Dane osobowe
Definicja danych osobowych znajduje się wart.6 ustawy o ochronie danych osobowych. Danymi osobowymi są wszelkie informacje dotyczące konkretnej osoby, za pomocą których bez większego wysiłku można tę osobę zidentyfikować, chociaż nie jest ona wyraźnie wskazana. Możliwą do zidentyfikowania jest taka osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności poprzez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
Do danych osobowych zalicza się więc nie tylko imię, nazwisko i adres osoby, ale również przypisane jej numery, dane o cechach fizjologicznych, umysłowych, ekonomicznych, kulturowych i społecznych.
Danymi osobowymi nie będą zatem pojedyncze informacje o dużym stopniu ogólności, np. sama nazwa ulicy i numer domu, w którym mieszka wiele osób, czy wysokość wynagrodzenia. Informacja ta będzie jednak stanowić dane osobowe wówczas, gdy zostanie zestawiona z innymi, dodatkowymi informacjami, np. imieniem i nazwiskiem czy numerem PESEL, które w konsekwencji można odnieść do konkretnej osoby.
Dane szczególnie chronione wyliczone są w art. 27 ust. 1 ustawy. Są to informacje o pochodzeniu rasowym lub etnicznym, poglądach politycznych, religijnych, filozoficznych, wyznaniu, przynależności do partii lub związku, stanie zdrowia, kodzie genetycznym, nałogach, życiu seksualnym, skazaniach, orzeczeniach o ukaraniu, mandatach i innych orzeczeniach wydanych w postępowaniu przed sądem lub urzędem. Na administratorów tych danych ustawa nakłada bardziej rygorystyczne obowiązki niż na administratorów danych „zwykłych”.
Dane „zwykłe”
Nie jest to pojęcie zdefiniowane w ustawie o ochronie danych osobowych, ale tak nazywane są dane osobowe poza wymienionymi w art. 27 ust. 1 ustawy. Zaliczamy do nich np. imię, nazwisko, adres zamieszkania, datę urodzenia, nr PESEL.
Danymi osobowymi nie są informacje o osobach zmarłych
Firmy, urzędy i instytucje publiczne, odmawiając udzielenia informacji o osobach zmarłych, powołują się na ustawę o ochronie danych osobowych. Ustawa o ochronie danych osobowych nie może jednak stanowić podstawy takiej odmowy, ponieważ nie dotyczy ona osób zmarłych.
Generalny Inspektor Ochrony Danych Osobowych
GIODO kontroluje zgodność przetwarzania danych z przepisami ustawy, wydaje decyzje administracyjne i rozpatruje skargi w sprawach wykonania przepisów o ochronie danych osobowych, prowadzi rejestr zbiorów danych, opiniuje akty prawne dotyczące ochrony danych osobowych, inicjuje i podejmuje przedsięwzięcia w zakresie doskonalenia ochrony danych osobowych, uczestniczy w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych.
Administrator Bezpieczeństwa Informacji
Oznacza osobę nadzorująca z upoważnienia administratora danych osobowych przestrzeganie stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych w sposób odpowiedni do zagrożeń oraz kategorii danych objętych ochroną. Wedle interpretacji Generalnego Inspektora Ochrony Danych Osobowych administratorem bezpieczeństwa informacji może być wyłącznie osoba fizyczna. Wyznaczenie administratora bezpieczeństwa informacji jest fakultatywne. W przypadku niepowołania ABI, czynności jemu przypisane wykonuje administrator danych osobowych.
Jeśli ABI zostanie powołany, to będzie na nim spoczywać szereg obowiązków. Podstawowym obowiązkiem będzie zapewnienie przestrzegania przepisów o ochronie danych osobowych, w szczególności poprzez:
a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
b) nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych i środki techniczne oraz organizacyjne zapewniające jej ochronę i przestrzegania zasad w niej określonych,
c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.
Do obowiązków ABI należy też prowadzenie rejestru zbioru danych przetwarzanych przez administratora danych. Dzięki powołaniu ABI nie trzeba już zgłaszać zbiorów danych do rejestracji w GIODO. Zamiast tego jawny rejestr prowadzi ABI.
ABI powinien też być przygotowany na to, że może się do niego zwrócić GIODO z żądaniem dokonania sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. W takim przypadku po dokonaniu sprawdzenia ABI opracowuje sprawozdanie, które za pośrednictwem administratora danych przekazywane jest GIODO.
Przetwarzanie danych osobowych
Przetwarzanie oznacza jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
Dane osobowe można przetwarzać w ściśle określonych przez prawo sytuacjach (art. 23 ustawy o ochronie danych osobowych):
osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie tych danych,
jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Istnieje generalny zakaz przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym z wyjątkiem sytuacji ściśle określonych przepisami.
Za zgodne z prawem przetwarzanie danych osobowych odpowiada administrator danych osobowych, który może wyznaczyć administratora bezpieczeństwa informacji nadzorującego przestrzeganie przepisów w zakresie ochrony danych osobowych.
Zgodę na przetwarzanie danych może wyrazić tylko osoba mająca pełną zdolność do czynności prawnych, tj. osoba pełnoletnia, która nie jest ubezwłasnowolniona. Zgoda musi być wyrażona świadomie i jednoznacznie, tj. nie można uznać, że dokonując zakupów np. w sklepie internetowym klient równocześnie wyraża zgodę na przetwarzanie danych osobowych.
NAJWAŻNIEJSZE OBOWIĄZKI PRZETWARZANIA DANYCH OSOBOWYCH
Każde przedsiębiorstwo lub inna jednostka organizacyjna zatrudniająca choćby pracownika lub posiadająca w jakiejkolwiek formie dane Klientów będącymi osobami fizycznymi, przetwarza dane
osobowe w rozumieniu ustawy o ochronie danych osobowych.
Sklepy internetowe, biura rachunkowe, hotele, spółdzielnie, urzędy, stowarzyszenia,
placówki edukacyjne, medyczne i inne podmioty przetwarzają dane osobowe. Podmioty przetwarzające dane osobowe swoich Klientów, podlegają ustawie o ochronie danych osobowych.
Podmiot przetwarzający dane osobowe musi posiadać odpowiednią dokumentację, w tym szczególnie dokument Polityki Bezpieczeństwa, Instrukcję Zarządzania Systemem Informatycznym oraz Ewidencję osób upoważnionych do przetwarzania danych osobowych.
Jednym z obowiązków związanym z przetwarzaniem danych osobowych jest posiadanie zgody na ich przetwarzanie. Uwaga! Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Przetwarzanie danych Klientów w celu sprzedaży nie wymaga zgody, ponieważ
przetwarzane są w celu realizacji umowy, art. 23 ust. 1 pkt 3. Jako „prawnie usprawiedliwiony cel”, który może stanowić podstawę przetwarzania danych - ustawa uznaje „marketing własnych produktów lub usług”. Administrator Danych Osobowych jest zobowiązany do poinformowania danych osób, których dane przetwarza, m.in. o siedzibie, pełnej nazwie oraz prawie dostępu do treści oraz prawie do ich poprawiania
Każdy Administrator Danych Osobowych musi prowadzić dokumentację opisującą sposób przetwarzania danych oraz środki techniczne i organizacyjne, które służyć mają ochronie danych osobowych, co zostało określone w rozporządzeniu do art. 39a ustawy, w szczególności: „Politykę
Bezpieczeństwa”, „Instrukcję Zarządzania Systemem Informatycznym” (jeżeli dane są wprowadzane do systemu informatycznego) oraz „Ewidencje osób upoważnionych do przetwarzania danych osobowych”.
ABW - Ochrona informacji niejawnych
Głównym aktem prawnym, który określa zasady i organizację systemu ochrony informacji niejawnych w Polsce jest ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych, zwana dalej „ustawą”, która zastąpiła regulację o tej samej nazwie z 1999 r.
Realizacja przez ABW zadań nałożonych przez przepisy ustawy ma głównie charakter prewencyjny, wynikający z nierepresyjnej filozofii systemu ochrony informacji niejawnych, zgodnego z wypracowanymi przez lata w krajach o ugruntowanej strukturze demokratycznej standardami. Koncentracja na działaniach systemowych, opartych na zapobieganiu i minimalizowaniu zagrożeń w tym obszarze, ma na celu skuteczne zapobieganie przypadkom ujawniania informacji niejawnych podmiotom do tego nieuprawnionym, a gdy do takiego przypadku dojdzie - na precyzyjne ustalenie osób za to odpowiedzialnych i uzupełnianie systemu o wnioski wynikające z wykrytych nieprawidłowości. Dostrzegalne w przestrzeni społecznej działania ABW w zakresie ochrony informacji niejawnych są realizowane w dwóch zasadniczych obszarach: nadzorze nad systemem ochrony informacji niejawnych, który realizowany jest przez funkcjonariuszy Departamentu Ochrony Informacji Niejawnych oraz Wydziałów Ochrony Informacji Niejawnych w Delegaturach ABW i w bezpieczeństwie teleinformatycznym, które to zadania realizuje Departament Bezpieczeństwa Teleinformatycznego.
Na system ochrony informacji niejawnych składają takie zagadnienia jak:
bezpieczeństwo osobowe,
szkolenia,
bezpieczeństwo przemysłowe,
ABW i SKW, nadzorując funkcjonowanie systemu ochrony informacji niejawnych
w jednostkach organizacyjnych pozostających w ich właściwości
prowadzą kontrolę ochrony informacji niejawnych i przestrzegania przepisów |
|
realizują zadania w zakresie bezpieczeństwa systemów teleinformatycznych; |
|
prowadzą postępowania sprawdzające, kontrolne postępowania sprawdzające oraz postępowania bezpieczeństwa przemysłowego; |
|
zapewniają ochronę informacji niejawnych wymienianych między Rzeczpospolitą Polską a innymi państwami lub organizacjami międzynarodowymi; |
|
prowadzą doradztwo i szkolenia w zakresie ochrony informacji niejawnych.
|