Ochrona danych osobowych
Wstęp
System ochrony danych osobowych powstał w związku z postępem cywilizacyjnym. Rozwój technologii informatycznych spowodował możliwość błyskawicznego przepływu informacji. Postęp gospodarczy umożliwił wymianę handlową praktycznie na całym świecie. W tych warunkach ochrona prywatności jednostki stała się trudna do opanowania. Uznano, że ochrona danych osobowych winna być chroniona przez Państwo, czego wynikiem jest dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/WE) w sprawie ochrony osób w związku z przetwarzaniem danych osobowych oraz swobodnego przepływu tych danych. Zasady w nich wyrażone przeniosła do polskiego porządku prawnego ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
Elementy i definicje związane z ochroną danych osobowych
Administrator danych – organ, jednostka organizacyjne, podmiot lub osoba decydująca o celach i środkach przetwarzania danych.
Zbiór danych – zestawienie informacji osobowych w sposób pozwalający na dotarcie do nich poprzez określone kryteria. Niezależnie od definicji ochronie podlegają także dane osobowe nieuporządkowane lub pojedyncze dane w systemach informatycznych.
Dane osobowe – wszelkie informacje mogące w prosty sposób, pośrednio lub bezpośrednio zidentyfikować osobę fizyczną. Daną osobową może być poza danymi adresowymi np. numer PESEL czy adres e-mail.
Przetwarzanie danych – jest to każda czynność, jaką wykonujemy na danych osobowych (od zbierania, poprzez modyfikację i składowanie do usunięcia).
Zgoda – musi być dobrowolna. Nie może także być domniemana ani dorozumiana. Oznacza to, że wyrażając zgodę na przetwarzanie danych osobowych w określonym celu musimy być w pełni świadomi, komu i jakim celu taką zgodę wyraziliśmy.
Powierzenie – czynność polegająca na zleceniu przetwarzania danych osobowych procesorowi (innemu podmiotowi), który nie decyduje o celach i środkach przetwarzania danych. Właściwa ochrona danych osobowych wymaga sporządzenia pisemnej umowy powierzenia.
System informatyczny – jest to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. Systemem takim może być zarówno sieć całego przedsiębiorstwa jak i pojedynczy plik np. Excel.
Administrator bezpieczeństwa informacji – osoba fizyczna wyznaczona przez administratora danych w celu nadzoru nad procesem przetwarzania danych osobowych.
Ochrona danych osobowych – podstawowe obowiązki administratora danych
Obowiązek legalności - co do zasady przetwarzanie danych osobowych w Polsce jest zabronione. Jednakże Ustawodawca wprowadził pięć przesłanek uchylających ten zakaz.
- Zgoda osoby, której dane dotyczą
- Przepis prawa umożliwiający przetwarzanie
- Realizacja umowy
- Dobro publiczne
- Prawnie usprawiedliwiony cel administratora danych
W przypadku danych wrażliwych przesłanek tych jest więcej i wymuszają one dalej posuniętą ochronę danych osobowych.
Obowiązek informacyjny – każda osoba, której dane dotyczą musi zostać na etapie zbierania oraz przy dalszym przetwarzaniu prawidłowo poinformowana o:
- adresie i pełniej nazwie administratora danych
- celu przetwarzania i znanych mu odbiorcach danych
- prawie dostępu oraz poprawiania danych
- dobrowolności lub przepisie prawa na podstawie, którego wymagane jest podanie danych osobowych
Dodatkowo w przypadku, gdy dane osobowe nie pochodzą bezpośrednio od osoby, której dotyczą, ochrona danych osobowych wymaga poinformowania o:
- adresie i pełniej nazwie administratora danych
- celu przetwarzania i znanych mu odbiorcach danych
- prawie dostępu oraz poprawiania danych
- dobrowolności lub przepisie prawa na podstawie, którego wymagane jest podanie danych osobowych
- źródle danych
- uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 9 Ustawy o ochronie danych osobowych.
Obowiązek należytej staranności – zakres danych musi być adekwatny do celu, w jakim zostały zebrane, ponadto były aktualne i usuwane po wygaśnięciu celu, w jakim zostały zebrane
Obowiązek zabezpieczenia danych osobowych – wynika z Rozdziału 5 Ustawy o ochronie danych osobowych oraz Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Ochrona danych osobowych obejmuje zabezpieczenia fizyczne, organizacyjne i techniczne. Do zabezpieczeń fizycznych należy zabezpieczenie obszaru (karty dostępowe, CCTV, ochrona fizyczna), organizacyjnych dokumentacja, upoważnienia, ewidencja osób upoważnionych, technicznych zabezpieczenie systemów informatycznych, serwerowi, backupy itp.
Obowiązek rejestracyjny - co do zasady każdy zbiór danych osobowych podlega rejestracji. Ustawa o ochronie danych osobowych w art. 43 wymienia szereg przesłanek zwalniających z tego obowiązku. Są to m.in. pracownicy, uczniowie, członkowie spółdzielni czy też zbiory przetwarzane w drobnych bieżących sprawach dnia codziennego.