Wciąż bardzo rozpowszechnione jest przekonanie, że obowiązki w zakresie ochrony danych osobowych są nowością, która została wprowadzona dopiero przed kilkoma laty, lub wręcz miesiącami. Jest to błędne przekonanie, ponieważ ustawa o ochronie danych osobowych obowiązuje już od blisko 20 lat – weszła w życie dokładnie z dniem 30 kwietnia 1998 roku.
Oczywiście zakres obowiązków związanych z ochroną danych osobowych zmieniał się na przestrzeni lat, wciąż obowiązujące rozporządzenie do art. 39a uodo, zawierające szczegółowe wymagania, jakie spełniać musi dokumentacja, prowadzona przez każdego administratora danych osobowych (czyli w szczególności polityka bezpieczeństwa oraz instrukcja zarządzania systemem ) weszło w życie dopiero z dniem 1 maja 2004 roku, czyli z dniem wejścia Polski do Unii Europejskiej, nie było jednak ono do tej pory modyfikowane, w odróżnieniu do ustawy o ochronie danych osobowych, która była poddawana wielu zmianom.
Wszelkie osoby, zobowiązane do stosowania przepisów o ochronie danych osobowych powinny zwrócić uwagę na fakt, że od początku obowiązywania ustawy o ochronie danych osobowych zostały ogłoszone 4 teksty jednolite uodo – w roku 2002, 2014, 2015 a najnowszy tekst jednolity został ogłoszony w roku 2016
SŁOWNICZEK AKTÓW PRAWNYCH
- Ilekroć w części informacyjnej, pytaniach testowych lub wariantach odpowiedzi pojawiają się poniższe sformułowania:
- RODO, Rozporządzenie UE – należy przez to rozumieć Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Tekst mający znaczenie dla EOG)
- uodo, ustawa o ochronie danych osobowych – należy przez to rozumieć ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 1997 Nr 133 poz. 883 z późn. zm.)
- rozporządzenie do art. 39a uodo – należy przez to rozumieć rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. Nr 100, poz. 1024)
UWAGA!
Główne pojęcia zawarte w ustawie o ochronie danych osobowych:
Administrator danych osobowych (często w praktyce stosuje się skrót „ADO”), czyli organ, jednostka organizacyjna, lub osoba, o których mowa w art. 3 ustawy, decydujące o celach i środkach przetwarzania danych osobowych. Administratorem danych osobowych jest np. osoba prowadząca działalność gospodarczą lub spółka (należy jednak pamiętać, że np. spółka z ograniczoną odpowiedzialnością działa przez swoje organy, więc praktyce – obowiązki ADO w spółce z o.o. wykonywane będą przez prezesa zarządu, jako osobę, która stoi na czele struktury organizacyjnej).
Administratora danych osobowych nie należy mylić z administratorem bezpieczeństwa informacji (w praktyce określanym jako „ABI”), o którym szerzej w części VII.
Zbiór danych osobowych – Zgodnie z art. 7 pkt 1 uodo: zbiorem danych określa się każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. W praktyce należy odróżnić pojęcie zbioru danych od często stosowanego w praktyce pojęcia „bazy danych”, które zostało zdefiniowane odrębnej ustawie. Należy pamiętać, że jeden zbiór danych może być przetwarzany przy użyciu różnych „narzędzi” – takimi narzędziami mogą być konkretne programy informatyczne – np. zbiór danych osobowych pracowników może być przetwarzany przy użyciu różnego rodzaju programów, kartotek lub ewidencji, ale to nie oznacza, że każdy z tych programów stanowi odrębny zbiór danych. Decydującym kryterium przy wyodrębnianiu zbioru danych powinien być cel przetwarzania i podstawa prawna.
Przetwarzanie danych – zgodnie z art. 7 pkt 2 uodo: jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Należy zwrócić uwagę, że już samo przechowywanie danych stanowi ich przetwarzanie w rozumieniu uodo – definicja została więc określona w sposób bardzo szeroki.
Jako „dane osobowe” – zgodnie z art. 6 ust. 1 uodo należy rozumieć wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Przy czym za możliwą do zidentyfikowania uznaje się osobę, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
Art. 6 ust. 3 uodo stanowi, że informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań – nie jest w ustawie zdefiniowane określenie „nadmierne koszty”, w praktyce więc należy podchodzić z ostrożnością do tego przepisu.
Art. 6 ust. 3 uodo stanowi, że informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań – nie jest w ustawie zdefiniowane określenie „nadmierne koszty”, w praktyce więc należy podchodzić z ostrożnością do tego przepisu.
Zgodnie z art. 1 ust. 1 uodo każdy ma prawo do ochrony dotyczących go danych osobowych, niezależnie więc od wieku, obywatelstwa i zdolności do czynności prawnych, każda osoba objęta jest ochroną jej danych osobowych.
Ochrona danych osobowych dotyczy osób żyjących (jedynie w wyjątkowych przypadkach dane np. o chorobach genetycznych osób zmarłych mogą stanowić informację o charakterze np. danych osobowych o stanie zdrowia żyjących członków rodziny).
Ustawa o ochronie danych osobowych reguluje działalność organu nadzorczego w zakresie ochrony danych osobowych, jakim jest Generalny Inspektor Ochrony Danych Osobowych (w skrócie GIODO).
GIODO jest organem działającym w ramach prawa administracyjnego powołanym w celu kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych – w dotychczasowym stanie prawnym nie posiada on uprawnienia do nakładania kar finansowych (z wyłączeniem grzywn przymuszających do wykonania decyzji administracyjnych, o czym szerzej w części IX) inspektorzy GIODO (osoby upoważnione przez Generalnego Inspektora Ochrony Danych Osobowych) mogą jednak, w godzinach w godzinach od 6:00 do 22:00, za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych, i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą.
Wszelkie prawa zastrzeżone. RBDO 2017
Zakaz rozpowszechniania materiału w jakiejkolwiek wersji papierowej i elektronicznej bez pozwolenia RBDO.
Rekomendujemy wdrożenie jednego z poniższych wariantów, w zależności od Państwa potrzeb:
a) podstawowy element wymagany w niemal każdej firmie i jednostce organizacyjnej – Dokumentacja ochrony danych dla firm, szkół lub organizacji – w ofercie za 99 zł netto + 23% VAT
b) jeśli posiadasz dodatkowo zbiory podlegające rejestracji do GIODO – zamów Dokumentację z Instrukcją zgłoszenia do GIODO oraz e-szkoleniem – w ofercie za 199 zł netto + 23% VAT
c) jeśli chcesz zlecić audyt i rejestrację zbiorów prawnikowi wówczas zamów audyt z dokumentacją i rejestracją zbiorów do GIODO – 699 zł netto + 23% VAT
d) jeśli szukasz kompleksowej usługi ze szkoleniem wyznaczonej osoby – wówczas zamów kompleksowe wdrożenie ze szkoleniem + 12 m-cy wsparcia prawnego – 2690 z ł netto + 23% VAT
W przypadku pytań zapraszamy do kontaktu pod mailem: biuro@rbdo.pl lub numerem infolinii czynnej od poniedziałku do piątku w godz. 9 – 17.: (22) 487 86 70
Zapraszam do współpracy,
Łukasz Cieniak
Dyrektor Generalny RBDO
Rejestracja i Bezpieczeństwo Danych Osobowych
E: biuro@rbdo.pl
T: (22) 487 86 70
K: +48 664 484 218
Biuro obsługi RBDO
ul. Kopalniana 22a/7
01-321 Warszawa
Legis Profile Sp. z o.o.
NIP: 522-302-50-86
KRS: 0000549436