Zamknij ten komunikat

Nasze strony wykorzystują pliki cookies.

Na naszych stronach używamy informacji zapisanych za pomocą cookies m.in. w celach reklamowych i statystycznych. Mogą też stosować je współpracujące z nami podmioty, takie jak firmy badawcze oraz dostawcy aplikacji multimedialnych. W każdej przeglądarce internetowej można zmienić ustawienia dotyczące cookies. Korzystanie z naszych serwisów internetowych bez zmiany ustawień dotyczących cookies oznacza, że będą one zapisane w pamięci urządzenia. Więcej informacji można znaleźć w naszej Polityce Cookies.

Doradztwo Filmoteka Fotostory Moja Wieś O tym się mówi Postawy Przegląd prasy Powrót do Strony Głównej Biblioteka Poczta Kontakt Forum Atlas Inicjatyw Metoda e-VITA Szukaj
Dostęp, wiedza, zasoby, wykorzystanie, metoda e-VITA
Serwis dla osób prowadzących działalność gospodarczą
Serwis dla wiejskich organizacji społecznych
Serwis dla przyjaciół zwierząt
Dziedzictwo
Kultura, krajobraz, architektura...

Podstawowe obowiązki administratora danych osobowych przetwarzanych przy użyciu strony internetowej.

W dobie intensywnego rozwoju ogólnoświatowej sieci komputerowej istotne jest zapewnienie odpowiedniej ochrony danych osobowych przetwarzanych przy użyciu stron internetowych. Zadaniem niniejszego artykułu jest przybliżenie elementarnych zasad dotyczących obowiązków, jakie ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) nakłada na administratorów danych.


1. Pojęcie administratora danych osobowych.

Pojęcia „administrator danych” zostało zdefiniowane w ustawie o ochronie danych osobowych (art. 7 pkt 4 u.o.d.o.). W myśl przepisów powyższej ustawy administratorem danych jest organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach
i środkach przetwarzania danych osobowych. Decydowanie o celach i środkach przetwarzania danych oznacza faktyczne podejmowanie decyzji w odniesieniu do danych podlegających przetwarzaniu. Ponadto takie decyzje powinny być podejmowane przez administratora danych we własnym imieniu, w przeciwnym przypadku występuje on jako podmiot, któremu powierzono przetwarzanie danych osobowych (art. 31 ust. 1 u.o.d.o.).

Administratorem danych może być podmiot publiczny, jak również podmiot prywatny. Należy zaznaczyć, iż w odniesieniu do pierwszej kategorii podmiotów ustawodawca wskazuje na organy państwowe, organy samorządu terytorialnego oraz państwowe i komunalne jednostki organizacyjne (art. 3 ust. 1 u.o.d.o.). Ponadto
w stosunku do podmiotów publicznych zazwyczaj to przepisy prawa określają, kto jest administratorem danych. Przykładem tego jest art. 80a ust. 4 ustawy z dnia 20 czerwca
1997 r. Prawo o ruchu drogowym (Dz. U. 2005 r. Nr 108, poz. 908 z późn. zm.). Zgodnie
z jego treścią ewidencję prowadzi minister właściwy do spraw administracji publicznej
w systemie teleinformatycznym. W rozumieniu niniejszej ustawy minister ten jest administratorem danych i informacji zgromadzonych w ewidencji. Natomiast w stosunku do podmiotów prywatnych ustawodawca nadał status administratora danych podmiotom (art. 3 ust. 2): niepublicznym realizującym zadania publiczne (pkt1), osobom fizycznym, osobom prawnym oraz jednostkom organizacyjnym niebędącym osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych (pkt 2). Jednocześnie trzeba podkreślić, iż ustawę o ochronie danych osobowych stosuje się do podmiotów, które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej (art. 3 ust. 2 pkt 2 u.o.d.o.). Pod pojęciem „państwo trzecie” rozumie się państwo nie należące do Europejskiego Obszaru Gospodarczego (art. 7 pkt 7 u.o.d.o.).

2.  Przesłanki uprawniające do przetwarzania danych osobowych.

Dane osobowe nie mają jednolitego charakteru. Ustawodawca wyróżnił tzw. „dane wrażliwe” oraz tzw. „dane zwykłe”, w celu objęcia pierwszej ze wskazanych grup danych silniejszą ochroną. Dane podlegające intensywniejszej ochronie to dane dotyczące pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub filozoficznych, przynależności wyznaniowej, partyjnej lub związkowej, jak również dane
o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych
w postępowaniu sądowym lub administracyjnym (art. 27 ust. 1 u.o.d.o.). Przesłanki legalizujące przetwarzanie tych dwóch kategorii danych zostały uregulowane w odrębnych przepisach ustawy o ochronie danych osobowych. Wydaje się jednak, iż na potrzeby przetwarzania danych osobowych przy użyciu stron internetowych wskazać należy przesłanki dotyczące „danych zwykłych”, do których zaliczamy m.in.: imię, nazwisko i adres. Stosownie do art. 23 ust. 1 u.o.d.o. przetwarzanie ww. danych jest dopuszczalne tylko wtedy, gdy: osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych (pkt 1), jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (pkt 2), jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (pkt 3), jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (pkt 4), jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (pkt 5). Należy wskazać, iż powyższe przesłanki są niezależne od siebie.

Najważniejszą przesłanką z punktu widzenia administratora danych pozyskiwanych przy użyciu strony internetowej, a zwłaszcza poprzez internetowy formularz zgłoszeniowy jest zgoda osoby fizycznej (art. 23 ust. 1 pkt 1 u.o.d.o.). Przez zgodę osoby, której dane dotyczą rozumie się oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści (art. 7 pkt 5 u.o.d.o.) Klauzula zgody na przetwarzanie danych osobowych nie może być ogólnikowa – „Wyrażam zgodę na przetwarzanie moich danych osobowych”. Osoba wyrażająca taką zgodę powinna mieć możliwość jej udzielenia oddzielnie na każdy ze wskazanych przez administratora danych celów przetwarzania. Należy podkreślić, iż w przypadku gdy dane osobowe pozyskiwane są na podstawie innych przesłanek w szczególności w celu realizacji umowy, w celu zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa administrator danych nie powinien umieszczać klauzuli zgody na przetwarzane danych osobowych w formularzu.


3. Obowiązek informacyjny wynikający z art. 24 lub 25 u.o.d.o.

Obowiązek informacyjny wynikający z art. 24 lub 25 u.o.d.o. powstaje podczas gromadzenia danych osobowych. Kryterium różnicującym zastosowanie powyższych przepisów jest źródło pozyskiwanych danych osobowych. W sytuacji zbierania danych od osoby, której one dotyczą, administrator danych musi dopełnić obowiązek z art. 24 ust. 1 u.o.d.o., a tym samym poinformować tę osobę o: adresie swojej siedziby i pełnej nazwie,
a w przypadku gdy administratorem danych jest osoba fizyczna o miejscu swojego zamieszkania oraz imieniu i nazwisku (pkt 1), celu zbierania danych, a w szczególności
o znanych mu w czasie udzielenia informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych (pkt 2), prawie dostępu do treści swoich danych oraz ich poprawiania (pkt 3), dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej (pkt 4). Powyższy obowiązek powinien być spełniony przed pozyskaniem danych osobowych. W pewnych okolicznościach obowiązek ten jest wyłączony (art. 24 ust. 2 u.o.d.o.) jeżeli: przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania (pkt 1), osoba, której dane dotyczą, posiada informacje,
które miałyby zostać jej udzielone (pkt 2).

Natomiast w sytuacji zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych musi dopełnić obowiązek z art. 25 ust. 1 u.o.d.o., a w konsekwencji poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o: adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna
o miejscu swojego zamieszkania oraz imieniu i nazwisku (pkt 1), celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych (pkt 2), źródle danych (pkt 3), prawie dostępu do treści swoich danych oraz ich poprawiania (pkt 4),
o uprawnieniu do sprzeciwu wobec przetwarzania danych w celach marketingowych lub wobec przekazywania ich innym podmiotom oraz uprawnieniu do wniesienia pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację (pkt 5). Obowiązek ten musi zostać spełniony bezpośrednio po zapisaniu danych osobowych, ale przed ich przetworzeniem w celu, dla którego zostały zgromadzone. Zwolnienie z tego obowiązku jest możliwe (art. 25 ust. 2 u.o.d.o.), gdy: przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą (pkt 1), dane te są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą, a spełnienie wymagań wiązałoby się z poniesieniem nadmiernych nakładów lub zagrażałoby realizacji celu badania (pkt 3), dane są przetwarzane na podstawie przepisów prawa przez administratora będącego podmiotem publicznym oraz podmiotem niepublicznym realizującym zadania publiczne (pkt 5), osoba, której dane dotyczą, posiada informacje, które miały by zostać jej udzielone (pkt 6).

4. Nakaz zachowania szczególnej staranności przez administratora danych - art. 26 u.o.d.o.

Kluczowym obowiązkiem administratora danych wynikającym z art. 26 ust. 1 u.o.d.o. jest dołożenie szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. Ustawodawca używając sformułowania „szczególna staranność” podkreślił, iż ma to być staranność wykraczająca poza zakres „przeciętnej staranności”. W celu realizacji tego obowiązku administrator danych zobowiązany jest zapewnić, aby dane te były (art. 26 ust. 1 u.o.d.o.): przetwarzane zgodnie z prawem (pkt 1), zbierane dla oznaczonych, zgodnych
z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami (pkt 2), merytorycznie poprawne - zgodne z obecnym stanem faktycznym (pkt 3), adekwatne
w stosunku do celów, w jakich są przetwarzane - zakres danych osobowych powinien być niezbędny w stosunku do celów ich wykorzystania (pkt 3), przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania – jeżeli cel przetwarzania danych został osiągnięty, należy
je usunąć (pkt 4). W odniesieniu do zasady celowości (art. 26 ust. 1 pkt 2 u.o.d.o.) wskazać trzeba, iż przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą oraz następuje (art. 26 ust. 2 u.o.d.o.): w celu badań naukowych, dydaktycznych, historycznych lub statystycznych (pkt 1), z zachowaniem przepisów art. 23 i 25 u.o.d.o (pkt 2).

5. Środki techniczne i organizacyjne zapewniające ochronę danych osobowych.

Ustawodawca nakłada na administratora danych obowiązek zabezpieczenia danych osobowych, w szczególności poprzez:

- zastosowanie środków technicznych i organizacyjnych zapewniających ochronę odpowiednią do zagrożeń oraz kategorii danych objętej ochroną (art. 36 ust. 1 u.o.d.o.),

- zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą lub zniszczeniem (art. 36 ust. 1 u.o.d.o.),

- prowadzenie dokumentacji opisującej sposób przetwarzania danych oraz środków technicznych i organizacyjnych zapewniających ochronę danych (art. 36 ust. 2 u.o.d.o.). Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r.
w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych
i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) precyzuje obowiązek dotyczący ww. dokumentacji. Na dokumentację składa się polityka bezpieczeństwa
i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych (§ 3 ust. 1 rozp.). Powyższe dokumenty prowadzi się w formie pisemnej (§ 3 ust. 2 rozp.).

-  wyznaczenie administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony danych osobowych. Administrator danych zwolniony jest z tego obowiązku
w przypadku osobistego wykonywania tych czynności (art. 36 ust. 3 u.o.d.o.),

- nadanie upoważnienia osobom przetwarzającym dane osobowe (art. 37 u.o.d.o.) oraz prowadzenia ewidencji takich osób, która powinna zawierać (art. 39 ust. 1 u.o.d.o.): imię
i nazwisko osoby upoważnionej (pkt 1), datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych (pkt 2), identyfikator, jeżeli dane są przetwarzane
w systemie informatycznym (pkt 3). Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia (art. 39 ust. 2 u.o.d.o.),

- zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane (art. 38 u.o.d.o.).

Dokładne warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych zostały określone
w powyżej wskazanym rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. Wprowadza ono w szczególności podział środków bezpieczeństwa zróżnicowany ze względu na kategorie przetwarzanych danych oraz występujące zagrożenia. Wyróżnione zostały trzy poziomy zabezpieczenia przetwarzania danych osobowych
w systemach informatycznych: podstawowy, podwyższony oraz wysoki (§ 6 ust. 1 rozp.).

6.  Rejestracja zbioru danych.

Zbiorem danych jest każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie (art. 7 ust. 1 u.o.d.o.). Administrator danych obowiązany jest zgłosić taki zbiór do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobwych (art. 40 u.o.d.o.). Powyższy obowiązek zostaje wyłączony m.in. w przypadku zbiorów danych (art. 43 ust. 1): dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego (pkt 3), przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób
u nich zrzeszonych lub uczących się (pkt 4), dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta (pkt 5), przetwarzanych wyłącznie w celu wystawienia faktur, rachunku lub prowadzenia sprawozdawczości finansowej (pkt 8), powszechnie dostępnych (pkt 9), przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego (pkt 10), przetwarzanych w zakresie drobnych bieżących spraw życia codziennego (pkt 11).

Zgłoszenie zbioru danych Generalnemu Inspektorowi Ochrony Danych Osobowych powinno zostać sporządzone zgodnie ze wzorem zawartym w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U.
Nr 100, poz. 1025). Powyższy wniosek można przesłać pocztą, drogą elektroniczną (wymagany bezpieczny podpis elektroniczny) lub złożyć osobiście w Biurze Generalnego Inspektora Ochrony Danych Osobowych z siedzibą w Warszawie przy ul. Stawki 2.
Na żądanie administratora danych może być wydane zaświadczenie o zarejestrowaniu zgłoszonych przez niego zbioru danych (art. 42 ust. 3 u.o.d.o.). Natomiast w przypadku tzw. „danych wrażliwych” Generalny Inspektor wydaje administratorowi danych zaświadczenie
o zarejestrowaniu zbioru danych niezwłocznie po dokonaniu rejestracji (art. 42 ust. 3 u.o.d.o.). Administrator danych obowiązany jest zgłaszać Generalnemu Inspektorowi Ochrony Danych Osobowych każdą zmianę informacji zawartych we wniosku, w terminie 30 dni od dnia dokonania zmiany w zbiorze danych. Do zgłaszania zmian stosuje się odpowiednio przepisy o rejestracji zbiorów danych (art. 41 ust. 2 u.o.d.o.).

Generalny Inspektor Ochrony Danych Osobowych wprowadził możliwość rejestracji, jak i aktualizacji zbiorów danych poprzez system e-giodo znajdujący się na jego stronie internetowej (www.giodo.gov.pl). Powyższy system generuje powiadomienia i komunikaty informujące o popełnionych błędach podczas wypełniania formularza, tym samym zmniejsza możliwość nieprawidłowego wypełnienia wniosku przez zgłaszającego. Podmioty posiadające bezpieczny podpis elektroniczny mogą wysłać formularz bezpośrednio ze strony internetowej Generalnego Inspektora.

Podsumowując rozważania dotyczące obowiązków nałożonych na administratora danych podkreślić należy, iż powyższe przepisy mają na celu ochronę sfery prywatności jednostki. Ilość norm oraz niekiedy ich skomplikowanych charakter może wzbudzać sprzeciw podmiotów zobowiązanych do ich zastosowania. Jednakże wydaje się, że nieobjęcie tej sfery prywatności ochroną państwa mogłoby doprowadzić do niekontrolowanego gromadzenia danych osobowych obywateli, a w konsekwencji pozbawić jednostkę prawa do kontroli informacji zbieranych na jej temat.

 

Teksty źródłowe:

1.  J. Barta, P. Fajgielski, R. Markiewicz: Ochrona Danych Osobowych Komentarz, wyd. III, Kraków 2004, Wyd. Zakamycze,

2.  A. Droz: Ustawa o ochronie danych osobowych Komentarz Wzory pism i przepisy, wyd. II, Warszawa 2006, Wyd. LexisNexis,

3.  A. Kowalik (red.): ABC ochrony danych osobowych, Warszawa 2007, wyd. I, Wyd. Sejmowe.

Marcin Grott

wersja do druku

  
Skomentuj artykuł:
Imię
Komentarz:
Przepisz kod: 60122
Wyślij
 
Komentarze:
Do tego artykułu nie ma jeszcze komentarzy

Witryna tworzona i redagowana jest przez zespół Fundacji Wspomagania Wsi