Definicja danych osobowych

Ochrona danych osobowych
PODSTAWOWE INFORMACJE
Przygotowała: Teresa Żmijewska-Jędrzejczyk
Podstawa prawna





W Polsce: Konstytucja Rzeczypospolitej Polskiej:
Art. 47 gwarantuje „prawo do ochrony życia prywatnego, rodzinnego, czci i
dobrego imienia”,
Art. 51 ogranicza zasoby danych osobowych w posiadaniu władz, daje prawo
dostępu do własnych danych i żądania ich sprostowania i mówi:
„ Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa”
Międzynarodowa podstawa prawna:
Konwencja Nr 108 Rady Europy, (Strasburg, 28.01.1981 r.)
o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych,
ratyfikowana przez Polskę 24.04.2002 (Dz. U. z 2003 r. Nr 3, poz. 25)
Dyrektywa 95/46/WE Parlamentu Europejskiego oraz Rady z dnia 24 października
1995 r. o ochronie osób fizycznych w związku z przetwarzaniem danych
osobowych oraz swobodnego przepływu tych danych
Dyrektywa 2002/58/WE dostosowuje zasady Dyrektywy 95/46/WE do sektora
telekomunikacyjnego . Szczególny nacisk położony na niechciane (niezamawiane)
komunikowanie: zasada opt-in (= wyrażenie uprzedniej zgody) – ograniczenie
spamu (e-mail) i niechcianego użycia telefonów, faksów etc.
Polskie regulacje prawne

Ustawa o Ochronie Danych Osobowych (u.o.d.o.) z dnia 29 sierpnia 1997 r.
Tekst pierwotny opublikowano w Dz. U. 1997 r. Nr 133 poz. 883.
Obecnie, po wprowadzeniu zmian tekst jednolity został opublikowany
w: Dz. U. 2015. poz. 2135 (http://www.dziennikustaw.gov.pl/du/2015/2135)
[treść u.o.d.o. załączona do prezentacji]

Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia
2004 r. w sprawie prowadzenia dokumentacji przetwarzania danych osobowych
oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać
urządzenia i systemy informatyczne służące do przetwarzania danych
osobowych (Dz. U. Nr 100, poz. 1024)
3
Definicja danych osobowych (1)
Dane osobowe: za dane osobowe uważa się każdą informację dotyczącą osoby
fizycznej, pozwalającą na określenie tożsamości tej osoby
Art. 6. (…)
 Zgodnie z ustawą wszelkie dane osobowe podlegają szczególnej ochronie,
niezależnie od postaci w jakiej występują: drukowanej, elektronicznej czy
przekazu słownego (np. w rozmowie)
Na przykład:
Listy obecności uczestników seminariów w IFiS PAN zawierają dane osobowe.
Odręczne zapiski obejmujące imię, nazwisko, adresy i telefony osób, z którymi
prowadzono rozmowy w związku z realizacją badań (np.: umawiano na wywiady) są
danymi osobowymi.
3. Rejestry elektroniczne imion i nazwisk są danymi osobowymi.
4. Adresy mailowe, których składnia nie identyfikuje osoby, np.: [email protected] nie są
danymi osobowymi. Jeśli jednak oprócz adresu mailowego dostępne są inne
informacje pozwalające ustalić tożsamość (np. zapisany jest numer telefonu
komórkowego), wówczas uznaje się, że są to dane osobowe.
1.
2.
Definicja danych osobowych (2)
c.d.
Art. 6. (…)
 Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić
bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer
identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej
cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne
Na przykład:
Imię i nazwisko oraz adres zamieszkania osób biorących udział w badaniu. Nie trzeba
podejmować działań, aby zidentyfikować osobę → tożsamość można określić
bezpośrednio.
2. Numer identyfikacyjny w połączeniu z nazwą zajmowanego stanowiska i
miejscowością, np.: dyrektor ds. technologicznych w fabryce kabli w Ożarowie
Mazowieckim, uznajemy za dane osobowe. Nawet bez znajomości imienia i nazwiska
możemy tę osobę odnaleźć, choć wymaga to dodatkowych działań → tożsamość
można określić pośrednio, na podstawie zajmowanego przez nią stanowiska.
1.
Definicja danych osobowych (3)
c.d.
Art. 6. (…)
 W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące
zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej
Na przykład:
Numer legitymacji studenckiej nie jest sam w sobie daną osobową. Jednak Administrator
tych danych (Władze Uczelni) łatwo może zlecić powiązanie go z imieniem i nazwiskiem
studenta. Możliwe jest zatem zidentyfikowanie konkretnej osoby fizycznej.

Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli
wymagałoby to nadmiernych kosztów, czasu lub działań
Dane szczególnie chronione
Art. 27 ust. 1
 Dane szczególnie chronione, „wrażliwe” są to informacje: o pochodzeniu
rasowym lub etnicznym, poglądach politycznych, religijnych, filozoficznych,
wyznaniu, przynależności do partii lub związku, stanie zdrowia, kodzie
genetycznym, nałogach, życiu seksualnym, skazaniach, orzeczeniach
o ukaraniu, mandatach i innych orzeczeniach wydanych w postępowaniu przed
sądem lub urzędem.

Dane „zwykłe” - nie jest to pojęcie zdefiniowane w ustawie o ochronie danych
osobowych, ale tak nazywane są dane osobowe poza wymienionymi w art. 27
ust. 1 ustawy. Te dane także podlegają ochronie. Zaliczamy do nich m.in.: imię,
nazwisko, adres zamieszkania, datę urodzenia, nr PESEL, adres mailowy.
Na przykład:
Samodzielnie występujący nr PESEL jest daną osobową.
Samodzielnie występująca data urodzenia nie jest daną osobową, ale staje się nią w
powiązaniu z nazwiskiem.
7
Definicja przetwarzania danych (1)
Art. 7. Ustawy (…) Ilekroć w ustawie jest mowa o:

przetwarzaniu danych - rozumie się przez to jakiekolwiek operacje wykonywane
na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie,
opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które
wykonuje się w systemach informatycznych

w rozumieniu ustawy jakakolwiek czynność powiązana z danymi osobowymi
nosi znamiona przetwarzania danych osobowych
Na przykład:
1.
Publikowanie, przechowywanie nazwisk w formie list, not biograficznych, zestawień
absolwentów, byłych pracowników, uznaje się za przetwarzanie danych osobowych.
2.
W u.o.d.o. akcentowane jest przede wszystkim przetwarzanie danych osobowych w
systemach informatycznych. Np.: przechowywanie danych osobowych na dyskach:
twardych, przenośnych, wirtualnych (Googledrive, Dropbox) jest traktowane jako
przetwarzanie danych osobowych.
Definicja przetwarzania danych (2)
Art. 7. Ustawy (…) Ilekroć w ustawie jest mowa o:
 zbiorze danych - rozumie się przez to każdy posiadający strukturę zestaw danych
o charakterze osobowym
- zestaw danych dostępnych według określonych kryteriów
- zestaw danych może mieć charakter rozproszony lub podzielony funkcjonalnie
Na przykład:
1. Strukturę zbioru danych określa jakiekolwiek uporządkowanie, np.: wg numeru
ewidencyjnego lub wg wybranych cech: rok urodzenia, nazwiska uporządkowane
alfabetycznie, adres składający się z nazwy miasta lub miejscowości, kodu
pocztowego, nazwy ulicy i numerów domu, bloku oraz mieszkania. Kryterium dostępu
oznacza możliwość wyszukania konkretnych danych, np. urodzonych po roku 1977,
mieszkańców miast powyżej 10 tysięcy, mieszkańców Białegostoku. Technicznie zbiór
danych może składać się z kilku części przechowywanych w różnych miejscach.
2. Zbiorem danych w rozumieniu art. 7 pkt 1 u.o.d.o. są także aplikacje składane przez
przyszłych pracowników, np. w procesie rekrutacji. Wystarczy, że zestaw aplikacji jest
przechowywany w systemie informatycznym i jest jakiekolwiek kryterium dostępu do
tych informacji ( np.: nazwa stanowiska, numer referencyjny, tytuł ogłoszenia, temat).
Definicja przetwarzania danych (3)
c.d. Art. 7. Ustawy (…) Ilekroć w ustawie jest mowa o:

usuwaniu danych - rozumie się przez to zniszczenie danych osobowych
lub taką ich modyfikację (anonimizacja danych), która nie pozwoli na ustalenie
tożsamości osoby, której dane dotyczą

zgodzie osoby, której dane dotyczą - rozumie się przez to oświadczenie woli,
którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa
oświadczenie

zgoda nie może być domniemana [→ brak sprzeciwu] lub dorozumiana
z oświadczenia woli o innej treści
Oznacza to, że wyrażający zgodę na przetwarzane danych osobowych musi mieć
pełną świadomość tego, na co się godzi. Z treści zgody podpisanej przez osobę, której
dotyczy powinno w sposób nie budzący wątpliwości wynikać, w jakim celu, w jakim
zakresie i przez kogo dane osobowe będą przetwarzane.

zgoda może być odwołana w każdym momencie
Prawa osoby, której dane dotyczą
Art. 32. 1. Każdej osobie przysługuje prawo do kontroli przetwarzania danych,
które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do:
1) uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia
administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy
administratorem danych jest osoba fizyczna - jej miejsca zamieszkania oraz
imienia i nazwiska,
2) uzyskania informacji o celu, zakresie i sposobie przetwarzania danych
zawartych w takim zbiorze,
3) uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące,
oraz podania w powszechnie zrozumiałej formie treści tych danych,
4) uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba
że administrator danych jest zobowiązany do zachowania w tym zakresie w
tajemnicy informacji niejawnych lub zachowania tajemnicy zawodowej,
Prawa osoby, której dane dotyczą
c.d. Art. 32. 1. Każdej osobie przysługuje prawo do kontroli przetwarzania danych,
które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do:
5) uzyskania informacji o sposobie udostępniania danych, a w szczególności
informacji o odbiorcach lub kategoriach odbiorców, którym dane te są
udostępniane, (…)
6) żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych,
czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są
one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z
naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały
zebrane
7) wniesienia, w przypadkach wymienionych w Art. 23 ust. 1 pkt 4 i 5,
pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze
względu na jej szczególną sytuację
Prawa osoby, której dane dotyczą
c.d. Art. 32. 1. Każdej osobie przysługuje prawo do kontroli przetwarzania danych,
które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do:
8) wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach,
wymienionych w Art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je
przetwarzać w celach marketingowych lub wobec przekazywania jej danych
osobowych innemu administratorowi danych,
9) wniesienia do administratora danych żądania ponownego, indywidualnego
rozpatrzenia sprawy rozstrzygniętej z naruszeniem Art. 26a ust. 1.
Wszystkie wyjaśnienia muszą być udzielane w sposób zrozumiały dla Odbiorcy.
Obowiązek prowadzenia rejestru zbiorów w IFiS PAN



Zbiory danych osobowych („zwykłych” – por. s. 7), które nie zawierają danych
wskazanych w art. 27 ust.1 u.o.d.o. nie wymagają rejestracji w GIODO, jeśli
Administrator Danych powołał Administratora Bezpieczeństwa Informacji (ABI)
i zgłosił go do GIODO. Obowiązek prowadzenia jawnego rejestru takich zbiorów
danych (zgodnie z art. 36a ust. 2 pkt 2 u.o.d.o.) przechodzi wówczas na ABI.
W IFiS PAN nie ma obowiązku rejestracji w GIODO zbiorów zawierających dane
„zwykłe”, ponieważ Administrator Danych (Dyrekcja) powołał ABI
[kontakt → ostatni slajd].
Ustawa jednak nakłada obowiązek prowadzenia pełnego rejestru zbiorów danych
osobowych, zarówno zawierających dane szczególnie chronione, jak i „zwykłe”.
W IFiS PAN, dyrekcja upoważniła ABI do założenia i aktualizacji rejestru
jawnego zbiorów danych. ABI, przynajmniej raz do roku, ma obowiązek przeprowadzić
kwerendę i zaktualizować ogólny rejestr IFiS PAN. Z tego względu w każdym Dziale,
Grancie, Zakładzie powinien powstać i być aktualizowany cząstkowy rejestr zbiorów
danych.
Obowiązki Administratora Bezpieczeństwa Informacji (ABI)

Głównym zadaniem ABI jest zapewnianie przestrzegania przepisów o ochronie
danych osobowych (zgodnie z art. 36a ust. 2 pkt 1 u.o.d.o.), w szczególności przez:
1. sprawdzanie zgodności przetwarzania danych osobowych z przepisami
o ochronie danych osobowych oraz opracowanie w tym zakresie
sprawozdania dla administratora danych (przynajmniej raz do roku);
2. nadzorowanie opracowania i aktualizowania dokumentacji opisującej
sposób przetwarzania danych (Polityki Bezpieczeństwa Informacji w IFiS
PAN);
3. zapewnianie zapoznania się osób upoważnionych do przetwarzania danych
osobowych z przepisami o ochronie danych osobowych;
4. prowadzenie rejestru zbiorów danych przetwarzanych przez administratora
danych (→ przez IFiS PAN).
Instytucja ABI została wyznaczona przepisami obowiązującej aktualnie Dyrektywy
95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r.
15
Zakres informacji w rejestrze zbiorów danych w IFiS PAN
(1)

Informacje o administratorze danych osobowych - jego nazwa (Zazwyczaj
będzie nim IFiS PAN, jednak w niektórych projektach administratorem jest inny
podmiot, np.: Administratorem międzynarodowego zbioru danych z badania
Europejski Sondaż Społeczny jest NSD - Norwegian Centre for Research Data.)

Nazwa projektu, w związku z którym tworzony jest zbiór

Kierownik projektu

Planowana data rozpoczęcia zbierania danych

Planowana data zakończenia zbierania danych

Cel przetwarzania danych (np.: realizacja badania jednorazowego)

Opis struktury zbioru, np.: kategorii osób uwzględnionych („mężczyźni i kobiety
w wieku 45+”, „mieszkańcy Krakowa”), których dane dotyczą oraz zakres
przetwarzania danych „zwykłych” (np.: płeć, wiek, wykształcenie, numer
telefonu) i szczególnie chronionych (np.: przynależność partyjna, związkowa,
poglądy polityczne).
Zakres informacji w rejestrze zbiorów danych w IFiS PAN
(2)
cd.
Czy zbiór będzie zawierał lub zawiera (jeśli zgłoszony do GIODO) dane szczególnie
chronione, „wrażliwe”? Jeśli zbiór został już zgłoszony do GIODO, należy podać
numer zgłoszenia, numer księgi.
 Lista imion i nazwisk osób upoważnionych do przetwarzania danych osobowych
w tym zbiorze.
 Sposób zbierania danych (np.: wyłącznie od osób, których dotyczą)
i ich udostępniania (zgodnie z przepisami prawa – ale uwaga: w dokumentacji
projektu należy zamieścić opis sposobu zbierania i udostępniania danych)
 Lista programów komputerowych wykorzystywanych do przetwarzania danych.
 Informacje o odbiorcach Informację dotyczącą ewentualnego przekazywania
danych do państwa trzeciego (zazwyczaj nas ten zapis nie dotyczy, nie
przekazujemy danych do innych krajów – ten zapis dotyczy krajów nie należących
do Unii Europejskiej. Wyjątek stanowią podmioty, które uzyskały certyfikat
poprzez przystąpienie do programu „Safe Harbour”)
→ Taki zestaw informacji o każdym ze zbiorów należy przekazać ABI.

Rejestracja zbiorów danych w GIODO (1)

W przypadku zbiorów danych szczególnie chronionych, tzw. „danych
wrażliwych”, tj. danych należących do kategorii danych wskazanych w art. 27
ust. 1 u.o.d.o. [→ slajd 7: def. danych wrażliwych], istnieje obowiązek
zgłoszenia takich zbiorów danych do rejestracji GIODO przed rozpoczęciem
przetwarzania (art. 40 u.o.d.o.).
1.
Wniosek rejestracji zbioru danych osobowych w GIODO należy złożyć przed jego
stworzeniem. (Konieczność rejestracji, a także przygotowanie wniosku można
konsultować z ABI w IFiS PAN).
2.
Zbiory takie - zgłoszone w przeszłości i planowane do zgłoszenia w GIODO - muszą
być także uwidocznione w rejestrze prowadzonym przez ABI w IFiS PAN.
Rejestracja zbiorów danych w GIODO (2)

Rejestracji nie podlegają zbiory tworzone doraźnie (np. do celów
szkoleniowych), tzw. zbiory tymczasowe (np.: służące rekrutacji respondentów
do jednorazowego badania naukowego). W każdej z tych sytuacji, zbiory takie
należy bezpiecznie przetwarzać i usunąć lub przeprowadzić ich anonimizację
natychmiast po zrealizowaniu celu doraźnego (w tym przykładzie - po
zakończeniu badania)
Na przykład:
Nie trzeba rejestrować zbiorów danych powszechnie dostępnych, przetwarzanych w
zakresie drobnych bieżących spraw życia codziennego. Lista osobistych (prywatnych), ale
także służbowych (związanych z pracą w Instytucie) kontaktów nie podlega obowiązkowi
zgłoszenia do rejestracji GIODO.
Z tego obowiązku zwolnione są zbiory przetwarzane w celu wystawienia faktury, rachunku
lub prowadzenia sprawozdawczości finansowej. Nie jest wymagana rejestracja zbioru
danych osobowych przetwarzanych w celu przygotowania pracy naukowej, doktoratu,
rozprawy habilitacyjnej, i innej pracy wymaganej do uzyskania dyplomu uczelni wyższej lub
stopnia naukowego.
Rejestracja zbiorów danych (3)
art. 40 „Administrator danych jest obowiązany zgłosić zbiór danych do
rejestracji Generalnemu Inspektorowi”
Zgłoszenie zbioru do rejestracji powinno zawierać:
 Wniosek o wpisanie do rejestru
 Informacje o administratorze danych osobowych
 Cel przetwarzania
 Opis kategorii osób, których dane dotyczą oraz zakres przetwarzania danych
 Sposób zbierania i udostępniania
 Informacje o odbiorcach
 Opis środków technicznych i organizacyjnych zastosowanych w celach określonych w
art. 36-39 u.o.d.o.
 Informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego
Rejestracja zbiorów danych (5) – zbiór zarejestrowany
Praktyka badawcza: obowiązek rejestracji dotyczy m.in. badania panelowego:
„Struktura i Ruchliwość Społeczna: Polskie Badanie Panelowe – POLPAN”
Zostało on zgłoszone (Nr zgłoszenia w GIODO: 000439/2008, Nr księgi: 076121)
i zarejestrowane pod nazwą „Polski Survey Panelowy POLPAN” jako zbiór danych.
http://egiodo.giodo.gov.pl/search_advanced.dhtml
21
Rejestracja zbiorów danych (6) – lista zbiorów
zarejestrowanych w GIODO
22
Praktyka ochrony danych osobowych
1.
2.
3.
4.
5.
6.
7.
Dostęp do danych osobowych mają wyłącznie osoby upoważnione przez
Administratora Danych lub Administratora Bezpieczeństwa Informacji (za zgodą
Administratora Danych) na wniosek kierownika Grantu, kierownika Działu,
Zespołu.
Upoważnienia do przetwarzania danych są wystawiane w imieniu
Administratora Danych
Dane powinny być zabezpieczone przed dostępem osób nieupoważnionych
Przechowywane mogą być jedynie w pomieszczeniu do tego przeznaczonym:
dyski z danymi, serwery, na których przechowywane są dane osobowe powinny
być umieszczone w pomieszczeniu z odpowiednio ograniczonym i
rejestrowanym dostępem
Należy odnotowywać każde działanie na danych osobowych (przenoszenie
plików, tworzenie kopii, aktualizacja danych, usuwanie, dodawanie informacji)
Procedura tworzenia kopii bezpieczeństwa i jej przechowywania
Procedura niszczenia uniemożliwiająca odtworzenie danych
Zakres stosowania ustawy
Zapisy ustawy dotyczą:

Obywateli RP i cudzoziemców

Osób żyjących

Systemów informatycznych

Zbiorów papierowych

Administratorów ze strefy publicznej oraz prywatnej mających siedzibę
lub miejsce zamieszkania na terytorium RP

Zbiorów doraźnych
Przepisy karne za łamanie zapisów u.o.d.o.
Na wniosek GIODO sąd może orzec karę:
3 lata za przetwarzanie danych wrażliwych, sensytywnych

1 rok za przetwarzanie danych niezgodnie z celem utworzenia zbioru
(warunek: jeżeli sprawca działa nieumyślnie)
Na przykład:
za naruszenie obowiązku zabezpieczenia
kto nie zgłasza zbioru danych osobowych do rejestru
za niedopełnienie obowiązku informacyjnego
GIODO może ukarać grzywną, w celu przymuszenia wykonania wydanej decyzji.
Inne ustawy
„Jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych,
przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje
się przepisy tych ustaw” (art. 5)

np. ustawa o bankowości, kodeks ESOMAR
W przypadku wątpliwości, pytań, proszę o kontakt
z Administratorem Bezpieczeństwa Informacji
w IFiS PAN
Teresą Żmijewską-Jędrzejczyk
[email protected]