Zobacz prezentacja na temat ochrony danych osobowych. Więcej informacji znajdziesz na www.cognity.pl

1. Ochrona Danych Osobowych
w Działach HR i Kadr
Maciej Kawecki
- ekspert Cognity w z zakresu ochrony danych osobowych i prawa e-commerce

2. Geneza i podstawy prawne ochrony
danych osobowych
Kurs Ochrona
Danych Osobowych

3. Geneza
• Cel ochrony danych osobowych:
- Instrument niezbędny dla poszanowania podstawowych,
uznanych powszechnie praw i wolności, zwłaszcza prawa do
prywatności (art. 47 i 51 Konstytucji RP);
- Instrument ochrony interesów użytkowników najnowszej
technologii informatycznej i Internetu, w tym różnych instytucji
publicznych. Zapewnienie niezbędnego do ich działań zaufania
i bezpieczeństwa.
(Zob. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Warszawa
Kraków 2004, s. 52. )
Kurs Ochrona
Danych Osobowych

4. Źródła prawa
• Prawo unijne
- Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24
października 1995r. w sprawie ochrony osób fizycznych w zakresie
przetwarzania danych osobowych i swobodnego przepływu tych
danych.
- Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca
2002 r. w sprawie przetwarzania danych osobowych oraz ochrony
prywatności w sektorze komunikacji elektronicznej.
- Rozporządzenie Nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18
grudnia 2000r. o ochronie osób fizycznych w związku
z przetwarzaniem danych osobowych przez instytucje i organy
wspólnotowe i o swobodnym przepływie takich danych.
Kurs Ochrona
Danych Osobowych

5. Źródła prawa
• Projekt nowego rozporządzenia unijnego
Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w
związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych.
Z preambuły projektu
Przemiany wymagają stworzenia stabilnych i bardziej spójnych ram ochrony danych
w Unii (…).
Cele i zasady dyrektywy 45/96/WE nie zmieniły się, co jednak nie zapobiegło rozdrobnieniu wdrażania przepisów
dotyczących ochrony danych w Unii, ugruntowaniu niepewności prawnej oraz upowszechnieniu istniejącego w
społeczeństwie poglądu, zgodnie z którym z ochroną osób fizycznych wiążą się istotne zagrożenia, dotyczące w
szczególności działalności w Internecie.
W celu zapewnienia spójnego poziomu ochrony osób fizycznych w całej Unii oraz zapobiegania różnicom, które
hamowałyby swobodny przepływ danych w ramach rynku wewnętrznego, należy przyjąć rozporządzenie, które
zagwarantuje przedsiębiorcom (…) pewność prawną i przejrzystość
i które zapewni ten sam poziom prawnie egzekwowalnych uprawnień i obowiązków administratorów i podmiotów
przetwarzających osobom fizycznym we wszystkich państwach członkowskich.
Kurs Ochrona
Danych Osobowych

6. Źródła prawa
Projekt nowego rozporządzenia unijnego
Zakres przedmiotowy rozporządzenia
Przetwarzanie danych dokonywane częściowo lub całkowicie w
sposób zautomatyzowany.
Rozporządzenie nie będzie znajdowało zastosowania przede
wszystkim do danych przetwarzanych w sektorze bezpieczeństwa
narodowego oraz polityki bezpieczeństwa.
Rozporządzenie nie znajdzie zastosowania do działań osób
fizycznych prowadzonych w niezarobkowych celach osobistych i
domowych.
Kurs Ochrona
Danych Osobowych

7. Źródła prawa
Projekt nowego rozporządzenia unijnego
Zakres terytorialny
Rozporządzenie zapewnia pełną harmonizację przepisów dotyczących
ochrony danych osobowych we wszystkich państwach członkowskich,
jednocześnie wyłączając możliwość stosowania sprzecznych
z prawem unijnym norm krajowych.
Rozwiązanie „one stop shop” mające na celu podkreślenie roli siedziby
administratora przetwarzającego dane osobowe.
Objęcie zakresem rozporządzenia administratorów danych spoza UE,
wówczas gdy operacje przetwarzania danych obejmują oferowanie dóbr
lub usług albo kontaktowanie się z osobami
zamieszkującymi w UE.
Kurs Ochrona
Danych Osobowych

8. Źródła prawa
Projekt nowego rozporządzenia unijnego
Nowe szczególne instytucje
Prawo do bycia zapomnianym – poszerzenie obowiązków związanych
z usunięciem danych na żądanie podmiotu danych, oraz poinformowania o
tym fakcie innych podmiotów, którym dane zostały przez niego
udostępnione.
Szczególne regulacje dotyczące tzw. profilowania.
Rozporządzenie znosi generalny obowiązek rejestracji zbiorów danych
osobowych u GIODO.
Wprowadzenie ram prawnych współpracy pomiędzy organami ochrony
danych osobowych w państwach członkowskich UE
Zob. W. Wiewiórowski, Nowe ramy ochrony danych osobowych w UE,[w:] Dodatek do
MoP 7/2012, s. 2-9.
Kurs Ochrona
Danych Osobowych

9. Źródła prawa
Prawo krajowe
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
Akty wykonawcze
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji
z dnia 11 grudnia 2008r. w sprawie wzoru zgłoszenia
zbioru do rejestracji GIODO.
Rozporządzenie Prezydenta Rzeczypospolitej Polskiej z dnia 10 października
2011 r. w sprawie nadania statutu Biura GIODO.
Rozporządzenie ministra spraw wewnętrznych i administracji z dnia 29
kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych
oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać
urządzenia i systemy informatyczne służące do przetwarzania danych
osobowych.
Kurs Ochrona
Danych Osobowych

10. Podstawowe pojęcia
Podstawowe pojęcia
Kurs Ochrona
Danych Osobowych

11. Podstawowe pojęcia- administrator
Administrator danych osobowych
Kurs Ochrona
Danych Osobowych

12. Podstawowe pojęcia- administrator
Art. 3 oraz art. 7 ust. 4 ustawy z 29 sierpnia 1997r. o ochronie
danych osobowych.
Administratorem danych osobowych jest każdy:
- organ, jednostka organizacyjna lub podmiot,
- organ państwowy, organ samorządu terytorialnego, podmiot
niepubliczny realizujący zadania publiczne,
- państwowe i komunalne jednostki organizacyjne,
decydujący o celach i środkach przetwarzania danych
osobowych (w dyrektywie „with determines the purposes and
means of the processing of personal data”),
które mają siedzibę albo miejsce zamieszkania na terytorium
Rzeczypospolitej Polskiej.
Kurs Ochrona
Danych Osobowych

13. Podstawowe pojęcia- administrator- sektor
publiczny
Art. 7 Konstytucji RP „Organy władzy publicznej działają na
podstawie i w granicach prawa”.
„W państwie demokratycznym, w którym rządzi prawo, organy władzy publicznej mogą
powstać tylko na podstawie prawa, a normy prawne muszą określać ich kompetencje, zadania
i tryb postępowania, wyznaczając tym samym granice ich aktywności. Organy te mogą działać
tylko w tych granicach” W. Skrzydło, Komentarz do Konstytucji RP, Lex 2013, nr 144753.
„Ustawowego upoważnienia dla rady nie można domniemywać, szczególnie stosować dla
ustalenia zakresu upoważnienia wykładni celowościowej. Organy władzy publicznej, do
których zalicza się organy samorządu terytorialnego, zgodnie z art. 7 Konstytucji RP działają
na podstawie i w granicach prawa. Mogą działać w granicach wyznaczonych przez normy
prawne określające ich kompetencje, zadania i tryb postępowania, zatem tylko tam i o tyle o
ile upoważnia prawo” Uchwała Regionalnej Izby Obrachunkowej w Kielcach z dnia 15 maja
2013 r. 71/13.
„Każda norma kompetencyjna musi być tak realizowana, aby nie naruszała innych przepisów
ustawy. Zakres upoważnienia musi być zawsze ustalany przez pryzmat zasad
demokratycznego państwa prawnego, działania w graniach i na podstawie prawa oraz innych
przepisów regulujących dana dziedzinę” Rozstrzygnięcie nadzorcze Wojewody Lubelskiego z
dnia 8 grudnia 2010 r. NK.II.0911/361/10
Kurs Ochrona
Danych Osobowych

14. Podstawowe pojęcia- administrator- sektor
publiczny
Organy administracji publicznej są zobowiązane do przetwarzania danych
osobowych dla realizacji określonych ustawowo celów. Zazwyczaj także
środki, jakie służyć mają przetwarzaniu danych osobowych, wskazane są w
przepisach ustawowych lub w wydanych na ich podstawie przepisach
aktów wykonawczych. Stąd też możność decydowania przez podmioty
publiczne o celach i środkach przetwarzania danych osobowych jest
stosunkowo niewielka
(R. Hausner, Przetwarzanie danych osobowych: cel i środki, Rzeczpospolita
z 6 kwietnia 1999r. ).
Mimo, że cel przetwarzania danych osobowych przez organy administracji
publicznej będzie wyznaczony przepisami prawa, a więc wolą legislatora, a
organ, decydując o celu przetwarzania danych, będzie jedynie
konkretyzował jego zakres, to organ jest w takim przypadku
administratorem danych osobowych (nigdy Państwo).
Kurs Ochrona
Danych Osobowych

15. Podstawowe pojęcia- administrator- sektor
prywatny
Administratorem danych osobowych wykorzystywanych w zakresie
działalności prowadzonej przez przedsiębiorcę jest, co do zasady,
przedsiębiorca. Administratorem takich danych jest w szczególności
spółka z ograniczoną odpowiedzialnością, spółka akcyjna, spółka jawna
czy też spółka komandytowa. Tak więc administratorem danych jest
sama spółka prawa handlowego, nie zaś jej organy, osoby zasiadające
w organach tej spółki lub pełniące w niej funkcje kierownicze.
W przypadku osoby prowadzącej działalność gospodarczą pozostaje
ona administratorem danych niezależnie od tego, czy wyznaczy
pracownika odpowiedzialnego za przetwarzanie danych osobowych
(tzw. administratora bezpieczeństwa informacji).
(źródło: http://www.giodo.gov.pl/317/id_art/1580/j/pl/)
Kurs Ochrona
Danych Osobowych

16. Podstawowe pojęcia- administrator
Administrator danych osobowych pracowników
Administratorem danych osobowych pracowników nie jest
bezpośredni przełożony (np. Prezes Zarządu, Dyrektor
Departamentu) ale podmiot decydujący o celach i środkach
przetwarzania danych osobowych, a więc najczęściej:
 Spółka;
 Organ administracji publicznej.
Kurs Ochrona
Danych Osobowych

17. Podstawowe pojęcia- administrator
Podstawy uprawniające przedsiębiorców do przetwarzania
danych
Przedsiębiorcy jako podmioty sektora prywatnego mogą
legitymować się każą przesłanką przetwarzania danych osobowych
określoną w art. 23 u.o.d.o.
Wyjątek: Dane osobowe pracowników przedsiębiorcy (umowa o pracę) –
mogą być przetwarzane wyłącznie na podstawie przepisu prawnego art.
22.1 Kodeksu pracy.
Kurs Ochrona
Danych Osobowych

18. Podstawowe pojęcia- zakres ustawy
Zakres zastosowania ustawy o
ochronie danych osobowych
Kurs Ochrona
Danych Osobowych

19. Podstawowe pojęcia- zakres ustawy
Ustawę stosuje się do przetwarzania danych osobowych oraz praw
osób fizycznych, których dane osobowe są lub mogą być
przetwarzane w zbiorach danych, a w przypadku przetwarzania
danych w systemach informatycznych, także w przypadku
przetwarzania danych poza zbiorem.
Zbiorem danych jest każdy posiadający strukturę zestaw danych
o charakterze osobowym, dostępnych według określonych
kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub
podzielony funkcjonalnie.
Przetwarzanie danych osobowych w systemach informatycznych
nie oznacza wyłącznie przetwarzania danych z wykorzystaniem
systemów połączonych do sieci Internet!
Kurs Ochrona
Danych Osobowych

20. Podstawowe pojęcia- zakres ustawy
Zbiór danych osobowych
 W doktrynie przyjmuje się, że zbiór danych osobowych musi
składać się co najmniej z dwóch informacji.
 Zbiór musi posiadać strukturę, pozwalającą na odnalezienie w
nim określonej informacji, bez konieczności przeszukiwania
całego zbioru, na podstawie co najmniej jednego kryterium.
Zbiór nie musi mieć jednak charakteru uporządkowanego.
(przeciwnie w kontekście co najmniej „dwóch kryteriów”
wypowiada się m.in. WSA w Warszawie z dnia 13 marca 2008 r. II
SA/Wa 143/08).
 Opowiedzieć należy się za stanowiskiem, odmawiającym
doniosłości prawnej charakterowi kryterium uporządkowania akt,
tj. czy ma ono charakter osobowy czy nieosobowy (M. Sakowska,
Pojęcie „zbiór danych” na gruncie ustawy o ochronie danych osobowych,
Radca prawny 2005, nr 2, s. 62. )
Kurs Ochrona
Danych Osobowych

21. Podstawowe pojęcia- zakres ustawy
Zbiory danych osobowych kadrowych
Dane zgromadzone w pisemnych aktach osobowych
pracowników oraz w systemach informatycznych (np. System
Płatnik) stanowią jeden zbiór danych osobowych
pracowników.
Podstawowym kryterium wyodrębniania zbiorów danych
osobowych jest cel przetwarzania danych osobowych.
Kurs Ochrona
Danych Osobowych

22. Podstawowe pojęcia-zakres ustawy
Przykłady zbiorów danych
„Zbiór danych osobowych pracowników i współpracowników”
„Zbiór danych osobowych kandydatów do pracy”
„Zbiór akt postępowania administracyjnego zawierający dane
stron, ich adresy i inne informacje spełnia wszystkie kryteria i jest
zbiorem danych osobowych” (P. Barta, P. Litwiński, Ustawa o ochronie
danych osobowych. Komentarz, Warszawa 2013, s. 87).
„Zestaw chronologicznie uporządkowanych taśm zawierających
nagranie pochodzące z monitoringu pomieszczeń kasyna stanowi
zbiór danych osobowych” (Sprawozdanie GIODO za rok 2003, s. 175.).
Kurs Ochrona
Danych Osobowych

23. Podstawowe pojęcia- zakres ustawy
Ustawę o ochronie danych osobowych, będzie stosowało się do
przetwarzania danych osobowych przez organy administracji
publicznej w ograniczonym zakresie, gdy:
a) zbiory danych osobowych sporządzane są doraźnie;
b) wyłącznie ze względów technicznych lub szkoleniowych;
c) dane po ich wykorzystaniu są niezwłocznie usuwane albo
poddane anonimizacji.
W takim przypadku organ zobowiązany jest przestrzegać wyłącznie
przepisów wskazanych w rozdziale V ustawy, regulującym zasady
zabezpieczenia danych.
Wskazane powyżej przesłanki muszą zostać spełnione łącznie!!
Kurs Ochrona
Danych Osobowych

24. Podstawowe pojęcia- zakres ustawy
Przykłady „doraźnego” przetwarzania danych
Przetwarzanie danych na potrzeby wysyłania korespondencji
przypominającej, które to dane podlegają usunięciu niezwłocznie
po ukończeniu czynności wysyłki.
Przetwarzanie danych na potrzeby organizacji konkursu, które to
dane podlegają usunięciu niezwłocznie po wyłonieniu zwycięzców
konkursu. (Sprawozdanie GIODO z 1999r., s. 18.)
Przetwarzanie danych na potrzeby przeprowadzenia ankiet, pod
warunkiem, że ankiety są anonimowe bądź anonimizowane, a
dane są przetwarzane wyłącznie dla celów technicznej organizacji
czynności wypełniania ankiet (np. rozlokowania respondentów w
salach).
Kurs Ochrona
Danych Osobowych

25. Podstawowe pojęcia- dane osobowe
Dane osobowe
Kurs Ochrona
Danych Osobowych

26. Podstawowe pojęcia- dane osobowe
Za dane osobowe uważa się wszelkie informacje dotyczące
zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
Osobą możliwą do zidentyfikowania jest osoba, której tożsamość
można określić bezpośrednio lub pośrednio, w szczególności przez
powołanie się na numer identyfikacyjny albo jeden lub kilka
specyficznych czynników określających jej cechy fizyczne,
fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
Informacji nie uważa się za umożliwiającą określenie tożsamości
osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub
działań.
Kurs Ochrona
Danych Osobowych

27. Podstawowe pojęcia- dane osobowe
Danymi osobowymi są wszelkie informacje, które
co najmniej dają możliwość zidentyfikowania
osoby, której dane osobowe dotyczą. W
zależności od okoliczności faktycznych, za dane
osobowe będzie mógł być uznany nawet rozmiar
stopy określonej osoby fizycznej.
Kurs Ochrona
Danych Osobowych

28. Podstawowe pojęcia- dane osobowe
Przykłady z orzecznictwa sądów oraz rozstrzygnięć GIODO
„Gdy zdjęcie jest umieszczone wraz z imieniem, nazwiskiem osoby na nim
występującej, w miejscu dostępnym dla nieograniczonej liczby podmiotów,
należy uznać, iż stanowi ono dane osobowe podlegające ochronie na
podstawie Ustawy o ochronie danych osobowych” (wyrok NSA z 18 listopada
2009r., I OSK 667/09).
„Tam gdzie adres IP jest na dłuższy okres czasu lub na stałe przypisany do
konkretnego urządzenia, a urządzenie to przypisane jest konkretnemu
użytkownikowi, należy uznać, że stanowi on daną osobową, jest to bowiem
informacja umożliwiająca identyfikację konkretnej osoby fizycznej. (wyrok NSA z
dnia 19 maja 2011r., I OSK 1079/10).
„Przetworzone do postaci cyfrowej informacje o charakterystycznych punktach
linii papilarnych palców pracowników są ich danymi osobowymi” (wyrok WSA w
Warszawie z dnia 27 listopada 2008r., II SA/WA 903/08).
„Adres danej osoby jako sfera prywatności człowieka należy do danych
osobowych” (Wyrok SA w Poznaniu z dnia 13 listopada 2013r., I ACa 1140/01).
Kurs Ochrona
Danych Osobowych

29. Podstawowe pojęcia- dane osobowe
Dane osobowe kadrowe
Wszelkie informacje będące danymi osobowymi
przetwarzane w związku w prowadzoną przez administratora
danych osobowych polityka zatrudnienia (pracownicy oraz
współpracownicy – umowa zlecenie, umowa o dzieło, osoby
samozatrudnione).
Kurs Ochrona
Danych Osobowych

30. Podstawowe pojęcia- przetwarzanie danych
Przetwarzanie danych osobowych
Kurs Ochrona
Danych Osobowych

31. Podstawowe pojęcia- przetwarzanie danych
Przez przetwarzanie danych osobowych należy rozumieć
jakiekolwiek operacje wykonywane na danych osobowych,
takie jak zbieranie, utrwalanie, przechowywanie,
opracowywanie, zmienianie, udostępnianie i usuwanie,
a zwłaszcza te, które wykonuje się w systemach
informatycznych.
Sam fakt posiadania dostępu do danych osobowych
zgromadzonych w szeroko rozumianych aktach
pracowniczych jest już ich przetwarzaniem, niezależnie od
tego, czy dany podmiot faktycznie z możliwości takiego
dostępu skorzysta (np. dostawca usług hostingowych).
Kurs Ochrona
Danych Osobowych

32. Podstawowe pojęcia- powierzenie i udostępnienie
Outsourcing usług kadrowo
płacowych
Kurs Ochrona
Danych Osobowych

33. Outsourcing
Powierzenie danych osobowych kadrowych.
Administrator danych może powierzyć innemu podmiotowi,
w drodze umowy zawartej na piśmie, przetwarzanie danych,
w celu i zakresie wyraźnie wskazanym w umowie tj.
outsourcingu usług kadrowo-płacowych.
Administrator powierzający dane osobowe, nie musi
uzyskiwać zgody pracowników/współpracowników na
powierzenie danych innemu podmiotowi (tzw. procesor).
Kurs Ochrona
Danych Osobowych

34. Outsourcing
Powierzenie danych osobowych kadrowych
Brak jest jakiegokolwiek wymogu odbierania zgód od osób
których dane będą powierzone, na powierzenie ich danych
osobowych innemu podmiotowi.
Przetwarzanie danych przez podwykonawcę pozostaje
w granicach celu i zakresu przetwarzania danych określonych w
umowie powierzenia, a więc również celu
i zakresu w jakim dane przetwarza administrator danych.
Podmiot któremu dane zostały powierzone może być adresatem
decyzji administracyjnych wydawanych w drodze kontroli
sprawowanej przez GIODO (podobnie jak administrator),
zobowiązany jest więc do odpowiedniego zabezpieczenia
danych. Ponosi też odpowiedzialność umowną względem
administratora danych.
Kurs Ochrona
Danych Osobowych

35. Outsourcing
Obligatoryjne elementy umowy
 Forma pisemna.  Oznaczenie stron (administrator i procesor) i podpis osób
upoważnionych.  Cel i zakres powierzonych danych.
Fakultatywne elementy umowy (ale wskazane)
 Zobowiązanie procesora do zapewnienia odpowiedniego
poziomu zabezpieczenia danych osobowych.  Wskazanie czy procesor jest upoważniony bądź nie do dalszego
powierzania danych osobowych (tzw. subprocessing).  Wskazanie dokładnych czynności podejmowanych przez
procesora na danych osobowych.  Klauzula poufności.  Forma przekazania danych procesorowi.  Inne treści umowne.
Kurs Ochrona
Danych Osobowych

36. Udostępnianie danych pracowników
bankom
Kurs Ochrona
Danych Osobowych

37. Badanie zdolności kredytowej pracowników.
Przewodniczący Komisji Nadzoru Bankowego „w przypadku, kiedy problem dotyczy
potwierdzania danych osobowych przez banki u pracodawców ich kredytobiorców,
odpowiedzialność spoczywa na pracodawcach jako administratorach danych
osobowych, a nie na bankach” (pismo z dnia 1 października 2004 r. sygn. NB-BPN-I-
077-15/05).
Pismo Prezesa Narodowego Banku Polskiego do Generalnego Inspektora Nadzoru
Bankowego z dnia 6 kwietnia 2001 r. (NB/BPN/I/214/01) skierowane do osób
kierujących bankami „przepisy ustawy - Prawo bankowe i ustawy o ochronie danych
osobowych nie przewidują telefonicznej formy pozyskiwania żądanych informacji.
Banki nie mogą więc uzależniać przyznania kredytu od udzielenia informacji w tej
formie”.
W związku z taką praktyką niezbędne jest – w ocenie Generalnego Inspektora
Ochrony Danych Osobowych – przyjęcie takiego rozwiązania (formy potwierdzania
danych), które całkowicie wyeliminuje możliwość udostępnienia tych danych
osobie innej.
Źródło:http://www.giodo.gov.pl/332/id_art/2876/j/pl/. iż pracownik określonej
instytucji, a więc osobie nieupoważnionej.
Kurs Ochrona
Danych Osobowych

38. Podstawowe pojęcia- dane osobowe wrażliwe
Dane osobowe wrażliwe
(tzw. dane sensytywne)
Kurs Ochrona
Danych Osobowych

39. Podstawowe pojęcia- dane osobowe wrażliwe
Dane osobowe zwykłe Dane osobowe wrażliwe
Wszystkie kategorie danych, nie będących
danymi wrażliwymi, które identyfikują bądź
umożliwiają identyfikację osoby fizycznej
(pośrednio lub bezpośrednio).
W świetle art. 27 u.o.d.o. dane ujawniające
pochodzenie rasowe lub etniczne, poglądy
polityczne, przekonania religijne lub filozoficzne,
przynależność wyznaniową, partyjną lub związkową,
jak również danych o stanie zdrowia, kodzie
genetycznym, nałogach lub życiu seksualnym
oraz danych dotyczących skazań, orzeczeń o
ukaraniu i mandatów karnych, a także innych
orzeczeń wydanych w postępowaniu sądowym lub
administracyjnym.
Kurs Ochrona
Danych Osobowych

40. Podstawowe pojęcia- dane osobowe wrażliwe
Przykładowe dane osobowe wrażliwe gromadzone
przez pracodawców
 Wizerunek – jako dane ujawniające pochodzenie rasowe.
 Zaświadczenie o niekaralności z KRK – jako dane dotyczące
skazań.
 Oświadczenia o niekaralności sporządzone przez
pracowników – jako dane dotyczące skazań.
 Zwolnienia lekarskie – informacje o stanie zdrowia.
Kurs Ochrona
Danych Osobowych

41. Podstawowe pojęcia- dane osobowe wrażliwe
Prawne różnice w przetwarzaniu danych osobowych
zwykłych i wrażliwych
Wymóg prawny Dane zwykłe Dane wrażliwe
Podstawa prawna przetwarzania danych Art.. 23 u.o.d.o. Art. 27 u.o.d.o tj. pisemna zgoda, przepis prawa, ochrona żywotnych interesów,
statutowe zadania kościołów i związków wyznaniowych, dochodzenie praw przed sądem,
zadania administratora wykonywane wobec pracowników na podstawie ustawy, ochrona
stanu zdrowia, dane zostały podane do wiadomości publicznej przez podmiot danych,
realizacja badań naukowych, realizacja praw wynikających z orzeczeń.
Rejestracja zbioru danych osobowych w
serwisie e-GIODO
Od 1 stycznia 2015 r. wyznaczenie ABI-ego
skutkuje zwolnieniem z obowiązku
rejestracji.
Niezależnie od wyznaczenia ABI-ego, istnieje prawny obowiązek rejestracji zbiorów
danych osobowych wrażliwych.
Dokonywanie zmian w zbiorze danych Poinformowanie GIODO po dokonanej
zmianie
W razie poszerzenia danych w zbiorze o dane wrażliwe, wymóg zgłoszenia GIODO tego
faktu przed dokonaniem zmiany w zbiorze.
Rejestracja zbioru danych osobowych Rozpocząć przetwarzanie danych po
zgłoszeniu.
Administrator może rozpocząć przetwarzanie danych w zbiorze dopiero po
zarejestrowaniu zbioru danych osobowych.
Kurs Ochrona
Danych Osobowych

42. Podstawowe pojęcia- dane osobowe wrażliwe
Prawne różnice w przetwarzaniu danych osobowych
zwykłych i wrażliwych
Dostosowanie odpowiedniego
poziomu zabezpieczeń danych
osobowych
Brak szczególnych wymogów Podwyższony poziom bezpieczeństwa przetwarzania danych
osobowych w systemie informatycznym
Kurs Ochrona
Danych Osobowych

43. Podstawowe pojęcia- GIODO
Generalny Inspektor Ochrony
Danych Osobowych
Kurs Ochrona
Danych Osobowych

44. Podstawowe pojęcia- GIODO
Pozycja ustrojowa
 GIODO jest centralnym organem administracji państwowej,
usytuowanym poza administracją rządową i niezależnym od niej.
 GIODO wykonuje swoje zadania przy pomocy biura. Należy
zaznaczyć, że ani statut ani u.o.d.o. w sposób dokładny nie regulują
zasad funkcjonowania biura GIODO. Sytuacje zmieniła dopiero
ustawa z dnia 18 grudnia 1998 r. o służbie cywilnej, która wskazała
zakres szczegółowych uprawnień przysługujących GIODO wobec
pracowników biura.
 GIODO jest organem w toczącym się postępowaniu
administracyjnym, którego stroną jest administrator danych
(procesor) oraz osoba zainteresowana.
 GIODO jest organem kadencyjnym, niezawisłym, apartyjnym oraz
przyznany mu został immunitet.
Kurs Ochrona
Danych Osobowych

45. Podstawowe pojęcia- GIODO
Zadania i kompetencje GIODO
GIODO jest uprawniony do:
•kontroli zgodności przetwarzania danych z przepisami o ochronie
danych osobowych,
•wydawania decyzji administracyjnych i rozpatrywania skarg
w sprawach wykonania przepisów o ochronie danych osobowych,
•zapewnienia wykonania przez zobowiązanych obowiązków
o charakterze niepieniężnym, wynikających z wydanych decyzji,
przez stosowanie środków egzekucyjnych przewidzianych w ustawie
z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym
w administracji,
•prowadzenia rejestru zbiorów danych oraz udzielania informacji
o zarejestrowanych zbiorach,
•opiniowania projektów ustaw i rozporządzeń dotyczących ochrony
danych osobowych,
•inicjowania i podejmowania przedsięwzięć w zakresie doskonalenia
ochrony danych osobowych,
•uczestniczenia w pracach międzynarodowych organizacji i instytucji
zajmujących się problematyką ochrony danych osobowych.
Kurs Ochrona
Danych Osobowych

46. Podstawowe pojęcia- GIODO
Zadania i kompetencje GIODO
W przypadku naruszenia przepisów o ochronie danych
osobowych, GIODO z urzędu lub na wniosek osoby
zainteresowanej, w drodze decyzji administracyjnej, nakazuje
przywrócenie stanu zgodnego z prawem, a w szczególności:
•usunięcie uchybień,
•uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub
nieudostępnienie danych osobowych,
•zastosowanie dodatkowych środków zabezpieczających
zgromadzone dane osobowe,
•wstrzymanie przekazywania danych osobowych do państwa
trzeciego,
•zabezpieczenie danych lub przekazanie ich innym podmiotom,
•usunięcie danych osobowych.
Kurs Ochrona
Danych Osobowych

47. Podstawowe pojęcia- GIODO
Zadania i kompetencje GIODO
W razie stwierdzenia, że działanie lub zaniechanie kierownika
jednostki organizacyjnej, jej pracownika lub innej osoby
fizycznej będącej administratorem danych wyczerpuje
znamiona przestępstwa określonego w u.o.d.o., GIODO
kieruje do organu powołanego do ścigania przestępstw
zawiadomienie o popełnieniu przestępstwa, dołączając
dowody dokumentujące podejrzenie.
Źródło: www.giodo.gov.pl
Kurs Ochrona
Danych Osobowych

48. Zasady
Zasady przetwarzania danych
osobowych
Kurs Ochrona
Danych Osobowych

49. Zasady legalność
Zasada legalności przetwarzania
danych osobowych
Kurs Ochrona
Danych Osobowych

50. Zasady- legalność
Obowiązkiem wymienionym w art. 26 ust. 1 u.o.d.o. jest
przetwarzanie danych zgodnie z prawem (zasada legalności).
Przetwarzanie danych osobowych przez ich administratora
powinno odbywać się z zachowaniem przynajmniej jednej
z przesłanek legalności przetwarzania określonych w u.o.d.o.
tj.
-art. 23 - dla danych osobowych zwykłych;
-art. 27 - dla danych osobowych wrażliwych.
Kurs Ochrona
Danych Osobowych

51. Zasady- legalność
Przesłanki legalności przetwarzania danych osobowych zwykłych
(art. 23 u.o.d.o.)
I. Zgoda podmiotu danych osobowych;
 Zgoda musi mieć charakter wyraźny i nie może zostać
dorozumiana oraz wyinterpretowana z oświadczenia woli o innej
treści. W szczególności, w przypadku stosowania formularzy
elektronicznych, nie jest dopuszczalne zamieszczenie zgody w
treści samego regulaminu. Klauzula zgody zaopatrzona
właściwym check-boxem powinna znajdować się bezpośrednio
pod formularzem, w którym dany podmiot udostępnia swoje
dane. Nie musi być wyrażona na piśmie!
Kurs Ochrona
Danych Osobowych

52. Zasady- legalność
 Należy zgodzić się z poglądem, wyrażonym w nauce prawa, zgodnie z
którym podstawą prawną udostępnienia danych osobowych na rzecz
podmiotów z sektora publicznego może być wyłącznie przepis prawa, co
wyłącza możliwość pobierania zgody przez takie podmioty (tak też: P.
Barta, P. Litwiński, Ustawa o ochronie danych osobowych. Komentarz,
Warszawa 2013, s. 189, J. Barta, P. Fajgielski, R. Markiewicz, Ochrona
danych osobowych. Komentarz, Warszawa 2004, s. 598, podobnie E.
Kulesza w odniesieniu do żądania przez Kasy Chorych udostępniania
danych osobowych bez stosownej podstawy prawnej - E. Kulesza, Zbyt
częste nieprawidłowości, Rzeczp. 1.2.2000 r.).
 Odebranie zgody będzie dopuszczalne, gdy przepis prawny uzależnia
legalność przetwarzania danych od odebrania zgody na udostępnienie
określonych danych np. udostępnienie organizacji pożytku publicznego
danych osoby, która wpłaciła na jej rzecz 1% podatku.
Kurs Ochrona
Danych Osobowych

53. Zasady- legalność
 Każdemu podmiotowi danych osobowych przysługuje uprawnienie do
cofnięcia oraz odwołania uprzednio udzielonej zgody na przetwarzanie
danych osobowych. W takiej sytuacji, dalsze przetwarzanie danych
osobowych, z powołanie się na przesłankę zgody należałoby uznać za
niedopuszczalne.
 Najczęściej odbieraną zgodą na tzw. rynku e-commerce jest zgoda na
otrzymywanie od administratora danych, informacji handlowych drogą
elektroniczną (nie ma konieczności odbierania zgody na e-marketing
tradycyjny, gdyż objęty jest przesłanka prawnie usprawiedliwionego celu).
Przykładowa klauzula zgody:
(która nie wyłącza posługiwania się omówioną w dalszej części klauzulą informacyjną).
 Wyrażam zgodę na otrzymywanie informacji handlowych dotyczących
usług administratora danych osobowych, drogą elektroniczną. Zgoda
jest dobrowolna i w żaden sposób nie warunkuje korzystania z usługi
głównej.
Kurs Ochrona
Danych Osobowych

54. Zasady- legalność
Spornym jest, dopuszczalność odbierania zgody na
przetwarzanie danych osobowych przez pracodawcę,
względem pracownika (współpracującego z pracodawcą na
umowę o pracę). Wskutek stosunku podległości,
oświadczenie takie nie jest bowiem wyrażone swobodnie.
Dodatkowo art. 22.1 Kodeksu pracy, wyłącza możliwość
pobierania takiej zgody.
Kurs Ochrona
Danych Osobowych

55. Zasady- legalność
II. Uprawnienie wynikające z przepisu prawa.
 Możliwość powołania się na tę przesłankę uzależniona jest od
łącznego spełnienia następujących warunków:
• Istnienie odpowiedniego przepisu prawa (ustawy aktu niższej
rangi), który przyznaje podmiotowi uprawnienie lub nakłada na
niego obowiązek pozyskania danych, oraz
• niezbędności przetwarzania danych do zrealizowania tego
uprawnienia lub spełnienia obowiązku.
 Niekiedy przepisy sformułowane są w sposób, który może budzić
wątpliwości co do tego, czy przetwarzanie danych jest na ich
podstawie dopuszczalne. Jako przykład wskazać można art. 36 §
1 u.p.e.a. Na podstawie tego przepisu NSA uznał, że "Organ
egzekucyjny prowadzący egzekucję administracyjną może żądać
udostępnienia mu przez ZUS danych o miejscu zatrudnienia
ubezpieczonych będących dłużnikami„ (por. wyrok NSA z dnia 21
marca 2002 r., II SA 1854/01).
Kurs Ochrona
Danych Osobowych

56. Zasady- legalność
III. Ochrona żywotnych interesów podmiotu danych.
 W przypadku braku istnienia innej przesłanki uprawniającej do
przetwarzania danych, jeżeli przetwarzanie danych jest konieczne
ze względu na ochronę życia, zdrowia lub interesów
majątkowych o istotnym znaczeniu, każdy podmiot uprawniony
jest do przetwarzania danych.
 Przetwarzanie danych na podstawie wskazanej przesłanki może
mieć charakter jedynie czasowy, podmiot jest uprawniony do
przetwarzania danych tak długo, jak długo nie jest możliwe
odebranie właściwego oświadczenia od podmiotu danych w tym
zakresie.
 Przykładem takiego stanu rzeczy może być udostępnienie przez
przedsiębiorcę danych osobowych urzędnika, w zakresie
koniecznym do udzielenia mu pierwszej pomocy.
Kurs Ochrona
Danych Osobowych

57. Zasady- legalność
IV. Jest to konieczne dla wykonywania umowy.
 Dane osobowe mogą być przetwarzane, gdy jest to konieczne dla realizacji
umowy, gdy osoba której dane osobowe dotyczą jest jej stroną, bądź gdy jest to
konieczne do podjęcia czynności przed zawarciem umowy (czynności
rekrutacyjne).
 W przypadku zwierania umów pracę, katalog możliwych do pozyskiwania przez
pracodawcę danych wynika z art. 22.1 ustawy Kodeks pracy, w przypadku
pozostałych kategorii umów, dane muszę być niezbędne do ich należytego
wykonania.
 W przypadku, gdy pracodawca chce przetwarzać dane osobowe wykraczające
poza dane niezbędne do wykonywania umowy, musi odebrać na to odrębną
zgodę (w przypadku umów zlecenia, umów o dzieło oraz innych umów
cywilnoprawnych) np. gromadzenie oświadczeń o niekaralności, gdy uprawnienie
takie nie przysługuje na podstawie przepisów prawnych.
 Odebranie zgody nie jest możliwe, wobec osób współpracujących z
administratorem na podstawie umowy o pracę. Administrator może w takim
przypadku pobierać wyłącznie dane wskazane w art. 22 ustawy Kodeks pracy, w
zakresie koniecznym do wykonywania umowy.
Kurs Ochrona
Danych Osobowych

58. Zasady- legalność
• NSA w wyroku z 1 grudnia 2009 r. wskazał, że brak równowagi w relacji
pracodawca–pracownik stawia pod znakiem zapytania dobrowolność
wyrażenia zgody na pobieranie i przetworzenie danych osobowych
pracowników (Wyrok NSA z 1 grudnia 2009 r., I OSK 249/09, ONSAiWSA
2011, nr 2, poz. 39).
• Uznanie wyrażenia zgody jako okoliczności legalizującej pobranie od
pracownika innych danych niż wskazane w art. 221 k.p. w ocenie niektórych
przedstawicieli doktryny stanowiłoby obejście tego przepisu (Zob. K.
Roszewska, Kontrola osobista pracowników, PiZS 2008, nr 7, s. 8 n.).
• Wyrażone przez NSA w powołanym wyroku stanowisko podziela Generalny
Inspektor Ochrony Danych Osobowych (dalej: GIODO), który wskazał na
niemożność uznania zgody kandydata do pracy za przesłankę legalizującą
przetwarzanie przez pracodawcę danych osobowych innych niż
wymienione w przepisie art. 221 k.p. (Sprawozdanie GIODO za rok 2005, s.
251).
Kurs Ochrona
Danych Osobowych

59. Zasady- legalność
 Powołana przesłanka nie legalizuje występowania do podmiotu danych
z ofertą zawarcia umowy, co wiąże się z przetwarzaniem danych
osobowych. Inicjatywa zawarcia umowy musi bowiem pochodzić od
samego podmiotu danych osobowych.
 Żaden z przepisów powszechnie obowiązującego prawa, nie nakłada
obowiązku wprowadzania do umów cywilnoprawnych postanowień
dotyczących podstawy przetwarzania danych, technicznych środków
zabezpieczeń danych oraz uprawnień przysługujących podmiotowi danych.
Wyjątkiem będzie sytuacja, w której dla wykonania postanowień umowy,
konieczne będzie powierzenie danych, które dla swojej skuteczności
wymaga formy pisemnej.
 W przypadku organów administracji publicznej, nawet zawieranie umów
przez takie organy musi znajdować umocowanie w przepisach prawnych,
stąd podstawą będzie tutaj nie umowa, ale przepis prawny lub realizacja
interesu publicznego.
Kurs Ochrona
Danych Osobowych

60. Zasady- legalność
V. Konieczność przetwarzania danych do wykonywania określonych
prawem zadań dla dobra publicznego.
 Powołana przesłanka legalizuje przetwarzanie danych, jeżeli jest to
konieczne dla realizacji zadań publicznych, nałożonych na dany podmiot
przepisami prawa, które to przepisy jednocześnie nie uprawniają do
przetwarzania danych.
 Niedopuszczalne jest powołanie się na wskazana przesłankę, w razie
prowadzenia przez podmiot publiczny działalności gospodarczej (tj.
działalności mającej cel zarobkowy (np. udział w spółce handlowej). (P.
Barta, P. Litwiński, Ustawa o ochronie danych osobowych. Komentarz,
Warszawa 2013, s. 221.
 Przykład normy prawnej uprawniającej do takiego przetwarzania danych:
 -Na podstawie art. 7d pkt 1 Prawa geodezyjnego i kartograficznego do
zadań starosty należy w szczególności prowadzenie powiatowego zasobu
geodezyjnego i kartograficznego, w tym ewidencji gruntów i budynków,
gleboznawczej klasyfikacji.
Kurs Ochrona
Danych Osobowych

61. Zasady- legalność
VI. Prawnie usprawiedliwiony cel administratora danych albo
odbiorców danych.
 Powołana przesłanka, jest jedną z podstaw przetwarzania danych, bez
konieczności odbierania zgody podmiotu danych. Na przesłankę możemy
powołać się, gdy przetwarzanie danych znajduje swoje oparcie w
przepisach prawa materialnego, ale nie możemy utożsamiać jej z
wskazaną uprzednio przesłanką realizacji uprawnienia wynikającego z
przepisu prawnego.  W literaturze przedmiotu pojawiają się poglądy uprawniające również
podmioty ze sfery życia publicznego do powoływanie się na przesłankę
prawnie usprawiedliwionego celu.  Przetwarzanie danych nie może naruszać praw i wolności podmiotu
danych.  Powołana przesłanka nie stanowi podstawy prawnej
przetwarzania danych osobowych na potrzeby postępowania
administracyjnego. Każde działanie administratora danych osobowych,
będącego podmiotem publicznym, powinno mieć podstawę w
obowiązujących przepisach prawa, a za taki przepis nie sposób uznać art.
23 ust. 1 pkt 5 u.o.d.o., który wymaga samodzielnego wyważenia przez
administratora dwóch dóbr: swojego prawnie usprawiedliwionego celu
oraz praw i wolności podmiotów danych.
Kurs Ochrona
Danych Osobowych

62. Zasady- legalność
Przykłady prawnie usprawiedliwionych celów administratora danych:
 Dochodzenie roszczeń z tytułu prowadzonej działalności
(determinowany terminem przedawnienia roszczeń określonego
rodzaju).
 Zbieranie oświadczeń o niekaralności, gdy charakter wykonywanych
czynności uzasadnia takie żądane a, brak jest wyraźnego przepisu
uprawniającego administratora do pobierania takich danych (z
wyjątkiem pracowników wykonujących czynności na podstawie umowy
o pracę).
 Przetwarzanie danych osobowych przez podmioty gospodarcze, celem
stworzenia księgi wejść i wyjść do budynków (źródło:
www.giodo.gov.pl).
 Przetwarzanie danych osób współpracujących na podstawie umów
cywilnoprawnych, w celu stworzenia plakietek informujących o
pełnionej funkcji wraz z imieniem i nazwiskiem, noszonych na ubraniach
(np. ochroniarz).
Kurs Ochrona
Danych Osobowych

63. Zasady- legalność
Przesłanki legalności przetwarzania danych osobowych wrażliwych
(art. 27 u.o.d.o.).
 Osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że
chodzi o usunięcie dotyczących jej danych.
 Przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez
zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochronny.
 Przetwarzanie takich danych jest niezbędne do ochrony żywotnych
interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba,
której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia
zgody, do czasu ustanowienia opiekuna prawnego lub kuratora.
 Jest to niezbędne do wykonania statutowych zadań kościołów i innych
związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych
organizacji lub instytucji o celach politycznych, naukowych, religijnych,
filozoficznych lub związkowych, pod warunkiem, że
przetwarzanie danych dotyczy wyłącznie członków tych organizacji.
 Przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw
przed sądem.
Kurs Ochrona
Danych Osobowych

64. Zasady- legalność
Przesłanki legalności przetwarzania danych osobowych zwykłych
(art. 27 u.o.d.o.)
 przetwarzanie jest niezbędne do wykonania zadań
administratora odnoszących się do zatrudnienia pracowników i innych osób, a
zakres danych jest określony w ustawie,
 Przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia
usług medycznych lub leczenia pacjentów przez osoby trudniące się
zawodowo leczeniem lub świadczeniem innych usług medycznych,
zarządzania udzielaniem usług medycznych i są stworzone pełne
gwarancje ochrony danych osobowych.
 Przetwarzanie dotyczy danych, które zostały podane do wiadomości
publicznej przez osobę, której dane dotyczą.
 Jest to niezbędne do prowadzenia badań naukowych, w tym do
przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia
szkoły wyższej lub stopnia naukowego; publikowanie wyników badań
naukowych nie może następować w sposób umożliwiający identyfikację osób,
których dane zostały przetworzone.
 Przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i
obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym
lub administracyjnym.
Kurs Ochrona
Danych Osobowych

65. Zasady- celowość
Zasada celowości przetwarzania
danych osobowych
Kurs Ochrona
Danych Osobowych

66. Zasady- celowość
Ogólna zasada celowości
 Cel pierwotny to cel dla którego podmiot danych przekazał woje
dane administratorowi.
 Cel wtórny to inny cel przetwarzania danych niż cel dla którego
dane zostały przekazane.
Zasada celowości (art.26 ust.2 pkt 1 u.o.d.o.)
 Cel pierwotny to cel określony przez administratora przy
zbieraniu danych osobowych.
 Cel wtórny to cel określony później niż przy zbieraniu danych.
Kurs Ochrona
Danych Osobowych

67. Zasady- adekwatność
Zasada adekwatności przetwarzania
danych osobowych
Kurs Ochrona
Danych Osobowych

68. Zasady- adekwatność
Dane osobowe muszą być przetwarzane przez administratora:
 Z zachowaniem zasady merytorycznej poprawności i
adekwatności przetwarzania danych osobowych do celów w
jakich są przetwarzane;
 Przetwarzane nie dłużej, niż jest to konieczne dla realizacji celu,
w jakim są przetwarzane.
Naruszenie zasady adekwatności w przypadku danych kadrowych
 Gromadzenie numerów dowodów osobistych
współpracowników (umowa o dzieło, umowa zlecenie, osoby
samozatrudnione);
 Gromadzenie adresów e-mail oraz adresów telefonów
komórkowych.
Kurs Ochrona
Danych Osobowych

69. Zasady- obowiązek informacyjny
Obowiązek informacyjny
administratora danych osobowych
Kurs Ochrona
Danych Osobowych

70. Zasady- obowiązek informacyjny
W przypadku pozyskania danych osobowych od osoby której dane
osobowe dotyczą, administrator zobowiązany jest poinformować
taką osobę o (art. 26 u.o.d.o.):
 adresie swojej siedziby i pełnej nazwie, a w przypadku gdy
administratorem danych jest osoba fizyczna - o miejscu swojego
zamieszkania oraz imieniu i nazwisku,
 celu zbierania danych, a w szczególności o znanych mu w czasie
udzielania informacji lub przewidywanych odbiorcach lub
kategoriach odbiorców danych,
 prawie dostępu do treści swoich danych oraz ich poprawiania,
 dobrowolności albo obowiązku podania danych, a jeżeli taki
obowiązek istnieje, o jego podstawie prawnej.
Wyjątki:
 przepis innej ustawy zezwala na przetwarzanie danych bez
ujawniania faktycznego celu ich zbierania,
 osoba, której dane dotyczą, posiada takie informacje.
Kurs Ochrona
Danych Osobowych

71. Zasady- obowiązek informacyjny
W przypadku pozyskania danych osobowych nie od osoby której
dane osobowe dotyczą, administrator zobowiązany jest
poinformować taką osobę o (art. 24 u.o.d.o.):  adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem
danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i
nazwisku,  celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach
odbiorców danych,  źródle danych,  prawie dostępu do treści swoich danych oraz ich poprawiania,  prawie do wniesienia sprzeciwu w razie przetwarzania danych na podstawie
prawnie usprawiedliwionego celu lub zadań realizowanych dla dobra
publicznego.
Wyjątki:  przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych
bez wiedzy osoby, której dane dotyczą,  dane te są niezbędne do badań naukowych, dydaktycznych, historycznych,
statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza
praw lub wolności osoby, której dane dotyczą, a spełnienie wymagań
wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania,  dane są przetwarzane przez podmioty ze sfery publicznej na podstawie
przepisów prawa,  osoba, której dane dotyczą, posiada informacje.
Kurs Ochrona
Danych Osobowych

72. Zasady- obowiązek informacyjny
Przykładowe klauzule informacyjne realizowane wobec
pracowników
Klauzula I
„dane osobowe pochodząc od pracownika”
Administratorem danych osobowych pracowników jest ..., ul. ..., ... , KRS: ...,
Regon: ... , NIP: .... Dane osobowe będą przetwarzane przez administratora
w celu realizacji umowy, celem wykonywania zawartej umowy w tym
realizacji obowiązków wynikających z powszechnie obowiązujących
przepisów prawa, a także w celu wygenerowania identyfikatorów oraz w
celu przeprowadzenia/umożliwienia odbycia szkoleń dotyczących
obowiązujących przepisów z zakresu ochrony danych osobowych oraz
innych szkoleń. Pracownikom przysługuje prawo dostępu do treści
dotyczących ich danych i ich poprawiania. Podanie danych osobowych jest
dobrowolne jednak niezbędne do wykonywania czynności na rzecz
administratora danych.
Kurs Ochrona
Danych Osobowych

73. Zabezpieczenie danych
Zabezpieczenie danych kadrowych
Kurs Ochrona
Danych Osobowych

74. Zabezpieczenie danych
Obowiązki związane z zabezpieczeniem przetwarzania danych
osobowych
 Obowiązek zastosowania środków technicznych i organizacyjnych zapewniających
ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz
kategorii danych objętych ochroną,
 Obowiązek prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz
zastosowanych środków zabezpieczeń,
 Obowiązek wyznaczenia administratora bezpieczeństwa informacji, nadzorującego
przestrzeganie zasad ochrony danych, chyba że administrator sam wykonuje te
czynności,
 Do przetwarzania danych dopuszczone mogą być wyłącznie osoby posiadające
upoważnienie nadane przez administratora danych.
 Obowiązek prowadzenia ewidencji osób upoważnionych do ich przetwarzania, która
powinna zawierać: imię i nazwisko osoby upoważnionej, datę nadania i ustania oraz
zakres upoważnienia do przetwarzania danych osobowych, identyfikator, jeżeli dane są
przetwarzane w systemie informatycznym.
Zasady wskazane powyżej wiążą nie tylko administratora danych, ale również podmiot
któremu administrator powierzył dane osobowe.
Kurs Ochrona
Danych Osobowych

75. Zabezpieczenie danych
Obowiązek zastosowania środków technicznych i organizacyjnych
zapewniające ochronę
przetwarzanych danych osobowych odpowiednią do zagrożeń oraz
kategorii danych objętych ochroną.
Trzy poziomy ochrony danych osobowych:
 Podstawowy
•Żadne z urządzeń systemu informatycznego, służącego
do przetwarzania danych osobowych nie jest połączone z siecią
publiczną, oraz
•W systemie nie są przetwarzane dane wrażliwe.  Podwyższony
•w systemie są przetwarzane dane wrażliwe, oraz
•żadne z urządzeń systemu informatycznego, służącego
do przetwarzania danych osobowych nie jest połączone z siecią
publiczną.  Wysoki
•urządzenie, służące do przetwarzania danych osobowych, połączone
jest z siecią publiczną.
Kurs Ochrona
Danych Osobowych

76. Zabezpieczenie danych
Każdemu z poziomów bezpieczeństwa odpowiada inny
sposób zabezpieczenia danych, wskazany w rozporządzeniu
ws. dokumentacji przetwarzania danych osobowych.
W przypadku przetwarzania danych na poziomie wysokim,
konieczne jest również spełnienie wymogów na poziomie
podstawowym i podwyższonym (analogicznie poziom
podwyższony).
Kurs Ochrona
Danych Osobowych

77. Zabezpieczenie danych
Obowiązek prowadzenia dokumentacji opisującej sposób
przetwarzania danych oraz zastosowanych środków
zabezpieczeń.
Dokumentacja przetwarzania danych
Polityka bezpieczeństwa Instrukcja zarządzania
systemem
Kurs Ochrona
Danych Osobowych

78. Zabezpieczenie danych
Polityka bezpieczeństwa przetwarzania danych osobowych
 Wykaz budynków, pomieszczeń lub części pomieszczeń,
tworzących obszar, w którym przetwarzane są dane osobowe.
 Wykaz zbiorów danych osobowych wraz ze wskazaniem
programów zastosowanych do przetwarzania tych danych.
 Opis struktury zbiorów danych wskazujący zawartość
poszczególnych pól informacyjnych i powiązania między nimi.
 Sposób przepływu danych pomiędzy poszczególnymi systemami.
 Określenie środków technicznych i organizacyjnych niezbędnych
dla zapewnienia poufności, integralności i rozliczalności
przetwarzanych danych.
Kurs Ochrona
Danych Osobowych

79. Zabezpieczenie danych
Z technicznego punktu widzenia, rekomenduje się przeniesienie właściwej
treści dokumentacji, do załączników, a treść samej dokumentacji
ograniczyć wyłącznie do zbioru definicji, odwołań do samych załączników,
oraz określenia środków zabezpieczeń danych osobowych.
Przykładowy spis treści Polityki bezpieczeństwa
„I. Deklaracja najwyższej staranności, cele i zakres dokumentu.
II. Obowiązki i odpowiedzialność w zakresie zarządzania bezpieczeństwem.
III. Obszar przetwarzania danych osobowych.
IV. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych
do przetwarzania tych danych.
V. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól
informacyjnych i powiązania pomiędzy nimi.
VI. Sposób przepływu danych pomiędzy poszczególnymi systemami.
VII. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia
poufności, integralności i rozliczalności przetwarzanych danych”.
Kurs Ochrona
Danych Osobowych

80. Zabezpieczenie danych
Przykładowa treść pkt. VI Polityki bezpieczeństwa
„VI. Sposób przepływu danych pomiędzy poszczególnymi systemami
W ramach procesów przetwarzania danych, dochodzi do przepływu
danych pomiędzy różnymi systemami informatycznymi w tym
powierzania danych osobom trzecim. Sposób przepływu danych
określony został w dokumencie „Wykaz przepływu danych pomiędzy
systemami informatycznymi”, stanowiącym Załącznik nt… do niniejszej
Polityki bezpieczeństwa.
Kurs Ochrona
Danych Osobowych

81. Zabezpieczenie danych
Instrukcja zarządzania systemem informatycznym
 Procedury nadawania uprawnień do przetwarzania danych i rejestrowania
tych uprawnień w systemie informatycznym oraz wskazanie osoby
odpowiedzialnej za te czynności.
 Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich
zarządzaniem i użytkowaniem.
 Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla
użytkowników systemu;
 Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i
narzędzi programowych służących do ich przetwarzania;
 Sposób, miejsce i okres przechowywania elektronicznych nośników
informacji zawierających dane osobowe, oraz kopii zapasowych.
 Sposób zabezpieczenia systemu informatycznego przed działalnością
wirusów.
 Sposób realizacji wymogów, odnotowywania przez system wprowadzania
danych.
 Procedury wykonywania przeglądów i konserwacji systemów oraz nośników
informacji służących do przetwarzania danych.
Kurs Ochrona
Danych Osobowych

82. Zabezpieczenie danych
Przykładowy spis treści Instrukcji zarządzania
I. Poziomy bezpieczeństwa przetwarzania danych osobowych.
II. Procedura nadawania, aktualizacji i wycofania uprawnień do
przetwarzania danych osobowych w systemach informatycznych.
III. Metody i środki uwierzytelniania pracowników mających dostęp do
przetwarzania danych osobowych.
IV. Procedura rozpoczęcia, zawieszenia i zakończenia pracy dla użytkowników
systemu.
V. Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i
narzędzi programowych służących do ich przetwarzania.
VI. Zasady bezpiecznego przechowywania transportu i niszczenia
elektronicznych nośników informacji zawierających dane osobowe lub
oprogramowanie służące do ich przetwarzania.
VII. Sposób zabezpieczenia systemu przed działalnością wirusów.
VIII. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów
zastosowanych do przetwarzania tych danych.
IX. Sposób realizacji obowiązków odnotowywania w systemie informacji o
zmianach danych i odbiorcach danych.
X. Procedury wykonywania napraw systemu informatycznego oraz
elektronicznych nośników informacji służących do przetwarzania danych
Kurs Ochrona
Danych Osobowych

83. Zabezpieczenie danych
Do dokumentacji przetwarzania danych osobowych może
zostać dołączony dokument, stanowiący instrukcję
postępowania w przypadku naruszenia danych osobowych.
Ma on jednak charakter fakultatywny.
Dokumentacja przetwarzania danych powinna zawierać:
I. wzór pisemnego upoważnienia do przetwarzania danych
w systemie informatycznym. Upoważnienie można
udzielić wyłącznie osobą, działającym wewnątrz
struktury organizacyjnej administratora danych.
II. ewidencję osób upoważnionych do przetwarzania danych
osobowych.
Kurs Ochrona
Danych Osobowych

84. Zabezpieczenie danych
Wzór pisemnego upoważnienia do przetwarzania danych w
systemie informatycznym.
Kurs Ochrona
Danych Osobowych

85. Zabezpieczenie danych
Wzór ewidencji osób upoważnionych do przetwarzania
danych osobowych
Kurs Ochrona
Danych Osobowych

86. Zabezpieczenie danych
Obowiązek (do 1 stycznia 2015 r.) wyznaczenia w dokumentacji
administratora bezpieczeństwa informacji, nadzorującego
przestrzeganie zasad ochrony danych, chyba że administrator sam
wykonuje te czynności.
 Administratorem bezpieczeństwa informacji (ABI) musi być osoba
fizyczna, w przypadku przedsiębiorców prowadzących
jednoosobową działalność gospodarczą, jest to osoba prowadząca
taką działalność (Wyrok WSA w Warszawie z dnia 7 lipca 2012r., II
SA/Wa 630/12).  Obowiązek wyznaczenia ABI nie istnieje, gdy administrator sam
pełni funkcję ABI (np. naukowiec zbierający dane na potrzeby
dokonywanej dysertacji).  W ramach struktury organizacyjnej administratora danych może
zostać powołany tylko jeden ABI. Nie wyłącza to możliwości
powołania wewnętrznej struktury podległej ABI. Częstą praktyką
jest powoływanie podległego ABI Administratora systemu
informatycznego, zarządzającego takim systemem (tzw. ASI). Jest
nim najczęściej informatyk.  Dokumentacja przetwarzania danych osobowych powinna
zapewniać ABI możliwość rzeczywistego wykonywania przez niego
funkcji nadzorczych.
Kurs Ochrona
Danych Osobowych

87. Zabezpieczenie danych
Obowiązek wyznaczenia w dokumentacji administratora
bezpieczeństwa informacji, nadzorującego przestrzeganie zasad
ochrony danych, chyba że administrator sam wykonuje te czynności.
 Administratorem bezpieczeństwa informacji (ABI) musi być osoba
fizyczna, w przypadku przedsiębiorców prowadzących
jednoosobową działalność gospodarczą, jest to osoba prowadząca
taką działalność (Wyrok WSA w Warszawie z dnia 7 lipca 2012r., II
SA/Wa 630/12).  Obowiązek wyznaczenia ABI nie istnieje, gdy administrator sam
pełni funkcję ABI (np. naukowiec zbierający dane na potrzeby
dokonywanej dysertacji).  W ramach struktury organizacyjnej administratora danych może
zostać powołany tylko jeden ABI. Nie wyłącza to możliwości
powołania wewnętrznej struktury podległej ABI. Częstą praktyką
jest powoływanie podległego ABI Administratora systemu
informatycznego, zarządzającego takim systemem (tzw. ASI). Jest
nim najczęściej informatyk.  Dokumentacja przetwarzania danych osobowych powinna
zapewniać ABI możliwość rzeczywistego wykonywania przez niego
funkcji nadzorczych.
Kurs Ochrona
Danych Osobowych

88. Odpowiedzialność karna
Odpowiedzialność karna
Kurs Ochrona
Danych Osobowych

89. Odpowiedzialność karna
Brak przesłanek przetwarzania danych osobowych
Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie
jest dopuszczalne albo do których przetwarzania nie jest uprawniony,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia
wolności do lat 2.
W przypadku danych osobowych wrażliwych sprawca podlega
grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat
3.
Bezprawne udostępnienie danych
(błąd ustawodawcy gdyż wskazane powyżej przetwarzanie to też udostępnianie)
Osobowych udostępnia je lub umożliwia dostęp do nich osobom
nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo
pozbawienia wolności do lat 2.
Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia
wolności albo pozbawienia wolności do roku
Kurs Ochrona
Danych Osobowych

90. Odpowiedzialność karna
Brak lub nienależyte zabezpieczenie danych
Kto administrując danymi narusza choćby nieumyślnie obowiązek
zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną,
uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia
wolności albo pozbawienia wolności do roku.
Brak rejestracji danych
Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności
do roku.
Naruszenie obowiązku informacyjnego
Podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności
do roku.
Utrudnianie kontroli
Podlega grzywnie, karze ograniczenia wolności, oraz pozbawienia wolności do lat
2.
Kurs Ochrona
Danych Osobowych

91. Nowelizacja
Zmiany w u.o.d.o. po 1 stycznia
2014 r.
Kurs Ochrona
Danych Osobowych

92. Nowelizacja
Pozycja Administratora Bezpieczeństwa Informacji w organizacji
obecnie i po 01 stycznia 2015 r.
Usytuowanie ABI w organizacji na gruncie obecnie obowiązujących
rozwiązań prawnych
Różne modele powołania ABI-ego
ABI będący pracownikiem podmiotu zewnętrznego, trudniącego się
obsługą administratorów w zakresie ochrony danych osobowych;
ABI będący pracownikiem/współpracownikiem administratora danych
osobowych;
ABI będący pracownikiem administratora danych osobowych
nadzorującym dział bezpieczeństwa informacji (wyodrębnioną jednostkę
w ramach struktury administratora);
W każdym z przypadków, ABI powinien zostać powołany
zarządzeniem/uchwałą zarządu/członka zarządu (dyrektora bądź
umocowanego kierownika).
Kurs Ochrona
Danych Osobowych

93. Nowelizacja
Usytuowanie ABI w organizacji na gruncie obecnie obowiązujących
rozwiązań prawnych
Sposób określenia uprawnień ABI
Dobrze przyjętą praktyką jest wskazywanie katalogu uprawnień
i obowiązków ABI-ego w dokumencie powołującym go do pełnienia funkcji;
Szczegółowy katalog uprawnień i obowiązków ABI-ego powinien zostać
wskazany w dokumentacji przetwarzania danych osobowych (zwłaszcza
polityce bezpieczeństwa);
Usytuowanie ABI-ego powinno zostać przewidziane w regulaminie
organizacyjnym spółki/organogramie/innych dokumentach wewnętrznych
administratora danych osobowych.
Pozycja ABI-ego wewnątrz struktury organizacyjnej administratora danych
powinna umożliwiać mu sprawowanie pełnego nadzoru nad pracownikami
administratora w tym poprzez przyznanie mu pełnej samodzielności
i podległość wyłącznie administratorowi danych osobowych (a nie np.
Dyrektorowi Działu IT).
Dobrze przyjętą praktyką jest łączenie funkcji ABI z funkcją np. Dyrektora
ds. Bezpieczeństwa Informacji bądź Kierownika Działu Bezpieczeństwa.
Kurs Ochrona
Danych Osobowych

94. Nowelizacja
Usytuowanie ABI w organizacji na gruncie obecnie obowiązujących
rozwiązań prawnych
Powołanie Administratora Systemu Informatycznego
Brak prawnego wymogu powołania Administratora Systemów
Informatycznych;
Administrator Systemów Informatycznych powinien być powołany (w
razie jego powołania) w formie, odpowiadającej powołaniu
Administratora Bezpieczeństwa Informacji;
Zakres uprawnień i obowiązków ASI-ego powinien zostać określony w
dokumentacji przetwarzania danych osobowych (w szczególności
Instrukcji zarządzania systemem informatycznym służącym do
przetwarzania danych osobowych);
ASI powinien podlegać bezpośrednio ABI-emu bądź Administratorowi
Danych Osobowych;
Kurs Ochrona
Danych Osobowych

95. Nowelizacja
Usytuowanie ABI w organizacji na gruncie projektowanych
zmian ustawowych
Kto może pełnić funkcję ABI
Ma pełną zdolność do czynności prawnych oraz korzysta z pełni
praw publicznych;
Posiada odpowiednią wiedzę w zakresie ochrony danych
osobowych;
Nie była karana za umyślne przestępstwo.
Administrator Danych Osobowych jest uprawniony do
pozyskiwania od ABI-ego zaświadczenia o niekaralności
wydanego przez Krajowy Rejestr Karny bądź złożonego przez
niego oświadczenia o niekaralności.
Kurs Ochrona
Danych Osobowych

96. Nowelizacja
Usytuowanie ABI w organizacji na gruncie projektowanych zmian
ustawowych
Rejestracja ABI u Generalnego Inspektora Ochrony Danych
Osobowych
Administrator Danych Osobowych jest obowiązany zgłosić do rejestracji
GIODO powołanie i odwołanie administratora bezpieczeństwa informacji w
terminie 30 dni od dnia jego powołania lub odwołania.
Zgłoszenie powołania ABI do rejestracji powinno zawierać:
imię i nazwisko,
numer PESEL,
adres do korespondencji,
datę powołania,
oświadczenie o spełnianiu wymogów stawianych ABI-emu.
Kurs Ochrona
Danych Osobowych

97. Nowelizacja
Usytuowanie ABI w organizacji na gruncie projektowanych zmian
ustawowych
Rejestracja ABI u Generalnego Inspektora Ochrony Danych
Osobowych
Zgłoszenie odwołania ABI powinno zawierać:
Dane ABI-ego;
Datę i przyczynę odwołania.
Administrator Danych Osobowych zobowiązany jest zgłosić do GIODO zmianę
informacji objętych zgłoszeniem rejestracyjnym w terminie 14 dni.
Wykreślenie ABI z rejestru następuje po powiadomieniu o jego odwołaniu, w
przypadku jego śmierci bądź w razie utraty uprawnień do wykonywania funkcji ABI
lub niewykonywania swoich zadań (na podstawie decyzji GIODO).
Minister właściwy do spraw administracji publicznej określi, w drodze
rozporządzenia, wzory zgłoszeń administratora bezpieczeństwa informacji.
Kurs Ochrona
Danych Osobowych

98. Nowelizacja
Usytuowanie ABI w organizacji na gruncie projektowanych
zmian ustawowych
ABI w hierarchii organizacji
ABI jest samodzielny w wykonywaniu swoich zadań oraz
podlega wyłącznie Administratorowi Danych Osobowych
(Zarząd, Prezes Zarządu, Dyrektor właściwego Urzędu, osoba
prowadząca działalność gospodarczą).
Administrator Danych Osobowych zapewnia środki i organizacyjną
odrębność ABI niezbędne do niezależnego wykonywania przez
niego zadań.
Kurs Ochrona
Danych Osobowych

99. Nowelizacja
Usytuowanie ABI w organizacji na gruncie projektowanych
zmian ustawowych
Stworzenie odrębnej jednostki organizacyjnej ds. ochrony
danych w organizacji z centralną pozycją ABI
Administrator Danych Osobowych uprawniony jest, do powołania
zastępców ABI-ego w określonej przez niego liczbie.
Administrator Danych Osobowych może powołać odrębną komórkę
w swojej strukturze, składającą się z ABI-ego oraz podległych mu
zastępców, odpowiadających za nadzór nad ochroną danych
osobowych we właściwych komórkach Administratora Danych
Osobowych.
Zastępcy ABI-ego mogą być określani przykładowo jako tzw. RABI
(Regionalni ABI) LABI (Lokalni ABI).
Kurs Ochrona
Danych Osobowych

100. Nowelizacja
Usytuowanie ABI w organizacji na gruncie projektowanych zmian
ustawowych
Kto może pełnić funkcję ABI
Samodzielność organizacyjna ABI „Administrator bezpieczeństwa
informacji podlega bezpośrednio kierownikowi jednostki organizacyjnej
lub osobie fizycznej będącej administratorem danych”.
Administrator Danych Osobowych zobowiązany jest do zapewnienia
środków i organizacyjnej odrębności administratora bezpieczeństwa
informacji niezbędne do niezależnego wykonywania przez niego zadań.
Przez środki o których mowa powyżej należy rozumieć możliwość
wstępu do pomieszczeń w których dochodzi do przetwarzania danych
osobowych, nieograniczonej kontroli procesów przetwarzania danych
osobowych.
Kurs Ochrona
Danych Osobowych

101. Nowelizacja
Zadania Administratora Bezpieczeństwa Informacji (czyli co
może i musi wiedzieć ABI).
Zadania nałożone nowelizacją u.o.d.o.
 nadzór nad prawidłowością przetwarzania danych
 nadzór nad dokumentacją
 zapewnienie zapoznania osób upoważnionych do przetwarzania
danych osobowych z przepisami o ochronie danych osobowych
 prowadzenie rejestru zbiorów danych osobowych
 prowadzenie regularnych audytów wewnętrznych
 raportowanie o nieprawidłowościach do zarządzających
organizacją oraz do GIODO (zasady przygotowania sprawozdań)
 prowadzenie rejestru zbiorów danych osobowych
Kurs Ochrona
Danych Osobowych

102. Nowelizacja
Zadania Administratora Bezpieczeństwa Informacji (czyli co może i
musi wiedzieć ABI).
Audyty
Audyt ABI musi zakończyć się sprawozdaniem, którego elementy określone zostały
w u.o.d.o. po jej nowelizacji;
Sprawozdanie powinno w szczególności zawierać oznaczenie ABI i stwierdzone
przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym
sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan
zgodny z prawem;
Audyt powinien obejmować dokumentację przetwarzania danych osobowych oraz
całość procesów przetwarzania danych osobowych tradycyjnie oraz w systemach
IT;
Nowelizacja u.o.d.o. wprowadza dwa rodzaje audytów prowadzonych przez ABI
zakończonych sprawozdaniem:
Audyt wewnętrzny – podjęty z własnej inicjatywy ABI-ego;
Audyt zewnętrzny – podjęty na wniosek GIODO (nie zastępuje ewentualnego
postępowania kontrolnego).
Kurs Ochrona
Danych Osobowych

103. Nowelizacja
Rejestracja zbiorów danych osobowych pracowników
Przed nowelizacją z 1 stycznia 2014r.
 Zbiory danych osobowych pracowników i pracowników zwolnione z
rejestracji;
Po 1 stycznia 2014r.
 Zbiory danych osobowych pracowników i pracowników zwolnione z
rejestracji;
 Wszelkie inne zbiory danych osobowych (z wyłączeniem zbiorów
zawierających dane osobowe wrażliwe) zostały zwolnione z rejestracji
pod warunkiem wyznaczenia Administratora Bezpieczeństwa
Informacji.
Kurs Ochrona
Danych Osobowych

104. Kurs ochrona Danych Osobowych
Przypominamy o zmianie przepisów dotyczących ochrony danych
osobowych. Zmiany w ustawie z dn. 29 sierpnia 1997 roku wejdą w życie
od 1 stycznia 2015 roku.
Zainteresowanych zmianami zapraszamy na seminarium Nowelizacja
ustawy o ochronie danych osobowych. Zmiany po 01.01.2015.
Kurs Ochrona
Danych Osobowych

105. Kurs ochrona Danych Osobowych
Więcej informacji o ochronie danych osobowych uzyskają Państwo także na
naszych kursach prawnych:
• Kurs Aspekty prawne związane z handlem elektronicznym. Prowadzenie
serwisów internetowych
• Kurs Ochrona Danych Osobowych w Działach HR i Kadr - po nowelizacji z dn.
01.01.2015
• Kurs Ochrona Danych Osobowych w Administracji Publicznej - po nowelizacji z
dn. 01.01.2015
• Kurs Ochrona Danych Osobowych w Ośrodkach Pomocy Społecznej - po
nowelizacji z dn. 01.01.2015
• OFERTA TYGODNIA: Kurs Ochrona Danych Osobowych w Firmie - po
nowelizacji z dn. 01.01.2015
Kurs Ochrona
Danych Osobowych

106. Kurs ochrona Danych Osobowych
Zapraszamy również na bloga Strefa Wiedzy Cognity, gdzie znajdziesz
artykuły i wywiady z ekspertami zajmującymi się ochroną danych
osobowych.
Na naszym blogu odnajdziesz również informacje i wskazówki jak
skutecznie pracować w programach MS Office m.in. MS Excel, MS
PowerPoint, MS Access, MS Word oraz języku VBA w Excelu.
Kurs Ochrona
Danych Osobowych