ŹRÓDŁA PRAWA OCHRONY DANYCH OSOBOWYCH KONSTYTUCJA RP ART. 47 I 51 USTAWA O OCHRONIE DANYCH OSOBOWYCH KONWENCJA NR 108 RADY EUROPY DYREKTYWA 95/46 PARLAMENTU.

1 ŹRÓDŁA PRAWA OCHRONY DANYCH OSOBOWYCH KONSTYTUCJA RP AR...
Author: Janina Sobczyk
0 downloads 0 Views

1 ŹRÓDŁA PRAWA OCHRONY DANYCH OSOBOWYCH KONSTYTUCJA RP ART. 47 I 51 USTAWA O OCHRONIE DANYCH OSOBOWYCH KONWENCJA NR 108 RADY EUROPY DYREKTYWA 95/46 PARLAMENTU EUROPEJSKIEGO I RADY WE EUROPEJSKA KONWENCJA PRAW CZŁOWIEKA INNE PRZEPISY PRAWA STANOWIĄCE PODSTAWĘ PRZETWARZANIA DANYCH, NP. ART. 22 (1) KODEKSU PRACY PRZEPISY O DOSTĘPIE DO INFORMACJI PUBLICZNEJ AKTY WYKONAWCZE DO USTAWY O OCHRONIE DANYCH OSOBOWYCH

2 KONSTYTUCYJNA OCHRONA DANYCH OSOBOWYCH Konstytucja RP z dnia 2 kwietnia 1997 r. (Dz. U. Nr 78, poz. 483 z późn. zm.). Prawo do prywatności - artykuł 47 Konstytucji RP KAŻDY MA PRAWO DO OCHRONY PRAWNEJ ŻYCIA PRYWATNEGO, RODZINNEGO, CZCI I DOBREGO IMIENIA ORAZ DO DECYDOWANIA O SWOIM ŻYCIU OSOBISTYM Prawo do ochrony informacji nas dotyczących – artykuł 51 Konstytucji RP 1. NIKT NIE MOŻE BYĆ OBOWIĄZANY INACZEJ NIŻ NA PODSTAWIE USTAWY DO UJAWNIANIA INFORMACJI DOTYCZĄCYCH JEGO OSOBY. 2. WŁADZE PUBLICZNE NIE MOGĄ POZYSKIWAĆ, GROMADZIĆ I UDOSTĘPNIAĆ INNYCH INFORMACJI O OBYWATELACH NIŻ NIEZBĘDNE W DEMOKRATYCZNYM PAŃSTWIE PRAWNYM. 3. KAŻDY MA PRAWO DOSTĘPU DO DOTYCZĄCYCH GO URZĘDOWYCH DOKUMENTÓW I ZBIORÓW DANYCH. OGRANICZENIE TEGO PRAWA MOŻE OKREŚLIĆ USTAWA. 4. KAŻDY MA PRAWO DO ŻĄDANIA SPROSTOWANIA ORAZ USUNIĘCIA INFORMACJI NIEPRAWDZIWYCH, NIEPEŁNYCH LUB ZEBRANYCH W SPOSÓB SPRZECZNY Z USTAWĄ. 5. ZASADY I TRYB GROMADZENIA ORAZ UDOSTĘPNIANIA INFORMACJI OKREŚLA USTAWA.

3 EUROPEJSKA OCHRONA DANYCH OSOBOWYCH Europejska Konwencja Praw Człowieka z 1950 roku Artykuł 8 - Prawo do poszanowania życia prywatnego i rodzinnego 1. Każdy ma prawo do poszanowania swojego życia prywatnego i rodzinnego, swojego mieszkania i swojej korespondencji. 2. Niedopuszczalna jest ingerencja władzy publicznej w korzystanie z tego prawa z wyjątkiem przypadków przewidzianych przez ustawę i koniecznych w demokratycznym społeczeństwie z uwagi na bezpieczeństwo państwowe, bezpieczeństwo publiczne lub dobrobyt gospodarczy kraju, ochronę porządku i zapobieganie przestępstwom, ochronę zdrowia i moralności lub ochronę praw i wolności osób.

4 Konwencja Rady Europy Nr 108 z dnia 28 stycznia 1981 r. o Ochronie Osób w Związku z Automatycznym Przetwarzaniem  Konwencja nałożyła na kraje członkowskie zobowiązanie stworzenia ustawodawstwa w zakresie ochrony danych osobowych, wskazując jednocześnie, w jakim kierunku ustawodawstwo to ma zmierzać.  Cel Konwencji: zapewnienie na obszarze państw członkowskich każdemu - niezależnie od obywatelstwa i zamieszkania - ochrony jego praw i wolności, a w szczególności prawa do poszanowania sfery osobistej, w związku z automatycznym przetwarzaniem danych osobowych.  Konwencja określiła minimalny zakres tych praw i skorelowanych z nimi obowiązków.  Konwencja weszła w życie 1 października 1985 r.

5 Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady WE z dnia 24 października 1995 roku Główną powodem uchwalenia Dyrektywy: rozbieżności w systemach prawnych krajów członkowskich Głównym zadaniem Dyrektywy było: zapewnienie minimalnego, a zarazem jednolitego dla państw członkowskich poziomu ochrony danym osobowym gromadzonym w zbiorach, zapewnienie swobodnego przepływu danych osobowych pomiędzy krajami członkowskimi, związanego ze swobodnym przepływem towarów, usług i osób pomiędzy krajami Wspólnoty. Termin na implementację do krajowych systemów prawnych: 23 października 1998 rok. Przestrzeganiem Dyrektywy na terenie RP zajmuje się Krajowy Organ Nadzorczy, którym jest GIODO.

6 Najważniejsze założenia Dyrektywy Parlamentu Europejskiego i Rady WE 95/46 1.Dane osobowe to wszystkie informacje odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, szczególnie przez powołanie się na numer identyfikacyjny lub jeden bądź kilka szczególnych czynników określających jej fizyczną, fizjologiczną, umysłową, ekonomiczną, kulturową lub społeczną tożsamość, 2. Przetwarzanie danych to operacje dokonywane na danych osobowych, a więc: gromadzenie, rejestracja, porządkowanie, przechowywanie, adaptacja lub modyfikacja, odzyskiwanie, konsultowanie, wykorzystywanie, ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, układanie lub kompilowanie, blokowanie, usuwanie lub niszczenie, 3. Wprowadzono katalog minimalnych praw służących osobom, których dane są zbierane. Ich naruszenie miałoby skutkować możliwością dochodzenia tych praw na drodze sądowej, 4.Legalne przetwarzania danych zostało uzależniona od woli (zgody) osoby, której dotyczą dane osobowe, 5. Wprowadzono zamknięty katalog sytuacji, gdy przetwarzanie danych jest możliwe bez takiej zgody,

7 6. Wyodrębniono grupę danych osobowych wrażliwych – sensytywnych, co do przetwarzania których wymagana jest zgoda na piśmie od osoby, której dotyczą, 7. Dane dotyczące "skazań kryminalnych" mogą być przetwarzane jedynie przez podmioty publiczne. Sprecyzowano, kiedy możliwe jest odstępstwo od zasady zakazu przetwarzania takich danych, 8. Dane mogą być wykorzystywane wyłącznie zgodnie z celem, dla którego zostały zgromadzone, 9. Istnieje obowiązek informowania osoby o zasadach przetwarzania jej danych, przed ich zgromadzeniem. Może ona sprzeciwić się przetwarzaniu swoich danych, jeśli tylko posiada w tym uzasadniony cel, 10. Każda osoba, której dane już znalazły się w zbiorze ma prawo dowiedzieć się o zasady ich przetwarzania, począwszy od możliwości ustalenia informacji o administratorze, skończywszy na ustaleniu treści tych danych, 11. Osobie, która poniosła szkodę wynikającą z przetwarzania danych niezgodnie z Dyrektywą przysługuje odszkodowanie, 12. Możliwość przekazywania danych osobowych do krajów trzecich uzależniona jest od zapewnienia właściwej ochrony.

8 USTAWA Z DNIA 29 SIERPNIA 1997 R. O OCHRONIE DANYCH OSOBOWYCH (tekst jednolity: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.)  Przepisy ustawy obowiązują od dnia 30 kwietnia 1998 roku,  Wprowadzenie przepisów dotyczących ochrony danych osobowych do polskiego systemu prawnego, pozwoliło na podpisanie przez Polskę w kwietniu 1999 roku i ratyfikowanie w maju 2002 roku Konwencji Nr 108 Rady Europy. Był to przejaw postępującej demokratyzacji życia publicznego w Polsce i troski o ochronę prywatności każdego jej obywatela,  Tekst pierwotny ustawy nie przyjmował wszystkich założeń Dyrektywy, stąd też nowelizacja z dnia 25 sierpnia 2001 roku, której celem było przeniesienie na grunt prawa polskiego założeń Dyrektywy,  Brak pełnego odzwierciedlenia zasad i celów dyrektywy w znowelizowanej ustawie stał się przyczyną kolejnej nowelizacji z 22 stycznia 2004 roku.  Ustawa o ochronie danych osobowych wprowadziła szczegółowe normy służące ochronie danych osobowych w Polsce, a od dnia 1 maja 2004 roku, czyli wstąpienia Polski do Unii Europejskiej, przeniosła do polskiego porządku prawnego wszystkie zasady określone w Dyrektywie 95/46/WE Parlamentu Europejskiego i Rady,  Ostatnia nowelizacja ustawy weszła w życie 1 stycznia 2015 roku i obejmuje min. nową rolę ABI ( administratora bezpieczeństwa informacji), zadania ADO (administratora danych osobowych), uproszczenia procedur rejestracji zbiorów danych.

9 AKTY WYKONAWCZE DO USTAWY O OCHRONIE DANYCH OSOBOWYCH, Rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie wzoru zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych Rozporządzenie Rozporządzenie Prezydenta Rzeczypospolitej Polskiej w sprawie nadania statutu Biuru Generalnego Inspektora Ochrony Danych Osobowych Rozporządzenie Rozporządzenie ministra spraw wewnętrznych i administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych Rozporządzenie Rozporządzenie ministra spraw wewnętrznych i administracji w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych Rozporządzenie Rozporządzenie ministra spraw wewnętrznych i administracji zmieniające rozporządzenie w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych Rozporządzenie

10 ZAKRES PODMIOTOWY UODO PODMIOTY PUBLICZNE ORGANY SAMORZĄDU TERYTORIALNEGO wójt, burmistrz, prezydent miasta ORGANY PAŃSTWOWE NIK, Kancelaria Sejmu, Kancelaria Senatu, ZUS PAŃSTWOWE I KOMUNALNE JEDNOSTKI ORGANIZACYJNE miejskie zakłady oczyszczania miejskie zakłady komunikacji

11 PODMIOTY PRYWATNE PODMIOTY NIEPUBLICZNE REALIZUJĄCE ZADANIA PUBLICZNE prywatne zakłady opieki zdrowotnej, prywatne szkoły, itd OSOBY FIZYCZNE I PRAWNE stowarzyszenia, spółdzielnie, fundacje JEDNOSTKI ORGANIZACYJNE NIE BĘDĄCE OSOBAMI PRAWNYMI nie mające osobowości prawnej spółki prawa handlowego jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych OSOBY FIZYCZNE KTÓRYCH DANE PODLEGAJĄ OCHRONIE bez względu na narodowość, obywatelstwo, zdolność do czynności prawnych, wiek które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej Wykonujący operacje na danych osobowych

12 ZAKRES PRZEDMIOTOWY UODO USTAWĘ STOSUJE SIĘ DO PRZETWARZANIA DANYCH OSOBOWYCH W KARTOTEKACH, SKOROWIDZACH, KSIĘGACH, WYKAZACH I W INNYCH ZBIORACH EWIDENCYJNYCH W SYSTEMACH INFORMATYCZNYCH, TAKŻE W PRZYPADKU PRZETWARZANIA DANYCH POZA ZBIOREM DANYCH

13 WYŁĄCZENIA STOSOWANIA USTAWY PODMIOTÓW mających siedzibę albo miejsca zamieszkania w państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania danych OSÓB fizycznych, prawnych i jednostek organizacyjnych niebędących osobami prawnymi, o ile nie przetwarzają danych w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych OSÓB FIZYCZNYCH, które wykorzystują dane wyłącznie w celach osobistych lub domowych OSÓB NIEŻYJĄCYCH – ograniczenia w przetwarzaniu takich danych mogą jednak występować ze względu na ochronę powszechnych dóbr osobistych (kult pamięci osoby zmarłej) UMOWA MIĘDZYNARODOWA, której stroną jest Rzeczpospolita wyłącza stosowanie ustawy, PRZEPISY ODRĘBNYCH USTAW, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z ustawy o ochronie danych osobowych PRZEPISÓW USTAWY NIE STOSUJE SIĘ DO:

14 DANE OSOBOWE WSZELKIE INFORMACJE DOTYCZĄCE ZIDENTYFIKOWANEJ OSOBY FIZYCZNEJ MOŻLIWEJ DO ZIDENTYFIKOWANIA OSOBY FIZYCZNEJ

15 OSOBY FIZYCZNE MOŻLIWE DO ZIDENTYFIKOWANIA KTÓRYCH TOŻSAMOŚĆ MOŻNA OKREŚLIĆ BEZPOŚREDNIO LUB POŚREDNIO W SZCZEGÓLNOŚCI PRZEZ POWOŁANIE SIĘ NA NUMER IDENTYFIKACYJNY ALBO JEDEN LUB KILKA SPECYFICZNYCH CZYNNIKÓW OKREŚLAJĄCYCH JEJ CECHY FIZYCZNE, FIZJOLOGICZNE, UMYSŁOWE, EKONOMICZNE, KULTUROWE LUB SPOŁECZNE ZDOBYCIE INFORMACJI OKREŚLAJĄCEJ TOŻSAMOŚĆ NIE WYMAGA NADMIERNYCH KOSZTÓW, CZASU LUB DZIAŁAŃ

16 ZBIÓR DANYCH OSOBOWYCH I PRZETWARZANIE DANYCH OSOBOWYCH 1.KAŻDY POSIADAJĄCY STRUKTURĘ ZESTAW DANYCH O CHARAKTERZE OSOBOWYM, DOSTĘPNYCH WEDŁUG OKREŚLONYCH KRYTERIÓW, NIEZALEŻNIE OD TEGO, CZY ZESTAW TEN JEST ROZPROSZONY LUB PODZIELONY FUNKCJONALNIE ZBIÓR DANYCH MUSI MIEĆ CHARAKTER UPORZĄDKOWANY WYSTARCZY JEDNO KRYTERIUM DOSTĘPU(WYSZUKIWANIA) ABY ODPOWIADAŁ DEFINICJI USTAWOWEJ PRZYKŁADY: rejestr pacjentów przychodni lekarskiej, ewidencja podatników, akta osobowe, itd. 2.PRZETWARZANIE DANYCH - WSZELKIE OPERACJE WYKONYWANE NA DANYCH OSOBOWYCH, TAKIE JAK: ZBIERANIE, UTRWALANIE, PRZECHOWYWANIE, OPRACOWYWANIE, ZMIENIANIE, UDOSTĘPNIANIE USUWANIE, A ZWŁASZCZA TE, KTÓRE WYKONUJE SIĘ W SYSTEMACH INFORMATYCZNYCH,

17 PRZETWARZANIE DANYCH NALEŻY DO SFERY CZYNNOŚCI FAKTYCZNYCH, KOLEJNOŚĆ OPERACJI WSKAZANA W USTAWIE NIE JEST PRZYPADKOWA I MOŻE BYĆ PRZYDATNA DO USTALENIA RAM CZASOWYCH PRZETWARZANIA DANYCH, POCZĄWSZY OD ZBIERANIA DANYCH, A SKOŃCZYWSZY NA ICH USUNIĘCIU, ZBIERANIEM DANYCH OSOBOWYCH JEST ICH POZYSKIWANIE ZARÓWNO OD OSOBY, KTÓREJ DANE DOTYCZĄ, JAK I OD INNYCH PODMIOTÓW, KTÓRE POZYSKAŁY DANE OSOBOWE WCZEŚNIEJ, NP. W DRODZE UMOWY SPRZEDAŻY BAZY DANYCH OSOBOWYCH, USUWANIE DANYCH OSOBOWYCH USTAWA DEFINIUJE JAKO ZNISZCZENIE LUB TAKĄ MODYFIKACJĘ, KTÓRA NIE POZWOLI NA USTALENIE TOŻSAMOŚCI OSOBY, KTÓREJ DANE DOTYCZĄ, ZNISZCZENIE DANYCH TO NIE TYLE ZNISZCZENIE INFORMACJI (DOBRO NIEMATERIALNE), ILE Z REGUŁY NOŚNIKA, NA KTÓRYM ZOSTAŁA ONA UTRWALONA, A W PRZYPADKU NOŚNIKÓW STOSOWANYCH W SYSTEMACH INFORMATYCZNYCH WYSTARCZY USUNIĘCIE ZAPISU, MODYFIKACJA TO ZABIEG UNIEMOŻLIWIAJĄCY NA PODSTAWIE INFORMACJI USTALENIE TOŻSAMOŚCI DANEJ OSOBY – BEZ NADMIERNYCH KOSZTÓW, PRACY, ITD.

18 SYSTEM INFORMATYCZNY, ZABEZPIECZENIE DANYCH, ADMINISTRATOR DANYCH, ZGODA NA PRZETWARZANIE DANYCH, ODBIORCA DANYCH, PAŃSTWO TRZECIE - definicja pojęć. 3. POJĘCIE „SYSTEM INFORMATYCZNY" OBEJMUJE ELEMENTY ZALICZONE DO CZTERECH KATEGORII. 1) urządzeń, 2) programów, 3) procedur przetwarzania informacji, 4) narzędzi programowych URZĄDZENIE - to „rodzaj mechanizmu lub zespół elementów, przyrządów służących do wykonania określonej czynności, ułatwiający pracę" PROGRAM - to odpowiednio uporządkowana sekwencja instrukcji mająca na celu wykonanie określonych zadań PROCEDURY PRZETWARZANIA INFORMACJI - procedury inne niż przyjęte w stosowanych w konkretnym przypadku programach NARZĘDZIA PROGRAMOWE mieszczą się w kategorii oprogramowania, 4.ZABEZPIECZENIE DANYCH OSOBOWYCH - WDROŻENIE I EKSPLOATACJA STOSOWNYCH ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH ZAPEWNIAJĄCYCH OCHRONĘ DANYCH PRZED ICH NIEUPRAWNIONYM PRZETWARZANIEM. WYBÓR odpowiednich środków gwarantujących przetwarzanym danym optymalny stopień zabezpieczenia należy do administratora danych osobowych. ważne jest, aby administrator danych dysponował takimi instrumentami organizacyjnymi i technicznymi, za pomocą których będzie w stanie wyeliminować zagrożenia utraty, zmiany czy zniszczenia danych osobowych. PRZYKŁADY: różnego rodzaju rozwiązania architektoniczno – budowlane, systemy alarmowe i służby ochrony, weryfikowania osób, które mają dostęp do danych osobowych.

19 5.ADMINISTRATOR DANYCH TO ORGAN, JEDNOSTKA ORGANIZACYJNA PODMIOT LUB OSOBA, WYMIENIONA W ART. 3 USTAWY, DECYDUJĄCA O CELACH I ŚRODKACH PRZETWARZANIA DANYCH OSOBOWYCH, ADMINISTRATOR DANYCH, aby przetwarzać dane osobowe zgodnie z przepisami ustawy o ochronie danych osobowych, musi:  spełnić jeden z warunków decydujący o tym, że takie działanie jest legalne / art. 23 ust. 1 pkt. 1-5 i 27 ust. 2 pkt. 1-10/  dopełnić obowiązku zgłoszenia zbioru do rejestracji w prowadzonym przez GIODO ogólnokrajowym, jawnym rejestrze zbiorów danych osobowych / art. 40 ustawy, wyjątki art. 43 1 i 1a/  dopełnić obowiązku informacyjnego / art. 24 ust. 1 i 25 ust. 1 /  we właściwy sposób zabezpieczać zgromadzone dane, dbać o interesy osób, których dane dotyczą i respektować ich prawa gwarantowane ustawą o ochronie danych osobowych / rozdziały 4 i 5 ustawy/. 6. ZGODA NA PRZETWARZANIE DANYCH - OŚWIADCZENIE WOLI, KTÓREGO TREŚCIĄ JEST ZGODA NA PRZETWARZANIE DANYCH OSOBOWYCH TEGO, KTO SKŁADA OŚWIADCZENIE; ZGODA NIE MOŻE BYĆ DOMNIEMANA LUB DOROZUMIANA Z OŚWIADCZENIA WOLI O INNEJ TREŚCI; ZGODA MOŻE BYĆ ODWOŁANA W KAŻDYM CZASIE, ustawa nie formułuje szczegółowych zasad wyrażania zgody, doktryna i judykatura zgodnie stwierdzają, że z treści zgody na przetwarzanie danych osobowych powinno w sposób nie budzący wątpliwości wynikać: w jakim celu, w jakim zakresie i przez kogo dane osobowe będą przetwarzane, wyrażający zgodę musi mieć pełną świadomość tego, na co się godzi.

20 PRZYKŁADOWA TREŚĆ KLAUZULI ZGODY NA PRZETWARZANIE DANYCH OSOBOWYCH Wyrażam zgodę na przetwarzanie moich danych osobowych w zakresie obejmującym imię, nazwisko i adres zamieszkania, przez XYZ Sp. z o.o. z siedzibą w Warszawie (00-111), ul. Kwiatowa 1, w celach przesyłania ofert marketingowych, jak również na przekazywanie ich innym podmiotom. Warszawa, dnia 5 lipca 2015 r. Anna Kowalska

21 7. ODBIORCA DANYCH - każdy, komu udostępnia się dane osobowe, z wyłączeniem: a) osoby, której dane dotyczą, b) osoby upoważnionej do przetwarzania danych, c) przedstawiciela, o którym mowa w art. 31a, d) podmiotu, o którym mowa w art. 31, e) organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem, 8.PAŃSTWO TRZECIE - państwo spoza EOG- Europejskiego Obszaru Gospodarczego, w skład którego wchodzą państwa Unii Europejskiej ( z wyj. Chorwacji) i EFTY – Europejskiego Stowarzyszenia Wolnego Handlu ( z wyjątkiem Szwajcarii) - Norwegia, Lichtenstein i Islandia. Przedstawione definicje ustawowe zawarto w art. 7 pkt 1 – 7 ustawy o ochronie danych osobowych.

22 GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH = KRAJOWY ORGAN NADZORCZY= JEDNOOSOBOWY CENTRALNY ORGAN ADMINISTRACJI PUBLICZNEJ KWALIFIKACJE GIODO NIEKARALNOŚĆ ZA PRZESTĘPSTWO, WYSOKI AUTORYTET MORALNY OBYWATEL POLSKI STALE ZAMIESZKUJĄCY NA TERENIE RP WYŻSZE WYKSZTAŁCENIE PRAWNICZE I DOŚWIADCZENIE ZAWODOWE

23 TRYB POWOŁANIA GIODO Generalnego Inspektora powołuje i odwołuje Sejm Rzeczypospolite j Polskiej za zgodą Senatu Ta sama osoba nie może być Generalnym Inspektorem więcej niż przez dwie kadencje Kadencja Generalnego Inspektora wygasa z chwilą jego śmierci, odwołania lub utraty obywatelstwa polskiego Kadencja Generalnego Inspektora trwa 4 lata, licząc od dnia złożenia ślubowania

24 TRYB ODWOŁANIA GIODO Sejm, za zgodą Senatu, odwołuje Generalnego Inspektora stał się trwale niezdolny do pełnienia obowiązków na skutek choroby został skazany prawomocnym wyrokiem sądu za popełnienie przestępstwa sprzeniewierzył się złożonemu ślubowaniu zrzekł się stanowiska

25 sposób jego powoływania, wysoki autorytet moralny osoby piastującej gwarantujący m.in. to, że nie ulega ona wpływom innych osób nie może zajmować innego stanowiska, z wyjątkiem stanowiska profesora szkoły wyższej, ani wykonywać innych zajęć zawodowych nie może być bez uprzedniej zgody Sejmu pociągnięty do odpowiedzialności karnej ani pozbawiony wolności, nie może być zatrzymany lub aresztowany nie może należeć do partii politycznej, związku zawodowego ani prowadzić działalności publicznej niedającej się pogodzić z godnością jego urzędu GWARANCJE NIEZALEŻNOŚCI GIODO

26 ZADANIA GIODO kontrola zgodności przetwarzania danych z ustawą, zapewnienie wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym przez stosowanie środków egzekucyjnych prowadzenie rejestru zbiorów danych oraz rejestru administratorów bezpieczeństwa informacji, a także udzielanie informacji o zarejestrowanych zbiorach danych i zarejestrowanych administratorach bezpieczeństwa informacji opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych; inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych, uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych. wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych

27 STRUKTURA ORGANIZACYJNA GIODO Biuro Generalnego Inspektora Ochrony Danych Osobowych: Dyrektor + Inspektorzy Departament Organizacyjno-Administracyjny Departament Orzecznictwa, Legislacji i Skarg Departament Edukacji Społecznej i Współpracy Międzynarodowej Departament Inspekcji Departament Rejestracji Zbiorów Danych Osobowych Departament Informatyki Dział Finansowy Samodzielne Stanowisko do Spraw Ochrony Informacji Niejawnych Samodzielne Stanowisko do Spraw Pracowniczych Samodzielne Stanowisko do Spraw Audytu Wewnętrznego Zespół Rzecznika Prasowego Zastępca Generalnego Inspektora Ochrony Danych Osobowych powoływany na wniosek Generalnego Inspektora przez Marszałka Sejmu

28 Prawa Generalnego Inspektora i jego Zastępcy wstęp w godzinach od 6 00 do 22 00, za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych, przeprowadzenie niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą żądanie złożenia pisemnych lub ustnych wyjaśnień oraz wzywanie i przesłuchiwanie osób w zakresie niezbędnym do ustalenia stanu faktycznego, wgląd do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii przeprowadzanie oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych, zlecanie sporządzania ekspertyz i opinii Prawa upoważnionych Inspektorów

29 OBOWIĄZKI KIEROWNIKA KONTROLOWANEJ JEDNOSTKI BĄDŹ OSOBY FIZYCZNEJ, BĘDĄCEJ ADMINISTRATOREM DANYCH Umożliwienie inspektorowi przeprowadzenia kontroli Udostępnienie pomieszczeń w których zlokalizowano zbiór danych i przetwarzane są dane osobowe Złożenie wyjaśnień, udostępnienie dokumentów, nośników informacji i systemów informatycznych związanych z przetwarzaniem danych osobowych

30 DZIAŁANIA POKONTROLNE STWIERDZENIE PRZEZ INSPEKTORA NARUSZENIA PRAWA KIERUJE SPRAWĘ DO GENERALNEGO INSPEKTORA CELEM ZASTOSOWANIA ODPOWIEDNICH ŚRODKÓW USUNIĘCIE UCHYBIEŃ, UZUPEŁNIENIE, UAKTUALNIENIE, SPROSTOWANIE, UDOSTĘPNIENIE LUB NIEUDOSTĘPNIENIE DANYCH OSOBOWYCH ZASTOSOWANIE DODATKOWYCH ŚRODKÓW ZABEZPIECZAJĄCYCH ZGROMADZONE DANE OSOBOWE WSTRZYMANIE PRZEKAZYWANIA DANYCH OSOBOWYCH DO PAŃSTWA TRZECIEGO; ZABEZPIECZENIE DANYCH LUB PRZEKAZANIE ICH INNYM PODMIOTOM; USUNIĘCIE DANYCH OSOBOWYCH Z URZĘDU LUB NA WNIOSEK OSOBY ZAINTERESOWANE J, W DRODZE DECYZJI ADMINISTRACYJNE J, NAKAZUJE PRZYWRÓCENIE STANU ZGODNEGO Z PRAWEM KIERUJE DO ORGANU POWOŁANEGO DO ŚCIGANIA PRZESTĘPSTW ZAWIADOMIENIE O POPEŁNIENIU PRZESTĘPSTWA. ŻĄDA WSZCZĘCIA POSTĘPOWANIA DYSCYPLINARNEGO LUB INNEGO PRZEWIDZIANEGO PRAWEM POSTĘPOWANIA PRZECIWKO OSOBOM WINNYM DOPUSZCZENIA DO UCHYBIEŃ KIEROWNIK JEDNOSTKI LUB ADO MA OBOWIĄZEK POINFORMOWANIA INSPEKTORA W OKREŚLONYM TERMINIE, O WYNIKACH TEGO POSTĘPOWANIA I PODJĘTYCH DZIAŁANIACH

31 KATALOG USTAWOWYCH OBOWIĄZKÓW ADO: 1. WYKONUJE ZADANIA ABI, W PRZYPADKU JEGO NIEPOWOŁANIA, 2. ZAPEWNIA KONTROLĘ NAD TYM, JAKIE DANE OSOBOWE, KIEDY I PRZEZ KOGO ZOSTAŁY DO ZBIORU WPROWADZONE ORAZ KOMU SĄ PRZEKAZYWANE, 3. WSKAZUJE I UPOWAŻNIA OSOBY DOPUSZCZONE DO PRZETWARZANIA DANYCH, 4. PROWADZI EWIDENCJĘ OSÓB UPOWAŻNIONYCH DO ICH PRZETWARZANIA 5. REALIZUJE OBOWIĄZEK INFORMACYJNY 6. ZABEZPIECZA DANE W SPOSÓB ZGODNY Z USTAWĄ, 7. REALIZUJE OBOWIĄZEK ZGŁOSZENIA ZBIORU DO REJESTRACJI W PROWADZONYM PRZEZ GIODO OGÓLNOKRAJOWYM, JAWNYM REJESTRZE ZBIORÓW DANYCH OSOBOWYCH 8. ZGŁASZA DO REJESTRACJI GENERALNEMU INSPEKTOROWI POWOŁANIE I ODWOŁANIE ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI W TERMINIE 30 DNI OD DNIA JEGO POWOŁANIA LUB ODWOŁANIA, 9. RESPEKTUJE PRAWA OSÓB, KTÓRYCH PRZETWARZANE DANE DOTYCZĄ. ADO

32 OBOWIĄZEK INFORMACYJNY ADO OBEJMUJE: W PRZYPADKU GDY ZBIERANE SA OD OSOBY KTÓREJ DOTYCZĄ 1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku; 2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych; 3) prawie dostępu do treści swoich danych oraz ich poprawiania; 4) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej W PRZYPADKU GDY ZBIERANE SĄ OD INNEJ OSOBY 1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku; 2) celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych; 3) źródle danych; 4) prawie dostępu do treści swoich danych oraz ich poprawiania; 5) o uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8. Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do: wniesienia, w przypadkach szczególnych pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację; wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych szczególnych, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych;

33 ZLECENIE PRZETWARZANIA DANYCH OSOBOWYCH  ADMINISTRATOR DANYCH OSOBOWYCH MOŻE SAM PRZETWARZAĆ DANE BĄDŹ POWIERZYĆ TO INNEMU PODMIOTOWI,  ZLECENIE PRZETWARZANIA DANYCH MA FORMĘ PISEMNEJ UMOWY,  ZLECENIE MOŻE DOTYCZYĆ PRZETWARZANIA MANUALNEGO JAK I INFORMATYCZNEGO,  ZLECENIOBIORCA NIE JEST ADMINISTRATOREM DANYCH OSOBOWYCH,  ZLECENIOBIORCA ZOBOWIĄZANY JEST STOSOWAĆ RYGORY USTAWY DOTYCZĄCE ZABEZPIECZENIA DANYCH,  ZLECENIOBIORCA ZWOLNIONY JEST Z OBOWIĄZKU INFORMACYJNEGO,  ADMINISTRATOR DANYCH NIE MOŻE SIĘ ZWOLNIĆ OD ODPOWIEDZIALNOŚCI ZA NARUSZENIE PRZEPISÓW USTAWY PRZEZ ZLECENIOBIORCĘ

34 PRZETWARZANIE DANYCH OSOBOWYCH ZWYKŁYCH DOPUSZCZALNOŚĆ PRZETWARZANIA DANYCH OSOBOWYCH JEST TO NIEZBĘDNE DLA ZREALIZOWANIA UPRAWNIENIA LUB SPEŁNIENIA OBOWIĄZKU WYNIKAJĄCEGO Z PRZEPISU PRAWA JEST TO KONIECZNE DO REALIZACJI UMOWY, GDY OSOBA, KTÓREJ DANE DOTYCZĄ, JEST JEJ STRONĄ LUB GDY JEST TO NIEZBĘDNE DO PODJĘCIA DZIAŁAŃ PRZED ZAWARCIEM UMOWY NA ŻĄDANIE OSOBY, KTÓREJ DANE DOTYCZĄ; JEST NIEZBĘDNE DLA WYPEŁNIENIA PRAWNIE USPRAWIEDLIWIONYCH CELÓW REALIZOWANYCH PRZEZ ADMINISTRATORÓW DANYCH ALBO ODBIORCÓW DANYCH, A PRZETWARZANIE NIE NARUSZA PRAW I WOLNOŚCI OSOBY, KTÓREJ DANE DOTYCZĄ JEST NIEZBĘDNE DO WYKONANIA OKREŚLONYCH PRAWEM ZADAŃ REALIZOWANYCH DLA DOBRA PUBLICZNEGO OSOBA, KTÓREJ DANE DOTYCZĄ, WYRAZI NA TO ZGODĘ (chyba że chodzi o usunięcie dotyczących jej danych) ZGODA MOŻE DOTYCZYĆ PRZETWARZANIA DANYCH W PRZYSZŁOŚCI O ILE NIE ZMIENI SIĘ CEL prawnie usprawiedliwiony cel, marketing bezpośredni własnych produktów lub usług ADO dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

35 PRZETWARZANIE DANYCH OSOBOWYCH WRAŻLIWYCH (SENSYTYWNYCH) DANE OSOBOWE WRAŻLIWE TO DANE UJAWNIAJĄCE (ART. 27 UST.1 USTAWY) pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

36 ZABRANIA SIĘ PRZETWARZANIA DANYCH WRAŻLIWYCH!!!!!!!!!!!!!!!!!!!!!! TO NORMA WYNIKAJĄCA WPROST Z PRZEPISU ART. 27. UST. 1 USTAWY. WYJĄTKI OD ZASADY NIEDOPUSZCZALNO ŚCI PRZETWARZANIA DANYCH WRAŻLIWYCH przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony; jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych; przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą jest to niezbędne do prowadzenia badań naukowych,, przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie; - przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem -- przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych

37 ZASADY PRZETWARZANIA DANYCH OSOBOWYCH ZWYKŁYCH I WRAŻLIWYCH SZCZEGÓLNEJ STARANNOŚCI – W CELU OCHRONY INTERESÓW OSÓB, KTÓRYCH DANE DOTYCZĄ. MERYTORYCZNEJ POPRAWNOŚCI – DBAĆ O MERYTORYCZNĄ POPRAWNOŚĆ DANYCH, OGRANICZENIA CZASOWEGO - DANE OSOBOWE MOŻNA PRZECHOWYWAĆ W POSTACI UMOŻLIWIAJĄCEJ IDENTYFIKACJĘ OSÓB, KTÓRYCH DOTYCZĄ, NIE DŁUŻEJ NIŻ JEST TO NIEZBĘDNE DO OSIĄGNIĘCIA CELU PRZETWARZANIA. ADEKWATNOŚCI DANYCH – DBAĆ O ADEKWATNOŚĆ DANYCH W STOSUNKU DO CELÓW, W JAKICH SĄ PRZETWARZANE CELOWOŚCI – ZBIERAĆ DANE MOŻNA JEDYNIE DLA OZNACZONYCH, ZGODNYCH Z PRAWEM CELÓW, NIE MOŻNA PODDAWAĆ ICH DALSZEMU PRZETWARZANIU NIEZGODNEMU Z TYMI CELAMI, Z ZASTRZEŻENIEM ART.26 UST. 2 LEGALNOŚCI – PRZETWARZAĆ DANE MOŻNA ZGODNIE Z PRAWEM ART26 UST.2 - Przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą, co następuje: w celach badań naukowych, dydaktycznych, historycznych lub statystycznych; z zachowaniem przepisów art. 23 i 25 nie ma innej możliwości osiągnięcia legalnego celu bez przetwarzania określonych danych weryfikacja, aktualizacja danych umożliwienie korygowania danych

38 PRAWA OSOBY, KTÓREJ DANE OSOBOWE SĄ PRZETWARZANE KONTROLA PRZETWARZANIA DANYCH ZAWARTYCH W ZBIORACH DANYCH OZNACZA PRAWO DO: 1) uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia danych administratora - KTO? 2) uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze – W JAKIM CELU? 3) uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych – OD KIEDY I O JAKIEJ TREŚCI? 4) uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie w tajemnicy informacji niejawnych lub zachowania tajemnicy zawodowej - SKĄD DANE POCHODZĄ? 5) uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane – W JAKI SPOSÓB I KOMU DANE UDOSTĘPNIONO? UWAGA!!! PRAWO DO INFORMACJI PRZYSŁUGUJE RAZ NA 6 MIESIĘCY. A TERMIN JEJ UDZIELENIA TO 30 DNI żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane …..wniesienia, w przypadkach wymienionych w ustawie - pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację, …...wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych w ustawi., gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych;

39 Administrator danych odmawia osobie, której dane dotyczą, udzielenia informacji, jeżeli spowodowałoby to: ujawnienie wiadomości zawierających informacje niejawne zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego, zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa, istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób

40 ZABEZPIECZENIE DANYCH OSOBOWYCH KTO? ADMINISTRATOR DANYCH OSOBOWYCH JAK? STOSUJĄC ŚRODKI TECHNICZNE I ORGANIZACYJNE ZAPEWNIAJĄCE OCHRONĘ PRZETWARZANYCH DANYCH OSOBOWYCH CEL? ZABEZPIECZENIE DANYCH PRZED ICH UDOSTĘPNIENIEM OSOBOM NIEUPOWAŻNIONYM CEL? OCHRONA PRZED ZABRANIEM PRZEZ OSOBĘ NIEUPRAWNIONĄ, PRZETWARZANIEM Z NARUSZENIEM USTAWY ORAZ ZMIANĄ, UTRATĄ, USZKODZENIEM LUB ZNISZCZENIEM ADO PROWADZI DOKUMENTACJĘ OPISUJĄCĄ SPOSÓB PRZETWARZANIA DANYCH ORAZ ŚRODKI, ZABEZPIECZAJĄCO - ORGANIZACYJNE ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH ADMINISTRACJI z dnia 29 kwietnia 2004 r. W SPRAWIE DOKUMENTACJI PRZETWARZANIA DANYCH OSOBOWYCH ORAZ WARUNKÓW TECHNICZNYCH I ORGANIZACYJNYCH, JAKIM POWINNY ODPOWIADAĆ URZĄDZENIA I SYSTEMY INFORMATYCZNE SŁUŻĄCE DO PRZETWARZANIA DANYCH OSOBOWYCH

41 ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI ADMINISTRATOR DANYCH OSOBOWYCH MOŻE POWOŁAĆ ABI. USTAWOWE OBOWIĄZKI ABI ZAPEWNIANIE PRZESTRZEGANIA PRZEPISÓW O OCHRONIE DANYCH OSOBOWYCH 1. SPRAWDZANIE ZGODNOŚCI PRZETWARZANIA DANYCH OSOBOWY CH Z PRZEPISAMI USTAWY 2. OPRACOWANIE W TYM ZAKRESIE SPRAWOZDANIA DLA ADMINISTRATORA DANYCH OSOBOWYCH, 3.NADZOROWANIE OPRACOWANIA I AKTUALIZOWANIA DOKUMENTACJI, PRZESTRZEGANIA ZASAD W NIEJ OKREŚLONYCH, 4.ZAPEWNIANIE ZAPOZNANIA OSÓB UPOWAŻNIONYCH DO PRZETWARZANIA DANYCH OSOBOWYCH Z PRZEPISAMI O OCHRONIE DANYCH OSOBOWYCH 1.PROWADZENIE JAWNEGO REJESTRU ZBIORÓW DANYCH PRZETWARZANYCH PRZEZ ADMINISTRATORA DANYCH, Z WYJĄTKAMI OKREŚLONYMI W USTAWIE 2.INNE OBOWIĄZKI ZLECONE PRZEZ ADO

42 ROZPORZĄDZENIE MINISTRA ADMINISTRACJI I CYFRYZACJI z dnia 11 maja 2015 roku - w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji ABI dokonuje sprawdzenia dla ADO lub GIODO (o ile ten zażąda stosownego sprawdzenia) ABI dokonuje sprawdzenia w trybie: planowym, doraźnym bądź na zlecenie GIODO ABI w trybie planowym sprawdza zbiory danych i systemy informatyczne co najmniej raz na 5 lat, a w trybie doraźnym niezwłocznie po powzięciu informacji o naruszeniu zasad ustawy ABI dokumentuje ustalenia sprawdzenia, dopuszcza do udziału w procedurze sprawdzenia osobę odpowiedzialną za przetwarzanie danych. Sprawdzenie kończy się pisemnym sprawozdaniem.

43 TRYB I SPOSÓB NADZORU NAD DOKUMENTACJĄ PRZETWARZANIA DANYCH ABI WERYFIKUJE: opracowanie i kompletność dokumentacji przetwarzania danych, zgodność dokumentacji przetwarzania danych z prawem, stan faktyczny w zakresie przetwarzania danych osobowych, zgodność ze stanem faktycznym przewidzianych w dokumentacji przetwarzania danych środków technicznych i organizacyjnych służących przeciwdziałaniu zagrożeniom dla ochrony danych osobowych, przestrzegania zasad i obowiązków określonych w dokumentacji przetwarzania danych. przestrzeganie zasad i obowiązków określonych w dokumentacji przetwarzania danych

44 KWALIFIKACJE ABI:  ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,  posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,  nie był karany za umyślne przestępstwo  ADO może powołać zastępców ABI,  ADO zapewnia środki i organizacyjną odrębność ABI,  ABI podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych

45 REJESTRACJA ZBIORÓW DANYCH OSOBOWYCH - OBOWIĄZKIEM USTAWOWYM ADMINISTRATORA DANYCH OSOBOWYCH Zgłoszenie zbioru danych do rejestracji – ustawowe wymogi: 1/ wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych, 2/ dane administratora danych, 3/ cel przetwarzania danych, 4/ wskazanie kategorii osób, których dane dotyczą oraz zakres przetwarzania danych, 5/ sposób zbierania oraz udostępniania danych, 6/ wskazanie odbiorców, którym dane mogą być przekazywane, 7/ opis środków technicznych i organizacyjnych zastosowanych do zabezpieczenia danych osobowych, 8/ informacje dotyczące ewentualnego przekazywania danych do państwa trzeciego. 9/ administrator danych osobowych zgłasza do rejestru każdą zmianę w zbiorze danych 10/ ogólnokrajowy rejestr zbiorów danych osobowych jest jawny, 11/ brak powyższych informacji może być przyczyną ODMOWY REJESTRACJI ZBIORU DANYCH OSOBOWYCH PRZEZ GIODO. 7/ 7/

46 ZWOLNIENIA Z OBOWIĄZKU REJESTRACJI Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych: 1.zawierających informacje niejawne - uzyskanych w wyniku czynności operacyjno- rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności, 2.przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym - przetwarzanych przez Generalnego Inspektora Informacji Finansowej oraz w SIS i WIS 3.dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego, 4.przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się, 5.dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta, 6.tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego, 7.dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności, 8.przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej, 9.powszechnie dostępnych, 10.przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego, 11.przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.

47 UPRAWNIENIA GIODO W PROCESIE REJESTRACJI ZBIORU DANYCH OSOBOWYCH: GIODO odmawia rejestracji ZDO, jeżeli: ---- ADO nie przedstawi we wniosku o rejestracje wszystkich ustawowych informacji, ---- przetwarzanie danych narusza przepisy ustawy (art. 23 – 28) ---- zabezpieczenie zbioru danych nie odpowiada prawnym wymogom GIODO odmawiając rejestracji zbioru nakazuje: ---- ograniczyć przetwarzanie wszystkich danych lub poszczególnych kategorii wyłącznie do ich przechowywania, ---- zastosować przez ADO inne środki przywracające stan zgodny z prawem GIODO wykreśla z rejestru ZDO, w drodze decyzji administracyjnej: ---- zbiór w którym zaprzestano przetwarzania danych, ----- zbiór, który zarejestrowano z naruszeniem prawa.

48 POZAKODEKSOWE PRZEPISY KARNE ZAWARTE W USTAWIE Według art. 49 – 54a Ustawy o ochronie danych osobowych, przestępstwem jest:  przetwarzanie w zbiorze danych osobowych, w sytuacji gdy brak przesłanki do ich przetwarzania,  udostępnianie danych lub umożliwianie dostępu do nich osobom nieupoważnionym, naruszanie obowiązku zabezpieczenia,  niezgłoszenie do rejestracji zbioru danych osobowych, przez osobę do tego obowiązaną,  niespełnienie obowiązku informacyjnego wobec osoby której dane dotyczą,  utrudnianie czynności kontrolnych

49 Wyciąg z ustawy – przepisy karne. Art. 49. 1. Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3. Art. 51. 1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art. 52. Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art. 53. Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art. 54. Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art. 54a. Kto inspektorowi udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.