Przetwarzanie danych osobowych

Każdy ma prawo do ochrony dotyczących go danych osobowych. Dlatego przewidziano rygorystyczne ograniczenia związane z przetwarzaniem danych. Poniższe odpowiedzi na fundamentalne pytania przygotowano według stanu prawnego na dzień 15 lipca 2015 r. Opracowanie nie jest na bieżąco aktualizowane.

Jakie informacje są danymi osobowymi? 

Za dane osobowe uważa się wszelkie informacje dotyczące:

  • zidentyfikowanej osoby fizycznej,
  • lub możliwej do zidentyfikowania osoby fizycznej, czyli takiej której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
Kto musi stosować ustawę o ochronie danych osobowych?

Obszar stosowania ustawy o ochronie danych osobowych wyznaczają przesłanki pozytywne i negatywne. Krąg podmiotów związanych reżimem tej ustawy jest zasadniczo szeroki. Również pojęcie przetwarzania danych obejmuje bardzo wiele zdarzeń związanych z danymi osobowymi.

I. Pozytywne przesłanki. Ustawę o ochronie danych osobowych stosuje się do:

  1. organów państwowych,
  2. organów samorządu terytorialnego
  3. oraz do państwowych i komunalnych jednostek organizacyjnych.

Ustawę stosuje się również do:

  1. podmiotów niepublicznych realizujących zadania publiczne,
  2. osób fizycznych i osób prawnych
  3. oraz jednostek organizacyjnych niebędących osobami prawnymi,

jeżeli:

  • przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych
  • i mają siedzibę albo miejsce zamieszkania w Polsce, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się w Polsce.

Podstawa prawna: art. 3 ust.1-2 ustawy o ochronie danych osobowych (1997 r.)

2. Negatywne przesłanki. Ustawy o ochronie danych osobowych nie stosuje się do:

  1. osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych,
  2. podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne znajdujące się w Polsce wyłącznie do przekazywania danych.

Ustawy o ochronie danych osobowych, z wyjątkiem przepisów art. 14-19 i art. 36 ust. 1 tej ustawy, nie stosuje się również do prasowej działalności dziennikarskiej w rozumieniu Prawa prasowego oraz do działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą. Wskazana w tym akapicie przesłanka negatywna jest trudna w stosowaniu z uwagi na jej niejasność.

Podstawa prawna: art. 3a ust.1-2 ustawy o ochronie danych osobowych (1997 r.)

Co znaczy „przetwarzanie danych osobowych”? Jakie operacje na danych mogą zostać uznane za przetwarzanie danych?

Przez przetwarzanie danych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak:

  • zbieranie,
  • utrwalanie,
  • przechowywanie,
  • opracowywanie,
  • zmienianie,
  • udostępnianie,
  • usuwanie,
  • a zwłaszcza te, które wykonuje się w systemach informatycznych.

Pojęcie przetwarzania informacji jest zatem bardzo szerokie i w zasadzie obejmuje prawie wszystkie operacje związane z danymi osobowymi.

Podstawa prawna: art. 7 ustawy o ochronie danych osobowych (1997 r.)

Kiedy można przetwarzać dane osobowe?

Kluczową regulacją jest zakres dopuszczalnego przetwarzania danych. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

  1. osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych (Zgoda ta może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania. Z kolei jeżeli przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a spełnienie warunku o uzyskaniu zgody jest niemożliwe, można przetwarzać dane bez zgody tej osoby, do czasu, gdy uzyskanie zgody będzie możliwe);
  2. jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;
  3. jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;
  4. jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;
  5. jest to niezbędne dla wypełnienia „prawnie usprawiedliwionych celów” realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Za „prawnie usprawiedliwiony cel” uważa się w szczególności:
  • marketing bezpośredni własnych produktów lub usług administratora danych;
  • dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

Podstawa prawna: art. 23 ustawy o ochronie danych osobowych (1997 r.)

Zgoda, o której powyżej, nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Może być odwołana w każdym czasie.

Podstawa prawna: art. 7 ustawy o ochronie danych osobowych (1997 r.)

Kiedy i o czym należy informować osoby, których dane dotyczą?

Przedmiotowa kwestia zależy od sposobu zebrania danych, tj. czy dane są zbierane bezpośrednio od osób, których dotyczą, czy też dane te pochodzą z innych źródeł.

I. Obowiązki informacyjne administratora danych (bezpośrednie zbieranie danych).  W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o:

  1. szeregu danych adresowych,
  2. celu zbierania danych,
  3. prawie dostępu do treści swoich danych oraz ich poprawiania,
  4. dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

Administrator danych nie musi informować takich osób, jeżeli:

  1. przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania;
  2. osoba, której dane dotyczą, posiada informacje, o których mowa powyżej.

Podstawa prawna: art. 24 ust. 1-2 ustawy o ochronie danych osobowych (1997 r.)

Przez administratora danych  rozumie się organ, jednostkę organizacyjną, podmiot lub osobę decydujące o celach i środkach przetwarzania danych osobowych.

Podstawa prawna: art. 7 ustawy o ochronie danych osobowych (1997 r.)

II. Obowiązki informacyjna administratora danych (pośrednie zbieranie danych). W przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany tym bardziej poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o:

  1. danych adresowych;
  2. celu i zakresie zbierania danych;
  3. źródle danych;
  4. prawie dostępu do treści swoich danych oraz ich poprawiania;
  5. o uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8 ustawy o ochronie danych osobowych.

Administrator danych nie musi informować takich osób, jeżeli:

  1. przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą;
  2. dane te są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą, a spełnienie wymagania uzyskania zgody, wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania;
  3. dane są przetwarzane przez administratora, o którym mowa w art. 3 ust. 1 i ust. 2 pkt 1 ustawy o ochronie danych osobowych, na podstawie przepisów prawa;
  4. osoba, której dane dotyczą, posiada informacje, o których mowa powyżej.

Podstawa prawna: art. 25 ust. 1-2 ustawy o ochronie danych osobowych (1997 r.)

Co to są dane wrażliwe?

Dane wrażliwe to dane ujawniające:

  • pochodzenie rasowe lub etniczne,
  • poglądy polityczne,
  • przekonania religijne lub filozoficzne,
  • przynależność wyznaniową,
  • partyjną lub związkową,
  • danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym
  • danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

Przetwarzanie danych, o których mowa powyżej, jest z zasady zabronione, chyba że zachodzi jeden z poniższych wyjątków:

  1. osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych;
  2. przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony;
  3. przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora;
  4. jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych;
  5. przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem;
  6. przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie;
  7. przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych;
  8. przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą;
  9. jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone;
  10. przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.

Podstawa prawna: art. 27 ust. 1-2 ustawy o ochronie danych osobowych (1997 r.)

Jak powierzyć przetwarzanie danych podmiotowi zewnętrznemu? 

Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Podmiot ten może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.

Podstawa prawna: art. 31 ust. 1-5 ustawy o ochronie danych osobowych (1997 r.)

Jakie uprawnienia przysługują osobie, ktorej dane osobowe są przetwarzane?

I. Prawo do kontroli. Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do:

  1. uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna – jej miejsca zamieszkania oraz imienia i nazwiska (Osoba zainteresowana może skorzystać z prawa do informacji nie częściej niż raz na 6 miesięcy);
  2. uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze (Osoba zainteresowana może skorzystać z prawa do informacji nie częściej niż raz na 6 miesięcy);
  3. uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych (Osoba zainteresowana może skorzystać z prawa do informacji nie częściej niż raz na 6 miesięcy);
  4. uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie w tajemnicy informacji niejawnych lub zachowania tajemnicy zawodowej (Osoba zainteresowana może skorzystać z prawa do informacji nie częściej niż raz na 6 miesięcy);
  5. uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane (Osoba zainteresowana może skorzystać z prawa do informacji nie częściej niż raz na 6 miesięcy);
  6. żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane;
  7. wniesienia, w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5 ustawy o ochronie danych osobowych, pisemnego, umotywowanego żądania zaprzestania przetwarzania danych ze względu na szczególną sytuację (W przypadku wniesienia takiego żądania, administrator danych zaprzestaje przetwarzania kwestionowanych danych osobowych albo bez zbędnej zwłoki przekazuje żądanie Generalnemu Inspektorowi, który wydaje stosowną decyzję.);
  8. wniesienia sprzeciwu wobec przetwarzania danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5 ustawy o ochronie danych osobowych, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych (W razie wniesienia takiego sprzeciwu dalsze przetwarzanie kwestionowanych danych jest niedopuszczalne. Administrator danych może jednak pozostawić w zbiorze imię lub imiona i nazwisko osoby oraz numer PESEL lub adres wyłącznie w celu uniknięcia ponownego wykorzystania danych tej osoby w celach objętych sprzeciwem.);
  9. wniesienia do administratora danych żądania ponownego, indywidualnego rozpatrzenia sprawy rozstrzygniętej z naruszeniem art. 26a ust. 1 ustawy o ochronie danych osobowych (W razie wniesienia takiego żądania administrator danych bez zbędnej zwłoki rozpatruje sprawę albo przekazuje ją wraz z uzasadnieniem swojego stanowiska Generalnemu Inspektorowi, który wydaje stosowną decyzję.).

Podstawa prawna: art. 32 ust. 1-5 ustawy o ochronie danych osobowych (1997 r.)\

II. Poinformowanie o prawach i udzielenie informacji. Na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie do jej danych osobowych, stosownych informacji.

Podstawa prawna: art. 33 ust. 1-2 ustawy o ochronie danych osobowych (1997 r.)

III. Odmowa udzielanie informacji. Administrator danych odmawia osobie, której dane dotyczą, udzielenia informacji, o których mowa w poprzednim akapicie, jeżeli spowodowałoby to:

  1. ujawnienie wiadomości zawierających informacje niejawne;
  2. zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego;
  3. zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa;
  4. istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób.

Podstawa prawna: art. 34 ustawy o ochronie danych osobowych (1997 r.)

IV. Niekompletność informacji. W razie wykazania przez osobę, której dane osobowe dotyczą, że są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są zbędne do realizacji celu, dla którego zostały zebrane, administrator danych jest obowiązany, bez zbędnej zwłoki, do uzupełnienia, uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru, chyba że dotyczy to danych osobowych, w odniesieniu do których tryb ich uzupełnienia, uaktualnienia lub sprostowania określają odrębne ustawy. W razie niedopełnienia przez administratora danych tego obowiązku, osoba, której dane dotyczą, może się zwrócić do Generalnego Inspektora z wnioskiem o nakazanie dopełnienia tego obowiązku. Administrator danych jest obowiązany poinformować bez zbędnej zwłoki innych administratorów, którym udostępnił zbiór danych, o dokonanym uaktualnieniu lub sprostowaniu danych.

Podstawa prawna: art. 35 ust. 1-3 ustawy o ochronie danych osobowych (1997 r.)

Jak zgłosić zbiór danych osobowych do GIODO?

I. Obowiązek zgłoszenia. Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji GIODO, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1 i 1a ustawy o ochronie danych osobowych.

Podstawa prawna: art. 40 ustawy o ochronie danych osobowych (1997 r.)

Przez zbiór danych rozumie się każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

Podstawa prawna: art. 7 ustawy o ochronie danych osobowych (1997 r.)

II. Treść zgłoszenia. Zgłoszenie zbioru danych do rejestracji powinno zawierać:

  1. wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych;
  2. oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych podmiotowi, o którym mowa w art. 31 ustawy ochronie danych osobowych, lub wyznaczenia podmiotu, o którym mowa w art. 31a ustawy ochronie danych osobowych; oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania,
  3. cel przetwarzania danych;
  4. opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych;
  5. sposób zbierania oraz udostępniania danych;
  6. informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane;
  7. opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39,
  8. informację o sposobie wypełnienia warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a ustawy ochronie danych osobowych;
  9. informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.

Podstawa prawna: art. 41 ust. 1-4 ustawy o ochronie danych osobowych (1997 r.)

III. Zwolnienie z obowiązku rejestracji. Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:

  1. zawierających informacje niejawne;
  2. które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności;
  3. przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym;
  4. przetwarzanych przez Generalnego Inspektora Informacji Finansowej;
  5. przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym;
  6. przetwarzanych przez właściwie organy na podstawie przepisów o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej;
  7. dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego;
  8. przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się;
  9. dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta;
  10. tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego;
  11. dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności;
  12. przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej;
  13. powszechnie dostępnych;
  14. przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego;
  15. przetwarzanych w zakresie drobnych bieżących spraw życia codziennego;
  16. przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1 ustawy o ochronie danych osobowych.

Podstawa prawna: art. 43 ust. 1 ustawy o ochronie danych osobowych (1997 r.)

Powołanie ABI. Obowiązkowi rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1 ustawy o ochronie danych osobowych , nie podlega administrator danych, który powołał administratora bezpieczeństwa informacji i zgłosił go Generalnemu Inspektorowi do rejestracji, z zastrzeżeniem art. 46e ust. 2 ustawy o ochronie danych osobowych .

Podstawa prawna: art. 43 ust. 1a ustawy o ochronie danych osobowych (1997 r.)

IV. Rozpoczęcie przetwarzania danych. Administrator danych może rozpocząć ich przetwarzanie w zbiorze danych po zgłoszeniu tego zbioru Generalnemu Inspektorowi, chyba że ustawa zwalnia go z tego obowiązku. Administrator danych, o których mowa w art. 27 ust. 1 ustawy o ochronie danych osobowych, może rozpocząć ich przetwarzanie w zbiorze danych po zarejestrowaniu zbioru, chyba że ustawa zwalnia go z obowiązku zgłoszenia zbioru do rejestracji.

Podstawa prawna: art. 46 ust. 1-2 ustawy o ochronie danych osobowych (1997 r.)

Kiedy i jak można przekazać dane za granicę?

I. Odpowiedni poziom ochrony. Przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych. Odpowiedni poziom ochrony danych osobowych jest oceniany z uwzględnieniem wszystkich okoliczności dotyczących operacji przekazania danych, w szczególności biorąc pod uwagę charakter danych, cel i czas trwania proponowanych operacji przetwarzania danych, kraj pochodzenia i kraj ostatecznego przeznaczenia danych oraz przepisy prawa obowiązujące w danym państwie trzecim oraz stosowane w tym państwie środki bezpieczeństwa i zasady zawodowe. Regulacji tej nie stosuje się, gdy przesłanie danych osobowych wynika z obowiązku nałożonego na administratora danych przepisami prawa lub postanowieniami ratyfikowanej umowy międzynarodowej, gwarantującymi odpowiedni poziom ochrony tych danych. Administrator danych może jednak przekazać dane osobowe do państwa trzeciego, jeżeli:

  1. osoba, której dane dotyczą, udzieliła na to zgody na piśmie;
  2. przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie;
  3. przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych a innym podmiotem;
  4. przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych;
  5. przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą,
  6. dane są ogólnie dostępne.

Podstawa prawna: art. 47 ust. 1-3 ustawy o ochronie danych osobowych (1997 r.)

Przez państwo trzecie rozumie się państwo nienależące do Europejskiego Obszaru Gospodarczego.

Podstawa prawna: art. 7 ustawy o ochronie danych osobowych (1997 r.)

II. Inne przypadki. W przypadkach innych niż wymienione w art. 47 ust. 2 i 3 ustawy ochronie danych osobowych  przekazanie danych osobowych do państwa trzeciego, które nie zapewnia na swoim terytorium odpowiedniego poziomu ochrony danych osobowych, może nastąpić po uzyskaniu zgody Generalnego Inspektora, wydanej w drodze decyzji administracyjnej, pod warunkiem że
administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą. Zgoda Generalnego Inspektora nie jest wymagana, jeżeli administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą, przez:

  • standardowe klauzule umowne ochrony danych osobowych, zatwierdzone przez Komisję Europejską lub
  • prawnie wiążące reguły lub polityki ochrony danych osobowych, zwane dalej „wiążącymi regułami korporacyjnymi”, które zostały zatwierdzone przez Generalnego Inspektora zgodnie z poniższymi regułami.

Generalny Inspektor zatwierdza, w drodze decyzji administracyjnej, wiążące reguły korporacyjne przyjęte w ramach grupy przedsiębiorców do celów przekazania danych osobowych przez administratora danych lub podmiot, o którym mowa w art. 31 ust. 1 ustawy ochronie danych osobowych, do należącego do tej samej grupy innego administratora danych lub podmiotu, o którym mowa w art. 31 ust. 1 ustawy ochronie danych osobowych, w państwie trzecim. Generalny Inspektor przed zatwierdzeniem wiążących reguł korporacyjnych może przeprowadzić konsultacje z właściwymi organami ochrony danych osobowych państw należących do Europejskiego Obszaru Gospodarczego, na których terytorium mają siedziby przedsiębiorcy należący do grupy, o której mowa powyżej, przekazując im niezbędne informacje w tym celu. Generalny Inspektor, wydając decyzję, o której mowa powyżej, uwzględnia wyniki przeprowadzonych konsultacji, a jeżeli wiążące reguły korporacyjne były przedmiotem rozstrzygnięcia organu ochrony danych osobowych innego państwa należącego do Europejskiego Obszaru Gospodarczego – może uwzględnić to rozstrzygnięcie.

Podstawa prawna: art. 48 ustawy o ochronie danych osobowych (1997 r.)

Jakie kary  grożą za nielegalne przetwarzanie danych osobowych?

I. Niedopuszczalne lub nieuprawnione przetwarzania danych. Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Jeżeli czyn ten dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.

Podstawa prawna: art. 49 ust. 1-2 ustawy o ochronie danych osobowych (1997 r.)

II. Udostępniania danych osobom nieupoważnionym. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Podstawa prawna: art. 51 ust. 1-2 ustawy o ochronie danych osobowych (1997 r.)

III. Niezabezpieczenie danych. Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Podstawa prawna: art. 52 ustawy ochronie danych osobowych (1997 r.)

IV. Niezarejestrowanie zbioru danych. Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Podstawa prawna: art. 53 ustawy o ochronie danych osobowych (1997 r.)

V. Niepoinformowanie osób, których dane dotyczą. Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Podstawa prawna: art. 54 ustawy o ochronie danych osobowych (1997 r.)