Wszystko, co chcecie wiedzieć o GIODO, a boicie się zajrzeć do ustawy!

Kto ma informacje ten ma władzę. Wiedzą o tym banki zbierające dane o zachowaniach konsumenckich swoich klientów, wie o tym facebook dostarczający nam adresowane reklamy. Świadomość tego, jaki jest nasz potencjalny klient przekłada się na nasze zyski. Ale to tylko ułamek danych, które zbieramy i przechowujemy. Jak to zrobić by nie złamać prawa oraz by nasze dane były bezpieczne?

Generalny Inspektor Ochrony Danych Osobowych (GIODO) – jest to organ do spraw ochrony danych osobowych. W skrócie GIODO zajmuje się nadzorem sposobu w jaki przetwarzane są dane osobowe w naszym pięknym kraju. W tym celu między innymi prowadzi rejestr zbiorów danych oraz rejestr administratorów bezpieczeństwa informacji. Osobom zainteresowanym udziela informacji o tych rejestrach. Rozpatruje skargi związane z naruszeniem ustawy o ochronie danych osobowych, a w razie wykrycia nieprawidłowości ingeruje (często dosyć boleśnie, więc warto znać prawo – tu link do ustawy).

Jak wiecie (mam nadzieję) COOL PC zajmuje się opieką nad zbiorami danych innych firm oraz dostowaniem sposobu przechowywania i przetwarzania tych informacji do wymogów GIODO. Dlatego chętnie podzielę się z Wami naszą wiedzą – specjalnie dla tych, którzy nie mają czasu na czytanie fascynujących ustaw i uchwał związanych z przechowywaniem i przetwarzaniem danych osobowych, przedstawiam krótki zbiór najważniejszych informacji dotyczących GIODO. Aby było szybciej zrobiłem to w formie Q&A. Jest dużo skrótów, zamiast przepisywać całe ustępy z ustawy, podaję w którym miejscu ich szukać (dla tych, którzy szukają odpowiedniego przepisu).

Co to są dane osobowe? (rozdział 1, art. 6)
Są to wszystkie informacje, które w sposób bezpośredni lub pośredni umożliwiają identyfikację osoby. O ile w przypadku numerów PESEL, imion, nazwisk i adresów większość z nas nie ma wątpliwości o tyle adresy e-mail budzą kontrowersje. Na stronie GIODO pada jednoznaczna odpowiedź – adresy e-mail umożliwiają nam w sposób pośredni identyfikację osoby – są danymi osobowymi. To bardzo ważna informacja dla wszystkich, którzy na swoich stronach prowadzą newsletter. W świetle prawa przed założeniem takiego zbioru danych MUSICIE zgłosić to Głównemu Inspektorowi Ochrony Danych Osobowych.

Danymi osobowymi nie są pojedyncze informacje o dużym stopniu ogólności, np.nazwa ulicy i numer domu czy wysokość wynagrodzenia. Jednak jeżeli do tych danych dodamy informacje, które po zsumowaniu umożliwią nam dotarcie do konkretnej osoby – otrzymujemy zestaw danych osobowych. Są też pojedyncze informacje spełniające definicję danych osobowych np. PESEL czy numer dowodu osobistego.

Co to jest zbiór danych osobowych? (rozdział 1, art. 7)
Zbiór danych osobowych charakteryzuje się uporządkowaniem – tzn. istnieje możliwość wyszukania konkretnych danych według określonego kryterium). Aby jakikolwiek zestaw danych zaklasyfikować jako zbiór w rozumieniu przepisów ustawy, wystarczające jest kryterium umoż­liwiające odnalezienie danych osobowych w zestawie. Kryterium wyszukiwania nie musi być osobowe (np. może być to data dodania do zbioru). Taki usystematyzowany zestaw danych osobowych powinien być zgłoszony do rejestracji Generalnemu Inspektorowi przez administratora danych.

Kto podlega ustawie o ochronie danych osobowych? (rozdział 1, art.1, art.3)
Każdy, kto takie dane zbiera w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych.

Kiedy należy zgłosić zbiór danych do rejestru GIODO? (rozdział 6, art. 41)
Zgłoszenia zbioru do rejestracji należy dokonać przed rozpoczęciem przed pozyskaniem pierwszych danych do zbioru. Jeżeli dane są “szczególnie chronione” (tj. zawierają informacje ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, prze­konania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i man­datów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym) to ich zbieranie można rozpocząć dopiero po REJESTRACJI zbioru!!!

Jeżeli dane zawarte w zgłoszeniu ulegną zmianie, należy poinformować o tym Generalnego Insperktora Ochrony Danych Osobowych w ciągu 30 dni (chyba, że zmiana dotyczy rozszerzenia zakresu przetwarzania danych – wtedy należy zgłosić tę zmianę przed jej wprowadzeniem).

Co powinno zawierać zgłoszenie do rejestru zbiorów danych osobowych? (rozdział 6, art. 41)
– odpowiedni wniosek
– oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania
– cel przetwarzania danych
– opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych
– sposób zbierania oraz udostępniania danych
– informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane
– opis środków technicznych i organizacyjnych zastosowanych do ochrony przechowywanych i przetwarzanych danych
– informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego;

Co należy zrobić podczas zbierania danych osobowych? (rozdział 3, art. 24)
Każdą osobę, której dane osobowe zbieramy musimy poinformować o adresie swojej siedziby (gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania) i pełnej nazwie. Dodatkowo informujemy w jakim celu zbierane są dane, możliwości wglądu w swoje dane, a także o dobrowolności lub obowiązku podania danych (gdy istnieje taki obowiązek należy podać podstawę prawną).

Jakie warunki musi spełnić klauzula zgody na przetwarzanie danych, jaką firma zamierza zawrzeć w treści umów zawieranych z klientami? (rozdział 1, art. 7)
Nie istnieje jeden wzór takiej zgody. Wiemy jednak, że “przezzgodę osoby, której dane dotyczą rozumie się oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie”. Zgoda taka nie może być domniemana lub dorozumiania z oświadczenia woli o innej treści! Osoba udzielająca przyzwolenia na przetwarzanie danych osobowych ma prawo w każdej chwili odwołać swoją zgodę. Osoba udzielająca zgody nie może mieć wątpliwości na co się zgadza (tzn, treść zgody ma jasno określać cel, zakres przetwarzania danych oraz to kto te dane będzie przetwarzać)

Jak przechowywać i przetwarzać dane? (rozdział 5, art. 36)
Bezpiecznie! Każdy administrator danych jest zoobowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Przede wszystkim ma zabezpieczyć dane przed jakąkolwiek interwencją osób niepożądanych. Do tych celów, oraz pozostałych obowiązków wymienionych w ustawie o ochronie danych osobowych, administrator danych może powołać inną osobę tzw. administratora bezpieczeństwa (np. sporządzania wymaganej przez GIODO dokumentacji, rejestracji zbiorów itp.) O powołaniu lub odwołaniu administratora bezpieczeństwa administrator danych jest zoobowiązany powiadomić głównego inspektora w ciągu 30 dni. To administrator danych jednak, upoważnia osoby do przetwarzania danych i kontroluje działania tych osób.

Kiedy przetwarzanie danych jest dopuszczalne? (rozdział 3, art. 23)
Po pierwsze wymagana jest zgoda osoby, której dane dotyczą (chyba, że chodzi o usunięcie jej danych). Zgoda taka jest wymagana przed każdą zmianą w sposobie przetwarzania danych. Zgoda taka może obejmować także przetwarzanie w przyszłości (o ile cel przetwarzania danych się nie zmieni). Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą. Ponadto przetwarzanie danych jest dopuszczalne gdy, jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Za takie prawnie usprawiedliwione cele uważa się np. marketing bezpośredni własnych produktów lub usług administratora danych oraz dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

Jakich danych przetwarzać nie wolno? (rozdział 3, art. 27.1, art. 27.2)
Takich, które ujawniają pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Jeżeli chcemy przetwarzać takie dane musimy na to uzyskać specjalną zgodę osoby, której te informacje dotyczą. Możemy też to zrobić, gdy inne przepisy prawa dopuszczają taką możliwość. Ustawa o ochronie danych dopuszcza także inne sytuacje zezwalające na przetwarzanie takich danych (rozdział 3, art. 27.2)

Jakie zasady przetwarzania danych mnie obowiązują? (rozdział 3, art. 26)
1) zasady legalności – dane przetwarzamy w zgodzie z prawem (CAŁYM prawem, a nie tylko w zgodzie z ustawą o ochronie danych osobowych
2) zasady celowości – zbieramy dane dla wyznaczonych wcześniej celów i nie poddajemy ich dalszemu przetwarzaniu niezgodnemu z tymi celami. Podczas zbierania zgody na przetwarzanie danych nie można pominąć, zataić lub opisać w spsób ogólnikowy celu w jakim dane będą przetwarzane. Niedopuszczalne jest uzależnianie zawarcia umowy od wyrażenia zgody na przetwarzanie danych w zupełnie innych celach (np.marketingu pro­duktów i usług podmiotów trzecich).
3) zasady merytorycznej poprawności – administrator danych zobowiązany jest do oceny merytorycznej poprawności I prawdziwości danych oraz wiarygonsości ich źródła.
4) zasady adekwatności danych – administrator powinien przetwarzać tylko takiego rodzaju dane i tylko o takiej treści, które są niezbędne ze względu na cel zbierania danych.
5) zasady ograniczenia czasowego – dane możemy przechowywać nie dłużej niż jest to nie­zbędne do osiągnięcia celu przetwarzania. Po osiągnięciu tego celu (np.wykonaniu zawartej umowy, upływie wskazanego w przepisach prawa okresu przechowywania danych) dane powinny zostać usunięte, zanonimizowane lub też przekazane podmiotowi uprawnionemu ustawowo do ich przejęcia od ad­ministratora (np.przekazane do archiwum państwowego).

Czy mogę przekazywać dane państwom trzecim? (rozdział 7, art. 47)
Tak, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych. W innym przypadku niezbędna jest wcześniejsza zgoda GIODO, pod warunkiem że administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą.

Czy jako administrator danych mogę powierzyć ich przetwarzanie innemu podmiotowi? (rozdział 3, art. 31)
Tak, administrator danych może powierzyć innemu podmiotowi przetwarzanie danych. Musi to zrobić na drodze umowy zawartej na piśmie. Zakres i cel przetwarzania danych muszą być jasno i szczegółowo określone w umowie.

Czy ktoś kontroluje sposób przetwarzania danych? Do czego mają prawo osoby kontrolujące mój zbiór danych osobowych? (rozdział 2, art. 14, art. 15)
Tak, robią to pracownicy GIODO. W czasie takiej kontroli jesteśmy zobowiązani do umożliwienia wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli. Pracownicy GIODO mogą sporządzać kopie takich dokumentów. Ponadto mają prawo dokonać oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych. Bardzo ważne! W czasie kontroli inspektor przeprowadzający ma prawo wglądu do zbioru zawierającego dane osobowe jedynie za pośrednictwem upoważnionego przedstawiciela kontrolowanej jednostki organizacyjnej!

Co się dzieje, jeżeli na podstawie wyników kontroli stwierdzone zostanie naruszenie przepisów o ochronie danych osobowych? (rozdział 2, art.18)
Inspektor ma prawo żądać wszczęcia postępowania dyscyplinarnego lub innego przeiwdzianego prawem postępowania przeciwko osobom, które są odpowiedzialne za uchybienia. Dodatkowo inspektor nakłada obowiązek przywrócenia stanu zgodnego z prawem ochrony danych, nawet jeżeli oznacza to usunięcie danych osobowych.

Co mi grozi, jeżeli przechowuję lub przetwarzam dane w sposób niezgodny z ustawą o ochronie danych osobowych? (rozdział 8, art. 49)
1. Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.
3.Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Jeżeli działanie jest nieumyślne – podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
4. Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
5. Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
6. Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
7. Kto inspektorowi udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

Czy mogę sprawdzić kto i w jaki sposób przetwarza dane osobowe dotyczące mojej osoby? (rozdział 4, art. 32)
Tak, każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych. Tak więc mamy prawo dowiedzieć się, czy istnieje zbiór danych w którym widniejemy, jaki jest cel i zakres przetwarzania naszych danych, jakie jest źródło informacji o nas. Jeżeli nasze dane są udostępniane mamy prawo do informacji o wszystkich odbiorcach. Możemy także wnieść sprzeciw wobec przechowywania i przetwarzania naszych danych. W takiej sytuacji administrator danych może po usunięciu danych zostawić w zbiorze nasze imię(ona), nazwisko, PESEL w celu uniknięcia ponownego wciągnięcia do zbioru. Administrator może odmówić ujawniania informacji o naszych danych gdy np. zagraża to obronności, czy podstawowego interesu gospodarczego państwa (brzmi trochę złowrogo, prawda?)

Czy zbiory danych osobowych umieszczone w Internecie należy zgłaszać do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych?
NIE. Jeżeli zbiór danych jest powszechnie dostępny, nie podlega on obowiązkowi rejestracji. Bardzo ważne! Wszystkie dane w naszym zbiorze muszą być powszechnie dostępne! Jeżeli tylko część naszych danych jest powszechnie dostępna musimy poddać zbiór rejestracji.

Czy należy zgłosić do rejestracji Generalnemu Inspektorowi Ochrony Da­nych Osobowych zbiór danych osób zamawiających usługę newsletter? (rozdział 1, art. 7)
TAK. Adres e-mail w rozumieniu ustawy o ochronie danych osobowych stanowi dane osobowe. Każdy kto zbudował w swoim newsletterze bazę e-maili posiada więc zbiór danych osobowych I musi ten zbiór zarejestrować.

Czy numer telefonu jest daną osobową? (rozdział 1, art. 7)
TAK! Numer telefonu ko­mórkowego związany jest z infrastrukturą sieciową zarządzaną przez określonego operatora/dostawcę, u którego podczas nadawania numeru rejestrowane są dane użytkownika. Istnieje zatem możliwość identyfikacji osoby będącej użytkownikiem danego danego numeru. Ktoś mógłby się pokłócić o numery telefonów na kartę. Wedle mojej wiedzy GIODO jednak nie dopuszcza tego wyjątku. Poza tym szczerze wątpię, że chce się Wam segregować numery wedle kategorii “abonament” I “karta”. Przypominam – adres e-mail też jest daną osobową!

Czy mam obowiązek zgłoszenia do rejestracji zbioru danych, jeśli są to aplikacje kandydatów do pracy, przechowywane za zgodą kandyda­tów, do celów rekrutacji? Czy mam obowiązek zgłaszania do rejestracji zbioru danych byłych i obecnych pracowników? (rozdział 1, art.7)
NIE I NIE :) Z obowiązku zgłoszenia zbioru danych do rejestracji zwolnieni są administratorzy danych „przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrze­szonych lub uczących się”. Oczywiście zwolnienie z obowiązku rejestracji nie zwalnia nas z przestrzegania przepisów o ochronie danych.

Czy spółka zajmująca się pośrednictwem pracy i gromadząca w związ­ku z prowadzoną działalnością informacje o osobach poszukujących pracy musi zgłosić zbiór Generalnemu Inspektorowi Ochrony Danych Osobowych do rejestracji? (rozdział 1, art. 7)
TAK. Ponieważ spółka taka nie jest potencjalnym pracodawcą dla osób, których dane zbiera, jest objęta obowiązkiem rejestracji zbioru danych osobowych.

Uff, przebrneliśmy. Macie jeszcze jakieś pytania dotyczące GIODO? Koniecznie dajcie mi znać, postaram się na wszystkie odpowiedzieć.

Sporo zamieszania z tym GIODO. Jeżeli chodzi o ochronę danych osobowych prawo bywa dość zawiłe i stawia przed nami wysokie wymagania. Dlatego warto zlecić opiekę nad Waszymi zbiorami danych komuś z doświadczeniem – na przykład nam :) COOL PC pomoże Wam nie tylko przy zabezpieczeniu danych, tak by ich przechowywanie i przetwarzanie było zgodne z prawem (a co ważniejsze uchroni je przed ingerencją osób niepożądanych, wyciekiem czy ich utratą). Pomożemy też Wam z rejestracją zbioru do GIODO. Skontaktujcie się z nami i sprawdźcie naszę ofertę!

Zbyszek Zbyszek, 9 maja 2015