- Podatki»
- Sprzedaż nieruchomości przez osoby fizyczne jako działalność gospodarcza w rozumieniu przepisów o PIT i VAT
- Opodatkowanie funduszy inwestycyjnych zamkniętych
- Konstrukcja prawna i procedura zakładania FIZ cypryjskiego
- Konstrukcja prawna i procedura zakładania UCI luksemburskiego
- Savings taxation directive - prezentacja
- Opodatkowanie przychodów akcjonariuszy spółek komandytowo-akcyjnych
- Optymalizacja podatkowa - wybrane aspekty
- Opis struktury cypryjskiej
- Opinia prawno – podatkowa w zakresie opodatkowania wynagrodzenia dyrektorów spółek cypryjskich
- Opodatkowanie dywidendy wypłacanej na rzecz polskiego rezydenta podatkowego przez spółkę cypryjską
- Fundacja prywatna - informacje ogólne
- Fundacja prywatna - koszty założenia i funkcjonowania
- Fundacja prywatna - ograniczenia w wykorzystaniu konstrukcji
- Jak skutecznie zabezpieczyć tudzież przekazać majątek następcom prawnym przy minimalnym obciążeniu podatkowym?
- Efektywna podatkowo struktura dla e-commerce w Unii Europejskiej - studium przypadku
- Efektywna struktura podatkowa dla małych przedsiębiorców świadczących usługi budowlane w Niemczech - studium przypadku
- Działalność gospodarcza Prezesa zarządu a ograniczenia podatkowe
- Obowiązki przy zawieraniu transakcji pomiędzy podmiotami powiązanymi.
- Wynajęcie domu na cele niemieszkalne a podatek VAT
- Pobyt obywatela Polski na stałe w USA a obowiązek płacenia podatku w Polsce
- Prawo pracy»
- Podstawowe aspekty praktyczne stosowania przepisów o tzw. „zwolnieniach grupowych”
- Zwolnienia grupowe - jak je bezpiecznie przeprowadzić
- Zadaniowy czas pracy
- Rozwiązanie umowy na czas określony z nauczycielem kontraktowym
- Czas pracy lekarzy
- Opinia w sprawie dyżuru pod telefonem
- Opinia prawna w sprawie możliwości dokonywania potrąceń
- Opinia prawna w sprawie zgodności instytucji dyżuru medycznego z prawem europejskim
- Opinia prawna w sprawie delegacji służbowych
- Opinia prawna w sprawie uprawnień pracowników zatrudnionych w niepełnym wymiarze czasu pracy do dodatku za pracę w godzinach nadliczbowych
- Opinia prawna w sprawie uprawnienia lekarzy do dobowego 11 godzinnego odpoczynku po dyżurze medycznym
- Prawo lekarza do ochrony czasu pracy
- Prawo cywilne»
- Dochodzenie roszczeń od podmiotów zagranicznych
- Fundusze sekurytyzacyjne
- Pozwy grupowe, czyli class action po polsku
- Pozwy grupowe w sprawach przeciwko biurom podróży
- Dobra umowa inwestycyjna
- Spory z bankiem
- Windykacja należności w pytaniach i odpowiedziach.
- Fundacja prywatna - informacje ogólne
- Fundacja prywatna - koszty założenia i funkcjonowania
- Fundacja prywatna - ograniczenia w wykorzystaniu konstrukcji
- Zniesienie zasady walutowości
- Znak towarowy a domeny
- Piractwo domenowe
- Paszport dla dziecka z Malty
- Odpowiedzialność podmiotu prowadzącego hotel
- Przesunięcie lub usunięcie sieci energetycznej
- Współwłasność konkubentów
- Zasady dochodzenia należności z weksla lub czeku
- Darowizna a dział spadku i prawo do zachowka
- Hipoteka i skutki zabudowy zajętej nieruchomości
- Kara umowna a zakaz konkurencji
- Ochrona danych osobowych podmiotu, który złożył skargę do organu administracji
- Przeniesienie prawa odrębnej własności lokalu a bycie członkiem wspólnoty
- Prawo administracyjne»
- Prawo handlowe»
- Jak zabezpieczyć zapłatę ceny z tytułu umowy zawartej na Ukrainie
- Nowa formuła zakładania spółki z o.o.
- Spółka komandytowo - akcyjna - rejestracja
- Prowadzenie działalności gospodarczej na Ukrainie/Business set up in Ukraine
- Legal due diligence
- Dobra umowa inwestycyjna
- Odpowiedzialność członków zarządu spółki z ograniczoną odpowiedzialnością
- Możliwość używania nazwy skróconej spółki jawnej
- Nazwa przedsiębiorstwa a naruszenie cudzego znaku towarowego
- Konwersja długu na kapitał a obejście przepisów o wniesieniu aportu
- Umowne ustalenie sposobu reprezentacji spółki jawnej oraz skutki działania wbrew zasadom reprezentacji
- Prawo rodzinne»
- Prawo karne»
- Podatki»
Zasady przetwarzania danych osobowych oraz ich zabezpieczenie
Każdy podmiot mający dostęp do danych osobowych zobowiązany jest do przetwarzania tych danych w sposób przewidziany szczegółowo przez przepisy prawa. Sposoby ochrony interesów osób, których dane osobowe dotyczą oraz zasady ich zabezpieczania przedstawia pokrótce niniejszy artykuł.
Przed rozpoczęciem omawiania poszczególnych zasad przetwarzania danych osobowych, niezbędne jest wskazanie podstawowych definicji zawartych w ustawie o ochronie danych osobowych.
Dane osobowe
W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest zaś osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów , czasu lub działań (art. 6 ustawy o ochronie danych osobowych, dalej ustawa).
Inne istotne definicje
Zbiór danych - każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.
Przetwarzanie danych - jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
System informatyczny - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.
Administrator danych - organ, jednostka organizacyjna, podmiot lub osoba, decydujące o celach i środkach przetwarzania danych osobowych.
Zgoda osoby, której dane dotyczą - oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści.
Zasady przetwarzania danych
Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były:
-
przetwarzane zgodnie z prawem,
-
zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,
-
merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,
-
przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
Przetwarzanie zgodnie z prawem
Nie chodzi tu o zgodność wyłącznie z niniejszą ustawą (art. 23), ale z wszelkimi normami prawa, zarówno tymi już istniejącymi w momencie wejścia w życie ustawy, jak i tymi, które dopiero później zostały wprowadzone do porządku prawnego. Zgodność z prawem dotyczy przestrzegania zarówno przepisów prawa materialnego, jak i przepisów dotyczących postępowania.
Zbieranie danych dla oznaczonych celów
Z zastrzeżenia przewidującego obowiązek wyraźnego oznaczenia celu, dla którego dane mają być przetwarzane, wyprowadzane są wnioski, iż:
-
oznaczenie powinno z reguły być zrealizowane w formie pisemnej, gdyż zdecydowanie ułatwia to dokonywanie później ocen co do przestrzegania "zasady związania celem";
-
wszelkie niejasności w zakresie wyznaczenia celu, jego zakresu, należy interpretować na korzyść osoby, której dane są przetwarzane (lub z drugiej strony: na niekorzyść administratora), w tym znaczeniu, że osoba ta powinna mieć możność zadecydowania o "spornym" wykorzystaniu jej danych.
Merytoryczna poprawność i adekwatność w stosunku do celów
Jak się zauważa w literaturze, wymóg zapewnienia merytorycznej poprawności danych osobowych przez administratora wiąże się z obowiązkiem uwzględniania przez niego m.in. następujących okoliczności:
- znaczenia ewentualnej niedokładności danych z perspektywy osoby, której one dotyczą,
- oceny wiarygodności źródła pozyskiwania danych,
- konieczności wypracowania trybu weryfikowania prawdziwości danych w odniesieniu do poszczególnych ich kategorii oraz zasad postępowania w przypadku stwierdzenia nieprawdziwości danych; chodzi tu m.in. o powiadomienie o błędnej informacji osób trzecich, którym dane przekazano.
Wspomniany wymóg "aktualności danych" należy w istocie traktować jako zobowiązanie administratora danych do regularnego (systematycznego) przeglądu swych zbiorów danych osobowych pod kątem ich aktualizacji. Należy jednak przyjąć, że zobowiązanie to nie ma charakteru bezwzględnego w tym sensie, że aktualizacja danych jest wymagana jedynie wówczas, gdy ze względu na cel przetwarzania danych jest to uzasadnione.
Przechowywanie nie dłużej niż jest to niezbędne
W przypadku, gdy zapisanie (zgromadzenie) danych ma swe źródło w relacji istniejącej między danymi osobowymi (czy osobą) a administratorem danych, należy przyjąć obowiązek ich usunięcia w sytuacji wygaśnięcia tej relacji. Przykładowo dotyczy to sytuacji ustania stosunku zatrudnienia lub zaprzestania dokonywania transakcji z daną osobą. Wskazuje się przy tym, że niekiedy powstaje wówczas obowiązek usunięcia jedynie części danych ze względu na celowość utrzymania informacji koniecznych dla obrony interesów administratora w przypadku ewentualnego podniesienia roszczeń przeciwko niemu przez daną osobę.
Zabezpieczenie danych
Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz ww. środki (art. 36 ustawy).
Administrator danych:
- wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, chyba że sam wykonuje te czynności,
- upoważnia inne osoby do przetwarzania danych,
- zapewnia kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane,
- prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:
1. imię i nazwisko osoby upoważnionej,
2. datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,
3. identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.
Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.
Środki bezpieczeństwa, sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych, podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne określa Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (zob. niżej).
Dokumentacja
Zgodnie z powyższym rozporządzeniem dokumentacja przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych dzieli się na:
- politykę bezpieczeństwa,
- instrukcję zarządzania systemem informatycznym.
Polityka bezpieczeństwa zawiera w szczególności:
- wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
- wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
- opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
- sposób przepływu danych pomiędzy poszczególnymi systemami;
- określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
Instrukcja zawiera w szczególności:
- procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
- stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
- procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
- procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
- sposób, miejsce i okres przechowywania:
o elektronicznych nośników informacji zawierających dane osobowe,
o kopii zapasowych, o których mowa w pkt 4, - sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego;
- sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4 rozporządzenia;
- procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.
Poziomy bezpieczeństwa
Rozporządzenie wprowadza trzy poziomy bezpieczeństwa:
- podstawowy;
- podwyższony;
- wysoki.
Poziom co najmniej podstawowy stosuje się, gdy:
- w systemie informatycznym nie są przetwarzane dane, o których mowa w art. 27 ustawy (dane wrażliwe, np. pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne, stan zdrowia, itp.), oraz
- żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną.
Poziom co najmniej podwyższony stosuje się, gdy:
- w systemie informatycznym przetwarzane są dane osobowe, o których mowa w art. 27 ustawy, oraz
- żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną.
Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną.
Podstawa prawna:
- Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. 2002 r., Nr 101, poz. 926, ze zmianami);
- Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. 2004 r., Nr 100, poz. 1024)
Kraków, 20.05.2009 r.
Artykuł zamieszczony dzięki uprzejmości serwisu e-prawnik.pl
Jeżeli powyższy artykuł nie wyczerpał interesującego Państwa tematu proszę zadać pytanie prawnikowi specjalizująycemu się w danej dziedzinie.
![[Facebook]](/bookmarkify/facebook.png)
![[Google]](/bookmarkify/google.png)
![[MySpace]](/bookmarkify/myspace.png)
![[Twitter]](/bookmarkify/twitter.png)
![[Yahoo!]](/bookmarkify/yahoo.png)
![[Email]](/bookmarkify/email.png)