Baza wiedzy

Ustawę stosuje się do :

• osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe, w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych; posiadających siedzibę albo miejsce zamieszkania na terytorium Rzeczpospolitej Polskiej albo w Państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczpospolitej Polskiej

Ustawy nie stosuje się do:

• osób fizycznych przetwarzających dane osobowe wyłącznie w celach osobistych lub domowych;
• podmiotów, mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium RP wyłącznie do przekazywania danych;
• prasowej działalności dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. – Prawo prasowe;
• działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą.

Podstawa prawna: art. 3 i 3a u.o.d.o

Dane osobowe są to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osoba możliwa do zidentyfikowania to osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Jeżeli jednak uzyskanie powyższych informacji wymagałoby nadmiernych kosztów, czasu lub działań nie uważa się ich za dane osobowe.

Podstawa prawna: art. 6 u.o.d.o.

Dane osobowe wrażliwe są to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandaty karne, a także inne orzeczenia wydane w postępowaniu sądowym lub administracyjnym.

Podstawa prawna: art. 27 u.o.d.o

Administrator Danych Osobowych jest to organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych osobowych w organach państwowych, organach samorządu terytorialnego oraz państwowych i komunalnych jednostkach organizacyjnych jak i podmiotach niepublicznych realizujących zadania publiczne, osobach fizycznych, osobach prawnych oraz jednostkach organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalności zarobkową, zawodową lub dla realizacji celów statutowych, które mają siedzibę lub miejsce zamieszkania na terytorium Rzeczpospolitej Polskiej lub państwie trzecim, o ile wykorzystują środki techniczne znajdujące się na terytorium Rzeczpospolitej Polskiej. Nie są administratorem danych osoby fizyczne, które przetwarzają dane wyłącznie w celach osobistych lub domowych oraz podmioty mające siedzibę lub miejsce zamieszkania w państwie trzecim wykorzystujące środki techniczne znajdujące się na terytorium Rzeczpospolitej Polskiej wyłącznie do przekazywania danych.

Podstawa prawna: art. 7 pkt. 4 u.o.d.o.

Jest to osoba wyznaczona przez Administratora Danych Osobowych do nadzorowania przestrzegania zasad ochrony danych osobowych, czyli m.in. stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzania z naruszeniem ustawy oraz zmiany, utraty, uszkodzenia lub zniszczenia.

Podstawa prawna: art. 36 i 36 a u.o.d.o.

Dokument, zawierający opis sposobu przetwarzania danych osobowych oraz środków technicznych i organizacyjnych zapewniający ochronę przetwarzanych danych osobowych, właściwą do zagrożeń oraz kategorii danych objętych ochroną. Polityka bezpieczeństwa powinna zawierać  w szczególności:

• wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
• wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
• opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
• sposób przepływu danych pomiędzy poszczególnymi systemami;
• określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Podstawa prawna: § 4 Rozporządzenia Ministra Spraw Wewnętrznych i administracyjnych z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Dokument, zawierający opis sposobu przetwarzania danych osobowych oraz środków technicznych i organizacyjnych zapewniający ochronę przetwarzanych danych osobowych, właściwą do zagrożeń oraz kategorii danych objętych ochroną. Instrukcja Zarządzania Systemem Informatycznym powinna zawierać  w szczególności:

• procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
• stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
• procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
• procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
• sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych zbiorów danych;
• sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego, sposobie zabezpieczania udostępnianych danych osobowych oraz procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Podstawa prawna: art. § 5 Rozporządzenia Ministra Spraw Wewnętrznych i administracyjnych z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

GIODO – jest to organ administracji publicznej, który zajmuje się kontrolą zgodności przetwarzania danych z przepisami o ochronie danych osobowych, wydawaniem decyzji administracyjnych i rozpatrywaniem skarg w sprawach wykonywania przepisów o ochronie danych osobowych, zapewnieniem wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym wynikających z wydanych przez siebie decyzji przez zastosowanie środków przewidzianych w ustawie o postępowaniu egzekucyjnym w administracji, prowadzeniu rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach, opiniowaniu projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych, inicjowaniu i podejmowaniu przedsięwzięć w zakresie doskonalenia ochrony danych osobowych oraz uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych.

Podstawa prawna: art. 8 i 12 u.o.d.o

Generalny inspektor ochrony danych osobowych może skontrolować każdy podmiot, nawet ten który nie przetwarza żadnych danych – choćby po to, aby upewnić się, że rzeczywiście tak jest.

Kontrola najczęściej prowadzona jest na podstawie skargi poszczególnych osób dotyczących naruszenia przez podmiot przepisów o ochronie danych osobowych. Generalny inspektor podkreśla, że skupia się przede wszystkim na kontrolowaniu podmiotów, na które wpływają skargi, ponieważ jest to sygnał, że może w nich dochodzić do poważnego naruszenia przepisów. Generalny inspektor ochrony danych osobowych ponadto przeprowadza kontrolę z urzędu. Co roku wybierane są różne branże, albo sektory działalności, którym organ chce się lepiej przyjrzeć i sprawdzić, czy dane osobowe są przetwarzane zgodnie z prawem. Podmiot podlegający kontroli, zazwyczaj jest informowany o planowanej kontroli z pewnym wyprzedzeniem, wynoszącym minimum 7 dni.

Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a w zwłaszcza prawo do:

• uzyskania wyczerpującej informacji, czy zbiór zawierający ich dane osobowe istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, w przypadku, gdy administratorem danych osobowych jest osoba fizyczna – jej miejsce zamieszkania oraz imienia i nazwiska,
• uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w zbiorze
• uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej treści formie, tych danych
• uzyskania informacji o źródle, z którego pochodzą jej dane chyba, że administrator danych jest zobowiązany do zachowania tajemnicy, żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane, wniesienia żądania zaprzestania przetwarzania danych.

Podstawa prawna: art. 32 u.o.d.o

Zgodnie z treścią ustawy, administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi. Zgłoszeniu podlegają zbiory danych osobowych, które nie zostały zwolnione od generalnej zasady rejestracji danych osobowych określonych w art. 43 ust. 1 pkt 1-11 ustawy o ochronie danych osobowych.

Zgłoszenie zbioru danych do rejestracji powinno zawierać:

• wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych
• oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych oznaczenie tego podmiotu i adres jego siedziby lub miejsce zamieszkania
• cel przetwarzania danych
• opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych
• sposób zbierania oraz udostępniania danych
• informacje o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane
• opis zastosowanych środków technicznych i organizacyjnych
• informacje o sposobie spełniania warunków technicznych i organizacyjnych
• informacje dotyczącą ewentualnego przekazywania danych do państwa trzeciego.

Administrator danych jest obowiązany zgłaszać Generalnemu Inspektorowi każdą zmianę informacji, w terminie 30 dni od dnia dokonania zmiany w zbiorze danych, jeżeli zmiana dotyczy rozszerzenia zbioru to należy je dokonać przed rozszerzeniem zbioru.

Podstawa prawna: art. 40 i 41 u.o.d.o

Zgłoszeniu podlegają zbiory danych osobowych, które nie zostały zwolnione od generalnej zasady rejestracji danych osobowych określonych w art. 43 ust. 1 pkt 1-11 u.o.d.o. Zwolnieniem objęci są m.in. administratorzy danych:

• zawierających informacje niejawne;
• które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności;
• przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym;
• przetwarzanych przez Generalnego Inspektora Informacji Finansowej;
• przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym;
• przetwarzanych przez właściwe organy na podstawie przepisów o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej;
• dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego;
• przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się;
• dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta;
• tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego;
• dotyczących osób pozbawionych wolności na podstawie ustawy w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności;
• przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej;
• powszechnie dostępnych;
• przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego;
• przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.

Podstaw prawna art. 43 ust. 1 pkt 1-11 u.o.d.o

• Odpowiedzialność administracyjna

Jeżeli podmiot nie przestrzega przepisów o ochronie danych osobowych to Generalny Inspektor Ochrony Danych może na podstawie decyzji administracyjnej zażądać przywrócenia stanu zgodnego z prawem poprzez np. zastosowanie dodatkowych środków zabezpieczeń zgromadzonych danych osobowych, zabezpieczenie danych lub przekazanie ich innym podmiotom, czy usunięcie uchybień. Jeżeli podmiot nie wykona nałożonych na niego obowiązków, GIODO jest uprawniony do nałożenia grzywny, w celu przymuszenia podmiotu do wykonania decyzji. Jednorazowo na podmiot można nałożyć grzywnę w wysokości 50 tys. złotych.

• Odpowiedzialność karna

Na podstawie przepisów o ochronie danych osobowych odpowiedzialności podlega m.in. osoba administrująca danymi, choćby nieumyślnie naruszy obowiązek zabezpieczenia danych lub osoba, która przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne, albo do których przetwarzania nie jest uprawniona. Za wymienione powyżej naruszenia grozi kara grzywny, ograniczenia wolności lub pozbawienia wolności do 2 lat.

• Odpowiedzialność cywilna

Udostępnianie danych osobowych osobom nieupoważnionym do ich przetwarzania może skutkować naruszeniem dobra osobistego, jakim jest prawo do prywatności. Osoba, której dobra zostały naruszone może na drodze powództwa cywilnego żądać  m.in. zaniechania naruszeń i usunięcia ich skutków, zapłaty zadośćuczynienia za doznaną krzywdę albo odszkodowania za wyrządzoną szkodę.

Podstawa prawna: art. 18, 24 49 ust. 1 , 52u.o.d.o. oraz 24 Kodeksu Cywilnego

Najważniejsze akty prawne w zakresie ochrony danych osobowych

• Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (Dz. U. z 2014 r. poz. 1182 z późn. zm.)
• Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr, poz. 1024)
• Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz.U z dnia 29 grudnia 2014, poz. 1934)
• Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz.U. z dnia 25 maja 2015, poz. 709)
• Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U z dnia 29 maja 2015 r. poz. 745)
• Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U z 2004 r. Nr 100, poz.1024)
• Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008r w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U z 2008 r. Nr 229, poz.1536)