2018-05-25

Dane osobowe - ich przetwarzanie i ochrona. Zasadnicze informacje

 

Dane osobowe to takie dane, które pozwalają zidentyfikować konkretną osobę fizyczną, czyli np.: imię, nazwisko, numer PESEL, płeć, adres e-mail, dane o lokalizacji, historia zakupów, a także tzw. „szczególne kategorie danych”, do których zaliczają się dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne i biometryczne, dane dotyczące zdrowia, seksualności lub orientacji seksualnej. Generalnie więc, wszelkie informacje zbierane na temat osoby, które pozwalają na ustalenie jej tożsamości, są danymi osobowymi, niezależnie od formy ich przetwarzania - dane osobowe mogą występować bowiem w formie papierowej (np. dokumentacja spraw, umowy, ewidencje), elektronicznej (np. dane na serwerach, na dyskach twardych), głosowej (np. rozmowy telefoniczne) lub wizyjnej (np. dane z monitoringu wizyjnego).

Przetwarzanie danych osobowych to czynności wykonywane na tych danych np. ich zbieranie, przechowywanie, modyfikowanie, przeglądanie, wykorzystywanie, udostępnianie, usuwanie lub niszczenie.

Wszelkie udostępnione dane osobowe, gromadzone w zasobach np. instytucji i firm muszą być przetwarzane zgodnie z obowiązującymi przepisami prawa w tym zakresie. Podstawę prawną, na której bazuje ochrona danych osobowych jest obecnie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwane powszechnie „RODO”, które które weszło w życie w dniu 25 maja 2018 roku. Jest to to unijne rozporządzenie, które zastępuje wszystkie dotychczasowe regulacje w zakresie ochrony danych osobowych we wszystkich państwach członkowskich Unii Europejskiej. Obejmuje ono swoim zastosowaniem wszystkie podmioty prywatne i publiczne, które przetwarzają dane osobowe oraz procesy z tym związane.

RODO nie ma jednak zastosowania do przetwarzania danych przez osoby fizyczne w ramach czynności osobistych lub o charakterze domowym (czyli np. przetwarzania danych osobowych rodziny, znajomych na potrzeby prywatne, domowe).

W maju bieżącego roku wprowadzono także nową ustawę krajową o ochronie danych osobowych wspierającą niejako i doprecyzowującą niektóre zapisy RODO.

W Starostwie Powiatowym w Mikołowie przetwarzanie danych osobowych opiera się przede wszystkim na wyżej wymienionych aktach prawnych z zapewnieniem odpowiedniej ochrony i bezpieczeństwa tych danych, w związku z realizacją zadań i uprawnień określonych przepisami prawa albo gdy jest to niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej.

Oprócz przetwarzania danych osobowych na bazie obowiązujących przepisów, może być to także konieczne w celu wykonania umowy, której dana osoba jest stroną, lub warunkiem zawarcia takiej umowy. Mogą również wystąpić przypadki w których przetwarzanie danych jest możliwe wyłącznie w sytuacji wyrażenia zgody na przetwarzanie danych osobowych w określonym celu i w określonym zakresie. Jeżeli podstawą przetwarzania danych osobowych jest zgoda osoby, której dane dotyczą, musi być ona wyrażona w sposób świadomy i dobrowolny, a zapytanie o zgodę musi zostać przedstawione w sposób wyraźnie odróżniający od innych kwestii. Zgodę na przetwarzanie danych można wycofać w każdym momencie i fakt ten nie wpływa na zgodność przetwarzania danych z prawem, którego dokonano na podstawie zgody przed jej wycofaniem.

Przetwarzane dane osobowe muszą być odpowiednio chronione i zabezpieczone w celu zapewnienia im poufności, niezmienności i dostępności, czyli m.in: przetwarzane w sposób rzetelny i przejrzysty na podstawie obowiązującego prawa, zbierane jedynie w konkretnych, wyraźnych celach i adekwatnie do tych celów, przechowywane przez okres nie dłuższy niż jest to niezbędne do realizacji celów w jakich zostały zebrane.

Za właściwą ochronę danych osobowych i przestrzeganie prawa w tej materii odpowiada Administrator danych, czyli osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który ustala cele i sposoby przetwarzania tych danych. Administratorem danych osobowych w Starostwie Powiatowym w Mikołowie jest Starosta Mikołowski.

Na podstawie obowiązujących przepisów w Starostwie Powiatowym powołany został także Inspektor Ochrony Danych, który pełni między innymi funkcję doradczą i kontrolną w zakresie obowiązków wynikających z przepisów w zakresie ochrony danych osobowych. Jest on odpowiedzialny także za współpracę z organem nadzorczym czyli Prezesem Urzędu Ochrony Danych Osobowych oraz za pełnienie funkcji punktu kontaktowego w kwestiach dotyczących ochrony i przetwarzania danych osobowych.

Dane kontaktowe Administratora danych oraz Inspektora Ochrony Danych znajdują się na stronie internetowej Powiatu Mikołowskiego oraz w Biuletynie Informacji Publicznej.

Na zasadach określonych przepisami RODO, każda osoba, której dane osobowe są przetwarzane ma prawo do żądania od Administratora danych: dostępu do treści swoich danych osobowych, ich sprostowania (poprawiania), usunięcia, ograniczenia przetwarzania, przenoszenia, a ponadto prawo do wniesienia sprzeciwu wobec przetwarzania tych danych. W praktyce jednak nie wszystkie z tych praw mają zastosowanie w każdym przypadku. Zależy to bowiem od konkretnej sytuacji i celu w jakim dane są przetwarzane. RODO precyzuje bardzo konkretnie kiedy można skorzystać z tych praw, a kiedy nie.

W sytuacji, gdy przetwarzania danych osobowych narusza przepisy o ochronie danych osobowych, każda osoba, której dane są przetwarzane np. przez określoną instytucję czy firmę, ma prawo do wniesienia skargi w tym zakresie do organu nadzorczego, którym jest Prezes Urzędu Ochrony Danych Osobowych.

Przeczytaj o systemie i przetwarzanych w nim danych

Tożsamość administratora systemu
Administratorem Scentralizowanego Systemu Dostępu do Informacji Publicznej (SSDIP), który służy do udostępniania podmiotowych stron BIP jest Minister Cyfryzacji, mający siedzibę w Warszawie (00-583) przy Al. Ujazdowskich 1/3, który zapewnia jego rozwój i utrzymanie. Minister Cyfryzacji w ramach utrzymywania i udostępniania systemu SSDIP zapewnia bezpieczeństwo publikowanych danych, wymagane funkcjonalności oraz rejestrowanie i nadawanie uprawnień redaktorów BIP dla osób wskazanych we wnioskach podmiotów zainteresowanych utworzeniem własnych stron podmiotowych przy użyciu SSDIP zgodnie z art. 9 ust. 4 pkt 3 ustawy z 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. z 2019 r. poz. 1429).
Minister Cyfryzacji, jako administrator systemu SSDIP jest jednocześnie administratorem danych osób wnioskujących o dostęp do SSDIP w celu utworzenia podmiotowych stron BIP oraz osób wyznaczonych do ich redagowania.
Tożsamość administratora danych
Administratorem danych osobowych przetwarzanych w systemie SSDIP w zakresie osób wnioskujących o utworzenie podmiotowej strony BIP oraz osób wyznaczonych do ich redagowania (redaktorów podmiotowych stron BIP) jest Minister Cyfryzacji.

Administratorami danych publikowanych na podmiotowych stronach BIP utworzonych w ramach SSDIP są podmioty, które daną stronę podmiotową BIP utworzyły. Podmioty te decydują o treści danych, w tym treści i zakresie danych osobowych publikowanych na podmiotowych stronach BIP, ich rozmieszczeniu, modyfikacji i usuwaniu.
Minister Cyfryzacji, jako Administrator systemu SSDIP w odniesieniu do materiałów publikowanych na podmiotowych stronach BIP jest podmiotem przetwarzającym. Może on ingerować w treść materiałów publikowanych na poszczególnych stronach podmiotowych BIP jedynie w przypadku, gdy właściwy podmiot, który daną stronę utworzył i nią zarządza utracił do niej dostęp lub z innych przyczyn utracił nad nią kontrolę.
Dane kontaktowe administratora systemu SSDIP
Z administratorem systemu SSDIP można się skontaktować poprzez adres email mc@mc.gov.pl, pisemnie na adres siedziby administratora, lub na adres ul. Królewska 27, 00-060 Warszawa.
Dane kontaktowe inspektora ochrony danych osobowych
Administrator systemu SSDIP wyznaczył inspektora ochrony danych, z którym może się Pani/Pan skontaktować poprzez email iod@mc.gov.pl lub listownie – na adres ul. Królewska 27, 00-060 Warszawa. Z inspektorem ochrony danych można się kontaktować wyłącznie w sprawach dotyczących przetwarzania danych osobowych osób składających wnioski o udostepnienie SSDIP, redaktorów poszczególnych stron BIP, oraz incydentów bezpieczeństwa.
W sprawach przetwarzania danych osobowych zawartych w treści materiałów publikowanych w ramach poszczególnych stron podmiotowych, należy się kontaktować z inspektorem ochrony danych podmiotu, którego strona BIP dotyczy, ich redaktorem lub kierownictwem podmiotu, który daną stronę podmiotowa BIP utworzył.
Cele przetwarzania i podstawa prawna przetwarzania
Celem przetwarzania danych publikowanych na stronach podmiotowych BIP przez poszczególne podmioty jest udostępnienie informacji publicznej wytworzonej w urzędzie i dotyczącej działalności urzędu. Podstawę prawną publikacji stanowi wypełnienie obowiązku prawnego, o którym mowa w art. 8 oraz art. 9 ust 2 ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej.
Celem udostępniania systemu SSDIP przez Ministra Cyfryzacji jest umożliwienie podmiotom zobowiązanym, o których mowa w art. 4 ust 1 i 2 ustawy z 6 września 2001 r. o dostępie do informacji publicznej, utworzenia i prowadzenia własnych stron BIP (co wynika z art. 9 ust. 4 pkt 3 oraz art. 9 ust. 4a ww. ustawy).
Odbiorcy danych lub kategorie odbiorców danych
Dane osobowe w zakresie imienia, nazwiska, nr telefonu, nr faksu dotyczące redaktorów podmiotowych stron BIP oraz dane osobowe publikowane w ramach treści materiałów zamieszczanych na poszczególnych podmiotowych stronach BIP są danymi udostępnianymi publicznie bez żadnych ograniczeń, w tym Centralnemu Ośrodkowi Informatycznemu w Warszawie przy Alejach Jerozolimskich 132-136, któremu Ministerstwo Cyfryzacji powierzyło przetwarzanie danych przetwarzanych w ramach platformy SSDIP.
Okres przechowywania danych
Dane dotyczące osób wnioskujących o udostępnienie systemu SSDIP oraz dane osób wyznaczonych na redaktorów stron podmiotowych przechowywane są przez czas, w jakim osoby te pełniły swoje funkcje oraz przez okres wskazany w przepisach prawa po okresie, w którym osoby te przestały pełnić swoje funkcje.
Dane osobowe osób zawarte w materiałach publikowanych w ramach podmiotowych stron BIP przechowywane są przez okres ustalony przez osoby zarządzające treścią tych stron.
Prawa podmiotów danych
Osoby, których dane są przetwarzane w systemie głównym SSDIP, w tym osoby składające wnioski o przyznanie dostępu do SSDIP oraz osoby będące redaktorami podmiotowych stron BIP, mają prawo dostępu do swoich danych, prawo do sprzeciwu, prawo ograniczenia przetwarzania oraz prawo żądania ich sprostowania oraz usunięcia po okresie, o którym mowa powyżej. Z wnioskiem w sprawie realizacji ww. praw należy się zwracać do administratora systemu tj. Ministra Cyfryzacji lub wyznaczonego inspektora ochrony danych na adres iod@mc.gov.pl.
Osoby, których dane są publikowane w ramach treści materiałów zamieszczanych na podmiotowych stronach BIP maja prawo dostępu do danych, prawo do sprzeciwu, prawo do ograniczenia przetwarzania, prawo żądania ich sprostowania oraz usunięcia po okresie, w którym ich publikacja jest wymagana. Z wnioskiem w sprawie realizacji ww. praw należy się zwracać do administratora danych podmiotu, którego dana strona BIP dotyczy, lub wyznaczonego przez niego inspektora ochrony danych.
Prawo wniesienia skargi do organu nadzorczego
Osobom, których dane są przetwarzane w systemie SSDIP lub na podmiotowych stronach BIP publikowanych przez poszczególne podmioty przysługuje prawo wniesienia skargi do organu nadzorczego zajmującego się ochroną danych tj. do Prezesa Urzędu Ochrony Danych Osobowych (PUODO) z siedzibą w Warszawie przy ul. Stawki 2, 00-193 Warszawa.
Informacja o dobrowolności lub obowiązku podania danych
Przetwarzanie danych osobowych osób składających wnioski o dostęp do SSDIP oraz osób wyznaczonych do redakcji poszczególnych stron podmiotowych BIP jest niezbędne dla zapewnienia kontroli dostępu i wynika z przepisu prawa, tj. art. 9 ust. 4 pkt 3 oraz art. 9 ust. 4a ustawy z 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. z 2019 r. poz. 1429) oraz § 15 ust. 2 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 18 stycznia 2007 r. w sprawie Biuletynu Informacji Publicznej (Dz. U. Nr 10, poz. 68), w związku z art. 20a ustawy z dnia 17 lutego o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2019 r. poz. 700, 730, 848, 1590 i 2294) i przepisami rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z 2017 r. poz. 2247).
Publikowanie danych osobowych na stronie systemu SSDIP oraz na podmiotowych stronach BIP jest dopuszczalne tylko wtedy, jeśli wynika z przepisów prawa, lub jeśli administrator danych uzyskał zgodę tych osób na ich publikację.



Zapoznałem się..