Dane osobowe zostały zdefiniowane w ustawie dnia 29 sierpnia 1997 roku o ochronie danych osobowych. Zgodnie z Ustawą za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Określenie: "wszelkie informacje" podkreśla, że danymi osobowymi będą jakiekolwiek dane dotyczące danej osoby, zarówno dotyczące jej cech charakteru, życia prywatnego, zawodowego, jak i stosunków majątkowych. Będą nimi zarówno aspekty językowe i pozajęzykowe, a więc nie tylko imię, nazwisko, adres, ale też, np: linie papilarne lub wizerunek.

Kolejnym elementem definicji jest możliwość odniesienia tych informacji do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny (np: PESEL) albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne (np: charakterystyczny wygląd), fizjologiczne (np: grupa krwi), umysłowe (np: iloraz inteligencji), ekonomiczne (np: status majątkowy), kulturowe (np: poglądy filozoficzne), społeczne (np: pochodzenie).

Daną osobową będzie więc każda informacja, która pozwala na zidentyfikowanie osoby fizycznej, nawet pośrednio przy uwzględnieniu innych posiadanych informacji. Daną osobową może stanowić np: adres IP komputera, zdjęcie, a nawet adres email (w szczególności jeśli składa się z imienia i nazwiska), jeśli ich wykorzystanie pozwoli na identyfikację konkretnej osoby. Ustawa o ochronie danych osobowych dotyczy wyłącznie osób fizycznych, nie ma zastosowania do danych osób zmarłych lub osób prowadzących działalność gospodarczą.

Generalny Inspektor Ochrony Danych Osobowych jest centralnym, jednoosobowym organem administracji publicznej powołanym w celu:




• kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
• wydawania decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych
• prowadzenia rejestru zbioru danych oraz udzielanie informacji o zarejestrowanych zbiorach
• opiniowania projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych
• inicjowania i podejmowania przedsięwzięć w zakresie doskonalenia ochrony danych osobowych
• uczestniczenia w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych w przypadku naruszenia przepisów o ochronie danych osobowych.

Szczegółowe zasady działania i kompetencje GIODO określone są w Ustawie o ochronie danych osobowych.

Generalny Inspektor, z urzędu lub na wniosek osoby zainteresowanej, ma prawo nakazać - w drodze decyzji administracyjnej - przywrócenie stanu zgodnego z prawem, a w szczególności:

• usunięcie uchybień
• uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych
• zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe
• wstrzymanie przekazywania danych osobowych do państwa trzeciego
• zabezpieczenie danych lub przekazanie ich innym podmiotom
• usunięcie danych osobowych

W razie stwierdzenia, że działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej będącej administratorem danych wyczerpuje znamiona przestępstwa określonego w ustawie, Generalny Inspektor kieruje do organu powołanego do ścigania przestępstw zawiadomienie o popełnieniu przestępstwa, dołączając dowody dokumentujące podejrzenie.

Przetwarzanie danych osobowych należy uznać za legalne jeśli administrator danych może wykazać się podstawą prawną przetwarzania tych danych w swoich zbiorach. Należy być również przygotowanym na przedstawienie dowodów legalnego przetwarzania danych osobowych, w tym uzyskania zgody klienta na ich przetwarzanie w przypadku powoływania się na taką przesłankę legalizacyjną.

Zakres, cel i adekwatność przetwarzania danych

W trakcie kontroli weryfikowane jest przetwarzanie danych osobowych z zachowaniem zasady celowości oraz adekwatności w stosunku do celu przetwarzania. Administrator danych może być obowiązany do udowodnienia, że zakres przetwarzanych danych osobowych (np: imię, nazwisko i adres) jest niezbędny do celu, w jakim dane są przetwarzane.

Obowiązek informacyjny

Każdej osobie, której dane są przetwarzane w zbiorach danych osobowych administratora danych wymaga prawidłowego poinformowania o przysługujących jej prawach, zgodnie z Ustawą o ochronie danych osobowych. Kontroler z pewnością sprawdzi sposób wykonywania tego obowiązku.

Zgłoszenie zbioru do rejestracji.

Co do zasady wszystkie zbiory danych osobowych wymagają rejestracji chyba, że Ustawa o ochronie danych osobowych

Jeżeli zbiory danych osobowych przekazywane są za granicę EOG (np. poprzez centralną międzynarodową bazę danych) Kontroler na pewno sprawdzi przesłanki legalizujące transfer danych oraz fakt spełniania przez systemy informatyczne służące do ich przetwarzania warunków Rozporządzenia Ministra Spraw Wewnętrznych i Administracji.

Powierzenie przetwarzania danych osobowych

Administrator danych osobowych ma prawo korzystania – przy realizacji swojej działalności - z usług zewnętrznych podmiotów. Jeżeli wiążące się to z dostępem do danych osobowych wymaga zawarcia tzw. umowy powierzenia przetwarzania danych osobowych. Wszystkie takie umowy mogą stać się przedmiotem kontroli.

Zabezpieczenie danych

W toku kontroli administrator danych z pewnością będzie musiał okazać prawidłową dokumentację przetwarzania danych osobowych (politykę bezpieczeństwa oraz instrukcję zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych), upoważnienia, ewidencję osób upoważnionych do przetwarzania danych osobowych. Inspektor skontroluje również czy systemy informatyczne spełniają wymagania Ustawy o ochronie danych osobowych.

Firmy z sektora mikro, małych i średnich przedsiębiorstw (MSP) bardzo często borykają się z wieloma przeszkodami, które muszą pokonać, by móc funkcjonować zgodnie z przepisami prawa oraz rozwijać swoją działalność. Jedną z największych przeszkód są kwestie związane z brakiem pokaźnych środków finansowych, które mogą być wykorzystane na profesjonalne usługi doradcze. Niestety ustawodawca często zapomina, że różnica pomiędzy jednoosobową działalnością gospodarczą i spółką akcyjną to nie tylko kwestia wielkości takich podmiotów. Sposób prowadzenia przez nie biznesu regulują również inne przepisy, a mianowicie ustawa z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej oraz ustawa z dnia 15 września 2000 r. kodeks spółek handlowych.

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych jest przykładem regulacji, która niestety w żaden sposób nie rozróżnia firm z uwagi na ich formę prawną, skalę działania, czy też kwestie związane z ilością zatrudnionych pracowników.

Mając świadomość opisanego powyżej problemu chcielibyśmy zachęcić Państwa do zapoznania się z naszą ofertą usług doradczych i consultingowych, które przygotowaliśmy w taki sposób, by firma z sektora MSP mogła z czystym sumieniem z nich skorzystać i być zadowolona z dobrze wydanych pieniędzy.

Ustawa o ochronie danych osobowych nie rozróżnia pozycji prawnej zależnie od typu administratora danych osobowych. Do przestrzegania Ustawy o ochronie danych osobowych zobowiązane są na zasadach analogicznych zarówno firmy komercyjne, sektor prywatny, placówki oświatowe, jak i urzędy administracji publicznej i samorządowej. Powinny one dbać o prawidłowość procesu przetwarzania danych osobowych i zabezpieczać - w sposób prawidłowy i zgodny z UODO - dane osobowe.

Stosowanie UODO przez urzędy administracji publicznej i samorządowej stwarza wiele problemów, które w dużej mierze wynikają z faktu, że do pracy urzędów mają zastosowanie liczne przepisy szczególne. Biorąc pod uwagę wskazane powyżej okoliczności oferujemy usługi doradczo-consultingowe, a także szkoleniowe z zakresu ochrony danych osobowych.

Ustawa o ochronie danych osobowych wprowadza pojęcie odbiorcy danych. Jest nim każdy, komu udostępnia się dane osobowe, z wyłączeniem:


• osoby, której dane dotyczą,

• osoby upoważnionej do przetwarzania danych,

• przedstawiciela reprezentującego podmioty mające siedzibę albo miejsce zamieszkania w państwie trzecim,

• podmiotu, któremu powierzono przetwarzanie danych osobowych,

• organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem.

Zapis określający pojęcie odbiorcy danych obowiązuje w Ustawie o ochronie danych osobowych od 1 maja 2004 roku.
W przypadku udostępniania danych może ono mieć miejsce kiedy przepis prawa uprawnia określony podmiot do dostępu do danych, a także jeżeli wnioskujący wykaże istnienie usprawiedliwionego celu udostępnienia danych osobowych, zaś fakt powyższy nie narusza praw i wolności osoby, której dane dotyczą.

Większość z nas jest przekonana, że do przetwarzania danych niezbędna jest zgoda osoby, której dane dotyczą. Taki pogląd wynika z faktu, iż często wypełniając formularze, czy kupony konkursowe, składając CV do potencjalnego pracodawcy lub wysyłając ze skrzynek pocztowych prośbę o usługę spotykamy się z żądaniem akceptacji deklaracji zgody na przetwarzanie danych.

Nic bardziej błędnego. Przeciwnie: żądanie zgody na przetwarzanie danych określonej osoby jest często nadużywane i nieuzasadnione.
Przykładem mogą być administratorzy danych ze sfery publicznej. W ich przypadku pozyskiwanie zgody osoby jest bezsensowne, gdyż podmioty te – zgodnie z normą konstytucyjną – działają na podstawie przepisów prawa, stąd nie są uprawnione do żądania innych informacji o osobach niż określają to przepisy ustaw szczególnych. Gdy dokonujemy czynności meldunkowych w urzędzie, załatwiamy formalności związane z wydaniem nam prawa jazdy, wypełniamy PIT by oddać go urzędowi skarbowemu, czy staramy się o zasiłek dla bezrobotnych prawo gwarantuje nam, że urzędnik nie będzie żądał od nas informacji nieokreślonych w normach właściwych ustaw i rozporządzeń.

W zdecydowanej większości przypadków zgodę osoby na przetwarzanie dotyczących jej danych powinny pozyskiwać podmioty sfery niepublicznej zamierzające wykorzystać informacje o kliencie do działań marketingowych.

Czy nauczyciele mogą wyrazić zgodę na to, by przedstawiciele jakiejś firmy, w trakcie prowadzonych lekcji, gromadzili od uczniów informacje o nich i ich rodzicach (imieniu, nazwisku, numerze telefonu). Celem wykorzystania danych miałoby być prowadzenie akcji marketingowej przez firmę, którą reprezentują osoby je gromadzące?

Szkoła, poza wypełnianiem swoich dydaktyczno-wychowawczych obowiązków, powinna jednocześnie czuwać nad zapewnieniem ochrony prywatności dzieci. Zgoda dyrektora szkoły, czy też poszczególnych nauczycieli lub wychowawców na przetwarzanie danych osobowych dzieci lub ich rodziców nie jest wystarczająca, by można było mówić o legalnym wykorzystywaniu tych danych. Aby, w takiej sytuacji, jak przedstawiona w pytaniu, można było mówić o działaniu legalnym konieczne byłoby uzyskanie zgody rodziców, czy opiekunów prawnych dzieci. Należy podkreślić, że zgoda na przetwarzanie danych osobowych wyrażona przez osoby małoletnie pozostaje bezskutecznym oświadczeniem woli do czasu jej potwierdzenia przez rodziców, czy też opiekunów prawnych małoletnich. Zgoda taka jest pozbawiona mocy prawnej również w świetle obowiązujących przepisów ustawy z dnia 25 lutego 1964 r. Kodeks rodzinny i opiekuńczy (Dz. U. Nr 9, poz. 59 z późn. zm.).

Jeśli nawet dane osobowe uczniów nie zostają w tej sytuacji udostępnione bezpośrednio przez pracowników szkoły, niemniej jednak wskutek ich nieprawidłowego zachowania, dochodzi do pozyskania danych osobowych uczniów w zakresie, który pozwala przedstawicielowi firmy na dotarcie z ofertą marketingową do ich rodziców, wzbudzając w pełni uzasadnione, w takich okolicznościach, poczucie zagrożenia prywatności tych osób. Dlatego też nauczyciele nie powinni, sami nie dysponując uprawnieniem do udostępnienia danych uczniów z dziennika zajęć lekcyjnych lub innych posiadanych przez szkołę dokumentów lub wyrażenia w imieniu dzieci skutecznej zgody na przetwarzanie danych, uciekać się do metod, których zastosowanie naraża na niebezpieczeństwo zarówno prywatność dzieci, jak i ich rodziców.



(Źrodło: Generalny Inspektor Ochrony Danych Osobowych www.giodo.gov.pl )