Ta strona korzysta z ciasteczek - więcej
Masz pytania? Zadzwoń: 22 487 86 70 lub +48 510 777 980 lub napisz: biuro@rbdo.pl


Podstawy prawne przetwarzania danych osobowych – obowiązujące

Rodzaje podstaw prawnych w oparciu o które możliwe jest przetwarzanie danych osobowych „ZWYKŁYCH”

Ustawa o ochronie danych osobowych, w art. 23 ust. 1 przewiduje pięć głównych podstaw prawnych – są one od siebie odrębne i niezależne, wystarczy spełnienie przynajmniej jednej z nich:

  • zgoda na przetwarzanie danych osobowych – zgodnie z art. 23 ust. 1 pkt 1 uodo, istnieje możliwość przetwarzania danych osobowych w oparciu o wyrażona zgodę na przetwarzanie danych osobowych. Zgoda na przetwarzanie danych osobowych może zostać wyrażona w dowolnej formie, o ile chodzi o dane osobowe „zwykłe”, (w przypadku danych osobowych „wrażliwych” zgoda musi być udzielona na piśmie, zgodnie z art. 27 ust. 2 pkt 1 uodo. Zgodnie z art. 7 pkt 5 uodo, zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści – dlatego zawsze musi wiązać się z konkretną czynnością oznaczającą wyrażenie konkretnego oświadczenia woli (np. odhaczenie „checkboxa”, wysłanie maila lub choćby „kliknięcie” w określony link).

Czytaj dalej Podstawy prawne przetwarzania danych osobowych – obowiązujące

Obowiązek zgłoszeniowy do GIODO do maja 2018 roku

Obowiązek zgłoszenia zbioru danych do rejestru
prowadzonego przez GIODO

  • Każdy zbiór danych osobowych trzeba zgłosić do rejestru prowadzonego przez GIODO – chyba, że w danym przypadku zachodzi którakolwiek z podstaw do zwolnienia z tego obowiązku określona w art. 43 uodo.
  • W przypadku przetwarzania zbioru danych osobowych, który nie jest zwolniony z obowiązku zgłoszeniowego, zgłoszenia najprościej dokonać korzystając z oficjalnego, urzędowego serwisu „eGiodo”, generując formularz zgłoszeniowy i wysyłając go do GIODO w formie papierowej lub elektronicznej
  • Legalność przetwarzania zbioru danych „zwykłych” następuje z chwilą zgłoszenia, a zbioru danych „wrażliwych” (o których stanowi art. 27 ustawy, np. danych o stanie zdrowia) dopiero z chwilą dokonania wpisu zgłoszonego zbioru do rejestru przez GIODO, czyli dopiero po zarejestrowaniu zbioru danych w GIODO

Czytaj dalej Obowiązek zgłoszeniowy do GIODO do maja 2018 roku

Obowiązek informacyjny

Realizacja obowiązków informacyjnych względem
osób, których dane są przetwarzane

Ustawa o ochronie danych osobowych, w art. 24  oraz art. 25 przewiduje obowiązki informacyjne, które można podzielić na:

  • Obowiązki informacyjne w przypadku zbierania danych osobowych od osoby, której one dotyczą,– zgodnie z art. 24 ust. 1 uodo, (bezpośrednio)
  • Obowiązki informacyjne w przypadku zbierania danych osobowych nie od osoby, której one dotyczą, – zgodnie z art. 25 ust. 1 uodo, (pośrednio)

Pomiędzy wyżej określonymi obowiązkami informacyjnym drobne różnice, natomiast w przetwarzającej części odnoszą się one to przekazania podobnego zakresu informacji. Czytaj dalej Obowiązek informacyjny

Uprawnienia osób, których dane dotyczą

Uprawnienia osób, których dane są przetwarzane

Ustawa o ochronie danych osobowych, w art. 32 przewiduje uprawnienia do kontroli przez osobę, której dane dotyczą przetwarzania jej danych osobowych. Na uprawnienia te składają się w szczególności:

  • prawo do uzyskania wyczerpującej informacji, czy zbiór danych istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna – jej miejsca zamieszkania oraz imienia i nazwiska;
  • prawo do uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze
  • prawo do uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych;
  • prawo do uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie w tajemnicy informacji niejawnych lub zachowania tajemnicy zawodowej

Czytaj dalej Uprawnienia osób, których dane dotyczą

Administrator bezpieczeństwa informacji (ABI) do maja 2018 roku

Funkcja Administratora Bezpieczeństwa Informacji (ABI)

  • Każdy administrator danych osobowych (ADO) może wyznaczyć ABI, nie jest to jednak obowiązkowe.
  • Plusem wyznaczenia ABI jest brak obowiązku zgłaszania zbioru danych do GIODO (co może mieć znacznie w sytuacji, w której określony podmiot nie jest zwolniony z tego obowiązku na podstawie art. 43 ust. 1 uodo (np. przetwarza wyłącznie zbiory danych osobowych własnych pracowników).
  • Minusem wyznaczenia ABI jest obowiązek jego zgłoszenia przez administratora danych osobowych do imiennego rejestru (w ciągu 30 dni od jego powołania), obowiązek prowadzenia jawnego rejestru przetwarzanych danych osobowych (np. na stronie internetowej) oraz sporządzania szczegółowych raportów ze sprawdzeń przeprowadzanych zgodnie z warunkami określonymi w rozporządzeniu w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji.

 

  • W przypadku przyjęcia wariantu bez wyznaczania ABI, nie zachodzi obowiązek sporządzania sprawozdań ze sprawdzeń oraz prowadzenia jawnego rejestru przetwarzanych zbiorów danych osobowych.

Czytaj dalej Administrator bezpieczeństwa informacji (ABI) do maja 2018 roku

Umowa powierzenia przetwarzania danych osobowych


  • Art. 31 uodo przewiduje możliwość „powierzenia przetwarzania” przez administratora danych w drodze pisemnej umowy podmiotowi zewnętrznemu
  • Umowę powierzenia przetwarzanie często zawiera się w sytuacjach korzystania z usług zewnętrznego biura rachunkowego lub hostingodawcy (ponieważ już samo „przechowywanie” danych osobowych stanowi ich „przetwarzanie w rozumieniu ustawy o ochronie danych osobowych”)

Warunki jakie musi spełniać umowa powierzenia przetwarzania:

  • Pisemność (umowa powierzenia przetwarzania musi być zawarta na piśmie)
  • Określenie celu powierzenia
  • Określenie zakresu powierzenia

Należy pamiętać, że jeżeli podmiot, któremu dane osobowe powierzono ma mieć prawo do dalszego powierzania innym podmiotom, to taki uprawnienie musi być wyraźnie zapisane w umowie.
Czytaj dalej Umowa powierzenia przetwarzania danych osobowych

Sankcje za nieprzestrzeganie przepisów o ochronie danych osobowych w obecnym stanie prawnym i od 25 maja 2018 roku

Sankcje administracyjne w dotychczasowym stanie prawnym

  • Po zakończeniu przez GIODO czynności kontrolnych istnieje możliwość wydania przez GIODO decyzji wzywającej do usunięcia uchybień
  • Należy też zwrócić uwagę, że GIODO posiada możliwość wydania decyzji zakazującej przetwarzania danych, co w praktyce może wiązać się z brakiem możliwości prowadzenia działalności.
  • Na odrębnych zasadach, jako grzywnę przymuszającą za niewykonanie decyzji GIODO może nałożyć karę finansową w wysokości do 10 000 zł (w przypadku osób fizycznych)lub 50 000 zł (w przypadku osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej) za każde naruszenie (lecz nie więcej niż 50 000 zł w przypadku osób fizycznych) i 200 000 zł w przypadku osób prawnych.
  • Grzywny przymuszające nakładane są przez GIODO w trybie ustawy o postępowaniu egzekucyjnym w administracji (art. 121)
  • Mogą one być nałożone dopiero w sytuacji, gdy ADO zignoruje wcześniej wydaną decyzję wzywającą do usunięcia określonych naruszeń Czytaj dalej Sankcje za nieprzestrzeganie przepisów o ochronie danych osobowych w obecnym stanie prawnym i od 25 maja 2018 roku

Obowiązki praktyczne ochrony danych osobowych do maja 2018 roku

  • Administratorem danych osobowych (ADO) może być np. osoba fizyczna prowadząca działalność gospodarczą, spółka, stowarzyszenie, fundacja lub innego rodzaju jednostki organizacyjne.
  • W niektórych sytuacjach określony podmiot może nie być administratorem danych, ale mimo to podlegać pod obowiązki przewidziane dla ADO – np. biuro rachunkowe, któremu klient powierzył do przetwarzania dane swoich pracowników lub klientów musi prowadzić dokumentację przetwarzania, tak, jak administratorzy danych osobowych.
  • Umowa powierzenia przetwarzania zawsze powinna być zawierana w formie pisemnej. Jej zawieranie powinno dotyczyć sytuacji, w której to ADO decyduje o celu wykorzystania danych, a podmiot zewnętrzny jedynie pomaga w realizacji celu określonego przez ADO
  • Każdy pracodawca jest administratorem danych osobowych zatrudnionych przez siebie pracowników.
  • Jeżeli w ramach dane ADO, dostęp do systemu informatycznego służącego do przetwarzania danych osobowych posiada więcej niż jedna osoba, to każda z tych osób powinna mieć własny, odrębny login oraz hasło pozwalające na zalogowanie się.

Czytaj dalej Obowiązki praktyczne ochrony danych osobowych do maja 2018 roku

Dotychczasowy stan prawny a Rozporządzenie UE 2016/679 (RODO)


  • Pełna nazwa RODO to: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). 
  • RODO pochodzi z dnia 27 kwietnia 2016 roku, zostało ogłoszone w dniu 4 maja 2016 roku i weszło w życie po upływie 20 dni od dnia ogłoszenia (czyli 25 maja 2016 roku).
  • Uwaga – w przypadku RODO wejście w życie nie oznacza przyjęcia do stosowania. 
  • Przyjęcie RODO do stosowania nastąpi w dniu 25 maja 2018 roku

Czytaj dalej Dotychczasowy stan prawny a Rozporządzenie UE 2016/679 (RODO)

Nowy organ nadzorczy ochrony danych w Polsce z kompetencjami nakładania kar do 4% przychodu

Rozporządzenie UE o ochronie danych z 27 kwietnia 2016 r. (tzw. RODO)  zacznie być stosowane w 2018 roku – powstanie nowy organ nadzorczy w Polsce, który będzie egzekwował przepisy RODO – PREZES URZĘDU OCHRONY DANYCH – będzie mógł nakładać kary finansowe na firmy i jednostki organizacyjne za uchybienia ochrony danych do 4% przychodu lub 20 mln!

Czytaj dalej Nowy organ nadzorczy ochrony danych w Polsce z kompetencjami nakładania kar do 4% przychodu


Więcej informacji

Kontakt

Pon.-pt.: 9:00 - 17:00

Dział Sprzedaży: zapytanie@rbdo.pl

Dział Prawny: faq@rbdo

Telefon: 222-905-320

Szkolenia Certyfikowane