1/5 Artykuły RODO, które będą przedmiotem dyskusji w dniu 2

Wersja robocza, 26.03.2013r.
Artykuły RODO, które będą przedmiotem dyskusji w dniu 2 kwietnia 2013 r.:
Obecne brzmienie
Zmiana proponowana przez Konfederacje Komentarze
Lewiatan
Article 4 (1) 'personal data' means any
information relating to an identified or
identifiable natural person ('data subject'); an
identifiable person is one who can be
identified, directly or indirectly, by means
reasonably likely to be used by the controller
or by any other natural or legal person, in
particular by reference to a name, an
identification number, location data, online
identifier or to one or more factors specific to
the physical, physiological, genetic, mental,
economic, cultural or social identity of that
person.
If
identification
requires
a
disproportionate amount of time, effort or
material resources the natural living person
shall not be considered identifiable.
(1) Data subject- an identified or identifiable
natural person. An identifiable person is the one
who can be identified directly or indirectly by way
of measures which can be likely reasonably used
by the controller and without involving excessive
costs, time or measures.
Article 4 (2a) ’rendering personal data
pseudonymous’ means processing personal
data in such a way that the data cannot be
attributed to a specific data subject without the
use of additional information which would
allow such identification; such additional
information shall be kept separately and shall
Dane spseudonimizowane oznaczają wszelkie dane
osobowe
zebrane,
zmienione
lub
inaczej
przetwarzane w sposób nie pozwalający na
przypisanie ich do konkretnego podmiotu danych
bez wykorzystania dodatkowych danych, które
poddane są odrębnym, organizacyjnym i
technicznym środkom uniemożliwiającym takie
przypisanie (identyfikację podmiotu danych) lub
-
-
należy wykreślić “any other natural or
legal person”. To administrator powinien
oceniać- w oparciu o posiadane przez
niego dane i środki- posiadane przez niego
informacje są danymi osobowymi.
popieramy
wprowadzenia
“testu
proporcjonalności”
(2) personal data- means any information relating
to a data subject. Information which do not allow
for direct identification of a data subject and data
which wouldn't allow for such identification
without excessive costs, time or measures shall
not be considered as personal data.
Popieramy wprowadzenie do projektu definicji
danych spseudonimizowanych i zezwolenia
przetwarzania takich danych w większym zakresie
niż danych osobowych.
Za przedstawioną definicją opowiadała się
większość konsultowanych przez nas firm,
działaljących w Internecie i nie tylko.
1/5
Wersja robocza, 26.03.2013r.
be subject to technical and organisational których przypisanie wymagałoby nadmiernych
kosztów, wysiłku i czasu
measures to ensure non-attribution.
Article 4 (8) 'the data subject's consent' means „zgoda podmiotu danych” oznacza dobrowolne,
any freely given specific, informed and
szczególne konkretne i świadome i wyraźne
explicit indication of his or her wishes by
oświadczenie woli, przez które podmiot danych,
which the data subject, either by a statement
w drodze oświadczenia lub każdego innego
zachowania tego podmiotu ujawnia w
or by a clear affirmative action, signifies
sposób dostateczny jego przyzwolenie na
agreement to personal data relating to them
przetwarzanie danych osobowych”.
being processed.
Definicja „zgoda podmiotu danych” powinna
zostać doprecyzowana oraz uwzględniać warunki
udzielenia zgody. Należy zwrócić uwagę , że wiele
rozwiązań informatycznych pozwala na wyrażenie
takiej zgody poza systemem teleinformatycznym
administratora danych - w oprogramowaniu
dostawców rozwiązań sprzętowych lub systemu
operacyjnego np. przeglądarkach internetowych.
Regulacje nie powinny ograniczać pozyskanych w
taki sposób danych, w przeciwnym wypadku w
sposób poważny zakłóci to rozwój technologiczny
poprzez nękanie użytkowników o wyrażanie
każdorazowej zgody.
Konieczne jest także omówienie art. 7 ustęp
4 wyłączającego zgodę, jako podstawę
przetwarzania w warunkach „wyraźnej
nierówności” (poniżej)
2/5
Z komentarzem [mp1]: Opinia grupu roboczej art. 29 opowiada
się, za unambigious consent
Z komentarzem [mp2]: Art. 29 WP: unambigious action
Wersja robocza, 26.03.2013r.
Article 4 (12a) 'profiling' means an
automated processing technique that consists
of applying a 'profile' to an individual,
particularly in order to take decisions
concerning her or him or for analysing or
predicting her or his personal preferences,
behaviours and attitudes; a profile being a set
of personal data characterising a category of
individual;
Profiling means a measure which
produces legal effects concerning this natural
person or significantly negatively affects this
natural person, and which is based solely on
automated processing intended to
evaluate certain personal aspects relating to this
natural person or to analyse or
predict in particular the natural person's
performance at work, economic situation,
location, health, personal preferences, reliability or
behaviour.
Zbyt szeroka definicja profilowania sparaliżuje
działalnie wielu branży, których działalność opiera
się o automatyczne przetwarzanie danych i
wykorzystywanie wygenerowanych w ten sposób
danych. Ma to zastosowanie w branży bankowej,
ubezpieczeniowej,
marketingowej
przy
prowadzeniu badań, przy ochronie zdrowia oraz w
handlu detalicznym. Należy wyłączyć spod
artykułu 20 automatyczne przetwarzanie, które nie
wywiera istotnego negatywnego wpływu na
podmiot danych.
2. Subject to the other provisions of this
Regulation, a person may be subjected to a
measure of the kind referred to in paragraph 1
only if the processing:
(a) is carried out in the course of the entering
into, or performance of, a contract,
where the request for the entering into or the
performance of the contract,
lodged by the data subject, has been satisfied or
where suitable measures to
safeguard the data subject's legitimate interests
have been adduced, such as the
right to obtain human intervention; or
(b) is expressly authorized by a Union or Member
State law which also lays down
suitable measures to safeguard the data subject's
legitimate interests; or
(c) is based on the data subject's consent, subject
to the conditions laid down in
Article 7 and to suitable safeguards.
Ponadto, profilowanie i techniki dostosowania są
wykorzystywane m.in. w celu zapobiegania,
monitorowania i zwalczania oszustw, poprawy
jakości usługi itp.. Konieczne jest rozszerzenie
katalogu celów, dla realizacji których profilowanie
jest dozwolone. W przeciwnym razie tak
zdefiniowany zakaz profilowania może wywrzeć
trudne do przewidzenia skutki m.in. w sektorze
bankowym, który wykorzystuje scoring (oceny
punktowe) do oceny wiarygodności kredytowej
potencjalnych
kredytobiorców.
Scoring
ma
kluczowe
znaczenie
dla
odpowiedzialnego
kredytowania, wykluczenie jego stosowania
oznacza ogromne ryzyko tzw. złych kredytów, a
tym zagrożenie dla bezpieczeństwa
lokat
bankowych. Co więcej banki powinny stosować
zaawansowane metody statystyczne dla obliczania
wymogów kapitałowych, do których scoring należy
(art. 128 ust.3 Prawa bankowego). Wprowadzenie
restrykcyjnych przepisów stoi w kolizji z
3/5
Z komentarzem [mp3]: MP:czy nie powinno się zastąpić osoby
fizycznej „podmiotem danych” ?
Wersja robocza, 26.03.2013r.
d. is carried out in the purpose
monitoring and prevention of frauds,
of
e. is carried out based on well founded
suspicion of committing a crime to the
detriment of the controller, such as
especially banks, financial and credit
institutions and their clients
f. is carried out for the purpose of assessing
credit worthiness, assuring safety and
reliability of services provided by a
controller
obowiązującymi w tej sprawie: Dyrektywą
2006/48/WE 14 czerwca 2006 r. w sprawie
podejmowania i prowadzenia działalności przez
instytucje kredytowe oraz Dyrektywą 2006/49/WE
z dnia 14 czerwca 2006 r. w sprawie adekwatności
kapitałowej firm inwestycyjnych i instytucji
kredytowych.
W załączeniu przesyłamy szczegółowy
komentarz do proponowanych przez nas
zmian.
g. is necessary to pursue controller’s
legitimate interest in accordance with the
article 6 point 1(f)
3. Automated processing of personal data
intended to evaluate certain personal aspects
relating to a natural person shall not be based
solely on the special categories of
personal data referred to in Article 9.
4. In the cases referred to in paragraph 2, the
information to be provided by the
controller under Article 14 shall include
information as to the existence of processing
for a measure of the kind referred to in paragraph
1 and the envisaged effects of such
processing on the data subject.
5. The Commission shall be empowered to adopt
delegated acts in accordance with
4/5
Wersja robocza, 26.03.2013r.
Article 86 for the purpose of further specifying the
criteria and conditions for suitable
measures to safeguard the data subject's
legitimate interests referred to in paragraph
2.
Article 6 (1) Processing of personal data shall
be lawful only if and to the extent that at least
one of the following applies:
(a) the data subject has given consent to the
processing of their personal data for one or
more specific purposes;
(b) processing
is
necessary for
the
performance of a contract to which the
data subject is party or in order to take
steps at the request of the data subject
prior to entering into a contract;
(c) processing is necessary for compliance (c) processing is necessary for compliance with a
with a legal obligation to which the legal obligation to which the
controller is subject;
controller is subject or for exercising rights of
(d) processing is necessary in order to protect
the vital interests of the data subject;
the controller.
(e) processing
is
necessary for
the
performance of a task carried out in the
public interest or in the exercise of official Point 1. b. (new)
5/5
Wersja robocza, 26.03.2013r.
authority vested in the controller;
Following purposes shall be inter alia
considered as legitimate interests pursued
by controller:
(f) processing is necessary for the purposes of
the legitimate interests pursued by a
controller or by a third party, except where a. promoting of controller's goods and
services
such interests are overridden by the
interests or fundamental rights and b. enforcement of the controller's claims
freedoms of the data subject which require c. ensuring the security of the system,
network and information
protection of personal data, in particular
where the data subject is a child. This shall
not apply to processing carried out by
public authorities in the exercise of their
public duties.
(g) processing is necessary for the purposes
and under the conditions provided for in
Popieramy, z zastrzeżeniem, że pewne zmiany
Article 9(2) (b) - (j);
powinny zostać dokonane w art. 9 us1 e
(h) processing is necessary for the purposes (poniżej):
and under the conditions referred to in
Articles 80 to 85.
6 (2)
(…)
6 (3) The legal basis for the processing
referred to in points (c) and (e) of paragraph 1
must be provided for in:
Kwestią wymagającą wyjaśnienia jest możliwość
przetwarzania danych w oparciu o rekomendacje i
interpretacje organów państwowych, które nie są
powszechni obowiązujaćymi przepisami, a mają
6/5
Wersja robocza, 26.03.2013r.
kluczowe znaczenie dla funcjonowania tych
sektorów.
Np. Rekomentacje KNF w sektorze bankowym.
(a) Union law, or
(b) the law of the Member State to which the
controller is subject.
(…)
6 (4) Where the purpose of further
processing is incompatible with the one for
which the personal data have been collected,
the processing must have a legal basis at least
in one of the grounds referred to in points (a)
to (e) of paragraph 1. This shall in particular
apply to any change of terms and general
conditions of a contract.
6 (5)
(…).
4. Where the purpose of further processing is not
compatible with the one for which the personal
data have been collected, the processing must
have a legal basis at least in one of the grounds
referred to in points (a) to (e) of paragraph 1.
This shall in particular apply to any change of
terms and general conditions of a contract.
W naszej ocenie i zgodnie z ugruntowanym w
doktrynie1
poglądem
wszystkie
podstawy
przetwarzania powinny być trektowane jako
równoprawne.
Zasada
adekwatnosci
przetwarzanych danych, obowiazek informacyjny i
prawo
zgłoszenia
sprzeciwy
w
sposób
wystarczajacy zabeczpieczają interesy podmiotu
danych. Nie ma więc powodu, żeby pozbawiac
amidnistartora danych możeliwosci przetwarzania
danych w celu ralizacji jego uzasadnionych
interesów.
Popieramy wykreślenie delegacji dla KE.
Propozycje Konfederacji Lewiatan powiązane z w. punktami
Artykuł 9 ustęp 1 e
1 Komentarz do ustawy o ochronie danych osobowych Paweł Barta, dr Paweł Litwiński 2009, art. 23 Dopuszczalność przetwarzania danych., pkt 6.
7/5
Wersja robocza, 26.03.2013r.
e. przetwarzanie dotyczy danych osobowych,
które zostały wyraźnie podane do publicznej
wiadomości przez podmiot danych; lub
przetwarzanie dotyczy danych osobowych, które
zostały
wyraźnie
podane
do
publicznej
wiadomości
przez
podmiot
danych
lub
dobrowolnie i na wniosek podmiotu danych
przekazane
administratorowi
danych
w
konkretnym, wskazanym przez siebie celu, a
przetwarzanie to odbywa się w interesie
podmiotu danych.
Uzasadnienie:
Konieczne jest zapewnienie podstawy prawnej do przetwarzania danych, w sytuacji gdy podmiot danych wyraźnie zwraca się do administratora z prośbą o
podjęcie określonych działań, np. gdy zwraca się o umorzenie kredytu z powodów osobistych, opisując jednocześnie trudną sytuację rodzinną. W takich
sytuacjach wymóg uzyskiwania przez administratora dodatkowej zgody byłby nadmiernie obciążający. Interes podmiotu i fakt, iż wnioskuje on o takie
działania powinien być wystarczającą podstawą do przetwarzania danych do tego celu. Wskazany problem odczuwalny jest przez wszystkie branże, w sytuacji
prowadzenia działalności windykacyjnej. Przewidziany w art. 9 ust 1 e wyjątek od zakazu przetwarzania nie daje obecnie podstaw do realizacji ww. wniosków
podmiotów danych, co odbija się niekorzystnie zarówno na administratorze jak i na osobie zwracającej się o umorzenie długu.
Artykuł 7 ustęp 4
Zgoda
nie
stanowi
podstawy
prawnej
przetwarzania w sytuacji poważnej nierówności
między podmiotem danych a administratorem.
Zgoda
nie
stanowi
podstawy
prawnej
przetwarzania, jeśli ze względu na poważną
nierówność
pomiędzy
administratorem
a
podmiotem danych nie została wyrażona w
sposób dobrowolny, zgodnie z artykułem 4 punkt
8.
Uzasadnienie:
8/5
Wersja robocza, 26.03.2013r.
Postanowienie podważa swobodę podejmowania decyzji przez podmioty danych. Projekt powinien zagwarantować osobom fizycznym możliwość rzeczywistego
i dobrowolnego wyrażenia zgody i zapewnić możliwość wycofania jej bez ponoszenia negatywnych konsekwencji. Nie powinien jednak pozbawiać ich z góry
możliwości decydowania o przetwarzaniu dotyczących ich danych, szczególnie gdy cel tego przetwarzania jest dla podmiotu danych korzystny (przy
oferowaniu przez pracodawcę ubezpieczeń, dodatkowej opieki medycznej, dla celów rekrutacji lub udziału w programie rozwojowym itp.) Projekt nie powinien
wprowadzać domniemania, że w relacji pomiędzy pracodawcą a pracownikiem nie jest możliwe dobrowolne wyrażenie zgody. Zmieniona powinna zostać także
treść motywu 34.
Recital 34
Zgoda nie powinna stanowić ważnej podstawy
prawnej przetwarzania danych osobowych w
sytuacji wyraźnego braku równowagi między
podmiotem danych a administratorem. Dotyczy
to w szczególności przypadku, , między innymi
wtedy, gdy dane osobowe pracowników są
przetwarzane przez pracodawcę w kontekście
zatrudnienia Jeśli administrator jest organem
publicznym,
brak
równowagi
wystąpiłby
wyłącznie w przypadku operacji przetwarzania
szczególnych danych, gdy organ publiczny może
nałożyć obowiązek na mocy odpowiednich
uprawnień publicznych a zgody nie można uznać
za wyrażoną dobrowolnie, uwzględniając interes
podmiotu danych.
Zgoda
powinna
zostać
wyrażona
dobrowolnie i bez nacisku ze strony
administratora, szczególnie jeśli pomiędzy
podmiotem danych a administratorem
występuje wyraźny brak równowagi. Może
to dotyczyć, między innymi przypadku, gdy
dane
osobowe
pracowników
są
przetwarzane
przez
pracodawcę
w
kontekście zatrudnienia. Jeśli jednak cel
przetwarzania jest dla podmiotu danych
korzystny
a
podmiot
danych
może
następnie zgodę wycofać, zgoda powinna
stanowić
ważną
podstawę
prawną
przetwarzania.
9/5