Spis treści
OCHRONA DANYCH OSOBOWYCH I INFORMACJI NIEJAWNYCH
DANE OSOBOWE Wróć - informacja, dzięki której można zdefiniować daną osobę.
Pozwalają nam:
- zidentyfikować kogoś,
- dowiedzieć się o kimś dodatkowych informacji (stan majątkowy itp.)
- to informacje o danym człowieku.
Ustawa o ochronie danych osobowych dotyczy tylko i wyłącznie osób fizycznych.
PRAWO DO PRYWATNOŚCI, JAKO PRAWO DO OCHRONY DANYCH OSOBOWYCH Wróć
„Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz decydowania o swoim życiu osobowym” Art. 47
TEORIA SFER WEDŁUG ANDRZEJA KOPFFA Wróć
- sfera intymności życia osobistego,
- sfera prywatności,
- sfera powszechnej dostępności.
POJĘCIE PRYWATNOŚCI Wróć
obejmuje ochronę informacji dotyczących określonego podmiotu, co gwarantuje pewien stan niezależności, w ramach którego jednostka może decydować o zakresie i zasięgu udostępniania i komunikowania innym osobom informacji o swoim życiu.
Elementem prawnej ochrony życia prywatnego jest tzw. autonomia informacyjna jednostki.
Oznacza ona prawo do:
- samodzielnego decydowania o ujawnieniu innym informacji dotyczącej swojej osoby,
- sprawowania kontroli nad takimi informacjami, które znajdują się w posiadaniu innych osób.
PRAWO DO OCHRONY DANYCH OSOBOWYCH W KONSTYTUCJI RP Wróć
prawo do ochrony danych osobowych należy do konstytucyjnie zagwarantowanych wolności i praw osobistych. Art. 51 pkt. 1-5
ZAKRES PRZEDMIOTOWY USTAWY O OCHRONIE DANYCH Wróć
1) każdy ma prawo do ochrony danych osobowych,
2) przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne. Dobro osoby, której dane dotyczą lub dobro osób trzecich w zakresie i trybie określonym ustawą.
Wyrok NSA w Warszawie z 24.06.1999r.
„Błędnym jest twierdzeniem iż imię i nazwisko oraz stanowisko pracownika państwowego za wyjątkiem służb specjalnych lub samorządowego podlega ochronie danych osobowych na podstawie przepisów ustawy z dnia 29.08.1997r. o ochronie danych osobowych”.
Jeżeli przedsiębiorca objął zakresem danych indywidualnych dotyczących firmy swoje dane osobowe, w sytuacji, gdy dane te pokrywają się, nie może on jako osoba fizyczna domagać się ochrony swoich danych, które są wykorzystywane nie jako dane osobowe lecz jako dane firmy.
SPOSÓB (FORMA) WYRAŻENIA DANYCH OSOBOWYCH Wróć
są one, z reguły, wyrażane w formie:
- zwerbalizowanej (słownej),
- wizualnej np. fotografia danej osoby,
-audio, nagranie jej głosu,
- mieszany (audiowizualny) np. utrwalenie wizerunku i głosu tej osoby na wideo.
RODZAJE DANYCH OSOBOYCH (1) Wróć
1) dane identyfikujące:
- wprost (imię, nazwisko, adres lub wizerunek),
- pośrednio (nr pesel, dowodu, marka auta, nr rejestracyjne)
2) dane odnoszące się do osoby zidentyfikowanej:
- wykształcenie, hobby, miejsce pracy, stan posiadania, wysokość wynagrodzenia
RODZAJE DANYCH OSOBOWYCH (2) Wróć
- zwykłe,
- wrażliwe (sensytywne), to dane ujawniające pochodzenie rasowe, lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną, związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogu lub życiu seksualnym oraz dane dotyczące wyroków skazujących, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.
Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działania.
DANE OSOBOWE A KONSTRUKCJA ADRESÓW E-MAILOWYCH Wróć
- adresy e-mailowe traktuje się, jako dane, gdy mają postać np. imię.nazwisko@firma.waw.pl,
- adres e-mailowy internauta@yahoo.com nie zawiera informacji o charakterze osobowym.
ZAKRES PRZEDMIOTOWY OBOWIĄZYWANIA USTAWY Wróć
- zasady postępowania przy przetwarzaniu danych osobowych,
- prawa osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach danych osobowych.
ZAKRES STOSOWANIA USTAWY DO PRZETWARZANIA DANYCH OSOBOWYCH Wróć
- w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych,
- w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych.
POJĘCIE „PRZETWARZANIA DANYCH OSBOWYCH” Wróć
- są to jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, udostępnianie i usuwanie, a zgłasza te, które wykonuje się w systemach informatycznych.
ZBIÓR DANYCH OSOBOWYCH Wróć
- to każdy zbiór posiadający strukturę, zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego czy zestaw ten jest rozproszony, czy też podzielony funkcjonalnie.
CECHY ZBIORU DANYCH OSOBOWYCH Wróć
- elementami składowymi muszą być dane osobowe,
- uporządkowanie, czyli posiadanie struktury,
- dane w zbiorze muszą być uporządkowane według kryteriów,
- dla funkcjonowania zbioru nie ma znaczenia forma jego prowadzenia,
- ze zbiorem danych mamy do czynienia niezależnie od tego, czy jest on rozproszony, czy podzielony funkcjonalnie.
ZAKRES PRZEDMIOTOWY OBOWIĄZYWANIA USTAWY Wróć
1) podmiot ze sfery publicznej,
2) podmiot ze sfery niepublicznej (podmioty prywatne).
WYŁĄCZENIE STOSOWANIA U.O.D.O Wróć
- do osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych,
- do podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne, znajdujące się na terytorium RP, wyłącznie do przekazywania danych (urządzenia w RP),
- do prasowej działalności dziennikarskiej, oraz do działalności literackiej lub artystycznej, chyba, że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą.
Ograniczone jest stosowanie ustawy o ochronie danych osobowych w odniesieniu do zbiorów danych sporządzonych doraźnie (brak uporządkowania, tworzone na krótki czas)
POJĘCIE „ADMINISTRATOR DANYCH” Wróć
- podmiot zobowiązany do stosowania u.o.d.o (osobowy fizyczne, osoby prawne, urzędy),
- posiada kompetencje do decydowania w przedmiocie przetwarzania danych (posiada władztwo i musi to sfinansować).
*WYROK NSA Z DN. 30.01.2002r.:
Administratorem danych nie jest każdy dysponent danych osobowych, ale tylko ten, który decyduje (mówi jak i co) o celach i środkach przetwarzania danych.
KWESTIA „SPERSONIFIKOWANIA” ADMINISTRATORA DANYCH Wróć
personalne obowiązki administratora danych i w konsekwencji związana z tym odpowiedzialność za prawidłowe stosowanie u.o.d.o spoczywa na osobie, która jest uprawniona do zaciągania w imieniu konkretnego podmiotu zobowiązań, czyli statutowo jest odpowiedzialna za działanie podmiotu posiadającego zbiór danych osobowych.
PODSTAWOWE OBOWIĄZKI ADMINISTRATORA DANYCH Wróć
1) legalne przetwarzanie danych osobowych (zgoda, osoby, przepis prawa, umowa, zadanie publiczne, klauzula usprawiedliwionego celu),
2) przestrzeganie zasad przetwarzania danych osobowych,
3) wypełnianie obowiązków:
- informacyjnego,
- rejestracyjnego,
- związanego z powierzeniem przetwarzania danych, przekazywaniem danych do państwa trzeciego, zabezpieczeniem danych.
DOPUSZCZALNOŚĆ PRZETWARZANIA DANYCH OSOBOWYCH Wróć
określone w art. 23 u.o.d.o materialne przesłanki przetwarzania danych osobowych, mają charakter generalny - odnoszą się do wszelkich form przetwarzania danych, w tym zarówno do przetwarzania „na własne potrzeby” administratora jak i „na zewnątrz”.
Odmiennie kształtują się jedynie przesłanki:
- usprawiedliwiające przetwarzanie danych wrażliwych (art. 27 ust. 2),
- dopuszczalności przekazywania danych do państwa trzeciego (art. 47 i 48 u.o.d.o).
Każda z wymienionych w art. 23 u.o.d.o okoliczności usprawiedliwiających przetwarzanie danych ma charakter autonomiczny i niezależny.
ZASADA OCHRONY DANYCH OSOBOWYCH Wróć
„WSZELKIE PRZETWARZANIE DANYCH, KTÓRE NIE JEST DOZWOLONE JEST ZAKAZANE”:
u.o.d.o w sposób taksatywny (przykładowy) wyszczególnia okoliczności, które tworzą warunki niezbędne do legalizacji przetwarzania danych osobowych. Nie jest przesłanką legalizującą to, iż przetwarzane dane pochodzą z powszechnie dostępnych źródeł.
1) ZGODA OSOBY, KTÓREJ DANE DOTYCZĄ u.o.d.o nie wybrała modelu tzw. opcji negatywnej a więc założenia, iż brak sprzeciwu oznacza zgodę, i że w związku z tym wolno przetwarzać dane osobowe o ile zainteresowany się temu nie sprzeciwia.
POJĘCIE „WYRAŻENIA ZGODY” Wróć
ma charakter oświadczenia woli, którego treścią jest zezwolenie na przetwarzanie danych osobowych składającego oświadczenie. Jest to oświadczenie składane „innej osobie”.
Traktowanie zgody na przetwarzanie danych osobowych, jako oświadczenia woli składania do badania jej skuteczności prawnej, z punktu widzenia zdolności do czynności prawnej osoby wyrażającej zgodę.
Zgoda na przetwarzanie danych nie tylko występuje w formie jednostronnego oświadczenia woli, ale może też stanowić elementy umowy. Ma to miejsce m.in. wówczas, gdy w grę wchodzi świadczenie wzajemne, ze strony administratora danych np. w formie zobowiązania do zapłaty jakiejś sumy pieniężnej, do uwzględnienia w losowaniu nagród itp. Nie ma przeszkód, aby zgoda musiała mieć charakter warunkowy.
SPOSÓB WYRAŻENIA ZGODY OSOBY NA PRZETWARZANIE JEJ DANYCH OSOBOWYCH Wróć
- Zgoda osoby na przetwarzanie jej danych osobowych nie może mieć charakteru abstrakcyjnego, nie może dotyczyć przetwarzania danych „w ogóle”.
Musi być wyrażona ze świadomością wynikających z niej korzystnych niekorzystnych konsekwencji. Jest przeciwieństwem tzw. zgody blankietowej.
- zgoda nie może być domniemana ani dorozumiana z oświadczenia woli o innej treści.
Z faktu odesłania przez klienta przesłanki reklamowej, kuponu, lub zamówienia nie można wywodzić zgody na przetwarzanie danych a jedynie dopuszczalne jest potraktowanie takie działania osoby, jako przyjęcie oferty w rozumieniu kodeksu cywilnego.
Aby oświadczenie woli, którego treścią jest zgoda osoby na przetwarzanie jej danych osobowych, było skuteczne musi być złożone swobodnie, nie może być wymuszone.
MOMENT ODEBRANIA OD OSOBY OŚWIADCZENIA ZGODY Wróć
zgoda powinna zostać odebrana przed udostępnieniem danych przez osobę swoich danych osobowych, po wykonaniu przez administratora danych obowiązku informacyjnego.
FORMA UDZIELENIA ZGODY NA PRZETWARZANIE DANYCH OSOBOWYCH Wróć
Oświadczenie, co do zasady mogą być wyrażone przez każde zachowanie osoby, która ujawnia jej wolę w sposób dostateczny.
! nie ma podstaw do wywodzenia obowiązku wyrażenia zgody w formie pisemnej:
Skuteczna pod względem skutków prawnych będzie nawet zgoda, udzielona ustnie lub w jakiejkolwiek innej formie np. przez naciśnięcie ikony w programie komputerowym, w formie elektronicznej lub za pomocą innych urządzeń teletransmisji danych.
! Jedynie w odniesieniu do danych osobowych wrażliwych - art.27 ust.2 pkt. 1 ustawy w przypadkach określonych w art.27 ustawy zgoda musi być wyrażona pisemnie!
ZGODA MOŻE BYĆ ODWOŁANA W KAŻDYM CZASIE: Wróć
Skutki odwołania zgody powinny odnosić się tylko do przyszłości. Obowiązek uzyskania zgody nie rozciąga się na tę formę przetwarzania, która polega na usuwaniu danych.
Jeżeli uzyskanie zgody osoby jest niemożliwe wówczas przesłanka usprawiedliwiająca przetwarzanie danych stanowi okoliczność, iż przetwarzanie danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą.
Np. CHOROBA (nieświadomość pacjenta) -> OPERACJA (lekarz podejmuje decyzję).
2) REALIZACJA UPRAWNIENIA LUB SPEŁNIENIA OBOWIĄZKU WYNIKAJĄCEGO Z PRZEPISU PRAW Wróć
legalnym uzasadnieniem dla przetworzenia danych osobowych w rozumieniu art.23 ust. 1 pkt. 2 ustawy, jest jego niezbędność dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawnego.
Wyznaczenie przez przepis prawa zakresu przetwarzania danych osobowych jest wiążący dla administratora danych. Niedopuszczalne jest jego jakakolwiek modyfikacja, nie może on być wolą stron poszerzany i zmieniany.
! Niedopuszczalne jest domaganie się uzależnianie dokonania określonej czynności prawnej (np. zawarcia umowy) od dostarczenia większej ilości danych osobowych, niż to wyraźnie przewidują przepisy oraz wyrażenia zgody na ich przetwarzanie.
3) REALIZACJA UMOWY LUB PODJĘĆIE DZIAŁAŃ PRZEZ ZAWARCIEM UMOWY Wróć
dopuszczalne jest przetwarzanie danych osobowych, gdy:
1) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą jest jej stroną,
2) jest to niezbędne do podjęcia działań przed zawarciem umowy, na żądanie osoby, której dane dotyczą.
WYJĄTEK!
Jedynie w drobnych umowach sfery życia codziennego - kontrahenci mogą zachowywać wobec siebie anonimowość.
LEGALNOŚĆ WYKONANIA KSEROKOPII DOWODU OSOBISTEGO KONSUMENTA: Wróć
wykonanie określonego prawem zadania publicznego:
dopuszczalne jest przetwarzanie danych osobowych, gdy:
- jest to niezbędne go zrealizowania zadań dla dobra publicznego,
- zadania dla dobra publicznego określone są prawem.
4) ZADANIA ZREALIZOWANE DLA DOBRA PUBLICZNEGO Wróć
interpretować dosłownie jako zadanie przez prawo zlecone (przekazane) temu, kto prowadzi przetwarzanie danych. Mogą to być zadania z zakresu bezpieczeństwa publicznego, walki z przestępczością, opieki zdrowotnej, udzielania pomocy ofiarom klęsk żywiołowych.
Wyraz „publiczny” należy przeciwstawiać wyrazowi „prywatny” , „indywidualny” (dec. GIODO).
5) WYPEŁNIENIE PRAWNE USPRAWIEDLIWIONYCH CELÓW Wróć
przetwarzanie danych osobowych według art.23 ust. 1 pkt. 5 u.o.d.o jest dopuszczalne tylko wtedy, gdy:
1) jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych lub odbiorców danych,
2) przetwarzanie nie narusza praw o wolności osoby, której dane dotyczą.
„PRAWNIE USPRAWIEDLIWIONE CELE”:
mają być określone w akcie normatywnym. Cel przetwarzania danych osobowych w celu i za pomocą środków co do których istnieje publiczne pozwolenie na posługiwanie się nimi w życiu społecznym.
Usprawiedliwiony cel przetwarzania danych nie może dotyczyć wspólnego przedsięwzięcia administratora danych z innym podmiotem (np. jeśli administrator jest udziałowcem innego podmiotu i chce wykorzystywać dane do promocji działalności tego podmiotu.
Za prawnie usprawiedliwiony cel uważa się (w szczególności): Wróć
- marketing bezpośredni własnych produktów lub usług administratora danych,
- dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
POJĘCIE „MARKIETING BEZPOŚREDNI” Wróć
- jest to ogół działań, jak również wszelkich dotyczących go usług pomocniczych umożliwiających oferowanie produktów i usług bądź przekazywanie oświadczeń kierowanych do ludności za pośrednictwem kurierów, telefonów lub innych bezpośrednich środków w celach informacyjnych, bądź w celu wywołania reakcji ze strony osoby zainteresowanej.
PRZESŁANKI LEGALNEGO WYKORZYSTYWANIA DANYCH OSOBOWYCH DLA PROWADZENIA MARKETINGU BEZPOŚREDNIEGO: Wróć
1) zachowanie tożsamości przedmiotu prowadzonego marketingu z przedmiotem (rodzajem) prowadzonej przez przedsiębiorcę działalności lub świadczonych usług,
2) zachowanie tożsamości podmiotu, który przetwarza dane osobowe i na rzecz którego prowadzony jest marketing.
DOCHODZENIE ROSZCZEŃ Z TYTUŁU PROWADZONEJ DZIAŁALNOŚCI GOSPODARCZEJ: Wróć
dyspozycję przepisu będzie wypełniało przetwarzanie danych celem dochodzenia roszczeń w stosownym postępowaniu sądowym tj. zawarcie danych osobowych dłużnika w pozwie.
ZASADY SZCZEGÓLNEJ STARANNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH Wróć
zasady postępowania przy przetwarzaniu danych osobowych, to nic innego jak wyznaczanie reguł postępowania uniwersalnych dyrektyw, wskazówek, którymi ma kierować się każdy administrator danych podejmujący czynności z zakresu przetwarzania danych osobowych.
1) ZASADA LEGALNOŚCI Wróć
- zgodność z prawem dotyczy przestrzegania zarówno przepisów prawa materialnego, jak i przepisów dotyczących postępowania,
- legalność odnosi się do zgodności przetwarzania danych nie tylko z przepisami rangi ustawowej, ale także z normami zawartymi w aktach wykonawczych.
2) ZASADA CELOWOŚCI ZBIERANIA DANYCH OSOBOWYCH Wróć
- zobowiązuje administratora danych osobowych do zbierania danych do celów:
- oznaczonych,
- zgodnych z prawem.
3) ZASADA NIEZMIENNOŚCI CELU PRZETWARZANIA DANYCH OSOBOWYCH Wróć
- to zakaz używania danych w innym kontekście niż ten, dla których je zbieramy,
- należy ją rozumieć jako „związanie celem zbierania danych w trakcie dokonywania dalszych operacji przetwarzania danych”.
! Wyjątki od zasady niezmienności celu przetwarzania danych osobowych:
- zmiana celu w trakcie przetwarzania danych jest możliwa, tylko wtedy, gdy nie narusza praw i wolności osób, których dane dotyczą oraz następuje:
*w celach badań naukowych, dydaktycznych, historycznych lub statystycznych,
*z zachowaniem przepisów art.23 i 25 u.o.d.o.
4) ZASADA POPRAWNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH Wróć
zasada zobowiązuje administratora danych do przetwarzania danych zgodnych ze stanem faktycznym i prawnym, opowiadających aktualnemu stanowi rzeczy prawdziwych.
! Okoliczności mające wpływ na realizację zasady poprawności przetwarzanych danych osobowych:
- znaczenie ewentualnej niedokładności danych z perspektywy osoby, której one dotyczą,
- ocena wiarygodności źródła pozyskiwania danych,
- konieczność wypracowania trybu weryfikowania prawdziwości danych w odniesieniu do poszczególnych ich kategorii oraz zasad postępowania w przypadku stwierdzenia nieprawdziwości danych.
! Wyjątek: Wróć
wymóg aktualności danych należy traktować, jako zobowiązanie administratora danych do regularnego i systematycznego przeglądu swych zbiorów danych osobowych pod kątem ich aktualizacji.
- Zachowanie merytorycznej poprawności przetwarzania danych wiąże się z koniecznością podejmowania przez administratora danych zapewniających odpowiednie zabezpieczenie danych przed nieuprawnioną ingerencją lub też ich nieautoryzowaną modyfikacją.
- Skuteczność inicjatywy ochrony danych zmierzającej do zapewnienia merytorycznej poprawności przetwarzania danych, czyli ich aktualizacji uzależniona jest w znacznej mierze od jego statusu.
-Aktualizację danych osobowych administrator danych może dokonywać w oparciu o informacje przekazywane przez osobę, której dane dotyczą.
- Administrator danych zobowiązany jest do poinformowania bez zbędnej zwłoki innych administratorów, którym udostępnił zbiór danych o dokonanym uaktualnieniu lub sprostowaniu danych. (Art. 35 ust. 3 u.o.d.o)
5) ZASADA ADEKWATNOŚCI (PROPORCJONALNOŚCI) PRZETWARZANIA DANYCH OSOBOWYCH Wróć
zbierane dane osobowe swoim rodzajem i treścią nie powinny wykraczać poza potrzeby wynikające z celu ich zbierania.
- Zasada adekwatności odnosi się do ustalenia zależności między celem a zakresem przetwarzania danych i oznacza 2 wymogi:
*ograniczenie zbierania danych jedynie do tych, które są niezbędne do osiągnięcia celu,
*konieczność usunięcia danych, gdy staną się one zbędne do osiągnięcia celu przetwarzania.
6) ZASADA OGRANICZENIA CZASOWEGO PRZECHOWYWANIA DANYCH OSOBOWYCH Wróć
administrator danych zobowiązany jest zapewnić, aby dane te były przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą nie dłużej jednak niż jest to niezbędne do osiągnięcia celu przetwarzania.
Wykład 10.11.2015r
Czynności administratora danych zapewniające realizację czasowego przetwarzania danych osobowych Wróć
- powinien regularnie dokonywać oceny zawartości swych zbiorów pod kątem usuwania zbędnych danych,
- w przypadku dużych zbiorów należy rozważyć celowość uprzedniego ustanowienia okresów ich przetrzymywania,
- w przypadku, gdy zapisanie (zgromadzenie) danych ma źródło w relacji istniejącej między danymi osobowymi (czy osobą) a administratorem danych, należy przyjąć obowiązek ich usunięcia a w sytuacji wygaśnięcia tej relacji.
„Z chwilą całkowitej spłaty kredytu kończy się prawne zezwolenie na przetwarzanie danych tych osób. Dalsze ich przetwarzanie jest nielegalne”
ZAKAZ AUTOMATYZACJI ROZSTRZYGNIĘĆ INDYWIDUALNYCH Wróć
stanowi o niedopuszczalności ostatecznego rozstrzygnięcia sprawy osoby, które dane dotyczą, jeżeli jego treść jest wyłącznie wynikiem operacji na danych osobowych, prowadzonych w systemie informatycznym.
WYJĄTEK!
Nie jest zakazane prawem podejmowanie ostatecznych rozstrzygnięć dotyczących indywidualnej sprawy osób, jeżeli:
- podjęte zostanie podczas zawierania lub wykorzystywania umowy z uwzględnieniem wniosku osoby, które dane dotyczą.
OBOWIĄZEK INFORMACYJNY ADMINISTRATORA DANYCH Wróć
administrator danych ma obowiązek przekazać osobie, której dane dotyczą ustawowo określonego zakresu informacji dotyczących wskazanych aspektów przetwarzania danych.
Udzielenie przez administratora wskazanych w ustawie informacji jest warunkiem legalności danych.
Nie ma znaczenia:
- w jaki sposób dane są zbierane (przy bezpośrednim kontakcie, czy przez telefon),
- w jaki sposób dane są utrwalone (zapis ręczny lub elektroniczny),
- jaki charakter ma zbiór, do którego są one wprowadzone (m.in. czy jest to zbiór tradycyjny, czy też informatyczny)
Wyznaczonym obowiązkiem informacyjnym administratora danych odpowiadają prawa osoby, od której dane są zbierane. Mamy tu do czynienia z prawem do informacji czy „prawem do policzenia”.
CECHY PRAWA DO POUCZENIA Wróć
- nie można ich się zrzec, ani ograniczyć ich przez czynność prawną,
- nie mogą być one wolą stron wyłącznie przez umowę,
- są ściśle związane z oznaczoną osobą,
- nie mogą być przeniesione ani „Inter vivos” (między żyjącymi) ani „montis cousa” (po śmierci).
MOMENT WYKONANIA OBOWIĄZKU INFORMACYJNEGO Wróć
- obowiązek informacyjny powinien być wykonany zanim administrator danych zacznie wykonywać operacje przetwarzania danych, tj:
*przed udostępnieniem przez osobę swoich danych, gdy dane uzyskiwane są bezpośrednio od osoby, której dane dotyczą.
*bezpośrednio po utrwaleniu zebranych danych (po zapisaniu danych w sposób umożliwiający ich dalsze przetwarzanie), gdy dane są zbierane nie bezpośrednio od osoby, której dane dotyczą, ale z innych źródeł.
FORMA REALIZACJI OBOWIĄZKU INFORMACYJNEGO Wróć
brak jest wyraźnego wskazania sposobu jego realizacji. Jedyną wskazówką w tym względzie stanowi użyty zwrot „tę osobę”. Oznacza to, że informacja musi być skierowana do oznaczonej osoby i to w taki sposób, aby dawała pewność, że osoba się z nią zapoznała.
ZAKRES INFORMACJI PRZEKAZYWANYCH W RAZIE ZBIERANIA DANYCH OSOBOWYCH BEZPOŚREDNIO OD OSOBY, KTÓREJ DANE DOTYCZĄ Wróć
- adres siedziby administratora danych, jego pełną nazwę, a w przypadku gdy jest osobą fizyczną - dane o miejscu zamieszkania, o imieniu i nazwisku,
- cel zbierania danych, a w szczególności o znanych mu w czasie udzielania mu informacji lub kategoriach odbiorców danych,
- prawie dostępu do treści swoich danych oraz ich poprawienia,
- ma dać zainteresowanemu możliwość sprawdzenie, jakie dotyczące go dane znajdują się w zbiorze i czy są one prawdziwe,
- dobrowolności, albo obowiązku podania danych, a jeżeli taki obowiązek istnieje o jego prawnej podstawie.
Powiadomienie powinno następować z inicjatywy administratora tzw. „aktywnym obowiązkiem informacyjnym”.
Powiadomienie dokonuje nie zawsze sam administrator.
WYJĄTEK!
1) przepis inne ustawy zezwala na przetwarzanie danych bez ujawnienia faktycznego celu ich zbierania,
2) osoba, której dane dotyczą już posiada te informacje.
ZAKRES OBOWIĄZKU INFORMACYJNEGO W RAZIE ZBIERANIA DANYCH Z INNYCH ŹRÓDEŁ NIŻ OD OSOBY, KTÓREJ DANE DOTYCZĄ Wróć
- adres siedzimy administratora danych i pełnej nazwie, a w przypadku, gdy administrator jest osobą fizyczną- o miejscu swojego zamieszkania oraz imieniu i nazwisku,
- celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych,
- źródle danych,
- prawie dostępu do treści swoich danych oraz ich poprawienia,
- o usprawnieniach wynikających z art.32 ust.1 pkt 7 i 8 tj. prawie wniesienia sprzeciwu.
ZWOLNIENIE Z OBOWIĄZKU INFORMACYJNEGO ADMINISTRATORA DANYCH GROMADZĄCEGO DANE NIE BEZPOŚREDNIO OD OSÓB, KTÓRYCH DANE DOTYCZĄ Wróć
- przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych, bez wiedzy osoby, której dane dotyczą,
- dane są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii politycznej, ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą a spełnienie obowiązku informacyjnego wymagałoby nadmiernych nakładów luz zagrażałoby realizacji celu badania,
- gdy dane są przetwarzane przez administratora „ze sfery publicznej” na podstawie przepisu prawa,
- gdy osoba, której dane dotyczą posiada już wymagane informacje.
MOMENT WYKONANIA OBOWIĄZKU INFORMACYJNEGO Wróć
przekazanie odpowiednich informacji przez administratora danych może to nastąpić „bezpośrednio po utrwaleniu zebranych danych”. Forma utrwalenia danych nie ma znaczenia.
OBOWIĄZEK REJESTRACJI ZBIORU DANYCH OSOBOWYCH Wróć
Administrator jest zobowiązany zgłosić zbiór danych do rejestracji GIODO:
- przedmiotem zgłoszenia i rejestracji jest zbiór danych jako taki. Nie jest nim ani samo przetwarzanie danych prowadzone w oparciu o jeden czy więcej zbiorów, ani zawartość (treść) zbioru),
- dzięki systemowi rejestracyjnemu ustanowiona została jawność celu zbierania i wykorzystywania danych osobowych,
- na podstawie zawartości rejestru osoba zainteresowana nie może stwierdzić, czy w danym zbiorze zgromadzone są lub mogą być dane na jego temat.
ZAKRES REJESTRACJI ZBIORÓW Wróć
- zarówno zbiory nastawione na przetwarzanie danych na zewnątrz, jak i na potrzeby własne,
- zarówno zbioru funkcjonujące w sektorze publicznym, jak i w zbiorze prywatnym,
- zarówno zbiory, w których przetwarzanie danych służy celom komercyjnym, jak i zbiory służące innym celom oraz co szczególnie istotne,
- zbiory zautomatyzowane jak i zbiory tradycyjne (manualne, kartotekowe).
ZNACZENIE ZGŁOSZENIA I REJESTRACJI ZBIORU DANYCH OSOBOWYCH Wróć
- posiada jedynie informacyjny i formalny charakter,
- nie jest źródłem praw dla administratora,
- nie oznacza że przetwarzanie danych w zbiorze jest zgodne z prawem,
- ustanowiona została w znacznej mierze jawność celu i wykorzystywania danych osobowych,
- ma znaczenie z punktu widzenia kompetencji kontrolnych (inspekcyjnych) GIODO.
MOMENT, W KTÓRYM DOKONAĆ NALEŻY ZGŁOSZENIA ZBIORU DO REJESTRACJI Wróć
poza szczególnymi przypadkami przewidzianymi ustawą a odnoszącymi się do zbiorów już istniejących w chwili wejścia w życie ustawy, nie jest dopuszczalne rozpoczęcie przetwarzania danych osobowych w zbiorze danych przed dokonaniem zgłoszenia.
ZBIORY DANYCH WYŁĄCZONE Z OBOWIĄZKU REJESTRACJI Wróć
- objęte tajemnicą państwową ze względu na obronność lub bezpieczeństwo państwa, ochronę życia i zdrowia ludzi, mienia, lub bezpieczeństwa i porządku publicznego,
- przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego,
- dotyczące członków kościoła lub innego związku wyznaniowego o uregulowanej sytuacji prawnej,
- dotyczą osób zatrudnionych, zrzeszonych lub uczących się u administratora danych,
- dotyczą osób korzystających z usług administratora, świadczonych w sferze medycznej, obsługi notarialnej, adwokackiej lub radcy prawnego,
- tworzonych na podstawie ordynacji wyborczych do sejmu, senatu, rad gmin, ustawy o wyborze prezydenta RP oraz ustaw o referendum i ustawy o referendum gminnym,
- dotyczące osób pozbawionych wolności na podstawie ustawy w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności,
- przetworzonych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,
- powszechnie dostępnych,
- przetwarzanie w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego,
- przetwarzanie w zakresie drobnych, bieżących spraw życia codziennego.
ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI POWINNO ZAWIERAĆ Wróć
1) wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych,
2) oznaczenie podmiotu prowadzącego zbiór i adres jego siedziby lub miejsca zamieszkania w tym identyfikacyjny rejestr podmiotów gospodarki narodowej, jeżeli został mu nadany oraz podstawę prawną upoważniającą do prowadzenia zbiorów.
3) cel przetwarzania danych,
4) opis kategorii osób, których dane dotyczą oraz zakres przetwarzanych danych,
5) sposób zbierania oraz udostępniania danych,
6) informacje o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane,
7) opis środków technicznych i organizacyjnych zastosowanych w celach zabezpieczenia danych,
8) informacje o sposobie wypełniania warunków technicznych i organizacyjnych jakimi powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych,
9) informacje dotyczące ewidentnego przekazywania danych do państwa trzeciego.
OBOWIĄZEK ZGŁOSZENIA GIODO KAŻDEJ ZMIANY INFORMACJI OBJĘTNEJ ZGŁOSZENIEM REJESTRACYJNYM Wróć
Administrator danych jest zobowiązany zgłaszać GIODO każdą zmianę informacji w terminie 30 dni od dnia dokonania zmiany w zbiorze danych.
Administrator danych może rozpocząć przetworzenie w zbiorze danych po zgłoszeniu tego zbioru Generalnemu Inspektorowi chyba, że ustawa zwalnia go z tego obowiązku. Administrator danych, który przetwarza dane sensytywnie (wrażliwie) może rozpocząć ich przetwarzanie w zbiorze danych po zarejestrowaniu zbioru chyba, że ustawa zwalnia go z obowiązku zgłoszenia zbioru do rejestracji.
GENERALNY INSPEKTOR Wróć prowadzi ogólnokrajowy, jawny rejestr zbioru danych osobowych. Każdy ma prawo przeglądać rejestr. Poza zakresem jawności, jaki wynika z publicznego charakteru rejestru pozostają te wszystkie zbiory, co do których nie istnieje obowiązek rejestracji.
ODMOWA REJESTRACJI ZBIORU Wróć
- nie zostały spełnione wymogi określone w art. 41 ust. 1,
- przetwarzane dane osobowe naruszałyby zasady określone w art. 23-28,
- urządzenia i systemy informacyjne, służące do przetwarzania zbioru danych zgłoszonego do rejestracji nie spełniają podstawowych warunków technicznych i organizacyjnych określonych
w przepisach art. 39.
WYKREŚLENIE Z REJESTRU ZBIORU DANYCH OSOBOWYCH Wróć
- zaprzestano przetwarzania danych w zarejestrowanym zbiorze,
- rejestracji dokonano z naruszeniem prawa.
REJESTRACJA ADMINISTRATORÓW BEZPIECZEŃSTWA INFORMACJI W GIODO Wróć jeżeli administrator danych zdecydował się na powołanie Administratora Bezpieczeństwa Informacji (dalej ABI) to fakt powołania powinien zgłosić się do GIODO. Obowiązek zgłoszeniowy dotyczy również odwołania ABI z pełnionej funkcji.
WŁADCZE WYKREŚLENIE ABI Z REJESTRU Wróć
ABI nie spełnia określonych ustawowo wymogów i pełnej zdolności do czynności prawnych. Korzystanie z pełni praw publicznych, posiadanie odpowiedniej wiedzy w zakresie ochrony danych osobowych, niekaralność za umyślne przestępstwo oraz bezpośrednia podległość kierownikowi jednostki organizacyjnej lub osoby fizycznej będącej administratorem danych.
Ustawa pomija wewnętrzne stosunki i organizację pracy u administratora.
Intencją ustawodawcy było, aby ten, komu powierzono przetwarzanie danych (zleceniobiorca) był traktowany, jako administrator danych.
Powierzenie danych to inaczej forma szczególnej działalności gospodarczej, polegającej na tym, że administrator danych osobowych zleca innemu podmiotowi wykonanie określonych prac dzieła, przy wykonaniu których ma również miejsce przetwarzanie danych.
OKOLICZNOŚĆI WYŁĄCZAJĄCE ODPOWIEDZIALNOŚĆ ADMINISTRATORA DANYCH ZA PRAWIDŁOWE PRZETWARZANIE DANYCH Wróć
- powiernik narusza umowę powierzania przetwarzania danych osobowych i dokonuje przetwarzania danych poza umówiony zakres,
- powiernik zlekceważy przepisy dotyczące zabezpieczenia zbiorów danych.
PRAWA OSÓB ZWIĄZANE Z PRZETWARZANIEM DANYCH Wróć
charakterystyka prawa do kontroli przetwarzania danych osobowych:
- przybierają postać roszczeń określonego zachowania się, kierowanych do administratora,
- można je stosować tylko do „danych zgromadzonych w zbiorze”.
REALIZACJA PRAWA DO KONTROLI NIE NALEŻY DO Wróć
- rodzaju zbiorów objętych jego działaniem,
- rodzaju administratora objętego jego działaniem,
- rodzaju danych osobowych.
CZYNNA LEGITYMACJA DO REALIZACJI PRAWA DO KONTROLI PRZETWARZANYCH DANYCH OSOBOWYCH Wróć
- przysługuje „każdej osobie”, która nie lub ma podstawy do tego, aby przypuszczać iż dotyczące jej dane podlegają przetwarzaniu.
BIERNA LEGITYMACJA DO REALIZACJI PRAWA DO KONTROLI PRZETWARZANYCH DANYCH OSOBOWYCH Wróć
- zobowiązanym jest zarówno każdy potencjalny administrator danych, który sam przetwarza albo zleca przetwarzanie danych.
PRAWO DO KONTROLI PRZETWARZANIA DANYCH OSOBOWYCH Wróć
- ma charakter bezwzględny,
- jest ściśle związane z oznaczoną osobą.
FORMA REALIZACJI PRAWA DO KONTROLI DANYCH OSOBOWYCH Wróć
wystąpienie o udzielenie informacji, podobnie zresztą jak i samo udzielenie informacji, zrealizowane mogą być w dowolny sposób. Nic nie stoi również na przeszkodzie, aby zarówno zapytanie, jak i odpowiedź zostały złożone i przekazane przez sieć komputerową, pocztę elektroniczną.
PODZIAŁ ŻĄDAŃ Z JAKIMI WYSTĄPIĆ MOGĄ OSOBY, KTÓRYCH DOTYCZĄ PRZETWARZANE DANE Wróć
- żądania, z którymi można występować nie częściej niż 1 raz w ciągu 3 miesięcy (chodzi o informacje wymienione w art.32 ust. 1 pkt. 1-5 u.o.d.o),
- żądanie, które nie są poddane podobnym ograniczeniom (art.32, ust 1, pkt. 5a-9 u.o.d.o).
RODZAJE UPRAWNIEŃ KONTROLNYCH Wróć
- informacyjne,
- korekcyjne,
- zakazowe.
Uprawnienia informacyjne Wróć
1) prawo do posiadania informacji o zakresie i treści przetwarzania danych osobowych. Obejmuje ono prawo uzyskania informacji dotyczącej:
- istnienia zbioru danych oraz ustalenia administratora danych, adresu jego siedziby i pełnej nazwy a w przypadku, gdy administratorem jest osoba fizyczna - jej miejsce zamieszkania, oraz imienia i nazwiska,
- celu, zakresu i sposobu przetwarzania danych zawartych w zbiorze,
- momentu, od kiedy przetwarza się w zbiorze dane dotyczące osoby, oraz podania w powszechnie zrozumiałej formie - treści tych danych,
- źródle, z którego pochodzą dane, chyba, że administrator jest zobowiązany do zachowania w tym zakresie tajemnicy państwowej, służbowej lub zawodowej,
- sposobach udostępniania danych, a w szczególności informacjach o odbiorach lub kategoriach odbiorców, którym dane te są udostępniane,
-przesłanej podjęcia rozstrzygnięcia polegającego na automatycznym przetworzeniu danych osobowych.
2) żądanie przedstawienia informacji o zakresie i treści przetwarzanych danych osobowych: osoba, której dane są przetwarzane może żądać podania w powszechnie zrozumiałej formie - treści przetwarzanych danych (chodzi tu nie o wszelkie dane, lecz o dane jej dotyczące).
PRZESŁANKI PRAWIDŁOWO WYKONANEGO ŻĄDANIA OSOBY Wróć odpowiedź powinna być udzielona w terminie 30 dni (od daty otrzymania wniosku). Informacje dotyczące danych osobowych zawarte w odpowiedzi powinny być wyrażone w zrozumiałej postaci.
Udzielając informacji, administrator danych związany jest żądaniem osoby.
Kwestia ewentualnych kosztów udzielenia informacji nie jest uregulowana w ustawie.
OBOWIĄZEK ODMOWY UDZIELENIA ŻĄDANYCH INFORMACJI Wróć powstaje w tych wszystkich przypadkach, w których przekazanie powodowałoby:
- ujawnienie wiadomości zawierających informacje niejawny,
- zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego,
- zagrożenia dla podstawowego interesu gospodarczego lub finansowego państwa,
- istotne naruszenie dóbr, których dane dotyczą lub innych osób.
UPRAWNIENIA KOREKCYJNE Wróć
- żądanie modyfikacji treści i zakresu przetwarzania danych osobowych. Uprawnienia korekcyjne zmierzają do modyfikacji sposobu postępowania administratora, tak aby było ono zgodne z zasadami przetwarzania danych osobowych.
ZAKRES PRZEDMIOTOWY WNOSZONEGO ROSZCZENIA Wróć
- uzupełniania danych, uaktualnienia, sprostowania danych osobowych,
- czasowego lub stałego wstrzymania się od przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zebrane z naruszeniem ustawy, albo zbędne dla realizacji celu, dla którego zostały zgromadzone.
PRZESŁANKI WYŁĄCZENIA WNIESIENIA ŻĄDANIA USUNIĘCIA SWOICH DANYCH Wróć
- zgoda osoby,
- konkretny przepis prawa,
- gdy przetwarzanie danych jest niezbędne osobie, której dane dotyczą, w celu wywiązania się z umowy, której jest strona lub jej życzenie w celu podjęcia niezbędnych działań przed zawarciem umowy.
UPRAWNIENIA ZAKAZOWE Wróć prawo do żądania zaprzestania przetwarzania danych osobowych (prawo sprzeciwu):
- składany przez osobę, która ze względu na swoją szczególną sytuację żąda zaprzestania przetwarzania jej danych (sytuacja szczególna - zależy od administratora danych, kiedy on się nie zgodzi na zaprzestanie przetwarzania danych to składa się wniosek do GIODO),
- gdy administrator danych zamierza przetwarzać dane osobowe w celach marketingowych lub wobec przekazywania danych innemu administratorowi danych (wtedy administrator MUSI zaprzestać przetwarzać dane).
Wniesienie sprzeciwu nie jest równoznaczne z obowiązkiem całkowitego usunięcia danych skarżącej osoby.
Dopuszczalne jest pozostawienie w zbiorze:
- imienia lub imion, nazwiska osoby,
- numeru Pesel lub adresu osoby, wyłącznie w celu uniknięcia ponownego wykorzystania danych tej osoby w celach objętych sprzeciwem.
WYŁĄCZENIE WNIESIENIA ŻĄDANIA ZAKAZU PRZETWARZANIA DANYCH OSOBOWYCH Wróć
- wykonanie określonych prawem zadań realizowanych dla dobra publicznego,
- wypełnianie prawnie usprawiedliwionych celów administratorów danych.
PRAWO ŻĄDANIA PONOWNEGO ROZPATRZENIA SPRAWY Wróć
- przyznanie osobie prawa do żądania ponownego rozpatrzenia sprawy ma zapobiegać sytuacji, gdy komputer decyduje o czyimś losie,
- prawo ma zastosowanie, gdy indywidualna sprawa osoby została rozstrzygnięta w sposób ostateczny tylko w oparciu o przetworzenie danych w systemie informatycznym.
ZABEZPIECZENIE DANYCH OSOBOWYCH Wróć
- zakres podmiotowy obowiązku zabezpieczenia danych osobowych:
Administrator danych.
Status administratora danych posiada podmiot decydujący o celach i środkach przetwarzania danych osobowych.
PRZETWARZAJĄCY Wróć inaczej powiernik, administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Podmiot ten jest obowiązany przed rozpoczęciem przetwarzania danych osobowych podjąć środki zabezpieczające zbiór danych. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.
ADMINISTRUJĄCY Wróć administrującym zbiorem danych jest nie tylko będący osobą fizyczną - administrator danych. Jest nim również ta osoba, która zarządza przetworzeniem danych wówczas, gdy zachowanie uznane za karalne w świetle art.50 u.o.d.o wynika z powierzanych jej czynności przetwarzania danych.
ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI Wróć nadzoruje on przestrzeganie zasad ochrony danych osobowych. Pełni więc rolę kontrolną a nie zasadniczą.
OSOBY UPOWAŻNIONE DO PRZETWARZANIA DANYCH OSOBOWYCH Wróć to osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachowywać w tajemnicy:
a) te dane osobowe,
b) sposoby ich zabezpieczenia.
INNE PODMIOTY Wróć u.o.d.o. nie wskazuje innych podmiotów, które byłyby obciążone obowiązkiem zabezpieczania danych osobowych. Rolę w tym zakresie posiadają inni pracownicy np. zatrudnieni na stanowiskach kierowniczych.
OBOWIĄZEK ODPOWIEDNIEJ OCHRONY Wróć ma charakter dynamiczny, co oznacza, że nie może być spełniony jednorazowo. Prawidłowe wykonanie tego obowiązku wymaga uwzględnienia konkretnych okoliczności przetwarzania danych osobowych. Obciążenie odpowiedniej ochrony jest związane z oceną i zarządzaniem ryzykiem. Ocena ryzyka powinna mieć miejsce wówczas, gdy dane osobowe przetwarzane są z wykorzystaniem systemu informatycznego.
OCENA RYZYKA Wróć
*dotyczy tylko danych osobowych przetwarzanych w systemie informatycznym,
*sprowadza się do ustalenia dwóch okoliczności:
- kategorii danych przetwarzanych przez administratora,
- faktu połączenia któregokolwiek z urządzeń systemu informatycznego służącego do przetwarzania danych osobowych z siecią publiczną.
POZIOMY RYZYKA Wróć
- podstawowy,
- podwyższony
- wysoki ( jeśli jesteśmy połączeni z Internetem).
OBOWIĄZEK ZASTOSOWANIA ŚRODKÓW ZAPEWNIAJĄCYCH OCHRONĘ PRZETWARZANIA DANYCH OSOBOWYCH Wróć
- obowiązki niezależne od poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym,
- obowiązki uzależnione od poziomu bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym.
FUNKCJE SYSTEMU INFORMATYCZNEGO Wróć niezwiązane z poziomem bezpieczeństwa stosowanym względem systemu informatycznego.
WYJĄTKI:
-system informatyczny służący do przetwarzania danych osobowych ogranicza się wyłącznie do edycji tekstu w celu udostępnienia go na piśmie.
-dane osobowe przetwarzane są w co najmniej dwóch systemach informatycznych- automatycznie odnotowywania musi być zrealizowane co najmniej w jednym z nich lub w odrębnych systemach informatycznych przeznaczonym do ich odnotowywania.
ŚRODKI ZAPEWNIAJĄCE OCHRONĘ PRZETWARZANYCH DANYCH OSOBOWYCH PRZYPISANE DO POZIOMU BEZPIECZEŃSTWA Wróć
Zakres obowiązku zachowania fizycznych środków ochrony:
-zabezpieczenia obszaru przetwarzania danych osobowych przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych
-zapewnienia, aby przebywanie osób nieuprawnionych w wyżej wymienionym obszarze były dopuszczalne za zgodą administratora danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych.
Związany z tym obowiązek skonkretyzowania zasad udostępniania danych osobowych w tym wykorzystywanie danych osobowych w trakcie pracy w domu (tzw. wynoszenie akt).
Środki techniczne i organizacyjne ochrony danych osobowych są ze sobą ściśle związane, ponieważ ich stosowanie jest uzależnione od przetwarzania danych osobowych w systemie informatycznym.
-opracowanie i wdrożenie dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne, zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz do kategorii danych
-wyznaczenie ABI nadzorującego przestrzeganie zasad ochrony przetwarzanych danych osobowych, chyba że administrator danych sam wykonuje tą czynność
-dopuszczenie do przetwarzania danych osobowych wyłącznie osób posiadających upoważnienie wydane przez administratora danych
-prowadzenie przez administratora danych ewidencji osób upoważnionych do ich przetwarzania
Jeżeli dostęp do danych przetwarzanych w systemie informatycznym posiadają co najmniej dwie osoby, wówczas konieczne jest:
- rejestrowanie w systemie dla każdego użytkownika odrębnego identyfikatora;
- zapewnienie, by dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia.
Jeśli dostęp do danych przetwarzanych w systemie informatycznym posiadają co najmniej dwie osoby, wówczas konieczne jest:
- rejestrowanie w systemie dla każdego użytkownika odrębnego identyfikatora;
- zapewnienie, by dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia.
System informatyczny służący do przetwarzania danych osobowych zabezpiecza się w szczególności przed:
- działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego;
- utrata danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej.
Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez wykonywanie kopii zapasowych:
- zbiorów danych
- programów służących do przetwarzania danych
Osoba użytkująca komputer przenośny zawierający dane osobowe:
- zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza obszarem przetwarzania danych osobowych;
- stosuje środki ochrony kryptograficznej wobec przetwarzanych danych osobowych.
* obowiązek usunięcia danych osobowych lub uszkodzenia urządzenia lub nośnika w sposób uniemożliwiający odczytanie danych;
* obowiązek zapewnienia poufności i integralność danych wrażliwych przekazywane poza obszar przetwarzania danych.
System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem.
Kryptograficzna ochrona powinna być zastosowana:
- wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej;
- w razie użytkowania komputera przenośnego zawierającego dane osobowe poza obszarem przetwarzania danych osobowych.
ŚRODKI ZAPEWNIAJĄCE OCHRONĘ DANYCH OSOBOWYCH PRZETWARZANYCH WYŁĄCZNIE POZA SYSTEMEM INFORMATYCZNYM Wróć
Administrator danych powinien zabezpieczyć dane przed:
- ich udostępnieniem osobom nieupoważnionym;
- zabraniem przez osobę nieuprawnioną;
- przetwarzaniem z naruszeniem ustawy;
- zmianą, utratą, uszkodzeniem lub zniszczeniem.
*Polityka bezpieczeństwa
*Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych
*Ewidencja osób upoważnionych do przetwarzania danych osobowych
* Upoważnienia do przetwarzania danych osobowych
Jest to centralny organ do spraw ochrony danych osobowych
Zadania i kompetencje GIODO wyznaczają przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.).
W ich świetle GIODO jest uprawniony do:
- kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych;
- wydawania decyzji administracyjnych i rozpatrywania skarg w sprawach wykonania przepisów o ochronie danych osobowych;
- zapewnienia wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym, wynikających z wydanych decyzji, o których mowa w pkt. 2, przez stosowanie środków egzekucyjnych przewidzianych w ustawie z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji;
- prowadzenia rejestru zbiorów danych oraz rejestru administratorów bezpieczeństwa informacji, a także udzielania informacji o zarejestrowanych zbiorach danych i zarejestrowanych administratorach bezpieczeństwa informacji;
- opiniowania projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych;
- inicjowania i podejmowania przedsięwzięć w zakresie doskonalenia ochrony danych osobowych;
- uczestniczenia w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych.
* tryb powoływania o odwoływania Generalnego Inspektora (jest on powołany przez Sejm RP za zgodą Senatu RP);
* podległość jedynie Parlamentowi i poddanie w zakresie wykonywania swoich zadań tylko ustawie
* przyznanie immunitetu;
* ustanowienie zakazu:
- członkowstwa w partii politycznej, związku zawodowym;
- zajmowania stanowiska innego niż stanowisko profesora w szkole wyższej;
- prowadzenia działalności publicznej niedającej się pogodzić z godnością jego urzędu.
*obywatelstwo polskie;
* stałe miejsce zamieszkania na terytorium RP;
* wyróżnianie się wysokim autorytetem moralnym;
* wyższe wykształcenie prawnicze;
* odpowiednie doświadczenie zawodowe;
* niekaralność za przestępstwo.
! Wymogi te muszą być spełnione łącznie !
* kadencja trwa 4 lata, licząc od dnia złożenia ślubowania;
* po jej upływie Generalny Inspektor pełni swoje obowiązki do czasu objęcia stanowiska przez następcę;
* ta sama osoba nie może być Generalnym Inspektorem więcej niż 2 kadencje.
* śmierć osoby pełniącej funkcję GIODO;
* odwołanie ze stanowiska;
* utrata obywatelstwa polskiego.
* zrzekł się on stanowiska;
* wskutek choroby stał się trwale niezdolny do pełnienia obowiązków;
* sprzeniewierzył się złożonemu ślubowaniu;
* został skazany prawomocnym wyrokiem sądu za popełnienie przestępstwa.