OCHRONA DANYCH OSOBOWYCH
2015
W JEDNOSTKACH PUBLICZNYCH PRAKTYCZNE PRZYKŁADY I WSKAZÓWKI JAK PO ZMIANACH OD 1 STYCZNIA 2015 STOSOWAĆ NOWE WYTYCZNE
UOJ26
ISBN 978-83-269-3710-1
cena 68 zł
BIBLIOTEKA JEDNOSTEK PUBLICZNYCH I POZARZĄDOWYCH
Ochrona danych osobowych 2015 w jednostkach publicznych Praktyczne przykłady i wskazówki jak po zmianach od 1 stycznia 2015 stosować nowe wytyczne
Redaktor prowadzący: Lidia Pogodzińska Autor: Maria Kucharska-Fiałkowska Korekta: Zespół Skład i łamanie: Norbert Bogajczyk, Raster studio Projekt okładki: Norbert Bogajczyk, Raster studio Druk: Miller Druk sp. z o.o.
Copyright © by Wydawnictwo Wiedza i Praktyka sp. z o.o., Warszawa 2015 Wszelkie prawa zastrzeżone. Kopiowanie, przedrukowywanie i rozpowszechnianie całości lub fragmentów niniejszej pracy bez zgody wydawcy zabronione. ISBN: 978-83-269-3710-1 Nakład: 150 egz. Wydawca: Norbert Pawlikowski „Oficyna Prawa Polskiego” Wydawnictwo Wiedza i Praktyka sp. z o.o. ul. Łotewska 9a, 03-918 Warszawa Dystrybucja: tel.: 22 518 29 29 faks: 22 617 60 10 e-mail:
[email protected]
Publikacja „Ochrona danych osobowych 2015 w jednostkach publicznych” chroniona jest prawem autorskim. Przedruk opublikowanych materiałów, bez zgody wydawcy, jest zabroniony. Zakaz nie dotyczy cytowania publikacji z powołaniem się na źródło. Informujemy, że Państwa dane osobowe będą przetwarzane przez Wydawnictwo Wiedza i Praktyka sp. z o.o. z siedzibą w Warszawie przy ul. Łotewskiej 9a w celu realizacji niniejszego zamówienia oraz do celów marketingowych – przesyłania materiałów promocyjnych dotyczących innych produktów i usług. Mają Państwo prawo do wglądu oraz poprawiania swoich danych, a także do wyrażenia sprzeciwu wobec ich przetwarzania do celów promocyjnych. Podanie danych jest dobrowolne. Zapewniamy, że Państwa dane nie będą przekazywane bez Państwa wiedzy i zgody innym podmiotom.
SPIS TREŚCI Wstęp............................................................................................................................................
5
Łatwość pozyskania danych.....................................................................................................
6
Dane informatyczne szczególnie chronione..........................................................................
6
Przetwarzanie danych............................................................................................................... 7 Warto postarać się o zgodę pisemną....................................................................................... 8 Zbiory danych – obowiązek rejestracji i zwolnienie............................................................. 9 Informacje o rodzinie.................................................................................................................
10
Administrator bezpieczeństwa informacji.............................................................................
10
Obowiązek informacyjny .........................................................................................................
12
Przetwarzanie danych kandydatów do pracy w jednostkach publicznych ....................
14
Rekrutowanie pracowników samorządowych .....................................................................
15
Możliwość żądania zaświadczenia o niekaralności . ...........................................................
16
Okres przechowywania informacji o kandydacie................................................................
17
Osobowe przetwarzane w trakcie zatrudnienia...................................................................
18
Specyfika informacji o pracownikach samorządowych .....................................................
18
Przechowywanie kopii dowodu...............................................................................................
19
Zastosowanie zasad ogólnych..................................................................................................
19
Dane komputera służbowego...................................................................................................
21
Dane o przynależności związkowej pracownika..................................................................
22
Dane o stanie zdrowia kandydatów do pracy i pracowników............................................
23
Zakładowy fundusz świadczeń socjalnych . .........................................................................
24
Środki ochrony danych osobowych i upoważnienie do ich przetwarzania.....................
24
Brak środków nie jest wytłumaczeniem.................................................................................
25
Dostęp do informacji publicznej .............................................................................................
32
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych . ...................................
35
WSTĘP Przedstawiciele jednostek sektora finansów publicznych wykorzystują w swojej pracy niezliczoną ilość informacji. Ze względu na jawność finansów publicznych część z nich jest ogólnie dostępna i może, a nawet powinna być ujawniana na zewnątrz. Mimo dbałości o przestrzeganie zapisów ustawy o finansach publicznych nie wolno zapominać jednak o zasadach ochrony danych osobowych. Jest to szczególnie ważne w działach zajmujących się kwestiami księgowymi oraz kadrowo-płacowymi. Współpraca między tymi komórkami powinna być tak zorganizowana, aby żaden z jej pracowników nie stykał się z danymi ponad te, które są niezbędne do wykonywania obowiązków służbowych. Użycie w ustawie o ochronie danych osobowych (dalej: uodo) nieostrych i ogólnych sformułowań może powodować wiele wątpliwości interpretacyjnych. Warto zatem nieco bliżej przyjrzeć się definicjom użytym w tych przepisach.
5
Ochrona danych osobowych 2015 w jednostkach publicznych
Łatwość pozyskania danych Zgodnie z art. 6 ustawy danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest z kolei taka, której tożsamość można określić bezpośrednio (na podstawie posiadanych danych takich jak imię, nazwisko, adres itp.) lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden czynnik lub kilka specyficznych czynników określających jej cechy fizyczne, społeczne lub ekonomiczne. Informacji o osobie nie uważa się za dane osobowe, jeśli określenie jej tożsamości wymagałoby nadmiernych kosztów, czasu lub działań. Należy też zdefiniować sformułowanie „informacja” jako określenie okoliczności czy komunikat, niezależnie od formy wyrażenia – słowem, obrazem, dźwiękiem. Zastosowanie w ustawie o ochronie danych osobowych pojęcia wszelkiej informacji oznacza, że są to informacje odnoszące się do każdego aspektu osoby i jej relacji osobistych oraz rzeczowych, życia zawodowego, prywatnego, wykształcenia, wiedzy, cech charakteru itp. W praktyce zawodowej osób zajmujących się kadrami, płacami czy księgowością danymi osobowymi będzie wszystko, co dotyczy pracowników, zleceniobiorców, kontrahentów będących osobami fizycznymi. Warto również pamiętać, że w związku z uchyleniem 1 stycznia 2012 r. art. 7a ust. 2 ustawy – Prawo działalności gospodarczej dane osób fizycznych prowadzących działalność gospodarczą także są chronione. Ochronie podlegają te dane osobowe, które są lub mogą być przetwarzane w zbiorach danych. Jest nim każdy posiadający strukturę zestaw informacji o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony, czy podzielony funkcjonalnie. Do zaklasyfikowania zestawu danych jako zbioru, w rozumieniu ustawy o ochronie danych osobowych, wystarczające jest więc istnienie jakiegokolwiek kryterium umożliwiającego odnalezienie danych osobowych w zestawie. Kryterium może mieć charakter osobowy (imię, nazwisko, PESEL, NIP, adres) lub nieosobowy, jak np. data umieszczenia danych w zbiorze, data zawarcia umowy czy wystawienia faktury itp.
Dane informatyczne szczególnie chronione W przypadku przetwarzania danych w systemach informatycznych podlegają ochronie również te informacje, które są przetwarzane poza zbiorem. W tym miejscu warto zwrócić uwagę na orzeczenie Sądu Najwyższego (sygn. akt II KKN 438/00), w którym określono, że dane osobowe korzystają z ochrony nawet wówczas, gdy tylko mogą znaleźć się w zbiorze, bez względu na to, czy się w nim ostatecznie znalazły. 6
Przetwarzanie danych
Problemów może także przysporzyć – zdawać by się mogło powszechnie rozumiane – pojęcie „usuwania” danych. Osoby pracujące w komórkach rozliczeniowych czy kadrowych muszą jednak pamiętać, że owo usunięcie musi wiązać się z takim działaniem, aby po nim niemożliwe było zidentyfikowanie osób, których dotyczą. Jeżeli więc przykładowo księgowa wyrzuci stare dokumenty bez ich zniszczenia fizycznego (np. w niszczarce) lub uprzedniego ich zanonimizowania, tj. zaczernienia czy zakorektorowania, może naruszyć normy zabezpieczenia danych osobowych.
Przetwarzanie danych Kluczowe do zrozumienia istoty ochrony danych osobowych jest poprawne posługiwanie się pojęciem ich przetwarzania. Wiele osób uważa, że tego nie robi, ponieważ jedynie posiada informacje. Nic bardziej mylnego. Przetwarzaniem jest już samo przechowywanie danych, nawet jeśli faktycznie się z nich nie korzysta. Tym bardziej należy uznać za przetwarzanie takie działania, jak: udostępnianie, zmienianie, modyfikowanie, przekazywanie, zbieranie, utrwalanie, opracowywanie. Istotny jest także podział danych na: zwykłe oraz tzw. wrażliwe lub inaczej sensytywne. Przetwarzanie danych należących do pierwszej kategorii jest możliwe, jeśli tylko osoba, której dane dotyczą, wyrazi na to zgodę (chyba że chodzi o ich usunięcie) lub jest to niezbędne do: realizacji uprawnień lub spełnienia obowiązku wynikającego z przepisów, zrealizowania umowy, gdy stroną jest osoba, której dane dotyczą, wykonania określonych prawem zadań realizowanych dla dobra publicznego, wypełniania prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Zgoda na przetwarzanie informacji musi być wyraźna i nie może być domniemana ani dorozumiana z oświadczenia woli o innej treści. Dlatego też istotne jest odpowiednie formułowanie klauzul zgody. Jeśli np. pracownik zgodzi się na przetwarzanie jego danych osobowych w związku z organizacją wyjazdu integracyjnego i ubezpieczeniem uczestników, co nie jest uregulowane ustawowo, zgoda ta nie może zostać użyta do innego celu nieobjętego obowiązkami pracodawcy.
7
