Każda organizacja, która przetwarza dane osobowe podlega ustawie o ochronie danych osobowych.

Podstawy prawne: 

  1. Konstytucja Rzeczpospolitej Polskiej z dnia 2 kwietnia 1997r.  (Art. 51. 1. Dz. U. z 1997 r.  Nr 78, poz. 483)
  2. Ustawa z dnia 10 maja 2018r. O ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000)
  3. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (EU GDPR – General Data Protection Regulation), potocznie określane jako „RODO”.

 

Definicje, które warto znać, aby swobodnie poruszać się w temacie ochrony danych osobowych:

  1. Dane osobowe (są to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej; osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny, albo jeden, lub kilka specyficznych czynników określających jej cechy (w szczególności): fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne; informacji nie uważa się za umożliwiającą określenie tożsamości, jeżeli wymagałoby to nadmiernych: kosztów, czasu i działań; danymi osobowymi nie są pojedyncze informacje o dużym stopniu ogólności, np. Miasto zamieszkania).
  2. Dane osobowe zwykłe (przykłady: imię, nazwisko, adres zamieszkania, PESEL, NIP,  numer i seria dowodu osobistego, wykształcenie,  zawód, płeć, numer telefonu).
  3. Dane osobowe szczególne (wg ustawy): pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych, danych dotyczących zdrowia, seksualności lub orientacji seksualnej.
  4. Przetwarzanie danych osobowych (praktycznie wszystkie operacje dotyczące zbioru danych wraz z ich „magazynowaniem”, w szczególności: gromadzenie,  przechowywanie, udostępnianie, modyfikacja, przekazywanie, utrwalanie, opracowywanie, kasowanie; przetwarzanie danych osobowych może odbywać się we wszelkiego rodzaju kartotekach, skorowidzach, księgach, spisach, wykazach, ewidencjach czy też w systemach informatycznych),
  5. Zbiór danych osobowych (wszelkiego rodzaju zgromadzone dane osobowe; mogą one być przetwarzane na różnych nośnikach np. na papierze, na pendrive, na twardym dysku, na płycie  CD itp.),
  6. System informatyczny przetwarzający dane osobowe (wszelkiego rodzaju aplikacja – „program komputerowy”, która korzysta ze zbiorów zawierających dane osobowe; niezależnie od urządzenia „hardware‘owego” i systemu operacyjnego, na którym pracuje),
  7. UODO – (dawniej GIODO) Urząd Ochrony Danych Osobowych (jednostka organizacyjna (organ) powołana w celu kontroli i przestrzegania prawa ochrony danych osobowych; zorganizowana centralnie z siedzibą w Warszawie; powoływany jest przez Sejm RP za zgodą Senatu RP),
  8. ADO – Administrator Danych Osobowych (jest to każdego rodzaju organizacja, która zbiera dane osobowe; praktycznie dotyczy to wszystkich organizacji począwszy od urzędów poprzez wszelkiego rodzaju spółki, działalności gospodarcze, fundacje, stowarzyszenia  aż do innych organizacji nigdzie nie rejestrowanych takich jak Pracownicze Kasy Zapomogowo-Pożyczkowe); Reprezentant ADO (np. zarząd spółki) może powołać (umocować) wybraną osobę na pełnomocnika ADO, który w ich imieniu będzie zawiadywał tą sferą w ich organizacji).
  9. IOD – Inspektor Ochrony Danych (specjalista ds. ochrony danych osobowych powołany przez osoby reprezentujące Administratora Danych Osobowych – np. przez zarząd PKZP);
  10. Profilowanie – specyficzny sposób przetwarzania danych osobowych, na którego zastosowanie organizacja musi uzyskać specjalną (odrębną) zgodę osoby, której dane są przetwarzane.  Art. 4 pkt 4  RODO określa profilowanie jako „dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się”. 
  11. Pseudonimizacja i anonimizacja – „narzędzia” – sposoby pozbawienia zbioru danych, cech zbioru danych osobowych; tak przekształcony zbiór danych nie podlega ochronie procedurami ochrony danych osobowych. Pseudonimizacja – jest to odwracalne pozbawienie wspomnianych cech np. poprzez nadanie numeru  (pewnego rodzaju kodu) zamiast danych jednoznacznie identyfikujących (nazwiska, imienia, nr PESEL ...). Anonimizacja – nieodwracalne pozbawienie wspomnianych cech np. poprzez trwałe usunięcie ze zbioru danych identyfikacyjnych (nazwiska, imienia, nr PESEL …).

 

System ochrony danych osobowych w PKZP nie musi być skomplikowany, może wyglądać następująco :

  1. Powołanie (przez ADO) pełnomocnika zarządu PKZP do spraw danych osobowych (lub IOD , lecz wtedy pojawiają się obowiązki w stosunku do UODO).
  2. Pełnomocnik powinien w szczególności:

-        przeanalizować wszelkie obszary organizacji, gdzie, przez kogo i jakie zbiory danych osobowych są przetwarzane,

-        po rozpoznaniu zasugerować ADO, czy może jednak powołać IOD,

-        przyjąć model szacowania ryzyka,

-        na podstawie powyższego przyjąć odpowiednie procedury ochrony danych osobowych w organizacji;

-        przygotować odpowiednią dokumentację (dopilnować formalności) :

  • polityka bezpieczeństwa,
  • rejestr czynności przetwarzania (także w formie elektronicznej),
  • instrukcja zarządzania systemem informatycznym,
  • umowy powierzenia przetwarzania danych osobowych,

-        wprowadzić powyższe ustalenia w życie poprzez przygotowanie odpowiednich załączników do dokumentacji podstawowej (polityki bezpieczeństwa), poprzez przeszkolenie pracowników i ich upoważnienie do przetwarzania danego zakresu danych osobowych.

 

Przyjęte procedury ochrony danych osobowych powinny w szczególności określać sposoby spełnienia obowiązku informacyjnego, uzyskania zgód osób, których dane będą przetwarzane oraz zgłaszania naruszeń – tzw. incydentów do UODO.

 

Na pierwszy rzut oka, powyższe może wydawać się dosyć skomplikowane. Pocieszającym jest fakt, że ustawa o ochronie danych osobowych przewidziała zwolnienie z części obowiązków.

Jedyny obowiązek dokumentacyjny, o którym wspomina RODO , to prowadzenie Rejestru czynności przetwarzania. Dodatkowo z tego obowiązku są zwolnione jednostki zatrudniające poniżej 250 osób, oraz które nie przetwarzają danych  osobowych w  dużej skali (RODO art. 30 pkt 5).

Można z tego wnioskować, że „małe” Kasy nie muszą nawet  prowadzić Rejestru czynności przetwarzania.

 

Obszerne, szczegółowe informacje dotyczące ochrony danych osobowych w PKZP (z uwzględnieniem RODO) znajdują się w książce „Pracownicze Kasa Zapomogowo-Pożyczkowe”. Wydanie III 2018. Casco sp. z o.o.

 

Podoba Ci się nasza strona? Uważasz, że jest godna polecenia? Poleć nas swoim znajomym. W celu uczestnictwa w programie „Poleć nas” należy wypełnić formularz rejestracyjny i podać adresy poczty e-mail osób, którym polecasz nasz serwis. W momencie potwierdzenia przez te osoby linku, będziesz brał udział w losowaniu nagród.

Mamy do rozdania:
- pendrivy,
- zestawy na biurko,
- zestawy gadżetów (smycz, długopisy, kubek).

WEŹ UDZIAŁ