Ochrona danych w prawie europejskim

advertisement
Ochrona danych osobowych w
systemie prawa europejskiego
Europejska Konwencja o ochronie praw człowieka
i podstawowych wolności
• W art. 8 Europejskiej Konwencji Praw
Człowieka z 1950 r. znalazło się prawo do
poszanowania życia prywatnego i rodzinnego,
mieszkania a także tajemnicy korespondencji.
Europejska Konwencja o ochronie praw człowieka
i podstawowych wolności
• Konwencja dopuszcza pod pewnymi warunkami ograniczenie tych
praw w przepisach wewnętrznych państw przystępujących do
Konwencji.
• ingerowanie przez władze publiczne w wykonywanie praw
dopuszczalne jest tylko wówczas, gdy następuje na podstawie
ustawowego upoważnienia i stanowi niezbędny środek do
zapewnienia w demokratycznym społeczeństwie bezpieczeństwa
narodowego, porządku i spokoju publicznego, dobra gospodarczego
kraju, obrony ładu i przeciwdziałania czynom karalnym oraz ochrony
zdrowia i moralności lub ochrony praw i wolności innych osób.
• Konwencja w art. 14 stanowi, iż korzystanie z wyrażonych w niej
praw do ochrony danych osobowych musi być gwarantowane bez
różnic ze względu na płeć, pochodzenie rasowe lub społeczne, kolor
skóry, język, religię, majątek lub inny status innego rodzaju.
Konwencja 108 Rady Europy z 28 stycznia 1981 r. dotycząca ochrony
osób w związku z automatycznym przetwarzaniem danych
osobowych
• Konwencja nr 108 spełnia funkcje podstawowej
międzynarodowej regulacji poświęconej ochronie danych
osobowych w związku z automatycznym (elektronicznym)
przetwarzaniem tych danych.
• Konwencja oddziaływuje jedynie w sferze publiczno –
prawnej, nie wywołując skutków prawnych po stronie
obywateli państw, które Konwencję ratyfikowały
• Głównym zadaniem Konwencji jest wprowadzenie
ujednoliconej ochrony danych osobowych w krajach
europejskich i zharmonizowanie jej z ideą swobodnego
przepływu danych w obrębie państw członkowskich
Konwencja 108 Rady Europy z 28 stycznia 1981 r. dotycząca
ochrony osób w związku z automatycznym przetwarzaniem
danych osobowych
• Celem Konwencji, jak stwierdzono w jej art. 1, jest
zapewnienie na obszarze państw członkowskich
każdemu, niezależnie od obywatelstwa i miejsca
zamieszkania ochrony jego praw i wolności, a w
szczególności prawa do poszanowania sfery osobistej,
w związku z automatycznym przetwarzaniem danych
osobowych.
• Kraje członkowskie zobowiązane są do stosowania
Konwencji do zautomatyzowanych zbiorów danych i do
automatycznego przetwarzania danych osobowych
zarówno w sektorze publicznym, jak i prywatnym.
Konwencja 108 Rady Europy z 28 stycznia 1981 r. dotycząca
ochrony osób w związku z automatycznym przetwarzaniem
danych osobowych
• „Zautomatyzowany zbiór danych" oznacza każdy ogół
informacji ujęty dla automatycznego przetwarzania,
• „Automatyczne
przetwarzanie”
to
działania
przeprowadzane w całości lub części z pomocą
zautomatyzowanych procesów: gromadzenie danych,
przeprowadzanie logicznych i rachunkowych operacji z tymi
danymi, przekształcanie, usuwanie, odzyskiwanie i
ujawnianie danych.
• „Dane osobowe” rozumiane są jako wszelkie informacje o
określonych lub dających się określić osobach fizycznych.
• Konwencja nie zajmuje się ochroną interesów osób
prawnych w kontekście gromadzenia, przetwarzania i
udostępniania danych na ich temat.
Konwencja 108 Rady Europy z 28 stycznia 1981 r. dotycząca
ochrony osób w związku z automatycznym przetwarzaniem
danych osobowych
• Konwencja daje krajom przystępującym możność
ograniczenia lub poszerzenia zakresu jej działania
przez złożenie odpowiednich oświadczeń.
• Wyłączenia stosowania Konwencji mogą
dotyczyć:
– określonych wymienionych rodzajów
zautomatyzowanych zbiorów danych osobowych, z
tym zastrzeżeniem że wyłączeniem tym nie można
obejmować takich zbiorów, które na podstawie prawa
wewnętrznego danego kraju podlegają przepisom o
ochronie danych,
Konwencja 108 Rady Europy z 28 stycznia 1981 r. dotycząca
ochrony osób w związku z automatycznym przetwarzaniem
danych osobowych
• Wyłączenia stosowania Konwencji mogą dotyczyć:
– określonych wymienionych rodzajów zautomatyzowanych
zbiorów danych osobowych, z tym zastrzeżeniem że
wyłączeniem tym nie można obejmować takich zbiorów,
które na podstawie prawa wewnętrznego danego kraju
podlegają przepisom o ochronie danych,
– objęcia działaniem Konwencji także informacji o grupach
osób, związkach, fundacjach, stowarzyszeniach,
korporacjach i innych organizacjach, niezależnie od tego,
czy posiadają one osobowość prawną, a które
bezpośrednio lub pośrednio składają się z osób fizycznych,
– objęcia działaniem Konwencji także takich zbiorów danych
osobowych, które nie są automatycznie przetwarzane.
Konwencja 108 Rady Europy z 28 stycznia 1981 r. dotycząca
ochrony osób w związku z automatycznym przetwarzaniem
danych osobowych
• Kraj, który rozszerza na swym terytorium działanie
Konwencji w powyższych sytuacjach może
równocześnie zastrzec, iż dotyczy to tylko wskazanych
kategorii danych czy zbiorów.
• Kraj rozszerzający działanie Konwencji nie jest
zobowiązany jednak do zapewnienia tego rodzaju
poszerzonej ochrony względem innych krajów
członkowskich, które takich poszerzeń nie wprowadziły.
• Kraj, który ograniczył zakres stosowania konwencji
przez zastrzeżenie wskazane wyżej nie może domagać
się od innych krajów ochrony tej kategorii zbiorów
danych, które sam objął wyłączeniem.
Konwencja 108 Rady Europy z 28 stycznia 1981 r. dotycząca
ochrony osób w związku z automatycznym przetwarzaniem
danych osobowych
• Każdy z krajów członkowskich zobowiązał się, by przed
wejściem w życie Konwencji na jego obszarze
wprowadzić do swojego prawa wewnętrznego przepisy
konieczne dla realizowania zasad ochrony danych.
• Przepisy dostosowujące powinny przewidywać:
– sankcje i środki prawne na wypadek naruszenia tego
rodzaju przepisów,
– środki właściwe dla zabezpieczenia przed przypadkowym
lub bezprawnym zniszczeniem, utratą, dostępem, zmianą
lub ujawnieniem danych osobowych zgromadzonych w
zautomatyzowanych zbiorach.
Konwencja 108 Rady Europy z 28 stycznia 1981 r. dotycząca
ochrony osób w związku z automatycznym przetwarzaniem
danych osobowych
• Oba te postulaty wypełnione zostały na
gruncie polskim miedzy innymi ustawą z dnia
29 sierpnia 1997 r. o ochronie danych
osobowych (tekst jednolity: Dz. U. z 2002 r. nr
101, poz. 926 z późn. zm.).
Konwencja 108 Rady Europy z 28 stycznia 1981 r. dotycząca
ochrony osób w związku z automatycznym przetwarzaniem
danych osobowych
• Konwencja stanowi nadto, że przepisy
dotyczące ochrony danych nie powinny być
interpretowane w sposób, który ograniczałby
lub naruszał możliwości kraju członkowskiego
zagwarantowania osobom, których dane
dotyczą, szerszego zakresu ochrony niż ten,
który przewiduje Konwencja.
Konwencja 108 Rady Europy z 28 stycznia 1981 r. dotycząca
ochrony osób w związku z automatycznym przetwarzaniem
danych osobowych
Przetwarzane automatycznie dane osobowe muszą być:
•
•
•
•
•
•
•
uzyskiwane i przetwarzane w dobrej wierze i w sposób zgodny z prawem,
gromadzone dla oznaczonych oraz zgodnych z prawem celów i nie mogą być
wykorzystywane niezgodnie z tymi celami,
odpowiednie oraz istotne dla celów, dla których są gromadzone i nie mogą poza te
granice wykraczać,
właściwe merytorycznie oraz, jeśli to konieczne, odnoszące się do najnowszego
stanu,
przechowywane tak, żeby osoba, której dotyczą, nie mogła być identyfikowana
dłużej, niż to jest konieczne dla celu, dla którego są one zgromadzone.
Dane osobowe, które ujawniać mogą pochodzenie rasowe, poglądy polityczne lub
religijne albo innego rodzaju przekonania, jak również dane osobowe dotyczące
zdrowia, życia seksualnego lub orzeczeń karnych, mogą być automatycznie
przetwarzane tylko wówczas, gdy przepisy wewnętrzne zapewniają właściwą
ochronę.
Konwencja 108 Rady Europy z 28 stycznia 1981 r. dotycząca
ochrony osób w związku z automatycznym przetwarzaniem
danych osobowych
Każdej osobie musi zostać zapewniona możliwość:
•
•
•
•
•
stwierdzenia istnienia zautomatyzowanego zbioru danych osobowych, jego
głównego celu i oznaczenia, miejsca pobytu lub siedziby podmiotu
odpowiedzialnego za zbiór (chodzi tu o osobę fizyczną lub prawną, władzę,
organizację lub inną jednostkę, która według prawa wewnętrznego jest
uprawniona do decydowania, jakiemu celowi ma służyć zbiór, jakie rodzaje danych
osobowych mają być gromadzone i jakie procesy przetwarzania i ochrony zostaną
zastosowane),
otrzymania we właściwym czasie, bez nadmiernej zwłoki i nadmiernych kosztów,
potwierdzenia, czy dane na jego temat są zgromadzone w zautomatyzowanym
zbiorze danych osobowych, jak również uzyskania informacji w zrozumiałej dla
niego formie,
poprawienia lub usunięcia w określonych przypadkach danych, jeśli są one
przetwarzane wbrew przepisom prawa wewnętrznego
dysponowania odpowiednimi środkami prawnymi na wypadek, gdy nie zostaną
spełnione żądania, uzyskania informacji o zbiorach danych w których przetwarzane
są dane osobowe i możliwości usunięcia lub zmiany danych.
Konwencja 108 Rady Europy z 28 stycznia 1981 r. dotycząca
ochrony osób w związku z automatycznym przetwarzaniem
danych osobowych
• Odstąpienie od zasad wyrażonych w art. 5, 6 i 8 Konwencji
jest dopuszczalne tylko gdy jest przewidziane w prawie
danego kraju członkowskiego i stanowi środek konieczny w
demokratycznym
społeczeństwie
do
ochrony
bezpieczeństwa
państwowego,
bezpieczeństwa
publicznego, interesów obronnych państwa albo zwalczania
czynów karalnych, ochrony osób, których dane dotyczą lub
praw i wolności osób trzecich.
• Dozwolone jest także ograniczenie ustawą dotyczącą
zautomatyzowanych zbiorów danych osobowych uprawnień
wskazanych w art. 8 pkt. Konwencji, jeśli chodzi o zbiory
służące celom statystycznym lub badaniom naukowym, o
ile nie istnieje oczywiste niebezpieczeństwo naruszenia
sfery osobistej osób, których gromadzone dane dotyczą.
Konwencja 108 Rady Europy z 28 stycznia 1981 r. dotycząca
ochrony osób w związku z automatycznym przetwarzaniem
danych osobowych
• Konwencja przyjmuje zasadę swobodnego obrotu danymi pomiędzy
krajami członkowskimi, pozostawiając jednak możliwość
wprowadzania pewnych restrykcji w zakresie ponadkrajowego
obrotu danymi.
• Kraj członkowski może wprowadzić w tej mierze dalej idące
ograniczenia, gdy:
– dla określonych rodzajów danych osobowych lub określonych zbiorów
takich danych, ze względu na ich charakter, prawo tego kraju zawiera
przepisy zapewniające szerszą ochronę danych, z tym zastrzeżeniem że
ograniczeń opartych na tej podstawie nie można jednak stosować
względem innych krajów członkowskich, które przewidują w tym
zakresie równoważną ochronę,
– chodzi o zapobieżenie obchodzenia prawa w sposób polegający na
transferowaniu danych na teren kraju nienależącego do Konwencji
poprzez obszar innego kraju członkowskiego.
Konwencja 108 Rady Europy z 28 stycznia 1981 r. dotycząca
ochrony osób w związku z automatycznym przetwarzaniem
danych osobowych
• Kraje członkowskie zobowiązują się do wzajemnej pomocy
związanej z wykonaniem Konwencji i w tym celu wskazują określony
urząd (urzędy) mające za zadanie realizować te zadania.
• O powołaniu takiego urzędu kraje członkowskie powiadamiają
Sekretarza Generalnego Rady Europy.
• Urząd taki na prośbę urzędu innego kraju członkowskiego udziela
informacji o stanie prawnym i praktyce w zakresie ochrony danych
oraz podejmuje właściwe środki zgodne z prawem wewnętrznym
służące tylko ochronie sfery osobistej po to, by udzielić rzeczowych
informacji o określonym automatycznym przetwarzaniu danych
prowadzonym na jego obszarze, jednakże z wyłączeniem informacji
o samych przetwarzanych przy tym danych osobowych.
• W Polsce rolę takiego Urzędu spełnia Generalny Inspektor Ochrony
Danych Osobowych.
Konwencja 108 Rady Europy z 28 stycznia 1981 r. dotycząca
ochrony osób w związku z automatycznym przetwarzaniem
danych osobowych
• Każdy z krajów członkowskich jest przy tym
zobowiązany do udzielania pomocy osobom
mieszkającym za granicą przy wykonywaniu praw,
jakie przysługują im według przepisów prawa
wewnętrznego,
a
realizujących
zasady
ustanowione w art. 8 Konwencji.
• Osoba
mieszkająca
na
obszarze
kraj
członkowskiego może swój wniosek o udzielenie
pomocy składać do oznaczonego urzędu w tym
kraju.
Konwencja 108 Rady Europy z 28 stycznia 1981 r. dotycząca
ochrony osób w związku z automatycznym przetwarzaniem
danych osobowych
• Kraje członkowskie Konwencji 108 wypracowały w
instytucjonalnych ramach Rady Europy Protokół
Dodatkowy do tej Konwencji, który ustanawia
dodatkowe materialne oraz formalne warunki dla
przetwarzania danych osobowych.
• Głównym celem tego Protokołu jest zmniejszenie
różnic dzielących regulację przyjętą w Konwencji oraz w
dyrektywie Parlamentu Europejskiego i Rady z dnia 24
października 1995 r. (95/46/WE) w sprawie ochrony
osób fizycznych w zakresie przetwarzania danych
osobowych oraz swobodnego przepływu tych danych.
Konwencja 108 Rady Europy z 28 stycznia 1981 r. dotycząca
ochrony osób w związku z automatycznym przetwarzaniem
danych osobowych
• Ważną część protokołu stanowią przepisy dotyczące tworzenia
organu nadzorującego, jak i przekazywania danych pomiędzy
krajami Konwencji. W dotychczasowym kształcie Konwencja nie
zawiera bowiem wyrażonego w sposób wyraźny zobowiązania co do
tworzenia organów kontrolnych, tak jak to przewiduje dyrektywa
95/46/WE , która w art. 28 zobowiązuje generalnie kraje
członkowskie do ustanowienia „stosownych środków prawnych".
• Protokół uzupełnia dotychczasową regulację, przyjmując że we
wszystkich państwach-stronach Konwencji działać powinny organy
nadzorcze, które swe uprawnienie będą wykonywać całkowicie
niezależnie.
• Do kompetencji organów kontrolnych należeć powinno m.in.
interweniowanie w interesie poszczególnych osób w przypadku
naruszenia prawa oraz wszczynanie postępowań kontrolnych, a
także postępowań sądowych.
Konwencja 108 Rady Europy z 28 stycznia 1981 r. dotycząca
ochrony osób w związku z automatycznym przetwarzaniem
danych osobowych
• Protokół dodatkowy do Konwencji 108 zaczął
obowiązywać 1 lipca 2004 r. w stosunku do
pierwszych pięciu państw, które go
ratyfikowały (Niemcy, Słowacja, Republika
Czeska, Litwa, Szwecja),
• W odniesieniu do pozostałych krajów po
upływie trzech miesięcy od ratyfikacji.
• Polska zakończyła procedurę ratyfikacyjną
protokołu dnia 12 lipca 2005 r.7
Rezolucje (zalecenia) Rady Europy
• W latach 1973 i 1974 wydane zostały przez Komitet
Ministrów Rady Europy dwie istotne dla ochrony danych
osobowych rezolucje
• Dotyczą one ochrony sfery prywatności osób fizycznych w
aspekcie wykorzystywania elektronicznych banków danych:
– w sektorze prywatnym (rezolucja 22),
– w sektorze publicznym (rezolucja 29).
• Rezolucje mają charakter niewiążących zaleceń, zaś ich
głównym zadaniem jest mobilizowanie rządów krajów
członkowskich do podjęcia środków w celu realizacji
podanych w tych rezolucjach zasad;
• kraje członkowskie powinny też powiadamiać Sekretarza
Generalnego Rady o poczynionych krokach.
Rezolucja 22 (73)
• gromadzone informacje powinny być dokładne i
aktualne, przy czym w zasadzie nie powinny to być
informacje dotyczące „ścisłego życia prywatnego lub
takie, które mogłyby łatwo prowadzić do dyskryminacji,
a gdy tego rodzaju informacje już są zbierane — nie
powinny być rozpowszechniane,
• gromadzone informacje powinny ograniczać się do
takich, jakie odpowiadają celowi, dla którego są
zbierane, oraz są w tej mierze niezbędne,
• informacje nie powinny być uzyskiwane sposobami
podstępnymi lub nieuczciwymi,
Rezolucja 22 (73)
• postanowienia powinny oznaczać, do jakiego momentu
określone rodzaje informacji mogą być gromadzone lub
wykorzystywane,
• bez odpowiedniego upoważnienia informacje nie
powinny być ani używane do innych celów niż te, dla
których były zbierane, ani też innym osobom
udostępniane,
• zainteresowanym osobom powinno zasadniczo
przysługiwać uprawnienie do uzyskania informacji o
zbieranych na ich temat informacjach, o celu ich
zbierania i szczegółach dotyczących ich wydawania,
Rezolucja 22 (73)
• powinno się bezwarunkowo zadbać o poprawianie
informacji nieścisłych i usuwanie informacji
przestarzałych lub uzyskanych w sposób bezprawny,
• należy zastosować środki ostrożności zapobiegające
niewłaściwemu lub podstępnemu wykorzystywaniu
informacji;
• elektroniczne banki danych powinny być wyposażone
w systemy zabezpieczające, które uniemożliwią dostęp
do nich osobom nieuprawnionym i wykryją informacje
zniekształcone lub utracone,
Rezolucja 22 (73)
• zebrane dane powinny być dostępne tylko dla osób
mających uzasadniony powód, by się z nimi zapoznać
• personel obsługujący elektroniczny bank danych
powinien podlegać regulaminowi zakładowemu, który
zapobiegałby wszelkim przypadkom nadużycia danych,
a w szczególności postanowieniom o zachowaniu
tajemnicy zawodowej,
• dane statystyczne powinny być udostępniane tylko w
formie zbiorczej i w sposób, który uniemożliwiałby
łączenie tych informacji z określonymi osobami.
Rezolucja 29 (74)
• społeczeństwo powinno być w zasadzie regularnie
informowane o zakładaniu w sektorze publicznym,
eksploatowaniu i rozwijaniu banków danych,
• gdy przedmiot przetwarzania stanowią w szczególności
dane należące do sfery intymnej osób fizycznych lub
gdy przetwarzanie danych może prowadzić do
nieusprawiedliwionej dyskryminacji założenie takich
banków danych musi być przewidziane przez ustawę
lub szczególne rozporządzenie albo, zgodnie z
systemem prawnym kraju członkowskiego, musi być
obwieszczone we właściwym dokumencie,
Rezolucja 29 (74)
• ustawa, rozporządzenie lub inne przepisy muszą
jasno podawać cel zbierania i używania
informacji, jak również warunki konieczne dla
dalszego ich przekazywania bądź w obrębie
administracji publicznej, bądź osobom lub
instytucjom prywatnym,
• gromadzone dane nie mogą być używane do
innych niż podane celów niż zostało to określone
z wyjątkami określonymi w odrębnych
przepisach.
Inne rezolucje
• Rezolucja 29 (78) - harmonizacja ustawodawstwa krajów
członkowskich dotyczącego pobierania i przeszczepiania
ludzkich tkanek i organów;
– porusza ona m.in. problem poufności indywidualnych zabiegów,
jak i nieujawniania biorcy tożsamości dawcy i vice versa,
• Rezolucja 3(95) - karta oceny zawodowej osób
niepełnosprawnych;
– zwraca uwagę m.in. na to, aby wszystkie informacje zbierane dla
oceny przydatności zawodowej niepełnosprawnych podlegały
uregulowaniom dotyczącym ochrony danych osobowych oraz
tajemnicy zawodowej i medycznej. Dane takie mogłyby być
wykorzystywane tylko w interesie wymienionych osób, za ich
zgodą oraz do celów rehabilitacji zawodowej
Rekomendacje
• Charakter zaleceń posiadają także dalsze,
szczegółowe rekomendacje wydane i przyjęte
przez Komitet Ministrów Rady Europy.
• Mają one na celu przede wszystkim
uszczegółowiać dla poszczególnych dziedzin
sektora publicznego rozwiązania przyjęte w
Konwencji 108 Rady Europy
• Rekomendacje nie dotyczą sektora
prywatnego.
Rekomendacja 1(81) w sprawie regulacji dotyczącej
zautomatyzowanych medycznych
banków danych
• o zakładaniu lub przekształcaniu takich
banków (służących np. opiece medycznej,
zarządzaniu placówkami medycznymi)
powinny być informowane osoby
zainteresowane.
• Dostęp do nich powinni mieć tylko pracownicy
medyczni
Rekomendacja 10 (83) w sprawie ochrony danych osobowych
wykorzystywanych do
celów badań naukowych i statystyki;
• Rekomendacja podkreśla zasadę związania celem,
dla którego dane zostały zebrane,
• Rekomendacja stwierdza, iż dane takie przed
opublikowaniem muszą ulec anonimizacji, chyba
że osoby, których one dotyczą, wyraziły zgodę na
publikację.
• Rekomendacja zaleca, aby instytucjom
zbierającym dane dla wymienionych celów
umożliwiony został do stęp do oficjalnych
rejestrów ludności,
Rekomendacja 1(86) w sprawie ochrony danych osobowych
wykorzystywanych do
celów opieki społecznej
• Rekomendacja stwierdza, iż dane osobowe służące celom
opieki społecznej powinny być pozyskiwane jedynie w
wyjątkowych przypadkach w sposób inny niż bezpośrednio
od osób, których one dotyczą,
• W przypadku pozyskania danych w sposób inny niż
bezpośrednio od osób, których dane dotycz, osoby te
powinny być o tym poinformowane oraz powinny wyrazić
swą zgodę.
• Wymiana danych między instytucjami opieki społecznej,
także wymiana transgraniczna, może być realizowana tylko
w stopniu koniecznym dla wypełniania zadań.
• Posługiwaniu się numerem dla oznaczenia osoby powinny
towarzyszyć przewidziane prawem krajowym gwarancje,
Rekomendacja 2(89) w sprawie ochrony danych osobowych
wykorzystywanych w
związku z zatrudnieniem
• Dane powinny być zasadzie pozyskiwane bezpośrednio od
pracownika lub kandydata do pracy, w innych przypadkach
powinien być on o tym
• powiadamiany.
• Bez wyraźnej zgody pracownika nie można zbierać z innych źródeł
danych o jego stanie zdrowia.
• Pracownik może być poddany badaniom lekarskim tylko w celu
ustalenia zdolności do wykonywania oznaczonej pracy, na potrzeby
medycyny pracy oraz dla przyznania świadczeń socjalnych.
• Stosowanie testów i innych podobnych metod oceny charakteru lub
osobowości wymaga zawsze zgody badanego, któremu przysługuje
przy tym prawo zapoznania się z wynikami.
• Rekomendacja zaleca aby dane osobowe były usuwane w sytuacji,
gdy oferta pracy stała się nieaktualna,
Rekomendacja 10 (91) w sprawie przekazywania osobom trzecim danych
osobowych będących w dyspozycji instytucji publicznych
• Rekomendacja dotyczy przede wszystkim zabezpieczeń chroniących
prywatność przy przekazywaniu danych przez instytucje publiczne
określając równocześnie cztery okoliczności, które takie przekazywanie
usprawiedliwiają:
– przepis specjalnej ustawy,
– upoważnienie wynikające z przepisów o dostępie do informacji urzędowej
– upoważnienie wynikające z przepisów krajowej ustawy o ochronie danych
osobowych,
– zgoda uprawnionego.
• Rekomendacja w zasadzie sprzeciwia się łączeniu zbiorów, chyba że istnieją
w prawie wewnętrznym właściwe gwarancje chroniące interesy osób,
których dane dotyczą.
• Rekomendacja dotyczy zagadnienia współpracy instytucji publicznych w
sferze wymiany danych oraz przekazywania danych za granicę.
Rekomendacja 5(97) w sprawie ochrony danych medycznych
• Rekomendacja ustala reguły przetwarzania
danych medycznych stanowiąc przy tym, iż
wykorzystanie ich do celów innych niż
profilaktyka, diagnoza i leczenie (np. śledztwa lub
postępowania sądowego) wymaga wyraźnego
ustawowego upoważnienia.
• Przekazywanie danych medycznych za granicę
może następować jedynie w celach badań
naukowych i wymaga ich uprzedniej anonimizacji.
Rekomendacja 18 (97) w sprawie ochrony danych osobowych gromadzonych
i przetwarzanych w celach statystycznych
• Rekomendacja zawiera wskazówki co do
zbierania, przetwarzania i udostępniania
danych w tym zakresie, jaki co do uprawnień
osób, których dane dotyczą.
• Dane służące celom statystycznym powinny
być anonimizowane.
Rekomendacja 5(99) w sprawie ochrony prywatności w Internecie (ochrony
jednostek w związku ze zbieraniem i przetwarzaniem danych osobowych na
autostradach informatycznych
• Rekomendacja zawiera ostrzeżenia o
niebezpieczeństwie naruszenia ochrony
danych osobowych w Internecie i postuluje
stworzenie w obrębie krajów członkowskich
odpowiedniego kodeksu etyki
Rekomendacja 9(2002) w sprawie ochrony danych osobowych
gromadzonych i przetwarzanych w celach ubezpieczeniowych
• Rekomendacja ustala reguły przetwarzania i
ochrony danych uwzględniające specyfikę
ubezpieczeń.
• Rekomendacja zasadniczo nie obejmuje jednak
problematyki ubezpieczeń społecznych.
• Rekomendacja wskazuje podstawy
dopuszczalności przetwarzania danych,
• Rekomendacja precyzuje cele, w jakich dane
mogą być zbierane i wykorzystywane,
• Rekomendacja określa uprawnienia osób, których
dane dotyczą.
Rekomendacja 23 (87) w sprawie systemów informatycznych w szpitalach
• Rekomendacja zaleca tworzenie minimalnych
zestawów danych na potrzeby badań
epidemiologicznych, klinicznych oraz wymiany
międzynarodowej,
Rekomendacja 4(89) w sprawie zbierania danych epidemiologicznych w
podstawowej opiece medycznej
• Rekomendacja wyróżnia podstawowe cele, dla
których dane mogą być zbierane
Rekomendację 14 (89) w sprawie etycznych problemów zakażenia wirusem
HIV w zakładach służby zdrowia i placówkach społecznych
• Rekomendacja dotyczy kwestii gromadzenia
danych i sprawozdawczości w zakresie:
– zachorowań na AIDS,
– Poddawania się testom na stwierdzenie zakażenia
wirusem HIV,
Rekomendację 3(90) w sprawie badań medycznych na istotach ludzkich
• Rekomendacja nakazuje traktować jako
poufne wszelkie informacje o charakterze
osobistym uzyskane w związku z badaniami
medycznymi,
Rekomendacja 8(90) w sprawie
napływu nowych technologii do służby zdrowia
• Rekomendacja zaleca dokonywanie oceny
takich technologii z perspektywy m.in.
– Zapewnienia poufności danych o pacjentach,
– dostępności danych dla osób zainteresowanych,
Rekomendacja 13 (90) w sprawie prenatalnych genetycznych badań
przesiewowych, prenatalnej diagnostyki genetycznej
oraz związanego z tym poradnictwa
• Rekomendacja zaleca aby dane zebrane w
czasie badań lub poradnictwa były
przetwarzane tylko do:
– celów opieki zdrowotnej,
– diagnostyki,
– Profilaktyki
– badań związanych ściśle z opieką zdrowotną,
Rekomendacja 15 (91) w sprawie współpracy europejskiej w ramach badań
epidemiologicznych w dziedzinie zdrowia psychicznego
• Rekomendacja uwzględnia m.in. problem
poufności danych osobowych pacjentów
placówek psychiatrycznych, przy
równoczesnym zapewnieniu do nich dostępu
w celach badawczych
Rekomendacja 1(92) w sprawie wykorzystania kwasu
dezoksyrybonukleinowego (DNA) w postępowaniu karnym
• Rekomendacja poświęca uwagę kwestii
zachowania anonimowości próbek pobranych
do analizy DNA oraz wyników analiz.
• Próbek nie powinno się przechowywać po
wydaniu prawomocnego orzeczenia, chyba że
jest to niezbędne do innych celów
Rekomendacja 3(92) w sprawie genetycznych badań diagnostycznych i
przesiewowych wykonywanych dla celów opieki zdrowotnej
• Rekomendacja zajmuje się m.in.:
– przechowywaniem danych genetycznych w
oddzielnych zbiorach — zbiorach danych
medycznych oraz rejestrach związanych z
oznaczoną chorobą,
– wykorzystywaniem próbek pobranych do celów
medycznych lub naukowych z poszanowaniem
ochrony danych osobowych i poufności,
Rekomendacje Zgromadzenia Parlamentarnego
Rady Europy
• Rekomendacja 818 (77) dotycząca sytuacji osób
psychicznie chorych;
– dotyczy postępowania z rejestrami byłych pacjentów
placówek psychiatrycznych,
• Rekomendacja 934 (82) dotycząca inżynierii
genetycznej;
– zawiera skierowane do Komitetu Ministrów zalecenie
wypracowania zasad co do przygotowania,
przechowywania i dysponowania informacjami
genetycznymi odnoszącymi się do poszczególnych
osób,
Rekomendacje Zgromadzenia Parlamentarnego
Rady Europy
• Rekomendacja 1037 (86) „Ochrona danych i wolność informacji";
– wskazuje na kolizje, jakie mogą występować między wolnością dostępu do
informacji a ochroną danych osobowych.
– Zgromadzenie zwraca się do Komitetu Ekspertów do spraw Ochrony Danych o
opracowanie kryteriów i zasad, które pomogłyby te konflikty przezwyciężać,
• Rekomendacja 1116 (89) „AIDS a prawa człowieka";
– apeluje ona do Komitetu Ekspertów do spraw Ochrony Danych o dokonanie
analizy problemów związanych z istnieniem skomputeryzowanych baz danych
o nosicielach wirusa HIV oraz wzywa do podejmowania kroków mających na
celu rachowanie anonimowości osób zakażonych tym wirusem,
• Rekomendacja 1210 (93) ”bezpieczeństwo systemów informatycznych
wysokiego ryzyka”;
– dotyczy systemów wykorzystywanych do kontroli lotów, w elektrowniach
atomowych, w nowoczesnych typach broni i ochronie zdrowia.
Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r.
(95/46/WE) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych
osobowych oraz swobodnego przepływu tych danych
Cele dyrektywy:
• zabezpieczenie jednolitego minimalnego
poziomu ochrony prywatności osób fizycznych
w związku z przetwarzaniem danych
osobowych zawartych w zbiorach danych;
• zapewnienie możliwości swobodnego
przepływu danych osobowych pomiędzy
krajami członkowskimi.
Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r.
(95/46/WE) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych
osobowych oraz swobodnego przepływu tych danych
• „Dane osobowe' (personal data) - wszystkie informacje odnoszące
się do oznaczonej lub możliwej do zidentyfikowania osoby fizycznej,
• Termin „przetwarzanie danych osobowych"; obejmuje następujące
operacje:
–
–
–
–
–
–
–
–
–
wprowadzanie,
magazynowanie lub łączenie danych,
Zmienianie danych,
używanie danych
komunikowanie, łącznie z transmisją,
Rozpowszechnianie danych,
Zabezpieczanie danych ,
Poprawianie danych
Usuwanie danych
Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r.
(95/46/WE) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych
osobowych oraz swobodnego przepływu tych danych
• Dyrektywa wprowadza katalog minimalnych praw
służących osobom, których dane są zbierane.
• Naruszenie tych uprawnień stosownie do postanowień
dyrektywy — może być dochodzone na drodze
sądowej.
• W sytuacjach gdy przewidziana jest zgoda osoby na
działania dotyczące jej danych uzależniona jest ona od
uprzedniego dostarczenia tej osobie informacji o:
–
–
–
–
administratorze,
zbiorze danych,
charakterze i celu gromadzenia danych
dobrowolności udostępniania danych.
Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r.
(95/46/WE) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych
osobowych oraz swobodnego przepływu tych danych
• Osoby, od których dane osobowe są zbierane, powinny być
informowane co najmniej o:
– przeznaczeniu danego zbioru danych,
– obligatoryjnym lub dobrowolnym charakterze odpowiedzi na
pytania kwestionariusza,
– konsekwencjach braku odpowiedzi,
– możliwości wglądu i korekty danych dotyczących danej osoby
– odbiorcach danych
– Nadzorujących zbiór danych.
• Dyrektywa zakazuje zasadniczo przetwarzania danych w celu
innym niż zostały zebrane i w celu innym niż ten, który
towarzyszył zgodzie ze strony osoby, której dane dotyczą.
Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r.
(95/46/WE) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych
osobowych oraz swobodnego przepływu tych danych
• Przetwarzanie danych osobowych pomimo
braku zgody osoby, której dane dotyczą, jest
dopuszczalne tylko w ściśle określonych
sytuacjach
Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r.
(95/46/WE) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych
osobowych oraz swobodnego przepływu tych danych
•
•
Przepisy dyrektywy zawierają wyraźne postanowienia dotyczące zakazu zbierania
w celu automatycznego przetwarzania określonych kategorii informacji, chyba że
zainteresowany podmiot wyraził w formie pisemnej zgodę na takie postępowanie
(art. 8 dyrektywy).
Do informacji objętych tym zakazem (tzw. danych sensytywnych, wrażliwych)
zaliczono dane dotyczące:
–
–
–
–
–
•
•
•
pochodzenia etnicznego lub rasowego,
poglądów politycznych,
przekonań religijnych i politycznych,
członkostwa w związkach zawodowych
informacje dotyczące zdrowia i życia seksualnego.
Dane dotyczące wyroków kryminalnych mogą być one gromadzone jedynie w
zbiorach danych o charakterze publicznym (art. 8 ust. 5 dyrektywy).
Dyrektywa upoważnia do uchylenia w drodze ustawowej, z ważnych względów
publicznych, zakazu przetwarzania niektórych z wyżej wymienionych, oznaczonych
w takiej ustawie, kategorii danych.
W ustawie tego rodzaju powinny być także określone: osoby, które miałyby dostęp
do takich danych oraz środki zabezpieczające przeciwko nadużyciom i dostępowi
do takich zbiorów osób nieuprawnionych.
Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r.
(95/46/WE) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych
osobowych oraz swobodnego przepływu tych danych
Dyrektywa precyzuje, w jakich przypadkach dopuszczalne
jest odstępstwo od zakazu przetwarzania i zbierania
danych osobowych bez zgody osoby zainteresowanej.
Są to:
• przetwarzanie danych w związku z realizacją przez
pracodawcę zobowiązań i uprawnień z prawa pracy,
• przetwarzanie danych w istotnym interesie danego
podmiotu lub innej osoby, gdy zainteresowany ze
względów fizycznych lub psychicznych nie jest w stanie
udzielić zgody,
• opracowywanie danych wyraźnie przekazanych przez
zainteresowanego do wiadomości publicznej.
Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r.
(95/46/WE) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych
osobowych oraz swobodnego przepływu tych danych
• Specjalne postanowienia dotyczą także
dopuszczalności zbierania danych wrażliwych
ze względów medycznych interesu
publicznego oraz w sferze prawa karnego.
• Kraje członkowskie Wspólnoty mogą zastrzec,
że w przypadku danych medycznych prawo do
zbierania danych być wykonywane wyłącznie
za pośrednictwem lekarza,
Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r.
(95/46/WE) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych
osobowych oraz swobodnego przepływu tych danych
• Każda osoba, której dane znajdują się w zbiorze
danych, ma prawo do informacji o
– istnieniu takiego zbioru,
– jego głównych celach
– adresie prowadzącego dany zbiór (art.12 dyrektywy).
• Każdy zainteresowany powinien mieć prawo uzyskania w
rozsądnym czasie i za umiarkowaną kwotę informacji o
tym, czy dane dotyczące jego osoby znajdują się w
zbiorze;
• W razie odpowiedzi pozytywnej przysługiwać mu
powinno prawo uzyskania tych danych w formie możliwej
do zapoznania się z nimi.
Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r.
(95/46/WE) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych
osobowych oraz swobodnego przepływu tych danych
• Uprawniony może domagać się korekt, usunięcia lub zablokowania
danych jego dotyczących, które uzyskane zostały z naruszeniem
omawianej dyrektywy.
• Uprawniony może się również domagać identycznych czynności od
osób trzecich, którym takie dane zostały przekazane.
• Uprawnienia osoby, której dane te dotyczą, w sprawie dostępu i
korekty lub wycofania danych, mogą zostać ustawowo w
poszczególnych krajach członkowskich wyłączone lub ograniczone w
przypadkach podyktowanych m.in. następującymi względami:
–
–
–
–
–
bezpieczeństwa narodowego,
obrony,
Postępowania karnego,
bezpieczeństwa publicznego,
słusznie określonymi najważniejszymi ekonomicznymi lub finansowymi
interesami krajów członkowskich lub Wspólnot Europejskich.
Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r.
(95/46/WE) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych
osobowych oraz swobodnego przepływu tych danych
Zainteresowany może wnieść sprzeciw wobec
przetwarzania danych osobowych jego dotyczących,
zebranych w warunkach gdy było to niezbędne do
wykonywania określonych prawem zadań
realizowanych dla dobra publicznego lub gdy było to
niezbędne do wypełniania usprawiedliwionych celów
administratorów danych, jeśli administrator danych
zamierza je przetwarzać w celach marketingowych lub
wobec przekazania jego danych osobowych innemu
administratorowi danych (art.14 dyrektywy).
Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r.
(95/46/WE) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych
osobowych oraz swobodnego przepływu tych danych
•
•
•
•
•
Postanowienia dyrektywy (art. 23) zobowiązują, by w przepisach krajów
członkowskich wprowadzić na rzecz osoby, która poniosła szkodę w wyniku
jakiegokolwiek przetwarzania danych dokonanego w warunkach naruszających
postanowienia referowanej dyrektywy, uprawnienie do domagania się
odszkodowania od osoby prowadzącej (odpowiedzialnej za) zbiór danych.
Dopuszczalne jest jednak wprowadzenie zwolnienia od takiej odpowiedzialności,
gdy wywołana jest ona utratą, zniszczeniem lub dostępem do danych osoby
trzeciej bez uprawnienia, jeżeli osoba prowadząca zbiór danych podjęła wszystkie
środki ochrony zbioru danych przewidziane w dyrektywie.
Dyrektywa nie podaje katalogu postulowanych sankcji, którymi winny być
zagrożone w ustawodawstwie krajowym poszczególne czyny naruszające zasady
prowadzenia zbiorów danych.
Dyrektywa przewiduje, że sankcje ustanowione przez kraje członkowskie powinny
skutecznie zniechęcać do naruszania postanowień dyrektywy.
Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r.
(95/46/WE) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych
osobowych oraz swobodnego przepływu tych danych
•
•
•
•
Dyrektywa dopuszcza transfer danych osobowych do krajów trzecich (art. 25 i 26
dyrektywy), gdzie przewidziano możliwość takiego przekazywania tylko w sytuacji,
gdy w danym kraju trzecim (kraju docelowym) jest zapewniony odpowiedni
poziom ochrony (adequate level of protection).
Dyrektywa dopuszcza przekazywanie danych do krajów nieposiadających
„adekwatnej ochrony", o ile administrator wskaże odpowiednie środki służące
ochronie prywatności oraz przestrzeganiu fundamentalnych praw i wolności
osobistych,
Dyrektywa nie przesądza procedury weryfikowania istnienia należytej (adekwatnej)
ochrony danych osobowych. Kraj członkowski może w tym zakresie wprowadzić
bezpośrednie obowiązki administratora danych i/lub wprowadzić system.
Oceniając poziom (adekwatność) ochrony danych osobowych w oznaczonym kraju
należy wziąć pod uwagę zarówno przyjęte podstawowe materialno - prawne
zasady ochrony, jak i procedurę oraz potencjalną oraz realną możliwość
zapewnienia ochrony.
Download