Wykład - 06.11.2010 notatki

martitos3 · Wysłany: Śro 10:12, 24 Lis 2010 Temat postu: Wykład - 06.11.2010 notatki

mogę prosić o jakieś notatki z 6 listopada?? z góry wielkie dzięki

Gość

dołączam się do prośby koleżanki:)

ciociaaa · Królowa Spamu

To się robi tak:

TEOSKU NAJDROŻSZY!
Czegoż pragniesz w zamian za swe cudowne notatki z dnia 6 listopada AD 2010? Smile

Teos_2.0

o_0
Ale mi robisz opinię materialisty... Oczywiście, że pragnę jedzenia Wink

Szkopuł polega na tym, że dnia 06 listopada nie było mnie na wykładach, więc nie jestem w stanie spełnić Waszych próśb... Ale to miło, że jeszcze o mnie ktoś pamięta Wink

ciociaaa · Królowa Spamu

Wbiłeś nóż w me serce Sad

Tak, czy owak, big danke Smile

Teos_2.0

Nóż w serce?...
...
..
.
JEDZENIE! xD

Monika :):)

Czy posiada ktoś te notatki z 6 listopada i mógłby sie nimi podzielić ? Byłabym bardzo bardzo wdzięczna Smile

gosiak

Może ktoś wrzucić notatki z 6 listopada plis

irys15

Dużo osób wybiera się na egzamin a można mieć ustawę na egzaminie ???

Dusiek

ustawę można mieć

irys15

Hej bardzo proszę żeby ktoś wrzucił notatki z 6 listopada...

ciociaaa · Królowa Spamu

Nie wiem, czy są tu notatki z 6 listopada, ale wysyłam Wam wszystko, co mam i z czego ja się uczyłam na zerówkę. Enjoy Smile

Sorry, że mi się tak wszystko rozjechało, siła wyższa Wink

I. PODSTAWOWE POJĘCIA – nauka ta posługuje się własnym aparatem pojęciowym, innym niż pozostałe dziedziny prawa.

A. DANE OSOBOWE:

1. Dane osobowe – zgodnie z art. 6.1 ustawy – wszelkie informacje dotyczące
zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
Cecha charakterystyczna danych osobowych – brak anonimowości osoby, której
dane dotyczą.

2. Informacja będzie miała charakter osobowy:
a) jeżeli na jej podstawie możemy ustalić tożsamość osoby, co do której się
odnosi (zidentyfikować ją),
b) jeżeli dotyczy ona osoby już zidentyfikowanej (te chcemy szczególnie
chronić).

3. Tzw. problem identyfikalności – kiedy możemy powiedzieć, że osoba jest
możliwa do zidentyfikowania?
Problem metody: art. 6.2 – osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
Słowem: nie ma znaczenia jak, ważne, by było wiadomo, o kogo chodzi.

4. Tzw. problem nakładów – art. 6.3 – informację nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
Słowem: ustalenie tożsamości powinno być stosunkowo łatwe.

5. ERGO – dane osobowe to wszelkie informacje na temat osoby, której
tożsamość znamy lub której tożsamość łatwo możemy ustalić.

6. Uwagi dodatkowe:
a) inne niż wyżej opisane cechy informacji są bez znaczenia:
• te odnoszące się do jej treści (charakter, waga, stopień intymności),
• te odnoszące się do jej formy (sposób utrwalenia: pisemny,
elektroniczny, fotograficzny itd.),
b) dane osobowe to też wizerunek i głos człowieka, w tym zarejestrowane na
zdjęciach, nagraniach audio, video i zapisane cyfrowo,
c) niemożliwe jest stworzenie katalogów danych osobowych; charakter
osobowy zależy od kontekstu, każda więc informacja potencjalnie może
mieć charakter osobowy i jednocześnie żadna nie ma na stałe przypisanego
wyznacznika osobowego.

7. Przedmiot ochrony – prawa i wolności osób fizycznych.
Konwencja – art. 1
Dyrektywa – art. 1.1
Ustawa – 6.1.

Czyt.: dane osobowe to dane o osobach fizycznych – ludziach.

Ale UWAGA! Europejska Konwencja pozwala rozszerzyć stronę podmiotową ochrony uznając, że może być ona stosowana także do ochrony innych niż człowiek podmiotów – ugrupowań, stowarzyszeń, fundacji, spółek, korporacji oraz wszelkich innych organizacji gromadzących osoby fizyczne niezależnie od posiadania przez nie osobowości prawnej.

Kilka państw Europy rozszerzyło stronę podmiotową ochrony: Austria, Włochy, Luksemburg, Lichtenstein i Szwajcaria.

Polska – dane osobowe to dane dotyczące tylko osób fizycznych.
Pewne zawężenia – jeśli chodzi o ewidencję działalności gospodarczej, to nie stosuje się do niej ustawy o ochronie danych osobowych – każdy ma do nich dostęp i każdy je może przetwarzać, więc nie są to dane osobowe (np. księgi wieczyste nie są objęte ochroną, interpretacja Generalnego Inspektora Ochrony Danych Osobowych).
!! Każda sprawa przed GIODO ma incydentalny (wyjątkowy) charakter i wyłączeń nie można interpretować rozszerzająco.

Dane o osobach zmarłych na pewno nie są danymi osobowymi (bo prawa i wolności dotyczą jedynie osób żyjących).

B. PRZETWARZANIE DANYCH OSOBOWYCH

1. Dyrektywa europejska (art. 2.b) – przetwarzanie to każda operacja lub zestaw operacji dokonywanych na danych przy pomocy środków zautomatyzowanych lub innych.

2. Art. 7.2 – przetwarzanie danych – jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Przechowywanie – wyjątkowy charakter operacji - bierny. Reszta to operacje czynne. Wystarczy mieć dane w posiadaniu i to już jest przetwarzanie.

Wniosek – czegokolwiek byśmy z danymi osobowymi nie robili, to z punktu widzenia prawa je przetwarzamy. Nie jest ważne zatem, co z danymi robimy, ale ważne jest to, czy znajdują się w naszym posiadaniu.

Dwie czynności brzegowe:
a. zbieranie (gromadzenie) – czynność początkowa – czyli wejście w
posiadanie danych osobowych w dowolny sposób (odtąd dane
przetwarzamy),
b. usuwanie (niszczenie) – czynność końcowa – czyli fizyczne zniszczenie
lub taka modyfikacja, która uniemożliwia ustalenie tożsamości osoby,
której dotyczą.

C. ZBIÓR DANYCH OSOBOWYCH

1. Zbiór danych osobowych:
a) wg art. 2.c Dyrektywy 95/46/WE - każdy uporządkowany zestaw danych
osobowych dostępnych według określonych kryteriów,
b) wg art. 7.1 uoodo - każdy posiadający strukturę zestaw danych o charakterze osobowym dostępnych według kryteriów niezależnie od tego,
czy zestaw ten jest rozproszony, czy podzielony funkcjonalnie.

2. Kryterium dostępu:
a) cecha (lub cechy) umożliwiająca wyszukiwanie konkretnych danych,
b) uporządkowanie danych, aby odszukanie informacji nie wymagało
przeglądania całego zbioru,
c) musi mieć charakter osobowy.

3. Zakres ochrony danych osobowych:
a) wg art. 3.1 Dyrektywy 95/46/WE – przetwarzanie danych osobowych w
całości lub w części w sposób zautomatyzowany oraz inne przetwarzanie
danych osobowych stanowiących część zbioru danych lub mających
stanowić część zbioru danych (z definicji tej wynikają przesłanki
alternatywne – przetwarzania w sposób zautomatyzowany, stanowienia
lub zamiaru stanowienia części zbioru danych),
b) (wg art. 2.2 uoodo) ustawę stosuje się do przetwarzania danych osobowych:
- w kartotekach, skorowidzach, księgach, wykazach i innych zbiorach
ewidencyjnych,
- w systemach informatycznych, także w przypadku przetwarzania danych
poza zbiorem danych.

4. Art. 7.2a - system informatyczny - zespół współpracujących ze sobą urządzeń,
programów, procedur przetwarzania informacji i narzędzi programowych
zastosowanych w celu przetwarzania danych. Powyższe przepisy interpretuje się
'proeuropejsko' w celu zgodności z Dyrektywą.

5. Dane osobowe podlegają ochronie:
a) gdy są lub mają być przetwarzane w zbiorze danych (przykładowe
wyliczenie w art. 2.2 pkt 1),
b) gdy są lub mają być przetwarzane w systemach informatycznych (tożsame
z 'przetwarzaniem zautomatyzowanym').

Dane osobowe nie podlegają ochronie, gdy nie są elementami zbioru danych i nie są przetwarzane w sposób zautomatyzowany (pozostają poza systemem informatycznym), przykładowo: książki, czasopisma, rozpowszechnianie w stacji radiowej, telewizyjnej, podawane w wystąpieniach..

Zamieszczenie danych w sieci internetowej podlega przepisom uoodo.

6. Wyjątki stosowania ustawy o ochronie danych osobowych – ustawy nie stosuje się do:
a) osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub
domowych,
b) podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim,
wykorzystujących środki techniczne znajdujące się na terytorium
Rzeczypospolitej Polskiej wyłącznie do przekazywania danych,
c) prasowej działalności dziennikarskiej w rozumieniu ustawy Prawo prasowe
oraz do działalności literackiej lub artystycznej, chyba że wolność wyrażania
swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i
wolności osoby, której dane dotyczą (za wyjątkiem przepisów o kontroli i
zabezpieczeniu zbiorów danych),
d) zbiorów danych osobowych sporządzonych doraźnie, wyłącznie ze względów
technicznych, szkoleniowych lub w związku z dydaktyką w szkołach
wyższych, a po ich wykorzystaniu niezwłocznie usuwanych lub poddawanych
anonimizacji (za wyjątkiem przepisów o zabezpieczeniu zbiorów danych).

D. PODMIOTY OBOWIĄZKU

1. Administrator danych (art. 7.4; nie jest pojęciem tożsamym z 'administratorem bazy danych', czy 'administratorem bezpieczeństwa informacji'!) - ten, kto decyduje o celach i środkach przetwarzania danych osobowych (także organ uprawniony do podejmowania wiążących decyzji). Mogą nim być:
a) organy państwowe,
b) organy samorządu terytorialnego,
c) państwowe i komunalne jednostki organizacyjne,
d) podmioty niepubliczne realizujące zadania publiczne,
e) osoby fizyczne, osoby prawne, jednostki organizacyjne niebędące osobami
prawnymi, które przetwarzają dane w związku z działalnością zarobkową,
zawodową lub dla realizacji celów statutowych.

2. 'Zleceniobiorca' i jego sytuacja prawna (podstawa prawna – art.31) - podmiot, któremu administrator powierzył przetwarzanie danych osobowych, wymóg – forma pisemnej umowy. Konsekwencje:

Administrator: Zleceniobiorca:
a) nadal decyduje o celu i środkach
przetwarzania,
b) ponosi odpowiedzialność na podstawie
uoodo za jej wykonanie. a) ma obowiązek wykonania umowy
zawartej z administratorem danych,
b) jest związany z określonymi przez
administratora celami i środkami
przetwarzania,
c) odpowiada na podstawie uoodo za
zabezpieczenia zbioru danych.

3. Ogólne warunki dopuszczalności przetwarzania - wymogi, od spełnienia których uzależniona jest możliwość przetwarzania zbioru danych. Przesłanki (umożliwiają przetwarzanie):

a) zgoda osoby, której dane
dotyczą (art. 23.1.1): przetwarzanie danych osobowych jest dopuszczalne, gdy osoba, której dane dotyczą wyrazi zgodę, chyba że chodzi o usunięcie dotyczących jej danych; 'przywilej lekarski' (art. 23.3) - jeżeli przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a uzyskanie zgody jest niemożliwe, można przetwarzać dane bez zgody tej osoby do czasu, gdy uzyskanie zgody będzie możliwe;
b) przepisy prawa
(art. 23.1.2): przetwarzanie danych jest dopuszczalne, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisów prawa;
c) realizacja umowy
(art. 23.1.3): przetwarzanie danych jest dopuszczalne, gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;
d) dobro publiczne
(art. 23.1.4): przetwarzanie danych jest dopuszczalne, gdy jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;
e) usprawiedliwiony cel
administratora
(art. 23.1.5) przetwarzanie danych jest dopuszczalne, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (przykładowo – marketing bezpośredni własnych produktów lub usług administratora danych; dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej) – możliwe jest wyrażenie sprzeciwu na otrzymywanie ofert marketingowych.

Ustawa o świadczeniu usług drogą elektroniczną nakłada wymóg uzyskania
zgody osoby, do której ma być adresowana informacja marketingowa jeszcze
przed wysłaniem.

4. Dane wrażliwe – 'sensitive data' (art. 27.1) - dane ujawniające pochodzenie
rasowe lub etniczne, poglądy polityczne, przekonania religijne lub
filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również
dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym
oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a
także innych orzeczeń wydanych w postępowaniu sądowym lub
administracyjnym (katalog zamknięty). Dane o kodzie genetycznym i
nałogach zostały dodane do ustawy przez Polskę wbrew dyrektywie unijnej.

5. Różnice w ochronie danych wrażliwych i pozostałych danych - przetwarzanie
pozostałych danych jest zasadniczo dozwolone. Przetwarzanie danych
wrażliwych jest zasadniczo zakazane (konieczność spełnienia dodatkowych
przesłanek wymienionych w art. 27.2.1-10).
PRAKTYCZNA RÓŻNICA - jeżeli zbiór zawiera dane wrażliwe to rozpoczęcie
przetwarzania danych z tego zbioru jest możliwe dopiero po zarejestrowaniu
zbioru. W przypadku pozostałych zbiorów, rozpoczęcie przetwarzania jest
możliwe od momentu dokonania zgłoszenia (art. 46).
W KONSEKWENCJI - w przypadku zbioru zawierającego dane wrażliwe
GIODO automatycznie wydaje zaświadczenie o zarejestrowaniu zbioru. W
przypadku pozostałych zbiorów zaświadczenie o zarejestrowaniu jest
wydawane na żądanie administratora (art. 42.2-3).

E. OBOWIĄZKI ADMINISTRATORA DANYCH

1. Obowiązek dbania o interesy osób, których dane dotyczą - przetwarzając dane
o jakiejś osobie zawsze możemy jej wyrządzić szkodę. Mamy obowiązek
dołożenia należytej staranności, by tego uniknąć (jeżeli powstanie szkoda,
będziemy rozliczeni z tego, czy przemyśleliśmy zagrożenia i podjęliśmy
odpowiednie działania, by tego uniknąć).

Konieczność spełnienia przesłanek:
a) przesłanka legalności – administrator spełnia chociaż jeden z ogólnych
warunków przetwarzania,
b) przesłanka celu – dla jakiego celu dane są przetwarzane:
-> cel musi być zgodny z prawem,
-> dane były przetwarzane jedynie dla celu, dla którego zostały zebrane,
-> przetwarzanie danych adekwatnych do osiągnięcia celu przetwarzania
c) przesłanka merytorycznej poprawności danych – dołożenie staranności, by
dane były prawdziwe i aktualne - wymóg wdrożenia procedur, które to
zagwarantują (powinny być uwzględnione w polityce bezpieczeństwa
informacji oraz instrukcji zarządzania systemem informatycznym),
d) przesłanka czasu przechowywania danych - dane można przechowywać tak
długo, jak jest to konieczne dla osiągnięcia celu przetwarzania, potem
powinny zostać usunięte - ustawodawca może określić czas
przechowywania pewnych kategorii danych.

Konsekwencje przesłanki celu:
a) administrator nie może swobodnie zmienić celu przetwarzania danych (bez
względu na to, na podstawie którego z ogólnych warunków dopuszczalności
określone dane przetwarza) – wyjątek art. 26.2 (w celach badań
naukowych, dydaktycznych, historycznych lub statystycznych),
b) zmiana celu na warunkach innych niż określone w art. 26.2 wymaga
odrębnej podstawy prawnej,
c) administrator musi dołożyć staranności, by podmiot, któremu dane
udostępnia również przestrzegał celu, dla którego dane zostały zebrane
(art. 29).

2. Obowiązki związane ze zbieraniem danych – zbieranie pierwotne i wtórne:

a) zbieranie
pierwotne: -> od osoby, której dotyczą,
-> konieczność wykonania tzw. 'pierwotnego obowiązku
informacyjnego'(art. 24); wyjątek – art. 24.2,
-> moment poinformowania – w trakcie zbierania danych,
-> dowolność formy (ustna, pisemna), jednak na administratorze
ciąży ewentualny obowiązek dowodowy, że do poinformowania
doszło,
-> w praktyce często oznacza konieczność wcześniejszego
przygotowania kwestionariusza zawierającego warunki art. 24;
b) zbieranie
wtórne: -> z innych źródeł,
-> konieczność wykonania tzw. 'wtórnego obowiązku informacyjnego'
(art. 25); wyjątek – art. 25.2 (np. art. 25.2.5 dotyczy organów
publicznych działających na podstawie prawa),
-> moment poinformowania – bezpośrednio (niezwłocznie) po
utrwaleniu danych (utrwalenie – druga, po zebraniu, czynność
przetwarzania; zapisanie, aby umożliwić korzystanie z danych),
-> zindywidualizowany charakter poinformowania – trzeba dotrzeć
bezpośrednio do danej osoby,
-> dowolność formy (ustna, pisemna), jednak na administratorze
ciąży ewentualny obowiązek dowodowy, że do poinformowania
doszło,
-> w praktyce często oznacza uwzględnienie obowiązku w instrukcji
zarządzania systemem informatycznym przez administratora, np.
jako wzór w postaci załącznika.

3. Obowiązek rejestracyjny - co do zasady administrator powinien zbiór
zarejestrować (dokonanie zgłoszenia zbioru do rejestracji GIODO):
a) dotyczy tylko zbiorów danych a nie pojedynczych danych,
b) termin zgłoszenia – jeszcze przed rozpoczęciem przetwarzania (w praktyce
– natychmiast po zebraniu wszystkich informacji potrzebnych do dokonania
zgłoszenia),
c) rozpoczęcie przetwarzania jest możliwe po dokonaniu zgłoszenia (nie jest
konieczne potwierdzenie rejestracji),
d) jeśli GIODO wydaje decyzję o odmowie rejestracji zbioru danych należy
usunąć wskazane wady i ponownie zgłosić zbiór do rejestracji, jednak w
takim przypadku przetwarzanie danych można przetwarzać dopiero po
zarejestrowaniu zbioru,
e) wyjątek przy danych wrażliwych (patrz -> dane wrażliwe),
f) zwolnienie od obowiązku rejestracji zbioru danych – art. 43 (brak wyjątku
'zbioru petentów/klientów' - taki zbiór podlega rejestracji).

4. Obowiązek zabezpieczenia zbioru danych - wypełnienie całego szeregu
wymogów określonych w ustawie oraz aktach wykonawczych do niej.
a) wymogi
formalne: -> przygotowanie i wdrożenie odpowiednich dokumentów
(rozporządzenie ministra spraw wewnętrznych i administracji z
dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania
danych osobowych oraz warunków technicznych i
organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych -
Dz. U. z 2004 r. Nr 100, poz. 1024),
-> opracowanie i wdrożenie polityki bezpieczeństwa informacji,
-> opracowanie i wdrożenie instrukcji zarządzania systemem
informatycznym,
b) wymogi
organizacyjne: -> stworzenie i wdrożenie odpowiednich procedur na podstawie
wyżej wymienionych dokumentów,
c) wymogi
personalne: -> powołanie odpowiednich stanowisk i nadanie specjalnych
uprawnień pracownikom dokonującym przetwarzania),
-> wyznaczenie administratora bezpieczeństwa informacji
(art. 36.3),
-> dopuszczenie do przetwarzania danych wyłącznie osób
posiadających upoważnienie nadane przez administratora danych
(art. 37),
-> prowadzenie przez administratora danych ewidencji osób
upoważnionych do przetwarzania (art. 39.1),
d) wymogi
techniczne: -> zastosowanie odpowiednich sprzętów i programów (także według
instrukcji zawartych w wymienionych dokumentach).

5. Obowiązki związane z udostępnianiem danych:
a) udostępnianie stanowi jeden z elementów przetwarzania (konieczność
spełnienia jednego z ogólnych warunków przetwarzania, aby możliwe było
udostępnianie),
b) udostępnianie – możliwość zapoznania się z treścią danych przez inny
podmiot (innego administratora),
c) przekazywanie danych w obrębie jednego podmiotu (administratora) nie
stanowi udostępniania danych