Ochrona danych osobowych w systemach informatycznych

Ochrona danych osobowych w systemach informatycznych

Ochrona danych osobowychUstawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (tekst jednolity: Dz. U. 2002 r. Nr 101 poz. 926, ze zm.tekst ustawy) nakłada na administratorów danych osobowych obowiązek przetwarzania danych osobowych w określony, zgodny z przepisami, sposób. Zgodnie z Art. 6.1 ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Status administratora danych może przysługiwać zarówno podmiotom publicznym, jak i prywatnym. Administratorem (w sferze niepublicznej) jest co do zasady podmiot (np. spółka prawa handlowego, spółdzielnia, przedsiębiorca prowadzący działalność gospodarczą jednoosobowo, stowarzyszenie, fundacja), a nie osoba lub osoby zarządzające tym podmiotem (np. dyrektor przedsiębiorstwa, prezes spółdzielni, zarząd spółki) lub też pracownik wykonujący czynności związane z ochroną danych osobowych (np. pełnomocnik zarządu ds. ochrony danych osobowych, administrator bezpieczeństwa informacji). Niemniej to osoby zarządzające danym podmiotem ponoszą odpowiedzialność za naruszenie przepisów o ochronie danych osobowych. Administrator danych jest obowiązany zastosować  środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych (Art. 36.1) oraz prowadzić dokumentację opisującą sposób przetwarzania tych danych (Art. 36.2). Za wyjątkiem pewnych kategorii baz danych Administarator zobowiązany jest również do zgłoszenia zbioru danych do rejestru Generalnemu Inspektorowi Ochrony Danych Osobowych (Art. 40).

W celu sprostania wymogom przepisów ustawy proponujemy Państwu usługę polegającą na wykonaniu następujących prac:

1.Analiza przedwdrożeniowa (weryfikacja liczby osób i stanowisk przetwarzających dane osobowe)
2.Opracowanie Ogólnej Instrukcji Ochrony Danych Osobowych
3.Opracowanie Instrukcji Zarządzania systemem informatycznym służącym do przetwarzania danych osobowych
4.Rejestracja zbioru(ów) danych osobowych w GIODO

Kontakt: kontakt@kompix.pl, tel. 94 340 49 49 wew. *206, kom. 602 585 375

Krótkie Vademecum

Konwencja 108

Najstarszym aktem prawnym o zasięgu międzynarodowym, kompleksowo regulującym zagadnienia związane z ochroną danych osobowych jest Konwencja Rady Europy Nr 108 z dnia 28 stycznia 1981 r. o Ochronie Osób w Związku z Automatycznym Przetwarzaniem Danych Osobowych.

Konwencja ta nałożyła na kraje członkowskie zobowiązanie stworzenia ustawodawstwa w zakresie ochrony danych osobowych, wskazując jednocześnie, w jakim kierunku ustawodawstwo to ma zmierzać.

Celem Konwencji jest zapewnienie, na obszarze państw członkowskich, każdemu – niezależnie od obywatelstwa i zamieszkania – ochrony jego praw i wolności, a w szczególności prawa do poszanowania sfery osobistej, w związku z automatycznym przetwarzaniem danych osobowych. Konwencja określiła minimalny zakres tych praw i skorelowanych z nimi obowiązków. Konwencja weszła w życie 1 października 1985 r.

Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady

Efektem prac nad ochroną danych osobowych było wydanie Dyrektywy Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/EC) w sprawie ochrony osób w związku z przetwarzaniem danych osobowych oraz swobodnego przepływu tych danych. Termin na jej implementację do porządków prawnych państw członkowskich wyznaczono na 23 października 1998 r.

Dyrektywa przyjęła bardzo szerokie rozumienie pojęcia danych osobowych oraz przetwarzania danych. Danymi osobowymi określiła wszystkie informacje odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Przetwarzaniem zaś określiła wszystkie – wymieniając je – operacje dokonywane na danych osobowych. Wprowadziła katalog minimalnych praw służących osobom, których dane są zbierane. Ich naruszenie miałoby skutkować możliwością dochodzenia tych praw na drodze sądowej. Dopuszczalność przetwarzania danych została uzależniona od woli (zgody) osoby, której dotyczą dane osobowe. Przewidziano jednak zamknięty katalog sytuacji, gdy jest to możliwe, bez takiej zgody. Dyrektywa wyodrębnia grupę danych osobowych tzw: “sensytywnych”;. W przypadku ich przetwarzania wymagana jest zgoda wyrażona na piśmie. Odrębnie potraktowano też dane dotyczące “skazań kryminalnych”;, które mogą być przetwarzane jedynie przez podmioty publiczne. Sprecyzowano, kiedy możliwe jest odstępstwo od zasady zakazu przetwarzania takich danych. Jednocześnie, zgodnie z Dyrektywą, dane mogą być wykorzystywane wyłącznie zgodnie z celem, dla którego zostały zgromadzone. Dyrektywa wprowadziła obowiązek informowania osoby o zasadach przetwarzania jej danych, przed ich zgromadzeniem. Może ona sprzeciwić się przetwarzaniu swoich danych, jeśli tylko posiada w tym uzasadniony cel. Każda osoba, której dane już znalazły się w zbiorze ma prawo dowiedzieć się o zasady ich przetwarzania, począwszy od możliwości ustalenia informacji o administratorze, skończywszy na ustaleniu treści tych danych. Dyrektywa wprowadziła też prawo kontroli danych osobowych przez osobę, której one dotyczą, w tym prawo wniesienia sprzeciwu przeciwko przetwarzaniu danych. Osobie, która poniosła szkodę wynikającą z przetwarzania danych niezgodnie z Dyrektywą przysługuje, zgodnie z Dyrektywa, odszkodowanie. Jedną z najważniejszych, wprowadzonych Dyrektywą, regulacji jest kwestia przekazywania danych osobowych do krajów trzecich (jest to możliwe wtedy, gdy kraj docelowy zapewnia odpowiedni poziom ochrony).

Ponadto, Dyrektywa przewidziała powołanie Krajowych Organów Nadzorczych. Ich zadaniem jest monitorowanie przestrzegania Dyrektywy. Także, na podstawie art. 29 Dyrektywy, powołana została Grupa Robocza ds. Ochrony Danych. W jej skład wchodzą przedstawiciele Krajowych Organów Nadzorczych oraz przedstawiciel Komisji Europejskiej Wspólnoty Gospodarczej. Jej celem jest przyczynianie się do jednolitego stosowania Dyrektywy w krajach członkowskich, opiniowanie istniejącego poziomu ochrony danych w różnych krajach oraz opiniowanie unijnych aktów normatywnych z zakresu ochrony prywatności, na potrzeby Komisji UE. Dyrektywa przewidziała też powołanie Komitetu Doradczego, złożonego z przedstawicieli krajów członkowskich. Jego zadaniem jest projektowanie i opiniowanie nowych aktów normatywnych z zakresu uregulowanego Dyrektywą.

Konstytucja Rzeczypospolitej Polskiej

Pierwsze gwarancje ochrony danym osobowym zapewniła w Polsce nowa Konstytucja z 1997r. Jej art. 47 zagwarantował obywatelom prawo do prywatności, a art. 51 – każdej osobie – prawo do ochrony dotyczących jej informacji.

Jednakże z międzynarodowych zobowiązań Polski, związanych z akcesją do Unii Europejskiej, wynikła konieczność zapewnienia ochrony danym osobowych takiej, jaką na swoim terytorium, zapewniały państwa Unii. Wszystkie ustawy europejskie wzorowane były lub dostosowano do Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady.

Ustawa o ochronie danych osobowych

Zasady ochrony danych ustanowione Dyrektywą 95/46/EC wprowadzone zostały do polskiego porządku prawnego ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.). Ustawa o ochronie danych osobowych wprowadziła szczegółowe normy służące ochronie danych osobowych w Polsce, a do dnia 1 maja 2004 r., czyli wstąpienia Polski do Unii Europejskiej, przeniosła do polskiego porządku prawnego wszystkie zasady określone w Dyrektywie 95/46/WE Parlamentu Europejskiego i Rady. Przepisy ustawy obowiązują od dnia 30 kwietnia 1998r.

Ustawa określa zasady, jakie należy stosować przy przetwarzaniu danych osobowych, precyzuje prawa i obowiązki organów, instytucji i osób prowadzących zbiory danych osobowych oraz prawa osób, których dane dotyczą, w taki sposób, aby zagwarantować maksymalną ochronę praw i wolności każdej osobie fizycznej oraz poszanowania jej życia prywatnego. Wśród obowiązków dysponentów danych osobowych znajduje się ich zabezpieczenie przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy, zmianą, utratą, uszkodzeniem lub zniszczeniem, czyli takie zorganizowanie postępowania z danymi osobowymi i użycie takich środków technicznych, aby zapewniły one ochronę odpowiednią do zagrożeń i kategorii wykorzystywanych danych. Obowiązki odnośnie zabezpieczenia danych określone są w rozdziale 5 ustawy oraz rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Ustawa w sposób bardzo precyzyjny określa zasady udostępniania danych. Udostępnianie danych osobowych (poza tymi, które objęte zostały szczególną ochroną), w celu włączenia do zbioru, jest możliwe po spełnieniu jednego z warunków określonych w art. 23 ust. 1 ustawy. Jednym, ale nie jedynym, z tych warunków jest zgoda osoby. Dane można wykorzystywać także, gdy jest to niezbędne dla zrealizowania uprawnienia, bądź spełnienia obowiązku wynikającego z przepisu prawa, gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą jest jej stroną, dla dobra publicznego, i też wtedy, gdy jest to konieczne do realizacji prawnie usprawiedliwionego celu administratora danych. Istotne jest przy tym, że wystarczające jest spełnienie jednego z powyższych warunków, by dane można było udostępnić. Jeśli zaś o udostępnienie danych występuje pojedyncza osoba -tę sytuację ustawa określa jako “udostępnienie danych w celu innym niż włączenie do zbioru” -zastosowanie znajduje art. 29 ustawy, zgodnie z którym zachodzi w takim przypadku konieczność złożenia pisemnego, umotywowanego wniosku. W uzasadnieniu osoba lub podmiot zwracający się o dane musi wskazać przepis prawa, który upoważnia ją do posiadania tych danych, lub wykazać potrzebę ich posiadania, przy czym udostępnienie danych nie może w takim przypadku naruszać praw i wolności osób, których one dotyczą. W sposób szczególny w ustawie potraktowane zostały dane ujawniające pochodzenie rasowe i etniczne, poglądy polityczne, przekonania religijne i filozoficzne, przynależność wyznaniową, partyjną lub związkową, dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualny, dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Ich przetwarzanie jest zabronione chyba, że zachodzi jedna z sytuacji wymienionych w art. 27 ust. 2 ustawy. Gdy o dane występuje pojedyncza osoba – czyli w celu innym niż włączenie do zbioru – można je udostępnić jedynie wtedy, gdy podmiot zwracający się o nie jest do tego upoważniony przez przepisy prawa. Jeśli takich przepisów nie ma, nie jest możliwe udostępnienie danych szczególnie chronionych, chociażby osoba zwracająca się o nie jak najbardziej uwiarygodniała potrzebę ich posiadania. Od 1 maja 2004 r., czyli od wejścia Polski do Unii Europejskiej, przekazywanie danych pomiędzy Polską a krajami należącymi do Unii Europejskiej podlega takim zasadom jak na terytorium Polski, natomiast zasady przekazywania danych poza terytorium Europejskiego Obszaru Gospodarczego uregulowane są w rozdziale 7 ustawy o ochronie danych osobowych, zgodnie z którym przekazanie może nastąpić, gdy państwo trzecie gwarantuje na swoim terytorium ochronę danych osobowych przynajmniej taką, jaka obowiązuje na terytorium Rzeczypospolitej Polskiej, ale też w innych szczególnych sytuacjach wymienionych w ust. 2 i 3 art. 47 ustawy o ochronie danych osobowych. Jeśli żadna z tych szczególnych sytuacji nie ma miejsca, do państwa trzeciego dane można przekazać również po uzyskaniu zgody Generalnego Inspektora, ale wtedy administrator musi zapewnić zabezpieczenie ochrony prywatności, praw i wolności osób, których dane dotyczą.

Źródło: www.giodo.gov.pl