BIBLIOTEKA JEDNOSTEK PUBLICZNYCH I POZARZĄDOWYCH
cena 68 zł
ISBN 978-83-269-3710-1
PRAKTYCZNE PRZYKŁADY I WSKAZÓWKI
JAK PO ZMIANACH OD 1 STYCZNIA 2015
STOSOWAĆ NOWE WYTYCZNE
UOJ26
OCHRONA DANYCH
OSOBOWYCH
2015
W JEDNOSTKACH
PUBLICZNYCH
BIBLIOTEKA JEDNOSTEK PUBLICZNYCH I POZARZĄDOWYCH
cena 68 zł
ISBN 978-83-269-3710-1
PRAKTYCZNE PRZYKŁADY I WSKAZÓWKI
JAK PO ZMIANACH OD 1 STYCZNIA 2015
STOSOWAĆ NOWE WYTYCZNE
UOJ26
OCHRONA DANYCH
OSOBOWYCH
2015
W JEDNOSTKACH
PUBLICZNYCH
Ochrona
danych osobowych 2015
w jednostkach publicznych
Praktyczne przykłady i wskazówki
jak po zmianach od 1 stycznia 2015
stosować nowe wytyczne
Redaktor prowadzący: Lidia Pogodzińska
Autor: Maria Kucharska-Fiałkowska
Korekta: Zespół
Skład i łamanie: Norbert Bogajczyk, Raster studio
Projekt okładki: Norbert Bogajczyk, Raster studio
Druk: Miller Druk sp. z o.o.
Copyright © by Wydawnictwo Wiedza i Praktyka sp. z o.o., Warszawa 2015
Wszelkie prawa zastrzeżone. Kopiowanie, przedrukowywanie i rozpowszechnianie całości
lub fragmentów niniejszej pracy bez zgody wydawcy zabronione.
ISBN: 978-83-269-3710-1
Nakład: 150 egz.
Wydawca:
Norbert Pawlikowski
„Oficyna Prawa Polskiego”
Wydawnictwo Wiedza i Praktyka sp. z o.o.
ul. Łotewska 9a, 03-918 Warszawa
Dystrybucja:
tel.: 22 518 29 29
faks: 22 617 60 10
e-mail: cok@wip.pl
Publikacja „Ochrona danych osobowych 2015 w jednostkach publicznych” chroniona jest pra-
wem au torskim. Przedruk opublikowanych materiałów, bez zgody wydawcy, jest zabro-
niony. Zakaz nie dotyczy cytowania publikacji z powołaniem się na źródło. Informujemy,
że Państwa dane osobowe będą przetwarzane przez Wydawnictwo Wiedza i Praktyka
sp. z o.o. z siedzibą w War szawie przy ul. Łotewskiej 9a w celu realizacji niniejszego zamó-
wienia oraz do celów marketingowych – przesyłania materia łów promocyjnych dotyczą-
cych innych produktów i usług. Mają Państwo prawo do wglądu oraz poprawiania swoich
danych, a także do wyrażenia sprzeciwu wobec ich przetwarzania do celów promocyjnych.
Podanie danych jest dobrowolne. Zapew niamy, że Państwa dane nie będą przekazywane
bez Państwa wiedzy i zgody innym podmiotom.
SPIS TREŚCI
Wstęp ...........................................................................................................................................
5
Przetwarzanie danych .............................................................................................................. 7
Warto postarać się o zgodę pisemną....................................................................................... 8
Zbiory danych – obowiązek rejestracji i zwolnienie ............................................................ 9
Informacje o rodzinie ................................................................................................................
Przetwarzanie danych kandydatów do pracy w jednostkach publicznych ....................
Dane o stanie zdrowia kandydatów do pracy i pracowników ...........................................
Środki ochrony danych osobowych i upoważnienie do ich przetwarzania ....................
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych ....................................
35
5
WSTĘP
Przedstawiciele jednostek sektora finansów publicznych wykorzystują w swojej
pracy niezliczoną ilość informacji. Ze względu na jawność finansów publicznych
część z nich jest ogólnie dostępna i może, a nawet powinna być ujawniana na ze-
wnątrz. Mimo dbałości o przestrzeganie zapisów ustawy o finansach publicznych
nie wolno zapominać jednak o zasadach ochrony danych osobowych.
Jest to szczególnie ważne w działach zajmujących się kwestiami księgowymi
oraz kadrowo-płacowymi. Współpraca między tymi komórkami powinna być tak
zorganizowana, aby żaden z jej pracowników nie stykał się z danymi ponad te, które
są niezbędne do wykonywania obowiązków służbowych.
Użycie w ustawie o ochronie danych osobowych (dalej: uodo) nieostrych i ogól-
nych sformułowań może powodować wiele wątpliwości interpretacyjnych. Warto
zatem nieco bliżej przyjrzeć się definicjom użytym w tych przepisach.
Ochrona danych osobowych 2015 w jednostkach publicznych
6
Łatwość pozyskania danych
Zgodnie z art. 6 ustawy danymi osobowymi są wszelkie informacje dotyczące
zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą
do zidentyfikowania jest z kolei taka, której tożsamość można określić bezpośred-
nio (na podstawie posiadanych danych takich jak imię, nazwisko, adres itp.) lub
pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo
jeden czynnik lub kilka specyficznych czynników określających jej cechy fizyczne,
społeczne lub ekonomiczne.
Informacji o osobie nie uważa się za dane osobowe, jeśli określenie jej tożsamości
wymagałoby nadmiernych kosztów, czasu lub działań.
Należy też zdefiniować sformułowanie „informacja” jako określenie okoliczności
czy komunikat, niezależnie od formy wyrażenia – słowem, obrazem, dźwiękiem.
Zastosowanie w ustawie o ochronie danych osobowych pojęcia wszelkiej informacji
oznacza, że są to informacje odnoszące się do każdego aspektu osoby i jej relacji oso-
bistych oraz rzeczowych, życia zawodowego, prywatnego, wykształcenia, wiedzy,
cech charakteru itp.
W praktyce zawodowej osób zajmujących się kadrami, płacami czy księgowoś-
cią danymi osobowymi będzie wszystko, co dotyczy pracowników, zleceniobior-
ców, kontrahentów będących osobami fizycznymi. Warto również pamiętać, że
w związku z uchyleniem 1 stycznia 2012 r. art. 7a ust. 2 ustawy – Prawo działalności
gospodarczej dane osób fizycznych prowadzących działalność gospodarczą także
są chronione.
Ochronie podlegają te dane osobowe, które są lub mogą być przetwarzane
w zbiorach danych. Jest nim każdy posiadający strukturę zestaw informacji o cha-
rakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego,
czy zestaw ten jest rozproszony, czy podzielony funkcjonalnie. Do zaklasyfikowania
zestawu danych jako zbioru, w rozumieniu ustawy o ochronie danych osobowych,
wystarczające jest więc istnienie jakiegokolwiek kryterium umożliwiającego odna-
lezienie danych osobowych w zestawie. Kryterium może mieć charakter osobowy
(imię, nazwisko, PESEL, NIP, adres) lub nieosobowy, jak np. data umieszczenia
danych w zbiorze, data zawarcia umowy czy wystawienia faktury itp.
Dane informatyczne szczególnie chronione
W przypadku przetwarzania danych w systemach informatycznych podlegają
ochronie również te informacje, które są przetwarzane poza zbiorem.
W tym miejscu warto zwrócić uwagę na orzeczenie Sądu Najwyższego (sygn. akt
II KKN 438/00), w którym określono, że dane osobowe korzystają z ochrony nawet
wówczas, gdy tylko mogą znaleźć się w zbiorze, bez względu na to, czy się w nim
ostatecznie znalazły.
Przetwarzanie danych
7
Problemów może także przysporzyć – zdawać by się mogło powszechnie rozu-
miane – pojęcie „usuwania” danych. Osoby pracujące w komórkach rozliczenio-
wych czy kadrowych muszą jednak pamiętać, że owo usunięcie musi wiązać się
z takim działaniem, aby po nim niemożliwe było zidentyfikowanie osób, których
dotyczą. Jeżeli więc przykładowo księgowa wyrzuci stare dokumenty bez ich
zniszczenia fizycznego (np. w niszczarce) lub uprzedniego ich zanonimizowania,
tj. zaczernienia czy zakorektorowania, może naruszyć normy zabezpieczenia da-
nych osobowych.
Przetwarzanie danych
Kluczowe do zrozumienia istoty ochrony danych osobowych jest poprawne
posługiwanie się pojęciem ich przetwarzania. Wiele osób uważa, że tego nie robi,
ponieważ jedynie posiada informacje. Nic bardziej mylnego. Przetwarzaniem jest
już samo przechowywanie danych, nawet jeśli faktycznie się z nich nie korzysta.
Tym bardziej należy uznać za przetwarzanie takie działania, jak:
udostępnianie,
zmienianie,
modyfikowanie,
przekazywanie,
zbieranie,
utrwalanie,
opracowywanie.
Istotny jest także podział danych na: zwykłe oraz tzw. wrażliwe lub inaczej
sensytywne. Przetwarzanie danych należących do pierwszej kategorii jest możliwe,
jeśli tylko osoba, której dane dotyczą, wyrazi na to zgodę (chyba że chodzi o ich
usunięcie) lub jest to niezbędne do:
realizacji uprawnień lub spełnienia obowiązku wynikającego z przepisów,
zrealizowania umowy, gdy stroną jest osoba, której dane dotyczą,
wykonania określonych prawem zadań realizowanych dla dobra publicznego,
wypełniania prawnie usprawiedliwionych celów realizowanych przez ad-
ministratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw
i wolności osoby, której dane dotyczą.
Zgoda na przetwarzanie informacji musi być wyraźna i nie może być domnie-
mana ani dorozumiana z oświadczenia woli o innej treści. Dlatego też istotne jest
odpowiednie formułowanie klauzul zgody. Jeśli np. pracownik zgodzi się na prze-
twarzanie jego danych osobowych w związku z organizacją wyjazdu integracyjnego
i ubezpieczeniem uczestników, co nie jest uregulowane ustawowo, zgoda ta nie
może zostać użyta do innego celu nieobjętego obowiązkami pracodawcy.