Zapraszamy do strefy RODO - prezentujemy najważniejsze zmiany i nowości Więcej

Baza wiedzy

Podstawowe pojęcia - FAQ

1. Co to są dane osobowe?


ODPOWIEDŹ FORMALNA
Są to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osoba możliwa do zidentyfikowania to osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Jeżeli jednak uzyskanie powyższych informacji wymagałoby nadmiernych kosztów, czasu lub działań nie uważa się ich za dane osobowe.

ODPOWIEDŹ PRAKTYCZNA
Mogą to być wszelkie dane dotyczące osoby poczynając od adresu IP komputera, z którego korzystamy, a na wizytówce kończąc. Dane osobowe możemy znaleźć nie tylko w dowodzie osobistym czy paszporcie, ale daną osobową mogą być również odciski palców, kod genetyczny czy wzór siatkówki oka. Wśród najmniej strzeżonych i najczęściej wykorzystywanych danych osobowych jest numer telefonu, adres email oraz login na portalach społecznościowych. W sieci wystarczy raz ujawnić swoje dane osobowe, a po wprowadzeniu ich do wyszukiwarki może okazać się, że są już w kilku miejscach.

2. Kim jest Administrator Danych Osobowych?


ODPOWIEDŹ FORMALNA
Jest to organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych osobowych w organach państwowych, organach samorządu terytorialnego oraz państwowych i komunalnych jednostkach organizacyjnych jak i podmiotach niepublicznych realizujących zadania publiczne, osobach fizycznych, osobach prawnych oraz jednostkach organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalności zarobkową, zawodową lub dla realizacji celów statutowych, które mają siedzibę lub miejsce zamieszkania na terytorium Rzeczpospolitej Polskiej lub państwie trzecim, o ile wykorzystują środki techniczne znajdujące się na terytorium Rzeczpospolitej Polskiej.Nie są administratorem danych osoby fizyczne, które przetwarzają dane wyłącznie w celach osobistych lub domowych oraz podmioty mające siedzibę lub miejsce zamieszkania w państwie trzecim wykorzystujące środki techniczne znajdujące się na terytorium Rzeczpospolitej Polskiej wyłącznie do przekazywania danych.

ODPOWIEDŹ PRAKTYCZNA
Administratorem Danych Osobowych jest podmiot, który przetwarza nasze dane osobowe, wykorzystując je w konkretnym celu. W przypadku, gdy uznamy, że nasze dane są w sposób niewłaściwy przetwarzane przez ADO lub dane są nieaktualne, możemy prawo ich aktualizacji bądź zażądania zaprzestania ich przetwarzania. Zgodnie z UoODO administratorem danych osobowych nie jest osoba, która przetwarza dane w celach osobistych lub domowych np.  kolega, któremu daliśmy nasz numer telefonu czy adres mailowy jak również ciocia, której co roku wysyłamy list polecony na urodziny.

3. Kim jest Administrator Bezpieczeństwa Informacji?


ODPOWIEDŹ FORMALNA
Jest to osoba wyznaczona przez Administratora Danych Osobowych do nadzorowania przestrzegania zasad ochrony, czyli stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczania danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzania z naruszeniem ustawy oraz zmiany, utraty, uszkodzenia lub zniszczenia.

ODPOWIEDŹ PRAKTYCZNA
Administratorem Bezpieczeństwa Informacji jest osoba zatrudniona lub współpracująca z Administratora Danych Osobowych. Funkcja ABI może również być również outsourcingowana. ABI powinien przygotować wdrożyć i aktualizować dokumentację wymaganą przez ustawę w celu zapewnienia bezpieczeństwa danych osobowych przetwarzanych przez ADO. Przejmuje on praktycznie wszystkie obowiązki ADO w zakresie ochrony danych osobowych, a więc m.in. ma szkolić/ zapoznawać pracowników/ współpracowników z przepisami z zakresu ochrony danych, przyjmować zgłoszenia o zaistniałych incydentach dotyczących ochrony danych i neutralizować bądź minimalizować straty z nimi związane. Staje się firmowym alfą i omegą w zakresie danych osobowych.

4. Kim jest Administrator Systemu Informatycznego?


ODPOWIEDŹ FORMALNA
Jest to informatyk zajmujący się zarządzaniem systemem informatycznym i odpowiadający za jego sprawne działanie. Do jego zadań należy nadzorowanie pracy serwerów, dodawanie, ewentualna edycja danych i kasowanie kont ich użytkowników, konfiguracja komputerów, instalowanie oprogramowania, dbanie o bezpieczeństwo systemu i samych danych, nadzorowanie, wykrywanie i eliminowanie nieprawidłowości, asystowanie i współpraca z zewnętrznymi specjalistami przy pracach instalacyjnych, konfiguracyjnych i naprawczych.

ODPOWIEDŹ PRAKTYCZNA
Administrator Systemu Informatycznego to nikt inny jak „nasz” zaufany informatyk, który zajmuje się firmową infrastrukturą informatyczną. Jego zadaniem jest nadzór nad bezpieczeństwem danych osobowych, które przetwarzane są za pośrednictwem systemów teleinformatycznych np. laptopy, telefony komórkowe, tablety. W hierarchii ochrony danych osobowych podlega on administratorowi danych osobowych jak ABI. ABI i ASI muszę współpracować.   ADO często nie decyduje się jednak na wyznaczenie ASI i wówczas ABI musi samodzielnie nadzorować przetwarzanie danych osobowych za pośrednictwem systemów teleinformatycznych. 

5. Co to jest Polityka Bezpieczeństwa Przetwarzania Danych Osobowych?


ODPOWIEDŹ FORMALNA
Jest to pierwsza z dwóch części składowych dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Jest prowadzona w formie pisemnej i wdrażana przez administratora danych osobowych lub administratora bezpieczeństwa informacji. Polityka bezpieczeństwa zawiera w szczególności wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe, wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania miedzy nimi, sposób przepływu danych pomiędzy poszczególnymi systemami oraz określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

ODPOWIEDŹ PRAKTYCZNA
Jest to jeden z dwóch dokumentów, które każdy ADO musi mieć. Skupia się on bardziej na ogólnych zasadach przetwarzania danych osobowych oraz na procedurach z tym związanych niż na części informatycznej. Zawiera również opis zabezpieczeń danych osobowych oraz wszelkiego rodzaju ewidencje, rejestry zbiorów danych jak i osób upoważnionych do ich przetwarzania. W założeniu ma to być dokument żywy, czyli aktualizowany w miarę potrzeb

6. Co to jest Instrukcja Zarządzania Systemem Informatycznym?


ODPOWIEDŹ FORMALNA
Jest to druga z dwóch części składowych dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Jest prowadzona w formie pisemnej i wdrażana przez administratora danych osobowych lub administratora bezpieczeństwa informacji. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych zawiera w szczególności procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności, stosowane metody i środki uwierzytelniania oraz procedury związane z ich zarządzaniem i użytkowaniem, procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu, procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania, sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych zbiorów danych, sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego, sposobie zabezpieczania udostępnianych danych osobowych oraz procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

ODPOWIEDŹ PRAKTYCZNA
Jest to kolejny z dwóch obowiązkowych dokumentów, który każda zinformatyzowana organizacja musi posiadać. Opisuje on wszelkie procedury bezpieczeństwa danych osobowych przetwarzanych za pośrednictwem systemów teleinformatycznych np. w telefonach, tabletach, laptopach. Jest to dokument, do którego najczęściej powinien zaglądać ASI, gdyż w zasadzie 90% tego dokumentu jest związane z jego obowiązkami.

7. Co to jest incydent ochrony danych osobowych?


ODPOWIEDŹ FORMALNA
Incydentem ochrony danych osobowych jest każde działanie lub zaniechanie działania, zarówno umyślne jak i nie umyślne jak również zdarzenie losowe lub działanie sił natury, które narusza przepisy ustawy lub wydanych na jej podstawie aktów wykonawczych jak również wewnętrznych aktów prawnych ochrony danych osobowych takich jak polityka bezpieczeństwa danych osobowych, instrukcja zarządzania systemem informatyczny przetwarzającym dane osobowe lub regulamin ochrony danych osobowych.

ODPOWIEDŹ PRAKTYCZNA
GIODO to organ państwowy, którą można określić mianem strażnika przetwarzania danych osobowych. Jej celem jest kontrola i nadzór nad wszystkimi podmiotami w kraju, które przetwarzają dane osobowe. W trakcie kontroli inspektorzy mają prawo m.in. wstępu do wszystkich pomieszczeń, gdzie są dane osobowe, kontroli każdego urządzenia w systemie informatycznym, kontroli procedury niszczenia dokumentów w formie papierowej i elektronicznej, kontroli zgodności zakresu przetwarzania danych osobowych z celem ich przetwarzania. Za niestosowanie się do UoODO i niewykonywanie decyzji GIODO może grozić grzywna do 200 tys. zł, a za łamanie przepisów ustawy nawet kara ograniczenia lub pozbawienia wolności do lat 3.

8. Czym zajmuje się Generalny Inspektor Ochrony Danych Osobowych?


ODPOWIEDŹ FORMALNA
GIODO zajmuje się kontrolą zgodności przetwarzania danych z przepisami o ochronie danych osobowych, wydawaniem decyzji administracyjnych i rozpatrywaniem skarg w sprawach wykonania przepisów o ochronie danych osobowych, zapewnieniem wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym wynikających z wydanych przez siebie decyzji przez zastosowanie środków przewidzianych w ustawie o postępowaniu egzekucyjnym w administracji, prowadzeniu rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach, opiniowaniu projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych, inicjowaniu i podejmowaniu przedsięwzięć w zakresie doskonalenia ochrony danych osobowych oraz uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych.

ODPOWIEDŹ PRAKTYCZNA
GIODO to tzw. policja od danych osobowych, czyli są to z jednej strony inspektorzy, którzy mogą do nas zawitać z kontrolą, a z drugiej strony rejestratorzy zbiorów, które przetwarzamy. Poza powyższymi funkcjami GIODO również szkoli i edukuje zarówno osoby, których dane są przetwarzane jak i podmioty je przetwarzające. Do GIODO również możemy zgłaszać się jak nasze dane są naruszane. W jednym zdaniu GIODO to państwowy strażnik przetwarzania danych osobowych.

9. Co to jest polityka kluczy?


ODPOWIEDŹ FORMALNA
Polityka kluczy jest to rozwiązanie organizacyjne mające na celu kontrolowanie i ewidencjonowanie dostępu do pomieszczeń oraz innych zabezpieczeń fizycznych, w których znajdują się nośniki zarówno w wersji papierowej jak i elektronicznej zawierające dane osobowe. Określa ona w szczególności procedurę wydawania, przechowywania i zdawania kluczy do pomieszczeń lub innych zabezpieczeń fizycznych otwieranych za pomocą kluczy.

ODPOWIEDŹ PRAKTYCZNA
Polityka kluczy to szereg procedur postępowania z kluczami, kartami dostępowymi do pomieszczeń oraz szaf, w których przetwarzane są dane osobowe w celu zabezpieczenia do nich dostępu osobom nieupoważnionym

10. Co to jest zasada czystego biurka?


ODPOWIEDŹ FORMALNA
Zasada czystego biurka jest to rozwiązanie organizacyjne mające na celu zapewnienie poufności danych osobowych, które są przetwarzane przez osoby upoważnione w trakcie wykonywania obowiązków służbowych lub pracowniczych polegające na usuwaniu z niezabezpieczonego miejsca pracy danych osobowych w wersji papierowej oraz na elektronicznych nośnikach danych osobowych jak również stosowaniu wygaszaczy ekranu w przypadku korzystania z urządzeń wyświetlających dane osobowe.

ODPOWIEDŹ PRAKTYCZNA
Spis reguł dotyczących pozostawiania stanowiska pracy bez kontroli w sposób zabezpieczający przetwarzane dane osobowe przed dostępem osób nieupoważnionych.

11. Kto musi przejść szkolenie z zakresu ochrony danych osobowych?


ODPOWIEDŹ FORMALNA
Każda osoba upoważniona do przetwarzania danych osobowych musi zostać zaznajomiona zarówno z powszechnie obowiązującymi przepisami ustawy i wydanymi na jej podstawie aktami wykonawczymi jak również wewnętrznymi aktami prawnymi takimi jak polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym oraz poznać system zabezpieczeń obowiązujący w miejscu przetwarzania danych osobowych.

ODPOWIEDŹ PRAKTYCZNA
Szkolenie z zakresu danych osobowych powinna przejść każda osoba w organizacji lub poza nią, która będzie miała dostęp do przetwarzanych w niej danych osobowych i zostanie jej nadane upoważnienie do przetwarzania danych osobowych.

12. Jak wygląda kontrola inspektora GIODO?


ODPOWIEDŹ FORMALNA
Celem kontroli jest ustalenie stanu faktycznego w zakresie przestrzegania przez podmiot kontrolowany przepisów o ochronie danych osobowych oraz udokumentowanie dokonanych ustaleń. Kontrolę przeprowadzają inspektorzy w zespołach kontrolnych składających się najczęściej z trzech osób – dwóch pracowników (prawników) Departamentu Inspekcji Biura GIODO oraz jednego pracownika (informatyka) Departamentu Informatyki Biura GIODO. Czynności kontrolne „na miejscu” są dokonywane w siedzibie kontrolowanego podmiotu oraz w innym miejscu (Np. jednostkach organizacyjnych) wskazanym jako obszar przetwarzania danych osobowych. Kontroli poddawane są zarówno podmioty z sektora publicznego jak i podmioty prywatne, która zgodnie z ustawą są podmiotami przetwarzającymi dane osobowe. Kontrola kończy się sporządzeniem i podpisaniem protokołu.

ODPOWIEDŹ PRAKTYCZNA
Większość kontroli GIODO jest wynikiem złożonej skargi na przetwarzanie danych, jednak występują też liczne sprawdzenia z urzędu konkretnych branży. Przepisy ustawy o ochronie danych osobowych nie określają czasu kontroli. Z doświadczenia możemy powiedzieć, że kontrola GIODO może trwać od jednego dnia nawet do tygodnia. Jednakże w odniesieniu do przedsiębiorców przepisy ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (Dz. U. z 2007 r. Nr 155 poz. 1095) wskazują limity czasowe w obrębie danego roku kalendarzowego (art. 83 ust. 1). Na długość kontroli wpływa jej zakres przedmiotowy (czy jest to kontrola całej organizacji czy tylko wybranego działu/zagadnienia) oraz złożoność prowadzonej działalności z punktu widzenia procesów przetwarzania danych osobowych

13. Co to są wrażliwe dane osobowe?


ODPOWIEDŹ FORMALNA
Wrażliwe dane osobowe są to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandaty karne, a także inne orzeczenia wydane w postępowaniu sądowym lub administracyjnym.

ODPOWIEDŹ PRAKTYCZNA
Mówiąc prosto dane „wrażliwe” to grupa danych osobowych, która podlega szczególnym zasadom przetwarzania i ochrony. W związku z wyjątkowym charakterem danych obowiązuje szereg szczegółowych zasad związanych z postępowaniem z nimi np. w przypadku rejestracji zbiorów danych „zwykłych” w GIODO, możemy je przetwarzać już od momentu zgłoszenia zbioru do rejestru (zanim GIODO wyrazi swoją decyzję w naszej sprawie). Jeżeli jednak zgłaszamy informację o zbiorze danych „wrażliwych”, działania w tym zakresie możemy rozpocząć dopiero po zarejestrowaniu informacji o takim zbiorze. Do danych wrażliwych możemy zaliczyć nawet przechowywane przez pracodawcę zwolnienia lekarskie, jednakże zbiór danych pracownik zwolniony jest z obowiązku rejestracji.

14. Co to jest obowiązek informacyjny ADO?


ODPOWIEDŹ FORMALNA
W przypadku zbierania danych osobowych od osoby, której one dotyczą administrator danych jest obowiązany poinformować tę osobę o adresie swojej siedziby i pełnej nazwie, a w przypadku, gdy administratorem danych jest osoba fizyczna o miejscu swojego zamieszkania oraz imieniu i nazwisku, celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych, prawie dostępu do treści swoich danych oraz ich poprawiania, dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej chyba, że przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania lub osoba, której dane dotyczą, posiada już powyższe informacje.

ODPOWIEDŹ PRAKTYCZNA
Są to informacje, które musi udzielić ADO każdej osobie, której dane przetwarza, by osoba ta wiedziała, do kogo ma się zwrócić w przypadku naruszenia jej praw jak również miała świadomość, na co się godzi wyrażając zgodę na przetwarzanie swoich danych osobowych. Obowiązek ten jest realizowany przez ADO najczęściej w postaci klauzul informacyjnych lub regulaminów świadczenia usług drogą elektroniczną.

15. Jakie mają prawa osoby, których dane osobowe przetwarzamy?


ODPOWIEDŹ FORMALNA
Mają prawo do uzyskania wyczerpującej informacji, czy zbiór zawierający ich dane osobowe istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku, gdy administratorem danych jest osoba fizyczna – jej miejsca zamieszkania oraz imienia i nazwiska, uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze, uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych, uzyskania informacji o źródle, z którego pochodzą jej dane chyba, że administrator danych jest zobowiązany do zachowania tajemnicy, żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane, wniesienia żądania zaprzestania przetwarzania danych. Prawo do udzielenia powyższych informacji osoba może uzyskać nie częściej jak raz na 6 miesięcy.

ODPOWIEDŹ PRAKTYCZNA
Osoba, której dane są przetwarzane oprócz obowiązku informacyjnego, któremu musi być poddana ma prawo dostępu do treści tych danych, prawo do ich poprawiania i usuwania, prawo do złożenia skargi i pomoc organów nadzorczych oraz prawo do odszkodowania w przypadku, gdy poniesie szkodę w wyniku niezgodnego z prawem przetwarzania jej danych osobowych.

16. Co powinno zawierać szkolenie z ODO?


ODPOWIEDŹ FORMALNA
Szkolenie z ochrony danych osobowych powinno zawierać wyjaśnienie podstawowych definicji w tym określenia danych osobowych, przetwarzania danych i przetwarzania danych w systemie informatycznym, prawnego umocowania administratora bezpieczeństwa informacji, dopuszczalności przetwarzania danych osobowych, obowiązków wobec osób, których dane dotyczą, praw osób, których dane dotyczą, dopuszczalności udostępnienia danych osobowych, rejestracji zbiorów danych osobowych, uprawnień GIODO w tym uprawnień kontrolnych, przepisów karnych, odpowiedzialności osób przetwarzających dane osobowe, postępowania w przypadku naruszenia bezpieczeństwa przetwarzanych danych osobowych, obszaru, w którym odbywa się przetwarzanie danych osobowych, zasadach niszczenia danych osobowych zapisanych na nośnikach informatycznych, zasad zarządzania systemem informatycznym przetwarzającym dane osobowe, zasad tworzenia kopii awaryjnych, postępowania z wydrukami danych osobowych, zasad uwierzytelniania i autoryzacji w systemie informatycznym przetwarzającym dane osobowe oraz rozliczalności operacji w systemie informatycznym przetwarzającym dane osobowe.

ODPOWIEDŹ PRAKTYCZNA
Szkolenie z zakresu ochrony danych osobowych może być zróżnicowane w zależności od stanowiska dla jakiego jest przeprowadzane (ABI, ADO, ASI, pracownicy) oraz od rodzaju branży jaką konkretny podmiot się zajmuje. Podczas szkolenia, uczestnik powinien przyswoić wiedzę, która pozwoli mu bezpiecznie i w sposób zgodny z prawem przetwarzać dane osobowe w organizacji. W ramach dobrych praktyk, szkolenia powinny być wykonywane cyklicznie, aby osoby przetwarzające dane nie zapominały o podstawowych praktykach i były na bieżąco z obowiązującym prawem.

17. Co to jest upoważnienie do przetwarzania danych osobowych?


ODPOWIEDŹ FORMALNA
Jest to jeden z organizacyjnych środków zabezpieczenia danych osobowych, który wprowadza obowiązek prowadzenia przez ADO lub ABI ewidencji osób upoważnionych do ich przetwarzania, która powinna zawierać imię i nazwisko osoby upoważnionej, datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych oraz identyfikator, jeżeli dane są przetwarzane w systemie informatycznym. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczania.

ODPOWIEDŹ PRAKTYCZNA
Jeden z dokumentów, sporządzony po odbytym wcześniej przeszkoleniu na podstawie, którego dana osoba może zacząć przetwarzać dane osobowe w organizacji. Upoważnienie wydawane jest przez ADO oraz może być przechowywane w aktach osobowych pracownika.

18. Na czym polega rejestracja zbioru danych osobowych w GIODO?


ODPOWIEDŹ FORMALNA
Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi. Zgłoszenie zbioru danych do rejestracji powinno zawierać wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych, oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych oznaczenie tego podmiotu i adres jego siedziby lub miejsce zamieszkania, cel przetwarzania danych, opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych, sposób zbierania oraz udostępniania danych, informacje o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane, opis zastosowanych środków technicznych i organizacyjnych, informacje o sposobie spełniania warunków technicznych i organizacyjnych, informacje dotyczącą ewentualnego przekazywania danych do państwa trzeciego. Administrator danych jest obowiązany zgłaszać Generalnemu Inspektorowi każdą zmianę informacji w terminie 30 dni od dnia dokonania zmiany w zbiorze danych, jeżeli zmiana dotyczy rozszerzenia zbioru to należy jej dokonać przed rozszerzeniem zbioru.

ODPOWIEDŹ PRAKTYCZNA
Zgłoszenia zbioru danych należy dokonać na formularzu, którego wzór stanowi załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji. Zgłoszenie powinno zawierać wszystkie informacje, o których mowa w art. 41 ust. 1 pkt 1-7 ustawy, być podpisane przez ADO. Zgłoszenie można również przesłać pocztą lub złożyć w biurze GIODO(ul. Stawki 2, 00-193 Warszawa). Od lipca 2006 r. zgłoszenia można dokonać także drogą elektroniczną poprzez aplikację znajdującą się na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych w systemie "platforma e-giodo". Jak widać sama procedura zgłoszenia nie jest zbyt skomplikowana, natomiast informacje, które należy zamieścić w formularzu mogą być już nieco trudniejszym zadaniem. Z doświadczenia możemy powiedzieć, że w przypadku zbioru zawierającego dane zwykłe rejestracja przez GIODO może trwać nawet 9 miesięcy. Biorąc pod uwagę ilość zgłoszeń zbiorów należy mieć świadomość, że czas na rejestracje może się wydłużać.

19. Czy są jakieś zwolnienia z obowiązku rejestracji zbioru w GIODO?


ODPOWIEDŹ FORMALNA
Zgodnie z obowiązującymi od 1 stycznia 2015 roku znowelizowanymi przepisami ustawy o ochronie danych osobowych zwolnieni z obowiązku rejestracji zbiorów danych zwykłych są administratorzy danych, którzy powołali ABI. Zwolnione są również zbiory zawierające informacje niejawne, które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności, przetwarzanych przez właściwe organy dla potrzeb postępowania sadowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym, przetwarzanych przez Generalnego Inspektora Informacji finansowej, przetwarzanych przez właściwe organy na potrzeby udziału RP w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym, przetwarzanych przez właściwe organy na podstawie innych przepisów, dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego, przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się, dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta, tworzonych na podstawie przepisów ordynacji wyborczej, dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności, przetwarzanych wyłącznie w celu wystawienia faktury, rachunki lub prowadzenia sprawozdawczości finansowej, powszechnie dostępnych, przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego, przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.

ODPOWIEDŹ PRAKTYCZNA
Pamiętać należy, że zwolnienie z obowiązku rejestracji zbioru nie oznacza zwolnienia z pozostałych obowiązków, wynikających z ustawy o ochronie danych osobowych. Podmiot, korzystający ze zwolnienia obciążony jest obowiązkiem poszanowania zasad przetwarzania danych osobowych, zapewnienia ich przetwarzania na podstawie przesłanek legalizacyjnych, obowiązkiem informacyjnym czy też obowiązkiem należytego zabezpieczenia danych osobowych.Zgodnie z nowelizacja ustawy o ochronie danych osobowych ADO powołując Administratora Bezpieczeństwa Informacji(ABI) jest zwolniony z rejestracji zbiorów „zwykłych” do GIODO. Nadto, w mniejszym stopniu narażony jest na kontrolę inspektorów związanej z bezpieczeństwem przetwarzanych danych, ponieważ w związku z wyznaczeniem ABI zachodzi domniemanie iż podmiot w sposób zgodny z prawem przetwarza dane osobowe.Jednym z najważniejszych i najczęściej wykorzystywanych przypadków, w którym administrator korzysta z wyłączenia obowiązku rejestracji, jest przypadek , kiedy dane przetwarzane są w związku z zatrudnieniem u niego, świadczeniem mu usług na podstawie umów cywilnoprawnych, a także dotyczących osób u niego zrzeszonych lub uczących się. W związku z tym, nie podlega rejestracji zbiór pracowników, zbiór byłych pracowników, zbiór stażystów czy też zbiór personelu świadczącego swoje usługi np. na podstawie umowy zlecenia. Zwolnione z rejestracji są również administratorzy, przetwarzający dane wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej.

20. Co to jest obszar przetwarzania danych osobowych?


ODPOWIEDŹ FORMALNA
Jest to wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe.

ODPOWIEDŹ PRAKTYCZNA
W praktyce obszar przetwarzania danych osobowych stanowi każde miejsce, gdzie znajdują się dane osobowe. Obszarem przetwarzania będzie zarówno archiwum, w którym znajdują się dane, nasz komputer służbowy, przy którym codziennie pracujemy czy dyski twarde zewnętrznych serwerów hostingowych, z których korzystamy. Obszar przetwarzania musi być jasno i precyzyjnie określony w polityce bezpieczeństwa, więc warto jest go określić rzetelnie i nie zapominać o aktualizacji, szczególnie, gdy zamierzamy przetwarzać dane osobowe poza pierwotnym obszarem przetwarzania.

21. Jakie są kary za naruszenie przepisów o ODO?


ODPOWIEDŹ FORMALNA
Administrator danych, który naruszył ustawę o ochronie danych osobowych podlega odpowiedzialności administracyjnej i karnej określonej w ustawie o ochronie danych osobowych. Za poszczególne przestępstwa ustawa przewiduje kary grzywny, ograniczenia lub pozbawienia wolności do lat 3.W przypadku, gdy osoba, której dane dotyczą poniosła szkodę w związku z nieprawidłowym przetwarzaniem jej danych może wystąpić z roszczeniem cywilnoprawnym. Ostatnim rodzajem odpowiedzialności jest odpowiedzialność dyscyplinarna pracownika naruszającego zasady ochrony danych osobowych. Pracownik, który dopuścił się tego typu naruszeń podlega upomnieniu, naganie lub nawet zwolnieniu z własnej winy.

ODPOWIEDŹ PRAKTYCZNA
GIODO może nałożyć karę grzywny w postępowaniu administracyjnym dla osób prawnych lub jednostek organizacyjnych jednorazowo w kwocie do 50 tys. zł i może ją nałożyć maksymalnie 4 razy w jednym postępowaniu, co daję nam kwotę 200 tys. zł. W  przypadku osób fizycznych jednorazowa kara grzywny może wynieść maksymalnie 10 tys. zł, ale razem nie mogą przekroczyć 50 tys. zł w jednym postępowaniu. W określonych przypadkach ustawa przewiduje również odpowiedzialność karną: karę ograniczenia lub pozbawienia wolności do lat 3.

22. Co to jest umowa powierzenia przetwarzania danych osobowych?


ODPOWIEDŹ FORMALNA
Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Podmiot ten może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie, musi spełniać warunki bezpieczeństwa przetwarzania danych oraz ponosi za dane taką samą odpowiedzialność jak ich administrator

ODPOWIEDŹ PRAKTYCZNA
Najczęstszym przykładem stosowania umów powierzenia przetwarzania danych jest powierzenie danych znajdujących się na serwerze hostingowym, czyli z dostawcami wirtualnej przestrzeni dyskowej, rzadziej z organizatorami konkursów, konferencji, szkoleń. Nie ma żadnych ograniczeń w zakresie kategorii podmiotu, z jakim możemy zawrzeć umowę o powierzeniu przetwarzania danych, więc do tej kategorii również zostaną zaliczone wszelkie firmy oferujące outsourcing danych osobowych. W takim przypadku niestety nie pozbywamy się odpowiedzialności za dane osobowe, gdyż nadal jesteśmy administratorem tych danych i odpowiadamy za nie.

23. Co to jest oświadczenie o zachowaniu poufności danych osobowych?


ODPOWIEDŹ FORMALNA
Zgodnie z ustawą osoby, które zostały upoważnione do przetwarzania danych osobowych, są obowiązane zachować w tajemnicy te dane oraz sposoby ich zabezpieczenia. Zgodnie z załącznikiem do rozporządzenia wydanego na podstawie tej ustawy przebywanie osób nieuprawnionych w obszarze przetwarzania jest dopuszczalne za zgodą administratora danych lub w obecności osoby upoważnionej do przetwarzania danych. W związku z powyższymi zapisami istnieje obowiązek złożenie oświadczenia o zachowaniu w poufności danych osobowych od każdego, kto ma dostęp do danych zarówno od osób upoważnionych jak i nieuprawnionych.

ODPOWIEDŹ PRAKTYCZNA
W praktyce przedstawiamy do podpisu samo oświadczenie o zachowaniu poufności danych osobowych bez upoważnienia osobom, które nie mają w zakresie swoich zadań lub wykonywanych czynności w obszarze przetwarzania, przetwarzania danych. Takimi osobami mogą być Np. personel sprzątający, naprawczy, kontrolerzy i audytorzy zewnętrzni (nie inspektorzy GIODO). Natomiast wszystkim osobom, którym nadajemy upoważnienia do przetwarzania danych w celach informacyjnych i transparentności dodajemy oświadczenie, mimo, iż jest to już ogólnikowo zawarte w treści ustawy.

24. Jak długo możemy przetwarzać czyjeś dane osobowe?


ODPOWIEDŹ FORMALNA
Przetwarzanie danych osobowych jest dopuszczalne między innymi tylko wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę, chyba, że chodzi o usunięcie dotyczących jej danych. Zgoda ta może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania.

ODPOWIEDŹ PRAKTYCZNA
Dane osoby możemy przetwarzać tak długo, jak długo istnieje cel przetwarzania tych danych lub do momentu, kiedy osoba nie zażąda zaprzestania ich przetwarzania. Dobrym przykładem są dane zbierane od potencjalnych przyszłych pracowników. Jeśli CV zbierane są w celu rekrutacji, dane należy bezzwłocznie usunąć po zakończeniu procesu rekrutacyjnego, chyba że osoba która złożyła CV również wyraziła zgodę na przetwarzanie jej danych w celach przyszłych rekrutacji.

25. Co to jest zewnętrzny nośnik danych osobowych?


ODPOWIEDŹ FORMALNA
Jest to mobilny przedmiot fizyczny, na którym możliwe jest zapisanie informacji zawierającej dane osobowe i z którego możliwe jest późniejsze odtworzenie tej informacji.

ODPOWIEDŹ PRAKTYCZNA
W praktyce najpopularniejszymi przykładami nośników danych osobowych są papier, dyski twarde, karty pamięci, pamięć USB, laptop, płyty CD/DVD, telefony komórkowe, karty magnetyczne i chipowe. Istotą zewnętrzności nośnika danych osobowych jest jego mobilność, czyli możliwość prostego przenoszenia. Nie powiemy, że serwer firmowy zajmujący cały pokój jest mobilny, tak samo jak mobilność komputera stacjonarnego jest dość ograniczona.

26. Na czym polega anonimizacja dokumentów?


ODPOWIEDŹ FORMALNA
To proces polegający na przekształceniu danych osobowych, w sposób uniemożliwiający przyporządkowanie poszczególnych informacji osobistych lub rzeczowych do określonej czy możliwej do zidentyfikowania osoby fizycznej lub w przypadku, kiedy można tego dokonać jedynie niewspółmiernie dużym nakładem czasu, kosztów i sił.

ODPOWIEDŹ PRAKTYCZNA
Przykładem anonimazcji dokumentu w wersji papierowej jest nic innego niż zwykłe zamalowanie np. czarnym, nieprzezroczystym flamastrem danych osobowych lub wykonanie kserokopii naklejając zwykłą karteczkę zasłaniającą te dane , w taki sposób by kopia już ich nie zawierała. W przypadku anonimizowania dokumentu w wersji elektronicznej wystarczy stworzyć kopie dokumentu z usuniętymi danymi osobowymi.

27. Jak trwale i ostatecznie usunąć dane osobowe?


ODPOWIEDŹ FORMALNA
Trwałe i ostateczne usunięcie danych osobowych to nic innego niż zniszczenie ich nośników w sposób uniemożliwiający ich odtworzenie.  Do tego celu służą m.in. niszczarki, specjalne programy komputerowe nadpisujące dysk.

ODPOWIEDŹ PRAKTYCZNA
Trwałe i ostateczne usunięcie danych osobowych z dokumentów w wersji papierowej można wykonać usuwając cały dokument w odpowiedniej klasy niszczarce. W zakresie danych osobowych znajdujących się na nośnikach elektronicznych rozróżniamy kasowanie, polegające na całkowitym wymazaniu danych na nośniku poprzez ich nadpisanie oraz kasowanie polegające na usunięciu zapisanych danych z wykorzystaniem prostych procesów fizycznych np. zniszczenie młotkiem dysku twardego komputera. W przypadku nośników magnetycznych kasowanie może odbyć się z użyciem silnego pola magnetycznego. Warto wiedzieć, że na rynku funkcjonują firmy, które profesjonalnie zajmują się niszczeniem wszystkich nośników danych osobowych

28. Co to są dane biometryczne?


ODPOWIEDŹ FORMALNA
Są to dane człowieka służące do jego identyfikacji takie jak wizerunek twarzy, zapis linii papilarnych palców, zapis obrazu tęczówki oka, zapis dźwiękowy głosu, geometria dłoni czy kod genetyczny. Dane te stosowane są m.in. w celu zabezpieczenia lub ograniczenia dostępu do danych osobowych.

ODPOWIEDŹ PRAKTYCZNA
Najczęstszym przykładem stosowanych na dzień dzisiejszy zabezpieczeń biometrycznych są czytniki linii papilarnych stosowane w laptopach i pamięciach USB. Jest to bardzo skuteczny i praktyczny sposób ograniczenia dostępu do danych zawartych na nośnikach elektronicznych.

29. Co to są poziomy bezpieczeństwa danych osobowych?


ODPOWIEDŹ FORMALNA
W zależności od kategorii przetwarzanych danych osobowych oraz zagrożenia wprowadza się poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym: podstawowy, podwyższony, wysoki. Poziom podstawowy stosuje się, gdy w systemie informatycznym nie są przetwarzane dane osobowe wrażliwe oraz żadne z urządzeń systemu informatycznego, nie jest połączone z siecią publiczną. Poziom podwyższony stosuje się, gdy w systemie informatycznym przetwarzane są dane osobowe wrażliwe oraz żadne z urządzeń systemu informatycznego, nie jest połączone z siecią publiczną. Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego połączone jest z siecią publiczną.

ODPOWIEDŹ PRAKTYCZNA
Zgodnie z UoODO wyróżniamy trzy poziomy bezpieczeństwa przetwarzania danych osobowych: podstawowy, podwyższony oraz wysoki. W praktyce, w związku z ogromnym rozwojem technologii na przełomie kilkunastu ostatnich lat, prawie wszystkie organizacje muszą stosować się do poziomu wysokiego, ponieważ prawie każda z nich ma dostęp do sieci publicznej Internet.

30. Co to są zabezpieczenia fizyczne danych osobowych?


ODPOWIEDŹ FORMALNA
Zabezpieczenia fizyczne mają na celu zapewnienie ochrony pomieszczeń, sprzętów, infrastruktury oraz personelu przed bezpośrednim działaniem czynników fizycznych i zdarzeń takich jak pożar, powódź, kradzież, wandalizm, terroryzm.  Wyróżnia się zabezpieczenia pasywne, które mają na celu zapobiegnięcie zagrożeniom lub opóźnienie włamania np. ogrodzenia czy sejfy oraz zabezpieczenia aktywne, które wykrywają zagrożenia lub im przeciwdziałają np. monitoring, alarmy przeciwwłamaniowe, systemy gaśnicze.

ODPOWIEDŹ PRAKTYCZNA
Są to wszelkie zabezpieczenia materialne, które w jakikolwiek sposób utrudniają dostęp do danych osobom do nich nieuprawnionych. Zabezpieczeniem fizycznym nie będzie program antywirusowy, systemowy firewall (zabezpieczenia informatyczne) lub polityka kluczy czy haseł (zabezpieczenia organizacyjne).



Najważniejsze akty prawne
w zakresie ochrony danych osobowych

(stan na dzień: 09.01.2017 r.)

Poniższe akty prawne można znaleźć na stronie http://www.giodo.gov.pl/536/j/pl/



Obywatele pytają GIODO odpowiada


1. Czy marszałek Województwa jest ADO dla zbioru danych psychologów uprawnionych do prowadzenia badań w zakresie psychologii transportu?

Tak, bowiem marszałek województwa, zgodnie z przepisami ustawy Prawo o ruchu drogowym, decyduje o celach i środkach przetwarzania danych osobowych psychologów uprawnionych do przeprowadzania badań w zakresie psychologii transportu.
Należy wskazać, iż o celach i środkach przetwarzania danych osobowych przez podmioty publiczne decyduje zazwyczaj ustawodawca, stanowiąc odpowiednie przepisy prawa. Wynika to z art. 7 Konstytucji RP, zgodnie z którym organy władzy publicznej działają na podstawie i w granicach przepisów prawa. Stąd podmioty publiczne są zobowiązane do przetwarzania danych osobowych dla realizacji określonych ustawowo celów.
Zgodnie z ustawą Prawo o ruchu drogowym (art. 124a ust. 3), organem właściwym do prowadzenia rejestru przedsiębiorców prowadzących pracownię psychologiczną jest marszałek województwa właściwy ze względu na siedzibę przedsiębiorcy lub miejsce zamieszkania uprawnionego psychologa. Art. 124b ust. 1 i 2 ustawy stanowi, iż marszałek województwa sprawuje nadzór nad wykonywaniem badań psychologicznych

Źródło: http://www.giodo.gov.pl/385/id_art/2875/j/pl/, dostęp: 15.04.2014 r.

2. Jakie warunki musi spełnić ADO, aby przetwarzać dane osobowe zgodnie z ustawą o ochronie danych osobowych?

Administrator danych, aby przetwarzać dane osobowe zgodnie z przepisami ustawy o ochronie danych osobowych, musi spełnić jeden z warunków decydujący o tym, że takie działanie jest legalne. Ponadto musi dopełnić obowiązku zgłoszenia zbioru do rejestracji w prowadzonym przez GIODO ogólnokrajowym, jawnym rejestrze zbiorów danych osobowych i obowiązku informacyjnego, a ponadto we właściwy sposób zabezpieczać zgromadzone dane, dbać o interesy osób, których dane dotyczą i respektować ich prawa gwarantowane ustawą o ochronie danych osobowych.

Źródło: http://www.giodo.gov.pl/385/id_art/3201/j/pl/, dostęp: 15.04.2014 r.

3. Czy starosta jest ADO gromadzonych w związku z wykonywaniem zadań publicznych dotyczących rejestracji pojazdów i wydawania dokumentów stwierdzających uprawnienia do kierowania pojazdami i czy można się do niego zwracać o uzyskanie tych informacji?

Tak, gdyż w sprawach rejestracji pojazdów i wydawania dokumentów stwierdzających uprawnienia do kierowania pojazdami organem właściwym, który zbiera dane osobowe o właścicielach pojazdów jest starosta.
Starostowie są administratorami prowadzonych przez siebie zbiorów związanych z rejestracją pojazdów i wydawaniem dokumentów stwierdzających uprawnienia do kierowania pojazdami. Na podstawie przepisów ustawy Prawo o ruchu drogowym gromadzą w tych zbiorach dane, które następnie przekazywane są do zbioru danych, którego administratorem jest minister właściwy do spraw wewnętrznych.

Źródło: http://www.giodo.gov.pl/385/id_art/1966/j/pl/, dostęp: 15.04.2014 r.

4. Czy ADO w spółce prawa handlowego jest ta spółka, czy też są to jej organy, osoby zasiadające w organach tej spółki czy też osoby pełniące funkcje kierownicze w spółce?

W świetle przepisów ustawy o ochronie danych osobowych administratorem danych jest sama spółka prawa handlowego.
Administratorem danych osobowych wykorzystywanych w zakresie działalności prowadzonej przez przedsiębiorcę jest, co do zasady, przedsiębiorca. Administratorem takich danych jest w szczególności spółka z ograniczoną odpowiedzialnością, spółka akcyjna, spółka jawna czy też spółka komandytowa. Tak więc administratorem danych jest sama spółka prawa handlowego, nie zaś jej organy, osoby zasiadające w organach tej spółki lub pełniące w niej funkcje kierownicze.

Źródło: http://www.giodo.gov.pl/385/id_art/1580/j/pl/, dostęp: 15.04.2014 r.

5. Czy ABI-m może być inny podmiot niż osoba fizyczna?

Nie, gdyż z przepisów o ochronie danych osobowych wynika, że funkcję tą może pełnić tylko osoba fizyczna.
W ocenie Generalnego Inspektora Ochrony Danych Osobowych nie jest dopuszczalne, aby administratorem bezpieczeństwa informacji był inny, niż osoba fizyczna, podmiot. Zgodnie z art. 36 ust. 3 ustawy o ochronie danych osobowych istotą funkcji administratora bezpieczeństwa informacji jest nadzorowanie przestrzegania zasad ochrony ustalonych przez administratora danych w celu zapewnienia danym bezpieczeństwa. Wykonywanie nadzoru w tym zakresie wiąże się z koniecznością dostępu do danych osobowych, a zgodnie z art. 37 ustawy o ochronie danych osobowych do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Niewątpliwie w powołanym przepisie chodzi o konkretne osoby fizyczne, które wymienione są w ewidencji osób upoważnionych do przetwarzania danych oraz które są zobowiązane zachować w tajemnicy dane i sposoby ich zabezpieczenia.
Zastrzec przy tym należy, że administratorem bezpieczeństwa informacji nie musi być osoba zatrudniona u administratora danych, może to być np. pracownik innego podmiotu, gdyż ustawa nie określa w ramach jakiego stosunku prawnego ABI może wykonywać swoje obowiązki.

Źródło: http://www.giodo.gov.pl/385/id_art/2259/j/pl/, dostęp: 15.04.2014 r.

6. Czy sam numer karty miejskiej jest daną osobową w rozumieniu ustawy o ochronie danych osobowych?

Tak, ale tylko wtedy, gdy na jego podstawie można bez nadmiernych kosztów, czasu i działań, określić tożsamość osoby, do której ta karta należy.
Mając na uwadze, ustawową definicję danych osobowych uznać należy, że nr karty miejskiej jest daną osobową w rozumieniu ustawy o ochronie danych osobowych, ale tylko dla tych osób, które na jego podstawie mogą ustalić tożsamość jej właściciela. Będą to np. pracownicy przewoźnika upoważnieni do przetwarzania informacji zawartych w systemie informatycznym związanym z funkcjonowaniem karty miejskiej. Natomiast dla zwykłego obywatela, który miałby dostęp do karty miejskiej z samym tylko jej numerem ustalenie tożsamości jej właściciela wymaga jednak pewnego czasu i działań. Dlatego dla niego sam numer karty miejskiej nie będzie stanowił danej osobowej.

Źródło: http://www.giodo.gov.pl/319/id_art/3512/j/pl/, dostęp: 15.04.2014 r.

7. Czym są dane osobowe? Jak interpretować art. 6 ust. 3 ustawy o ochronie danych osobowych

Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Stosownie do ust. 3 powołanego przepisu, informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu i działań.
W świetle powyższej definicji należy przyjąć, że danymi osobowymi nie będą pojedyncze informacje o dużym stopniu ogólności, np. nazwa ulicy i numer domu czy wysokość wynagrodzenia. Informacja ta będzie jednak stanowić daną osobową wówczas, gdy zostanie zestawiona z innymi dodatkowymi informacjami, które w konsekwencji można odnieść do konkretnej osoby.
Przy rozstrzyganiu czy określona informacja lub informacje stanowią dane osobowe, w większości przypadków, nieuniknione jest dokonanie zindywidualizowanej oceny, przy uwzględnieniu konkretnych okoliczności oraz rodzaju środków czy metod potrzebnych w określonej sytuacji do identyfikacji osoby.


Źródło: http://www.giodo.gov.pl/319/id_art/973/j/pl/, dostęp: 15.04.2014 r.

8. Czy pogotowie ratunkowe (zakład opieki zdrowotnej) może odmówić wydania dokumentacji medycznej dotyczącej zmarłego członka rodziny?

Tak, jeśli zmarły nie upoważnił za życia nikogo z rodziny do wydania jego dokumentacji medycznej.
Zasady i tryb udostępniania dokumentacji medycznej regulują przepisy ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta oraz rozporządzenia Ministra Zdrowia z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania.
Zgodnie z art. 26 ust. 1 tej ww. ustawy, podmiot udzielający świadczeń zdrowotnych udostępnia dokumentację medyczną pacjentowi lub przedstawicielowi ustawowemu, bądź osobie upoważnionej przez pacjenta. Po śmierci pacjenta prawo wglądu w dokumentację medyczną ma osoba upoważniona przez pacjenta za życia (ust. 2 powołanego przepisu).
W związku z powyższym, pogotowie ratunkowe (zakład opieki zdrowotnej) może odmówić wydania dokumentacji medycznej dotyczącej zmarłego członka rodziny, ale powinno tę odmowę uzasadnić na piśmie.

Źródło: http://www.giodo.gov.pl/319/id_art/1243/j/pl/, dostęp: 15.04.2014 r.

9. Czy dane osób zmarłych podlegają ochronie przewidzianej w ustawie o ochronie danych osobowych?

Ustawę stosuje się tylko do danych osobowych osób fizycznych. Zgodnie z powszechnie obowiązującą wykładnią osobą fizyczną jest człowiek uczestniczący w stosunkach prawnych. Zdolność prawna człowieka, a tym samym zdolność do bycia podmiotem praw i obowiązków ustaje z chwilą jego śmierci. Osoba zmarła nie może być podmiotem praw i obowiązków w stosunkach prawnych i nie może być uznana za osobę fizyczną.
W związku z powyższym ustawa o ochronie danych osobowych ma zastosowanie tylko do przetwarzania danych osobowych osób żyjących, a odmowę udzielania informacji na temat osób zmarłych z powołaniem się na ustawę o ochronie danych osobowych należy uznać za nieuzasadnioną.

Źródło: http://www.giodo.gov.pl/319/id_art/974/j/pl/, dostęp: 15.04.2014 r.

10. Czy numer VIN pojazdu stanowi dane osobowe w rozumieniu ustawy o ochronie danych osobowych?

Co do zasady sam numer VIN nie stanowi informacji, na podstawie której można zidentyfikować konkretną osobę. Zatem nie można uznać go za dane osobowe. Jednak dla administratora danych, jakim w tym przypadku jest minister właściwy do spraw administracji publicznej, powiązanie numeru VIN z innymi informacjami identyfikującymi właściciela pojazdu, nie stanowi problemu. Umożliwia więc bez nadmiernego kosztu, czasu i działań, zidentyfikować konkretną osobę. Zatem dla niego numer VIN stanowi dane osobowe.
Przy ustalaniu, czy numer VIN należy do kategorii danych osobowych, należy wziąć pod uwagę zarówno przepisy ustawy o ochronie danych osobowych, jak i unormowania ustawy z dnia 20 czerwca 1997 r. Prawo o ruchu drogowym.
Ustawa Prawo o ruchu drogowym wskazuje zamknięty katalog podmiotów, które mają dostęp do informacji zgromadzonych w centralnej ewidencji pojazdów. Są to m.in. Policja, prokuratura, sądy, komornicy sądowi, ZUS, straże gminne (miejskie), organy właściwe w sprawach kontroli skarbowej, organy właściwe w sprawach rejestracji pojazdów, organy podatkowe. Dla nich numer VIN będzie stanowił dane osobowe.

Źródło: http://www.giodo.gov.pl/319/id_art/2836/j/pl/, dostęp: 15.04.2014 r.

11. Czy adres IP komputera należy do danych osobowych?

Adres IP może być w pewnych przypadkach uznany za dane osobowe.
Opinia Grupy Roboczej ds. Ochrony Danych, powołanej przez Parlament Europejski i Radę Europejską (rozdz. III pkt 3 przykład 15) uznała literalnie adres IP za dane dotyczące osoby możliwej do zidentyfikowania, stwierdzając, że: "dostawcy usług internetowych oraz menedżerowie lokalnych sieci mogą, stosując rozsądne środki, zidentyfikować użytkowników internetu, którym przypisali adresy ip ponieważ systematycznie zapisują w plikach daty, czas trwania oraz dynamiczny adres IP (czyli ulegający zmianie po każdym zalogowaniu) przypisany danej osobie.
W związku z powyższym należy uznać, że w przypadkach, gdy adres IP jest na stałe lub na dłuższy okres czasu przypisany do konkretnego urządzenia, które przypisane jest z kolei konkretnemu użytkownikowi, należy uznać, że stanowi on daną osobową.

Źródło: http://www.giodo.gov.pl/319/id_art/2258/j/pl/, dostęp: 15.04.2014 r.

12. Czy publikacje w prasie i książkach podlegają przepisom ustawy o ochronie danych osobowych?

Publikacje w prasie i książkach, zwierające dane osobowe w formie nieuporządkowanej nie stanowią przetwarzania danych osobowych w zbiorze, a więc nie podlegają przepisom ustawy o ochronie danych osobowych. Ustawa o ochronie danych osobowych reguluje bowiem zasady przetwarzania danych w zbiorach. Istnienie zbioru jest obojętne jedynie w przypadku przetwarzania danych w systemie informatycznym. Pozyskiwanie danych w celu ich publikacji w prasie i książkach podlega natomiast ustawie, jeśli następuje ze zbioru danych osobowych. W takim przypadku ustawę stosuje podmiot udostępniający dane (administrator).

Źródło: http://www.giodo.gov.pl/320/id_art/978/j/pl/, dostęp: 15.04.2014 r.

13. Czy dane osobowe gromadzone w formie akt są zbiorem danych osobowych w rozumieniu ustawy o ochronie danych osobowych?

Tak, jeśli spełniają wszystkie elementy zbioru wskazane w definicji tej ustawy.
Zgodnie z art. 7 pkt 1 ustawy o ochronie danych osobowych przez zbiór danych rozumie się każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnym według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Stosownie zatem do tej definicji za zbiór danych można uznać wszelkie materiały gromadzone w formie akt, w tym sądowe, prokuratorskie, policyjne i inne zawierające dane osobowe.

Źródło: http://www.giodo.gov.pl/320/id_art/979/j/pl/, dostęp: 15.04.2014 r.

14. Czy jako zbiór danych można zakwalifikować zestaw danych, składający się z aplikacji składanych przez przyszłych pracowników (do celów rekrutacji)?

Aplikacje są przechowywane w systemie informatycznym, przy czym kryterium dostępu do tych informacji jest numer referencyjny bądź nazwa stanowiska, na które dana osoba aplikację złożyła.
Z powyższego opisu wynika przysługująca administratorowi danych dowolność w wyborze rodzaju kryterium dostępu, które w omawianym przypadku może stanowić również numer referencyjny. Możliwość wyszukania, według kryterium, którym może być numer referencyjny, bądź nazwa stanowiska, na które dana osoba aplikuje, dokumentu zawierającego dane osobowe, przesądza o uporządkowanym charakterze zestawienia danych i tym samym stanowi o zakwalifikowaniu tegoż zestawienia jako zbioru danych w rozumieniu art. 7 pkt 1 ustawy o ochronie danych osobowych.

Źródło: http://www.giodo.gov.pl/320/id_art/1475/j/pl/, dostęp: 15.04.2014 r.

15. Czy bank pomimo niewyrażenia przez klienta zgody na przetwarzanie jego danych w celach marketingowych ma prawo powierzyć dane osobowe spółce zajmującej się badaniem rynku?

Według internetowej wersji encyklopedii Wydawnictwa Naukowego PWN (http://encyklopedia.pwn.pl/haslo.php?) marketing to „działania gospodarcze dotyczące sprzedaży, dystrybucji, reklamy, planowania produkcji, badań rynku; celem marketingu jest z jednej strony przystosowanie przedsiębiorstwa do zmiennych warunków rynku, z drugiej zaś – oddziaływanie i kształtowanie rynku”.
Zatem, powierzenie przetwarzania danych spółce zajmującej się badaniem rynku, w sytuacji, gdy klient banku wcześniej złożył sprzeciw wobec przetwarzania jego danych w celach marketingowych prowadzi do naruszenia przepisów o ochronie danych osobowych.


Źródło: http://www.giodo.gov.pl/327/id_art/3884/j/pl/, dostęp: 15.04.2014 r.

16. Czy administrator danych może kontrolować podmiot, któremu powierzył przetwarzanie danych osobowych?

Tak, ponieważ administrator danych ponosi odpowiedzialność za bezpieczeństwo powierzonych innemu podmiotowi danych, w związku z czym powinien mieć możliwość kontroli tego, czy podmiot, któremu dane powierzył, przetwarza je zgodnie z postanowieniami zawartej miedzy nimi umowy.
Warto również wskazać na stanowisko Sądu Najwyższego zajęte w postanowieniu z dnia 11 grudnia 2000 r. o sygn. II KKN 438/2000, w którym Sąd ten stwierdził, iż „Na gruncie ustawy o ochronie danych osobowych administratorem danych osobowych jest jedynie ten podmiot, który decyduje o celach i środkach przetwarzania danych osobowych (art. 7 pkt 4 ustawy), natomiast administrującym – także taki podmiot, który zarządza, zawiaduje zbiorem danych (art. 51, 54) lub danymi (art. 52) w procesie ich przetwarzania, w tym i powierzonego mu w trybie wskazanym w art. 31 tej ustawy (...)”. Podmiot, któremu powierzono przetwarzanie danych osobowych nie staje się zatem ich administratorem.

Źródło: http://www.giodo.gov.pl/327/id_art/3254/j/pl/, dostęp: 15.04.2014 r.

17. Czy Minister Środowiska może w ramach swoich uprawnień powierzyć przetwarzanie danych osobowych innej, podległej sobie jednostce?

Tak, o ile zlecanie przez Ministra Środowiska zadań (w tym powierzenia przetwarzania danych) innym podległym jednostkom wynika z przepisów prawa.
Status administratora danych nie jest uzależniony od faktycznego przetwarzania danych. Innymi słowy, administratorem danych może być podmiot, który w ogóle nie posiada danych osobowych. Dla stwierdzenia posiadania takiego przymiotu istotne jest bowiem faktyczne decydowanie o celach i środkach przetwarzania danych osobowych (np. pomimo nieposiadania określonych danych – możliwość np. ich żądania, gdy zajdzie taka potrzeba).

Źródło: http://www.giodo.gov.pl/327/id_art/3116/j/pl/, dostęp: 15.04.2014 r.

18. Czy istnieje podstawa prawna przekazania dokumentów do firmy, która profesjonalnie zajmuje się niszczeniem dokumentów?

Tak, podstawą jest ustawa o ochronie danych osobowych zawierająca przepis, który odnosi się do powierzenia przetwarzania danych.
Zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych przekazanie dokumentów zawierających dane osobowe jest jedną z form przetwarzania tych danych. Ustawa przewiduje możliwość przekazania danych osobowych innemu podmiotowi, które następuje w drodze umowy powierzenia. Podmiot, któremu dane zostały udostępnione może przetwarzać je tylko w zakresie i celu wskazanym w umowie powierzenia (art. 31 ustawy o ochronie danych osobowych). Umowa ta powinna zostać zawarta na piśmie, wskazując w swej treści szczegółowe obowiązki zarówno administratora danych, jak i podmiotu, któremu powierzono przetwarzanie danych oraz zakres powierzonych mu danych.

Źródło: http://www.giodo.gov.pl/327/id_art/3094/j/pl/, dostęp: 15.04.2014 r.

19. Czy firma przekazując dane klienta, który zgłasza reklamację, kontrahentom którzy są stroną postępowania reklamacyjnego, narusza przepisy ustawy o ochronie danych osobowych?

Nie, o ile zakres danych osobowych jest adekwatny do celu ich zbierania, czyli do realizacji postępowania reklamacyjnego.
W sytuacji przekazywania danych osobowych klientów kontrahentom, jako przesłankę legalizującą można wskazać art. 23 ust. 1 pkt 3 czyli gdy przetwarzanie danych jest konieczne do realizacji umowy, gdy osoba, której dane dotyczą jest jej stroną, jednak istotne jest aby udostępnianie danych klienta było uregulowane w umowie w nim zawartej.
Firma, która zamierza przekazywać dane osobowe klientów, może również zawrzeć umowę powierzenia przetwarzania danych osobowych (art. 31 ust. 1 ustawy o ochronie danych osobowych). Na podstawie ust. 2 ww. artykułu podmiot, któremu powierzono dane może je przetwarzać wyłącznie w zakresie i celu przewidzianym w umowie.

Źródło: http://www.giodo.gov.pl/327/id_art/2795/j/pl/, dostęp: 15.04.2014 r.

20. Czy podmiot, któremu na podstawie art. 31 ustawy powierzono przetwarzanie danych staje się ich administratorem?

Nie, podmiot przetwarzający dane na podstawie umowy powierzenia zawartej z administratorem danych, w rozumieniu przepisów ustawy o ochronie danych osobowych, nie staje się ich administratorem.
Do powierzenia danych przez ich administratora nie jest wymagana zgoda osoby, której dane dotyczą. Ustawa wymaga natomiast, aby umowa łącząca zleceniodawcę i zleceniobiorcę zawarta była na piśmie oraz wyraźnie określała zakres i cel przetwarzania danych.

Źródło: http://www.giodo.gov.pl/327/id_art/980/j/pl/, dostęp: 15.04.2014 r.

21. Czy firma marketingowa, która kupiła bazę danych osobowych od innego podmiotu, powinna powiadomić każdą osobę o tym, że przetwarza jej dane?

Tak, gdyż zobowiązują ją do tego przepisy ustawy o ochronie danych osobowych.
Do tego zagadnienia odnosi się wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 22 stycznia 2004 r. (sygn. akt II SA 2665/2002), w uzasadnieniu którego sąd wskazał, że: „Firma, która nabyła zbiór danych osobowych od innego administratora danych, powinna powiadomić klientów, że posiada ich dane, oraz dać im czas, aby mieli szansę wnieść sprzeciw na ich przetwarzanie do celów marketingowych. Niedotrzymanie tych warunków łamie przepisy o ochronie danych osobowych.”

Źródło: http://www.giodo.gov.pl/321/id_art/3447/j/pl/, dostęp: 15.04.2014 r.

22. Czy urząd miasta ma obowiązek spełnić wobec swoich petentów obowiązek informacyjny wynikający z art. 24 ustawy o ochronie danych osobowych?

Tak, chyba, że osoba, której dane dotyczą, posiada wszystkie te informacje, o których mowa w powołanym przepisie ustawy.
Na podstawie art. 24 ust. 2 pkt 2 ustawy o ochronie danych osobowych, administrator danych jest zwolniony z obowiązku wynikającego z art. 24 ust. 1, jedynie wtedy, gdy osoba, której dane dotyczą posiada wszystkie informacje zawarte w cytowanym ust. 1. Z tym, że administrator danych powinien mieć pewność co do tej wiedzy, co następuje np. wtedy, gdy zainteresowany "zna administratora danych, orientuje się co do celu zbierania danych, wie, czy jest zobowiązany przepisami prawa do udzielenia informacji" (J. Barta, P. Fajgielski, R. Markiewicz Ochrona Danych Osobowych. Komentarz, Zakamycze 2004), albo jeśli administrator danych pozostaje w stałych kontaktach z osobą, której dane dotyczą (A. Drozd Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, Warszawa 2004 Wydawnictwo Prawnicze LexisNexis).

O zwolnieniu z obowiązku informacyjnego na podstawie omawianego art. 24 ust. 2 pkt 2 ustawy o ochronie danych osobowych można mówić jedynie wówczas, gdy administrator danych ma pewność, że osoba, której dane dotyczą, posiada wszystkie informacje wymienione w art. 24 ust. 1.

Źródło: http://www.giodo.gov.pl/321/id_art/1492/j/pl/, dostęp: 15.04.2014 r.

23. Jak rozumieć pojęcie "doraźności" użyte w art 2 ust. 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j. Dz. U. z 2002 r. Nr 101, poz. 926) ?

Istotną rolę w zakresie praktycznego rozumienia art. 2 ust. 3 odgrywa czynnik czasu, w ciągu którego są przetwarzane dane osobowe. Konieczne jest rozważenie celu (zadań), któremu służyć ma przetwarzanie danych w określonej strukturze. O ile pierwszy z tych czynników (czas) nie jest z oczywistych powodów ściśle, ustawowo określony (tzn. trudno o wskazanie ścisłych, czasowych granic zbioru doraźnego), o tyle pojęcie doraźności musi być uzależnione od celu przetwarzania danych w zbiorze. Jeżeli dane tworzące określoną strukturę służą realizacji zasadniczego, głównego celu przetwarzania, trudno uznać tę strukturę za zbiór doraźny. Nie zmienia tego okoliczność, że okres jej przetwarzania jest relatywnie krótki.

Źródło: http://www.giodo.gov.pl/322/j/pl/, dostęp: 15.04.2014 r.

24. Czy klauzula zgody, jaką podmiot zamierza umieścić w treści umów zawieranych z klientami może być tworzona w sposób zupełnie dowolny?

Tak, ale musi zawierać pewne, wskazane w ustawie o ochronie danych osobowych elementy.
Z ustawowej definicji nie wynikają szczegółowe zasady formułowania zgody, jednakże podkreśla się, że z treści zgody na przetwarzanie danych osobowych powinno w sposób nie budzący wątpliwości wynikać, w jakim celu, w jakim zakresie i przez kogo dane osobowe będą przetwarzane. Wyrażający zgodę musi mieć pełną świadomość tego, na co się godzi. Stanowisko takie wyraził także Naczelny Sąd Administracyjny w wyroku z dnia 4 kwietnia 2003 r. (sygn. akt II SA 2135/2002), w którego sentencji zawarł stwierdzenie, iż "Zgoda na przekazywanie danych musi mieć charakter wyraźny, a jej wszystkie aspekty muszą być jasne dla podpisującego w momencie jej wyrażania. Czynności takiej nie konwaliduje późniejsze poinformowanie o treści regulaminu, ani możliwość zgłoszenia zastrzeżeń wobec pewnych form przetwarzania danych".

Źródło: http://www.giodo.gov.pl/325/id_art/1431/j/pl/, dostęp: 15.04.2014 r.

25. Czy prawidłową praktyką jest zamieszczanie w treści umowy zawieranej z klientem klauzuli zgody na przetwarzanie danych osobowych tak, by osoba zgadzająca się na zaproponowane warunki umowy, zgadzała się jednocześnie na przetwarzanie danych w celu wykonania tej umowy lub w innych celach wskazanych przez administratora?

Nie, gdyż nie można uzależniać wykonania umowy od wyrażenia zgody na przetwarzanie danych osobowych w określonym celu. Ponadto, na wykorzystywanie danych w celu zawarcia lub wykonania umowy zgoda w ogóle nie jest potrzebna.
Zgodnie z ustawą o ochronie danych osobowych, na wykorzystywanie danych w celu zawarcia lub wykonania umowy zgoda w ogóle nie jest potrzebna. Jednym z podstawowych warunków zgodnego z prawem przetwarzania danych osobowych jest bowiem spełnienie tylko jednego z pięciu warunków określonych w art. 23 ust. 1 ustawy o ochronie danych osobowych. Zatem, jeśli zgodnie z pkt 3 tego przepisu, wykorzystywanie danych uzasadnia konieczność realizacji umowy, gdy osoba, której dane dotyczą jest jej stroną, lub gdy jest to konieczne do podjęcia koniecznych działań przed zawarciem takiej umowy, to dodatkowe żądanie zgody na przetwarzanie danych w celu realizacji umowy, jest zbędne.

Źródło: http://www.giodo.gov.pl/325/id_art/1507/j/pl/, dostęp: 15.04.2014 r.

26. Czy nauczyciele mogą wyrazić zgodę na to, by przedstawiciele firmy marketingowej w trakcie prowadzonych lekcji, gromadzili informacje o uczniach i ich rodzicach (imieniu, nazwisku, numerze telefonu) w celu prowadzenia akcji marketingowej?

Nie, gdyż zgodę na wykorzystywanie danych osobowych uczniów w celach marketingowych mogą wyrazić tylko oni sami, a jeśli są niepełnoletni, to ich rodzice (opiekunowie prawni).
Aby w sytuacji, jak przedstawiona w pytaniu, można było mówić o działaniu legalnym konieczne byłoby uzyskanie zgody rodziców, czy opiekunów prawnych dzieci. Należy podkreślić, że zgoda na przetwarzanie danych osobowych wyrażona przez osoby małoletnie pozostaje bezskutecznym oświadczeniem woli do czasu jej potwierdzenia przez rodziców, czy też opiekunów prawnych małoletnich. Zgoda taka jest pozbawiona mocy prawnej również w świetle obowiązujących przepisów ustawy z dnia 25 lutego 1964 r. Kodeks rodzinny i opiekuńczy.

Źródło: http://www.giodo.gov.pl/325/id_art/1523/j/pl/, dostęp: 15.04.2014 r.

27. Czy zawarcie umowy przedwstępnej stanowi przesłankę legalizującą przetwarzanie danych osobowych?

Tak, bowiem zgodnie z art. 23 ust 1 pkt 3 ustawy o ochronie danych osobowych przetwarzanie danych jest dopuszczalne w sytuacji, gdy jest to niezbędne do realizacji umowy, gdy osoba, której dane dotyczą jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą.
Należy podkreślić, że bez danych osobowych osoby, której te dane dotyczą jakakolwiek umowa np. umowa przedwstępna, nie mogłaby dojść do skutku. Dlatego, przetwarzanie danych na potrzeby zawarcia umowy przedwstępnej stanowi jednocześnie przesłankę legalizującą przetwarzanie danych z art. 23 ust. 1 pkt 3 ustawy o ochronie danych osobowych.




28. Czy Konsul RP może udostępnić rodzinie osoby, która została aresztowana poza terytorium Polski, informacje o jej aresztowaniu?

Tak, Konsul RP może udzielić takie informacje, ale tylko jeśli osoba aresztowana wyrazi na to zgodę.
Art. 13 Ustawy o funkcjach konsulów Rzeczypospolitej Polskiej stanowi, iż Konsul czuwa, aby obywatele polscy zatrzymani, aresztowani lub w inny sposób pozbawieni wolności w państwie przyjmującym mieli zapewnioną ochronę prawną i traktowanie zgodnie z prawem tego państwa oraz prawem i zwyczajami międzynarodowymi. W szczególności może on – na wniosek obywatela – ułatwić mu porozumiewanie się z rodziną i innymi osobami bliskimi. Udostępnianie zatem informacji o zatrzymanym obywatelu przez wydział konsularny jego rodzinie uzależnione będzie od woli osoby, której zatrzymanie dotyczy.
Źródło: http://www.giodo.gov.pl/325/id_art/3376/j/pl/, dostęp: 15.04.2014 r.

29. Czy na działalność akwizycyjną OFE polegającą na wykorzystaniu danych swojego członka w celu nakłonienia go do pozostania w funduszu przysługuje sprzeciw wobec przetwarzania danych osobowych?

Tak, bowiem nakłanianie do pozostania w OFE jest działalnością marketingową.
Podstawą prawną przetwarzania danych osobowych członków funduszu w związku z działalnością akwizycyjną jest art. 23 ust. 1 pkt 5 ustawy, oczywiście do chwili, w której osoba, której dane dotyczą nie wyrazi sprzeciwu wobec takiego działania. W przypadku bowiem wyrażenia przez członka funduszu sprzeciwu wobec przetwarzania jego danych w celach marketingowych (art. 32 ust. 1 pkt 8 ustawy), w szczególności w celu skłonienia go do pozostania członkiem funduszu, dalsze przetwarzanie tych danych jest niedopuszczalne (art. 32 ust. 3 ustawy).

Źródło: http://www.giodo.gov.pl/328/id_art/3549/j/pl/, dostęp: 15.04.2014 r.

30. Czy w skardze do Generalnego Inspektora Ochrony Danych Osobowych można żądać wypłaty odszkodowania za niezgodne z prawem przetwarzanie danych osobowych?


Nie, gdyż ustawa o ochronie danych osobowych, na podstawie której działa organ do spraw ochrony danych osobowych, nie przewiduje możliwości zasądzenia przez Generalnego Inspektora Ochrony Danych Osobowych wypłaty odszkodowania za niezgodne z prawem przetwarzanie danych osobowych.
W przypadku naruszenia przepisów o ochronie danych osobowych – na podstawie art. 18 ustawy o ochronie danych osobowych – Generalny Inspektor na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności usunięcie uchybień; uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych. Ponadto może także wydać decyzję o zastosowaniu dodatkowych środków zabezpieczających zgromadzone dane osobowe, czy decyzję dotyczącą usunięcia danych osobowych. Ponadto, Generalny Inspektor może także kierować do organów ścigania zawiadomienia o popełnieniu przestępstwa, jeśli stwierdzi, że pewien czyn lub zaniechanie narusza zasady ochrony danych osobowych (art. 19 ustawy o ochronie danych osobowych).

Źródło: http://www.giodo.gov.pl/328/id_art/3445/j/pl/, dostęp: 15.04.2014 r.

31. Czy GIODO jest uprawniony do wydawania decyzji administracyjnej w sprawach związanych z naruszeniem dóbr osobistych?

Nie, bowiem GIODO nie jest organem właściwym do stwierdzenia naruszenia dóbr osobistych.
Naczelny Sąd Administracyjny stwierdził w wyroku z dnia 2 marca 2001 r. (sygn. akt II SA 401/00), że: „(...) Generalny Inspektor (...) nie jest organem kontrolującym ani nadzorującym prawidłowość stosowania prawa materialnego i prawa procesowego w sprawach należących do właściwości innych organów, służb czy sądów, których orzeczenia podlegają ocenom w toku instancji czy w inny sposób określony odpowiednimi procedurami”.

Źródło: http://www.giodo.gov.pl/328/id_art/3281/j/pl/, dostęp: 15.04.2014 r.

32. Czy zgodne z ustawą o ochronie danych osobowych jest tworzenie na podstawie informacji ze źródeł powszechnie dostępnych różnego rodzaju baz danych (np. baza dziennikarzy)?


Ustawa o ochronie danych osobowych nie zakazuje pozyskiwania danych ze źródeł powszechnie dostępnych, nie jest też na to potrzebna zgoda Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Zatem każdy może korzystać z danych umieszczonych np. w książce telefonicznej, Internecie czy prasie.
Jednak jeśli podmiot, który gromadzi pozyskane w ten sposób dane w oddzielnej bazie danych, zobowiązany jest stosować przepisy ustawy o ochronie danych osobowych. Nakazują one administratorom danych osobowych (czyli podmiotom decydującym o celach i środkach przetwarzania) wywiązanie się z kilku obowiązków, takich jak:
zarejestrowanie utworzonego zbioru danych osobowych u Generalnego Inspektora Ochrony Danych Osobowych,
wykazanie się podstawą prawną uprawniającą do wykonywania jakichkolwiek działań na zawartych w takim zbiorze danych osobowych,
dopełnienie obowiązku informacyjnego.

Źródło: http://www.giodo.gov.pl/328/id_art/3155/j/pl/, dostęp: 15.04.2014 r.

33. Czy można zastrzec, aby dane osobowe nie były przetwarzane przez firmę, która przysyłała ulotki reklamujące jej produkty?

Nie, gdyż przepisy ustawy o ochronie danych osobowych nie przewidują możliwości „zastrzeżenia danych osobowych”. Jest natomiast możliwość wniesienia sprzeciwu wobec przetwarzania danych osobowych bądź też możliwość cofnięcia zgody na przetwarzanie danych w celach marketingowych.
Uprawnienie wynikające z art. 32 ust. 1 pkt 8 przysługuje osobie, której dane dotyczą, jedynie względem administratora danych. Administratorem danych jest - zgodnie z art. 7 pkt 4 ustawy o ochronie danych osobowych -organ, jednostka organizacyjna, podmiot lub osobę, o których mowa w art. 3 tej ustawy, decydujące o celach i środkach przetwarzania danych osobowych. Skierowanie takiego sprzeciwu, skutkuje brakiem możliwości dalszego przetwarzania danych osobowych dotyczących osoby z nim występującej, wyłącznie przez administratora danych będącego "odbiorcą" tego sprzeciwu. Nie oznacza to natomiast zakazu przetwarzania danych tej osoby przez innych administratorów posiadających już w prowadzonych przez siebie zbiorach dane osoby wnoszącej sprzeciw. Innymi słowy, sprzeciw skierowany do konkretnego administratora danych nie ma charakteru generalnego i w żaden sposób nie wpływa na przetwarzanie danych przez pozostałych administratorów danych.

Źródło: http://www.giodo.gov.pl/328/id_art/1356/j/pl/, dostęp: 15.04.2014 r.

34. Czy GIODO może wyrazić zgodę na przekazanie danych osobowych do państwa trzeciego (Republiki Korei), jeśli podmioty uczestniczące w tym przekazaniu zawarły umowę opartą o standardowe klauzule umowne, określone w jednej z decyzji Komisji Europejskiej?

Tak, jeśli GIODO, porównując zapisy zawartej umowy z klauzulami umownymi zawartymi w decyzji Nr 2002/16/WE Komisji Europejskiej z dnia 27 grudnia 2001 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych przetwarzającym dane mającym siedzibę w państwach trzecich, na mocy dyrektywy 95/46/WE, uzna, iż państwo trzecie (gdzie znajduje się odbiorca danych) zapewnia przekazywanym danym odpowiedni poziom ochrony.

Źródło: http://www.giodo.gov.pl/326/id_art/3318/j/pl/, dostęp: 15.04.2014 r.

35. Czy w przypadku zgody GIODO na przekazanie danych osobowych do państwa trzeciego, administrator danych powinien spełnić, wynikający z ustawy o ochronie danych osobowych, obowiązek informacyjny?

Tak, obowiązek ten spoczywa na wszystkich administratorach danych osobowych, którzy przetwarzają dane osobowe.
Zgodnie z ustawą o ochronie danych osobowych, każdy podmiot przetwarzający dane osobowe, powinien spełnić wszystkie obowiązki wynikające z jej przepisów. I tak, w przypadku przekazywania danych do państwa trzeciego administrator danych powinien m.in. poinformować osoby, których dane dotyczą, o fakcie przekazywania ich danych do państw trzecich. Bowiem wypełnienie powyższego obowiązku przez administratora danych ma kluczowe znaczenie dla zapewnienia realizacji uprawnień przez osoby, których dane dotyczą.

Źródło: http://www.giodo.gov.pl/326/id_art/3307/j/pl/, dostęp: 15.04.2014 r.

36. Czy potrzebna jest zgoda GIODO na przekazanie danych osobowych do państwa trzeciego (Stanów Zjednoczonych Ameryki), jeśli odbiorca danych przystąpił do programu „Safe Harbour”?

Nie, gdyż przystąpienie podmiotu do programu „Safe Harbour” oznacza, że podmiot ten – odbiorca danych – zobowiązuje się do zapewnienia odpowiedniego poziomu bezpieczeństwa danych osobowych, wystarczającego do przekazania danych do państwa trzeciego.
Stany Zjednoczone Ameryki zalicza się do jednego z państw trzecich nie dających gwarancji odpowiedniego zabezpieczenia danych osobowych. Z uwagi na to, że taka sytuacja w znacznym stopniu hamuje wymianę gospodarczą pomiędzy Unią Europejską a Stanami Zjednoczonymi Departament Handlu Stanów Zjednoczonych wypracował w porozumieniu z Komisją Europejską program "Safe Harbour". Każdy podmiot, który przystępuje do programu „Safe Harbour”, poprzez uzyskanie jego certyfikatu, ma gwarantować odpowiedni poziom ochrony danych osobowych, przynajmniej taki jaki obowiązuje w państwach należących do Europejskiego Obszaru Gospodarczego, podlegającym przepisom Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych.
W związku z powyższym, skoro podmiot, do którego dane osobowe mają być przekazane, przystąpił do programu „Safe Harbour”, co oznacza, że gwarantuje on odpowiedni poziom bezpieczeństwa tym danym, to zgoda Generalnego Inspektora Ochrony Danych Osobowych na przekazanie danych jest w tym przypadku zbędna.

Źródło: http://www.giodo.gov.pl/326/id_art/3252/j/pl/, dostęp: 15.04.2014 r.

37. Czy w przypadku kwalifikowanej formy przetwarzania danych, jaką jest przekazanie danych do państwa trzeciego, zachodzi konieczność spełnienia jednej z przesłanek legalności przetwarzania danych, wymienionych w art. 23 ust. 1 lub art. 27 ust. 2 ustawy o ochronie danych osobowych?

Tak. Ustawa o ochronie danych osobowych, wprowadzając w swym rozdziale 7 (art. 47 i 48) szczególny reżim dotyczący przekazywania danych osobowych do państw trzecich, nie wyłączyła zastosowania w takich wypadkach pozostałych przepisów ustawy. Przepisy art. 47 i 48 ustawy wprowadzają bowiem jedynie dodatkowe wymogi, które należy spełnić, gdy zamierza się przekazać dane osobowe do państwa trzeciego. Konieczność ich wypełnienia nie zwalnia więc administratora danych z pozostałych obowiązków nałożonych na niego przepisami ustawy.

Źródło: http://www.giodo.gov.pl/326/id_art/1500/j/pl/, dostęp: 15.04.2014 r.

38. Co to jest program "Safe Harbour"?

Uchwalona w dniu 24 października 1995 r. Dyrektywa 95/46/WE Parlamentu Europejskiego oraz Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnym przepływie tych danych zakazuje, co do zasady, przekazywania danych osobowych do krajów niezapewniających odpowiedniego poziomu zabezpieczeń. Z uwagi na różnice pomiędzy prawodawstwem Unii Europejskiej oraz Stanów Zjednoczonych państwo to nie może zostać uznane za gwarantujące odpowiedni poziom ochrony danych osobowych. Mając na uwadze, że sytuacja taka w znacznym stopniu hamuje wymianę gospodarczą pomiędzy Unią Europejską a Stanami Zjednoczonymi Departament Handlu Stanów Zjednoczonych wypracował w porozumieniu z Komisją Europejską program "Safe Harbour"; umożliwiający amerykańskim podmiotom gospodarczym sprostanie wymaganiom wskazanej na wstępie Dyrektywy. Uzyskanie certyfikatu programu "Safe Harbour"; przez uczestniczące w nim podmioty zapewnia, że gwarantują one odpowiedni poziom ochrony danych osobowych, o którym mowa w Dyrektywie 95/46/WE.

Źródło: http://www.giodo.gov.pl/326/id_art/1500/j/pl/, dostęp: 15.04.2014 r.

39. Do kogo należy ocena, czy spełnione zostały przesłanki zezwalające na przekazywanie danych do państwa trzeciego?

Ocena, czy zostały one spełnione należy do administratora danych. Podstawowym obiektywnym kryterium decydującym o możliwości przekazania danych za granicę jest zapewnienie w kraju docelowym standardu ochrony danych przynajmniej takiego, jaki obowiązuje na terytorium Rzeczypospolitej Polskiej. Zasada ta nie ma zastosowania w przypadku, gdy obowiązek przekazywania danych za granicę wynika z przepisów prawa lub umowy międzynarodowej, której Polska jest stroną. Ocena, czy kraj docelowy zapewnia odpowiednie gwarancje ochrony należy do administratora danych, który musi we własnym zakresie ocenić, czy spełnione są przesłanki z art. 47 ust. 1. Generalny Inspektor nie wydaje w tym zakresie żadnych zaświadczeń. Pomimo niespełnienia żadnej z przesłanek wyżej wymienionych, administrator ma prawo przekazać dane za granicę, jeżeli spełni jeden z warunków, o którym mowa w art. 47 ust. 3 ustawy o ochronie danych osobowych, na przykład: uzyska na piśmie zgodę osoby, której dane dotyczą.

Jeżeli nie zostały spełnione wymagania określone w art. 47 ust. 2 lub 3 ustawy, a kraj docelowy nie zapewnia odpowiednich standardów ochrony, przekazanie danych może mieć miejsce tylko po uzyskaniu zgody Generalnego Inspektora, pod warunkiem, że administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą.

Źródło: http://www.giodo.gov.pl/326/id_art/976/j/pl/, dostęp: 15.04.2014 r.

40. Czy na wniosek osoby, która uważa, że jej dane osobowe zostały bezprawnie opublikowane w gazecie, Generalny Inspektor Ochrony Danych Osobowych może nakazać ich usunięcie?

Nie, gdyż – co do zasady – przepisów ustawy o ochronie danych osobowych, na podstawie których działa GIODO, nie stosuje się do publikowania danych osobowych w prasie.
O tym, czy w konkretnym przypadku opublikowanie materiału prasowego, w tym danych osobowych, nastąpiło z naruszeniem prawa, orzekają właściwe rzeczowo i miejscowo sądy powszechne. A zatem Generalny Inspektor Ochrony Danych Osobowych nie jest organem właściwym do nakazania usunięcia danych osobowych z treści artykułu prasowego.

Źródło: http://www.giodo.gov.pl/398/id_art/3690/j/pl/, dostęp: 16.04.2014 r.

41. Czy publikacja w prasie danych osobowych podlega ustawie o ochronie danych osobowych?

Nie, publikacja w prasie danych osobowych jest zaliczana do prasowej działalności dziennikarskiej, a ta nie podlega ustawie o ochronie danych.
Każdy, kto uzna, iż doszło do naruszenia ochrony jego dóbr osobistych, może wystąpić do sądu ze stosownej treści powództwem na zasadach i w trybie określonym przepisami ustawy z dnia 17 listopada 1964 r. Kodeks postępowania cywilnego, Generalny Inspektor Ochrony Danych Osobowych nie jest bowiem organem właściwym w powyższym zakresie.

Źródło: http://www.giodo.gov.pl/398/id_art/3377/j/pl/, dostęp: 16.04.2014 r.

42. Czy zgodne z ustawą o ochronie danych osobowych jest tworzenie na podstawie informacji ze źródeł powszechnie dostępnych różnego rodzaju baz danych (np. baza dziennikarzy)?


Tak, gdyż ustawa o ochronie danych osobowych nie zakazuje pozyskiwania danych ze źródeł powszechnie dostępnych, nie jest też na to potrzebna zgoda Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Zatem każdy może korzystać z danych umieszczonych np. w książce telefonicznej, Internecie czy prasie. Jednak, jeśli staje się ich administratorem, musi spełnić pewne wymagania z ustawy o ochronie danych osobowych.
Podmiot, który gromadzi dane pozyskane ze źródeł powszechnie dostępnych tworząc w ten sposób swoją bazę danych (tzw. zbiór danych) staje się ich administratorem i jest zobowiązany stosować przepisy ustawy o ochronie danych osobowych. Nakazują one administratorom danych osobowych (czyli podmiotom decydującym o celach i środkach przetwarzania) wywiązanie się z kilku obowiązków, takich jak:
wykazanie się podstawą prawną uprawniającą do wykonywania jakichkolwiek działań na zawartych w takim zbiorze danych osobowych,
dopełnienie obowiązku informacyjnego.
zgłoszenia do rejestracji GIODO utworzonego zbioru danych osobowych.

Źródło: http://www.giodo.gov.pl/398/id_art/3162/j/pl/, dostęp: 16.04.2014 r.

43. Czy publikowanie rankingu sędziów piłkarskich zawierającego ich dane osobowe oraz wyniki egzaminów teoretycznych, kondycyjnych oraz wystawione oceny, nie narusza przepisów ustawy o ochronie danych osobowych?

Nie, jeśli publikacja takich danych osobowych obywa się po uzyskaniu pisemnej zgody osób, których one dotyczą, przy czym w przypadku przetwarzania danych tzw. wrażliwych, o których mowa w art. 27 ust. 1 ustawy o ochronie danych osobowych, zgoda musi być pozyskana na piśmie.
Biorąc pod uwagę, że nie ma przepisu prawa zezwalającego na publikację wskazanego rankingu ani nie zachodzi żadna z wymienionych w art. 27 ust. 2 pkt. 3-10 ustawy o ochronie danych osobowych przesłanek zezwalających na przetwarzanie danych osobowych szczególnie chronionych, publikacja taka będzie możliwa tylko i wyłącznie po uzyskaniu pisemnej zgody osób, których dane znajdują się w rankingu (art. 27 ust. 2 pkt 1 ustawy o ochronie danych osobowych).

Źródło: http://www.giodo.gov.pl/398/id_art/2976/j/pl/, dostęp: 16.04.2014 r.

44. Czy publikowanie w mediach wizerunku pijanych kierowców i podawanie ich nazwisk do publicznej wiadomości jest zgodne z ustawą o ochronie danych osobowych?

Tak, jeśli odbywa się na podstawie szczególnych wobec ustawy o ochronie danych osobowych przepisów prawa.
Kwestię publikacji w prasie danych osobowych i wizerunku osób, przeciwko którym toczy się postępowanie przygotowawcze lub sądowe regulują też przepisy Prawa prasowego. Zabraniają one (art. 13 ust. 1 tej ustawy) wypowiadania w prasie opinii co do rozstrzygnięcia w postępowaniu sądowym przed wydaniem orzeczenia w I instancji. Nie zezwalają również (ust. 2 tego przepisu) na publikowanie w prasie danych osobowych i wizerunku osób, przeciwko którym toczy się postępowanie przygotowawcze lub sądowe, jak również danych osobowych i wizerunku świadków, pokrzywdzonych i poszkodowanych, chyba że osoby te wyrażą na to zgodę. Jednakże ust. 3 tego przepisu dopuszcza ujawnienie danych osobowych i wizerunku osób, przeciwko którym toczy się postępowanie przygotowawcze lub sądowe, jeśli tak zdecyduje prokurator lub sąd, a powodem ujawnienia danych jest ważny interes społeczny.

Źródło: http://www.giodo.gov.pl/398/id_art/1754/j/pl/, dostęp: 16.04.2014 r.

45. Czy zastosowanie przez administratora danych odpowiednich zabezpieczeń do przetwarzania danych osobowych jest warunkiem niezbędnym do zarejestrowania zbioru tych danych u Generalnego Inspektora Ochrony Danych Osobowych?

Tak, gdyż wymają tego przepisy ustawy o ochronie danych osobowych.
Niezastosowanie odpowiedniego poziomu bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym oznacza, że urządzenia i systemy informatyczne służące do przetwarzania zbioru danych zgłoszonego do rejestracji nie spełniają podstawowych warunków technicznych i organizacyjnych, określonych w rozporządzeniu, co stanowi przesłankę odmowy rejestracji zgłoszonego zbioru danych. Stosownie bowiem do art. 44 ust. 1 pkt 3 ustawy o ochronie danych osobowych Generalny Inspektor Ochrony Danych Osobowych odmawia, w drodze decyzji administracyjnej, rejestracji zgłoszonego zbioru danych, jeżeli urządzenia i systemy informatyczne służące do przetwarzania zbioru danych zgłoszonego do rejestracji nie spełniają podstawowych warunków technicznych i organizacyjnych, określonych w przepisach rozporządzenia Ministra SWiA.

Źródło: http://www.giodo.gov.pl/1520048/id_art/3627/j/pl/, dostęp: 16.04.2014 r.

46. Czy zostanie zarejestrowany przez GIODO zbiór danych osobowych, jeśli w zgłoszeniu jego administrator nie wskazał środków technicznych i organizacyjnych służących do przetwarzania danych w tym zbiorze?

Nie, gdyż wskazanie takich środków technicznych i organizacyjnych jest warunkiem konicznym, aby można było zarejestrować u GIODO zgłoszony zbiór danych.
Jeśli w zgłoszeniu zbioru do rejestracji brak jest informacji o zastosowanych środkach technicznych i organizacyjnych służących do przetwarzania danych, to Generalny Inspektor Ochrony Danych Osobowych odmawia, w drodze decyzji administracyjnej, rejestracji zgłoszonego zbioru danych (art. 44 ust. 1 ustawy).

Źródło: http://www.giodo.gov.pl/1520048/id_art/3559/j/pl/, dostęp: 16.04.2014 r.

47. Czy prowadząc bazy danych osobowych zarejestrowanych zbiorów Generalny Inspektor Ochrony Danych Osobowych dysponuje informacjami np. o adresie zamieszkania, nr PESEL konkretnych osób?

Nie, gdyż bazy danych, które są zarejestrowane u Generalnego Inspektora Ochrony Danych Osobowych nie zawierają informacji dotyczących konkretnych osób, a jedynie dotyczących zasad przetwarzania danych w zbiorze.

Źródło: http://www.giodo.gov.pl/1520048/id_art/3556/j/pl/, dostęp: 16.04.2014 r.

48. Czy podmiot, który zarejestrował swój zbiór danych osobowych w GIODO, może uzyskać od GIODO specjalny certyfikat, że przestrzega zasad ochrony danych osobowych?

Nie, gdyż GIODO nie wydaje żadnych certyfikatów, których posiadanie świadczyłoby o legalności przetwarzania danych osobowych.
Ustawa o ochronie danych osobowych nie dopuszcza możliwości wydawania przez GIODO żadnych certyfikatów. Zgodnie z jej przepisami podmiot (tzw. administrator danych), którego zbiór danych osobowych został zarejestrowany przez GIODO, może uzyskać zaświadczenie o zarejestrowaniu zbioru danych osobowych. Jednocześnie ustawa o ochronie danych osobowych przyznaje każdemu administratorowi danych prawo wystąpienia do Generalnego Inspektora Ochrony Danych Osobowych o wydanie takiego zaświadczenia (art. 42 ust. 3). Tym samym GIODO wydaje takie zaświadczenie, ale tylko na wniosek administratora danych. Wyjątkiem jest jedynie obligatoryjne (z urzędu) wydawanie przez GIODO zaświadczenia o zarejestrowaniu zbioru, w którym przetwarzane są dane szczególnie chronione (wymienione w art. 27 ust. 1 ustawy, np. dane o stanie zdrowia).

Źródło: http://www.giodo.gov.pl/1520048/id_art/3545/j/pl/, dostęp: 16.04.2014 r.

49. Czy baza klientów sklepu internetowego przetwarzanych w różnych celach, jak np. realizacji zamówień, marketingu, prowadzenia bazy umów cywilnoprawnych, może zostać zgłoszona do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych jako jeden zbiór danych osobowych?

Nie, gdyż dla realizacji różnych celów konieczne będzie przetwarzanie danych osobowych w różnych zakresach, a to oznacza, że zgłoszenie zbioru do rejestracji dotyczy de facto nie jednego, lecz kilku zbiorów prowadzonych w różnych celach.
Baza klientów sklepu internetowego stanowi zbiór danych w rozumieniu ustawy o ochronie danych osobowych, który powinien zostać zgłoszony do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.
Jednocześnie z ustawy o ochronie danych osobowych wynika, iż jedno zgłoszenie zbioru danych powinno obejmować tylko jeden zbiór danych osobowych (art. 41 ustawy). Administrator danych, dokonując zgłoszenia zbioru danych do rejestracji, powinien mieć na uwadze, iż poszczególne zbiory danych osobowych różnią się między sobą m.in. zakresem przetwarzanych danych, celem przetwarzania danych, podstawą prawną prowadzenia zbioru. Dlatego, wypełnienie jednego zgłoszenia dla kilku zbiorów danych osobowych nie pozwala w sposób właściwy scharakteryzować poszczególnych zbiorów objętych tym zgłoszeniem. Tym samym nie można dla każdego z nich wskazać elementów decydujących o jego tożsamości, tj. np. podstawy prawnej przetwarzania danych, zakresu przetwarzanych danych, celu przetwarzania danych w zbiorze, a co za tym idzie nie jest możliwe stwierdzenie, jaki zakres informacji, o którym mowa w art. 41 ust. 1 ustawy, dotyczy każdego ze zbiorów.
A zatem skoro dane osobowe klientów sklepu internetowego przetwarzane są w różnych celach, jak np. realizacja zamówień klientów sklepu internetowego, prowadzenie statystyk, marketing, prowadzenie bazy umów cywilnoprawnych, to dla ich realizacji potrzebny będzie różny zakres danych osobowych. Prowadzi to do wniosku, że taka baza danych osobowych zawiera faktycznie kilka zbiorów danych prowadzonych w różnych celach. Dlatego każdy zbiór powinien zostać zgłoszony na oddzielnym formularzu zgłoszeniowym, w którym zostanie uwzględniony odpowiedni zakres danych osobowych oraz cel, dla jakiego są one przetwarzane.

Źródło: http://www.giodo.gov.pl/1520048/id_art/3489/j/pl/, dostęp: 16.04.2014 r.

50. Jaką decyzję podejmuje Generalny Inspektor Ochrony Danych Osobowych, jeśli w zgłoszeniu o rejestrację zbioru jego administrator (fundacja) nie wskazał podstawy prawnej do przetwarzania danych osobowych szczególnie chronionych?

Wówczas GIODO wydaje decyzję o odmowie rejestracji zbioru, gdyż wskazanie podstawy prawnej upoważniającej do przetwarzania danych osobowych jest niezbędne, aby móc zarejestrować każdy zbiór danych osobowych.
Brak w zgłoszeniu informacji o podstawie prawnej do przetwarzania danych osobowych stanowi przesłankę odmowy rejestracji zbioru danych osobowych. Odmawiając rejestracji zbioru danych, stosownie do art. 44 ust. 2 pkt 1 ustawy, Generalny Inspektor Ochrony Danych Osobowych nakazuje administratorowi danych ograniczenie przetwarzania danych osobowych zgromadzonych w zgłaszanym do rejestracji zbiorze wyłącznie do ich przechowywania, do czasu zarejestrowania tego zbioru po jego ponownym zgłoszeniu. Na podstawie art. 44 ust. 4 omawianej ustawy, administrator danych powinien zatem ponownie zgłosić zbiór danych do rejestracji po usunięciu wad, które były powodem odmowy rejestracji tego zbioru. W takim przypadku administrator może rozpocząć przetwarzanie danych osobowych dopiero po zarejestrowaniu zbioru.

Źródło: http://www.giodo.gov.pl/1520048/id_art/3488/j/pl/, dostęp: 16.04.2014 r.

51. Kto – dotychczasowy czy nowy administrator danych – powinien spełnić obowiązek informacyjny wobec osób, których dane przetwarza w zbiorze, jeśli zbiór ten został przejęty przez nowego administratora danych?

Obowiązek ten ciąży na nowym administratorze danych, który od momentu rozpoczęcia przetwarzania przejętych danych powinien spełnić obowiązek informacyjny, o którym mowa w art. 25 ust. 1 ustawy o ochronie danych osobowych.
Przejęcie zbioru przez nowego administratora danych powoduje zaprzestanie przetwarzania danych w dotychczasowym zbiorze. W takiej sytuacji dotychczasowy administrator kończy prowadzenie zbioru i przestaje być administratorem danych przetwarzanych w tym zbiorze. Ma on w związku z tym obowiązek poinformowania o tym Generalnego Inspektora Ochrony Danych Osobowych, który – na podstawie art. 44a pkt 1 ustawy – (po przeprowadzeniu postępowania administracyjnego w tej sprawie), wydaje decyzję o wykreśleniu zbioru z rejestru zbiorów danych osobowych. Natomiast nowy administrator po przejęciu danych osobowych może utworzyć nowy zbiór albo włączyć przejęte dane do innego prowadzonego przez siebie zbioru.

Źródło: http://www.giodo.gov.pl/1520048/id_art/3354/j/pl/, dostęp: 16.04. 2014 r.

52. Czy podlegający rejestracji u Generalnego Inspektora Ochrony Danych Osobowych zbiór danych osobowych zostanie zawsze zarejestrowany, po zgłoszeniu go na formularzu zgłoszeniowym?

Nie, jeśli podczas postępowania rejestracyjnego okaże się, że zachodzi co najmniej jedna z przesłanek do wydania przez GIODO decyzji o odmowie rejestracji zbioru.
Zgodnie z art. 44 ust. 1  ustawy Generalny Inspektor Ochrony Danych Osobowych wydaje decyzję o odmowie rejestracji zbioru danych, jeżeli:
1) nie zostały spełnione wymogi określone w art. 41 ust. 1 ustawy,
2) przetwarzanie danych naruszałoby zasady określone w art. 23-38 ustawy,
3) urządzenia i systemy informatyczne służące do przetwarzania zbioru danych zgłoszonego do rejestracji nie spełniają podstawowych warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a ustawy.

Źródło: http://www.giodo.gov.pl/1520048/id_art/3316/j/pl/, dostęp: 16.04. 2014 r.

53. Jaką decyzję podejmuje GIODO, jeżeli administrator zarejestrowanego zbioru poinformuje, że przestał w nim przetwarzać dane osobowe?

W takiej sytuacji GIODO wydaje decyzję o wykreśleniu takiego zbioru z rejestru zbiorów danych osobowych.
Jeśli zatem administrator zaprzestał przetwarzania danych w zarejestrowanym zbiorze, powinien zgłosić to na piśmie organowi do spraw ochrony danych osobowych. Powinien także uiścić opłatę skarbową – pismo takie podlega bowiem opłacie skarbowej w wysokości 10 zł (na podstawie ustawy z dnia 16 listopada 2006 r. o opłacie skarbowej). Wówczas GIODO wydaje decyzję o wykreśleniu zbioru z rejestru zbiorów danych osobowych.

Źródło: http://www.giodo.gov.pl/1520048/id_art/3279/j/pl/, dostęp: 16.04.2014 r.

54. Czy zgłoszenie Generalnemu Inspektorowi Ochrony Danych Osobowych zbioru do rejestracji na nieobowiązującym wzorze stanowi przesłankę do odmowy zarejestrowania tego zbioru?

Tak, gdyż stanowi naruszenie wymogów określonych w ustawie o ochronie danych osobowych i tym samym wypełnia przesłankę odmowy rejestracji zbioru danych.
Skoro obowiązuje formularz zgłoszenia zbioru danych do rejestracji wprowadzony obowiązującym rozporządzeniem to zgłoszenie zbioru danych do rejestracji na innym formularzu, w tym na nieobowiązującym już wzorze zgłoszenia wprowadzonym rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, jest niezgodne z przepisami wykonawczymi do ustawy o ochronie danych osobowych. Stanowi zatem naruszenie wymogów rejestracyjnych i tym samym wypełnia przesłankę odmowy rejestracji zbioru danych osobowych.

Źródło: http://www.giodo.gov.pl/1520048/id_art/3253/j/pl/, dostęp: 16.04.2014 r.

55. W jakich sytuacjach następuje wykreślenie zbioru danych osobowych z ogólnokrajowego, jawnego rejestru zbiorów danych osobowych prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych?

Wykreślenie zbioru danych z rejestru jest dokonywane w drodze decyzji administracyjnej GIODO, jeżeli zaprzestano przetwarzania danych w zarejestrowanym zbiorze bądź, jeśli rejestracji dokonano z naruszeniem prawa.
Instytucja wykreślenia z rejestru zbiorów danych osobowych została wprowadzona do ustawy o ochronie danych osobowych nowelizacją z 2004 r. Służy ona utrzymaniu wiarygodności i aktualności rejestru, gdyż daje możliwość porządkowania rejestru zgodnie ze zmieniającymi się okolicznościami przetwarzania danych. Wprowadzony wspomnianą nowelizacją art. 44a ustawy wskazuje, iż wykreślenie zbioru danych z rejestru jest dokonywane, w drodze decyzji administracyjnej, jeżeli:
zaprzestano przetwarzania danych w zarejestrowanym zbiorze,
rejestracji dokonano z naruszeniem prawa.
Zaprzestanie przetwarzania danych w zbiorze może polegać w szczególności na ich fizycznej likwidacji bądź też włączeniu danych przetwarzanych w zbiorze do innego zbioru. Pamiętać przy tym należy, iż chodzi tu o faktyczne i trwałe zakończenie dokonywania jakichkolwiek czynności na danych osobowych.

Źródło: http://www.giodo.gov.pl/1520048/id_art/3061/j/pl/, dostęp: 16.04.2014 r.

56. Jak prawidłowo należy zgłosić zbiór danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych?

Prawidłowe zgłoszenie polega przede wszystkim na właściwym wypełnieniu przez administratora danych formularza rejestracyjnego i przesłaniu go do Generalnego Inspektora Ochrony Danych Osobowych.

Źródło: http://www.giodo.gov.pl/1520048/id_art/3059/j/pl/, dostęp: 16.04.2014 r.

57. Jaką decyzję musi wydać GIODO, gdy podmiot zgłaszający zbiór danych osobowych do rejestracji w toku postępowania w tej sprawie poinformuje, że zbioru tego nie utworzył i rezygnuje z jego utworzenia?

Jeśli w toku postępowania w sprawie rejestracji zbioru danych osobowych Generalny Inspektor Ochrony Danych Osobowych (GIODO) zostanie poinformowany, że podmiot zgłaszający zbiór nie rozpoczął przetwarzania danych w zbiorze i rezygnuje z jego utworzenia, wówczas umarza postępowanie w sprawie rejestracji zbioru danych osobowych, gdyż staje się ono bezprzedmiotowe.
Stosownie do art. 105 § 1 k.p.a., gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe, organ administracji publicznej zobowiązany jest do wydania decyzji o jego umorzeniu. Z powołanego przepisu wynika zatem, że postępowanie administracyjne nie może toczyć się w sytuacji, gdy w czasie jego trwania przestał istnieć jego przedmiot albo przedmiot ten nie istniał już przed wszczęciem tego postępowania. Wówczas bowiem nie można byłoby wydać decyzji rozstrzygającej sprawę co do jej istoty. Ponadto dalsze prowadzenie postępowania stanowiłoby o jego wadliwości, mającej istotny wpływ na wynik sprawy (por. np. wyrok NSA z 11 stycznia 1994 r., sygn. akt SA/Wr 31/93).

Źródło: http://www.giodo.gov.pl/1520048/id_art/3028/j/pl/, dostęp: 16.04.2014 r.

58. W jaki sposób można sprawdzić, czy dany podmiot prowadzący zbiór danych osobowych zarejestrował go u Generalnego Inspektora Ochrony Danych Osobowych?

Takie informacje są ogólnie dostępne, gdyż Generalny Inspektor Ochrony Danych Osobowych prowadzi jawny rejestr zbiorów danych osobowych, który każdy może przeglądać, albo w Internecie, albo w siedzibie Biura Generalnego Inspektora Ochrony Danych Osobowych.

Źródło: http://www.giodo.gov.pl/1520048/id_art/3027/j/pl/, dostęp: 16.04.2014 r.

59. Czy administrator danych powinien zgłosić Generalnemu Inspektorowi Ochrony Danych Osobowych zmianę celu przetwarzania danych osobowych?


Tak, gdyż taki obowiązek nakłada na niego ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
Administrator danych jest zobowiązany zgłosić Generalnemu Inspektorowi Ochrony Danych Osobowych każdą zmianę informacji zawartych w zgłoszeniu w terminie 30 dni od dnia dokonania zmiany w zbiorze (stosownie do art. 41 ust. 2 ustawy o ochronie danych osobowych). Zakres informacji, które powinno zawierać zgłoszenie określony został w art. 41 ust. 1 ww. ustawy. Wśród nich jest wskazanie celu przetwarzania danych (pkt 3). A zatem zgłaszając zbiór do rejestracji administrator danych ma obowiązek podać w zgłoszeniu cel przetwarzania danych w zbiorze.

Źródło: http://www.giodo.gov.pl/1520048/id_art/2952/j/pl/, dostęp: 16.04.2014 r.

60. Czy podczas zgłaszania zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych należy podać informacje o powierzeniu danych osobowych oraz o ich udostępnianiu?

Tak, gdyż wzór zgłoszenia zbioru danych do rejestracji wymaga podania takich informacji, przy czym nie należy mylić pojęcia powierzenia danych z ich udostępnianiem.
Powierzenie przetwarzania danych uregulowane jest w art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Polega ono na tym, że administrator danych powierza w drodze pisemnej umowy ich przetwarzanie – w całości lub w części - innemu podmiotowi. Oznacza to, że administrator nie musi osobiście wykonywać wszystkich czynności związanych z procesem przetwarzania danych osobowych. W praktyce umowa powierzenia przetwarzania danych zawierana jest np. w celu dochodzenia wierzytelności lub w związku ze zleceniem innemu podmiotowi realizacji części zadań administratora (tzw. outsourcing).
Natomiast informacja o udostępnianiu danych odbiory danych jest zawarta w pkt 13 części D wniosku o rejestrację. Udostępnianie danych osobowych określić można jako wszelkie działania stwarzające innym osobom możliwość zapoznania się z danymi. Udostępnianie może zatem polegać na przekazie ustnym, pisemnym, za pomocą powszechnych środków przekazu, poprzez sieć komputerową, itp.

Źródło: http://www.giodo.gov.pl/1520048/id_art/2930/j/pl/, dostęp: 16.04.2014 r.

61. Czy zgłoszenie kilku zbiorów danych na jednym wniosku spełnia wymogi określone w ustawie o ochronie danych osobowych?

Nie, jedno zgłoszenie zbioru danych powinno obejmować swym zakresem tylko jeden zbiór danych osobowych.
Art. 40 i art. 41 ust. 1 ustawy, jednoznacznie wskazuje, iż jedno zgłoszenie zbioru danych powinno obejmować swym zakresem tylko jeden zbiór danych osobowych. Administrator danych dokonując zgłoszenia zbioru danych do rejestracji powinien mieć na uwadze, iż poszczególne zbiory danych osobowych różnią się między sobą m.in. zakresem przetwarzanych danych, celem przetwarzania danych, podstawą prawną prowadzenia zbioru. Z uwagi na powyższe, wypełnienie jednego zgłoszenia dla dwóch zbiorów danych osobowych nie pozwala w sposób właściwy scharakteryzować poszczególnych zbiorów objętych tym zgłoszeniem, tym samym nie można dla każdego z nich wskazać elementów decydujących o jego tożsamości, tj. np. podstawy prawnej przetwarzania danych, zakresu przetwarzanych danych, celu przetwarzania danych w zbiorze, a co za tym idzie nie jest możliwe stwierdzenie, jaki zakres informacji, o którym mowa w art. 41 ust. 1 ustawy, dotyczy każdego ze zbiorów.

Źródło: http://www.giodo.gov.pl/1520048/id_art/2857/j/pl/, dostęp: 16.04.2014 r.

62. Czy firma prowadząca telemarketing może do tego celu wykorzystywać dane umieszczone w książce telefonicznej?


Ustawa nie zakazuje wykorzystywania danych osobowych ze źródeł powszechnie dostępnych, takich jak np. książka telefoniczna. Zgodnie z art. 23 ust. 1 pkt 5 ustawy, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Za prawnie usprawiedliwiony cel, o którym mowa powyżej, na podstawie art. 23 ust. 4 pkt 1 ustawy, uważa się natomiast marketing bezpośredni własnych produktów lub usług administratora danych.
Istotne jest jednak, by administrator danych poinformował osobę, której dane będą przetwarzane w określony sposób, o źródle ich pozyskania oraz o innych informacjach dotyczących tych danych, stosownie do art. 25 ust. 1 ustawy.

Źródło: http://www.giodo.gov.pl/1520048/id_art/2852/j/pl/, dostęp: 16.04.2014 r.

63. Czy wprowadzenie od 10 lutego 2009 r. nowego formularza zgłoszenia zbioru danych osobowych do rejestracji GIODO powoduje konieczność aktualizacji zgłoszonego do rejestracji zbioru danych?


Nie. Wprowadzenie nowego formularza zgłoszenia nie niesie za sobą obowiązku aktualizacji dokonanego już zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.

Źródło: http://www.giodo.gov.pl/1520048/id_art/2545/j/pl/, dostęp: 16.04.2014 r.

64. Czy po zgłoszeniu zbioru danych osobowych do rejestracji Generalnemu Inspektorowi, otrzymam jakieś zaświadczenie? Od którego momentu można rozpocząć gromadzenie danych w zgłoszonym zbiorze?

Zgodnie z brzmieniem art. 46 ust. 1 ustawy o ochronie danych osobowych, administrator danych może, z zastrzeżeniem ust. 2, rozpocząć ich przetwarzanie w zbiorze danych po zgłoszeniu tego zbioru Generalnemu Inspektorowi, chyba że ustawa zwalnia go z tego obowiązku. Zaświadczenie o zarejestrowaniu zbioru może być wydane na żądanie administratora danych (art. 42 ust. 3 ustawy o ochronie danych osobowych).
Stosownie zaś do art. 46 ust. 2 ustawy, administrator danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym, których przetwarzanie z mocy art. 27 ust. 1 ustawy o ochronie danych osobowych jest zabronione, może - w sytuacjach wymienionych w art. 27 ust. 2 ustawy - rozpocząć ich przetwarzanie w zbiorze danych dopiero po zarejestrowaniu zbioru, chyba, że ustawa zwalnia go z obowiązku zgłoszenia zbioru do rejestracji.


Źródło: http://www.giodo.gov.pl/1520048/id_art/1367/j/pl/, dostęp: 16.04.2014 r.

65. Czy należy zgłosić do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbiór danych osób zamawiających usługę newsletter?

Tak, zbiór danych osób zamawiających za pośrednictwem strony internetowej wiadomości newsletter należy zgłosić do rejestracji GIODO.
Pozyskane w ten sposób adresy e-mail stanowią zbiór danych osobowych, w rozumieniu art. 7 ust. 1 ustawy, zgodnie z którym zbiór danych rozumiany jest jako każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.
Biorąc pod uwagę cel, dla którego dane osobowe są gromadzone oraz jego przeznaczenie, stwierdzić należy, że nie zachodzą w tym przypadku przesłanki wskazane w art. 43 ust. 1 ustawy, zwalniające z obowiązku zgłoszenia zbioru danych osobowych do rejestracji.

Źródło: http://www.giodo.gov.pl/1520049/id_art/3529/j/pl/, dostęp: 16.04.2014 r.

66. Czy biblioteki mają obowiązek rejestracji u Generalnego Inspektora Ochrony Danych Osobowych prowadzonych przez siebie zbiorów danych czytelników?

Tak – co do zasady, jednakże w określonych sytuacjach zbiory danych osobowych czytelników bibliotek zwolnione są z rejestracji.
Co do zasady zbiory danych osobowych dotyczące czytelników bibliotek podlegają obowiązkowi rejestracji. Jednakże w określonych sytuacjach ww. zbiory danych osobowych zwolnione są z obowiązku rejestracji. Stosownie, bowiem do treści art. 43 ust. 1 pkt 4 ustawy, z obowiązku rejestracji zwolnione są zbiory, w których gromadzone są dane osobowe dotyczące wyłącznie osób uczących się oraz zatrudnionych u administratora danych osobowych. Zatem na podstawie tego przepisu nie będą podlegały obowiązkowi rejestracji min.: zbiory danych bibliotek organizowanych w zakładach pracy, gdzie czytelnikami są wyłącznie osoby zatrudnione, jak również zbiory prowadzone przez szkoły, gdzie czytelnikami są wyłącznie osoby uczące się.
Obowiązkowi rejestracji nie podlegają również zbiory danych dotyczących użytkowników systemu biblioteczno-informacyjnego, które prowadzone są przez uczelnie wyższe. W świetle bowiem art. 88 ust. 1 ustawy z dnia 27 lipca 2005 r. Prawo o szkolnictwie wyższym, w uczelni działa system biblioteczno-informacyjny, którego podstawę stanowi biblioteka. W związku z funkcjonowaniem systemu biblioteczno-informacyjnego, uczelnia może przetwarzać określone w jej statucie dane osobowe osób korzystających z tego systemu. Ustawa Prawo o szkolnictwie wyższym stanowi wprost, że zbiór danych osobowych prowadzony w ramach systemu biblioteczno-informacyjnego, zwolniony jest z obowiązku rejestracji, wynikającego z art. 40 ustawy o ochronie danych osobowych (art. 88 ust. 5 tej ustawy).

Źródło: http://www.giodo.gov.pl/1520049/id_art/3451/j/pl/, dostęp: 16.04.2014 r.

67. Czy agencje zatrudnienia powinny zgłosić do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbiory danych kandydatów do pracy – osób poszukujących pracy?


Tak, gdyż ustawa o ochronie danych osobowych nie zwalnia z rejestracji administratorów danych takich zbiorów danych.
Z obowiązku rejestracji zbiorów danych zwolnieni są administratorzy danych osób u nich zatrudnionych – art. 43 ust. 1 pkt 4 ustawy. Oznacza to, że pracodawcy nie muszą rejestrować u Generalnego Inspektora Ochrony Danych Osobowych zbiorów danych swoich pracowników, przy czym dotyczy to nie tylko aktualnych, ale też byłych pracowników, a także kandydatów do pracy.
Agencje zatrudnienia działają na podstawie ustawy z dnia 20 kwietnia 2004 r.
o promocji zatrudnienia i instytucjach rynku pracy. Prowadzą one działalność gospodarczą w zakresie m.in. świadczenia usług pośrednictwa pracy, doradztwa personalnego, czy poradnictwa zawodowego. Nie zatrudniają jednak pracowników, za wyjątkiem agencji pracy tymczasowej (art. 18 ust. 1 pkt 4). Agencje zatrudnienia przetwarzają dane osobowe zazwyczaj na podstawie zgody osoby, której dane dotyczą – art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych – lub na podstawie zawartej umowy dotyczącej świadczenia usług pośrednictwa pracy, co stanowi podstawę prawną z art. 23 ust. 1 pkt 3 ustawy o ochronie danych osobowych.
O ile zatem agencje zatrudnienia prowadzą zbiory danych nie dotyczące osób u nich zatrudnionych, to muszą je zgłosić do rejestracji GIODO. Wyjątkiem są tu agencje pracy tymczasowej, które zatrudniają pracowników tymczasowych i w związku z tym podlegają wyłączeniu z obowiązku rejestracji na podstawie ww. przesłanki art. 43 ust. 1 pkt 4 ustawy o ochronie danych osobowych.

Źródło: http://www.giodo.gov.pl/1520049/id_art/3450/j/pl/, dostęp: 16.04.2014 r.

68. Czy szkoła posiadająca rejestr uczniów realizujących obowiązek szkolny w innych szkołach powinna zgłosić taki zbiór danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych?

Tak, gdyż zbiór ten nie dotyczy osób uczących się w tej szkole, a tylko taki jest zwolniony z rejestracji.
Jeżeli szkoła przetwarza (np. tylko przechowuje) zbiory danych osób, które de facto uczą się w innych placówkach oświatowych, wówczas ustawowa przesłanka (art. 43 ust. 1 pkt 4 ) zwolnienia z rejestracji nie ma zastosowania. Tym samym takie zbiory danych osobowych powinny zostać zarejestrowane u Generalnego Inspektora Ochrony Danych Osobowych.

Źródło: http://www.giodo.gov.pl/1520049/id_art/3441/j/pl/, dostęp: 16.04. 2014 r.

69. Czy zbiór danych osobowych tworzony na potrzeby przeprowadzenia konkursu na stronie internetowej należy rejestrować u Generalnego Inspektora Ochrony Danych Osobowych?

Tak, gdyż ustawa o ochronie danych osobowych nie zwalnia takich zbiorów z rejestracji.
W świetle przepisów wyłączających danych zbiór z rejestracji należy stwierdzić, iż skoro zbiór danych tworzony na potrzeby przeprowadzenia konkursu na stronie internetowej nie stanowi szczególnej kategorii zbioru zwolnionego z rejestracji na podstawie ww. art. 43 ust. 1 ustawy o ochronie danych osobowych, to będzie podlegał obowiązkowi zgłoszenia do rejestracji GIODO.

Źródło: http://www.giodo.gov.pl/1520049/id_art/3181/j/pl/, dostęp: 16.04.2014 r.

70. Czy organizacje pozarządowe mają obowiązek zgłaszać do rejestracji GIODO zbiory zawierające dane osobowe wolontariuszy?

Tak. Ustawa z dnia 29 sierpnia 1997 r. nakazuje administratorom danych osobowych zgłaszanie prowadzonych przez nich zbiorów do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO), a żaden z jej przepisów nie przewiduje odstępstwa od tej zasady w przypadku zbioru zawierającego dane osobowe wolontariuszy.
Działalność wolontariuszy regulują przepisy ustawy o działalności pożytku publicznego i o wolontariacie, a między korzystającym a wolontariuszem nie jest nawiązywany stosunek pracy, organizacja, na rzecz której wolontariusze świadczą określoną pracę, ma obowiązek zgłoszenia zbioru danych wolontariuszy do rejestracji GIODO.

Źródło: http://www.giodo.gov.pl/1520049/id_art/3070/j/pl/, dostęp: 16.04.2014 r.

71. Czy należy zgłosić do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbiór danych osobowych przetwarzanych nie tylko w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej, lecz także na potrzeby realizacji innych elementów umowy kupna-sprzedaży refundowanego towaru?


Tak, gdyż ustawa o ochronie danych osobowych przewiduje wyłączenie z obowiązku rejestracji zbioru jedynie wówczas, gdy zawarte w nim dane przetwarzane są tylko w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej. W sytuacji gdy dane te są wykorzystywane jeszcze w innych celach, ich zbiór podlega rejestracji GIODO.
Jeśli więc umowa-kupna sprzedaży refundowanego towaru wiąże się z wykonywaniem jeszcze innych czynności, takich jak np. składanie i przyjmowanie zamówienia, wystawianie protokołu odbioru refundowanego towaru, to zbiór danych pozyskanych na te potrzeby należy zgłosić do rejestracji GIODO. Nie można bowiem uznać, że administrator danych jest zwolniony z tego obowiązku na podstawie art. 43 ust. 1 pkt 8, gdyż wystawienie faktury to końcowy etap realizacji umowy kupna-sprzedaży i jedynie jeden z wielu celów przetwarzania danych.

Źródło: http://www.giodo.gov.pl/1520049/id_art/3058/j/pl/, dostęp: 16.04.2014 r.

72. Czy zbiory danych osobowych osób, które wpłaciły 1% podatku na rzecz organizacji pożytku publicznego zobowiązane są do zgłoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych?

Tak, ale pod warunkiem, że nie zajdzie żadna z przesłanek zwalniających administratora (OPP) z obowiązku zgłoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.
Zbiory tego typu podlegają obowiązkowi zgłoszenia do rejestracji, o ile nie zachodzi żadna z przesłanek zwalniających z tego obowiązku, określonych w art. 43 ust. 1 ustawy o ochronie danych osobowych. Bowiem może się okazać, że administrator danych osobowych (czyli w tym przypadku organizacja pożytku publicznego) przetwarza dane osobowe w konkretnym zbiorze wyłącznie w celach sprawozdawczości finansowej, w związku z tym nie podlega on obowiązkowi rejestracji na podstawie w art. 43 ust. 1 pkt 8 ustawy o ochronie danych osobowych. Zgodnie bowiem z treścią tego przepisu, z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej. Jeśli jednak zgromadzone dane służą także innym celom (np. wysyłaniu podziękowań, utrzymywaniu kontaktów z darczyńcami), to administrator (organizacja pożytku publicznego) jest zobowiązany zgłosić przedmiotowy zbiór do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.

Źródło: http://www.giodo.gov.pl/1520049/id_art/2897/j/pl/, dostęp: 16.04. 2014 r.

73. Czy prowadzony w postaci papierowej rejestr przychodzących i wychodzących pism jest zbiorem danych osobowych w rozumieniu ustawy o ochronie danych osobowych i czy podlega zgłoszeniu do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych?


Tak, jest to zbiór danych w rozumieniu ustawy o ochronie danych osobowych i podlega zgłoszeniu do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.
Zbiór zawiera chronologicznie wpisywane dane w postaci: daty wpływu, daty wysyłki i danych określających nadawcę lub adresata korespondencji.
Źródło: http://www.giodo.gov.pl/1520049/id_art/2834/j/pl/, dostęp: 16.04.2014 r.

74. Czy podlega rejestracji u Generalnego Inspektora Ochrony Danych Osobowych zbiór danych przetwarzanych w starostwie dotyczący radnych?


Wykaz radnych rady powiatu jest prowadzony w oparciu o przepisy ustawy z dnia 5 czerwca 1998 r. o samorządzie powiatowym (t. j. Dz. U. z 2001 r., Nr 142, poz. 1592, ze zm.). W związku z powyższym, jako nie objęty dyspozycją art. art. 43 ust. 1 pkt 6 ustawy o ochronie danych osobowych, powinien zostać zgłoszony Generalnemu Inspektorowi do rejestracji, stosownie do treści art. 40 tej ustawy. Analogicznie, zbiór radnych miast na prawach powiatu też podlega rejestracji w GIODO.

Źródło: http://www.giodo.gov.pl/1520049/id_art/1992/j/pl/, dostęp: 16.04.2014 r.

75. Czy Urząd Miasta jest zobowiązany do rejestracji zbioru stanowiącego ewidencję licencji na transport drogowy oraz zaświadczeń na przewozy drogowe na potrzeby własne, skoro w zbiorze tym znajdują się dane przedsiębiorców ubiegających się o licencję?

Analizując katalog informacji zbieranych we wskazanym postępowaniu należy uznać, iż nie są to wyłącznie dane identyfikujące podmioty jako przedsiębiorców i ściśle związane z prowadzoną przez nie działalnością gospodarczą lecz dane osobowe w rozumieniu art. 6 ustawy o ochronie danych osobowych.
W związku z faktem, że w zbiorze, o którym mowa w pytaniu znajdują się dane osobowe, podlegają one ochronie wynikającej z ustawy o ochronie danych osobowych, a ich administrator jest zobowiązany do spełnienia obowiązków wynikających z jej przepisów.

Źródło: http://www.giodo.gov.pl/1520049/id_art/1343/j/pl/, dostęp: 16.04.2014 r.

76. Czy ośrodki szkolenia kierowców, w związku z pozyskiwaniem danych osobowych kandydatów na kierowców zawartych w tzw. profilach kandydata, mają obowiązek zgłoszenia takich zbiorów do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych?

Nie, gdyż ustawa o ochronie danych osobowych zwalnia z obowiązku rejestracji administratorów danych osób uczących się, a za takie należy uznać kandydatów na kierowców.

Źródło: http://www.giodo.gov.pl/1520050/id_art/6470/j/pl/, dostęp: 16.04.2014 r.

77. Czy zbiory danych zawierające podania o pracę powinny zostać zarejestrowane u Generalnego Inspektora Ochrony Danych Osobowych?


Nie, gdyż dla tego rodzaju zbiorów ustawa o ochronie danych osobowych przewiduje wyłączenie z rejestracji.
Jeśli zatem z treści nadesłanego do Generalnego Inspektora Ochrony Danych Osobowych zgłoszenia zbioru do rejestracji wynika, iż w przedmiotowym zbiorze przetwarzane są dane osób ubiegających się o pracę u administratora danych, to zbiór taki nie podlega rejestracji. Tym samym administratorzy danych takich zbiorów nie są zobowiązani do ich zgłaszania Generalnemu Inspektorowi Ochrony Danych Osobowych do rejestracji.

Źródło: http://www.giodo.gov.pl/1520050/id_art/3449/j/pl/, dostęp: 16.04.2014 r.

78. Czy wszystkie zbiory danych prowadzone na podstawie ustawy o systemie oświaty podlegają rejestracji u Generalnego Inspektora Ochrony Danych Osobowych?

Nie, gdyż nie wszystkie z nich zawierają dane osobowe.
Należy uznać, iż obowiązek zgłoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych przedmiotowych zbiorów dotyczy jednostek samorządu terytorialnego (gmin, powiatów), zaś zwolnione z obowiązku zgłaszania takich zbiorów do rejestracji są np. szkoły, bądź też inne placówki oświatowe, które zatrudniają nauczycieli.

Źródło: http://www.giodo.gov.pl/1520050/id_art/3443/j/pl/, dostęp: 16.04.2014 r.

80. Czy podmioty udzielające świadczeń zdrowotnych mają obowiązek rejestracji zbiorów danych osobowych swoich pacjentów u Generalnego Inspektora Ochrony Danych Osobowych?


Nie, gdyż dla tego rodzaju zbiorów ustawa o ochronie danych osobowych przewiduje wyłączenie z rejestracji.
W związku z działalnością leczniczą przetwarzane są dane osobowe oraz tworzone zbiory danych osobowych pacjentów. Na podstawie art. 40 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w jej art. 43 ust.1. Zgodnie zaś z  art. 43 ust. 1 pkt 5, z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych dotyczących osób korzystających z ich usług medycznych (...). Zatem nie podlega obowiązkowi zgłoszenia do rejestracji zbiór danych pacjentów, którym udzielane są świadczenia zdrowotne przez podmioty wymienione w ustawie o działalności leczniczej.
Źródło: http://www.giodo.gov.pl/1520050/id_art/2959/j/pl/, dostęp: 16.04. 2014 r.

81. Czy izba wytrzeźwień, jako administrator danych, ma obowiązek zgłosić do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbiory danych swoich pacjentów prowadzone w celu ich rejestracji, ewidencji i statystyki oraz na potrzeby wystawienia im faktury za pobyt i ewentualnej windykacji należności?

Nie, gdyż ustawa o ochronie danych osobowych zwalnia takie zbiory z rejestracji.
W opisywanej sprawie jedyną przesłanką powodującą, że zarówno zbioru danych osobowych pacjentów izby wytrzeźwień prowadzonego w celu rejestracji, ewidencji i statystyki osób doprowadzonych do izby, jak i zbioru danych osobowych pacjentów prowadzonego na potrzeby wystawienia im faktury za pobyt i ewentualnej windykacji należności nie trzeba rejestrować w GIODO jest fakt, że są to zbiory danych osób korzystających z usług medycznych izby. Zatem izba wytrzeźwień, jako administrator danych, jest zwolniona z obowiązku rejestracji w GIODO prowadzonych zbiorów danych osobowych na podstawie art. 43 ust. 1 pkt 5 ustawy.

Źródło: http://www.giodo.gov.pl/1520050/id_art/2833/j/pl/, dostęp: 16.04.2014 r.

82. Czy gmina powinna zgłosić zbiór danych prowadzony w ramach Elektronicznego Krajowego Systemu Monitoringu Orzekania o Niepełnosprawności?

Nie, bowiem nie jest ona administratorem tego zbioru.
Zgodnie z zapisami ustawy to na wojewódzkich oraz na powiatowych zespołach orzekania o niepełnosprawności – jako na administratorach danych, a nie na gminie spoczywa obowiązek zgłoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.

Źródło: http://www.giodo.gov.pl/1520050/id_art/2793/j/pl/, dostęp; 16.04.2014 r.

83. Czy spółka jest zobowiązana do zarejestrowania księgi udziałów oraz księgi akcyjnej?

Powszechnie dostępnymi są dane udziałowców spółki z ograniczoną odpowiedzialnością podlegające wpisowi do rejestru (księgi udziałów). Wynika to z art. 8 ustawy o Krajowym Rejestrze Sądowym. Zgodnie z tym przepisem rejestr jest jawny, a każdy ma prawo dostępu do danych zawartych w rejestrze za pośrednictwem Centralnej Informacji. Zatem, zbiór danych osób fizycznych będących udziałowcami spółki z ograniczoną odpowiedzialnością (księga udziałów) nie wymaga zgłoszenia do rejestracji Generalnemu Inspektorowi.
Odmiennie przedstawia się sprawa rejestracji księgi akcyjnej. Zgodnie z art. 341 § 7 Kodeksu spółek handlowych księga akcyjna jest jawna dla każdego akcjonariusza. Nie jest więc ona powszechnie dostępna, a co za tym idzie zwolnienie z obowiązku rejestracji nie znajduje uzasadnienia w art. 43 ust. 1 pkt 9 ustawy o ochronie danych osobowych. Zbiór danych osobowych akcjonariuszy spółki (księga akcyjna) jak również posiadaczy akcji na okaziciela podlega obowiązkowi zgłoszenia do rejestracji.

Źródło: http://www.giodo.gov.pl/1520050/id_art/1579/j/pl/, dostęp: 16.04.2014 r.

84. Czy obowiązek rejestracji dotyczy administratorów wykorzystujących dane pracowników (obecnych i byłych), a także kandydatów do pracy i innych osób świadczących na rzecz administratora usługi na podstawie umów zlecenia, czy umów o dzieło?

Zwolnienie z obowiązku rejestracji, na podstawie art. 43 ust. 1 pkt 4 ustawy, dotyczy zbiorów danych osobowych przetwarzanych w związku z zatrudnieniem u administratora danych (tj. zbiorów obecnych i byłych pracowników, a także kandydatów do pracy) oraz świadczeniem administratorowi danych usług na podstawie umów cywilnoprawnych (np. na podstawie umowy zlecenia, umowy o dzieło).

Źródło: http://www.giodo.gov.pl/1520050/id_art/1577/j/pl/, dostęp: 16.04.2014 r.

85. Czy zbiory danych osobowych umieszczone w sieci Internet należy zgłaszać do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych?


Stosownie do art. 43 ust. 1 pkt 9 ustawy o ochronie danych osobowych z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych powszechnie dostępnych. Przesłanka ta jest spełniona, jeżeli z danymi zawartymi w zbiorze może się zapoznać - bez szczególnego nakładu sił i środków - nieograniczony krąg podmiotów. Tylko wtedy administrator danych jest zwolniony z obowiązku rejestracji, jeżeli powszechnie dostępne są wszystkie, a nie tylko niektóre, dane zawarte w zbiorze danych.

Źródło: http://www.giodo.gov.pl/1520050/id_art/1562/j/pl/, dostęp: 16.04.2014 r.

86. Czy założyciel portalu internetowego musi zgłosić do rejestracji Generalnemu Inspektorowi bazę danych zawierającą informacje o osobach reprezentujących firmę (nazwiska osób "kontaktowych";), która zarejestrowała się w portalu?

Zbiór danych osób kontaktowych służy usprawnieniu, przyspieszeniu działalności administratora. Zbiór ten ma zatem charakter pomocniczy, a co za tym idzie dane w nim zawarte traktować należy jako przetwarzane w zakresie drobnych, bieżących spraw życia codziennego.

Zwolnienie administratora danych z obowiązku zgłoszenia zbioru danych do rejestracji nie zwalnia go z szeregu innych obowiązków wynikających z przepisów o ochronie danych osobowych. Administrator danych zobowiązany jest m.in. spełnić jedną z przesłanek legalizujących przetwarzanie danych wskazanych w art. 23 ust. 1 tej ustawy oraz dopełnić obowiązku informacyjnego.

Źródło: http://www.giodo.gov.pl/1520050/id_art/1461/j/pl/, dostęp: 16.04.2014 r.

87. Czy instytucje obowiązane, w rozumieniu art. 2 pkt 1 z dnia 16 listopada 2000 r. o przeciwdziałaniu wprowadzania do obrotu finansowego wartości majątkowych pochodzących z nielegalnych lub nieujawnionych źródeł (tj. Dz. U. z 2003 r. Nr 153, poz. 1505, ze zm.)obowiązane są do dopełnienia obowiązku zgłoszenia zbioru danych do rejestracji określonego w art. 40 ustawy oraz obowiązku informacyjnego określonego w art. 24 ustawy oraz obowiązku informacyjnego określonego w art. 24 ust. 1 ustawy?

Zaznaczyć należy, iż obowiązek zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych jest regułą, a zwolnienie z niego, na mocy przepisu art. 43 ust. 1 ustawy - wyjątkiem. Powołany wyżej przepis wymienia enumeratywnie kategorie danych podlegające wyłączeniu z obowiązku zgłoszenia do rejestracji. Zgodnie z przepisem art. 43 ust. 1 pkt 2a ustawy, z obowiązku rejestracji zwolnieni są administratorzy danych przetwarzanych przez Generalnego Inspektora Informacji Finansowej. Biorąc natomiast pod uwagę fakt, iż instytucje obowiązane prowadzą rejestry transakcji wyłącznie dla potrzeb wspomnianego organu, a ich zbiory stanowią integralną część centralnego zbioru, którego administratorem jest Generalny Inspektor Informacji Finansowej, stwierdzić należy, iż z obowiązku zgłoszenia do rejestracji zwolnione są również zbiory prowadzone przez poszczególne instytucje obowiązane.

Źródło: http://www.giodo.gov.pl/1520050/id_art/998/j/pl/, dostęp: 16.04.2014 r.

88. Czy biblioteki prowadzone przez szkoły podlegają obowiązkowi zgłoszenia zbiorów do rejestracji Generalnego Inspektora Ochrony Danych Osobowych?

Jeżeli biblioteki prowadzone przez szkoły przetwarzają wyłącznie dane osób uczących się w nich, zatrudnionych w tych szkołach lub świadczących im usługi na podstawie umów cywilnoprawnych, to zwolnione są one z obowiązku zgłoszenia do rejestracji przedmiotowego zbioru danych. W przypadku, gdy w zbiorach takich znajdą się dane osób innych, niż wymienione w art. 43 ust. 1 pkt 4 ustawy, będą one podlegały obowiązkowi zgłoszenia do rejestracji Generalnemu Inspektorowi.

Źródło: http://www.giodo.gov.pl/1520050/id_art/989/j/pl/, dostęp: 16.04.2014 r.

89. Co to jest Eurodac?

Europejski Zautomatyzowany System Rozpoznawania Odcisków Palców (Eurodac) jest systemem informatycznym utworzonym na podstawie rozporządzenia Rady (WE) Nr 2725/2000 z dnia 11 grudnia 2000 r. dotyczącego ustanowienia systemu Eurodac do porównywania odcisków palców w celu skutecznego stosowania Konwencji Dublińskiej (rozporządzenie o Eurodac).

Źródło: http://www.giodo.gov.pl/459/id_art/2344/j/pl/, dostęp: 16.04.2014 r.

90. Czyje dane osobowe są przetwarzane w systemie Eurodac?

W systemie Eurodac odnotowuje się odciski palców następujących kategorii osób, które mają co najmniej 14 lat życia:
cudzoziemców ubiegających się o azyl,
osób zatrzymanych przez właściwe organy kontrolne w związku z nielegalnym przekroczeniem granicy lądowej, morskiej lub powietrznej Państwa Członkowskiego przybywającej z terytorium państwa trzeciego i nie podlegających zawróceniu,
cudzoziemców nielegalnie przebywających na terytorium Państwa Członkowskiego, w celu sprawdzenia czy cudzoziemiec ten nie złożył wcześniej wniosku o udzielenie azylu w innym Państwie Członkowskim.

Źródło: http://www.giodo.gov.pl/459/id_art/2345/j/pl/, dostęp: 16.04.2014 r.

91. Jakie dane osobowe mogą być przetwarzane na potrzeby systemu Eurodac?

W odniesieniu do osób ubiegających się o azyl w centralnej bazie danych zapisuje się następujące dane (art. 5 ust. 1 rozporządzenia):
Państwo Członkowskie pochodzenia (państwo, które przesyła dane osobowe do jednostki centralnej i otrzymuje wynik porównania) miejsce i data złożenia wniosku o azyl;
dane o odciskach (wszystkich ) palców;
płeć;
numer referencyjny użyty przez Państwo Członkowskie pochodzenia;
data pobrania odcisków palców;
data przesłania danych do jednostki centralnej;
data wprowadzeni danych do centralnej bazy danych;
szczegóły dotyczące odbiorcy (odbiorców) przesłanych danych oraz datę (daty) przesłania.
W odniesieniu do cudzoziemców zatrzymanych w związku z nielegalnym przekroczeniem granicy lądowej, morskiej lub powietrznej, którzy nie zostali zawróceni na terytorium państwa trzeciego, z którego przybyli, w centralnej bazie danych zapisuje się następujące dane (art. 8 ust. 2 rozporządzenia):
Państwo Członkowskie pochodzenia (państwo, które przesyła dane osobowe do jednostki centralnej), miejsce i data zatrzymania,
dane o odciskach (wszystkich) palców,
płeć;
numer referencyjny użyty przez Państwo Członkowskie pochodzenia;
data pobrania odcisków palców,
data przesłania danych do jednostki centralnej.
Dane te są zapisywane wyłącznie w celu porównania z danymi dotyczącymi osób ubiegających się o azyl, przesyłanymi kolejno do jednostki centralnej.

Źródło: http://www.giodo.gov.pl/459/id_art/2346/j/pl/, dostęp: 16.04.2014 r.

92. Jak długo dane zebrane na potrzeby systemu Eurodac mogą być przetwarzane?

W odniesieniu do osób ubiegających się o azyl okres przechowywania danych w centralnej bazie danych został ograniczony do 10 lat od daty pobrania odcisków linii papilarnych (art. 6 rozporządzenia). Po upływie tego okresu jednostka centralna automatycznie usuwa te dane z centralnej bazy danych.
Dane o cudzoziemcach, którzy nielegalnie przekroczyli granicę lądowa, morską lub powietrzną i nie zostali zawróceni na terytorium państwa trzeciego, z którego przybyli, są przechowywane przez dwa lata od daty pobrania odcisków linii papilarnych cudzoziemca (art. 10 rozporządzenia). Po upływie tego okresu dane usuwane są automatycznie z centralnej bazy danych.

Źródło: http://www.giodo.gov.pl/459/id_art/2347/j/pl/, dostęp: 16.04.2014 r.

93. Jakie prawa przysługują osobom, których dane przetwarzane są na potrzeby systemu Eurodac?

Rozporządzenie Rady (WE) Nr 2725/2000 z dnia 11 grudnia 2000 r. dotyczące ustanowienia systemu Eurodac do porównywania odcisków palców w celu skutecznego stosowania Konwencji Dublińskiej stanowiące podstawę utworzenia systemu Eurodac przyznaje osobom, których dane dotyczą szereg uprawnień:
Obowiązek informacyjny
Prawo dostępu do treści danych
Prawo do poprawienia i usunięcia danych
Prawo do złożenia skargi i pomoc organów nadzorczych
Prawo do odszkodowania

Źródło: http://www.giodo.gov.pl/459/id_art/2348/j/pl/, dostęp: 16.04.2014 r.

94. Czy osoby prowadzące punkty zbierania odpadów metali mogą gromadzić dane osobowe osób, od których przyjmują te odpady?

Osoby prowadzące punkty zbierania odpadów metali są wręcz zobowiązani do gromadzenia danych osobowych osób przekazujących odpady.
Zgodnie z art. 102 ust. 1 ustawy o odpadach, posiadacz odpadów prowadzący punkt zbierania odpadów metali jest obowiązany, przy przyjmowaniu tych odpadów od osób fizycznych niebędących przedsiębiorcami, do wypełniania formularza przyjęcia odpadów metali w dwóch egzemplarzach, po jednym egzemplarzu dla przekazującego i dla przyjmującego odpady. Formularz, o którym mowa w ust. 1, powinien zawierać m.in. imię, nazwisko, adres zamieszkania oraz numer dowodu osobistego lub innego dokumentu stwierdzającego tożsamość osoby przekazującej odpady (ust. 2 pkt 2 powołanego przepisu).
Ponadto osoba prowadząca punkt zbierania odpadów metali powinna przez okres 5 lat przechowywać wypełnione ww. formularze, jak również zgodnie z art. 102 ust. 6 ustawy o odpadach, zobowiązana jest przedstawić te formularze na żądanie organów przeprowadzających kontrolę, Policji, straży miejskiej i służb ochrony kolei. Krąg podmiotów, którym osoba prowadząca punkt zbierania odpadów metali obowiązana jest udostępnić dane zawarte w formularzach, jest zatem ściśle określony w przepisach prawa.

Źródło: http://www.giodo.gov.pl/1520007/id_art/6436/j/pl/, dostęp: 16.04.2014 r.

95. Czy Generalny Inspektor Ochrony Danych Osobowych może ukarać osoby winne bezprawnego ujawnienia danych osobowych?

Nie, gdyż GIODO nie ma uprawnień do karania osób odpowiedzialnych za niezgodne z prawem przetwarzanie danych osobowych. Podmiotem właściwym w tej kwestii jest sąd.
Ustawa o ochronie danych osobowych, wprost określająca uprawnienia Generalnego Inspektora Ochrony Danych Osobowych (GIODO), stanowi, że GIODO ma m.in. prawo do kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych oraz do rozpatrywania skarg w sprawach wykonania przepisów o ochronie danych osobowych (art. 12).
Jednak nawet w razie stwierdzenia naruszenia przepisów ustawy, GIODO nie ma uprawnień do karania osób odpowiedzialnych za niezgodne z ustawą przetwarzanie danych osobowych, co w sposób niebudzący wątpliwości wynika z art. 18 ustawy, który legitymuje GIODO wyłącznie do rozstrzygania sprawy w formie decyzji administracyjnej nakazującej przywrócenie stanu zgodnego z prawem.
Można jedynie wskazać, że – na podstawie z art. 12 ust. 3 ustawy o ochronie danych osobowych – Generalny Inspektor Ochrony Danych Osobowych ma uprawnienia organu egzekucyjnego w zakresie egzekucji obowiązków o charakterze niepieniężnym. A zatem, stosownie do ustawy z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji, GIODO może nakładać grzywny w celu przymuszenia (maksymalnie 10 tys. złotych – w stosunku do osoby fizycznej, i maksymalnie 50 tys. złotych – w stosunku do osób prawnych).

Źródło: http://www.giodo.gov.pl/1520007/id_art/3817/j/pl/, dostęp: 22.04.2014 r.

96. Czy starosta może odmówić udostępnienia z prowadzonej ewidencji pojazdów numeru rejestracyjnego i numeru VIN pojazdu należącego do konkretnej osoby na potrzeby złożenia wniosku o zabezpieczenie roszczenia w postępowaniu cywilnym?

Tak, bowiem dla złożenia wniosku o zabezpieczenie roszczenia w postępowaniu cywilnym nie jest konieczne posiadanie wymienionych danych zawartych w ewidencji pojazdów. Koniecznym elementem wniosku o udzielenie zabezpieczenia jest bowiem wskazanie sposobu (rodzaju) zabezpieczenia, nie zaś wskazanie konkretnych składników majątkowych, na których ma być ono dokonane.

Źródło: http://www.giodo.gov.pl/1520007/id_art/3816/j/pl/, dostęp: 22.04.2014 r.

97. Czy komornik może udostępnić informacje o zajęciu wynagrodzenia za pracę podmiotowi innemu niż pracodawca uprawniony do ich przetwarzania?

Nie, komornik może przesłać informacje o zajęciu wynagrodzenia za pracę (dłużnika) tylko pracodawcom do tego uprawnionym.
Działanie komornika polegające na przesłaniu zawiadomienia o zajęciu wynagrodzenia bez sprawdzenia, czy dany podmiot jest rzeczywiście pracodawcą dłużnika będzie stanowiło naruszenie prawa, w tym ustawy o ochronie danych osobowych. Bowiem wraz z przesłaniem takiej informacji dojść może m.in. do udostępnienia danych osobowych osobie do tego nieuprawnionej.

Źródło: http://www.giodo.gov.pl/1520007/id_art/3668/j/pl/, dostęp: 22.04.2014 r.

98. Czy za nieuprawnione udostępnienie danych osobowych odpowiedzialność ponosi administrator danych, czy osoba, która faktycznie do tego dopuściła (np. pracownik firmy)?

Odpowiedzialność ponosi administrator danych, gdyż to jego ustawa o ochronie danych osobowych zobowiązuje do właściwego zabezpieczenia przetwarzanych danych osobowych.
Za nieprzestrzeganie zasad ochrony danych osobowych ustawa o ochronie danych osobowych przewiduje odpowiedzialność karną (art. 49 – art. 54a). Przykładowo, za udostępnienie danych osobom nieupoważnionym grozi grzywna, kara ograniczenia wolności albo pozbawienia wolności do 2 lat lub do roku, jeśli sprawca działa nieumyślnie.
A zatem błąd pracownika, który doprowadził do udostępnienia danych jest niczym nieusprawiedliwionym zaniedbaniem obowiązków administratora danych osobowych i nie zwalnia go z odpowiedzialności za niewłaściwą ochronę przetwarzanych danych osobowych.

Źródło: http://www.giodo.gov.pl/1520007/id_art/3632/j/pl/, dostęp: 22.04.2014 r.

99. Czy chcąc uzyskać informacje dotyczące osoby pełniącej funkcję publiczną można zwrócić się o nie w trybie ustawy o dostępie do informacji publicznej?

Tak, ale należy pamiętać, że nie wszystkie informacje o osobie pełniącej funkcję publiczną podlegają ujawnieniu.
Na podstawie ustawy z dnia 6 września 2001 r. o dostępnie do informacji publicznej każda informacja o sprawach publicznych stanowi informację publiczną w rozumieniu ustawy i podlega udostępnieniu i ponownemu wykorzystaniu na zasadach i w trybie określonych w niniejszej ustawie (art. 1 ust. 1). Informacją publiczną jest też informacja o osobach pełniących funkcję publiczną, ale z pewnymi ograniczeniami. Zgodnie bowiem z art. 5 ust. 2 ww. ustawy prawo do informacji publicznej podlega ograniczeniu ze względu na prywatność osoby fizycznej lub tajemnicę przedsiębiorcy. Ograniczenie to nie dotyczy informacji o osobach pełniących funkcje publiczne, mających związek z pełnieniem tych funkcji, w tym o warunkach powierzenia i wykonywania funkcji, oraz przypadku, gdy osoba fizyczna lub przedsiębiorca rezygnują z przysługującego im prawa. Dodatkowo można wskazać na wyrok Trybunału Konstytucyjnego z dnia 20 marca 2006 r. (sygn. Akt K 17/05), w którym uznał on, że informacja ze sfery życia prywatnej osoby pełniącej funkcję publiczną może podlegać ujawnieniu w trybie określonym w cytowanej ustawie, o ile w sposób wyraźny pozostaje w związku z funkcjonowaniem osoby, której dotyczy, w instytucji publicznej (działalnością publiczną tej osoby).

Źródło: http://www.giodo.gov.pl/1520007/id_art/3525/j/pl/, dostęp: 22.04.2014 r.

100. Czy Generalny Inspektor Ochrony Danych Osobowych może nakazać udostępnienie dokumentów zawierających dane osobowe?

Nie, ponieważ nie wynika to z przysługujących GIODO ustawowych kompetencji.
Zgodnie z ustawą o ochronie danych osobowych Generalny Inspektor Ochrony Danych Osobowych upoważniony jest do wydania decyzji administracyjnej nakazującej udostępnienie tylko i wyłącznie danych osobowych i tylko w sytuacji, gdy stwierdzeni naruszenie przepisów o ochronie danych osobowych. Niemniej żaden przepis nie uprawnia GIODO do podejmowania rozstrzygnięć, których przedmiotem jest nakaz udostępnienia dokumentów zawierających dane osobowe.
Potwierdzeniem stanowiska Generalnego Inspektora Ochrony Danych Osobowych jest wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie. z dnia 6 września 2005 r. (II SA/Wa 825/05), w którym Sąd stwierdził, że: „W ustawie o ochronie danych osobowych brak jest przepisów obligujących administratora do udostępnienia dokumentów zawierających dane osobowe. Ustawodawca posługuje się pojęciem »udostępnienia«, odnosząc je zawsze do danych osobowych, a nie do zawierających je dokumentów”.

Źródło: http://www.giodo.gov.pl/1520007/id_art/3337/j/pl/, dostęp: 22.04.2014 r.

101. Czy na podstawie ustawy o ochronie danych osobowych można wystąpić do administratora danych z wnioskiem o udostępnienie dokumentów zawierających dane osobowe?

Nie, gdyż ustawa o ochronie danych osobowych uprawnia każdą osobę do występowania do administratora danych z wnioskiem o udzielenie informacji dotyczących jedynie przetwarzania jej danych osobowych, a nie daje podstawy do udostępniania dokumentów zawierających dane osobowe.

Źródło: http://www.giodo.gov.pl/1520007/id_art/3276/j/pl/, dostęp: 22.04.2014 r.

102. Czy pracownik firmy kurierskiej ma prawo legitymować osoby, którym dostarcza przesyłki za potwierdzeniem odbioru lub przekazy pocztowe?

Tak, gdyż taki obowiązek wynika z branżowych przepisów regulujących działalność firm kurierskich i świadczących usługi pocztowe.
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych zawiera jedynie ogólne regulacje dotyczące przetwarzania danych osobowych, zaś ich uszczegółowienie znajduje się w branżowych przepisach prawa. Jeśli istnieją, to one mają pierwszeństwo stosowania. Dlatego kwestie legitymowania osób, którym dostarczane są przesyłki, należy rozpatrywać na podstawie przepisów ustawy z dnia 15 listopada 1984 r. Prawo przewozowe, a w zakresie w niej nieuregulowanym na podstawie przepisów ustawy z dnia 12 czerwca 2003 r. Prawo pocztowe, a także rozporządzenia Ministra Infrastruktury z dnia 9 stycznia 2004 r. w sprawie warunków wykonywania powszechnych usług pocztowych.

Źródło: http://www.giodo.gov.pl/1520007/id_art/3213/j/pl/, dostęp: 22.04.2014 r.

103. Czy na podstawie ustawy o ochronie danych osobowych można żądać udostępnienia informacji z gminnego zbioru meldunkowego?

Nie, bowiem podstawą udostępniania informacji z gminnego zbioru meldunkowego jest ustawa o ewidencji ludności i dowodach osobistych.
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych określa jedynie ogólne zasady przetwarzania i ochrony danych, zaś ich skonkretyzowanie niejednokrotnie ma miejsce w przepisach branżowych. Jeśli takie istnieją, należy je stosować w pierwszej kolejności przed ustawą o ochronie danych osobowych.
W tym przypadku będzie to ustawa z dnia 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych. Jak stanowi jej art. 44i ust. 1, dane ze zbiorów meldunkowych oraz ewidencji wydanych i unieważnionych dowodów osobistych udostępnia organ gminy. Zatem to do właściwego organu gminy należy decyzja o udostępnieniu lub odmowie udostępnienia danych meldunkowych.

Źródło: http://www.giodo.gov.pl/1520007/id_art/3206/j/pl/, dostęp: 22.04.2014 r.

104. Czy Urząd Miasta może zamieścić na swojej stronie internetowej (BIP) informację zawierającą dane dotyczące unieważnionych dowodów osobistych (czyli seria i numer unieważnionego dowodu osobistego)?

Nie, bowiem w aktualnym stanie prawnym brak jest podstaw do zamieszczania na stronie BIP Urzędu Miasta tego typu informacji (zawierającej dane dotyczące unieważnionych dowodów osobistych).
Zgodnie z art. 44h ust 3 ustawy ewidencji ludności i dowodach osobistych o dane pochodzące m.in. z ewidencji wydanych i unieważnionych dowodów osobistych udostępnia się także na wniosek zainteresowanego podmiotu złożony w formie pisemnej lub za pomocą środków komunikacji elektronicznej. Dane są przekazywane w formie odpowiadającej złożonemu wnioskowi a dane udostępnione na jego podstawie nie mogą być wykorzystane w innym, niż wskazany w tym wniosku, celu.
Jak wynika z powyższego jedynym sposobem udostępnienia danych pochodzących m.in. z ewidencji wydanych i unieważnionych dowodów osobistych jest złożenie odpowiedniego wniosku, którego wzór określony został w art. 44 ust. 8 ustawy o ewidencji ludności i dowodach osobistych.

Źródło: http://www.giodo.gov.pl/1520007/id_art/3149/j/pl/, dostęp: 22.04.2014 r.

105. Czy osoba prowadząca działalność gospodarczą ma prawo pozyskać (przetwarzać) dane osobowe osoby, która składa reklamację? Jeżeli tak, to jaki zakres danych może pozyskać?

Tak, osoba prowadząca działalność gospodarczą ma prawo pozyskać od osoby, która składa reklamację jej dane osobowe w zakresie adekwatnym do rozpatrzenia tej reklamacji.
Pozyskanie np. serii i numeru dowodu osobistego od osoby, która zgłasza reklamację wydaje się być wystarczającym dla zrealizowania celu administratora danych tj. wydania reklamowanego towaru właścicielowi. Bowiem w przeciwnym przypadku zachodziłoby ryzyko wydania towaru osobie nieuprawnionej a tym samym osoba zobowiązana do wydania reklamowanego towaru mogłaby narazić się na zarzut nienależytego wykonania zobowiązania.

Źródło: http://www.giodo.gov.pl/1520007/id_art/3144/j/pl/, dostęp: 22.04.2014 r.

106. Czy zgodne z prawem jest utajnianie wynagrodzeń czy nagród rocznych dotyczących dyrektorów samorządowych jednostek organizacyjnych posiadających osobowość prawną?


Nie, bowiem przepisy prawa przewidują jawność wynagrodzenia czy nagród rocznych dotyczących dyrektorów samorządowych jednostek organizacyjnych posiadających osobowość prawną.
Ujawnianie wynagrodzenia dyrektorów samorządowych jednostek organizacyjnych posiadających osobowość prawną regulują przepisy szczególne wobec ustawy o ochronie danych osobowych, czyli ustawy z 3 marca 2000 r. o wynagradzaniu osób kierujących niektórymi podmiotami prawnymi, które w tej sytuacji mają pierwszeństwo stosowania. Stanowią one, że informacje o ich wynagrodzeniu oraz o nagrodach rocznych, świadczeniach dodatkowych i odprawach są jawne i nie podlegają ochronie danych osobowych ani tajemnicy handlowej (art. 15 ustawy o wynagradzaniu osób kierujących niektórymi podmiotami prawnymi).

Źródło: http://www.giodo.gov.pl/1520007/id_art/2996/j/pl/, dostęp: 22.04.2014 r.

107. Czy sprzedawca może żądać okazania dokumentu tożsamości od osoby, która dokonuje płatności kartą elektroniczną?


Tak, jednak tylko w celu identyfikacji klienta a nie gromadzenia o nim informacji.
Ustawa o ochronie danych osobowych określa jedynie ogólne zasady przetwarzania danych osobowych, zaś ich uszczegółowienie znajduje się w innych – branżowych – przepisach prawa. W związku z tym opisywaną sprawę należy rozpatrywać w oparciu o te przepisy. Przepisami prawa stanowiącymi podstawę do identyfikowania posiadacza karty jest ustawa z dnia 12 września 2002 r. o elektronicznych instrumentach płatniczych.
Na podstawie art. 10 ust. 1 i art. 26 ustawy, akceptant (w tym przypadku sprzedawca), w razie wątpliwości co do tożsamości klienta, może żądać aby ten okazał dokument stwierdzający jego tożsamość.
Zgodnie z art. 10 ust. 3 sprzedawcę obowiązuje procedura zachowania bezpieczeństwa, w szczególności nie może on udostępniać danych klienta osobom nieuprawnionym oraz nie może dopuścić do nieprawidłowego użycia lub skopiowania karty.

Źródło: http://www.giodo.gov.pl/1520007/id_art/2994/j/pl/, dostęp: 22.04.2014 r.

108. Czy prezydent miasta może przetwarzać dane osobowe osoby reprezentującej stowarzyszenie?

Tak, bowiem obowiązek przetwarzania danych osobowych założyciela stowarzyszenia przez prezydenta miasta wynika z przepisów prawa.
Zgodnie z art. 40 ustawy z dnia 7 kwietnia 1989 r. Prawo o stowarzyszeniach, założyciele stowarzyszenia zobowiązani są powiadomić organ nadzorujący o jego utworzeniu (stowarzyszenia). Ponadto, zgodnie z ust. 2 założyciele zobowiązani są uchwalić regulamin działalności, w którym prócz nazwy czy celu działalności należy podać również dane przedstawiciela reprezentującego to stowarzyszenie. I tak, na podstawie art. 8 ust. 5 Prawa o stowarzyszeniach, nadzór nad działalnością stowarzyszeń sprawuje starosta właściwy ze względu na siedzibę stowarzyszenia – w zakresie nadzoru nad stowarzyszeniami innymi niż wymienione w pkt 1 (tj. nad stowarzyszeniami jednostek samorządu terytorialnego). Natomiast zgodnie z art. 91 ustawy z 5 czerwca 1998 r. o samorządzie powiatowym, w mieście na prawach powiatu funkcję starosty pełni prezydent miasta i w związku z tym to on jest uprawniony do przetwarzania informacji związanych z utworzeniem oraz działalnością stowarzyszenia.

Źródło: http://www.giodo.gov.pl/1520007/id_art/2986/j/pl/, dostęp: 22.04.2014 r.

109. Czy naczelnik urzędu skarbowego może przekazać organizacji pożytku publicznego dane osoby, która wpłaciła na jej rzecz 1% podatku?

Tak, o ile osoba, która ofiarowuje 1% podatku wyraziła, w zeznaniu lub w jego korekcie, zgodę na udostępnienie (przekazanie) swoich danych osobowych tej organizacji.
Przepisy ustawy z dnia 26 lipca 1991 r. o podatku dochodowym od osób fizycznych oraz wydanych na jej podstawie aktów wykonawczych, w szczególności rozporządzenia Ministra Finansów z dnia 28 listopada 2008 r. w sprawie określenia wzorów rocznego obliczenia podatku oraz zeznań podatkowych obowiązujących w zakresie podatku dochodowego od osób fizycznych, wyraźnie wskazują – w art. 45c ust. 5 ustawy – że przekazanie danych osobowych podatnika (w zakresie: imię, nazwisko i adres zamieszkania oraz wysokość kwoty nieprzekraczającej 1% podatku) przez naczelnika urzędu skarbowego organizacji pożytku publicznego może odbyć się jedynie po wyrażeniu przez podatnika zgody w zeznaniu podatkowym lub korekcie zeznania.

Źródło: http://www.giodo.gov.pl/1520007/id_art/2898/j/pl/, dostęp: 22.04.2014 r.

110. Czy działanie polegające na upublicznieniu listy zawierającej dane osobowe dzieci oraz ich rodziców na drzwiach wejściowych przedszkola jest zgodne z prawem?

Żaden przepis prawa nie stanowi o takiej możliwości, dlatego wydaje się, że działanie takie byłoby zgodne z prawem jedynie za zgodą rodziców lub opiekunów prawnych dzieci zapisanych do przedszkola.

Źródło: http://www.giodo.gov.pl/1520007/id_art/2874/j/pl/, dostęp: 22.04.2014 r.

111. Czy inspektorzy NIK przeprowadzający kontrolę w starostwie powiatowym, mogą żądać danych osobowych pracowników realizujących kontrolowane zadania?

Tak, gdyż uprawniają ich do tego przepisy ustawy o Najwyższej Izbie Kontroli.
Zgodnie z jej art. 5 ust. 2 , kontrola działalności samorządu terytorialnego przeprowadzana jest pod względem legalności, gospodarności i rzetelności. Z art. 28 tej ustawy wynika, że postępowanie kontrolne ma na celu ustalenie stanu faktycznego w zakresie działalności jednostek poddanych kontroli, rzetelne jego udokumentowanie i dokonanie oceny kontrolowanej działalności według kryteriów określonych w art. 5.

Źródło: http://www.giodo.gov.pl/1520007/id_art/2858/j/pl/, dostęp: 22.04.2014 r.

112. Czy kurator sądowy może otrzymać dane osobowe likwidatora konkretnej firmy?

Tak, ponieważ dane o likwidatorach są danymi zawartymi w jawnym rejestrze i każdy ma do nich dostęp.
Ustawa o ochronie danych osobowych określa jedynie ogólne zasady przetwarzania danych osobowych, zaś, gdy istnieją inne – szczególne wobec ustawy przepisy prawa - mają one pierwszeństwo stosowania. W związku z tym opisywaną sprawę należy rozpatrywać w oparciu o przepisy ustawy z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym.
Zgodnie z art. 44 ust. 1 pkt 2 tej ustawy w dziale 6 rejestru przedsiębiorców zamieszcza się dane o osobie likwidatora wraz ze sposobem reprezentacji, zarządcy oraz zarządcy komisarycznego. Rejestr przedsiębiorców stanowi część Krajowego Rejestru Sądowego, który, na mocy art. 8 ust. 1 omawianej ustawy, jest jawny. Ponadto zgodnie z art. 8 ust. 2 ustawy o Krajowym Rejestrze Sądowym, każdy ma prawo dostępu do danych zawartych w Rejestrze za pośrednictwem Centralnej Informacji.

Źródło: http://www.giodo.gov.pl/1520007/id_art/2850/j/pl/, dostęp: 22.04.2014 r.

113. Czy Minister Spraw Wewnętrznych i Administracji może dokonywać weryfikacji danych gromadzonych w Centralnej Ewidencji Pojazdów i Centralnej Ewidencji Kierowców wykorzystując do tego dane zawarte w zbiorze PESEL?

Nie, nie ma bowiem uprawnień ustawowych w tym zakresie.
Jeżeli powyższe zbiory zostały utworzone w różnych celach, to ze wzgląd na regulację zawartą w art. 26 ust. 1 pkt 2 ustawy o ochronie danych osobowych wymaga, aby wzajemne przepływy informacji pomiędzy tymi zbiorami znajdowały oparcie w przepisach ustawowych. W ustawie prawo o ruchu drogowym jak również w ustawie o ewidencji ludności i dowodach osobistych brak jest unormowań upoważniających do dokonywania porównania zawartości CEP, CEK i zbioru PESEL. Jednocześnie prawo o ruchu drogowym nie przewiduje możliwości weryfikacji danych, zawartych w Centralnej Ewidencji pojazdów przez administratora danych, którym jest MSWIA. Biorąc ponadto pod uwagę art. 7 Konstytucji RP organy władzy publicznej powinny działać na podstawie i w granicach prawa. Uznać zatem można, że weryfikacja przez MSWIA danych zawartych w CEP i CEK w oparciu o zbiór PESEL nie może być uznana za dopuszczalną.

Źródło: http://www.giodo.gov.pl/1520007/id_art/2840/j/pl/, dostęp: 22.04.2014 r.

114. Czy ustawa o ochronie danych osobowych zezwala na przesyłanie listem zwykłym korespondencji zawierającej dane osobowe?

Przesyłanie listem zwykłym korespondencji zawierającej dane osobowe jest obojętne z punktu ustawy o ochronie danych osobowych.
Sprawę dostarczania korespondencji można ponadto rozpatrywać na gruncie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, a zwłaszcza jej rozdziału 5 regulującego kwestię zabezpieczenia danych osobowych. Na mocy art. 36 § 1 ustawy o ochronie danych osobowych, każdy administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a przede wszystkim powinien zabezpieczyć dane m.in. przed ich udostępnieniem osobom nieupoważnionym, utratą, uszkodzeniem lub zniszczeniem.
Zatem na kopercie powinny być umieszczone jedynie te dane osobowe, które są niezbędne do dostarczenia korespondencji. Natomiast takie dostarczanie korespondencji, które umożliwia osobom nieuprawnionym zapoznanie się z jej treścią, w tym z zawartymi w niej innymi danymi osobowymi, narusza przepisy wymienionej ustawy. Tym samym stanowi przykład niewłaściwego wykonywania jednego z najważniejszych obowiązków spoczywających na administratorze danych - obowiązku zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym.

Źródło: http://www.giodo.gov.pl/329/id_art/3546/j/pl/, dostęp: 22.04.2014 r.

115. Czy administrator danych ma obowiązek opracować procedurę określającą sposób postępowania z kluczami do pomieszczeń, w których przechowywane są dokumenty zawierające dane osobowe?

Tak, gdyż taka procedura jest niezbędna, aby właściwie zabezpieczyć dane osobowe przed ich udostępnieniem osobom nieupoważnionym.
Jednym ze sposobów zabezpieczenia danych osobowych jest konieczność weryfikowania osób, które mają dostęp do danych osobowych. Wiąże się to często z kontrolą dostępu do pomieszczeń, w których przechowywane są dokumenty zawierające dane osobowe. Przykładowo, niedopuszczalna jest sytuacja, w której po zakończeniu dnia pracy w firmie, klucze do takich pomieszczeń pozostawiane są w drzwiach, aby dostęp do tych pomieszczeń miały inne osoby, np. wykonujące prace porządkowe, przy czym nie prowadzi się jednocześnie ewidencji osób, które pobierają i zdają klucze. Bez takiej ewidencji trudno jest właściwie kontrolować, kto, kiedy i w jakim celu miał dostęp do pomieszczeń, w których przechowywane są dane osobowe. Dlatego każdy administrator danych, opracowując procedurę określającą sposób zabezpieczenia pomieszczeń, powinien w niej uwzględnić sposób postępowania z kluczami do pomieszczeń, w tym prowadzenie ewidencji wydawanych i zdawanych kluczy do pomieszczeń.

Źródło: http://www.giodo.gov.pl/329/id_art/3448/j/pl/, dostęp: 22.04.2014 r.

116. Czy upoważnienie do przetwarzania danych osobowych może być wydane w formie służbowego e-maila, który byłby następnie zachowany w celach dowodowych?

Tak, gdyż ustawa o ochronie danych osobowych nie przesądzając formy upoważnienia wymaga jedynie, aby było ono wydane każdej osobie mającej dostęp do danych osobowych.
Kwestia dostępu poszczególnych osób do danych osobowych powinna być każdorazowo samodzielnie rozstrzygana przez administratora danych. Jest on bowiem najlepiej zorientowany w szczegółach prowadzonej przez siebie działalności i dzięki temu może określić komu oraz w jakim zakresie będzie nadane stosowne upoważnienie. Tym samym nie wydaje się, aby upoważnienie nadane w formie e-maila pozostawało w sprzeczności z przepisami ustawy o ochronie danych osobowych, jeśli spełnia wszelkie inne ww. wymogi z tej ustawy.

Źródło: http://www.giodo.gov.pl/329/id_art/3442/j/pl/, dostęp: 22.04.2014 r.

117. Czy w świetle przepisów o ochronie danych osobowych system informatyczny służący do przetwarzania danych osobowych powinien zapewniać odnotowanie daty pierwszego wprowadzenia danych do systemu?

Tak, gdyż taki wymóg wprowadza rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Ww. wymóg zawarty w § 7 ust. 1 pkt 1 ww. rozporządzenia określa, iż dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym — z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie — system ten powinien zapewniać odnotowanie daty pierwszego wprowadzenia danych do systemu. Spełnienie tego warunku jest konieczne z uwagi na zapewnienie, w jakim czasie i przez kogo dane zostały wprowadzone do systemu w celu ewentualnej kontroli, bądź gdyby wystąpiły nieprawidłowości w procesie przetwarzania danych osobowych.

Źródło: http://www.giodo.gov.pl/329/id_art/3353/j/pl/, dostęp: 22.04.2014 r.

118. Czy w świetle przepisów o ochronie danych osobowych system informatyczny służący do przetwarzania danych osobowych powinien zapewniać odnotowanie identyfikatora każdego użytkownika wprowadzającego dane?

Tak, gdyż taki wymów wprowadza rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Ww. wymóg zawarty w § 7 ust. 1 pkt 2 ww. rozporządzenia określa, iż dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym — z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie — system ten powinien zapewniać odnotowanie identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba, że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba. Oznacza to, że system informatyczny, w którym przetwarzane są dane osobowe, powinien stosować mechanizmy kontroli dostępu do tych danych. Jeśli zatem dostęp do danych przetwarzanych w systemie informatycznym posiadają co najmniej dwie osoby, wówczas należy zapewnić, aby w systemie tym rejestrowany był dla każdego użytkownika odrębny identyfikator, a dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia.

Źródło: http://www.giodo.gov.pl/329/id_art/3334/j/pl/, dostęp: 22.04.2014 r.

119. Czy prowadzona przez administratora danych ewidencja osób upoważnionych do przetwarzania danych musi spełniać dodatkowe wymagania, jeśli dane są przetwarzane w systemie informatycznym?

Tak, jeżeli dane przetwarzane są w systemie informatycznym, wówczas ewidencja ta powinna zawierać identyfikator użytkownika.
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych zobowiązuje administratora danych do prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych. Wyjątek dotyczy jedynie administratorów będących osobami fizycznymi, którzy bez pomocy innych osób przetwarzają dane osobowe. Zgodnie z art. 39 ust.1 ww. ustawy ewidencja ta powinna zawierać:
1) imię i nazwisko osoby upoważnionej,
2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,
3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.

Źródło: http://www.giodo.gov.pl/329/id_art/3274/j/pl/, dostęp: 22.04.2014 r.

120. Czy spółka prowadząca witrynę internetową z wykorzystaniem serwerów zlokalizowanych w Turcji, przetwarzając dane osobowe jej użytkowników, musi stosować polskie przepisy o ochronie danych osobowych?

Tak, jeśli spółka ta przetwarza dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej.
Zgodnie z art. 85 ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej, dla wykonywania działalności gospodarczej na terytorium Rzeczypospolitej Polskiej przedsiębiorcy zagraniczni mogą, na zasadzie wzajemności, o ile ratyfikowane umowy międzynarodowe nie stanowią inaczej, tworzyć oddziały z siedzibą na terytorium Rzeczypospolitej Polskiej. Jednak przedsiębiorcy ci, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej, są zobowiązani stosować przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Przesądza o tym jej art. 3 ust. 2 pkt 2.

Źródło: http://www.giodo.gov.pl/329/id_art/3251/j/pl/, dostęp: 22.04.2014 r.

121. Czy w świetle przepisów o ochronie danych osobowych system informatyczny służący do przetwarzania danych osobowych powinien zapewniać odnotowanie informacji, skąd pochodzą wprowadzane do niego dane osobowe?

Tak, gdyż taki wymów wprowadza rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
W sytuacji, gdy administrator danych pozyskuje dane nie od osoby, której one dotyczą, ale z różnych, innych źródeł (np. źródeł powszechnie dostępnych: książka telefoniczna, Internet) i następnie wprowadza je do systemu informatycznego, powinien zadbać o to, aby system ten zapewnił odnotowanie tej informacji. Taki wymóg stawia § 7 ust. 1 pkt 3 ww. rozporządzenia.

Źródło: http://www.giodo.gov.pl/329/id_art/3248/j/pl/, dostęp: 22.04.2014 r.

122. Czy system teleinformatyczny, który uzyskał akredytację ABW do przetwarzania informacji niejawnych, może być wykorzystywany do przetwarzania danych osobowych?

Tak, gdyż dopuszczenie systemu teleinformatycznego do przetwarzania informacji niejawnych jest równoznaczne z tym, że w najwyższym stopniu spełnia on wymogi stawiane systemom służącym do przetwarzania danych osobowych.
Zgodnie z § 8 rozporządzenia w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, system informatyczny służący do przetwarzania danych, który został dopuszczony przez właściwą służbę ochrony państwa do przetwarzania informacji niejawnych, po uzyskaniu certyfikatu wydanego na podstawie przepisów ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych spełnia wymogi niniejszego rozporządzenia pod względem bezpieczeństwa na poziomie wysokim.

Źródło: http://www.giodo.gov.pl/329/id_art/3188/j/pl/, dostęp: 22.04.2014 r.

123. Czy zgodne z ustawą o ochronie danych osobowych i wystarczające jest, aby każda osoba dopuszczona do przetwarzania danych osobowych składała oświadczenie o zachowaniu w tajemnicy danych osobowych?


Nie, gdyż ustawa o ochronie danych osobowych wymaga, aby każda osoba dopuszczona do przetwarzania danych osobowych posiadała upoważnienie nadane jej przez administratora danych.
Jeżeli ustawa wprost stanowi o wydaniu upoważnienia do przetwarzania danych osobowych, to odbieranie od każdej osoby dopuszczonej do przetwarzania danych osobowych jedynie oświadczenie o zobowiązaniu do zachowania w tajemnicy danych osobowych, nie spełnia wymogów tego upoważnienia.

Źródło: http://www.giodo.gov.pl/329/id_art/3161/j/pl/, dostęp: 22.04.2014 r.

124. Czy GIODO wydaje pozwolenia dla firm, które zajmują się profesjonalnym niszczeniem dokumentów?

Nie, bowiem przepisy ustawy o ochronie danych osobowych nie wprowadzają takiego rozwiązania.
Przepisy ustawy o ochronie danych osobowych, nie przewidują wydawania przez Generalnego Inspektora Ochrony Danych Osobowych żadnych certyfikatów, ani pozwoleń dotyczących profesjonalnego niszczenia dokumentów, ani w przypadku danych przetwarzanych w formie papierowej, ani w systemach informatycznych.

Źródło: http://www.giodo.gov.pl/329/id_art/3090/j/pl/, dostęp: 22.04.2014 r.

125. Czy ustawa o ochronie danych osobowych określa treść i formę upoważnienia do przetwarzania danych osobowych?

Nie, ustawa o ochronie danych osobowych nie określa wprost formy i treści takiego upoważnienia.
W literaturze przedmiotu, zgodnie wskazuje się, że upoważnienie takie powinno mieć ono formę pisemną. Wynika to z treści art. 39 ust. 1 ustawy stanowiącego, iż w ewidencji osób upoważnionych do przetwarzania danych osobowych, którą prowadzi administrator danych, wskazać należy imię i nazwisko osoby upoważnionej, datę nadania, ustania oraz zakres upoważnienia do przetwarzania danych, a także identyfikator, jeśli dane przetwarzane są w systemie informatycznym. W przypadku upoważnienia udzielonego w formie innej niż pisemna, mogłyby wystąpić praktyczne trudności związane z określeniem jego treści. W upoważnieniu należy określić nazwę (nazwisko) i adres administratora danych, osobę upoważnioną do przetwarzania danych osobowych, datę nadania i, jeżeli jest ono przyznawane na czas określony, ustania oraz zakres upoważnienia do przetwarzania danych osobowych.

Źródło: http://www.giodo.gov.pl/329/id_art/1604/j/pl/, dostęp: 22.04.2014 r.

126. Czy podmiot gromadzący dane ma prawo wglądu do dokumentów, które przedkładam w celu potwierdzenia tożsamości, czy też może je skopiować?


To zależy od tego, czy podmiot ten posiada podstawę prawną do przetwarzania danych osobowych, gdyż samo kopiowanie dokumentów jest jedynie czynnością techniczną.
Kopiowanie dokumentów jest jedynie czynnością techniczną, która ze swej istoty nie jest zakazana przepisami ustawy o ochronie danych osobowych. Najistotniejsze jest, aby kopiowanie dokumentów nie prowadziło do gromadzenia danych w zakresie szerszym, niż to jest niezbędne dla realizacji celu, w jakim dane są przetwarzane. Zgodnie bowiem z art. 26 ust. 1 pkt 3 ustawy administrator danych powinien zapewnić, aby dane były adekwatne do celów do jakich zostały zgromadzone. Przez kopiowanie danych może dojść natomiast do zebrania danych w zakresie wykraczającym poza zakres danych niezbędnych do realizacji celu, dla którego danych podmiot je zbiera.
Inaczej mówiąc posługiwanie się tą czy inną techniką utrwalania danych nie przesądza, z punktu widzenia ustawy o ochronie danych osobowych, o legalności ich wykorzystywania. Dla dokonania tego typu oceny istotne znaczenie mają przede wszystkim: podstawa prawna przetwarzania danych (art. 23 ustawy), rodzaj przetwarzanych danych (art. 27 ustawy) oraz granice /dopuszczalny zakres/ tego przetwarzania (art. 26 ust. 1 pkt 3 ustawy). Przede wszystkim przetwarzanie danych musi znajdować podstawę w spełnieniu jednej z przesłanek określonych w art. 23 ust. 1 ustawy o ochronie danych osobowych lub art. 27 ust. 2 w odniesieniu do danych podlegających szczególnej ochronie.

Źródło: http://www.giodo.gov.pl/329/id_art/1534/j/pl/, dostęp: 22.04.2014 r.

127. Czy w świetle przepisów o ochronie danych osobowych dopuszczalna jest praktyka kancelarii komorniczych polegająca na wysyłaniu do pracodawców, pism dotyczących zajęć wynagrodzenia za pracę dłużników, bez wstępnego sprawdzenia, czy dana osoba jest rzeczywiście zatrudniona u pracodawcy, do którego pismo o zajęciu wynagrodzenia zostało skierowane?

Nie, zdaniem Generalnego Inspektora Ochrony Danych Osobowych praktyka taka prowadzi - w przypadku doręczenia pisma o zajęciu do podmiotu, w którym, w rzeczywistości, dłużnik nigdy nie był zatrudniony - do ujawnienia osobie nieuprawnionej danych osobowych dłużnika, w tym także danych szczególnie chronionych w rozumieniu art. 27 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych. Tym samym, takie działanie stanowi naruszenie obowiązujących zasad ochrony danych osobowych.
Bezspornym jest zatem, iż w następstwie doręczenia powyższego zajęcia, zostają ujawnione dane osobowe dłużnika, w tym także dane dotyczące orzeczenia wydanego w postępowaniu sądowym, podlegające szczególnej ochronie na podstawie art. 27 ustawy o ochronie danych osobowych. Jeśli zatem jest ono kierowane do innego przedsiębiorcy, niż pracodawca dochodzi do nieuprawnionego ujawnienia danych osobowych. Jeśli zatem komornik decyzję o skierowaniu do pracodawcy pisma o zajęciu wynagrodzenia dłużnika podejmuje jedynie w oparciu o zawarte we wniosku egzekucyjnym oświadczenie wierzyciela, że dłużnik jest zatrudniony u tego przedsiębiorcy, to może się zdarzyć, że dotrze ono do innego podmiotu niż pracodawca dłużnika. Dlatego też doręczenie pisma powinno być, w takim przypadku, poprzedzone sprawdzeniem prawdziwości deklaracji wierzyciela.

Źródło: http://www.giodo.gov.pl/329/id_art/1526/j/pl/, dostęp: 22.04.2014 r.

128. Czy stosowana przez banki procedura weryfikowania danych osobowych kredytobiorców poprzez m.in. telefoniczne potwierdzanie ich zatrudnienia i zarobków u pracodawców jest dopuszczalna?


Tak, ale tylko wówczas, gdy pracodawca ma całkowitą pewność, że odbiorca jest tą osobą, za którą się podaje.
Osoba udzielająca informacji w zakresie danych osobowych musi potwierdzić tożsamość swojego rozmówcy, by z całą pewnością móc stwierdzić, że osoba telefonująca do niej w celu zweryfikowania danych jest rzeczywiście przedstawicielem określonej instytucji, w imieniu której posiada upoważnienie do uzyskania podanych informacji.

Źródło: http://www.giodo.gov.pl/329/id_art/2876/j/pl/, dostęp: 22.04.2014 r.

129. Czy urząd stanu cywilnego, powołując się na ochronę danych osobowych, może odmówić mi wydania odpisów z aktów stanu cywilnego dotyczących członków mojej rodziny, jeśli swoją prośbę uzasadniam potrzebą załączenia ich do akt sprawy sądowej?

Nie, jeśli potrzeba posiadania odpisów aktów stanu cywilnego jest uzasadniona interesem prawnym.
Przedstawione zagadnienie należy rozpatrywać na gruncie innych, niż ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych , aktów prawnych. Ustawa o ochronie danych osobowych określa bowiem jedynie ogólne zasady ich przetwarzania i ochrony, zaś skonkretyzowanie tychże zasad ma miejsce w szczególnych wobec jej regulacji, przepisach prawa. Zasady i tryb wydawania odpisów aktów stanu cywilnego reguluje ustawa z dnia 29 września 1986 r. Prawo o aktach stanu cywilnego .
Składając wniosek o wydanie odpisu skróconego aktu, zawierającego ograniczone dane osobowe, zainteresowana osoba nie musi szczegółowo udowodnić interesu prawnego, wystarczy bowiem uprawdopodobnienie istnienia takiego interesu. Odpisy skrócone aktów mogą otrzymać także osoby, które zgłosiły urodzenie lub zgon, mimo że nie należą do osób wymienionych w ust. 1 - bez obowiązku wykazania interesu.

Źródło: http://www.giodo.gov.pl/331/id_art/1337/j/pl/, dostęp: 22.04.2014 r.

130. Czy w sprawie wątpliwości co do udostępnienia danych osobowych z aktów stanu cywilnego organem właściwym jest Generalny Inspektor Ochrony Danych Osobowych?

Nie, gdyż organem właściwym jest w tym przypadku wojewoda, który sprawuje nadzór nad działalnością urzędów stanu cywilnego w zakresie realizacji ich obowiązków.
Odmowa wydania odpisu aktu stanu cywilnego lub dokumentu z akt zbiorowych "powinna nastąpić w formie decyzji administracyjnej z podaniem w jej uzasadnieniu przyczyn, dla których wniosek nie mógł zostać uwzględniony" (tak wyrok Naczelnego Sądu Administracyjnego - Ośrodek Zamiejscowy w Gdańsku z dnia 29 kwietnia 1993 r., sygn. akt S.A./Gd 2261/92). Organem odwoławczym od orzeczeń administracyjnych wydanych na podstawie ustawy Prawo o aktach stanu cywilnego, stosownie do jej art. 8 ust. 4, jest wojewoda. Wojewodowie sprawują także nadzór nad działalnością urzędów stanu cywilnego w zakresie realizacji obowiązków określonych w ustawie (art. 8 ust. 3).
Zatem wątpliwości dotyczące udostępnienia danych osobowych z aktów stanu cywilnego, zawartych w odpisach i zaświadczeniach, należy kierować do właściwego wojewody.

Źródło: http://www.giodo.gov.pl/331/id_art/3160/j/pl/, dostęp: 22.04.2014 r.

131. Czy na przesyłanie przez bank wyciągów bankowych zawierających w swej treści również informacje o charakterze marketingowym przysługuje sprzeciw?

Tak, na takie postępowanie banku przysługuje sprzeciw.
W przypadku, gdy klient banku złoży sprzeciw wobec przetwarzania jego danych w celach marketingowych bank musi zaprzestać mu przesyłania takich informacji. Wówczas wyciągi z rachunku powinny zawierać treści wyłącznie w zakresie niezbędnym do spełnienia obowiązku z art. 728 § 2 Kodeksu cywilnego (ewentualnie innych obowiązków ciążących na banku).
Co ważne, za treści o charakterze marketingowym mogą być uznane bardzo różnorodne informacje - nie tylko informacje sugestywne, zrozumiałe, zwięzłe, łatwe do zapamiętania i odwołujące się do interesów ekonomicznych ich odbiorców, ale również treści, których celem jest tworzenie wizerunku danej marki, takie jak znak towarowy. Takie rozumienie treści o charakterze marketingowym zostało potwierdzone w opinii Urzędu Ochrony Konkurencji i Konsumentów.

Źródło: http://www.giodo.gov.pl/332/id_art/3779/j/pl/, dostęp: 22.04.2014 r.

132. Czy protokół z posiedzenia zarządu banku zawierający dane osobowe klienta banku może zostać udostępniony na potrzeby postępowania cywilnego?

Tak, gdyż zezwalają na to przepisy kodeksu postępowania cywilnego, jeśli treść tego protokołu, łącznie z zawartymi w nim danymi osobowymi, stanowi dowód w sprawie cywilnej.
Jeżeli protokół banku, może stanowić dowód, o którym mowa w przepisach Kpc i wejść w skład dokumentacji przedłożonej sądowi na potwierdzenie stanowiska strony pozwanej, to jego udostępnienia nie należy kwestionować z punktu widzenia ustawy o ochronie danych osobowych.

Źródło: http://www.giodo.gov.pl/332/id_art/3689/j/pl/, dostęp: 22.04.2014 r.

133. Czy bank może przekazać dane dłużnika - kredytobiorcy do Biura Informacji Kredytowej, mimo że jego zadłużenie powstało na skutek wykorzystania karty kredytowej przez inną osobę, która dopuściła się defraudacji pieniędzy?

Tak, gdyż dane kredytobiorcy przekazywane są do BIK S.A. na podstawie przepisów Prawa bankowego i zawartej umowy kredytowej.
Aktem prawnym zawierającym szczegółowe regulacje dotyczące procesu przetwarzania danych osobowych klientów banków jest przede wszystkim ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe. Na jego podstawie banki mogą przekazywać do BIK S.A. informacje stanowiące tajemnicę bankową w zakresie, w jakim są one niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń. Jednocześnie BIK S.A., jako instytucja utworzona na podstawie art. 105 ust. 4 Prawa bankowego, może przetwarzać (m.in. gromadzić, udostępniać) informacje stanowiące tajemnicę bankową w zakresie dotyczącym osób fizycznych w celu oceny zdolności kredytowej i analizy ryzyka kredytowego (art. 105a ust. 1 Prawa bankowego).
Generalny Inspektor Ochrony Danych Osobowych, jako organ stojący na straży ochrony danych osobowych, może nakazać usunięcie danych osoby, która zawarła z bankiem umowę o korzystanie z karty kredytowej, ale dopiero wówczas, gdy sąd cywilny stwierdzi prawomocnym orzeczeniem, iż kredytobiorca nie jest dłużnikiem banku.

Źródło: http://www.giodo.gov.pl/332/id_art/3688/j/pl/, dostęp: 22.04.2014 r.

134. Czy można założyć anonimowe konto bankowe?

Nie, bowiem przepisy prawa nakazują m.in. określić strony umowy.
Zasady prowadzenia, jak również elementy jakie powinna zawierać umowa rachunku bankowego określają przepisy Rozdziału 3 Prawa bankowego. Zatem zgodnie z art. 52 ust. 2 pkt 1 umowa rachunku bankowego powinna określać w szczególności strony umowy.
Ponadto, zgodnie z art. 8 b ust. 1 ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu instytucje obowiązane (m.in. bank) stosują wobec swoich klientów środki bezpieczeństwa finansowego, które podlegają na m.in. identyfikacji klienta i weryfikacji jego tożsamości na podstawie dokumentów lub informacji publicznie dostępnych.
Zatem jak wynika z powyższego w obecnym stanie prawnym założenie anonimowego konta bankowego jest niemożliwe.

Źródło: http://www.giodo.gov.pl/332/id_art/3650/j/pl/, dostęp: 22.04.2014 r.

135. Czy bank ma prawo domagać się odpisu aktu małżeństwa, by potwierdzić zmianę nazwiska klienta?

Nie, takie informacje można pozyskać na podstawie dokumentu tożsamości.
Żeby przetwarzanie, w tym m.in. pozyskiwanie, danych osobowych przez bank (będący w tym przypadku administratorem danych) było legalne, musi on wykazać, że ma do tego prawo. Oznacza to, że musi spełniać co najmniej jedną z pięciu przesłanek legalnego przetwarzania danych, które są wymienione w art. 23 ust. 1 pkt. 1-5 ustawy o ochronie danych osobowych. Przetwarzanie danych osobowych jest dopuszczalne m.in. wtedy, gdy odbywa się na podstawie szczególnego przepisu prawa (art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych). W tym przypadku jest nim Prawo bankowe. Jednak zezwala ono (powołany art. 112b) - dla celów prowadzonej działalności bankowej – na przetwarzanie jedynie informacji zwartych w dowodach tożsamości. Tym samym bank nie ma podstaw do zażądania od klienta, by przedłożył odpis aktu małżeństwa w celu weryfikacji zmiany nazwiska.

Źródło: http://www.giodo.gov.pl/332/id_art/3509/j/pl/, dostęp: 22.04.2014 r.

136. Czy bank ma prawo przetwarzać dane osobowe spadkobiercy w celach windykacyjnych w związku z zaciągniętym i niespłaconym przez spadkodawcę zadłużeniem wynikającym z umowy kredytu zawartej w tym banku?


Tak, o ile spadek został przyjęty przez spadkobiercę wprost, tj. w całości.
Bank może przetwarzać dane spadkobiercy w celach windykacyjnych pomimo, że umowa o kredyt nie została zawarta z nim lecz ze spadkodawcą. Bowiem z postanowienia spadkowego wynika, że spadkobierca nabył po spadkodawcy spadek w całości a zatem również zobowiązanie wynikające z umowy o kredyt, którego nie spłacił spadkodawca. Zgodnie bowiem z art. 1012 Kodeksu cywilnego spadkobierca może bądź przyjąć spadek bez ograniczenia odpowiedzialności za długi (przyjęcie proste), bądź przyjąć spadek z ograniczeniem tej odpowiedzialności (przyjęcie z dobrodziejstwem inwentarza), bądź też spadek odrzucić.

Źródło: http://www.giodo.gov.pl/332/id_art/3085/j/pl/, dostęp: 22.04.2014 r.

137. Jakie działanie może podjąć Generalny Inspektor Ochrony Danych Osobowych, jeśli uzna, iż doszło do złamania ustawy o ochronie danych osobowych przez bank, który przetwarzał w celach marketingowych dane osobowe swojego klienta mimo, iż ten złożył w tym celu sprzeciw?

Generalny Inspektor Ochrony Danych Osobowych może wystąpić do administratora danych (banku) z wnioskiem o wszczęcie postępowania dyscyplinarnego wobec osoby, która jest odpowiedzialna za powstanie błędu przy przetwarzaniu danych osobowych, jak również może wydać decyzję nakazującą zaprzestanie przetwarzania danych osobowych w takim celu.

Źródło: http://www.giodo.gov.pl/332/id_art/3321/j/pl/, dostęp: 22.04.2014 r.

138. Czy bank może przetwarzać dla celów marketingowych dane osobowe swoich byłych klientów?

Tak, ale tylko za ich zgodą.
Bank, jako administrator danych, jest uprawniony do przetwarzania, w celu prowadzenia marketingu własnych produktów i usług, danych osobowych klientów aktywnych, tj. takich, z którymi łączą go różnego rodzaju umowy. Jednakże po rozwiązaniu umowy bank jest zobowiązany do przetwarzania danych swoich dotychczasowych klientów wyłącznie dla realizacji celów archiwalnych i statystycznych (art. 105a ust. 4 Prawa bankowego). Natomiast może przetwarzać dane osobowe dotychczasowych klientów dla celów marketingowych jedynie za ich odrębną zgodą. Również Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 22 lutego 2005 r. (sygn. II SA/Wa 2030/04), orzekł, iż „z chwilą zamknięcia rachunku bankowego kończy się prawne zezwolenie na przetwarzanie danych osobowych tych osób, których rachunki zostały zamknięte, gdyż osiągnięty zostaje cel, w jakim dane te były przetwarzane.”

Źródło: http://www.giodo.gov.pl/332/id_art/3320/j/pl/, dostęp: 22.04.2014 r.

139. Czy praktyka polegająca na weryfikowaniu przez bank danych osobowych, osoby która chce dokonać wpłaty na wybrane konto pod rygorem odmowy przeprowadzenia czynności bankowej jest zgodna z ustawą o ochronie danych osobowych?

Tak, bowiem praktyka taka odbywa się na podstawie jednej z przesłanek legalizujących przetwarzanie danych osobowych (art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych – czyli na podstawie szczególnych przepisów prawa).
Banki - jako instytucje zobowiązane na podstawie ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu – mają obowiązek zarejestrować, tym samym weryfikować dokumenty zwierające dane osobowe osoby, która chce przeprowadzić transakcję, której równowartość przekracza 15 000 euro oraz bez względu na kwotę w przypadku, gdy okoliczności takiej transakcji wskazują, że może ona mieć związek z praniem pieniędzy lub finansowaniem terroryzmu bez względu na jaj wartość i charakter.

Źródło: http://www.giodo.gov.pl/332/id_art/3280/j/pl/, dostęp: 22.04.2014 r.

140. Czy bank na podstawie art. 70 Prawa bankowego ma prawo pozyskiwać dane szczególnie chronione, w rozumieniu ustawy o ochronie danych osobowych?

Nie, bowiem przepis ten nie uprawnia banku do pozyskiwania danych szczególnie chronionych .
Nieuprawnionym jest wskazanie, że podstawą przetwarzania przez bank danych szczególnie chronionych jest art. 70 Prawa bankowego. W przypadku bowiem danych wrażliwych możliwość ich przetwarzania musi wyraźnie wynikać z przepisu prawa o randze ustawowej. Tymczasem w powołanym art. 70 ust. 1 Prawa bankowego brak jest sformułowanego wprost uprawnienia do przetwarzania danych szczególnie chronionych.

Źródło: http://www.giodo.gov.pl/332/id_art/3182/j/pl/, dostęp: 22.04.2014 r.

141. Czy przekazywanie przez bank informacji o zadłużeniu osoby, której dane dotyczą osobom postronnym jest zgodne z prawem?

Nie, bowiem takie informacje objęte są tajemnicą bankową i ich przekazywanie osobom postronnym jest bezprawne.
Zgodnie z art. 171 ust. 5 Prawa bankowego, kto, będąc obowiązany do zachowania tajemnicy bankowej, ujawnia lub wykorzystuje informacje stanowiące tajemnicę bankową, niezgodnie z upoważnieniem określonym w ustawie, podlega grzywnie do 1 000 000 złotych i karze pozbawienia wolności do lat 3. Osoba, która uważa, iż doszło do naruszenia tajemnicy bankowej, powinna skierować zawiadomienie o popełnieniu przestępstwa do organów ścigania (policji, prokuratury). Do ich wyłącznej kompetencji należy bowiem ocena, czy działanie określonego podmiotu wypełnia znamiona przestępstwa.
Biorąc powyższe pod uwagę stwierdzić należy, że przekazywanie przez bank informacji o zadłużeniu osoby, której dane dotyczą osobom postronnym nie znajduje uzasadnienia w obowiązujących przepisach prawa, w tym w przepisach prawa bankowego.

Źródło: http://www.giodo.gov.pl/332/id_art/2903/j/pl/, dostęp: 22.04.2014 r.

142. Czy bank może kserować dowód osobisty klienta w celu zbadania jego zdolności kredytowej?

Bank ma prawo kserować dowód osobisty klienta, gdyż wprost uprawnia go do tego art. 112 b ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe.
W przypadku banków przepisem uprawniającym je do pozyskiwania od klientów danych osobowych zawartych w dowodzie osobistym jest art. 112 b ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe, zgodnie z którym, banki mogą przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych. Przepis ten legalizuje zatem pozyskiwanie przez banki danych osobowych zawartych w dowodach osobistych klientów.
Samo kserowanie dowodów jest zaś, w opinii Generalnego Inspektora Ochrony Danych Osobowych, czynnością stricte techniczną. Taki pogląd wyrażony został również w wyroku Naczelnego Sądu Administracyjnego z 19 grudnia 2001 r. (sygn. akt II SA 2869/2000), zgodnie z którym gromadzenie danych poprzez wykonanie kopii dokumentu zawierającego dane osobowe jest kwestią techniczną; posługiwanie się taką, czy inną techniką utrwalania tych danych (kopiowanie lub przepisywanie) nie przesądza samo przez się o legalności albo nielegalności tego utrwalania (przetwarzania).

Źródło: http://www.giodo.gov.pl/332/id_art/2839/j/pl/, dostęp: 22.04.2014 r.

143. Czy w przypadku złożenia sprzeciwu wobec przetwarzania danych osobowych w celach marketingowych bank ma prawo nadal przetwarzać dane osobowe?

Nie, gdyż złożenie sprzeciwu wobec przetwarzania danych w celach marketingowych oznacza, iż dalsze przetwarzanie danych w tym celu staje się niedopuszczalne.
Złożenie sprzeciwu wobec przetwarzania danych w celach marketingowych oznacza, iż przetwarzanie danych w tym celu staje się niedopuszczalne. Przetwarzanie danych w celach marketingowych, pomimo złożonego do banku sprzeciwu doprowadzić może w konsekwencji do naruszenia praw i wolności osoby, której dane dotyczą, o których mowa w art. 23 ust. 1 pkt. 5 ustawy o ochronie danych osobowych.

Źródło: http://www.giodo.gov.pl/332/id_art/1723/j/pl/, dostęp: 24.04.2014 r.

144. Czy można przetwarzać dane osobowe kredytobiorców po wygaśnięciu zobowiązania wynikającego z umowy kredytu?

Tak, ale uprawnione są do tego jedynie instytucje wymienione w ustawie Prawo bankowe i to pod pewnymi warunkami.
Przepisami prawa, które mają zastosowanie w omawianym przypadku, są ustawa Prawo bankowe oraz akty wykonawcze wydane na jej podstawie. Zgodnie z art. 105a ust. 2 Prawa bankowego, instytucje, o których mowa w ust. 1, mogą, z zastrzeżeniem ust. 3, przetwarzać informacje stanowiące tajemnicę bankową w zakresie dotyczącym osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej przez tę osobę z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, pod warunkiem uzyskania na to jej pisemnej zgody. Taka zgoda może być w każdym czasie odwołana.
Mocą art. 105a ust. 3 instytucje, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową, dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank lub inną instytucję ustawowo upoważnioną do udzielania kredytów o zamiarze przetwarzania dotyczących jej informacji stanowiących tajemnicę bankową, bez jej zgody.
Według art. 105a ust. 4 Prawa bankowego banki oraz instytucje, o których mowa w art. 105 ust. 4 (np. BIK), mogą przetwarzać informacje stanowiące tajemnicę bankową dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, bez zgody osoby, której informacje dotyczą, dla celów stosowania metod statystycznych, o których mowa w art. 128 ust. 3.

Źródło: http://www.giodo.gov.pl/332/id_art/1533/j/pl/, dostęp: 24.04.2014 r.

145. Czy stosowana przez banki procedura weryfikowania danych osobowych kredytobiorców poprzez m.in. telefoniczne potwierdzanie ich zatrudnienia i zarobków u pracodawców jest dopuszczalna?


Tak, ale tylko wówczas, gdy pracodawca ma całkowitą pewność, że odbiorca jest tą osobą, za którą się podaje.
osoba udzielająca informacji w zakresie danych osobowych musi potwierdzić tożsamość swojego rozmówcy, by z całą pewnością móc stwierdzić, że osoba telefonująca do niej w celu zweryfikowania danych jest rzeczywiście przedstawicielem określonej instytucji, w imieniu której posiada upoważnienie do uzyskania podanych informacji.

Źródło: http://www.giodo.gov.pl/332/id_art/2876/j/pl/, dostęp: 24.03.2014 r.

146. Czy GIODO może nakazać, by Biuro Informacji Kredytowej usunęło dane kredytobiorcy, który twierdzi, że to nie on zawarł z bankiem umowę kredytową?


Nie, przed wydaniem prawomocnego orzeczenia sądowego w tej sprawie GIODO nie może nakazać, by Biuro Informacji Kredytowej (BIK) usunęło ze swojego rejestru dane takiej osoby.
Przy czym do czasu wydania przez sąd prawomocnego orzeczenia, z którego wynikałoby, że to nie osoba figurująca w bazie BIK zawarła umowę kredytową z bankiem, lecz ktoś, kto bezprawnie wykorzystał jej dane osobowe, GIODO nie może nakazać usunięcia danych z rejestru BIK, Dodatkowo należy zaznaczyć, że zgodnie w wyrokiem Naczelnego Sądu Administracyjnego 2 marca 2001 r. (sygn. akt II SA401/00), „(...) Generalny Inspektor (...) nie jest organem kontrolującym ani nadzorującym prawidłowość stosowania prawa materialnego i prawa procesowego w sprawach należących do właściwości innych organów, służb czy sądów, których orzeczenia podlegają ocenom w toku instancji czy w inny sposób określony odpowiednimi procedurami”.

Źródło: http://www.giodo.gov.pl/332/id_art/3651/j/pl/, dostęp: 24.02.2014 r.

147. Czy na tablicy informacyjnej budowy muszą figurować dane osobowe inwestora budowy, wykonawców robót budowlanych, kierownika budowy, kierowników robót, inspektora nadzoru inwestorskiego oraz projektantów?


Tak, gdyż wymagają tego przepisy prawa.
Na podstawie art. 45 ust. 4 ustawy z dnia 7 lipca 1994 r. Prawo budowlane wydane zostało rozporządzenie Ministra Infrastruktury z dnia 26 czerwca 2002 r. w sprawie dziennika budowy, montażu i rozbiórki, tablicy informacyjnej oraz ogłoszenia zawierającego dane dotyczące bezpieczeństwa pracy i ochrony zdrowia. Stosownie do jego § 13 ust. 1 pkt 3, 4, 5 , na tablicy informacyjnej budowy umieszcza się imię i nazwisko, adres oraz numer telefonu inwestora, wykonawcy lub wykonawców robót budowlanych, a także imiona, nazwiska, adresy i numery telefonów kierownika budowy, kierowników robót, inspektora nadzoru inwestorskiego oraz projektantów. Z uwagi na to, iż powołane rozporządzenie jest aktem prawnym o randze powszechnie obowiązującego źródła prawa, zaniechanie umieszczenia powyższej informacji na tablicy informacyjnej, stanowi niedopełnienie ciążącego na kierowniku budowy (robót) z mocy prawa obowiązku.

Źródło: http://www.giodo.gov.pl/333/id_art/996/j/pl/, dostęp: 24.04.2014 r.

148. Czy Towarzystwo Budownictwa Mieszkaniowego może zażądać od najemców lokali należących do tego Towarzystwa, kserokopii zeznania o wysokości osiągniętego dochodu w danym roku podatkowym (PIT)?

Tak, gdyż przepisy prawa przyznają Towarzystwu Budownictwa Mieszkaniowego prawo do przetwarzania informacji o wysokości osiągniętego dochodu w danym roku podatkowym przez najemców lokali.
Art. 30 ust. 3 ustawy z dnia 26 października 1995 r. o niektórych formach popierania budownictwa mieszkaniowego przewiduje, że najemca obowiązany jest składać towarzystwu budownictwa społecznego raz na 2 lata, w terminie do dnia 30 kwietnia danego roku, deklarację o średnim miesięcznym dochodzie przypadającym na gospodarstwo domowe w roku poprzednim. Zgodnie z ust. 4 tego przepisu, najemca jest również obowiązany na żądanie towarzystwa, przedstawić zaświadczenie właściwego miejscowo urzędu skarbowego o wysokości dochodów uzyskanych przez tę osobę oraz osoby zgłoszone przez nią do wspólnego zamieszkania.

Źródło: http://www.giodo.gov.pl/333/id_art/1359/j/pl/, dostęp: 24.04.2014 r.

149. Czy Towarzystwo Budownictwa Społecznego może gromadzić informacje o osobach zamieszkujących z najemcą, nawet bez wiedzy i zgody tych osób?

Tak, gdyż wynika to z przepisów ustawy z dnia 26 października 1995 r. o niektórych formach popierania budownictwa mieszkaniowego.
W omawianym przypadku mamy do czynienia z ustawą z dnia 26 października 1995 r. o niektórych formach popierania budownictwa mieszkaniowego. Zgodnie bowiem z jej art. 30 ust. 1 pkt 1 Towarzystwo Budownictwa Społecznego (TBS) może wynająć lokal mieszkalny wyłącznie osobie fizycznej, jeżeli osoba fizyczna oraz osoby zgłoszone do wspólnego zamieszkiwania, w dniu objęcia lokalu, nie posiadają tytułu prawnego do innego lokalu mieszkalnego w tej samej miejscowości. Takie brzmienie przepisu wskazuje zatem na uprawnienie TBS do pozyskiwania informacji na temat osób, które wspólnie z najemcą zamieszkiwać będą najmowane mieszkanie. Jednocześnie z ustawy wynika, iż zgłoszenie osób do wspólnego zamieszkiwania jest kwestią indywidualną najemcy.

Źródło: http://www.giodo.gov.pl/333/id_art/3275/j/pl/, dostęp: 24.04.2014 r.

150. Czy bank może przekazać moje dane osobowe, jako nierzetelnego dłużnika, do Biura Informacji Kredytowej?

Tak, gdyż uprawniają go do tego przepisy prawa bankowego.
Ze względu na przepis art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, nie można uznać, iż przekazanie informacji o kliencie banku do Biura Informacji Kredytowej pozbawione jest podstaw prawnych. Stosownie bowiem do brzmienia art. 23 ust. 1 pkt 2 ustawy, przetwarzanie danych jest dopuszczalne m.in. wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. W omawianym przypadku takim przepisem jest art. 105 ust. 4 Prawa bankowego.

Źródło: http://www.giodo.gov.pl/1520051/id_art/1358/j/pl/, dostęp: 24.04.2014 r.

151. Czy Biuro Informacji Kredytowej ma prawo przetwarzać w celach statystycznych dane osobowe kredytobiorców, którzy wywiązali się już z zobowiązania?


Tak, bowiem takie uprawnienie wynika z przepisów ustawy Praw bankowe.
BIK jest uprawniony do przetwarzania danych do celów statystycznych a podstawą prawną tej czynności jest art. 128 ust. 3 ustawy Prawo bankowe. Stanowisko to podzielił również Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 4 grudnia 2008 r. (sygn. akt II SA/Wa 917/08) stwierdzając: „Nie ulega wątpliwości, iż (…) Biuro Informacji Kredytowej jest instytucją o której mowa w art. 105 ust. 4 ustawy Prawo bankowe, a zatem mieści się w katalogu podmiotów określonych w art. 105a ust. 4 Prawa bankowego. A skoro tak, to przepis ten daje BIK-owi prawo do przetwarzania danych osobowych dla celów stosowania metod statystycznych bez zgody osoby zainteresowanej. Jednocześnie stanowi samodzielną podstawę do przetwarzania danych osobowych dla tych celów”.

Źródło: http://www.giodo.gov.pl/1520051/id_art/2987/j/pl/, dostęp: 24.04.2014 r.

152. Czy mimo, iż w spłacie pożyczki udzielonej przez bank klient dopuścił się zwłoki powyżej 60 dni, może żądać, aby zaraz po całkowitym uregulowaniu zobowiązań, jego dane osobowe zostały usunięte z Biura Informacji Kredytowej (BIK S.A.)?

Nie, gdyż przepisy Prawa bankowego uprawniają BIK S.A. do przetwarzania danych osób fizycznych – kredytobiorców, pożyczkobiorców, nawet po całkowitym wykonaniu przez nich zaciągniętego zobowiązania.
Zgodnie z art. 105a ust. 3 Prawa bankowego banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4 (jak np. BIK S.A.), mogą przetwarzać informacje stanowiące tajemnicę bankową dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, bez zgody osoby, której informacje dotyczą. Ale muszą być spełnione wskazane w tej ustawie warunki. Mianowicie jeśli osoba ta (kredytobiorca, pożyczkobiorca) nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem, oraz po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank lub inną instytucję ustawowo upoważnioną do udzielania kredytów o zamiarze przetwarzania dotyczących jej informacji stanowiących tajemnicę bankową, bez jej zgody.

Źródło: http://www.giodo.gov.pl/1520051/id_art/3273/j/pl/, dostęp: 24.04.2014 r.

153. Czy Spółdzielcza Kasa Oszczędnościowo-Kredytowa może przekazać dane kredytobiorcy do BIK S.A.?

Tak, gdyż uprawniają ją do tego przepisy prawa bankowego.
Aktem prawnym zawierającym szczegółowe regulacje dotyczące procesu przetwarzania danych osobowych klientów instytucji ustawowo upoważnionych do udzielania kredytów, do których w szczególności należy, SKOK jest przede wszystkim ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe. Biuro Informacji Kredytowej (BIK S.A.) jest instytucją utworzoną na podstawie art. 105 ust. 4 tej ustawy, która służy bankom i innym instytucjom ustawowo upoważnionym do udzielania kredytów (np. SKOK) do gromadzenia, przetwarzania i udostępniania informacji o wierzytelnościach, o obrotach i stanach rachunków bankowych w takim zakresie, w jakim są one niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń.

Źródło: http://www.giodo.gov.pl/1520051/id_art/3356/j/pl/, dostęp: 24.04.2014 r.

154. Czy moje dane osobowe muszą figurować w BIK, po spłacie zaciągniętego przeze mnie kredytu?

Nie, o ile kredyt spłacany był terminowo.
Instytucje utworzone na podstawie art. 105 ust. 4 (m.in. BIK) oraz banki i inne instytucje upoważnione do udzielania kredytów mogą przetwarzać informacje stanowiące tajemnicę bankową w zakresie dotyczącym osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej przez tę osobę z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, pod warunkiem uzyskania jej pisemnej na to zgody. Taka zgoda może być w każdym czasie odwołana (art. 105a ust. 2 ustawy Prawo bankowe). Bez zgody osoby, której informacje dotyczą, banki lub inne instytucje finansowe ustawowo upoważnione do udzielania kredytów mogą je przetwarzać po wygaśnięciu zobowiązania wynikającego z zawartej z nimi umowy, jeśli spełnione są łącznie następujące warunki: osoba (strona umowy) nie wykonała zobowiązania lub dopuściła się zwłoki, dłużej niż 60 dni, w spełnieniu świadczenia wynikającego z zawartej umowy, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania jej o zamiarze przetwarzania (czyli np. przekazania) dotyczących jej informacji stanowiących tajemnicę bankową bez jej zgody (art. 105a ust. 3 ustawy Prawo bankowe).

Źródło: http://www.giodo.gov.pl/1520051/id_art/3379/j/pl/, dostęp: 24.04.2014 r.

155. Czy sklepy internetowe sprzedające alkohol mają prawo weryfikować pełnoletniość osoby kupującej? Jeżeli tak to, czy mogą w tym celu zażądać podania np. numeru PESEL?

Tak, sklepy internetowe mają obowiązek weryfikować pełnoletniość osoby kupującej alkohol. Jednym ze sposobów takiej weryfikacji może być żądanie podania np. numeru PESEL. Tym nie mniej ocena tego, czy podanie przez osobę kupującą alkohol numeru PESEL, bez zweryfikowania, czy jest to rzeczywiście numer przypisany danemu klientowi jest wystarczająca podlega ocenie właściciela sklepu.
Przetwarzanie danych osobowych na potrzeby sprzedaży alkoholu przez Internet należy rozpatrywać w szczególności na postawie ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną. Jej art. 18 ust. 1 stanowi, że usługodawca może przetwarzać dane osobowe usługobiorcy niezbędne do nawiązania, ukształtowania treści, zmiany lub rozwiązania stosunku prawnego. Wśród danych, których usługodawca może zażądać, prócz np. imienia i nazwiska usługobiorcy, jest również numer ewidencyjny PESEL (pkt 2).
Biorąc powyższe pod uwagę stwierdzić należy, że sklepy internetowe, tak jak każdy inny podmiot sprzedający alkohol mają obowiązek, sprawdzić, czy osoba go kupująca (zamawiająca) ukończyła 18 lat. Jednak sposób, w jaki to sprawdza jest kwestią wyboru danego sklepu. Zadaniem GIODO nie jest ocena, czy sam fakt zadeklarowania przez klienta, że dany numer PESEL jest mu przypisany, jest wystarczająca dla spełnienia przez sprzedającego obowiązków wynikających z ustawy o wychowaniu w trzeźwości i przeciwdziałaniu alkoholizmowi. Nie ma jednak wątpliwości, że jeśli sprzedający uzna za konieczne podanie takiej danej, to może on żądać tego od klienta.

Źródło: http://www.giodo.gov.pl/335/id_art/3781/j/pl//, dostęp: 24.04.2014 r.

156. Czy na ustną prośbę głównego lokatora i właściciela nieruchomości Referat Meldunkowy Urzędu Miejskiego powinien udostępnić dane osobowe osób zameldowanych w tej nieruchomości?

W celu uzyskania informacji o osobach zameldowanych pod danym adresem, należy wystąpić ze stosownej treści wnioskiem do właściwych organów gminy lub do Centralnego Biura Adresowego.
Zgodnie z art. 44h ust. 2 pkt 2 ustawy o ewidencji ludności i dowodach osobistych, dane ze zbiorów meldunkowych, zbioru PESEL oraz ewidencji wydanych i unieważnionych dowodów osobistych mogą być udostępnione osobom i jednostkom organizacyjnym - o ile wykażą w tym interes prawny, zaś stosownie do brzmienia jego pkt 4 również "innym osobom i podmiotom - jeżeli uwiarygodnią one interes faktyczny w otrzymaniu danych i za zgodą osób, których dane dotyczą".

Źródło: http://www.giodo.gov.pl/335/id_art/3487/j/pl/, dostęp: 24.04.2014 r.

157. Czy można zwrócić się do GIODO o udostępnienie danych ze zbiorów meldunkowych, zbioru PESEL, ewidencji wydanych i utraconych dowodów osobistych?

Nie, ponieważ Generalny Inspektor Ochrony Danych Osobowych nie dysponuje danymi zawartymi w tych zbiorach, ani nie jest organem powołanym do ich tworzenia i prowadzenia.
Udostępnianie danych ze zbiorów PESEL, zbiorów meldunkowych, ewidencji wydanych i utraconych dowodów osobistych uregulowane jest w rozdziale 8b ustawy z dnia 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych. Zgodnie z brzmieniem art. 44i ust. 1 oraz art. 44i ust. 3 ustawy organami upoważnionymi do udostępniania informacjo ze wskazanych wyżej zbiorów są odpowiednio gminy (dane ze zbiorów meldunkowych oraz ewidencji wydanych i unieważnionych dowodów osobistych) oraz minister właściwy do spraw wewnętrznych (dane ze zbioru PESEL oraz ogólnokrajowej ewidencji wydanych i unieważnionych dowodów osobistych).

Źródło: http://www.giodo.gov.pl/335/id_art/2762/j/pl/, dostęp: 24.04.2014 r.

158. Czy z ewidencji ludności można udostępnić cały zbiór danych osobowych, czy tylko konkretne - pojedyncze - dane osobowe? Czy dane zawarte w zbiorach tworzonych na podstawie ustawy o ewidencji ludności i dowodach osobistych można przekazywać metodą teletransmisji?

Udostępnianie danych osobowych możliwe jest wyłącznie po spełnieniu określonej przesłanki. Powinna ona zaistnieć w odniesieniu do każdej danej osobowej, która podlega określonej formie przetwarzania.
Ustawa nie daje zatem bezpośrednio odpowiedzi na pytanie o "ilość" danych podlegających udostępnieniu. Istotne jest bowiem, aby każde udostępnienie danych znalazło swoją podstawę prawną. Jeśli podstawa taka istnieje w odniesieniu do większej "ilości" danych osobowych - nie ma przeszkód, aby je udostępnić. Należy jednak podkreślić, że obowiązek wykazania, iż taka podstawa istnieje, ciąży na podmiocie występującym o udostępnienie.


Źródło: http://www.giodo.gov.pl/335/id_art/986/j/pl/, dostęp: 24.04.2014 r.

159. Czy w sprawie udostępniania danych osobowych z ewidencji gruntów i budynków organem właściwym jest Generalny Inspektor Ochrony Danych Osobowych?

Nie, gdyż organem właściwym w sprawie udostępniania danych z ewidencji gruntów i budynków jest starosta.
Jak wynika z § 53 ust. 1 w zw. z § 44 pkt 5 omawianego rozporządzenia, starosta wykonujący zadania związane z prowadzeniem ewidencji jest obowiązany do przestrzegania przepisów o ochronie danych osobowych. Ma chronić dane zawarte w ewidencji przed ich utratą, zniszczeniem, niepożądaną modyfikacją, nieuprawnionym do nich dostępem i ujawnieniem. Natomiast do innych zadań związanych z prowadzeniem ewidencji przez starostę, m.in. do ich udostępniania (o czym stanowi (§ 44 pkt 4 rozporządzenia), przepisy ustawy o ochronie danych osobowych nie zostały wymienione, a zatem nie znajdują one zastosowania. Stanowisko to podzielił także Wojewódzki Sąd Administracyjny w Warszawie z dnia 18 maja 2005 r. wydanym w sprawie o sygnaturze akt: II SA/Wa 1987/2004, stwierdzając, iż: „Generalny Inspektor Ochrony Danych Osobowych nie jest uprawniony do rozstrzygania spraw z zakresu udostępniania danych osobowych z ewidencji gruntów i budynków prowadzonej przez starostę”.

Źródło: http://www.giodo.gov.pl/337/j/pl/, dostęp: 24.04.2014 r.

160. Czy zgodne z ustawą o ochronie danych osobowych jest zamieszczanie w BIP-ie danych osobowych kandydatów do pracy na stanowiska samorządowe?

Tak, ponieważ, zgodnie z ustawą o pracownikach samorządowych, informacje o kandydatach, którzy zgłosili się do naboru, stanowią informację publiczną.
Art. 13 ust. 4 ustawy z dnia 21 listopada 2008 r. o pracownikach samorządowych, stwierdza, że informacje o kandydatach, którzy zgłosili się do naboru, stanowią informację publiczną w zakresie objętym wymaganiami związanymi ze stanowiskiem określonym w ogłoszeniu o naborze.

Źródło: http://www.giodo.gov.pl/338/id_art/3114/j/pl/, dostęp: 24.04.2014 r.

161. Czy publikowanie na stronach Biuletynu Informacji Publicznej uchwał zawierających orzeczenia, w których znajdują się dane osobowe osób fizycznych, jest zgodne z prawem?

Nie, bowiem byłoby to niezgodne z ustawą o dostępie do informacji publicznej, która w tym przypadku ma zastosowanie.
Ust. 2 ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej stanowi, iż prawo do informacji publicznej podlega ograniczeniu ze względu na prywatność osoby fizycznej lub tajemnicę przedsiębiorcy. W tym miejscu należy zwrócić uwagę na art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych, który stanowi, iż administrator danych przetwarzając dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane. Oznacza to , że „swym rodzajem i swą treścią dane nie powinny wykraczać poza potrzeby wynikające z celu ich zbierania”.

Źródło: http://www.giodo.gov.pl/338/id_art/3113/j/pl/, dostęp: 24.04.2014 r.

162. Czy zgodne z ustawą o ochronie danych osobowych jest sporządzanie list z danymi osobowymi osób uprawnionych do głosowania w wyborach do rady powiatowej izby rolniczej?

Tak, gdyż tworzenie takich list przez urząd gminy odbywa się na podstawie przepisów prawa, a zatem na podstawie jednej z przesłanek do legalnego przetwarzania danych osobowych.
Zgodnie z brzmieniem ust. 2 i 3 ustawy o izbach rolniczych, spis uprawnionych do udziału w głosowaniu, o których mowa w art. 3 ust. 3, sporządza się w urzędzie gminy. Sporządzanie spisu jest zadaniem zleconym gminie. Spis uprawnionych do udziału w głosowaniu udostępniany jest do wglądu w siedzibie urzędu gminy najpóźniej w 14 – tym dniu przed dniem wyborów. Każdy może wnieść zażalenie w sprawie nieprawidłowości spisu. Szczegółowe zasady i tryb przeprowadzania wyborów do walnego zgromadzenia, w tym do rady powiatowej izby, określa, w drodze uchwały, Krajowa Rada Izb Rolniczych (art. 32).

Źródło: http://www.giodo.gov.pl/338/id_art/1938/j/pl/, dostęp: 24.04.2014 r.

163. Czy obowiązek złożenia przez osoby wskazane w ustawie z dnia 5 czerwca 1998 r. o samorządzie województwa oświadczenia majątkowego wraz z kopią zeznania o wysokości osiągniętego dochodu (PIT), w sytuacji, gdy opodatkowaniu podlegały łącznie dochody obojga małżonków, a powyższy obowiązek spoczywa jedynie na jednym z nich, nie narusza przepisów ustawy o ochronie danych osobowych?

Nie, gdyż przepisy prawa nakazują, aby składane przez zobowiązane osoby oświadczenia majątkowe obejmowały nie tylko ich majątek odrębny, ale także majątek objęty małżeńską wspólnością majątkową.
Na podstawie art. 27c ust. 1 ustawy o samorządzie województwa, radny, członek zarządu województwa, skarbnik województwa, kierownik wojewódzkiej samorządowej jednostki organizacyjnej, osoba zarządzająca i członek organu zarządzającego wojewódzką osobą prawną oraz osoba wydająca decyzje administracyjne w imieniu marszałka województwa są obowiązani do złożenia oświadczenia o swoim stanie majątkowym, zwanego dalej "oświadczeniem majątkowym". Oświadczenie majątkowe dotyczy ich majątku odrębnego oraz majątku objętego małżeńską wspólnością majątkową.

Źródło: http://www.giodo.gov.pl/338/id_art/1724/j/pl/, dostęp: 24.04.2014 r.

164. Czy dane reprezentantów Skarbu Państwa zasiadających w radach nadzorczych spółek prawa handlowego na podstawie rekomendacji Ministerstwa Skarbu Państwa podlegają ochronie przewidzianej w ustawie o ochronie danych osobowych?


Nie, gdyż dane takich osób stanowią informację publiczną.
Zamieszczanie w Biuletynie Informacji Publicznej na stronach Ministerstwa Skarbu Państwa danych osobowych reprezentantów Skarbu Państwa zasiadających w radach nadzorczych spółek prawa handlowego na podstawie rekomendacji tego resortu znajduje zatem oparcie w przepisach prawa, a co za tym idzie – zachodzi przesłanka określona w art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, legalizująca upublicznienie danych, które jest jedną z form ich przetwarzania.

Źródło: http://www.giodo.gov.pl/338/id_art/1713/j/pl/, dostęp: 24.04.2014 r.

165. Czy mieszkańcy mają prawo do rejestrowania dźwięku lub obrazu podczas posiedzeń kolegialnych organów władzy publicznej?

Tak, gdyż posiedzenia kolegialnych organów władzy publicznej są jawne, więc możliwość ich rejestrowania wynika z tej jawności.
Zgodnie z art. 18 ust. 1 ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej posiedzenia kolegialnych organów władzy publicznej pochodzących z powszechnych wyborów są jawne i dostępne. Organy, o których mowa w ust. 1 i 2, są obowiązane zapewnić lokalowe lub techniczne środki umożliwiające wykonywanie prawa, o którym mowa w art. 3 ust. 1 pkt 3. W miarę potrzeby zapewnia się transmisję audiowizualną lub teleinformatyczną z posiedzeń organów, o których mowa w ust. 1. Ograniczenie dostępu do posiedzeń organów, o których mowa w ust. 1 i 2, z przyczyn lokalowych lub technicznych nie może prowadzić do nieuzasadnionego zapewnienia dostępu tylko wybranym podmiotom (art. 18 ust. 3 i 4 ww. ustawy).

Źródło: http://www.giodo.gov.pl/338/id_art/991/j/pl/, dostęp: 24.04.2014 r.

166. Czy radny jest zobowiązany do składania staroście oświadczenia o swoim stanie majątkowym?

Tak, gdyż zobowiązują go do tego przepisy ustawy o samorządzie powiatowym.
Obowiązek składania oświadczeń majątkowych przez funkcjonariuszy samorządu powiatowego jest uregulowany w przepisach ustawy z dnia 5 czerwca 1998 r. o samorządzie powiatowym. Zgodnie z art. 25c ust. 1 powołanej ustawy, radny, członek zarządu powiatu, sekretarz powiatu, skarbnik powiatu, kierownik jednostki organizacyjnej powiatu, osoba zarządzająca i członek organu zarządzającego powiatową osobą prawną oraz osoba wydająca decyzje administracyjne w imieniu starosty są obowiązani do złożenia oświadczenia o swoim stanie majątkowym, zwanego dalej "oświadczeniem majątkowym." Oświadczenie majątkowe dotyczy ich majątku odrębnego oraz majątku objętego małżeńską wspólnością majątkową.

Źródło: http://www.giodo.gov.pl/338/id_art/990/j/pl/, dostęp: 24.04.2014 r.

167. Czy poseł nie narusza przepisów ustawy o ochronie danych osobowych ujawniając w oświadczeniu majątkowym - zgodnie z obowiązkiem wynikającym z ustawy o wykonywaniu mandatu posła i senatora - dane personalne osoby fizycznej, która udzieliła mu pożyczki?

Nie, gdyż zobowiązują go do tego przepisy ustawy z dnia 9 maja 1996 r. o wykonywaniu mandatu posła i senatora.
W myśl przepisów ustawy z dnia 9 maja 1996 r. o wykonywaniu mandatu posła i senatora oświadczenie o stanie majątkowym, do złożenia którego obowiązani są posłowie i senatorowie, zawiera informację m.in. o zobowiązaniach pieniężnych o wartości powyżej 10 000 złotych, w tym zaciągniętych kredytach i pożyczkach oraz warunkach, na jakich zostały udzielone (art. 35 ust. 1 pkt 4). Zgodnie z treścią pkt XI formularza oświadczenia o stanie majątkowym, stanowiącego załącznik do ustawy o wykonywaniu mandatu posła i senatora, w oświadczeniu o stanie majątkowym poseł lub senator jest zobowiązany wskazać "zobowiązania pieniężne o wartości powyżej 10 000 złotych, w tym zaciągnięte kredyty i pożyczki oraz warunki na jakich zostały udzielone (wobec kogo, w związku z jakim zdarzeniem, w jakiej wysokości)".
Powołane przepisy nakazują posłom i senatorom ujawnienie informacji o zobowiązaniach pieniężnych o wartości powyżej 10 000 złotych, w tym o zaciągniętych kredytach i pożyczkach oraz warunkach, na jakich zostały udzielone, tj. między innymi informacji o podmiocie udzielającym kredytu lub pożyczki. Oznacza to, iż dane każdego podmiotu, np. instytucji finansowej czy też osoby fizycznej, udzielającego osobie pełniącej funkcje publiczne pożyczki lub kredytu, podlegają ujawnieniu w oświadczeniu o stanie majątkowym posła lub senatora.

Źródło: http://www.giodo.gov.pl/338/id_art/972/j/pl/, dostęp: 24.04.2014 r.

168. Czy emitent papierów wartościowych dopuszczonych do obrotu na rynku oficjalnych notowań giełdowych może podać do wiadomości publicznej dane osoby, przeciwko której wszczął postępowanie sądowe?

Tak, gdyż przepisy prawa zobowiązują go nie tylko do przekazywania informacji o wszczęciu postępowania dotyczącego zobowiązań lub wierzytelności emitenta bądź jednostki od niego zależnej, których wartość stanowi odpowiednio co najmniej 10 % kapitałów własnych emitenta, ale także do oznaczenia stron takiego postępowania.
Jeżeli z przepisów prawa wynika, że spółka emitująca papiery wartościowe dopuszczone do obrotu na rynku oficjalnych notowań giełdowych ma obowiązek podać do wiadomości publicznej dane osoby, przeciwko której wszczęła postępowanie sądowe, to działanie to z punktu widzenia ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych jest legalne. Istnienie szczególnego przepisu prawa zezwalającego na przetwarzanie (np. udostępnianie) danych osobowych jest bowiem jedną z podstaw uprawniających do przetwarzania danych osobowych, która wskazana została w art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych.

Źródło: http://www.giodo.gov.pl/338/id_art/3842/j/pl/, dostęp: 24.04.2014 r.

169. Czy Generalny Inspektor Ochrony Danych Osobowych może kontrolować zbiory danych osobowych prowadzone przez Kościół, zawierające dane osobowe członków Kościoła?

Nie, gdyż ustawa o ochronie danych osobowych ogranicza uprawnienia Generalnego Inspektora Ochrony Danych Osobowych w stosunku do takich zbiorów.
Stosownie do art. 27 ust. 2 pkt 4 ustawy o ochronie danych osobowych, przetwarzanie (a więc zbieranie i przechowywanie) danych szczególnie chronionych (m.in. danych o przekonaniach religijnych, przynależności wyznaniowej) jest dopuszczalne jeżeli jest to niezbędne m.in. do wykonywania statutowych zadań kościołów i innych związków wyznaniowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych.
Na podstawie art. 43 ust. 2 w odniesieniu do zbiorów dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub innego związku wyznaniowego, Generalnemu Inspektorowi nie przysługują uprawnienia do ich kontroli, wydawania decyzji administracyjnych oraz rozpatrywania skarg.

Źródło: http://www.giodo.gov.pl/392/id_art/1715/j/pl/, dostęp: 24.04.2014 r.

170. Czy Kościół i inne związki wyznaniowe są zobowiązane do przestrzegania przepisów ustawy o ochronie danych osobowych?


Tak, ale są pewne ograniczenia w stosowaniu przepisów ustawy o ochronie danych osobowych do takich podmiotów.
Kościół i inne związki wyznaniowe zobowiązane są do przestrzegania przepisów o ochronie danych osobowych. Fakt, że podmioty te korzystają w Polsce z niezależności, a przepisy prawa gwarantują im możliwość posługiwania się wewnętrznie ustalonym prawem ogranicza jednak zastosowanie w pewnych sferach ich działalności ogólnie obowiązujących zasad. Stąd też pewne wyjątkowe uregulowania dotyczące tych podmiotów. Np. art. 43 ust. 2 ustawy o ochronie danych osobowych, przewiduje, że w odniesieniu do zbiorów danych członków kościoła lub innego związku wyznaniowego o uregulowanej sytuacji prawnej Generalny Inspektor Ochrony Danych Osobowych nie może wydawać decyzji administracyjnych i rozpatrywać skarg w sprawach wykonania przepisów o ochronie danych osobowych (art. 12 pkt 2), przeprowadzać czynności kontrolnych wskazanych w przepisach art. 14 pkt 1, pkt 3 – 5 oraz korzystać z kompetencji określonych w art. 15 – 18 tej ustawy. Z treści art. 43 ust. 1 pkt 3 ustawy o ochronie danych osobowych wynika natomiast, że zbiory danych dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego nie podlegają zgłoszeniu do rejestracji u GIODO

Źródło: http://www.giodo.gov.pl/392/id_art/1734/j/pl/, dostęp: 24.04.2014 r.

171. Czy przetwarzanie danych osobowych przez kościoły i związki wyznaniowe jest dopuszczalne w świetle przepisów ustawy o ochronie danych osobowych?

Tak, gdyż kościoły i związki wyznaniowe przetwarzają dane osobowe swoich członków w oparciu o szczególne przepisy prawa, a to spełnia przesłankę dopuszczalności przetwarzania danych z ustawy o ochronie danych osobowych.
Ustawa o ochronie danych osobowych wymaga, aby każdy podmiot gromadzący dane spełnił jeden z warunków uprawniających go do ich wykorzystywania. W odniesieniu do danych zwykłych, takich jak np.: imię i nazwisko lub adres, warunki te wymienione są w art. 23 ust. 1 ustawy. Wykorzystywanie danych wyliczonych w art. 27 ust. 1 ustawy, do których zalicza się m.in. te ujawniające przekonania religijne lub przynależność wyznaniową, jest natomiast zabronione, chyba że zachodzi jedna z dziesięciu wyjątkowych sytuacji opisanych w ust. 2 tego artykułu. Jest to m.in. przypadek, gdy zezwala się na wykorzystywanie danych objętych szczególną ochroną, jeśli jest to niezbędne do wykonywania statutowych zadań kościołów i innych związków wyznaniowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych kościołów lub związków albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych (art. 27 ust. 1 pkt 4 ustawy o ochronie danych osobowych).

Źródło: http://www.giodo.gov.pl/392/id_art/1736/j/pl/, dostęp: 24.04.2014 r.

172. Czy parafianin ma prawo żądać uzupełnienia danych niekompletnych lub sprostowania danych nieaktualnych zawartych w dokumentacji parafialnej?

W przypadku gdy w dokumentach przechowywane są informacje dotyczące np. nieaktualnego adresu zamieszkania, nazwiska lub numeru telefonu to administrator danych, np. proboszcz, ma obowiązek ich sprostowania (art. 35 ust. 1 ustawy o ochronie danych osobowych), jak również obowiązek uzupełnienia danych niekompletnych.

Źródło: http://www.giodo.gov.pl/392/id_art/3119/j/pl/, dostęp: 24.04.2014 r.

173. Czy można mieć wgląd do informacji o zmarłych parafianach zawartych w dokumentacji parafialnej?

Ustawa o ochronie danych osobowych ma zastosowanie wyłącznie do osób żyjących, co oznacza, że kwestia legalności udostępniania informacji o osobach zmarłych nie może być oceniana na gruncie jej przepisów. Należy jednak pamiętać, że brak zastosowania przepisów ustawy o ochronie danych osobowych nie zwalnia podmiotów przetwarzających dane takich osób z obowiązku poszanowania godności osoby zmarłej i jej rodziny.

Źródło: http://www.giodo.gov.pl/392/id_art/3120/j/pl/, dostęp: 24.04.2014 r.

174. Czy Kościół może wykorzystywać dane osobowe swoich członków bez uprzednio wyrażonej przez nich zgody?

Zgoda nie jest jedyną przesłanką uprawniającą do przetwarzania danych osobowych. Nie jest konieczna, jeśli zachodzi inna przesłanka ustawowa np. gdy jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są gwarancje ochrony przetwarzanych danych.

Źródło: http://www.giodo.gov.pl/392/id_art/3121/j/pl/, dostęp: 24.04.2014 r.

175. Czy osobie, która zamierza wystąpić z Kościoła, przysługuje prawo żądania usunięcia danych osobowych z ksiąg kościelnych?

Nie przysługuje, gdyż zasady archiwizowania informacji zawartych w księgach kościelnych wynikają z innych niż ustawa o ochronie danych osobowych regulacji, a mianowicie z przepisów Kodeksu Prawa Kanonicznego (kan. 535 Kodeksu Prawa Kanonicznego), który wskazuje na konieczność stałego przechowywania informacji związanych z działalnością Kościoła i ich odpowiedniego zabezpieczenia. Fakt wystąpienia z Kościoła jest odnotowywany w księdze chrztów. W zakresie nieuregulowanym przepisami wyżej wskazanego kodeksu zastosowanie znajdą zasady wynikające z ustawy o ochronie danych osobowych – np. prawo do aktualizacji danych i ich poprawiania (art. 35 ust. 1).

Źródło: http://www.giodo.gov.pl/392/id_art/3124/j/pl/, dostęp: 24.04.2014 r.

176. Jakie są podstawy prawne wyłączenia Generalnego Inspektora Ochrony Danych Osobowych ze sprawowania pełnego nadzoru nad przetwarzaniem danych osobowych w zbiorach prowadzonych przez Kościół?


Generalnemu Inspektorowi Ochrony Danych Osobowych nie przysługują uprawnienia w postaci wydawania decyzji administracyjnych, przeprowadzania czynności kontrolnych, wglądu do dokumentów oraz wstępu do pomieszczeń, w których przetwarzane są przez Kościół dane osobowe w odniesieniu do zbiorów dotyczących osób należących do Kościoła i przetwarzanych na jego potrzeby, natomiast Generalny Inspektor Ochrony Danych Osobowych może występować w takich sprawach o wyjaśnienia, sygnalizować nieprawidłowości, ewentualnie zawiadamiać o popełnieniu przestępstwa (art. 43 ust. 2 ustawy).

Źródło: http://www.giodo.gov.pl/392/id_art/3125/j/pl/, dostęp: 24.04.2014 r.

177. Czy Kościół ma prawo zbierać i gromadzić dane osób niewierzących zamieszkujących daną parafię?

Kościół ma prawo zbierać i gromadzić dane o przynależności wyznaniowej osób nienależących do Kościoła wyłącznie za ich pisemną zgodą i po poinformowaniu o celu takiego przetwarzania (art. 27 ust. 2 pkt 1 ustawy). Zbieranie danych zwykłych powinno również odbywać się w oparciu o zgodę tych osób (art. 23 ust. 1 pkt 1 ustawy), przy czym, choć ustawa tego nie wymaga, dla celów dowodowych uzasadnione byłoby pozyskiwanie zgody w formie pisemnej.
Klauzula zgody powinna zawierać oznaczenie na jaki cel i komu jest wyrażana. Obowiązek informacyjny zostanie natomiast prawidłowo wykonany, gdy administrator danych (np. kościelna osoba prawna) poinformuje osobę niewierzącą, której dane są pozyskiwane o celu zbierania danych, prawie dostępu do treści danych i ich poprawiania, dobrowolności albo obowiązku podania danych, ew. podstawie prawnej takiego obowiązku.

Źródło: http://www.giodo.gov.pl/392/id_art/3128/j/pl/, dostęp: 24.04.2014 r.

178. Jaka jest podstawowa przesłanka upoważniająca Kościół Katolicki do przetwarzania danych osobowych jego wiernych?

Przetwarzanie danych zwykłych (np. imię, nazwisko, adres zamieszkania) jest dopuszczane na podstawie jednej z przesłanek określonych w art. 23 ust. 1 ustawy. Natomiast przetwarzanie danych osobowych szczególnie chronionych, w tym ujawniających przekonania religijne, odbywa się w oparciu o art. 27 ust. 2 pkt 4 ustawy o ochronie danych osobowych, gdy jest to niezbędne do wykonania statutowych zadań Kościoła, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach religijnych pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych osobowych.
W związku z zarządzaniem i administrowaniem sprawami Kościoła przetwarzanie danych osobowych osób należących do danego Kościoła jest niezbędne do realizacji jego zadań, o czym stanowi również kan. 535 Kodeksu Prawa Kanonicznego.

Źródło: http://www.giodo.gov.pl/392/id_art/3129/j/pl/, dostęp: 24.04.2014 r.

179. Czy do działalności Kościoła Katolickiego mają zastosowanie przepisy ustawy o ochronie danych osobowych?

Ustawa o ochronie danych osobowych znajduje zastosowanie do przetwarzania danych na potrzeby Kościoła i instytucji działających w jego obrębie, przy czym w mniejszym zakresie znajduje zastosowanie do przetwarzania danych wyłącznie członków Kościoła (np. takie zbiory nie podlegają zgłoszeniu do rejestracji, ani kontroli Generalnego Inspektora Ochrony Danych Osobowych). Powyższe nie stoi w sprzeczności z odrębnymi regulacjami zawartymi w prawie kanonicznym i Konkordacie.

Źródło: http://www.giodo.gov.pl/392/id_art/3132/j/pl/, dostęp: 24.04.2014 r.

180. Czy podmiot przeprowadzający badania marketingowe, może pozyskiwać i przechowywać numery telefonów respondentów, aby następnie móc się z nimi skontaktować w celu skontrolowania pracy ankieterów?


Tak, ale tylko za zgodą respondenta i pod warunkiem dopełnienia przez podmiot przeprowadzający badania marketingowe obowiązku informacyjnego z ustawy
o ochronie danych osobowych wobec każdej osoby, której dane przetwarza.
Oprócz posiadania podstawy prawnej do przetwarzania danych osobowych administrator danych pozyskujący dane bezpośrednio od osób, których one dotyczą, ma spełnić obowiązek informacyjny, o którym stanowi art. 24 ustawy o ochronie danych osobowych. Musi zatem poinformować o adresie swojej siedziby i pełnej nazwie; o celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych; prawie dostępu do treści danych oraz ich poprawiania; dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
Oprócz posiadania podstawy prawnej do przetwarzania danych osobowych administrator danych pozyskujący dane bezpośrednio od osób, których one dotyczą, ma spełnić obowiązek informacyjny, o którym stanowi art. 24 ustawy o ochronie danych osobowych. Musi zatem poinformować o adresie swojej siedziby i pełnej nazwie; o celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych; prawie dostępu do treści danych oraz ich poprawiania; dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

Źródło: http://www.giodo.gov.pl/1520008/id_art/3629/j/pl/, dostęp: 24.04.2014 r.

181. Czy powiatowy rzecznik konsumentów jest uprawniony do pozyskania od serwisu aukcyjnego pełnych danych adresowych osoby sprzedającej towar w celu ich przekazania osobie, która wystąpiła do rzecznika ze skargą?


Nie, gdyż przepisy dotyczące uprawnień rzecznika konsumentów nie przewidują pośredniczenia w udostępnianiu danych osobowych pomiędzy serwisem aukcyjnym (przedsiębiorcą) a konsumentem, który zwrócił się ze skargą do rzecznika.
Oceniając kwestię uprawnienia rzecznika do pozyskania danych osobowych użytkownika serwisu aukcyjnego należy wziąć pod uwagę przede wszystkim przepisy ustawy z dnia 16 lutego 2007 r. o ochronie konkurencji i konsumentów, które określają właściwość rzecznika i jego uprawnienia.
Wynika z nich, że rzecznik konsumentów ma prawo występować do przedsiębiorców o przekazanie informacji odnośnie realizacji umowy zawartej z osobą składającą do niego skargę. Nie jest natomiast uprawniony do pozyskania od serwisu aukcyjnego (przedsiębiorcy) danych osobowych sprzedającego (osoby fizycznej) w celu skorzystania przez konsumenta z prawa do skutecznego odstąpienia od umowy i zwrot wadliwego towaru. Przekazanie danych osobowych powinno odbywać się zatem w relacji serwis aukcyjny – konsument, bez pośredniczenia w tym rzecznika konsumentów.

Źródło: http://www.giodo.gov.pl/1520008/id_art/3557/j/pl/, dostęp: 05.05.2014 r.

182. Czy firma może przetwarzać dane osobowe swoich klientów w celu promocji produktów lub usług innej firmy?

Tak, o ile pozyskałaby na to ich odrębną zgodę.
Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych przesądza, kiedy firmy mogą przesyłać swoim klientom oferty marketingowe. Mogą to robić bez zgody klienta jeśli w ten sposób promują własne produkty lub usługi. Podstawą wykorzystywania ich danych osobowych będzie bowiem prawnie usprawiedliwiony interes administratora danych (czyli firmy), o którym mowa w art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych.

Źródło: http://www.giodo.gov.pl/1520008/id_art/3511/j/pl/, dostęp: 05.05.2014 r.

183. Czy firma marketingowa, która kupiła bazę danych osobowych od innego podmiotu, powinna powiadomić każdą osobę o tym, że przetwarza jej dane?

Tak, gdyż zobowiązują ją do tego przepisy ustawy o ochronie danych osobowych.
Zgodnie z art. 25 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych w przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o: adresie swojej siedziby i pełnej nazwie (imieniu nazwisku, miejscu zamieszkania – w przypadku gdy administratorem jest osoba fizyczna); celu i zakresie zbierania danych, a w szczególności o tym komu zostały one przekazane; źródle danych; prawie dostępu do treści swoich danych oraz ich poprawiania, a także o uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8.

Źródło: http://www.giodo.gov.pl/1520008/id_art/3355/j/pl/, dostęp: 05.05.2014 r.

184. Czy firma może przetwarzać dane osobowe w celu marketingu własnych produktów i usług, pomimo wniesienia sprzeciwu przez osobę, której dane dotyczą?

Nie, takie działanie jest bezprawne i narusza prawa i wolności osoby, której dane dotyczą.
W przypadku gdy osoba, której dane dotyczą wniesie sprzeciw wobec dalszego przetwarzania danych administrator powinien zaprzestać przetwarzania jej danych. Zgodnie bowiem z art. 32 ust. 3 ustawy o ochronie danych osobowych, w razie wniesienia sprzeciwu dalsze przetwarzanie kwestionowanych danych jest niedopuszczalne.

Źródło: http://www.giodo.gov.pl/1520008/id_art/3249/j/pl/, dostęp: 05.05.2014 r.

185. Czy zgodne z ustawą o ochronie danych osobowych jest ujawnienie na antenie radia, będącego organizatorem konkursu, danych osób w nim uczestniczących?


Tak, jeśli osoba, która brała udział w konkursie wyraziła wcześniej zgodę na ujawnienie swoich danych na antenie radia na potrzeby rozstrzygnięcia konkursu.
Przystępowanie do różnego rodzaju konkursów, organizowanych przez wiele podmiotów,
jest oparte na zasadzie dobrowolności, natomiast, co do zasady, regulamin konkursu powinien określać sposób przetwarzania danych osobowych osób w nim uczestniczących, jak również powinien być tym osobom znany przed przystąpieniem do udziału w konkursie.
Jedyną podstawą na ujawnienie danych osoby-laureta konkursu na antenie radia jest pozyskiwanie od każdej osoby biorącej udział w konkursie zgody na ujawnienie jej danych na antenie, w przypadku gdyby ten konkurs wygrała. Przy czym każda osoba musi wiedzieć, jakie jej dane zostaną ewentualnie upublicznione, jak np. imię i nazwa miejscowości, bądź też imię i nazwisko.

Źródło: http://www.giodo.gov.pl/1520008/id_art/3158/j/pl/, dostęp: 05.05.2014 r.

186. Czy można gromadzić i wykorzystywać dane osobowe w postaci odcisku linii papilarnych palca dla celów marketingowych i promocyjnych?

Nie, gdyż wskazane cele naruszają zasadę adekwatności, o której stanowi art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych.
Wskazany cel nie uzasadnia bowiem przetwarzania takich danych osobowych dlatego, że dane te nie są niezbędne do prowadzenia przez firmę działań marketingowych i promocyjnych w stosunku do klienta – uczestnika owego programu lojalnościowego, a zaniechanie ich przetwarzania nie spowoduje braku możliwości prowadzenia tych czynności. Ponadto, brak wskazania przez administratora danych czasu przechowywania zgromadzonych odcisków linii papilarnych może stanowić zagrożenie dla osób, których one dotyczą.

Źródło: http://www.giodo.gov.pl/1520008/id_art/3057/j/pl/, dostęp: 05.05.2014 r.

187. Czy można wysyłać informacje na adresy e-mail, które znajdują się w posiadanej bazie danych, bez pozyskiwania każdorazowo zgody osób, do których kierowana będzie korespondencja?

Ustawodawca nie określił zamkniętego katalogu informacji stanowiących dane osobowe. Dlatego też przy rozstrzyganiu, czy określona informacja lub informacje stanowią dane osobowe nieuniknione jest w większości przypadków dokonanie zindywidualizowanej oceny, przy uwzględnieniu konkretnych okoliczności oraz rodzaju środków czy metod potrzebnych do identyfikacji osoby.
Elementarnym kryterium ułatwiającym uznanie adresu e-mail za daną osobową będzie w szczególności jego treść (np. zawierająca imię lub skrót imienia i nazwisko). Nie zawsze jednak adres ten prowadzi do identyfikacji osoby fizycznej. Może dotyczyć również podmiotów innych nie będących osobami fizycznymi. Adres poczty elektronicznej należy zatem traktować jako informację, która potencjalnie może być daną osobową, ale z uwzględnieniem wszelkich okoliczności występujących w konkretnym przypadku.
W oparciu o przepisy ustawy o świadczeniu usług drogą elektroniczną, regulującej kwestie dotyczące obowiązków usługodawców związanych ze świadczeniem usług drogą elektroniczną oraz zasady ochrony danych osobowych użytkowników poczty elektronicznej, zakazane jest przesyłanie za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej, niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy (art. 10 ust. 1 ww. ustawy). Informację handlową – w myśl art. 10 ust. 2 ustawy – uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na jej otrzymywanie, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny. Art. 4 ust. 1 powołanej ustawy stanowi zaś, iż jeżeli ustawa wymaga uzyskania zgody usługobiorcy, to zgoda ta nie może być domniemana lub dorozumiana, ponadto może być odwołana w każdym czasie.

Źródło: http://www.giodo.gov.pl/1520008/id_art/2856/j/pl/, dostęp: 05.05.2014 r.

188. Czy uczeń pełnoletni może zastrzec, aby jego oceny, zawarte w dzienniku lekcyjnym, nie były przekazywane jego rodzicom (opiekunom prawnym)?

Nie, gdyż przepisy prawa wyraźnie wskazują, że oceny są jawne dla ucznia i jego rodziców (opiekunów prawnych).
Zgodnie z § 5 ust. 1 rozporządzenia Ministra Edukacji Narodowej z dnia 30 kwietnia 2007 r. w sprawie warunków i sposobu oceniania, klasyfikowania i promowania uczniów i słuchaczy oraz przeprowadzania sprawdzianów i egzaminów w szkołach publicznych, oceny są jawne dla ucznia i jego rodziców (prawnych opiekunów). Ponadto, na wniosek ucznia lub jego rodziców (prawnych opiekunów) sprawdzone i ocenione pisemne prace kontrolne oraz inna dokumentacja dotycząca oceniania ucznia są udostępniane uczniowi lub jego rodzicom (prawnym opiekunom). Przepisy rozporządzenia wskazują, że celem oceniania wewnątrzszkolnego jest dostarczenie rodzicom (prawnym opiekunom) i nauczycielom informacji o postępach, trudnościach w nauce, zachowaniu oraz specjalnych uzdolnieniach ucznia (§ 3 ust. 2 pkt 4 rozporządzenia). Żaden przepis nie przewiduje natomiast instytucji zastrzeżenia przez ucznia udostępniania jego ocen rodzicom (opiekunom prawnym).

Źródło: http://www.giodo.gov.pl/358/id_art/3453/j/pl/, dostęp: 05.05.2014 r.

189. Czy prowadzenie przez szkołę elektronicznych dzienników lekcyjnych (tzw. e-dzienniki) nie narusza prawa do ochrony danych osobowych uczniów?

Nie, gdyż prowadzenie dzienników lekcyjnych, w których zawarte są informacje o uczniach, wynika z przepisów prawa, a forma elektroniczna czy papierowa, jest jedynie kwestią techniczną.
Zgodnie z § 7 ust. 1 rozporządzenia Ministra Edukacji Narodowej i Sportu z dnia 19 lutego 2002 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji, szkoła prowadzi dla każdego oddziału dziennik lekcyjny, w którym dokumentuje się przebieg nauczania w danym roku szkolnym. Do dziennika lekcyjnego wpisuje się w porządku alfabetycznym lub innym ustalonym przez dyrektora szkoły nazwiska i imiona uczniów, daty i miejsca urodzenia oraz adresy ich zamieszkania, imiona i nazwiska rodziców (prawnych opiekunów) i adresy ich zamieszkania, a także tygodniowy plan zajęć edukacyjnych, oznaczenie realizowanych programów nauczania zawartych w szkolnym zestawie programów nauczania dla danego oddziału oraz imiona i nazwiska nauczycieli prowadzących poszczególne zajęcia. W dzienniku lekcyjnym odnotowuje się obecność uczniów na zajęciach edukacyjnych oraz wpisuje się tematy przeprowadzonych zajęć, oceny i zaliczenia uzyskane przez uczniów z poszczególnych zajęć edukacyjnych, oceny zachowania, a także przeprowadzone hospitacje zajęć edukacyjnych. Przeprowadzenie zajęć edukacyjnych nauczyciel potwierdza podpisem (§ 7 ust. 2 i 3 rozporządzenia).

Źródło: http://www.giodo.gov.pl/358/id_art/3452/j/pl/, dostęp: 05.05.2014 r.

190. Czy uczelnia publiczna może gromadzić za pomocą kwestionariuszy osobowych informacje o pracownikach – nauczycielach akademickich – dotyczące ich miejsca urodzenia, narodowości czy adresu meldunkowego?

Nie, gdyż jest to sprzeczne z przepisami prawa pracy.
Zakres danych osobowych, które pracodawca może pozyskać od pracownika oraz osoby ubiegającej się o zatrudnienie, został określony w art. 221 ustawy z dnia 26 czerwca 1974 r. Kodeks pracy. Na tej podstawie, pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania takich danych osobowych, jak: imię (imiona) i nazwisko, imiona rodziców, data urodzenia, miejsce zamieszkania (adres do korespondencji), wykształcenie oraz przebieg dotychczasowego zatrudnienia. Natomiast od pracownika ma prawo dodatkowo żądać podanie również innych danych osobowych (np. jego numeru PESEL), a także imion i nazwisk oraz dat urodzenia dzieci, jeżeli jest to konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy oraz (art. 221 § 2). Ponadto, poza danymi wymienionymi w art. 221 § 1 i 2 Kodeksu pracy, pracodawca ma prawo żądać od pracownika podania tylko tych danych osobowych, których obowiązek podania wynika z odrębnych przepisów prawa (art. 221 § 4).
W związku z powyższym uczelnia publiczna zatrudniająca nauczycieli akademickich, nie ma prawa, jako pracodawca, żądać od swoich pracowników informacji o ich miejscu urodzenia, narodowości czy też o adresie meldunkowym.

Źródło: http://www.giodo.gov.pl/358/id_art/3216/j/pl/, dostęp: 05.05.2014 r.

191. Czy uczelnia może przetwarzać dane osobowe jej absolwentów do celów marketingowych bez uzyskania na to wcześniejszej zgody każdego z nich?


Nie, gdyż tylko wyraźna zgoda każdego absolwenta uprawnia uczelnię do przetwarzania jego danych osobowych w celu marketingu produktów i usług uczelni.
Gdy uczelnia wykorzystuje do celów marketingu własnych produktów lub usług dane osobowe studentów (np. przesyłając im ulotki o prowadzonych przez uczelnię nowych szkoleniach) to działanie takie jest uprawnione na podstawie wspomnianego art. 23 ust. 1 pkt 5 ustawy. Ta przesłanka nie ma natomiast uzasadnienia dla wykorzystywania w tym samym celu danych osobowych jej absolwentów. Jeśli bowiem uczelnia ma zamiar wykorzystywać dane jej absolwentów do marketingu swoich produktów i usług, to musi uzyskać na to zgodę każdego z nich. Po pierwsze bowiem brak jest innej podstawy uprawniającej do takiego działania, a po drugie związane jest to ze zmianą celu przetwarzania danych osobowych. Zgodnie bowiem art. 26 ust. 2 ustawy o ochronie danych osobowych, przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą, oraz następuje w celach badań naukowych, dydaktycznych, historycznych lub statystycznych, a także z zachowaniem przepisów art. 23 i 25, czyli tych dotyczących przesłanek uprawniających do przetwarzania danych osobowych i obowiązku informacyjnego administratora danych.

Źródło: http://www.giodo.gov.pl/358/id_art/3060/j/pl/, dostęp: 05.05.2014 r.

192. Czy zgodne z ustawą o ochronie danych osobowych jest gromadzenie takich danych o nauczycielach jak ich imię, nazwisko czy adres zamieszkania w zbiorze danych o nauczycielach utworzonym na podstawie ustawy o systemie informacji oświatowej?


Gromadzenie takich danych osobowych o nauczycielach przez podmioty prowadzące bazy danych oświatowych odbywa się w oparciu o przepisy prawa i tym samym jest spełniona podstawa do przetwarzania danych z ustawy o ochronie danych osobowych.
Zakres danych o nauczycielach, wychowawcach i innych pracownikach pedagogicznych gromadzonych w związku z utworzeniem systemu informacji oświatowej określa art. 3 ust. 4 pkt 1 ustawy z dnia 19 lutego 2004 r. o systemie informacji oświatowej Zgodnie z tym przepisem, zbiór danych o nauczycielach, wychowawcach i innych pracownikach pedagogicznych zawiera następujące informacje: numer PESEL, płeć, rok urodzenia, formę i wymiar zatrudnienia, stopień awansu zawodowego, wykształcenie, przygotowanie pedagogiczne, a także informacje o formie kształcenia i doskonalenia, sprawowanych funkcjach i zajmowanych stanowiskach, rodzajach prowadzonych zajęć albo przyczynach nie prowadzenia zajęć, stażu pracy, wysokości wynagrodzenia, z wyszczególnieniem jego składników, wysokości dodatków, o których mowa w art. 54 ust. 3 i 5 ustawy z dnia 26 stycznia 1982 r. – Karta Nauczyciela.

Źródło: http://www.giodo.gov.pl/358/id_art/1220/j/pl/, dostęp: 05.05.2014 r.

193. Czy Generalny Inspektor Ochrony Danych Osobowych może określić formę upoważnienia do udostępniania dokumentacji medycznej?

Nie, gdyż okoliczność, że dokumentacja medyczna zawiera dane osobowe pacjenta nie przesądza o właściwości organu do spraw ochrony danych osobowych w powyższym zakresie.
Zarówno przepisy ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta, jak
i rozporządzenia Ministra Zdrowia z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania, nie określają szczegółowej formy upoważnienia do uzyskania dokumentacji medycznej. Rozporządzenie wskazuje jedynie, że w dokumentacji indywidualnej wewnętrznej zamieszcza się lub dołącza do niej m.in.:
- oświadczenie pacjenta o upoważnieniu osoby bliskiej do uzyskiwania informacji o jego stanie zdrowia i udzielonych świadczeniach zdrowotnych, ze wskazaniem imienia i nazwiska osoby upoważnionej oraz danych umożliwiających kontakt z tą osobą, albo oświadczenie o braku takiego upoważnienia,
- oświadczenie pacjenta o upoważnieniu osoby bliskiej do uzyskiwania dokumentacji, ze wskazaniem imienia i nazwiska osoby upoważnionej, albo oświadczenie o braku takiego upoważnienia.
Osoba, której dokumentacja dotyczy, chcąca upoważnić inną osobę do udostępnienia jej tejże dokumentacji medycznej może uczynić to stosownie do zasad wynikających z ogólnych przepisów o pełnomocnictwie, określonych w art. 98 i następne ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny.

Źródło: http://www.giodo.gov.pl/342/id_art/3782/j/pl/, dostęp: 05.05.2014 r.

194. Jak długo NFZ może udostępniać na stronie internetowej Biuletynu Informacji Publicznej informacje o wynikach naboru na określone stanowisko, w tym dane osób biorących udział w rekrutacji?

Żaden przepis prawa tego wprost nie reguluje, dlatego należy kierować się ogólnymi zasadami udostępniania danych osobowych z ustawy o ochronie danych osobowych, z których wynika, że ustanie celu w jakim dane są przetwarzane kształtuje okres, od którego nie powinny być one udostępnianie.
Dla realizacji celu jakim jest upublicznienie wyników postępowania rekrutacyjnego prowadzonego przez NFZ, niezbędne jest przekazanie informacji o wyniku naboru tj. podanie danych osoby zatrudnionej na wakujące stanowisko. Za moment osiągnięcia powyższego celu można uznać ustanie stosunku pracy z osobą wybraną w postępowaniu rekrutacyjnym. Od tego momentu dane nie powinny być udostępnione.
Wobec powyższego udostępnianie/upublicznianie danych osobowych w Biuletynie Informacji Publicznej dla realizacji obowiązku wynikającego z przepisów prawa powinno odbywać się przy uwzględnieniu ww. zasady adekwatności przetwarzania danych osobowych.

Źródło: http://www.giodo.gov.pl/342/id_art/3490/j/pl/, dostęp: 05.05.2014 r.

195. Czy Narodowy Fundusz Zdrowia ma prawo przetwarzać dane osobowe świadczeniobiorcy i świadczeniodawcy?

Tak, NFZ może przetwarzać dane osobowe świadczeniodawcy i świadczeniobiorcy ponieważ zezwalają na to przepisy ustawy o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych.
Narodowy Fundusz Zdrowia działając na podstawie przepisów ustawy z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych, jest uprawniony do przetwarzania danych osobowych wskazanych w tej ustawie podmiotów (m.in. lekarzy – świadczeniodawców i pacjentów - świadczeniobiorców). Przetwarzanie przez NFZ tych danych ma na celu m.in. kontrolę przestrzegania zasad legalności, gospodarności, rzetelności i celowości udzielania świadczeń zdrowotnych.
Zgodnie z art. 188 b ww. ustawy w celu realizacji zadań określonych w ustawie NFZ jest uprawniony do przetwarzania danych osobowych osób udzielających świadczeń (np. lekarza) na podstawie umów o udzielanie świadczeń opieki zdrowotnej obejmujący między innymi nazwisko i imię, numer prawa wykonywania zawodu.

Źródło: http://www.giodo.gov.pl/342/id_art/3423/j/pl/, dostęp: 05.05.2014 r.

196. Czy Narodowy Fundusz Zdrowia może za pomocą rozsyłanej do pacjentów ankiety, pozyskiwać ich dane osobowe?

Tak, ponieważ zezwalają na to przepisy prawa.
Zgodnie z art. 188 ust. 1 ustawy . o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych NFZ uprawniony jest do przetwarzania danych osobowych ubezpieczonych m.in. w celu kontroli rodzaju, zakresu, i przyczyny udzielonych świadczeń oraz w celu kontroli przestrzegania zasad legalności, gospodarności, rzetelności i celowości finansowania udzielanych świadczeń zdrowotnych.
Ponadto zgodnie z art. 192 a ww. ustawy w celu potwierdzenia udzielenia świadczeń opieki zdrowotnej NFZ może zwrócić się do świadczeniobiorcy (pacjenta) o podanie zakresu informacji o udzielonych mu świadczeniach opieki zdrowotnej Co prawda ustawa nie określa, sposobu w jaki powinny być pozyskiwane dane osobowe pacjenta, jednak forma pisemna np. ankieta stanowi jedyną możliwość uzyskania od pacjenta (świadczeniobiorcy) potwierdzenia, że otrzymał świadczenia. Ważne jest w tym by pozyskanie danych odbywało się w sposób uniemożliwiający dostęp do tych informacji osobom trzecim.
Dlatego biorąc powyższe pod uwagę, NFZ może pozyskiwać za pomocą ankiet dane osobowe pacjentów, przy czym musi wypełnić obowiązek informacyjny wynikający z przepisów ustawy o ochronie danych osobowych.

Źródło: http://www.giodo.gov.pl/342/id_art/3422/j/pl/, dostęp: 05.05.2014 r.

197. Czy apteki mają prawo przekazywać dane osobowe pacjentów (świadczeniobiorców), Narodowemu Funduszowi Zdrowia?

Tak, ponieważ obowiązek przekazywania przez apteki danych osobowych pacjentów wynika z przepisów ustawy o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych.
Narodowy Fundusz Zdrowia działając na podstawie ustawy o z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych, uprawniony jest do przetwarzania danych osobowych ubezpieczonych m.in. w celu kontroli rodzaju, zakresu i przyczyny udzielonych świadczeń oraz w celu kontroli przestrzegania zasad legalności, gospodarności, rzetelności i celowości finansowania udzielanych świadczeń zdrowotnych. Dane, które może przetwarzać NFZ to m.in. dane dotyczące apteki realizującej receptę na refundowane leki i wyroby medyczne.

Źródło: http://www.giodo.gov.pl/342/id_art/3421/j/pl/, dostęp: 05.05.2014 r.

198. Czy szpital, oddając wzięty w dzierżawę sprzęt medyczny, ponosi odpowiedzialność za nie usunięcie z jego pamięci elektronicznej danych osobowych pacjentów?

Tak, gdyż szpital, jako administrator danych osobowych swoich pacjentów, ma obowiązek zabezpieczyć dane m.in. przed ich udostępnieniem osobom nieupoważnionym.
Zgodnie z art. 36 ust. 1 ustawy o ochronie danych osobowych, administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. A zatem ustawa o ochronie danych osobowych zobowiązuje do dbałości o dane osobowe. Z jej przepisów wynika, iż należy tak wykorzystywać dane osobowe, aby były one bezpieczne. Wybór odpowiednich środków gwarantujących przetwarzanym danym optymalny stopień ich zabezpieczenia pozostawia jednak do uznania konkretnemu administratorowi, który wykorzystuje dane osobowe.

Źródło: http://www.giodo.gov.pl/342/id_art/3317/j/pl/, dostęp: 05.05.2014 r.

199. Czy przekazywanie przez lekarzy danych osobowych osób, u których podejrzewa się lub stwierdzono chorobę zakaźną, podmiotom określonym w ustawie o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi, jest zgodne z ustawą o ochronie danych osobowych?

Tak, gdyż do podania takich informacji lekarzy zobowiązują przepisy ustawy o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi, będącej przepisem szczególnym wobec ustawy o ochronie danych osobowych.
W myśl art. 27 ust. 1 ustawy z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi, lekarz lub felczer, który podejrzewa lub rozpoznaje u pacjenta zakażenie, chorobę zakaźną lub zgon z powodu zakażenia bądź choroby zakaźnej, ma obowiązek - w ciągu 24 godzin od momentu rozpoznania lub powzięcia podejrzenia - zgłoszenia tego faktu.

Źródło: http://www.giodo.gov.pl/342/id_art/2977/j/pl/, dostęp: 05.05.2014 r.

200. Czy Samodzielny Publiczny Zakład Opieki Zdrowotnej (szpital) musi uzyskać zgodę każdego pacjenta na to, aby móc mu przesyłać imienne zaproszenie do skorzystania z bezpłatnych badań profilaktycznych?

Nie, gdyż wykorzystywanie danych pacjenta w takim celu znajduje swoje oparcie we właściwych przepisach szczególnych w stosunku do ustawy o ochronie danych osobowych.
Do przetwarzania danych osobowych na potrzeby przeprowadzania badań mammograficznych finansowanych przez NFZ zastosowanie mają przepisy ustawy z dnia 1 lipca 2005 r. o ustanowieniu programu wieloletniego „Narodowy program zwalczania chorób nowotworowych” oraz ustawy z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowych ze środków publicznych i aktach do niej wykonawczych. W oparciu o te przepisy i w sposób nimi określony realizowane są działania wynikające z ww. programu, np. wysyłanie zaproszeń na badania mammograficzne.

Źródło: http://www.giodo.gov.pl/342/id_art/2929/j/pl/, dostęp: 05.05.2014 r.

201. Czy polski związek sportowy może przetwarzać dane osobowe szczególnie chronione w postaci zaświadczenia zawierającego orzeczenie lekarskie o braku przeciwwskazań do uprawiania żeglarstwa?

Tak, takie zaświadczenie może być przetwarzane przez polski związek sportowy, co wynika z m. in. z przepisów ustawy o kulturze fizycznej oraz wydanego na jej podstawie rozporządzenia.
Zgodnie z § 2 ust. 5 pkt 4 rozporządzenia Ministra Sportu z dnia 9 czerwca 2006 r. w sprawie uprawiania żeglarstwa wydanego na podstawie art. 53a ust 6 ustawy z 19 stycznia 1996 r. o kulturze fizycznej, osoba, która ubiega się o wydanie patentu składa m. in. wniosek o wydane patentu oraz zaświadczenie zawierające orzeczenie lekarskie o braku przeciwwskazań do uprawiania żeglarstwa.

202. Czy dopuszczalne jest umieszczanie przed gabinetami lekarskimi list z nazwiskami pacjentów zapisanych na dany dzień na wizytę lekarską?

Nie, gdyż prowadziłoby to do naruszenia nie tylko przepisów regulujących działanie placówek medycznych, ale także zasad ustanowionych w ustawie o ochronie danych osobowych.
Upublicznienie na drzwiach gabinetów lekarskich list z imionami i nazwiskami osób czekających danego dnia na wizytę u konkretnego lekarza jest niedozwolone, bowiem może naruszać prawo do prywatności zagwarantowane m.in. przepisami ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta. Artykuł 20 ust. 1 tej ustawy stanowi bowiem, że pacjent ma prawo do prywatności, poszanowania intymności i godności, zwłaszcza podczas udzielania mu świadczeń zdrowotnych.
Dlatego placówki opieki zdrowotnej przetwarzające dane osobowe pacjentów i zobowiązane (m.in. na mocy art. 36 ustawy o ochronie danych osobowych) do należytego ich zabezpieczenia, powinny wprowadzić takie zasady organizacji zapisów na wizyty, aby dane osobowe pacjentów nie były udostępnianie osobom nieupoważnionym. Polegać to może np. na wprowadzeniu systemu numerków dla osób oczekujących wizyty.

Źródło: http://www.giodo.gov.pl/342/id_art/1710/j/pl/, dostęp: 05.05.2014 r.

203. Czy Samodzielny Publiczny Zespół Zakładów Opieki Zdrowotnej, dysponujący bazą danych pacjentów, zawierającą ich adresy, nazwiska oraz kody jednostek chorobowych – gromadzonych w celu rozliczenia z Narodowym Funduszem Zdrowia - ma obowiązek zgłoszenia tego zbioru Generalnemu Inspektorowi Ochrony Danych Osobowych, do rejestracji?

Nie, gdyż ustawa o ochronie danych osobowych zwalnia administratorów takich zbiorów z obowiązku ich zgłoszenia do rejestracji GIODO.
Stosownie do treści art. 40 ustawy z o ochronie danych osobowych, administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1. Zgodnie z brzmieniem tego przepisu, z obowiązku rejestracji zbioru danych osobowych zwolnieni są m.in. administratorzy danych dotyczących osób korzystających z ich usług medycznych (art. 43 ust. 1 pkt 5).
Z uwagi zatem na powyższe, Samodzielny Publiczny Zespół Zakładów Opieki Zdrowotnej jest zwolniony z obowiązku zgłoszenia do rejestracji zbioru danych pacjentów, korzystających z jego usług medycznych.

Źródło: http://www.giodo.gov.pl/342/id_art/1338/j/pl/, dostęp: 05.05.2014 r.

204. Czy zakład opieki zdrowotnej może odmówić mężowi wydania dokumentacji medycznej dotyczącej żony?

Tak, jeśli nie został on upoważniony przez żonę do dostępu do jej dokumentacji medycznej.
Zgodnie z art. 26 ust. 1 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta, podmiot udzielający świadczeń zdrowotnych udostępnia dokumentację medyczną pacjentowi lub przedstawicielowi ustawowemu, bądź osobie upoważnionej przez pacjenta. Po śmierci pacjenta prawo wglądu w dokumentację medyczną ma osoba upoważniona przez pacjenta za życia (ust. 2 powołanego przepisu).
Dokumentacja medyczna jest udostępniana do wglądu w siedzibie podmiotu udzielającego świadczeń zdrowotnych, poprzez sporządzenie jej wyciągów, odpisów lub kopii oraz poprzez wydanie oryginału za pokwitowaniem odbioru i z zastrzeżeniem zwrotu po wykorzystaniu, jeżeli dany organ lub podmiot żąda udostępnienia oryginałów tej dokumentacji (art. 27 ustawy).
Zgodnie zaś z § 79 ww. rozporządzenia, w przypadku gdy udostępnienie dokumentacji nie jest możliwe, odmowa wymaga zachowania formy pisemnej oraz podania przyczyny.
W związku z powyższym, zakład opieki zdrowotnej może odmówić mężowi wydania dokumentacji medycznej dotyczącej jego żony, ale powinien tę odmowę uzasadnić na piśmie.

Źródło: http://www.giodo.gov.pl/342/id_art/1308/j/pl/, dostęp: 05.05.2014 r.

205. Czy komisariat policji, powołując się na ustawę o ochronie danych osobowych, może odmówić udzielenia informacji o imieniu i nazwisku, stopniu służbowym oraz miejscu zatrudnienia funkcjonariusza Policji, który nałożył mandat karny na osobę wnioskującą o udostępnienie tych danych?

Nie, gdyż dane osobowe policjanta w takim zakresie, w jakim wiążą się z wykonywaniem przez niego czynności służbowych nie podlegają ochronie wynikającej z przepisów ustawy o ochronie danych osobowych.
Podkreślenia wymaga również fakt, iż funkcjonariusz Policji, ze względu na pełnioną funkcję, posiada status funkcjonariusza publicznego w rozumieniu art. 115 § 13 pkt 7 ustawy z dnia 6 czerwca 1997 r. Kodeks karny. Zgodnie z jego treścią, "Funkcjonariuszem publicznym jest (...) funkcjonariusz organu powołanego do ochrony bezpieczeństwa publicznego albo funkcjonariusz Służby Więziennej." Dane tej kategorii osób, z racji pełnionej funkcji, podlegają ograniczonej ochronie prawnej.

Źródło: http://www.giodo.gov.pl/344/id_art/1246/j/pl/, dostęp:05.05.2014 r.

206. Czy Polski Związek Łowiecki lub zarządy stowarzyszeń strzeleckich mają prawo przekazywać Policji dane osobowe swoich członków ?

Tak, gdyż zobowiązują je do tego przepisy prawa.
Zgodnie z art. 27 ust. 5 ustawy z dnia 21 maja 1999 r. o broni i amunicji. Polski Związek Łowiecki i zarządy stowarzyszeń strzeleckich są obowiązane do corocznego składania właściwym organom Policji aktualnych wykazów członków uprawiających łowiectwo lub strzelectwo z użyciem własnej broni oraz do powiadamiania tych organów o wykluczeniu wymienionych członków tych organizacji w terminie 30 dni od dnia wykluczenia. Wykaz, o którym mowa w ust. 5, obejmuje imię i nazwisko, numer ewidencyjny Powszechnego Elektronicznego Systemu Ewidencji Ludności (PESEL) oraz adres miejsca stałego pobytu (ust. 6).

Źródło: http://www.giodo.gov.pl/344/id_art/1313/j/pl/, dostęp: 05.05.2014 r.

207. Czy Policja może odmówić uczestnikom wypadków komunikacyjnych udostępnienia informacji o danych osobowych innych uczestników tych wypadków oraz informacji o ubezpieczycielach, z którymi sprawcy wypadków zawarli umowy ubezpieczenia?

Nie, gdyż z przepisów prawa wynika uprawnienie poszkodowanego do otrzymania danych osobowych sprawcy wypadku.
Przepisem, kształtującym uprawnienie do otrzymywania przez osobę uczestniczącą w wypadku komunikacyjnym, na jej żądanie, danych osobowych kierującego pojazdem, danych właściciela lub posiadacza pojazdu oraz danych dotyczących zakładu ubezpieczeń, z którym zawarta jest umowa obowiązkowego ubezpieczenia odpowiedzialności cywilnej jest art. 44 ust. 1 pkt 4 ustawy z dnia 20 czerwca 1997 r. Prawo o ruchu drogowym. Zgodnie z jego treścią kierujący pojazdem w razie uczestniczenia w wypadku drogowym jest obowiązany podać swoje dane personalne, dane personalne właściciela lub posiadacza pojazdu oraz dane dotyczące zakładu ubezpieczeń, z którym zawarta jest umowa obowiązkowego ubezpieczenia odpowiedzialności cywilnej, na żądanie osoby uczestniczącej w wypadku.

Źródło: http://www.giodo.gov.pl/344/id_art/1318/j/pl/, dostęp: 05.05.2014 r.

208. Czy Policjant, podczas czynności legitymowania w celu wypisania mandatu za złe parkowanie, może żądać ode mnie danych osobowych, w zakresie nazwiska panieńskiego matki?

Jak stanowi art. 15 ust. 1 ustawy o Policji, policjanci wykonując czynności, o których mowa w art. 14, mają prawo m. in. do legitymowania osób w celu ustalenia ich tożsamości. W myśl § 7 rozporządzenia w sprawie sposobu postępowania przy wykonywaniu niektórych uprawnień policjantów, policjant dokumentuje legitymowanie osoby w notatniku służbowym lub na odpowiednim nośniku technicznym albo w notatce służbowej, określając datę, czas, miejsce i przyczynę legitymowania oraz następujące dane osoby legitymowanej: imię (imiona) i nazwisko oraz adres zamieszkania lub pobytu (pkt 1), numer PESEL, a w przypadku braku informacji o numerze PESEL: datę i miejsce urodzenia oraz imiona rodziców i nazwisko rodowe (pkt 2), rodzaj i cechy identyfikacyjne dokumentu, na podstawie którego ustalono tożsamość osoby legitymowanej (pkt 3).
Z powołanych wyżej przepisów nie wynika zatem uprawnienie funkcjonariusza Policji do gromadzenia danych osobowych osoby legitymowanej w zakresie obejmującym nazwisko panieńskie jej matki.

Źródło: http://www.giodo.gov.pl/344/id_art/1535/j/pl/, dostęp: 05.05.2014 r.

209. Czy miejski ośrodek pomocy społecznej jest uprawniony do pozyskiwania od uczelni wyższej informacji, czy i kiedy student otrzymywał stypendium?

Tak, bowiem na udostępnienie tych informacji zezwalają przepisy ustawy o pomocy społecznej.
Organizację miejskiego ośrodka pomocy społecznej regulują przepisy ustawy z dnia 12 marca 2004 r. o pomocy społecznej. Art. 105 tej ustawy wprowadza zasadę, iż sądy, organy i jednostki organizacyjne są zobowiązane niezwłocznie, nie później niż w terminie 7 dni, udostępnić lub udzielić na wniosek pracownika socjalnego odpowiednie informacje, które mają znaczenie dla rozstrzygnięcia o przyznaniu lub wysokości świadczeń z pomocy społecznej. Zgodnie z art. 121 ust. 1 ustawy o pomocy społecznej, pracownik socjalny przy wykonywaniu swoich zadań korzysta z prawa pierwszeństwa w urzędach, instytucjach i innych placówkach, a organy zobowiązane są do udzielenia mu niezbędnych informacji.

Źródło: http://www.giodo.gov.pl/346/id_art/2997/j/pl/, dostęp: 05.05.2014 r.

210. Czy ośrodek pomocy społecznej może uzależnić wypłatę zasiłku od wyrażenia zgody na przetwarzanie danych osobowych?

Nie, takie działanie jest nieuprawnione.
Ustawa o pomocy społecznej nie uzależnia wypłaty zasiłku od wyrażenia zgody na przetwarzanie danych osobowych. Wprawdzie w ustawie o pomocy społecznej operuje się pojęciem zgody, np. w art. 54 jest mowa o zgodzie na umieszczenie w domu opieki społecznej, w art. 106 o zgodzie na zmianę lub uchylenie decyzji administracyjnej, w art. 102 o zgodzie na udzielenie świadczeń z pomocy społecznej, ale nie jest to zgoda tożsama ze zgodą na przetwarzanie danych osobowych, o której mowa w ustawie o ochronie danych osobowych. Brak zgody na przetwarzanie danych osobowych nie może więc uniemożliwić wypłaty zasiłku.

Źródło: http://www.giodo.gov.pl/346/id_art/1305/j/pl/, dostęp: 05.05.2014 r.

211. Czy zarząd Stowarzyszenia Ogrodów Działkowych na tablicy ogłoszeń na terenie ogródków może wywiesić informację o toczącym się postępowaniu administracyjnym wraz z danymi osobowymi osoby, na wniosek której zostało ono wszczęte?

Nie, gdyż w ten sposób zarząd naruszyłby przepisy ustawy o ochronie danych osobowych.
Wywieszenie na tablicy ogłoszeń znajdującej się na terenie ogródków działkowych informacji o toczącym się postępowaniu administracyjnym wraz z danymi osobowymi osoby, na wniosek której zostało ono wszczęte, mogłoby doprowadzić do ich udostępnienia nie tylko członkom Stowarzyszenia, ale również osobom nieupoważnionym, czyli osobom niebędącym członkami Stowarzyszenia (np. odwiedzającym użytkownika danej działki).
Aby zawiadomienie członków Stowarzyszenia o toczącym postępowaniu administracyjnym było zgodne z prawem możliwe jest albo poprzez wywieszenie na tablicy informacji w tej sprawie, ale bez podawania danych osobowych, albo poprzez jej przekazanie wyłącznie do wiadomości członków Stowarzyszenia (np. listownie lub w drodze bezpośredniego doręczenia do adresata)

212. Czy stanowi naruszenie ustawy o ochronie danych osobowych działanie organu administracyjnego, który prowadząc postępowanie z urzędu, udostępnia informacje dotyczące jego strony osobie, z inicjatywny której wszczęto to postępowanie?

Tak, gdyż w takiej sytuacji dochodzi do udostępnienia danych osobowych osobom nieupoważnionym.
Organ prowadzący postępowanie administracyjne jest administratorem danych stron takiego postępowania, a w świetle ustawy o ochronie danych osobowych każdy administrator jest zobowiązany do wykazania podstawy prawnej wykorzystywania danych osobowych, m.in. ich udostępniania innym podmiotom. Jeśli zatem udostępnienie danych strony postępowania prowadzonego z urzędu nastąpiło wbrew przepisom kodeksu postępowania administracyjnego, czyli – w świetle art. 23 ust. 1 ustawy o ochronie danych osobowych – brak jest podstawy prawnej takiego działania, to można stwierdzić, iż doszło tym samym do naruszenia ustawy o ochronie danych osobowych. W takim przypadku mamy bowiem do czynienia z udostępnieniem danych osobowych osobom nieupoważnionym, o czym mowa w art. 51 ust. 1 ustawy o ochronie danych osobowych.

Źródło: http://www.giodo.gov.pl/400/id_art/3322/j/pl/, dostęp:05.05.2014 r.

213. Czy zgodne z ustawą o ochronie danych osobowych jest udostępnienie przez sąd, zawartych w aktach sprawy danych adresowych skazanych – spółce, na rzecz której wyrządzili oni szkodę, w związku z czym chce ona przeprowadzić wobec nich egzekucję wierzytelności?

Tak, gdyż ustawa o ochronie danych osobowych dopuszcza przetwarzanie danych m.in. wtedy, gdy jest to niezbędne dla dochodzenie roszczeń z tytułu prowadzenia działalności gospodarczej.
Zgodnie z ustawą o ochronie danych osobowych przetwarzanie danych osobowych jest dopuszczalne między innymi, gdy jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (art. 23 ust. 1 pkt 5 ustawy). Za prawnie usprawiedliwiony cel uważa się w szczególności dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej (art. 23 ust. 4 pkt 2 ustawy).
Natomiast, by spółka mogła skorzystać z przysługującego jej prawa do dochodzenia swoich roszczeń musi posiadać dane osobowe dłużników. Niezbędnym bowiem elementem do wszczęcia egzekucji wobec dłużnika jest oznaczenie miejsca jego zamieszkania. Wymagają tego przepisy Kodeksu postępowania cywilnego, m.in. art. 126.

Źródło: http://www.giodo.gov.pl/400/id_art/3154/j/pl/, dostęp: 05.05.2014 r.

214. Czy osoby informujące o okolicznościach będących podstawą do wszczęcia postępowań administracyjnych są chronione przepisami ustawy o ochronie danych osobowych?

Tak, jeśli bowiem takie osoby nie są stronami postępowań administracyjnego to ich dane osobowe nie powinny zostać ujawnione innym uczestnikom takich postępowań.
Nieracjonalne i nieuzasadnione jest traktowanie jako strony, każdego podmiotu informującego organ podatkowy o zaobserwowanych uchybieniach, a więc osoby w istocie inicjującej podjęcie przez organ pewnych czynności z urzędu. Takie działania budzą sprzeciw osób, których dane są ujawniane i narażają organ na zarzut naruszenia sfery prywatności. A przede wszystkim, nie znajdują podstaw w przepisach Kodeksu postępowania administracyjnego i Ordynacji podatkowej. Przepisy te wyposażają organ w instrumenty pozwalające na zbadanie sygnalizowanych przez obywateli nieprawidłowości poprzez wszczęcie postępowania z urzędu, które może być przeprowadzone bez konieczności ujawniania źródła informacji.

Źródło: http://www.giodo.gov.pl/400/id_art/1843/j/pl/, dostęp: 05.05.2014 r.

215. Czy rozsyłanie "rozdzielników" do uczestników postępowań administracyjnych nie narusza przepisów ustawy o ochronie danych osobowych?

Zdaniem Generalnego Inspektora Ochrony Danych Osobowych osiągnięcie efektu zapewnienia stronom postępowania administracyjnego realizacji przysługujących im uprawnień (prawa do informacji na temat toczącego się postępowania) jest możliwe w inny sposób, np. poprzez wysyłanie pism (zawiadomień, postanowień, decyzji) bez załączania rozdzielnika otrzymujących je osób, który to wykaz jest ważny przede wszystkim dla organu prowadzącego postępowanie.
W przypadku wysyłania pism o zbiorczym charakterze wydaje się zasadne, aby dane osobowe wszystkich adresatów (całe wykazy danych) zamieszczane były na odrębnej karcie (rozdzielniku), pozostającej jedynie w dyspozycji organu, a pisma rozsyłane byłyby następnie indywidualnie do każdej z zainteresowanych osób, bez przesyłania każdej osobie listy imion, nazwisk i adresów pozostałych uczestników postępowania. Wykaz adresatów pozostanie wówczas w aktach sprawy. Przesyłanie pism konkretnym osobom, bez załączania całego wykazu pozostałych adresatów, przyczynia się do pogłębienia zaufania obywateli do instytucji publicznych.

Źródło: http://www.giodo.gov.pl/400/id_art/1838/j/pl/, dostęp: 05.05.2014 r.

216. Czy będąc stroną postępowania administracyjnego, mogę zastrzec, aby moje dane osobowe znajdujące się w aktach prowadzonego przez wójta postępowania o wymeldowanie nie były udostępniane innym stronom tego postępowania?

Nie, gdyż zastrzeżenie adresu w toku postępowania prowadzonego naruszałoby zasadę czynnego udziału strony w postępowaniu, a tym samym postępowanie to byłoby dotknięte wadą procesową, co stanowiłoby podstawę do wznowienia tego postępowania.
Przepisy Kodeksu postępowania administracyjnego nie przewidują możliwości utajnienia adresu podanego przez stronę postępowania administracyjnego, jak również trybu wyłączania z akt jakichkolwiek dokumentów ze względu na zastrzeżenie adresu, czy innych danych.
Wójt zatem, prowadząc postępowanie administracyjne jest zobowiązany zapewnić wszystkim jego stronom możliwość czynnego w nim udziału, co wiąże się m. in. z koniecznością umożliwienia stronom zapoznania się ze wszystkimi dokumentami związanymi ze sprawą, a więc także z danymi osobowymi stron w zakresie adresu. Zastrzeżenie adresu w toku postępowania prowadzonego przez Wójta naruszałoby zasadę czynnego udziału strony w postępowaniu, a tym samym postępowanie to byłoby dotknięte wadą procesową, co stanowiłoby podstawę do wznowienia tego postępowania.

Źródło: http://www.giodo.gov.pl/400/id_art/1803/j/pl/, dostęp: 05.05.2014 r.

217. Czy muszę dostarczyć z urzędu pracy zaświadczenie o zarejestrowaniu mojego syna jako bezrobotnego w celu przedłożenia go na potrzeby toczącego się postępowania o przyznanie mi dodatku mieszkaniowego?

Nie, jeśli w świetle przepisów kodeksu postępowania administracyjnego, urząd miasta prowadzący postępowanie o przyznanie dodatku mieszkaniowego może sam pozyskać informacje na potwierdzenie faktów lub stanu prawnego wymaganych w zaświadczeniu.

Źródło: http://www.giodo.gov.pl/400/id_art/1758/j/pl/, dostęp:05.05.2014 r.

218. Czy na kopercie mogą widnieć informacje, w jakim charakterze adresat jest wzywany do prokuratury?

Nie, bowiem przepisy Kodeksu postępowania karnego nakazują ochronę takich informacji.
Sposób doręczania pism stronom postępowania karnego jest uregulowany w przepisach szczególnych wobec ustawy o ochronie danych osobowych, tj. w ustawie z 6 czerwca 1997 r. Kodeks postępowania karnego (k.p.k.). Art. 128 § 2 k.p.k. stanowi, że wszelkie pisma przeznaczone dla uczestników postępowania doręcza się w taki sposób, by treść ich nie była udostępniona osobom niepowołanym.
Oznacza to, że żadna inna osoba niż adresat pisma nie powinna mieć możliwości zapoznania się z treścią korespondencji, np. z informacją, jaki jest status adresata pisma w postępowaniu karnym.

Źródło: http://www.giodo.gov.pl/347/id_art/3667/j/pl/, dostęp: 05.05.2014 r.

219. Czy sąd może przekazać pracodawcy - instytucji publicznej - informację o skazaniu pracownika tej instytucji w postępowaniu toczącym się przeciw niemu z urzędu?

Tak, sąd na mocy przepisów Kodeksu postępowania karnego jest wręcz zobowiązany do przekazania pracodawcy informacji o ukończeniu postępowania toczącego się z urzędu przeciw osobom zatrudnionym w instytucjach państwowych, samorządowych i społecznych, uczniom i słuchaczom szkół oraz żołnierzom.
Art. 21 § 1 ustawy z dnia 6 czerwca 1997 r. Kodeksu postępowania karnego, zgodnie z którym o ukończeniu postępowania toczącego się z urzędu przeciw osobom zatrudnionym w instytucjach państwowych, samorządowych i społecznych, uczniom i słuchaczom szkół oraz żołnierzom należy bezzwłocznie zawiadomić przełożonych tych osób. Zatem powołany przepis nakłada na sąd, przed którym postępowanie zostało zakończone, obowiązek przekazania informacji w tej sprawie.

Źródło: http://www.giodo.gov.pl/347/id_art/3655/j/pl/, dostęp: 05.05.2014 r.

220. Czy można przetwarzać dane osobowe biegłych sądowych?

Tak, można przetwarzać dane biegłych sądowych m.in. na podstawie rozporządzenia Ministra Sprawiedliwości z dnia 24 stycznia 2005 r. w sprawie biegłych sądowych.
Zgodnie z § 8 ust. 1 ww. przepisu prezes sądu okręgowego prowadzi listy biegłych sądowych – według poszczególnych gałęzi nauki, techniki, sztuki, rzemiosła, a także innych umiejętności. Prowadzi również wykazy biegłych sądowych na kartach założonych dla każdego biegłego; w listach i wykazach podaje się adres biegłego i termin, do którego został ustanowiony, a także inne dane dotyczące specjalizacji.
Ust. 3 stanowi natomiast, że listy biegłych sądowych są dostępne dla zainteresowanych w sekretariatach sądowych. W szczególności listy te udostępnia się stronom, uczestnikom postępowania oraz organom prowadzącym postępowanie przygotowawcze w sprawach karnych i sądom wojskowym.

Źródło: http://www.giodo.gov.pl/347/id_art/3427/j/pl/, dostęp: 05.05.2014 r.

221. Czy komornik jest uprawniony do tego, aby otrzymać numer rachunku bankowego dłużnika od jego pracodawcy?

Tak, gdyż uprawniają go do tego przepisy prawa.
Podstawę prawną do przetwarzania przez komornika danych osobowych dłużnika na potrzeby prowadzonego postępowania egzekucyjnego stanowią przepisy ustawy z dnia 17 listopada 1964 r. Kodeks postępowania cywilnego (kpc), ustawy z dnia 29 sierpnia 1997 r. o komornikach sądowych i egzekucji oraz rozporządzenia Ministra Sprawiedliwości z dnia 9 marca 1968
r. w sprawie czynności komorników.

Źródło: http://www.giodo.gov.pl/347/id_art/3277/j/pl/, dostęp: 05.05.2014 r.

222. Czy komornik sądowy może zamieścić w obwieszczeniu o publicznej licytacji ruchomości dane dłużnika w zakresie jego imienia i nazwiska oraz adresu zamieszkania?

Dane w zakresie imienia i nazwiska dłużnika nie, natomiast adres tylko w przypadku, gdy miejsce przeprowadzenia licytacji jest tożsame z miejscem jego zamieszkania. Przy czym nie wskazuje się wprost, że jest to adres zamieszkania, a jedynie miejsce, w którym ma się odbyć licytacja.
Niniejszą kwestię należy rozpatrywać w oparciu o przepisy kodeksu postępowania cywilnego oraz rozporządzenia Ministra Sprawiedliwości w sprawie czynności komorników. W myśl art. 867 § 1 kpc komornik może sprzedać zajęte ruchomości w drodze licytacji publicznej. Zakres informacji, jakie komornik podaje w obwieszczeniu o licytacji ruchomości, które mają być sprzedane, określa § 84 ust. 1 powołanego rozporządzenia. Jest to miejsce i czas licytacji, ich rodzaj i suma oszacowania poszczególnych ruchomości, oraz miejsce i czas, w którym można oglądać ruchomości. A zatem komornik jest uprawniony jedynie do upublicznienia miejsca (adresu) licytacji ruchomości. Nie może natomiast upubliczniać imienia i nazwiska dłużnika licytowanej rzeczy.

Źródło: http://www.giodo.gov.pl/347/id_art/3062/j/pl/, dostęp: 05.05.2014 r.

223. Czy można podawać do publicznej wiadomości, np. w postaci ogłoszeń gminnych, dane osobowe osób skazanych przez sąd za prowadzenie pojazdów pod wpływem alkoholu?

Nie, gdyż brak jest podstaw prawnych do takiego działania.
Zgodnie z obowiązującym prawem to zawsze sąd podejmuje decyzję o podaniu wyroku do publicznej wiadomości. Stosownie do art. 39 pkt 8 ustawy z dnia 6 czerwca 1997 r. Kodeks karny, środkiem karnym jest m.in. podanie wyroku do publicznej wiadomości. Dalsze przepisy ww. kodeksu precyzują, iż sąd może orzec podanie wyroku do publicznej wiadomości w określony sposób, jeżeli uzna to za celowe, w szczególności ze względu na społeczne oddziaływanie skazania, o ile nie narusza to interesu pokrzywdzonego (art. 50 Kodeksu karnego). Jak wynika z wyroku Sądu Apelacyjnego w Katowicach z dnia 28 czerwca 2007 r. (sygn. akt II AKa 190/2007), podanie wyroku do publicznej wiadomości powinno mieć miejsce przede wszystkim w takich przypadkach, które wzbudziły szczególne zainteresowanie społeczne, wywołały powszechne oburzenie czy też niepokój. Celowe jest również sięganie do tego środka w przypadku przestępstw nagminnie popełnianych na danym terenie lub w określonym środowisku.

Źródło: http://www.giodo.gov.pl/347/id_art/2960/j/pl/, dostęp :05.05.2014 r.

224. Czy komornik sądowy może przekazać wierzycielowi, z własnej inicjatywy, dane osobowe dłużnika, które pozyskał w toku innego postępowania egzekucyjnego?

Nie, bowiem udostępnianie tych danych naruszałoby przepisy prawa, w tym ustawy o ochronie danych osobowych.
Ustawą na podstawie której rozpatrywać należy niniejszą kwestię są przepisy regulujące prowadzenie postępowania egzekucyjnego. Sformułowane one zostały w ustawie z dnia 17 listopada 1964 r. Kodeks postępowania cywilnego, zwanej dalej Kpc. Szczególnie zwrócić należy uwagę na art. 7601 z którego wynika, że to na żądanie wierzyciela komornik jako organ egzekucyjny udziela informacji o dłużniku, przeciwko któremu prowadzone jest postępowanie. Jednak z przepisu tego nie wynika uprawnienie komornika do przekazania wierzycielowi z własnej inicjatywy danych osobowych dłużnika.
Biorąc powyższe pod uwagę stwierdzić należy, że komornik sądowy udostępniając dane dłużnika wierzycielowi (który nie żądał tych danych) naruszyłby przepisy prawa, w tym przepisy ustawy o ochronie danych osobowych.

Źródło: http://www.giodo.gov.pl/347/id_art/2830/j/pl/, dostęp: 05.05.2014 r.

225. Czy składając w prokuraturze zeznania w charakterze świadka mogę zastrzec aby moje dane adresowe, podczas postępowania przygotowawczego a także podczas procesu nie były udostępniane oskarżonym?

Tzw. zachowanie w tajemnicy danych osobowych świadka jest uzależnione od okoliczności wskazanych w przepisach Kodeksu postępowania karnego dotyczących instytucji tzw. świadka incognito.
W myśl art. 184 § 1 Kodeksu postępowania karnego, jeżeli zachodzi uzasadniona obawa niebezpieczeństwa dla życia, zdrowia, wolności albo mienia w znacznych rozmiarach świadka lub osoby dla niego najbliższej, sąd, a w postępowaniu przygotowawczym prokurator, może wydać postanowienie o zachowaniu w tajemnicy okoliczności umożliwiających ujawnienie tożsamości świadka, w tym danych osobowych, jeżeli nie mają one znaczenia dla rozstrzygnięcia w sprawie. Postępowanie w tym zakresie toczy się bez udziału stron i objęte jest tajemnicą jako informacja niejawna o klauzuli tajności „tajne” lub „ściśle tajne”.

Źródło: http://www.giodo.gov.pl/347/id_art/1537/j/pl/, dostęp: 05.05.2014 r.

226. Czy zgodne z ustawą jest wywieszanie w budynku sądu wokand, zawierających dane osobowe osób biorących udział w postępowaniu sądowym?

Tak, gdyż odbywa się to na podstawie szczególnych przepisów prawa.
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych uzależnia legalność przetwarzania danych tzw. zwykłych (np. imię i nazwisko, adres zamieszkania) od spełnienia przez administratora danych jednej z przesłanek z wymienionych w art. 23 ust. 1 tej ustawy. Ustawa dopuszcza możliwość upublicznienia danych na wokandach sądowych m. in. wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (art. 23 ust. 1 pkt 2 tej ustawy). Kwestię upublicznienia danych w treści wokand sądowych stron biorących udział w postępowaniu sądowym rozpatrywać należy w oparciu o zarządzenie Ministra Sprawiedliwości z dnia 12 grudnia 2003 r. w sprawie organizacji i zakresu działania sekretariatów sądowych oraz innych działów administracji sądowej.

Źródło: http://www.giodo.gov.pl/347/id_art/1341/j/pl/, dostęp: 05.05.2014 r.

227. Czy sąd może udostępnić osobie postronnej księgę wieczystą, w której znajdują się moje dane osobowe?

Tak, gdyż księgi wieczyste są jawne i każdy ma prawo je przeglądać.
Stosownie do art. 2 ustawy z dnia 6 lipca 1982 r. o księgach wieczystych i hipotece, księgi wieczyste są jawne. Nie można zasłaniać się nieznajomością wpisów w księdze wieczystej ani wniosków, o których uczyniono w niej wzmiankę.
Powyższy przepis wyraża zasadę tzw. formalnej jawności ksiąg wieczystych, będącej istotą instytucji ksiąg wieczystych. "Księgi te bowiem mogą spełnić należycie swoją funkcję ustalenia stanu prawnego nieruchomości tylko wtedy, gdy są dla każdego dostępne, a ich treść jest jawna. Jawność formalna nie ogranicza się jednak tylko do swobodnego dostępu do ksiąg, ale jej naturalnym skutkiem jest fakt, że skoro każdy może się z nimi zapoznać, to nikt nie może zasłaniać się nieznajomością wpisów ani wniosków, o których uczyniono w księdze wieczystej wzmiankę". Ponadto, art. 36¹ ust. 3 tej ustawy wskazuje, iż każdy może przeglądać księgi wieczyste w obecności pracownika sądu.

Źródło: http://www.giodo.gov.pl/347/id_art/1340/j/pl/, dostęp: 05.05.2014 r.

228. Czy osoby trzecie, nie związane z procesem, mogą uczestniczyć w rozprawach sądowych, skoro w ich trakcie dochodzi do ujawniania danych osobowych ich uczestników , np. stron lub świadków?

Kwestię udziału osób trzecich w rozprawach sądowych traktować należy jako przejaw konstytucyjnej, potwierdzonej następnie w ustawach szczególnych, zasady jawności postępowania sądowego. Jej stosowanie może być ograniczone lub wyłączone jedynie na mocy przepisu prawa, którego dyspozycja w sposób wyraźny o wyłączeniu tym stanowi lub na mocy decyzji podjętej przez sąd orzekający w konkretnej sprawie.

Źródło: http://www.giodo.gov.pl/347/id_art/1312/j/pl/, dostęp: 05.05.2014 r.

229. Czy student może wykorzystać informacje z akt sądowych, dotyczące konkretnych osób, do napisania pracy magisterskiej?

Tak, ale student nie może doprowadzać do publikowania danych osób, o których informacje pozyskuje.
Przepisy ustawy o ochronie danych osobowych dopuszczają możliwość wykorzystywania przez studenta danych szczególnie chronionych, gdy jest to niezbędne do przygotowania pracy magisterskiej. Natomiast publikacja wyników tych badań nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone. Dlatego też, działanie polegające na opisywaniu poszczególnych spraw sądowych ze wskazaniem pełnych imion i nazwisk, zarówno osób pozwanych jak i oskarżonych, w formie rozprawy naukowej, nie może być uznane za zgodne z przepisami ustawy o ochronie danych osobowych.

Źródło: http://www.giodo.gov.pl/347/id_art/1120/j/pl/, dostęp: 05.05.2014 r.

230. Czy naczelnik urzędu skarbowego może wezwać podatnika, w związku z prowadzonym postępowaniem podatkowym, do podania numeru NIP, PESEL oraz adresów zamieszkania pracowników tego podatnika?

Tak, gdyż zezwalają na to przepisy prawa.
Działanie naczelnika urzędu skarbowego polegające na zgłoszonym w trybie art. 155 § 1 Ordynacji podatkowej żądaniu udostępnienia przez podatnika, w ramach prowadzonego postępowania podatkowego, danych osobowych jego dwóch pracowników znajduje uzasadnienie w cytowanym art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych i w związku z powyższym nie może być uznane za niezgodne z jej przepisami.

Źródło: http://www.giodo.gov.pl/373/id_art/1485/j/pl/, dostęp:05.05.2014 r.

231. Czy przekazanie przez pracownika urzędu skarbowego numeru NIP osoby, która nie jest dłużnikiem, komornikowi na potrzeby postępowania egzekucyjnego stanowi naruszenie prawa?

Tak, działanie takie stanowi naruszenie tajemnicy skarbowej oraz przepisów ustawy o ochronie danych osobowych.
Udostępnienie przez pracownika urzędu skarbowego danych osobowych (numeru NIP) osoby, która nie jest dłużnikiem stanowi naruszenie tajemnicy skarbowej. Zgodnie bowiem z art. 294 § 1 pkt 1 ustawy z dnia 29 sierpnia 1997 r. Ordynacja podatkowa, do przestrzegania tajemnicy skarbowej zobowiązani są pracownicy urzędów skarbowych oraz izb skarbowych, którzy zresztą składają w związku z tym przyrzeczenie. Za ujawnienie tajemnicy skarbowej grozi zaś kara pozbawienia wolności do lat 5 (art. 306 § 1 Ordynacji podatkowej).

Źródło: http://www.giodo.gov.pl/373/id_art/2954/j/pl/, dostęp: 05.05.2014 r.

232. Czy urząd kontroli skarbowej ma prawo kontrolować rejestr napiwków prowadzony przez kasyno gry, w którym znajdują się dane w postaci imion i nazwisk pracowników kasyna?

Tak, bowiem takie uprawnienie wynika z przepisów prawa.
Zgodnie z ustawą z dnia 19 listopada 2009 r. o grach hazardowych podmioty prowadzące działalność w zakresie gier hazardowych są obowiązane prowadzić rejestr napiwków w kasynie gry, według ustalonego wzoru (art. 78 ust. 1 pkt 3). Warunki prowadzenia i wzory rejestru napiwków w kasynie gry określa rozporządzenie Ministra Finansów z dnia 4 stycznia 2010 r. w sprawie dokumentacji prowadzonej przez podmioty prowadzące działalność w zakresie gier hazardowych. Rejestr napiwków zawiera prócz liczby porządkowej i daty wpisu, wartości napiwków zgromadzonych danego dnia, również dane osobowe w postaci imion i nazwisk pracowników kasyna, w którym są wypłacane te napiwki (zgodnie z załącznikiem nr 3 do rozporządzenia).

Źródło: http://www.giodo.gov.pl/373/id_art/2926/j/pl/, dostęp: 05.05.2014 r.

233. Czy pracodawca ma prawo w obecności innych pracowników wręczyć osobie zatrudnionej wypowiedzenie umowy o pracę lub nałożyć na nią karę porządkową?

Pracodawca nie może udostępniać danych pracownika osobom przypadkowym, których zakres obowiązków nie uzasadnia dostępu do danych innych pracowników. Udostępnienie informacji o wypowiedzeniu lub karze porządkowej osobom do tego nieupoważnionym może bowiem stanowić naruszenie dóbr osobistych zatrudnionego oraz prawa do ochrony jego danych osobowych.

Źródło: http://www.giodo.gov.pl/348/id_art/4877/j/pl/, dostęp: 05.05.2014 r.

234. Czy pracodawca może wykorzystywać zdjęcie pracownika bez jego zgody, np. w celu zamieszczenia go na stronie internetowej firmy?

Nie, gdyż – co do zasady – dla legalnego wykorzystania przez pracodawcę wizerunku pracownika potrzebna jest jego zgoda.
Z uwagi na to, że wśród wymienionych informacji o pracowniku w powołanych przepisach Kodeksu pracy nie ma zdjęcia pracownika, to pracodawca, aby móc legalnie je pozyskać w celu np. umieszczania na identyfikatorach czy stronach internetowych firm, musi – co do zasady – pozyskać na to zgodę pracownika. Tym samym zostaje spełniona przesłanka z art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych. Istnieją jednak sytuacje wyjątkowe, gdy wizerunek pracownika jest ściśle związany z wykonywanym przez niego zawodem czy charakterem pracy. Jako przykład podać można choćby pracowników ochrony, co do których – ze względów bezpieczeństwa – powinna być możliwość ich identyfikacji. Wówczas można odstąpić od pozyskiwania takiej zgody w tym właśnie celu.

Źródło: http://www.giodo.gov.pl/348/id_art/4859/j/pl/, dostęp: 05.05.2014 r.

235. Czy dopuszczalne jest żądanie od pracownika przedłożenia rocznego zeznania podatkowego (PIT) w celu wykazania wysokości dochodu, na potrzeby Zakładowego Funduszu Świadczeń Socjalnych?

Uprawnienie pracodawcy do żądania podania stosownych informacji oraz przedłożenia odpowiednich dokumentów uzasadniających przyznanie świadczenia z Funduszu, powinno znajdować uzasadnienie w regulaminie pracy.
Sąd Najwyższy uznał, iż w art. 8 ust. 2 ustawy o zakładowym funduszu świadczeń socjalnych jest „(…) zawarta zasada przyznawania ulgowych usług i świadczeń oraz dopłat z Funduszu według kryteriów o charakterze wyłącznie socjalnym, tj. uzależnionych co do zasady i wysokości od sytuacji życiowej, rodzinnej i materialnej osoby uprawnionej do korzystania z Funduszu. Z tego zaś punktu widzenia nie może być obojętne to, czy i jakie dochody osiąga pracownik poza zakładem pracy, w którym ubiega się o świadczenie oraz jaka jest sytuacja życiowa wszystkich członków jego rodziny, z którymi prowadzi wspólne gospodarstwo domowe. Jeżeli więc przyznawanie świadczeń jest uzależnione od wymienionych wyżej kryteriów, to oczywiste staje się, że sytuacja pracownika lub innej osoby uprawnionej do korzystania z Funduszu wymaga każdorazowo wyjaśnienia, ustalenia i oceny.”.

Źródło: http://www.giodo.gov.pl/348/id_art/4764/j/pl/, dostęp: 05.05.2014 r.

236. Czy pracodawca odpowiada za to, że jego pracownik ujawnił informacje o osobie starającej się o pracę, które pozyskał z dokumentów rekrutacyjnych?

Tak, gdyż jako administrator danych ma obowiązek dbania o to, aby dane osobowe były odpowiednio zabezpieczone.
W sytuacji, gdy pracownik uzyskał dostęp do danych osobowych innych osób, np. w związku z postępowaniem rekrutacyjnym, ma on bezwzględny obowiązek zachowania poufności przetwarzanych danych, a ich udostępnienie osobom nieupoważnionym obciąża nie tylko pracownika, ale również administratora danych, który ponosi pełną odpowiedzialność za ich przetwarzanie. Niedopuszczalne jest zatem udostępnienie przez pracownika osobie nieupoważnionej danych osobowych pozyskanych w ramach pełnionych przez niego obowiązków służbowych.

Źródło: http://www.giodo.gov.pl/348/id_art/3805/j/pl/, dostęp: 05.05.2014 r.

237. Czy umieszczanie służbowych adresów e-mail pracowników na stronie internetowej pracodawcy jest zgodne z przepisami prawa?

Tak, umieszczanie służbowych adresów e-mail pracowników na stronie internetowej pracodawcy jest zgodne z przepisami prawa.
Informacje o pracowniku takie jak np. jego imię i nazwisko, czy właśnie służbowy adres e-mail są ściśle związane z życiem zawodowym pracownika i z wykonywaniem przez niego obowiązków służbowych. Dane te mogą być wykorzystywane (udostępniane) przez pracodawcę nawet bez zgody pracownika, którego one dotyczą.
Wskazuje na to również stanowisko w tej kwestii zawarte w wyroku Sądu Najwyższego z dnia 19 listopada 2003 r. o sygn. I PK 590/02 stwierdzające, iż „nazwisko i imię jest skierowanym na zewnątrz znakiem rozpoznawczym osoby fizycznej i ujawnienie go w celu jej identyfikacji nie może być zasadniczo uznane za bezprawne, o ile nie łączy się z naruszeniem innego dobra osobistego, np. czci, prywatności lub godności osobistej. Ujawnienie przez pracodawcę nazwiska (imienia) pracownika bez jego zgody nie stanowi bezprawnego naruszenia dobra osobistego, jeżeli jest usprawiedliwione zadaniami i obowiązkami pracodawcy związanymi z prowadzeniem zakładu, jest niezbędne i nie narusza praw oraz wolności pracownika”.

Źródło: http://www.giodo.gov.pl/348/id_art/3665/j/pl/, dostęp: 05.05.2014 r.

238. Czy pracodawca może żądać od kandydata do pracy informacji o jego przynależności partyjnej?

Nie, gdyż nie zezwalają na to przepisy prawa.
Zakres danych osobowych, jakie może pozyskać pracodawca od osoby ubiegającej się o zatrudnienie został określony w art. 221 § 1 Kodeksu pracy. Są to następujące dane: imię (imiona) i nazwisko, imiona rodziców, data urodzenia, miejsce zamieszkania (adres do korespondencji), wykształcenie oraz przebieg dotychczasowego zatrudnienia. Pracodawca może żądać od pracowników także numeru PESEL oraz innych informacji, w tym imion i nazwisk oraz dat urodzenia dzieci, jeżeli od ich podania zależy korzystanie przez pracownika ze szczególnych uprawnień. Innych danych pracodawca może żądać jedynie wówczas, gdy ich udostępnienie nakazują odrębne przepisy.

Źródło: http://www.giodo.gov.pl/348/id_art/3491/j/pl/, dostęp: 06.05.2014 r.

239. Czy pracodawca musi mieć kontrolę nad pracownikami dopuszczonymi do przetwarzania danych osobowych zawartych w dokumentach?


Tak, pracodawca jak każdy inny administrator danych musi sprawować taką kontrolę.
Administrator danych osobowych musi mieć pełną kontrolę nad procesem przetwarzania danych, tak aby zapobiec postawaniu zdarzeń narażających dane na udostępnienie osobom nieupoważnionym oraz pełną kontrolę i wiedzę na temat procesu przetwarzania danych osobowych, za które jest odpowiedzialny. Wiąże się z tym również kontrola zachowania pracowników pod kątem przestrzegania przez nich zasad ochrony danych osobowych.

Źródło: http://www.giodo.gov.pl/348/id_art/3424/j/pl/, dostęp: 06.05.2014 r.

240. Czy pracodawca ma prawo zażądać od organizacji związkowej przedstawienia pełnej listy osób pozostających pod jej ochroną, gdy pracodawca nie ma zamiaru zwolnić ich z pracy?

Nie, bowiem takie uprawnienie nie wynika z przepisów prawa.
Zgodnie z art. 30 ust. 21 ustawy o związkach zawodowych, w indywidualnych sprawach ze stosunku pracy, w których przepisy prawa pracy zobowiązują pracodawcę do współdziałania z zakładową organizacją związkową, pracodawca jest obowiązany zwrócić się do tej organizacji o informację o pracownikach korzystających z jej obrony. Dotyczy to również pracowników niezrzeszonych w związku zawodowym, którzy mogą bronić swoich praw na zasadach dotyczących pracowników będących członkami związku, jeżeli wybrana przez nich zakładowa organizacja związkowa wyrazi zgodę na obronę ich praw pracowniczych.
Pozyskiwanie informacji o przynależności związkowej pracownika w toku konsultacji ze związkami zawodowymi jest uzasadnione w razie zamiaru rozwiązania umowy o pracę z konkretnym pracownikiem. Jednak brak jest podstaw do pozyskiwania przez pracodawcę od związku zawodowego danych osobowych w odniesieniu do wszystkich pracowników korzystających z ochrony danego związku zawodowego, w sytuacji gdy pracodawca nie ma zamiaru ich zwolnić z pracy.

Źródło: http://www.giodo.gov.pl/348/id_art/3391/j/pl/, dostęp: 06.05.2014 r.

241. Czy pracodawca ma prawo za pomocą specjalnego urządzenia skanować linie papilarne pracowników w celu rejestracji godzin ich przyjścia i wyjścia z zakładu pracy?

Nie ma do tego prawa, nawet za zgodą każdego pracownika.
Naczelny Sąd Administracyjny w wyroku z dnia 1 grudnia 2009 r. o sygn. akt I OSK 249/09, stwierdził, że „wyrażona na prośbę pracodawcy pisemna zgoda pracownika, na pobranie i przetworzenie jego danych osobowych, narusza prawa pracownika i swobodę wyrażenia przez niego woli. (…) Brak równowagi w relacji pracodawca pracownik stawia pod znakiem zapytania dobrowolność w wyrażeniu zgody na pobieranie i przetworzenie danych osobowych (biometrycznych). Z tego względu ustawodawca ograniczył przepisem art. 221 kodeksu pracy katalog danych, których pracodawca może żądać od pracownika”.
A zatem jedyną podstawą do gromadzenia odcisków linii papilarnych może być przepis prawa. Skoro jednak nie ma regulacji zezwalających pracodawcom na żądanie od podwładnych danych biometrycznych, jak linii papilarnych, obrazu tęczówki oka czy kodu DNA to ich gromadzenie jest zabronione.

Źródło: http://www.giodo.gov.pl/348/id_art/3358/j/pl/, dostęp: 06.05.2014 r.

242. Czy pracodawca zlecający podmiotowi zewnętrznemu prowadzenie obsługi księgowej ma również obowiązek zawarcia z nim umowy powierzenia przetwarzania danych osobowych?

Tak, gdyż obowiązek ten wynika z ustawy o ochronie danych osobowych, a prowadzenie dokumentacji księgowej wiąże się nierozerwalnie z przetwarzaniem danych osobowych pracowników.
Pracodawca udostępniając dane osobowe pracowników podmiotowi zewnętrznemu w celu prowadzenia obsługi księgowej swojej dokumentacji ma obowiązek zawrzeć z nim odrębną umowę powierzenia danych osobowych. Często bowiem pracodawca mylnie uważa, że skoro udzielił  podmiotowi zewnętrznemu pełnomocnictwa do jego reprezentowania (np. przed Urzędem Skarbowym i Zakładem Ubezpieczeń Społecznych) we wszystkich sprawach związanych z prowadzeniem księgowości, to pełnomocnictwo to stanowi podstawę powierzenia przetwarzania danych osobowych. Jest to sprzeczne z ustawą o ochronie danych osobowych, gdyż jej przepisy wyraźnie wymagają, aby umowa powierzenia przetwarzania danych osobowych była odrębną umową.

Źródło: http://www.giodo.gov.pl/348/id_art/3333/j/pl/, dostęp: 06.05.2014 r.

243. Czy przetwarzanie przez pracodawcę danych dotyczących nazwiska rodowego matki pracownika jest zgodne z prawem?

Nie, gdyż w świetle przepisów prawa dane te wykraczają poza zakres informacji wymaganych od pracownika.
Z przepisów Kodeksu pracy nie wynika, aby pracodawca mógł pozyskiwać nazwisko rodowe matki pracownika. W związku z powyższym przetwarzanie danych dotyczących nazwiska rodowego matki pracownika nie może być uznane za zgodne z prawem, gdyż wykracza poza zakres danych osobowych wskazany w art. 221 § 1 i 2 Kodeksu pracy, a obowiązek ich podania nie wynika z odrębnych przepisów prawa.

Źródło: http://www.giodo.gov.pl/348/id_art/3324/j/pl/, dostęp: 06.05.2014 r.

244. Czy dział kadr ma prawo przekazać akta osobowe pracownika innej osobie zatrudnionej u danego pracodawcy?

Tak, o ile jest to niezbędne do prawidłowego wykonywania obowiązków służbowych i o ile osoba, której pracodawca udostępnia akta personalne innej osoby u niego zatrudnionej, będzie posiadała nadane przez administratora danych (pracodawcę) upoważnienie do przetwarzania danych osobowych, w tym danych pochodzących z akt pracowniczych.
Pracodawca (administrator danych), wystawiając konkretnemu pracownikowi upoważnienie do przetwarzania danych osobowych, określa, do jakich danych osobowych będzie miał on dostęp, by prawidłowo mógł wykonywać swoje obowiązki. Powinien też czuwać, by osoby upoważnione do przetwarzania danych faktycznie miały dostęp do danych osobowych tylko w zakresie udzielonych upoważnień i nie miały wglądu w dane, do których nie są uprawnione.
Ponadto art. 38 ustawy zobowiązuje administratora, by sprawował kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.
Zatem jeśli pracodawca uzna, że ze względu na prawidłowe wykonywanie obowiązków służbowych dany pracownik powinien mieć dostęp do akt osobowych innych zatrudnionych, to jest zobowiązany nadać mu upoważnienie do przetwarzania danych osobowych.

Źródło: http://www.giodo.gov.pl/348/id_art/3207/j/pl/, dostęp: 06.05.2014 r.

245. Czy podmiot mający siedzibę w Polsce, który przeprowadza rekrutację pracowników on – line na obszarze państw należących do Europejskiego Obszaru Gospodarczego (Polska, Niemcy, Czechy) musi, prócz wypełnienia wymogów nałożonych polską ustawą o ochronie danych osobowych, spełnić również „lokalne” prawo każdego z tych krajów?

Nie, bowiem przetwarzanie danych osobowych na obszarze państw należących do państw Europejskiego Obszaru Gospodarczego oznacza, że przepływ danych – jako jedna z form przetwarzania - w obrębie EOG jest traktowany tak samo jakby odbywało się na terytorium Polski.
W konsekwencji przyjętego (w Polsce) rozwiązania przekazywanie danych osobowych do państw Europejskiego Obszaru Gospodarczego podlega ogólnym zasadom przetwarzania danych osobowych wynikających z przepisów polskiej ustawy o ochronie danych, z wyłączeniem przepisów rozdziału 7 ustawy regulujących kwestie przekazywania danych do państwa trzeciego (tj. do państw nie zapewniających odpowiedniego stopnia ochrony danych osobowych). Administrator danych, tak samo jak administrator danych przetwarzający dane na terytorium Polski, powinien spełnić odpowiednie obowiązki określone przepisami ustawy.
Reasumując, wystarczającym jest, aby podmiot mający siedzibę w Polsce, który przeprowadza rekrutację pracowników on-line na obszarze państw EOG spełnił wymogi wynikające z polskiej ustawy o ochronie danych osobowych.

Źródło: http://www.giodo.gov.pl/348/id_art/2999/j/pl/, dostęp: 06.05.2014 r.

246. Czy pracownik ma prawo wglądu w swoją dokumentację prowadzoną przez byłego pracodawcę?


Tak, każdy administrator danych (w tym przypadku były pracodawca) ma obowiązek udzielenia informacji osobie, której dane dotyczą w trybie ustawy o ochronie danych osobowych.
Podstawą prawną przetwarzania przez pracodawcę danych osobowych pracowników są przepisy ustawy z dnia 26 czerwca 1974 r. Kodeks pracy oraz wydane na jej podstawie akty wykonawcze, w szczególności rozporządzenie Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika.

Źródło: http://www.giodo.gov.pl/348/id_art/2995/j/pl/, dostęp: 06.05.2014 r.

247. Czy pracodawca możne przetwarzać informacje o relacjach rodzinnych i osobistych łączących zatrudnione u niego osoby?

Nie, bowiem takie działanie nie znajduje podstaw prawnych.
Zgodnie bowiem z art. 22 1 Kodeksu pracy, pracodawca może żądać od kandydata do pracy podania jedynie takich danych jak: imię i nazwisko, imiona rodziców, datę urodzenia, miejsce zamieszkania, wykształcenie i przebieg dotychczasowego zatrudnienia (§ 1). Natomiast od pracownika ma prawo żądać, niezależnie od powyższych danych osobowych, także innych danych pracownika, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy, oraz numeru PESEL pracownika (§ 2).
Wobec powyższego zbieranie informacji o relacjach rodzinnych i osobistych nie jest uzasadnione charakterem stosunków łączących pracownika z pracodawcą. Generalny Inspektor Ochrony Danych Osobowych wyraża przekonanie, że zbieranie przedmiotowych danych nie stanowi właściwego środka od osiągnięcia celu przetwarzania danych.

Źródło: http://www.giodo.gov.pl/348/id_art/2962/j/pl/, dostęp: 06.05.2014 r.

248. Który z administratorów danych powinien wydać pracownikowi tymczasowemu upoważnienie do przetwarzania danych osobowych – agencja, w której jest on zatrudniony, czy pracodawca, do którego został on skierowany (tzw. pracodawca użytkownik)?


Upoważnienie do przetwarzania danych osobowych powinien wydać pracodawca użytkownik, czyli pracodawca wyznaczający pracownikowi skierowanemu przez agencję pracy tymczasowej zadania i kontrolujący ich wykonanie.
Pracodawca użytkownik, jako administrator danych, winien uregulować kwestię dostępu do danych osobowych bezpośrednio z pracownikiem tymczasowym i wydać mu stosowne upoważnienie do przetwarzania danych osobowych. W myśl bowiem ustawy o ochronie danych osobowych każda osoba przetwarzająca dane osobowe w ramach działalności danego administratora danych musi legitymować się takim upoważnieniem. Upoważnienie powinno być udzielone nie tylko osobom, które bezpośrednio zatrudnione zostały w celu przetwarzania danych, ale również osobom, które mogą w takim przetwarzaniu uczestniczyć. Należy przy tym podkreślić, iż administrator danych powinien nadać upoważnienie do przetwarzania danych jedynie tym osobom, które w ramach wykonywania powierzonych im obowiązków służbowych mają dostęp do danych osobowych.

Źródło: http://www.giodo.gov.pl/348/id_art/2890/j/pl/, dostęp:06.05.2014 r.

249. Czy pracodawca, podejrzewając byłego pracownika o pisemny donos, ma prawo wykorzystać dokumenty z jego akt osobowych w celu sporządzenia ekspertyzy grafologicznej?


Nie, gdyż brak jest podstaw prawnych do takiego działania.
Przepisy prawa jasno określają, jakie działania na danych osobowych zawartych w aktach osobowych pracownika mogą być podejmowane przez pracodawcę. Tryb przetwarzania danych osobowych pracowników gromadzonych w aktach osobowych został uregulowany w przepisach rozporządzenia Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika. Stosownie do treści § 6 ww. aktu prawnego celem prowadzenia akt osobowych pracowników jest gromadzenie dokumentów dotyczących ubiegania się o zatrudnienie, nawiązania stosunku pracy i przebiegu zatrudnienia oraz związanych z ustaniem zatrudnienia. W sytuacji zaś ustania stosunku pracy, dalsze przetwarzanie danych osobowych pracownika, zgromadzonych w aktach osobowych, odbywa się w celach archiwalnych na podstawie przepisów ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach.

Źródło: http://www.giodo.gov.pl/348/id_art/2878/j/pl/, dostęp: 06.05.2014 r.

250. Czy pracodawca udostępniając komornikowi dane pracownika, będącego dłużnikiem w prowadzonym postępowaniu egzekucyjnym, ma następnie obowiązek poinformowania tego pracownika o fakcie udostępnienia tych danych?


Nie, gdyż komornik nie jest tzw. odbiorcą danych w rozumieniu przepisów ustawy o ochronie danych osobowych.
Komornik, któremu udostępnia się dane osobowe jako organowi postępowania egzekucyjnego, nie jest odbiorcą danych w rozumieniu ustawy o ochronie danych osobowych (albowiem jest organem państwowym), a w związku z tym administrator danych - pracodawca nie ma obowiązku informowania pracownika (dłużnika) o udostępnieniu danych temu podmiotowi.

Źródło: http://www.giodo.gov.pl/348/id_art/1897/j/pl/, dostęp: 06.05.2014 r.

251. Czy urzędnicy udzielając w korespondencji elektronicznej odpowiedzi na zadawane pytanie, mogą odmówić podania swoich danych osobowych - imienia, nazwiska oraz pełnionej funkcji – argumentując to przepisami ustawy o ochronie danych osobowych?


Nie. Praktyka nieujawniania przez urzędników ich imion i nazwisk oraz pełnionej funkcji w służbowej korespondencji przesyłanej drogą elektroniczną w odpowiedzi na zadawane pytania nie znajduje uzasadnienia prawnego.
Zgodnie z wyrokiem Naczelnego Sądu Administracyjnego z dnia 24 czerwca 1999 r. (sygn. akt II S.A. 686/99), "błędnym jest twierdzenie, iż imię i nazwisko oraz stanowisko pracownika państwowego (z wyjątkiem służb specjalnych) lub samorządowego podlega ochronie danych osobowych na podstawie przepisów ustawy (...) o ochronie danych osobowych (...)"
Należy zatem stwierdzić, że dane pracownika, w zakresie, w jakim wiążą się ze sferą jego życia zawodowego, a do takich niewątpliwie zaliczyć należy jego imię i nazwisko oraz pełnioną funkcję, stanowią "dane służbowe"; które – stosownie do powyższego – powinny być jawne. Na uwagę zasługuje również fakt, że urzędnicy państwowi działają w interesie obywateli i nie mogą być anonimowi.

Źródło: http://www.giodo.gov.pl/348/id_art/1804/j/pl/, dostęp: 06.05.2014 r.

252. Czy wyniki obowiązkowych badań lekarskich mogą zostać wydane pracodawcy, który na powyższe badania kieruje?


Nie, gdyż przepisy prawa zezwalają tylko na wydanie zaświadczenia o braku przeciwwskazań lub też o przeciwwskazaniach zdrowotnych danego pracownika do pracy na określonym stanowisku.
Podstawą do kierowania na badania lekarskie pracowników przez pracodawcę są przepisy ustawy z dnia 26 czerwca 1974 r. Kodeks pracy, w tym szczególnie art. 229 oraz wydane na jej podstawie rozporządzenie Ministra Zdrowia i Opieki Społecznej z dnia 30 maja 1996 r. w sprawie przeprowadzania badań lekarskich pracowników, zakresu profilaktycznej opieki zdrowotnej nad pracownikami oraz orzeczeń lekarskich wydawanych do celów przewidzianych w Kodeksie pracy.
Zgodnie z ust. 5 wskazanego przepisu zaświadczenia te lekarz przeprowadzający badanie profilaktyczne przekazuje pracownikowi i pracodawcy. Jak zatem z tego wynika pracodawca otrzymuje jedynie zaświadczenie o braku przeciwwskazań lub też o przeciwwskazaniach zdrowotnych danego pracownika do pracy na określonym stanowisku. Rozporządzenie nie daje mu tym samym uprawnień do otrzymania wyników badań lekarskich pracownika.

Źródło: http://www.giodo.gov.pl/348/id_art/1712/j/pl/, dostęp: 06.05.2014 r.

253. Czy praktyka udostępniania zbiorczej listy płac zatrudnionych pracowników innym pracownikom przy okazji odbioru przez nich u pracodawcy odcinka listy płac zawierającego składniki wynagrodzenia może naruszać ustawę o ochronie danych osobowych?


Tak, gdyż dostęp do wynagrodzenia pracowników mają inne, nieuprawnione, osoby.
Umożliwianie wglądu pracownikom do zbiorczej listy płac zawierającej informacje o wysokości wynagrodzenia innych pracowników stanowi naruszenie ustawy o ochronie danych osobowych. Sąd Najwyższy również wypowiadał się w kwestii ochrony tajemnicy wynagrodzenia, stwierdzając w uchwale podjętej 16 lipca 1993 r.: "ujawnienie przez pracodawcę bez zgody pracownika wysokości jego wynagrodzenia za pracę może stanowić naruszenie dobra osobistego w rozumieniu art. 23 i 24 Kodeksu cywilnego."

Źródło: http://www.giodo.gov.pl/348/id_art/1669/j/pl/, dostęp: 06.05.2014 r.

254. Czy pracownicy działów kadr powinni posiadać upoważnienia wydane przez pracodawcę - zgodnie z art. 37 ustawy o ochronie danych osobowych - oraz czy należy osoby takie ujmować w ewidencji, o której mowa w art. 39 ustawy?

Tak, gdyż wymagają tego przepisy ustawy o ochronie danych osobowych.
Pracownicy działów kadr nie stanowią szczególnej grupy, wobec której administrator zwolniony byłby z obowiązku określonego w art. 37 oraz 39 ustawy o ochronie danych osobowych; muszą oni posiadać stosowne upoważnienia do przetwarzania danych oraz być uwzględnieni w ewidencji prowadzonej przez administratora danych.

Źródło: http://www.giodo.gov.pl/348/id_art/1605/j/pl/, dostęp: 06.05.2014 r.

255. Czy obowiązek noszenia przez pracowników identyfikatorów narusza przepisy ustawy?

Obowiązek noszenia przez pracowników identyfikatorów zawierających m.in. imię i nazwisko wynika z wewnętrznych uregulowań wydanych przez pracodawcę (np. z regulaminu pracy wydanego na podstawie art. 104 § 1 Kodeksu pracy). Regulamin ustala organizację i porządek pracy oraz związane z tym prawa i obowiązki pracowników. Służyć ma on porządkowi i sprawności w załatwianiu spraw w zakładzie pracy. Obowiązek ujawniania w tej postaci swoich danych osobowych, jeżeli wynika z wewnętrznych przepisów obowiązujących w zakładzie pracy, nie jest sprzeczny z ustawą o ochronie danych osobowych.

Źródło: http://www.giodo.gov.pl/348/id_art/981/j/pl/, dostęp: 06.05.2014 r.

256. Czy pracodawca ma prawo publikować na swoich stronach internetowych takie dane osobowe pracowników jak ich imiona i nazwiska, stanowiska, dokładne miejsce pracy (numer pokoju, telefon, adres e-mail), bez zgody tych osób.

Takie informacje o pracowniku, jak jego imię i nazwisko, służbowy adres e-mail, czy też służbowy numer telefonu są ściśle związane z życiem zawodowym pracownika i z wykonywaniem przez niego obowiązków służbowych. Z uwagi na to dane te mogą być wykorzystywane przez pracodawcę – także bez zgody osoby, której one dotyczą.
Źródło: http://www.giodo.gov.pl/348/id_art/1118/j/pl/, dostęp: 06.05.2014 r.

257. Czy, ze względu na fakt, że w zbiorze danych pracowników znajdują się, poza danymi osobowymi pracowników, również informacje dotyczące członków ich rodzin (małżonków i dzieci), pracodawca ma obowiązek zgłoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbioru danych osób u niego zatrudnionych?

Nie, gdyż takie dane osobowe dotyczą pracowników i dlatego zbiory je zawierające nie podlegają zgłoszeniu do rejestracji u GIODO.
Dane osobowe członków rodzin pracownika należą w istocie do danych pracownika. Ich przetwarzanie związane jest z zatrudnieniem pracownika i wynika z konieczności wywiązywania się przez pracodawców z obowiązków, jakie względem pracowników ciążą na nich na mocy przepisu prawa pracy (np. urlopy na opiekę nad dzieckiem, świadczenia finansowe z zakładowego funduszu świadczeń socjalnych). Przetwarzanie danych członków rodzin pracowników nie jest zatem celem samym w sobie, lecz dane te są ściśle związane z danymi pracownika.

Źródło: http://www.giodo.gov.pl/348/id_art/1241/j/pl/, dostęp: 06.05.2014 r.

258. Czy zgodna z ustawą o ochronie danych osobowych jest praktyka przetwarzania przez firmy rekrutacyjne danych osobowych kandydatów do pracy, pozyskiwanych na podstawie ogłoszeń zamieszczanych w prasie, w których potencjalny pracodawca, zlecający firmie rekrutacyjnej przeprowadzenie postępowania rekrutacyjnego, zastrzega sobie anonimowość?

Nie, gdyż w ten sposób nie jest spełniony tzw. obowiązek informacyjny wobec osób, których dane są gromadzone.
Praktyka taka budzi wątpliwości z punktu widzenia zgodności z przepisami ustawy o ochronie danych osobowych. W ocenie Generalnego Inspektora Ochrony Danych Osobowych, tego rodzaju praktyka narusza dyspozycję art. 24 ust. 1 powołanej ustawy. Zgodnie z jego treścią, w sytuacji zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować ją m. in. o adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku (pkt. 1), a także o celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych (pkt 2). Obowiązek informacyjny wyłączony jest jedynie w sytuacji, gdy przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania, a także gdy osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1 powołanego artykułu. Z uwagi na to, iż w przypadku gromadzenia danych osobowych na podstawie zamieszczonego w prasie ogłoszenia o zatrudnieniu, żaden ze wskazanych wyżej wyjątków nie ma miejsca, podmiot gromadzący dane, będący ich administratorem w rozumieniu art. 7 pkt 4 ustawy o ochronie danych osobowych, obowiązany jest dopełnić obowiązku informacyjnego, o którym mowa w art. 24 ust. 1, w szczególności zaś poinformować o nazwie potencjalnego pracodawcy, któremu dane zostaną udostępnione.

Źródło: http://www.giodo.gov.pl/348/id_art/1244/j/pl/, dostęp: 06.05.2014 r.

259. Czy podanie w publikacji książkowej imion i nazwisk pracowników samorządowych, zakresu ich uprawnień oraz nazw wydziałów urzędu miejskiego, w których pracują, jest zgodne z prawem?


Tak, gdyż są to tzw. dane służbowe i są one, co do zasady, jawne.
Zgodnie z wyrokiem Naczelnego Sądu Administracyjnego z dnia 24 czerwca 1999 r. (sygn. akt II SA 686/99) - "(...) błędnym jest twierdzenie, iż imię i nazwisko oraz stanowisko pracownika państwowego (z wyjątkiem służb specjalnych) lub samorządowego podlega ochronie danych osobowych na podstawie przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych".
Z uwagi na powyższe stwierdzić należy, iż podanie w publikacji książkowej, danych osobowych urzędników, w zakresie ich imion, nazwisk i uprawnień, ze wskazaniem wydziałów, w których aktualnie pracują, nie będzie naruszało przepisów ustawy o ochronie danych osobowych. Informacje te wiążą się bowiem z ich życiem zawodowym i nie wkraczają w sferę prywatności danego urzędnika.

260. Jakich danych osobowych może żądać pracodawca od pracowników oraz osób ubiegających się o zatrudnienie?

Zakres danych osobowych, które może pozyskać pracodawca od pracownika oraz osoby ubiegającej się o zatrudnienie reguluje art. 221 ustawy z dnia 26 czerwca 1974 r. Kodeks pracy.
Zgodnie z art. 221 § 1 Kodeksu pracy, pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: imię (imiona) i nazwisko, imiona rodziców, datę urodzenia, miejsce zamieszkania (adres do korespondencji), wykształcenie, przebieg dotychczasowego zatrudnienia.
Zakres danych osobowych, których pracodawca może żądać od pracownika jest nieco szerszy. § 2 powołanego przepisu upoważnia pracodawcę do żądania innych danych osobowych pracownika poza wymienionymi w § 1, a także imion i nazwisk oraz dat urodzenia dzieci, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy, jak również numeru PESEL pracownika, nadanego przez Rządowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL). Ponadto, pracodawca jest uprawniony do uzyskania od pracownika innych danych osobowych niż wyżej określone, jeżeli obowiązek ich podania wynika z odrębnych przepisów (§ 4 cytowanego przepisu).

Źródło: http://www.giodo.gov.pl/348/id_art/971/j/pl/, dostęp: 12.05.2014 r.

261. Czy pracodawca prowadzący rekrutację do pracy może nakazać kandydatowi dostarczenie zdjęcia?

Nie, biorąc pod uwagę przepisy Kodeksu pracy, pracodawca nie ma do tego prawa.
Zgodnie z art. 22 1 § 1 Kodeksu pracy, pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: imię (imiona) i nazwisko, imiona rodziców, datę urodzenia, miejsce zamieszkania (adres do korespondencji), wykształcenia, przebieg dotychczasowego zatrudnienia.
Niemniej powyższe przepisy nie nakładają obowiązku przekazywania pracodawcy przez kandydata do pracy swojego zdjęcia (niezależnie od formy jego udostępnienia). Zatem stwierdzić należy, że o ile kandydat sam z własnej woli udostępni dodatkowe informacje na swój temat, np. zdjęcie, to wyrażona przez niego zgoda na wykorzystanie będzie elementem legalizującym przetwarzanie tych danych na potrzeby naboru przez pracodawcę.
Warto również dodać, że pracodawca nie może sugerować kandydatowi do pracy zakresu innych danych, które z własnej woli kandydat miałby przekazywać. W tej sytuacji bowiem nie można byłoby uznać „zgody” kandydata za przesłankę zezwalającą na pozyskiwanie danych (np. zdjęć) na potrzeby rekrutacji, gdyż w relacjach pracodawca – kandydat do pracy trudno byłoby uznać ją za dobrowolną, co potwierdził m.in. Naczelny Sąd Administracyjny w wyroku z 1 grudnia 2009 r. (sygn. akt I OSK 249/09). Uznał on bowiem, że „Brak równowagi w relacji pracodawca pracownik stawia pod znakiem zapytania dobrowolność w wyrażeniu zgody na pobieranie i przetworzenie danych osobowych (fotografii). Tym samym uznać należy, że przetwarzanie zdjęcia jest możliwe jedynie wtedy, gdy kandydat samodzielnie zadecydował o przekazaniu zdjęcia i nie był nagabywany o to przez przyszłego pracodawcę.

Źródło: http://www.giodo.gov.pl/348/id_art/6433/j/pl/, dostęp: 12.05.2014 r.

262. Czy związek zawodowy ma prawo pozyskać od pracodawcy imienną listę wynagrodzeń wszystkich pracowników?

Nie, gdyż żaden przepis prawa nie daje związkom zawodowym takiego uprawnienia.
O ile informacje o pracowniku takie jak np. jego imię i nazwisko są ściśle związane z życiem zawodowym pracownika, czyli z wykonywaniem przez niego obowiązków służbowych i mogą być wykorzystywane (udostępniane) przez pracodawcę nawet bez zgody pracownika, to już informacje o wynagrodzeniu pracownika, jako należące do kategorii dóbr osobistych, mogą być udostępniane np. za jego zgodą.
Kwestię pozyskiwania przez związek zawodowy danych osobowych pracowników rozpatrywać należy przede wszystkim w kontekście przepisów szczególnych w stosunku do ustawy o ochronie danych osobowych, a zwłaszcza ustawy z dnia 23 maja 1991 r. o związkach zawodowych oraz ustawy z dnia 26 czerwca 1974 r. Kodeks pracy.
Pracodawca jako administrator danych osobowych pracowników jest zobligowany czuwać nad bezpieczeństwem tych danych, które przetwarza w związku z zatrudnieniem. A zatem udostępnianie danych dotyczących pracownika winno odbywać się jedynie w oparciu o przepisy prawa, w skonkretyzowanym celu i zakresie. Jeżeli jednak przepisy prawa – w tym ustawy o związkach zawodowych – nie wskazują wprost na kompetencje związków zawodowych w określonej materii, to takiego uprawnienia nie można domniemywać.
Reasumując powyższe, informacje o pracowniku takie jak np. jego imię i nazwisko są ściśle związane z życiem zawodowym pracownika i z wykonywaniem przez niego obowiązków służbowych i w związku z tym mogą być wykorzystywane (udostępniane) przez pracodawcę nawet bez zgody pracownika, którego one dotyczą. Informacje natomiast
o jego wynagrodzeniu, jako należące do kategorii dóbr osobistych, chronione są przepisami ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny i żaden przepis ustawy o związkach zawodowych nie zezwala na ich udostępnienie.

Źródło: http://www.giodo.gov.pl/348/id_art/6472/j/pl/, dostęp:12.05.2014 r.

263. Czy zbiór danych przedsiębiorców - osób fizycznych prowadzących działalność gospodarczą należy zgłosić do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych?

Nie w każdym przypadku będzie konieczne zgłoszenie zbioru danych przedsiębiorców - osób fizycznych prowadzących działalność gospodarczą do rejestracji GIODO.
W wyniku uchylenia z dniem 1 stycznia 2012 r. art. 7a ust. 2 ustawy z dnia 19 listopada 1999 r. Prawo działalności gospodarczej, który wyłączał dane osobowe zawarte w ewidencji działalności gospodarczej spod przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, ochronie przewidzianej w tej ustawie podlegają obecnie dane osób fizycznych bez względu na to czy osoby te prowadzą działalność gospodarczą, czy też nie. Administrator danych osób fizycznych prowadzących działalność gospodarczą zobowiązany jest więc do spełnienia obowiązków wynikających z przepisów ustawy o ochronie danych osobowych, w tym obowiązku zgłoszenia zbioru do rejestracji, określonego w art. 40 tej ustawy. Zgłoszenie zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych jest regułą, od której wyjątki zostały wymienione w art. 43 ust. 1 pkt 1 - 11 ustawy o ochronie danych osobowych. Wyjątki te nie mogą być interpretowane rozszerzająco.

Źródło: http://www.giodo.gov.pl/1520021/j/pl/, dostęp: 12.05.2014 r.

264. Czy administrator danych może rozesłać do kilku dłużników jeden jednobrzmiący e-mail o konieczności uregulowania należności, w którym uwidocznione są wszystkie adresy e-mailowe pozostałych osób, do których kierowana jest korespondencja?

Nie, bowiem takie działanie administratora danych prowadziłoby do udostępnienia danych osobowych osobom nieupoważnionym.
Podkreślić należy, że przetwarzanie danych osobowych przez ich administratora musi opierać się nie tylko o stosowną podstawę prawną, ale także odbywać się w sposób, który zapewni, by dane nie zostały udostępnione osobom nieupoważnionym. Zatem udostępnienie przez administratora danych osobowych pozostałym osobom o podobnym statusie dłużnika jest niezgodne z przepisami prawa.
Poza powyższym zwrócić uwagę należy, że charakter przesyłanej wiadomości w powiązaniu z adresem poczty elektronicznej konkretnej osoby, w związku z możliwością ewentualnego jej zidentyfikowania, może również prowadzić do naruszenia dóbr osobistych tej osoby na gruncie przepisów ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny

Źródło: http://www.giodo.gov.pl/391/id_art/3659/j/pl/, dostęp: 12.05.2014 r.

265. Czy firma windykacyjna może podawać do publicznej wiadomości dane osobowe dłużników w celu sprzedaży ich wierzytelności?

Tak, gdyż dane te są niezbędne do określenia wierzytelności wystawionej na sprzedaż, jednak ich zakres musi być adekwatny do osiągnięcia celu, czyli sprzedaży wierzytelności.
Uzasadnione jest takie wskazanie danych osobowych dłużnika, które są tylko niezbędne do określenia tej wierzytelności. Zgodnie bowiem z zasadą adekwatności wyrażoną w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych administrator danych (np. firma windykacyjna) powinien przetwarzać (gromadzić, udostępniać) tylko te dane, które są niezbędne (konieczne) dla określonego celu. Można zatem przyjąć, iż ujawnienie w ofercie sprzedaży wierzytelności danych osobowych dłużnika w zakresie jego imienia, nazwiska i miejscowości zamieszkania (bez podawania dokładnego adresu) jest uzasadnione, gdyż określa przeciwko komu wierzytelność przysługuje, ale nie wkracza jednocześnie zbytnio w jego prywatność. Zbyteczne i ingerujące w prywatność dłużnika byłoby natomiast podawanie w ofercie sprzedaży wierzytelności dokładnego adresu zamieszkania dłużnika.

Źródło: http://www.giodo.gov.pl/391/id_art/3454/j/pl/, dostęp: 12.05.2014 r.

266. Czy na gruncie przepisów ustawy o ochronie danych osobowych dopuszczalne jest przekazywanie, firmom windykacyjnym, danych osobowych dłużnika?

Tak, gdyż jej przepisy dopuszczają przetwarzanie danych osobowych, jeśli spełnione są pewne, określone, przesłanki.
Administrator danych może powierzyć ich przetwarzanie podmiotowi zajmującemu się windykacją wierzytelności w drodze umowy zawartej na piśmie na podstawie art. 31ustawy o ochronie danych osobowych. Niezbędnymi elementami tej umowy jest określenie celu, w jakim podmiot, któremu powierzono przetwarzanie danych może je przetwarzać oraz zakresu powierzonych do przetwarzania danych. Podmiot ten może bowiem przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie. Powierzenie przetwarzania danych na podstawie umowy, o której stanowi art. 31 ustawy, w określonym w niej celu, jest działaniem prawnie dopuszczalnym i nie stanowi nieuprawnionego udostępnienia danych przez ich administratora innemu podmiotowi.
W kontekście legalności udostępniania danych osobowych podmiotom trudniącym się windykacją należności należy również zwrócić uwagę na przepisy Kodeksu cywilnego, a szczególnie na art. 509 odnoszący się do cesji wierzytelności. Przepis ten stanowi, iż wierzyciel może bez zgody dłużnika przenieść wierzytelność na osobę trzecią (przelew), chyba, że sprzeciwiałoby się to ustawie, zastrzeżeniu umownemu albo właściwości zobowiązania (§ 1). Wraz z wierzytelnością przechodzą na nabywcę wszelkie związane z nią prawa, w szczególności roszczenie o zaległe odsetki (§ 2 ww. artykułu). Jednocześnie jednak z art. 385 3 pkt 5 Kodeksu cywilnego wynika, iż w razie wątpliwości uważa się, że niedozwolonymi postanowieniami umownymi są te, które w szczególności zezwalają kontrahentowi konsumenta na przeniesienie praw i przekazanie obowiązków wynikających z umowy bez zgody konsumenta. Istotny w tym przedmiocie, rozstrzygający wątpliwości, dotyczące legalności przetwarzania danych w związku z cesją wierzytelności, jest wyrok Naczelnego Sądu Administracyjnego z dnia 6 czerwca 2005 r., (sygn. akt I OPS 2/2005), z którego wynika, że można przekazywać firmom windykacyjnym dane dłużników bez ich zgody, ale trzeba wyważać między ochroną ich praw i wolności obywatelskich oraz prywatności a interesami wierzycieli.

Źródło: http://www.giodo.gov.pl/391/id_art/1708/j/pl/, dostęp: 12.05.2014 r.

267. Czy kontroler biletów w środkach transportu komunikacji miejskiej może żądać od podróżującego, który nie posiada biletu lub ważnego biletu na przejazd, okazania dokumentu tożsamości lub wezwać Policję w celu wylegitymowania go?


Tak, gdyż uprawniają go do tego przepisy ustawy Prawo przewozowe.
Należy stwierdzić, że prawo przewoźnika lub organizatora publicznego transportu zbiorowego albo osoby przez niego upoważnionej (np. kontrolera), do ustalania tożsamości osoby podróżującej bez biletu lub ważnego biletu wynika wprost z przepisów prawa. Podobnie jak prawo współdziałania w tym zakresie z Policją i innymi organami porządkowymi, które mają prawo ustalania tożsamości. Uprawnione jest także przetrzymywanie podróżnego do czasu ich przybycia.

Źródło: http://www.giodo.gov.pl/378/id_art/1540/j/pl/, dostęp: 12.05.2014 r.

268. Czy przewoźnik może odmówić dopełnienia obowiązku informacyjnego w stosunku do osoby, której dane przetwarza ze względu na jazdę bez ważnego biletu, zasłaniając się tym, iż wcześniej informował ją o podstawie prawnej, celu i zakresie przetwarzania danych?

Nie, bowiem, każdy ma prawo raz na pół roku wystąpić do administratora danych z prośbą o dopełnienie obowiązku informacyjnego, zaś administrator musi tego obowiązku dopełnić, zgodnie z zachowaniem zasad wynikających z ustawy o ochronie danych osobowych.
Przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, gwarantują osobie zainteresowanej, a więc tej, której dane są przetwarzane, prawo do informacji. Dzięki temu może ona kontrolować przetwarzanie jej danych zgromadzonych w zbiorach. Wzmocnienie tych gwarancji stanowi nałożenie na administratorów danych obowiązku informacyjnego w stosunku do osoby zainteresowanej, o którym stanowi art. 33 ust. 1 ustawy. Zgodnie z jego treścią, na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz w zrozumiałej formie udzielić informacji, o których mowa w art. 32 ust. 1 pkt 1 – 5a.

Źródło: http://www.giodo.gov.pl/378/id_art/3658/j/pl/, dostęp: 12.05.2014 r.

269. Czy zakres danych osobowych, jakie może żądać w zawieranych umowach podmiot zajmujący się odbieraniem odpadów komunalnych można ustalać w kontekście przepisów ustawy o ochronie danych osobowych?

Tak, jeśli bowiem w przepisach szczególnych dotyczących działania podmiotów zajmujących się odbieraniem odpadów komunalnych brak jest wyraźnego uregulowania tej kwestii, wówczas zastosowanie znajdują ogólne wskazówki zawarte w ustawie o ochronie danych osobowych.
Firma zajmująca się odbieraniem odpadów komunalnych zawierając z lokatorami umowę o wywóz odpadów powinna gromadzić tylko te dane, które są niezbędne do jej realizacji. Na pewno takimi niezbędnymi danymi osobowymi będzie imię i nazwisko oraz adres zamieszkania strony umowy. Natomiast, jeśli żąda się numeru telefonu (również komórkowego), czy adresu e-mail powinno być zaznaczone, iż ich podanie jest dobrowolne i nie wpływa na realizację treści umowy. Gdyby jednak podmiot zażądał informacji, które budziłyby wątpliwości drugiej strony umowy, wówczas powinna ona zwrócić się do tego podmiotu o wskazanie podstawy prawnej żądania.

Źródło: http://www.giodo.gov.pl/452/id_art/3278/j/pl/, dostęp: 12.05.2014 r.

270. Czy w Biuletynie Informacji Publicznej (BIP) można opublikować oświadczenia majątkowe radnych zawierające adresy ich zamieszkania?

Nie. Publikacja w BIP oświadczeń majątkowych radnych wraz z adresami ich zamieszkania jest niezgodna z przepisami prawa.
Zgodnie z przepisami prawa, na podstawie którego działają jednostki samorządu terytorialnego, informacje zawarte w oświadczeniu majątkowym radnych są jawne, z wyłączeniem informacji o adresie zamieszkania osoby składającej oświadczenie oraz o miejscu położenia nieruchomości (art. 24i ustawy o samorządzie gminnym, art. 25d ust. 1 ustawy z dnia 5 czerwca 1998 r. o samorządzie powiatowym, art. 27d ust. 1 ustawy z dnia 5 czerwca 1998 r. o samorządzie województwa). To te przepisy stanowią o legalności przetwarzania (a więc m.in. gromadzenia i ujawniania) danych osobowych. Ustawa o ochronie danych osobowych zezwala bowiem na przetwarzanie danych m.in. wówczas, gdy odbywa się ono na podstawie innych, szczególnych przepisów prawa (art. 23 ust. 1 pkt 2).

Źródło: http://www.giodo.gov.pl/452/id_art/3007/j/pl/, dostęp: 12.05.2014 r.

271. Czy gońcy, czyli pracownicy urzędu miasta doręczający korespondencję urzędową muszą posiadać, nadane przez administratora, upoważnienie do przetwarzania danych osobowych?

Tak, bowiem każda osoba, która uczestniczy w przetwarzaniu danych osobowych musi posiadać stosowne upoważnienie do przetwarzanie danych osobowych nadane przez administratora danych.
Gońcy, czyli osoby trudniące się doręczaniem korespondencji, z racji wykonywanych przez nich czynności, mają dostęp do danych osobowych choćby w zakresie imion i nazwisk, czy adresów osób, którym korespondencję doręczają, a tym samym przetwarzają dane osobowe. Przetwarzanie danych osobowych rozumiane jest bowiem jako jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych (art. 7 pkt 2 ustawy o ochronie danych osobowych). W konsekwencji, takie osoby jak gońcy, podobnie, jak wszystkie inne osoby przetwarzające dane osobowe w imieniu i na rzecz administratora, stosownie do art. 37 ustawy o ochronie danych osobowych, muszą otrzymać od niego odpowiednie upoważnienie do przetwarzania danych osobowych.

Źródło: http://www.giodo.gov.pl/452/id_art/2829/j/pl/, dostęp: 12.05.2014 r.

272. Czy jednostka wykonujących zadania pomocy społecznej może udostępnić kuratorowi sądowemu dane osobowe osób korzystających z ich opieki?

Tak, jeśli te informacje miałyby stanowić niezbędną pomoc w wykonywaniu zadań służbowych przez kuratora sądowego.
Podstawę prawną udostępnienia kuratorowi sądowemu (zarówno zawodowemu, jak i społecznemu) informacji o konkretnym dozorowanym (będącym jednocześnie klientem ośrodka pomocy społecznej), w określonych okolicznościach, gdy dane te są niezbędne do prawidłowego wykonania obowiązków służbowych kuratora, stanowi art. 9 pkt 5 ustawy z dnia 27 lipca 2001 r. o kuratorach sądowych. Przepis ten daje kuratorowi prawo żądania od Policji oraz innych organów lub instytucji państwowych, organów samorządu terytorialnego, stowarzyszeń i organizacji społecznych w zakresie ich działania, a także od osób fizycznych pomocy w wykonywaniu czynności służbowych. Podkreślić przy tym należy, iż przepis ten nie może stanowić podstawy udostępnienia kuratorom sądowym danych ogółu osób korzystających z pomocy ośrodków pomocy społecznej, lecz jedynie konkretnego dozorowanego, będącego pod nadzorem kuratora występującego z żądaniem udostępnienia danych.

Źródło: http://www.giodo.gov.pl/452/id_art/2167/j/pl/, dostęp: 12.05.2014 r.

273. Czy osoba będąca stroną postępowania administracyjnego prowadzonego przez organ administracji publicznej może zastrzec, aby jej dane osobowe znajdujące się w aktach sprawy nie były udostępniane innym stronom tego postępowania?

Nie, gdyż zastrzeżenie adresu w toku postępowania prowadzonego przez organ administracji publicznej naruszałoby zasadę czynnego udziału strony w postępowaniu, a tym samym postępowanie to byłoby dotknięte wadą procesową.
Stosownie do art. 63 § 2 Kpa, podanie wnoszone do organu administracji publicznej powinno zawierać co najmniej wskazanie osoby, od której pochodzi, jej adres i żądanie oraz czynić zadość innym wymaganiom ustalonym w przepisach szczególnych. Oznacza to, iż od momentu wszczęcia postępowania jego strona powinna być w pełni zidentyfikowania. Ponadto, zgodnie z art. 61 § 4 Kpa, o wszczęciu postępowania z urzędu lub na żądanie jednej ze stron należy zawiadomić wszystkie osoby będące stronami w sprawie. Jedną z zasad tego postępowania jest zasada czynnego udziału strony w postępowaniu, co oznacza, że organ administracji publicznej jest zobowiązany zapewnić stronom czynny udział w każdym stadium postępowania, a przed wydaniem decyzji umożliwić im wypowiedzenie się co do zebranych dowodów i materiałów oraz zgłoszonych żądań (art. 10 § 1 Kpa.). Przepis art. 73 § 1 Kpa., stanowi natomiast, że strona ma prawo wglądu w akta sprawy, sporządzania z nich notatek, kopii lub odpisów. Prawo to przysługuje również po zakończeniu postępowania.
Przepisy Kodeksu postępowania administracyjnego nie przewidują możliwości utajnienia adresu podanego przez stronę postępowania administracyjnego, jak również trybu wyłączania z akt jakichkolwiek dokumentów ze względu na zastrzeżenie adresu, czy innych danych.

Źródło: http://www.giodo.gov.pl/452/id_art/2165/j/pl/, dostęp: 12.05.2014 r.

274. Czy komisja rewizyjna rady gminy dokonując czynności kontrolnych ma prawo dostępu do wszystkich dokumentów, w tym do indywidualnej dokumentacji osób fizycznych, czy też jej uprawnienia są ograniczone ze względu na ochronę danych osobowych?

Przepisy prawa nie precyzują, do jakich dokumentów mają prawo dostępu członkowie komisji rewizyjnej dokonujący czynności kontrolnych, dlatego w tej kwestii należy stosować ogólne zasady przetwarzania danych zawarte w ustawie o ochronie danych osobowych.

Źródło: http://www.giodo.gov.pl/452/id_art/2163/j/pl/, dostęp: 12.05.2014 r.

275. Czy dane osobowe sołtysa podlegają ochronie przewidzianej przepisami ustawy o ochronie danych osobowych?

Dane osobowe sołtysa, o ile ściśle wiążą się z pełnioną przez sołtysa rolą publiczną i nie wkraczają w jego prywatność, podlegają ograniczonej ochronie prawnej.




Lista najciekawszych odnośników