Żyjemy w cza­sach inten­syw­nego roz­woju cyfry­za­cji życia oraz powszech­nego korzy­sta­nia z ser­wi­sów spo­łecz­no­ścio­wych. Zamiesz­czamy coraz wię­cej infor­ma­cji w sieci na wła­sny temat w zasa­dzie poda­jąc dobro­wol­nie wiele danych doty­czą­cych nas samych. Nie możemy jed­nak zapo­mi­nać, że mamy pełne prawo do kon­troli tego co się z naszymi danymi dzieje i przez kogo są prze­twa­rzane.
Por­tale spo­łecz­no­ściowe takie jak Face­book, to już można by rzec osobne byty, któ­rych zasięg jest więk­szy niż jakiej­kol­wiek tele­wi­zji czy radia. Setki milio­nów użyt­kow­ni­ków i w związku z tym olbrzy­mia masa danych. Moż­li­wość pro­fi­lo­wa­nia, a nawet wyko­rzy­sty­wa­nia por­tali do budo­wa­nia świa­do­mo­ści użyt­kow­ni­ków w ocze­ki­wany przez zle­ce­nio­daw­ców spo­sób.
Face­book to też przed­się­bior­stwo, któ­rego roczne obroty są pew­nie więk­sze niż nie­jed­nego małego kraju z ostat­niej setki listy światowej.


Facebook uokik 2 Spe­cy­fika por­tali spo­łecz­no­ścio­wych jest taka, że w więk­szo­ści ich sie­dziby znaj­dują się poza gra­ni­cami Pol­ski co może być prze­szkodą w docho­dze­niu swych praw przez użyt­kow­ni­ków.
Podob­nie jest z por­ta­lem Face­book. Korzy­sta­jąc z ser­wisu musimy zgo­dzić się na regu­la­min, któ­rego więk­szość użyt­kow­ni­ków nie czyta w momen­cie logo­wa­nia, ale ma on oczy­wi­ście kolo­salne zna­cze­nie w przy­padku gdy­by­śmy z jakichś przy­czyn docho­dzili swo­ich praw w przy­szło­ści.
UOKiK wsz­czął wła­śnie postę­po­wa­nie, któ­rego przed­mio­tem są wzorce umów i regu­la­miny sto­so­wane w ramach ser­wisu Facebook.com przez spółkę Face­book Ire­land Ltd. Według eks­per­tów to zapo­wiedź więk­szego zain­te­re­so­wa­nia Urzędu tego typu sprawami.

Fakt wsz­czę­cia tego postę­po­wa­nia wyja­śnia­ją­cego jest ważny, bo doty­czy popu­lar­nego ser­wisu spo­łecz­no­ścio­wego i istot­nego zagad­nie­nia, jakim jest ochrona kon­su­men­tów w kon­tek­ście dzia­łań doty­czą­cych danych oso­bo­wych. Waż­nym aspek­tem jest też to, że cho­dzi o kon­trolę pod­miotu dzia­ła­ją­cego z zagra­nicy, a kie­ru­ją­cego ofertę do miesz­kań­ców Pol­ski.
UOKiK posta­no­wił zba­dać regu­la­miny Face­bo­oka m.in. w kon­tek­ście klau­zul regu­lu­ją­cych spo­sób wyko­rzy­sta­nia danych oso­bo­wych użyt­kow­ni­ków oraz pro­ce­dury ich udo­stęp­nia­nia pod­mio­tom trze­cim.
Zda­niem urzędu posta­no­wie­nia w tym zakre­sie są nie­jed­no­znaczne i nie­do­okre­ślone, a to za sprawą wyko­rzy­sta­nia np. zapi­sów odno­szą­cych się do zbie­ra­nia róż­nych infor­ma­cji na temat użyt­kow­nika, bez wska­za­nia czasu na jaki zostały zebrane, które dodat­kowo mogą być prze­ka­zy­wane fir­mom będą­cym czę­ścią Face­bo­oka bez zgody tych osób.
Z uza­sad­nioną cie­ka­wo­ścią będziemy ocze­ki­wać na wnio­ski UOKIK po zba­da­niu w/w tematu.

linia

 
W tym roku mija 20 lat obo­wią­zy­wa­nia w Pol­sce ustawy o ochro­nie danych oso­bo­wych. Jak wia­domo od maja 2018 r. obo­wią­zy­wać będzie nowe Unijne Roz­po­rzą­dze­nie w tej spra­wie. (RODO). Zmian jest wiele, a wszyst­kie wpro­wa­dzane są po to by uszczel­nić sys­temy ochrony danych oso­bo­wych w przed­się­bior­stwach i insty­tu­cjach oraz chro­nić osoby fizyczne przed wyłu­dza­niem od nich zbyt dużej ilo­ści infor­ma­cji.
Jako firma zaj­mu­jąca się od wielu lat wdra­ża­niem sys­te­mów bez­pie­czeń­stwa infor­ma­cji z ogromną przy­jem­no­ścią uczest­ni­czymy w obcho­dach jubi­le­uszu sto­so­wa­nia ustawy. Dnia 14 lutego 2017r., aku­rat w tak przy­jemny dzień jak walen­tynki, co jesz­cze bar­dziej pod­kre­śla nasze uczu­cie i pasje do ochrony danych oso­bo­wych, odbyło się kolejne spo­tka­nie, zaty­tu­ło­wane: „Wyko­ny­wa­nie funk­cji inspek­tora ochrony danych”,


Konfa IOD
w któ­rym głos zabrali przed­sta­wi­ciele GIODO w tym Pani Mini­ster dr. Edyta Bielak-Joma, Paweł Makow­ski oraz dr. Monika Młot­kie­wicz, a także przed­sta­wi­ciele Mini­ster­stwa Admi­ni­stra­cji i Cyfry­za­cji, Sto­wa­rzy­sze­nia ABI, eks­perci peł­niący funk­cję admi­ni­stra­tora bez­pie­czeń­stwa infor­ma­cji w róż­nych bran­żach, m.in.: Grupa Alle­gro, Fun­da­cja Panop­ty­kon, Kra­jowa Izba Roz­li­cze­niowa, ZUS. Tema­tem kon­fe­ren­cji była rola inspek­tora ochrony danych oso­bo­wych (IOD/DPO) oraz jego obo­wiązki w porów­na­niu z funk­cją ABI w uję­ciu ustawy kra­jo­wej z dn. 29.08.1997r. RODO nakłada na inspek­tora (IOD) sze­reg nowych zadań, ale też wyma­gań, jakie będzie musiał spełnić

by móc spra­wo­wać tak ważną rolę w fir­mie. Do jego nowych zadań będzie nale­żało m.in. cykliczne doko­ny­wa­nie ana­liz ryzyka.
Waż­nym punk­tem kon­fe­ren­cji było omó­wie­nie „punktu kon­tak­to­wego”, czyli jed­nej z głów­nych ról, jakie będzie peł­nił Inspek­tor Ochrony Danych. Każda osoba, któ­rej dane są prze­twa­rzane może w myśl nowych prze­pi­sów zwró­cić się do IOD w celu poprawy lub oraz uzy­ska­nia infor­ma­cji jak i dla­czego jej dane są prze­twa­rzane. Infor­ma­cję o „punk­cie kon­tak­to­wym” powinny być zawarte w tym samym miej­scu gdzie pod­miot reali­zuje obo­wią­zek infor­ma­cyjny z art. 24 Uodo.
Jako zespół spe­cja­li­zu­jący się w dzie­dzi­nie ochrony danych oso­bo­wych z ogrom­nym zain­te­re­so­wa­niem wysłu­cha­li­śmy opi­nii i inter­pre­ta­cji przed­sta­wi­cieli biura GIODO doty­czą­cych reali­za­cji zapi­sów nowego Roz­po­rzą­dze­nia (RODO).

linia

W dniu 31 stycz­nia 2017r. w budynku Biblio­teki Rol­ni­czej w War­sza­wie odbyła się kon­fe­ren­cja zor­ga­ni­zo­wana przez Gene­ral­nego Inspek­tora Ochrony Danych Oso­bo­wych, mająca na celu pod­su­mo­wa­nie 20 lat funk­cjo­no­wa­nia ochrony danych oso­bo­wych w Pol­sce. Zespół ODO Mana­ge­ment Group miał zaszczyt uczest­ni­czyć w spo­tka­niu, które sta­no­wiło cen­tralny punkt corocz­nych obcho­dów Dnia Ochrony Danych Oso­bo­wych, usta­no­wio­nego przez Komi­tet Rady Mini­strów Rady Europy. Kon­fe­ren­cja w swoim zało­że­niu podzie­lona została na dwa moduły, pierw­szy poświę­cony był 20 let­niej rocz­nicy ist­nie­nia ustawy o Ochro­nie Danych Oso­bo­wych w Pol­sce, nato­miast drugi panel poświę­cony był nowemu Roz­po­rzą­dze­niu unij­nemu. Kon­fe­ren­cje otwo­rzyła Gene­ralny Inspek­tor Ochrony Danych Oso­bo­wych – Edyta Bie­lak – Jomaa, która mówiła o gene­zie pol­skiego usta­wo­daw­stwa w zakre­sie ochrony danych oso­bo­wych. Następ­nie wykład wygło­siła prof. Irena Lipo­wicz, była Rzecz­nik Praw Oby­wa­tel­skich, posłanka I, II, III kaden­cji, ini­cja­torka posel­skiego pro­jektu ustawy o ochro­nie danych oso­bo­wych, w swo­jej wypo­wie­dzi pod­kre­śliła, iż ochrona danych oso­bo­wych to tzw. „dziecko soli­dar­no­ści”. Wska­zy­wała, że przed­sta­wi­ciele tego śro­do­wi­ska uwa­żali, że to część naszej wol­no­ści i już w latach 80 podej­mo­wali próby wpro­wa­dze­nia ure­gu­lo­wań w tym


Konferencja w dobie zmian

zakre­sie. Jed­nak stan wojenny poło­żył kres naszym marze­niom – stwier­dziła. Pani Pro­fe­sor zaak­cen­to­wała, rów­nież, iż do kon­cep­cji prac nad ochroną danych oso­bo­wych, powró­cono dopiero z chwilą wej­ścia Pol­ski do NATO i Unii Euro­pej­skiej. Dopiero orga­ni­za­cje i oto­cze­nie w jakim się zna­leź­li­śmy jako kraj będący człon­kiem Unii Euro­pej­skiej wymu­siły na nas, aby doj­rzale spoj­rzeć na pro­ble­ma­tykę zwią­zaną z ochroną danych oso­bo­wych. Wykład inau­gu­ra­cyjny po jego wygło­sze­niu spo­tkał się z ogrom­nym aplau­zem zgro­ma­dzo­nych na sali uczest­ni­ków. O histo­rii kształ­to­wa­nia się ochrony danych oso­bo­wych, wypo­wia­dało się wielu pre­le­gen­tów m.in. – dr Woj­ciech Wie­wió­row­ski – zastępca Euro­pej­skiego Inspek­tora Ochrony Danych Oso­bo­wych, dr Grze­gorz Sibiga – Insty­tut Nauk Praw­nych PAN, Kata­rzyna Szy­mi­le­wicz — Fun­da­cja Panap­ty­kon, Bogu­sława Pilc – dyrek­tor Depar­ta­mentu Inspek­cji oraz Monika Kra­siń­ska dyrek­tor Depar­ta­mentu Orzecz­nic­twa, Legi­sla­cji i Skarg. Wszy­scy pod­kre­ślali jak bar­dzo w okre­sie dwu­dzie­stu lat obo­wią­zy­wa­nia ustawy o ochro­nie danych oso­bo­wych wzro­sła nasza świa­do­mość co do potrzeby chronienia

doty­czą­cych nas infor­ma­cji i wie­dza na temat przy­słu­gu­ją­cych nam praw, do czego w znacz­nym stop­niu przy­czy­niły się dzia­ła­nia Biura GIODO.. W dru­giej czę­ści kon­fe­ren­cji pre­le­gen­tami byli, Marek Micha­lak – Rzecz­nik Praw Dziecka, dr Maciej Kawecki – Mini­ster­stwo Cyfry­za­cji, Piotr Dro­bek – Biuro GIODO, Prof. Witold Abra­mo­wicz – Uni­wer­sy­tet Eko­no­miczny w Pozna­niu, Ire­ne­usz Pie­cuch – Pol­ska Izba Infor­ma­tyki i Tele­ko­mu­ni­ka­cji. Dr. Maciej Kawecki repre­zen­tu­jący Mini­ster­stwo Cyfry­za­cji, które ze strony rządu odpo­wiada za przy­go­to­wa­nie Pol­ski do sto­so­wa­nia ogól­nego roz­po­rzą­dze­nia o ochro­nie danych oso­bo­wych, w swoim wystą­pie­niu przy­to­czył sta­no­wi­sko Mini­ster­stwa odno­śnie wdra­ża­nia nowych prze­pi­sów prawa. Mocno pod­kre­ślał, iż celem usta­wo­dawcy kra­jo­wego powinno być stwo­rze­nie spraw­nego apa­ratu insty­tu­cjo­nal­nego, zapew­nia­ją­cego solidną i sku­teczną ochronę danych oso­bo­wych. Mini­ster­stwo ape­lo­wało do Biura GIODO, o spójną i rze­telną współ­pracę przy wypra­co­wa­niu jed­nego modelu dzia­ła­nia na grun­cie Roz­po­rzą­dze­nia Unij­nego. W spo­tka­niu wzięło udział około 200 osób, przed­sta­wi­cieli róż­nych grup zawo­do­wych, a także władz pań­stwo­wych, przed­sta­wi­cieli insty­tu­cji pań­stwo­wych. Nie była to ostat­nia kon­fe­ren­cja orga­ni­zo­wana przez GIODO z oka­zji świa­to­wego dnia ochrony danych oso­bo­wych. ODO Mana­ge­ment Group będzie na bie­żąco rela­cjo­no­wać kolejne konferencje.

linia

 

W maju 2018r. zacznie obo­wią­zy­wać nowa regu­la­cja Euro­pej­ska odno­śnie ochrony danych oso­bo­wych. Niniej­sze prze­pisy prawa obo­wią­zy­wać będą wszyst­kie kraje człon­kow­skie Unii Euro­pej­skiej. Zmiany, które wpro­wa­dza nam nowa ogól­no­eu­ro­pej­ska regu­la­cja w sys­te­mie ochrony danych oso­bo­wych są zna­czące. Jako firma spe­cja­li­zu­jąca się w prze­strze­ga­niu prze­pi­sów prawa w zakre­sie odo, cyklicz­nie będziemy pre­zen­to­wać odpo­wie­dzi na naj­bar­dziej nur­tu­jące Pań­stwa pyta­nia.
Nowa regu­la­cja prawna z ochrony danych oso­bo­wych obo­wią­zy­wać będzie wszyst­kie pod­mioty prze­twa­rza­jące dane oso­bowe za pomocą zauto­ma­ty­zo­wa­nych sys­te­mów. Szcze­gólną uwagę należy zwró­cić na firmy, które do tej pory były prze­ko­nane o tym, iż ochrona danych oso­bo­wych ich nie doty­czy, tzn. por­tale spo­łecz­no­ściowe, apteki itp. Należy zapa­mię­tać, iż obo­wiązki w zakre­sie odo od maja 2018 doty­czą firm, które prze­twa­rzają dane na tere­nie UE bez względu na fizyczną sie­dzibę firmy. Jedną z pod­sta­wo­wych zmian jaka nastąpi od maja 2018r.


GDPR 2

jest kwe­stia Admi­ni­stra­tora Bez­pie­czeń­stwa Infor­ma­cji. For­mal­nie funk­cja „stróża ochrony danych oso­bo­wych” będzie nosić nazwę Inspek­tor Ochrony Danych – Data Pro­tec­tion Offi­cer . Zgod­nie z tre­ścią GDPR
– posia­da­nie Inspek­tora Ochrony Danych Oso­bo­wych, czyli posłu­gu­jąc się obec­nie obo­wią­zu­jącą nomen­kla­turą Admi­ni­stra­to­rem bez­pie­czeń­stwa Infor­ma­cji, sta­nie się obo­wiąz­kowe w szcze­gól­no­ści dla takich pod­mio­tów jak:
– pod­mioty publiczne (poza orga­nami sądo­wymi),
– firm, któ­rych główna dzia­łal­ność polega na prze­twa­rza­niu danych oso­bo­wych wraż­li­wych, np. danych etnicz­nych, raso­wych, doty­czą­cych sek­su­al­no­ści, poglą­dów poli­tycz­nych, reli­gij­nych, czy też np. wyro­ków z przeszłości,

- firm, które moni­to­rują zacho­wa­nie osób i jed­no­cze­śnie prze­twa­rzają ich dane oso­bowe (pod tę defi­ni­cję pocho­dzi np. Face­book albo Google).
– firm doko­nu­ją­cych prze­twa­rza­nia danych oso­bo­wych, co naj­mniej 5000 pod­mio­tów lub osób fizycz­nych rocz­nie w dowol­nym okre­sie kolej­nych 12 mie­sięcy;
Osoba spra­wu­jąca funk­cję Inspek­tora Ochrony Danych nie musi być pra­cow­ni­kiem eta­to­wym firmy, roz­po­rzą­dze­nie wprost dopusz­cza, moż­li­wość cedo­wa­nia obo­wiąz­ków ochrony danych oso­bo­wych na spe­cja­li­styczne firmy zaj­mu­jące się out­so­ur­cin­giem funk­cji ABI / DPA . W przy­padku jeśli mamy do czy­nie­nia z mię­dzy­na­ro­dową firmą, prze­pisy prawa dopusz­czają moż­li­wość posia­da­nia ABI /DPA w jed­nej oso­bie w celu uspraw­nie­nia komu­ni­ka­cji oraz lep­szej metody wdro­że­nio­wej ochrony danych oso­bo­wych, należy jed­nak pamię­tać o cią­żą­cej na takiej oso­bie odpo­wie­dzial­no­ści oraz o ogro­mie jej obo­wiąz­ków. Dla­tego GDPR dopusz­cza moż­li­wość out­so­ur­cingu ABI, z uwagi, iż przy nowych regu­la­cjach odno­śnie kar w przy­padku nie­prze­strze­ga­nia odo, spra­wami ochrony danych powinny zaj­mo­wać się wyspe­cja­li­zo­wane jednostki.

linia

 

W dniu 14 kwiet­nia 2016 roku po ponad czte­ro­let­nim okre­sie prac nad reformą prawa unij­nego w zakre­sie ochrony danych oso­bo­wych, Par­la­ment Euro­pej­ski przy­jął Ogólne Roz­po­rzą­dze­nie w zakre­sie odo. Roz­po­rzą­dze­nie wej­dzie w życie w ter­mi­nie 20 dni od daty jego publi­ka­cji w Dzien­niku Urzę­do­wym UE, sza­co­wany czas na wej­ście w życie to maj/czerwiec br. W tre­ści roz­po­rzą­dze­nia został wska­zany 2 letni okres przy­go­to­waw­czy w trak­cie, któ­rego należy dosto­so­wać prze­twa­rza­nie danych oso­bo­wych do nowych prze­pi­sów prawa. Ozna­cza to, iż obec­nie obo­wią­zu­jąca Dyrek­tywa 95/46/WE oraz Ustawa o ochro­nie danych oso­bo­wych z dnia 29 sierp­nia 1997r wraz z wyda­nymi na jej pod­sta­wie aktami wyko­naw­czymi prze­staje obo­wią­zy­wać na rzecz „Unij­nego roz­po­rzą­dze­nia” . W komen­ta­rzu prze­sła­nym przez Ewę Kurow­ską – Tober dla ISB­news odno­sząc się do wej­ścia w życie Roz­po­rzą­dze­nia, stwier­dziła, iż “W odróż­nie­niu od dotych­czas obo­wią­zu­ją­cej Dyrek­tywy, prze­pisy roz­po­rzą­dze­nia obo­wią­zują i wyma­gają sto­so­wa­nia w spo­sób bez­po­średni, bez koniecz­no­ści kra­jo­wej imple­men­ta­cji. Roz­po­rzą­dze­nie upo­waż­nia jed­nak pań­stwa człon­kow­skie do przyj­mo­wa­nia prze­pi­sów szcze­gó­ło­wych w okre­ślo­nych obsza­rach (np. dane prze­twa­rzane w kon­tek­ście zatrud­nie­nia, tajem­nica służ­bowa), które mogą dopre­cy­zo­wy­wać zasady ochrony wyni­ka­jące z rozporządzenia”

Roz­po­rzą­dze­nie Unijne zmie­nia w obec­nie obo­wią­zu­ją­cym sta­nie praw­nym przede wszyst­kim nastę­pu­jące zmiany:
1. warunki wyra­że­nia zgody na prze­twa­rza­nie danych pry­wat­nych,
2. prawo do prze­no­sze­nia danych do innego usługodawcy,


nowe rozporz
3. zgła­sza­nie naru­sze­nia ochrony danych oso­bo­wych i prawo osoby, któ­rej dane doty­czą, do infor­ma­cji o naru­sze­niu ochrony danych,
4. zapew­nie­nie, że obo­wiązki wyko­ny­wane wobec osób, któ­rych dane doty­czą, reali­zo­wane będą w spo­sób bar­dziej trans­pa­rentny,
5. usta­no­wie­nie Euro­pej­skiej Rady Ochrony Danych, zastę­pu­ją­cej Grupę Robo­czą Art. 29,
6. wpro­wa­dze­nie mecha­ni­zmu kom­plek­so­wej obsługi (poje­dyn­czego punktu kon­tak­to­wego),
7. usta­no­wie­nie pro­ce­dur współ­pracy admi­ni­stra­cyj­nej pro­wa­dzo­nej pomię­dzy orga­nami ochrony danych oso­bo­wych państw człon­kow­skich UE,
8. nakła­da­nie admi­ni­stra­cyj­nych kar pie­nięż­nych (nawet w wyso­ko­ści 4 % cał­ko­wi­tego rocz­nego obrotu przed­się­bior­stwa) i ich zde­cy­do­wane egzekwowanie.

Z powyż­szego wyli­cze­nia wynika, iż nowe roz­po­rzą­dze­nie kła­dzie nacisk na wzmoc­nie­nie upraw­nień osób fizycz­nych, poprzez m. in. prawo do prze­no­sze­nia danych czy prawo do bycia zapo­mnia­nym .
Warto zwró­cić uwagę na punkt 3 powyż­szego wyli­cze­nia. Nakłada on na przed­się­bior­ców sze­reg dodat­ko­wych obo­wiąz­ków w postaci zgła­sza­nia do GIODO naru­szeń danych oso­bo­wych oraz jed­no­cze­śnie infor­mo­wa­nia osób,

któ­rych naru­sze­nia te doty­czą, ozna­cza to, iż każda osoba fizyczna, któ­rej dane wycie­kły od danego pod­miotu ma prawo zostać o tym poin­for­mo­wana przez Admi­ni­stra­tora danych oso­bo­wych.
Pani Kur­kow­ska – Tober w swo­jej wypo­wie­dzi zwraca rów­nież szcze­gólną uwagę na kwe­stię odpo­wie­dzial­no­ści za nie­prze­strze­ga­nie prze­pi­sów o ochro­nie danych oso­bo­wych, “W końcu, wpro­wa­dzone zostają bar­dzo wyso­kie kary, które będą mogły być nakła­dane na pod­mioty naru­sza­jące prze­pisy Roz­po­rzą­dze­nia, w tym kary finan­sowe w wyso­ko­ści do 20 000 000 euro, lub — w przy­padku przed­się­biorstw — w wyso­ko­ści do 4% cał­ko­wi­tego rocz­nego świa­to­wego obrotu z poprzed­niego roku obrotowego”.

Roz­po­rzą­dze­nie wpro­wa­dza obo­wią­zek nie tylko prze­twa­rza­nia danych zgod­nie z nowymi prze­pi­sami, ale także obo­wią­zek wska­za­nia takiej zgod­no­ści z pra­wem. Jed­nym z mecha­ni­zmów do tego słu­żą­cych ma być moż­li­wość uzy­ska­nia cer­ty­fi­ka­cji i zna­ków jako­ści potwier­dza­ją­cych wypeł­nie­nie przez przed­się­bior­ców prze­pi­sów o ochro­nie danych osobowych.

ODO Mana­ge­ment Group sp. z o.o., jako firma spe­cja­li­zu­jąca się w dzie­dzi­nie ochrony danych i bez­pie­czeń­stwa infor­ma­cji ofe­ruje sze­reg usług w tym zakre­sie. Są to mię­dzy innymi out­so­ur­cing funk­cji ABI czyli prze­ję­cie tejże funk­cji, prze­pro­wa­dza audyty zgod­no­ści oraz wdraża doku­men­ta­cje ochrony danych oso­bo­wych. Orga­ni­zuje rów­nież szko­le­nia ABI w for­mie otwar­tej oraz zamknię­tej skie­ro­wane do osób peł­nią­cych lub przy­go­to­wu­ją­cych się do peł­nie­nia funk­cji ABI, każdy uczest­nik po ukoń­cze­niu szko­le­nia otrzy­muje certyfikat.

linia

 

13 stycz­nia 2016r. miała miej­sce kon­fe­ren­cja pt. „Ochrona Danych Medycz­nych” orga­ni­zo­wana przez Gene­ral­nego Inspek­tora Ochrony Danych Oso­bo­wych oraz Uni­wer­sy­tet Ślą­ski na Wydziale Prawa i Admi­ni­stra­cji Uni­wer­sy­tetu Ślą­skiego w Katowicach.

Niniej­sze wyda­rze­nie otwie­rało obchody dzie­sią­tej edy­cji “Dnia Ochrony Danych Oso­bo­wych”, który ma miej­sce co roku 28 stycz­nia w rocz­nicę otwar­cia do pod­pisu Kon­wen­cji 108 Rady Europy — naj­star­szego aktu praw­nego o zasięgu mię­dzy­na­ro­do­wym, kom­plek­sowo regu­lu­ją­cego zagad­nie­nia zwią­zane z ochroną danych oso­bo­wych. W tym roku w związku z jubi­le­uszową datą, odbędą się liczne kon­fe­ren­cje naukowe, które będą miały miej­sce w stycz­niu oraz lutym 2016r.

Repre­zen­tanci ODO Mana­ge­ment Group byli obecni na jubi­le­uszo­wej kon­fe­ren­cji otwar­cia pod­czas, któ­rej poru­szone zostały zagad­nie­nia doty­czące prze­twa­rza­nia danych oso­bo­wych przez pod­mioty z branży medycznej.

W trak­cie trwa­nia kon­fe­ren­cji mie­li­śmy zaszczyt być świad­kami pod­pi­sa­nia poro­zu­mie­nia zawar­tego pomię­dzy Gene­ral­nym Inspek­to­rem Ochrony Danych Oso­bo­wych – Mini­ster Edytą Bie­lak– Jomaa, a Uni­wer­sy­te­tem Ślą­skim, repre­zen­to­wa­nym przez Rek­tora prof. zw. dr hab. Wie­sława Bany­sia, w zakre­sie współ­pracy doty­czą­cej ochrony pry­wat­no­ści i danych oso­bo­wych. Jest to bar­dzo ważny moment dla wszyst­kich, któ­rzy cenią swoją pry­wat­ność oraz dbają o ochronę swo­ich wła­snych danych oso­bo­wych, świad­czy to o coraz więk­szej świa­do­mo­ści, a także o chęci edu­ka­cji i roz­pro­pa­go­wa­nia wie­dzy doty­czą­cej danych osobowych.

Współ­praca na mocy pod­pi­sa­nego poro­zu­mie­nia pomię­dzy Uni­wer­sy­te­tem Ślą­skim, a GIODO obej­mo­wać ma wymianę infor­ma­cji i doświad­czeń w obsza­rach zwią­za­nych z zapew­nie­niem sku­tecz­nej ochrony danych oso­bo­wych, a także orga­ni­za­cję przed­się­wzięć, mają­cych na celu pod­wyż­sze­nie poziomu wie­dzy i umie­jęt­no­ści oraz dosko­na­le­nie mecha­ni­zmów dzia­łal­no­ści w zakre­sie ochrony pry­wat­no­ści i danych osobowych.


KONFA3

Zada­nia te mają być reali­zo­wane za pomocą orga­ni­zo­wa­nych semi­na­riów, wykła­dów, kon­fe­ren­cji, szko­leń, prak­tyk stu­denc­kich i stu­diów pody­plo­mo­wych. Poro­zu­mie­nie zakłada rów­nież ini­cjo­wa­nie prac nauko­wych i badaw­czych z zakresu ochrony danych osobowych.

W kon­fe­ren­cji udział wzięli rów­nież Dzie­kan Wydziału Prawa i Admi­ni­stra­cji Uni­wer­sy­tetu Ślą­skiego prof. dr hab. Cze­sław Mar­tysz, który otwo­rzył kon­fe­ren­cję, wystę­pu­jąc jako jeden z pierw­szych mów­ców pod­czas inau­gu­ra­cji. Dzie­kan pod­kre­ślał jak ważna jest wie­dza oraz świa­do­mość z zakresu ochrony danych oso­bo­wych każ­dego czło­wieka indy­wi­du­al­nie, a dodat­kowo jak ważne jest pogłę­bia­nie tej wie­dzy w przy­padku kiedy na co dzień, wyko­nu­jąc swoje obo­wiązki służ­bowe mamy do czy­nie­nia z prze­twa­rza­niem danych oso­bo­wych wraż­li­wych, jak ma to miej­sce wśród osób posia­da­ją­cych dostęp do danych medycznych.

Kolej­nymi oso­bami, które wzięły udział w Kon­fe­ren­cji wygła­sza­jąc swoje pre­zen­ta­cje w odnie­sie­niu do danych medycz­nych byli dyrek­tor Depar­ta­mentu Orzecz­nic­twa, Legi­sla­cji i Skarg w Biu­rze GIODO Monika Kra­siń­ska, dyrek­tor Depar­ta­mentu Inspek­cji w Biu­rze GIODO Bogu­sława Pilc, dr hab. Mariusz Jagiel­ski z Uni­wer­sy­tetu Ślą­skiego, dr Paweł Liwiń­ski z Insty­tutu Aller­handa, Piotr Kaw­czyń­ski z firmy For­Safe, Kaje­tan Woj­syk z Cen­trum Sys­te­mów Infor­ma­cyj­nych Ochrony Zdro­wia oraz Aneta Sie­radzka z Kra­kow­skiej Aka­de­mii (prawowtransplantacji.pl) . Wymie­nieni pre­le­genci wygła­szali swoje refe­raty w nastę­pu­ją­cych zagad­nie­niach tematycznych:

  • Dane medyczne jako dane osobowe;
  • Kon­cep­cja bez­pie­czeń­stwa danych medycz­nych w świe­tle regu­la­cji kra­jo­wych oraz unijnych;
  • Ochrona danych oso­bo­wych prze­twa­rza­nych w doku­men­ta­cji medycz­nej – out­so­ur­cing doku­men­ta­cji medycznej;
  • Prak­tyczne aspekty zabez­pie­cze­nia danych oso­bo­wych medycz­nych, w tym prze­twa­rza­nych w modelu outsourcingu;
  • Dane oso­bowe w sys­te­mach infor­ma­tycz­nych ochrony zdrowia;
  • Dane oso­bowe i pry­wat­ność w trans­plan­to­lo­gii.
    Pod­czas kon­fe­ren­cji wymie­nieni powy­żej pre­le­genci sta­rali się przy­bli­żyć poję­cie danych medycz­nych ich zna­cze­nie w obec­nie obo­wią­zu­ją­cym pra­wie zarówno kra­jo­wym jak i w per­spek­ty­wie dyrek­tywy unij­nej. Jak dowie­dzie­li­śmy się pod­czas wystą­pień nie ma jed­no­li­tej defi­ni­cji danych medycz­nych, co do zasady przyj­muje się, iż są one utoż­sa­miane z danymi wraż­li­wymi. Ich zakres jest sze­roki, nie tylko odno­szą się do danych o cho­ro­bach pacjen­tów lecz także do takich kate­go­rii jak nałogi czy pre­fe­ren­cje seksualne.Dyrektor Depar­ta­mentu Orzecz­nic­twa, Legi­sla­cji i Skarg w Biu­rze GIODO Monika Kra­siń­ska, pod­kre­ślała jak ważne jest w przy­padku pla­có­wek medycz­nych powo­ła­nie Admi­ni­stra­tora Bez­pie­czeń­stwa Infor­ma­cji, który szcze­gól­nie powi­nien dbać o bez­pie­czeń­stwo danych doty­czą­cych stanu zdro­wia. Cho­dzi o to, aby dostęp do tych danych miały wyłącz­nie osoby upo­waż­nione, a pacjenci mogli wery­fi­ko­wać doty­czące ich dane oso­bowe. Dane medyczne mogą wzbu­dzać zain­te­re­so­wa­nie nie tylko wśród osób wyko­nu­ją­cych zawody medyczne, ale także są pre­fe­ro­wa­nymi infor­ma­cjami przez pod­mioty takie jak poten­cjalni ubez­pie­czy­ciele, banki, kre­dy­to­dawcy, a nawet osoby, które mogłyby szan­ta­żo­wać kogoś ich ujaw­nie­niem. Stąd szcze­gólna potrzeba dba­nia o ich bezpieczeństwo.Podczas kon­fe­ren­cji dowie­dzie­li­śmy się także, iż dużo pla­có­wek medycz­nych oddaje peł­nie­nie funk­cji ABI fir­mom zewnętrz­nym na zasa­dzie tzw. out­so­ur­cingu funk­cji ABI. Zda­niem GIODO jest to forma jak naj­bar­dziej dopusz­czalna, a w pew­nych sytu­acjach nawet pre­fe­ro­wana. Przed­sta­wi­ciele firm zaj­mu­ją­cych się pro­fe­sjo­nal­nie ochroną danych oso­bo­wych mają dużo więk­sze doświad­cze­nie oraz wie­dzę, która pozwala im spra­wo­wać tę funk­cję z nale­żytą sta­ran­no­ścią, a pla­cówka medyczna ma pew­ność, iż jej dane medyczne są dobrze chronione.
  • linia
    W ostat­nich dniach maja br. opu­bli­ko­wane zostały dwa roz­po­rzą­dze­nia Mini­stra Admi­ni­stra­cji i Cyfry­za­cji z dnia 11 maja 2015 r. do ustawy o ochro­nie danych oso­bo­wych z dnia 29 sierp­nia 1997r. ( Dz.U. z 2014 r. poz. 1182 i 1662), zwa­nej dalej Ustawą. Opu­bli­ko­wane akty wyko­naw­cze mają szcze­gól­nie ważne zna­cze­nie dla osób peł­nią­cych funk­cję Admi­ni­stra­to­rów Bez­pie­czeń­stwa Infor­macji – potocz­nie zwa­nego ABI lub Admi­ni­stra­tora Danych Oso­bo­wych – potocz­nie zwa­nego ADO – peł­nią­cego funk­cję ABI we wła­snym przed­się­bior­stwie.Pierw­sze z Roz­po­rzą­dzeń Mini­stra Admi­ni­stra­cji i Cyfry­za­cji z dnia 11 maja 2015roku (opu­bli­ko­wane w Dz. U. z 2015 r., poz. 719 w dniu 25 maja 2015 r.) doty­czy spo­sobu pro­wa­dze­nia przez admi­ni­stra­tora bez­pie­czeń­stwa infor­ma­cji reje­stru zbio­rów danych – regu­lu­jące organizacyjno-techniczne kwe­stie zwią­zane
    z jego pro­wa­dze­niem w zależ­no­ści od tego, czy wybrana została papie­rowa czy elek­tro­niczna forma jego prowadzenia.Rozporządzenie okre­śla w § 3 wymogi doty­czące pro­wa­dzo­nych reje­strów. Każdy pro­wa­dzony zbiór przez ABI powi­nien zawie­rać nastę­pu­jące informacje:

    1. Nazwa zbioru danych;
    2. Ozna­cze­nie admi­ni­stra­tora danych i adres jego sie­dziby lub miej­sca zamie­sza­nia oraz numer iden­ty­fi­ka­cyjny reje­stru pod­mio­tów gospo­darki naro­do­wej, jeżeli został u nadany;
    3. Ozna­cze­nie przed­sta­wi­ciela admi­ni­stra­tora danych, o któ­rym mowa w art. 31a ustawy, i adres jego sie­dziby lub miej­sca zamiesz­ka­nia – w przy­padku wyzna­cze­nia takiego podmiotu;
    4. Ozna­cze­nie pod­miotu, któ­remu powie­rzono prze­twa­rza­nie danych ze zbioru na pod­sta­wie art. 31 ustawy, i adres jego sie­dziby lub miej­sca zamiesz­ka­nia – w przy­padku powie­rze­nia prze­twa­rza­nia danych temu podmiotowi;
    5. Pod­stawa prawna upo­waż­nia­jąca do pro­wa­dze­nia zbioru danych;
    6. Cel prze­twa­rza­nia danych w zbiorze;
    7. Opis kate­go­rii osób, któ­rych dane są prze­twa­rzane w zbiorze;
    8. Zakres danych prze­twa­rza­nych w zbiorze;
    9. Spo­sób zbie­ra­nia danych do zbioru, w szcze­gól­no­ści infor­ma­cja, czy dane do zbioru są zbie­rane od osób, któ­rych doty­czą, czy z innych źró­deł, niż osoba, któ­rej dane dotyczą;
    10. Spo­sób udo­stęp­nia­nia danych ze zbioru, w szcze­gól­no­ści infor­ma­cja, czy dane ze zbioru są udo­stęp­niane innym pod­mio­tom niż upo­waż­nione na pod­sta­wie prze­pi­sów prawa;
    11. Ozna­cze­nie odbiorcy danych lub kate­go­rii odbior­ców, któ­rym dane mogą być przekazywane;
    12. Infor­ma­cja doty­cząca ewen­tu­al­nego prze­ka­zy­wa­nia danych do pań­stwa trzeciego.

    PRZEPISY WYKONAWCZE DLA ABI

    Ponadto roz­po­rzą­dze­nie okre­śla, iż każda zmiana, doda­nie, aktu­ali­za­cja danych w reje­strze musi zostać opa­trzone datą doko­na­nia zmiany przez ABI. Zbiory już nie­ist­nie­jące nie zostają cał­ko­wi­cie wykre­ślone z reje­stru, a jedy­nie zostaje adno­ta­cja po wykre­śle­niu wpisu, która ma cha­rak­ter informacyjny.

    Akt wyko­naw­czy dodat­kowo okre­śla zada­nia ABI wzglę­dem pro­wa­dze­nia reje­stru. Do obo­wiąz­ków ABI należy:

    1. Wpi­sy­wa­nie zbioru danych do reje­stru przed roz­po­czę­ciem prze­twa­rza­nia w zbio­rze danych;
    2. Aktu­ali­za­cja infor­ma­cji doty­czą­cych zbioru danych w rejestrze
    3. Wykre­śle­nie zbioru danych z rejestru;
    4. Udo­stęp­nia­nia reje­stru do przeglądania.

    ABI zobo­wią­zany jest doko­nać zmian, o któ­rych mowa w powyż­szych punk­tach 2 i 3 nie­zwłocz­nie po ich dokonaniu.

    Roz­po­rzą­dze­nie okre­śla w § 5–6 wymogi doty­czące pro­wa­dze­nia reje­stru w zależ­no­ści od jego formy. ABI ma do wyboru pro­wa­dze­nie reje­stru w for­mie papie­ro­wej lub elek­tro­nicz­nej, bądź w postaci łączo­nej – papie­ro­wej oraz elektronicznej.

    Dru­gim z roz­po­rzą­dze­niem Mini­stra Admi­ni­stra­cji i Cyfry­za­cji (opu­bli­ko­wane w Dz. U. z 2015 r., poz. 745 w dniu 29 maja 2015 r.) doty­czy trybu i spo­sobu reali­za­cji zadań podej­mo­wa­nych przez admi­ni­stra­tora bez­pie­czeń­stwa infor­ma­cji w celu zapew­nie­nia prze­strze­ga­nia prze­pi­sów o ochro­nie danych oso­bo­wych przez admi­ni­stra­tora bez­pie­czeń­stwa infor­ma­cji – regu­lu­jąc tryb i sposób:

    - spraw­dza­nia zgod­no­ści prze­twa­rza­nia danych oso­bo­wych z prze­pi­sami o ochro­nie danych oso­bo­wych oraz opra­co­wa­nia spra­woz­da­nia w tym zakresie;

    - nad­zo­ro­wa­nia opra­co­wa­nia i aktu­ali­zo­wa­nia doku­men­ta­cji opi­su­ją­cej spo­sób prze­twa­rza­nia danych oso­bo­wych oraz środki tech­niczne i orga­ni­za­cyjne zapew­nia­jące ochronę prze­twa­rza­nych danych oso­bo­wych odpo­wied­nią do zagro­żeń oraz kate­go­rii danych obję­tych ochroną;

    - nad­zo­ro­wa­nia prze­strze­ga­nia zasad okre­ślo­nych w doku­men­ta­cji, o któ­rej mowa powyżej.

    Roz­dział 2 niniej­szego Roz­po­rzą­dze­nia został poświę­cony na ure­gu­lo­wa­nie trybu i spo­sobu spraw­dza­nia zgod­no­ści prze­twa­rza­nia danych oso­bo­wych z prze­pi­sami o ochro­nie danych oso­bo­wych oraz opra­co­wa­nia spra­woz­da­nia. Spraw­dze­nie jest obo­wiąz­kiem ABI oraz musi być wyko­ny­wane w sto­sunku do takich pod­mio­tów jak Admi­ni­stra­tor Danych oraz Gene­ralny Inspek­to­rat Danych Oso­bo­wych. Spraw­dze­nie o któ­rym mowa powy­żej obywa się w trzech okre­ślo­nych try­bach: spraw­dze­nia pla­no­wego – według planu spraw­dza­nia, doraź­nego – w przy­pad­kach nie­prze­wi­dzia­nych pla­nem spraw­dze­nia, tzn. w sytu­acjach zagro­że­nia naru­sze­nia ochrony danych oso­bo­wych, trze­cim tryb pro­wa­dze­nia spraw­dze­nia tzw. Spraw­dze­nie w try­bie art. 19b ustawy – tzn. na prośbę GIODO .

    W dal­szej czę­ści roz­po­rzą­dze­nia został okre­ślony szcze­gó­łowy tryb pla­no­wa­nia oraz doko­ny­wa­nia spraw­dze­nia oraz spo­sób spo­rzą­dze­nia spra­woz­da­nia z czyn­ność doko­na­nych pod­czas sprawdzania.

    Roz­dział 3 niniej­szego roz­po­rzą­dze­nia okre­śla tryb i spo­sób nad­zoru nad doku­men­ta­cją prze­twa­rza­nia danych przez ABI. Admi­ni­stra­tor Bez­pie­czeń­stwa spra­wu­jąc nad­zór, który został ure­gu­lo­wany w roz­dziale dru­gim roz­po­rzą­dze­nia doko­nuje nastę­pu­ją­cych weryfikacji:

    1. Opra­co­wa­nia i kom­plet­no­ści doku­men­ta­cji prze­twa­rza­nia danych;
    2. Zgod­ność doku­men­ta­cji prze­twa­rza­nia danych z obo­wią­zu­ją­cymi prze­pi­sami prawa;
    3. Stanu fak­tycz­nego w zakre­sie prze­twa­rza­nia danych osobowych;
    4. Zgod­no­ści ze sta­nem fak­tycz­nym prze­wi­dzia­nych w doku­men­ta­cji prze­twa­rza­nia danych środ­ków tech­nicz­nych i orga­ni­za­cyj­nych słu­żą­cych prze­ciw­dzia­ła­niu zagro­że­niom dla ochrony danych osobowych
    5. Prze­strze­ga­nia zasad i obo­wiąz­ków okre­ślo­nych w doku­men­ta­cji prze­twa­rza­nia danych

    W przy­padku wykry­cia przez ABI jakich­kol­wiek nie­pra­wi­dło­wo­ści pod­czas wery­fi­ka­cji ma on za zadnie:

    1. Zawia­do­mić admi­ni­stra­tora danych o nie­opra­co­wa­niu lub bra­kach w doku­men­ta­cji prze­twa­rza­nia danych lub jej ele­men­tach oraz dzia­ła­niach pod­ję­tych w celu dopro­wa­dze­nia doku­men­ta­cji do wyma­ga­nego stanu, w szcze­gól­no­ści może przed­sta­wić mu do wdro­że­nia pro­jekty doku­men­tów usu­wa­jące stan niezgodności;
    2. Zawia­do­mić admi­ni­stra­tora danych o nie­ak­tu­al­no­ści doku­men­ta­cji prze­twa­rza­nia danych oraz może przed­sta­wić admi­ni­stra­to­rowi danych do wdro­że­nia pro­jekty doku­men­tów aktualizujących;
    3. Poucza lub inspi­ruje osobę nie­prze­strze­ga­jącą zasad okre­ślo­nych w doku­men­ta­cji prze­twa­rza­nia danych o pra­wi­dło­wym spo­so­bie ich reali­za­cji lub zawia­da­mia admi­ni­stra­tora danych, wska­zu­jąc osobę odpo­wie­dzialną za naru­sze­nie zasad oraz jego zakres.

     

    Pod­su­mo­wu­jąc oba roz­po­rzą­dze­nia weszły w życie z dniem nastę­pu­ją­cym po dniu ogło­sze­nia oraz były jed­nymi z bar­dziej wycze­ki­wa­nych aktów wyko­naw­czych, przez ABI – osoby zaj­mu­jące się zawo­dowo zakre­sem ochrony danych oso­bo­wych. Przy­po­mi­namy, iż Ustawa weszła w życie na początku b.r., nato­miast opi­sane powy­żej akty wyko­naw­cze zostały wydane na początku maja 2015r.,natomiast w życie weszły pod koniec niniej­szego miesiąca.

    Mamy nadzieję, że ich publi­ka­cja oraz wdro­że­nie ich do bie­żą­cego sto­so­wa­nia upro­ści oraz uła­twi wyko­ny­wa­nie obo­wiąz­ków nało­żo­nych Ustawą o ochro­nie danych osobowych.

    linia

    14 maja 2015 r. na Wydziale Prawa i Admi­ni­stra­cji Uni­wer­sy­tetu Łódz­kiego w Łodzi odbyła się ogól­no­pol­ska kon­fe­ren­cja zaty­tu­ło­wana „Reforma ochrony danych oso­bo­wych – nowe szanse i wyzwa­nia”.
    Słowo wstępne wygło­siła dr Edyta Bielak-Jomaa, Gene­ralny Inspek­tor Ochrony Danych Oso­bo­wych (GIODO), któ­rej Uni­wer­sy­tet Łódzki jest macie­rzy­stą uczel­nią, jed­nym z pre­le­gen­tów był Pan Andrzej Lewiń­ski, Zastępca GIODO, a jedną z uczest­ni­czek kon­fe­ren­cji – dr Ewa Kule­sza, pierw­sza Gene­ralny Inspek­tor Ochrony Danych Oso­bo­wych, która peł­niła swoją funk­cję przez dwie kadencje.
    KONFPan Andrzej Lewiń­ski poin­for­mo­wał zebra­nych, że na reje­stra­cję czeka około 5000 zgło­szeń powo­ła­nia Admi­ni­stra­tora Bez­pie­czeń­stwa Infor­ma­cji (obec­nie do jaw­nego reje­stru wpi­sa­nych zostało 1170 ABI) oraz że Biuro GIODO chce zająć się pro­wa­dze­niem szko­leń dla Admi­ni­stra­to­rów Bez­pie­czeń­stwa Infor­ma­cji w orga­nach admi­ni­stra­cji rządowej.
    Kon­fe­ren­cja podzie­lona została na trzy panele tema­tyczne:
    1) zmiany w prze­pi­sach o ochro­nie danych oso­bo­wych – per­spek­tywa ADO;
    2) zmiany w prze­pi­sach o ochro­nie danych oso­bo­wych – per­spek­tywa ABI;
    3) trans­gra­niczny prze­pływ danych.
    Po wystą­pie­niach pre­le­gen­tów przed­sta­wio­nych w trak­cie 2 i 3 panelu licz­nie zgro­ma­dzeni
    w auli uni­wer­sy­tetu uczest­nicy kon­fe­ren­cji pro­wa­dzili dys­ku­sję doty­czącą prak­tycz­nych aspek­tów wdra­ża­nia reformy ochrony danych oso­bo­wych obo­wią­zu­ją­cej od 1 stycz­nia 2015 r., a zebrane w jej trak­cie wnio­ski zostaną opu­bli­ko­wane jako mate­riały pokonferencyjne.

    linia

    Dr Edyta Bielak-Jomaa 22 kwiet­nia br. zło­żyła w Sej­mie ślu­bo­wa­nie, które roz­po­czyna bieg 4-letniej kaden­cji nowego Gene­ral­nego Inspek­tora Ochrony Danych Oso­bo­wych (GIODO).
    Na liście naj­waż­niej­szych zadań, jakie stoją obec­nie przed GIODO, wymie­niła:
    1) doko­na­nie prze­glądu pol­skich prze­pi­sów prawa celem dosto­so­wa­nia ich do wymo­gów nowego unij­nego roz­po­rzą­dze­nia regu­lu­ją­cego ochronę danych oso­bo­wych (nad któ­rym obec­nie trwają inten­sywne prace);

    2) prze­or­ga­ni­zo­wa­nie pracy Biura GIODO w związku z nało­że­niem na Gene­ral­nego Inspek­tora nowych zadań i przy­zna­niem

    ŚL_GIODO

     

     

    mu nowych kom­pe­ten­cji (choćby do nakła­da­nia kar finan­so­wych);
    3) zmianę wize­runku urzędu pole­ga­jąca na prze­kształ­ce­niu dotych­cza­so­wego postrze­ga­nia go jako organu admi­ni­stra­cji pań­stwo­wej na peł­nią­cego funk­cję rzecz­nika praw oby­wa­teli;

    4) kon­cen­tra­cję na dzia­łal­no­ści edu­ka­cyj­nej, doty­czą­cej zwłasz­cza wyja­śnia­nia powo­dów, dla któ­rych ochrona pry­wat­no­ści i danych oso­bo­wych jest w dzi­siej­szych cza­sach tak istotna;
    5) moni­to­ro­wa­nie rynku pracy zarówno w kon­tek­ście prze­twa­rza­nia danych przez pra­co­daw­ców, jak i ochrony danych bez­ro­bot­nych (cho­ciażby w aspek­cie gło­śnego ostat­nio tematu ich pro­fi­lo­wa­nia) – ze względu na swoje dotych­cza­sowe zain­te­re­so­wa­nia zawo­dowe.
    Po zło­że­niu ślu­bo­wa­nia dr Edyta Bielak-Jomaa ode­brała z rąk Rado­sława Sikor­skiego – Mar­szałka Sejmu RP nomi­na­cję na sta­no­wi­sko GIODO.

     

    linia

    1 kwiet­nia 2015 r. przy­jęto Reko­men­da­cję CM/REC (2015) 5 Komi­tetu Mini­strów dla Państw Człon­kow­skich. Reko­men­da­cja doty­czy ochrony danych oso­bo­wych wyko­rzy­sty­wa­nych dla celów zatrud­nie­nia. Okre­śla zasady, które pań­stwa człon­kow­skie powinny wdro­żyć w swoim kra­jo­wym porządku. Przy­jęty tekst jest zak­tu­ali­zo­waną wer­sją Reko­men­da­cji doty­czą­cej tego samego tematu z 1989 r.

    Nowa Reko­men­da­cja znaj­duje zasto­so­wa­nie do sek­tora publicz­nego oraz pry­wat­nego, sta­no­wiąc, że pracodawcy

    REC

    powinni uni­kać nie­uza­sad­nio­nej inge­ren­cji w prawo do pry­wat­no­ści pra­cow­nika w miej­scu pracy, w odnie­sie­niu do infor­ma­cyj­nych środ­ków tech­no­lo­gicz­nych. Zaś pra­cow­nicy powinni mieć prawo dostępu do danych oso­bo­wych, które ich dotyczą.

    Reko­men­da­cja wpro­wa­dza sze­reg zale­ceń w odnie­sie­niu do kon­kret­nych form prze­twa­rza­nia, m.in.: moni­to­ro­wa­nie dostępu

    do stron Inter­ne­to­wych przez pra­cow­ni­ków. Pra­co­dawcy powinni pre­fe­ro­wać środki zapo­bie­gaw­cze. Dostęp przez pra­co­daw­ców do zawo­do­wej komu­ni­ka­cji elek­tro­nicz­nej może nastą­pić tylko po uprzed­nim poin­for­mo­wa­niu pra­cow­nika. Moni­to­ro­wa­nie dzia­łal­no­ści pra­cow­ni­ków przez nad­zór wideo co do zasady jest zabro­nione, zbie­ra­nie i prze­twa­rza­nie danych bio­me­trycz­nych oraz danych gene­tycz­nych może odby­wać się tylko w wyjąt­ko­wych oko­licz­no­ściach okre­ślo­nych przez prawo. Zbie­ra­nie infor­ma­cji na temat stanu zdro­wia pra­cow­nika powinno być ści­śle zwią­zane z jego dzia­łal­no­ścią zawodową.

    linia

    Od 1 stycz­nia 2015 r. obo­wią­zuje nowe­li­za­cja prze­pi­sów ustawy o ochro­nie danych oso­bo­wych, wpro­wa­dzona ustawą z dnia 7 listo­pada 2014 r. o uła­twie­niu wyko­ny­wa­nia dzia­łal­no­ści gospo­dar­czej (Dz. U. z 2014 r. poz. 1662).

    Zmiany prze­pi­sów ustawy o ochro­nie danych oso­bo­wych (Dz. U. z 2014 r. poz. 1182 ze zm., zwana dalej UODO) doty­czą m.in. funk­cjo­no­wa­nia admi­ni­stra­tora bez­pie­czeń­stwa infor­ma­cji (zwa­nego dalej ABI) oraz zasad prze­ka­zy­wa­nia danych oso­bo­wych do pań­stwa trzeciego.

    Zasad­ni­cza zmiana doty­czy prze­kształ­ce­nia obo­wiązku powo­ła­nia ABI na upraw­nie­nie admi­ni­stra­tora danych oso­bo­wych (dalej ADO). To admi­ni­stra­tor danych decy­duje od teraz, powo­łać ABI, czy sam będzie reali­zo­wał obo­wiązki prawne prze­wi­dziane ustawą. Jeżeli admi­ni­stra­tor danych oso­bo­wych zde­cy­duje się na powo­ła­nie ABI będzie zobo­wią­zany zgło­sić go do reje­stra­cji w jaw­nym reje­strze admi­ni­stra­to­rów bez­pie­czeń­stwa infor­ma­cji pro­wa­dzo­nym przez Gene­ral­nego Inspek­tora Ochrony Danych Oso­bo­wych (dalej GIODO). Zgło­sze­nia doko­nuje się za pomocą wzoru zgło­sze­nia okre­ślo­nego w roz­po­rzą­dze­niu do UODO – Roz­po­rzą­dze­nie Mini­stra Admi­ni­stra­cji i Cyfry­za­cji z dnia 10 grud­nia 2014 r. w spra­wie wzo­rów zgło­szeń powo­ła­nia i odwo­ła­nia admi­ni­stra­tora bez­pie­czeń­stwa infor­ma­cji (Dz. U. 2014 r. poz. 1934).

    Admi­ni­stra­tor danych oso­bo­wych, który powo­łał ABI do dnia 31 grud­nia 2014 r., tj. na tzw. sta­rych zasa­dach, musi go zgło­sić do reje­stru GIODO do 30 czerwca 2015 r. ABI powo­łany po 1 stycz­nia 2015 r. musi być zgło­szony w ciągu 30 dni od daty powołania.

    Kto może peł­nić funk­cję ABI? Wytyczne w tym zakre­sie wska­zane są w art. 36a ust. 5 UODO. Osoba spra­wu­jąca tę funk­cję musi mieć pełną zdol­ność do czyn­no­ści praw­nych i korzy­stać z pełni praw publicz­nych, posia­dać odpo­wied­nią wie­dzę w zakre­sie ochrony danych oso­bo­wych, nie może być karana za umyślne przestępstwo.

    ABI powi­nien mieć zapew­nione środki i orga­ni­za­cyjną odręb­ność nie­zbędne do nie­za­leż­nego wyko­ny­wa­nia przez niego zadań oraz pod­le­gać bez­po­śred­nio kie­row­ni­kowi jed­nostki orga­ni­za­cyj­nej lub oso­bie fizycz­nej będą­cej admi­ni­stra­to­rem danych.

    Jakie są zada­nia ABI? Głów­nym zada­niem Admi­ni­stra­tora Bez­pie­czeń­stwa Infor­ma­cji, zgod­nie z brzmie­niem Art. 36a ust. 2 pkt 1 jest zapew­nie­nie prze­strze­ga­nia prze­pi­sów o ochro­nie danych oso­bo­wych. Reali­za­cja tego obo­wiązku nastę­puje poprzez:
    - spraw­dza­nie zgod­no­ści prze­twa­rza­nia danych oso­bo­wych z prze­pi­sami o ochro­nie danych oso­bo­wych oraz opra­co­wa­nie w tym zakre­sie spra­woz­da­nia dla ADO; na żąda­nie GIODO ABI doko­nuje spraw­dze­nia i za pośred­nic­twem ADO przed­sta­wia spra­woz­da­nie Gene­ral­nemu Inspektorowi,

    - nad­zo­ro­wa­nie opra­co­wa­nia i aktu­ali­zo­wa­nia doku­men­ta­cji opi­su­ją­cej spo­sób prze­twa­rza­nia danych oraz środki tech­niczne i orga­ni­za­cyjne zapew­nia­jące ochronę prze­twa­rza­nych danych odpo­wied­nią do zagro­żeń oraz kate­go­rii danych obję­tych ochroną oraz prze­strze­ga­nia zasad w niej określonych,

    - zapew­nie­nie zapo­zna­nia osób upo­waż­nio­nych do prze­twa­rza­nia danych oso­bo­wych z prze­pi­sami o ochro­nie danych osobowych.

    Powo­łu­jąc ABI admi­ni­stra­tor danych oso­bo­wych zwol­niony zostaje z obo­wiązku reje­stra­cji zbio­rów danych oso­bo­wych (tych, które nie zawie­rają danych wraż­li­wych), ale jed­no­cze­śnie jawny rejestr zbio­rów danych oso­bo­wych musi pro­wa­dzić ABI. Spo­sób pro­wa­dze­nia reje­stru będzie okre­ślało roz­po­rzą­dze­nie do ustawy.

    Gdy ADO nie zde­cy­duje się powo­łać ABI sam musi reali­zo­wać zada­nia okre­ślone ustawą. Z tą jed­nak róż­nicą, iż nie ma obo­wiązku spo­rzą­dza­nia spra­woz­da­nia oraz ma obo­wią­zek reje­stra­cji zbio­rów danych oso­bo­wych w reje­strze GIODO.

    Spo­sób reje­stra­cji zbio­rów danych oso­bo­wych w jaw­nym reje­strze pro­wa­dzo­nym przez GIODO nie ulega zmia­nie.

    Wpro­wa­dzono jed­nak dodat­kową prze­słankę zwal­nia­jącą z reje­stra­cji, a mia­no­wi­cie z obo­wiązku reje­stra­cji zbio­rów danych zwol­nieni są admi­ni­stra­to­rzy danych prze­twa­rza­nych w zbio­rach, które nie są pro­wa­dzone z wyko­rzy­sta­niem sys­te­mów infor­ma­tycz­nych, z wyjąt­kiem zbio­rów zawie­ra­ją­cych dane, o któ­rych mowa w art. 27 ust. 1. Tym samym, jeśli ADO prze­twa­rza dane oso­bowe w zbio­rach takich jak np. księga kore­spon­den­cji, rejestr wyda­nych prze­pu­stek itp., a zbiory te nie zawie­rają danych wraż­li­wych, to nie zgła­sza ich do reje­stru GIODO. Pozo­stałe prze­słanki zwal­nia­jące pozo­stały bez zmian.

    Nowe­li­za­cja UODO wpro­wa­dza także zmiany w zakre­sie prze­ka­zy­wa­nia danych oso­bo­wych do pań­stwa trzeciego.

    Dotych­czas, jeżeli dane były prze­ka­zy­wane do pań­stwa trze­ciego, które nie zapew­nia na swoim tery­to­rium odpo­wied­niego poziomu ochrony danych oso­bo­wych, wyma­gane było uzy­ska­nie zgody GIODO. Zno­we­li­zo­wane prze­pisy dopusz­czają sytu­acje, kiedy uzy­ska­nie takiej zgodny nie będzie wymagane.

    Zgoda GIODO nie jest odtąd wyma­gana, gdy admi­ni­stra­tor danych zapewni odpo­wied­nie zabez­pie­cze­nia w zakre­sie ochrony pry­wat­no­ści oraz praw i wol­no­ści osoby, któ­rej doty­czą poprzez:
    - stan­dar­dowe klau­zule umowne ochrony danych oso­bo­wych zatwier­dzone przez Komi­sję Euro­pej­ską oraz
    – praw­nie wią­żące reguły lub poli­tyki ochrony danych oso­bo­wych, tj. wią­żące reguły korporacyjne.

    Stan­dar­dowe klau­zule umowne okre­ślają decy­zje Komi­sji Euro­pej­skiej: Decy­zja Komi­sji 2001/497/WE, Decy­zja Komi­sji 2004/915/WE oraz Decy­zja Komi­sji 2010/87/UE.
    Wią­żące reguły kor­po­ra­cyjne, będące pod­stawą prze­ka­zy­wa­nia danych do pań­stwa trze­ciego wyma­gają zatwier­dze­nia przez GIODO.
    Zachę­camy Pań­stwa do zapo­zna­nia się z nowym tek­stem Ustawy z dnia 29 sierp­nia 1997 r. o ochro­nie danych oso­bo­wych oraz roz­po­rzą­dze­niami wyko­naw­czymi do Ustawy.

     

    linia


    Nowe­li­za­cja ustawy o ochro­nie danych oso­bo­wych, która weszła w życie 1 stycz­nia 2015 r. nakłada na admi­ni­stra­tora danych oso­bo­wych, który powo­łał admi­ni­stra­tora bez­pie­czeń­stwa infor­ma­cji (ABI) obo­wią­zek zgło­sze­nia go do jaw­nego reje­stru admi­ni­stra­to­rów bez­pie­czeń­stwa informacji.

    Tym samym nało­żono na Gene­ral­nego Inspek­tora Ochrony Danych Oso­bo­wych obo­wią­zek pro­wa­dze­nia reje­stru admi­ni­stra­to­rów bez­pie­czeń­stwa infor­ma­cji oraz udzie­la­nia infor­ma­cji o zare­je­stro­wa­nych admi­ni­stra­to­rach bez­pie­czeń­stwa infor­ma­cji. Reali­zu­jąc prze­wi­dziany ustawą obo­wią­zek GIODO 26 stycz­nia 2015 r. uru­cho­mił sys­tem informatyczny

     

    zapew­nia­jący publiczny dostęp do ogól­no­pol­skiego jaw­nego reje­stru admi­ni­stra­to­rów bez­pie­czeń­stwa informacji.Dostęp do reje­stru udo­stęp­niony został w ramach roz­bu­dowy elek­tro­nicz­nej plat­formy komu­ni­ka­cji e-GIODO.Komunikat GIODO wska­zuje, iż sys­tem zosta­nie rozbudowany.



    Oprócz wglądu do reje­stru ma on doce­lowo umoż­li­wić prze­ka­za­nie wnio­sków o wpis, aktu­ali­za­cję lub wykre­śle­nie ABI z reje­stru drogą elek­tro­niczną z wyko­rzy­sta­niem plat­formy ePUAP.

    Jak zgło­sić ABI do reje­stru?
    Aby doko­nać zgło­sze­nia ABI należy wypeł­niony wnio­sek „Zgło­sze­nie powo­ła­nia admi­ni­stra­tora bez­pie­czeń­stwa infor­ma­cji do reje­stra­cji Gene­ral­nemu Inspek­to­rowi Ochrony Danych Oso­bo­wych”, pod­pi­sany przez admi­ni­stra­tora danych oso­bo­wych zło­żyć w Biu­rze GIODO.
    Jeżeli ABI został powo­łany przed 31 grud­nia 2014 r. należy doko­nać zgło­sze­nia do dnia 30 czerwca 2015 r. ABI powo­łany po 1 stycz­nia 2015 r. musi zostać zgło­szony w ciągu 30 dni od powołania.

     

    linia

    W 1990 r. Unia Euro­pej­ska (wów­czas jesz­cze Wspól­nota) roz­po­częła prace nad dyrek­tywą regu­lu­jącą ochronę danych oso­bo­wych ze względu na koniecz­ność ujed­no­li­ce­nia usta­wo­dawstw państw człon­kow­skich. Jej zada­niem było zapew­nie­nie mini­mal­nego, a zara­zem jed­no­li­tego poziomu ochrony danym oso­bo­wym gro­ma­dzo­nym w zbio­rach oraz zapew­nie­nie swo­bod­nego prze­pływu danych oso­bo­wych pomię­dzy kra­jami człon­kow­skimi. Efek­tem prac było wyda­nie Dyrek­tywy Par­la­mentu Euro­pej­skiego i Rady z dnia 24 paź­dzier­nika 1995 r. (95/46/EC) w spra­wie ochrony osób w związku z prze­twa­rza­niem danych oso­bo­wych oraz swo­bod­nego prze­pływu tych danych. Ter­min na jej imple­men­ta­cję do porząd­ków praw­nych państw człon­kow­skich wyzna­czono na 23 paź­dzier­nika 1998 r.

    Dyrek­tywa przy­jęła bar­dzo sze­ro­kie rozu­mie­nie poję­cia ochrony danych oso­bo­wych oraz prze­twa­rza­nia danych. Danymi oso­bo­wymi okre­śliła wszyst­kie infor­ma­cje odno­szące się do ziden­ty­fi­ko­wa­nej lub moż­li­wej do ziden­ty­fi­ko­wa­nia osoby fizycz­nej. Prze­twa­rza­niem zaś okre­śliła wszyst­kie – wymie­nia­jąc je – ope­ra­cje doko­ny­wane na danych oso­bo­wych. Wpro­wa­dzono kata­log mini­mal­nych praw słu­żą­cych oso­bom, któ­rych dane są zbie­rane. Ich naru­sze­nie mia­łoby skut­ko­wać moż­li­wo­ścią docho­dze­nia tych praw na dro­dze sądo­wej. Dopusz­czal­ność prze­twa­rza­nia danych została uza­leż­niona od woli (zgody) osoby, któ­rej doty­czą dane oso­bowe, prze­wi­dziano jed­nak zamknięty kata­log sytu­acji, gdy jest to moż­liwe, bez takiej zgody. Dyrek­tywa wyod­ręb­nia grupę danych oso­bo­wych tzw.: „sen­sy­tyw­nych”, do któ­rych prze­twa­rza­nia wyma­gana jest zgoda wyra­żona na piśmie.

    Jed­no­cze­śnie, zgod­nie z Dyrek­tywą, dane mogą być wyko­rzy­sty­wane wyłącz­nie zgod­nie z celem, dla któ­rego zostały zgro­ma­dzone. Ponadto, wpro­wa­dzono także obo­wią­zek infor­mo­wa­nia osoby o zasa­dach prze­twa­rza­nia jej danych osobowych.

     

     

    Może ona sprze­ci­wić się prze­twa­rza­niu swo­ich danych, jeśli tylko posiada w tym uza­sad­niony cel. Nato­miast każda osoba, któ­rej dane już zna­la­zły się w zbio­rze ma prawo dowie­dzieć się o zasa­dach ich prze­twa­rza­nia, począw­szy od moż­li­wo­ści usta­le­nia infor­ma­cji o admi­ni­stra­to­rze, skoń­czyw­szy na usta­le­niu tre­ści tych danych. Dyrek­tywa wpro­wa­dziła też prawo kon­troli danych oso­bo­wych przez osobę, któ­rej one doty­czą, w tym prawo wnie­sie­nia sprze­ciwu prze­ciwko prze­twa­rza­niu danych. Oso­bie, która ponio­sła szkodę wyni­ka­jącą z prze­twa­rza­nia danych nie­zgod­nie z Dyrek­tywą przy­słu­guje odszko­do­wa­nie.
    Jedną z naj­waż­niej­szych wpro­wa­dzo­nych Dyrek­tywą regu­la­cji jest kwe­stia prze­ka­zy­wa­nia danych oso­bo­wych do kra­jów trze­cich – warun­kiem takiego prze­ka­za­nia jest zapew­nia­nie przez kraj doce­lowy odpo­wied­niego poziomu ochrony.

    Zasady ochrony danych oso­bo­wych usta­no­wione Dyrek­tywą 95/46/WE Par­la­mentu Euro­pej­skiego i Rady wpro­wa­dzone zostały do pol­skiego porządku praw­nego Ustawą z dnia 29 sierp­nia 1997 r. o ochro­nie danych oso­bo­wych (Dz. U. z 2014 r. poz. 1182). Prze­pisy ustawy obo­wią­zują od dnia 30 kwiet­nia 1998 r.

    Wpro­wa­dze­nie prze­pi­sów doty­czą­cych ochrony danych oso­bo­wych do pol­skiego sys­temu praw­nego pozwo­liło na pod­pi­sa­nie przez Pol­skę w kwiet­niu 1999 r. i raty­fi­ko­wa­nie w maju 2002 r. Kon­wen­cji Nr 108 Rady Europy. Dzia­ła­nia te sta­no­wiły prze­jaw postę­pu­ją­cej demo­kra­ty­za­cji życia publicz­nego w Pol­sce i tro­ski o ochronę pry­wat­no­ści każ­dego jej obywatela.

    Od 2012 r. sys­te­ma­tycz­nie odby­wają się posie­dze­nia orga­nów Unii, któ­rych przed­mio­tem jest pro­jekt roz­po­rzą­dze­nia Par­la­mentu Euro­pej­skiego i Komi­sji Euro­pej­skiej w spra­wie ochrony danych.

     

    Roz­po­rzą­dze­nie to akt, który obo­wią­zy­wałby bez­po­śred­nio w kra­jach człon­kow­skich, bez potrzeby wyda­wa­nia aktów praw­nych wdra­ża­ją­cych je do porządku kra­jo­wego. Dzięki jego wpro­wa­dze­niu nastą­pi­łaby pełna har­mo­ni­za­cja prawa mate­rial­nego w ramach UE i swo­bod­nego prze­pływu tych danych.

    Do końca 2014 r. nie osią­gnięto poro­zu­mie­nia co do osta­tecz­nego tek­stu pro­jektu, jed­nak na pod­sta­wie donie­sień pra­so­wych z posie­dzeń, a także sta­no­wisk poszcze­gól­nych poli­ty­ków przed­sta­wiamy poni­żej naj­waż­niej­sze regu­la­cje mające się zna­leźć w final­nej tre­ści roz­po­rzą­dze­nia:
    1) „prawo do bycia zapo­mnia­nym” osoby fizyczne będą miały moż­li­wość usu­nię­cia swo­ich danych, jeżeli nie będzie ist­nieć uza­sad­niona pod­stawa do ich zacho­wa­nia
    2) nie­za­leżne kra­jowe organy nad­zo­ru­jące ochronę danych zostaną wzmoc­nione, aby mogły lepiej egze­kwo­wać unijne prze­pisy na tery­to­rium kraju. Zostaną one upo­waż­nione do nakła­da­nia kar na przed­się­bior­stwa naru­sza­jące unijne prze­pisy o ochro­nie danych, które mogą się­gnąć 1 mln EUR lub 2% łącz­nych rocz­nych obro­tów przed­się­bior­stwa
    3) orga­ni­za­cje będą się kon­tak­to­wać tylko z jed­nym kra­jo­wym orga­nem nad­zo­ru­ją­cym ochronę danych w tym pań­stwie człon­kow­skim UE, w któ­rym posia­dają główną sie­dzibę. Podob­nie osoby fizyczne będą mogły kon­tak­to­wać się z orga­nem nad­zo­ru­ją­cym ochronę danych w swoim pań­stwie, nawet jeżeli ich dane są prze­twa­rzane przez przed­się­bior­stwo mające sie­dzibę poza UE. W przy­padku, gdy do prze­twa­rza­nia danych konieczna jest zgoda, zostało wyja­śnione, że będzie ona musiała zostać wydana wyraź­nie, a nie być domnie­mana
    4) osoby fizyczne uzy­skają łatwiej­szy dostęp do wła­snych danych i będą mogły łatwiej prze­ka­zy­wać swoje dane oso­bowe od jed­nego usłu­go­dawcy do dru­giego (prawo do prze­no­sze­nia danych). Poprawi to kon­ku­ren­cję mię­dzy usługodawcami.