Przejdź do treści głównej

Ochrona danych osobowych - podstawowe pojęcia

Podstawowe informacje na temat ochrony danych osobowych istotne dla organizacji pozarządowych.

Co reguluje ustawa o ochronie danych osobowych i w jakim stopniu dotyczy ona organizacji pozarządowych?

Ustawa o ochronie danych osobowych ma na celu przede wszystkim chronić osoby fizyczne, których dane osobowe są lub mogą być przetwarzane  przez różne podmioty, instytucje, organizacje.

Organizacje pozarządowe, tak samo jak inne podmioty, w różnych sytuacjach mogą posiadać dane osobowe, czy to swoich członków, podopiecznych, darczyńców, czy współpracowników, pracowników itp..
 
Ustawa szczegółowo określa zasady postępowania z tymi danymi, które posiada organizacja. Wskazuje warunki przetwarzania danych, czyli co musi zrobić organizacja, aby można było powiedzieć, że legalnie, zgodnie z prawem, przetwarza te dane, a także określa prawa osób, których dane posiada.
Ustawa ma zapobiegać sytuacjom nadużywania danych osób fizycznych, szczególnie wbrew ich woli i zmuszać tych, którzy te dane posiadają, do dbania o bezpieczeństwo tych danych. Ponadto w ustawie zostały określone kompetencje organu do spraw ochrony danych osobowych, czyli Generalnego Inspektora Ochrony Danych (tzw. GIODO).
 
Bardzo ważne jest, aby mieć świadomość, że posiadanie danych osobowych nakłada na organizacje (tak jak i na inne podmioty) szereg różnych obowiązków. Są to min.:
  • obowiązek ochrony tych danych (zabezpieczenia ich przed dostępem do nich osób trzecich),
  • obowiązek informacyjny wobec osób, których dane posiadamy (informowania, że mamy te dane i do jakich celów je wykorzystujemy),
  • obowiązek rejestracyjny (czyli zgłoszenia informacji o danych do rejestru prowadzonego przez GIODO).
Pamiętajmy, że posiadając dane osobowe różnych osób musimy je przede wszystkim chronić (dbać o ich bezpieczeństwo, aby nie dostały się w posiadanie innych osób i podmiotów, aby były aktualne itp.), a także spełnić szereg innych obowiązków, które nakłada ustawa. Obowiązek rejestracyjny nie zawsze będzie dotyczył organizacji, bo być może nie posiadamy danych, które wymagają zgłoszenia do GIODO. Ale z całą pewnością posiadamy „jakieś” dane (czy to członków, pracowników), których nie musimy zgłaszać do GIODO, ale musimy im zapewnić ochronę.

Warto też zastanowić się nad tym, czy wszystkie dane, które posiadamy, zbieramy będą nam rzeczywiście potrzebne. Część z nich z pewnością tak, potrzebujemy ich do prowadzenia bieżącej działalności lub różne przepisy prawa obligują nas do ich gromadzenia. Są jednak i takie dane, które zebraliśmy niepotrzebnie lub które w chwili obecnej (i w przyszłości) nie będą nam potrzebne. Te dane lepiej jest usunąć lub poddać anonimizacji.

Co to są dane osobowe?

Jakie to mogą być informacje?

  • komunikat w formie pisemnej np. jakaś notatka pisemna, która pozwoli daną osobę zidentyfikować;
  • fotografie, zdjęcia rentgenowskie, DNA;
  • komunikat lub inne treści w formie elektronicznej.
 
Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić pośrednio lub bezpośrednio, mogą temu posłużyć:
  • numery identyfikacyjne (np. NIP, PESEL, nr paszportu);
  • jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne (DNA, wzór siatkówki, grupa krwi), umysłowe, ekonomiczne, kulturowe lub społeczne.
 
Przykładowe dane osobowe to:
  • imię, nazwisko, adres osoby;
  • NIP, PESEL;
  • linie papilarne, DNA, wzór siatkówki;
  • informacje o sytuacji finansowej osoby (zaległości, zadłużenia, stan konta);
  • adres mailowy: a.kwiatkowska@szpitalna.ngo.pl (ale nie: kwiatuszek@onet.pl); adres mailowy będzie daną osobową wówczas, gdy zawiera takie informacje, dzięki którym bez nadmiernych kosztów, działań i czasu możemy ustalić tożsamość osoby (jeśli zawiera np. imię i nazwisko osoby);
  • adres IP komputera danej osoby.
 
Do danych osobowych zalicza się więc nie tylko imię, nazwisko i adres osoby, ale również przypisane jej ważne numery, dane o cechach fizjologicznych, umysłowych, ekonomicznych, kulturowych i społecznych. Danymi osobowymi nie będą jednak informacje o dużym stopniu ogólności, np. nazwa ulicy, na której dana osoba mieszka. Lecz jeżeli tę informację zestawimy z innymi danymi, np. z jej imieniem i nazwiskiem lub numerem PESEL, to ten zestaw danych pozwoli nam tę osobę zidentyfikować.
 
W niektórych sytuacjach wystarczy jedna informacja abyśmy mogli kogoś zidentyfikować (np. jeżeli posiadamy numer PESEL osoby) w innych potrzebujemy kilku cech, informacji, które razem pozwolą nam określić tożsamość osoby.
 
Dane osobowe dotyczą tylko osoby fizycznej (a nie np. firmy, stowarzyszenia, fundacji) czyli nie możemy powiedzieć, że „posiadamy dane osobowe Spółki X lub Fundacji Y”.
 
Dane osobowe dotyczą tylko osób żyjących, dane osób zmarłych nie są danymi osobowymi – takie stanowisko zajął Generalny Inspektor Ochrony Danych Osobowych (można je znaleźć na tej stronie: http://www.giodo.gov.pl/317/id_art/974/j/pl/).

Pamiętajmy też o tym, że informacji nie uważa się za umożliwiające określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

Co to są dane „zwykłe” i dane „wrażliwe”?

W ustawie nie pojawiają się takie pojęcia jak dane „zwykłe” i „wrażliwe”, ale są one w bezpośrednim użyciu, także w wyjaśnieniach stosowanych przez GIODO.

Mówiąc prosto dane „wrażliwe” to takie, które podlegają szczególnym zasadom przetwarzania i ochrony. Wszelkie inne dane osobowe nazywamy „zwykłymi”.
 
Przykładowo dane „zwykłe” to np.:
  • imię i nazwisko;
  • adres zamieszkania;
  • wykształcenie;
  • numer PESEL;
  • adres poczty elektronicznej.
 
Dane „wrażliwe” to np.:
  • dane rasowe lub etniczne;
  • poglądy polityczne;
  • przekonania religijne lub filozoficzne;
  • stan zdrowia;
  • przynależność partyjna, związkowa lub wyznaniowa;
  • kod genetyczny;
  • nałogi;
  • życie seksualne;
  • skazania i orzeczenia dotyczące mandatów i kar.
 
Dane „wrażliwe” można przetwarzać tylko w określonych sytuacjach, gdy:
  • osoba, której dotyczą wyrazi zgodę na piśmie na ich przetwarzanie (a jeśli chodzi o ich usunięcie to zgoda nie musi być udzielona);
  • przepis szczególny innej ustawy zezwala na ich przetwarzanie bez zgody tej osoby (jednocześnie stwarzając gwarancje ochrony tych danych);
  • przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów tej osoby, a ona w tym czasie nie jest fizycznie lub prawne zdolna do wyrażenia zgody;
  • jest to niezbędne do wykonywania statutowych działań kościołów, związków wyznaniowych, stowarzyszeń, fundacji, pod warunkiem, że przetwarzanie dotyczy danych członków tych organizacji lub instytucji, osób utrzymujących stałe kontakty w związku z ich działalnością (i są zapewnione gwarancje ochrony tych danych);
  • przetwarzanie dotyczy danych, które są niezbędne do dochodzenia spraw przed sądem;
  • przetwarzanie jest związane z zatrudnieniem pracowników i innych osób;
  • przetwarzanie jest prowadzone w celu ochrony zdrowia, świadczenia usług medycznych i leczenia pacjentów;
  • przetwarzanie dotyczy danych, które zostały przez tę osobę podane do publicznej wiadomości;
  • przetwarzanie jest niezbędne do badań naukowych (publikowanie wyników nie może umożliwić identyfikacji osoby);
  • przetwarzanie jest realizowane w celu realizacji orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.
 
Organizacje pozarządowe mogą posiadać zarówno dane „zwykłe” jak i „wrażliwe”. W odniesieniu do tych różnych rodzajów danych obowiązują różne zasady postępowania z nimi. Np. w przypadku rejestracji zbiorów danych „zwykłych” w GIODO, możemy wykonywać na tych danych różne działania, np. zbierać je już od momentu zgłoszenia zbioru do rejestru (zanim GIODO wyrazi swoją decyzję w naszej sprawie). Jeżeli jednak zgłaszamy informację o zbiorze danych „wrażliwych”, działania w tym zakresie możemy rozpocząć dopiero po zarejestrowaniu informacji o takim zbiorze.

Co to jest zbiór danych osobowych?

Dane osobowe mogą być przechowywane w różnej formie, albo jako tzw. zbiory danych, ale także w formie pojedynczych danych jeżeli są przechowywane w systemach informatycznych (systemem informatycznym jest zespół współpracujących ze sobą urządzeń, programów, narzędzi programowych, szczególnie jeżeli jest dostęp do Internetu, np. sieć komputerowa w naszym biurze). 

Zbiorem danych jest każdy posiadający strukturę zestaw danych osobowych, dostępnych według określonych kryteriów. Przykładem zbioru danych może być książka korespondencyjna, zestaw akt osobowych pracowników fundacji, lista członków założycieli stowarzyszenia - zarówno w wersji papierowej, jak i w systemie informatycznym.
 
Ponadto, jeżeli w systemie informatycznym (z dostępem do Internetu bądź bez tego dostępu) mamy jakieś pojedyncze dane (które nie tworzą zbioru), np. oświadczenie do celów podatkowych jednej osoby, wówczas traktujemy te dane osobowe tej jednej osoby, tak jakby były zbiorem danych, i stosujemy do nich wszelkie zapisy ustawy, czyli zabezpieczamy je, chronimy, zgłaszamy informację do GIODO (jeżeli dotyczy nas ten obowiązek) itp.
 
UWAGA!
Jeżeli posiadamy zbiory danych sporządzonych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie (bez zbędnej zwłoki) usuwanych albo poddanych anonimizacji zastosowanie jedynie przepisy dotyczące zabezpieczenia danych.
 
Usuwanie danych polega na ich niszczeniu lub modyfikacji. Ważne jest aby po usunięciu nie można było odtworzyć danych, czyli aby nie dało się zidentyfikować konkretnej osoby. Do usuwania danych można stosować różne narzędzia i sposoby, np. mechaniczne (niszczarki) lub usuwać dane z twardego dysku z komputera. Anonimizacja polega na usunięciu z dokumentu (np. poprzez zaczernienie) danych osobowych, w taki sposób aby nie można było ich odczytać.

Kto to jest administrator danych? Czy to osoba, która zbiera i przechowuje dane? Czy jako ngo jesteśmy administratorem danych?

Administrator to podmiot, który decyduje o celach i sposobach przetwarzania danych. Administratorem może być osoba prawna lub fizyczna (firma, stowarzyszenie, fundacja, instytucja, Jan Kowalski itp.), jeżeli przetwarza dane osobowe w związki z jakąś działalnością zarobkową, zawodową czy statutową.

Kto to jest administrator bezpieczeństwa informacji? Jakie ma obowiązki, jak się go zgłasza, odwołuje?

Administrator bezpieczeństwa informacji (ABI) nadzoruje przestrzeganie zasad ochrony danych, określonych przez administratora, stosując odpowiednie do zagrożeń i kategorii danych objętych ochroną środki techniczne i organizacyjne, które mają zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Zadania ABI:

1) zapewnienie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

  • sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych (AD), którym jest np. organizacja pozarządowa;
  • nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednie do zagrożeń oraz kategorii danych objętych ochroną i przestrzegania zasad określonych w tej dokumentacji;
  • zapewnianie możliwości zapoznania się przez osoby upoważnione do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;

2) prowadzenie jawnego rejestru zbiorów danych przetwarzanych przez AD (każdy ma prawo go przeglądać), z wyjątkiem zbiorów ustawowo zwolnionych z rejestracji, zawierającego:

  • nazwę zbioru;
  • oznaczenie AD i adres jego siedziby, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej (REGON), jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru;
  • cel przetwarzania danych;
  • sposób zbierania oraz udostępniania danych;
  • informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane;
  • informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego;

3) sprawdzenie dla GIODO (w wyznaczonym przez niego zakresie i terminie) zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, przygotowanie sprawozdania i przekazanie go (za pośrednictwem AD) do GIODO;

4) wykonywanie innych obowiązków – o ile nie naruszają one prawidłowego wykonywania wyżej wymienionych zadań.

Sprawozdanie dla AD powinno zawierać:

  1. oznaczenie AD i adres jego siedziby;
  2. imię i nazwisko ABI;
  3. wykaz czynności podjętych przez ABI w toku sprawdzenia oraz imiona, nazwiska
    i stanowiska osób biorących udział w tych czynnościach;
  4. datę rozpoczęcia i zakończenia sprawdzenia;
  5. określenie przedmiotu i zakresu sprawdzenia;
  6. opis stwierdzonego stanu faktycznego oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych;
  7. stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem;
  8. wyszczególnienie załączników stanowiących składową część sprawozdania;
  9. podpis ABI, a w przypadku sprawozdania w postaci papierowej – dodatkowo parafy ABI na każdej stronie sprawozdania;
  10. datę i miejsce podpisania sprawozdania przez ABI.
UWAGA!
Przedstawienie przez ABI sprawozdania nie wyłącza prawa GIODO do przeprowadzenia kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych.

Zgłoszenie ABI

Zgłoszenie powołania ABI do GIODO (w terminie 30 dni od dnia powołania) powinno zawierać:

1) oznaczenie AD i adres jego siedziby, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej (REGON), jeżeli został mu nadany;

2) dane ABI:

a) imię i nazwisko;

b) numer PESEL lub, gdy ten numer nie został nadany, nazwę i numer dokumentu stwierdzającego tożsamość;

c) adres do korespondencji, jeżeli jest inny niż adres siedziby AD;

3) datę powołania;

4) oświadczenie AD o:

  • spełnianiu przez ABI wymogów (pełna zdolność do czynności prawnych oraz korzystanie z pełni praw publicznych; posiadanie odpowiedniej wiedzy w zakresie ochrony danych osobowych; niekaralność za umyślne przestępstwo);
  • podleganiu ABI bezpośrednio kierownikowi jednostki organizacyjnej (AD).

Na żądanie AD lub ABI GIODO wydaje zaświadczenie o zarejestrowaniu ABI.

Zgłaszanie zmian dotyczących ABI odbywa się zgodnie z procedurą zgłoszenia powołania ABI do rejestracji GIODO w terminie 14 dni od dnia zmiany.

Zgłoszenie odwołania ABI

Zgłoszenie odwołania ABI do GIODO (w terminie 30 dni od dnia jego odwołania) powinno zawierać:

1) oznaczenie AD i adres jego siedziby, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej (REGON), jeżeli został mu nadany;

2) dane ABI:

a) imię i nazwisko;

b) numer PESEL lub, gdy ten numer nie został nadany, nazwę i numer dokumentu stwierdzającego tożsamość;

3) datę i przyczynę odwołania.

Wzór zgłoszenia powołania i odwołania ABI określa rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10.12.2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz. U. z 2014 r., poz. 1934

Co kryje się pod pojęciem „przetwarzanie danych”?

Przetwarzanie danych to wszystkie czynności, które „wykonujemy” na danych osobowych: zbieranie ich, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie a także usuwanie. 

Przykładem przetwarzania może być przechowywanie danych osobowych w formie akt osobowych pracowników fundacji/stowarzyszenia albo uzupełnianie tych danych o nowe, pozyskane informacje.
 
Aby organizacja mogła zgodnie z prawem przetwarzać dane osobowe musi posiadać tzw. podstawę przetwarzania danych.Dzięki tej podstawie organizacja będzie mogła dokonywać na danych tych operacji, które są ważne z jej punktu widzenia.
 
„Podstawą przetwarzania danych” jest:
  • zgoda udzielona przez osobę, której dane chcemy przetwarzać – osoba wprost udzieliła nam zgody;
  • jeżeli przetwarzanie jest niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu praw – np. osoba dokonuje darowizny na rzecz organizacji pozarządowej, zgodnie z przepisami prawa, darowizna ta powinna być dokonana w formie przelewu, organizacja posiada więc dane osoby, dane te będą organizacji potrzebne do celów sprawozdawczych np. przed urzędem skarbowym;
  • umowa, do realizacji której konieczne jest przetwarzanie danych (osoba jest stroną tej umowy), np. organizacja podpisuje z osobą umowę zlecenia;
  • jeżeli przetwarzanie jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;
  • jeżeli przetwarzanie jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Co to jest prawo informacji?

Każda osoba ma prawo do kontroli swoich danych osobowych. Prawo to może być egzekwowane poprzez zażądanie udzielania informacji przez administratora danych (np. fundację, stowarzyszenie) o przetwarzaniu danych.

Osoba może żądać odpowiedzi min. na następujące pytania:
  • czy istnieje zbiór, w którym są jej dane;
  • od kiedy dane są przetwarzane;
  • skąd pochodzą te dane;
  • w jaki sposób dane są udostępniane.
Osoby zainteresowane taką informacją mogą złożyć wniosek do administratora danych, który w ciągu 30 dni powinien na niego odpowiedzieć (w formie pisemnej, jeżeli tego sobie zażyczyliśmy).
 
W określonych sytuacjach administrator może nie udzielić informacji, jeżeli np.
  • dane są przetwarzane dla celów naukowych, dydaktycznych, historycznych, statystycznych lub archiwalnych, a udzielenie informacji pociąga to za sobą nakłady niewspółmierne z zamierzonym celem;
  • nastąpiłoby ujawnienie wiadomości stanowiących tajemnicę państwową;
  • spowodowałoby to zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego;
  • spowodowałoby to zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa;
  • istotnie naruszyłoby dobra osobiste innych osób.

Co to jest prawo sprzeciwu?

Możliwość kontroli danych,  może być też wyrażona w formie wniesienia sprzeciwu wobec wykorzystania danych w celach marketingowych lub przekazania ich innemu administratorowi.

Z tego prawa można skorzystać w sytuacji, gdy administrator uzasadnił przetwarzanie danych w następujący sposób: że jest ono niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego lub jest niezbędne do wypełnienia jego prawnie usprawiedliwionych celów, lub osób trzecich, którym dane te przekazuje.
W innych sytuacjach (gdy podstawę przetwarzania danych stanowi zgoda osoba, szczególny przepis prawa lub są one przetwarzane w związku z wykonaniem umowy zawartej z administratorem) to prawo nie przysługuje osobie.

Jeśli osoba wniesie sprzeciw dalsze przetwarzanie danych jest niedopuszczalne (w zbiorze można jednak pozostawić imię i nazwisko osoby oraz numer PESEL lub adres wyłącznie w celu uniknięcia ponownego wykorzystania danych tej osoby).

Co to jest prawo do poprawiania danych?

Każda osoba może zażądać uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy, albo są już zbędne do realizacji celu, dla którego zostały zebrane.

Administrator powinien dokonać zmian bez zbędnej zwłoki a jednocześnie ma obowiązek poinformowania, także bez zbędnej zwłoki, innych administratorów, którym udostępnił zbiór danych, o dokonanym uaktualnieniu lub sprostowaniu danych.

Co to jest powierzenie danych?

Powierzenie danych polega na przekazaniu całości danych, bądź ich części, innemu podmiotowi, który będzie dalej przetwarzał te dane. Jest to praktyka dość często stosowana, także przez organizacje pozarządowe, np. przekazane danych firmie, która prowadzi usługi księgowe lub prawne dla organizacji.

Aby mogło nastąpić takie powierzenie powinna zostać sporządzona i podpisana umowa pomiędzy stronami, która określa cel i zakres przetwarzania danych. Podmiot, któremu dane zostały powierzone nie jest ich administratorem, administratorem jest nadal organizacja. Niemniej spoczywa na nim obowiązek ochrony powierzonych danych.

 

Wyraź opinię 109 8

na skróty / spis treści

Prawo o stowarzyszeniach. Proście posłów o zwołanie komisji!

Źródło: freeimages.com. Aut.: jayanta behera
Są już pierwsze odpowiedzi na apele organizacji w sprawie kontynuacji sejmowych prac nad nowelizacją prawa o stowarzyszeniach. – Piszmy nadal, prosząc o zwołanie komisji – zachęcają organizatorzy akcji.
4