Październik 25, 2016

FAQ – najczęściej zadawane pytania odnośnie ochrony danych osobowych

  1. Czym są dane osobowe?

    Można tym terminem określić wszystkie informacje dotyczące konkretnej (zidentyfikowanej bądź możliwej do zidentyfikowania) osoby. Zalicza się do nich m.in. imię i nazwisko, adres, adres mailowy, numer telefonu, PESEL, NIP, adres IP komputera, odcisk palca, itp.

  2. Czym różnią „zwykłe” dane od „wrażliwych”?

    Do zbioru „zwykłych” danych osobowych zalicza się podstawowe informacje, które nie wzbudzają emocji ani emocjonalnych reakcji. Pojawiają się tu wiadomości o imionach i nazwiskach, adresach zamieszkania, wykształceniu, numerach PESEL, czy adresach e-mail. Do danych „wrażliwych” zaliczane są informacje, które mogą wzbudzać emocje i określone reakcje, dookreślają poglądy i przekonania osób na różnych płaszczyznach. W tym zbiorze znajdą się wiadomości dotyczące m.in. poglądów politycznych, przekonań religijnych bądź filozoficznych, przekonań partyjnych, życia seksualnego, danych rasowych bądź etnicznych, kodu genetycznego, itp. Są one dopuszczone do przetwarzania tylko w określonych sytuacjach.

  3. Co oznacza anonimizacja dokumentów?

    Celem tego procesu jest takie przekształcenie informacji o osobie, by uniemożliwić przyporządkowanie konkretnych wiadomości osobistych bądź rzeczowych, pozwalających na identyfikację osoby fizycznej.

  4. Czy można na trwałe usunąć dane osobowe?

    Tak. Ostateczne i trwałe usunięcie wymaga zniszczenia wszelkich nośników, w sposób, który uniemożliwi ich odtworzenie. Wykorzystywane są do tego celu środki mechaniczne (niszczarki) oraz informatyczne (programy komputerowe).

  5. Czym jest zbiór danych osobowych?

    Stanowi jedną z form, w jakiej przechowywane są dane osobowe. Dopuszczalne jest bowiem ich przetrzymywanie w postaci pojedynczych informacji bądź zbiorów, które stanowią zestawy danych osobowych (dostępnych według określonych kryteriów) o określonej strukturze.

  6. Kim jest Administrator Danych Osobowych (ADO)?

    To podmiot, który podejmuje decyzje dotyczące celów i sposobu przetwarzania danych osobowych. Do sprawowania tej funkcji uprawnione są osoby prawne lub fizyczne.

  7. Czy Administrator Danych Osobowych (ADO) i Administrator Bezpieczeństwa Informacji (ABI) jest tą samą osobą?

    Może tak być. Jednak z uwagi na szeroki zakres obowiązków ADO może powołać ABI, który odpowiedzialny jest za przestrzeganie zasad ochrony danych. Do głównych obowiązków ABI należy zagwarantowanie przestrzegania przepisów o ochronie danych osobowych, prowadzenie stosownej dokumentacji, współpraca z GIODO.

  8. Kto jeszcze może mieć dostęp do danych osobowych?

    Takie dyspozycje może uzyskać każda osoba, która posiada upoważnienie do ADO oraz przebyła odpowiednie szkolenie z przetwarzania danych osobowych. Dobrą praktyką jest przeprowadzenie szkolenia z ochrony danych osobowych wśród wszystkich pracowników, którzy mogą mieć kontakt z przetwarzaniem tego rodzaju informacji. Szkolenie powinno zawierać informacje dotyczące podstawowych regulacji prawnych oraz zawierać najważniejsze definicje. Ponadto powinno poruszać takie tematy jak: dopuszczalność przetwarzania danych, prawa osób i obowiązki wobec osób, które udzielają zgody na przetwarzanie takich informacji, rejestracja zbiorów do GIODO i uprawnień GIODO, odpowiedzialności za przetwarzanie danych, postępowania w razie naruszenia zasad bezpieczeństwa, odpowiedniego zabezpieczenia systemów informatycznych, itp.

  9. Czy Administratora Bezpieczeństwa Informacji trzeba zgłaszać do GIODO?

    Tak. Powołanie ABI wiąże się z koniecznością jego zgłoszenia – w ciągu 30 dni od powołania – do Generalnego Inspektora Danych Osobowych. W zgłoszeniu należy umieścić takie informacje jak: imię i nazwisko, numer PESEL, adres do korespondencji, oświadczenia AD, a także oznaczenie AD i adres jego siedziby. Zgłoszenia wymaga także odwołanie Administratora.

  10. Czym jest i co robi GIODO?

    Jest to Generalny Inspektor Danych Osobowych. Instytucja ta zajmuje się weryfikacją zgodności przetwarzania danych z przepisami o ochronie danych osobowych. Wydaje również decyzje administracyjne oraz rozpatruje skargi, związane z nieprawidłowym wywiązywaniem się różnych podmiotów z obowiązków nałożonych prawem w zakresie przetwarzania danych osobowych. GIODO podejmuje szereg czynności, które mają na celu zgodne z prawem działanie przedsiębiorstw oraz instytucji w zakresie przetwarzania informacji o osobach.

  11. Czym jest przetwarzanie danych osobowy?

    Jest to szereg czynności podejmowanych z wykorzystaniem danych osobowych, tj. gromadzenie, utrwalanie, przetrzymywanie, archiwizowanie, zmienianie, utrwalanie, usuwanie. Wszystkie wymienione procesy są możliwe i zgodne z prawem wyłącznie, gdy zaistnieje tzw. podstawa przetwarzania danych.

  12. Co może być podstawą przetwarzania danych?

    • umowa, której realizacja wymaga przetwarzania konkretnych informacji o stronach, przy czym jedną ze stron z jest osoba;
    • zgoda, wyrażona przez osobę, której dane będą przetwarzane;

    Ponadto w polskim porządku prawnym istnieją sytuacje, które umożliwiają przetwarzanie danych w związku z podjętymi działaniami, np.

    • gdy przetwarzanie takich informacji jest niezbędne do realizacji uprawnienia bądź spełnienie obowiązku wynikającego z przepisów prawa (np. gdy fundacja rozlicza się z otrzymanych datków, musi ujawnić dane darczyńców przed Urzędem Skarbowym);
    • gdy przetwarzanie informacji o osobach jest konieczne dla wypełnienie prawnie usprawiedliwionych celów, realizowanych przez ADO bądź odbiorców danych (w takiej sytuacji proces przetwarzania nie może naruszać wolności jednostek, których dotyczą informacje);
    • gdy przetwarzanie jest niezbędne dla realizacji działań dla dobra publicznego.

  13. Kontrola inspektora GIDO a audyt ochrony danych osobowych?

    Głównym zadaniem kontroli jest określenie faktycznego stanu przestrzegania przepisów prawa w zakresie przetwarzania danych osobowych w danej instytucji bądź przedsiębiorstwie. Jest przeprowadzana przez zespół inspektorów, a czynności kontrolne dokonywane są na miejscu – w siedzibie podmiotu. Celem audytu jest z jednej strony sprawdzenie poprawności procedur przyjętych w zakresie przetwarzania informacji o osobach oraz ich funkcjonowanie, z drugiej strony – odpowiednie przygotowanie do kontroli.