Przepisy prawa regulujące ochronę danych osobowych

Unijne:

• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
• Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW

Krajowe:

• Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
• wiele przepisów sektorowych uszczegóławia kwestie związane z ochroną danych osobowych w poszczególnych sektorach (patrz Ustawa sektorowa RODO)

Wewnętrzne:

• Zarządzenie Rektora Politechniki Gdańskiej nr 20/2018

Przepisy w pigułce

RODO

Podstawowe zasady dotyczące przetwarzania danych osobowych zostały ujęte w art. 5 RODO, który mówi, że dane osobowe muszą być:

• przetwarzane zgodnie z prawem, rzetelnnie i przejrzyście;
• ograniczone co do celu, w którym zostały zebrane - dane powinny być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami;
• adekwatne, sosowne i ograniczone - tzw. zasada minimalizacji danych, oznaczająca, że dane osobowe powinny być w zakresie niezbędnym do celów, dla których będą one przetwarzane;
• prawidłowe i w razie potrzeby uaktualniane - co oznacza, że należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane (uaktualnione) - prawidłowość;
• przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane - ograniczenie przechowywania;
• przetwarzane zgodnie z zasadami integralności i poufności, w celu zabezpieczenia odpowiedniego bezpieczeństwa danych osobowych.

Podstawowe obowiązki administratora danych osobowych (Politechniki Gdańskiej):

1. Przetwarzanie zgodne z prawem.

Przypadki, w których dozwolone jest przetwarzanie danych zostały opisane w art. 6 RODO. Podstawowymi sytuacjami, w których możliwe jest przetwarzanie danych osobowych (legalne, zgodne z prawem) są:

• przepisy prawa;
• wykonanie umowy, której stroną jest osoba, której dane dotyczą lub konieczność podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;
• wykonywanie zadania realizowanego w intersie publicznym lub w ramach sprawowania władzy publicznej; 
• prawnie uzasadnione interesy realizowane przez administratora;
• wyrażenie zgody przez osobę, której dane dotyczą;
• ochrona żywotnych interesów osoby, której dane dotyczą;

1. Realizcja obowiązków informacyjnych wobec osoby, której dane dotyczą
2. Zapewnienie dostępu do zebranych danych oraz realizacja praw osoby której dane dotyczą.
3. Wdrożenie odpowiednich środków technicznych i organizacyjnych przetwarzania danych osobowych.

Ustawa

10 maja 2018 r. została uchwalona nowa ustawa o ochronie danych osobowych, która zastąpiła ustawę z 1997 r. Ustawa zapewnia stosowanie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679.
Ustawa opisuje w szczególności następujące zagadnienia:

• ograniczenia lub wyłączenia przepisów ustawy lub RODO (art. 2-6 ustawy);
• inspektor ochrony danych (art. 8-11 ustawy):
  - organy publiczne zobowiązane do jego wyznaczenia,
  - sposób zawiadomienia PUODO o wyznaczeniu IOD,
  - sposób udostępniania danych inspektora przez podmiot, który go wyznaczył;
• certyfikacja w zakresie ochrony danych osobowych, o której mowa w art. 42 RODO (art. 12-26) oraz kodeksy postępowania, o których mowa w art. 40 RODO, pomagające we właściwym stosowaniu RODO (art. 27-33);
• Prezes Urzędu Ochrony Danych Osobowych jako organ nadzorczy, zastępujący GIODO (art. 34-59 ustawy);
• postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych (art. 60-74 ustawy);
• kontrola przestrzegania przepisów o ochronie danych osobowych (art. 78-91 ustawy).

Sektorowe

(patrz Ustawa sektorowa RODO)

Zarządzenie rektora

Zgodnie z ZR-20/2018 Rektor powołuje Lokalnych Administratorów Danych Osobowych (LADO), którymi są Dziekani na Wydziałach oraz Kanclerz dla jednostek administracji centralnej oraz centrów. Zarządzenie wprowadza także rolę Głównego Użytkownika Zbioru, czyli osoby merytorycznie odpowiedzialnej za przetwarzanie danych osobowych w konkretnym zbiorze danych. Dziekani na Wydziałach pełnią jednocześnie role GUZ dla zbiorów wydziałowych.

...