Wersja polska | English version | Deutsche version
X Zamknij
Ta witryna używa plików cookies, aby ułatwić użytkownikom korzystanie z tego serwisu oraz do celów statystycznych. Brak zmiany ustawień przeglądarki w zakresie użycia plików cookie, oznacza zgodę na ich użycie oraz zapisanie w pamięci urządzenia. Każdy ma możliwość samodzielnego zarządzania cookies, poprzez zmianę ustawień przeglądarki.
  • Zaufaj przewodnikom

  • Wytyczamy nowe szlaki

  • Podejmujemy wyzwania

  • Wspólnymi siłami

  • Zaufaj przewodnikom

  • Wytyczamy nowe szlaki

  • Podejmujemy wyzwania

  • Wspólnymi siłami

Zasady przetwarzania danych osobowych oraz ich zabezpieczenie


Każdy podmiot mający dostęp do danych osobowych zobowiązany jest do przetwarzania tych danych w sposób przewidziany szczegółowo przez przepisy prawa. Sposoby ochrony interesów osób, których dane osobowe dotyczą oraz zasady ich zabezpieczania przedstawia pokrótce niniejszy artykuł.

Przed rozpoczęciem omawiania poszczególnych zasad przetwarzania danych osobowych, niezbędne jest wskazanie podstawowych definicji zawartych w ustawie o ochronie danych osobowych.

Dane osobowe

W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest zaś osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów , czasu lub działań (art. 6 ustawy o ochronie danych osobowych, dalej ustawa).

Inne istotne definicje

Zbiór danych - każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

Przetwarzanie danych - jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
System informatyczny - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.

Administrator danych - organ, jednostka organizacyjna, podmiot lub osoba, decydujące o celach i środkach przetwarzania danych osobowych.

Zgoda osoby, której dane dotyczą - oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści.

Zasady przetwarzania danych 

Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były:

  1. przetwarzane zgodnie z prawem,
  2. zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,
  3. merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,
  4. przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

Przetwarzanie zgodnie z prawem

Nie chodzi tu o zgodność wyłącznie z niniejszą ustawą (art. 23), ale z wszelkimi normami prawa, zarówno tymi już istniejącymi w momencie wejścia w życie ustawy, jak i tymi, które dopiero później zostały wprowadzone do porządku prawnego. Zgodność z prawem dotyczy przestrzegania zarówno przepisów prawa materialnego, jak i przepisów dotyczących postępowania.

Zbieranie danych dla oznaczonych celów

Z zastrzeżenia przewidującego obowiązek wyraźnego oznaczenia celu, dla którego dane mają być przetwarzane, wyprowadzane są wnioski, iż:

  • oznaczenie powinno z reguły być zrealizowane w formie pisemnej, gdyż zdecydowanie ułatwia to dokonywanie później ocen co do przestrzegania "zasady związania celem";
  • wszelkie niejasności w zakresie wyznaczenia celu, jego zakresu, należy interpretować na korzyść osoby, której dane są przetwarzane (lub z drugiej strony: na niekorzyść administratora), w tym znaczeniu, że osoba ta powinna mieć możność zadecydowania o "spornym" wykorzystaniu jej danych.

Merytoryczna poprawność i adekwatność w stosunku do celów

Jak się zauważa w literaturze, wymóg zapewnienia merytorycznej poprawności danych osobowych przez administratora wiąże się z obowiązkiem uwzględniania przez niego m.in. następujących okoliczności:

  • znaczenia ewentualnej niedokładności danych z perspektywy osoby, której one dotyczą,
  • oceny wiarygodności źródła pozyskiwania danych,
  • konieczności wypracowania trybu weryfikowania prawdziwości danych w odniesieniu do poszczególnych ich kategorii oraz zasad postępowania w przypadku stwierdzenia nieprawdziwości danych; chodzi tu m.in. o powiadomienie o błędnej informacji osób trzecich, którym dane przekazano.

Wspomniany wymóg "aktualności danych" należy w istocie traktować jako zobowiązanie administratora danych do regularnego (systematycznego) przeglądu swych zbiorów danych osobowych pod kątem ich aktualizacji. Należy jednak przyjąć, że zobowiązanie to nie ma charakteru bezwzględnego w tym sensie, że aktualizacja danych jest wymagana jedynie wówczas, gdy ze względu na cel przetwarzania danych jest to uzasadnione.

Przechowywanie nie dłużej niż jest to niezbędne

W przypadku, gdy zapisanie (zgromadzenie) danych ma swe źródło w relacji istniejącej między danymi osobowymi (czy osobą) a administratorem danych, należy przyjąć obowiązek ich usunięcia w sytuacji wygaśnięcia tej relacji. Przykładowo dotyczy to sytuacji ustania stosunku zatrudnienia lub zaprzestania dokonywania transakcji z daną osobą. Wskazuje się przy tym, że niekiedy powstaje wówczas obowiązek usunięcia jedynie części danych ze względu na celowość utrzymania informacji koniecznych dla obrony interesów administratora w przypadku ewentualnego podniesienia roszczeń przeciwko niemu przez daną osobę.

Zabezpieczenie danych

Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz ww. środki (art. 36 ustawy).

Administrator danych:

  • wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, chyba że sam wykonuje te czynności,
  • upoważnia inne osoby do przetwarzania danych,
  • zapewnia kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane,
  • prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:   
    1. imię i nazwisko osoby upoważnionej,
    2. datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,
    3. identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.

Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.

Środki bezpieczeństwa, sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych, podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne określa Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (zob. niżej).

Dokumentacja 

Zgodnie z powyższym rozporządzeniem dokumentacja przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych dzieli się na:

  • politykę bezpieczeństwa,
  • instrukcję zarządzania systemem informatycznym.

Polityka bezpieczeństwa zawiera w szczególności:

  • wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
  • wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
  • opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
  • sposób przepływu danych pomiędzy poszczególnymi systemami;
  • określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Instrukcja zawiera w szczególności:

  1. procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
  2. stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
  3. procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
  4. procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
  5. sposób, miejsce i okres przechowywania:
    o elektronicznych nośników informacji zawierających dane osobowe,
    o kopii zapasowych, o których mowa w pkt 4,
  6. sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego;
  7. sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4 rozporządzenia;
  8. procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Poziomy bezpieczeństwa

Rozporządzenie wprowadza trzy poziomy bezpieczeństwa:

  1. podstawowy;
  2. podwyższony;
  3. wysoki.

Poziom co najmniej podstawowy stosuje się, gdy:

  • w systemie informatycznym nie są przetwarzane dane, o których mowa w art. 27 ustawy (dane wrażliwe, np. pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne, stan zdrowia, itp.), oraz
  • żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną.

Poziom co najmniej podwyższony stosuje się, gdy:

  • w systemie informatycznym przetwarzane są dane osobowe, o których mowa w art. 27 ustawy, oraz
  • żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną.

Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną.

Podstawa prawna:

  • Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. 2002 r., Nr 101, poz. 926, ze zmianami);
  • Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. 2004 r., Nr 100, poz. 1024)

Kraków, 20.05.2009 r.

Artykuł zamieszczony dzięki uprzejmości serwisu e-prawnik.pl 





Podobne Artykuły



Konsultacje on-line

Jeżeli powyższa porada nie wyczerpała interesującego Państwa tematu proszę zadać pytanie prawnikowi specjalizującemu się w danej dziedzinie




Komentarze

Dodaj komentarz:

Imię/email:

Komentarz:


 



Strona główna  |   Aktualności  |   Kancelaria  |   Oferta  |   Zespół  |   Klienci  |   Publikacje  |   Kariera  |   Pro Bono  |   Blogi  |   Kontakt

Siedziba: Plac Szczepański 8 | 31-011 Kraków | tel. +48 12 422 44 59 | fax. +48 12 422 49 39
Biuro: Ul. Pługa 1/2 | 02-047 Warszawa | tel. +48 22 114 33 62 | tel./fax. +48 22 251 89 45