Przetwarzanie danych osobowych w przedsiębiorstwie



Podobne dokumenty
Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

Katarzyna Sadło. Ochrona danych osobowych w organizacjach pozarządowych. Kraków, 13 grudnia (stan obecny)

Szkolenie. Ochrona danych osobowych

II Lubelski Konwent Informatyków i Administracji r.

WZÓR ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

Podstawowe obowiązki administratora danych osobowych

Bezpieczeństwo informacji. Opracował: Mariusz Hoffman

POLITYKA BEZPIECZEŃSTWA w Gimnazjum nr 1 w Żarach. Podstawa prawna

danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 i Nr 153, poz oraz z 2004 r. Nr 25, poz. 219 i Nr 33, poz. 285),

Szkolenie podstawowe z ustawy o ochronie danych osobowych dla wolontariuszy świadczących pomoc na rzecz podopiecznych Ośrodka Pomocy Społecznej

Program ochrony danych osobowych na poziomie LGR. radca prawny Jarosław Ornicz

INSTRUKCJE DOTYCZĄCE OCHRONY DANYCH OSOBOWYCH W KANCELARII DORADZTWA PODATKOWEGO

Określa się wzór zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, stanowiący załącznik do rozporządzenia.

Przetwarzania danych osobowych

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

Jak zidentyfikować zbiór danych osobowych w swojej firmie?

Ochrona danych osobowych

Polityka Prywatności portalu 1. Postanowienia ogólne

ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

Ochrona danych osobowych przy obrocie wierzytelnościami

Bezpieczeństwo teleinformatyczne danych osobowych

Zbiór danych osobowych Akcjonariusze spółki - księga akcyjna

Zbiór danych osobowych Skargi, wnioski, podania

Rozporządzenie Ministra Spraw Wewnętrznych i Administracji 1) z dnia 11 grudnia 2008 r.

Zwykłe dane osobowe, a dane wrażliwe

Ochrona wrażliwych danych osobowych

Podstawowe zasady przetwarzania danych osobowych:

Zarządzenie nr 101/2011

POLITYKA BEZPIECZEŃSTWA INFORMACJI URZĘDU GMINY W KIKOLE

Ochrona danych osobowych

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

Ochrona danych osobowych

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH STOWARZYSZENIE RODZICÓW DZIECI Z WRODZONĄ PRZEPUKLINĄ PRZEPONOWĄ I INNYMI WADAMI WRODZONYMI

Ochrona danych osobowych

System bezpłatnego wsparcia dla NGO

ABI EXPERT+ Ochrona danych osobowych. Warsztat specjalistyczny. Zadania Administratora danych osobowych. Skuteczne narzędzie ADO

Ochrona danych osobowych w systemie rachunkowości. Wpisany przez Rafał Rydzak

Prywatność danych i sieć Internet. Tomasz Kaszuba 2016

Ochrona danych osobowych w biurze rachunkowym (cz. 3) - Czym jest przetwarzanie danych osobowych?

Regulamin ochrony danych osobowych w Spółdzielni Budowlano Mieszkaniowej Powiśle w Warszawie

Przykładowy wzór Wystąpienia GIODO dotyczy zastosowanych środków bezpieczeństwa* Wystąpienie o dokonanie sprawdzenia


Warsztat specjalistyczny

1 z , 17:00

OCHRONA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ MSZCZONOWSKA. Łukasz Zegarek 29 listopada 2016 r.

Zbiór danych osobowych MIGAWKI

BEZPIECZEŃSTWO DANYCH OSOBOWYCH PRZETWARZANYCH PRZY UŻYCIU SYSTEMÓW INFORMATYCZNYCH

ZARZĄDZENIE NR 22. z dnia 2 lipca 2008 r.

PRAWNE UWARUNKOWANIA WYKORZYSTANIA DANYCH INDYWIDUALNYCH W CELU EWALUACJI POLITYKI ZATRUDNIENIA W POLSCE

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych

Ochrona Danych Osobowych

POLITYKA BEZPIECZEŃSTWA INFORMACJI I PRZETWARZANIA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W PŁUŻNICY

Ochrona danych osobowych dla rzeczników patentowych. adw. dr Paweł Litwiński

ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

ADMINISTRACJI z dnia 1 września 2017 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

REGULAMIN ZASAD OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ W KRAKOWIE

DANE OSOBOWE TO WSZELKIE INFORMACJE DOTYCZĄCE: zidentyfikowanej osoby fizycznej

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Jak przetwarzać dane sensytywne zgodnie z RODO w gabinecie lekarskim 1

ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Generalny Inspektor Ochrony Danych Osobowych i Stowarzyszenie Marketingu Bezpośredniego, zwani dalej Stronami,

Klauzula informacyjna

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

Ochrona danych osobowych

OCHRONA DANYCH OSOBOWYCH. Administrator Bezpieczeństwa Informacji kom. mgr Piotr Filip

Rodzaje danych (informacji) m.in.: Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne.

KONSTYTUCJA RZECZYPOSPOLITEJ POLSKIEJ

POLITYKA BEZPIECZEŃSTWA

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI

1 z :46

DYREKTORA PRZEDSZKOLA NR 42 IM. PRZYJACIÓŁ PRZYRODY W BIELSKU - BIAŁEJ Z DNIA 1 WRZEŚNIA 2014 ROKU

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

POLITYKA BEZPIECZEŃSTWA

POLITYKA OCHRONY DANYCH OSOBOWYCH

Tajemnica bankowa i ochrona danych osobowych w czynnościach outsourcingowych

Przewodnik po ochronie danych osobowych : vademecum dyrektora i nauczyciela placówki oświatowej / Dariusz Skrzyński. wyd. 2.

Jak stworzyć sprawny system ochrony danych osobowych? Łukasz Zegarek, ekspert ds. ochrony danych osobowych

PolGuard Consulting Sp. z o.o.

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ MISTRZEJOWICE-PÓŁNOC w Krakowie

Szkolenie podstawowe z ustawy o ochronie danych osobowych, w związku z realizacją zadań w zakresie przeciwdziałania przemocy w rodzinie.

Polityka prywatności Portalu EventManago

Obowiązki ADO. Zasady przetwarzania danych osobowych. Jarosław Żabówka IV Internetowe Spotkanie ABI

PRZETWARZANIE DANYCH OSOBOWYCH KLIENTÓW PRZEZ SERWISY SPRZĘTU AGD Agnieszka Wiercińska-Krużewska 15 września 2016 r.

POLITYKA BEZPIECZEŃSTWA W ZAKRESIE OCHRONY DANYCH OSOBOWYCH W ZESPOLE SZKÓŁ W TUCHLINIE

Ustawa o ochronie danych osobowych po zmianach

Prowadzone w Okręgowym Urzędzie Górniczym we Wrocławiu

POLITYKA BEZPIECZEŃSTWA KRAJOWEGO REJESTRU KLIENTÓW HOTELOWYCH sp. z o.o.. Art. 1 Postanowienia ogólne

Jak nie wdepnąć w GIODO, czyli co musi wiedzieć dział HR o ochronie danych osobowych. Jacek Bajorek Instytut Zarządzania Bezpieczeństwem Informacji

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik

DANE OSOBOWE DOBREM OSOBISTYM XXI WIEKU. PAMIĘTAJ!!!! Prywatność jest wartością tak cenną, że musi być chroniona przez prawo.

PolGuard Consulting Sp.z o.o. 1

ELEKTRONICZNA DOKUMENTACJA MEDYCZNA, A OCHRONA DANYCH OSOBOWYCH. dr Piotr Karniej Uniwersytet Medyczny we Wrocławiu

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

POLITYKA BEZPIECZEŃSTWA

RODO A DANE BIOMETRYCZNE

SPIS ZBIORÓW DANYCH OSOBOWYCH. Metryka wpisu zbioru do rejestru. Informacje o administratorze danych osobowych

Transkrypt:

Przetwarzanie danych osobowych w przedsiębiorstwie Kwestię przetwarzania danych osobowych reguluje ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Danymi osobowymi w rozumieniu niniejszej ustawy są wszelkie informacje dotyczące możliwej do zidentyfikowania osoby fizycznej, czyli osoby, której tożsamość można określić pośrednio lub bezpośrednio na podstawie określonych informacji. Przetwarzanie danych osobowych jest dopuszczalne m. in. w sytuacjach, gdy: osoba, której dane dotyczą, wyrazi na to zgodę; gdy jest to konieczne do realizacji umowy, której stroną jest osoba, której dane dotyczą; gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą; gdy jest to niezbędne dla zrealizowania przez administratorów lub odbiorców danych ich celów bez naruszania praw i wolności osoby, której dane dotyczą (może to być np. dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej). Zgoda osoby na przetwarzanie związanych z nią danych może obejmować także przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania. Przedsiębiorstwo zbierające dane od osoby ma obowiązek poinformowania jej o swojej pełnej nazwie, adresie siedziby, celu zbierania danych, przewidywanych ich odbiorcach, prawie dostępu do treści swoich danych oraz ich poprawiania, a także o dobrowolności albo obowiązku podania ich. W przypadku zbierania danych na temat osoby trzeciej należy udzielić jej identycznych informacji, jednocześnie informując ją o źródle danych oraz o prawie do wniesienia żądania zaprzestania przetwarzania ich lub prawie do wniesienia sprzeciwu wobec przetwarzania jej danych w szczególnych przypadkach wskazanych w ustawie.

Warto wspomnieć, że przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane możliwe jest tylko w ściśle określonych celach, m. in. w celach statystycznych, pod warunkiem, że nie narusza to praw i wolności osoby, której dane dotyczą. W takim przypadku również należy udzielić takiej osobie wszystkich niezbędnych informacji. Zasadniczo zakazane jest przetwarzanie tzw. danych wrażliwych, czyli danych obejmujących pochodzenie rasowe lub etniczne danej osoby, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, dane o jej stanie zdrowia, kodzie genetycznym, nałogach, życiu seksualnym, danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych oraz innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Jednakże również w tym przypadku ustawodawca przewidział szereg wyjątków. Jednym z nich jest możliwość przetwarzania określonych w ustawie danych, niezbędnych do wykonania zadań administratora odnoszących się do zatrudnienia pracowników i innych osób. Administrator danych ma obowiązek ochrony przetwarzanych danych przed ich udostępnieniem osobom nieupoważnionym, przetwarzaniem ich wbrew przepisom czy utratą ich w jakikolwiek sposób. W zależności od kategorii przetwarzanych danych oraz zagrożenia stosuje się jeden z 3 poziomów bezpieczeństwa: podstawowy - stosowany, gdy nie są przetwarzane dane wrażliwe, a urządzenia systemu przetwarzania danych nie są połączone z siecią publiczną; podwyższony - stosowany, gdy przetwarzane są dane wrażliwe, a żadne z urządzeń systemu informatycznego nie jest połączone z siecią publiczną; wysoki - stosowany, gdy przynajmniej jedno urządzenie systemu służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną. Należy podkreślić, iż nic nie stoi na przeszkodzie zastosowania systemu wyższego niż wymagany. Środki przewidziane dla każdego z tych poziomów wskazane są w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie 2/5

dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Zgodnie z nim, system przetwarzania danych musi umożliwiać wydrukowanie dla każdej osoby, której dane są przetwarzane, raportu zawierającego szereg podstawowych informacji związanych z przetwarzanymi danymi. Ustawa nakłada na administratora danych obowiązek prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz środki ich zabezpieczenia. Wspomnianą dokumentację sporządza się w formie pisemnej. Musi ona objąć politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych. Polityka bezpieczeństwa określa m. in. obszar, w którym przetwarzane są dane osobowe, zbiory danych osobowych wraz ze wskazaniem programów wykorzystywanych do przetwarzania tych ich, opis ich struktury, sposób przepływu danych, środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. Instrukcja natomiast powinna zawierać w szczególności: procedury nadawania i rejestrowania uprawnień do przetwarzania danych, metody uwierzytelnienia (weryfikowania tożsamości podmiotu), procedury związane z prowadzeniem pracy przez użytkowników systemu, procedury tworzenia i zarządzania kopiami zapasowymi zbiorów danych, sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do danych, informacje o odbiorcach, którym dane zostały udostępnione oraz procedury konserwacji systemów i nośników służących do przetwarzania danych. Dostęp do danych mogą mieć jedynie osoby upoważnione przez administratora. Muszą być one zapisane w ewidencji, która zawiera ich imiona i nazwiska, datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych, a także 3/5

identyfikator, jeśli dane są przetwarzane w systemie informatycznym. Osoby te zobowiązane są do zachowania tajemnicy w kwestii pozyskanych informacji. Jeśli chodzi o powierzenie innemu podmiotowi danych osobowych do przetwarzania, to jest to możliwe tylko w drodze umowy pisemnej, która określi jego zakres i cel. Podmiot taki zobowiązany jest spełnić wszelkie wymogi związane z zabezpieczeniem danych, jakie nałożone są na administratora. Z kolei przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych. Administrator danych może, mimo braku odpowiedniego poziomu ochrony, przekazać dane osobowe do państwa trzeciego m. in. gdy osoba, której dane dotyczą, udzieliła na to zgody na piśmie lub przekazanie danych jest niezbędne do wykonania umowy w interesie osoby, której dane dotyczą. Zasadą jest, iż administrator danych osobowych zobowiązany jest zgłosić zbiór danych do rejestracji Głównemu Inspektorowi Danych Osobowych. Obowiązkowi temu nie podlegają jednak m. in. dane zawierające informacje niejawne, dane powszechnie dostępne, dane przetwarzanie w zakresie drobnych bieżących spraw życia codziennego, a także, co ważne dla przedsiębiorców, dane przetwarzane w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych oraz dotyczące osób u nich zrzeszonych lub uczących się, a także dane przetwarzane wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej. Administrator danych zobowiązany do rejestracji zbioru może co do zasady rozpocząć przetwarzanie pozyskanych danych po zgłoszeniu tego zbioru GIODO. Na zakończenie wskazać należy, iż odpowiedzialności karnej w związku z przetwarzaniem danych osobowych podlega: przetwarzanie w zbiorze dane osobowe bez uprawnienia; umożliwianie dostępu do nich osobom nieupoważnionym; 4/5

naruszanie obowiązku zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem; niezgłoszenie do rejestracji zbioru danych, wymagającego tego; nieudzielenie osobie, której dane dotyczą, wszystkich wymaganych informacji; udaremnianie lub utrudnianie GIODO wykonanie czynności kontrolnej. Tomasz Grybko Kancelaria Prawna Świeca i Wspólnicy Sp. k. 5/5

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres