Zasady ochrony danych osobowych

Generalny InspektorOchrony Danych Osobowych

ul. Stawki 2, 00-193 Warszawawww.giodo.gov.pl

[email protected]

Zasady ochrony danych osobowych

Bogusława Pilc, radca prawny, Dyrektor Departamentu Inspekcji w Biurze Generalnego Inspektora Ochrony

Danych Osobowych

www.giodo.gov.pl

EUROPEJSKA KONWENCJA O OCHRONIE EUROPEJSKA KONWENCJA O OCHRONIE

PRAW CZŁOWIEKA I PODSTAWOWYCH PRAW CZŁOWIEKA I PODSTAWOWYCH WOLNOŚCIWOLNOŚCI

sporządzona w Rzymie dnia 4 listopada 1950 r., sporządzona w Rzymie dnia 4 listopada 1950 r., zmieniona następnie Protokołami nr 3, 5 i 8 zmieniona następnie Protokołami nr 3, 5 i 8

oraz uzupełniona Protokołem nr 2oraz uzupełniona Protokołem nr 2(Dz. U. z 1993 r. Nr 61, poz. 284 ze zm.)(Dz. U. z 1993 r. Nr 61, poz. 284 ze zm.)

www.giodo.gov.pl

Art. 8. Prawo do poszanowania życia prywatnego i rodzinnego

1. Każdy ma prawo do poszanowania swojego życia prywatnego i rodzinnego, swojego mieszkania i swojej

korespondencji.

2. Niedopuszczalna jest ingerencja władzy publicznej w korzystanie z tego prawa, z wyjątkiem przypadków

przewidzianych przez ustawę i koniecznych w demokratycznym społeczeństwie z uwagi na

bezpieczeństwo państwowe, bezpieczeństwo publiczne lub dobrobyt gospodarczy kraju, ochronę porządku i zapobieganie

przestępstwom, ochronę zdrowia i moralności lub ochronę praw i wolności innych osób.

www.giodo.gov.pl

Landowa ustawa o ochronie danych osobowych ogłoszona w Hesji w 1970 r.

Federalna (RFN) ustawa o ochronie danych osobowych ogłoszona w 1977 r.

Ustawy o ochronie danych osobowych uchwalone w Szwecji, Danii, Norwegii, Francji, Luksemburgu

(lata 70-te XX w.)

Ustawy o ochronie danych osobowych uchwalone w Austrii, Islandii, Irlandii, Finlandii, Wielkiej Brytanii,

na Węgrzech (lata 80-te i początek lat 90-tych XX w.)

www.giodo.gov.pl

Konwencja 108 Rady Europy z dnia 28 stycznia 1981 r. o ochronie osób w związku z automatycznym

przetwarzaniem danych osobowych(Dz. U. z 2006 r. Nr 3, poz. 15) (Dz. U. z 2006 r. Nr 3, poz. 15)

weszła w życie z dniem 1 października 1985 r.(Francja, RFN, Norwegia, Hiszpania, Szwecja)

Polska ratyfikowała Konwencję dnia 24 kwietnia 2002 r.

www.giodo.gov.pl

Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/WE) w sprawie

ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych

danych(Dz. Urz. L 281, z dnia 23.11.1995, s. 31)(Dz. Urz. L 281, z dnia 23.11.1995, s. 31)

www.giodo.gov.pl

Art. 47Art. 47 Konstytucji RP Konstytucji RP

Każdy ma prawo do ochrony życia Każdy ma prawo do ochrony życia prywatnego, rodzinnego, czci i dobrego prywatnego, rodzinnego, czci i dobrego

imienia oraz do decydowania o swoim życiu imienia oraz do decydowania o swoim życiu osobistym. osobistym.

www.giodo.gov.pl

Art. 51Art. 51 Konstytucji RP Konstytucji RP

1. Nikt nie może być obowiązany inaczej niż na podstawie 1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby.ustawy do ujawniania informacji dotyczących jego osoby.

2. Władze publiczne nie mogą pozyskiwać, gromadzić i 2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym.demokratycznym państwie prawnym.

3. Każdy ma prawo dostępu do dotyczących go urzędowych 3. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa.określić ustawa.

4. Każdy ma prawo do żądania sprostowania oraz usunięcia 4. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą.sprzeczny z ustawą.

5. Zasady i tryb gromadzenia oraz udostępniania informacji 5. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.określa ustawa.

www.giodo.gov.pl

Art. 47 Konstytucji poręcza prawo do prywatności (wyrok TK z 12 listopada 2002 r.,

SK 40/01 , OTK-A 2002, nr 6, poz. 81).

Na płaszczyźnie konstytucyjnej prawo do ochrony danych osobowych jednostki zostało

zagwarantowane w art. 51 Konstytucji.

Zarówno w literaturze, jak i orzecznictwie TK jest ono też określane mianem autonomii

informacyjnej.

www.giodo.gov.pl

Art. 23 kodeksu cywilnego

DOBRA OSOBISTE CZŁOWIEKA,

jak w szczególności zdrowie, wolność, cześć, swoboda sumienia, nazwisko lub pseudonim,

wizerunek, tajemnica korespondencji, nietykalność mieszkania, twórczość naukowa, artystyczna,

wynalazcza i racjonalizatorska,

pozostają pod ochroną prawa cywilnego niezależnie od ochrony przewidzianej w innych przepisach.

www.giodo.gov.pl

Art. 24 kodeksu cywilnego

§ 1. Ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że

nie jest ono bezprawne. W razie dokonanego naruszenia może on także żądać, ażeby

osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności ażeby

złożyła oświadczenie odpowiedniej treści i w odpowiedniej formie.

Na zasadach przewidzianych w kodeksie może on również żądać zadośćuczynienia pieniężnego lub zapłaty odpowiedniej

sumy pieniężnej na wskazany cel społeczny.

§ 2. Jeżeli wskutek naruszenia dobra osobistego została wyrządzona szkoda majątkowa, poszkodowany może żądać jej

naprawienia na zasadach ogólnych.

www.giodo.gov.pl

Pojedyncze dane osobowe nie są odrębnymi dobrami osobistymi.

Dane osobowe jednak mogą być uznane za dobra osobiste, jeżeli np. są objęte

sferą życia prywatnego.

www.giodo.gov.pl

Rozporządzenie MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych

osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące

do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024)

www.giodo.gov.pl

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych

(Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.)

www.giodo.gov.pl

zakres podmiotowy i przedmiotowy stosowania ustawy

definicje ustawowe

www.giodo.gov.pl

Art. 3a ust. 1Art. 3a ust. 1Ustawy nie stosuje się do:Ustawy nie stosuje się do:

1) osób fizycznych, które przetwarzają dane wyłącznie 1) osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowychw celach osobistych lub domowych

2) podmiotów mających siedzibę lub miejsce zamieszkania w 2) podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej znajdujące się na terytorium Rzeczypospolitej Polskiej

wyłącznie do przekazywania danychwyłącznie do przekazywania danych

www.giodo.gov.pl

Art. 3 ust. 2Art. 3 ust. 2

Ustawy, z wyjątkiem przepisów art. 14-19 i art. 36 ust. 1, nie Ustawy, z wyjątkiem przepisów art. 14-19 i art. 36 ust. 1, nie stosuje się również do prasowej działalności dziennikarskiej w stosuje się również do prasowej działalności dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. - Prawo prasowe rozumieniu ustawy z dnia 26 stycznia 1984 r. - Prawo prasowe

(Dz. U. Nr 5, poz. 24, z późn. zm.) oraz do działalności (Dz. U. Nr 5, poz. 24, z późn. zm.) oraz do działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich literackiej lub artystycznej, chyba że wolność wyrażania swoich

poglądów i rozpowszechniania informacji istotnie narusza poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą.prawa i wolności osoby, której dane dotyczą.

www.giodo.gov.pl

Państwo trzeciePaństwo trzeciepaństwo nienależące do Europejskiego Obszaru państwo nienależące do Europejskiego Obszaru

GospodarczegoGospodarczego

EOG (European Economic Area)EOG (European Economic Area)

Państwa należące do EOG:Państwa należące do EOG:

- państwa członkowskie Unii Europejskiej- państwa członkowskie Unii Europejskiej

- państwa członkowskie Europejskiego Stowarzyszenia Wolnego - państwa członkowskie Europejskiego Stowarzyszenia Wolnego HandluHandlu

EFTA (European Free Trade Association):EFTA (European Free Trade Association):

Islandia, Lichtenstein, NorwegiaIslandia, Lichtenstein, Norwegia

www.giodo.gov.pl

Art. 2 ust. 3Art. 2 ust. 3

W odniesieniu do zbiorów danych osobowychW odniesieniu do zbiorów danych osobowych

sporządzanych doraźnie, sporządzanych doraźnie,

wyłącznie ze względów technicznych, szkoleniowych lub w wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, związku z dydaktyką w szkołach wyższych,

a po ich wykorzystaniu niezwłocznie usuwanych albo a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji,poddanych anonimizacji,

mają zastosowanie przepisy jedynie rozdziału 5.mają zastosowanie przepisy jedynie rozdziału 5.

www.giodo.gov.pl

Art. 4Art. 4

Przepisów ustawy nie stosuje się, jeżeli Przepisów ustawy nie stosuje się, jeżeli umowa międzynarodowa, której stroną jest umowa międzynarodowa, której stroną jest Rzeczpospolita Polska, stanowi inaczej. Rzeczpospolita Polska, stanowi inaczej.

www.giodo.gov.pl

Art. 5.

Jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych,

przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych

ustaw.

www.giodo.gov.pl

Art. 3 ust. 1

Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do

państwowych i komunalnych jednostek organizacyjnych.

www.giodo.gov.pl

Zakres podmiotowy ustawy o ochronie danych osobowych

1. Podmioty publiczne mogą decydować o celach i środkach przetwarzania danych w ramach zadań przyznanych im przepisami prawa:

• organy państwowe,• organy samorządu terytorialnego,• państwowe i komunalne jednostki organizacyjne.

2. Kontrolą mogą być objęte np. Kancelaria Prezydenta RP, Kancelaria Senatu, Kancelaria Sejmu, Kancelaria Prezesa Rady Ministrów, ministerstwa, sądy, prokuratury, jednostki policji, urzędy skarbowe, publiczne zakłady opieki zdrowotnej, Zakład Ubezpieczeń Społecznych, Główny Urząd Statystyczny, gminy, powiaty, województwa i inne.

www.giodo.gov.pl

Art. 3 ust. 2Ustawę stosuje się również do:

1) podmiotów niepublicznych realizujących zadania publiczne,

2) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością

zarobkową, zawodową lub dla realizacji celów statutowych

- które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków

technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej.

www.giodo.gov.pl


- Podmioty prywatne mogą realizować cele i środki w zakresie przetwarzania danych osobowych, które wynikają ze specyfiki prowadzonej przez nie działalności:

• podmioty niepubliczne realizujące zadania publiczne (np. prywatne zakłady opieki zdrowotnej, prywatne szkoły i przedszkola),

• osoby fizyczne i osoby prawne (np.. Spółki z o.o., spółki akcyjne, stowarzyszenia, fundacje) oraz jednostki organizacyjne niebędące osobami prawnymi (np. niemające osobowości prawnej spółki prawa handlowego); objęte są one zakresem stosowania ustawy, jeżeli przetwarzają dane w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych (art. 3 ust. 2 pkt 2 ustawy).

www.giodo.gov.pl


1. Podmioty posiadające status administratora danych:• administratorzy podlegający obowiązkowi zgłoszenia zbioru do

rejestracji,• administratorzy zwolnieni z mocy ustawy z obowiązku zgłoszenia

zbioru do rejestracji.

2. Podmioty przetwarzający dane na zlecenia administratora danych:

• zleceniobiorcy (przetwarzający) w drodze umowy zawartej na piśmie tzw. umowy powierzenia (art.31 ustawy).

www.giodo.gov.pl

Art. 6

W rozumieniu ustawy za DANE OSOBOWE uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do

zidentyfikowania osoby fizycznej.

OSOBĄ MOŻLIWĄ DO ZIDENTYFIKOWANIA jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w

szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub

społeczne.

Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub

działań.

www.giodo.gov.pl

Identyfikacja danych podlegających ochronie

• Dane tzw. zwykłe – np. imię, nazwisko, data urodzenia, PESEL, adres zamieszkania, wysokość osiąganych dochodów, stan konta bankowego, informacje o mieniu ruchomym czy nieruchomościach i inne

• Dane tzw. wrażliwe, sensytywne – jako szczególny rodzaj danych, do których art. 27 ust. 1 u.o.d.o. zalicza: dane ujawniające pochodzenie rasowe, etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym

• Informacje o osobach zmarłych nie podlegają ochronie u.o.d.o. – zdolność prawna człowieka, a tym samym zdolność do bycia podmiotem praw i obowiązków ustaje z chwilą jego śmierci

www.giodo.gov.pl

Dane osobowe

• Charakter danych osobowych posiadają informacje „ z różnych dziedzin życia”, o ile istnieje możliwość powiązania ich z oznaczoną osobą; mogą to być informacje o charakterze obiektywnym lub subiektywnym, wymiernym lub ocennym, o okolicznościach dawnych, obecnych lub przyszłych, trwałych lub przemijających

• Danymi osobowymi są między innymi informacje:• o zasadniczo „niezależnych okolicznościach” (imię, nazwisko, płeć,

wzrost, znaki szczególne, obywatelstwo, linie papilarne, miejsce i data urodzenia, cechy dokumentów tożsamości, numer PESEL);

• o cechach nabytych (wykształcenie, znajomość języków, posiadane uprawnienia, charakter pisma, stan cywilny);

www.giodo.gov.pl

Dane osobowe

• o cechach osobowościowych, psychologicznych, w tym o przekonaniach, zainteresowaniach, światopoglądzie, upodobaniach, sposobie spędzania wolnego czasu);

• o sytuacji majątkowej, operacjach finansowych, w tym również o „zaniechaniach” ( np. wykaz zaległości czynszowych);

• o różnych przejawach działalności (np. podróżach, uczestniczeniu w życiu kulturalnym);

• dotyczące aktywnego lub biernego uczestnictwa w różnego rodzaju wydarzeniach,

• część informacji już z natury rzeczy identyfikuje osobę;• większość informacji uzyskuje charakter danych osobowych

dopiero w połączeniu z informacjami identyfikującymi wprost lub pośrednio osobę;

www.giodo.gov.pl

Dane osobowe

• pod tym warunkiem danymi osobowymi stają się m.in. informacje o stanie fizycznym i psychicznym, o przebytych chorobach, o kalectwie, o wynikach badań medycznych (zdjęcia rendtgenowskie, ciśnienie krwi, poziom cukru i wiele innych), o rezultatach testów psychologicznych, zręcznościowych, wyniki egzaminów, rezultaty uzyskiwane na zawodach sportowych;

• charakter danych osobowych posiadają informacje dotyczące przygotowania zawodowego i przebiegu pracy danej osoby, o jej sytuacji rodzinnej, o stanie posiadania ( w tym o posiadanych dobrach, o zgromadzonych oszczędnościach, kontach bankowych, o wysokości płaconych podatków), o jej zachowaniach (zakupach towarów lub usług, prowadzonych rozmowach telefonicznych, w tym tzw. biling), naruszeniach prawa, wszelkie opinie na temat danej osoby.

www.giodo.gov.pl

Art. 7

DEFINICJE:

1) zbioru danych2) przetwarzania danych 2a) systemu informatycznego 2b) zabezpieczenia danych w systemie informatycznym3) usuwania danych4) administratora danych5) zgody osoby, której dane dotyczą6) odbiorcy danych 7) państwa trzeciego

www.giodo.gov.pl

USUWANIE DANYCH

zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwoli na ustalenie

tożsamości osoby, której dane dotyczą

www.giodo.gov.pl

ZBIÓR DANYCH

każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według

określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony

funkcjonalnie,

www.giodo.gov.pl

PRZETWARZANIE DANYCH

jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie,

przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te,

które wykonuje się w systemach informatycznych,

www.giodo.gov.pl

SYSTEM INFORMATYCZNYzespół współpracujących ze sobą urządzeń,

programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w

celu przetwarzania danych

ZABEZPIECZENIE DANYCH W SYSTEMIE INFORMATYCZNYM

wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych

zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem,

www.giodo.gov.pl

ADMINISTRATOR DANYCH

organ, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3,

decydujące o celach i środkach przetwarzania danych osobowych,

www.giodo.gov.pl

ODBIORCA DANYCHkażdy, komu udostępnia się dane osobowe,

z wyłączeniem:

a) osoby, której dane dotyczą, b) osoby upoważnionej do przetwarzania danych, c) przedstawiciela, o którym mowa w art. 31a, d) podmiotu, o którym mowa w art. 31, e) organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem

www.giodo.gov.pl

Art. 8 ust. 1 Organem do spraw ochrony danych osobowych jest

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

Art. 8 ust. 2Generalnego Inspektora powołuje i odwołuje Sejm

Rzeczypospolitej Polskiej za zgodą Senatu.

www.giodo.gov.pl

Art. 11

IMMUNITETGeneralnego Inspektora Ochrony Danych Osobowych

nie może być bez uprzedniej zgody Sejmu pociągnięty do odpowiedzialności karnej ani pozbawiony wolności

nie może być zatrzymany lub aresztowany, z wyjątkiem ujęcia go na gorącym uczynku przestępstwa i jeżeli jego

zatrzymanie jest niezbędne do zapewnienia prawidłowego toku postępowania.

www.giodo.gov.pl

Art. 12

ZADANIA Generalnego Inspektora

1) kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych, 2) wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych, 3) zapewnienie wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym wynikających z decyzji, o których mowa w pkt 2, przez stosowanie środków egzekucyjnych przewidzianych w ustawie z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. z 2005 r. Nr 229, poz. 1954, z późn. zm., 4) prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach,5) opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych,

www.giodo.gov.pl

ZADANIA Generalnego Inspektora c. d.

• 6) inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych,

• 7) uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych.

www.giodo.gov.pl

Art. 23 ust. 1 Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,

2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,

3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,

4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,

5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

www.giodo.gov.pl

ZGODA OSOBY, KTÓREJ DANE DOTYCZĄ (Art. 7 pkt 5)

oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego,

kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z

oświadczenia woli o innej treści, zgoda może być odwołana w każdym czasie

www.giodo.gov.pl

Zgoda na przetwarzanie danych osobowych (1)

- uodo nie przewiduje szczególnej formy udzielenia zgody jak i odwołania zgody na przetwarzanie danych,

- jako oświadczenie woli – może przybrać formę każdego zachowania się tej osoby, które ujawnia jej wolę w sposób dostateczny, w tym w przez ujawnienie woli w postaci elektronicznej,

www.giodo.gov.pl


• Wola osoby dokonującej czynności prawnej może być wyrażona przez każde zachowanie się tej osoby, które ujawnia jej wolę w sposób dostateczny, w tym również przez ujawnienie tej woli w postaci elektronicznej (oświadczenie woli) – art. 60 kc

www.giodo.gov.pl


• do oświadczenia woli dotyczącego odwołania zgody na przetwarzanie danych osobowych, powinno się stosować ogólną zasadę wynikającą z art. 60 kc,

• w przypadku gdy uodo przewiduje formę pisemną dla oświadczenia woli dotyczącego zgody na przetwarzanie danych (dane tzw. „sensytywne”, przekazywanie danych do państwa trzeciego) niezbędne jest, aby odwołanie zgody na przetwarzanie danych osobowych również przybrało formę pisemną,

• administrator danych ze względów dowodowych powinien utrwalać takie oświadczenie woli w zakresie wyrażenia zgody jak i jej odwołania

• przepisy szczególne przewidujące możliwość odwołania zgody:

- ustawa Prawo telekomunikacyjne,

- ustawa o świadczeniu usług drogą elektroniczną,

- ustawa Prawo bankowe

www.giodo.gov.pl

Art. 23 ust. 2Zgoda, o której mowa w ust. 1 pkt 1, może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel

przetwarzania.

Art. 23 ust. 3Jeżeli przetwarzanie danych jest niezbędne dla ochrony

żywotnych interesów osoby, której dane dotyczą, a spełnienie warunku określonego w ust. 1 pkt 1 jest niemożliwe, można

przetwarzać dane bez zgody tej osoby, do czasu, gdy uzyskanie zgody będzie możliwe.

www.giodo.gov.pl

Art. 23 ust. 4PRAWNIE USPRAWIEDLIWIONY CEL

ADMINISTRATORA DANYCH

w szczególności:1) marketing bezpośredni własnych produktów lub usług administratora danych,2) dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

www.giodo.gov.pl

Zgoda według opinii Grypy Roboczej art. 29 nr 15/2011

• Grupa Robocza art. 29 została powołana na mocy art. 29 Dyrektywy 95/46/WE. Jest niezależnym organem doradczym w zakresie ochrony danych osobowych i prywatności

• W dniu 13 lipca 2011 r. Grupa przyjęła opinię nr 15/2011 w sprawie definicji zgody

• Główne powody przyjęcia opinii:- Zróżnicowana praktyka poszczególnych państw członkowskich

m.in.:- w zakresie wymogu pisemnej zgody,- akceptowania zgody dorozumianej,- konieczne ujednolicenie interpretacji

www.giodo.gov.pl

Analiza elementów zgody

• Zgoda osoby, której dane dotyczą, oznacza konkretne i świadome, dobrowolne wskazanie przez tę osobę na to, że wyraża przyzwolenie na przetwarzanie odnoszących się do niej danych osobowych

• „wskazanie na to, że wyraża” – pisemna forma co do zasady nie jest konieczna. Dowolne zachowanie wyraźnie wskazujące na wolę osoby,

• „dobrowolne” – możliwość dokonania rzeczywistego wyboru. Zgoda w relacjach pracodawca – pracownik (np. I OSK 249/09, I OSK 1476/10 – wyroki NSA – dane biometryczne),

• „konkretne” – ściśle określony cel – nowy cel – nowa zgoda,• „świadome” – warunkiem zgody jest pełne poinformowanie

podmiotu danych

www.giodo.gov.pl

Zgoda w szczególnych warunkach

• Konieczna wyraźna zgoda (explicit consent) na przetwarzanie szczególnych kategorii danych

• Zgoda na konkretną propozycję, najczęściej udzielana w formie pisemnej z odręcznym podpisem

• Nie może być dorozumiana• Zgoda na transfer do państw trzecich – jednoznaczna• Zgoda osób nieposiadających pełnej zdolności do czynności

prawnych – brak konkretnych zasad w Dyrektywie 95/46/WE. Grupa zwraca uwagę na trudności w tym obszarze

www.giodo.gov.pl

Art. 27 ust. 1

ZABRANIA SIĘ PRZETWARZANIA DANYCH:

ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne,

przynależność wyznaniową, partyjną lub związkową,

danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym

danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu

sądowym lub administracyjnym.

www.giodo.gov.pl

Art. 27 ust. 2 Przetwarzanie danych, o których mowa w ust. 1, jest

jednak dopuszczalne, jeżeli:

1) osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych,

2) przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony,

3) przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora,

www.giodo.gov.pl

6) przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie,

7) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych,

www.giodo.gov.pl

8) przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą, 9) jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone,

10) przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.

www.giodo.gov.pl

Wrażliwe przetwarzanie

• „Profil” oznacza zestaw danych charakteryzujący kategorię osób, który ma zostać zastosowany w odniesieniu do danej osoby

• „Tworzenie profili” oznacza automatyczną technikę przetwarzania danych polegającą na przypisaniu danej osobie „profilu” w celu podejmowania dotyczących jej decyzji bądź analizy lub przewidywania jej preferencji, zachowań i postaw

• Tworzenie profili, wg Grupy Art. 29. - istnieją dwa podstawowe podejścia do tworzenia profili użytkowników:

- Profile predykcyjne tworzy się w drodze wnioskowania na podstawie obserwacji indywidualnego i zbiorowego zachowania użytkowników w czasie, w szczególności poprzez monitorowanie odwiedzanych stron oraz reklam, które użytkownik wyświetla, lub na które klika

www.giodo.gov.pl

Wrażliwe przetwarzanie cd.

• Profile jawne tworzy się na podstawie danych osobowych przekazywanych w ramach usługi sieciowej przez same osoby, których dane dotyczą, np. podczas rejestracji.

• Wspomniane podejścia można łączyć• Ponadto profile predykcyjne mogą stać się jawne później, kiedy

osoba, której dane dotyczą, utworzy dane logowania dla danej strony internetowej

Patrz: Opinia Grupy Art. 29 nr 2/2010 w sprawie internetowej reklamy behawioralnej przyjęta dnia 22 czerwca 2010 r., pkt 2, 3, str. 8

www.giodo.gov.pl

Art. 26 ust. 1 Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były:

1) przetwarzane zgodnie z prawem,

2) zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2,

3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,

4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

www.giodo.gov.pl

Art. 26 ust. 2Przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza

praw i wolności osoby, której dane dotyczą, oraz następuje:

1) w celach badań naukowych, dydaktycznych, historycznych

lub statystycznych,

2) z zachowaniem przepisów art. 23 i 25.

www.giodo.gov.pl

Identyfikacja danych podlegających ochronie

• Dane w kartotekach, skorowidzach, księgach, wykazach i innych urządzeniach ewidencyjnych

• Dane w systemach informatycznych• Dane w zbiorach danych i poza zbiorami danych

• System informatyczny (art. 7 pkt 2a u.o.d.o.) – zespół współpracujących ze sobą:

• urządzeń,• programów,• procedur przetwarzania informacji i narzędzi programowych

61

www.giodo.gov.pl

Analiza zagrożeń i ocena ryzyka procesu przetwarzania (1)

• Zagrożenia – to zjawiska wywołane działaniem człowieka (umyślne, nieumyślne) lub sił wyższych (przyrody, środków trwałych itp.), które powodują, że poczucie bezpieczeństwa maleje bądź zupełnie zanika.

• Analiza i ocena obejmuje identyfikację i szacowanie zagrożeń występujących na poszczególnych etapach procesu przetwarzania:

• zbieranie,• utrwalanie,• opracowywanie,• zmienianie,• udostępnianie,• przechowywanie,• usuwanie• Prowadzona systematycznie pozwala na zastosowanie odpowiednich

zabezpieczeń, które zminimalizują prawdopodobieństwo ich wystąpienia

www.giodo.gov.pl


• Zagrożenia zasobów komputerowych:

• działalność umyślna sieciowa (zazwyczaj przestępcza) związana z atakami i włamaniami hakerskimi przy użyciu różnych technik i metod (np. złośliwych programów, rozsyłania spamu), często zautomatyzowanymi powodująca:

• utratę poufności (np. ujawnienie informacji),

• utratę integralności (np. modyfikacja informacji),

• utratę dostępności zasobów (np. brak dostępu do informacji czy systemu dla uprawnionych użytkowników).

• Działania umyślne fizyczne – bezpośrednia obserwacja, podsłuch czy kradzież zasobów

• Działania przypadkowe – pomyłki, pominięcia czy wypadki fizyczne wynikające z problemów technicznych (wady sprzętu i oprogramowania, awarie sprzętu, przerwy i zakłócenia w sieci energetycznej)

www.giodo.gov.pl


• problemów organizacyjnych – zła organizacja pracy, brak odpowiednich procedur, brak organizacji infrastruktury informatycznej, niedostateczna wiedza, niewystarczające monitorowanie zabezpieczeń, brak lub niewłaściwe utrzymywanie zasobów,

• błędów ludzkich – nieprzestrzeganie podstawowych zasad bezpieczeństwa, brak świadomości zagrożeń, zapisywanie haseł, zniszczenie urządzenia na skutek niedbalstwa, omyłkowe skasowanie danych, nieprawidłowe administrowanie systemu i inne

www.giodo.gov.pl

Wymagane środki bezpieczeństwa

• środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem

• dokumentacja opisująca sposób przetwarzania danych oraz środki ochrony przetwarzania danych

• administrator bezpieczeństwa informacji

65

www.giodo.gov.pl


• Dopuszczenie do przetwarzania danych wyłącznie osób posiadających upoważnienie nadane przez administratora danych (art. 37 u.o.d.o.)

• Zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane (art. 38 u.o.d.o.)

• Ewidencja osób upoważnionych do przetwarzania danych (art.39 u.o.d.o.).

• Obowiązek zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia.

66

www.giodo.gov.pl


Dokumentacja przetwarzania danych:

•polityka bezpieczeństwa

•instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

67

www.giodo.gov.pl68

(§ 4) Polityka bezpieczeństwa zawiera w szczególności: wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących

obszar, w którym przetwarzane są dane osobowe

wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych

opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi

sposób przepływu danych pomiędzy poszczególnymi systemami

określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych


www.giodo.gov.pl69

1)procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;

3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;

4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;


(§ 5) Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych zawiera w szczególności:

www.giodo.gov.pl70

a) elektronicznych nośników informacji zawierających dane osobowe,

b) kopii zapasowych, o których mowa w pkt 4;


(§ 5 ) Instrukcja zarządzania systemem informatycznym cd:

5) sposób, miejsce i okres przechowywania:

6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia;7) sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4;8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

www.giodo.gov.pl


Poziomy bezpieczeństwa:

•podstawowy

•podwyższony

•wysoki

71

www.giodo.gov.pl

Czy jest dostęp do sieci publicznej?

Czy przetw. są danewrażliwe?

Poziom wysoki

Poziom podwyższony

Poziom podstawowy

Tak

Nie

Nie

Tak

72

www.giodo.gov.pl

ŚRODKI BEZPIECZEŃSTWA NA POZIOMIE PODSTAWOWYM

•Zabezpieczenie obszaru przed dostępem osób nieuprawnionych na czas nieobecności osób uprawnionych do przetwarzania danych osobowych

•Mechanizmy kontroli dostępu w systemie informatycznym

•Zabezpieczenie systemu przed oprogramowaniem umożliwiającym uzyskanie nieuprawnionego dostępu oraz utratą zasilania

73

www.giodo.gov.pl

ŚRODKI BEZPIECZEŃSTWA NA POZIOMIE PODSTAWOWYM

• Hasła (min. 6 znaków, zmiana nie rzadziej niż co 30 dni) i identyfikatory (zakaz ponownego przydzielania tych samych identyfikatorów)

• Kopie zapasowe zbiorów i programów służących do przetwarzania danych

• Kryptografia – urządzenia przenośne

• Reguły dotyczące nośników danych

74

www.giodo.gov.pl

REGUŁY DOTYCZĄCE - NOŚNIKÓW DANYCH

• Nośniki do likwidacji – pozbawienie zapisu danych bądź ich uszkodzenie uniemożliwiające ich odczytanie przed likwidacją,

• Nośniki przekazywane podmiotom nieuprawnionym do przetwarzania danych – uprzednie pozbawienie zapisu danych w sposób uniemożliwiający ich odczytanie,

• Nośniki przeznaczone do naprawy – uprzednie pozbawienie zapisu danych w sposób uniemożliwiający ich odczytanie bądź naprawa pod nadzorem osoby upoważnionej przez administratora danych.

75

www.giodo.gov.pl

ŚRODKI BEZPIECZEŃSTWA NA POZIOMIE PODWYŻSZONYM

•Środki ochrony na poziomie podstawowym

•Hasła (min. 8 znaków, małe i wielkie litery, cyfry lub znaki specjalne)

76

www.giodo.gov.pl

ŚRODKI BEZPIECZEŃSTWA NA POZIOMIE PODWYŻSZONYM

• Urządzenia i nośniki zawierające dane osobowe szczególnie chronione przekazywane poza obszar, w którym przetwarzane są dane osobowe, zabezpiecza się w sposób zapewniający poufność i integralność tych danych

• Instrukcja zarządzania systemem informatycznym musi zawierać sposób stosowania środków zabezpieczenia poufności i integralności danych

77

www.giodo.gov.pl

ŚRODKI BEZPIECZEŃSTWA NA POZIOMIE WYSOKIM

• Środki ochrony na poziomie podstawowym i podwyższonym

• Ochrona przed zagrożeniami pochodzącymi z sieci publicznej (wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem)

• Środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej

78

www.giodo.gov.pl79

1) daty pierwszego wprowadzenia danych do systemu;

2) identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba;

3) źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą;

4) informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych;

FUNKCJONALNOŚĆ ZAPEWNIAJĄCA ODNOTOWYWANIE § 7 ust. 1 - 4 rozporządzenia MSWiA

• (Ust. 1) Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym - z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie - system ten zapewnia odnotowanie:

www.giodo.gov.pl80

5) sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy.

FUNKCJONALNOŚĆ ZAPEWNIAJĄCA ODNOTOWYWANIE § 7 ust. 1 - 4 rozporządzenia MSWiA

• (Ust. 2) Odnotowanie informacji, o których mowa w ust. 1 pkt 1 i 2, następuje automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych.

• (Ust. 3) Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w ust. 1.

• (Ust. 4) W przypadku przetwarzania danych osobowych, w co najmniej dwóch systemach informatycznych, wymagania, o których mowa w ust. 1 pkt 4, mogą być realizowane w jednym z nich lub w odrębnym systemie informatycznym przeznaczonym do tego celu.

www.giodo.gov.pl

Kontrola zastosowanych zabezpieczeń

• Cel kontroli – ustalenie stanu faktycznego w zakresie przestrzegania przepisów o ochronie danych osobowych oraz udokumentowanie dokonanych ustaleń

• Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.)

• Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024)

www.giodo.gov.pl

Kontrola zastosowanych zabezpieczeń

Uprawnienia kontrolne GIODO:

• Wstęp do pomieszczeń (od 6.00 do 22.00)• Przeprowadzenie niezbędnych badań lub innych czynności

kontrolnych• Żądanie złożenia pisemnych lub ustnych wyjaśnień, wzywanie i

przesłuchiwanie osób• Wgląd do wszelkich dokumentów i danych oraz prawo do

sporządzania ich kopii, • Przeprowadzanie oględzin urządzeń, nośników oraz systemów

informatycznych, • Zlecanie sporządzania ekspertyz i opinii.

82

www.giodo.gov.pl

Przebieg kontroli (1)

Obowiązki inspektora:• okazanie dokumentów uprawniających do kontroli,

• poinformowanie kontrolowanego o jego prawach i obowiązkach,

• przedstawienie zakresu przedmiotowego kontroli,

• wskazanie przewidywanego terminu trwania kontroli,

• dokonywanie czynności wyłącznie w zakresie upoważnienia udzielonego przez GIODO,

• wykazanie się obiektywizmem oraz zachowaniem w tajemnicy informacji uzyskanych w związku z kontrolą.

Obowiązki kontrolowanego:• umożliwienie inspektorowi przeprowadzenie kontroli,

• udostępnienie wszelkich żądanych dokumentów i nośników informacji,

www.giodo.gov.pl

Przebieg kontroli (2)

• wydanie żądanych kopii dokumentów oraz wydruków obrazów z ekranu komputerowego,

• czynne uczestnictwo w poszczególnych czynnościach kontrolnych (udzielanie wyjaśnień, zapewnienie terminowego udzielania informacji przez podległych pracowników i inne osoby, być do dyspozycji w czasie trwania kontroli),

• zapewnienie sprawnego przebiegu kontroli.

www.giodo.gov.pl

Dokumentowanie czynności kontrolnych (1)

1. Rodzaje protokołów z poszczególnych czynności:

• protokół przyjęcia ustnych wyjaśnień,• protokół przesłuchania świadka,• protokół oględzin.

www.giodo.gov.pl


2. Protokół kontroli:• nazwa podmiotu kontrolowanego w pełnym brzmieniu i jego adres,• imię i nazwisko, stanowisko służbowe, numer legitymacji służbowej oraz

numer upoważnienia inspektora,• imię i nazwisko osoby reprezentującej podmiot kontrolowany oraz nazwę

organu reprezentującego ten podmiot,• datę rozpoczęcia i zakończenia czynności kontrolnych, z wymienieniem

dni przerw w kontroli,• określenie przedmiotu i zakresu kontroli,• opis stanu faktycznego stwierdzonego w toku kontroli oraz inne informacje

mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych,

• wyszczególnienie załączników stanowiących składową część protokołu,• omówienie dokonanych w protokole poprawek, skreśleń i uzupełnień,• parafy inspektora i osoby reprezentującej podmiot kontrolowany na każdej

stronie protokołu

www.giodo.gov.pl


• wzmianka o doręczeniu egzemplarza protokołu osobie reprezentującej podmiot kontrolowany,

• wzmianka o wniesieniu lub niewniesieniu zastrzeżeń i uwag do protokołu,

• data i miejsce podpisania protokołu przez inspektora oraz przez osobę lub organ reprezentujący podmiot kontrolowany.

www.giodo.gov.pl

Uprawnienia pokontrolne

1. Wszczęcie postępowania administracyjnego:• zawiadomienie o wszczęciu: wyszczególnienie stwierdzonych w

toku kontroli uchybień, uzasadnienie prawne i faktyczne, wskazanie dowodów, informacja o przysługujących prawach, określenie terminu do realizacji uprawnień,

2. Rodzaje decyzji:• nakazujące przywrócenie stanu zgodnego z prawem (treść

nakazu wynika z art.18 ustawy),• umarzające postępowanie jako bezprzedmiotowe.

3. Wniosek o wszczęcie postępowania dyscyplinarnego.

4. Zawiadomienie o popełnieniu przestępstwa.

www.giodo.gov.pl

Odpowiedzialność karna za naruszenie przepisów o ochronie danych osobowych (1)

• Przetwarzanie danych w zbiorze wbrew zakazowi przetwarzania bądź przy braku uprawnienia do przetwarzania (art. 49)

• Udostępnienie danych lub umożliwienie dostępu osobom nieupoważnionym (art. 51)

• Naruszenie obowiązku zabezpieczenia danych (art. 52)

• Niezgłoszenie zbioru do rejestracji (art. 53)

• Niedopełnienie obowiązku informacyjnego (art. 54)

89

www.giodo.gov.pl


• Udaremnienie lub utrudnienie wykonania czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2 (Art. 54a)

• „Udaremnienie” – całkowite uniemożliwienie dokonania czynności

• „Utrudnienie” – stworzenie lub doprowadzenie do powstania sytuacji, gdy wykonanie czynności kontrolnej napotyka przeszkody, które w istotny sposób wpływają na przeprowadzaną czynność, ograniczając jej efektywność

www.giodo.gov.pl


• Przykłady zachowań stanowiących udaremnienie lub utrudnienie kontroli:

• niewpuszczenie inspektorów na teren jednostki kontrolowanej lub do pomieszczenia, w którym zlokalizowany jest zbiór danych, bądź do pomieszczenia, w którym przetwarzane są dane poza zbiorem,

• nieokazanie przedmiotu mającego podlegać oględzinom (urządzeń, nośników, systemów informatycznych służących do przetwarzania danych osobowych),

• odmowa okazania dokumentów,

• nieuzasadnione opóźnienia w udostępnianiu żądanych dokumentów,

• odmowa złożenia zeznań osobie uprawnionej do przeprowadzenia kontroli (inspektorowi),

• udzielenie nieprawdziwych informacji

www.giodo.gov.pl

Dyskusja nad zmianami w europejskich ramach ochrony danych osobowych (1)• Komisja Europejska 4 listopada 2010 r. przyjęła kompleksową

strategię dotyczącą ochrony danych osobowych w Unii Europejskiej (komunikat KOM (2010) 609/3). Zakłada ona modernizację istniejących na poziomie Unii Europejskiej (UE) ram prawnych w zakresie ochrony danych osobowych

• Zmiany i inne inicjatywy:- Komisja Europejska (KE) w 2011 r. przedstawi projekt zmian

Dyrektywy 95/46/WE o ochronie osób w związku z przetwarzaniem danych osobowych oraz o swobodnym ich przepływie, a także podejmie działania pozalegislacyjne, mające na celu skuteczniejszą ochronę danych osobowych w UE

- Planowane działania mają przede wszystkim odpowiedzieć na wyzwania związane z rozwojem technologii informatycznych oraz procesami legislacyjnymi

www.giodo.gov.pl

Dyskusja nad zmianami w europejskich ramach ochrony danych osobowych (2)• Podstawowe cele:• wzmocnienie praw jednostki,• wzmocnienie pozycji i zwiększenie uprawnień organów ochrony

danych osobowych,• przegląd przepisów dotyczących ochrony danych osobowych w

obszarze współpracy policji i wymiaru sprawiedliwości w sprawach karnych,

• zapewnienie swobodnego przepływu danych w obrębie Unii Europejskiej,

• zapewnienie wysokiego poziomu ochrony w przypadku transferu danych poza UE

www.giodo.gov.pl

Dyskusja nad zmianami w europejskich ramach ochrony danych osobowych (3)• Komisja zbada sposoby:• wzmocnienia zasady minimalizacji danych,• poprawy metod faktycznego korzystania z prawa do dostępu do

danych , ich poprawiania, usuwania lub blokowania ( np. poprzez wprowadzenie terminów na odpowiedź na wnioski osób fizycznych, umożliwienie korzystania z praw za pomocą środków elektronicznych lub zapewnienie, że korzystanie z praw do dostępu powinno być co do zasady bezpłatne,

• wyjaśnienia tzw. „prawa do bycia zapomnianym” tzn. prawa osób fizycznych do spowodowania usunięcia ich danych oraz zaprzestania ich przetwarzania, jeżeli przestały być potrzebne do zgodnych z prawem celów np. sytuacja, w której przetwarzanie odbywa się na podstawie zgody danej osoby, jeśli ta wycofała swoją zgodę lub skończył się okres przechowywania danych

www.giodo.gov.pl

Dyskusja nad zmianami w europejskich ramach ochrony danych osobowych (4)• uzupełnienie praw osób, których dane dotyczą przez zapewnienie

„przenoszalności danych” tzn. wyraźne wskazanie praw osób fizycznych do wycofania swoich danych (np. zdjęć lub listy przyjaciół) z jednej aplikacji lub usługi , tak by można je było przenieść do innej, w zakresie, w jakim jest to technicznie możliwe, bez przeszkód ze strony administratorów danych

• Komisja rozważy:• czy należy uznać inne kategorie danych np. dane genetyczne, za

„dane szczególnie chronione”,• dalszą harmonizację warunków umożliwiających przetwarzanie

kategorii danych szczególnie chronionych,• znaczenie zgody i zgody dorozumianej zwłaszcza w środowisku

internetowym,• system notyfikacji (art. 18 i 19 dyrektywy) – zharmonizowany i

uproszczony system doprowadziłby do ograniczenia kosztów, obciążeń administratorów, zwłaszcza dla podmiotów działających w wielu państwach członkowskich

Biuro Generalnego Inspektora

Ochrony Danych Osobowych

ul. Stawki 2, 00-193 Warszawa

tel. (0 22) 860 70 81

fax. (0 22) 860 70 86

[email protected]

www.giodo.gov.pl

Dziękuję za uwagę

Zasady ochrony danych osobowych

Documents

Transcript of Zasady ochrony danych osobowych