Październik 25, 2016

Najczęściej zadawane pytania odnośnie ochrony danych osobowych

  1. Czym są dane osobowe?

    Można tym terminem określić wszystkie informacje dotyczące konkretnej (zidentyfikowanej bądź możliwej do zidentyfikowania) osoby. Zalicza się do nich m.in. imię i nazwisko, adres, adres mailowy, numer telefonu, PESEL, NIP, adres IP komputera, odcisk palca, itp.

  2. Czym różnią „zwykłe” dane od „wrażliwych”?

    Do zbioru „zwykłych” danych osobowych zalicza się podstawowe informacje, które nie wzbudzają emocji ani emocjonalnych reakcji. Pojawiają się tu wiadomości o imionach i nazwiskach, adresach zamieszkania, wykształceniu, numerach PESEL, czy adresach e-mail. Do danych „wrażliwych” zaliczane są informacje, które mogą wzbudzać emocje i określone reakcje, dookreślają poglądy i przekonania osób na różnych płaszczyznach. W tym zbiorze znajdą się wiadomości dotyczące m.in. poglądów politycznych, przekonań religijnych bądź filozoficznych, przekonań partyjnych, życia seksualnego, danych rasowych bądź etnicznych, kodu genetycznego, itp. Są one dopuszczone do przetwarzania tylko w określonych sytuacjach.

  3. Co oznacza anonimizacja dokumentów?

    Celem tego procesu jest takie przekształcenie informacji o osobie, by uniemożliwić przyporządkowanie konkretnych wiadomości osobistych bądź rzeczowych, pozwalających na identyfikację osoby fizycznej.

  4. Czy można na trwałe usunąć dane osobowe?

    Tak. Ostateczne i trwałe usunięcie wymaga zniszczenia wszelkich nośników, w sposób, który uniemożliwi ich odtworzenie. Wykorzystywane są do tego celu środki mechaniczne (niszczarki) oraz informatyczne (programy komputerowe).

  5. Czym jest zbiór danych osobowych?

    Stanowi jedną z form, w jakiej przechowywane są dane osobowe. Dopuszczalne jest bowiem ich przetrzymywanie w postaci pojedynczych informacji bądź zbiorów, które stanowią zestawy danych osobowych (dostępnych według określonych kryteriów) o określonej strukturze.

  6. Kim jest Administrator Danych Osobowych (ADO)?

    To podmiot, który podejmuje decyzje dotyczące celów i sposobu przetwarzania danych osobowych. Do sprawowania tej funkcji uprawnione są osoby prawne lub fizyczne.

  7. Czy Administrator Danych Osobowych (ADO) i Inspektor Ochrony Danych (IOD) może być tą samą osobą?

    Może tak być – jeśli ADO nie zdecyduje się powołać IOD, jest zobligowany wypełnić ustawowe obowiązki, które dotyczą inspektora ochrony danych. W takich przypadkach musi on wziąć na siebie większość zadań. Jednak z uwagi na szeroki zakres obowiązków, ADO może powołać IOD, który odpowiedzialny jest za przestrzeganie zasad ochrony danych. Do głównych obowiązków IOD należy zagwarantowanie przestrzegania przepisów o ochronie danych osobowych, prowadzenie stosownej dokumentacji, współpraca z PUODO.

  8. Kto jeszcze może mieć dostęp do danych osobowych?

    Takie dyspozycje może uzyskać każda osoba, która posiada upoważnienie do ADO oraz przebyła odpowiednie szkolenie z przetwarzania danych osobowych. Dobrą praktyką jest przeprowadzenie szkolenia z ochrony danych osobowych wśród wszystkich pracowników, którzy mogą mieć kontakt z przetwarzaniem tego rodzaju informacji. Szkolenie powinno zawierać informacje dotyczące podstawowych regulacji prawnych oraz zawierać najważniejsze definicje. Ponadto powinno poruszać takie tematy jak: dopuszczalność przetwarzania danych, prawa osób i obowiązki wobec osób, które udzielają zgody na przetwarzanie takich informacji, odpowiedzialność za przetwarzanie danych, postępowanie w razie naruszenia zasad bezpieczeństwa, odpowiednie zabezpieczanie systemów informatycznych, itp.

  9. Czy Inspektora Ochrony Danych trzeba zgłaszać do UODO?

    Tak. Powołanie IOD wiąże się z koniecznością jego zgłoszenia – w ciągu 14 dni od powołania – do Prezesa Urzędu Ochrony Danych Osobowych. Zgłoszenia można dokonać pocztą tradycyjną, w siedzibie UODO lub elektronicznie za pomocą podpisu kwalifikowanego lub e-PUAP. Zgłoszenia wymaga także odwołanie Inspektora.

  10. Czym jest i co robi PUODO?

    Jest to Prezes Urzędu Ochrony Danych Osobowych. Instytucja ta zajmuje się weryfikacją zgodności przetwarzania danych z przepisami o ochronie danych osobowych. Wydaje również decyzje administracyjne oraz rozpatruje skargi, związane z nieprawidłowym wywiązywaniem się różnych podmiotów z obowiązków nałożonych prawem w zakresie przetwarzania danych osobowych. PUODO podejmuje szereg czynności, które mają na celu zgodne z prawem działanie przedsiębiorstw oraz instytucji w zakresie przetwarzania informacji o osobach.

  11. Czym jest przetwarzanie danych osobowych?

    Jest to szereg czynności podejmowanych z wykorzystaniem danych osobowych, tj. gromadzenie, utrwalanie, przetrzymywanie, archiwizowanie, zmienianie, utrwalanie, usuwanie. Wszystkie wymienione procesy są możliwe i zgodne z prawem wyłącznie, gdy zaistnieje tzw. podstawa przetwarzania danych.

  12. Co może być podstawą przetwarzania danych?

    • umowa, której realizacja wymaga przetwarzania konkretnych informacji o stronach, przy czym jedną ze stron z jest osoba;
    • zgoda, wyrażona przez osobę, której dane będą przetwarzane;

    Ponadto w polskim porządku prawnym istnieją sytuacje, które umożliwiają przetwarzanie danych w związku z podjętymi działaniami, np.

    • gdy przetwarzanie takich informacji jest niezbędne do realizacji uprawnienia bądź spełnienie obowiązku wynikającego z przepisów prawa (np. gdy fundacja rozlicza się z otrzymanych datków, musi ujawnić dane darczyńców przed Urzędem Skarbowym);
    • gdy przetwarzanie informacji o osobach jest konieczne dla wypełnienie prawnie usprawiedliwionych celów, realizowanych przez ADO bądź odbiorców danych (w takiej sytuacji proces przetwarzania nie może naruszać wolności jednostek, których dotyczą informacje);
    • gdy przetwarzanie jest niezbędne dla realizacji działań dla dobra publicznego.
  13. Kontrola UODO a audyt ochrony danych osobowych?

    Głównym zadaniem kontroli Urzędu Ochrony Danych Osobowych jest określenie faktycznego stanu przestrzegania przepisów prawa w zakresie przetwarzania danych osobowych w danej instytucji bądź przedsiębiorstwie. Jest przeprowadzana przez zespół kontrolerów, a czynności kontrolne dokonywane są na miejscu – w siedzibie podmiotu. Celem audytu natomiast jest z jednej strony sprawdzenie poprawności procedur przyjętych w zakresie przetwarzania informacji o osobach oraz ich funkcjonowanie, z drugiej strony – odpowiednie przygotowanie do kontroli.