REJESTR AKTUALIZACJI
Wydanie |
Data |
Opracował |
Zakres zmian |
Opinia |
Data wprowadzenia |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Rozdz. |
Treść |
str. |
|
I. |
Zakres procedury organizacJI OCHRONY DANYCH OSOBOWYCH |
|
2 |
1. |
CEL I PRZEDMIOT PROCEDURY |
|
2 |
2. |
PODSTAWY PRAWNE DOTYCZĄCE struktury wopr |
|
2 |
3. |
DEFINICJE POWIĄZANE Z PROCEDURĄ |
|
2 |
|
|
|
|
II. |
zadańia i realizowanych czynności w ramach procedury |
|
5 |
1. |
Tryb uruchamiania procedury |
|
5 |
2. |
WYKAZ PROCEDUR POWIAZANYCH |
|
5 |
|
|
|
|
III. |
nadzór nad realizacją zadań i czynności PROCEDURALNYCH |
|
5 |
|
|
|
|
IV. |
PRZETWARZANIe DANYCH |
|
5 |
1. |
ogólne warunki przetwarzania danych |
|
5 |
2. |
Warunki przetwarzania specjalnych rodzajów danych osobowych |
|
7 |
3. |
przetwarzanie, zabezpieczenie, rejestracja zbiorów komputerowe przetwarzanie danych |
|
8 |
|
|
|
|
V. |
OBOWIĄZKI ADMINISTRATORA DANYCH OSOBOWYCH |
|
10 |
1. |
obowiązek poinformowania i zasady udostępniania danych |
|
10 |
2. |
Inne obowiązki administratorów danych |
|
11 |
3. |
Udostępnianie danych osobowych |
|
11 |
4. |
Przekazywanie danych osobowych za granicę |
|
12 |
5. |
prawa osób, których dane są przetwarzane obowiązki administratorów |
|
12 |
Zakres procedury organizacJI OCHRONY DANYCH OSOBOWYCH
CEL I PRZEDMIOT PROCEDURY
Ustala się Procedurę ochrony danych osobowych zwana dalej PROCEDURĄ jako wytyczne do realizacji zadań organizacyjno statutowych w Jednostce terenowej WOPR, określającą zasady i tryb wykonywania czynności w obiegu dokumentacji, przepływu informacji i danych w celu zapewnienia:
Płynności funkcjonowania jednostki terenowej WOPR,
Ustalenia zasad przechowywania danych osobowych w formie dokumentacji (kartotek) i danych elektronicznych,
Ustalenia się procedur dostępowych do danych wraz z wykazem osób upoważnionych,
PODSTAWY PRAWNE DOTYCZĄCE organizacji struktur wopr
art. 29 Ustawy z dnia 4 września 1997 roku o działach administracji rządowej (Dz.U.03.159.1548),
USTAWA z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. (Dz. U. z dnia 29 października 1997 r.)
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 1 października 2001 r. zmieniające rozporządzenie w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych
Obwieszczenie Marszałka Sejmu Rzeczypospolitej Polskiej z dnia 17 czerwca 2002 r. w sprawie ogłoszenia jednolitego tekstu ustawy o ochronie danych osobowych
Ustawa z dnia 25 sierpnia 2001 r. o zmianie ustawy o ochronie danych osobowych,
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia z dnia 3 września 2002 r. zmieniające rozporządzenie w sprawie określenia wzorów wniosku o udostępnienie danych osobowych, zgłoszenia zbioru danych do rejestracji oraz imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych.
DEFINICJE POWIĄZANE Z PROCEDURĄ
DANE OSOBOWE - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej
Zbiór Danych - Każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie - niezależnie od tego sposobu utrwalenia, tego czy zbiór jest rozproszony czy scentralizowany, przetwarzany automatycznie lub manualnie, czy są to dźwięki, słowa lub obrazy, niezależnie od tego, czy jest tam wiele rekordów czy jeden, ważne jest uporządkowanie, czyli możliwość odnalezienia rekordu bez potrzeby przeglądania całego zbioru - inaczej DOSTĘPNOŚĆ WG OKREŚLONYCH KRYTERIÓW. Za zbiór uważa się w szczególności każdą formę elektronicznego gromadzenia danych, a przy przetwarzaniu manualnym także kartoteki, skorowidze, księgi, wykazy, zbiory ewidencyjne, akta sądowe, ankiety.
Generalny Inspektor Ochrony Danych Osobowych (skr. GIODO) - organ do spraw ochrony danych osobowych powoływany na 4-letnią kadencję przez Sejm RP za zgodą Senatu.
Administrator danych (art 7.4 u.o.d.o.) Administratorem może być osoba prawna lub fizyczna. Administrator musi mieć uzasadniony cel przetwarzania danych (cel ten może wynikać z prawa lub np. z zadań statutowych spółki). Z byciem administratorem wiążą się różne obowiązki, nawet wtedy, jeżeli dane przetwarzane są przez agenta (zewnętrzną firmę).
Należy odróżnić:
administrowanie danymi - te funkcję spełniają konkretne osoby fizyczne, na które przenoszone są obowiązki administratora (mogą to być np. Dyrektorzy oddziałów firmy, Kierownicy departamentów, użytkownicy). To "administrujący" ponoszą odpowiedzialność za naruszanie zasad przetwarzania danych proporcjonalnie do zakresu czynności, na które otrzymali upoważnienie - na szczycie tej piramidy odpowiedzialności stoi Zarząd Administratora
Administrator Bezpieczeństwa Informacji - osoba odpowiedzialna za bezpieczeństwo danych osobowych w systemach administratora - jest to osoba, do kontaktów z Biurem GIODO - w praktyce spotyka się potrzebę odróżnienia tej funkcji od stanowisk typu "administrator sieci", "kierownik IT", itp.
agent - Procesor - te funkcję spełnia zewnętrzna w stosunku do administratora osoba prawna lub fizyczna, która otrzymała zadanie przetwarzania danych. Odbywa się to w drodze pisemnie zawartej "umowy powierzenia".
Przetwarzanie Danych Każda operacja na danych jest właściwie przetwarzaniem: od zbierania, przez przechowywanie, aż po usuwanie. Konsekwencją tego zapisu ustawy jest min. to, że samo przechowywanie danych wymaga przestrzegania tych samych przepisów, które stosuje się przy ich wykorzystywaniu.
OSOBA MOŻLIWA DO ZIDENTYFIKOWANIA - osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Oznacza to, że za dane osobowe będzie uważany taki zestaw informacji, który pozwoli na wskazanie, o jakiej konkretnej osobie jest mowa.
WAŻNE: Nie istnieje zatem ustalone minimum ilości informacji, poniżej którego informacje te nie są już danymi osobowymi. Należy przyjąć, że każda informacja o osobie fizycznej może w określonych sytuacjach zostać uznana za daną osobową i tym samym może zostać objęta ustawą.
UWAGA: Nie są danymi osobowymi informacje o przedsiębiorstwach, organizacjach, partiach politycznych i innych jednostkach organizacyjnych. Sytuacja zmienia się, jeżeli równocześnie z informacjami o przedsiębiorstwie będą przetwarzane informacje o osobach fizycznych, np. członkach jego zarządu czy innych pracownikach.
ZBIÓR DANYCH - każdy, posiadający strukturę, zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Zbiorem danych będzie na pewno każda kartoteka, skorowidz, rejestr - wszystkie informacje w jakiś sposób ułożone. Nie będzie zbiorem danych np. sterta korespondencji przychodzącej, nie podzielona według żadnego kryterium.
USUWANIE DANYCH - zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą.
SYSTEM INFORMATYCZNY - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.
ZABEZPIECZENIE DANYCH W SYSTEMIE INFORMATYCZNYM - wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem
PRZETWARZANIE DANYCH - jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te operacje, które wykonuje się w systemach informatycznych. Zdecydowanie nie jest polecane stanowisko typu: "Ja nie przetwarzam danych osobowych, ja tylko je przechowuję" - może nas to wpędzić w kłopoty. Przetwarzanie danych to nie tylko ich zmienianie! W rozumieniu ustawy przetwarzamy dane osobowe również wtedy, gdy nie zmieniamy ich postaci i nie używamy ich (np. przechowujemy je w kartotece, do której nikt nie zagląda).
ADMINISTRATOR DANYCH - każdy organ, instytucja, jednostka organizacyjna lub osoba, decydujące o celach i środkach przetwarzania danych osobowych. W przypadku osoby prawnej (fundacja, stowarzyszenie) lub jednostki organizacyjnej w kwestiach związanych z ochroną danych osobowych będzie ją reprezentował zarząd lub inny organ powołany do reprezentowania. Jeżeli zbiór danych jest prowadzony przez organizację, to administratorem danych jest ta organizacja, a nie jej pracownik czy wolontariusz! Nie będzie administratorem danych podmiot, który przetwarza dane osobowe dla innego podmiotu, np. na zasadzie umowy zlecenia czy umowy o dzieło.
ODBIORCA DANYCH - to każda osoba, której udostępnia się dane osobowe z wyjątkiem:
osoby, której dotyczą,
osoby je przetwarzającej,
organów państwowych lud samorządu terytorialnego otrzymujących dane w związku z prowadzonym przez nie postępowaniem,
przedstawiciela administratora z państwa trzeciego,
osoby, z którą administrator powierzył przetwarzanie danych na podstawie pisemnej umowy.
ZGODA OSOBY, KTÓREJ DANE DOTYCZĄ - oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Nie będzie zatem wystarczające np. poinformowanie osoby, że jakaś czynność z jej strony będzie uważana za zgodę na przetwarzanie jej danych osobowych. Zgoda musi mieć formę odrębnego oświadczenia - ze względów dowodowych najlepiej byłoby, gdyby była wyrażona na piśmie. Z jej treści musi wynikać w jakim celu (np. dla potrzeb marketingowych) oraz jakie kategorie danych (imię, nazwisko, adres, telefon) objęte zostały zgodą na przetwarzanie. Jeśli zgoda nie spełnia tych wymogów nie można jej wtedy uznać za prawidłowo złożoną, a tym samym Administrator nie ma prawa realizować przetwarzania danych objętych taką wadliwą zgodą.
Wzór zgłoszenia zbioru do rejestru określa - Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia z dnia 3 września 2002 r. zmieniające rozporządzenie w sprawie określenia wzorów wniosku o udostępnienie danych osobowych, zgłoszenia zbioru danych do rejestracji oraz imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych.
Przesłanki dopuszczalności przetwarzania danych Aby przetwarzać dane administrator musi udowodnić, że ma do tego prawo. Ustawa wymienia pięć podstawowych przesłanek przetwarzania danych:
Zgoda - ma ona charakter oświadczenia woli. Nie może być domniemana tzn. wywnioskowana z innego oświadczenia tej osoby. Nie musi mieć formy pisemnej (choć ciężar dowodu spoczywa na administratorze danych). Zgoda powinna być uzyskana przed rozpoczęciem przetwarzania danych. Wyrażona zgoda odnosi się tylko do kategorii danych, celu, czasu, obszaru, administratora..., o których wiedziała osoba udzielając swojej zgody. Nie można zatem przetwarzać np. numeru telefonu osoby, jeżeli w momencie wyrażenia zgody zbierane było tylko imię, nazwisko i adres.
Opis zadań i realizowanych czynności
Tryb uruchamiania procedury
Procedura jest uruchamiana w trakcie normalnego trybu działania jednostki terenowej. Standard uruchomienia jest zachowany stosownie dla zakresu kompetencyjnego działania członków Zarządu jednostki terenowej.
WYKAZ PROCEDUR POWIąZANYCH
Symbol |
Opis procedury |
O/Z |
Procedura organizacji pracy w zakresie zarządzania strukturą jednostki terenowej |
nadzÓR nad realizacją zadań i czynności proceduralnych
Generalny Inspektor Ochrony Danych Osobowych (skr. GIODO) - organ do spraw ochrony danych osobowych powoływany na 4-letnią kadencję przez Sejm RP za zgodą Senatu.
Działa na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. W zakresie wykonywania swoich zadań podlega tylko ustawie. Przysługuje mu immunitet. Kontroluje zgodność przetwarzania danych z przepisami o ochronie danych osobowych, wydaje decyzje administracyjne i rozpatruje skargi w sprawach wykonania przepisów o ochronie danych osobowych, prowadzi rejestr zbiorów danych, opiniuje akty prawne dotyczące ochrony danych osobowych, inicjuje i podejmuje przedsięwzięcia w zakresie doskonalenia ochrony danych osobowych, uczestniczy w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych (np. Grupy roboczej art. 29).
PRZETWARZANIe DANYCH
1. ogólne warunki przetwarzania danych
Przetwarzanie danych osobowych jest dopuszczalne tylko wtedy, gdy:
osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie danych jej dotyczących,
zezwalają na to przepisy prawa, w zakresie w jakim jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku z tego przepisu wynikającego (np. na mocy odpowiedniego rozporządzenia szkoła może prowadzić dzienniki lekcyjne z niektórymi danymi osobowymi uczniów i ich rodziców, gmina może przetwarzać dane osób korzystających z pomocy społecznej etc.),
jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia koniecznych działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (dotyczy to m.in. pracowników organizacji, a także osób wykonujących umowy zlecenia i umowy o dzieło),
jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (np. gdy stowarzyszenie wykonuje zlecone przez gminę zadania z zakresu pomocy społecznej),
jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2, lub odbiorców danych (osób trzecich, którym są przekazywane te dane) - a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą.
Za prawnie usprawiedliwiony cel, uważa się w szczególności: marketing bezpośredni własnych produktów lub usług administratora danych, dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
Należy zachować dużą ostrożność w korzystaniu z ostatniej wymienionej przesłanki. Pomimo że ustawa przewiduje możliwość powoływania się na nią, Generalny Inspektor może nie uznać danego celu za usprawiedliwiony i stwierdzić, że administrator danych miał możliwość uzyskania zgody osób, których dane dotyczą. Ustawa, poprzez zwrot "w szczególności", wskazuje tylko jako przykład dwie najczęściej uznawane za cel prawnie usprawiedliwiony sytuacje, których w rzeczywistości może być więcej.
Wyjaśnienia wymaga kwestia przetwarzania danych osobowych osób znanych, łatwych do rozpoznania (członkowie zarządów przedsiębiorstw, "osoby kontaktowe" z przedsiębiorstw, fundacji, stowarzyszeń itd.). Ostatnio GIODO stał na stanowisku, że przetwarzanie ich danych osobowych jest oparte na usprawiedliwionym celu administratorów danych (jeżeli ich działalność jest w jakiś sposób związana ze sferą działalności tych osób, utrzymują kontakty z ich firmami, ale nie zamierzają wykorzystać ich danych np. w celu wysyłania im ulotek reklamowych jakiejś firmy).
Wyrażenie zgody może brzmieć np. tak:
Wyrażam zgodę na przetwarzanie moich następujących danych osobowych: - (...) - (...) przez ............................. (nazwa administratora danych) w celu ............................ (cel przetwarzania danych) |
2. Warunki przetwarzania specjalnych rodzajów danych osobowych
Oprócz "zwykłych" danych osobowych ustawa objęła pewne rodzaje danych szczególną ochroną (tzw. dane wrażliwe). Są to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową oraz dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.
Ustawa stanowi, że przetwarzanie tych danych jest, co do zasady, niedopuszczalne, a ich przetwarzanie jest możliwe tylko w ściśle określonych sytuacjach, gdy:
osoba, której dane dotyczą, wyrazi na to zgodę na piśmie,
przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony (np. Urząd Ochrony Państwa może przetwarzać dane o przynależności partyjnej i związkowej, jeżeli osoba ubiega się o dostęp do tajemnicy państwowej),
jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych (np. stowarzyszenie chorych na choroby serca może przetwarzać dane o stanie zdrowia swoich członków, ale nie może ich np. udostępnić firmie farmaceutycznej),
przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem (np. adwokat lub członek organizacji występujący jako przedstawiciel społeczny w sądzie przetwarzają dane o stanie zdrowia osoby rannej w wypadku w sprawie o odszkodowanie),
przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie (pracodawca, czyli np. organizacja, może przechowywać w aktach pracowników m. in. wyniki ich badań wstępnych i okresowych, jeżeli skierował ich na te badania; może też przechowywać dane dotyczące osób, z którymi zawarł umowę o dzieło lub umowę zlecenie),
przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą (np. publiczne przyznanie się do poważnej choroby),
jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone,
przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.
Zalecane jest, by w przypadku wątpliwości, czy jest dopuszczalne przetwarzanie takich danych, zwracać się do osób, których dane dotyczą, o wyrażenie zgody na przetwarzanie ich danych - Generalny Inspektor zawsze może uznać, że dana przesłanka nie ma w danym przypadku zastosowania.
3. przetwarzanie, zabezpieczenie, rejestracja zbiorów komputerowe przetwarzanie danych
Przetwarzanie danych osobowych przy użyciu komputerów jest tak rozpowszechnione, że kwestia ta dotyczy zdecydowanej większości organizacji. Administrator danych, przetwarzający je przy użyciu komputera, zobowiązany jest zastosować wszystkie zabezpieczenia przewidziane w obowiązujących przepisach. Są one zróżnicowane zależnie od poziomu bezpieczeństwa przetwarzania danych osobowych wprowadzonych przez rozporządzenie. Ze względu na zagrożenia i kategorie danych wyróżnia się:
poziom podstawowy - stosuje się, gdy w systemie informatycznym nie przetwarza się "danych wrażliwych" i żadne z urządzeń systemu nie jest połączone z siecią publiczną,
poziom podwyższony - gdy przetwarza się " dane wrażliwe" i i żadne z urządzeń systemu nie jest połączone z siecią publiczną,
poziom wysoki - stosuje się niezależnie od rodzaju przetwarzanych danych, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną.
Opis środków bezpieczeństwa, jakie musi podjąć administrator danych, w celu ich ochrony, zawiera Załącznik do rozporządzenia:
na poziomie podstawowym to m.in. zabezpieczenie obszaru przetwarzania danych przed dostępem osób nieuprawnionych i danych przed ich zniszczeniem, wprowadzenie mechanizmów kontroli dostępu (identyfikatory), zachowanie szczególnej ostrożności przy transporcie urządzeń zawierających chronione dane;
na poziomie podwyższonym należy dodatkowo wprowadzić hasła dla użytkowników systemu zawierającego dane, a urządzenia przemieszczane poza obszar przetwarzania zabezpiecza się w sposób zapewniający poufność i integralność utrwalonym na nich danym (z tym, że ustawodawca nie wyjaśnia jaki to konkretnie sposób);
na poziomie wysokim, gdzie istnieje połączenie systemu z siecią publiczną należy przede wszystkim wdrożyć fizyczne lub logiczne zabezpieczenia przed nieuprawnionym dostępem kogoś z zewnątrz i ochrony kryptograficznej.
Dodatkowo ogólne wymogi określają:
sporządzenie i wdrożenie przez administratora dokumentacji opisującej sposób przetwarzania danych osobowych w formie polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych,
wyznaczenie administratora bezpieczeństwa informacji (osobę dbającą o bezpieczeństwo danych osobowych w systemie informatycznym),
odpowiednie zaaranżowanie pomieszczeń, w których przetwarza się dane osobowe,
zabezpieczenie komputerów (hasła, identyfikatory użytkownika, zasilanie awaryjne etc.),
zapewnienie rejestrowania przez system operacyjny wszystkich operacji na danych osobowych,
sporządzenie i wydrukowanie raportu ( w zrozumiałej formie) o operacjach dokonanych na danych osobowych przez system służący do przetwarzania danych.
Kiedy można zmienić cel przetwarzania danych?
Przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza to praw i wolności osoby, której dane dotyczą, oraz następuje w celach badań naukowych, dydaktycznych, historycznych lub statystycznych, z zachowaniem przepisów
Zabezpieczenie zbiorów danych osobowych
Administratorzy danych osobowych muszą zapewnić im należytą ochronę przed dostępem osób niepowołanych. W tym celu muszą m.in.:
odpowiednio zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy, zmianą, utratą, uszkodzeniem lub zniszczeniem,
dopuszczać do komputerowego przetwarzania danych tylko osoby upoważnione przez siebie,
zapewnić kontrolę nad tym, kto, kiedy i jakie dane osobowe wprowadza do zbioru (zwracać szczególną uwagę na przesyłanie danych przez Internet),
prowadzić ewidencję osób zatrudnionych przy przetwarzaniu danych (osoby te są obowiązane zachować w tajemnicy dane osobowe, które przetwarzają).
Rejestracja zbiorów danych osobowych
Ustawa stanowi, że zbiór danych osobowych (z wyjątkiem zbiorów zwolnionych od tego obowiązku) musi być zarejestrowany w ogólnokrajowym jawnym rejestrze zbiorów osobowych prowadzonym przez Generalnego Inspektora Ochrony Danych Osobowych. Rejestracji dokonać należy na obowiązującym formularzu
Przetwarzanie danych można rozpocząć po zgłoszeniu ich zbioru GIODO, a po rejestracji administrator może żądać wydania mu zaświadczenia o rejestracji. Inne zasady obowiązują administratorów przetwarzających "dane wrażliwe" - przetwarzanie mogą oni rozpocząć dopiero po rejestracji, a nie zgłoszeniu zbioru, a zaświadczenie otrzymują automatycznie.
Jakich zbiorów nie muszą rejestrować administratorzy danych?
Są to zbiory zawierające następujące dane:
objęte tajemnicą państwową ze względu na obronność lub bezpieczeństwo państwa, ochronę życia i zdrowia ludzi, mienia lub bezpieczeństwa i porządku publicznego,
uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności,
przetwarzane przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym,
przetwarzane przez Generalnego Inspektora Informacji Finansowej,
dotyczące członków kościoła lub innego związku wyznaniowego o uregulowanej sytuacji prawnej,
dotyczące osób u nich zatrudnionych, zrzeszonych lub uczących się (nie trzeba więc rejestrować zbioru danych pracowników lub wykonawców zleceń czy listy członków stowarzyszenia),
dotyczące osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej lub radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,
tworzone na podstawie ordynacji wyborczych do Sejmu, Senatu, rad gmin, rad powiatów i sejmików województw, ustawy o wyborze Prezydenta Rzeczypospolitej Polskiej oraz ustaw o referendum i ustawy o referendum gminnym,
dotyczące osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności,
przetwarzane wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej (np. listy wynagrodzeń pracowników, zbiory rachunków i faktur VAT),
powszechnie dostępne (np. dane z książek telefonicznych),
przetwarzane w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego,
przetwarzane w zakresie drobnych bieżących spraw życia codziennego (np. lista osób pracujących w tym samym budynku, które mogą być wpuszczane etc.).
Jeżeli chodzi o przetwarzanie danych osobowych osób reprezentujących przedsiębiorstwa, z którymi organizacja utrzymuje kontakty (np. dostawcy, sponsorzy), Generalny Inspektor uznał, że w związku z zasadą jawności obrotu gospodarczego dane o osobach reprezentujących firmy są powszechnie dostępne i zbiory takich danych nie podlegają rejestracji.
OBOWIĄZKI ADMINISTRATORA DANYCH OSOBOWYCH
1. obowiązek poinformowania i zasady udostępniania danych
Jeżeli dane zbieramy bezpośrednio od osoby, której dane dotyczą, musimy poinformować ją:
kim jesteśmy (należy podać nazwę i siedzibę organizacji,
w jakim celu przetwarzamy jej dane (komu chcemy je udostępnić i komu ewentualnie chcemy je przekazywać),
tym, że ma prawo wglądu do swoich danych i prawo ich poprawiania,
tym czy musi podać swoje dane - wtedy należy powiadomić ją o podstawie prawnej tego obowiązku - czy nie musi (organizacje pozarządowe nie mają prawnych podstaw do zobowiązania kogoś, by podał im swoje dane osobowe).
Organizacja powinna poinformować o przetwarzaniu danych również swoich pracowników, wolontariuszy i współpracowników.
Każda osoba, której dane przetwarzamy, powinna podpisać oświadczenie, że została poinformowana zgodnie z powyższymi punktami. Oświadczenie może wyglądać tak:
Oświadczenie |
|
"Oświadczam, że zostałem/zostałam poinformowany/a o przetwarzaniu moich danych osobowych przez ............................................. w celu ............................................., o prawie wglądu do moich danych oraz ich poprawiania, a także o dobrowolności/obowiązku podania moich danych." |
............................................. |
(podpis) |
Jeżeli dane zbieramy nie od osoby, której dane dotyczą, musimy poinformować tę osobę:
skąd otrzymaliśmy jej dane,
kim jesteśmy - należy podać nazwę i siedzibę naszej organizacji,
w jakim celu przetwarzamy jej dane (i komu chcemy je przekazywać),
tym, że ma prawo do żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację (ustawa nie określa, co należy rozumieć przez "szczególna sytuację" - być może GIODO wypowie się w tej sprawie),
tym, że ma prawo wglądu do swoich danych oraz prawo ich poprawiania,
tym, że ma prawo wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, gdy zamierzamy je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych (jeżeli podstawą przetwarzania tych danych jest wykonywanie przez organizację zadań publicznych lub usprawiedliwiony cel organizacji)
Administrator danych, który zbiera dane nie od osób, których dane dotyczą, może nie informować tych osób, jeżeli:
przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą (np. ustawy o Policji, Urzędzie Ochrony Państwa, Straży Granicznej),
dane przewidziane do zebrania są ogólnie dostępne (np. dane z książek telefonicznych),
dane te są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą, a spełnienie obowiązku informowania wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania,
administrator danych nie przetwarza dalej zebranych danych po ich jednorazowym wykorzystaniu (wtedy musi te dane usunąć - patrz pojęcia na początku tekstu - kliknij tutaj),
dane są przetwarzane przez administratora, na podstawie przepisów prawa (czyli przez organy państwowe oraz samorządu terytorialnego, a także państwowe i komunalne jednostki organizacyjne oraz podmioty niepaństwowe realizujące zadania publiczne),
Inne obowiązki administratorów danych
przetwarzać dane zgodnie z prawem (dotyczy to również przepisów innych niż ustawa o ochronie danych osobowych, jeżeli przepisy te mają zastosowanie w danej sytuacji, np. ustawa o rachunkowości, ordynacja podatkowa),
zapewnić aktualność posiadanych danych (jeżeli administrator zostanie poinformowany np. o zmianie adresu danej osoby, to musi zmienić ten zapis w swoim zbiorze),
przetwarzać tylko te dane, które odpowiadają celowi ich przetwarzania (np. dla identyfikacji osoby raczej nie jest konieczne jednoczesne przetwarzanie numeru PESEL, numeru dowodu osobistego, imion i nazwisk rodowych rodziców, numeru prawa jazdy, numeru książeczki wojskowej etc.),
przechowywać dane nie dłużej, niż jest to niezbędne (np. jeżeli klient oświadcza, że już nie chce korzystać z naszej pomocy, należy usunąć jego dane osobowe).
Udostępnianie danych osobowych
Może się zdarzyć, że zwróci się do nas osoba lub instytucja z prośbą o udostępnienie jej posiadanych przez nas danych osobowych. GIODO uważa również, że jeśli dana osoba lub instytucja chce włączyć otrzymane dane do swojego zbioru. Możliwe są następujące sytuacje:
Instytucja, która się do nas zwraca, jest uprawniona do otrzymywania danych osobowych (zwykle jest to policja, Urząd Ochrony Państwa, prokuratura etc.). W takim przypadku mamy obowiązek udostępnić posiadane dane osobowe, jednak przedstawiciele tej instytucji muszą podać nam prawną podstawę swojego żądania.
Osoba lub instytucja nie ma bezwzględnego uprawnienia do otrzymania danych osobowych. Według Generalnego Inspektora, jeżeli ta osoba/instytucja chce włączyć otrzymane dane do swojego zbioru danych osobowych, to możemy udostępnić jej te dane wtedy, gdy ma do tego podstawę wymienioną w przepisach. Jeżeli natomiast ta osoba nie zamierza włączać danych do zbioru, to możemy je udostępnić, jeżeli w sposób wiarygodny uzasadni ona potrzebę posiadania tych danych, a ich udostępnienie nie naruszy praw i wolności osób, których dane dotyczą (do nas należy ocena, czy to uzasadnienie jest wiarygodne, i my podejmujemy decyzję o udostępnieniu danych osobowych lub odmawiamy udostępnienia).
Osoba, której odmówiono udostępnienia danych osobowych, może zwrócić się do Generalnego Inspektora o wydanie decyzji nakazującej administratorowi danych ich udostępnienie.
Przekazywanie danych osobowych za granicę
przekazanie danych osobowych za granicę może nastąpić wtedy, gdy dany kraj jest "bezpieczny", czyli zapewnia przynajmniej taki poziom ochrony danych osobowych jak Polska. Nie istnieje lista takich krajów - za bezpieczne można uznać np. kraje Unii Europejskiej. Należy przede wszystkim sprawdzić, czy dany kraj ma swoją ustawę o ochronie danych osobowych i czy istnieje tam organ państwowy zajmujący się ochroną tych danych.
W przypadku, gdy administrator danych oceni, że dany kraj nie jest "bezpieczny", powinien zwrócić się do GIODO o wyrażenie zgody na przekazanie danych osobowych do takiego kraju. Zgoda jest wyrażana w formie decyzji, od której przysługuje odwołanie.
prawa osób, których dane są przetwarzane obowiązki administratorów
Ustawowym obowiązkom administratora danych odpowiadają uprawnienia osób, których dane znajdują się w ich zbiorach i podlegają przetwarzaniu. Każdemu przysługuje prawo do kontroli, tzn. mamy prawo wiedzieć kto i w jakim celu zbiera nasze dane - dlatego też można domagać się od wszystkich prowadzących zbiory danych osobowych informacji czy Twoje personalia są tam zamieszczone oraz przetwarzane i w jakim celu. Takiego sprawdzenia danych można dokonywać nie częściej niż raz na 6 miesięcy u jednego administratora danych.
Jeśli okaże się, że dane osobowe rzeczywiście się w takiej bazie znajdują, to można:
żądać ich uzupełnienia, uaktualnienia lub sprostowania, gdy są one niekompletne, nieaktualne lub nieprawdziwe;
żądać czasowego lub stałego usunięcia danych ze zbioru od podmiotu, który je przetwarza, gdy zebranie danych nastąpiło z naruszeniem Ustawy o ochronie danych osobowych(np. bez poinformowania klienta o fakcie przetwarzania jego danych osobowych) albo też gdy zebrane dane nie służą celowi dla którego zostały zebrane (np. klient udzielił ich w celu wywiązania się z umowy zawartej z Towarzystwem ubezpieczeniowym, a to ostatnie wykorzystuje dane klienta do przesyłania materiałów reklamowych jakiegoś banku). Można w tym celu wystosować żądanie o zaprzestanie przetwarzania danych o treści;
zawsze, niezależnie od tego, czy dane te zostały zebrane z naruszeniem ustawy o ochronie danych osobowych, czy też nie, możliwe jest żądanie w formie tzw. sprzeciwu zaprzestania przetwarzania Twoich danych dla celów marketingowych. W takiej sytuacji podmiot, który takie żądanie otrzymał musi niezwłocznie i trwale wykreślić Twoje dane ze swoich zbiorów, bez możliwości odwoływania się do GIODO. W formie sprzeciwu można również uniemożliwić administratorowi danych przekazywanie danych osobowych dalszym podmiotom.;
Wniosek o podanie informacji o danych osobowych posiadanych przez administratora może wyglądać tak:
Miejscowość, dnia................. |
.......................................................... |
......................................................... |
..................................................................... |
Na podstawie art.32, ust. 1, pkt 1-5 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. z 1997 r., nr 133, poz. 883) wnoszę o podanie następujących informacji dotyczących posiadanych przez Państwa firmę danych dotyczących mojej osoby: |
|
|
|
|
|
........................................................ |
Na przetwarzanie danych osobowych z naruszeniem ustawy przez administratora można też zgłosić skargę do GIODO - może ona brzmieć np. tak:
Miejscowość, dnia................ |
................................................... |
Generalny Inspektor Ochrony Danych Osobowych |
Na podstawie art. 12, pkt 2) ustawy z dnia 29.08.1997r. o ochronie danych osobowych (Dz. U. z 1997 r., Nr 133, poz. 883) zgłaszam skargę na naruszenie przez ............... (nazwa i adres siedziby administratora danych) przepisów tejże ustawy. (opis naruszenia przepisów o ochronie danych osobowych)
.................................................... |
|
Procedura Organizacyjna
Wodnego Ochotniczego Pogotowia Ratunkowego |
Symbol Procedury |
||
|
|
O/D |
||
Nazwa procedury |
Procedura organizacji ochrony danych osobowych |
Strona / Stron |
||
Data utworzenia |
Sporządził |
Data wprowadzenia |
Podstawa wprowadzenia |
5 / 14 |
|
|
|
|
|
5/14