Co do zasady, każdy podmiot przetwarzający dane osobowe w ramach prowadzonej działalności gospodarczej zobowiązany jest do spełnienia wymagań wynikających z ustawy o ochronie danych osobowych.

Wyłączenie z obowiązku przestrzegania przepisów o ochronie danych osobowych obejmuje osoby fizyczne, jeżeli przetwarzają dane osobowe wyłącznie w celach osobistych lub domowych. Ponadto prowadzenie działalności literackiej, artystycznej czy prasowej również nie jest objęte ustawą o ochronie danych osobowych.

Poniżej zamieszczamy wykaz aktualnie obowiązujących aktów prawnych, które są najczęściej stosowanymi przepisami prawa ochrony danych osobowych:

  1. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j.: Dz. U. 2016 r. poz. 922)
  2. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100 poz. 1024)
  3. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz.U. 2014 poz. 1934)
  4. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz.U. 2015 poz. 719)
  5. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. 2015 poz. 745)
img

Bezpieczeństwo danych osobowych

Bezpieczeństwo danych osobowych stanowi rezultat procesu wdrożenia i utrzymania środków technicznych i organizacyjnych, zapewniających ochronę danym osobowym przetwarzanym w ramach zbiorów administrowanych przez ADO oraz powierzonych mu do przetwarzania przez osoby trzecie. Zapewnienie bezpieczeństwa danych osobowych powinno każdorazowo być adekwatne do poziomu ryzyka oszacowanego odpowiednio do zagrożeń bezpieczeństwa oraz kategorii danych objętych ochroną, a w szczególności zapobiegać:

  • przetwarzaniu danych osobowych w sposób naruszający przepisy prawa,
  • naruszeniu poufności, integralności i rozliczalności danych osobowych,
  • udostępnianiu danych osobowych osobom nieupoważnionym,
  • przejęciu danych osobowych przez osoby nieuprawnione,
  • przetwarzaniu danych osobowych przez osoby nieupoważnione, a zwłaszcza ich pozyskaniu, usunięciu, utracie, uszkodzeniu lub zniszczeniu przez te osoby.

Przetwarzanie danych osobowych

  1. Przetwarzanie danych osobowych jest dopuszczalne tylko wtedy, gdy:
    • osoba, której dane dotyczą wyrazi na to zgodę, chyba, że chodzi o usunięcie dotyczących jej danych,
    • jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
    • jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą
    • jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego
    • jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
  2. Przetwarzanie danych osobowych przez osoby upoważnione w ramach czynności dokonywanych na rzecz podmiotu jest możliwe tylko i wyłącznie do celów, dla jakich te dane osobowe były, są lub będą zbierane i przetwarzane. Cel przetwarzania powinien być skorelowany z podstawą przetwarzania. Po wykorzystaniu, dane osobowe powinny być przechowywane w sposób uniemożliwiający identyfikację osób, których dotyczą.
  3. W przypadku konieczności udostępnienia dokumentów lub danych, które zawierają dane osobowe niemające bezpośredniego związku z celem udostępnienia, należy bezwzględnie dokonać anonimizacji tych danych osobowych.
img
img

Pozyskiwanie danych osobowych

  1. W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o:
    • adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku;
    • celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych;
    • prawie dostępu do treści swoich danych oraz ich poprawiania;
    • dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
  2. Wyrażenie zgody na przetwarzanie danych osobowych powinno następować w sposób odrębny dla każdego celu przetwarzania oraz w sposób w pełni dobrowolny.
  3. W przypadku zbierania danych osobowych nie bezpośrednio od osoby, której one dotyczą, osobę tę należy dodatkowo poinformować o źródle danych oraz o uprawnieniach do wniesienia pisemnego, umotywowanego żądania zaprzestania przetwarzania danych osobowych lub prawa wniesienia sprzeciwu wobec przetwarzania danych.
  4. Dane osobowe powierzane w związku z realizacją usług świadczonych przez podmiot trzeci muszą być przetwarzane na podstawie pisemnej umowy powierzenia przetwarzania danych osobowych lub odpowiednich, pisemnych postanowień w umowie zawartej z tym podmiotem. Umowa ta określa wyłączny cel i zakres przetwarzania danych osobowych, do którego został upoważniony podmiot, któremu powierzono dane do przetwarzania (procesor).

Rejestracja zbiorów danych osobowych

  1. Każdy Administrator Danych Osobowych by przetwarzać w sposób zgodny z prawem dane osobowe jest zobowiązany do wywiązania się z obowiązku rejestracji. Obowiązek rejestracji może zostać spełniony przez Administratora Danych Osobowych na dwa sposoby:
    a. poprzez rejestrację zbiorów danych osobowych, które Administrator Danych Osobowych przetwarza w toku swojej działalności
    b. poprzez powołanie i zgłoszenie do GIODO Administratora Bezpieczeństwa Informacji, który na podstawie przepisów ustawy samodzielnie prowadzi rejestr zbiorów danych osobowych przetwarzanych przez ADO.
  2. Część ze zbiorów danych osobowych, które w wariancie „a” ADO jest zobowiązany zgłosić do rejestracji może podlegać ustawowemu zwolnieniu – np. zbiór danych przetwarzanych w związku z zatrudnieniem lub świadczeniem usług na rzecz ADO.
  3. Już sam fakt zgłoszenia do rejestracji zbiorów danych osobowych upoważnia ADO do rozpoczęcia przetwarzania danych osobowych w ramach takiego zbioru – od momentu zgłoszenia ADO może legalnie przetwarzać dane osobowe. Wyjątkiem są jednak zbiory danych osobowych wrażliwych niezwolnione z rejestracji, w ramach których można rozpocząć przetwarzanie danych osobowych dopiero po zarejestrowaniu zbioru.
  4. Wariant „b” czyli powołanie i zgłoszenie ABI jest możliwością, którą ustawodawca daje każdemu ADO. Powołanie ABI jest równoznaczne z obowiązkiem prowadzenia przez niego zbiorów, które w tym przypadku są zwolnione z rejestracji. Mimo wszystko ustawa przewiduje jednak szczególne przypadki, w których rejestracja pewnych zbiorów danych osobowych – mimo powołania ABI – nadal będzie konieczne.
img
img

Powierzenie przetwarzania danych osobowych

  1. W toku swojej działalności ADO może korzystać z usług podmiotów trzecich, które będą podejmować określone przez działania w celach wynikających ze zleconych przez ADO czynności. Sytuacja taka jest normalnym zjawiskiem gospodarczym polegającym na outsorcingu usług, które dla ADO mogą wykonywać podmioty trzecie – często lepiej i taniej niż w przypadku samodzielnej próby ich realizacji przez ADO.
  2. Ustawodawca przewidział możliwość istnienia takich sytuacji i określił je mianem „powierzenia przetwarzania”. ADO zasadniczo posiada pełną swobodę w zakresie decydowania o tym, czy zleci jakiemuś podmiotowi trzeciemu (tzw. procesorowi) określone czynności przetwarzania. W przypadku decyzji o powierzeniu przetwarzania danych osobowych ustawodawca wymaga, aby pomiędzy ADO a podmiotem, któremu powierzył on przetwarzanie danych osobowych została zawarta pisemna umowa powierzenia przetwarzania danych osobowych.
  3. Zawarta umowa musi określać cel powierzenia i jego zakres. Umowa powierzenia przetwarzania powinna rozstrzygać w szczególności, co stanie się w przypadku dalszego powierzenia przetwarzania (podpowierzenia) danych osobowych przez procesora.
  4. Należy pamiętać, że powierzenie przetwarzania danych osobowych przez ADO procesorowi nie zwalnia ADO z odpowiedzialności za powierzone do przetwarzania danych osobowych – ADO nadal odpowiada za nie jak za dane przetwarzane we własnej organizacji. Z tego też powodu ADO powinien za pomocą odpowiednio skonstruowanych uprawnień w umowie zagwarantować sobie prawo do egzekwowania należytego poziomu zabezpieczeń danych osobowych powierzonych procesorowi.

Zaufali Nam:

Zainteresowany?