Zasady przetwarzania danych osobowych oraz ich zabezpieczanie

Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, nadto administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Sposoby ochrony interesów osób, których dane osobowe dotyczą oraz zasady ich zabezpieczania przedstawia pokrótce niniejszy artykuł.

Przed rozpoczęciem omawiania poszczególnych zasad przetwarzania danych osobowych, niezbędne jest wskazanie podstawowych definicji zawartych w ustawie o ochronie danych osobowych.

Dane osobowe

W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest zaś osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za możliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań (art. 6 ustawy o ochronie danych osobowych, dalej ustawa).

Innymi słowy za dane osobowe uznaje się m. in. imię i nazwisko, adres, mail, numer IP, numer telefonu. Pozwalają one bowiem na identyfikację osoby.

Inne istotne definicje

Zbiór danych - każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

Przetwarzanie danych - jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

System informatyczny - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.

Administrator danych - organ, jednostka organizacyjna, podmiot lub osoba, decydujące o celach i środkach przetwarzania danych osobowych.

Zgoda osoby, której dane dotyczą - oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści.

Zasady przetwarzania danych

 

Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były:

  1. przetwarzane zgodnie z prawem,
  2. zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,
  3. merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,
  4. przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

Przetwarzanie zgodnie z prawem

Nie chodzi tu o zgodność wyłącznie z niniejszą ustawą (art. 23), ale z wszelkimi normami prawa, zarówno tymi już istniejącymi w momencie wejścia w życie ustawy, jak i tymi, które dopiero później zostały wprowadzone do porządku prawnego. Zgodność z prawem dotyczy przestrzegania zarówno przepisów prawa materialnego, jak i przepisów dotyczących postępowania.

Zbieranie danych dla oznaczonych celów

Z zastrzeżenia przewidującego obowiązek wyraźnego oznaczenia celu, dla którego dane mają być przetwarzane, wyprowadzane są wnioski, iż:

  • oznaczenie powinno z reguły być zrealizowane w formie pisemnej, gdyż zdecydowanie ułatwia to dokonywanie później ocen co do przestrzegania "zasady związania celem";
  • wszelkie niejasności w zakresie wyznaczenia celu, jego zakresu, należy interpretować na korzyść osoby, której dane są przetwarzane (lub z drugiej strony: na niekorzyść administratora), w tym znaczeniu, że osoba ta powinna mieć możność zadecydowania o "spornym" wykorzystaniu jej danych.

Merytoryczna poprawność i adekwatność w stosunku do celów

Jak się zauważa w literaturze, wymóg zapewnienia merytorycznej poprawności danych osobowych przez administratora wiąże się z obowiązkiem uwzględniania przez niego m.in. następujących okoliczności:

  •  znaczenia ewentualnej niedokładności danych z perspektywy osoby, której one dotyczą,
  •  oceny wiarygodności źródła pozyskiwania danych,
  • konieczności wypracowania trybu weryfikowania prawdziwości danych w odniesieniu do poszczególnych ich kategorii oraz zasad postępowania w przypadku stwierdzenia nieprawdziwości danych; chodzi tu m.in. o powiadomienie o błędnej informacji osób trzecich, którym dane przekazano.

Wspomniany wymóg "aktualności danych" należy w istocie traktować jako zobowiązanie administratora danych do regularnego (systematycznego) przeglądu swych zbiorów danych osobowych pod kątem ich aktualizacji. Należy jednak przyjąć, że zobowiązanie to nie ma charakteru bezwzględnego w tym sensie, że aktualizacja danych jest wymagana jedynie wówczas, gdy ze względu na cel przetwarzania danych jest to uzasadnione.

Przechowywanie nie dłużej niż jest to niezbędne

W przypadku gdy zapisanie (zgromadzenie) danych ma swe źródło w relacji istniejącej między danymi osobowymi (czy osobą) a administratorem danych, należy przyjąć obowiązek ich usunięcia w sytuacji wygaśnięcia tej relacji. Przykładowo dotyczy to sytuacji ustania stosunku zatrudnienia lub zaprzestania dokonywania transakcji z daną osobą. Wskazuje się przy tym, że niekiedy powstaje wówczas obowiązek usunięcia jedynie części danych ze względu na celowość utrzymania informacji koniecznych dla obrony interesów administratora w przypadku ewentualnego podniesienia roszczeń przeciwko niemu przez daną osobę.

Zabezpieczenie danych

Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz ww. środki (art. 36 ustawy).

Administrator danych:

  • wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, chyba że sam wykonuje te czynności,
  • upoważnia inne osoby do przetwarzania danych,
  • zapewnia kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane,
  • prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:
    •  
      • imię i nazwisko osoby upoważnionej,
      • datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,
      • identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.

Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.

Środki bezpieczeństwa, sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych, podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne określa Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (zob. niżej).

Dokumentacja

 

Zgodnie z powyższym rozporządzeniem dokumentacja przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych dzieli się na:

  • politykę bezpieczeństwa,
  • instrukcję zarządzania systemem informatycznym.

Polityka bezpieczeństwa zawiera w szczególności:

  • wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
  • wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
  • opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
  • sposób przepływu danych pomiędzy poszczególnymi systemami;
  • określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Instrukcja zawiera w szczególności:

  1. procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
  2. stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
  3. procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
  4. procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
  5. sposób, miejsce i okres przechowywania:
    • elektronicznych nośników informacji zawierających dane osobowe,
    • kopii zapasowych, o których mowa w pkt 4,
  6. sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowaniaktórego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego;
  7. sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4 rozporządzenia;
  8. procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Poziomy bezpieczeństwa

Rozporządzenie wprowadza trzy poziomy bezpieczeństwa:

  1. podstawowy;
  2. podwyższony;
  3. wysoki.

Poziom co najmniej podstawowy stosuje się, gdy:

  • w systemie informatycznym nie są przetwarzane dane, o których mowa w art. 27 ustawy (dane wrażliwe, np. pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne, stan zdrowia, itp.), oraz
  • żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną.

Poziom co najmniej podwyższony stosuje się, gdy:

  • w systemie informatycznym przetwarzane są dane osobowe, o których mowa w art. 27 ustawy, oraz
  • żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną.

Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną.

Podstawa prawna:

  • Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. 2002 r., Nr 101, poz. 926, ze zmianami);
  • Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. 2004 r., Nr 100, poz. 1024)

Zespół
e-prawnik.pl

Skomentuj artykuł - Twoje zdanie jest ważne

Czy uważasz, że artykuł zawiera wszystkie istotne informacje? Czy jest coś, co powinniśmy uzupełnić? A może masz własne doświadczenia związane z tematem artykułu?


Masz inne pytanie do prawnika?

 

Komentarze

  • Piotr 2019-09-20 11:50:09

    Jak sie ma ochrona danych osobowych w umowie zleceniu gdzie podaje imie nazwisko adres date urodzenia nr dowodu osobistego a pracownik firmy w celu podpisanie umowy przenosi z firmy do prywatnego domu osoby 3. Dodać ze umowa zostaje wpisane po zakonczeniu wykonanej pracy na koniec miesiąca kalendarzowego i posiada błędne rozliczenie rachunku.

  • Wielbiciel 2016-02-10 15:31:42

    O jakim zabezpieczeniu danych mówimy. Najczęściej dzisiaj dane musimy przekazywać podmiotom fukcjonującym w innych krajach a one lekceważą polskie prawo . Handlują w sieci naszymi danymi ale nic sie nie dowiemy i do niczego nie mamy dostępu jeżeli nie podamy informacji jakich te podmioty chcą. Pierwszy z brzegu przykład operatorzy telefonii, internetu, banki, itp. Wszyscy wiedzą o nas wszystko a później przychodzą jakieś bzdety. Jak uda się z kimś dogadać skąd ma nasze dane to podaje jakąś firmę np. na Cyprze, w Hiszpanii, w Niemczech albo gdziekolwiek. My nie mamy żadnego wpływu n taki stan rzeczy, a nasza władza zrobi wszystko żeby dogodzić obcemu a nie swojemu obywatelowi. Dlatego powinnuśmy pozywać nasze władze do sądów za brak należytej staranności w zakresie zabezpieczenia naszych danych. Innym tematem jest czy " nasze niezależne sądownictwo" chce stanąć po stronie obywatela ? Tak zamyka nam sie koło, a obywatel zostaje z ręką w nocniku ... Pod rubryką jest zapis kto jest administratorem tego co napisałem i co muszę dołożyć aby mój komentarz sie ukazał. Od razu widać że jest to fikcja dotycząca ochrony. Ponadto istnieje zawsze cenzura, która w kłamliwy sposób pisze że komentarz nie był ok i zawierał dużo negatywnych ocen. Nie wiem czy puszczą to co piszę bo już kilka razy mnie blokowali, a ja napisałem tylko prawdę i to co czuję ale bez jakichkolwiek wulgaryzmów. Próbowałem i delikatnych wulgaryzmów ... to wykropkowali litery i puścili. Ale tylko wtedy jeżeli komentarz nie zawierał moich odczuć i nie mówił prawdy .


Potrzebujesz pomocy prawnej?

Zapytaj prawnika