1/5 Artykuły RODO, które będą przedmiotem dyskusji w dniu 2
Transkrypt
1/5 Artykuły RODO, które będą przedmiotem dyskusji w dniu 2
Wersja robocza, 26.03.2013r. Artykuły RODO, które będą przedmiotem dyskusji w dniu 2 kwietnia 2013 r.: Obecne brzmienie Zmiana proponowana przez Konfederacje Komentarze Lewiatan Article 4 (1) 'personal data' means any information relating to an identified or identifiable natural person ('data subject'); an identifiable person is one who can be identified, directly or indirectly, by means reasonably likely to be used by the controller or by any other natural or legal person, in particular by reference to a name, an identification number, location data, online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that person. If identification requires a disproportionate amount of time, effort or material resources the natural living person shall not be considered identifiable. (1) Data subject- an identified or identifiable natural person. An identifiable person is the one who can be identified directly or indirectly by way of measures which can be likely reasonably used by the controller and without involving excessive costs, time or measures. Article 4 (2a) ’rendering personal data pseudonymous’ means processing personal data in such a way that the data cannot be attributed to a specific data subject without the use of additional information which would allow such identification; such additional information shall be kept separately and shall Dane spseudonimizowane oznaczają wszelkie dane osobowe zebrane, zmienione lub inaczej przetwarzane w sposób nie pozwalający na przypisanie ich do konkretnego podmiotu danych bez wykorzystania dodatkowych danych, które poddane są odrębnym, organizacyjnym i technicznym środkom uniemożliwiającym takie przypisanie (identyfikację podmiotu danych) lub - - należy wykreślić “any other natural or legal person”. To administrator powinien oceniać- w oparciu o posiadane przez niego dane i środki- posiadane przez niego informacje są danymi osobowymi. popieramy wprowadzenia “testu proporcjonalności” (2) personal data- means any information relating to a data subject. Information which do not allow for direct identification of a data subject and data which wouldn't allow for such identification without excessive costs, time or measures shall not be considered as personal data. Popieramy wprowadzenie do projektu definicji danych spseudonimizowanych i zezwolenia przetwarzania takich danych w większym zakresie niż danych osobowych. Za przedstawioną definicją opowiadała się większość konsultowanych przez nas firm, działaljących w Internecie i nie tylko. 1/5 Wersja robocza, 26.03.2013r. be subject to technical and organisational których przypisanie wymagałoby nadmiernych kosztów, wysiłku i czasu measures to ensure non-attribution. Article 4 (8) 'the data subject's consent' means „zgoda podmiotu danych” oznacza dobrowolne, any freely given specific, informed and szczególne konkretne i świadome i wyraźne explicit indication of his or her wishes by oświadczenie woli, przez które podmiot danych, which the data subject, either by a statement w drodze oświadczenia lub każdego innego zachowania tego podmiotu ujawnia w or by a clear affirmative action, signifies sposób dostateczny jego przyzwolenie na agreement to personal data relating to them przetwarzanie danych osobowych”. being processed. Definicja „zgoda podmiotu danych” powinna zostać doprecyzowana oraz uwzględniać warunki udzielenia zgody. Należy zwrócić uwagę , że wiele rozwiązań informatycznych pozwala na wyrażenie takiej zgody poza systemem teleinformatycznym administratora danych - w oprogramowaniu dostawców rozwiązań sprzętowych lub systemu operacyjnego np. przeglądarkach internetowych. Regulacje nie powinny ograniczać pozyskanych w taki sposób danych, w przeciwnym wypadku w sposób poważny zakłóci to rozwój technologiczny poprzez nękanie użytkowników o wyrażanie każdorazowej zgody. Konieczne jest także omówienie art. 7 ustęp 4 wyłączającego zgodę, jako podstawę przetwarzania w warunkach „wyraźnej nierówności” (poniżej) 2/5 Z komentarzem [mp1]: Opinia grupu roboczej art. 29 opowiada się, za unambigious consent Z komentarzem [mp2]: Art. 29 WP: unambigious action Wersja robocza, 26.03.2013r. Article 4 (12a) 'profiling' means an automated processing technique that consists of applying a 'profile' to an individual, particularly in order to take decisions concerning her or him or for analysing or predicting her or his personal preferences, behaviours and attitudes; a profile being a set of personal data characterising a category of individual; Profiling means a measure which produces legal effects concerning this natural person or significantly negatively affects this natural person, and which is based solely on automated processing intended to evaluate certain personal aspects relating to this natural person or to analyse or predict in particular the natural person's performance at work, economic situation, location, health, personal preferences, reliability or behaviour. Zbyt szeroka definicja profilowania sparaliżuje działalnie wielu branży, których działalność opiera się o automatyczne przetwarzanie danych i wykorzystywanie wygenerowanych w ten sposób danych. Ma to zastosowanie w branży bankowej, ubezpieczeniowej, marketingowej przy prowadzeniu badań, przy ochronie zdrowia oraz w handlu detalicznym. Należy wyłączyć spod artykułu 20 automatyczne przetwarzanie, które nie wywiera istotnego negatywnego wpływu na podmiot danych. 2. Subject to the other provisions of this Regulation, a person may be subjected to a measure of the kind referred to in paragraph 1 only if the processing: (a) is carried out in the course of the entering into, or performance of, a contract, where the request for the entering into or the performance of the contract, lodged by the data subject, has been satisfied or where suitable measures to safeguard the data subject's legitimate interests have been adduced, such as the right to obtain human intervention; or (b) is expressly authorized by a Union or Member State law which also lays down suitable measures to safeguard the data subject's legitimate interests; or (c) is based on the data subject's consent, subject to the conditions laid down in Article 7 and to suitable safeguards. Ponadto, profilowanie i techniki dostosowania są wykorzystywane m.in. w celu zapobiegania, monitorowania i zwalczania oszustw, poprawy jakości usługi itp.. Konieczne jest rozszerzenie katalogu celów, dla realizacji których profilowanie jest dozwolone. W przeciwnym razie tak zdefiniowany zakaz profilowania może wywrzeć trudne do przewidzenia skutki m.in. w sektorze bankowym, który wykorzystuje scoring (oceny punktowe) do oceny wiarygodności kredytowej potencjalnych kredytobiorców. Scoring ma kluczowe znaczenie dla odpowiedzialnego kredytowania, wykluczenie jego stosowania oznacza ogromne ryzyko tzw. złych kredytów, a tym zagrożenie dla bezpieczeństwa lokat bankowych. Co więcej banki powinny stosować zaawansowane metody statystyczne dla obliczania wymogów kapitałowych, do których scoring należy (art. 128 ust.3 Prawa bankowego). Wprowadzenie restrykcyjnych przepisów stoi w kolizji z 3/5 Z komentarzem [mp3]: MP:czy nie powinno się zastąpić osoby fizycznej „podmiotem danych” ? Wersja robocza, 26.03.2013r. d. is carried out in the purpose monitoring and prevention of frauds, of e. is carried out based on well founded suspicion of committing a crime to the detriment of the controller, such as especially banks, financial and credit institutions and their clients f. is carried out for the purpose of assessing credit worthiness, assuring safety and reliability of services provided by a controller obowiązującymi w tej sprawie: Dyrektywą 2006/48/WE 14 czerwca 2006 r. w sprawie podejmowania i prowadzenia działalności przez instytucje kredytowe oraz Dyrektywą 2006/49/WE z dnia 14 czerwca 2006 r. w sprawie adekwatności kapitałowej firm inwestycyjnych i instytucji kredytowych. W załączeniu przesyłamy szczegółowy komentarz do proponowanych przez nas zmian. g. is necessary to pursue controller’s legitimate interest in accordance with the article 6 point 1(f) 3. Automated processing of personal data intended to evaluate certain personal aspects relating to a natural person shall not be based solely on the special categories of personal data referred to in Article 9. 4. In the cases referred to in paragraph 2, the information to be provided by the controller under Article 14 shall include information as to the existence of processing for a measure of the kind referred to in paragraph 1 and the envisaged effects of such processing on the data subject. 5. The Commission shall be empowered to adopt delegated acts in accordance with 4/5 Wersja robocza, 26.03.2013r. Article 86 for the purpose of further specifying the criteria and conditions for suitable measures to safeguard the data subject's legitimate interests referred to in paragraph 2. Article 6 (1) Processing of personal data shall be lawful only if and to the extent that at least one of the following applies: (a) the data subject has given consent to the processing of their personal data for one or more specific purposes; (b) processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract; (c) processing is necessary for compliance (c) processing is necessary for compliance with a with a legal obligation to which the legal obligation to which the controller is subject; controller is subject or for exercising rights of (d) processing is necessary in order to protect the vital interests of the data subject; the controller. (e) processing is necessary for the performance of a task carried out in the public interest or in the exercise of official Point 1. b. (new) 5/5 Wersja robocza, 26.03.2013r. authority vested in the controller; Following purposes shall be inter alia considered as legitimate interests pursued by controller: (f) processing is necessary for the purposes of the legitimate interests pursued by a controller or by a third party, except where a. promoting of controller's goods and services such interests are overridden by the interests or fundamental rights and b. enforcement of the controller's claims freedoms of the data subject which require c. ensuring the security of the system, network and information protection of personal data, in particular where the data subject is a child. This shall not apply to processing carried out by public authorities in the exercise of their public duties. (g) processing is necessary for the purposes and under the conditions provided for in Popieramy, z zastrzeżeniem, że pewne zmiany Article 9(2) (b) - (j); powinny zostać dokonane w art. 9 us1 e (h) processing is necessary for the purposes (poniżej): and under the conditions referred to in Articles 80 to 85. 6 (2) (…) 6 (3) The legal basis for the processing referred to in points (c) and (e) of paragraph 1 must be provided for in: Kwestią wymagającą wyjaśnienia jest możliwość przetwarzania danych w oparciu o rekomendacje i interpretacje organów państwowych, które nie są powszechni obowiązujaćymi przepisami, a mają 6/5 Wersja robocza, 26.03.2013r. kluczowe znaczenie dla funcjonowania tych sektorów. Np. Rekomentacje KNF w sektorze bankowym. (a) Union law, or (b) the law of the Member State to which the controller is subject. (…) 6 (4) Where the purpose of further processing is incompatible with the one for which the personal data have been collected, the processing must have a legal basis at least in one of the grounds referred to in points (a) to (e) of paragraph 1. This shall in particular apply to any change of terms and general conditions of a contract. 6 (5) (…). 4. Where the purpose of further processing is not compatible with the one for which the personal data have been collected, the processing must have a legal basis at least in one of the grounds referred to in points (a) to (e) of paragraph 1. This shall in particular apply to any change of terms and general conditions of a contract. W naszej ocenie i zgodnie z ugruntowanym w doktrynie1 poglądem wszystkie podstawy przetwarzania powinny być trektowane jako równoprawne. Zasada adekwatnosci przetwarzanych danych, obowiazek informacyjny i prawo zgłoszenia sprzeciwy w sposób wystarczajacy zabeczpieczają interesy podmiotu danych. Nie ma więc powodu, żeby pozbawiac amidnistartora danych możeliwosci przetwarzania danych w celu ralizacji jego uzasadnionych interesów. Popieramy wykreślenie delegacji dla KE. Propozycje Konfederacji Lewiatan powiązane z w. punktami Artykuł 9 ustęp 1 e 1 Komentarz do ustawy o ochronie danych osobowych Paweł Barta, dr Paweł Litwiński 2009, art. 23 Dopuszczalność przetwarzania danych., pkt 6. 7/5 Wersja robocza, 26.03.2013r. e. przetwarzanie dotyczy danych osobowych, które zostały wyraźnie podane do publicznej wiadomości przez podmiot danych; lub przetwarzanie dotyczy danych osobowych, które zostały wyraźnie podane do publicznej wiadomości przez podmiot danych lub dobrowolnie i na wniosek podmiotu danych przekazane administratorowi danych w konkretnym, wskazanym przez siebie celu, a przetwarzanie to odbywa się w interesie podmiotu danych. Uzasadnienie: Konieczne jest zapewnienie podstawy prawnej do przetwarzania danych, w sytuacji gdy podmiot danych wyraźnie zwraca się do administratora z prośbą o podjęcie określonych działań, np. gdy zwraca się o umorzenie kredytu z powodów osobistych, opisując jednocześnie trudną sytuację rodzinną. W takich sytuacjach wymóg uzyskiwania przez administratora dodatkowej zgody byłby nadmiernie obciążający. Interes podmiotu i fakt, iż wnioskuje on o takie działania powinien być wystarczającą podstawą do przetwarzania danych do tego celu. Wskazany problem odczuwalny jest przez wszystkie branże, w sytuacji prowadzenia działalności windykacyjnej. Przewidziany w art. 9 ust 1 e wyjątek od zakazu przetwarzania nie daje obecnie podstaw do realizacji ww. wniosków podmiotów danych, co odbija się niekorzystnie zarówno na administratorze jak i na osobie zwracającej się o umorzenie długu. Artykuł 7 ustęp 4 Zgoda nie stanowi podstawy prawnej przetwarzania w sytuacji poważnej nierówności między podmiotem danych a administratorem. Zgoda nie stanowi podstawy prawnej przetwarzania, jeśli ze względu na poważną nierówność pomiędzy administratorem a podmiotem danych nie została wyrażona w sposób dobrowolny, zgodnie z artykułem 4 punkt 8. Uzasadnienie: 8/5 Wersja robocza, 26.03.2013r. Postanowienie podważa swobodę podejmowania decyzji przez podmioty danych. Projekt powinien zagwarantować osobom fizycznym możliwość rzeczywistego i dobrowolnego wyrażenia zgody i zapewnić możliwość wycofania jej bez ponoszenia negatywnych konsekwencji. Nie powinien jednak pozbawiać ich z góry możliwości decydowania o przetwarzaniu dotyczących ich danych, szczególnie gdy cel tego przetwarzania jest dla podmiotu danych korzystny (przy oferowaniu przez pracodawcę ubezpieczeń, dodatkowej opieki medycznej, dla celów rekrutacji lub udziału w programie rozwojowym itp.) Projekt nie powinien wprowadzać domniemania, że w relacji pomiędzy pracodawcą a pracownikiem nie jest możliwe dobrowolne wyrażenie zgody. Zmieniona powinna zostać także treść motywu 34. Recital 34 Zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w sytuacji wyraźnego braku równowagi między podmiotem danych a administratorem. Dotyczy to w szczególności przypadku, , między innymi wtedy, gdy dane osobowe pracowników są przetwarzane przez pracodawcę w kontekście zatrudnienia Jeśli administrator jest organem publicznym, brak równowagi wystąpiłby wyłącznie w przypadku operacji przetwarzania szczególnych danych, gdy organ publiczny może nałożyć obowiązek na mocy odpowiednich uprawnień publicznych a zgody nie można uznać za wyrażoną dobrowolnie, uwzględniając interes podmiotu danych. Zgoda powinna zostać wyrażona dobrowolnie i bez nacisku ze strony administratora, szczególnie jeśli pomiędzy podmiotem danych a administratorem występuje wyraźny brak równowagi. Może to dotyczyć, między innymi przypadku, gdy dane osobowe pracowników są przetwarzane przez pracodawcę w kontekście zatrudnienia. Jeśli jednak cel przetwarzania jest dla podmiotu danych korzystny a podmiot danych może następnie zgodę wycofać, zgoda powinna stanowić ważną podstawę prawną przetwarzania. 9/5