Minister Rafał Trzaskowski wspólnie z komisarz Viviane Reding wzywają do przyspieszenia prac nad europejską reformą ochrony prywatności w sieci

 Ta reforma powinna być priorytetem europejskich polityków na najbliższe półrocze – czytamy w oświadczeniu wydanym przez wspólnie przez Viviane Reding, komisarz UE ds. Sprawiedliwości i polskiego ministra administracji i cyfryzacji Rafała Trzaskowskiego, na europejski Dzień Ochrony Danych Osobowych 28 stycznia 2014 r.

Jeśli reforma utknie, nie wykluczam wprowadzenia zmian w prawie polskim– zapowiada min. Trzaskowski.

Poniżej najważniejsze tezy wybrane z tekstu oświadczenia wiceprzewodniczącej Viviane Reding, komisarz UE ds. Sprawiedliwości i polskiego ministra administracji i cyfryzacji Rafała Trzaskowskiego.

Ochrona danych osobowych jest w Unii Europejskiej prawem podstawowym. Już teraz poziom ochrony prywatności w Europie jest najwyższy na świecie. Za sprawą reformy, którą Komisja Europejska zaproponowała dokładnie dwa lata temu, w styczniu 2012 r., zasady te mogą stać się wzorcem do naśladowania dla reszty świata.

Powinny one służyć ochronie obywateli, którzy chcą, aby usługi internetowe były godne zaufania. Powinny również służyć małym i średnim przedsiębiorcom, dla których jednolity rynek z ponad 500 milionami konsumentów jest źródłem niewykorzystanych możliwości.

Politycy, przedsiębiorcy, organizacje pozarządowe — wszyscy są zgodni co do konieczności reformy prawa ochrony danych osobowych w UE.

Obywatele powinni móc odzyskać kontrolę nad tym co dzieje się z ich danymi osobowymi, ponieważ żyjemy w czasach, w których stały się one walutą napędzającą gospodarkę cyfrową. Stabilność tej waluty, podobnie jak każdej innej, wymaga zaufania.

Doniesienia z ostatnich miesięcy na temat inwigilacji w internecie naruszyły zaufanie nie tylko w stosunkach transatlantyckich, ale także ogólnie – wobec gospodarki cyfrowej.

Reforma prawa ochrony danych osobowych stanowi odpowiedź na obawy dotyczące nadzoru nad ich przetwarzaniem. Pomoże przywrócić zaufanie, pozwoli bowiem na realne egzekwowanie od przedsiębiorców, by przestrzegali zasad.

W przypadkach ich naruszenia stosowane będą dotkliwe sankcje finansowe, które mogą wynieść nawet 2% rocznych światowych obrotów przedsiębiorstwa.

Działania te przyczynią się do przywrócenia zaufania obywateli co do sposobu wykorzystania ich danych.

Reforma przyniesie jednak korzyści także przedsiębiorstwom. Komisja Europejska pragnie zastąpić tę wielorakość przepisów jednym prawem obowiązującym w całej Unii Europejskiej. Jeden kontynent – jedno prawo.

Wybrani w wyborach bezpośrednich europejscy parlamentarzyści wyrazili już silne poparcie dla propozycji Komisji Europejskiej.

Na październikowym szczycie przywódcy UE zobowiązali się do terminowego przyjęcia nowych przepisów jako sposobu na przywrócenie i wzmocnienie zaufania obywateli i przedsiębiorstw do gospodarki cyfrowej. Czas przejść od słów do czynu.

Reforma ochrony danych osobowych powinna być priorytetem europejskich polityków na nadchodzące sześć miesięcy. Obywatele domagają się silnych europejskich przepisów chroniących dane osobowe a przedsiębiorcy chcą prostych, jasnych i wykonalnych ram prawnych prowadzenia działalności gospodarczej na jednolitym rynku UE. Unijna reforma ochrony danych osobowych zaspokaja obie te potrzeby.

Zbiór danych osobowych czy zbiory danych osobowych

Większość administaratorów danych osobowych ma niemało problemów ze zrozumieniem kwestii związanych z ochroną danych osobowych w zakresie obowiązków, które na nich ciążą.

Jednym z istotnych zagadnień z zakresu ochrony danych osobowych, ze zrozumieniem którego borykają się przedsiębiorcy jest zbiór danych osobowych.

Wydawałoby się, że pojęcie to nie powinno przysprzarzać problemów z jego zrozumieniem a jednak praktyka pokazuje, iż jest inaczej.

Zbiór danych to w świetle prawa zestaw danych o chrakterze osobowym, posiadający własną strukturę, w którym dane są dostępne według określonych kryteriów.

Zbiorami będą zarówno takie, które są przetwarzane tradycyjnie, manualnie (teczki, kartotetki) jak i te zautomatyzowane przetwarzane w systemach informatycznych (profesjonalne bazy danych).

Wydawałoby się, że sprawa jest prosta i każdy uporządkowany zestaw danych osobowych, przetwarzany w sposób tradycyjny  czy zautomatyzowany jest w miarę łatwy do identyfikacji jako zbiór. Jednak sprawa tylko z pozoru jest łatwa. Często bywa tak, że przedsiębiorcy tworzą wiele różnych zbiorów, które identyfikują jako jeden zbiór.

Na przykład baza klientów sklepu internetowego przetwarzanych w różnych celach, jak np. realizacji zamówień, marketingu, prowadzenia bazy umów cywilnoprawnych, nie może zostać zgłoszona do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych jako jeden zbiór danych osobowych.

Dla realizacji różnych celów konieczne będzie przetwarzanie danych osobowych w różnych zakresach, a to oznacza, że zgłoszenie zbioru do rejestracji dotyczy nie jednego, lecz kilku zbiorów prowadzonych w różnych celach.

W praktyce pojawiają sie takie właśnie trudności w rozstrzyganiu czy w konkretnym przypadku mamy do czynienia z jednym zbiorem, w skład którego wchodzi wiele podzbiorów czy też z wielością zbiorów.

 

Adresy e-mail pracowników na stronie internetowej pracodawcy

Umieszczanie służbowych adresów e-mail pracowników na stronie internetowej pracodawcy jest zgodne z przepisami prawa.

Informacje o pracowniku takie jak np. jego imię i nazwisko, czy właśnie służbowy adres e-mail są ściśle związane z życiem zawodowym pracownika i z wykonywaniem przez niego obowiązków służbowych.

Dane te mogą być wykorzystywane (udostępniane) przez pracodawcę nawet bez zgody pracownika, którego one dotyczą.

W tej kwestii  wypowiedział się Sąd Najwyższy stwierdzając, iż „nazwisko i imię jest skierowanym na zewnątrz znakiem rozpoznawczym osoby fizycznej i ujawnienie go w celu jej identyfikacji nie może być zasadniczo uznane za bezprawne, o ile nie łączy się z naruszeniem innego dobra osobistego, np. czci, prywatności lub godności osobistej.

Ujawnienie przez pracodawcę nazwiska (imienia) pracownika bez jego zgody nie stanowi bezprawnego naruszenia dobra osobistego, jeżeli jest usprawiedliwione zadaniami i obowiązkami pracodawcy związanymi z prowadzeniem zakładu, jest niezbędne i nie narusza praw oraz wolności pracownika”.

Ponadto Sąd w powyższym wyroku wskazał, że „najistotniejszym składnikiem zakładu pracy (przedsiębiorstwa) są ludzie, a funkcjonowanie zakładu wiąże się nierozłącznie z kontaktami zewnętrznymi – kontrahentami, klientami (…).

Dlatego pracodawca nie może być pozbawiony możliwości ujawniania nazwisk pracowników, zajmujących określone stanowiska w ramach instytucji. Przeciwne stanowisko prowadziłoby do sparaliżowania lub poważnego ograniczenia możliwości działania pracodawcy, bez żadnego rozsądnego uzasadnienia w ochronie interesów i praw pracownika (…).

Imiona i nazwiska pracowników widnieją na drzwiach w zakładach pracy, umieszcza się je na pieczątkach imiennych, pismach sporządzanych w związku z pracą, prezentuje w informatorach o instytucjach i przedsiębiorstwach, co oznacza, ze zgodnie powszechną praktyką są one zasadniczo jawne”.

Zatem kwestia udostępnienia służbowego adresu e-mail, w związku z pełnionymi funkcjami służbowymi nie może być uznana za naruszenie obowiązujących zasad ochrony danych osobowych zawartych w ustawie.

Przesłanki przetwarzania danych osobowych część I

przetw dane przesłaniki zdjęcie

W granicach wyznaczonych przez wymienione w ustawie o ochronie danych osobowych  przesłanki, dopuszczalne jest przetwarzanie danych.

Przesłanki legalizujące przetwarzanie danych osobowych zostały wymienione w uodo w następującej kolejności:

1)  osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,

2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,

 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,

 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,

 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

 Za prawnie usprawiedliwiony cel, uważa się w szczególności:

 1) marketing bezpośredni własnych produktów lub usług administratora danych,

 2) dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

Wszystkie wymienione wyżej przesłanki są równoprawne i spełnienie się którejkolwiek z nich uprawnia do przetwarzania danych.

Pierwsza przesłanka czyli zgoda osoby, której dane dotyczą jest najbardziej znaną przesłanką, ale należy pamiętać, że wcale nie najważnieszą. Wszystkie przesłanki są równoprawne.

Nie wdając się w cywilistyczne rozważania na temat zgody jako oświadczenia woli należy pochylić się nad wymogami zgody w rozumieniu uodo.

Cechy poprawnie skonstruowanej zgody na przetwarzanie danych osobowych sa następujące:

Zgoda według ustawy nie może być domniemana ani dorozumiana z oświadczeń woli innej treści czyli powinna być wyraźna.

Zgoda powinna być wyrażona jasno i być skonkretyzowana. Osoba udzielająca zgody powinna wiedzieć o jakie dane chodzi jak również o jakie cele, do których dane będą używane.

Zgoda nie może być blankietowa i odnosić się do bliżej nieokreślonych danych osobowych przetwarzanych w bliżej nieokreśłonych celach.

Zgoda może być w każdym czasie cofnięta.

Reasumując zgoda musi mieć charakter wyraźny a jej wszystkie aspekty dla podpisującego powinny być jasne w momencie wyrażenia.

 Omówieniem innych przesłanek poświęcone będą kolejne wpisy na blogu. Zachęcam serdecznie do lektury.

Administrator danych osobowych może Ty może ja a może on

Administrator danych to:

podmiot prywatny lub publiczny decydujący o celach i środkach przetwarzania danych.

 Administrator danych to podmiot, który zbiera i przetwarza dane osobowe, gdyż są one mu potrzebne do realizacji celów związanych najczęściej z prowadzoną działalnością gospodarczą lub zawodową. Jednak nie tylko, gdyż ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych, więc  administratorami danych są również te podmioty.

Administratorem danych są, więc podmioty publiczne i prywatne,  gdyż przetwarzając dane decydują o celach tego przetwarzania lub o środkach używanych do tego przetwarzania.

Administratorzy to właściciele małych i dużych firm, jak również osoby nieprowadzące działalności gospodarczej, jeśli tylko dane przetwarzają w związku z działalnością zarobkową lub zawodową.

 Administrator przetwarza dane, czyli wykonuje jakiekolwiek operacje na danych takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych

 Dane można przetwarzać w sposób tradycyjny w segregatorach, rejestrach, kartotekach, ale tez, co obecnie jest normą w systemach informatycznych. Administrator danych sam może przetwarzać dane osobowe, ale może też całość lub część zadań związanych z tym przetwarzaniem zlecić na, zewnątrz, co związane jest z powierzeniem danych do przetwarzania.

 Sytuacje, w których najczęściej dochodzi do powierzenia danych do przetwarzania związane są ze zleceniem na zewnątrz usług księgowych, kadrowo-płacowych, IT, marketingowych. Na przykład korzystasz z usług biura księgowego i przekazujesz mu dokumenty z danymi lub korzystasz z aplikacji internetowej do obsługi księgowej online, zatrudniasz firmę informatyczną, której umożliwiasz dostęp do systemu lub wynajmujesz serwer.

 Administrator ma prawa i obowiązki, jak również ponosi odpowiedzialność za zgodne z prawem przetwarzanie danych osobowych oraz odpowiednie zabezpieczenie  danych, podlega on też kontroli Generalnego Inspektora Danych Osobowych na okoliczność przestrzegania norm prawnych związanych z przetwarzaniem.

 W każdym przypadku, gdy przetwarzasz dane osobowe musisz mieć podstawę prawną. W świetle prawa taka podstawą będzie:

 1) zgoda osoby, której dane dotyczą,

2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,

3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,

4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,

5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych

 Następnie musisz pamiętać, aby w sposób prawem wymagany poinformować osobę, której dane dotyczą, kto będzie przetwarzał jej dane, w jakim celu, że podanie danych jest dobrowolne oraz o prawie dostępu do danych.

 Następnie przygotowujesz politykę bezpieczeństwa informacji oraz instrukcję zarządzania systemem informatycznym. Jeśli jesteś małym podmiotem i Twoje przetwarzanie nie jest zbyt skomplikowane możesz spróbować sam taką dokumentację przygotować, jeśli natomiast jesteś większą organizacją lub korzystasz z usług hostingu a hosting jest na przykład w chmurze to lepiej zlecić przygotowanie takich dokumentów profesjonaliście.

 Odpowiedzialność Administratora danych jest administracyjna, karna oraz cywilna. Za niezgodne z prawem przetwarzanie danych możemy mieć sprawę karną i postępowanie karne, możemy mieć też  procesy cywilne. Aktualnie prawo nie przewiduje administracyjnych kar pieniężnych, ale to się zmieni z wejście w życie rozporządzenia w sprawie ochrony danych osobowych osób fizycznych procedowanego aktualnie w Unii Europejskiej.

 Praktyka i życie pokazuje, iż świadomość w zakresie ochrony danych osobowych  i wypełniania wszystkich ciążących na Administratorach obowiązków ciągle nie jesteś zadawalająca. Często przedsiębiorcy ochronę danych traktują, jako kolejny przykry obowiązek do spełnienia. Z jednak strony rzeczywiście trudno odmówić temu racji, biznes nie lub, gdy mu się przycina skrzydła. Z drugiej strony w dobie cyfryzacji naszego życia, powszechności urządzeń mobilnych, usług online, ochrona danych osobowych jest swojego rodzaju koniecznością, gdyż te wszystkie nowe cyfrowe sposoby przetwarzania danych osobowych dają ogromne możliwości do niekontrolowanych nadużyć.

 

Co i gdzie czyli rzecz o aplikacjach mobilnych w naszym życiu

gps mapa

Jesteś na mieście, w podróży służbowej, na wakacjach. Masz oochotę pójść do kina, teatru czy na koncert. Coigdzie.pl powie Ci, co dzieje się w okolicy.

Dzięki bezpłatnej aplikacji otrzymasz szereg przydatnych funkcjonalności – czytam w opisie aplikacji, która zachęca by ją ściągnąć. Dalej czytam, iż aplikacja ta wymaga informacji o mojej lokalizacji do prawidłowego działania. Każdy z nas z pewnością nie raz instalował na swoim telefonie czy tablecie różnorodne, przydatne aplikacje mobilne w celu tzw. ułatwienia bądź uprzyjemnienia sobie życia.

W dzisiejszych czasach aplikacje mobilne są wszechobecne takimi słowami rozpoczyna się Deklaracja Warszawska przyjęta podczas zamkniętych obrad 35. Międzynarodowej Konferencji Rzeczników Ochrony Danych i Prywatności, która w dniach 23-26.09.2013 r. odbyła się w Warszawie.

Deklaracja Warszawska odnosiła się do zagrożeń związanych z coraz powszechniejszym korzystaniem z różnego rodzaju aplikacji mobilnych. W deklaracji czytamy, ze obecnie zarówno w sektorze publicznym, jak i prywatnym, dostępnych jest ponad 6 milionów aplikacji.

Aplikacje mamy je na smartfonach, tabletach, w samochodach, w domu i jego okolicach. Aplikacje mają nam ułatwić i uprzyjemnić codzienne życie, jednakże z ich używaniem wiążą się ryzyka związane z ochroną danych osobowych.

Rzecznicy ochrony danych osobowych zwracają w deklaracji uwagę, że co prawda aplikacje ułatwiają codzienne życie, a także zapewniają rozrywkę, lecz równocześnie umożliwiają przetwarzanie dużej ilości danych, często bez wiedzy osób, których dane dotyczą. Finał jest taki, że użytkownicy korzystający z aplikacji są nieustannie monitorowani a przy tym często są zupełnie nieświadomi tego faktu. Świadomość w zakresie działania aplikacji i ich wpływu na naszą prywatność jest znikoma. Rzecznicy w przyjętej deklaracji zobowiązali się do zadbania o to, aby użytkownikom aplikacji mobilnych zapewnić lepszą ochronę ich prywatności zarówno w sektorze publicznym jak i w życiu prywatnym.

W deklaracji podkreśla się konieczność utrzymania kontroli nad swoimi danymi przez użytkowników aplikacji, którzy muszą mieć możliwość decydowania jakie informacje i komu i w jakich celach chcą ujawniać. Niezbędne dla osiągnięcia tego celu jest udzielanie użytkownikom aplikacji wyraźnych i zrozumiałych informacji na temat gromadzenia danych przed rozpoczęciem ich gromadzenia.

Odnośnie twórców aplikacji zamieszczono postulat, aby już na najbardziej początkowym etapie tworzenia aplikacji uwzględniać ochronę prywatności użytkowników.  Twórcy zawsze muszą wiedzieć, co oferują i czego oczekują od swoich użytkowników – czytamy.

Kolejnym uczestnikiem w procesie dostarczania aplikacji moblinych są dostawcy systemów operacyjnych zapewniający poprzez swoje platformy ramy, w których wykorzystywane są aplikacje a tym samym mają największe możliwości, aby zagwarantować ochronę danych i ponosić szczególną odpowiedzialność wobec użytkowników.

Rzecznicy ochrony danych i prywatności deklarują, iż nie chcą psuć użytkownikom przyjemności płynącej z używania aplikacji a celem ich jest właściwe wykorzystywanie danych osobowych, dlatego nadchodzący rok zamierzają wykorzystać w celu podjęcia kroków na rzecz poprawienia ochrony danych i prywatności w tym obszarze.