Wykład 19.09.2010 - notatki

Teos_2.0 · Wysłany: Pon 0:19, 20 Wrz 2010 Temat postu: Wykład 19.09.2010 - notatki

Ochrona danych osobowych w prawie administracyjnym – wykład 19.09.2010

Wszystkie artykuły dotyczą ustawy z dnia 29.08.1997 r. O ochronie danych osobowych.

I Podstawowe pojęcia

Własny aparat pojęciowy – nauka ochrony danych osobowych ma swoje źródła w różnych dziedzinach prawa oraz naukach technologicznych (głównie informatyce).

Dane osobowe

Wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (art. 6.1)
Główna cecha – brak anonimowości

Informacja o charakterze osobowym:
- na jej podstawie możemy ustalić tożsamość osoby, do której się odnosi (zidentyfikować),
lub
- dotyczy osoby zidentyfikowanej.

Problem identyfikalności – kiedy możemy powiedzieć, że osoba jest możliwa do zidentyfikowania?

Art. 6.2 – problem metody
Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określic bezpośrednio lub pośrednio.

Art. 6.3 – problem nakładów (klauzula generalna)
Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

Dane osobowe to wszelkie informacje dotyczące osoby, której tożsamość znamy, lub której tożsamość możemy stosunkowo łatwo ustalić.

Cechy informacji, które nie mają istotnego znaczenia:
- odnoszące się do „znaczenia” treści informacji (charakter, waga, stopień intymności)
- odnoszące się do formy (sposób utrwalenia informacji, np. Pisemny, graficzny, zapis cyfrowy...)

Dane osobowe to także wizerunek i głos, ww tym zarejestrowany za pomocą urządzeń fotograficznych, audio, video, cyfrowych.

Niemożliwe jest stworzenie katalogu danych osobowych. Charakter osobowy zależy od kontekstu. Żadna informacja nie ma stałego wyznacznika osobowego, ale każda może mieć taki charakter.

Przedmiot ochrony danych osobowych

Prawa i wolności osób fizycznych (art. 6.1)

Europejska Konwencja o Ochronie Danych Osobowych (art. 3.2.b Konwencji nr 108 o ochronie osób fizycznych w związku z automatycznym przetwarzaniem danych osobowych) pozwala rozszerzyć podmiotowość na osoby niefizyczne, ugrupowania, stowarzyszenia, fundacje, spółki, korporacje i inne organizacje gromadzące osoby fizyczne niezależnie od posiadania osobowości prawnej. Do deklaracji tej przystąpiły dotychczas Austria, Włochy, Luksemburg, Liechtenstein i Szwajcaria.

W Polsce ustawy o ochronie danych osobowych nie stosuje się względem ewidencji działalności gospodarczej a także, na podstawie interpretacji GIODO, względem innych jawnych rejestrów publicznych.

Każda sprawa przed GIODO ma charakter incydentalny – wyłączeń nie interpretuje się rozszerzająco.

Dane o osobach zmarłych nie są danymi osobowymi.

Przetwarzanie danych osobowych

(wg art. 2.b Dyrektywy Parlamentu Europejskiego i Rady 95/46/WE) – każda operacja lub zestaw operacji dokonywanych na danych przy pomocy środków zautomatyzowanych lub innych;
(wg art. 7.2 uoodo) – jakiekolwiek operacje na danych osobowychtakie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, usuwanie, a zwłaszcza te, które dokonuje się w systemach informatycznych;

Istotny jest fakt „władztwa” nad danymi (także czynność bierna – przechowywanie).

Czynności „brzegowe”:
- zbieranie (gromadzenie) – wejście w posiadanie danych osobowych w dowolny sposób,
- usuwanie (niszczenie) - fizyczne zniszczenie lub modyfikacja, która uniemożliwia ustalenie tożsamości osoby, której dotyczą (liczy się skuteczność usunięcia);

Zbiór danych osobowych

(wg art. 2.c Dyrektywy 95/46/WE) - każdy uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów;
(wg art. 7.1 uoodo) – każdy posiadający strukturę zestaw danych o charakterze osobowym dostępnych według kryteriów niezależnie od tego, czy zestaw ten jest rozproszony, czy podzielony funkcjonalnie;

Kryterium dostępu:
- cecha (lub cechy) umożliwiająca wyszukiwanie konkretnych danych,
- uporządkowanie danych, aby odszukanie informacji nie wymagało przeglądania całego zbioru,
- musi mieć charakter osobowy;

Zakres ochrony danych osobowych

(wg art. 3.1 Dyrektywy 95/46/WE) – przetwarzanie danych osobowych w całości lub w części w sposób zautomatyzowany oraz inne przetwarzanie danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych;
(z definicji tej wynikają przesłanki alternatywne – przetwarzania w sposób zautomatyzowany, stanowienia lub zamiaru stanowienia części zbioru danych)
(wg art. 2.2 uoodo) ustawę stosuje się do przetwarzania danych osobowych:
1) w kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych
2) w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych.

Art. 7.2a - system informatyczny

- zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych;

Powyższe przepisy interpretuje się „proeuropejsko” w celu zgodności z Dyrektywą.

Dane osobowe podlegają ochronie:
- gdy są lub mają być przetwarzane w zbiorze danych (przykładowe wyliczenie w art. 2.2 pkt 1)
- gdy są lub mają być przetwarzane w systemach informatycznych (tożsame z „przetwarzaniem zautomatyzowanym”)

Dane osobowe nie podlegają ochronie, gdy nie są elementami zbioru danych i nie są przetwarzane w sposób zautomatyzowany (pozostają poza systemem informatycznym), przykładowo: książki, czasopisma, rozpowszechnianie w stacji radiowej, telewizyjnej, podawane w wystąpieniach...

Zamieszczenie danych w sieci internetowej podlega przepisom uoodo.

Wyjątki stosowania ustawy o ochronie danych osobowych

Ustawy nie stosuje się:
- do osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych,
- do podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim,
wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej
wyłącznie do przekazywania danych,
- do prasowej działalności dziennikarskiej w rozumieniu ustawy Prawo prasowe oraz do działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą (za wyjątkiem przepisów o kontroli i zabezpieczeniu zbiorów danych),
- do zbiorów danych osobowych sporządzonych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych lub poddawanych anonimizacji (za wyjątkiem przepisów o zabezpieczeniu zbiorów danych).

II Podmioty obowiązku

Administrator danych
(nie jest pojęciem tożsamym z „administrator bazy danych”, czy „administrator bezpieczeństwa informacji”!)
(art. 7.4) ten, kto decyduje o celach i środkach przetwarzania danych osobowych
(także organ uprawniony do podejmowania wiążących decyzji)
Mogą nim być:
- organy państwowe,
- organy samorządu terytorialnego,
- państwowe i komunalne jednostki organizacyjne,
- podmioty niepubliczne realizujące zadania publiczne,
- osoby fizyczne, osoby prawne, jednostki organizacyjne niebędące osobami prawnymi, które przetwarzają dane w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych.

”Zleceniobiorca” i jego sytuacja prawna

Podstawa prawna – art. 31
- podmiot, któremu administrator powierzył przetwarzanie danych osobowych
- wymóg formy pisemnej umowy

Konsekwencje:
- administrator
-- nadal decyduje o celu i środkach przetwarzania
-- ponosi odpowiedzialność na podstawie uoodo za jej wykonanie
- zleceniobiorca
-- ma obowiązek wykonania umowy zawartej z administratorem danych
-- jest związny z określonymi przez administratora celami i środkami przetwarzania
-- odpowiada na podstawie uoodo za zabezpieczenia zbioru danych

III Ogólne warunki dopuszczalności przetwarzania

- wymogi, od spełnienia których uzależniona jest możliwość przetwarzania zbioru danych

Przesłanki (umożliwiają przetwarzanie):
- zgoda osoby, której dane dotyczą (art. 23.1.1)
przetwarzanie danych osobowych jest dopuszczalne, gdy osoba, której dane dotyczą wyrazi zgodę, chyba że chodzi o usunięcie dotyczących jej danych
„przywilej lekarski” (art. 23.3)- jeżeli przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a uzyskanie zgody jest niemożliwe, można przetwarzać dane bez zgody tej osoby do czasu, gdy uzyskanie zgody będzie możliwe
- przepisy prawa (art. 23.1.2)
przetwarzanie danych jest dopuszczalne, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisów prawa
- realizacja umowy (art. 23.1.3)
przetwarzanie danych jest dopuszczalne, gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą
- dobro publiczne (art. 23.1.4)
przetwarzanie danych jest dopuszczalne, gdy jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego
- usprawiedliwiony cel administratora (art. 23.1.5)
przetwarzanie danych jest dopuszczalne, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (przykładowo – marketing bezpośredni własnych produktów lub usług administratora danych; dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej) – możliwe jest wyrażenie sprzeciwu na otrzymywanie ofert marketingowych

Ustawa o świadczeniu usług drogą elektroniczną nakłada wymóg uzyskania zgody osoby, do której ma być adresowana informacja marketingowa jeszcze przed wysłaniem.

IV Dane wrażliwe (sensitive data)

- (art. 27.1) dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym (katalog zamknięty)
(dane o kodzie genetycznym i nałogach zostały dodane do ustawy przez Polskę wbrew dyrektywie unijnej)
Różnice w ochronie danych wrażliwych i pozostałych danych

Przetwarzanie pozostałych danych jest zasadniczo dozwolone.
Przetwarzanie danych wrażliwych jest zasadniczo zakazane (konieczność spełnienia dodatkowych przesłanek wymienionych w art. 27.2.1-10).

Jeżeli zbiór zawiera dane wrażliwe to rozpoczęcie przetwarzania danych z tego zbioru jest możliwe dopiero po zarejestrowaniu zbioru. W przypadku pozostałych zbiorów, rozpoczęcie przetwarzania jest możliwe od momentu dokonania zgłoszenia (art. 46).

W przypadku zbioru zawierającego dane wrażliwe GIODO automatycznie wydaje zaświadczenie o zarejestrowaniu zbioru. W przypadku pozostałych zbiorów zaświadczenie o zarejestrowaniu jest wydawane na żądanie administratora (art. 42.3).

------------------------------------

Wszystkie zagadnienia, które zostały pogrubione, podano na końcu wykładu jako przykładowe pytania egzaminacyjne Wink

martitos3

a w jakiej formie będzie egzamin??

Asia89 · Honorowy Dawca Jedzenia :)

2 pytania otwarte

Gość

tak jak na prawie wyborczym ;-D i bedzie można mieć na egzaminie ustawę o ochronie danych osobowych

anu89

mógłby ktoś wrzucić notatki z soboty:)bardzo proszę Wink