Przetwarzanie danych osobowych w oparciu o przepis prawa

Przetwarzanie danych osobowych w oparciu o przepis prawa jest to przesłanka będąca odesłaniem do przepisów regulujących działalność niektórych podmiotów i instytucji, szczególnie ze sfery publicznej, pozwalających na wykorzystywanie przez nie informacji osobowych. Przepisy te stanowią lex specialis w stosunku do ustawy oochornie danych osobowych. Poniżej omówię szerzej tylko niektóre z tych regulacji.

Jedną z najbardziej rozbudowanych regulacji tego typu jest  Ordynacja podatkowa. Ustawa ta zawiera wiele przepisów odnośnie  gromadzenia oraz udostępniania danych osobowych.

Szczególne obowiązki spoczywają na bankach i innych instytucjach finansowych. Banki, na pisemne żądanie urzędów skarbowych, obowiązane są do  przekazywania informacji dotyczących numerów rachunków bankowych osób fizycznych prowadzących działalność gospodarczą lub wykonujących wolny zawód oraz do przekazywania danych umożliwiających identyfikację posiadaczy tych rachunków.

 Wśród przepisów dotyczących zbierania danych osobowych przez administrację publiczną, należy również wymienić przepisy dotyczące funkcjonowania Policji, Urzędu Ochrony Państwa i innych służb.

Policja, z zachowaniem pewnych ograniczeń, może uzyskiwać informacje, w tym także tajnie i poufnie, gromadzić je, sprawdzać oraz przetwarzać. Prawo to odnosi się do wszystkich informacji, w tym osobowych. Policja może również pobierać, gromadzić i wykorzystywać w celach wykrywczych i identyfikacyjnych odciski linii papilarnych, zdjęcia oraz inne dane o osobach podejrzanych o popełnienie przestępstw umyślnych, ściganych z oskarżenia publicznego, a także o osobach o nie ustalonej tożsamości lub usiłujących ukryć swoją tożsamość.

Dane osobowe są na szeroką skalę wykorzystywane w działalności ubezpieczeniowej.

Sądy, organy prokuratury, policji oraz inne organy i instytucje mają obowiązek, na wniosek zakładu ubezpieczeń, Ubezpieczeniowego Funduszu Gwarancyjnego lub Polskiego Biura Ubezpieczeń Komunikacyjnych oraz w zakresie zadań wykonywanych przez te instytucje ubezpieczeniowe i w celu ich wykonania, w związku z wypadkiem lub zdarzeniem będącym podstawą ustalania odpowiedzialności, udzielać informacji oraz udostępniać materiały niezbędne do ustalenia okoliczności tych wypadków i zdarzeń oraz do określenia wysokości odszkodowania lub świadczenia.

Z kolei służby statystyki publicznej zostały upoważnione do zbierania dla celów statystycznych i dla przygotowania prognoz demograficznych następujących danych o osobach fizycznych zamieszkałych na terenie Polski: – imiona i nazwisko, – płeć, – data i miejsce urodzenia, – obywatelstwo, – stan cywilny, – data zawarcia i ustania małżeństwa, – adres zamieszkania, – data zgonu, – identyfikator systemu ludności. Powyższe dane mogą być zbierane zarówno w sposób tzw. pierwotny (czyli od osoby, której dotyczą), jak i w sposób wtórny (od domownika albo pobierane z danych administracyjnych).

Omawiana przesłanka pozwala na przetwarzanie danych osobowych, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.Uprawnienie lub obowiązek, jak zostało to pokazane na powyższych przykładach mogą wynikać z przepisów należących do wielu dziedzin prawa.

 

Kradzież danych osobowych tysięcy klientów Orange

Gigant telefonii komórkowej sieć Orange w tarapatach…

Dane osobowe tysięcy klientów tego operatora oferowano do sprzedaży przez internet…  

Uzyskane dotychczas przez funkcjonariuszy policji informacje mogą być jedynie wierzchołkiem góry lodowej. Z informacji uzyskanych przez Puls Biznesu wynika, że dane osobowe abonentów Orange były oferowane przez zatrzymanych od kilku miesięcy.

Co na to wszystko przedstawiciele operatora?  Orange nie komentuje tłumacząc to dobrem śledztwa. Rzecznik prasowy informuje, że nie można mówić o wycieku danych, ale o ich kradzieży.

Policja zatrzymała trzy osoby szukające w sieci kupców na dane osobowe abonentów telekomunikacyjnego giganta – czytamy w Pulsie Biznesu.

  Imiona i nazwiska, numery telefonów, PESEL, NIP i dokumentów tożsamości oraz adresy tradycyjne i e-mail. Z ustaleń Pulsu Biznesu wynika, że wszystkie te dane osobowe setek tysięcy abonentów Orange od kilku miesięcy można było kupić w internecie. Już nie można. Jeden z potencjalnych nabywców bazy danych zawiadomił łódzką policję, a ta zatrzymała trzech mężczyzn zamieszanych w proceder.

Zatrzymani usłyszeli zarzut z artykułu 267 kodeksu karnego,dotyczący kradzieży danych.

Grozi im do dwóch lat więzienia — potwierdza Joanna Kącka, rzecznik komendanta wojewódzkiego policji w Łodzi.

Czego boimy się w sieci…

 Tym razem trochę statystyki. Wyniki ankiety Eurobarometru o wpływie cyberprzestępczości, w której uczestniczyło ponad 27 tys. osób ze wszystkich państw członkowskich.

Użytkownicy internetu w UE bardzo zaniepokojeni zagrożeniami dla bezpieczeństwa w internecie – jak ujawniono w opublikowanym badaniu Eurobarometru. 76% badanych – więcej niż w podobnym badaniu z 2012 r. – uznaje, że ryzyko stania się ofiarą cyberprzestępczości wzrosło w ostatnim roku.  Już 12% internautów doświadczyło włamania na swoje konto poczty elektronicznej lub profil w portalu społecznościowym.   W badaniu, w którym uczestniczyło ponad 27 tys. osób ze wszystkich państw członkowskich, wykazano ponadto, że:

 87% respondentów unika ujawniania w internecie informacji osobistych (nieco mniej niż 89% w 2012 r.);

 większość badanych nadal nie czuje się dobrze poinformowanymi o zagrożeniach cyberprzestępczości (52% w tym roku w porównaniu z 59% w 2012 r.);

 7% padło ofiarą internetowego oszustwa bankowego lub dotyczącego karty kredytowej;

 znacznie wzrosła liczba osób korzystających z internetu za pomocą smartfona (35%, rok temu 24%) bądź tabletu (14%, w zeszłym roku 6%).

Badanie przeprowadzono w maju i czerwcu bieżącego roku

Oświadczenie prasowe Grupy Roboczej Art. 29


Grupa Robocza Art. 29 wzywa do szybkiego przyjęcia pakietu reform ochrony danych osobowych
Oświadczenie Grupy Roboczej Art. 29 w sprawie stanu negocjacji pakietu reform ochrony danych osobowych: Grupa Robocza wzywa wszystkie zaangażowane strony do zintensyfikowania ich wysiłków mających na celu przyjęcie pakietu reform ochrony danych osobowych przed końcem obecnej kadencji organów Unii zaangażowanych w proces legislacyjny.

Aby zapewnić spójne i zharmonizowane stosowanie zasad, zarówno w sektorze publicznym jak i prywatnym, Komisja Europejska przedstawiła kompleksowe ramy prawne w styczniu 2012 r.

Propozycja Komisji rozszerza ochronę praw podstawowych obywateli Unii Europejskiej poprzez zapewnienie, że europejskie zasady ochrony danych będą miały zastosowanie do spółek, które nie są zarejestrowane w Unii Europejskiej, jeśli oferują one towary i usługi europejskim konsumentom lub monitorują ich zachowania.

Dodatkowo, doniesienia o narodowych programach inwigilacji negatywnie wpłynęły na zaufanie obywateli do rządów oraz ekonomii cyfrowej i mogą być przeszkodą w osiągnięciu jej pełnego potencjału.

Niestety mniejszy postęp nastąpił w Radzie, gdzie negocjacje ciągle trwają, w szczególności dotyczą one możliwości współpracy pomiędzy organami ochrony danych osobowych. Grupa Robocza podkreśla, że szybkie przyjęcie projektu pakietu dot. ochrony danych osobowych doprowadzi do utworzenia niezbędnych ram oraz koniecznych narzędzi do zapewnienia efektywnej i skutecznej współpracy, niezależnie od wzrastającej współpracy pomiędzy organami ochrony danych, która ma już miejsce, w szczególności w zakresie egzekwowania.

Konkluzje Rady Europejskiej z października 2013 stanowią, że w celu wspierania zaufania obywateli i biznesu do ekonomii cyfrowej, terminowe przyjęcie mocnych ogólnych ram prawnych ochrony danych osobowych ma zasadnicze znaczenia dla zrealizowania jednolitego rynku cyfrowego do 2015 r.

Grupa Robocza wzywa wszystkie zaangażowane podmioty do intensyfikacji wysiłków w celu zapewnienia, że porozumienie nad ostatecznym tekstem zostanie osiągnięte przed końcem kadencji organów Unii zaangażowanych w proces legislacyjny.

Grupa Robocza Artykułu 29 ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych to niezależny organ doradczy w sprawach ochrony danych i prywatności, powołany na mocy artykułu 29 Dyrektywy o ochronie danych 95/46/WE. W skład tego organu wchodzą przedstawiciele krajowych organów ochrony danych z państw członkowskich UE, Europejskiego Inspektora Ochrony Danych oraz Komisji Europejskiej.  Grupa Robocza realizuje to zadanie wydając rekomendacje, opinie i dokumenty robocze.

Jak ugryźć chmurę…

chmura z góry

Chmura, przetwarzanie w chmurze, cloud computing to pojęcia, które ostatnio dość często słyszymy. Myślę, że większość z nas kojarzy chmurę jako możliwość korzystania z zasobów informatycznych (serwery, oprogramowanie, aplikacje) po prostu przez internet (w chmurze).

Posłużę się cytatem, który ładnie wyraża ducha chmury:

“Chmura oznacza wirtualną przestrzeń usług dostępnych dla klienta, w której ukryte są wszystkie szczegóły, a świadomość których jest zbędna w korzystaniu z usług”

Według prof. Bolesława Szafrańskiego z Wojskowej Akademii Technicznej co do istoty cloud computingu nadal panuje chaos pojęciowy i koncepcyjny, chociaż jak przyjmuje profesor panuje zgoda, co do kilku cech charakteryzujących usługi w chmurze. Są to:

  • zasada oferowania usług przez zewnętrzne podmioty
  • zasada dostępności na życzenie do potrzebnych zasobów funkcjonalnych, obliczeniowych, pamięciowych,
  • zasada elastyczności tych wymagań w czasie, przy czym ich spełnienie nie powinno zmuszać zamawiającego do ponoszenia nadmiernych kosztów.

Czym jednak różnią się usługi cloud computing od dotychczas oferowanych usług zwłaszcza w sytuacji, gdy zakres znaczeniowy tego pojęcia w opinii większości znawców tematu ogranicza się do znacznie wczesniej znanych i stosowanych sposóbów przetwarzania i gromadzenia danych. Czy chmura jest czymś zupełnie nowym a jeśli tak to co odróżnia ją od tego, co już było.

Mówi się, że usługi cloud computingu oferowane są najczęściej w trzech modelach biznesowych: modelu IaaS czyli infrastruktura jako usługa, PaaS -platforma jako usługa  i SaaS – oprogramowanie jako usługa. Usługi te są dostępne przez internet, decydując się na zkupienie usługi musimy wiedzieć tylko, która opcja jest dla nas satysfakcjonująca. Nie musimy kupować drogiego sprzętu, oprogramowania, przez wybór właściwej usługi wszystko to mamy dostępne zdalnie, przez internet.

Sceptycy powiedzą, że to wszystko już było a wymyślono tylko nową nazwę nie tyle z przyczyn merytorycznych co marketingowych. Sami usługodawcy wprowadzają nie lada zamęt oferując stare usługi pod chwytliwą nazwą chmury.

Jednakże idea chmury obliczeniowej stała się faktem przyjętym przez czołowych dostawców technologii informatycznych wspieranych przez organizacje publiczne takie jak Komisja Europejska.

Według profesora Szafrańskiego swoisty “jarmark idei”, który aktualnie ma miejsce doprowadzi do wyników, które znacznie będą odbiegały od dzisiejszego rozumienia tych idei oraz do rozwiązań faktycznie odróżniających chmurę od dotychczas oferowanych usług na rynku.

 

Przesłanki przetwarzania danych osobowych część I

przetw dane przesłaniki zdjęcie

W granicach wyznaczonych przez wymienione w ustawie o ochronie danych osobowych  przesłanki, dopuszczalne jest przetwarzanie danych.

Przesłanki legalizujące przetwarzanie danych osobowych zostały wymienione w uodo w następującej kolejności:

1)  osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,

2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,

 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,

 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,

 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

 Za prawnie usprawiedliwiony cel, uważa się w szczególności:

 1) marketing bezpośredni własnych produktów lub usług administratora danych,

 2) dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

Wszystkie wymienione wyżej przesłanki są równoprawne i spełnienie się którejkolwiek z nich uprawnia do przetwarzania danych.

Pierwsza przesłanka czyli zgoda osoby, której dane dotyczą jest najbardziej znaną przesłanką, ale należy pamiętać, że wcale nie najważnieszą. Wszystkie przesłanki są równoprawne.

Nie wdając się w cywilistyczne rozważania na temat zgody jako oświadczenia woli należy pochylić się nad wymogami zgody w rozumieniu uodo.

Cechy poprawnie skonstruowanej zgody na przetwarzanie danych osobowych sa następujące:

Zgoda według ustawy nie może być domniemana ani dorozumiana z oświadczeń woli innej treści czyli powinna być wyraźna.

Zgoda powinna być wyrażona jasno i być skonkretyzowana. Osoba udzielająca zgody powinna wiedzieć o jakie dane chodzi jak również o jakie cele, do których dane będą używane.

Zgoda nie może być blankietowa i odnosić się do bliżej nieokreślonych danych osobowych przetwarzanych w bliżej nieokreśłonych celach.

Zgoda może być w każdym czasie cofnięta.

Reasumując zgoda musi mieć charakter wyraźny a jej wszystkie aspekty dla podpisującego powinny być jasne w momencie wyrażenia.

 Omówieniem innych przesłanek poświęcone będą kolejne wpisy na blogu. Zachęcam serdecznie do lektury.