Cognity Ochrona Danych Osobowych w Firmie

Ochrona Danych Osobowych w Firmie

Maciej KaweckiW PiA Uniwersytet Jagielloński w Krakowie

http://www.cognity.pl/

Szanowni Państwo,

W ramach 6. Ogólnopolskiego Tygodnia Kariery Cognity Szkolenia zrealizowało bezpłatne szkolenie Ochrona Danych Osobowych w Firmie.

Zapraszamy do prezentacji przygotowanej przez pana Macieja Kaweckiego, prowadzącego szkolenie, która przybliży zainteresowanym tematykę omawianą na szkoleniu.

Więcej informacji o kursach z zakresu Ochrony Danych Osobowych dostępne jest na stronie www.cognity.pl

Po informację o bezpłatnych warsztatach, szkoleniach i kurach realizowanych w Cognity zapraszamy na nasz profil na Facebooku.


https://www.facebook.com/cognityszkolenia?ref=hl


Część I Geneza i podstawy prawne ochrony

danych osobowych



Geneza

Cel ochrony danych osobowych:• Instrument niezbędny dla poszanowania podstawowych,

uznanych powszechnie praw i wolności, zwłaszcza prawa do prywatności (art. 47 i 51 Konstytucji RP); • Instrument ochrony interesów użytkowników najnowszej

technologii informatycznej i Internetu, w tym różnych instytucji publicznych. Zapewnienie niezbędnego do ich działań zaufania i bezpieczeństwa.

(Zob. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Warszawa Kraków 2004, s. 52. )

Kurs Ochrona Danych Osobowych

http://www.cognity.pl/szkolenia-z-danych-osobowych,s,85.html



Źródła prawa – ochrona danych osobowych

Prawo unijne • Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia

24 października 1995r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. • Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia

12 lipca 2002 r. w sprawie przetwarzania danych osobowych oraz ochrony prywatności w sektorze komunikacji elektronicznej. • Rozporządzenie Nr 45/2001 Parlamentu Europejskiego i Rady

z dnia 18 grudnia 2000r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych.



Źródła prawa – ochrona danych osobowych

Prawo krajowe

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

Akty wykonawcze Rozporządzenie Ministra Spraw Wewnętrznych i Administracji

z dnia 11 grudnia 2008r. w sprawie wzoru zgłoszenia zbioru do rejestracji GIODO.

Rozporządzenie Prezydenta Rzeczypospolitej Polskiej z dnia 10 października 2011 r. w sprawie nadania statutu Biura GIODO.

Rozporządzenie ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz

warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.



Część II Podstawowe pojęcia



Administrator danych osobowych



Podstawowe pojęcia- administrator danych osobowych

Art. 3 oraz art. 7 ust. 4 ustawy z 29 sierpnia 1997r. o ochronie danych osobowych.

Administratorem danych osobowych jest każdy:

- organ, jednostka organizacyjna lub podmiot,- organ państwowy, organ samorządu terytorialnego, podmiot

niepubliczny realizujący zadania publiczne, - państwowe i komunalne jednostki organizacyjne,

decydujący o celach i środkach przetwarzania danych osobowych (w dyrektywie „with determines the purposes and means of the processing

of personal data”),

które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej.






Art. 7 Konstytucji RP „Organy władzy publicznej działają na podstawie i w granicach prawa”.

„W państwie demokratycznym, w którym rządzi prawo, organy władzy publicznej mogą powstać tylko na podstawie prawa, a normy prawne muszą określać ich kompetencje, zadania i tryb postępowania, wyznaczając tym samym granice ich aktywności. Organy te mogą działać tylko w tych granicach” W. Skrzydło, Komentarz do Konstytucji RP, Lex 2013, nr 144753.

„Ustawowego upoważnienia dla rady nie można domniemywać, szczególnie stosować dla ustalenia zakresu upoważnienia wykładni celowościowej. Organy władzy publicznej, do których zalicza się organy samorządu terytorialnego, zgodnie z art. 7 Konstytucji RP działają na podstawie i w granicach prawa. Mogą działać w granicach wyznaczonych przez normy prawne określające ich kompetencje, zadania i tryb postępowania, zatem tylko tam i o tyle o ile upoważnia prawo” Uchwała Regionalnej Izby Obrachunkowej w Kielcach z dnia 15 maja 2013 r. 71/13.

„Każda norma kompetencyjna musi być tak realizowana, aby nie naruszała innych przepisów ustawy. Zakres upoważnienia musi być zawsze ustalany przez pryzmat zasad demokratycznego państwa prawnego, działania w graniach i na podstawie prawa oraz innych przepisów regulujących dana dziedzinę” Rozstrzygnięcie nadzorcze Wojewody Lubelskiego z dnia 8 grudnia 2010 r. NK.II.0911/361/10



Podstawowe pojęcia- administrator danych osobowychAdministratorem danych osobowych wykorzystywanych w zakresie działalności prowadzonej przez przedsiębiorcę jest, co do zasady, przedsiębiorca. Administratorem takich danych jest w szczególności spółka z ograniczoną odpowiedzialnością, spółka akcyjna, spółka jawna czy też spółka komandytowa. Tak więc administratorem danych jest sama spółka prawa handlowego, nie zaś jej organy, osoby zasiadające w organach tej spółki lub pełniące w niej funkcje kierownicze.

W przypadku osoby prowadzącej działalność gospodarczą pozostaje ona administratorem danych niezależnie od tego, czy wyznaczy pracownika odpowiedzialnego za przetwarzanie danych osobowych (tzw. administratora bezpieczeństwa informacji).

(źródło: http://www.giodo.gov.pl/317/id_art/1580/j/pl/)




Złożoność prawnych form działania podmiotów, niejednokrotnie utrudnia wskazanie kto jest administratorem danych.

Wskazówki:

I.

Administratorem danych przetwarzanych przez organ administracji publicznej nigdy nie jest osoba fizyczna np. Pan Kowalski pełniący funkcję kierownika

danego działu!!!

II.

Decydujące znaczenie będzie miała treść normy kompetencyjnej, uprawniającej organ do przetwarzania danych, bądź wskazująca zadanie organu, którego

wykonanie nie byłoby możliwe, bez przetwarzania danych.



Podstawowe pojęcia- administrator danych osobowychIII.

Należy zapoznać się z brzmieniem przepisów prawnych, mogących wyraźnie wskazywać, kto pełni funkcję administratora

danych w danym przypadku.

Przykład: art. 80 a ustawy z 20 czerwca 1997r. Ustawy o ruchu drogowym „Ewidencję prowadzi minister właściwy do spraw wewnętrznych w systemie teleinformatycznym.

W rozumieniu niniejszej ustawy minister ten jest administratorem danych (…)”.

2002

IV.

Status administratora danych nie jest uzależniony od faktycznego przetwarzania danych. Innymi słowy, administratorem danych może być podmiot, który w ogóle nie posiada danych osobowych. Dla stwierdzenia posiadania takiego przymiotu istotne jest bowiem faktyczne decydowanie o celach i środkach przetwarzania danych osobowych (np. pomimo nieposiadania określonych danych – możliwość np. ich żądania, gdy zajdzie taka potrzeba).




V.

Status administratora danych nie jest uzależniony od faktycznego przetwarzania danych. Innymi słowy, administratorem danych może być podmiot, który w ogóle nie posiada danych osobowych. Dla stwierdzenia posiadania takiego przymiotu istotne jest bowiem faktyczne decydowanie o celach i środkach przetwarzania danych osobowych (np. pomimo nieposiadania określonych danych – możliwość np. ich żądania, gdy zajdzie taka potrzeba).

VI.

W przypadku wszelkich podmiotów gospodarczych funkcjonujących w formie spółek (w tym w formie spółki cywilnej) administratorem danych osobowych jest spółka a nie jej organy ( m.in. Prezes, Zarząd Spółki).




VII.

W przypadku osób fizycznych prowadzących działalność gospodarczą, administratorem danych osobowych jest osoba fizyczna, prowadząca przedmiotowa działalność.






V.

W doktrynie prawa oraz praktyce orzeczniczej sądów oraz GIODO w wielu przypadkach przesądzono, kto pełnić będzie funkcję administratora danych osobowych w sektorze

administracji publicznej.




Przykładowe podstawy uprawniające organy do przetwarzania danych



Zakres zastosowania ustawy o ochronie danych osobowych



Podstawowe pojęcia w ochronie danych osobowych

Ustawę stosuje się do przetwarzania danych osobowych oraz praw osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych, a w przypadku przetwarzania danych w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem.

Zbiorem danych jest każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

Przetwarzanie danych osobowych w systemach informatycznych nie oznacza wyłącznie przetwarzania danych z wykorzystaniem systemów połączonych do sieci Internet!






Zbiór danych osobowych

W doktrynie przyjmuje się, że zbiór danych osobowych musi składać się co najmniej z dwóch informacji.

Zbiór musi posiadać strukturę, pozwalającą na odnalezienie w nim określonej informacji, bez konieczności przeszukiwania całego zbioru, na podstawie co najmniej jednego kryterium. Zbiór nie musi mieć jednak charakteru uporządkowanego. (przeciwnie w kontekście co najmniej „dwóch kryteriów” wypowiada się m.in. WSA w Warszawie z dnia 13 marca 2008 r. II SA/Wa 143/08).

Opowiedzieć należy się za stanowiskiem, odmawiającym doniosłości prawnej charakterowi kryterium uporządkowania akt, tj. czy ma ono charakter osobowy czy nieosobowy (M. Sakowska, Pojęcie „zbiór danych” na gruncie ustawy o ochronie danych osobowych, Radca prawny 2005, nr 2, s. 62. )




Przykłady zbiorów danych

„Wszelkie materiały zgromadzone w formie akt, w tym sądowe, prokuratorskie, policyjne i inne zawierające dane osobowe są zbiorem danych osobowych w rozumieniu art. 7 u.o.d.o.” (Stanowisko GIODO dostępne na stronie www.giodo.gov.pl w zakładce „pytania i odpowiedzi”).

„Zbiór akt postępowania administracyjnego zawierający dane stron, ich adresy i inne informacje spełnia wszystkie kryteria i jest zbiorem danych osobowych” (P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2013, s. 87).

„Zestaw chronologicznie uporządkowanych taśm zawierających nagranie pochodzące z monitoringu pomieszczeń kasyna stanowi zbiór danych osobowych” (Sprawozdanie GIODO za rok 2003, s. 175.).




Ustawę o ochronie danych osobowych, będzie stosowało się do przetwarzania danych osobowych przez organy administracji publicznej w ograniczonym zakresie, gdy:

a) zbiory danych osobowych sporządzane są doraźnie;

b) wyłącznie ze względów technicznych lub szkoleniowych;

c) dane po ich wykorzystaniu są niezwłocznie usuwane albo poddane anonimizacji.

W takim przypadku organ zobowiązany jest przestrzegać wyłącznie przepisów wskazanych w rozdziale V ustawy, regulującym zasady zabezpieczenia danych.

Wskazane powyżej przesłanki muszą zostać spełnione łącznie!!




Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.




Danymi osobowymi są wszelkie informacje, które co najmniej dają możliwość zidentyfikowania osoby, której dane osobowe dotyczą.

W zależności od okoliczności faktycznych, za dane osobowe będzie mógł być uznany nawet rozmiar stopy określonej osoby

fizycznej.



Przetwarzanie danych osobowych



Podstawowe pojęcia – przetwarzanie danych

Przez przetwarzanie danych osobowych należy rozumieć jakiekolwiek operacje wykonywane na danych osobowych, takie

jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które

wykonuje się w systemach informatycznych.

Sam fakt posiadania dostępu do danych osobowych jest już ich przetwarzaniem, niezależnie od tego, czy dany podmiot faktycznie z możliwości takiego dostępu skorzysta (np. dostawca usług hostingowych).





Powierzenie i udostępnienie danych osobowych



Podstawowe pojęcia – przetwarzanie danychI. Udostępnienie danych.

Jest formą przetwarzania danych osobowych polegającą na przekazaniu danych osobowych innemu podmiotowi, który decydując o celu i środkach przetwarzania uzyskanych danych staje się ich administratorem. Podmiot przekazujący takie dane, nie musi tracić statusu administratora danych osobowych.

W przypadku braku innej przesłanki legalizującej przetwarzanie danych (art. 23 u.o.d.o.), administrator musi uzyskać zgodę podmiotu danych na ich udostępnienie.

II. Powierzenie danych.

Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych, w celu i zakresie wyraźnie wskazanym w umowie. Administrator powierzający dane osobowe, nie musi uzyskiwać zgody podmiotu danych na powierzenie danych innemu podmiotowi (tzw. procesor).




W przepisach u.o.d.o. jak i w jakichkolwiek innych aktach prawnych brak jest legalnej definicji udostępnienia danych osobowych (w. art. 7 u.o.d.o. wskazane jest jedynie że udostępnienie danych jest jedna z form ich przetwarzania).

Samo udostępnienie danych ma charakter czynności faktycznej, i polega co najmniej na umożliwieniu zapoznania się z danymi innemu podmiotowi, który w stosunku do takich danych będzie pełnił funkcję administratora danych (P. Litwiński, Udostępnianie danych osobowych na potrzeby postępowań cywilnych [w:] ICT Law Review 1/2013, s. 24).

Podmiot któremu dane zostały przekazane będzie więc sam decydował w jaki sposób wykorzysta przekazane mu dane osobowe, oraz jak owe przetwarzanie danych będzie wyglądało od strony technicznej.




Przykłady udostępnienia danych

Naczelnik Urzędu Skarbowego udostępnia organizacji pożytku publicznego dane osoby, która wpłaciła na jej rzecz 1% podatku, pod warunkiem że osoba której dane dotyczą wyraziła na to uprzednio zgodę w zeznaniu podatkowym lub jego korekcie.

Organ gminy po spełnieniu jednej z przesłanek wynikających z ustawy z dnia 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych (np. osoba fizyczna ma prawo wglądu w dane dotyczącej jej samej) może udostępnić dane osobowe zgromadzone w gminnym zasobie meldunkowym.

Organy administracji publicznej prowadzące postępowania administracyjne w sprawie świadczeń z pomocy społecznej mogą podawać dane osobowe osób, których dotyczą te postępowania zwracając się do innych podmiotów z wnioskami o udzielenie informacji i danych dotyczących tych osób, niezbędnych do udzielenia pomocy (art. 100 ustawy z dnia 12 marca 2004 r. o pomocy społecznej, art. 7 k.p.a. i inne).




Powierzenie danych

Brak jest jakiegokolwiek wymogu odbierania zgód od osób których dane będą powierzone, na powierzenie ich danych osobowych innemu podmiotowi.

Przetwarzanie danych przez podwykonawcę pozostaje w granicach celu i zakresu przetwarzania danych określonych w umowie powierzenia, a więc również celu i zakresu w jakim dane przetwarza administrator danych.

Podmiot któremu dane zostały powierzone może być adresatem decyzji administracyjnych wydawanych w drodze kontroli sprawowanej przez GIODO (podobnie jak administrator), zobowiązany jest więc do odpowiedniego zabezpieczenia danych. Ponosi też odpowiedzialność umowną względem administratora danych.



Podstawowe pojęcia – przetwarzanie danychPrzykłady

Korzystanie przez organ administracji publicznej z świadczonej przez dostawcę zewnętrznego usługi poczty elektronicznej (tzw. hosting usług).

Fizyczne lokowanie danych na serwerze znajdującym się w pomieszczeniach dzierżawionych od podmiotu zewnętrznego, który to podmiot świadczy usługi zabezpieczenia pomieszczeń przed dostępem osób trzecich (tzw. usługa kolokacji).

Zlecanie przez administratora danych osobowych dokonywania czynności podatkowych względem zatrudnionych przez administratora pracowników, zewnętrznemu biurowi rachunkowemu.





Dane osobowe wrażliwe (tzw. dane sensytywne)



Podstawowe pojęcia – dane osobowe wrażliwe



Część IIIZasady przetwarzania danych

osobowych



Zasady przetwarzania danych osobowych

Zasada legalności przetwarzania danych osobowych




Obowiązkiem wymienionym w art. 26 ust. 1 u.o.d.o. jest przetwarzanie danych zgodnie z prawem (zasada legalności).

Przetwarzanie danych osobowych przez ich administratora powinno odbywać się z zachowaniem przynajmniej jednej z przesłanek

legalności przetwarzania określonych w u.o.d.o. tj.

-art. 23 - dla danych osobowych zwykłych; -art. 27 - dla danych osobowych wrażliwych.





Zasady przetwarzania danych osobowychPrzesłanki legalności przetwarzania danych osobowych zwykłych

(art. 23 u.o.d.o.)

I. Zgoda podmiotu danych osobowych;

Zgoda musi mieć charakter wyraźny i nie może zostać dorozumiana oraz wyinterpretowana z oświadczenia woli o innej treści. W szczególności, w przypadku stosowania formularzy elektronicznych, nie jest dopuszczalne zamieszczenie zgody w treści samego regulaminu. Klauzula zgody zaopatrzona właściwym check-boxem powinna znajdować się bezpośrednio pod formularzem, w którym dany podmiot udostępnia swoje dane. Nie musi być wyrażona na piśmie!



Zasady przetwarzania danych osobowychNależy zgodzić się z poglądem, wyrażonym w nauce prawa, zgodnie z

którym podstawą prawną udostępnienia danych osobowych na rzecz podmiotów z sektora publicznego może być wyłącznie przepis prawa, co wyłącza możliwość pobierania zgody przez takie podmioty (tak też: P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2013, s. 189, J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Warszawa 2004, s. 598, podobnie E. Kulesza w odniesieniu do żądania przez Kasy Chorych udostępniania danych osobowych bez stosownej podstawy prawnej - E. Kulesza, Zbyt częste nieprawidłowości, Rzeczp. 1.2.2000 r.).

Odebranie zgody będzie dopuszczalne, gdy przepis prawny uzależnia legalność przetwarzania danych od odebrania zgody na udostępnienie określonych danych np. udostępnienie organizacji pożytku publicznego danych osoby, która wpłaciła na jej rzecz 1% podatku.



Zasady przetwarzania danych osobowychKażdemu podmiotowi danych osobowych przysługuje uprawnienie do

cofnięcia oraz odwołania uprzednio udzielonej zgody na przetwarzanie danych osobowych. W takiej sytuacji, dalsze przetwarzanie danych osobowych, z powołanie się na przesłankę zgody należałoby uznać za niedopuszczalne.

Najczęściej odbieraną zgodą na tzw. rynku e-commerce jest zgoda na otrzymywanie od administratora danych, informacji handlowych drogą elektroniczną (nie ma konieczności odbierania zgody na e-marketing tradycyjny, gdyż objęty jest przesłanka prawnie usprawiedliwionego celu).

Przykładowa klauzula zgody:

(która nie wyłącza posługiwania się omówioną w dalszej części klauzulą informacyjną).

Wyrażam zgodę na otrzymywanie informacji handlowych dotyczących usług administratora danych osobowych, drogą elektroniczną. Zgoda jest dobrowolna i w żaden sposób nie warunkuje korzystania z usługi głównej.




Nie jest dopuszczalne odbieranie zgody na przetwarzanie danych osobowych przez pracodawcę, względem pracownika (współpracującego z pracodawcą na umowę o pracę). Wskutek stosunku podległości, oświadczenie takie nie jest bowiem wyrażone swobodnie. Dodatkowo art. 22.1 Kodeksu pracy, wyłącza możliwość pobierania takiej zgody.

W przypadku udostępniania danych pomiędzy organami administracji publicznej państw członkowskich, lub organów UE, organ krajowy będzie zobowiązany udostępnić dane w przypadku gdy żądanie takie znajduje uzasadnienie w normach krajowych, wynika z bezpośrednio skutecznych norm prawa unijnego, bądź wynika z wiążących RP ratyfikowanych umów międzynarodowych.



Zasady przetwarzania danych osobowychII. Uprawnienie wynikające z przepisu prawa.

Możliwość powołania się na tę przesłankę uzależniona jest od łącznego spełnienia

następujących warunków:

• Istnienie odpowiedniego przepisu prawa (ustawy aktu niższej rangi), który przyznaje podmiotowi uprawnienie lub nakłada na niego obowiązek pozyskania danych, oraz

• niezbędności przetwarzania danych do zrealizowania tego uprawnienia lub spełnienia obowiązku.

Niekiedy przepisy sformułowane są w sposób, który może budzić wątpliwości co do tego, czy przetwarzanie danych jest na ich podstawie dopuszczalne. Jako przykład wskazać można art. 36 § 1 u.p.e.a. Na podstawie tego przepisu NSA uznał, że "Organ egzekucyjny prowadzący egzekucję administracyjną może żądać udostępnienia mu przez ZUS danych o miejscu zatrudnienia ubezpieczonych będących dłużnikami„ (por. wyrok NSA z dnia 21 marca 2002 r., II SA 1854/01).



Zasady przetwarzania danych osobowych Jeżeli uprawnienie do przetwarzania danych wynika z przepisu prawa, nie

powinno się występować o zgodę na przetwarzanie danych osobowych. Czynność taka może bowiem wprowadzić podmiot danych w błąd, co do podstaw przetwarzania jego danych osobowych.

Przykłady przepisów stanowiących wyraźną podstawę do przetwarzania danych:






Zasady przetwarzania danych osobowychIII. Ochrona żywotnych interesów podmiotu danych.

W przypadku braku istnienia innej przesłanki uprawniającej do przetwarzania danych, jeżeli przetwarzanie danych jest konieczne ze względu na ochronę życia, zdrowia lub interesów majątkowych o istotnym znaczeniu, każdy podmiot uprawniony jest do przetwarzania danych.

Przetwarzanie danych na podstawie wskazanej przesłanki może mieć charakter jedynie czasowy, podmiot jest uprawniony do przetwarzania danych tak długo, jak długo nie jest możliwe odebranie właściwego oświadczenia od podmiotu danych w tym zakresie.

Przykładem takiego stanu rzeczy może być udostępnienie przez przedsiębiorcę danych osobowych urzędnika, w zakresie koniecznym do udzielenia mu pierwszej pomocy.





Zasady przetwarzania danych osobowychIV. Jest to konieczne dla wykonywania umowy.

Dane osobowe mogą być przetwarzane, gdy jest to konieczne dla realizacji umowy, gdy osoba której dane osobowe dotyczą jest jej stroną, bądź gdy jest to konieczne do podjęcia czynności przed zawarciem umowy (czynności rekrutacyjne).

W przypadku zwierania umów pracę, katalog możliwych do pozyskiwania przez pracodawcę danych wynika z art. 22.1 ustawy Kodeks pracy, w przypadku pozostałych kategorii umów, dane muszę być niezbędne do ich należytego wykonania.

W przypadku, gdy pracodawca chce przetwarzać dane osobowe wykraczające poza dane niezbędne do wykonywania umowy, musi odebrać na to odrębną zgodę (w przypadku umów zlecenia, umów o dzieło oraz innych umów cywilnoprawnych) np. gromadzenie oświadczeń o niekaralności, gdy uprawnienie takie nie przysługuje na podstawie przepisów prawnych.

Odebranie zgody nie jest możliwe, wobec osób współpracujących z administratorem na podstawie umowy o pracę. Administrator może w takim przypadku pobierać wyłącznie dane wskazane w art. 22 ustawy Kodeks pracy, w zakresie koniecznym do wykonywania umowy.



Zasady przetwarzania danych osobowychNSA w wyroku z 1 grudnia 2009 r. wskazał, że brak równowagi w relacji pracodawca–pracownik stawia pod znakiem zapytania dobrowolność wyrażenia zgody na pobieranie i przetworzenie danych osobowych pracowników (Wyrok NSA z 1 grudnia 2009 r., I OSK 249/09, ONSAiWSA 2011, nr 2, poz. 39).

Uznanie wyrażenia zgody jako okoliczności legalizującej pobranie od pracownika innych danych niż wskazane w art. 221 k.p. w ocenie niektórych przedstawicieli doktryny stanowiłoby obejście tego przepisu (Zob. K. Roszewska, Kontrola osobista pracowników, PiZS 2008, nr 7, s. 8 n.).

Wyrażone przez NSA w powołanym wyroku stanowisko podziela Generalny Inspektor Ochrony Danych Osobowych (dalej: GIODO), który wskazał na niemożność uznania zgody kandydata do pracy za przesłankę legalizującą przetwarzanie przez pracodawcę danych osobowych innych niż wymienione w przepisie art. 221 k.p. (Sprawozdanie GIODO za rok 2005, s. 251).



Zasady przetwarzania danych osobowychPowołana przesłanka nie legalizuje występowania do podmiotu danych z ofertą

zawarcia umowy, co wiąże się z przetwarzaniem danych osobowych. Inicjatywa zawarcia umowy musi bowiem pochodzić od samego podmiotu danych osobowych.

Żaden z przepisów powszechnie obowiązującego prawa, nie nakłada obowiązku wprowadzania do umów cywilnoprawnych postanowień dotyczących podstawy przetwarzania danych, technicznych środków zabezpieczeń danych oraz uprawnień przysługujących podmiotowi danych. Wyjątkiem będzie sytuacja, w której dla wykonania postanowień umowy, konieczne będzie powierzenie danych, które dla swojej skuteczności wymaga formy pisemnej.

W przypadku organów administracji publicznej, nawet zawieranie umów przez takie organy musi znajdować umocowanie w przepisach prawnych, stąd podstawą będzie tutaj nie umowa, ale przepis prawny lub realizacja interesu publicznego.



Zasady przetwarzania danych osobowychV. Konieczność przetwarzania danych do wykonywania określonych

prawem zadań dla dobra publicznego.

Powołana przesłanka legalizuje przetwarzanie danych, jeżeli jest to konieczne dla realizacji zadań publicznych, nałożonych na dany podmiot przepisami prawa, które to przepisy jednocześnie nie uprawniają do przetwarzania danych.

Niedopuszczalne jest powołanie się na wskazana przesłankę, w razie prowadzenia przez podmiot publiczny działalności gospodarczej (tj. działalności mającej cel zarobkowy (np. udział w spółce handlowej). (P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2013, s. 221.

Przykład normy prawnej uprawniającej do takiego przetwarzania danych: • Na podstawie art. 7d pkt 1 Prawa geodezyjnego i kartograficznego do zadań starosty

należy w szczególności prowadzenie powiatowego zasobu geodezyjnego i kartograficznego, w tym ewidencji gruntów i budynków, gleboznawczej klasyfikacji.





Zasady przetwarzania danych osobowychVI. Prawnie usprawiedliwiony cel administratora danych albo odbiorców

danych.

Powołana przesłanka, jest jedną z podstaw przetwarzania danych, bez konieczności odbierania zgody podmiotu danych. Na przesłankę możemy powołać się, gdy przetwarzanie danych znajduje swoje oparcie w przepisach prawa materialnego, ale nie możemy utożsamiać jej z wskazaną uprzednio przesłanką realizacji uprawnienia wynikającego z przepisu prawnego.

W literaturze przedmiotu pojawiają się poglądy uprawniające również podmioty ze sfery życia publicznego do powoływanie się na przesłankę prawnie usprawiedliwionego celu.

Przetwarzanie danych nie może naruszać praw i wolności podmiotu danych.Powołana przesłanka nie stanowi podstawy prawnej przetwarzania danych osobowych

na potrzeby postępowania administracyjnego. Każde działanie administratora danych osobowych, będącego podmiotem publicznym, powinno mieć podstawę w obowiązujących przepisach prawa, a za taki przepis nie sposób uznać art. 23 ust. 1 pkt 5 u.o.d.o., który wymaga samodzielnego wyważenia przez administratora dwóch dóbr: swojego prawnie usprawiedliwionego celu oraz praw i wolności podmiotów danych.



Zasady przetwarzania danych osobowychPrzykłady prawnie usprawiedliwionych celów administratora danych:

Dochodzenie roszczeń z tytułu prowadzonej działalności (determinowany terminem przedawnienia roszczeń określonego rodzaju).

Zbieranie oświadczeń o niekaralności, gdy charakter wykonywanych czynności uzasadnia takie żądane a, brak jest wyraźnego przepisu uprawniającego administratora do pobierania takich danych (z wyjątkiem pracowników wykonujących czynności na podstawie umowy o pracę).

Przetwarzanie danych osobowych przez podmioty gospodarcze, celem stworzenia księgi wejść i wyjść do budynków (źródło: www.giodo.gov.pl).

Przetwarzanie danych osób współpracujących na podstawie umów cywilnoprawnych, w celu stworzenia plakietek informujących o pełnionej funkcji wraz z imieniem i nazwiskiem, noszonych na ubraniach (np. ochroniarz).



Zasady przetwarzania danych osobowychPrzesłanki legalności przetwarzania danych osobowych wrażliwych

(art. 27 u.o.d.o.).

Osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych.

Przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochronny.

Przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora.

Jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji.

Przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem.



Zasady przetwarzania danych osobowychPrzesłanki legalności przetwarzania danych osobowych zwykłych

(art. 27 u.o.d.o.)

przetwarzanie jest niezbędne do wykonania zadań administratora odnoszących się do zatrudnienia pracowników i innych osób, a zakres danych jest określony w ustawie,

Przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych.

Przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą.

Jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone.

Przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.



Zasada celowości przetwarzania danych osobowych




Ogólna zasada celowości

Cel pierwotny to cel dla którego podmiot danych przekazał woje dane administratorowi.

Cel wtórny to inny cel przetwarzania danych niż cel dla którego dane zostały przekazane.

Zasada celowości (art.26 ust.2 pkt 1 u.o.d.o.)

Cel pierwotny to cel określony przez administratora przy zbieraniu danych osobowych.

Cel wtórny to cel określony później niż przy zbieraniu danych.



Zasady przetwarzania danych osobowychOgólny zakaz przetwarzania danych, w celu sprzecznym z celem na którego zostały

zebrane (art.26 ust.2 pkt 1 u.o.d.o.).Rodzaje wtórnych celów przetwarzania danych:

• Cele tożsame z celami określonymi pierwotnie.

• Cele różne ale nie niezgodne z celami określonymi pierwotnie.

• Cele sprzecznym z celem na którego zostały zebrane. Zakaz wynikający z art. 26 ust. 2 pkt 1 u.o.d.o. obejmuje jedynie przetwarzanie

danych w celach sprzecznych z celami pierwotnymi.

Dane mogą być udostępniane podmiotom, które dysponują stosowną podstawą prawna dla swojego żądania także wtedy, gdy następujące w wyniku udostępnienia przetwarzanie danych odbywać się będzie w celu niezgodnym z celem, dla którego dane zostały zebrane!

(P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2013, s. 191. ).



Zasady przetwarzania danych osobowychNiezależnie od wskazanych uprzednio przypadków zmiany celu przetwarzania danych, na podstawie art. 26 ust.2 u.o.d.o.: administrator może nadal przetwarzać dane, jeżeli:

• nie narusza to praw i wolności osoby, której dane dotyczą;• dalsze przetwarzanie następuje w celach badań naukowych,

dydaktycznych, historycznych lub statystycznych;• zachowane pozostają przepisy art.23 i 25 u.o.d.o (obowiązek

informacyjny).

Zmiana celu możliwa jest również na podstawie zgody podmiotu danych.





Zasada adekwatności przetwarzania danych osobowych



Dane osobowe muszą być przetwarzane przez administratora:

Z zachowaniem zasady merytorycznej poprawności i adekwatności przetwarzania danych osobowych do celów w jakich są przetwarzane;

Przetwarzane nie dłużej, niż jest to konieczne dla realizacji celu,

w jakim są przetwarzane.




Obowiązek informacyjny administratora danych osobowych



Ochrona danych osobowych– obowiązek informacyjny

W przypadku pozyskania danych osobowych od osoby której dane osobowe dotyczą, administrator zobowiązany jest poinformować taką osobę o (art. 26

u.o.d.o.):

adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku,

celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,

prawie dostępu do treści swoich danych oraz ich poprawiania,dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje,

o jego podstawie prawnej.

Wyjątki: przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego

celu ich zbierania,osoba, której dane dotyczą, posiada takie informacje.



Ochrona danych osobowych– obowiązek informacyjny

W przypadku pozyskania danych osobowych nie od osoby której dane osobowe dotyczą, administrator zobowiązany jest poinformować taką osobę o (art. 24

u.o.d.o.): adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba

fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych, źródle danych, prawie dostępu do treści swoich danych oraz ich poprawiania, prawie do wniesienia sprzeciwu w razie przetwarzania danych na podstawie prawnie

usprawiedliwionego celu lub zadań realizowanych dla dobra publicznego.Wyjątki: przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby,

której dane dotyczą, dane te są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub

badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą, a spełnienie wymagań wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania,

dane są przetwarzane przez podmioty ze sfery publicznej na podstawie przepisów prawa, osoba, której dane dotyczą, posiada informacje.





Część IVUmowa powierzenia przetwarzania

danych osobowych



Ochrona Danych Osobowych - umowa powierzeniaObligatoryjne elementy umowy

Forma pisemna. Oznaczenie stron (administrator i procesor) i podpis osób upoważnionych. Cel i zakres powierzonych danych.

Fakultatywne elementy umowy (ale wskazane)

Zobowiązanie procesora do zapewnienia odpowiedniego poziomu zabezpieczenia danych osobowych.

Wskazanie czy procesor jest upoważniony bądź nie do dalszego powierzania danych osobowych (tzw. subprocessing).

Wskazanie dokładnych czynności podejmowanych przez procesora na danych osobowych. Klauzula poufności. Forma przekazania danych procesorowi. Inne treści umowne.



Część VRejestracja zbioru danych

osobowych



Rejestracja zbioru danych osobowych

Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji GIODO.

Rejestracji nie podlegają zbiory:

zawierające informacje niejawne, które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy

organów uprawnionych do tych czynności, przetwarzane przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie

przepisów o Krajowym Rejestrze Karnym, przetwarzane przez Generalnego Inspektora Informacji Finansowej, przetwarzane przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie

Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym, przetwarzane przez właściwie organy na podstawie przepisów o wymianie informacji z

organami ścigania państw członkowskich Unii Europejskiej, dotyczące osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej

sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego,




przetwarzane w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,

dotyczące osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,

tworzone na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego,

dotyczące osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności,

przetwarzane wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,

powszechnie dostępne,przetwarzane w celu przygotowania rozprawy wymaganej do uzyskania dyplomu

ukończenia szkoły wyższej lub stopnia naukowego,przetwarzane w zakresie drobnych bieżących spraw życia codziennego




Procedura rejestracji zbioru za pośrednictwem serwisu eGIODO




Zgłoszenie wypełnione za pośrednictwem serwisu e-GIODO wnioskodawca powinien wysłać drogą elektroniczną również wtedy, gdy nie dysponuje

bezpiecznym podpisem elektronicznym. W takim przypadku należy dodatkowo opatrzyć wydruk zgłoszenia przesłanego elektronicznie podpisem

i pieczątką wnioskodawcy, i przesłać pocztą lub złożyć w siedzibie GIODO.

Do wniosku wypełnionego elektronicznie należy dołączyć:

•pełnomocnictwo (w przypadku gdy administrator nie działa we własnym imieniu);

• potwierdzenie wniesienia opłaty skarbowej za pełnomocnictwo;

•pozostałe dokumenty załączane do wniosku nie podlegają jakiejkolwiek opłacie.






Zgodnie z jej przepisami administrator danych, którego zbiór danych osobowych został zarejestrowany przez GIODO, może uzyskać zaświadczenie o zarejestrowaniu zbioru danych osobowych. Ustawa o ochronie danych osobowych przyznaje każdemu administratorowi danych prawo wystąpienia do GIODO o wydanie takiego zaświadczenia (art. 42 ust. 3). Tym samym GIODO wydaje takie zaświadczenie, ale tylko na wniosek administratora danych.

Wyjątkiem jest jedynie obligatoryjne (z urzędu) wydawanie przez GIODO zaświadczenia o zarejestrowaniu zbioru, w którym przetwarzane są dane szczególnie chronione (wymienione w art. 27 ust. 1 ustawy, np. dane o stanie zdrowia).

Za wydanie zaświadczenia, na podstawie art. 1 ust. 1 pkt Ib ustawy z dnia 16 listopada 2006 r. o opłacie skarbowej, pobierana jest opłata skarbowa według stawek określonych w załączniku do tej ustawy, tj. od zaświadczenia o zarejestrowaniu zgłoszonego zbioru danych - 17zł.

GIODO wydaje decyzję w przedmiocie odmowy rejestracji zbioru danych osobowych.




Przykłady zbiorów danych zwolnionych z rejestracji

Zbiór danych kandydatów na kierowców przewarzany przez ośrodek szkolenia kierowców.

Zbiór podań o pracę. Zbiór nauczycieli przetwarzany przez dyrektora placówki oświatowej.

Zbiór danych rodziców przedszkolaków przetwarzany przez dyrektora przedszkola.

Zbiór danych pacjentów, na rzecz których zakład opieki zdrowotnej świadczy swoje usługi.



Część VIZabezpieczenie danych



Ochrona Danych Osobowych - zabezpieczenie danych

Obowiązki związane z zabezpieczeniem przetwarzania danych osobowych

Obowiązek zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną,

Obowiązek prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz zastosowanych środków zabezpieczeń,

Obowiązek wyznaczenia administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony danych, chyba że administrator sam wykonuje te czynności,

Do przetwarzania danych dopuszczone mogą być wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.

Obowiązek prowadzenia ewidencji osób upoważnionych do ich przetwarzania, która powinna zawierać: imię i nazwisko osoby upoważnionej, datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.

Zasady wskazane powyżej wiążą nie tylko administratora danych, ale również podmiot któremu administrator powierzył dane osobowe.






Obowiązek zastosowania środków technicznych i organizacyjnych zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz

kategorii danych objętych ochroną.

Trzy poziomy ochrony danych osobowych:

Podstawowy• Żadne z urządzeń systemu informatycznego, służącego

do przetwarzania danych osobowych nie jest połączone z siecią publiczną, oraz• W systemie nie są przetwarzane dane wrażliwe. Podwyższony • w systemie są przetwarzane dane wrażliwe, oraz• żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną.

Wysoki•urządzenie, służące do przetwarzania danych osobowych, połączone jest z siecią publiczną.




Każdemu z poziomów bezpieczeństwa odpowiada inny sposób zabezpieczenia danych, wskazany w rozporządzeniu ws. dokumentacji przetwarzania danych osobowych.

W przypadku przetwarzania danych na poziomie wysokim, konieczne jest również spełnienie wymogów na poziomie podstawowym i podwyższonym (analogicznie poziom podwyższony).




Obowiązek prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz zastosowanych środków zabezpieczeń.

Dokumentacja przetwarzania danych

Polityka bezpieczeństwa Instrukcja zarządzania systemem






Polityka bezpieczeństwa przetwarzania danych osobowych

Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe.

Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych.

Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi.

Sposób przepływu danych pomiędzy poszczególnymi systemami.

Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.




Z technicznego punktu widzenia, rekomenduje się przeniesienie właściwej treści dokumentacji, do załączników, a treść samej dokumentacji ograniczyć wyłącznie do zbioru definicji, odwołań do samych załączników, oraz określenia środków zabezpieczeń danych osobowych.

Przykładowy spis treści Polityki bezpieczeństwa

„I. Deklaracja najwyższej staranności, cele i zakres dokumentu. II. Obowiązki i odpowiedzialność w zakresie zarządzania bezpieczeństwem. III. Obszar przetwarzania danych osobowych. IV. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych.V. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania pomiędzy nimi. VI. Sposób przepływu danych pomiędzy poszczególnymi systemami. VII. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych”.




Instrukcja zarządzania systemem informatycznym

Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności.

Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem.

Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;

Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;

Sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe, oraz kopii zapasowych.

Sposób zabezpieczenia systemu informatycznego przed działalnością wirusów.Sposób realizacji wymogów, odnotowywania przez system wprowadzania danych.Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji

służących do przetwarzania danych.




Przykładowy spis treści Instrukcji zarządzania I. Poziomy bezpieczeństwa przetwarzania danych osobowych.II. Procedura nadawania, aktualizacji i wycofania uprawnień do przetwarzania danych osobowych

w systemach informatycznych.III. Metody i środki uwierzytelniania pracowników mających dostęp do przetwarzania danych

osobowych.IV. Procedura rozpoczęcia, zawieszenia i zakończenia pracy dla użytkowników systemu. V. Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi

programowych służących do ich przetwarzania.VI. Zasady bezpiecznego przechowywania transportu i niszczenia elektronicznych nośników

informacji zawierających dane osobowe lub oprogramowanie służące do ich przetwarzania. VII. Sposób zabezpieczenia systemu przed działalnością wirusów. VIII. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do

przetwarzania tych danych.IX. Sposób realizacji obowiązków odnotowywania w systemie informacji o zmianach danych

i odbiorcach danych.X. Procedury wykonywania napraw systemu informatycznego oraz elektronicznych nośników

informacji służących do przetwarzania danych.




Obowiązek wyznaczenia w dokumentacji administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony danych, chyba że

administrator sam wykonuje te czynności.

Administratorem bezpieczeństwa informacji (ABI) musi być osoba fizyczna, w przypadku przedsiębiorców prowadzących jednoosobową działalność gospodarczą, jest to osoba prowadząca taką działalność (Wyrok WSA w Warszawie z dnia 7 lipca 2012r., II SA/Wa 630/12).

Obowiązek wyznaczenia ABI nie istnieje, gdy administrator sam pełni funkcję ABI (np. naukowiec zbierający dane na potrzeby dokonywanej dysertacji).

W ramach struktury organizacyjnej administratora danych może zostać powołany tylko jeden ABI. Nie wyłącza to możliwości powołania wewnętrznej struktury podległej ABI. Częstą praktyką jest powoływanie podległego ABI Administratora systemu informatycznego, zarządzającego takim systemem (tzw. ASI). Jest nim najczęściej informatyk.

Dokumentacja przetwarzania danych osobowych powinna zapewniać ABI możliwość rzeczywistego wykonywania przez niego funkcji nadzorczych.





Część VIITajemnica przedsiębiorcy



Ochrona Danych Osobowych - tajemnica przedsiębiorcy

Art. 11 ust. 4 ustawy o zwalczaniu nieuczciwej konkurencji

Przez tajemnicę przedsiębiorstwa rozumie się nieujawnione do wiadomości publicznej informacje techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą, co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności.

Informacją taką mogą być informacje:

stanowiące wartość gospodarczą; wobec których przedsiębiorca podjął niezbędne środki ochrony; oznaczone przez przedsiębiorcę jako objęte taką tajemnicą.



Ochrona Danych Osobowych - tajemnica przedsiębiorcy

Tajemnica przedsiębiorstwa a dane osobowe

Dane osobowe przetwarzane przez przedsiębiorcę, również mogą być objęte tajemnicą przedsiębiorstwa.

W przypadku wszczęcia przez GIODO postępowania kontrolnego względem przedsiębiorcy, przedsiębiorca ma prawo w pierwszym dniu kontroli złożyć ustne oświadczenie do protokołu kontroli o objęciu wszelkich informacji zebranych w toku kontroli tajemnicą przedsiębiorstwa. Powyższe, wyłącza możliwość wglądu do danych zgromadzonych w aktach pokontrolnych





Część VIIIPostępowanie kontrolne



Ochrona Danych Osobowych - Postępowanie kontrolne

Kontrole inspektorów GIODO są najczęściej zapowiadane (telefonicznie oraz faksem lub pisemnie) z kilkudniowym wyprzedzeniem.

• Zawiadomienie zawiera najczęściej:• termin przeprowadzenia czynności kontrolnych, • zakres kontroli, oraz • dokumenty wymagane przez inspektorów.

Brak wcześniejszego zawiadomienia co do zasady nie jest podstawą do odmowy wstępu inspektorom do obszaru przetwarzania danych. Jest to natomiast podstawa do wniesienia do GIODO sprzeciwu.




Zakres czynności kontrolnych

Przedmiotem kontroli są najczęściej

• Spełnianie przesłanek legalizujących przetwarzanie danych osobowych.• Zabezpieczenie przetwarzanych danych – np. czy dane osobowe

zabezpieczane są zgodnie z wymogami technicznymi i organizacyjnymi przewidzianymi w ustawie o ochronie danych osobowych i przepisach wykonawczych.

• Zakres i cel przetwarzania danych osobowych.• Wypełnianie przez kontrolowany podmiot obowiązków informacyjnych

wobec podmiotów danych.• Obowiązki w zakresie rejestracji zbioru danych w bazie GIODO. • Zarejestrowanie zbioru danych osobowych.






Uprawnienia kontrolne

W toku czynności kontrolnych inspektorzy mają w szczególności prawo:

• wstępu, w godzinach od 600 do 2200, za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym przetwarzane są dane osobowe (w zbiorze i poza zbiorem),

• administrator nie ma obowiązku wpuszczenia inspektora, który nie przedstawi obydwu powyższych dokumentów.

• żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego,• wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii,• przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych,




• zlecać sporządzanie ekspertyz i opinii,• żądać okazania książki kontroli oraz dokonywania w niej wpisów.

Protokół z kontroli

Po zakończeniu czynności kontrolnych, inspektor sporządza protokół kontroli.

Jeden egzemplarz tego protokołu doręczany jest kontrolowanemu.

W zakresie protokołu kontroli, kontrolowanemu przysługują w szczególności następujące uprawnienia:

• prawo wniesienia umotywowanych uwag i zastrzeżeń odnośnie jego treści,

• prawo odmowy podpisania protokołu kontroli.




Skutki kontroli

Skutkiem stwierdzenia naruszenia przepisów ustawy o ochronie danych osobowych, jest wystąpienie przez inspektora do GIODO o wydanie decyzji zobowiązującej ten podmiot do usunięcia naruszeń.

• Procedura w takiej sytuacji wygląda następująco:- wniosek inspektora do GIODO o wydanie decyzji nakazującej usunięcie wskazanych naruszeń,- wszczęcie postępowania administracyjnego przez GIODO (postępowanie ma charakter

niezależny od samej kontroli) – w jego toku organ jeszcze raz dokonuje oceny stanu faktycznego badając zasadność ww. wniosku, a administrator jako stroną postępowania (może nią być też procesor),

- wydanie przez GIODO decyzji administracyjnej nakazującej: • usunięcie uchybień, • uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych

osobowych, • zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, • zabezpieczenie danych lub przekazanie ich innym podmiotom, usunięcie danych osobowych,




• w przypadku decyzji nakazującej usunięcie naruszeń, administrator zasadniczo może złożyć do GIODO wniosek o ponowne rozpatrzenie sprawy, a następnie (w przypadku odmowy zmiany decyzji);

• wnieść skargę do sądu administracyjnego.

- w przypadku decyzji nakazującej usunięcie naruszeń, administrator zasadniczo może złożyć do GIODO wniosek o ponowne rozpatrzenie sprawy, a następnie (w przypadku odmowy zmiany decyzji);- wnieść skargę do sądu administracyjnego.





Część IXPrzewidywane zmiany w u.o.d.o.



Ochrona Danych Osobowych – zmiany w prawie

Stadnium prac legislacyjnych

2 lipca 2014 r. – po I czytaniu rządowego projektu ustawy o ułatwieniu wykonywania działalności gospodarczej, po22 lipca 2014 r. – po I czytaniu rządowego projektu ustawy o ułatwieniu wykonywania działalności gospodarczej, podczas 72. Posiedzenia Sejmu, projekt skierowano do rozpatrzenia przez Komisję Nadzwyczajną do spraw związanych z ograniczaniem biurokracji.14 lipca 2014 r. – projektowi ustawy o ułatwieniu wykonywania działalności gospodarczej został nadany nr druku sejmowego (nr 2606) i skierowany do I czytania na posiedzeniu Sejmu.7 lipca 2014 r. – Prezes Rady Ministrów skierował do Sejmu projekt ustawy

o ułatwieniu wykonywania działalności gospodarczej. Projekt wraz z uzasadnieniem dostępny jest na stronie Rządowego Centrum Legislacji.10 czerwca 2014 r. - Rada Ministrów przyjęła projekt ustawy o ułatwieniu wykonywania działalności gospodarczej, przekazany do rozpatrzenia przez Ministerstwo Gospodarki w dniu 22 maja 2014 r.




Rejestracja administratorów bezpieczeństwa informacji (ABI) Administrator danych będzie obowiązany zgłosić GIODO powołanie

i odwołanie administratora bezpieczeństwa informacji w terminie 30 dni od dnia powołania lub odwołania, natomiast zmiany informacji objętych zgłoszeniem w terminie 14 dni od dnia zmiany

Określono zakres informacji mających podlegać zamieszczeniu w prowadzonym przez GIODO, ogólnokrajowym, jawnym, rejestrze administratorów bezpieczeństwa informacji, zaś w projektowanym art. 46d ust. 1–3 wskazano zasady wykreślania ABI z rejestru administratorów bezpieczeństwa informacji (w drodze czynności materialno-technicznej (w przypadku powiadomienia przez administratora danych o odwołaniu ABI lub w przypadku śmierci ABI) oraz na podstawie decyzji administracyjnej wydawanej z urzędu, w przypadkach określonych tym przepisem).



Ochrona Danych Osobowych – zmiany w prawie Przewidziano możliwość ponownego zgłoszenia do rejestracji ABI

wykreślonego z rejestru oraz określono sposób postępowania GIODO w przypadku złożenia takiego wniosku

Wprowadzenie uproszczonej kontroliipca

ABI będzie zobowiązany do dokonania sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych u administratora danych, który go powołał, na zlecenie GIODO. W konsekwencji – sprawozdanie z takiego sprawdzenia jest przedstawiane, za pośrednictwem administratora danych, GIODO.

ABI będzie zobowiązany do dokonania sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych u administratora danych. Kontrola taka przeprowadzona przez ABI ma charakter kontroli wewnętrznej u administratora danych, a zatem powstałe w jego wyniku sprawozdanie jest dokumentem wewnętrznym administratora danych.



Ochrona Danych Osobowych – zmiany w prawieZwolnienie administratora danych z obowiązku zgłaszania

zbioru danych osobowych do rejestracji GIODO

Dodanie w art. 43 ustawy o ochronie danych osobowych przepisu wprowadzającego nowe, kompleksowe zwolnienie z obowiązku zgłoszenia do rejestracji GIODO zbiorów, w których nie będą przetwarzane dane określone w art. 27 ust. 1 tej ustawy (tzw. dane szczególnie chronione), prowadzonych przez administratorów danych, którzy powołali i zgłosili GIODO ABI.

Zwolnienie w odniesieniu do zbiorów danych, które nie są prowadzone w systemie informatycznym, z wyjątkiem zbiorów zawierających dane szczególnie chronione.

Przepis art. 36b ustanawia dla administratora danych obowiązek wykonywania zadań administratora

bezpieczeństwa informacji w przypadku jego niepowołania.




Status ABI

Niezależność w wykonywaniu zadań, obowiązek zapewnienia stosowania w jednostce organizacyjnej przepisów o ochronie danych osobowych, w szczególności przez przyznanie kompetencji do kontroli wewnętrznej w zakresie przestrzegania przepisów o ochronie danych osobowych, a także prowadzenie wewnętrznego rejestru zbiorów danych.

Jednocześnie projektowane zmiany nie zakazują outsourcingu zadań administratora bezpieczeństwa informacji przez administratora danych. Dopuszczono także możliwość powołania zastępców administratora bezpieczeństwa informacji, co ma znaczenie w sytuacjach, gdy ABI przejściowo nie może realizować swoich zadań.



Ochrona Danych Osobowych – zmiany w prawiePrzekazywanie danych do państw trzecich oraz państw

członkowskich EOG bez zgody GIODO

Zawierają wyłączenie obowiązku uzyskania zgody GIODO na przekazanie danych do państwa trzeciego, gdy zastosowano standardowe klauzule umowne zatwierdzone przez Komisję Europejską, zgodnie z art. 26 ust. 4 dyrektywy 95/46/WE, lub wiążące reguły korporacyjne zatwierdzone przez GIODO. Jednocześnie nadają GIODO kompetencję do zatwierdzania wiążących reguł korporacyjnych po przeprowadzeniu konsultacji z organami ochrony danych państw członkowskich Europejskiego Obszaru Gospodarczego.

WRK mają na celu zapewnienie jednolitych i odpowiednio elastycznych standardów ochrony danych osobowych w grupie przedsiębiorstw międzynarodowych. Instrument ten ma szczególne znaczenie w gospodarce globalnej i jest wspierany zarówno przez środowiska gospodarcze, jak i organy ochrony danych osobowych.




Zatwierdzenie wiążących reguł korporacyjnych jako zapewniających odpowiednie gwarancje pozwala na rezygnację z konieczności uzyskiwania zgody na poszczególne operacje przekazywania danych osobowych do państw trzecich. Ze względu na globalny charakter wiążących reguł korporacyjnych ważne jest, aby ich zatwierdzenie odbywało się po przeprowadzeniu uprzedniej konsultacji co do ich treści z organami ochrony danych państw członkowskich EOG.






Projektowane przepisy ustawy o ochronie danych osobowych wymagają od ministra właściwego do spraw administracji publicznej wydania przepisów wykonawczych, w których zostanie określony tryb i sposób realizacji zadań, o których mowa w projektowanym art. 36a ust. 2 pkt 1 lit. a i b ustawy, sposób prowadzenia rejestru 26zbiorów danych, o którym mowa w projektowanym art. 36a ust. 2 pkt 2, oraz wzory zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji.




Zainteresowanych informacjami o ochronie danych osobowych zapraszamy do Cognity na:• Kurs Ochrona Danych Osobowych w Działach HR i Kadr• Kurs Ochrona Danych Osobowych w Administracji Publicznej• Kurs Ochrona Danych Osobowych w Ośrodkach Pomocy Społeczn

ej• Kurs Ochrona Danych Osobowych – Obowiązki Przetwarzających

Dane Osobowe w Firmie• Kurs Aspekty prawne związane z handlem elektronicznym. Prowa

dzenie serwisów internetowych

http://www.cognity.pl/szkolenie-ochrona-danych-osobowych-w-dzialach-hr-i-kadr,s2,279.html

http://www.cognity.pl/szkolenie-ochrona-danych-osobowych-w-administracji-publicznej,s2,86.html

http://www.cognity.pl/ochrona-danych-osobowych-w-osrodkach-pomocy-spolecznej-w-specyfice-zespolow-interdyscyplinarnych,s2,87.html

http://www.cognity.pl/ochrona-danych-osobowych-w-osrodkach-pomocy-spolecznej-w-specyfice-zespolow-interdyscyplinarnych,s2,87.html

http://www.cognity.pl/obowiazki-przetwarzajacych-dane-osobowe-czyli-kazdego-przedsiebiorstwa-spolki-urzedu,s2,88.html

http://www.cognity.pl/obowiazki-przetwarzajacych-dane-osobowe-czyli-kazdego-przedsiebiorstwa-spolki-urzedu,s2,88.html

http://www.cognity.pl/szkolenie-aktualne-problemy-prawne-zwiazane-z-handlem-elektronicznym,s2,227.html

http://www.cognity.pl/szkolenie-aktualne-problemy-prawne-zwiazane-z-handlem-elektronicznym,s2,227.html




Informację o zagadnieniach prawnych związanych z ochroną danych osobowych odnajdą Państwo również na naszym blogu Strefa Wiedzy Cognity. Szczególnie polecamy:• Administrator Bezpieczeństwa Informacji – zadania i obowi

ązki ABI• Podstawowe informacje o przetwarzaniu danych

osobowych• Cloud computing w administracji publicznej• Zmiany w e-handlu• Wywiad z ekspertem Panem Maciejem Kaweckim

http://www.cognity.pl/administrator-bezpieczenstwa-informacji-8211-zadania-i-obowiazki-abi,blog,166.html



http://www.cognity.pl/podstawowe-informacje-o-przetwarzaniu-danych-osobowych,blog,70.html

http://www.cognity.pl/podstawowe-informacje-o-przetwarzaniu-danych-osobowych,blog,70.html

http://www.cognity.pl/cloud-computing-w-administracji-publicznej,blog,53.html





http://www.cognity.pl/nowe-zmiany-w-e-handlu,blog,130.html



Dziękujemy za uwagę



Documents

Cognity Ochrona Danych Osobowych w Firmie