Czy moja firma jest zobowiązana do spełnienia wymagań ustawy o ochronie danych osobowych ?
Tak, w przypadku gdy w ramach prowadzonej działalności gospodarczej przetwarzane są dane osobowe. Wystarczy, że korzystają Państwo z e-maila czy zatrudniają Pracownika – są to już przesłanki zobowiązujące do spełnienia ustawowych obowiązków. Wyłączone z obowiązku przestrzegania przepisów ustawy o ochronie danych osobowych zostały osoby fizyczne, jeżeli przetwarzają dane osobowe wyłącznie w celach osobistych lub domowych. Ponadto prowadzenie działalności literackiej, artystycznej czy prasowej również nie jest objęte ustawą o ochronie danych osobowych.
Prowadzę jednoosobową działalność gospodarczą, czy jestem zobowiązany do spełnienia wymagań ustawy o ochronie danych osobowych ?
Bez względu na formę prowadzonej działalności, każdy kto przetwarza dane osobowe i nie jest zwolniony na mocy ustawy z jej przestrzegania jest jednocześnie zobowiązany do wdrożenia i przestrzegania wymagań prawnych dotyczących ochrony danych osobowych. Sprowadza się to m.in. do opracowania Polityki bezpieczeństwa oraz Instrukcji Zarządzania Systemem Informatycznym czy też wdrożenia warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych z uwzględnieniem zagrożeń oraz kategorii danych objętych ochroną.
Jestem przedsiębiorcą i przetwarzam dane osobowe wyłączenie w celu wystawienia faktury. Czy jestem zobowiązany do spełnienia wymagań ustawy o ochronie danych osobowych ?
W sytuacji gdy przedsiębiorca przetwarza dane osobowe wyłącznie w celu wystawienia faktury, wówczas jest on zwolniony ze zgłoszenia zbioru danych osobowych do GIODO. Jednakże przedsiębiorca jest zobowiązany do posiadania Polityki Bezpieczeństwa oraz Instrukcji Zarządzania Systemem Informatycznym. Jeżeli te same dane, które służą wyłącznie do wystawienia faktury, zostaną w dalszej kolejności wykorzystywane do takich celów przetwarzania jak choćby dochodzenia roszczeń czy przeprowadzenie analizy rentowności działania, dane w ten sposób przetwarzane należy zgłosić w postaci zbioru danych do GIODO
Czy zawsze muszę zgłaszać zbiory danych osobowych do GIODO ?
Nie zawsze. W sytuacji gdy, przedsiębiorca – Administrator Danych Osobowych (ADO), powoła Administratora Bezpieczeństwa Informacji (ABI), wówczas nie ma konieczności zgłaszania zbiorów danych osobowych do GIODO. W tym przypadku ADO zobowiązany jest zgłosić ABI do GIODO. Wyjątek ten nie dotyczy zbiorów danych wrażliwych.
Jakie konsekwencje prawne są możliwe do poniesienia w przypadku niedostosowanie się do wymogów prawnych dotyczących ochrony danych osobowych ?
Zaniechanie realizacji podstawowych obowiązków wynikających z prawa ochrony danych osobowych może skutkować nawet popełnieniem przestępstwa. Zgodnie z art. 49 ustawy o ochronie danych osobowych, każdy kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
Od kiedy będziemy zobowiązani by stosować nowe, zmienione przepisy prawa w zakresie ochrony danych osobowych?
W dniu 25 maja 2018 r. rozpoczyna się stosowanie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Rozporządzenie będzie regulowało kwestie ochrony danych osobowych w całej Unii Europejskiej.
Jakie kary mogą zostać nałożone na przedsiębiorcę w przypadku niedostosowanie się do nowych przepisów regulujących ochronę danych osobowych?
Organ nadzorczy państwa członkowskiego Unii Europejskiej będzie mógł nałożyć karę za nieprawidłowe przetwarzanie danych osobowych – zależnie od rodzaju naruszenia – w wysokości do 20 milionów euro lub 4% całkowitego rocznego światowego obrotu z poprzedniego roku kalendarzowego.
Co to są dane osobowe ?
W rozumieniu Ustawy o ochronie danych osobowych za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą fizyczną możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio – w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne; informacji nie uważa się za umożliwiającą zidentyfikowanie, jeśli proces ten wymagałby nadmiernych środków, kosztów, czasu lub działań.
Co to są dane wrażliwe ?
Są to dane uważane za szczególnie chronione. Katalog danych wrażliwych obejmuje: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Przetwarzanie danych szczególnie chronionych jest dopuszczalne m.in. jeśli osoba, której dane dotyczą, wyrazi na to zgodę na piśmie lub jeśli przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony.
Kiedy mówimy o przetwarzaniu danych osobowych ?
Przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Pojęcie to jest bardzo istotne dla przedsiębiorców, ponieważ są oni zobowiązani wykazać podstawę prawną dla każdej operacji przetwarzania danych osobowych. Przetwarzanie może być prowadzone raz lub kilka razy, w sposób identyczny lub kompatybilny technologicznie. Bardzo istotny jest fakt, że pojedyncza (jednorazowa) operacja wykonana na danych, np. ich samo przechowywanie traktowane jest już jako ich przetwarzanie.
Jakie przepisy prawne regulują ochronę danych osobowych ?
  • Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j.: Dz. U. 2016 r. poz. 922)
  • Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100 poz. 1024)
  • Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz.U. 2014 poz. 1934)
  • Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz.U. 2015 poz. 719)
  • Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. 2015 poz. 745)

Kto jest zobowiązany do ochrony danych osobowych ? Jaki jest zakres Ustawy o ochronie danych osobowych ?
Podmioty zobowiązane do stosowania Ustawy o ochronie danych osobowych są to podmioty prywatne i publiczne. Podmioty publiczne są to organy państwowe, jednostki samorządu terytorialnego, jednostki organizacyjne państwowe i komunalne. Podmioty prywatne są to:
  • osoby fizyczne,
  • osoby prawne (m.in. spółki z ograniczoną odpowiedzialnością, spółki akcyjne, fundacje, partie polityczne, szkoły wyższe, jednostki samorządu terytorialnego),
  • jednostki organizacyjne nie posiadające osobowości prawnej, którym odrębna ustawa przyznaje zdolność prawną (m.in. spółka jawna, spółka partnerska, wspólnota mieszkaniowa, spółki komandytowe i komandytowe -akcyjne),
  • pomioty niepubliczne realizujące zadania publiczne (np. szpitale niepubliczne).

Kim jest ADO, ABI i ASI?

Administrator danych (w skrócie ADO – Administrator Danych Osobowych) – Administratorami danych mogą być organy władzy publicznej i samorządowej, podmioty gospodarcze lub osoby fizyczne prowadzące działalność gospodarczą. Administrator danych decyduje o celach i środkach przetwarzania danych. Administrator danych jest odpowiedzialny za przetwarzanie danych osobowych i za nadzorowanie tego przetwarzania.

Administrator Bezpieczeństwa Informacji (ABI) - może zostać powołany przez ADO. Jego zadaniem jest zapewnianie przestrzegania przepisów o ochronie danych osobowych oraz prowadzenie rejestrów zbiorów danych osobowych przetwarzanych przez ADO.

Administrator Systemu Informatycznego (ASI) - może zostać ustanowiony przez ADO by wspomóc ABI w zakresie zadań związanych z obsługą i zapewnianiem zgodności systemów informatycznych z prawem ochrony danych osobowych. Kiedy mówimy o spełnieniu zasady legalności przetwarzania danych osobowych?

W rozumieniu Ustawy o ochronie danych osobowych przetwarzanie danych osobowych (zwykłych) jest prawnie dopuszczalne tylko wtedy, gdy:

  • osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,
  • jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
  • jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
  • jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
  • jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. W tym przypadku za prawnie usprawiedliwione cele uważa się marketing bezpośredni własnych produktów i usług administratora lub dochodzenie roszczeń wynikających z działalności gospodarczej.

Przesłanki te są rozdzielne. Aby wykorzystanie danych można było uznać za legalne, wystarczy spełnienie jednej z nich – nie ma potrzeby spełniania wszystkich przesłanek łącznie. Zatem jeśli nie da się zrealizować uprawnienia lub spełnić obowiązku wynikającego z przepisu prawa bez wykorzystania danych, nie jest wymagana dodatkowa zgoda na ich wykorzystanie, nie ma też potrzeby udowadniania, że przetwarzanie prowadzone jest dla dobra publicznego lub jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora danych.

Kiedy mówimy o legalnym przetwarzaniu danych osobowych ?
W rozumieniu Ustawy o ochronie danych osobowych przetwarzanie danych jest prawnie dopuszczalne tylko wtedy, gdy:
  • osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,
  • jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
  • jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
  • jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
  • jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. W tym przypadku za prawnie usprawiedliwione cele uważa się marketing bezpośredni własnych produktów i usług administratora lub dochodzenie roszczeń wynikających z działalności gospodarczej.

Przesłanki te są rozdzielne. Aby wykorzystanie danych można było uznać za legalne, wystarczy spełnienie jednej z nich, nie wszystkich łącznie, zatem jeśli nie da się zrealizować uprawnienia lub spełnić obowiązku wynikającego z przepisu prawa bez wykorzystania danych, nie jest wymagana dodatkowa zgoda na ich wykorzystanie, nie ma też potrzeby udowadniania, że przetwarzanie prowadzone jest dla dobra publicznego lub jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów.
Czy zawsze należy otrzymać zgodę na przetwarzanie danych osobowych ?
Zgoda na przetwarzanie danych osobowych nie zawsze jest potrzebna administratorowi danych. Jeżeli zawiera on umowę z osobą, której dane dotyczą – wówczas podstawą przetwarzania danych tej osoby jest fakt zawarcia i realizacji umowy. Zamieszczanie zgody wszędzie tam gdzie zbieramy dane osobowe jest błędem jeżeli posiadamy inną przesłankę legalizującą przetwarzanie danych osobowych. Podstawowym problemem jest uprawnienie powodujące, że zgodę można w każdej chwili odwołać, co może wprowadzać podmiot danych w błędne przekonanie co do zakresu przysługującej mu autonomii informacyjnej. Projektując proces przetwarzania danych, należy zweryfikować czy zamiast pobierania zgody nie jest możliwe powołanie się na inną przesłankę legalizującą przetwarzanie danych np. wykonanie umowy, której osoba jest stroną.
Zgoda na przetwarzanie danych osobowych może przybrać być także formę „zapłaty” za usługę lub towar – szczególnie gdy usługa świadczona jest nieodpłatnie, a zgoda traktowana jest jako swoiste świadczenie wzajemne. Sytuacja taka ma miejsce często choćby w serwisach oferujących darmowe konto poczty elektronicznej w zamian za zgodę na przetwarzanie danych. Zgoda jednak musi być dobrowolna, czego przykładem jest pozostawienie okienka akceptacji (tzw. checkboxa) domyślnie niezaznaczonego. Z treści zgody na przetwarzanie danych osobowych powinno wynikać, w jakim celu, zakresie i przez kogo dane osobowe będą przetwarzane – jest to element tzw. obowiązku informacyjnego, który realizuje ADO. Wyrażający zgodę musi mieć pełną świadomość tego, na co się godzi.
Kto to jest GIODO ?
Generalny Inspektor Ochrony Danych Osobowych (GIODO) – centralny organ administracji właściwy w sprawach ochrony danych osobowych. Do kompetencji GIODO należy m.in. wymienić:
  • przeprowadzanie kontroli,
  • wydawanie decyzji administracyjnych
  • prowadzenie rejestru administratorów bezpieczeństwa informacji
  • prowadzenie rejestru zbiorów danych osobowych
  • rozpatrywanie skarg w zakresie nieprawidłowego przetwarzania danych osobowych.

Szczegółowych informacji w zakresie ochrony danych osobowych można zaczerpnąć na stronie www.giodo.gov.pl.
Kto to jest odbiorca danych ?
Przez odbiorcę danych (odbiorca) - rozumie się każdego, któremu udostępnia się dane osobowe. Odbiorcą danych nie jest:
  • osoba, której dane dotyczą,
  • osoba upoważniona do przetwarzania danych,
  • podmiot, któremu powierzono przetwarzanie danych osobowych (procesor),
  • przedstawiciel podmiotu zagranicznego, który znajduje się poza Europejskim Obszarem Gospodarczym
  • organ państwowy lub organ samorządu terytorialnego, któremu dane są udostępniane w związku z prowadzonym postępowaniem

Odbiorcą danych nie będzie np.: pracownik upoważniony do przetwarzania danych, zleceniobiorca przetwarzający dane osobowe w ramach zlecenia, osoba której dane dotyczą, komornik w postępowaniu windykacyjnym.

Jaka jest różnica pomiędzy udostępnieniem a powierzeniem danych osobowych?
Osoba, której udostępnia się dane osobowe może w rozumieniu ustawy mieć status odbiorcy danych, a podmiot, któremu powierza się przetwarzanie danych osobowych ma status tzw. procesora. Procesor nie decyduje o celach i środkach przetwarzania danych osobowych – podmiot, któremu dane osobowe udostępniono natomiast samodzielnie decyduje o celach i środkach przetwarzania.
Kto to jest osoba upoważniona ?
Osoba upoważniona jest to osoba posiadająca upoważnienie do przetwarzania danych osobowych wydane przez ADO, która może na podstawie tego upoważnienia przetwarzać dane osobowe w sposób w nim określonym – szczególnie w ramach zakresu i celu wskazanego w upoważnieniu.
Kiedy muszę podpisać umowę powierzenia ?
Umowę powierzenia należy zawrzeć, jeżeli do wykonania przedmiotu umowy na rzecz innego podmiotu niezbędne są do przeprowadzenia operacje na danych osobowych lub gdy zleceniobiorca musi zapoznać się z danymi osobowymi administrowanymi przez zleceniodawcę, aby poprawnie wykonać zlecenie. Powierzenie oznacza, że o celach i środkach przetwarzania decyduje administrator danych, a procesor jest w pełni związany jego decyzjami.
Przykłady umów powierzenia:
  • księgowość zlecana firmie zewnętrznej,
  • niszczenie dokumentów,
  • mailing elektroniczny,
  • poczta elektroniczna na serwerze zewnętrznym,
  • korzystanie z oprogramowania w chmurze np. aplikacje chmurowe czy dysk internetowy,
  • hosting,
  • usługi informatyczne zlecane firmie zewnętrznej

Jeśli celem zlecenia nie są operacje na danych, to nie należy zawierać umowy powierzenia, lecz umowę o poufności.
Co to jest zbiór danych osobowych ?
Przez zbiór danych osobowych - rozumie się każdy posiadający strukturę zestaw danych
o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Przykłady zbiorów danych:
  • zbiór danych osobowych aktualnych, potencjalnych i byłych podwykonawców
    i kontrahentów organizacji
  • zbiór danych osobowych Klientów organizacji
  • zbiór danych osobowych dłużników organizacji
  • dane osobowe pracowników organizacji
  • zbiór danych osób, które doznały wypadku przy pracy
  • dziennik korespondencji
Kogo dotyczy obowiązek informacyjny ?
Ustawa o ochronie danych osobowych nakłada na każdego ADO tzw. "obowiązek informacyjny". Aktualnie regulują go art. 24 i 25 ustawy o ochronie danych osobowych. Obowiązek informacyjny różni się w zależności od podmiotu, od którego ADO pozyskał dane osobowe – możemy wskazać iż występuje w dwóch wariantach:
  1. zebranie danych osobowych bezpośrednio od osoby której dotyczą,
  2. zebranie danych osobowych nie od osoby której one dotyczą.

W przypadku zbierania danych bezpośrednio od osoby, której te dane dotyczą ADO zobowiązany jest poinformować ją najpóźniej w momencie zbierania danych o:
  1. adresie siedziby i pełnej nazwie (w przypadku, gdy ADO jest osoba fizyczna – adresie zamieszkania, imieniu i nazwisku)
  2. celu zbierania danych, zwłaszcza o znanych lub przewidywanych odbiorcach lub kategoriach odbiorców danych
  3. prawie dostępu do treści swoich danych oraz możliwości ich poprawiania
  4. dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje o jego podstawie prawnej

Obowiązek powyższy nie powstaje, jeżeli przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania lub, osoba, której dane dotyczą, posiada informacje, o których mowa powyżej.
W drugim przypadku – zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych winien wypełnić obowiązek informacyjny określony w art. 25 ustawy o ochronie danych osobowych i poza informacjami wskazanymi powyżej, udzielić osobie, której dane dotyczą informacji o źródle danych, prawie dostępu do treści swoich danych oraz ich poprawiania i prawie do wniesienia pisemnego, umotywowanego żądania zaprzestania przetwarzania danych ze względu na szczególną sytuację tej osoby oraz prawie wniesienia sprzeciwu wobec przetwarzania jej danych dla celów marketingowych i przekazywania ich innym administratorom. Bardzo istotne jest wypełnienie obowiązku informacyjnego niezwłocznie po zapisaniu zebranych danych w sposób umożliwiający ich dalsze przetwarzanie.
W jaki sposób ADO zobowiązany jest zabezpieczać dane osobowe ?
Administrator danych zobowiązany jest między innymi do:
  • prowadzenia dokumentacji opisującej sposoby przetwarzania danych osobowych oraz wprowadzone środki techniczne i organizacyjne. Dokumentacja ta najczęściej składa się na Politykę Bezpieczeństwa i Instrukcję Zarządzania Systemem Informatycznym;
  • zapewniania odpowiedniego zabezpieczenia, nadzoru nad danymi i ich rozliczności - w szczególności nad tym, kto i kiedy wprowadził dane do zbioru i komu są one udostępniane;
  • wydawania upoważnień osobom mającym dostęp do danych osobowych;
  • zawarcia umów powierzenia przetwarzania danych osobowych, które będą gwarantować należyty poziom ochrony danych przez podwykonawców ADO.


Szczegółowe warunki zabezpieczania danych osobowych określone są w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Rozporządzenie to określa również środki bezpieczeństwa, jakie winny być zastosowane do ochrony danych. Wybór tych środków zależy od poziomu bezpieczeństwa danych w systemie informatycznym zastosowanym dla danego zbioru danych. Zapraszamy do zapoznania się z ofertą Spółki SALVIO. Specjalizujemy się w dostarczaniu wsparcia podmiotom przetwarzającym dane osobowe, które pozwala spełniać ustawowe obowiązki ochrony danych osobowych.