Podstawowe zasady przetwarzania danych osobowych:



Podobne dokumenty
Katarzyna Sadło. Ochrona danych osobowych w organizacjach pozarządowych. Kraków, 13 grudnia (stan obecny)

Program ochrony danych osobowych na poziomie LGR. radca prawny Jarosław Ornicz

Ochrona wrażliwych danych osobowych

Jak zidentyfikować zbiór danych osobowych w swojej firmie?

WZÓR ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 i Nr 153, poz oraz z 2004 r. Nr 25, poz. 219 i Nr 33, poz. 285),

Przetwarzanie danych osobowych w przedsiębiorstwie

Określa się wzór zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, stanowiący załącznik do rozporządzenia.

Ochrona danych osobowych w biurze rachunkowym (cz. 3) - Czym jest przetwarzanie danych osobowych?

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

INSTRUKCJE DOTYCZĄCE OCHRONY DANYCH OSOBOWYCH W KANCELARII DORADZTWA PODATKOWEGO

II Lubelski Konwent Informatyków i Administracji r.

Zbiór danych osobowych Akcjonariusze spółki - księga akcyjna

POLITYKA BEZPIECZEŃSTWA w Gimnazjum nr 1 w Żarach. Podstawa prawna

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

Szkolenie podstawowe z ustawy o ochronie danych osobowych dla wolontariuszy świadczących pomoc na rzecz podopiecznych Ośrodka Pomocy Społecznej

Szkolenie. Ochrona danych osobowych

ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

Bezpieczeństwo informacji. Opracował: Mariusz Hoffman

Zbiór danych osobowych Skargi, wnioski, podania

SPIS ZBIORÓW DANYCH OSOBOWYCH. Metryka wpisu zbioru do rejestru. Informacje o administratorze danych osobowych

Rozporządzenie Ministra Spraw Wewnętrznych i Administracji 1) z dnia 11 grudnia 2008 r.

Ochrona danych osobowych przy obrocie wierzytelnościami

REGULAMIN OCHRONY DANYCH OSOBOWYCH w Szkole Muzycznej I stopnia w Dobczycach

SPIS ZBIORÓW DANYCH OSOBOWYCH

1 z , 17:00

Podstawowe obowiązki administratora danych osobowych

Zbiór danych osobowych MIGAWKI

Dane osobowe na potrzeby prowadzenia działań windykacyjnych -1-

ADMINISTRACJI z dnia 1 września 2017 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

BIURO GIODO Departament Inspekcji


Zarządzenie nr 101/2011

PolGuard Consulting Sp.z o.o. 1

Regulamin w zakresie przetwarzania danych osobowych w Urzędzie Miejskim w Kocku

POLITYKA BEZPIECZEŃSTWA

ABI EXPERT+ Ochrona danych osobowych. Warsztat specjalistyczny. Zadania Administratora danych osobowych. Skuteczne narzędzie ADO

Ochrona danych osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA

ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

Regulamin w zakresie przetwarzania danych osobowych w Zespole Szkół Usługowo Gospodarczych w Pleszewie

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

3. Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Zwykłe dane osobowe, a dane wrażliwe

POLITYKA BEZPIECZEŃSTWA

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

Bezpieczeństwo teleinformatyczne danych osobowych

OCHRONA DANYCH OSOBOWYCH

PRZETWARZANIE DANYCH OSOBOWYCH KLIENTÓW PRZEZ SERWISY SPRZĘTU AGD Agnieszka Wiercińska-Krużewska 15 września 2016 r.

Polityka bezpieczeństwa przetwarzania danych osobowych w Zespole Szkół w Kaszczorze.

Ustawa o ochronie danych osobowych po zmianach

PROCEDURA PRZECHOWYWANIA I PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU MEDIACJI INIGO

Rodzaje danych (informacji) m.in.: Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne.

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Umowa nr ADO/.../... powierzenia przetwarzania danych osobowych

Zbieranie i ochrona danych osobowych w nadzorze epidemiologicznym

1 z :46

Obowiązki ADO. Zasady przetwarzania danych osobowych. Jarosław Żabówka IV Internetowe Spotkanie ABI

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Bezpieczeństwo danych osobowych listopada 2011 r.

Przetwarzania danych osobowych

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych

Co należy zaznaczyć wypełniając wniosek do GIODO podpowiedzi iwareprint

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

OCHRONA DANYCH OSOBOWYCH. Administrator Bezpieczeństwa Informacji kom. mgr Piotr Filip

Regulamin w zakresie przetwarzania danych osobowych w Gimnazjum nr 2 im. Aleksandra Kamińskiego w Żarach

Ochrona danych osobowych

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

Ryzyko nadmiernego przetwarzania danych osobowych

Szkolenie podstawowe z ustawy o ochronie danych osobowych, w związku z realizacją zadań w zakresie przeciwdziałania przemocy w rodzinie.

POLITYKA OCHRONY DANYCH OSOBOWYCH

Zmiany w ustawie o ochronie danych osobowych

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Ochrona Danych Osobowych

DYREKTORA PRZEDSZKOLA NR 42 IM. PRZYJACIÓŁ PRZYRODY W BIELSKU - BIAŁEJ Z DNIA 1 WRZEŚNIA 2014 ROKU

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

Ochrona danych osobowych

System bezpłatnego wsparcia dla NGO

Ochrona danych osobowych w systemie rachunkowości. Wpisany przez Rafał Rydzak

Umowa nr... powierzenia przetwarzania danych osobowych.... zwanym dalej Administratorem danych,... zwanym dalej Przetwarzającym,

DANE OSOBOWE TO WSZELKIE INFORMACJE DOTYCZĄCE: zidentyfikowanej osoby fizycznej

Polityka Prywatności portalu 1. Postanowienia ogólne

Regulamin w zakresie przetwarzania danych osobowych w Zespole Szkół w Kaszczorze.

OCHRONA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ MSZCZONOWSKA. Łukasz Zegarek 29 listopada 2016 r.

PROCEDURA / POLITYKA OCHRONY DANYCH OSOBOWYCH OBOWIĄZUJACA W PRZEDSZKOLU Nr 44

Jak przetwarzać dane sensytywne zgodnie z RODO w gabinecie lekarskim 1

Przesłanki przetwarzania danych osobowych zgodnie z prawem. dr Jarosław Greser

OCHRONA DANYCH OSOBOWYCH W BIBLIOTECE J U S T Y N A J A N K O W S K A

REJESTR ZBIORÓW DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA INFORMACJI URZĘDU GMINY W KIKOLE

Generalny Inspektor Ochrony Danych Osobowych i Stowarzyszenie Marketingu Bezpośredniego, zwani dalej Stronami,

Ochrona danych osobowych

POLITYKA BEZPIECZEŃSTWA

Umowa nr ADO/.../2016 powierzenia przetwarzania danych osobowych

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH STOWARZYSZENIE RODZICÓW DZIECI Z WRODZONĄ PRZEPUKLINĄ PRZEPONOWĄ I INNYMI WADAMI WRODZONYMI

Warsztat specjalistyczny

Regulamin Ochrony Danych Osobowych w Stowarzyszeniu Ogrodowym KMITA w Zabierzowie

Transkrypt:

Obowiązki spoczywające na pośrednikach prowadzących działalność gospodarczą wynikające z ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Podstawowe zasady przetwarzania danych osobowych: Ustawę stosuje się m.in. do osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych Podstawowe definicje: Art. 6. 1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. 2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. 3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Art. 7. Ilekroć w ustawie jest mowa o: 1) zbiorze danych - rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, 2) przetwarzaniu danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych, 5) zgodzie osoby, której dane dotyczą - rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści, 1. Art. 6, ust 3 nie odnosi się wyłącznie do podmiotu przetwarzającego dane osobowe ale również do innych podmiotów którym możemy zlecić określenie tożsamości osoby. 2. Numery IP są danymi osobowymi (wyrok II SA/Wa 1598/09 Wyrok WSA) tak samo jak adresy e-mail. 3. Zapisanie nawet na kartce adresu, nazwiska czy telefonu jest już przetwarzaniem danych osobowych (art.7, ust.2). 4. Bardzo istotny jest art. 7, ust. 5, w którym mowa jest, że zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. W praktyce oznacza to, że ujawniając swoje dane np. w ogłoszeniu prasowym nie wyrażam automatycznie zgody na przetwarzanie ich przez jakikolwiek inny podmiot niż wydawca prasy. Podstawowe zasady przetwarzania danych osobowych wynikają z art. 23-27 ustawy o ochronie danych osobowych Art. 23 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, 5) jest to niezbędne dla wypełniania prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. 2. Zgoda, o której mowa w ust. 1 pkt 1, może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania. 3. Jeżeli przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a spełnienie warunku określonego w ust. 1 pkt 1 jest niemożliwe, można przetwarzać dane bez zgody tej osoby, do czasu, gdy - 1 -

uzyskanie zgody będzie możliwe. 4. Za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważa się w szczególności: 1) marketing bezpośredni własnych produktów lub usług administratora danych, 2) dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. Art. 24 1. W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych, 3) prawie dostępu do treści swoich danych oraz ich poprawiania, 4) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej. 2. Przepisu ust. 1 nie stosuje się, jeżeli: 1) przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania, 2) osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1. Art. 25 1. W przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych, 3) źródle danych, 4) prawie dostępu do treści swoich danych oraz ich poprawiania, 5) uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8. 2. Przepisu ust. 1 nie stosuje się, jeżeli: 1) przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą, 2) uchylony 3) dane te są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą, a spełnienie wymagań określonych w ust. 1 wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania, 4) uchylony 5) dane są przetwarzane przez administratora, o którym mowa w art. 3 ust. 1 i ust. 2 pkt 1, na podstawie przepisów prawa, 6) osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1. Art. 26 1. Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były: 1) przetwarzane zgodnie z prawem, 2) zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2, 3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, 4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. 2. Przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą, oraz następuje: 1) w celach badań naukowych, dydaktycznych, historycznych lub statystycznych, 2) z zachowaniem przepisów art. 23 i 25. Art. 27 1. Zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. 2. Przetwarzanie danych, o których mowa w ust. 1, jest jednak dopuszczalne, jeżeli: 1) osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych, 2) przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony, 3) przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora, 4) jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, - 2 -

filozoficznych lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych, 5) przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem, 6) przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie, 7) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych, 8) przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą, 9) jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone, 10) przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym. 1. Należy pamiętać o tym, że zgoda na przetwarzanie danych osobowych nie zastępuje obowiązku informacyjnego wynikającego z art. 24 i 25 ustawy. 2. Zważywszy na fakt, że prawie wszyscy pośrednicy przetwarzają dane osobowe sensytywne (wrażliwe, szczególnie chronione) wykorzystanie art. 23, ust. 1, pkt 3 jest niemożliwe ponieważ w art. 27 nie ma takiego zapisu i dlatego stosujemy art. 23, ust. 1, pkt 1 oraz art. 27, ust 1, pkt 1. 3. Dzisiaj prym na rynku oprogramowania biurowego zaczynają wieść programy tzw. on-line-owe, instalowane na zewnętrznych serwerach, do których mamy dostęp przez przeglądarkę internetową. W takiej sytuacji należy pamiętać, że administrator powinien z dostawcą oprogramowania zawrzeć tzw. umowę powierzenia, o której mowa w art. 31. Takie powierzenie przetwarzania danych osobowych nie wymaga uzyskania zgody osoby, której dane dotyczą (wyrok II SA/Wa 297/09) Obowiązki administratora danych osobowych Podstawowe obowiązki spoczywające na administratorach danych osobowych wynikają z art. 36-39 ustawy o ochronie danych osobowych oraz art. 40 Art. 40 Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1. 1. Należy przeanalizować jakie zbiory podlegają zgłoszeniu ponieważ dzielone są one ze względu na podstawę przetwarzania i cele przetwarzania i może się okazać że należy zarejestrować kilka zbiorów. 2. Rejestrując zbiór danych osobowych gdzie przetwarzane są dane osobowe zwykłe można rozpocząć przetwarzanie danych od momentu wysłania wniosku. W przypadku zbiorów gdzie przetwarzamy dane sensytywne powinno się czekać na potwierdzenie rejestracji zbioru z GIODO. 3. Jeśli nawet jakiś zbiór nie podlega rejestracji (art.43, ust.1) to nie oznacza że administrator nie musi stosować środków bezpieczeństwa określonych przepisami ustawy (dane pracownicze, dane do wystawiania faktur, itd..) 4. art. 53 ustawy stanowi, że: Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku Art. 36 1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. 2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1. 3. Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności. Art. 37 Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. - 3 -

Art. 38 Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. Art. 39 1. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać: 1) imię i nazwisko osoby upoważnionej, 2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, 3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym. 2. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia. 1. Szczegółowe warunki zabezpieczenia danych osobowych określone są w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Dobór tych środków uzależniony jest od przyjętego dla danego zbioru poziomu bezpieczeństwa danych w systemie informatycznym. W związku z tym, że nasze komputery mają dostęp do sieci publicznej zobowiązani jesteśmy stosować środki bezpieczeństwa na poziomie wysokim. 2. Tutaj należy szczególnie pamiętać o tym, że administrator danych stosuje środki kryptograficznej ochrony (np. protokół ssl) wobec danych wykorzystywanych do uwierzytelniania, które są przesyłane w sieci publicznej. 3. Środki organizacyjne i techniczne opisuje polityka bezpieczeństwa i instrukcja zarządzania i dokumentacja ta musi być prowadzona w formie papierowej. W szczególności powinna zawierać: Polityka bezpieczeństwa (zawartość): 1. wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; 2. wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; 3. opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi; 4. sposób przepływu danych pomiędzy poszczególnymi systemami; 5. określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych. W szczególności powinna zawierać: Instrukcja zarządzania systemem informatycznym (zawartość): 1. procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności, 2. stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem, 3. procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu, 4. procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania, 5. sposób, miejsce i okres przechowywania: a. elektronicznych nośników informacji zawierających dane osobowe, b. kopii zapasowych, o których mowa w pkt. 4, 6. sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia, 7. sposób realizacji wymogów, o których mowa w 7 ust. 1 pkt 4 rozporządzenia, 8. procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. 1. należy pamiętać, że musimy posiadać również rejestr pracowników wraz z zakresem obowiązków, oraz upoważnienia do przetwarzania danych osobowych. 2. możliwe że będzie jeszcze konieczne stworzenie dodatkowych oświadczeń lub np. instrukcji postępowania w przypadku naruszeniach ochrony zbioru, instrukcji postępowania w przypadku naprawy sprzętu komputerowego, itp. (jeśli informacje te nie są zawarte w instrukcji zarządzania). Na zakończenia należy dodać, że warto jednak jeszcze zaznajomić się z różnego rodzaju decyzjami wydanymi przez GIODO, ponieważ na ich podstawie można wyciągnąć dodatkowe i praktyczne wnioski. - 4 -

Przykładowa i decyzja wydana przez GIODO w 2009 roku Pozyskanie danych osobowych potencjalnego klienta Spółki za pośrednictwem infolinii nie jest jednak działaniem niezbędnym do podjęcia działań przed zawarciem umowy pośrednictwa w obrocie nieruchomościami. Ten etap kontaktu z potencjalnym klientem nie zawsze skutkuje podpisaniem ww. umowy. Przesłanką legalizującą przetwarzanie przez XXX. danych osobowych klientów pozyskanych za pośrednictwem infolinii, powinna być zgoda osoby, której dane dotyczą (art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych). D E C Y Z J A Na podstawie art. 104 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2, art. 18 ust. 1 pkt 1 i art. 22 w związku z art. 23 ust. 1 pkt 1, art. 24 ust. 1, art. 36 ust. 1 i 2, art. 38 i art. 41 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) oraz częścią A pkt IV ust. 2, częścią B pkt VIII i częścią C pkt XIII załącznika do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez XXX., I. Nakazuję XXX jako administratorowi danych, usunięcie uchybień w procesie przetwarzania danych osobowych, poprzez: 1. Przetwarzanie danych osobowych pozyskanych przez XXX za pośrednictwem infolinii, na podstawie zgody wyrażonej przez osoby, których dane dotyczą, w terminie miesiąca od dnia, w którym niniejsza decyzja stanie się ostateczna. 2. Dopełnienie wobec osób, których dane osobowe XXX pozyskał za pośrednictwem infolinii, obowiązku informacyjnego wskazanego w art. 24 ust. 1 ustawy o ochronie danych osobowych, w terminie miesiąca od dnia, w którym niniejsza decyzja stanie się ostateczna. 3. Zabezpieczenie za pomocą środków kryptograficznej ochrony teletransmisji danych osobowych przesyłanych przez klientów XXX do systemu informatycznego o nazwie CRM, za pośrednictwem formularzy znajdujących się na stronie internetowej o adresie w terminie miesiąca od dnia, w którym niniejsza decyzja stanie się ostateczna. 4. Zabezpieczenie za pomocą środków kryptograficznej ochrony teletransmisji danych osobowych przesyłanych pomiędzy serwerem systemu informatycznego o nazwie Faktury XXX a Biurami Sprzedaży XXX. w terminie miesiąca od dnia, w którym niniejsza decyzja stanie się ostateczna. 5. Uzupełnienie polityki bezpieczeństwa o zgodne ze stanem faktycznym następujące elementy: wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, w terminie miesiąca od dnia, w którym niniejsza decyzja stanie się ostateczna. 6. Uwzględnienie w polityce bezpieczeństwa informacji dotyczących systemów informatycznych o nazwach: Faktury XXX., Symfonia, Navision oraz TRX, w terminie miesiąca od dnia, w którym niniejsza decyzja stanie się ostateczna. 7. Zapewnienie kontroli nad tym, jakie dokumenty zawierające dane osobowe są przekazywane między Biurem Sprzedaży Spółki a zakładem głównym Spółki w terminie 14 dni od dnia, w którym niniejsza decyzja stanie się ostateczna. 8. Dokonanie aktualizacji zgłoszenia zbioru danych osobowych o nazwie XXX (zgłoszenie nr R YYY/ZZZ), w zakresie zmienionej firmy administratora danych, w terminie 14 dni od dnia, w którym niniejsza decyzja stanie się ostateczna. 9. Zapewnienie, aby hasła służące uwierzytelnianiu dostępu użytkowników do systemów informatycznych o nazwach: TRX, Faktury XXX. oraz CRM, były zmieniane nie rzadziej niż co 30 dni, w terminie miesiąca od dnia, w którym niniejsza decyzja stanie się ostateczna. 10. Zapewnienie, aby hasła służące uwierzytelnianiu dostępu użytkownikom do systemów informatycznych o nazwach: Faktury XXX. oraz CRM składały się co najmniej z 8 znaków, w terminie miesiąca od dnia, w którym niniejsza decyzja stanie się ostateczna. 11. Zastosowanie środków kryptograficznej ochrony wobec danych, które są przesyłane w sieci publicznej, wykorzystywanych do uwierzytelnienia w systemie informatycznym o nazwie Faktury XXX., w terminie miesiąca od dnia, w którym niniejsza decyzja stanie się ostateczna. Uwagi: 1. Należy mieć na względzie, że w powyższym przypadku była podstawa prawna do przetwarzania danych osobowych i sprawa zakończyła się tylko taką oto decyzją GIODO. 2. W przypadku gdyby nie było podstawy prawnej GIODO najczęściej kieruje zawiadomienie do prokuratury 3. Jeśli ustawa zostanie znowelizowana i zostaną dodane do niej kary pieniężne tak jak to miało miejsce w ustawie o przeciwdziałaniu praniu pieniędzy to GIODO w drodze decyzji administracyjnej będzie mógł nakładać również (dodatkowo) kary pieniężne. Projektowane kary pieniężne mogą zostać nałożone w wysokości od 1 000 do 100 000 euro. Niezależnie od tych kar GIODO może nałożyć na kierownika kontrolowanej jednostki organizacyjnej lub osobę działającą z jego upoważnienia, którzy uniemożliwiają lub utrudniają przeprowadzenie czynności kontrolnych, karę pieniężną w wysokości do 300 % ich miesięcznego wynagrodzenia. Ponadto, w przypadku niedostarczenia informacji niezbędnych do określenia podstawy wymiaru kary pieniężnej lub gdy dostarczone informacje uniemożliwiają ustalenie tej podstawy GIODO może ustalić podstawę wymiaru kary w sposób szacunkowy, nie mniejszą jednak niż równowartość 10 000 euro, a w przypadku kierownika kontrolowanej jednostki organizacyjnej lub osoby działającej z jego upoważnienia - może nałożyć karę w wysokości do 100 000 zł. Wszystko wskazuje na to, iż nowelizacja ustawy o ochronie danych osobowych wprowadzająca kary pieniężne może zostać uchwalona w niedługim czasie. Opracował na potrzeby PFRN Leszek A. Hardek czerwiec 2010 roku - 5 -

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres