LexDigital

Ustawa o ochronie danych osobowych — streszczenie

Ustawa o ochronie danych osobowych, poprzedzająca ogólne rozporządzenie o ochronie danych to jedna z kluczowych regulacji prawnych dotyczących ochrony prywatności i danych osobowych w Polsce. Artykuł przedstawia streszczenie tego dokumentu, omawiając m.in. cele, zakres i podstawowe zasady przetwarzania danych osobowych, a także prawa osób, których dane są przetwarzane.

Ustawa o ochronie danych osobowych — streszczenie

Co najważniejszego należy zapamiętać z treści tekstu ustawy o ochronie danych osobowych?

Od momentu stosowania RODO minęło już prawie 5 lat, rzadko kiedy wracamy do tekstu ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. Dz.U. 2018 poz. 1000.

W poniższym artykule wskażemy najważniejsze elementy ustawy o ochronie danych, o których należy pamiętać w trakcie stosowania RODO w Państwa organizacjach.

Treść ustawy kładzie ogromny nacisk na podstawowy cel zarówno rozporządzenia, jak i ustawy o ochronie danych, którym jest zagwarantowanie bezpieczeństwa danych osób, których dane dotyczą.

Rozdział 1 Przepisy ogólne

Ustawę stosujemy w celu ochrony osób fizycznych (osoba fizyczna to każdy z nas od momentu urodzenia, aż do śmierci, bez względu na wiek czy płeć lub inne cechy).

Ustawa określa nam:

  • podmioty publiczne, które są zobowiązane do wyznaczenia IOD oraz trybu zawiadomienia o jego wyznaczeniu,
  • obszar związany z akredytacją do certyfikacji w zakresie ochrony danych osobowych,
  • tryb zatwierdzania kodeksów postępowania,
  • organ nadzorczy w sprawie ochrony danych osobowych,
  • jak postępować w przypadku naruszeń przepisów o ochronie danych osobowych,
  • jak współpracują organy nadzorcze w ramach Unii Europejskiej,
  • jak organ nadzorczy może kontrolować przestrzeganie przepisów o ochronie danych,
  • odpowiedzialność cywilną za naruszenie o ochronie danych,
  • odpowiedzialność karną za naruszenie przepisów o ochronie danych.

Rozdział 2 Wyznaczanie inspektora ochrony danych

Organy i podmioty publiczne, które są zobowiązane do wyznaczenia IOD:

  • jednostki sektora finansów publicznych,
  • instytuty badawcze,
  • Narodowy Bank Polski.

Co najważniejsze należy poinformować Prezesa Urzędu Ochrony Danych (który jest następcą generalnego inspektora ochrony danych) o wyznaczeniu IOD w terminie 14 dni od dnia wyznaczenia wewnętrznego (poprzez np. uchwałę Zarządu).

Podczas zgłoszenia IOD do PUODO wskazujemy jego imię, nazwisko, adres e-mail oraz numer telefonu.

Ważne, aby pamiętać o konieczności poinformowania PUODO o każdej zmianie danych IOD, również w trybie 14 dni od zaistnienia tej zmiany lub odwołania aktualnego IOD.

Jak prawidłowo zawiadomić o wyznaczeniu/odwołaniu/zmianie danych IOD (zastępcy IOD)?

Rozdział 3 i 4 Warunki i tryb udzielania akredytacji podmiotowi certyfikującemu oraz warunki i tryb dokonywania certyfikacji

Jest to tryb, który nadal nie został uruchomiony w praktyce. Czekamy na umożliwienie akredytacji podmiotów certyfikujących, a następnie udostępnienia przez nie oferty na certyfikację systemów ochrony danych osobowych.

Według ustawy PUODO udostępni na swojej stronie podmiotowej kryteria akredytacji, o których mowa w art. 43 ust. 3 RODO. Aktualnie na stronie Urzędu możemy przeczytać ogólne informacje o certyfikacji, celach certyfikacji i podmiotach certyfikujących.

podmiot certyfikujący, certyfikat, certified

Rozdział 5 Opracowywanie i zatwierdzanie kodeksu postępowania oraz warunki i tryb akredytacji podmiotu monitorującego jego przestrzeganie

Proces zatwierdzania kodeksów postępowania jest również na dość początkowym etapie. Na ten moment Prezes Urzędu Ochrony Danych Osobowych zatwierdził 14 grudnia 2022 r. projekt Kodeksu postępowania dotyczącego ochrony danych osobowych przetwarzanych w małych placówkach medycznych (Porozumienie Zielonogórskie). Jest to jedyny zaakceptowany kodeks postępowania w momencie przygotowywania tego artykułu (kwiecień 2023 r.). Lista zatwierdzonych kodeksów postępowania jest aktualizowana pod poniższym linkiem.

Oczywiście trwają również prace nad kolejnymi kodeksami postępowania, są to m.in.:

  • Kodeks postępowania w zakresie ochrony danych osobowych (dla Uczelni Medycznych),
  • Kodeks dotyczący zasad przetwarzania danych osobowych gości hotelowych,
  • Kodeks postępowania ochrony danych osobowych dla branży wodociągowo-kanalizacyjnej,
  • Kodeks postępowania dla branży badań medycznych,
  • Kodeks postępowania w sądach powszechnych [obejmujący czynności niewchodzące w zakres wymiaru sprawiedliwości],
  • Kodeks postępowania z danymi osobowymi w jednostkach samorządu terytorialnego (dla jednostek samorządu terytorialnego).

Rozdział 6 Prezes Urzędu

Z najważniejszych kwestii tego rozdziału dowiadujemy się o tym, że PUODO:

  1. jest powoływany na kadencję, która trwa 4 lata,
  2. określa wykaz operacji podlegających OSODowi,
  3. zatwierdza wiążące reguły korporacyjne,
  4. współpracuje z niezależnymi organami nadzorczymi,
  5. ma prawo do prowadzenia postępowań przygotowawczych,
  6. podjęcie inicjatywy ustawodawczej,
  7. ma prawo do wykrywania i ścigania czynów zabronionych, jak i do zwalczania czynów zabronionych,
  8. decyduje o zakresie administracyjnej kary pieniężnej.

PUODO zastąpił ówczesnego Generalnego inspektora ochrony danych, który sprawował swoją rolę jeszcze w reżimie ustawy o ochronie danych z 1997 roku. Obecnie w polskim porządku prawnym bezpośrednio Prezes Urzędu Ochrony Danych Osobowych jest głównym organem nadzorczym do spraw ochrony danych osobowych.

Informacje o Prezesie UODO i jego zastępcy znajdziecie tutaj.

UODO, prezes UODO, urząd ochrony danych osobowych

Rozdział 7 Postępowanie w sprawie naruszeń przepisów o ochronie danych osobowych

Czy wiesz, że w związku z naruszeniem przepisów o ochronie danych osobowych PUODO może:

  1. Żądać tłumaczenia dokumentacji na język polski i to tłumaczenie organizacja wykonuje na własny koszt.
  2. Mieć dostęp do informacji objętnych tajemnicą prawnie chronioną, przy czym organizacja może zastrzec informacje, dokumenty lub ich części zawierające tajemnicę przedsiębiorstwa, przedstawiane Prezesowi Urzędu. W takim przypadku Administrator lub podmiot przetwarzający jest obowiązany przedstawić Prezesowi Urzędu również wersję dokumentu niezawierającą informacji objętych zastrzeżeniem.
  3. Nałożyć karę grzywny od 500 do 5000 zł w przypadku niestawienia się wezwanego świadka lub biegłego w postępowaniu administracyjnym.
  4. Ograniczyć przetwarzanie danych osobowych, w przypadku uprawdopodobnienia, że przetwarzanie narusza przepisy o ochronie danych, może spowodować poważne i trudne do usunięcia skutki.
  5. Uznać, że przemawia za tym interes publiczny i po zakończeniu postępowania informuje o wydaniu decyzji na swojej stronie podmiotowej w Biuletynie Informacji Publicznej.

Rozdział 8 Europejska współpraca administracyjna

Jednym z celów RODO jest uregulowanie zasad ochrony danych osobowych oraz umożliwienie swobodnego przepływu danych osobowych w Unii Europejskiej w taki sposób, by ochrona praw jednostki nie stała temu na przeszkodzie. Dlatego też PUODO ściśle współpracuje z organami nadzorczymi Państw członkowskich.

W przypadku, gdy PUODO otrzyma wniosek od organu nadzorczego innego państwa członkowskiego Unii Europejskiej dotyczącego uczestnictwa we wspólnej operacji, o której mówi rozporządzenie parlamentu europejskiego w art. 62 ust. 1 rozporządzenia, w sprawie ochrony danych osobowych, albo wystąpienia przez Prezesa Urzędu z takim wnioskiem, Prezes Urzędu dokonuje z organem nadzorczym innego państwa członkowskiego UE ustaleń, dotyczących wspólnej operacji i niezwłocznie sporządza wykaz z tych ustaleń. A wszystko po to, aby w przypadku zdarzeń, które mają miejsce na rozległym terenie UE połączyć siły wszystkich zainteresowanych organów i pomóc osobom fizycznym w ochronie ich praw i wolności.

flaga, ue, unia europejska

Rozdział 9 Kontrola przestrzegania przepisów o ochronie danych osobowych

PUODO prowadzi swoją kontrolę przestrzegania przepisów o ochronie danych osobowych:

  • zgodnie z zatwierdzonym planem kontroli (w tym roku w planie kontroli PUODO mamy m.in. bezpieczeństwo aplikacji mobilnych),
  • na podstawie uzyskanych informacji,
  • w ramach monitorowania przestrzegania przepisów rozporządzenia

WAŻNE — zweryfikuj kontrolera! Być może ktoś próbuje poprzez atak socjotechniczny wejść do Twojej organizacji i podszyć się pod kontrolę PUODO.

Zawsze możesz sprawdzić imiennie upoważnienie kontrolera, które zawiera:

  • wskazanie podstawy prawnej przeprowadzenia kontroli;
  • oznaczenie organu;
  • imię i nazwisko, stanowisko służbowe kontrolującego oraz numer legitymacji służbowej, a w przypadku kontrolującego, o którym mowa w art. 79 ust. 1 pkt 2, imię i nazwisko oraz numer dokumentu potwierdzającego tożsamość;
  • określenie zakresu przedmiotowego kontroli;
  • oznaczenie kontrolowanego;
  • wskazanie daty rozpoczęcia i przewidywanego terminu zakończenia czynności kontrolnych;
  • podpis Prezesa Urzędu;
  • pouczenie kontrolowanego o jego prawach i obowiązkach;
  • datę i miejsce jego wystawienia.

Prezes Urzędu może upoważnić do udziału w kontroli osobę, posiadającą wiedzę specjalistyczną, jeżeli przeprowadzenie czynności kontrolnych wymaga takiej wiedzy. To bardzo istotne uprawnienie — oznacza, że w kontroli może wziąć udział osoba niebędąca pracownikiem PUODO. Jest to bardzo pomocne dla Urzędu w przypadkach, w których postępowanie wymaga specjalistycznej wiedzy np. w obszarze infrastruktury IT, uczenia maszynowego czy plików cookies.

internet, cyberbezpieczeństwo, cybersecurity

WAŻNE: Kontrolujący ma prawo wstępu do budynków, lokali i innych pomieszczeniach w godzinach od 6:00 do 22:00!

Godziny prowadzenia kontroli zdają się bardzo wymagające, jednak poza bardzo długim okresem "gotowości" do kontroli musimy być świadomi prawa kontrolerów do:

  1. wglądu do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli;
  2. przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych;
  3. żądania złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchiwania w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu faktycznego;
  4. zlecania sporządzanie ekspertyz i opinii.

UWAGA: Kontrolujący może przesłuchać pracownika kontrolowanego w charakterze świadka!

Rozdział 10 Odpowiedzialność cywilna i postępowanie przed sądem

Rozdział ten opiera się na określeniu w ustawie:

  • zakresu stosowania przepisów kodeksu cywilnego,
  • właściwość sądu,
  • wymiany informacji między sądem i Prezesem Urzędu,
  • zawieszenia postępowania sądowego w przypadku prowadzenia postępowania przed Prezesem Urzędu,
  • umorzenie postępowania sądowego w przypadku wydania decyzji przez Prezesa Urzędu,
  • związania sądu decyzją Prezesa Urzędu,
  • inicjowania postępowania sądowego przez Prezesa Urzędu; udział Prezesa Urzędu w postępowaniu sądowym,
  • przedstawiania przez Prezesa Urzędu istotnych poglądów w postępowaniu sądowym,
  • stosowania przepisów kodeks postępowania cywilnego.
    justice, law, prawo

Rozdział 11 Przepisy o administracyjnych karach pieniężnych i przepisy karne

Ustawa przewiduje dwa lata więzienia, ograniczenie wolności albo grzywnę a dla osoby, która przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne, albo do których nie jest uprawniona.

UODO może nałożyć karę w wysokości do 10 lub 20 mln euro. do 2 lub 4% całkowitego rocznego obrotu firmy z poprzedniego okresu rozliczeniowego.

WAŻNE: Środki z administracyjnej kary pieniężnej stanowią dochód budżetu państwa.

UWAGA: Administracyjną karę pieniężną uiszcza się w terminie 14 dni od dnia upływu terminu na wniesienie skargi, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego.

Rozdział 12 Zmiany w przepisach

Wejście w życie RODO spowodowało zmiany w ogromnej ilości aktów prawnych. Szczegółowo opisujemy to w naszym artykule.

Ustawa o ochronie danych osobowych wprowadziła istotne zmiany m.in. w:

  • ustawie z dnia 26 czerwca 1974 r. – kodeks pracy (m.in. zmiana zakresu danych, które pracodawca może żądać od pracownika i osoby będącej kandydatem do pracy, wprowadzenie regulacji wyłączającej możliwość stosowania monitoringu pomieszczeń zakładowej organizacji związkowej oraz doprecyzowanie przepisów dotyczących instalacji monitoringu wizyjnego w pomieszczeniach sanitarnych),
  • ustawie z dnia 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych (zasady dostępu do danych pracowników obsługujących ZFŚS),
  • w ustawie z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną,
  • ustawie z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (ważne zmiany dla podmiotów prowadzących działania marketingowe w formie e-mail marketingu, czy telemarketingu),
  • ustawie z dnia 29 stycznia 2004 r. – Prawo zamówień publicznych (m.in. zasady realizowania prawa dostępu do danych z art. 15 RODO, prawo do sprostowania lub uzupełnienia danych z art.16 RODO, prawo do ograniczenia przetwarzania danych z art. 18 RODO,
    crime, criminal, przestępca
  • ustawie z dnia 14 grudnia 2018 r o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości,
  • ustawie — Prawo oświatowe — przepisy zostałay uzupełnione m.in. o przepis zobowiązujący nauczycieli do: "zachowania w poufności informacji uzyskanych w związku z pełnioną funkcją lub wykonywaną pracą, dotyczących zdrowia, potrzeb rozwojowych i edukacyjnych, możliwości psychofizycznych, seksualności, orientacji seksualnej, pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub światopoglądowych uczniów",
  • w ustawie — Prawo bankowe — m.in. zmiana brzmienia art. 106d, który dotyczy przetwarzania i udostępniania informacji w ramach tzw. systemów antyfraudowych,
  • w ustawie o prawach pacjenta i Rzeczniku Praw Pacjenta — wprowadzenie obowiązku zachowania w tajemnicy informacji związanych z pacjentem przez osoby, które w związku z realizacją umowy o powierzeniu przetwarzania danych osobowych uzyskały dostęp do tych informacji czy zasady udostępniania dokumentacji medycznej osobie, której dane dotyczą — pierwsza kopia dokumentacji medycznej powinna być wydana pacjentowi za darmo.
    medical, record, dokumentacja medyczna

To oznacza, że wejście w życie RODO wymusiło nowe podejście w obszarach, które dotknęła ta zmiana. Administratorzy poza dostosowaniem się do RODO i ustawy o ochronie danych osobowych mają nie lada orzech do zgryzienia z dostosowaniem się do zmian w ponad 160 ustawach!

Ustawa, mimo, iż jest nam znana od kilku lat, kryje w sobie wiele wymagań, które powinny być na co dzień wypełniane przez Administratorów, podmioty przetwarzające oraz Inspektorów ochrony danych osobowych.

Polecane

Systemowe Zarządzanie bezpieczeństwem systemów sztucznej inteligencji

Systemowe Zarządzanie bezpieczeństwem systemów sztucznej inteligencji

Sztuczna inteligencja (AI) coraz częściej stanowi ważny czynnik wspierania procesów biznesowych organizacji. Jest wykorzystywana na masową skalę i nie jest już zarezerwowana jakiemuś szczególnemu sektorowi działalności. Opracowywane prognozy plasują AI jako jeden z głównych czynników, który ma napędzać gospodarki przyszłości.

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency >
<img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk