Wykład - 02.10.2010 notatki

Teos_2.0 · Wysłany: Wto 23:37, 05 Paź 2010 Temat postu: Wykład - 02.10.2010 notatki

Ochrona danych osobowych w prawie administracyjnym – wykład 02.10.2010

Obowiązki administratora danych

I Obowiązek dbania o interesy osób, których dane dotyczą

Przetwarzając dane o jakiejś osobie zawsze możemy jej wyrządzić szkodę. Mamy obowiązek dołożenia należytej staranności, by tego uniknąć (jeżeli powstanie szkoda, będziemy rozliczeni z tego, czy przemyśleliśmy zagrożenia i podjęliśmy odpowiednie działania, by tego uniknąć).

Konieczność spełnienia przesłanek:

1. przesłanka legalności – administrator spełnia chociaż jeden z ogólnych warunków przetwarzania

2. przesłanka celu – dla jakiego celu dane są przetwarzane
- cel musi być zgodny z prawem
- dane były przetwarzane jedynie dla celu, dla którego zostały zebrane
- przetwarzanie danych adekwatnych do osiągnięcia celu przetwarzania
Konsekwencje przesłanki celu:
- administrator nie może swobodnie zmienić celu przetwarzania danych (bez względu na to, na podstawie którego z ogólnych warunków dopuszczalności określone dane przetwarza) – wyjątek art. 26.2 (w celach badań naukowych, dydaktycznych, historycznych lub statystycznych)
- zmiana celu na warunkach innych niż określone w art. 26.2 wymaga odrębnej podstawy prawnej
- administrator musi dołożyć staranności, by podmiot, któremu dane udostępnia również przestrzegał celu, dla którego dane zostały zebrane (art. 29)

3. przesłanka merytorycznej poprawności danych – dołożenie staranności, by dane były prawdziwe i aktualne
- wymóg wdrożenia procedur, które to zagwarantują (powinny być uwzględnione w polityce bezpieczeństwa informacji oraz instrukcji zarządzania systemem informatycznym)

4. przesłanka czasu przechowywania danych - dane można przechowywać tak długo, jak jest to konieczne dla osiągnięcia celu przetwarzania, potem powinny zostać usunięte
- ustawodawca może określić czas przechowywania pewnych kategorii danych

II Obowiązki związane ze zbieraniem danych

Zbieranie pierwotne
- zbieranie danych od osoby, której dotyczą
- konieczność wykonania tzw. „pierwotnego obowiązku informacyjnego” (art. 24); wyjątek – art. 24.2
-- moment poinformowania – w trakcie zbierania danych
-- dowolność formy (ustna, pisemna), jednak na administratorze ciąży ewentualny obowiązek dowodowy, że do poinformowania doszło
-- w praktyce często oznacza konieczność wcześniejszego przygotowania kwestionariusza zawierającego warunki art. 24

Zbieranie wtórne
- zbieranie danych z innych źródeł
- konieczność wykonania tzw. „wtórnego obowiązku informacyjnego” (art. 25); wyjątek – art. 25.2 (np. Art. 25.2.5 dotyczy organów publicznych działających na podstawie prawa)
-- moment poinformowania – bezpośrednio (niezwłocznie) po utrwaleniu danych (utrwalenie – druga, po zebraniu, czynność przetwarzania; zapisanie, aby umożliwić korzystanie z danych)
-- zindywidualizowany charakter poinformowania – trzeba dotrzeć bezpośrednio do danej osoby
-- dowolność formy (ustna, pisemna), jednak na administratorze ciąży ewentualny obowiązek dowodowy, że do poinformowania doszło
-- w praktyce często oznacza uwzględnienie obowiązku w instrukcji zarządzania systemem informatycznym przez administratora, np. jako wzór w postaci załącznika

III Obowiązek rejestracyjny

- co do zasady administrator powinien zbiór zarejestrować (dokonanie zgłoszenia zbioru do rejestracji GIODO)
- dotyczy tylko zbiorów danych a nie pojedynczych danych
- termin zgłoszenia – jeszcze przed rozpoczęciem przetwarzania (w praktyce – natychmiast po zebraniu wszystkich informacji potrzebnych do dokonania zgłoszenia)
- rozpoczęcie przetwarzania jest możliwe po dokonaniu zgłoszenia (nie jest konieczne potwierdzenie rejestracji)
- jeśli GIODO wydaje decyzję o odmowie rejestracji zbioru danych należy usunąć wskazane wady i ponownie zgłosić zbiór do rejestracji, jednak w takim przypadku przetwarzanie danych można przetwarzać dopiero po zarejestrowaniu zbioru
- wyjątek przy danych wrażliwych (patrz -> Dane wrażliwe)
- zwolnienie od obowiązku rejestracji zbioru danych – art. 43 (brak wyjątku „zbioru petentów/klientów” - taki zbiór podlega rejestracji)

IV Obowiązek zabezpieczenia zbioru danych

- wypełnienie całego szeregu wymogów określonych w ustawie oraz aktach wykonawczych do niej

1. Wymogi o charakterze formalnym
- przygotowanie i wdrożenie odpowiednich dokumentów (rozporządzenie ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych - Dz. U. z 2004 r. Nr 100, poz. 1024)
-- opracowanie i wdrożenie polityki bezpieczeństwa informacji
-- opracowanie i wdrożenie instrukcji zarządzania systemem informatycznym

2. Wymogi o charakterze organizacyjnym
- stworzenie i wdrożenie odpowiednich procedur na podstawie wyżej wymienionych dokumentów

3. Wymogi o charakterze personalnym
- powołanie odpowiednich stanowisk i nadanie specjalnych uprawnień pracownikom dokonującym przetwarzania)
- wyznaczenie administratora bezpieczeństwa informacji (art. 36.3)
- dopuszczenie do przetwarzania danych wyłącznie osób posiadających upoważnienie nadane przez administratora danych (art. 37)
- prowadzenie przez administratora danych ewidencji osób upoważnionych do przetwarzania (art. 39.1)

4. Wymogi o charakterze technicznym
- zastosowanie odpowiednich sprzętów i programów (także według instrukcji zawartych w wymienionych dokumentach)

V Obowiązki związane z udostępnianiem danych

- udostępnianie stanowi jeden z elementów przetwarzania (konieczność spełnienia jednego z ogólnych warunków przetwarzania, aby możliwe było udostępnianie)
- udostępnianie – możliwość zapoznania się z treścią danych przez inny podmiot (innego administratora)
- przekazywanie danych w obrębie jednego podmiotu (administratora) nie stanowi udostępniania danych

Dwa tryby udostępniania (typy względem celu):

1. Jeżeli dane mają być włączone do zbioru
- dane stają się częścią już prowadzonego przez odbiorcę zbioru lub nowego, właśnie tworzonego zbioru
- brak szczególnych wymogów udostępnienia
- można je udostępniać z zachowaniem ogólnych wymogów ustawy
-- odbiorca musi wykazać jedną z przesłanek przetwarzania – art. 23, 27
-- administrator udostępniający dane musi dbać o interesy osób, których dane dotyczą – art. 26.1
-- w praktyce – sprawdzenie podmiotu, któremu udostępniamy, celem uprawdopodobnienia, że będzie on przetwarzał dane zgodnie z ustawą (konieczność dołożenia należytej staranności w celu ochrony interesów podmiotu danych); jeżeli udostępniamy dane podmiotom wiarygodnym (np. ZUS, Urząd Skarbowy...) żadne specjalne wymogi nie muszą zostać spełnione

2. Jeżeli dane nie mają być włączone do zbioru
- cel uzyskania jest inny niż włączenie danych do zbioru (uzyskanie informacji i wykorzystanie w innym celu, niż dla którego zostały zebrane)
- szczegółowa regulacja prawna (art. 29)
-- dane udostępnia się na wniosek (pisemny, umotywowany – zawierający wiarygodne uzasadnienie potrzeby posiadania danych, określający kategorie danych, zakres i ich przeznaczenie)
-- obowiązek udostępnienia danych podmiotom uprawnionym na podstawie przepisów prawa (przedstawienie podstawy prawnej zastępuje wiarygodne uzasadnienie)

Elizia1989

Ajjjjjj dzięki Smile

Dusiek

A ja nie dziękuję Very Happy

..

Teos_2.0

Karolina222

A może ktoś podrzuci notatki z 6.11 z ochrony danych bede bardzo Wdzięczna! z góry dziekuje [link widoczny dla zalogowanych]