Cognity Ochrona Danych Osobowych

Ochrona Danych Osobowych w
Firmie
Maciej Kawecki
WPiA Uniwersytet Jagielloński w Krakowie

Szanowni Państwo,
W ramach 6. Ogólnopolskiego Tygodnia Kariery Cognity Szkolenia
zrealizowało bezpłatne szkolenie Ochrona Danych Osobowych w Firmie.
Zapraszamy do prezentacji przygotowanej przez pana Macieja Kaweckiego,
prowadzącego szkolenie, która przybliży zainteresowanym tematykę
omawianą na szkoleniu.
Więcej informacji o kursach z zakresu Ochrony Danych Osobowych dostępne
jest na stronie www.cognity.pl
Po informację o bezpłatnych warsztatach, szkoleniach i kurach realizowanych
w Cognity zapraszamy na nasz profil na Facebooku.

Część I
Geneza i podstawy prawne ochrony
danych osobowych

Geneza
Cel ochrony danych osobowych:
• Instrument niezbędny dla poszanowania podstawowych,
uznanych powszechnie praw i wolności, zwłaszcza prawa do
prywatności (art. 47 i 51 Konstytucji RP);
• Instrument ochrony interesów użytkowników najnowszej
technologii informatycznej i Internetu, w tym różnych instytucji
publicznych. Zapewnienie niezbędnego do ich działań zaufania i
bezpieczeństwa.
(Zob. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Warszawa Kraków
2004, s. 52. )
Kurs Ochrona Danych Osobowych

Źródła prawa – ochrona danych osobowych
Prawo unijne
• Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia
24 października 1995r. w sprawie ochrony osób fizycznych w
zakresie przetwarzania danych osobowych i swobodnego
przepływu tych danych.
• Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia
12 lipca 2002 r. w sprawie przetwarzania danych osobowych oraz
ochrony prywatności w sektorze komunikacji elektronicznej.
• Rozporządzenie Nr 45/2001 Parlamentu Europejskiego i Rady
z dnia 18 grudnia 2000r. o ochronie osób fizycznych w związku
z przetwarzaniem danych osobowych przez instytucje i organy
wspólnotowe i o swobodnym przepływie takich danych.

Źródła prawa – ochrona danych osobowych
Prawo krajowe
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
Akty wykonawcze
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji
z dnia 11 grudnia 2008r. w sprawie wzoru zgłoszenia
zbioru do rejestracji GIODO.
Rozporządzenie Prezydenta Rzeczypospolitej Polskiej z dnia 10 października
2011 r. w sprawie nadania statutu Biura GIODO.
Rozporządzenie ministra spraw wewnętrznych i administracji z dnia 29
kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych
oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać
urządzenia i systemy informatyczne służące do przetwarzania danych
osobowych.

Część II
Podstawowe pojęcia

Administrator danych osobowych

Podstawowe pojęcia- administrator danych osobowych
Art. 3 oraz art. 7 ust. 4 ustawy z 29 sierpnia 1997r. o ochronie
danych osobowych.
Administratorem danych osobowych jest każdy:
- organ, jednostka organizacyjna lub podmiot,
- organ państwowy, organ samorządu terytorialnego, podmiot
niepubliczny realizujący zadania publiczne,
- państwowe i komunalne jednostki organizacyjne,
decydujący o celach i środkach przetwarzania danych osobowych
(w dyrektywie „with determines the purposes and means of the
processing of personal data”),
które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej
Polskiej.

Art. 7 Konstytucji RP „Organy władzy publicznej działają na
podstawie i w granicach prawa”.
„W państwie demokratycznym, w którym rządzi prawo, organy władzy publicznej mogą powstać tylko
na podstawie prawa, a normy prawne muszą określać ich kompetencje, zadania i tryb postępowania,
wyznaczając tym samym granice ich aktywności. Organy te mogą działać tylko w tych granicach” W.
Skrzydło, Komentarz do Konstytucji RP, Lex 2013, nr 144753.
„Ustawowego upoważnienia dla rady nie można domniemywać, szczególnie stosować dla ustalenia
zakresu upoważnienia wykładni celowościowej. Organy władzy publicznej, do których zalicza się
organy samorządu terytorialnego, zgodnie z art. 7 Konstytucji RP działają na podstawie i w granicach
prawa. Mogą działać w granicach wyznaczonych przez normy prawne określające ich kompetencje,
zadania i tryb postępowania, zatem tylko tam i o tyle o ile upoważnia prawo” Uchwała Regionalnej
Izby Obrachunkowej w Kielcach z dnia 15 maja 2013 r. 71/13.
„Każda norma kompetencyjna musi być tak realizowana, aby nie naruszała innych przepisów ustawy.
Zakres upoważnienia musi być zawsze ustalany przez pryzmat zasad demokratycznego państwa
prawnego, działania w graniach i na podstawie prawa oraz innych przepisów regulujących dana
dziedzinę” Rozstrzygnięcie nadzorcze Wojewody Lubelskiego z dnia 8 grudnia 2010 r.
NK.II.0911/361/10

Administratorem danych osobowych wykorzystywanych w zakresie
działalności prowadzonej przez przedsiębiorcę jest, co do zasady,
przedsiębiorca. Administratorem takich danych jest w szczególności
spółka z ograniczoną odpowiedzialnością, spółka akcyjna, spółka
jawna czy też spółka komandytowa. Tak więc administratorem
danych jest sama spółka prawa handlowego, nie zaś jej organy,
osoby zasiadające w organach tej spółki lub pełniące w niej funkcje
kierownicze.
W przypadku osoby prowadzącej działalność gospodarczą
pozostaje ona administratorem danych niezależnie od tego, czy
wyznaczy pracownika odpowiedzialnego za przetwarzanie danych
osobowych (tzw. administratora bezpieczeństwa informacji).
(źródło: http://www.giodo.gov.pl/317/id_art/1580/j/pl/)

Złożoność prawnych form działania podmiotów, niejednokrotnie
utrudnia wskazanie kto jest administratorem danych.
Wskazówki:
I.
Administratorem danych przetwarzanych przez organ administracji publicznej
nigdy nie jest osoba fizyczna np. Pan Kowalski pełniący funkcję kierownika
danego działu!!!
II.
Decydujące znaczenie będzie miała treść normy kompetencyjnej, uprawniającej
organ do przetwarzania danych, bądź wskazująca zadanie organu, którego
wykonanie nie byłoby możliwe,
bez przetwarzania danych.

III.
Należy zapoznać się z brzmieniem przepisów prawnych, mogących wyraźnie
wskazywać, kto pełni funkcję administratora
danych w danym przypadku.
Przykład: art. 80 a ustawy z 20 czerwca 1997r. Ustawy o ruchu drogowym
„Ewidencję prowadzi minister właściwy do spraw wewnętrznych w systemie
teleinformatycznym. W rozumieniu niniejszej ustawy minister ten jest
administratorem danych (…)”.
2002
IV.
Status administratora danych nie jest uzależniony od faktycznego przetwarzania
danych. Innymi słowy, administratorem danych może być podmiot, który w ogóle
nie posiada danych osobowych. Dla stwierdzenia posiadania takiego przymiotu
istotne jest bowiem faktyczne decydowanie o celach i środkach przetwarzania
danych osobowych (np. pomimo nieposiadania określonych danych – możliwość np.
ich żądania, gdy zajdzie taka potrzeba).

V.
Status administratora danych nie jest uzależniony od faktycznego
przetwarzania danych. Innymi słowy, administratorem danych może być
podmiot, który w ogóle nie posiada danych osobowych. Dla stwierdzenia
posiadania takiego przymiotu istotne jest bowiem faktyczne decydowanie
o celach i środkach przetwarzania danych osobowych (np. pomimo
nieposiadania określonych danych – możliwość np. ich żądania, gdy zajdzie taka
potrzeba).
VI.
W przypadku wszelkich podmiotów gospodarczych funkcjonujących w formie
spółek (w tym w formie spółki cywilnej) administratorem danych osobowych
jest spółka a nie jej organy ( m.in. Prezes, Zarząd Spółki).

VII.
W przypadku osób fizycznych prowadzących działalność gospodarczą,
administratorem danych osobowych jest osoba fizyczna, prowadząca
przedmiotowa działalność.

V.
W doktrynie prawa oraz praktyce orzeczniczej sądów oraz GIODO w wielu przypadkach
przesądzono, kto pełnić będzie funkcję administratora danych osobowych w sektorze
administracji publicznej.

Przykładowe podstawy uprawniające organy do przetwarzania
danych

Zakres zastosowania ustawy o
ochronie danych osobowych

Podstawowe pojęcia w ochronie danych osobowych
Ustawę stosuje się do przetwarzania danych osobowych oraz praw
osób fizycznych, których dane osobowe są lub mogą być
przetwarzane w zbiorach danych, a w przypadku przetwarzania
danych w systemach informatycznych, także w przypadku
przetwarzania danych poza zbiorem.
Zbiorem danych jest każdy posiadający strukturę zestaw danych
o charakterze osobowym, dostępnych według określonych kryteriów,
niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony
funkcjonalnie.
Przetwarzanie danych osobowych w systemach informatycznych
nie oznacza wyłącznie przetwarzania danych z wykorzystaniem
systemów połączonych do sieci Internet!

Podstawowe pojęcia w ochronie danych
osobowych
Zbiór danych osobowych
W doktrynie przyjmuje się, że zbiór danych osobowych musi składać się
co najmniej z dwóch informacji.
 Zbiór musi posiadać strukturę, pozwalającą na odnalezienie w nim
określonej informacji, bez konieczności przeszukiwania całego zbioru, na
podstawie co najmniej jednego kryterium. Zbiór nie musi mieć jednak
charakteru uporządkowanego. (przeciwnie w kontekście co najmniej
„dwóch kryteriów” wypowiada się m.in. WSA w Warszawie z dnia 13
marca 2008 r. II SA/Wa 143/08).
 Opowiedzieć należy się za stanowiskiem, odmawiającym doniosłości
prawnej charakterowi kryterium uporządkowania akt, tj. czy ma ono
charakter osobowy czy nieosobowy (M. Sakowska, Pojęcie „zbiór danych” na
gruncie ustawy o ochronie danych osobowych, Radca prawny 2005, nr 2, s. 62. )

osobowych
Przykłady zbiorów danych
„Wszelkie materiały zgromadzone w formie akt, w tym sądowe,
prokuratorskie, policyjne i inne zawierające dane osobowe są zbiorem
danych osobowych w rozumieniu art. 7 u.o.d.o.” (Stanowisko GIODO
dostępne na stronie www.giodo.gov.pl w zakładce „pytania i odpowiedzi”).
„Zbiór akt postępowania administracyjnego zawierający dane stron, ich
adresy i inne informacje spełnia wszystkie kryteria i jest zbiorem danych
osobowych” (P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych.
Komentarz, Warszawa 2013, s. 87).
„Zestaw chronologicznie uporządkowanych taśm zawierających
nagranie pochodzące z monitoringu pomieszczeń kasyna stanowi zbiór
danych osobowych” (Sprawozdanie GIODO za rok 2003, s. 175.).

osobowych
Ustawę o ochronie danych osobowych, będzie stosowało się do przetwarzania
danych osobowych przez organy administracji publicznej w ograniczonym
zakresie, gdy:
a) zbiory danych osobowych sporządzane są doraźnie;
b) wyłącznie ze względów technicznych lub szkoleniowych;
c) dane po ich wykorzystaniu są niezwłocznie usuwane albo poddane
anonimizacji.
W takim przypadku organ zobowiązany jest przestrzegać wyłącznie przepisów
wskazanych w rozdziale V ustawy, regulującym zasady zabezpieczenia danych.
Wskazane powyżej przesłanki muszą zostać spełnione łącznie!!

osobowych
Za dane osobowe uważa się wszelkie informacje dotyczące
zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
Osobą możliwą do zidentyfikowania jest osoba, której tożsamość
można określić bezpośrednio lub pośrednio, w szczególności przez
powołanie się na numer identyfikacyjny albo jeden lub kilka
specyficznych czynników określających jej cechy fizyczne,
fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
Informacji nie uważa się za umożliwiającą określenie tożsamości
osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub
działań.

osobowych
Danymi osobowymi są wszelkie informacje, które co najmniej dają
możliwość zidentyfikowania osoby, której dane osobowe dotyczą.
W zależności od okoliczności faktycznych, za dane osobowe
będzie mógł być uznany nawet rozmiar stopy określonej osoby
fizycznej.

Przetwarzanie danych osobowych

Podstawowe pojęcia – przetwarzanie danych
Przez przetwarzanie danych osobowych należy rozumieć
jakiekolwiek operacje wykonywane na danych osobowych, takie
jak zbieranie, utrwalanie, przechowywanie, opracowywanie,
zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które
wykonuje się w systemach informatycznych.
Sam fakt posiadania dostępu do danych osobowych jest już ich
przetwarzaniem, niezależnie od tego, czy dany podmiot
faktycznie z możliwości takiego dostępu skorzysta (np.
dostawca usług hostingowych).

Powierzenie i udostępnienie danych
osobowych

I. Udostępnienie danych.
Jest formą przetwarzania danych osobowych polegającą na przekazaniu danych
osobowych innemu podmiotowi, który decydując o celu i środkach przetwarzania
uzyskanych danych staje się ich administratorem. Podmiot przekazujący takie
dane, nie musi tracić statusu administratora danych osobowych.
W przypadku braku innej przesłanki legalizującej przetwarzanie danych (art. 23
u.o.d.o.), administrator musi uzyskać zgodę podmiotu danych na ich
udostępnienie.
II. Powierzenie danych.
Administrator danych może powierzyć innemu podmiotowi, w drodze umowy
zawartej na piśmie, przetwarzanie danych, w celu i zakresie wyraźnie wskazanym
w umowie. Administrator powierzający dane osobowe, nie musi uzyskiwać zgody
podmiotu danych na powierzenie danych innemu podmiotowi (tzw. procesor).

 W przepisach u.o.d.o. jak i w jakichkolwiek innych aktach prawnych
brak jest legalnej definicji udostępnienia danych osobowych (w. art. 7
u.o.d.o. wskazane jest jedynie że udostępnienie danych jest jedna z
form ich przetwarzania).
 Samo udostępnienie danych ma charakter czynności faktycznej, i
polega co najmniej na umożliwieniu zapoznania się z danymi innemu
podmiotowi, który w stosunku do takich danych będzie pełnił funkcję
administratora danych (P. Litwiński, Udostępnianie danych osobowych
na potrzeby postępowań cywilnych [w:] ICT Law Review 1/2013, s. 24).
 Podmiot któremu dane zostały przekazane będzie więc sam decydował
w jaki sposób wykorzysta przekazane mu dane osobowe, oraz jak owe
przetwarzanie danych będzie wyglądało od strony technicznej.

Przykłady udostępnienia danych
Naczelnik Urzędu Skarbowego udostępnia organizacji pożytku
publicznego dane osoby, która wpłaciła na jej rzecz 1% podatku, pod
warunkiem że osoba której dane dotyczą wyraziła na to uprzednio
zgodę w zeznaniu podatkowym lub jego korekcie.
Organ gminy po spełnieniu jednej z przesłanek wynikających z ustawy
z dnia 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych
(np. osoba fizyczna ma prawo wglądu w dane dotyczącej jej samej)
może udostępnić dane osobowe zgromadzone w gminnym zasobie
meldunkowym.
Organy administracji publicznej prowadzące postępowania
administracyjne w sprawie świadczeń z pomocy społecznej mogą
podawać dane osobowe osób, których dotyczą te postępowania
zwracając się do innych podmiotów z wnioskami o udzielenie
informacji i danych dotyczących tych osób, niezbędnych do udzielenia
pomocy (art. 100 ustawy z dnia 12 marca 2004 r. o pomocy społecznej,
art. 7 k.p.a. i inne).

Powierzenie danych
 Brak jest jakiegokolwiek wymogu odbierania zgód od osób których
dane będą powierzone, na powierzenie ich danych osobowych
innemu podmiotowi.
 Przetwarzanie danych przez podwykonawcę pozostaje w granicach
celu i zakresu przetwarzania danych określonych w umowie
powierzenia, a więc również celu i zakresu w jakim dane przetwarza
administrator danych.
 Podmiot któremu dane zostały powierzone może być adresatem
decyzji administracyjnych wydawanych w drodze kontroli
sprawowanej przez GIODO (podobnie jak administrator), zobowiązany
jest więc do odpowiedniego zabezpieczenia danych. Ponosi też
odpowiedzialność umowną względem administratora danych.

Przykłady
 Korzystanie przez organ administracji publicznej z świadczonej przez
dostawcę zewnętrznego usługi poczty elektronicznej (tzw. hosting
usług).
 Fizyczne lokowanie danych na serwerze znajdującym się w
pomieszczeniach dzierżawionych od podmiotu zewnętrznego, który
to podmiot świadczy usługi zabezpieczenia pomieszczeń przed
dostępem osób trzecich (tzw. usługa kolokacji).
 Zlecanie przez administratora danych osobowych dokonywania
czynności podatkowych względem zatrudnionych przez
administratora pracowników, zewnętrznemu biurowi rachunkowemu.

Dane osobowe wrażliwe
(tzw. dane sensytywne)

Podstawowe pojęcia – dane osobowe wrażliwe

Część III
Zasady przetwarzania danych
osobowych

Zasady przetwarzania danych osobowych
Zasada legalności przetwarzania
danych osobowych

Obowiązkiem wymienionym w art. 26 ust. 1 u.o.d.o. jest
przetwarzanie danych zgodnie z prawem (zasada legalności).
Przetwarzanie danych osobowych przez ich administratora powinno
odbywać się z zachowaniem przynajmniej jednej z przesłanek
legalności przetwarzania określonych w u.o.d.o. tj.
-art. 23 - dla danych osobowych zwykłych;
-art. 27 - dla danych osobowych wrażliwych.

Przesłanki legalności przetwarzania danych osobowych zwykłych
(art. 23 u.o.d.o.)
I. Zgoda podmiotu danych osobowych;
Zgoda musi mieć charakter wyraźny i nie może zostać
dorozumiana oraz wyinterpretowana z oświadczenia woli o innej
treści. W szczególności, w przypadku stosowania formularzy
elektronicznych, nie jest dopuszczalne zamieszczenie zgody w
treści samego regulaminu. Klauzula zgody zaopatrzona
właściwym check-boxem powinna znajdować się bezpośrednio
pod formularzem, w którym dany podmiot udostępnia swoje
dane. Nie musi być wyrażona na piśmie!

Należy zgodzić się z poglądem, wyrażonym w nauce prawa, zgodnie z
którym podstawą prawną udostępnienia danych osobowych na rzecz
podmiotów z sektora publicznego może być wyłącznie przepis prawa,
co wyłącza możliwość pobierania zgody przez takie podmioty (tak też:
P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych. Komentarz,
Warszawa 2013, s. 189, J. Barta, P. Fajgielski, R. Markiewicz, Ochrona
danych osobowych. Komentarz, Warszawa 2004, s. 598, podobnie E.
Kulesza w odniesieniu do żądania przez Kasy Chorych udostępniania
danych osobowych bez stosownej podstawy prawnej - E. Kulesza, Zbyt
częste nieprawidłowości, Rzeczp. 1.2.2000 r.).
Odebranie zgody będzie dopuszczalne, gdy przepis prawny uzależnia
legalność przetwarzania danych od odebrania zgody na udostępnienie
określonych danych np. udostępnienie organizacji pożytku publicznego
danych osoby, która wpłaciła na jej rzecz 1% podatku.

Każdemu podmiotowi danych osobowych przysługuje uprawnienie do
cofnięcia oraz odwołania uprzednio udzielonej zgody na przetwarzanie
danych osobowych. W takiej sytuacji, dalsze przetwarzanie danych
osobowych, z powołanie się na przesłankę zgody należałoby uznać za
niedopuszczalne.
Najczęściej odbieraną zgodą na tzw. rynku e-commerce jest zgoda na
otrzymywanie od administratora danych, informacji handlowych drogą
elektroniczną (nie ma konieczności odbierania zgody na e-marketing
tradycyjny, gdyż objęty jest przesłanka prawnie usprawiedliwionego
celu).
Przykładowa klauzula zgody:
(która nie wyłącza posługiwania się omówioną w dalszej części klauzulą
informacyjną).
Wyrażam zgodę na otrzymywanie informacji handlowych dotyczących
usług administratora danych osobowych, drogą elektroniczną. Zgoda
jest dobrowolna i w żaden sposób nie warunkuje korzystania z usługi
głównej.

Nie jest dopuszczalne odbieranie zgody na przetwarzanie danych
osobowych przez pracodawcę, względem pracownika
(współpracującego z pracodawcą na umowę o pracę). Wskutek
stosunku podległości, oświadczenie takie nie jest bowiem
wyrażone swobodnie. Dodatkowo art. 22.1 Kodeksu pracy,
wyłącza możliwość pobierania takiej zgody.
W przypadku udostępniania danych pomiędzy organami
administracji publicznej państw członkowskich, lub organów UE,
organ krajowy będzie zobowiązany udostępnić dane w przypadku
gdy żądanie takie znajduje uzasadnienie w normach krajowych,
wynika z bezpośrednio skutecznych norm prawa unijnego, bądź
wynika z wiążących RP ratyfikowanych umów międzynarodowych.

II. Uprawnienie wynikające z przepisu prawa.
 Możliwość powołania się na tę przesłankę uzależniona jest od łącznego
spełnienia następujących warunków:
• Istnienie odpowiedniego przepisu prawa (ustawy aktu niższej rangi), który
przyznaje podmiotowi uprawnienie lub nakłada na niego obowiązek pozyskania
danych, oraz
• niezbędności przetwarzania danych do zrealizowania tego uprawnienia lub
spełnienia obowiązku.
 Niekiedy przepisy sformułowane są w sposób, który może budzić wątpliwości co
do tego, czy przetwarzanie danych jest na ich podstawie dopuszczalne. Jako
przykład wskazać można art. 36 § 1 u.p.e.a. Na podstawie tego przepisu NSA
uznał, że "Organ egzekucyjny prowadzący egzekucję administracyjną może
żądać udostępnienia mu przez ZUS danych o miejscu zatrudnienia
ubezpieczonych będących dłużnikami„ (por. wyrok NSA z dnia 21 marca 2002
r., II SA 1854/01).

 Jeżeli uprawnienie do przetwarzania danych wynika z przepisu prawa, nie
powinno się występować o zgodę na przetwarzanie danych osobowych.
Czynność taka może bowiem wprowadzić podmiot danych w błąd, co do
podstaw przetwarzania jego danych osobowych.
 Przykłady przepisów stanowiących wyraźną podstawę do przetwarzania
danych:

III. Ochrona żywotnych interesów podmiotu danych.
 W przypadku braku istnienia innej przesłanki uprawniającej do
przetwarzania danych, jeżeli przetwarzanie danych jest konieczne ze
względu na ochronę życia, zdrowia lub interesów majątkowych o
istotnym znaczeniu, każdy podmiot uprawniony jest do przetwarzania
danych.
Przetwarzanie danych na podstawie wskazanej przesłanki może mieć
charakter jedynie czasowy, podmiot jest uprawniony do przetwarzania
danych tak długo, jak długo nie jest możliwe odebranie właściwego
oświadczenia od podmiotu danych w tym zakresie.
Przykładem takiego stanu rzeczy może być udostępnienie przez
przedsiębiorcę danych osobowych urzędnika, w zakresie koniecznym do
udzielenia mu pierwszej pomocy.

IV. Jest to konieczne dla wykonywania umowy.
 Dane osobowe mogą być przetwarzane, gdy jest to konieczne dla realizacji
umowy, gdy osoba której dane osobowe dotyczą jest jej stroną, bądź gdy jest to
konieczne do podjęcia czynności przed zawarciem umowy (czynności
rekrutacyjne).
W przypadku zwierania umów pracę, katalog możliwych do pozyskiwania przez
pracodawcę danych wynika z art. 22.1 ustawy Kodeks pracy, w przypadku
pozostałych kategorii umów, dane muszę być niezbędne do ich należytego
wykonania.
W przypadku, gdy pracodawca chce przetwarzać dane osobowe wykraczające
poza dane niezbędne do wykonywania umowy, musi odebrać na to odrębną
zgodę (w przypadku umów zlecenia, umów o dzieło oraz innych umów
cywilnoprawnych) np. gromadzenie oświadczeń o niekaralności, gdy
uprawnienie takie nie przysługuje na podstawie przepisów prawnych.
 Odebranie zgody nie jest możliwe, wobec osób współpracujących z
administratorem na podstawie umowy o pracę. Administrator może w takim
przypadku pobierać wyłącznie dane wskazane w art. 22 ustawy Kodeks pracy, w
zakresie koniecznym do wykonywania umowy.

NSA w wyroku z 1 grudnia 2009 r. wskazał, że brak równowagi w relacji
pracodawca–pracownik stawia pod znakiem zapytania dobrowolność
wyrażenia zgody na pobieranie i przetworzenie danych osobowych
pracowników (Wyrok NSA z 1 grudnia 2009 r., I OSK 249/09, ONSAiWSA
2011, nr 2, poz. 39).
Uznanie wyrażenia zgody jako okoliczności legalizującej pobranie od
pracownika innych danych niż wskazane w art. 221 k.p. w ocenie
niektórych przedstawicieli doktryny stanowiłoby obejście tego przepisu
(Zob. K. Roszewska, Kontrola osobista pracowników, PiZS 2008, nr 7, s. 8
n.).
Wyrażone przez NSA w powołanym wyroku stanowisko podziela
Generalny Inspektor Ochrony Danych Osobowych (dalej: GIODO), który
wskazał na niemożność uznania zgody kandydata do pracy za przesłankę
legalizującą przetwarzanie przez pracodawcę danych osobowych innych
niż wymienione w przepisie art. 221 k.p. (Sprawozdanie GIODO za rok
2005, s. 251).

Powołana przesłanka nie legalizuje występowania do podmiotu danych
z ofertą zawarcia umowy, co wiąże się z przetwarzaniem danych
osobowych. Inicjatywa zawarcia umowy musi bowiem pochodzić od
samego podmiotu danych osobowych.
Żaden z przepisów powszechnie obowiązującego prawa, nie nakłada
obowiązku wprowadzania do umów cywilnoprawnych postanowień
dotyczących podstawy przetwarzania danych, technicznych środków
zabezpieczeń danych oraz uprawnień przysługujących podmiotowi
danych. Wyjątkiem będzie sytuacja, w której dla wykonania
postanowień umowy, konieczne będzie powierzenie danych, które dla
swojej skuteczności wymaga formy pisemnej.
W przypadku organów administracji publicznej, nawet zawieranie
umów przez takie organy musi znajdować umocowanie w przepisach
prawnych, stąd podstawą będzie tutaj nie umowa, ale przepis prawny
lub realizacja interesu publicznego.

V. Konieczność przetwarzania danych do wykonywania określonych
prawem zadań dla dobra publicznego.
 Powołana przesłanka legalizuje przetwarzanie danych, jeżeli jest to konieczne dla
realizacji zadań publicznych, nałożonych na dany podmiot przepisami prawa, które
to przepisy jednocześnie nie uprawniają do przetwarzania danych.
 Niedopuszczalne jest powołanie się na wskazana przesłankę, w razie prowadzenia
przez podmiot publiczny działalności gospodarczej (tj. działalności mającej cel
zarobkowy (np. udział w spółce handlowej). (P. Barta, P. Litwiński, Ustawa o
ochronie danych osobowych. Komentarz, Warszawa 2013, s. 221.
 Przykład normy prawnej uprawniającej do takiego przetwarzania danych:
• Na podstawie art. 7d pkt 1 Prawa geodezyjnego i kartograficznego do zadań
starosty należy w szczególności prowadzenie powiatowego zasobu geodezyjnego
i kartograficznego, w tym ewidencji gruntów i budynków, gleboznawczej
klasyfikacji.

VI. Prawnie usprawiedliwiony cel administratora danych albo
odbiorców danych.
 Powołana przesłanka, jest jedną z podstaw przetwarzania danych, bez
konieczności odbierania zgody podmiotu danych. Na przesłankę możemy
powołać się, gdy przetwarzanie danych znajduje swoje oparcie w przepisach
prawa materialnego, ale nie możemy utożsamiać jej z wskazaną uprzednio
przesłanką realizacji uprawnienia wynikającego z przepisu prawnego.
W literaturze przedmiotu pojawiają się poglądy uprawniające również podmioty
ze sfery życia publicznego do powoływanie się na przesłankę prawnie
usprawiedliwionego celu.
 Przetwarzanie danych nie może naruszać praw i wolności podmiotu danych.
 Powołana przesłanka nie stanowi podstawy prawnej
przetwarzania danych osobowych na potrzeby postępowania
administracyjnego. Każde działanie administratora danych osobowych,
będącego podmiotem publicznym, powinno mieć podstawę w obowiązujących
przepisach prawa, a za taki przepis nie sposób uznać art. 23 ust. 1 pkt 5 u.o.d.o.,
który wymaga samodzielnego wyważenia przez administratora dwóch dóbr:
swojego prawnie usprawiedliwionego celu oraz praw i wolności podmiotów
danych.

Przykłady prawnie usprawiedliwionych celów administratora danych:
 Dochodzenie roszczeń z tytułu prowadzonej działalności (determinowany
terminem przedawnienia roszczeń określonego rodzaju).
 Zbieranie oświadczeń o niekaralności, gdy charakter wykonywanych czynności
uzasadnia takie żądane a, brak jest wyraźnego przepisu uprawniającego
administratora do pobierania takich danych (z wyjątkiem pracowników
wykonujących czynności na podstawie umowy o pracę).
 Przetwarzanie danych osobowych przez podmioty gospodarcze, celem
stworzenia księgi wejść i wyjść do budynków (źródło: www.giodo.gov.pl).
 Przetwarzanie danych osób współpracujących na podstawie umów
cywilnoprawnych, w celu stworzenia plakietek informujących o pełnionej
funkcji wraz z imieniem i nazwiskiem, noszonych na ubraniach (np. ochroniarz).

Przesłanki legalności przetwarzania danych osobowych wrażliwych
(art. 27 u.o.d.o.).
 Osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że
chodzi o usunięcie dotyczących jej danych.
 Przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody
osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochronny.
 Przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów
osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie
jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia
opiekuna prawnego lub kuratora.
 Jest to niezbędne do wykonania statutowych zadań kościołów i innych związków
wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub
instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub
związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie
członków tych organizacji.
 Przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed
sądem.

Przesłanki legalności przetwarzania danych osobowych zwykłych
(art. 27 u.o.d.o.)
 przetwarzanie jest niezbędne do wykonania zadań administratora odnoszących się
do zatrudnienia pracowników i innych osób, a zakres danych jest określony
w ustawie,
 Przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług
medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo
leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem
usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych.
 Przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej
przez osobę, której dane dotyczą.
 Jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania
rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia
naukowego; publikowanie wyników badań naukowych nie może następować w
sposób umożliwiający identyfikację osób, których dane zostały przetworzone.
 Przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i
obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub
administracyjnym.

Zasada celowości przetwarzania
danych osobowych

Ogólna zasada celowości
 Cel pierwotny to cel dla którego podmiot danych przekazał woje
dane administratorowi.
Cel wtórny to inny cel przetwarzania danych niż cel dla którego
dane zostały przekazane.
Zasada celowości (art.26 ust.2 pkt 1 u.o.d.o.)
Cel pierwotny to cel określony przez administratora przy zbieraniu
danych osobowych.
Cel wtórny to cel określony później niż przy zbieraniu danych.

Ogólny zakaz przetwarzania danych, w celu sprzecznym z celem na którego
zostały zebrane (art.26 ust.2 pkt 1 u.o.d.o.).
 Rodzaje wtórnych celów przetwarzania danych:
• Cele tożsame z celami określonymi pierwotnie.
• Cele różne ale nie niezgodne z celami określonymi pierwotnie.
• Cele sprzecznym z celem na którego zostały zebrane.
 Zakaz wynikający z art. 26 ust. 2 pkt 1 u.o.d.o. obejmuje jedynie przetwarzanie
danych w celach sprzecznych z celami pierwotnymi.
Dane mogą być udostępniane podmiotom, które dysponują stosowną podstawą
prawna dla swojego żądania także wtedy, gdy następujące w wyniku udostępnienia
przetwarzanie danych odbywać się będzie w celu niezgodnym z celem, dla którego
dane zostały zebrane!
(P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2013, s. 191. ).

Niezależnie od wskazanych uprzednio przypadków zmiany celu
przetwarzania danych, na podstawie art. 26 ust.2 u.o.d.o.:
administrator może nadal przetwarzać dane, jeżeli:
• nie narusza to praw i wolności osoby, której dane dotyczą;
• dalsze przetwarzanie następuje w celach badań naukowych,
dydaktycznych, historycznych lub statystycznych;
• zachowane pozostają przepisy art.23 i 25 u.o.d.o (obowiązek
informacyjny).
Zmiana celu możliwa jest również na podstawie zgody podmiotu
danych.

Zasada adekwatności przetwarzania
danych osobowych

Dane osobowe muszą być przetwarzane przez administratora:
Z zachowaniem zasady merytorycznej poprawności
i adekwatności przetwarzania danych osobowych do celów w
jakich są przetwarzane;
Przetwarzane nie dłużej, niż jest to konieczne dla realizacji celu,
w jakim są przetwarzane.

Obowiązek informacyjny administratora danych osobowych

Ochrona danych osobowych– obowiązek informacyjny
W przypadku pozyskania danych osobowych od osoby której dane osobowe
dotyczą, administrator zobowiązany jest poinformować taką osobę o (art. 26
u.o.d.o.):
adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem
danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i
nazwisku,
celu zbierania danych, a w szczególności o znanych mu w czasie udzielania
informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,
prawie dostępu do treści swoich danych oraz ich poprawiania,
dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje,
o jego podstawie prawnej.
Wyjątki:
 przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania
faktycznego celu ich zbierania,
osoba, której dane dotyczą, posiada takie informacje.

Ochrona danych osobowych– obowiązek
informacyjny
W przypadku pozyskania danych osobowych nie od osoby której dane osobowe
dotyczą, administrator zobowiązany jest poinformować taką osobę o (art. 24
u.o.d.o.):
 adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest
osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku,
 celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców
danych,
 źródle danych,
 prawie dostępu do treści swoich danych oraz ich poprawiania,
 prawie do wniesienia sprzeciwu w razie przetwarzania danych na podstawie prawnie
usprawiedliwionego celu lub zadań realizowanych dla dobra publicznego.
Wyjątki:
 przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy
osoby, której dane dotyczą,
 dane te są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub
badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolności osoby, której dane
dotyczą, a spełnienie wymagań wymagałoby nadmiernych nakładów lub zagrażałoby realizacji
celu badania,
 dane są przetwarzane przez podmioty ze sfery publicznej na podstawie przepisów prawa,
 osoba, której dane dotyczą, posiada informacje.

Część IV
Umowa powierzenia przetwarzania
danych osobowych

Ochrona Danych Osobowych - umowa powierzenia
Obligatoryjne elementy umowy
 Forma pisemna.
 Oznaczenie stron (administrator i procesor) i podpis osób upoważnionych.
 Cel i zakres powierzonych danych.
Fakultatywne elementy umowy (ale wskazane)
 Zobowiązanie procesora do zapewnienia odpowiedniego poziomu zabezpieczenia danych
osobowych.
 Wskazanie czy procesor jest upoważniony bądź nie do dalszego powierzania danych
osobowych (tzw. subprocessing).
 Wskazanie dokładnych czynności podejmowanych przez procesora na danych osobowych.
 Klauzula poufności.
 Forma przekazania danych procesorowi.
 Inne treści umowne.

Część V
Rejestracja zbioru danych
osobowych

Rejestracja zbioru danych osobowych
Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji GIODO.
Rejestracji nie podlegają zbiory:
 zawierające informacje niejawne,
 które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy
organów uprawnionych do tych czynności,
 przetwarzane przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie
przepisów o Krajowym Rejestrze Karnym,
 przetwarzane przez Generalnego Inspektora Informacji Finansowej,
 przetwarzane przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie
Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym,
 przetwarzane przez właściwie organy na podstawie przepisów o wymianie informacji z
organami ścigania państw członkowskich Unii Europejskiej,
 dotyczące osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej
sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego,

 przetwarzane w związku z zatrudnieniem u nich, świadczeniem im usług na
podstawie umów cywilnoprawnych, a także dotyczących osób u nich
zrzeszonych lub uczących się,
 dotyczące osób korzystających z ich usług medycznych, obsługi notarialnej,
adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego
lub biegłego rewidenta,
 tworzone na podstawie przepisów dotyczących wyborów do Sejmu, Senatu,
Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw,
wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza,
prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum
lokalnego,
 dotyczące osób pozbawionych wolności na podstawie ustawy, w zakresie
niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia
wolności,
 przetwarzane wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia
sprawozdawczości finansowej,
powszechnie dostępne,
 przetwarzane w celu przygotowania rozprawy wymaganej do uzyskania
dyplomu ukończenia szkoły wyższej lub stopnia naukowego,
przetwarzane w zakresie drobnych bieżących spraw życia codziennego

Procedura rejestracji zbioru za pośrednictwem serwisu eGIODO

Zgłoszenie wypełnione za pośrednictwem serwisu e-GIODO wnioskodawca
powinien wysłać drogą elektroniczną również wtedy, gdy nie dysponuje
bezpiecznym podpisem elektronicznym. W takim przypadku należy
dodatkowo opatrzyć wydruk zgłoszenia przesłanego elektronicznie
podpisem i pieczątką wnioskodawcy, i przesłać pocztą lub złożyć w
siedzibie GIODO.
Do wniosku wypełnionego elektronicznie należy dołączyć:
•pełnomocnictwo (w przypadku gdy administrator nie działa we własnym
imieniu);
• potwierdzenie wniesienia opłaty skarbowej za pełnomocnictwo;
•pozostałe dokumenty załączane do wniosku nie podlegają jakiejkolwiek
opłacie.

Zgodnie z jej przepisami administrator danych, którego zbiór danych osobowych
został zarejestrowany przez GIODO, może uzyskać zaświadczenie
o zarejestrowaniu zbioru danych osobowych. Ustawa o ochronie danych
osobowych przyznaje każdemu administratorowi danych prawo wystąpienia do
GIODO o wydanie takiego zaświadczenia (art. 42 ust. 3). Tym samym GIODO
wydaje takie zaświadczenie, ale tylko na wniosek administratora danych.
Wyjątkiem jest jedynie obligatoryjne (z urzędu) wydawanie przez GIODO
zaświadczenia o zarejestrowaniu zbioru, w którym przetwarzane są dane
szczególnie chronione (wymienione w art. 27 ust. 1 ustawy, np. dane o stanie
zdrowia).
Za wydanie zaświadczenia, na podstawie art. 1 ust. 1 pkt Ib ustawy z dnia 16
listopada 2006 r. o opłacie skarbowej, pobierana jest opłata skarbowa według
stawek określonych w załączniku do tej ustawy, tj. od zaświadczenia
o zarejestrowaniu zgłoszonego zbioru danych - 17zł.
GIODO wydaje decyzję w przedmiocie odmowy rejestracji zbioru danych
osobowych.

Przykłady zbiorów danych zwolnionych z rejestracji
 Zbiór danych kandydatów na kierowców przewarzany przez ośrodek
szkolenia kierowców.
 Zbiór podań o pracę.
 Zbiór nauczycieli przetwarzany przez dyrektora placówki oświatowej.
 Zbiór danych rodziców przedszkolaków przetwarzany przez dyrektora
przedszkola.
 Zbiór danych pacjentów, na rzecz których zakład opieki zdrowotnej
świadczy swoje usługi.

Część VI
Zabezpieczenie danych

Ochrona Danych Osobowych - zabezpieczenie danych
Obowiązki związane z zabezpieczeniem przetwarzania danych osobowych
 Obowiązek zastosowania środków technicznych i organizacyjnych zapewniających ochronę
przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną,
 Obowiązek prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz zastosowanych
środków zabezpieczeń,
 Obowiązek wyznaczenia administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad
ochrony danych, chyba że administrator sam wykonuje te czynności,
 Do przetwarzania danych dopuszczone mogą być wyłącznie osoby posiadające upoważnienie nadane przez
administratora danych.
 Obowiązek prowadzenia ewidencji osób upoważnionych do ich przetwarzania, która powinna zawierać:
imię i nazwisko osoby upoważnionej, datę nadania i ustania oraz zakres upoważnienia do
przetwarzania danych osobowych, identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.
Zasady wskazane powyżej wiążą nie tylko administratora danych, ale również podmiot któremu
administrator powierzył dane osobowe.

Ochrona Danych Osobowych - zabezpieczenie danych
Obowiązek zastosowania środków technicznych i organizacyjnych
zapewniające ochronę przetwarzanych danych osobowych odpowiednią do
zagrożeń oraz kategorii danych objętych ochroną.
Trzy poziomy ochrony danych osobowych:
Podstawowy
• Żadne z urządzeń systemu informatycznego, służącego
do przetwarzania danych osobowych nie jest połączone z siecią publiczną, oraz
• W systemie nie są przetwarzane dane wrażliwe.
Podwyższony
• w systemie są przetwarzane dane wrażliwe, oraz
• żadne z urządzeń systemu informatycznego, służącego
do przetwarzania danych osobowych nie jest połączone z siecią publiczną.
Wysoki
•urządzenie, służące do przetwarzania danych osobowych, połączone jest z siecią
publiczną.

Ochrona Danych Osobowych - zabezpieczenie
danych
Każdemu z poziomów bezpieczeństwa odpowiada inny
sposób zabezpieczenia danych, wskazany w rozporządzeniu
ws. dokumentacji przetwarzania danych osobowych.
W przypadku przetwarzania danych na poziomie wysokim,
konieczne jest również spełnienie wymogów na poziomie
podstawowym i podwyższonym (analogicznie poziom
podwyższony).

danych
Obowiązek prowadzenia dokumentacji opisującej sposób
przetwarzania danych oraz zastosowanych środków zabezpieczeń.
Dokumentacja przetwarzania danych
Polityka bezpieczeństwa Instrukcja zarządzania
systemem

danych
Polityka bezpieczeństwa przetwarzania danych osobowych
 Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w
którym przetwarzane są dane osobowe.
 Wykaz zbiorów danych osobowych wraz ze wskazaniem programów
zastosowanych do przetwarzania tych danych.
 Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól
informacyjnych i powiązania między nimi.
 Sposób przepływu danych pomiędzy poszczególnymi systemami.
 Określenie środków technicznych i organizacyjnych niezbędnych dla
zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

danych
Z technicznego punktu widzenia, rekomenduje się przeniesienie właściwej
treści dokumentacji, do załączników, a treść samej dokumentacji
ograniczyć wyłącznie do zbioru definicji, odwołań do samych załączników,
oraz określenia środków zabezpieczeń danych osobowych.
Przykładowy spis treści Polityki bezpieczeństwa
„I. Deklaracja najwyższej staranności, cele i zakres dokumentu.
II. Obowiązki i odpowiedzialność w zakresie zarządzania bezpieczeństwem.
III. Obszar przetwarzania danych osobowych.
IV. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych
do przetwarzania tych danych.
V. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól
informacyjnych i powiązania pomiędzy nimi.
VI. Sposób przepływu danych pomiędzy poszczególnymi systemami.
VII. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia
poufności, integralności i rozliczalności przetwarzanych danych”.

danych
Instrukcja zarządzania systemem informatycznym
 Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych
uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej
za te czynności.
 Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich
zarządzaniem i użytkowaniem.
 Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla
użytkowników systemu;
 Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i
narzędzi programowych służących do ich przetwarzania;
 Sposób, miejsce i okres przechowywania elektronicznych nośników informacji
zawierających dane osobowe, oraz kopii zapasowych.
 Sposób zabezpieczenia systemu informatycznego przed działalnością wirusów.
 Sposób realizacji wymogów, odnotowywania przez system wprowadzania
danych.
 Procedury wykonywania przeglądów i konserwacji systemów oraz nośników
informacji służących do przetwarzania danych.

danych
Przykładowy spis treści Instrukcji zarządzania
I. Poziomy bezpieczeństwa przetwarzania danych osobowych.
II. Procedura nadawania, aktualizacji i wycofania uprawnień do przetwarzania danych osobowych
w systemach informatycznych.
III. Metody i środki uwierzytelniania pracowników mających dostęp do przetwarzania danych
osobowych.
IV. Procedura rozpoczęcia, zawieszenia i zakończenia pracy dla użytkowników systemu.
V. Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych
służących do ich przetwarzania.
VI. Zasady bezpiecznego przechowywania transportu i niszczenia elektronicznych nośników informacji
zawierających dane osobowe lub oprogramowanie służące do ich przetwarzania.
VII. Sposób zabezpieczenia systemu przed działalnością wirusów.
VIII. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do
przetwarzania tych danych.
IX. Sposób realizacji obowiązków odnotowywania w systemie informacji o zmianach danych
i odbiorcach danych.
X. Procedury wykonywania napraw systemu informatycznego oraz elektronicznych nośników
informacji służących do przetwarzania danych.

danych
Obowiązek wyznaczenia w dokumentacji administratora bezpieczeństwa
informacji, nadzorującego przestrzeganie zasad ochrony danych, chyba że
administrator sam wykonuje te czynności.
 Administratorem bezpieczeństwa informacji (ABI) musi być osoba fizyczna,
w przypadku przedsiębiorców prowadzących jednoosobową działalność
gospodarczą, jest to osoba prowadząca taką działalność (Wyrok WSA
wWarszawie z dnia 7 lipca 2012r., II SA/Wa 630/12).
 Obowiązek wyznaczenia ABI nie istnieje, gdy administrator sam pełni funkcję
ABI (np. naukowiec zbierający dane na potrzeby dokonywanej dysertacji).
W ramach struktury organizacyjnej administratora danych może zostać
powołany tylko jeden ABI. Nie wyłącza to możliwości powołania wewnętrznej
struktury podległej ABI. Częstą praktyką jest powoływanie podległego ABI
Administratora systemu informatycznego, zarządzającego takim systemem
(tzw. ASI). Jest nim najczęściej informatyk.
 Dokumentacja przetwarzania danych osobowych powinna zapewniać ABI
możliwość rzeczywistego wykonywania przez niego funkcji nadzorczych.

Część VII
Tajemnica przedsiębiorcy

Ochrona Danych Osobowych - tajemnica
przedsiębiorcy
Art. 11 ust. 4 ustawy o zwalczaniu nieuczciwej konkurencji
Przez tajemnicę przedsiębiorstwa rozumie się nieujawnione do wiadomości
publicznej informacje techniczne, technologiczne, organizacyjne
przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą, co do
których przedsiębiorca podjął niezbędne działania w celu zachowania ich
poufności.
Informacją taką mogą być informacje:
 stanowiące wartość gospodarczą;
 wobec których przedsiębiorca podjął niezbędne środki ochrony;
 oznaczone przez przedsiębiorcę jako objęte taką tajemnicą.

Ochrona Danych Osobowych - tajemnica
przedsiębiorcy
Tajemnica przedsiębiorstwa a dane osobowe
Dane osobowe przetwarzane przez przedsiębiorcę, również mogą
być objęte tajemnicą przedsiębiorstwa.
W przypadku wszczęcia przez GIODO postępowania kontrolnego
względem przedsiębiorcy, przedsiębiorca ma prawo w pierwszym
dniu kontroli złożyć ustne oświadczenie do protokołu kontroli o
objęciu wszelkich informacji zebranych w toku kontroli tajemnicą
przedsiębiorstwa. Powyższe, wyłącza możliwość wglądu do danych
zgromadzonych w aktach pokontrolnych

Część VIII
Postępowanie kontrolne

Ochrona Danych Osobowych - Postępowanie
kontrolne
Kontrole inspektorów GIODO są najczęściej zapowiadane
(telefonicznie oraz faksem lub pisemnie) z kilkudniowym
wyprzedzeniem.
• Zawiadomienie zawiera najczęściej:
• termin przeprowadzenia czynności kontrolnych,
• zakres kontroli, oraz
• dokumenty wymagane przez inspektorów.
Brak wcześniejszego zawiadomienia co do zasady nie jest podstawą
do odmowy wstępu inspektorom do obszaru przetwarzania danych.
Jest to natomiast podstawa do wniesienia do GIODO sprzeciwu.

kontrolne
Zakres czynności kontrolnych
Przedmiotem kontroli są najczęściej
• Spełnianie przesłanek legalizujących przetwarzanie danych
osobowych.
• Zabezpieczenie przetwarzanych danych – np. czy dane osobowe
zabezpieczane są zgodnie z wymogami technicznymi i organizacyjnymi
przewidzianymi w ustawie o ochronie danych osobowych i przepisach
wykonawczych.
• Zakres i cel przetwarzania danych osobowych.
• Wypełnianie przez kontrolowany podmiot obowiązków informacyjnych
wobec podmiotów danych.
• Obowiązki w zakresie rejestracji zbioru danych w bazie GIODO.
• Zarejestrowanie zbioru danych osobowych.

kontrolne
Uprawnienia kontrolne
W toku czynności kontrolnych inspektorzy mają w szczególności prawo:
• wstępu, w godzinach od 600 do 2200, za okazaniem imiennego
upoważnienia i legitymacji służbowej, do pomieszczenia, w którym
przetwarzane są dane osobowe (w zbiorze i poza zbiorem),
• administrator nie ma obowiązku wpuszczenia inspektora, który nie
przedstawi obydwu powyższych dokumentów.
• żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i
przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu
faktycznego,
• wglądu do wszelkich dokumentów i wszelkich danych mających
bezpośredni związek z przedmiotem kontroli oraz sporządzania ich
kopii,
• przeprowadzania oględzin urządzeń, nośników oraz systemów
informatycznych służących do przetwarzania danych,

kontrolne
• zlecać sporządzanie ekspertyz i opinii,
• żądać okazania książki kontroli oraz dokonywania w niej wpisów.
Protokół z kontroli
Po zakończeniu czynności kontrolnych, inspektor sporządza protokół kontroli.
Jeden egzemplarz tego protokołu doręczany jest kontrolowanemu.
W zakresie protokołu kontroli, kontrolowanemu przysługują w szczególności
następujące uprawnienia:
• prawo wniesienia umotywowanych uwag i zastrzeżeń odnośnie jego treści,
• prawo odmowy podpisania protokołu kontroli.

kontrolne
Skutki kontroli
Skutkiem stwierdzenia naruszenia przepisów ustawy o ochronie danych osobowych, jest
wystąpienie przez inspektora do GIODO o wydanie decyzji zobowiązującej ten podmiot do
usunięcia naruszeń.
• Procedura w takiej sytuacji wygląda następująco:
- wniosek inspektora do GIODO o wydanie decyzji nakazującej usunięcie wskazanych
naruszeń,
- wszczęcie postępowania administracyjnego przez GIODO (postępowanie ma charakter
niezależny od samej kontroli) – w jego toku organ jeszcze raz dokonuje oceny stanu
faktycznego badając zasadność ww. wniosku, a administrator jako stroną postępowania
(może nią być też procesor),
- wydanie przez GIODO decyzji administracyjnej nakazującej:
• usunięcie uchybień,
• uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych
osobowych,
• zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,
• zabezpieczenie danych lub przekazanie ich innym podmiotom, usunięcie danych osobowych,

kontrolne
• w przypadku decyzji nakazującej usunięcie naruszeń,
administrator zasadniczo może złożyć do GIODO wniosek
o ponowne rozpatrzenie sprawy, a następnie (w przypadku
odmowy zmiany decyzji);
• wnieść skargę do sądu administracyjnego.
- w przypadku decyzji nakazującej usunięcie naruszeń,
administrator zasadniczo może złożyć do GIODO wniosek
o ponowne rozpatrzenie sprawy, a następnie (w przypadku
odmowy zmiany decyzji);
- wnieść skargę do sądu administracyjnego.

Część IX
Przewidywane zmiany w u.o.d.o.

Ochrona Danych Osobowych – zmiany w prawie
Stadnium prac legislacyjnych
2 lipca 2014 r. – po I czytaniu rządowego projektu ustawy
o ułatwieniu wykonywania działalności gospodarczej, po
22 lipca 2014 r. – po I czytaniu rządowego projektu ustawy o ułatwieniu wykonywania
działalności gospodarczej, podczas 72. Posiedzenia Sejmu, projekt skierowano do rozpatrzenia
przez Komisję Nadzwyczajną do spraw związanych z ograniczaniem biurokracji.
14 lipca 2014 r. – projektowi ustawy o ułatwieniu wykonywania działalności gospodarczej
został nadany nr druku sejmowego (nr 2606) i skierowany do
I czytania na posiedzeniu Sejmu.
7 lipca 2014 r. – Prezes Rady Ministrów skierował do Sejmu projekt ustawy
o ułatwieniu wykonywania działalności gospodarczej. Projekt wraz
z uzasadnieniem dostępny jest na stronie Rządowego Centrum Legislacji.
10 czerwca 2014 r. - Rada Ministrów przyjęła projekt ustawy o ułatwieniu wykonywania
działalności gospodarczej, przekazany do rozpatrzenia przez Ministerstwo Gospodarki w dniu 22
maja 2014 r.

Rejestracja administratorów bezpieczeństwa informacji (ABI)
 Administrator danych będzie obowiązany zgłosić GIODO powołanie i
odwołanie administratora bezpieczeństwa informacji w terminie 30 dni
od dnia powołania lub odwołania, natomiast zmiany informacji
objętych zgłoszeniem w terminie 14 dni od dnia zmiany
 Określono zakres informacji mających podlegać zamieszczeniu w
prowadzonym przez GIODO, ogólnokrajowym, jawnym, rejestrze
administratorów bezpieczeństwa informacji, zaś w projektowanym art.
46d ust. 1–3 wskazano zasady wykreślania ABI z rejestru
administratorów bezpieczeństwa informacji (w drodze czynności
materialno-technicznej (w przypadku powiadomienia przez
administratora danych o odwołaniu ABI lub w przypadku śmierci ABI)
oraz na podstawie decyzji administracyjnej wydawanej z urzędu, w
przypadkach określonych tym przepisem).

 Przewidziano możliwość ponownego zgłoszenia do rejestracji ABI
wykreślonego z rejestru oraz określono sposób postępowania GIODO
w przypadku złożenia takiego wniosku
Wprowadzenie uproszczonej kontroliipca
 ABI będzie zobowiązany do dokonania sprawdzenia zgodności
przetwarzania danych osobowych z przepisami o ochronie danych
osobowych u administratora danych, który go powołał, na zlecenie
GIODO. W konsekwencji – sprawozdanie z takiego sprawdzenia jest
przedstawiane, za pośrednictwem administratora danych, GIODO.
 ABI będzie zobowiązany do dokonania sprawdzenia zgodności
przetwarzania danych osobowych z przepisami o ochronie danych
osobowych u administratora danych. Kontrola taka przeprowadzona
przez ABI ma charakter kontroli wewnętrznej u administratora danych,
a zatem powstałe w jego wyniku sprawozdanie jest dokumentem
wewnętrznym administratora danych.

Zwolnienie administratora danych z obowiązku zgłaszania zbioru danych
osobowych do rejestracji GIODO
 Dodanie w art. 43 ustawy o ochronie danych osobowych przepisu
wprowadzającego nowe, kompleksowe zwolnienie z obowiązku
zgłoszenia do rejestracji GIODO zbiorów, w których nie będą
przetwarzane dane określone w art. 27 ust. 1 tej ustawy (tzw. dane
szczególnie chronione), prowadzonych przez administratorów danych,
którzy powołali i zgłosili GIODO ABI.
 Zwolnienie w odniesieniu do zbiorów danych, które nie są
prowadzone w systemie informatycznym, z wyjątkiem zbiorów
zawierających dane szczególnie chronione.
Przepis art. 36b ustanawia dla administratora danych obowiązek
wykonywania zadań administratora bezpieczeństwa informacji w przypadku
jego niepowołania.

Status ABI
 Niezależność w wykonywaniu zadań, obowiązek zapewnienia
stosowania w jednostce organizacyjnej przepisów o ochronie
danych osobowych, w szczególności przez przyznanie
kompetencji do kontroli wewnętrznej w zakresie przestrzegania
przepisów o ochronie danych osobowych, a także prowadzenie
wewnętrznego rejestru zbiorów danych.
 Jednocześnie projektowane zmiany nie zakazują outsourcingu
zadań administratora bezpieczeństwa informacji przez
administratora danych. Dopuszczono także możliwość
powołania zastępców administratora bezpieczeństwa
informacji, co ma znaczenie w sytuacjach, gdy ABI przejściowo
nie może realizować swoich zadań.

Przekazywanie danych do państw trzecich oraz państw członkowskich EOG
bez
zgody GIODO
 Zawierają wyłączenie obowiązku uzyskania zgody GIODO na
przekazanie danych do państwa trzeciego, gdy zastosowano
standardowe klauzule umowne zatwierdzone przez Komisję
Europejską, zgodnie z art. 26 ust. 4 dyrektywy 95/46/WE, lub wiążące
reguły korporacyjne zatwierdzone przez GIODO. Jednocześnie nadają
GIODO kompetencję do zatwierdzania wiążących reguł korporacyjnych
po przeprowadzeniu konsultacji z organami ochrony danych państw
członkowskich Europejskiego Obszaru Gospodarczego.
 WRK mają na celu zapewnienie jednolitych i odpowiednio
elastycznych standardów ochrony danych osobowych w grupie
przedsiębiorstw międzynarodowych. Instrument ten ma szczególne
znaczenie w gospodarce globalnej i jest wspierany zarówno przez
środowiska gospodarcze, jak i organy ochrony danych osobowych.

Zatwierdzenie wiążących reguł korporacyjnych jako
zapewniających odpowiednie gwarancje pozwala na
rezygnację z konieczności uzyskiwania zgody na poszczególne
operacje przekazywania danych osobowych do państw
trzecich. Ze względu na globalny charakter wiążących reguł
korporacyjnych ważne jest, aby ich zatwierdzenie odbywało się
po przeprowadzeniu uprzedniej konsultacji co do ich treści
z organami ochrony danych państw członkowskich EOG.

Projektowane przepisy ustawy o ochronie danych osobowych
wymagają od ministra właściwego do spraw administracji
publicznej wydania przepisów wykonawczych, w których
zostanie określony tryb i sposób realizacji zadań, o których
mowa w projektowanym art. 36a ust. 2 pkt 1 lit. a i b ustawy,
sposób prowadzenia rejestru 26zbiorów danych, o którym mowa
w projektowanym art. 36a ust. 2 pkt 2, oraz wzory zgłoszeń
powołania i odwołania administratora bezpieczeństwa
informacji.

Zainteresowanych informacjami o ochronie danych osobowych
zapraszamy do Cognity na:
• Kurs Ochrona Danych Osobowych w Działach HR i Kadr
• Kurs Ochrona Danych Osobowych w Administracji Publicznej
• Kurs Ochrona Danych Osobowych w Ośrodkach Pomocy
Społecznej
• Kurs Ochrona Danych Osobowych – Obowiązki Przetwarzających
Dane Osobowe w Firmie
• Kurs Aspekty prawne związane z handlem elektronicznym.
Prowadzenie serwisów internetowych

Informację o zagadnieniach prawnych związanych z ochroną danych
osobowych odnajdą Państwo również na naszym blogu Strefa Wiedzy
Cognity.
Szczególnie polecamy:
• Administrator Bezpieczeństwa Informacji – zadania i obowiązki ABI
• Podstawowe informacje o przetwarzaniu danych osobowych
• Cloud computing w administracji publicznej
• Zmiany w e-handlu
• Wywiad z ekspertem Panem Maciejem Kaweckim

Cognity Ochrona Danych Osobowych

Recommended

Recommended

More Related Content

What's hot

What's hot (18)

Viewers also liked

Viewers also liked (15)

Similar to Cognity Ochrona Danych Osobowych

Similar to Cognity Ochrona Danych Osobowych (20)

More from COGNITY Szkolenia

More from COGNITY Szkolenia (20)

Cognity Ochrona Danych Osobowych