Przygotuj firmę na RODO
Nieubłaganie zbliża się moment, kiedy przepisy RODO będą stosowane w całej Unii Europejskiej - także w Polsce.
Firmy, działające na terenie Unii Europejskiej mają czas na wdrożenie zmian do dnia 25 maja 2018 roku, czyli w momencie, kiedy rozporządzenie zacznie obowiązywać. Co warto wiedzieć o nowych, wprowadzonych przez RODO zasadach ,dlatego zapraszamy do lektury pod tym linkiem Przygotuj firmę na RODO
Systemy Comarch ERP pomogą Ci we wdrożeniu nowych przepisów w Twojej firmie,które zakupisz u Nas
Siedem zasad przetwarzania danych osobowych
W przepisach RODO sformułowanych zostało siedem zasad przetwarzania danych osobowych. Są nimi:
- Zasada zgodności z prawem, rzetelności i przejrzystości – art. 5 ust. 1 a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”)
- Zasada ograniczenia celu przetwarzania danych – art. 5 ust. 1 b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; („ograniczenie celu”)
- Zasada minimalizacji danych – art. 5 ust. 1 c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”)
- Zasada prawidłowości danych – art. 5 ust. 1 d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”)
- Zasada ograniczenia przechowania danych – art. 5 ust. e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”)
- Zasada integralności i poufności danych – art. 5 ust.1 f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”)
- Zasada rozliczalności oznacza, że administrator musi być w stanie wykazać, że podejmowane przez niego działania są zgodne z w/w zasadami
Konstytucja Rzeczypospolitej Polskiej
Pierwsze gwarancje ochrony danym osobowym zapewniła w Polsce nowa Konstytucja z 1997r. Jej art. 47 zagwarantował obywatelom prawo do prywatności, a art. 51 – każdej osobie – prawo do ochrony dotyczących jej informacji.
Jednakże z międzynarodowych zobowiązań Polski, związanych z akcesją do Unii Europejskiej, wynikła konieczność zapewnienia ochrony danym osobowych takiej, jaką na swoim terytorium, zapewniały państwa Unii. Wszystkie ustawy europejskie wzorowane były lub dostosowano do Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady.
Ustawa o ochronie danych osobowych
Zasady ochrony danych ustanowione Dyrektywą 95/46/EC wprowadzone zostały do polskiego porządku prawnego ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.). Ustawa o ochronie danych osobowych wprowadziła szczegółowe normy służące ochronie danych osobowych w Polsce, a do dnia 1 maja 2004 r., czyli wstąpienia Polski do Unii Europejskiej, przeniosła do polskiego porządku prawnego wszystkie zasady określone w Dyrektywie 95/46/WE Parlamentu Europejskiego i Rady. Przepisy ustawy obowiązują od dnia 30 kwietnia 1998r.
Ustawa określa zasady, jakie należy stosować przy przetwarzaniu danych osobowych, precyzuje prawa i obowiązki organów, instytucji i osób prowadzących zbiory danych osobowych oraz prawa osób, których dane dotyczą, w taki sposób, aby zagwarantować maksymalną ochronę praw i wolności każdej osobie fizycznej oraz poszanowania jej życia prywatnego. Wśród obowiązków dysponentów danych osobowych znajduje się ich zabezpieczenie przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy, zmianą, utratą, uszkodzeniem lub zniszczeniem, czyli takie zorganizowanie postępowania z danymi osobowymi i użycie takich środków technicznych, aby zapewniły one ochronę odpowiednią do zagrożeń i kategorii wykorzystywanych danych. Obowiązki odnośnie zabezpieczenia danych określone są w rozdziale 5 ustawy oraz rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Ustawa w sposób bardzo precyzyjny określa zasady udostępniania danych. Udostępnianie danych osobowych (poza tymi, które objęte zostały szczególną ochroną), w celu włączenia do zbioru, jest możliwe po spełnieniu jednego z warunków określonych w art. 23 ust. 1 ustawy. Jednym, ale nie jedynym, z tych warunków jest zgoda osoby. Dane można wykorzystywać także, gdy jest to niezbędne dla zrealizowania uprawnienia, bądź spełnienia obowiązku wynikającego z przepisu prawa, gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą jest jej stroną, dla dobra publicznego, i też wtedy, gdy jest to konieczne do realizacji prawnie usprawiedliwionego celu administratora danych. Istotne jest przy tym, że wystarczające jest spełnienie jednego z powyższych warunków, by dane można było udostępnić. Jeśli zaś o udostępnienie danych występuje pojedyncza osoba -tę sytuację ustawa określa jako “udostępnienie danych w celu innym niż włączenie do zbioru” -zastosowanie znajduje art. 29 ustawy, zgodnie z którym zachodzi w takim przypadku konieczność złożenia pisemnego, umotywowanego wniosku. W uzasadnieniu osoba lub podmiot zwracający się o dane musi wskazać przepis prawa, który upoważnia ją do posiadania tych danych, lub wykazać potrzebę ich posiadania, przy czym udostępnienie danych nie może w takim przypadku naruszać praw i wolności osób, których one dotyczą. W sposób szczególny w ustawie potraktowane zostały dane ujawniające pochodzenie rasowe i etniczne, poglądy polityczne, przekonania religijne i filozoficzne, przynależność wyznaniową, partyjną lub związkową, dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualny, dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Ich przetwarzanie jest zabronione chyba, że zachodzi jedna z sytuacji wymienionych w art. 27 ust. 2 ustawy. Gdy o dane występuje pojedyncza osoba – czyli w celu innym niż włączenie do zbioru – można je udostępnić jedynie wtedy, gdy podmiot zwracający się o nie jest do tego upoważniony przez przepisy prawa. Jeśli takich przepisów nie ma, nie jest możliwe udostępnienie danych szczególnie chronionych, chociażby osoba zwracająca się o nie jak najbardziej uwiarygodniała potrzebę ich posiadania. Od 1 maja 2004 r., czyli od wejścia Polski do Unii Europejskiej, przekazywanie danych pomiędzy Polską a krajami należącymi do Unii Europejskiej podlega takim zasadom jak na terytorium Polski, natomiast zasady przekazywania danych poza terytorium Europejskiego Obszaru Gospodarczego uregulowane są w rozdziale 7 ustawy o ochronie danych osobowych, zgodnie z którym przekazanie może nastąpić, gdy państwo trzecie gwarantuje na swoim terytorium ochronę danych osobowych przynajmniej taką, jaka obowiązuje na terytorium Rzeczypospolitej Polskiej, ale też w innych szczególnych sytuacjach wymienionych w ust. 2 i 3 art. 47 ustawy o ochronie danych osobowych. Jeśli żadna z tych szczególnych sytuacji nie ma miejsca, do państwa trzeciego dane można przekazać również po uzyskaniu zgody Generalnego Inspektora, ale wtedy administrator musi zapewnić zabezpieczenie ochrony prywatności, praw i wolności osób, których dane dotyczą.
Źródło: www.giodo.gov.pl
|