• CO TO SĄ DANE OSOBOWE?
  

Art. 6 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 677):

1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

 

• JAKA JEST AKTUALNA PODSTAWA PRAWNA DOTYCZĄCA DANYCH OSOBOWYCH?

Jest to ustawa z dn. 29 sierpnia 1997 o ochronie danych osobowych.

Z ustawą można się zapoznać w Internetowym Systemie Aktów Prawnych: http://isip.sejm.gov.pl/DetailsServlet?id=WDU19971330883

Oraz na stronie GIODO: http://www.giodo.gov.pl/484/id_art/386/j/pl/

 

• CZY PESEL JEST DANĄ OSOBOWĄ?

Tak, PESEL jest daną osobową. Jest to 11-cyfrowy symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną, w którym sześć pierwszych cyfr oznacza datę urodzenia (rok, miesiąc, dzień), kolejne cztery – liczbę porządkową i płeć osoby, a ostatnia jest cyfrą kontrolną służącą do elektronicznej kontroli poprawności nadanego numeru ewidencyjnego.

• CO TO JEST GIODO?

GIODO to skrót nazwy Generalny Inspektor Ochrony Danych Osobowych. Urząd ten zajmuje się wszelkimi zagadnieniami związanymi z ochroną danych osobowych i działa w oparciu o ustawę z dn. 29 sierpnia 1997 o ochronie danych osobowych.

Strona internetowa Urzędu – http://www.giod

 

• CO TO JEST PRZETWARZANIE DANYCH OSOBOWYCH?

Przetwarzanie danych osobowych to jakiekolwiek operacje wykonywane na danych osobowych, takie jak:

• zbieranie,
• utrwalanie,
• przechowywanie,
• opracowywanie,
• zmienianie,
• udostępnianie,
• usuwanie,

a zwłaszcza te, które wykonuje się w systemach informatycznych.

 

• KTO JEST ADMINISTRATOREM DANYCH OSOBOWYCH W PRZYPADKU PROGRAMU OPERACYJNEGO POMOC ŻYWNOŚCIOWA 2014 – 2020?

Administratorem danych osobowych odbiorców końcowych PO PŻ jest podmiot faktycznie gromadzący i przetwarzający ww. dane, czyli ośrodek pomocy społecznej. Jeżeli organizacje partnerskie przetwarzają dane osobowe, to także są administratorami danych osobowych. Jednak warunkiem takich działań jest zgoda osób, których dane osobowe będą przetwarzane.

• Czy osoba bezdomna przebywająca w ośrodku/schronisku/noclegowni dla osób bezdomnych ma prawo wglądu do dokumentacji prowadzonej przez ten ośrodek na jej temat? I czy ma możliwość do zmian informacji w tej dokumentacji?

Odp.1  Oczywiście, ma: UODO mówi o tym:

Art. 1 [Prawo do ochrony]  

1. Każdy ma prawo do ochrony dotyczących go danych osobowych.
2. Przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą, lub dobro osób trzecich w zakresie i trybie określonym ustawą.

Art. 32 [Prawo do kontroli przetwarzania danych] 

1. Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do:

1)  uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna – jej miejsca zamieszkania oraz imienia i nazwiska, 

2)  uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze, 

3)  uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych, 

4)  uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie w tajemnicy informacji niejawnych lub zachowania tajemnicy zawodowej, 

 5)  uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane, 

 5a)  uzyskania informacji o przesłankach podjęcia rozstrzygnięcia, o którym mowa w art. 26a ust. 2[1], 

 6)  żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane, 

 7)  wniesienia, w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5, pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację, 

 8)  wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych w art. 23 ust. 1 pkt[2] 4 i 5, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych, 

 9)  wniesienia do administratora danych żądania ponownego, indywidualnego rozpatrzenia sprawy rozstrzygniętej z naruszeniem art. 26a ust. 1. 

 

[1] Art. 26a [Niedopuszczalność ostatecznych rozstrzygnięć]

1. Niedopuszczalne jest ostateczne rozstrzygnięcie indywidualnej sprawy osoby, której dane dotyczą, jeżeli jego treść jest wyłącznie wynikiem operacji na danych osobowych, prowadzonych w systemie informatycznym.
2. Przepisu ust. 1 nie stosuje się, jeżeli rozstrzygnięcie zostało podjęte podczas zawierania lub wykonywania umowy i uwzględnia wniosek osoby, której dane dotyczą, albo jeżeli zezwalają na to przepisy prawa, które przewidują również środki ochrony uzasadnionych interesów osoby, której dane dotyczą.

[2] Art. 23 [Dopuszczalność przetwarzania danych]

1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

 1)  osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,

 2)  jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,

 3)  jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,

 4)  jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,

 5)jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

 

• Jak rejestrować dane osobowe uzyskane przez telefon? Czy w ogóle jest obowiązek ich rejestrowania?

 

Odp. 2 Można rejestrować rozmowę w sposób automatyczny lub manualnie (zapisując jej treść) jednak trzeba poinformować o tym rozmówcę i uzyskać od niego WYRAŹNĄ zgodę. Wtedy należy przystąpić do rejestracji. O tym mówi art. 23 pkt. 5:

Art. 23 [Dopuszczalność przetwarzania danych]  

1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

    5 )jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

 

 

• Czy jedna grupa podopiecznych biorąca udział w kilku różnych projektach powinna być rejestrowana jako jedna baza danych, czy jako kilka – oddzielna dla każdego projektu?

 

Odp. 3 W zasadzie nie wiem czy w pytaniu chodzi o rejestrację w GIODO? Jeżeli tak, to zbiory danych, które dotyczą osób spoza organizacji organizacja jest zobligowana do zgłoszenia tych zbiorów (każdego oddzielnie) do rejestracji w GIODO.

Jeżeli w zbiorach tych przetwarzane są tylko „zwykłe” dane osobowe (np. imię, nazwisko, adres zamieszkania, numer telefonu, adres poczty elektronicznej) –organizacja może przetwarzać te dane już od momentu dokonania zgłoszenia zbioru danych do rejestracji w GIODO.

Jeżeli organizacja zbiera i przetwarza dane o stanie zdrowia – są to dane wrażliwe. Należą do nich dane ujawniające bezpośrednio lub w kontekście:

pochodzenie rasowe, pochodzenie etniczne, poglądy polityczne, przekonania religijne, przekonania filozoficzne, przynależność wyznaniową, przynależność partyjną, przynależność związkową, stan zdrowia, kod genetyczny, nałogi, życie seksualne. W praktyce organizacje najczęściej stykają się z danymi dotyczącymi stanu zdrowia, stopnia niepełnosprawności. Jeśli organizacja podejmuje działania na rzecz osób niepełnosprawnych, chorych, np. prowadzi gabinet (realizuje jakiś projekt): i projekt ten jest skierowany tylko do członków (np. stowarzyszenie zrzesza osoby niepełnosprawne) – wówczas organizacja zobligowana jest do zapewnienia ochrony danym wrażliwym lecz nie musi zgłaszać zbioru danych do GIODO (gdyż projekt jest skierowany do członków stowarzyszenia, a dane członków

nie podlegają rejestracji).

 

• Jak powinna brzmieć prawidłowa zgoda na przetwarzanie danych osobowych? Czy może być ona podpisana na liście zbiorowej czy każdy powinien podpisać indywidualnie?

 Odp. 4 Jest wiele możliwości klauzul informacyjnych i klauzul zgody. Wszystko zależy do  jakich celów są zbierane. Przytaczam poniżej przykład stosowany w placówkach medycznych:

Klauzula informacyjna dla pacjentów szpitali, ZOZ, NZOZ….

Treść klauzuli

Sposób wprowadzenia (dowolnie)

Zgodnie z art. 24 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych informuję, iż: 1) administratorem Pani/Pana danych osobowych jest (ADO)  siedzibą w (Adres ADO) 2) Pani/Pana dane osobowe przetwarzane będą w celu (tu należy wpisać dokładny cel) 3) posiada Pani/Pan prawo dostępu do treści swoich danych oraz ich poprawiania, 4) podanie danych osobowych w zakresie wymaganym ustawodawstwem medycznym jest obligatoryjne a w pozostałym jest dobrowolne.

·         w postaci wywieszki na tablicy ogłoszeń ·         nad okienkiem recepcji / rejestracji ·         na stronie BIP ·         podczas rozmowy telefonicznej – należy przeczytać treść klauzuli i uzyskać zgodę.

Najlepiej uzyskać zgodę na piśmie od każdej osoby. Zgoda nie może być domniemana lub dorozumiana.

 

• Czy może zna Pani jakieś inne problemy z zakresu ochrony danych osobowych, z którymi spotykają się organizacje pozarządowe?

 

Odp. 5 Głównie pytają o konieczność posiadania Polityki ODO. Tutaj sprawa jest jasna: TAK każda organizacja NGO powinna posiadać i wdrożyć Politykę ODO. O tym mówi:

Art. 3 [Zakres stosowania]

1. Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych.
2. Ustawę stosuje się również do:

  1)  podmiotów niepublicznych realizujących zadania publiczne, 

  2)  osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych 

 – które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej. 

 

Niektóre dane osobowe wymagają też rejestracji u Generalnego Inspektora Ochrony Danych Osobowych (GIODO), np. dane dotyczące wolontariuszy, darczyńców. W dużym skrócie można powiedzieć, że rejestruje się dane osobowe osób z zewnątrz, spoza organizacji, a nie rejestruje danych osób związanych z organizacją, „z wewnątrz”, np. danych członków stowarzyszenia, pracowników i współpracowników organizacji.

Pamiętajmy też, że prowadzenie bazy danych w komputerze, np. w Excelu, wymaga posiadania dodatkowego dokumentu, czyli instrukcji bezpiecznego zarządzania systemem informatycznym. Czym jest zatem obowiązkowa polityka bezpieczeństwa? To zestaw reguł, praw i praktycznych zasad regulujących sposób przetwarzania danych wewnątrz organizacji (zarządzanie, ochrona, dystrybucja).

 

 ⁴⁾   Art. 3 w brzmieniu ustawy z dnia 22.01.2004 r. (Dz.U. Nr 33, poz. 285), która wchodzi w życie z dniem uzyskania przez RP członkostwa w Unii Europejskiej.