów
Art. 156 – 160 ustawy o obrocie Ø kwestie dot. ujawniania i
wykorzystywania informacji poufnej
Ø obowiązek informowania o transakcji na akcjach emitenta określonych osób
Regulamin ASO Ø raporty bieżące
(cenotwórcze) i okresowe
Zasady gromadzenia i przetwarzania danych osobowych
Podstawy przetwarzania danych osobowych ü Zgoda posiadacza danych osobowych (chyba, że chodzi o ich usunięcie) ü Niezbędność dla zrealizowania uprawnienia lub spełnienia obowiązku
wynikającego z przepisu prawa ü Konieczność do realizacji umowy, gdy osoba, której dane dotyczą, jest jej
stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;
ü Niezbędność do wykonania określonych prawem zadań realizowanych dla dobra publicznego;
ü Niezbędność dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. ü marketing bezpośredni własnych produktów lub usług administratora danych ü dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej
Klauzula zgody na przetwarzanie
danych osobowych
ü Forma: ü niedopuszczalność zgody dorozumianej! Musi być wyraźna ü ustna, pisemna, wyrażona za pomocą elektronicznych środków przekazu (np.
„checkboxa” w internetowym formularzu), ü tylko pisemna: dane wrażliwe
ü Jedna zgoda = jeden cel ü precyzyjne sformułowanie celu ü niedopuszczalność formułowania klauzuli blankietowej ü niedopuszczalność uzależniania możliwości skorzystania z płatnej usługi od
wyrażenia zgody na przetwarzanie danych (inaczej przy usługach bezpłatnych)
6
Klauzula zgody na przetwarzanie
danych osobowych
ü Informacja o administratorze danych (oraz ewentualnie innych podmiotach, które będą przetwarzać dane osobowe)
ü Precyzyjność: "Zgoda na przekazywanie danych musi mieć charakter wyraźny, a jej wszystkie aspekty muszą być jasne dla podpisującego w momencie jej wyrażania.” (wyrok NSA z dnia 4 kwietnia 2003 r., sygn. akt II SA 2135/2002)
ü Przykładowa klauzula zgody: Wyrażam zgodę na przetwarzanie moich danych osobowych przez (nazwa firmy i adres siedziby) w celu otrzymywania drogą elektroniczną wiadomości na tematy związane z e-biznesem, takie jak ______________. Oświadczam, że znam prawo do wglądu, zmiany i żądania zaprzestania przetwarzania swoich danych. Dane podaję dobrowolnie.
7
Uprawnienia posiadacza danych osobowych
Ø każdej osobie przysługuje prawo kontroli przetwarzania danych, które jej dotyczą, w tym do uzyskania wyczerpującej informacji od administratora danych w tym zakresie,
Ø możliwość żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia,
Ø prawo sprzeciwu wobec przetwarzania danych osobowych w celach marketingowych lub przekazywania ich innemu administratorowi danych osobowych,
Ø możliwość odwołania zgody na przetwarzanie danych osobowych – w każdym czasie, bez konieczności uzasadniania,
Ø jeśli administrator danych osobowych nie respektuje powyższych uprawnień, naraża się na odpowiedzialność karną;
8
Rejestracja zbioru danych 1. Generalna zasada rejestracji wszystkich zbiorów danych (art. 40
UODO). 2. Zwolnienia z obowiązku rejestracji zbiorów danych:
Ø objętych tajemnicą państwową ze względu na obronność lub bezpieczeństwo państwa, ochronę życia i zdrowia ludzi, mienia lub bezpieczeństwa i porządku publicznego,
Ø przetwarzanych przez wskazane w ustawie organy, Ø dotyczących członków kościoła lub innego związku wyznaniowego, Ø dotyczących osób u nich zatrudnionych, świadczących usługi, zrzeszonych lub
uczących się, Ø dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej,
adwokackiej lub radcy prawnego, biegłego rewidenta lub rzecznika patentowego,
- tworzonych na podstawie ordynacji wyborczych Ø dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie
niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności,
Ø przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,
Ø powszechnie dostępnych, Ø przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu
ukończenia szkoły wyższej lub stopnia naukowego, Ø przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.
Rejestracja zbioru danych ü Zbiór danych – niezależnie od ilości rekordów czy rodzajów zbieranych
danych ü GIODO: należy zarejestrować zbiór danych osobowych, który składa się
jedynie z jednego rodzaju danych osobowych, np. adresu e-mail (newsletter) ü Teoria: obowiązek zgłoszenia zbioru danych przed ich uzyskaniem i rozpoczęciem
ich przetwarzania ü Zgłoszenie nie wiąże się z żadnymi opłatami ü Możliwość zgłoszenia zbioru danych drogą elektroniczną za pomocą specjalnego
formularza (platforma egiodo.giodo.gov.pl) ü Konieczność wskazania:
ü Danych administratora ü Podstawy przetwarzania danych osobowych ü Zakresu zbieranych danych ü Celu przetwarzania danych ü Ewentualnych planów udostępnienia danych podmiotom trzecim ü Środków zabezpieczenia danych osobowych
ü Dla zgłaszanego zbioru należy opracować odpowiednią dokumentację: ü Politykę bezpieczeństwa (wraz z wykazem zbiorów, osób uprawnionych do
dokonywania czynności związanych z przetwarzaniem danych) ü Instrukcję zarządzania systemami informatycznymi
ü Rejestr jest jawny
Nowelizacja – 1.01.2015 ü Alternatywa wobec rejestracji zbioru: zgłoszenie GIODO faktu powołania
Administratora Bezpieczeństwa Informacji (ABI) ü Powołanie ABI to jedynie możliwość – w innym przypadku jego funkcje pełni
sam administrator danych osobowych
ü Głównym zadaniem ABI jest zapewnianie przestrzegania przepisów o ochronie danych osobowych , w szczególności przez:
ü sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
ü nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, oraz przestrzegania zasad w niej określonych,
ü zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.
ü Dodatkowym zadaniem ABI jest prowadzenie rejestru zbiorów
danych przetwarzanych przez administratora danych
Nowelizacja – 1.01.2015 ü Funkcję ABI może pełnić osoba, która:
ü ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,
ü posiada odpowiednią wiedzę w zakresie ochrony danych osobowych, ü nie była karana za umyślne przestępstwo.
ü Przesłanka posiadania przez ABI odpowiedniej wiedzy w zakresie ochrony danych osobowych (art. 36a ust. 5 pkt 2 u.o.d.o.) jest oceniana przez samego administratora danych. Działając we własnym interesie powinien on powołać osobę, która ma rzeczywistą wiedzę z zakresu ochrony danych. Znowelizowane przepisy u.o.d.o. nie wprowadzają wymogu posiadania przez ABI jakichkolwiek certyfikatów, poświadczeń ukończenia odpowiednich szkoleń itp. Poziom odpowiedniej wiedzy powinien być dostosowany do prowadzonych u administratora danych operacji przetwarzania danych oraz wymogów ich ochrony.
ü Fakt powołania ABI należy zgłosić GIODO w ciągu 30 dni
ü GIODO prowadzi rejestr ABI, który jest jawny – zawiera dane administratora i dane ABI
Zasady obrotu danymi osobowymi
Obowiązek uzyskania zgody na sprzedaż danych
Obowiązek poinformowania osoby, której dane dotyczą o nabyciu danych (art. 25 UODO)
Obowiązek poinformowania GIODO o zmianie administratora danych (art. 41 ust. 2 UODO)
Powierzenie przetwarzania danych osobowych
Prawo do powierzenia przetwarzania podmiotowi trzeciemu: Ø Powierzenie a przekazanie (sprzedaż) danych Ø Obowiązek zawarcia pisemnej umowy o przetwarzanie danych; Ø Odpowiedzialność administratora danych za sposób ich
przetwarzania; Ø Odpowiedzialność umowna podmiotu przetwarzającego dane; Ø Ograniczenia możliwości powierzenia przetwarzania danych
podmiotowi zagranicznemu: ü obowiązek zachowania standardów ochrony danych osobowych (art. 47
UODO) ü certyfikat programu Safe harbour, ü zgoda GIODO zezwalająca na powierzenie przetwarzania danych
osobowych
Bezpieczeństwo danych osobowych
w data center ü „Dekalog Chmuroluba”
ü przygotowany przez GIODO dla administracji publicznej, lecz jest na tyle uniwersalny, że mogą stosować go inne podmioty
ü Mówi m.in. o: ü obowiązkach informacyjnych w zakresie fizycznej lokalizacji serwerów, ü obowiązku raportowania o wszystkich incydentach bezpieczeństwa danych, ü stosowaniu jednolitych klauzul umownych i kontroli łańcucha podwykonawców, ü ełnym dostępie do dokumentacji dotyczącej zasad bezpieczeństwa i stosowanych
zabezpieczeniach
ü norma ISO/IEC 27018:2014 Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors
ü opracowana przez Międzynarodową Organizację Normalizacyjną (ISO) i Międzynarodową Komisję Elektrotechniczną (IEC)
ü celem jest zapewnienie jakości i jednolitości standardów w zakresie ochrony danych stosowanych przez globalnych dostawców usług w chmurze działających transgranicznie
16
Bezpieczeństwo danych osobowych
w data center ü norma ISO/IEC 27018:2014 – podstawowe założenia
ü zapewnienie użytkownikom kontroli nad przetwarzanymi danymi - możliwość dostępu, poprawiania i usunięcia danych, a także przetwarzania ich zgodnie z instrukcjami i wskazanym celem
ü zapewnienie ograniczeń w ujawnianiu i dostępie do danych ze strony podmiotów trzecich np. podwykonawców
ü zapewnienie odpowiedniego szkolenia zespołowi który ma dostęp do danych ü przetwarzanie informacji w celach marketingowych jest dopuszczalne wyłącznie po
wyrażeniu jednoznacznej zgody przez klienta, a korzystanie z usługi nie może być uzależnione od wyrażenia takiej zgody
ü obowiązek powiadomienia o każdym przypadku uzyskania dostępu do informacji przez nieuprawniony do tego podmiot
ü wdrożenie norm jest dobrowolne - niemniej ułatwia wykazanie zachowania standardów bezpieczeństwa ; potwierdzane jest certyfikatem
17
Błędy związane z przetwarzaniem
danych osobowych ü Uzależnienia możliwości skorzystania z płatnej usługi od wyrażenia zgody na przetwarzanie
danych ü usługa bezpłatna (np. poczta e-mail) – dopuszczalność wprowadzenia obowiązku zgody na wykorzystanie danych
osobowych – dane osobowe jako „waluta”
ü Zaznaczone domyślnie checkboxy (lub nawet ich brak) ü Łączenie akceptacji regulaminu ze zgodą na przetwarzanie danych
ü Oświadczenie o wyrażeniu zgody na przetwarzanie danych w celach innych niż realizacja warunków umownych, nie może znajdować się jako jedno z postanowień umownych. Zgoda na przetwarzanie danych w celach marketingowych, reklamowych, informacyjnych [... ] musi być odrębnym oświadczeniem woli, z treści którego wynikałaby zgoda na przetwarzanie w tym właśnie celu. [wyrok Naczelnego Sądu Administracyjnego z dn. 19.11.2001 r., II SA 2748/00)
ü Łączenie zgód na przetwarzanie danych w różnych celach/przez różne podmioty ü Zgoda na przesyłanie informacji handlowej, zgoda na cele marketingowe, zgoda na przekazanie danych
podmiotowi trzeciemu ü Zgoda na udostępnienie danych osobom trzecim musi być odrębnym od postanowień umownych oświadczeniem
woli abonenta, nie musi on bowiem godzić się na udostępnienie swych danych osobom trzecim. [wyrok Naczelnego Sądu Administracyjnego z dn. 19.11.2001 r., II SA 2748/00]
ü Żądanie zgody blankietowej – w zakresie celu lub podmiotu który będzie przetwarzał dane osobowe
18
Kary związane z naruszeniem przepisów dot. ochrony danych osobowych
Ø Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2;
Ø K t o a d m i n i s t r u j ą c z b i o r e m d a n y c h l u b b ę d ą c o b o w i ą z a n y do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2;
Ø Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku;
19
Kary związane z naruszeniem przepisów dot. ochrony danych osobowych
Ø Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku;
Ø Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku
Ø Kto inspektorowi udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
20
Informacja vs ochrona danych osobowych
Wyrok TSUE z 13 maja 2014, sprawa C-131/12 Google Spain SL i Google Inc. przeciwko Agencia Española de Protección de Datos (AEPD) i Mario Costeja González. ü każdy użytkownik Internetu ma prawo zgłosić swoje zastrzeżenia co do wyników wyszukiwania, które mogą naruszać jego prywatność (usuwanie linków do informacji „nieistotnych lub nieaktualnych”); ü przeglądarki internetowe powinny usuwać niektóre wyniki wyszukiwań, które naruszają prywatność na prośbę poszczególnych użytkowników; ü jeżeli firma odmówi, należy zgłosić sprawę do odpowiedniej instytucji, która może wydać wyrok, zmuszający ją do tego;
ü Google np. ocenia potrzebę ochrony prywatności danej osoby, jednocześnie biorąc pod uwagę prawo dostępu do informacji publicznej i prawo do jej rozpowszechniania; sprawdza, czy wyniki wyszukiwania zawierają nieaktualne/nieprawdziwe informacje o zgłaszającym prośbę oraz czy jest interes publiczny w udostępnianiu wskazanych informacji (np. może odmówić usunięcia określonych informacji o nadużyciach finansowych, nieprawidłowościach w pracy zawodowej, postępowaniach karnych lub publicznym zachowaniu przedstawicieli władz).
21
Dziękujemy za uwagę i zapraszamy do współpracy
Chabasiewicz, Kowalska i Partnerzy Radcowie Prawni
Centrum Biurowe BIPROSTAL
ul. Królewska 57, 30-081 Kraków
tel: +48 12 297 38 38, +48 12 297 38 30 fax: +48 12 297 38 39
www.ck-legal.pl
zapraszamy na naszego bloga: www.prawainwestora.pl