Dane osobowe w data center – podstawowe pojęcia,

możliwości, zagrożenia

Chabasiewicz Kowalska i Partnerzy

Warszawa, 21 kwietnia 2015

1  

Plan wystąpienia

1.  Pojęcie danych osobowych 2.  Zasady gromadzenia i przetwarzania danych osobowych 3.  Uprawnienia posiadacza danych osobowych 4.  Rejestracja zbiorów danych 5.  ABI – nowelizacja 6.  Powierzenie przetwarzania danych osobowych 7.  Bezpieczeństwo danych osobowych w data center 8.  Kary za naruszenie przepisów dot. ochrony danych

osobowych 9.  Prawo do bycia zapomnianym

2  

Co to są dane osobowe? dane osobowe: wszelkie informacje: imię, nazwisko i adres, zdjęcia, filmy, zarejestrowane głosy, tzw. dane biometryczne (cechy źrenicy, linie papilarne, cechy twarzy, geometria ręki) itp. – pod warunkiem, że mogą służyć do zidentyfikowania osoby. Informacja staje się więc daną osobową, jeżeli można tę informację powiązać z konkretną osobą bez ponoszenia nadmiernych kosztów; Ø  Adres IP? Ø  Adres e-mail? (kancelaria@ck-legal.pl vs agata.kowalska@ck-legal.pl) Ø  Cookies?

Ø  Rodzaje danych osobowych: zwykłe i wrażliwe

Obowiązki informacyjne - wykonywanie

System przekazywania informacji

ESPI EBI

Kto raportuje? Spółka publiczna Spółka notowana na NewConnect

O czym raportuje?

Art. 70 ustawy o ofercie Ø  o zmianach w strukturze

akcjonariatu po przekroczeniu określonych progów

Art. 156 – 160 ustawy o obrocie Ø  kwestie dot. ujawniania i

wykorzystywania informacji poufnej

Ø  obowiązek informowania o transakcji na akcjach emitenta określonych osób

Regulamin ASO Ø  raporty bieżące

(cenotwórcze) i okresowe

Zasady gromadzenia i przetwarzania danych osobowych

ü  Zakres przetwarzania danych „Przez przetwarzanie danych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.”

ü  Zasady przetwarzania danych osobowych ü  Legalność: przetwarzane zgodnie z prawem ü  Celowość: dane zbierane dla oznaczonych, zgodnych z prawem

celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami

ü  Adekwatność: dane merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane ü  Jakiego zakresu danych możemy żądać?

Obowiązki informacyjne - wykonywanie

System przekazywania informacji

ESPI EBI

Kto raportuje? Spółka publiczna Spółka notowana na NewConnect

O czym raportuje?

Art. 70 ustawy o ofercie Ø  o zmianach w strukturze

akcjonariatu po przekroczeniu określonych progów

Art. 156 – 160 ustawy o obrocie Ø  kwestie dot. ujawniania i

wykorzystywania informacji poufnej

Ø  obowiązek informowania o transakcji na akcjach emitenta określonych osób

Regulamin ASO Ø  raporty bieżące

(cenotwórcze) i okresowe

Zasady gromadzenia i przetwarzania danych osobowych

Podstawy przetwarzania danych osobowych ü  Zgoda posiadacza danych osobowych (chyba, że chodzi o ich usunięcie) ü  Niezbędność dla zrealizowania uprawnienia lub spełnienia obowiązku

wynikającego z przepisu prawa ü  Konieczność do realizacji umowy, gdy osoba, której dane dotyczą, jest jej

stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;

ü  Niezbędność do wykonania określonych prawem zadań realizowanych dla dobra publicznego;

ü  Niezbędność dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. ü  marketing bezpośredni własnych produktów lub usług administratora danych ü  dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej  

 Klauzula zgody na przetwarzanie

danych osobowych

ü  Forma: ü  niedopuszczalność zgody dorozumianej! Musi być wyraźna ü  ustna, pisemna, wyrażona za pomocą elektronicznych środków przekazu (np.

„checkboxa” w internetowym formularzu), ü  tylko pisemna: dane wrażliwe

ü  Jedna zgoda = jeden cel ü  precyzyjne sformułowanie celu ü  niedopuszczalność formułowania klauzuli blankietowej ü  niedopuszczalność uzależniania możliwości skorzystania z płatnej usługi od

wyrażenia zgody na przetwarzanie danych (inaczej przy usługach bezpłatnych)

6  

 Klauzula zgody na przetwarzanie

danych osobowych

ü  Informacja o administratorze danych (oraz ewentualnie innych podmiotach, które będą przetwarzać dane osobowe)

ü  Precyzyjność: "Zgoda na przekazywanie danych musi mieć charakter wyraźny, a jej wszystkie aspekty muszą być jasne dla podpisującego w momencie jej wyrażania.” (wyrok NSA z dnia 4 kwietnia 2003 r., sygn. akt II SA 2135/2002)

ü  Przykładowa klauzula zgody: Wyrażam zgodę na przetwarzanie moich danych osobowych przez (nazwa firmy i adres siedziby) w celu otrzymywania drogą elektroniczną wiadomości na tematy związane z e-biznesem, takie jak ______________. Oświadczam, że znam prawo do wglądu, zmiany i żądania zaprzestania przetwarzania swoich danych. Dane podaję dobrowolnie.

7  

Uprawnienia posiadacza danych osobowych

Ø  każdej osobie przysługuje prawo kontroli przetwarzania danych, które jej dotyczą, w tym do uzyskania wyczerpującej informacji od administratora danych w tym zakresie,

Ø  możliwość żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia,

Ø  prawo sprzeciwu wobec przetwarzania danych osobowych w celach marketingowych lub przekazywania ich innemu administratorowi danych osobowych,

Ø  możliwość odwołania zgody na przetwarzanie danych osobowych – w każdym czasie, bez konieczności uzasadniania,

Ø  jeśli administrator danych osobowych nie respektuje powyższych uprawnień, naraża się na odpowiedzialność karną;

8  

Rejestracja zbioru danych 1.  Generalna zasada rejestracji wszystkich zbiorów danych (art. 40

UODO). 2.  Zwolnienia z obowiązku rejestracji zbiorów danych:

Ø  objętych tajemnicą państwową ze względu na obronność lub bezpieczeństwo państwa, ochronę życia i zdrowia ludzi, mienia lub bezpieczeństwa i porządku publicznego,

Ø  przetwarzanych przez wskazane w ustawie organy, Ø  dotyczących członków kościoła lub innego związku wyznaniowego, Ø  dotyczących osób u nich zatrudnionych, świadczących usługi, zrzeszonych lub

uczących się, Ø  dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej,

adwokackiej lub radcy prawnego, biegłego rewidenta lub rzecznika patentowego,

-  tworzonych na podstawie ordynacji wyborczych Ø  dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie

niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności,

Ø  przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,

Ø  powszechnie dostępnych, Ø  przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu

ukończenia szkoły wyższej lub stopnia naukowego, Ø  przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.

Rejestracja zbioru danych ü  Zbiór danych – niezależnie od ilości rekordów czy rodzajów zbieranych

danych ü  GIODO: należy zarejestrować zbiór danych osobowych, który składa się

jedynie z jednego rodzaju danych osobowych, np. adresu e-mail (newsletter) ü  Teoria: obowiązek zgłoszenia zbioru danych przed ich uzyskaniem i rozpoczęciem

ich przetwarzania ü  Zgłoszenie nie wiąże się z żadnymi opłatami ü  Możliwość zgłoszenia zbioru danych drogą elektroniczną za pomocą specjalnego

formularza (platforma egiodo.giodo.gov.pl) ü  Konieczność wskazania:

ü  Danych administratora ü  Podstawy przetwarzania danych osobowych ü  Zakresu zbieranych danych ü  Celu przetwarzania danych ü  Ewentualnych planów udostępnienia danych podmiotom trzecim ü  Środków zabezpieczenia danych osobowych

ü  Dla zgłaszanego zbioru należy opracować odpowiednią dokumentację: ü  Politykę bezpieczeństwa (wraz z wykazem zbiorów, osób uprawnionych do

dokonywania czynności związanych z przetwarzaniem danych) ü  Instrukcję zarządzania systemami informatycznymi

ü  Rejestr jest jawny

Nowelizacja – 1.01.2015 ü  Alternatywa wobec rejestracji zbioru: zgłoszenie GIODO faktu powołania

Administratora Bezpieczeństwa Informacji (ABI) ü  Powołanie ABI to jedynie możliwość – w innym przypadku jego funkcje pełni

sam administrator danych osobowych

ü  Głównym zadaniem ABI jest zapewnianie przestrzegania przepisów o ochronie danych osobowych , w szczególności przez:

ü  sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,

ü  nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, oraz przestrzegania zasad w niej określonych,

ü  zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

ü  Dodatkowym zadaniem ABI jest prowadzenie rejestru zbiorów

danych przetwarzanych przez administratora danych

Nowelizacja – 1.01.2015 ü  Funkcję ABI może pełnić osoba, która:

ü  ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,

ü  posiada odpowiednią wiedzę w zakresie ochrony danych osobowych, ü  nie była karana za umyślne przestępstwo.

ü  Przesłanka posiadania przez ABI odpowiedniej wiedzy w zakresie ochrony danych osobowych (art. 36a ust. 5 pkt 2 u.o.d.o.) jest oceniana przez samego administratora danych. Działając we własnym interesie powinien on powołać osobę, która ma rzeczywistą wiedzę z zakresu ochrony danych. Znowelizowane przepisy u.o.d.o. nie wprowadzają wymogu posiadania przez ABI jakichkolwiek certyfikatów, poświadczeń ukończenia odpowiednich szkoleń itp. Poziom odpowiedniej wiedzy powinien być dostosowany do prowadzonych u administratora danych operacji przetwarzania danych oraz wymogów ich ochrony.

ü  Fakt powołania ABI należy zgłosić GIODO w ciągu 30 dni

ü  GIODO prowadzi rejestr ABI, który jest jawny – zawiera dane administratora i dane ABI

Zasady obrotu danymi osobowymi

Obowiązek uzyskania zgody na sprzedaż danych

Obowiązek poinformowania osoby, której dane dotyczą o nabyciu danych (art. 25 UODO)

Obowiązek poinformowania GIODO o zmianie administratora danych (art. 41 ust. 2 UODO)

Powierzenie przetwarzania danych osobowych

Prawo do powierzenia przetwarzania podmiotowi trzeciemu: Ø  Powierzenie a przekazanie (sprzedaż) danych Ø  Obowiązek zawarcia pisemnej umowy o przetwarzanie danych; Ø  Odpowiedzialność administratora danych za sposób ich

przetwarzania; Ø  Odpowiedzialność umowna podmiotu przetwarzającego dane; Ø  Ograniczenia możliwości powierzenia przetwarzania danych

podmiotowi zagranicznemu: ü  obowiązek zachowania standardów ochrony danych osobowych (art. 47

UODO) ü  certyfikat programu Safe harbour, ü  zgoda GIODO zezwalająca na powierzenie przetwarzania danych

osobowych

 Bezpieczeństwo danych osobowych

w data center ü  „Dekalog Chmuroluba”

ü  przygotowany przez GIODO dla administracji publicznej, lecz jest na tyle uniwersalny, że mogą stosować go inne podmioty

ü Mówi m.in. o: ü  obowiązkach informacyjnych w zakresie fizycznej lokalizacji serwerów, ü  obowiązku raportowania o wszystkich incydentach bezpieczeństwa danych, ü  stosowaniu jednolitych klauzul umownych i kontroli łańcucha podwykonawców, ü  ełnym dostępie do dokumentacji dotyczącej zasad bezpieczeństwa i stosowanych

zabezpieczeniach

ü  norma ISO/IEC 27018:2014 Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors

ü  opracowana przez Międzynarodową Organizację Normalizacyjną (ISO) i Międzynarodową Komisję Elektrotechniczną (IEC)

ü  celem jest zapewnienie jakości i jednolitości standardów w zakresie ochrony danych stosowanych przez globalnych dostawców usług w chmurze działających transgranicznie

         

16  

 Bezpieczeństwo danych osobowych

w data center ü norma ISO/IEC 27018:2014 – podstawowe założenia

ü  zapewnienie użytkownikom kontroli nad przetwarzanymi danymi - możliwość dostępu, poprawiania i usunięcia danych, a także przetwarzania ich zgodnie z instrukcjami i wskazanym celem

ü  zapewnienie ograniczeń w ujawnianiu i dostępie do danych ze strony podmiotów trzecich np. podwykonawców

ü  zapewnienie odpowiedniego szkolenia zespołowi który ma dostęp do danych ü przetwarzanie informacji w celach marketingowych jest dopuszczalne wyłącznie po

wyrażeniu jednoznacznej zgody przez klienta, a korzystanie z usługi nie może być uzależnione od wyrażenia takiej zgody

ü obowiązek powiadomienia o każdym przypadku uzyskania dostępu do informacji przez nieuprawniony do tego podmiot

ü wdrożenie norm jest dobrowolne - niemniej ułatwia wykazanie zachowania standardów bezpieczeństwa ; potwierdzane jest certyfikatem

         

17  

 Błędy związane z przetwarzaniem

danych osobowych ü  Uzależnienia możliwości skorzystania z płatnej usługi od wyrażenia zgody na przetwarzanie

danych ü  usługa bezpłatna (np. poczta e-mail) – dopuszczalność wprowadzenia obowiązku zgody na wykorzystanie danych

osobowych – dane osobowe jako „waluta”

ü  Zaznaczone domyślnie checkboxy (lub nawet ich brak) ü  Łączenie akceptacji regulaminu ze zgodą na przetwarzanie danych

ü  Oświadczenie o wyrażeniu zgody na przetwarzanie danych w celach innych niż realizacja warunków umownych, nie może znajdować się jako jedno z postanowień umownych. Zgoda na przetwarzanie danych w celach marketingowych, reklamowych, informacyjnych [... ] musi być odrębnym oświadczeniem woli, z treści którego wynikałaby zgoda na przetwarzanie w tym właśnie celu. [wyrok Naczelnego Sądu Administracyjnego z dn. 19.11.2001 r., II SA 2748/00)

ü  Łączenie zgód na przetwarzanie danych w różnych celach/przez różne podmioty ü  Zgoda na przesyłanie informacji handlowej, zgoda na cele marketingowe, zgoda na przekazanie danych

podmiotowi trzeciemu ü  Zgoda na udostępnienie danych osobom trzecim musi być odrębnym od postanowień umownych oświadczeniem

woli abonenta, nie musi on bowiem godzić się na udostępnienie swych danych osobom trzecim. [wyrok Naczelnego Sądu Administracyjnego z dn. 19.11.2001 r., II SA 2748/00]

ü Żądanie zgody blankietowej – w zakresie celu lub podmiotu który będzie przetwarzał dane osobowe          

18  

Kary związane z naruszeniem przepisów dot. ochrony danych osobowych

Ø  Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2;

Ø  K t o a d m i n i s t r u j ą c z b i o r e m d a n y c h l u b b ę d ą c o b o w i ą z a n y do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2;

Ø  Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku;

19  

Kary związane z naruszeniem przepisów dot. ochrony danych osobowych

Ø  Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku;

Ø  Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku

Ø  Kto inspektorowi udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

20  

Informacja vs ochrona danych osobowych

Wyrok TSUE z 13 maja 2014, sprawa C-131/12 Google Spain SL i Google Inc. przeciwko Agencia Española de Protección de Datos (AEPD) i Mario Costeja González. ü każdy użytkownik Internetu ma prawo zgłosić swoje zastrzeżenia co do wyników wyszukiwania, które mogą naruszać jego prywatność (usuwanie linków do informacji „nieistotnych lub nieaktualnych”); ü przeglądarki internetowe powinny usuwać niektóre wyniki wyszukiwań, które naruszają prywatność na prośbę poszczególnych użytkowników; ü jeżeli firma odmówi, należy zgłosić sprawę do odpowiedniej instytucji, która może wydać wyrok, zmuszający ją do tego;

ü Google np. ocenia potrzebę ochrony prywatności danej osoby, jednocześnie biorąc pod uwagę prawo dostępu do informacji publicznej i prawo do jej rozpowszechniania; sprawdza, czy wyniki wyszukiwania zawierają nieaktualne/nieprawdziwe informacje o zgłaszającym prośbę oraz czy jest interes publiczny w udostępnianiu wskazanych informacji (np. może odmówić usunięcia określonych informacji o nadużyciach finansowych, nieprawidłowościach w pracy zawodowej, postępowaniach karnych lub publicznym zachowaniu przedstawicieli władz).

21  

Dziękujemy za uwagę i zapraszamy do współpracy

Chabasiewicz, Kowalska i Partnerzy Radcowie Prawni

Centrum Biurowe BIPROSTAL

ul. Królewska 57, 30-081 Kraków

tel: +48 12 297 38 38, +48 12 297 38 30 fax: +48 12 297 38 39

agata.kowalska@ck-legal.pl

kancelaria@ck-legal.pl

www.ck-legal.pl

zapraszamy na naszego bloga: www.prawainwestora.pl