UWAGA!

Od 25 maja 2018 r. organem właściwym w zakresie ochrony danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych. Nowa strona internetowa urzędu jest dostępna pod adresem: www.uodo.gov.pl.

Materiały zamieszczone na stronie Generalnego Inspektora Ochrony Danych Osobowych (GIODO) dostępnej pod adresem www.giodo.gov.pl mają charakter archiwalny.

POZOSTAŃ NA STRONIE ARCHIWALNEJ (GIODO)

Jakie warunki musi spełnić administrator danych, aby przetwarzać dane osobowe zgodnie z ustawą o ochronie danych osobowych?

Metadane
Podmiot udostępniający: Zespół Rzecznika Prasowego Biura GIODO
Wytworzył informację: Małgorzata Kałużyńska-Jasak 2009-11-20
Wprowadził‚ informację: Rafał Kreusch 2009-11-24 11:04:15
Ostatnio modyfikował: Rafał Kreusch 2013-11-28 12:56:59

Administrator danych, aby przetwarzać dane osobowe zgodnie z przepisami ustawy o ochronie danych osobowych, musi spełnić jeden z warunków decydujący o tym, że takie działanie jest legalne. Ponadto musi dopełnić obowiązku zgłoszenia zbioru do rejestracji w prowadzonym przez GIODO ogólnokrajowym, jawnym rejestrze zbiorów danych osobowych i obowiązku informacyjnego, a ponadto we właściwy sposób zabezpieczać zgromadzone dane, dbać o interesy osób, których dane dotyczą i respektować ich prawa gwarantowane ustawą o ochronie danych osobowych.

Uzasadnienie

W myśl art. 7 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, przetwarzanie danych osobowych to wykonywanie jakichkolwiek operacji na danych osobowych, takich jak np. zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w sytemach informatycznych.

Każda czynność związana z przetwarzaniem danych osobowych powinna odbywać się z poszanowaniem zasad wynikających z powszechnie obowiązujących przepisów prawa dotyczących przetwarzania danych osobowych, w tym z przepisów ustawy o ochronie danych osobowych i wydanych na jej podstawie aktów wykonawczych.

Z punktu widzenia przepisów o ochronie danych osobowych istotne jest przede wszystkim to, aby administrator danych osobowych, czyli podmiot decydujący o celach i środkach przetwarzania danych osobowych, przetwarzając dane:

  • spełniał przynajmniej jeden warunek uprawniający go do wykonywania operacji na danych osobowych - w odniesieniu do danych zwykłych, jak np. imię, nazwisko czy adres zamieszkania określono je w art. 23 ust 1 pkt 1-5 ustawy o ochronie danych osobowych, zaś w odniesieniu do danych szczególnie chronionych, takich jak np. dane o stanie zdrowia czy poglądach politycznych – w art. 27 ust. 2 pkt 1-10 ustawy. Spełnienie jednego z tych warunków stanowi o zgodnym z prawem przetwarzaniu danych osobowych, gdyż przesłanki te są równoprawne, a jednocześnie autonomiczne,
  • dopełnił – ustanowionego w art. 40 ustawy o ochronie danych osobowych - obowiązku zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO) - zgłoszenie zbioru danych do rejestracji jest regułą, od której wyjątki wymienione zostały w art. 43 ust. 1 pkt. 1-11 ustawy o ochronie danych osobowych. Katalog tych wyjątków jest zamknięty i nie może być interpretowany rozszerzająco. Oceny tego, czy zbiór należy zgłosić do rejestracji, administrator danych dokonuje sam, przy czym zwolnienie zbioru danych z rejestracji jest możliwe tylko wówczas, gdy przesłanka uprawniająca do odstąpienia od rejestracji dotyczy wszystkich danych zawartych w zbiorze,
  • stosował odpowiednie zabezpieczenia, o których stanowią przepisy rozdziału 5 ustawy o ochronie danych osobowych oraz rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych – administrator jest bowiem zobowiązany zastosować środki techniczne i organizacyjne zapewniające przetwarzanym danym odpowiednią ochronę, a przede wszystkim zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zebraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz utratą, uszkodzeniem lub zniszczeniem (art. 36 ust. 1 ustawy o ochronie danych osobowych),
  • dopełnił obowiązku informacyjnego ustanowionego w art. 24 ust. 1 oraz art. 25 ust. 1 ustawy o ochronie danych osobowych, chyba że administrator danych jest z niego zwolniony – w przypadku zbierania danych bezpośrednio od osoby, której dotyczą (art. 24) administrator musi poinformować ją o swojej nazwie i adresie, celu zbierania, odbiorcach danych (także tych przewidywanych), prawie dostępu do danych i prawie ich poprawiania, a także o dobrowolności albo obowiązku ich podania (a gdy obowiązek ten istnieje – o jego podstawie prawnej). W przypadku zbierania danych nie od osoby, której one dotyczą (art. 25),administrator – zaraz po utrwaleniu danych – musi poinformować osobę, której one dotyczą, o swojej nazwie i adresie, celu i zakresie zbierania danych, a zwłaszcza o ich odbiorcach, źródle, z którego dane pozyskał, prawie dostępu do danych i prawie ich poprawiania, a także o prawie żądania zaprzestania przetwarzania danych lub wniesienia sprzeciwu wobec przetwarzania danych,
  • dokładał szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, poprzez zapewnienie, aby dane były przetwarzane zgodnie z prawem, zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania (o czym stanowi art. 26 ust. 1 pkt. 1 – 4 ustawy o ochronie danych osobowych),
  • respektował prawa osób, których dane dotyczą – prawa te wymienione są w rozdziale 4 ustawy o ochronie danych osobowych i dotyczą kontroli procesu przetwarzania danych.

Naruszenie przepisów o ochronie danych osobowych może narazić administratora danych na odpowiedzialność administracyjną przez GIODO, jak i karną, stosownie do przepisów karnych ustawy o ochronie danych osobowych (art. 49 – art. 54a). 

Ostatnie aktualności