15 września 2016 r.
PRZETWARZANIE DANYCH OSOBOWYCH KLIENTÓW PRZEZ SERWISY SPRZĘTU AGD
Agnieszka Wiercińska-Krużewska
Przepisy prawa i przydatne informacje
• ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
• rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz
warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych
• Unijne rozporządzenie o ochronie danych osobowych nr 2016/679 (będzie stosowane od 25 maja 2018 r.)
• Strona eduGIODO: https://edugiodo.giodo.gov.pl/
• Strona GIODO – odpowiedzi na pytania:
http://www.giodo.gov.pl/266/
Definicja danych osobowych
Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej
Osoba możliwa do zidentyfikowania to osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności poprzez powołanie się na specyficzne czynniki określające jej
cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne
Informacje o osobach fizycznych – przedsiębiorcach oraz spółkach cywilnych są danymi osobowymi, przy czym do danych
ujawnionych w CEiDG stosuje się tylko wybrane części ustawy o ochronie danych osobowych (dotyczące zabezpieczania danych)
Przykłady danych osobowych
Imię i nazwisko
Adres pocztowy
Adres email Numer
telefonu
Numer IP
Inne definicje dotyczące danych osobowych
Zbiór danych osobowych
Każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów Przetwarzanie danych
Jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie,
zmienianie, udostępnianie i usuwanie Administrator danych
Podmiot decydujący o celach i środkach przetwarzania danych Podmiot przetwarzający
Podmiot, który przetwarza dane osobowe na zlecenie
administratora, na podstawie pisemnej umowy, wyłącznie w celach wskazanych w tej umowie
Administrator bezpieczeństwa informacji (ABI)
Osoba wyznaczona w danej organizacji do zapewniania przestrzegania przepisów o ochronie danych
Główne zasady przetwarzania danych osobowych
zasada ochrony interesów osoby, której dane dotyczą
zasada adekwatności danych (dane muszą być aktualne, prawdziwe i przydatne z punktu widzenia celu ich
przetwarzania)
stosowanie czterech elementarnych filarów przetwarzania danych
Filary zgodnego z prawem przetwarzania danych osobowych
A B C D
A. Podstawy prawne przetwarzania
danych (np. za zgodą, w celu zawarcia i wykonania umowy, na podstawie
przepisów prawa)
B. Obowiązki informacyjne (należy
poinformować osoby, których dane są przetwarzane o przetwarzaniu ich danych osobowych)
C. Zabezpieczenie danych osobowych D. Zgłoszenie zbioru danych osobowych
do rejestracji (z wyjątkami)
Dane osobowe klientów w serwisach sprzętu AGD
Dane osobowe klientów w posiadaniu serwisów sprzętu AGD
Dane
otrzymywane bezpośrednio od
klientów
Dane
przechowywane w sprzęcie AGD oddawanym do
naprawy
Dane
otrzymywane od producentów
sprzętu AGD
Dane osobowe klientów w serwisach sprzętu AGD
Klient serwisu
Przekazanie danych w związku z naprawą sprzętu (np. w karcie
naprawy sprzętu)
Serwis jest
administratorem danych osobowych klienta
Producent/dystrybutor sprzętu (administrator danych klientów)
Pisemna umowa powierzenia przetwarzania danych
Serwis jest podmiotem przetwarzającym dane osobowe
na zlecenie producenta (administratora) w związku z wykonywaniem naprawy sprzętu
Zbieranie danych osobowych
Powierzenie przetwarzania danych osobowych
Dane otrzymywane bezpośrednio od klientów
Dane otrzymywane bezpośrednio od klientów
• Serwis jest administratorem danych osobowych klientów
• Serwis ponosi odpowiedzialność za odpowiednie przetwarzanie danych osobowych
• Przetwarzanie danych zgodnie z celem ich zebrania
• Serwis powinien poinformować klientów (np. w dokumencie przyjęcia sprzętu do naprawy)
• że jest administratorem ich danych osobowych
• o swoim adresie
• o celu przetwarzania danych
• o prawach klienta związanych z przetwarzaniem danych
• Odpowiednie zabezpieczanie danych osobowych
• Jeżeli dane osobowe klienta są zbierane do celów wykonania naprawy, to nie ma konieczności uzyskiwania zgody klienta na przetwarzanie danych osobowych
Dane zawarte w sprzęcie oddawanym do naprawy
• W niektórych nowoczesnych (inteligentnych)
urządzeniach AGD przechowywane są dane osobowe ich użytkowników
• Dane te nie powinny być odczytywane lub kopiowane przez serwisy AGD, chyba że jest to niezbędne do
wykonanie naprawy
• Dane nie mogą być wykorzystywane w innych celach niż wykonanie naprawy
• Jeżeli zachodzi potrzeba usunięcia danych z urządzenia, to
w miarę możliwości należy o tym poinformować klienta
Dane otrzymywane od producentów sprzętu AGD
• Serwisy otrzymują dane osobowe klientów od
producentów sprzętu AGD najczęściej na podstawie umowy powierzenia przetwarzania danych osobowych
• Umowa powierzenia przetwarzania danych powinna być zawarta na piśmie
• Administratorem danych osobowych jest producent
• Serwisy nie mogą przetwarzać danych osobowych w innych celach niż to wynika z umowy (np. we własnych celach marketingowych)
• Dane muszą być zwrócone lub usunięte na żądanie
producenta (administratora danych)
Zgłoszenie zbioru danych do GIODO
• zbiory danych zgłaszają administratorzy danych
• wyjątki od obowiązku zgłoszenia zbiorów
• gdy dane są przetwarzane tylko w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej
• zbiory danych pracowników i osób świadczących usługi (np. na umowie zlecenia)
• gdy powołany został administratora bezpieczeństwa informacji (ABI) - tj. osoba odpowiedzialna za zapewnianie przestrzegania przepisów o ochronie danych w organizacji
• wniosek zgłoszenia zbioru danych jest dostępny na stronie GIODO:
https://egiodo.giodo.gov.pl/personal_data_register.dhtml
• można go wypełnić przez Internet, a następnie wydrukować, podpisać i wysłać pocztą do GIODO
jeżeli dane są przetwarzane także w innych celach, np. marketingowych - trzeba zgłosić zbiór danych
Zabezpieczanie danych osobowych
• Polityka bezpieczeństwa
• Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych
• Upoważnienia do przetwarzania danych osobowych
• Ewidencja osób upoważnionych do przetwarzania danych
• Dokumenty i procedury są obowiązkowe dla wszystkich podmiotów, które przetwarzają dane osobowe
• Dokumenty i procedury potrzebne także w odniesieniu do
zbiorów danych pracowników i innych zbiorów danych
Polityka bezpieczeństwa
• Elementy polityki bezpieczeństwa
• wykaz budynków i pomieszczeń, w których przetwarzane są dane osobowe
• wykaz zbiorów danych osobowych wraz ze wskazaniem programów stosowanych do przetwarzania tych danych
• opis struktury zbiorów danych
• sposób przepływu danych pomiędzy poszczególnymi systemami
• środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych
danych
• Wskazówki praktyczne dotyczące przygotowania polityki bezpieczeństwa na stronie GIODO:
https://edugiodo.giodo.gov.pl/mod/resource/view.php?id=39
Instrukcja zarządzania systemem informatycznym
• Wybrane elementy instrukcji
• procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym stosowane metody i środki uwierzytelnienia
• procedury tworzenia kopii zapasowych zbiorów danych
• sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych
• sposób zabezpieczenia systemu informatycznego przed działalnością szkodliwego oprogramowania
• procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji
• Wskazówki praktyczne dotyczące przygotowania instrukcji na stronie GIODO:
https://edugiodo.giodo.gov.pl/mod/resource/view.php?id=39
Kontrola GIODO
• GIODO nie nakłada kar finansowych za niezgodne z prawem przetwarzania danych
• GIODO wydaje decyzje, w których nakazuje przywrócenie stanu zgodnego z prawem
• np: zastosowanie dodatkowych środków
zabezpieczających, usunięcie danych, zawarcie umowy powierzenia przetwarzania danych na piśmie
• Tylko w przypadku, gdy decyzja GIODO nie zostanie wykonana, GIODO może nałożyć grzywnę w celu przymuszenia przedsiębiorcy do wykonania decyzji
• W przypadku osób fizycznych wysokość grzywny wynosi
do 10 tys. zł, a osób prawnych – do 50 tys. zł
Unijne rozporządzenie o ochronie danych osobowych nr 2016/679
• Rozporządzenie będzie stosowane od 25 maja 2018 r.
• Zastąpi polską ustawę o ochronie danych osobowych
• Nie będzie tak szczegółowych przepisów o zabezpieczaniu
danych ani obowiązku zgłaszania zbiorów danych do rejestracji
• Będą surowe kary za nieprzestrzeganie przepisów o ochronie danych osobowych, np. za przetwarzanie danych bez podstawy prawnej, za brak informowania osób, których dane się
przetwarza, o przetwarzaniu ich danych
• Kary będą nakładane w wysokości nawet do 20 mln euro albo do 4% rocznego światowego obrotu z poprzedniego roku
• Wysokość kar będzie się różnić w zależności od np. wagi i czasu trwania naruszenia, umyślności naruszenia, poprzednich
naruszeń prawa ochrony danych
DANE KONTAKTOWE
Agnieszka Wiercińska-Krużewska adwokat, starszy partner
Tel. +48 22 201 00 00
Email: agnieszka.wiercinska@wkb.com.pl
WKB Wierciński, Kwieciński, Baehr Sp.k.
Warszawa ul. Polna 11
00-633 Warszawa Tel. +48 22 201 00 00 Poznań
ul. Paderewskiego 7 61-770 Poznań
Tel. +48 61 855 32 20 biuro@wkb.com.pl www.wkb.com.pl
