.:: zsypowisko kreatywnych notatek ::.
wtorek, 11 września 2007
Prawa osób, których dane są przetwarzane
Ustawowym obowiązkom administratora danych odpowiadają uprawnienia osób, których dane znajdują się w ich zbiorach i podlegają przetwarzaniu. Każdemu przysługuje prawo do kontroli, tzn. mamy prawo wiedzieć kto i w jakim celu zbiera nasze dane - dlatego też można domagać się od wszystkich prowadzących zbiory danych osobowych informacji czy Twoje personalia są tam zamieszczone oraz przetwarzane i w jakim celu. Takiego sprawdzenia danych można dokonywać nie częściej niż raz na 6 miesięcy u jednego administratora danych.

Wniosek o podanie informacji o danych osobowych posiadanych przez administratora może wyglądać tak:Miejscowość, dnia.................

..........................................................
(imię i nazwisko składającego wniosek)

.........................................................
(adres składającego wniosek)

.....................................................................
(nazwa i adres siedziby administratora danych)

Na podstawie art.32, ust. 1, pkt 1-5 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. z 1997 r., nr 133, poz. 883) wnoszę o podanie następujących informacji dotyczących posiadanych przez Państwa firmę danych dotyczących mojej osoby:
czy moje dane osobowe są przetwarzane przez Państwa firmę,
od kiedy oraz jakimi moimi danymi Państwo dysponujecie,
z jakiego źródła pozyskaliście Państwo moje dane,
w jakim celu, zakresie i w jaki sposób przetwarzacie Państwo moje dane,
czy przekazaliście Państwo moje dane osobowe innemu administratorowi danych, jeśli tak - proszę o podanie zakresu przekazanych danych i pełnej nazwy oraz siedziby tego administratora.

...............................................
( podpis składającego wniosek )

Jeśli okaże się, że dane osobowe rzeczywiście się w takiej bazie znajdują, to można:

a) żądać ich uzupełnienia, uaktualnienia lub sprostowania, gdy są one niekompletne, nieaktualne lub nieprawdziwe;

b) żądać czasowego lub stałego usunięcia danych ze zbioru od podmiotu, który je przetwarza, gdy zebranie danych nastąpiło z naruszeniem Ustawy o ochronie danych osobowych(np. bez poinformowania klienta o fakcie przetwarzania jego danych osobowych) albo też gdy zebrane dane nie służą celowi dla którego zostały zebrane (np. klient udzielił ich w celu wywiązania się z umowy zawartej z Towarzystwem ubezpieczeniowym, a to ostatnie wykorzystuje dane klienta do przesyłania materiałów reklamowych jakiegoś banku). Można w tym celu wystosować żądanie o zaprzestanie przetwarzania danych o treści - "na podstawie art.32, ust. 1 pkt 6 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. z 1997 r., nr 133, poz. 883) żądam zaprzestania przez Państwa firmę przetwarzania danych dotyczących mojej osoby oraz ich usunięcia z Państwa bazy danych";

c) zawsze, niezależnie od tego, czy dane te zostały zebrane z naruszeniem ustawy o ochronie danych osobowych, czy też nie, możliwe jest żądanie w formie tzw. sprzeciwu zaprzestania przetwarzania Twoich danych dla celów marketingowych. W takiej sytuacji podmiot, który takie żądanie otrzymał musi niezwłocznie i trwale wykreślić Twoje dane ze swoich zbiorów, bez możliwości odwoływania się do GIODO. W formie sprzeciwu można również uniemożliwić administratorowi danych przekazywanie danych osobowych dalszym podmiotom. Przykład treści sprzeciwu - "Na podstawie art.32, ust. 1, pkt 8 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. z 1997 r., nr 133, poz. 883) wnoszę sprzeciw wobec przetwarzania danych dotyczących mojej osoby w celach marketingowych / wobec dalszego przekazywania danych dotyczących mojej osoby przez Państwa firmę innym osobom";

d) na przetwarzanie danych osobowych z naruszeniem ustawy przez administratora można też zgłosić skargę do GIODO - może ona brzmieć np. tak:

Miejscowość, dnia................

...................................................
(imię i nazwisko zgłaszającego skargę)

...................................................
(adres zgłaszającego skargę)

Generalny Inspektor Ochrony Danych Osobowych
ul. Stawki 2, 00-193 Warszawa

Na podstawie art. 12, pkt 2) ustawy z dnia 29.08.1997r. o ochronie danych osobowych (Dz. U. z 1997 r., Nr 133, poz. 883) zgłaszam skargę na naruszenie przez ............... (nazwa i adres siedziby administratora danych) przepisów tejże ustawy.
(opis naruszenia przepisów o ochronie danych osobowych)
(żądanie jakie kierujemy w związku ze skargą do GIODO)
W związku z powyższym wnoszę o podjęcie przez GIODO działań zmierzających do.................. ....................................................
(podpis zgłaszającego skargę)

Źródło: prawo.ngo.pl z 31.07.2006
22:48, katarzyna.feliksik , GIODO
Link Dodaj komentarz »
uprawnienia GIODO
Generalny Inspektor Ochrony Danych Osobowych jest centralnym organem państwa powołanym do nadzoru nad przetwarzaniem danych osobowych. W ramach swoich uprawnień GIODO może zarządzić skontrolowanie administratora danych.

Inspektorzy Biura GIODO mają wtedy prawo m. in.:
wejść (w godzinach od 6 do 22), za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest nasz zbiór danych, i przeprowadzić kontrolę tego zbioru,
zażądać złożenia pisemnych lub ustnych wyjaśnień oraz wezwać i przesłuchać osoby w zakresie niezbędnym do ustalenia stanu faktycznego,
żądać okazania dokumentów i wszelkich danych mających bezpośredni związek z problematyką kontroli,
żądać dostępu do kontroli urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych.

Z przebiegu kontroli sporządzany jest protokół, do którego możemy wnieść swoje zastrzeżenia lub uwagi (jeden egzemplarz zostaje dla nas). Jeżeli uważamy, że np. cała kontrola prowadzona była nierzetelnie, możemy odmówić podpisania protokołu i w ciągu 7 dni przedstawić swoje stanowisko Generalnemu Inspektorowi.

Jeżeli inspektorzy stwierdzą, że przetwarzamy dane niezgodnie z ustawą, możemy się spodziewać, że GIODO wyda w naszej sprawie decyzję, w której może nakazać przywrócenie stanu zgodnego z prawem poprzez:
usunięcie uchybień,
uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych,
zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, wstrzymanie przekazywania danych osobowych za granicę,
zabezpieczenie danych lub przekazanie ich innym podmiotom,
usunięcie danych osobowych.

Jeżeli GIODO wyda decyzję, z którą się nie zgadzamy:
Można zwrócić się do GIODO z wnioskiem o ponowne rozpatrzenie sprawy (odwołanie się do organu wyższej instancji jest niemożliwe - GIODO nikomu nie podlega!).
Jeżeli GIODO ponownie wyda decyzję, z która się nie zgadzamy, a uważamy, że wydając taką decyzję naruszył prawo, możemy złożyć skargę do Naczelnego Sądu Administracyjnego.

Co grozi za naruszenie ochrony danych osobowych?

GIODO może uznać, że naruszyliśmy któryś z przepisów karnych ustawy, i zawiadomić o tym prokuraturę. W takim przypadku musimy się liczyć z możliwością wszczęcia przeciwko nam postępowania karnego (wezwanie do prokuratury etc.). Ponadto inspektor (wyznaczony pracownik Biura GIODO) może żądać wszczęcia postępowania dyscyplinarnego lub innego wobec osób winnych uchybień, które wykrył podczas przeprowadzania kontroli.

Ustawa o ochronie danych osobowych przewiduje sankcje karne za naruszenie jej przepisów. I tak: Za przetwarzanie danych osobowych bez spełnienia warunków dopuszczalności ich przetwarzania lub wbrew zakazowi ustawa przewiduje grzywnę, karę ograniczenia wolności albo pozbawienie wolności do 2 lat.
Niedopuszczalne przetwarzanie danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym jest karane grzywną, ograniczeniem wolności albo pozbawieniem wolności do 3 lat.
Przechowywanie w zbiorze danych osobowych niezgodnie z celem utworzenia zbioru jest karane grzywną, ograniczeniem wolności albo pozbawieniem wolności do 1 roku.
Administrator zbioru danych lub osoba obowiązana do ochrony danych, która udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do 2 lat. Jeżeli osoba ta zrobiła to nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do 1 roku.
Jeżeli administrator danych nie dopełni (nawet nieumyślnie) obowiązku zabezpieczenia danych przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do 1 roku.
Jeśli administrator danych powinien zarejestrować zbiór, a nie zrobi tego, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do 1 roku.
Jeśli administrator danych nie poinformuje osoby, której dane dotyczą, o przetwarzaniu jej danych i o jej prawach (patrz "Obowiązek poinformowania osób, których dane zamierzamy przetwarzać"), podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do 1 roku.

Warto zajrzeć na:
http://www.giodo.gov.pl - strona GIODO
http://www.blitz.pl/index.php?i=2&menu=law&text=btxt/dane - artykuł Pawła Gały o ochronie danych osobowych w internecie
http://pl.sun.com/privacy/ - program poszanowania prywatności w internecie Sun Microsystems Inc.
http://www.giodo.gov.pl/data/filemanager_pl/35.pdf - sprawozdanie z działalności Generalnego Inspektora Ochrony Danych Osobowych
http://www.qui.art.pl/~fajgiel/Odo/aktyp_eu.html - regulacje prawne dotyczące ochrony danych w UE
http://www.qui.art.pl/~fajgiel/Odo/Dyrektywa/ - treść Dyrektywy Parlamentu i Rady 95/46/EC z 24 listopada 1995 dotycząca ochrony przetwarzania danych osobowych osób fizycznych oraz wolnego obrotu takimi danymi
http://www.psi.proinfo.pl/unia_europejska/dokumenty_efn.php?nr_dok=2 - komentarz w/w Dyrektywy
22:45, katarzyna.feliksik , GIODO
Link Dodaj komentarz »
przetwarzanie, zabezpieczenie, rejestracja zbiorów
Przetwarzanie danych osobowych przy użyciu komputerów jest tak rozpowszechnione, że kwestia ta dotyczy zdecydowanej większości organizacji. Administrator danych, przetwarzający je przy użyciu komputera, zobowiązany jest zastosować wszystkie zabezpieczenia przewidziane w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych ( Dz. U. z 2004 r., Nr 1000, poz. 1024). Są one zróżnicowane zależnie od poziomu bezpieczeństwa przetwarzania danych osobowych wprowadzonych przez rozporządzenie. Ze względu na zagrożenia i kategorie danych wyróżnia się:

a) poziom podstawowy - stosuje się, gdy w systemie informatycznym nie przetwarza się "danych wrażliwych" i żadne z urządzeń systemu nie jest połączone z siecią publiczną,
b) poziom podwyższony - gdy przetwarza się " dane wrażliwe" i i żadne z urządzeń systemu nie jest połączone z siecią publiczną,
c) poziom wysoki - stosuje się niezależnie od rodzaju przetwarzanych danych, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną.

Opis środków bezpieczeństwa, jakie musi podjąć administrator danych, w celu ich ochrony, zawiera Załącznik do rozporządzenia:
a) na poziomie podstawowym to m.in. zabezpieczenie obszaru przetwarzania danych przed dostępem osób nieuprawnionych i danych przed ich zniszczeniem, wprowadzenie mechanizmów kontroli dostępu (identyfikatory), zachowanie szczególnej ostrożności przy transporcie urządzeń zawierających chronione dane;
b) na poziomie podwyższonym należy dodatkowo wprowadzić hasła dla użytkowników systemu zawierającego dane, a urządzenia przemieszczane poza obszar przetwarzania zabezpiecza się w sposób zapewniający poufność i integralność utrwalonym na nich danym (z tym, że ustawodawca nie wyjaśnia jaki to konkretnie sposób);
c) na poziomie wysokim, gdzie istnieje połączenie systemu z siecią publiczną należy przede wszystkim wdrożyć fizyczne lub logiczne zabezpieczenia przed nieuprawnionym dostępem kogoś z zewnątrz i ochrony kryptograficznej.

Dodatkowo ogólne wymogi określają § 3-5 przywołanego Rozporządzenia. Najważniejsze wymogi to: sporządzenie i wdrożenie przez administratora dokumentacji opisującej sposób przetwarzania danych osobowych w formie polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych,
wyznaczenie administratora bezpieczeństwa informacji (osobę dbającą o bezpieczeństwo danych osobowych w systemie informatycznym),
odpowiednie zaaranżowanie pomieszczeń, w których przetwarza się dane osobowe,
zabezpieczenie komputerów (hasła, identyfikatory użytkownika, zasilanie awaryjne etc.), zapewnienie rejestrowania przez system operacyjny wszystkich operacji na danych osobowych,
sporządzenie i wydrukowanie raportu ( w zrozumiałej formie) o operacjach dokonanych na danych osobowych przez system służący do przetwarzania danych.

Kiedy można zmienić cel przetwarzania danych?

Według art. 26 ust. 2 ustawy przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza to praw i wolności osoby, której dane dotyczą, oraz następuje:
1) w celach badań naukowych, dydaktycznych, historycznych lub statystycznych,
2) z zachowaniem przepisów art. 23 (ogólne warunki dopuszczalności przetwarzania danych osobowych) i 25 (obowiązek poinformowania osób, których dane zamierzamy przetwarzać).

Zabezpieczenie zbiorów danych osobowych

Administratorzy danych osobowych muszą zapewnić im należytą ochronę przed dostępem osób niepowołanych (art. 36 ustawy). W tym celu muszą m.in.:
odpowiednio zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy, zmianą, utratą, uszkodzeniem lub zniszczeniem,
dopuszczać do komputerowego przetwarzania danych tylko osoby upoważnione przez siebie,
zapewnić kontrolę nad tym, kto, kiedy i jakie dane osobowe wprowadza do zbioru (zwracać szczególną uwagę na przesyłanie danych przez Internet),
prowadzić ewidencję osób zatrudnionych przy przetwarzaniu danych (osoby te są obowiązane zachować w tajemnicy dane osobowe, które przetwarzają).

Rejestracja zbiorów danych osobowych

Ustawa stanowi w art. 40, że zbiór danych osobowych (z wyjątkiem zbiorów zwolnionych od tego obowiązku) musi być zarejestrowany w ogólnokrajowym jawnym rejestrze zbiorów osobowych prowadzonym przez Generalnego Inspektora Ochrony Danych Osobowych. Rejestracji dokonać należy na formularzu ustalonym w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz.U. z 2004 r., Nr 100, poz. 1025).

Wzór zgłoszenia zbioru danych do rejestracji - w pliku Word dostępny na stronach GIODO: http://www.giodo.gov.pl/data/filemanager_pl/525.doc Przetwarzanie danych można rozpocząć po zgłoszeniu ich zbioru GIODO, a po rejestracji administrator może żądać wydania mu zaświadczenia o rejestracji. Inne zasady obowiązują administratorów przetwarzających "dane wrażliwe" - przetwarzanie mogą oni rozpocząć dopiero po rejestracji, a nie zgłoszeniu zbioru, a zaświadczenie otrzymują automatycznie. Jakich zbiorów nie muszą rejestrować administratorzy danych? Są to zbiory zawierające następujące dane (art. 43 ust. 1): objęte tajemnicą państwową ze względu na obronność lub bezpieczeństwo państwa, ochronę życia i zdrowia ludzi, mienia lub bezpieczeństwa i porządku publicznego, uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności, przetwarzane przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym, przetwarzane przez Generalnego Inspektora Informacji Finansowej, dotyczące członków kościoła lub innego związku wyznaniowego o uregulowanej sytuacji prawnej, dotyczące osób u nich zatrudnionych, zrzeszonych lub uczących się (nie trzeba więc rejestrować zbioru danych pracowników lub wykonawców zleceń czy listy członków stowarzyszenia), dotyczące osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej lub radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta, tworzone na podstawie ordynacji wyborczych do Sejmu, Senatu, rad gmin, rad powiatów i sejmików województw, ustawy o wyborze Prezydenta Rzeczypospolitej Polskiej oraz ustaw o referendum i ustawy o referendum gminnym, dotyczące osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności, przetwarzane wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej (np. listy wynagrodzeń pracowników, zbiory rachunków i faktur VAT), powszechnie dostępne (np. dane z książek telefonicznych), przetwarzane w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego, przetwarzane w zakresie drobnych bieżących spraw życia codziennego (np. lista osób pracujących w tym samym budynku, które mogą być wpuszczane etc.). Jeżeli chodzi o przetwarzanie danych osobowych osób reprezentujących przedsiębiorstwa, z którymi organizacja utrzymuje kontakty (np. dostawcy, sponsorzy), Generalny Inspektor uznał, że w związku z zasadą jawności obrotu gospodarczego dane o osobach reprezentujących firmy są powszechnie dostępne i zbiory takich danych nie podlegają rejestracji.
22:35, katarzyna.feliksik , GIODO
Link Dodaj komentarz »
obowiązki administratora danych
1. Obowiązek poinformowania osób, których dane zamierzamy przetwarzać

Jeżeli dane zbieramy bezpośrednio od osoby, której dane dotyczą (art. 24 ustawy), musimy poinformować ją:
kim jesteśmy (należy podać nazwę i siedzibę organizacji,
w jakim celu przetwarzamy jej dane (komu chcemy je udostępnić i komu ewentualnie chcemy je przekazywać),
o tym, że ma prawo wglądu do swoich danych i prawo ich poprawiania,
o tym czy musi podać swoje dane - wtedy należy powiadomić ją o podstawie prawnej tego obowiązku - czy nie musi (organizacje pozarządowe nie mają prawnych podstaw do zobowiązania kogoś, by podał im swoje dane osobowe).

Organizacja powinna poinformować o przetwarzaniu danych również swoich pracowników, wolontariuszy i współpracowników.

Oświadczenie

Najlepiej, żeby każda osoba, której dane przetwarzamy, podpisywała oświadczenie, że została poinformowana zgodnie z powyższymi punktami. Oświadczenie może wyglądać tak:

"Oświadczam, że zostałem/zostałam poinformowany/a o przetwarzaniu moich danych osobowych przez ............................................. w celu ............................................., o prawie wglądu do moich danych oraz ich poprawiania, a także o dobrowolności/obowiązku podania moich danych."

............................................. (podpis)

Jeżeli dane zbieramy nie od osoby, której dane dotyczą (art. 25 ust. 1 ustawy), musimy poinformować tę osobę:
skąd otrzymaliśmy jej dane,
kim jesteśmy - należy podać nazwę i siedzibę naszej organizacji, w jakim celu przetwarzamy jej dane (i komu chcemy je przekazywać),
o tym, że ma prawo do żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację (ustawa nie określa, co należy rozumieć przez "szczególna sytuację" - być może GIODO wypowie się w tej sprawie),
o tym, że ma prawo wglądu do swoich danych oraz prawo ich poprawiania,
o tym, że ma prawo wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, gdy zamierzamy je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych (jeżeli podstawą przetwarzania tych danych jest wykonywanie przez organizację zadań publicznych lub usprawiedliwiony cel organizacji)

Ustawa przewiduje w art. 25 ust. 2, że administrator danych, który zbiera dane nie od osób, których dane dotyczą, może nie informować tych osób, jeżeli:
przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą (np. ustawy o Policji, Urzędzie Ochrony Państwa, Straży Granicznej), dane przewidziane do zebrania są ogólnie dostępne (np. dane z książek telefonicznych), dane te są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą, a spełnienie obowiązku informowania wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania,
administrator danych nie przetwarza dalej zebranych danych po ich jednorazowym wykorzystaniu (wtedy musi te dane usunąć - patrz pojęcia na początku tekstu - kliknij tutaj), dane są przetwarzane przez administratora, o którym mowa w art. 3 ust. 1, na podstawie przepisów prawa (czyli przez organy państwowe oraz samorządu terytorialnego, a także państwowe i komunalne jednostki organizacyjne oraz podmioty niepaństwowe realizujące zadania publiczne),
osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1.

2. Inne obowiązki administratorów danych

Administrator danych musi również (art. 26 ust. 1):
przetwarzać dane zgodnie z prawem (dotyczy to również przepisów innych niż ustawa o ochronie danych osobowych, jeżeli przepisy te mają zastosowanie w danej sytuacji, np. ustawa o rachunkowości, ordynacja podatkowa),
zapewnić aktualność posiadanych danych (jeżeli administrator zostanie poinformowany np. o zmianie adresu danej osoby, to musi zmienić ten zapis w swoim zbiorze), przetwarzać tylko te dane, które odpowiadają celowi ich przetwarzania (np. dla identyfikacji osoby raczej nie jest konieczne jednoczesne przetwarzanie numeru PESEL, numeru dowodu osobistego, imion i nazwisk rodowych rodziców, numeru prawa jazdy, numeru książeczki wojskowej etc.),
przechowywać dane nie dłużej, niż jest to niezbędne (np. jeżeli klient oświadcza, że już nie chce korzystać z naszej pomocy, należy usunąć jego dane osobowe).

3. Udostępnianie danych osobowych

Może się zdarzyć, że zwróci się do nas osoba lub instytucja z prośbą o udostępnienie jej posiadanych przez nas danych osobowych. Udostępnianie danych osobowym innym podmiotom reguluje art. 29 ustawy. GIODO uważa również, że jeśli dana osoba lub instytucja chce włączyć otrzymane dane do swojego zbioru, zastosowanie ma również art. 23 ust. 1 ustawy.

Możliwe są następujące sytuacje:
Instytucja, która się do nas zwraca, jest uprawniona do otrzymywania danych osobowych (zwykle jest to policja, Urząd Ochrony Państwa, prokuratura etc.). W takim przypadku mamy obowiązek udostępnić posiadane dane osobowe, jednak przedstawiciele tej instytucji muszą podać nam prawną podstawę swojego żądania.
Osoba lub instytucja nie ma bezwzględnego uprawnienia do otrzymania danych osobowych. Według Generalnego Inspektora, jeżeli ta osoba/instytucja chce włączyć otrzymane dane do swojego zbioru danych osobowych, to możemy udostępnić jej te dane wtedy, gdy ma do tego podstawę wymienioną w art. 23 ustawy o ochronie danych osobowych. Jeżeli natomiast ta osoba nie zamierza włączać danych do zbioru, to możemy je udostępnić, jeżeli w sposób wiarygodny uzasadni ona potrzebę posiadania tych danych, a ich udostępnienie nie naruszy praw i wolności osób, których dane dotyczą (do nas należy ocena, czy to uzasadnienie jest wiarygodne, i my podejmujemy decyzję o udostępnieniu danych osobowych lub odmawiamy udostępnienia).

Art. 45 pkt 2 ustawy stanowi, że wzór wniosku o udostępnienie danych osobowych w celu innym niż włączenie do zbioru, o którym mowa w art. 29 ust. 3 ustawy, określi rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dn. 3 czerwca 1998 r. w sprawie określenia wzorów wniosku o udostępnienie danych osobowych, zgłoszenia zbioru danych do rejestracji oraz imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych (Dz. U. z 1998 r., Nr 80, poz. 522 z późn. zm.

Osoba, której odmówiono udostępnienia danych osobowych, może zwrócić się do Generalnego Inspektora o wydanie decyzji nakazującej administratorowi danych ich udostępnienie.

Przekazywanie danych osobowych za granicę

Zgodnie z art. 47 ust. 1 ustawy przekazanie danych osobowych za granicę może nastąpić wtedy, gdy dany kraj jest "bezpieczny", czyli zapewnia przynajmniej taki poziom ochrony danych osobowych jak Polska. Nie istnieje lista takich krajów - za bezpieczne można uznać np. kraje Unii Europejskiej. Należy przede wszystkim sprawdzić, czy dany kraj ma swoją ustawę o ochronie danych osobowych i czy istnieje tam organ państwowy zajmujący się ochroną tych danych.

Można przekazać dane do kraju, który nie jest "bezpieczny", jeżeli zachodzi jeden z przypadków wymienionych art. 47 ust. 2 lub 3 ustawy (m.in. gdy jest pisemna zgoda osoby, której dane dotyczą, gdy administrator danych robi to dla wykonania umowy z tą osobą, gdy dane są ogólnie dostępne etc.).

W przypadku, gdy administrator danych oceni, że dany kraj nie jest "bezpieczny", powinien zwrócić się do GIODO o wyrażenie zgody na przekazanie danych osobowych do takiego kraju. Zgoda jest wyrażana w formie decyzji, od której przysługuje odwołanie.
22:30, katarzyna.feliksik , GIODO
Link Dodaj komentarz »
Dane wrażliwe - Warunki przetwarzania specjalnych rodzajów danych osobowych
Oprócz "zwykłych" danych osobowych ustawa objęła pewne rodzaje danych szczególną ochroną (tzw. dane wrażliwe). Są to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową oraz dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym (art. 27 ust. 1).

Ustawa stanowi, że przetwarzanie tych danych jest, co do zasady, niedopuszczalne, a ich przetwarzanie jest możliwe tylko w ściśle określonych sytuacjach (wymienionych w art. 27 ust. 2 ustawy). Są to m.in. sytuacje, gdy:
osoba, której dane dotyczą, wyrazi na to zgodę na piśmie,
przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony (np. Urząd Ochrony Państwa może przetwarzać dane o przynależności partyjnej i związkowej, jeżeli osoba ubiega się o dostęp do tajemnicy państwowej),
jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych (np. stowarzyszenie chorych na choroby serca może przetwarzać dane o stanie zdrowia swoich członków, ale nie może ich np. udostępnić firmie farmaceutycznej),
przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem (np. adwokat lub członek organizacji występujący jako przedstawiciel społeczny w sądzie przetwarzają dane o stanie zdrowia osoby rannej w wypadku w sprawie o odszkodowanie),
przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie (pracodawca, czyli np. organizacja, może przechowywać w aktach pracowników m. in. wyniki ich badań wstępnych i okresowych, jeżeli skierował ich na te badania; może też przechowywać dane dotyczące osób, z którymi zawarł umowę o dzieło lub umowę zlecenie), przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą (np. publiczne przyznanie się do poważnej choroby),
jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone,
przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.

Zalecane jest, by w przypadku wątpliwości, czy jest dopuszczalne przetwarzanie takich danych, zwracać się do osób, których dane dotyczą, o wyrażenie zgody na przetwarzanie ich danych - Generalny Inspektor zawsze może uznać, że dana przesłanka nie ma w danym przypadku zastosowania.
22:25, katarzyna.feliksik , GIODO
Link Dodaj komentarz »
gólne warunki przetwarzania danych
Ustawa stwierdza w art. 23 ust. 1, że przetwarzanie danych osobowych jest dopuszczalne tylko wtedy, gdy:
osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie danych jej dotyczących, zezwalają na to przepisy prawa, w zakresie w jakim jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku z tego przepisu wynikającego (np. na mocy odpowiedniego rozporządzenia szkoła może prowadzić dzienniki lekcyjne z niektórymi danymi osobowymi uczniów i ich rodziców, gmina może przetwarzać dane osób korzystających z pomocy społecznej etc.), jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia koniecznych działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (dotyczy to m.in. pracowników organizacji, a także osób wykonujących umowy zlecenia i umowy o dzieło), jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (np. gdy stowarzyszenie wykonuje zlecone przez gminę zadania z zakresu pomocy społecznej), jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2, lub odbiorców danych (osób trzecich, którym są przekazywane te dane) - a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą.
Za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważa się w szczególności: marketing bezpośredni własnych produktów lub usług administratora danych, dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

Należy zachować dużą ostrożność w korzystaniu z ostatniej wymienionej przesłanki. Pomimo że ustawa przewiduje możliwość powoływania się na nią, Generalny Inspektor może nie uznać danego celu za usprawiedliwiony i stwierdzić, że administrator danych miał możliwość uzyskania zgody osób, których dane dotyczą. Ustawa, poprzez zwrot "w szczególności", wskazuje tylko jako przykład dwie najczęściej uznawane za cel prawnie usprawiedliwiony sytuacje, których w rzeczywistości może być więcej.

Wyjaśnienia wymaga kwestia przetwarzania danych osobowych osób znanych, łatwych do rozpoznania (członkowie zarządów przedsiębiorstw, "osoby kontaktowe" z przedsiębiorstw, fundacji, stowarzyszeń itd.). Ostatnio GIODO stał na stanowisku, że przetwarzanie ich danych osobowych jest oparte na usprawiedliwionym celu administratorów danych (jeżeli ich działalność jest w jakiś sposób związana ze sferą działalności tych osób, utrzymują kontakty z ich firmami, ale nie zamierzają wykorzystać ich danych np. w celu wysyłania im ulotek reklamowych jakiejś firmy).
22:23, katarzyna.feliksik , GIODO
Link Dodaj komentarz »
Ochrona danych osobowych - pojęcia podstawowe - wyjaśnienie pojęć ustawowych
Wyjaśnienie poniższych terminów znajduje się w art. 6 i 7 ustawy.

DANE OSOBOWE - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej

OSOBA MOŻLIWA DO ZIDENTYFIKOWANIA - osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Oznacza to, że za dane osobowe będzie uważany taki zestaw informacji, który pozwoli na wskazanie, o jakiej konkretnej osobie jest mowa. Nie będą zatem (co do zasady) danymi osobowymi zestawienia informacji typu "Andrzej, lat 40, nauczyciel fizyki", gdyż taka charakterystyka osoby nie pozwoli na ustalenie, o kim mowa. Przetwarzając jednak dane według schematu: "Andrzej, lat 40, nauczyciel fizyki w Szkole Podstawowej nr 10 w Warszawie", mamy już do czynienia z danymi osobowymi, gdyż jest mało prawdopodobne, by w tej samej szkole był więcej niż jeden nauczyciel fizyki o imieniu Andrzej, mający 40 lat.

WAŻNE: Nie istnieje zatem ustalone minimum ilości informacji, poniżej którego informacje te nie są już danymi osobowymi. Należy przyjąć, że każda informacja o osobie fizycznej może w określonych sytuacjach zostać uznana za daną osobową i tym samym może zostać objęta ustawą.

UWAGA: Nie są danymi osobowymi informacje o przedsiębiorstwach, organizacjach, partiach politycznych i innych jednostkach organizacyjnych. Sytuacja zmienia się, jeżeli równocześnie z informacjami o przedsiębiorstwie będą przetwarzane informacje o osobach fizycznych, np. członkach jego zarządu czy innych pracownikach.

ZBIÓR DANYCH - każdy, posiadający strukturę, zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Zbiorem danych będzie na pewno każda kartoteka, skorowidz, rejestr - wszystkie informacje w jakiś sposób ułożone. Nie będzie zbiorem danych np. sterta korespondencji przychodzącej, nie podzielona według żadnego kryterium.

USUWANIE DANYCH - zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą.

SYSTEM INFORMATYCZNY - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.

ZABEZPIECZENIE DANYCH W SYSTEMIE INFORMATYCZNYM - wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem

PRZETWARZANIE DANYCH - jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te operacje, które wykonuje się w systemach informatycznych. Zdecydowanie nie jest polecane stanowisko typu: "Ja nie przetwarzam danych osobowych, ja tylko je przechowuję" - może nas to wpędzić w kłopoty. Przetwarzanie danych to nie tylko ich zmienianie! W rozumieniu ustawy przetwarzamy dane osobowe również wtedy, gdy nie zmieniamy ich postaci i nie używamy ich (np. przechowujemy je w kartotece, do której nikt nie zagląda).

ADMINISTRATOR DANYCH - każdy organ, instytucja, jednostka organizacyjna lub osoba, decydujące o celach i środkach przetwarzania danych osobowych. W przypadku osoby prawnej (fundacja, stowarzyszenie) lub jednostki organizacyjnej w kwestiach związanych z ochroną danych osobowych będzie ją reprezentował zarząd lub inny organ powołany do reprezentowania. Jeżeli zbiór danych jest prowadzony przez organizację, to administratorem danych jest ta organizacja, a nie jej pracownik czy wolontariusz! Nie będzie administratorem danych podmiot, który przetwarza dane osobowe dla innego podmiotu, np. na zasadzie umowy zlecenia czy umowy o dzieło (art. 31 ustawy przewiduje taką możliwość i wymienia warunki powierzenia przetwarzania danych).

ODBIORCA DANYCH - to każda osoba, której udostępnia się dane osobowe z wyjątkiem: osoby, której dotyczą, osoby je przetwarzającej, organów państwowych lud samorządu terytorialnego otrzymujących dane w związku z prowadzonym przez nie postępowaniem, przedstawiciela administratora z państwa trzeciego, osoby, z którą administrator powierzył przetwarzanie danych na podstawie pisemnej umowy.

ZGODA OSOBY, KTÓREJ DANE DOTYCZĄ - oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Nie będzie zatem wystarczające np. poinformowanie osoby, że jakaś czynność z jej strony będzie uważana za zgodę na przetwarzanie jej danych osobowych. Zgoda musi mieć formę odrębnego oświadczenia - ze względów dowodowych najlepiej byłoby, gdyby była wyrażona na piśmie. Z jej treści musi wynikać w jakim celu (np. dla potrzeb marketingowych) oraz jakie kategorie danych (imię, nazwisko, adres, telefon) objęte zostały zgodą na przetwarzanie. Jeśli zgoda nie spełnia tych wymogów nie można jej wtedy uznać za prawidłowo złożoną, a tym samym Administrator nie ma prawa realizować przetwarzania danych objętych taką wadliwą zgodą.

Wyrażenie zgody może brzmieć np. tak: Wyrażam zgodę na przetwarzanie moich następujących danych osobowych:

- (...)

- (...)

przez ............................ (nazwa administratora danych)

w celu ............................ (cel przetwarzania danych)


Zakres działania ustawy

Art. 2 ust. 2 ustawy o ochronie danych osobowych stanowi, że ustawę tę stosuje się do przetwarzania danych osobowych w systemach informatycznych oraz w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych. Będą zatem podlegały jej wszystkie dane osobowe (w rozumieniu art.6 ust.1 ustawy), na których dokonywane są jakiekolwiek operacje (takie jak zbieranie, przechowywanie, utrwalanie), niezależnie od tego czy ostatecznie znalazły się w zbiorze danych.

Ustawa nie ma zastosowania do osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych (art. 3 ust. 4 ustawy). Nie podlegają jej zatem prywatne notatniki, bazy danych itp. Przepisów ustawy nie stosuje się też do podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim (tj. nienależące do Europejskiego Obszaru Godpodarczego), wykorzystujących środki techniczne znajdujące się na terytorium RP wyłącznie do przekazywania danych oraz do prasowej działalności dziennikarskiej.

Art. 2 ust. 3 ustawy stanowi, że w odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5 ustawy (tzn. obowiązek zabezpieczenia zbioru danych).
22:21, katarzyna.feliksik , GIODO
Link Dodaj komentarz »
Ochrona danych osobowych a organizacje pozarządowe
Opracowanie I wydania: Marek Tulipan; aktualizacja III wydania: Kamila Marciniak; aktualizacja II wydania: Igor Kamiński -> prawo.ngo.pl

Stan prawny na dzień 1 czerwca 2004 r., wydanie III poprawione



Dnia 30 kwietnia 1999 r. weszła w życie ustawa o ochronie danych osobowych, która ustaliła zasady tej ochrony oraz stworzyła powołany do tego urząd - Generalnego Inspektora Ochrony Danych Osobowych (GIODO). GIODO sprawuje kontrolę nad przetwarzaniem danych osobowych i w związku z tym przysługują mu pewne uprawnienia.

Niniejszy tekst ma na celu pomóc ominąć pułapki, na jakie natrafić może organizacja pozarządowa przy przetwarzaniu danych osobowych. Chcemy też wyjaśnić, jakie informacje nie są danymi osobowymi, ponieważ zdarza się, że nazwa ta jest nadużywana i przypisywana niesłusznie niektórym rodzajom danych. Akty prawne regulujące przetwarzanie danych osobowych:

1) Ustawa z dn. 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 1997 r., Nr 133, poz. 883 z późn. zm.)
2) Ustawa z dnia 22 stycznia 2004 r. o zmianie ustawy o ochronie danych osobowych oraz ustawy o wynagrodzeniu osób zajmujących kierownicze stanowiska państwowe (Dz. U. z 2004 r., Nr 33, poz. 285)
3) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r., Nr 1000, poz. 1024)
4) Rozporządzenie Ministra Sprawiedliwości z dnia 28 kwietnia 2004 r. w sprawie sposobu technicznego przygotowania systemów i sieci służących do przekazywania informacji - do gromadzenia wykazów połączeń telefonicznych i innych przekazów informacji oraz sposobów zabezpieczania danych informatycznych (Dz. U. z 2004 r., Nr 100, poz. 1023)
5) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz.U. z 2004 r., Nr 100, poz. 1025); wzór zgłoszenia zbioru danych do rejestracji - w pliku Word dostępny na stronach GIODO: http://www.giodo.gov.pl/data/filemanager_pl/525.doc

Tekst ustawy i rozporządzeń wykonawczych, a także opinie GIODO dostępne są na stronie internetowej: www.giodo.gov.pl. Jeżeli mamy wątpliwości co do znaczenia przepisów ustawy, możemy:
wysłać do Biura Generalnego Inspektora Ochrony Danych Osobowych zapytanie prawne (adres: ul. Stawki 2, 00-193 Warszawa),
zasięgnąć porady telefonicznej w Departamencie Prawnym Biura GIODO, tel. (22) 860 73 12; informacje o ustawie udzielane są pod numerem telefonu: (0-22) 860 70 92
wysłać pytanie e-mailem na adres: sekretariat@giodo.gov.pl
Uwaga: W e-mailu podajemy zawsze swój zwykły adres pocztowy - bez tego nie dostaniemy odpowiedzi!
22:13, katarzyna.feliksik , GIODO
Link Komentarze (1) »
Jak rozgryźć "lex specialis"...
elementy prawa - zaczerpnięte ze sciaga.pl

KOLIZJA NORM PRAWNYCH

Kolizja to oznaczenie tego rodzaju sytuacji, w której dany przypadek jest unormowany przez więcej niż jeden przepis prawa, a przepisy te wyznaczają adresatom wzajemnie wyłączające się sposoby zachowania (skutki prawne) Rodzaje reguł kolizyjnych:
  • „Lex superior derogat legi inferiori” – akt wyższego rzędu uchyla moc obowiązującą aktu niższego rzędu
  • „Lex posterior derogat legi priori” – kryterium decydującym jest czas (data) wydania danego aktu prawnego. Późniejszy akt prawny uchyla moc obowiązującą aktu wcześniejszego, należy zatem kierować się postanowieniami aktu późniejszego, czyli tego który został wydany później.
  • „Lex specialis derogat legi generali” – rozróżnienie przepisów prawa o charakterze legis generalis i legis specialis. Lex generalis jest przepisem wiążącym określone skutki prawne z daną klasą faktów prawnych, lex specialis – klasy faktów wydziela pewien ich rodzaj, z którym wiąże odmienne skutki prawne, inne niż lex generalis. W myśl omawianej zasady: przepisy (akty) szczególne derogują przepisy o charakterze ogólnym.
    Kolizje reguł kolizyjnych:
    1. Kolizja między kryteriami hierarchiczności i chronologiczności zachodzi wówczas, gdy norma wcześniejsza jest hierarchicznie nadrzędna, natomiast norma późniejsza jest hierarchicznie niższa.
    2. Kolizja między kryterium szczególności i chronologiczności występuje wówczas, gdy akt wydany wcześniej jest aktem szczególnym, natomiast aktem wydanym później – lex generalis.
  • 18:28, katarzyna.feliksik , GIODO
    Link Dodaj komentarz »
    Mass mailing w małym przedsiębiorstwie
    00:28, katarzyna.feliksik , GIODO
    Link Dodaj komentarz »
     
    1 , 2