Cognity - Ochrona Danych Osobowych - Obowiazki Przetwarz

Ochrona Danych Osobowych w
Firmie

Maciej Kawecki
WPiA Uniwersytet Jagiellooski w Krakowie

Szanowni Paostwo,

W ramach 6. Oglnopolskiego Tygodnia Kariery Cognity Szkolenia
zrealizowao bezpatne szkolenie Ochrona Danych Osobowych w Firmie.

Zapraszamy do prezentacji przygotowanej przez pana Macieja Kaweckiego,
prowadzcego szkolenie, ktra przybliy zainteresowanym tematyk
omawian na szkoleniu.

Wicej informacji o kursach z zakresu Ochrony Danych Osobowych dostpne
jest na stronie www.cognity.pl

Po informacj o bezpatnych warsztatach, szkoleniach i kurach realizowanych
w Cognity zapraszamy na nasz profil na Facebooku.

Czd I
Geneza i podstawy prawne ochrony
danych osobowych

Geneza
Cel ochrony danych osobowych:
Instrument niezbdny dla poszanowania podstawowych,
uznanych powszechnie praw i wolnoci, zwaszcza prawa do
prywatnoci (art. 47 i 51 Konstytucji RP);
Instrument ochrony interesw uytkownikw najnowszej
technologii informatycznej i Internetu, w tym rnych instytucji
publicznych. Zapewnienie niezbdnego do ich dziaao zaufania i
bezpieczeostwa.
(Zob. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Warszawa Krakw
2004, s. 52. )

Kurs Ochrona Danych Osobowych
rda prawa ochrona danych
osobowych
Prawo unijne
Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia
24 padziernika 1995r. w sprawie ochrony osb fizycznych w
zakresie przetwarzania danych osobowych i swobodnego
przepywu tych danych.
Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia
12 lipca 2002 r. w sprawie przetwarzania danych osobowych oraz
ochrony prywatnoci w sektorze komunikacji elektronicznej.
Rozporzdzenie Nr 45/2001 Parlamentu Europejskiego i Rady
z dnia 18 grudnia 2000r. o ochronie osb fizycznych w zwizku
z przetwarzaniem danych osobowych przez instytucje i organy
wsplnotowe i o swobodnym przepywie takich danych.

rda prawa ochrona danych
osobowych
Prawo krajowe
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
Akty wykonawcze
Rozporzdzenie Ministra Spraw Wewntrznych i Administracji
z dnia 11 grudnia 2008r. w sprawie wzoru zgoszenia
zbioru do rejestracji GIODO.

Rozporzdzenie Prezydenta Rzeczypospolitej Polskiej z dnia 10 padziernika
2011 r. w sprawie nadania statutu Biura GIODO.

Rozporzdzenie ministra spraw wewntrznych i administracji z dnia 29
kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych
oraz warunkw technicznych i organizacyjnych, jakim powinny odpowiadad
urzdzenia i systemy informatyczne suce do przetwarzania danych
osobowych.

Czd II
Podstawowe pojcia

Administrator danych osobowych

Podstawowe pojcia- administrator danych
osobowych
Art. 3 oraz art. 7 ust. 4 ustawy z 29 sierpnia 1997r. o ochronie
danych osobowych.
Administratorem danych osobowych jest kady:

- organ, jednostka organizacyjna lub podmiot,
- organ paostwowy, organ samorzdu terytorialnego, podmiot
niepubliczny realizujcy zadania publiczne,
- paostwowe i komunalne jednostki organizacyjne,

decydujcy o celach i rodkach przetwarzania danych osobowych
(w dyrektywie with determines the purposes and means of the
processing of personal data),

ktre maj siedzib albo miejsce zamieszkania na terytorium Rzeczypospolitej
Polskiej.

osobowych
Art. 7 Konstytucji RP Organy wadzy publicznej dziaaj na
podstawie i w granicach prawa.
W paostwie demokratycznym, w ktrym rzdzi prawo, organy wadzy publicznej mog powstad tylko
na podstawie prawa, a normy prawne musz okrelad ich kompetencje, zadania i tryb postpowania,
wyznaczajc tym samym granice ich aktywnoci. Organy te mog dziaad tylko w tych granicach W.
Skrzydo, Komentarz do Konstytucji RP, Lex 2013, nr 144753.
Ustawowego upowanienia dla rady nie mona domniemywad, szczeglnie stosowad dla ustalenia
zakresu upowanienia wykadni celowociowej. Organy wadzy publicznej, do ktrych zalicza si
organy samorzdu terytorialnego, zgodnie z art. 7 Konstytucji RP dziaaj na podstawie i w granicach
prawa. Mog dziaad w granicach wyznaczonych przez normy prawne okrelajce ich kompetencje,
zadania i tryb postpowania, zatem tylko tam i o tyle o ile upowania prawo Uchwaa Regionalnej
Izby Obrachunkowej w Kielcach z dnia 15 maja 2013 r. 71/13.
Kada norma kompetencyjna musi byd tak realizowana, aby nie naruszaa innych przepisw ustawy.
Zakres upowanienia musi byd zawsze ustalany przez pryzmat zasad demokratycznego paostwa
prawnego, dziaania w graniach i na podstawie prawa oraz innych przepisw regulujcych dana
dziedzin Rozstrzygnicie nadzorcze Wojewody Lubelskiego z dnia 8 grudnia 2010 r.
NK.II.0911/361/10

osobowych
Administratorem danych osobowych wykorzystywanych w zakresie
dziaalnoci prowadzonej przez przedsibiorc jest, co do zasady,
przedsibiorca. Administratorem takich danych jest w szczeglnoci
spka z ograniczon odpowiedzialnoci, spka akcyjna, spka
jawna czy te spka komandytowa. Tak wic administratorem
danych jest sama spka prawa handlowego, nie za jej organy,
osoby zasiadajce w organach tej spki lub penice w niej funkcje
kierownicze.

W przypadku osoby prowadzcej dziaalnod gospodarcz
pozostaje ona administratorem danych niezalenie od tego, czy
wyznaczy pracownika odpowiedzialnego za przetwarzanie danych
osobowych (tzw. administratora bezpieczeostwa informacji).
(rdo: http://www.giodo.gov.pl/317/id_art/1580/j/pl/)

osobowych
Zoonod prawnych form dziaania podmiotw, niejednokrotnie
utrudnia wskazanie kto jest administratorem danych.
Wskazwki:
I.
Administratorem danych przetwarzanych przez organ administracji publicznej
nigdy nie jest osoba fizyczna np. Pan Kowalski penicy funkcj kierownika
danego dziau!!!
II.
Decydujce znaczenie bdzie miaa tred normy kompetencyjnej, uprawniajcej
organ do przetwarzania danych, bd wskazujca zadanie organu, ktrego
wykonanie nie byoby moliwe,
bez przetwarzania danych.

osobowych
III.
Naley zapoznad si z brzmieniem przepisw prawnych, mogcych wyranie
wskazywad, kto peni funkcj administratora
danych w danym przypadku.
Przykad: art. 80 a ustawy z 20 czerwca 1997r. Ustawy o ruchu drogowym
Ewidencj prowadzi minister waciwy do spraw wewntrznych w systemie
teleinformatycznym. W rozumieniu niniejszej ustawy minister ten jest
administratorem danych ().
2002
IV.
Status administratora danych nie jest uzaleniony od faktycznego przetwarzania
danych. Innymi sowy, administratorem danych moe byd podmiot, ktry w ogle
nie posiada danych osobowych. Dla stwierdzenia posiadania takiego przymiotu
istotne jest bowiem faktyczne decydowanie o celach i rodkach przetwarzania
danych osobowych (np. pomimo nieposiadania okrelonych danych moliwod np.
ich dania, gdy zajdzie taka potrzeba).

osobowych
V.
Status administratora danych nie jest uzaleniony od faktycznego
przetwarzania danych. Innymi sowy, administratorem danych moe byd
podmiot, ktry w ogle nie posiada danych osobowych. Dla stwierdzenia
posiadania takiego przymiotu istotne jest bowiem faktyczne decydowanie
o celach i rodkach przetwarzania danych osobowych (np. pomimo
nieposiadania okrelonych danych moliwod np. ich dania, gdy zajdzie taka
potrzeba).
VI.
W przypadku wszelkich podmiotw gospodarczych funkcjonujcych w formie
spek (w tym w formie spki cywilnej) administratorem danych osobowych
jest spka a nie jej organy ( m.in. Prezes, Zarzd Spki).

osobowych
VII.
W przypadku osb fizycznych prowadzcych dziaalnod gospodarcz,
administratorem danych osobowych jest osoba fizyczna, prowadzca
przedmiotowa dziaalnod.

osobowych
V.
W doktrynie prawa oraz praktyce orzeczniczej sdw oraz GIODO w wielu przypadkach
przesdzono, kto penid bdzie funkcj administratora danych osobowych w sektorze
administracji publicznej.

osobowych
Przykadowe podstawy uprawniajce organy do przetwarzania
danych

Zakres zastosowania ustawy o
ochronie danych osobowych

Podstawowe pojcia w ochronie danych
osobowych
Ustaw stosuje si do przetwarzania danych osobowych oraz praw
osb fizycznych, ktrych dane osobowe s lub mog byd
przetwarzane w zbiorach danych, a w przypadku przetwarzania
danych w systemach informatycznych, take w przypadku
przetwarzania danych poza zbiorem.

Zbiorem danych jest kady posiadajcy struktur zestaw danych
o charakterze osobowym, dostpnych wedug okrelonych kryteriw,
niezalenie od tego, czy zestaw ten jest rozproszony lub podzielony
funkcjonalnie.

Przetwarzanie danych osobowych w systemach informatycznych
nie oznacza wycznie przetwarzania danych z wykorzystaniem
systemw poczonych do sieci Internet!

osobowych
Zbir danych osobowych

W doktrynie przyjmuje si, e zbir danych osobowych musi skadad si
co najmniej z dwch informacji.

Zbir musi posiadad struktur, pozwalajc na odnalezienie w nim
okrelonej informacji, bez koniecznoci przeszukiwania caego zbioru, na
podstawie co najmniej jednego kryterium. Zbir nie musi mied jednak
charakteru uporzdkowanego. (przeciwnie w kontekcie co najmniej
dwch kryteriw wypowiada si m.in. WSA w Warszawie z dnia 13
marca 2008 r. II SA/Wa 143/08).

Opowiedzied naley si za stanowiskiem, odmawiajcym doniosoci
prawnej charakterowi kryterium uporzdkowania akt, tj. czy ma ono
charakter osobowy czy nieosobowy (M. Sakowska, Pojcie zbir danych na
gruncie ustawy o ochronie danych osobowych, Radca prawny 2005, nr 2, s. 62. )

osobowych
Przykady zbiorw danych

Wszelkie materiay zgromadzone w formie akt, w tym sdowe,
prokuratorskie, policyjne i inne zawierajce dane osobowe s zbiorem
danych osobowych w rozumieniu art. 7 u.o.d.o. (Stanowisko GIODO
dostpne na stronie www.giodo.gov.pl w zakadce pytania i odpowiedzi).

Zbir akt postpowania administracyjnego zawierajcy dane stron, ich
adresy i inne informacje spenia wszystkie kryteria i jest zbiorem danych
osobowych (P. Barta, P. Litwioski, Ustawa o ochronie danych osobowych.
Komentarz, Warszawa 2013, s. 87).

Zestaw chronologicznie uporzdkowanych tam zawierajcych
nagranie pochodzce z monitoringu pomieszczeo kasyna stanowi zbir
danych osobowych (Sprawozdanie GIODO za rok 2003, s. 175.).

osobowych
Ustaw o ochronie danych osobowych, bdzie stosowao si do przetwarzania
danych osobowych przez organy administracji publicznej w ograniczonym
zakresie, gdy:

a) zbiory danych osobowych sporzdzane s doranie;

b) wycznie ze wzgldw technicznych lub szkoleniowych;

c) dane po ich wykorzystaniu s niezwocznie usuwane albo poddane
anonimizacji.

W takim przypadku organ zobowizany jest przestrzegad wycznie przepisw
wskazanych w rozdziale V ustawy, regulujcym zasady zabezpieczenia danych.

Wskazane powyej przesanki musz zostad spenione cznie!!
osobowych
Za dane osobowe uwaa si wszelkie informacje dotyczce
zidentyfikowanej lub moliwej do zidentyfikowania osoby fizycznej.

Osob moliw do zidentyfikowania jest osoba, ktrej tosamod
mona okrelid bezporednio lub porednio, w szczeglnoci przez
powoanie si na numer identyfikacyjny albo jeden lub kilka
specyficznych czynnikw okrelajcych jej cechy fizyczne,
fizjologiczne, umysowe, ekonomiczne, kulturowe lub spoeczne.

Informacji nie uwaa si za umoliwiajc okrelenie tosamoci
osoby, jeeli wymagaoby to nadmiernych kosztw, czasu lub
dziaao.

osobowych
Danymi osobowymi s wszelkie informacje, ktre co najmniej daj
moliwod zidentyfikowania osoby, ktrej dane osobowe dotycz.
W zalenoci od okolicznoci faktycznych, za dane osobowe
bdzie mg byd uznany nawet rozmiar stopy okrelonej osoby
fizycznej.

Przetwarzanie danych osobowych

Podstawowe pojcia przetwarzanie
danych
Przez przetwarzanie danych osobowych naley rozumied
jakiekolwiek operacje wykonywane na danych osobowych, takie
jak zbieranie, utrwalanie, przechowywanie, opracowywanie,
zmienianie, udostpnianie i usuwanie, a zwaszcza te, ktre
wykonuje si w systemach informatycznych.

Sam fakt posiadania dostpu do danych osobowych jest ju ich
przetwarzaniem, niezalenie od tego, czy dany podmiot
faktycznie z moliwoci takiego dostpu skorzysta (np.
dostawca usug hostingowych).

Powierzenie i udostpnienie danych
osobowych
danych
I. Udostpnienie danych.

Jest form przetwarzania danych osobowych polegajc na przekazaniu danych
osobowych innemu podmiotowi, ktry decydujc o celu i rodkach przetwarzania
uzyskanych danych staje si ich administratorem. Podmiot przekazujcy takie
dane, nie musi tracid statusu administratora danych osobowych.

W przypadku braku innej przesanki legalizujcej przetwarzanie danych (art. 23
u.o.d.o.), administrator musi uzyskad zgod podmiotu danych na ich
udostpnienie.

II. Powierzenie danych.

Administrator danych moe powierzyd innemu podmiotowi, w drodze umowy
zawartej na pimie, przetwarzanie danych, w celu i zakresie wyranie wskazanym
w umowie. Administrator powierzajcy dane osobowe, nie musi uzyskiwad zgody
podmiotu danych na powierzenie danych innemu podmiotowi (tzw. procesor).

danych
W przepisach u.o.d.o. jak i w jakichkolwiek innych aktach prawnych
brak jest legalnej definicji udostpnienia danych osobowych (w. art. 7
u.o.d.o. wskazane jest jedynie e udostpnienie danych jest jedna z
form ich przetwarzania).

Samo udostpnienie danych ma charakter czynnoci faktycznej, i
polega co najmniej na umoliwieniu zapoznania si z danymi innemu
podmiotowi, ktry w stosunku do takich danych bdzie peni funkcj
administratora danych (P. Litwioski, Udostpnianie danych osobowych
na potrzeby postpowao cywilnych [w:] ICT Law Review 1/2013, s. 24).

Podmiot ktremu dane zostay przekazane bdzie wic sam decydowa
w jaki sposb wykorzysta przekazane mu dane osobowe, oraz jak owe
przetwarzanie danych bdzie wygldao od strony technicznej.

danych
Przykady udostpnienia danych

Naczelnik Urzdu Skarbowego udostpnia organizacji poytku
publicznego dane osoby, ktra wpacia na jej rzecz 1% podatku, pod
warunkiem e osoba ktrej dane dotycz wyrazia na to uprzednio
zgod w zeznaniu podatkowym lub jego korekcie.
Organ gminy po spenieniu jednej z przesanek wynikajcych z ustawy
z dnia 10 kwietnia 1974 r. o ewidencji ludnoci i dowodach osobistych
(np. osoba fizyczna ma prawo wgldu w dane dotyczcej jej samej)
moe udostpnid dane osobowe zgromadzone w gminnym zasobie
meldunkowym.
Organy administracji publicznej prowadzce postpowania
administracyjne w sprawie wiadczeo z pomocy spoecznej mog
podawad dane osobowe osb, ktrych dotycz te postpowania
zwracajc si do innych podmiotw z wnioskami o udzielenie
informacji i danych dotyczcych tych osb, niezbdnych do udzielenia
pomocy (art. 100 ustawy z dnia 12 marca 2004 r. o pomocy spoecznej,
art. 7 k.p.a. i inne).

danych
Powierzenie danych

Brak jest jakiegokolwiek wymogu odbierania zgd od osb ktrych
dane bd powierzone, na powierzenie ich danych osobowych
innemu podmiotowi.

Przetwarzanie danych przez podwykonawc pozostaje w granicach
celu i zakresu przetwarzania danych okrelonych w umowie
powierzenia, a wic rwnie celu i zakresu w jakim dane przetwarza
administrator danych.

Podmiot ktremu dane zostay powierzone moe byd adresatem
decyzji administracyjnych wydawanych w drodze kontroli
sprawowanej przez GIODO (podobnie jak administrator), zobowizany
jest wic do odpowiedniego zabezpieczenia danych. Ponosi te
odpowiedzialnod umown wzgldem administratora danych.

danych
Przykady

Korzystanie przez organ administracji publicznej z wiadczonej przez
dostawc zewntrznego usugi poczty elektronicznej (tzw. hosting
usug).

Fizyczne lokowanie danych na serwerze znajdujcym si w
pomieszczeniach dzierawionych od podmiotu zewntrznego, ktry
to podmiot wiadczy usugi zabezpieczenia pomieszczeo przed
dostpem osb trzecich (tzw. usuga kolokacji).

Zlecanie przez administratora danych osobowych dokonywania
czynnoci podatkowych wzgldem zatrudnionych przez
administratora pracownikw, zewntrznemu biurowi rachunkowemu.


Dane osobowe wraliwe
(tzw. dane sensytywne)

Podstawowe pojcia dane osobowe
wraliwe

Czd III
Zasady przetwarzania danych
osobowych
Zasady przetwarzania danych osobowych

Zasada legalnoci przetwarzania
danych osobowych

Obowizkiem wymienionym w art. 26 ust. 1 u.o.d.o. jest
przetwarzanie danych zgodnie z prawem (zasada legalnoci).
Przetwarzanie danych osobowych przez ich administratora powinno
odbywad si z zachowaniem przynajmniej jednej z przesanek
legalnoci przetwarzania okrelonych w u.o.d.o. tj.

-art. 23 - dla danych osobowych zwykych;
-art. 27 - dla danych osobowych wraliwych.

Przesanki legalnoci przetwarzania danych osobowych zwykych
(art. 23 u.o.d.o.)
I. Zgoda podmiotu danych osobowych;

Zgoda musi mied charakter wyrany i nie moe zostad
dorozumiana oraz wyinterpretowana z owiadczenia woli o innej
treci. W szczeglnoci, w przypadku stosowania formularzy
elektronicznych, nie jest dopuszczalne zamieszczenie zgody w
treci samego regulaminu. Klauzula zgody zaopatrzona
waciwym check-boxem powinna znajdowad si bezporednio
pod formularzem, w ktrym dany podmiot udostpnia swoje
dane. Nie musi byd wyraona na pimie!

Naley zgodzid si z pogldem, wyraonym w nauce prawa, zgodnie z
ktrym podstaw prawn udostpnienia danych osobowych na rzecz
podmiotw z sektora publicznego moe byd wycznie przepis prawa,
co wycza moliwod pobierania zgody przez takie podmioty (tak te:
P. Barta, P. Litwioski, Ustawa o ochronie danych osobowych. Komentarz,
Warszawa 2013, s. 189, J. Barta, P. Fajgielski, R. Markiewicz, Ochrona
danych osobowych. Komentarz, Warszawa 2004, s. 598, podobnie E.
Kulesza w odniesieniu do dania przez Kasy Chorych udostpniania
danych osobowych bez stosownej podstawy prawnej - E. Kulesza, Zbyt
czste nieprawidowoci, Rzeczp. 1.2.2000 r.).
Odebranie zgody bdzie dopuszczalne, gdy przepis prawny uzalenia
legalnod przetwarzania danych od odebrania zgody na udostpnienie
okrelonych danych np. udostpnienie organizacji poytku publicznego
danych osoby, ktra wpacia na jej rzecz 1% podatku.

Kademu podmiotowi danych osobowych przysuguje uprawnienie do
cofnicia oraz odwoania uprzednio udzielonej zgody na przetwarzanie
danych osobowych. W takiej sytuacji, dalsze przetwarzanie danych
osobowych, z powoanie si na przesank zgody naleaoby uznad za
niedopuszczalne.
Najczciej odbieran zgod na tzw. rynku e-commerce jest zgoda na
otrzymywanie od administratora danych, informacji handlowych drog
elektroniczn (nie ma koniecznoci odbierania zgody na e-marketing
tradycyjny, gdy objty jest przesanka prawnie usprawiedliwionego
celu).
Przykadowa klauzula zgody:
(ktra nie wycza posugiwania si omwion w dalszej czci klauzul
informacyjn).
Wyraam zgod na otrzymywanie informacji handlowych dotyczcych
usug administratora danych osobowych, drog elektroniczn. Zgoda
jest dobrowolna i w aden sposb nie warunkuje korzystania z usugi
gwnej.

Nie jest dopuszczalne odbieranie zgody na przetwarzanie danych
osobowych przez pracodawc, wzgldem pracownika
(wsppracujcego z pracodawc na umow o prac). Wskutek
stosunku podlegoci, owiadczenie takie nie jest bowiem
wyraone swobodnie. Dodatkowo art. 22.1 Kodeksu pracy,
wycza moliwod pobierania takiej zgody.
W przypadku udostpniania danych pomidzy organami
administracji publicznej paostw czonkowskich, lub organw UE,
organ krajowy bdzie zobowizany udostpnid dane w przypadku
gdy danie takie znajduje uzasadnienie w normach krajowych,
wynika z bezporednio skutecznych norm prawa unijnego, bd
wynika z wicych RP ratyfikowanych umw midzynarodowych.

II. Uprawnienie wynikajce z przepisu prawa.

Moliwod powoania si na t przesank uzaleniona jest od cznego
spenienia nastpujcych warunkw:

Istnienie odpowiedniego przepisu prawa (ustawy aktu niszej rangi), ktry
przyznaje podmiotowi uprawnienie lub nakada na niego obowizek pozyskania
danych, oraz

niezbdnoci przetwarzania danych do zrealizowania tego uprawnienia lub
spenienia obowizku.

Niekiedy przepisy sformuowane s w sposb, ktry moe budzid wtpliwoci co
do tego, czy przetwarzanie danych jest na ich podstawie dopuszczalne. Jako
przykad wskazad mona art. 36 1 u.p.e.a. Na podstawie tego przepisu NSA
uzna, e "Organ egzekucyjny prowadzcy egzekucj administracyjn moe
dad udostpnienia mu przez ZUS danych o miejscu zatrudnienia
ubezpieczonych bdcych dunikami (por. wyrok NSA z dnia 21 marca 2002
r., II SA 1854/01).

Jeeli uprawnienie do przetwarzania danych wynika z przepisu prawa, nie
powinno si wystpowad o zgod na przetwarzanie danych osobowych.
Czynnod taka moe bowiem wprowadzid podmiot danych w bd, co do
podstaw przetwarzania jego danych osobowych.
Przykady przepisw stanowicych wyran podstaw do przetwarzania
danych:

III. Ochrona ywotnych interesw podmiotu danych.

W przypadku braku istnienia innej przesanki uprawniajcej do
przetwarzania danych, jeeli przetwarzanie danych jest konieczne ze
wzgldu na ochron ycia, zdrowia lub interesw majtkowych o
istotnym znaczeniu, kady podmiot uprawniony jest do przetwarzania
danych.

Przetwarzanie danych na podstawie wskazanej przesanki moe mied
charakter jedynie czasowy, podmiot jest uprawniony do przetwarzania
danych tak dugo, jak dugo nie jest moliwe odebranie waciwego
owiadczenia od podmiotu danych w tym zakresie.

Przykadem takiego stanu rzeczy moe byd udostpnienie przez
przedsibiorc danych osobowych urzdnika, w zakresie koniecznym do
udzielenia mu pierwszej pomocy.

IV. Jest to konieczne dla wykonywania umowy.

Dane osobowe mog byd przetwarzane, gdy jest to konieczne dla realizacji
umowy, gdy osoba ktrej dane osobowe dotycz jest jej stron, bd gdy jest to
konieczne do podjcia czynnoci przed zawarciem umowy (czynnoci
rekrutacyjne).
W przypadku zwierania umw prac, katalog moliwych do pozyskiwania przez
pracodawc danych wynika z art. 22.1 ustawy Kodeks pracy, w przypadku
pozostaych kategorii umw, dane musz byd niezbdne do ich naleytego
wykonania.
W przypadku, gdy pracodawca chce przetwarzad dane osobowe wykraczajce
poza dane niezbdne do wykonywania umowy, musi odebrad na to odrbn
zgod (w przypadku umw zlecenia, umw o dzieo oraz innych umw
cywilnoprawnych) np. gromadzenie owiadczeo o niekaralnoci, gdy
uprawnienie takie nie przysuguje na podstawie przepisw prawnych.
Odebranie zgody nie jest moliwe, wobec osb wsppracujcych z
administratorem na podstawie umowy o prac. Administrator moe w takim
przypadku pobierad wycznie dane wskazane w art. 22 ustawy Kodeks pracy, w
zakresie koniecznym do wykonywania umowy.

NSA w wyroku z 1 grudnia 2009 r. wskaza, e brak rwnowagi w relacji
pracodawcapracownik stawia pod znakiem zapytania dobrowolnod
wyraenia zgody na pobieranie i przetworzenie danych osobowych
pracownikw (Wyrok NSA z 1 grudnia 2009 r., I OSK 249/09, ONSAiWSA
2011, nr 2, poz. 39).

Uznanie wyraenia zgody jako okolicznoci legalizujcej pobranie od
pracownika innych danych ni wskazane w art. 22
1
k.p. w ocenie
niektrych przedstawicieli doktryny stanowioby obejcie tego przepisu
(Zob. K. Roszewska, Kontrola osobista pracownikw, PiZS 2008, nr 7, s. 8
n.).

Wyraone przez NSA w powoanym wyroku stanowisko podziela
Generalny Inspektor Ochrony Danych Osobowych (dalej: GIODO), ktry
wskaza na niemonod uznania zgody kandydata do pracy za przesank
legalizujc przetwarzanie przez pracodawc danych osobowych innych
ni wymienione w przepisie art. 22
1
k.p. (Sprawozdanie GIODO za rok
2005, s. 251).

Powoana przesanka nie legalizuje wystpowania do podmiotu danych
z ofert zawarcia umowy, co wie si z przetwarzaniem danych
osobowych. Inicjatywa zawarcia umowy musi bowiem pochodzid od
samego podmiotu danych osobowych.

aden z przepisw powszechnie obowizujcego prawa, nie nakada
obowizku wprowadzania do umw cywilnoprawnych postanowieo
dotyczcych podstawy przetwarzania danych, technicznych rodkw
zabezpieczeo danych oraz uprawnieo przysugujcych podmiotowi
danych. Wyjtkiem bdzie sytuacja, w ktrej dla wykonania
postanowieo umowy, konieczne bdzie powierzenie danych, ktre dla
swojej skutecznoci wymaga formy pisemnej.

W przypadku organw administracji publicznej, nawet zawieranie
umw przez takie organy musi znajdowad umocowanie w przepisach
prawnych, std podstaw bdzie tutaj nie umowa, ale przepis prawny
lub realizacja interesu publicznego.

V. Koniecznod przetwarzania danych do wykonywania okrelonych
prawem zadao dla dobra publicznego.

Powoana przesanka legalizuje przetwarzanie danych, jeeli jest to konieczne dla
realizacji zadao publicznych, naoonych na dany podmiot przepisami prawa, ktre
to przepisy jednoczenie nie uprawniaj do przetwarzania danych.

Niedopuszczalne jest powoanie si na wskazana przesank, w razie prowadzenia
przez podmiot publiczny dziaalnoci gospodarczej (tj. dziaalnoci majcej cel
zarobkowy (np. udzia w spce handlowej). (P. Barta, P. Litwioski, Ustawa o
ochronie danych osobowych. Komentarz, Warszawa 2013, s. 221.

Przykad normy prawnej uprawniajcej do takiego przetwarzania danych:
Na podstawie art. 7d pkt 1 Prawa geodezyjnego i kartograficznego do zadao
starosty naley w szczeglnoci prowadzenie powiatowego zasobu geodezyjnego
i kartograficznego, w tym ewidencji gruntw i budynkw, gleboznawczej
klasyfikacji.

VI. Prawnie usprawiedliwiony cel administratora danych albo
odbiorcw danych.

Powoana przesanka, jest jedn z podstaw przetwarzania danych, bez
koniecznoci odbierania zgody podmiotu danych. Na przesank moemy
powoad si, gdy przetwarzanie danych znajduje swoje oparcie w przepisach
prawa materialnego, ale nie moemy utosamiad jej z wskazan uprzednio
przesank realizacji uprawnienia wynikajcego z przepisu prawnego.
W literaturze przedmiotu pojawiaj si pogldy uprawniajce rwnie podmioty
ze sfery ycia publicznego do powoywanie si na przesank prawnie
usprawiedliwionego celu.
Przetwarzanie danych nie moe naruszad praw i wolnoci podmiotu danych.
Powoana przesanka nie stanowi podstawy prawnej
przetwarzania danych osobowych na potrzeby postpowania
administracyjnego. Kade dziaanie administratora danych osobowych,
bdcego podmiotem publicznym, powinno mied podstaw w obowizujcych
przepisach prawa, a za taki przepis nie sposb uznad art. 23 ust. 1 pkt 5 u.o.d.o.,
ktry wymaga samodzielnego wywaenia przez administratora dwch dbr:
swojego prawnie usprawiedliwionego celu oraz praw i wolnoci podmiotw
danych.

Przykady prawnie usprawiedliwionych celw administratora danych:

Dochodzenie roszczeo z tytuu prowadzonej dziaalnoci (determinowany
terminem przedawnienia roszczeo okrelonego rodzaju).

Zbieranie owiadczeo o niekaralnoci, gdy charakter wykonywanych czynnoci
uzasadnia takie dane a, brak jest wyranego przepisu uprawniajcego
administratora do pobierania takich danych (z wyjtkiem pracownikw
wykonujcych czynnoci na podstawie umowy o prac).

Przetwarzanie danych osobowych przez podmioty gospodarcze, celem
stworzenia ksigi wejd i wyjd do budynkw (rdo: www.giodo.gov.pl).

Przetwarzanie danych osb wsppracujcych na podstawie umw
cywilnoprawnych, w celu stworzenia plakietek informujcych o penionej
funkcji wraz z imieniem i nazwiskiem, noszonych na ubraniach (np. ochroniarz).

Przesanki legalnoci przetwarzania danych osobowych wraliwych
(art. 27 u.o.d.o.).

Osoba, ktrej dane dotycz, wyrazi na to zgod na pimie, chyba e
chodzi o usunicie dotyczcych jej danych.
Przepis szczeglny innej ustawy zezwala na przetwarzanie takich danych bez zgody
osoby, ktrej dane dotycz, i stwarza pene gwarancje ich ochronny.
Przetwarzanie takich danych jest niezbdne do ochrony ywotnych interesw
osoby, ktrej dane dotycz, lub innej osoby, gdy osoba, ktrej dane dotycz, nie
jest fizycznie lub prawnie zdolna do wyraenia zgody, do czasu ustanowienia
opiekuna prawnego lub kuratora.
Jest to niezbdne do wykonania statutowych zadao kociow i innych zwizkw
wyznaniowych, stowarzyszeo, fundacji lub innych niezarobkowych organizacji lub
instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub
zwizkowych, pod warunkiem, e przetwarzanie danych dotyczy wycznie
czonkw tych organizacji.
Przetwarzanie dotyczy danych, ktre s niezbdne do dochodzenia praw przed
sdem.

Przesanki legalnoci przetwarzania danych osobowych zwykych
(art. 27 u.o.d.o.)

przetwarzanie jest niezbdne do wykonania zadao administratora odnoszcych si
do zatrudnienia pracownikw i innych osb, a zakres danych jest okrelony
w ustawie,
Przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, wiadczenia usug
medycznych lub leczenia pacjentw przez osoby trudnice si zawodowo
leczeniem lub wiadczeniem innych usug medycznych, zarzdzania udzielaniem
usug medycznych i s stworzone pene gwarancje ochrony danych osobowych.
Przetwarzanie dotyczy danych, ktre zostay podane do wiadomoci publicznej
przez osob, ktrej dane dotycz.
Jest to niezbdne do prowadzenia badao naukowych, w tym do przygotowania
rozprawy wymaganej do uzyskania dyplomu ukooczenia szkoy wyszej lub stopnia
naukowego; publikowanie wynikw badao naukowych nie moe nastpowad w
sposb umoliwiajcy identyfikacj osb, ktrych dane zostay przetworzone.
Przetwarzanie danych jest prowadzone przez stron w celu realizacji praw i
obowizkw wynikajcych z orzeczenia wydanego w postpowaniu sdowym lub
administracyjnym.

Zasada celowoci przetwarzania
danych osobowych

Oglna zasada celowoci

Cel pierwotny to cel dla ktrego podmiot danych przekaza woje
dane administratorowi.
Cel wtrny to inny cel przetwarzania danych ni cel dla ktrego
dane zostay przekazane.

Zasada celowoci (art.26 ust.2 pkt 1 u.o.d.o.)

Cel pierwotny to cel okrelony przez administratora przy zbieraniu
danych osobowych.
Cel wtrny to cel okrelony pniej ni przy zbieraniu danych.

Oglny zakaz przetwarzania danych, w celu sprzecznym z celem na ktrego
zostay zebrane (art.26 ust.2 pkt 1 u.o.d.o.).
Rodzaje wtrnych celw przetwarzania danych:
Cele tosame z celami okrelonymi pierwotnie.
Cele rne ale nie niezgodne z celami okrelonymi pierwotnie.
Cele sprzecznym z celem na ktrego zostay zebrane.
Zakaz wynikajcy z art. 26 ust. 2 pkt 1 u.o.d.o. obejmuje jedynie przetwarzanie
danych w celach sprzecznych z celami pierwotnymi.

Dane mog byd udostpniane podmiotom, ktre dysponuj stosown podstaw
prawna dla swojego dania take wtedy, gdy nastpujce w wyniku udostpnienia
przetwarzanie danych odbywad si bdzie w celu niezgodnym z celem, dla ktrego
dane zostay zebrane!

(P. Barta, P. Litwioski, Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2013, s. 191. ).

Niezalenie od wskazanych uprzednio przypadkw zmiany celu
przetwarzania danych, na podstawie art. 26 ust.2 u.o.d.o.:
administrator moe nadal przetwarzad dane, jeeli:

nie narusza to praw i wolnoci osoby, ktrej dane dotycz;
dalsze przetwarzanie nastpuje w celach badao naukowych,
dydaktycznych, historycznych lub statystycznych;
zachowane pozostaj przepisy art.23 i 25 u.o.d.o (obowizek
informacyjny).

Zmiana celu moliwa jest rwnie na podstawie zgody podmiotu
danych.


Zasada adekwatnoci przetwarzania
danych osobowych

Dane osobowe musz byd przetwarzane przez administratora:

Z zachowaniem zasady merytorycznej poprawnoci
i adekwatnoci przetwarzania danych osobowych do celw w
jakich s przetwarzane;

Przetwarzane nie duej, ni jest to konieczne dla realizacji celu,
w jakim s przetwarzane.

Zasady przetwarzania danych
osobowych

Obowizek informacyjny administratora danych osobowych

Ochrona danych osobowych obowizek
informacyjny
W przypadku pozyskania danych osobowych od osoby ktrej dane osobowe
dotycz, administrator zobowizany jest poinformowad tak osob o (art. 26
u.o.d.o.):

adresie swojej siedziby i penej nazwie, a w przypadku gdy administratorem
danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i
nazwisku,
celu zbierania danych, a w szczeglnoci o znanych mu w czasie udzielania
informacji lub przewidywanych odbiorcach lub kategoriach odbiorcw danych,
prawie dostpu do treci swoich danych oraz ich poprawiania,
dobrowolnoci albo obowizku podania danych, a jeeli taki obowizek istnieje,
o jego podstawie prawnej.

Wyjtki:
przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania
faktycznego celu ich zbierania,
osoba, ktrej dane dotycz, posiada takie informacje.

Ochrona danych osobowych obowizek
informacyjny
W przypadku pozyskania danych osobowych nie od osoby ktrej dane osobowe
dotycz, administrator zobowizany jest poinformowad tak osob o (art. 24
u.o.d.o.):
adresie swojej siedziby i penej nazwie, a w przypadku gdy administratorem danych jest
osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku,
celu i zakresie zbierania danych, a w szczeglnoci o odbiorcach lub kategoriach odbiorcw
danych,
rdle danych,
prawie dostpu do treci swoich danych oraz ich poprawiania,
prawie do wniesienia sprzeciwu w razie przetwarzania danych na podstawie prawnie
usprawiedliwionego celu lub zadao realizowanych dla dobra publicznego.
Wyjtki:
przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy
osoby, ktrej dane dotycz,
dane te s niezbdne do badao naukowych, dydaktycznych, historycznych, statystycznych lub
badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolnoci osoby, ktrej dane
dotycz, a spenienie wymagao wymagaoby nadmiernych nakadw lub zagraaoby realizacji
celu badania,
dane s przetwarzane przez podmioty ze sfery publicznej na podstawie przepisw prawa,
osoba, ktrej dane dotycz, posiada informacje.

Czd IV
Umowa powierzenia przetwarzania
danych osobowych

Ochrona Danych Osobowych - umowa
powierzenia
Obligatoryjne elementy umowy

Forma pisemna.
Oznaczenie stron (administrator i procesor) i podpis osb upowanionych.
Cel i zakres powierzonych danych.

Fakultatywne elementy umowy (ale wskazane)

Zobowizanie procesora do zapewnienia odpowiedniego poziomu zabezpieczenia danych
osobowych.
Wskazanie czy procesor jest upowaniony bd nie do dalszego powierzania danych
osobowych (tzw. subprocessing).
Wskazanie dokadnych czynnoci podejmowanych przez procesora na danych osobowych.
Klauzula poufnoci.
Forma przekazania danych procesorowi.
Inne treci umowne.

Czd V
Rejestracja zbioru danych
osobowych

Rejestracja zbioru danych osobowych
Administrator danych jest obowizany zgosi zbir danych do
rejestracji GIODO.

Rejestracji nie podlegaj zbiory:

zawierajce informacje niejawne,
ktre zostay uzyskane w wyniku czynnoci operacyjno-rozpoznawczych przez funkcjonariuszy
organw uprawnionych do tych czynnoci,
przetwarzane przez waciwe organy dla potrzeb postpowania sdowego oraz na podstawie
przepisw o Krajowym Rejestrze Karnym,
przetwarzane przez Generalnego Inspektora Informacji Finansowej,
przetwarzane przez waciwe organy na potrzeby udziau Rzeczypospolitej Polskiej w Systemie
Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym,
przetwarzane przez waciwie organy na podstawie przepisw o wymianie informacji z
organami cigania paostw czonkowskich Unii Europejskiej,
dotyczce osb nalecych do kocioa lub innego zwizku wyznaniowego, o uregulowanej
sytuacji prawnej, przetwarzanych na potrzeby tego kocioa lub zwizku wyznaniowego,

przetwarzane w zwizku z zatrudnieniem u nich, wiadczeniem im usug na
podstawie umw cywilnoprawnych, a take dotyczcych osb u nich
zrzeszonych lub uczcych si,
dotyczce osb korzystajcych z ich usug medycznych, obsugi notarialnej,
adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego
lub biegego rewidenta,
tworzone na podstawie przepisw dotyczcych wyborw do Sejmu, Senatu,
Parlamentu Europejskiego, rad gmin, rad powiatw i sejmikw wojewdztw,
wyborw na urzd Prezydenta Rzeczypospolitej Polskiej, na wjta, burmistrza,
prezydenta miasta oraz dotyczcych referendum oglnokrajowego i referendum
lokalnego,
dotyczce osb pozbawionych wolnoci na podstawie ustawy, w zakresie
niezbdnym do wykonania tymczasowego aresztowania lub kary pozbawienia
wolnoci,
przetwarzane wycznie w celu wystawienia faktury, rachunku lub prowadzenia
sprawozdawczoci finansowej,
powszechnie dostpne,
przetwarzane w celu przygotowania rozprawy wymaganej do uzyskania
dyplomu ukooczenia szkoy wyszej lub stopnia naukowego,
przetwarzane w zakresie drobnych biecych spraw ycia codziennego
Procedura rejestracji zbioru za porednictwem serwisu eGIODO

Zgoszenie wypenione za porednictwem serwisu e-GIODO wnioskodawca
powinien wysad drog elektroniczn rwnie wtedy, gdy nie dysponuje
bezpiecznym podpisem elektronicznym. W takim przypadku naley
dodatkowo opatrzyd wydruk zgoszenia przesanego elektronicznie
podpisem i piecztk wnioskodawcy, i przesad poczt lub zoyd w
siedzibie GIODO.
Do wniosku wypenionego elektronicznie naley doczyd:

penomocnictwo (w przypadku gdy administrator nie dziaa we wasnym
imieniu);
potwierdzenie wniesienia opaty skarbowej za penomocnictwo;
pozostae dokumenty zaczane do wniosku nie podlegaj jakiejkolwiek
opacie.

Zgodnie z jej przepisami administrator danych, ktrego zbir danych osobowych
zosta zarejestrowany przez GIODO, moe uzyskad zawiadczenie
o zarejestrowaniu zbioru danych osobowych. Ustawa o ochronie danych
osobowych przyznaje kademu administratorowi danych prawo wystpienia do
GIODO o wydanie takiego zawiadczenia (art. 42 ust. 3). Tym samym GIODO
wydaje takie zawiadczenie, ale tylko na wniosek administratora danych.

Wyjtkiem jest jedynie obligatoryjne (z urzdu) wydawanie przez GIODO
zawiadczenia o zarejestrowaniu zbioru, w ktrym przetwarzane s dane
szczeglnie chronione (wymienione w art. 27 ust. 1 ustawy, np. dane o stanie
zdrowia).

Za wydanie zawiadczenia, na podstawie art. 1 ust. 1 pkt Ib ustawy z dnia 16
listopada 2006 r. o opacie skarbowej, pobierana jest opata skarbowa wedug
stawek okrelonych w zaczniku do tej ustawy, tj. od zawiadczenia
o zarejestrowaniu zgoszonego zbioru danych - 17z.

GIODO wydaje decyzj w przedmiocie odmowy rejestracji zbioru danych
osobowych.

Przykady zbiorw danych zwolnionych z rejestracji

Zbir danych kandydatw na kierowcw przewarzany przez orodek
szkolenia kierowcw.

Zbir podao o prac.

Zbir nauczycieli przetwarzany przez dyrektora placwki owiatowej.

Zbir danych rodzicw przedszkolakw przetwarzany przez dyrektora
przedszkola.

Zbir danych pacjentw, na rzecz ktrych zakad opieki zdrowotnej
wiadczy swoje usugi.

Czd VI
Zabezpieczenie danych

Ochrona Danych Osobowych - zabezpieczenie
danych
Obowizki zwizane z zabezpieczeniem przetwarzania danych osobowych

Obowizek zastosowania rodkw technicznych i organizacyjnych zapewniajcych ochron
przetwarzanych danych osobowych odpowiedni do zagroeo oraz kategorii danych objtych ochron,

Obowizek prowadzenia dokumentacji opisujcej sposb przetwarzania danych oraz zastosowanych
rodkw zabezpieczeo,

Obowizek wyznaczenia administratora bezpieczeostwa informacji, nadzorujcego przestrzeganie zasad
ochrony danych, chyba e administrator sam wykonuje te czynnoci,

Do przetwarzania danych dopuszczone mog byd wycznie osoby posiadajce upowanienie nadane przez
administratora danych.

Obowizek prowadzenia ewidencji osb upowanionych do ich przetwarzania, ktra powinna zawierad:
imi i nazwisko osoby upowanionej, dat nadania i ustania oraz zakres upowanienia do
przetwarzania danych osobowych, identyfikator, jeeli dane s przetwarzane w systemie informatycznym.

Zasady wskazane powyej wi nie tylko administratora danych, ale rwnie podmiot ktremu
administrator powierzy dane osobowe.

Ochrona Danych Osobowych - zabezpieczenie
danych
Obowizek zastosowania rodkw technicznych i organizacyjnych
zapewniajce ochron przetwarzanych danych osobowych odpowiedni do
zagroeo oraz kategorii danych objtych ochron.

Trzy poziomy ochrony danych osobowych:

Podstawowy
adne z urzdzeo systemu informatycznego, sucego
do przetwarzania danych osobowych nie jest poczone z sieci publiczn, oraz
W systemie nie s przetwarzane dane wraliwe.
Podwyszony
w systemie s przetwarzane dane wraliwe, oraz
adne z urzdzeo systemu informatycznego, sucego
do przetwarzania danych osobowych nie jest poczone z sieci publiczn.
Wysoki
urzdzenie, suce do przetwarzania danych osobowych, poczone jest z sieci
publiczn.

Ochrona Danych Osobowych -
zabezpieczenie danych

Kademu z poziomw bezpieczeostwa odpowiada inny
sposb zabezpieczenia danych, wskazany w rozporzdzeniu
ws. dokumentacji przetwarzania danych osobowych.

W przypadku przetwarzania danych na poziomie wysokim,
konieczne jest rwnie spenienie wymogw na poziomie
podstawowym i podwyszonym (analogicznie poziom
podwyszony).

Obowizek prowadzenia dokumentacji opisujcej sposb
przetwarzania danych oraz zastosowanych rodkw zabezpieczeo.

Dokumentacja przetwarzania danych

Polityka bezpieczeostwa Instrukcja zarzdzania
systemem
Polityka bezpieczeostwa przetwarzania danych osobowych

Wykaz budynkw, pomieszczeo lub czci pomieszczeo, tworzcych obszar, w
ktrym przetwarzane s dane osobowe.

Wykaz zbiorw danych osobowych wraz ze wskazaniem programw
zastosowanych do przetwarzania tych danych.

Opis struktury zbiorw danych wskazujcy zawartod poszczeglnych pl
informacyjnych i powizania midzy nimi.

Sposb przepywu danych pomidzy poszczeglnymi systemami.

Okrelenie rodkw technicznych i organizacyjnych niezbdnych dla
zapewnienia poufnoci, integralnoci i rozliczalnoci przetwarzanych danych.

Z technicznego punktu widzenia, rekomenduje si przeniesienie waciwej
treci dokumentacji, do zacznikw, a tred samej dokumentacji
ograniczyd wycznie do zbioru definicji, odwoao do samych zacznikw,
oraz okrelenia rodkw zabezpieczeo danych osobowych.

Przykadowy spis treci Polityki bezpieczeostwa

I. Deklaracja najwyszej starannoci, cele i zakres dokumentu.
II. Obowizki i odpowiedzialnod w zakresie zarzdzania bezpieczeostwem.
III. Obszar przetwarzania danych osobowych.
IV. Wykaz zbiorw danych osobowych wraz ze wskazaniem programw zastosowanych
do przetwarzania tych danych.
V. Opis struktury zbiorw danych wskazujcy zawartod poszczeglnych pl
informacyjnych i powizania pomidzy nimi.
VI. Sposb przepywu danych pomidzy poszczeglnymi systemami.
VII. Okrelenie rodkw technicznych i organizacyjnych niezbdnych dla zapewnienia
poufnoci, integralnoci i rozliczalnoci przetwarzanych danych.

Instrukcja zarzdzania systemem informatycznym

Procedury nadawania uprawnieo do przetwarzania danych i rejestrowania tych
uprawnieo w systemie informatycznym oraz wskazanie osoby odpowiedzialnej
za te czynnoci.
Stosowane metody i rodki uwierzytelnienia oraz procedury zwizane z ich
zarzdzaniem i uytkowaniem.
Procedury rozpoczcia, zawieszenia i zakooczenia pracy przeznaczone dla
uytkownikw systemu;
Procedury tworzenia kopii zapasowych zbiorw danych oraz programw i
narzdzi programowych sucych do ich przetwarzania;
Sposb, miejsce i okres przechowywania elektronicznych nonikw informacji
zawierajcych dane osobowe, oraz kopii zapasowych.
Sposb zabezpieczenia systemu informatycznego przed dziaalnoci wirusw.
Sposb realizacji wymogw, odnotowywania przez system wprowadzania
danych.
Procedury wykonywania przegldw i konserwacji systemw oraz nonikw
informacji sucych do przetwarzania danych.

Przykadowy spis treci Instrukcji zarzdzania

I. Poziomy bezpieczeostwa przetwarzania danych osobowych.
II. Procedura nadawania, aktualizacji i wycofania uprawnieo do przetwarzania danych osobowych
w systemach informatycznych.
III. Metody i rodki uwierzytelniania pracownikw majcych dostp do przetwarzania danych
osobowych.
IV. Procedura rozpoczcia, zawieszenia i zakooczenia pracy dla uytkownikw systemu.
V. Procedury tworzenia kopii zapasowych zbiorw danych oraz programw i narzdzi programowych
sucych do ich przetwarzania.
VI. Zasady bezpiecznego przechowywania transportu i niszczenia elektronicznych nonikw informacji
zawierajcych dane osobowe lub oprogramowanie suce do ich przetwarzania.
VII. Sposb zabezpieczenia systemu przed dziaalnoci wirusw.
VIII. Wykaz zbiorw danych osobowych wraz ze wskazaniem programw zastosowanych do
przetwarzania tych danych.
IX. Sposb realizacji obowizkw odnotowywania w systemie informacji o zmianach danych
i odbiorcach danych.
X. Procedury wykonywania napraw systemu informatycznego oraz elektronicznych nonikw
informacji sucych do przetwarzania danych.

Obowizek wyznaczenia w dokumentacji administratora bezpieczeostwa
informacji, nadzorujcego przestrzeganie zasad ochrony danych, chyba e
administrator sam wykonuje te czynnoci.

Administratorem bezpieczeostwa informacji (ABI) musi byd osoba fizyczna,
w przypadku przedsibiorcw prowadzcych jednoosobow dziaalnod
gospodarcz, jest to osoba prowadzca tak dziaalnod (Wyrok WSA
w Warszawie z dnia 7 lipca 2012r., II SA/Wa 630/12).
Obowizek wyznaczenia ABI nie istnieje, gdy administrator sam peni funkcj
ABI (np. naukowiec zbierajcy dane na potrzeby dokonywanej dysertacji).
W ramach struktury organizacyjnej administratora danych moe zostad
powoany tylko jeden ABI. Nie wycza to moliwoci powoania wewntrznej
struktury podlegej ABI. Czst praktyk jest powoywanie podlegego ABI
Administratora systemu informatycznego, zarzdzajcego takim systemem
(tzw. ASI). Jest nim najczciej informatyk.
Dokumentacja przetwarzania danych osobowych powinna zapewniad ABI
moliwod rzeczywistego wykonywania przez niego funkcji nadzorczych.


Czd VII
Tajemnica przedsibiorcy

Ochrona Danych Osobowych - tajemnica
przedsibiorcy
Art. 11 ust. 4 ustawy o zwalczaniu nieuczciwej konkurencji

Przez tajemnic przedsibiorstwa rozumie si nieujawnione do wiadomoci
publicznej informacje techniczne, technologiczne, organizacyjne
przedsibiorstwa lub inne informacje posiadajce wartod gospodarcz, co do
ktrych przedsibiorca podj niezbdne dziaania w celu zachowania ich
poufnoci.

Informacj tak mog byd informacje:

stanowice wartod gospodarcz;
wobec ktrych przedsibiorca podj niezbdne rodki ochrony;
oznaczone przez przedsibiorc jako objte tak tajemnic.

Ochrona Danych Osobowych - tajemnica
przedsibiorcy
Tajemnica przedsibiorstwa a dane osobowe

Dane osobowe przetwarzane przez przedsibiorc, rwnie mog
byd objte tajemnic przedsibiorstwa.

W przypadku wszczcia przez GIODO postpowania kontrolnego
wzgldem przedsibiorcy, przedsibiorca ma prawo w pierwszym
dniu kontroli zoyd ustne owiadczenie do protokou kontroli o
objciu wszelkich informacji zebranych w toku kontroli tajemnic
przedsibiorstwa. Powysze, wycza moliwod wgldu do danych
zgromadzonych w aktach pokontrolnych


Czd VIII
Postpowanie kontrolne

Kontrole inspektorw GIODO s najczciej zapowiadane
(telefonicznie oraz faksem lub pisemnie) z kilkudniowym
wyprzedzeniem.

Zawiadomienie zawiera najczciej:
termin przeprowadzenia czynnoci kontrolnych,
zakres kontroli, oraz
dokumenty wymagane przez inspektorw.

Brak wczeniejszego zawiadomienia co do zasady nie jest podstaw
do odmowy wstpu inspektorom do obszaru przetwarzania danych.
Jest to natomiast podstawa do wniesienia do GIODO sprzeciwu.

Zakres czynnoci kontrolnych

Przedmiotem kontroli s najczciej

Spenianie przesanek legalizujcych przetwarzanie danych
osobowych.
Zabezpieczenie przetwarzanych danych np. czy dane osobowe
zabezpieczane s zgodnie z wymogami technicznymi i organizacyjnymi
przewidzianymi w ustawie o ochronie danych osobowych i przepisach
wykonawczych.
Zakres i cel przetwarzania danych osobowych.
Wypenianie przez kontrolowany podmiot obowizkw informacyjnych
wobec podmiotw danych.
Obowizki w zakresie rejestracji zbioru danych w bazie GIODO.
Zarejestrowanie zbioru danych osobowych.

Uprawnienia kontrolne

W toku czynnoci kontrolnych inspektorzy maj w szczeglnoci prawo:

wstpu, w godzinach od 6
00
do 22
00
, za okazaniem imiennego
upowanienia i legitymacji subowej, do pomieszczenia, w ktrym
przetwarzane s dane osobowe (w zbiorze i poza zbiorem),
administrator nie ma obowizku wpuszczenia inspektora, ktry nie
przedstawi obydwu powyszych dokumentw.
dad zoenia pisemnych lub ustnych wyjanieo oraz wzywad i
przesuchiwad osoby w zakresie niezbdnym do ustalenia stanu
faktycznego,
wgldu do wszelkich dokumentw i wszelkich danych majcych
bezporedni zwizek z przedmiotem kontroli oraz sporzdzania ich
kopii,
przeprowadzania ogldzin urzdzeo, nonikw oraz systemw
informatycznych sucych do przetwarzania danych,

zlecad sporzdzanie ekspertyz i opinii,
dad okazania ksiki kontroli oraz dokonywania w niej wpisw.

Protok z kontroli

Po zakooczeniu czynnoci kontrolnych, inspektor sporzdza protok kontroli.

Jeden egzemplarz tego protokou dorczany jest kontrolowanemu.

W zakresie protokou kontroli, kontrolowanemu przysuguj w szczeglnoci
nastpujce uprawnienia:

prawo wniesienia umotywowanych uwag i zastrzeeo odnonie jego treci,

prawo odmowy podpisania protokou kontroli.

Skutki kontroli

Skutkiem stwierdzenia naruszenia przepisw ustawy o ochronie danych osobowych, jest
wystpienie przez inspektora do GIODO o wydanie decyzji zobowizujcej ten podmiot do
usunicia naruszeo.

Procedura w takiej sytuacji wyglda nastpujco:
- wniosek inspektora do GIODO o wydanie decyzji nakazujcej usunicie wskazanych
naruszeo,
- wszczcie postpowania administracyjnego przez GIODO (postpowanie ma charakter
niezaleny od samej kontroli) w jego toku organ jeszcze raz dokonuje oceny stanu
faktycznego badajc zasadnod ww. wniosku, a administrator jako stron postpowania
(moe ni byd te procesor),
- wydanie przez GIODO decyzji administracyjnej nakazujcej:
usunicie uchybieo,
uzupenienie, uaktualnienie, sprostowanie, udostpnienie lub nieudostpnienie danych
osobowych,
zastosowanie dodatkowych rodkw zabezpieczajcych zgromadzone dane osobowe,
zabezpieczenie danych lub przekazanie ich innym podmiotom, usunicie danych osobowych,

w przypadku decyzji nakazujcej usunicie naruszeo,
administrator zasadniczo moe zoyd do GIODO wniosek
o ponowne rozpatrzenie sprawy, a nastpnie (w przypadku
odmowy zmiany decyzji);
wnied skarg do sdu administracyjnego.

- w przypadku decyzji nakazujcej usunicie naruszeo,
administrator zasadniczo moe zoyd do GIODO wniosek
o ponowne rozpatrzenie sprawy, a nastpnie (w przypadku
odmowy zmiany decyzji);
- wnied skarg do sdu administracyjnego.


Czd IX
Przewidywane zmiany w u.o.d.o.

Ochrona Danych Osobowych zmiany w
prawie
Stadnium prac legislacyjnych

2 lipca 2014 r. po I czytaniu rzdowego projektu ustawy
o uatwieniu wykonywania dziaalnoci gospodarczej, po
22 lipca 2014 r. po I czytaniu rzdowego projektu ustawy o uatwieniu
wykonywania dziaalnoci gospodarczej, podczas 72. Posiedzenia Sejmu,
projekt skierowano do rozpatrzenia przez Komisj Nadzwyczajn do spraw
zwizanych z ograniczaniem biurokracji.
14 lipca 2014 r. projektowi ustawy o uatwieniu wykonywania dziaalnoci
gospodarczej zosta nadany nr druku sejmowego (nr 2606) i skierowany do
I czytania na posiedzeniu Sejmu.
7 lipca 2014 r. Prezes Rady Ministrw skierowa do Sejmu projekt ustawy
o uatwieniu wykonywania dziaalnoci gospodarczej. Projekt wraz
z uzasadnieniem dostpny jest na stronie Rzdowego Centrum Legislacji.
10 czerwca 2014 r. - Rada Ministrw przyja projekt ustawy o uatwieniu
wykonywania dziaalnoci gospodarczej, przekazany do rozpatrzenia przez
Ministerstwo Gospodarki w dniu 22 maja 2014 r.

prawie
Rejestracja administratorw bezpieczestwa informacji (ABI)
Administrator danych bdzie obowizany zgosid GIODO powoanie i
odwoanie administratora bezpieczeostwa informacji w terminie 30 dni
od dnia powoania lub odwoania, natomiast zmiany informacji
objtych zgoszeniem w terminie 14 dni od dnia zmiany
Okrelono zakres informacji majcych podlegad zamieszczeniu w
prowadzonym przez GIODO, oglnokrajowym, jawnym, rejestrze
administratorw bezpieczeostwa informacji, za w projektowanym art.
46d ust. 13 wskazano zasady wykrelania ABI z rejestru
administratorw bezpieczeostwa informacji (w drodze czynnoci
materialno-technicznej (w przypadku powiadomienia przez
administratora danych o odwoaniu ABI lub w przypadku mierci ABI)
oraz na podstawie decyzji administracyjnej wydawanej z urzdu, w
przypadkach okrelonych tym przepisem).

prawie
Przewidziano moliwod ponownego zgoszenia do rejestracji ABI
wykrelonego z rejestru oraz okrelono sposb postpowania GIODO
w przypadku zoenia takiego wniosku

Wprowadzenie uproszczonej kontroliipca

ABI bdzie zobowizany do dokonania sprawdzenia zgodnoci
przetwarzania danych osobowych z przepisami o ochronie danych
osobowych u administratora danych, ktry go powoa, na zlecenie
GIODO. W konsekwencji sprawozdanie z takiego sprawdzenia jest
przedstawiane, za porednictwem administratora danych, GIODO.
ABI bdzie zobowizany do dokonania sprawdzenia zgodnoci
przetwarzania danych osobowych z przepisami o ochronie danych
osobowych u administratora danych. Kontrola taka przeprowadzona
przez ABI ma charakter kontroli wewntrznej u administratora danych,
a zatem powstae w jego wyniku sprawozdanie jest dokumentem
wewntrznym administratora danych.

prawie
Zwolnienie administratora danych z obowizku zgaszania
zbioru danych osobowych do rejestracji GIODO

Dodanie w art. 43 ustawy o ochronie danych osobowych przepisu
wprowadzajcego nowe, kompleksowe zwolnienie z obowizku
zgoszenia do rejestracji GIODO zbiorw, w ktrych nie bd
przetwarzane dane okrelone w art. 27 ust. 1 tej ustawy (tzw. dane
szczeglnie chronione), prowadzonych przez administratorw danych,
ktrzy powoali i zgosili GIODO ABI.
Zwolnienie w odniesieniu do zbiorw danych, ktre nie s
prowadzone w systemie informatycznym, z wyjtkiem zbiorw
zawierajcych dane szczeglnie chronione.

Przepis art. 36b ustanawia dla administratora danych
obowizek wykonywania zada administratora bezpieczestwa
informacji w przypadku jego niepowoania.

prawie
Status ABI

Niezalenod w wykonywaniu zadao, obowizek zapewnienia
stosowania w jednostce organizacyjnej przepisw o ochronie
danych osobowych, w szczeglnoci przez przyznanie
kompetencji do kontroli wewntrznej w zakresie przestrzegania
przepisw o ochronie danych osobowych, a take prowadzenie
wewntrznego rejestru zbiorw danych.
Jednoczenie projektowane zmiany nie zakazuj outsourcingu
zadao administratora bezpieczeostwa informacji przez
administratora danych. Dopuszczono take moliwod
powoania zastpcw administratora bezpieczeostwa
informacji, co ma znaczenie w sytuacjach, gdy ABI przejciowo
nie moe realizowad swoich zadao.

prawie
Przekazywanie danych do pastw trzecich oraz pastw
czonkowskich EOG bez
zgody GIODO

Zawieraj wyczenie obowizku uzyskania zgody GIODO na
przekazanie danych do paostwa trzeciego, gdy zastosowano
standardowe klauzule umowne zatwierdzone przez Komisj
Europejsk, zgodnie z art. 26 ust. 4 dyrektywy 95/46/WE, lub wice
reguy korporacyjne zatwierdzone przez GIODO. Jednoczenie nadaj
GIODO kompetencj do zatwierdzania wicych regu korporacyjnych
po przeprowadzeniu konsultacji z organami ochrony danych paostw
czonkowskich Europejskiego Obszaru Gospodarczego.
WRK maj na celu zapewnienie jednolitych i odpowiednio
elastycznych standardw ochrony danych osobowych w grupie
przedsibiorstw midzynarodowych. Instrument ten ma szczeglne
znaczenie w gospodarce globalnej i jest wspierany zarwno przez
rodowiska gospodarcze, jak i organy ochrony danych osobowych.

prawie
Zatwierdzenie wicych regu korporacyjnych jako
zapewniajcych odpowiednie gwarancje pozwala na
rezygnacj z koniecznoci uzyskiwania zgody na poszczeglne
operacje przekazywania danych osobowych do paostw
trzecich. Ze wzgldu na globalny charakter wicych regu
korporacyjnych wane jest, aby ich zatwierdzenie odbywao si
po przeprowadzeniu uprzedniej konsultacji co do ich treci
z organami ochrony danych paostw czonkowskich EOG.

prawie
Projektowane przepisy ustawy o ochronie danych osobowych
wymagaj od ministra waciwego do spraw administracji
publicznej wydania przepisw wykonawczych, w ktrych
zostanie okrelony tryb i sposb realizacji zadao, o ktrych
mowa w projektowanym art. 36a ust. 2 pkt 1 lit. a i b ustawy,
sposb prowadzenia rejestru 26zbiorw danych, o ktrym mowa
w projektowanym art. 36a ust. 2 pkt 2, oraz wzory zgoszeo
powoania i odwoania administratora bezpieczeostwa
informacji.

Zainteresowanych informacjami o ochronie danych osobowych
zapraszamy do Cognity na:
Kurs Ochrona Danych Osobowych w Dziaach HR i Kadr
Kurs Ochrona Danych Osobowych w Administracji Publicznej
Kurs Ochrona Danych Osobowych w Orodkach Pomocy
Spoecznej
Kurs Ochrona Danych Osobowych Obowizki Przetwarzajcych
Dane Osobowe w Firmie
Kurs Aspekty prawne zwizane z handlem elektronicznym.
Prowadzenie serwisw internetowych

Informacj o zagadnieniach prawnych zwizanych z ochron
danych osobowych odnajd Pastwo rwnie na naszym
blogu Strefa Wiedzy Cognity.
Szczeglnie polecamy:
Administrator Bezpieczestwa Informacji zadania i
obowizki ABI
Podstawowe informacje o przetwarzaniu danych osobowych
Cloud computing w administracji publicznej
Zmiany w e-handlu
Wywiad z ekspertem Panem Maciejem Kaweckim

Dzikujemy za uwag

Cognity - Ochrona Danych Osobowych - Obowiazki Przetwarz

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Cognity - Ochrona Danych Osobowych - Obowiazki Przetwarz

Uploaded by

Copyright:

Available Formats

Ochrona Danych Osobowych w

You might also like