08 gru

Czy instytucje przetwarzające informacje niejawne są „zwolnione z ochrony danych osobowych”?

Spotkałam się z opinią, że podmioty przetwarzające informacje niejawne są zwolnione z obowiązków wynikających z ustawy o ochronie danych osobowych. Jest to oczywiście błędne przeświadczenie, ale warto omówić jego genezę i wyjaśnić dlaczego tak nie jest. Zwłaszcza, że wiele takich podmiotów stosuję tę „zasadę zwolnienia” i nie wypełnia obowiązków wynikających z przepisów prawa.

Miejska legenda wywodzi się z art. 43. 1. ustawy: Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych zawierających informacje niejawne. Z treści cytowanego przepisu wyraźnie wynika, że zwolnienie dotyczy tylko zbiorów danych zawierających informacje niejawne, nie dotyczy pozostałych zbiorów danych, nie oznacza także, że taki administrator danych jest zwolniony z pozostałych obowiązków wynikających z ustawy (stworzenia polityki bezpieczeństwa, instrukcji zarządzania systemami informatycznymi, upoważnienia, zobowiązania do poufności, itd.). Read More

17 sie

Rejestr osób skazanych wykonujących bezpłatne prace społeczne – DYSKUSJA

Po opublikowaniu mojego artykułu odnośnie obowiązku zgłaszania do rejestru GIODO zbioru danych osób skazanych przez sąd na bezpłatne prace społeczno-użytkowe otrzymałam wiadomość od Pani Beaty Lewandowskiej (która jest wykwalifikowanym Administratorem Bezpieczeństwa Informacji oraz Audytorem Wewnętrznym ISO 27007) i nie zgadza się z moim stanowiskiem. Przeprowadziłyśmy dość długą, merytoryczną i interesującą dyskusję, którą postanowiłam Wam częściowo przytoczyć. Myślę, że zainteresuje wszystkich zaangażowanych w zagadnienie bezpieczeństwa informacji.

Beata Lewandowska: Witam, Pani Sylwio przeczytałam artykuł na temat zbioru danych pracowników skazanych i wysłanych na prace społeczne. Pani Sylwio administratorem tych danych jest Sąd i powinna być zawarta umowa powierzenia danych, a wówczas taki zbiór zgłasza do GIODO Sąd, a nie pracodawca. Pracodawca nie zbiera danych tylko je przechowuje po tym jak mu przekazano z Sądu. Taka jest moja interpretacja tej sytuacji. Decyzja GIODO jest z 2008 roku, czyli przed wszelkimi nowelizacjami. Uważam, że nastąpiła nadinterpretacja przepisów. Oczywiście najczęściej jest to zbiór danych doraźny.

Sylwia Czub: Dzień dobry! Chętnie podyskutuję na ten temat. Przede wszystkim, dlaczego uważa Pani, że należy zawrzeć umowę powierzenia, jeżeli przetwarzanie danych odbywa się na podstawie przepisów prawa (przede wszystkim kodeks karny wykonawczy)? Read More

16 lip

Nowy tekst jednolity ustawy o ochronie danych osobowych

Muszę przyznać, że tempo zmian jest porażające. Jeszcze do niedawna posługiwaliśmy się tekstem jednolitym ustawy z 2015 roku, a już mamy ogłoszony nowy tekst jednolity ustawy – Dz.U. 2016 poz. 922. Przepis wszedł w życie 28 czerwca 2016 r.

Oczywiście każda zmiana przepisów zachęca armię firm do proponowania niepotrzebnych usług, które pomogą Waszym podmiotom dostosować się do nowych przepisów. Uspokajam, zmiany nie są przerażające. Nowelizacja ustawy uwzględniła zmiany, wprowadzone przez:

1) ustawę z dnia 22 grudnia 2015 r. o zmianie ustawy o działach administracji rządowej oraz niektórych innych ustaw (Dz. U. poz. 2281),
2) ustawę z dnia 11 lutego 2016 r. o pomocy państwa w wychowywaniu dzieci (Dz. U. poz. 195),
3) ustawę z dnia 18 marca 2016 r. o zmianie ustawy o Rzeczniku Praw Obywatelskich oraz niektórych innych ustaw (Dz. U. poz. 677).

Zmiany wprowadzone przez zmianę ustawy o administracji rządowej oraz niektórych innych ustaw dotyczą zmiany organu odpowiedzialnego za wydanie odpowiednich przepisów wykonawczych oraz wzorów legitymacji inspektorów GIODO. Kompetencje wymienionego wcześniej w ustawie MSWiA przejęło Ministerstwo Administracji i Cyfryzacji.

Zmiany wprowadzone przez ustawę o pomocy państwa w wychowaniu dzieci (tzw. ustawa 500+) omawiałam już szczegółowo w tym artykule. Generalnie dotyczą zasad powierzenia danych osobowych podmiotom działających w interesie publicznym. Negatywne stanowisko GIODO oraz interpretację GIODO w zakresie stosowania tych przepisów przedstawiłam tutaj.

Najnowsze zmiany wynikają z o zmianie ustawy o Rzeczniku Praw Obywatelskich oraz niektórych innych ustaw i dotyczą możliwości pociągnięcia do odpowiedzialności Generalnego Inspektora Ochrony Danych Osobowych.

Pamiętajcie, że aktualny tekst ustawy znajdziecie zawsze w Internetowym Systemie Aktów Prawnych. Jest to też miejsce, gdzie powinniście szukać aktów wykonawczych do ustawy.

 

03 cze

Nowelizacja krajowej ustawy o ochronie danych osobowych

Mamy już obowiązujące ogólne rozporządzenie o ochronie danych osobowych, jednak jeszcze przez dwa lata jest czas na dostosowanie się do nowych przepisów, co oznacza że administrator danych może podjąć decyzję, czy stosuje jeszcze przepisy krajowe, czy już unijne. Od 1 czerwca w krajowej ustawie o ochronie danych osobowych pojawi się kilka zmian dotyczących możliwości pociągnięcia Generalnego Inspektora Ochrony Danych Osobowych do odpowiedzialności.

Tekst z zaznaczonymi zmianami jest dostępny na stronach GIODO.

10 maj

Unijne ogólne rozporządzenie o ochronie danych osobowych

Rozporządzenie zastąpi krajowe przepisy o ochronie danych osobowych i będzie obowiązywać w uchwalonym brzmieniu od 27 kwietnia 2018 roku, czyli administratorzy danych mają 2 lata na dostosowanie się do nowych przepisów. Proszę zwrócić uwagę, że przed właściwą treścią rozporządzenia zostały szczegółowo opisane wytyczne do stosowania.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

16 kwi

Już za dwa lata jednolite przepisy o ochronie danych osobowych w całej Unii!

Doczekaliśmy się – Parlament Europejski uchwalił nowe rozporządzenie o ochronie danych osobowych oraz dyrektywę w sprawie przekazywania danych do celów policyjnych i sądowych. Oznacza to, że od momentu opublikowania Państwa członkowskie UE mają dwa lata, aby w pełni dostosować się do nowych przepisów. Warto podkreślić, że w odróżnieniu od dotychczas obowiązującej dyrektywy 95/46/WE, kraje członkowskie nie będą dokonywać własnej implementacji rozporządzenia, gdyż rozporządzenia unijne przyjmuje się wprost, dokładnie w brzemieniu, w którym zostały ogłoszone. Mówiąc krótko, w całej UE będą jednolite, identyczne przepisy o ochronie danych osobowych. Jest to bardzo duży krok na przód, bo dotychczas były duże rozbieżności w interpretacji przepisów o ochronie danych osobowych wynikających z dyrektywy 95/46/WE, np. były różne definicje zgody lub różny zakres danych uznany za wrażliwy (Polska jest jedynym krajem UE, w którym przynależność związkową uznaje się za dane wrażliwe). Read More

07 kwi

Czy trzeba rejestrować stronę www w GIODO?

Część z Was otrzymała ostatnio wiadomość pod hasłem „BEZPIECZNA WIOSNA DLA KLIENTÓW” od stowarzyszenia „Bądźmy legalni”, z którego wynika, że musicie zarejestrować stronę www w GIODO. Oto fragment:

(…)”pragniemy zauważyć, że Państwa strona www nie jest jeszcze zarejestrowana w GIODO a jest do tego prawnie zobligowana.Każda strona lub sklep posiadająca elementy takie jak: newsletter, formularz kontaktowy, rejestracyjny, logowanie itp bezwzględnie muszą być zarejestrowane w GIODO. (…)

GIODO może nałożyć karę grzywny w postępowaniu administracyjnym dla osób prawnych lub jednostek organizacyjnych jednorazowo w kwocie do 50 tys. zł i może ją nałożyć maksymalnie 4 razy w jednym postępowaniu, co daję nam kwotę 200 tys. zł, w przypadku osób fizycznych jednorazowa kara grzywny może wynieść maksymalnie 10 tys. zł, ale razem nie mogą przekroczyć 50 tys. zł w jednym postępowaniu. Read More

01 kwi

Nowelizacja ustawy o ochronie danych osobowych – jak interpretować zmiany?

W dniu dzisiejszym wchodzą zmiany w ustawie o ochronie danych osobowych w związku ze zmianami wynikającymi z ustawy o pomocy państwa w wychowywaniu dzieci (zwanej też ustawą 500+).

Zmieniony tekst ustawy jest już dostępny na stronach ISAP.

Co się zmieniło?

Dodano ustęp 2a do art. 23 (legalność przetwarzania danych):

Podmioty, o których mowa w art. 3 ust. 1, uważa się za jednego administratora danych, jeżeli przetwarzanie danych służy temu samemu interesowi publicznemu.

Komentarz GIODO:  (…) wprowadzenie w miejsce ugruntowanej w obowiązującym prawie konstrukcji administratora danych koncepcji „jednego administratora” w odniesieniu do podmiotów wskazanych w art. 3 ust. 1 ustawy o ochronie danych osobowych (zgodnie z którą podmioty te łącznie stanowią jednego administratora), spowoduje dla samych administratorów danych trudności w praktycznym stosowaniu przepisu. Powołana wyżej prounijna wykładnia przepisów o ochronie danych osobowych wyklucza bowiem tego rodzaju konstrukcję. Nowy model administrowania danymi przez podmioty publiczne w żadnym wypadku nie może wyłączyć odpowiedzialności któregokolwiek z administratorów, ani zwolnić go z wykonywania ustawowych obowiązków. Każdy administrator danych nadal będzie obowiązany do realizacji nałożonych na niego właściwymi przepisami zadań i żaden inny podmiot nie będzie mógł go w tym zakresie wyręczyć.

Dodano ustęp 2a do art. 31 (powierzenie danych): Read More

26 lut

Obsługa programu 500+ a przepisy o ochronie danych osobowych

Otrzymuję ostatnio sporo pytań o to jak na obowiązki podmiotu wynikające z ustawy o ochronie danych osobowych wpływa realizowanie wypłaty świadczeń w ramach tzw. programu 500+. Na początku może podkreślę, że administratorem danych przetwarzanych w związku z realizacją obowiązków wynikających z ustawy o pomocy państwa w wychowania dzieci jest instytucja, która decyduje o celach i środkach przetwarzania danych, w szczególności będą to gminy i ośrodki pomocy społecznej. Ustawa co prawda określa te instytucje jako „zbiorowego administratora danych”, jeżeli działają w interesie publicznym, jednak należy zauważyć, że Generalny Inspektor Danych Osobowych w swoim stanowisku na temat zapisów ustawy zaznaczył, że nie ma takiego tworu jak „zbiorowy administrator danych” i wprowadzenie go będzie nie tylko niezgodne, z obowiązującymi przepisami prawa unijnego, ale także rozmyłoby odpowiedzialność podmiotu za przetwarzanie danych zgodnie z przepisami prawa (pisałam o tym tutaj). Dodatkowo należy zauważyć, że zgodnie z art. 40 ustawy o ochronie danych osobowych administrator danych ma obowiązek zarejestrowania w GIODO zbioru danych wrażliwych. Przepisy nie przewidują zarejestrowania zbioru dla „zbiorowego administratora danych”, a ustawa 500+ nie określa, który podmiot jest ADO. Do dnia dzisiejszego w ustawie o ochronie danych osobowych nie zostały wprowadzone zmiany wynikające z ustawy o pomocy państwa w wychowania dzieci, a czasu na uruchomienie programu jest coraz mniej. Wobec tego co zalecałabym jednostce, która jest odpowiedzialna za realizowanie tego podmiotu? Read More

28 sty

Unijne rozporządzenie w sprawie ochrony danych osobowych

Ocena zmian w unijnym rozporządzeniu o ochronie danych osobowych, którego obwieszczenie jest planowane na ten rok, dokonana przez Panoptykon. Na dostosowanie się do zmian, będzie czas aż do 2018 roku, ale nie warto zostawiać tego na ostatnią chwilę.

https://panoptykon.org/wiadomosc/europejska-reforma-ochrony-danych-osobowych-prawie-gotowa-czy-zagwarantuje-obywatelom

https://panoptykon.org/wiadomosc/rozporzadzenie-o-ochronie-danych-osobowych-najwazniejsze-zmiany-z-punktu-widzenia