Podstawowe pojęcia w ochronie danych osobowych
Wyjaśnienie znaczenia podstawowych pojęć z zakresu ochrony danych osobowych odnajdujemy w art. 6 i 7 ustawy z dnia 29 sierpnia 1997 o ochronie danych osobowych18.
Na tej podstawie za dane osobowe uznajemy wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Oznacza to, że za dane osobowe będzie uważany taki zestaw informacji, który pozwoli na wskazanie, o jakiej konkretnej osobie jest mowa. Nie istnieje zatem ustalone minimum ilości informacji, poniżej którego informacje te nie są już danymi osobowymi. Należy przyjąć, że każda informacja o osobie fizycznej może w określonych sytuacjach zostać uznana za dane osobowe i tym samym może zostać objęta ustawą.
Należy pamiętać, iż nie są danymi osobowymi informacje o przedsiębiorstwach, organizacjach, partiach politycznych i innych jednostkach organizacyjnych. Sytuacja zmienia się, jeżeli równocześnie z informacjami o przedsiębiorstwie będą przetwarzane informacje o osobach fizycznych, np. członkach jego zarządu czy innych pracownikach.
Zbiór danych to każdy, posiadający strukturę, zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Zbiorem danych będzie na pewno każda kartoteka, skorowidz, rejestr - wszystkie informacje w jakiś sposób ułożone. Nie będzie zbiorem danych np. sterta korespondencji przychodzącej, nie podzielona według żadnego kryterium.
Usuwanie danych to zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą.
Systemem informatycznym nazywamy zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.
Zabezpieczenie danych w systemie informatycznym to wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem
Przetwarzanie danych osobowych oznacza jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te operacje, które wykonuje się w systemach informatycznych. Przetwarzanie danych to nie tylko ich zmienianie. W rozumieniu ustawy przetwarzamy dane osobowe również wtedy, gdy nie zmieniamy ich postaci i nie używamy ich (np. przechowujemy je w kartotece, do której nikt nie zagląda).
Administrator danych to każdy organ, instytucja, jednostka organizacyjna lub osoba, decydujące o celach i środkach przetwarzania danych osobowych. W przypadku osoby prawnej (fundacja, stowarzyszenie) lub jednostki organizacyjnej w kwestiach związanych z ochroną danych osobowych będzie ją reprezentował zarząd lub inny organ powołany do reprezentowania. Jeżeli zbiór danych jest prowadzony przez organizację, to administratorem danych jest ta organizacja, a nie jej pracownik czy wolontariusz. Nie będzie administratorem danych podmiot, który przetwarza dane osobowe dla innego podmiotu, np. na zasadzie umowy zlecenia czy umowy o dzieło (art. 31 ustawy przewiduje taką możliwość i wymienia warunki powierzenia przetwarzania danych).
Odbiorcą danych jest każda osoba, której udostępnia się dane osobowe z wyjątkiem:
- osoby, której dotyczą,
- osoby je przetwarzającej,
- organów państwowych lud samorządu terytorialnego otrzymujących dane w związku z prowadzonym przez nie postępowaniem,
- przedstawiciela administratora z państwa trzeciego,
- osoby, z którą administrator powierzył przetwarzanie danych na podstawie pisemnej umowy.
Zgoda osoby, której dotyczą dane to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Nie będzie zatem wystarczające np. poinformowanie osoby, że jakaś czynność z jej strony będzie uważana za zgodę na przetwarzanie jej danych osobowych. Zgoda musi mieć formę odrębnego oświadczenia - ze względów dowodowych najlepiej byłoby, gdyby była wyrażona na piśmie. Z jej treści musi wynikać w jakim celu (np. dla potrzeb marketingowych) oraz jakie kategorie danych (imię, nazwisko, adres, telefon) objęte zostały zgodą na przetwarzanie. Jeśli zgoda nie spełnia tych wymogów nie można jej wtedy uznać za prawidłowo złożoną, a tym samym Administrator nie ma prawa realizować przetwarzania danych objętych taką wadliwą zgodą.
Art. 2 ust. 2 ustawy o ochronie danych osobowych stanowi, że ustawę tę stosuje się do przetwarzania danych osobowych w systemach informatycznych oraz w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych. Będą zatem podlegały jej wszystkie dane osobowe (w rozumieniu art.6 ust.1 ustawy), na których dokonywane są jakiekolwiek operacje (takie jak zbieranie, przechowywanie, utrwalanie), niezależnie od tego czy ostatecznie znalazły się w zbiorze danych.
Ustawa nie ma zastosowania do osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych (art. 3 ust. 4 ustawy). Nie podlegają jej zatem prywatne notatniki, bazy danych itp. Przepisów ustawy nie stosuje się też do podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim (tj. nie należące do Europejskiego Obszaru Gospodarczego), wykorzystujących środki techniczne znajdujące się na terytorium RP wyłącznie do przekazywania danych oraz do prasowej działalności dziennikarskiej.
Art. 2 ust. 3 ustawy stanowi, że w odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5 ustawy (tzn. obowiązek zabezpieczenia zbioru danych).
komentarze
Copyright © 2008-2010 EPrace oraz autorzy prac.