Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


26.10.2020

Nowa wersja nVision

Można już pobierać nową wersję nVision
26.10.2020

Monitorowanie infrastruktury

Vertiv Environet Alert
23.10.2020

Telefonia w chmurze

NFON Cloudya
23.10.2020

Nowości w EDR

Bitdefender GravityZone
23.10.2020

Wykrywanie anomalii

Flowmon ADS11
23.10.2020

Mobilny monitor

AOC 16T2
22.10.2020

HP Pavilion

HP zaprezentowało nowe laptopy z linii Pavilion.
22.10.2020

Inteligentny monitoring

WD Purple SC QD101
22.10.2020

Przełącznik 2,5GbE

QNAP QSW-1105-5T

Naruszenie bezpieczeństwa danych klienta w systemie it

Data publikacji: 29-08-2017 Autor: Michał Kudła, Anna Toporowska

Ochrona danych osobowych stała się niezwykle istotnym zagadnieniem. Dotyczy sfery życia człowieka, którą wiele osób chciałoby chronić w możliwie największym stopniu. Ochrona ta ma swoje bezpośrednie źródło w ustawie z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. DzU z 2016 r., poz. 922, dalej: uodo). Ustawa ta nie jest jednak zawieszona w próżni.

Ustawa o ochronie danych osobowych służy ochronie wartości wyrażonych już w polskiej ustawie zasadniczej. Konieczność przywiązywania wagi do tego zagadnienia jest uregulowana w art. 47 ustawy z dnia 2 kwietnia 1997 r. – Konstytucji RP1 (DzU z 1997 r. nr 78, poz. 483). Artykuł ten opisuje między innymi prawo każdego człowieka do ochrony prawnej życia prywatnego i rodzinnego. Jest to dobro prawne szczególnie ważne w świecie, w którym, chociażby z uwagi na rozwój technologii, coraz trudniej jest zachować anonimowość.

> CZYM SĄ DANE OSOBOWE

Dane osobowe można uznać za jeden z aspektów życia prywatnego i rodzinnego człowieka, ponieważ ich wykorzystanie może wpływać w znacznym stopniu na sprawy osobiste konkretnych osób. Są to informacje szczególnie delikatne, ponieważ mogą być wykorzystane do trudnych do przewidzenia celów, często sprzecznych z interesami jednostki2. Zgodnie z treścią art. 6 ust. 1 uodo, jako dane osobowe należy rozumieć wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Identyfikacja ta może się odbyć w sposób bezpośredni oraz pośredni, szczególnie poprzez wykorzystanie numerów identyfikacyjnych czy czynników określających cechy fizyczne, umysłowe, kulturowe, społeczne itp. danej osoby. Takie numery identyfikacyjne to m.in.: PESEL, NIP, numer dowodu tożsamości, ze szczególnym wskazaniem na powszechnie w naszym kraju używany dowód osobisty3. Katalog danych osobowych jest w zasadzie niewyczerpany. Nie da się zamknąć ich w jakichkolwiek ramach, bowiem wraz ze zmianami w społeczeństwie powstaje coraz więcej możliwości identyfikacji konkretnych osób, a tempo tych transformacji jest tak wielkie, że nie ma nawet możliwości przewidzenia kierunku rozszerzenia się tego zbioru, choćby w najbliższym czasie. Przykładem może być chociażby adres IP. W niektórych przypadkach można go bowiem wykorzystać do zidentyfikowania osoby, która z niego korzysta, względnie wąskiego grona osób, najczęściej ze sobą ściśle powiązanych.

Jak wskazuje przepis art. 7 pkt 2 uodo, jako przetwarzanie danych osobowych należy rozumieć jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a w szczególności te, które wykonuje się w systemach informatycznych. Pod tym pojęciem można odnaleźć bardzo szerokie spektrum zachowań (m.in., że samo czytanie danych przez ich administratora można już uznać za ich przetwarzanie4). Szczególny nacisk ustawodawca kładzie jednak na operacje dokonywane we wspomnianych systemach informatycznych. Zgodnie z art. 7 pkt 2a uodo, jako system informatyczny należy rozumieć zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych, zastosowanych w celu przetwarzania danych. Częścią systemu informatycznego jest zatem każdy komputer i oprogramowanie, na którym dane osobowe się w jakikolwiek sposób przetwarza5.

Na przetwarzanie danych osobowych poza przypadkami określonymi w ustawie (np. gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, do wykonania określonych prawem zadań realizowanych dla dobra publicznego czy dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych, bez naruszania wolności i praw jednostek) bezwzględnie wymagana jest zgoda osoby, której dotyczą – poza przypadkiem usunięcia tych danych. Nie może to jednak być ogólna, abstrakcyjna zgoda. Jak orzekł Naczelny Sąd Administracyjny w Warszawie (dalej: NSA), „zgoda na przetwarzanie danych nie może mieć charakteru abstrakcyjnego, lecz winna odnosić się do skonkretyzowanego stanu faktycznego, obejmując tylko określone dane oraz sprecyzowany sposób i cel ich przetwarzania”6. Każda osoba, której dane są przetwarzane, ma możliwość skontrolowania tego procesu. W szczególności może żądać informacji, czy i w jaki sposób jej dane podlegają przetwarzaniu oraz kto jest ich administratorem, a także żądać ich uzupełnienia, uaktualnienia bądź też usunięcia.

> OBOWIĄZKI ADMINISTRATORA

Jako administratora danych osobowych (zgodnie z treścią art. 7 pkt 4 uodo) należy rozumieć organ, jednostkę organizacyjną, podmiot lub osobę wskazaną w art. 3 uodo, które decydują o celach i środkach przetwarzania danych osobowych. Przetwarzanie danych osobowych może się odbywać zgodnie z art. 23 ust. 1 uodo tylko wtedy, gdy:

1. osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych;
2. jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;
3. jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;
4. jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;
5. jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Administrator jest zobowiązany do dołożenia wszelkich starań w celu ochrony interesów osób, których dane dotyczą, przede wszystkim do zadbania o to, by były one zbierane i przetwarzane zgodnie z prawem, a także adekwatne w stosunku do celów, w jakich są przetwarzane. Musi je także chronić przed utratą, zniszczeniem i uszkodzeniem.

[...]

Michał Kudła – prawnik w SMW Legal Stolarski, Majewski i Współpracownicy Kancelaria Radców Prawnych sp.p., odpowiedzialny za prawne aspekty ochrony danych osobowych; absolwent Wydziału Prawa i Administracji UJ.

Anna Toporowska – prawnik w SMW Legal Stolarski, Majewski i Współpracownicy Kancelaria Radców Prawnych sp.p.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"