LABI – pytania i odpowiedzi

Najczęściej zadawane pytania i odpowiedzi:

1. Co to są dane osobowe ?

Zgodnie z artykułem 6 ustawy o ochronie danych osobowych, za dane osobowe uważa się wszelkie informacje pozwalające na zidentyfikowanie osoby fizycznej bezpośrednio lub pośrednio. Ustawodawca przyjął, że danymi osobowymi nie są dane, na podstawie których zidentyfikowanie osoby fizycznej wymagałoby nadmiernych kosztów lub działań.
 

2. Jakie przykładowe informacje, składają się na dane osobowe ?

Numer NIP lub PESEL w sposób jednoznaczny określają osobę i zawsze należy je traktować jako dane osobowe. W przypadku samego imienia dana tego typu występująca pojedynczo nie jest daną osobową. Inaczej wygląda sytuacja, gdy poniżej wymienione przykłady danych występują łącznie np. np. imię, nazwisko, nr telefonu, adres e-mail będą już danymi osobowymi.
 

Przykładowe informacje jakie mogą wejść wchodzić w skład danych osobowych:

• nazwisko,
• imiona,
• PESEL,
• NIP,
• adresy (zameldowania, zamieszkania, korespondencyjny, żyranta, pośrednika),
• numery kont bankowych,
• wynagrodzenie,
• numer albumu,
• seria i numer dowodu,
• numer paszportu,
• data i miejsce urodzenia,
• dane współmałżonków,
• dane rodziców,
• dane kontrahentów,
• adres poczty elektronicznej,
• numer telefonu,
• miejsce pracy,
• wykształcenie,
• zawód,
 
• dane wrażliwe:
o pochodzenie rasowe,
o przynależność partyjna,
o pochodzenie etniczne,
o przynależność związkowa,
o poglądy polityczne,
o stan zdrowia oraz wszelkie inne dane medyczne,
o przekonania religijne,
o kod genetyczny,
o przekonania filozoficzne,
o nałogi,
o przynależność wyznaniowa,
o informacje dotyczące życia seksualnego,
o dane dotyczące:
 – skazań,
 – orzeczeń o ukaraniu,
 – mandatów karnych,
 – innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.
 

3. Kto to jest administratorem danych osobowych ?

Zgodnie z informacją podaną na stronie GIODO:
Ustawa posługuje się pojęciem „administrator danych”. Jest ono zdefiniowane w art. 7 pkt 4 ustawy. Administratorem jest organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych. Między innymi może to być organ państwowy, organ samorządu terytorialnego lub państwowa albo komunalna jednostka organizacyjna.
Z praktyki stosowania ustawy wynika, że niektóre podmioty mają problem z właściwym wskazaniem administratora danych, tymczasem w przypadku podmiotów publicznych jego rozwiązanie nierzadko znajduje się w przepisach prawa stanowiących podstawę utworzenia zbioru. Zazwyczaj znajduje się tam wskazanie, kto jest odpowiedzialny za utworzenie i prowadzenie zbioru danych osobowych, oraz określone są podstawowe zasady prowadzenia zbioru. Tytułem przykładu można wskazać przepisy ustawy z dnia 13 czerwca 2003  r. o cudzoziemcach (Dz.U. 2006 nr 234, poz. 1694 ze zm.). Zgodnie z art. 125 ust. 1 pkt 5, w zw. z art. 124 pkt 1 lit. h) tej ustawy, rejestr osób, którym udzielono zezwolenia na wjazd i pobyt na terytorium Rzeczypospolitej Polskiej, prowadzi, na podstawie art. 144 ust. 1 tej ustawy, Prezes Urzędu ds. Repatriacji i  Cudzoziemców.
Źródło:
https://edugiodo.giodo.gov.pl/file.php/1/ODO/ODO_R02_01.htm
– dostęp [2016-09-15]
 

4. Kiedy można powiedzieć, że dane osobowe są przetwarzane ?

Zgodnie z informacją podaną na stronie GIODO:
Przetwarzaniem danych osobowych jest wykonywanie na nich jakichkolwiek operacji. Przetwarzaniem jest zatem już samo przechowywanie danych, nawet jeśli podmiot faktycznie z nich nie korzysta. W pojęciu przetwarzania mieści się także ich udostępnianie, zmienianie, modyfikowanie, przekazywanie, zbieranie, utrwalanie, opracowywanie.
Ustawa definiuje jedynie pojęcie „przetwarzania”, brak jest natomiast definicji poszczególnych form przetwarzania, takich jak: udostępnianie, przekazywanie. Należy je zatem rozumieć zgodnie z ich słownikowym znaczeniem. Ustawa definiuje wszakże jedną z operacji przetwarzania, a mianowicie – operację usuwania danych.
Źródło:
https://edugiodo.giodo.gov.pl/file.php/1/ODO/ODO_R02_04.htm
– dostęp [2016-09-15]
 

5. Czy adres poczty elektronicznej jest daną osobową ?

Zgodnie z informacją podaną na stronie GIODO:
Adres poczty elektronicznej – bez dodatkowych informacji, umożliwiających ustalenie tożsamości osoby – zasadniczo nie stanowi danych osobowych. Występujący samodzielnie adres poczty elektronicznej można w wyjątkowych przypadkach uznać za dane osobowe, ale tylko wtedy, gdy elementy jego treści pozwalają, bez nadmiernych kosztów, czasu lub działań – na ustalenie na ich podstawie tożsamości danej osoby. Dzieje się tak w sytuacji, gdy elementami treści adresu są np. imię i nazwisko jego właściciela.
Źródło:
https://edugiodo.giodo.gov.pl/file.php/1/ODO/ODO_R02_03.htm
– dostęp [2016-09-15]

6. Czy do zbioru danych osobowych zaliczamy wydruki  z systemów komputerowych zawierających dane osobowe ?

TAK
 

7. Czy kserokopie dokumentów zawierających dane osobowe są zbiorem danych osobowych?

TAK
 

8. Czy plik Excel zawierający imię, nazwisko, e-mail, adres do korespondencji stanowi zbiór danych osobowych ?

TAK
 

9. Czy zgłaszanie zbiorów danych osobowych dotyczy tylko tych przechowywanych elektronicznie w systemach informatycznych ?

NIE.
Zbiorem danych osobowych są również dane osobowe przechowywane w wersji  papierowej, a także na innych nośnikach takich jak dyskietki, płyty CD/DVD/BluRay, pen-drive, zewnętrzne dyski, taśmy magnetyczne.
 

10. Czy instytucji spoza Uniwersytetu Warszawskiego np. firmie rekrutacyjnej można udzielić informacji w sprawie weryfikacji wykształcenia studenta albo absolwenta Uniwersytetu Warszawskiego ?

W sprawie weryfikacji wykształcenia studentów albo absolwentów UW, instytucjom zewnętrznym można udzielić informacji jedynie w przypadku otrzymania na piśmie oryginalnej zgody osoby, której dane dotyczą. Zgoda na przetwarzanie danych osobowych powinna być  skierowana  do Uniwersytetu Warszawskiego i wskazywać  konkretny cel pozyskania takiej informacji.
 

11. Kiedy można powiedzieć, że dana osoba przetwarza dane ze zbioru danych osobowych ?

Przetwarzanie danych osobowych obejmuje podstawowe czynności, jakie można wykonać na danych tj.: czytanie, udostępnianie, zmienianie, przekazywanie, zbieranie, utrwalanie, opracowywanie, kasowanie itp.
Zatem przetwarzanie danych następuje już w momencie, gdy dana osoba fizyczna ma dostęp do tych danych. Stąd przykładowo, gdy dane osobowe są np. przechowywane w segregatorze w zamykanej szafce na dokumenty, wszystkie osoby mające dostęp do tej szafy należą do grupy osób, które przetwarzają te dane.
 

12. Co zrobić, jeśli dany zbiór danych osobowych występuje w kilku postaciach np. w systemie informatycznym, na płycie DVD i na wydrukach ?

Jeśli zbiór danych osobowych posiadający identyczną strukturę dotyczy  tej samej grupy osób, wskazane jest wykazać go jako jeden zbiór danych osobowych (jedno zgłoszenie), ale jednocześnie wykazać, że formą zbioru danych osobowych jest system informatyczny, płyty DVD, wydruki, teczki, segregatory itp.
 
Zgodnie z definicją w ustawie o ochronie danych osobowych w art. 7 pkt 1, zbiorem danych jest taki zestaw danych o charakterze osobowym, w którym dane dostępne są według określonych kryteriów, „niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”.

13. W jaki sposób można usunąć zbiór danych osobowych ?

Zgodnie z informacją podaną na stronie GIODO:
Zgodnie z art. 7 pkt 3 ustawy usuwanie danych polega na ich niszczeniu lub modyfikacji. Aby można było mówić o usunięciu danych osobowych, należy dokonać tej czynności w sposób niepozwalający na odtworzenie ich treści, czyli tak, aby po dokonaniu usunięcia danych niemożliwe było zidentyfikowanie osób, których dotyczą.
Istnieje przy tym dowolność w wyborze środków służących usuwaniu danych. Można zatem, w celu usunięcia danych, skorzystać z niszczarki lub zanonimizować dokument, czyli usunąć z niego dane osobowe, np. zaczerniając je, tak aby nie było możliwe ich odtworzenie.
Warto zwrócić uwagę na zjawisko błędów popełnianych przez pracowników w procesie niszczenia zbędnych dokumentów zawierających dane osobowe. Częstym procederem jest wyrzucanie dokumentów na śmietnik, bez uprzedniego sprawdzenia ich treści. Stanowi to naruszenie norm o zabezpieczeniu danych osobowych, ponieważ umożliwia zapoznanie się z treścią danych osobom nieuprawnionym.
Źródło: 
https://edugiodo.giodo.gov.pl/file.php/1/ODO/ODO_R02_05.htm
– dostęp [2016-09-15]

14. Kiedy możemy powiedzieć, że nastąpiła zgoda osoby na przetwarzanie jej danych osobowych ?

Zgodnie z informacją podaną na stronie GIODO:
W myśl art. 7 pkt 5 ustawy o ochronie danych osobowych, przez zgodę osoby, której dane dotyczą, rozumie się oświadczenie woli, którego treścią jest zgoda składającego oświadczenie na przetwarzanie jego danych osobowych. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści.
Z definicji tej nie wynikają szczegółowe zasady formułowania klauzul zgody, jednakże podkreśla się, że z treści klauzul zgody na przetwarzanie danych osobowych powinno w sposób niebudzący wątpliwości wynikać, w jakim celu, w jakim zakresie i przez kogo dane osobowe będą przetwarzane. Wyrażający zgodę musi mieć pełną świadomość tego, na co się godzi.
W przypadku zgody na wykorzystywanie danych osobowych podlegających szczególnej ochronie – zgoda musi być wyrażona na piśmie.
Źródło:
https://edugiodo.giodo.gov.pl/file.php/1/ODO/ODO_R02_06.htm
– dostęp [2016-09-16]
 
Na stronie UW ( https://portal.uw.edu.pl/web/ado/start ) znajduje się przykładowy wzór dokumentu dotyczącego pozyskania zgody na przetwarzanie danych osobowych: https://portal.uw.edu.pl/c/document_library/get_file?uuid=d91cea66-3c06-4cbf-a61f-ce769aa97a58&groupId=5835001
– dostęp [2016-09-16]
 

15. Jakie mogą być przykładowe formy danych osobowych ?

Zbiory danych osobowych mogą przybierać różne formy m.in.:
 papierowe:
 o teczki;
o segregatory;
o zeszyty;
o skorowidze;
o albumy na wizytówki;
o dziennik korespondencji;
o książka wejścia – wyjścia;
o ewidencja kluczy;
o wydruki papierowe;
• elektroniczne:
o płyty CD/DVD/BluRay itp.;
o dyskietki;
o pendrive;
o dyski;
o karty pamięci;
o taśmy magnetyczne;
o systemy informatyczne (programy);
o urządzenia elektroniczne (serwery, komputery, smartfony, etc);
 

16. Jakie mogą być przykładowe zbiory danych osobowych ?

Co do zasady, przykładowych zbiorów danych osobowych może być nieskończenie wiele. Zbiór danych osobowych, w zależności od tego, w jakim celu został stworzony, może być dowolnie nazwany i zawierać dowolny zestaw pól określający poszczególne osoby. Poniżej przedstawiono przykładowe zbiory danych osobowych, z którymi można się potencjalnie spotkać. Przytoczone w odpowiedzi na to pytanie przykłady należy potraktować jako drogowskaz do określenia posiadanych zbiorów danych osobowych.
• rejestr/baza/spis faktur, jeśli zawierają dane osobowe
• rejestr/baza/spis pracowników
• rejestr/baza/spis umów cywilnoprawnych
• rejestr/baza/spis umów o pracę
• rejestr/baza/spis windykacyjny
• rejestr/baza/spis dłużników
• rejestr/baza/spis pełnomocnictw
• rejestr badań lekarskich
• dziennik korespondencji
• ewidencja czasu pracy
• dokumenty do ZUS
• program „Płatnik”
• wyciągi bankowe
• listy wysyłkowe
• baza studentów
• rejestr/baza/spis osób zakwaterowanych w DS
• rejestr/baza/spis stypendystów
• ewidencja pobierania kluczy
• lista płac
• baza studentów podyplomowych
• baza studentów doktoranckich
• rejestr osób biorących udział w grantach
• rejestr osób biorących udział w projektach
• rejestr osób biorących udział w działalności badawczej
• rejestr osób w systemie kontroli dostępu
• wewnętrzne systemy informatyczne, np. USOS, HMS, biblioteczny etc.
• zewnętrzne systemy, np. bankowe, ZUS, Płatnik etc.
 

17. Student(ka) jest za granicą i nie
odebrał(a) dyplomu, a potrzebny jest skan dyplomu. Czy mogę wysłać skan dyplomu na adres meilowy student(a/ki) ?

Zgodnie z Zarządzeniem Rektora Uniwersytetu Warszawskiego
Nr 16 z dnia 2007-04-18 w sprawie korzystania z poczty elektronicznej przez pracowników i studentów Uniwersytetu Warszawskiego, w §2 został wprowadzony obowiązek posiadania
i użytkowania przez każdego studenta konta na jednym z serwerów
poczty elektronicznej należących do Uniwersytetu Warszawskiego wraz z adresem domenowym identyfikowanym z Uczelnią.

Dlatego też, na prośbę osoby zainteresowanej, można za pomocą uczelnianej poczty elektronicznej, przesłać dokument zawierający dane osobowe, osoby której dane dotyczą
na jej uczelniane konto poczty elektronicznej (adres poczty elektronicznej odbiorcy jest w domenie *.uw.edu.pl np. uw.edu.pl, student.uw.edu.pl itp.).

Do komunikacji ze studentem, można również wykorzystać USOSMAIL w systemie USOSWEB.

W przypadku adresów poczty elektronicznych nie należących
do Uniwersytetu Warszawskiego, nie można przesyłać tego typu danych, chyba że osoba, której dane dotyczą
wskazała poprzez pisemne oświadczenie woli zewnętrzny adres poczty elektronicznej do korespondencji.

Zgoda taka nie może być domniemana lub dorozumiana
z oświadczenia woli o innej treści.
Należy również zwrócić uwagę, czy wyrażona wcześniej zgoda nie została przez zainteresowaną osobę odwołana.


Osoby, które nie znalazły odpowiedzi na swoje pytanie mogą skorzystać z portalu GIODO,
a dokładniej z części serwisu, w której znajdują się inne pytania i odpowiedzi z zakresu ochrony danych osobowych – http://www.giodo.gov.pl/266/ [dostęp 2016-09-20]
Na wskazanej stronie pytania i odpowiedzi zostały podzielone na cztery kategorie tematyczne: komunikaty, dane dotyczące ustawy o ochronie danych osobowych, dotyczące przepisów sektorowych i inne.
 

Przeglądając serwis zgadzasz się na użycie Cookie / By continuing to use the site, you agree to the use of cookies. więcej informacji / more information

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close