Podsumowanie warsztatów nt. ochrony danych dla przedsiębiorców (20.07.2011)

20 lipca 2011 r. miałem przyjemność uczestniczyć na organizowanych przez GIODO warsztatach nt. ochrony danych dla przedsiębiorców.

Spotkanie to było pierwszym podsumowaniem współpracy Biura GIODO, Biura Ochrony Danych z Czech i Rzecznika Ochrony Danych i Wolności Informacji z Węgier w ramach Projektu Partnerskiego Leonardo da Vinci ,,Podnoszenie świadomości w zakresie ochrony danych osobowych wśród przedsiębiorców działających na terytorium UE”. Na spotkaniu została także przybliżona nowa publikacja wspólnie opracowanego przez ww instytucję przewodnika ,,Wybrane zagadnienia z zakresu ochrony danych osobowych. Przewodnik dla przedsiębiorców”.

Postaram się w telegraficznym skrócie wyróżnić niektóre wiadomości przekazane uczestnikom warsztatów.
Na początku zwrócono m.in. uwagę na poniższe tematy :

1) Digital Agenda for Europe, budowana w celu stworzenia wspólnego rynku cyfrowego w europie. Podkreślono, że ponad 90% danych jest przetwarzanych cyfrowo.Więcej pod linkami:

2)    Zasygnalizowano o planach nt. budowy systemu rozwiązywania sporów on-line (a Code Online Rights by 2012). Określono że ma to mieć charakter raczej czegoś na podobieństwo kodeksu dobrych praktyk. Nie było większych szczegółów.

3)    Podkreślano, że szykuje się rewizja Dyrektywy 95/46/WE i może ona zmierzać ku zmianie formy prawnej dokumentu na rozporządzenie, co stanowiłoby prawdziwą rewolucję (zgodnie z art. 288 Traktatu o funkcjonowaniu Unii Europejskiej rozporządzenie ma zasięg ogólny, wiąże w całości i jest bezpośrednio stosowane we wszystkich Państwach Członkowskich).
4)    Poruszony został pomysł jednolitego wniosku do systemu notyfikacyjnego dot. zbiorów. Organy UE są za takim formularzem, natomiast większość krajów nie popiera takich zmian, uzasadniając to m.in. faktem, że będzie  on bardziej skomplikowany niż obecnie obowiązujący u nich.
5)    Zwrócono uwagę na problematykę różnych definicji i listy danych wrażliwych (wskazano, że de facto jest 27 systemów ochrony danych osobowych). Identyczne problemy są związane z ochroną prywatności dzieci (osoby niepełnoletnie są różnie definiowane w UE – ze względu na wiek).
6)    Zwrócono uwagę na opinię Grupy Roboczej art. 29 z dnia 13 lipca br w sprawie definicji zgody. Opinia zawiera zalecenia obejmujące:
- wyjaśnienie znaczenia pojęcia „jednoznacznej” zgody oraz wyjaśnienie, że tylko
zgoda, która jest oparta na oświadczeniach lub działaniach oznaczających przyzwolenie, stanowi ważną zgodę;

  • wymaganie od administratorów danych wprowadzenia mechanizmów wyrażania zgody (w ramach ogólnego obowiązku rozliczalności);
  • dodanie wyraźnego wymogu dotyczącego jakości i dostępności informacji stanowiących podstawę zgody, oraz
  • szereg sugestii dotyczących nieletnich oraz innych osób fizycznych nie posiadających pełnej zdolności do czynności prawnych.

Opinia GR jest pod adresem: www.giodo.gov.pl/plik/id_p/2314/j/pl/

Przewodnik dla przedsiębiorców.
Tematem poruszanym na warsztatach był także przedstawiony przez pracownika GIODO Pana Piotra Drobek przewodnik dla przedsiębiorców, który już niedługo może będzie umieszczony na stronie GIODO. Nie omawiano jego szczegółów gdyż jak to określił prowadzący – dokument sam powinien się obronić. Forma dokumentu zachęca do zapoznania się z nim.
W podręczniku zwrócono uwagę, że działalność gospodarcza wiąże się z koniecznością przetwarzania danych osobowych, zatem przedsiębiorcy muszą wypełnić zobowiązania prawne w tym zakresie. Celem dokumentu jest całościowe podejście do kwestii ochrony danych osobowych w Unii Europejskiej. Jednocześnie przybliżone są rozwiązania obowiązujące w Polsce , Czechach i na Węgrzech. W dokumencie są przeprowadzone analizy i porównania dotyczące przepisów w tych państwach.
Jak podkreślono, bazą definicyjną dla przewodnika była Dyrektywa 95/46/WE oraz zawarto w nim dodatkowo informację i wyjaśnienia pojęć z uregulowań państwowych. Najistotniejsze wskazówki zostały podkreślone na czerwono i zatytułowane – Ważne.
Przedstawiciele poszczególnych instytucji z państw uczestniczących w warsztatach opisali w wielkim krócie uwarunkowania prawne swoich krajów, które stanowiły jedynie wyróżnione zagadnienia. Poniżej zamieściłem ich znaczną część.

Czechy.
Data protection in marketing and customer relations in CZ

Przedstawiciel omówił najważniejsze przesłanki legalności przetwarzania danych, wśród których wyróżnił pisemna umowę z klientem. Często występują wymagania prawne w zakresie jakie dane są niezbędne do podania i tak np. powtarzającym się rodzajem danych osobowych obowiązkowym do podania jest nr urodzenia – np. przy umowach bankowych. Klient nie może wymagać usunięcia danych osobowych dopóki nie zostanie wykonana umowa oraz nie miną terminy przedawnienia. Firma może tworzyć tzw. listy robensona.
W odniesieniu do ochrony danych w stosunkach pracy wyróżniają tzw.

  • Hard Law – np. Dyrektywa 95/46/WE i
  • Soft Law – np. R/89/2  Consil of Europe Committe of Minister_Rekommendation No. R (89) 2.  Ten dokument oraz studium do niego załączyłem do maila. – np. WP 48 Opinion 8/2001, Article 29 – Data Protection Working Party.

Powołane dokumenty można znaleźć pod adresem:

W sprawie ochrony danych rozróżniają wymagania wynikające z:
Prawa prywatnego – podstawą prawną do przetwarzania danych jest zgoda osoby, w zasadzie wówczas można przetwarzać dane osobowe bez ograniczeń rodzajowych (zas. ,,minimax”),
Prawa państwowego – prawo nakłada określone obowiązki jakie dane trzeba zbierać i jest to uzasadnione przepisami. Określane jest to jako OPTIMA i nie działa wówczas zasada ,,minimax”.

Wśród wyróżnionych przykładów przesłanek legalności przetwarzania danych były podane wynikające z:

  • A contract – np. przy relacjach pracowniczych,
  • A consent – np. przy powołanych relacjach pracowniczych może zajść sytuacja że są świadczone przez pracodawcę dodatkowe świadczenia, przy których wymagana będzie zgoda na przetwarzanie szerszego zakresu danych osobowych.

Zasadniczo dane pracownicze można przetwarzać w trakcie trwania stosunku pracy jak również po wygaśnięciu stosunku pracy przez okres 3 lat (termin przedawnienia roszczeń). W sprawie udostępniania danych podmiotom trzecim, rozróżnia się instytucję udostępnienia i rozpowszechniania. Ten pierwszy przykład może zajść przykładowo w sytuacji zlecenia czynności księgowych czy prawnych. Dane dotyczące osób fizycznych prowadzących działalność gospodarczą uważa się za dane osobowe które objęte są ochroną !

Węgry.
Przedstawiciel Węgier poruszył temat przesyłania danych do państw trzecich zaczynając od wskazania na pierwotne źródło prawa, tj. powołał się na Dyrektywę 95/46/WE, opisując iż w jej art. 25 są opisane zasady, w art. 26 derogacja a rozdział 4 dotyczy transferu. Natomiast w art. 9 węgierskiej ustawy dot. ochrony danych osobowych unormowane są ramy prawne transferu.
Podkreślono, że na Węgrzech transfer danych do państwa trzeciego jest możliwy przede wszystkim  pod warunkiem spełnienia dwóch przesłanek :

  • będzie odebrana wyraźna zgoda oraz
  • zostanie zapewniony odpowiedni poziom ochrony.

Odniesiono się także do tzw. systemu informowania o nieprawidłowościach zaobserwowanych w firmach przez pracowników –  Whistleblowing. Zasadniczo na Węgrzech istnieje wymóg składania raportów imiennych, anonimowe ,,doniesienia” są możliwe ale tylko wyjątkowo są akceptowalne.

Jeżeli chodzi o różnice w powiadomieniach pracodawców przez odpowiednie instytucję o otrzymanym raporcie to wyjaśniono, że:

  • w UE można opóźnić je do chwili zebrania wystarczających danych i dowodów,
  • na Węgrzech należy niezwłocznie powiadomić pracodawcę.

Ostatni wykład  był przedstawiony przez Dyrektora Departamentu Rejestracji Zbiorów Danych Osobowych i dotyczył spraw już wielokrotnie poruszanych przez GIODO. Więcej na ten temat można znaleźć pod adresem http://www.giodo.gov.pl/148/

Odpowiedzi

Portret użytkownika admin

Jestem bardzo ciekawy poradnika dla przedsiębiorców. Ciekaw też jestem, jak to w końcu będzie po 31 grudnia 2011 r., czy dane przedsiębiorców będą podlegać ustawie o ochronie danych osobowych, czy ponownie termin "niepodlegania" zostanie wydłużony... Chyba sam ustawodawca ma z tym problem - co zrobić, aby nie zakłócić obrotu gospodarczego. Coś mi się wydaje, że bedzie w nowelizacji uodo nowe zwolnienie z rejestracji zbiorów np. osób fizycznych prowadzących działalność gospodarczą ;) Warto byłoby sie przyjrzeć, jak do dokładnie na Węgrzech funkcjonuje...