"Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowych" - Michał Sztąberek - prawnik, współwłaściciel firmy doradczo-szkoleniowej iSecure.
Celem prelekcji jest zaznajomienie uczestników Spodka 2.0 z najważniejszymi obowiązkami jakie nakłada na przedsiębiorców internetowych (np. sklepy internetowe, portale społecznościowe, fora, porównywarki ofert etc.) ustawa o ochronie danych osobowych. Będzie można dowiedzieć się m.in. czym są obowiązki informacyjne, jak powinna wyglądać zgoda na przetwarzanie danych, a także co składa się na dokumentację ochrony danych osobowych.
2. Przegląd obowiązków przedsiębiorcy
internetowego
• Legitymowanie się jedną z przesłanek dopuszczalności
przetwarzania danych osobowych
• Przestrzeganie zasad przetwarzania danych: adekwatnośd,
celowośd i czasowośd
• Dopełnienie obowiązku informacyjnego
• Dopełnienie obowiązku zabezpieczenia danych od strony
organizacyjnej
• Dopełnienie obowiązku zabezpieczenia danych od strony
technicznej
• Legalny outsourcing przetwarzania danych osobowych
4. Legalne przetwarzanie danych
Przetwarzanie danych „zwykłych” jest dopuszczalne tylko
wtedy, gdy:
• osoba, której dane dotyczą, wyrazi na to zgodę, chyba że
chodzi o usunięcie dotyczących jej danych
• jest to niezbędne dla zrealizowania uprawnienia lub
spełnienia obowiązku wynikającego z przepisu prawa
• jest to konieczne do realizacji umowy, gdy osoba, której
dane dotyczą, jest jej stroną lub gdy jest to niezbędne do
podjęcia działań przed zawarciem umowy na żądanie
osoby, której dane dotyczą
5. Legalne przetwarzanie danych
• jest niezbędne do wykonania określonych prawem zadań
realizowanych dla dobra publicznego
• jest to niezbędne dla wypełnienia prawnie
usprawiedliwionych celów realizowanych przez
administratorów danych albo odbiorców danych, a
przetwarzanie nie narusza praw i wolności osoby, której
dane dotyczą np. marketing bezpośredni własnych
produktów i usług, zapewnienie bezpieczeństwa firmy,
zabezpieczenie roszczeń
6. Legalne przetwarzanie danych wrażliwych
• Zabrania się przetwarzania danych ujawniających
pochodzenie rasowe lub etniczne, poglądy polityczne,
przekonania religijne lub filozoficzne, przynależność
wyznaniową, partyjną lub związkową, jak również danych o
stanie zdrowia, kodzie genetycznym, nałogach lub życiu
seksualnym oraz danych dotyczących skazań, orzeczeń o
ukaraniu i mandatów karnych, a także innych orzeczeń
wydanych w postępowaniu sądowym lub administracyjnym
• WYJĄTEK: np. zgoda na piśmie, przepis szczególny
zezwala na przetwarzanie takich danych bez zgody osoby,
której dane dotyczą i stwarza pełne gwarancje ich ochrony
7. Zasady przetwarzania danych
• Zasada celowości: dane muszą być zbierane dla
oznaczonych, zgodnych z prawem celów i niepoddawane
dalszemu przetwarzaniu niezgodnemu z tymi celami
• Zasada adekwatności: dane muszą być merytorycznie
poprawne i adekwatne w stosunku do celów, w jakich są
przetwarzane
• Zasada czasowości: dane muszą być przechowywane w
postaci umożliwiającej identyfikację osób, których dotyczą,
nie dłużej niż jest to niezbędne do osiągnięcia celu
przetwarzania
8. Obowiązek informacyjny
W przypadku zbierania danych osobowych od osoby, której
one dotyczą, ADO jest obowiązany poinformować tę osobę o:
• adresie swojej siedziby i pełnej nazwie
• celu zbierania danych, a w szczególności o znanych mu w
czasie udzielania informacji lub przewidywanych odbiorcach
lub kategoriach odbiorców danych
• prawie dostępu do treści swoich danych oraz ich
poprawiania
• dobrowolności albo obowiązku podania danych, a jeżeli taki
obowiązek istnieje, o jego podstawie prawnej
9. Obowiązek zabezpieczenia danych od strony
organizacyjnej
• Prowadzenie dokumentacji opisującej sposób
przetwarzania danych oraz podjęte środki techniczne i
organizacyjne mające na celu ich zabezpieczenie
- Polityka bezpieczeństwa
- Instrukcja zarządzania systemem informatycznym
służącym do przetwarzania danych
• Wyznaczenie ABI, chyba że ADO sam zamierza
wykonywać jego obowiązki
• Upoważnienie osób, które będą przetwarzały dane
osobowe
10. Obowiązek zabezpieczenia danych od strony
organizacyjnej
• Prowadzenie ewidencji osób, które zostały upoważnione
do przetwarzania danych osobowych
• Zapewnienie kontroli nad tym, jakie dane osobowe, kiedy
i przez kogo zostały do zbioru wprowadzone oraz komu są
przekazywane
• Zobowiązanie osób, które zostały dopuszczone do
przetwarzania danych do zachowania ich w tajemnicy;
obowiązek ten rozciąga się także na informacje o
sposobach ich zabezpieczenia
11. Obowiązek zabezpieczenia danych od strony
technicznej
• Stosowanie odrębnych identyfikatorów (loginów) dla
użytkowników systemów informatycznych
• Konieczność uwierzytelnienia (podania hasła) do systemu
informatycznego
• Zabezpieczenie systemu informatycznego przed
szkodliwym oprogramowaniem
• Zabezpieczenie systemu informatycznego przed utratą
danych spowodowaną awarią zasilania lub zakłóceniami w
sieci zasilającej
• Odpowiednio skomplikowane i złożone hasła i ich zmiany
12. Obowiązek zabezpieczenia danych od strony
technicznej
• Przechowywanie kopii zapasowych w miejscach
zabezpieczających je przed nieuprawnionym przejęciem,
modyfikacją, uszkodzeniem lub zniszczeniem
• Konieczność zastosowania środków ochrony
kryptograficznej wobec przetwarzanych danych osobowych
na laptopach
• Trwałe usuwanie danych z nośników
13. Outsourcing przetwarzania danych
• ADO i Procesor
• Elementy niezbędne umowy powierzenia:
- umowa sporządzona na piśmie
- określenie celu powierzenia (np. serwis oprogramowania,
hosting, zewnętrzna firma marketingowa)
- określenie zakresu powierzenia
- podjęcie środków zabezpieczających zbiór danych (środki
organizacyjne i techniczne)
14. Udostępnianie danych osobowych
Udostępnienie w celu innym niż włączenie do zbioru:
• Na podstawie pisemnego wniosku
• Osobom lub podmiotom uprawnionym
• Innym osobom i podmiotom, jeżeli w sposób wiarygodny
uzasadnią potrzebę posiadania tych danych, a ich
udostępnienie nie naruszy praw i wolności osób, których
dane dotyczą
Udostępnienie w celu włączenia do zbioru:
• Konieczność legitymowania się jedną z przesłanek
dopuszczających przetwarzanie danych osobowych
15. Rejestracja zbiorów w GIODO
• Obowiązek rejestracji danych przez ADO, chyba że
istnieje możliwość skorzystania z wyjątku przewidzianego
w UODO (np. dane kadrowe, dane niezbędne do
wystawienia faktury/rachunku, dane powszechnie
dostępne)
• Rejestracji dokonuje się na formalnym wniosku, w którym
podaje się m.in. informacje o ADO (nazwa, adres,
REGON), cel i zakres przetwarzanych danych, wskazanie
przesłanki, na podstawie której następuje przetwarzanie,
informacje nt. outsourcingu, sposób zbierania danych, opis
środków technicznych i organizacyjnych
16. Dziękuję za uwagę
Michał Sztąberek
iSecure Sp. z o.o.
kontakt@isecure.pl
www.isecure.pl