Posiadanie danych osobowych nakłada na podmiot szereg obowiązków:

-  obowiązek ochrony danych (zabezpieczenia ich przed dostępem do nich osób trzecich),
-  obowiązek informacyjny wobec osób, których dane są w posiadaniu podmiotu (osoby te muszą być poinformowane, że podmiot te dane posiada oraz wykorzystuje do określonych celów),
-  obowiązek rejestracyjny (czyli zgłoszenia informacji o danych osobowych do rejestru - prowadzonego przez GIODO).

Co to są dane osobowe?

Danymi osobowymi są wszelkie informacje dotyczące konkretnej osoby fizycznej, za pomocą których bez większego wysiłku można tę osobę zidentyfikować, chociaż nie jest ona wyraźnie wskazana.

Do danych osobowych zalicza się nie tylko imię, nazwisko i adres osoby, ale również:

- NIP,
- PESEL,
- numer paszportu, legitymacji i innych dokumentów,
- dane o cechach fizjologicznych (np. linie papilarne, wzór siatkówki, DNA, grupa krwi, zdjęcia rentgenowskie),
- dane o cechach umysłowych, ekonomicznych, kulturowych i społecznych (fotografie, filmy, notatki, komunikaty, wyciągi, komunikaty w formie pisemnej bądź elektronicznej),
- adres IP identyfikujący komputer odbiorcy (również dynamiczny),
- adres e-mail (ale nie rambo2000@op.pl tylko zawierający imię i nazwisko osoby, np jan.kowalski@gmail.com).

Tak więc pojedynczy numer PESEL stanowi dane osobowe ale informacje o dużym stopniu ogólności, np. nazwa ulicy i numer domu, w którym mieszka wiele osób, czy wysokość wynagrodzenia - już nie. Natomiast informacja, że Jan Kowalski mieszka na ulicy Malinowej 7 - to już w świetle ustawy są dane osobowe, które podlegają ochronie.

Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymaga to nadmiernych nakładów kosztów, czasu lub działań.

Dane "wrażliwe" - szczególnie chronione

Dane szczególnie chronione wyliczone są w art. 27 ust. 1 ustawy. Są to informacje o
- pochodzeniu rasowym lub etnicznym,
- poglądach politycznych, religijnych, filozoficznych, wyznaniu,
- przynależności do partii lub związku,
- stanie zdrowia,
- kodzie genetycznym,
- nałogach,
- życiu seksualnym,
- skazaniach, orzeczeniach o ukaraniu, mandatach i innych orzeczeniach wydanych w postępowaniu przed sądem lub urzędem.

Na administratorów tych danych ustawa nakłada bardziej rygorystyczne obowiązki niż na administratorów danych „zwykłych”.

Dane „zwykłe”

Nie jest to pojęcie zdefiniowane w ustawie o ochronie danych osobowych, ale tak nazywane są dane osobowe poza wymienionymi w art. 27 ust. 1 ustawy. Zaliczamy do nich np. imię, nazwisko, adres zamieszkania, datę urodzenia, nr PESEL.

W przypadku rejestracji zbiorów danych „zwykłych” w GIODO, możemy wykonywać na tych danych działania, na przykład zbierać je już od momentu zgłoszenia zbioru do rejestru (zanim GIODO wyrazi swoją decyzję w sprawie). Zgłaszając informację o zbiorze danych „wrażliwych”, działania w tym zakresie możemy rozpocząć dopiero po zarejestrowaniu informacji o takim zbiorze.

Przetwarzanie danych osobowych

Przetwarzaniem danych osobowych jest wykonywanie na nich jakichkolwiek operacji. Przetwarzaniem jest zatem już samo przechowywanie danych, nawet jeśli podmiot faktycznie z nich nie korzysta. W pojęciu przetwarzania mieści się także ich udostępnianie, zmienianie, modyfikowanie, przekazywanie, zbieranie, utrwalanie, opracowywanie.

Kiedy można przetwarzać dane „wrażliwe”?

Dane szczególnie chronione, wrażliwe można przetwarzać, jeśli:

•     osoba, której dotyczą wyrazi zgodę na piśmie na ich przetwarzanie (a jeśli chodzi o ich usunięcie to zgoda nie musi być udzielona);
•     przepis szczególny innej ustawy zezwala na ich przetwarzanie bez zgody tej osoby (jednocześnie stwarzając gwarancje ochrony tych danych);
•     przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów tej osoby, a ona w tym czasie nie jest fizycznie lub prawne zdolna do wyrażenia zgody;
•     jest to niezbędne do wykonywania statutowych działań kościołów, związków wyznaniowych, stowarzyszeń, fundacji, pod warunkiem, że przetwarzanie dotyczy danych członków tych organizacji lub instytucji, osób utrzymujących stałe kontakty w związku z ich działalnością (i są zapewnione gwarancje ochrony tych danych);
•     przetwarzanie dotyczy danych, które są niezbędne do dochodzenia spraw przed sądem;
•     przetwarzanie jest związane z zatrudnieniem pracowników i innych osób;
•     przetwarzanie jest prowadzone w celu ochrony zdrowia, świadczenia usług medycznych i leczenia pacjentów;
•     przetwarzanie dotyczy danych, które zostały przez tę osobę podane do publicznej wiadomości;
•     przetwarzanie jest niezbędne do badań naukowych (publikowanie wyników nie może umożliwić identyfikacji osoby);
•     przetwarzanie jest realizowane w celu realizacji orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.

Zbiór danych osobowych

Zgodnie z definicją sformułowaną w art. 7 pkt 1 ustawy o ochronie danych osobowych, zbiorem danych jest taki zestaw danych o charakterze osobowym, w którym dane dostępne są według określonych kryteriów, „niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”.

Wszelkie materiały gromadzone w formie akt, w tym sądowe, prokuratorskie, policyjne i inne zawierające dane osobowe, są zbiorami danych osobowych. Typowym zbiorem danych jest zestaw informacji o pracownikach, zgromadzonych w związku z ich zatrudnieniem i świadczeniem przez nich pracy, wykorzystywany przez różne komórki organizacyjne pracodawcy, zarówno w systemach informatycznych, jak i w formie papierowej.

Ustawa chroni dane osobowe, jeśli są one uporządkowane w zestawach, aktach, księgach, skorowidzach, rejestrach i innych zbiorach ewidencyjnych. Ustawę stosuje się również do danych osobowych przetwarzanych w systemach informatycznych, nawet jeśli są to pojedyncze dane; np. oświadczenie do celów podatkowych jednej osoby. Wówczas traktujemy te dane osobowe tej jednej osoby, tak, jakby były zbiorem danych, i stosujemy do nich wszelkie zapisy ustawy, czyli zabezpieczamy je, chronimy, zgłaszamy informację do GIODO (jeżeli dotyczy nas ten obowiązek).

Jeżeli posiadamy zbiory danych sporządzonych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie (bez zbędnej zwłoki) usuwanych - albo poddanych anonimizacji - zastosowanie mają jedynie przepisy dotyczące zabezpieczenia danych.

Usuwanie danych

Zgodnie z art. 7 pkt 3 ustawy usuwanie danych polega na ich niszczeniu lub modyfikacji. Aby można było mówić o usunięciu danych osobowych, należy dokonać tej czynności w sposób niepozwalający na odtworzenie ich treści, czyli tak, aby po dokonaniu usunięcia danych niemożliwe było zidentyfikowanie osób, których dotyczą.

Istnieje przy tym dowolność w wyborze środków służących usuwaniu danych. Można zatem, w celu usunięcia danych, skorzystać z niszczarki lub zanonimizować dokument, czyli usunąć z niego dane osobowe, np. zaczerniając je, tak aby nie było możliwe ich odtworzenie.

Warto zwrócić uwagę na zjawisko błędów popełnianych przez pracowników w procesie niszczenia zbędnych dokumentów zawierających dane osobowe. Częstym procederem jest wyrzucanie dokumentów na śmietnik, bez uprzedniego sprawdzenia ich treści. Stanowi to naruszenie norm o zabezpieczeniu danych osobowych, ponieważ umożliwia zapoznanie się z treścią danych osobom nieuprawnionym.

Zgoda na przetwarzanie danych osobowych

W myśl art. 7 pkt 5 ustawy o ochronie danych osobowych, przez zgodę osoby, której dane dotyczą, rozumie się oświadczenie woli, którego treścią jest zgoda składającego oświadczenie na przetwarzanie jego danych osobowych. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści.

Z definicji tej nie wynikają szczegółowe zasady formułowania klauzul zgody, jednakże podkreśla się, że z treści klauzul zgody na przetwarzanie danych osobowych powinno w sposób niebudzący wątpliwości wynikać, w jakim celu, w jakim zakresie i przez kogo dane osobowe będą przetwarzane. Wyrażający zgodę musi mieć pełną świadomość tego, na co się godzi.

W przypadku zgody na wykorzystywanie danych osobowych podlegających szczególnej ochronie – zgoda musi być wyrażona na piśmie.

Co to jest prawo informacji?

Każda osoba ma prawo do kontroli swoich danych osobowych. Prawo to może być egzekwowane poprzez zażądanie udzielania informacji przez administratora danych o przetwarzaniu danych.

Osoba może żądać odpowiedzi min. na następujące pytania:

•     czy istnieje zbiór, w którym są jej dane;
•     od kiedy dane są przetwarzane;
•     skąd pochodzą te dane;
•     w jaki sposób dane są udostępniane.

Osoby zainteresowane taką informacją mogą złożyć wniosek do administratora danych, który w ciągu 30 dni powinien na niego odpowiedzieć (w formie pisemnej, jeżeli tego sobie zażyczyliśmy).

Czy administrator może nie udzielić informacji? W określonych sytuacjach - tak:

•     dane są przetwarzane dla celów naukowych, dydaktycznych, historycznych, statystycznych lub archiwalnych, a udzielenie informacji pociąga to za sobą nakłady niewspółmierne z zamierzonym celem;
•     nastąpiłoby ujawnienie wiadomości stanowiących tajemnicę państwową;
•     spowodowałoby to zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego;
•     spowodowałoby to zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa;
      istotnie naruszyłoby dobra osobiste innych osób.

Prawo sprzeciwu

Możliwość kontroli danych,  może być też wyrażona w formie wniesienia sprzeciwu wobec wykorzystania danych w celach marketingowych lub przekazania ich innemu administratorowi.

Z tego prawa można skorzystać w sytuacji, gdy administrator uzasadnił przetwarzanie danych w następujący sposób: że jest ono niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego lub jest niezbędne do wypełnienia jego prawnie usprawiedliwionych celów, lub osób trzecich, którym dane te przekazuje.

W innych sytuacjach (gdy podstawę przetwarzania danych stanowi zgoda osoba, szczególny przepis prawa lub są one przetwarzane w związku z wykonaniem umowy zawartej z administratorem) to prawo nie przysługuje osobie.

Jeśli osoba wniesie sprzeciw dalsze przetwarzanie danych jest niedopuszczalne (w zbiorze można jednak pozostawić imię i nazwisko osoby oraz numer PESEL lub adres wyłącznie w celu uniknięcia ponownego wykorzystania danych tej osoby).

Prawo do poprawiania danych

Każda osoba może zażądać uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy, albo są już zbędne do realizacji celu, dla którego zostały zebrane.
Administrator powinien dokonać zmian bez zbędnej zwłoki a jednocześnie ma obowiązek poinformowania, także bez zbędnej zwłoki, innych administratorów, którym udostępnił zbiór danych, o dokonanym uaktualnieniu lub sprostowaniu danych.

Administrator danych (AD)

Administrator to podmiot, który decyduje o celach i sposobach przetwarzania danych. Administratorem może być osoba prawna lub fizyczna (firma, stowarzyszenie, fundacja, instytucja, Jan Kowalski itp.), jeżeli przetwarza dane osobowe w związku z prowadzoną działalnością zarobkową, zawodową lub statutową.

Administrator bezpieczeństwa informacji (ABI)

Wyznaczenie administratora bezpieczeństwa informacji jest jednym z obowiązków administratora danych, wynikającym z art. 36 ust. 3 ustawy, służącym właściwemu zabezpieczeniu danych.

Administrator bezpieczeństwa informacji nadzoruje przestrzeganie zasad ochrony danych, określonych przez administratora, stosując odpowiednie do zagrożeń i kategorii danych objętych ochroną środki techniczne i organizacyjne, które mają zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, przywłaszczeniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Administrator danych sam może pełnić funkcję administratora bezpieczeństwa informacji.

Zadania Administratora bezpieczeństwa informacji (ABI):

1)  zapewnienie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

•  sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych (AD), którym jest np. organizacja pozarządowa;
  
• nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednie do zagrożeń oraz kategorii danych objętych ochroną i przestrzegania zasad określonych w tej dokumentacji;
  
• zapewnianie możliwości zapoznania się przez osoby upoważnione do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;

2)  prowadzenie jawnego rejestru zbiorów danych przetwarzanych przez AD (każdy ma prawo go przeglądać), z wyjątkiem zbiorów ustawowo zwolnionych z rejestracji, zawierającego:

• nazwę zbioru;
• oznaczenie AD i adres jego siedziby, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej (REGON), jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru;
  
• cel przetwarzania danych;
  
• sposób zbierania oraz udostępniania danych;
  
• informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane;
  
• informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego;
  

3)  sprawdzenie dla GIODO (w wyznaczonym przez niego zakresie i terminie) zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, przygotowanie sprawozdania i przekazanie go (za pośrednictwem AD) do GIODO;

4)  wykonywanie innych obowiązków – o ile nie naruszają one prawidłowego wykonywania wyżej wymienionych zadań.

Co powinno zawierać sprawozdanie ABI dla Administratora danych (AD)?

•     oznaczenie AD i adres jego siedziby;
•     imię i nazwisko ABI;
•     wykaz czynności podjętych przez ABI w toku sprawdzenia oraz imiona, nazwiska
  i stanowiska osób biorących udział w tych czynnościach;
•     datę rozpoczęcia i zakończenia sprawdzenia;
•     określenie przedmiotu i zakresu sprawdzenia;
•     opis stwierdzonego stanu faktycznego oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych;
•     stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającyi stan zgodny z prawem;
•     wyszczególnienie załączników stanowiących składową część sprawozdania;
•     podpis ABI, a w przypadku sprawozdania w postaci papierowej – dodatkowo parafy ABI na każdej stronie sprawozdania;
•     datę i miejsce podpisania sprawozdania przez ABI.

UWAGA! Przedstawienie przez ABI sprawozdania nie wyłącza prawa GIODO do przeprowadzenia kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych.

Zgłoszenie powołania Administratora Bezpieczeństwa Informacji (ABI) do GIODO

Zgłoszenie (w terminie 30 dni od dnia powołania) powinno zawierać:

1)  oznaczenie AD i adres jego siedziby, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej (REGON), jeżeli został mu nadany;

2)  dane ABI:
     a) imię i nazwisko;
b) numer PESEL lub, gdy ten numer nie został nadany, nazwę i numer dokumentu stwierdzającego tożsamość;
c) adres do korespondencji, jeżeli jest inny niż adres siedziby AD;
3)  datę powołania;
4)  oświadczenie AD o:

     a) spełnianiu przez ABI wymogów (pełna zdolność do czynności prawnych oraz korzystanie z pełni praw publicznych; posiadanie odpowiedniej wiedzy w zakresie ochrony danych osobowych; niekaralność za umyślne przestępstwo);

     b) podleganiu ABI bezpośrednio kierownikowi jednostki organizacyjnej (AD).

Na żądanie AD lub ABI GIODO wydaje zaświadczenie o zarejestrowaniu ABI. Zgłaszanie zmian dotyczących ABI odbywa się zgodnie z procedurą zgłoszenia powołania ABI do rejestracji GIODO w terminie 14 dni od dnia zmiany.

Zgłoszenie odwołania Administratora Bezpieczeństwa Informacji (ABI)

Zgłoszenie odwołania ABI do GIODO (w terminie 30 dni od dnia jego odwołania) powinno zawierać:>

1)  oznaczenie AD i adres jego siedziby, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej (REGON), jeżeli został mu nadany;>

2)  dane ABI:
a) imię i nazwisko;

b) numer PESEL lub, gdy ten numer nie został nadany, nazwę i numer dokumentu stwierdzającego tożsamość;

3)  datę i przyczynę odwołania.

Wzór zgłoszenia powołania i odwołania ABI określa rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10.12.2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz. U. z 2014 r., poz. 1934)

Zgłoszenie zbioru do rejestracji

Na administratorze danych spoczywa wynikający z art. 40 ustawy obowiązek zgłoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Wyjątki od tej zasady wyliczone zostały w art. 43 ust. 1 ustawy. Każdy administrator przed zgłoszeniem zbioru powinien sprawdzić, czy prowadzony przez niego zbiór nie podlega, w myśl tych przepisów, zwolnieniu z obowiązku zgłoszenia do rejestracji. Zwolnienie z tego obowiązku nie oznacza zwolnienia z pozostałych obowiązków wynikających z przepisów o ochronie danych osobowych.

Sposób dokonywania zgłoszenia

Zgłoszenia zbioru danych dokonuje się przez złożenie wypełnionego formularza, którego wzór opublikowany został w rozporządzeniu wykonawczym do ustawy. Formularz jest dostępny na stronie internetowej www.giodo.gov.pl.

Zgłoszeniu podlega również każda zmiana informacji wcześniej zgłoszonych. Jeśli zatem zmieniają się warunki i zasady prowadzenia zbioru, to taką zmianę należy zgłosić Generalnemu Inspektorowi Ochrony Danych Osobowych.

Jeśli strona działa przez pełnomocnika, do formularza zgłoszenia należy załączyć prawidłowo udzielone pełnomocnictwo. Do przedstawienia innych dokumentów, które mogą mieć znaczenie w sprawie (odpis z KRS, polityka bezpieczeństwa, instrukcja zarządzania systemem informatycznym), strona może zostać wezwana w toku postępowania administracyjnego, prowadzonego w celu rejestracji zbioru przez GIODO.

Zgłoszenie zbioru danych do rejestracji może być dokonane poprzez przesłanie formularza zgłoszenia za pośrednictwem poczty, osobiście, jak również przy wykorzystaniu elektronicznej platformy komunikacji z Generalnym Inspektorem: e-giodo, dostępnej ze strony internetowej www.giodo.gov.pl.

System e-giodo umożliwia zgłaszanie do rejestracji zbiorów danych i ich aktualizację poprzez internet. Formularz zgłoszenia zbioru danych jest wówczas wypełniany przy użyciu zainstalowanego na stronie internetowej www.giodo.gov.pl programu, który – poprzez system podpowiedzi i komunikatów o popełnionych błędach – minimalizuje możliwość niewłaściwego wypełnienia zgłoszenia przez wnioskodawcę. Po wypełnieniu formularza istnieje możliwość wysłania zgłoszenia drogą elektroniczną. Dotyczy to jednak tylko podmiotów dysponujących podpisem elektronicznym. Tak wypełniony formularz można również wydrukować i przesłać drogą tradycyjną.

Zaświadczenie o zarejestrowaniu zbioru

Administrator danych „zwykłych” podlegających rejestracji może rozpocząć ich przetwarzanie od momentu zgłoszenia zbioru GIODO. Zaświadczenie o zarejestrowaniu zbioru jest wówczas wydawane na wniosek administratora danych.

Gromadzenie danych podlegających szczególnej ochronie administrator może rozpocząć dopiero po zarejestrowaniu zbioru. W tym przypadku zaświadczenie wydawane jest obligatoryjnie, przez Generalnego Inspektora Ochrony Danych Osobowych, niezwłocznie po dokonaniu rejestracji zbioru danych.

Przykłady zwolnienia z obowiązku zgłoszenia danych do rejestracji:

•   rejestracja danych pracowników i kandydatów do pracy. Zwolnienie z obowiązku rejestracji, na podstawie art. 43 ust. 1 pkt 4 ustawy, dotyczy zbiorów danych osobowych przetwarzanych w związku z zatrudnieniem u administratora danych (tj. zbiorów aktualnych i byłych pracowników, a także kandydatów do pracy) oraz świadczeniem mu usług na podstawie umów cywilnoprawnych (np. na podstawie umowy zlecenia, umowy o dzieło). Takich zbiorów nie należy zgłaszać do rejestracji.
•   rejestracja zbiorów wykorzystywanych do celów utrzymywania bieżących kontaktów. Podstawą zwolnienia z obowiązku zgłoszenia zbioru do rejestracji może być powszechna dostępność zawartych w nim danych (art. 43 ust. 1 pkt 9 ustawy) lub ich przetwarzanie w zakresie drobnych, bieżących spraw życia codziennego (art. 43 ust. 1 pkt 11). Przetwarzanie danych w celu utrzymywania kontaktu z osobą reprezentującą określony podmiot oraz w zakresie niezbędnym do realizacji tego celu służy usprawnieniu działalności administratora danych. Zatem dane zawarte w tego typu zbiorze traktować można jako przetwarzane w zakresie drobnych bieżących spraw życia codziennego.
  

Oprac. SC na podst. informacji GIODO

Zapraszamy do kontaktu z naszymi fachowcami!