Ochrona danych osobowych

Report
Ochrona danych osobowych
Szkolenie dla SBP
wrzesień 2011
Karol Górski, CISM, CRISC
[email protected]
Geneza
Dyrektywa UE 95/46
–
Cele
•
•
•
–
wyważenie prawa do prywatności i praw (interesów) przedsiębiorców,
ochrona przed nadmiernym łączeniem danych przez rządy
zapewnienie konsumentom prostszej, administracyjnej drogi do ochrony ich praw niż w drodze procesów sądowych
Grupa ekspertów z art. 29
Implementacja praw człowieka
–
Konwencja rzymska z 1950 r. (Europejska Konwencja o Ochronie Praw Człowieka i Podstawowych Wolności)
Art. 8 1. Każdy ma prawo do poszanowania swojego życia prywatnego i rodzinnego, swojego mieszkania i swojej
korespondencji.
–
Konstytucja RP
Art. 47 Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o
swoim życiu osobistym.
Art. 51 1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby.
2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w
demokratycznym państwie prawnym.
3. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może
określić ustawa.
4. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób
sprzeczny z ustawą.
5. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.
Podstawowe akty normatywne
•
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (UODO) (Dz.U. z 2002
r., nr 101, poz. 926 z późn. zm.)
– Ostatnia nowelizacja w 2010 r., weszła w życie w marcu 2011 r.
•
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia
2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków
technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych
•
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia
2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu
Inspektorowi Ochrony Danych Osobowych
•
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 22 kwietnia
2004 r. w sprawie wzorów imiennego upoważnienia i legitymacji służbowej
inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych
– zmienione rozporządzeniem MSWiA z dnia 11 maja 2011 r.
Akty normatywne cd.
Przepisy szczególne (branżowe, tematyczne)
– lex specialis derogat legi generali - mają pierwszeństwo
przed UODO (art. 5 UODO)
– Np. prawo telekomunikacyjne, ustawa o systemie
informacji oświatowej
Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą
elektroniczną
Ustawa z dnia 4 lutego 1994 r. o prawie autorskim i
prawach pokrewnych
– rozdział 10 dotyczy rozpowszechniania wizerunku
Generalny Inspektor Ochrony Danych Osobowych
(GIODO)
Organ nadzoru
– Powoływany przez Sejm i Senat na 4-letnią kadencję
– Obecnie: dr Wojciech Rafał Wiewiórowski (od 2010 r.)
Zadania (art. 12 UODO)
1) kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
2) wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania
przepisów o ochronie danych osobowych,
3) zapewnienie wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym
wynikających z decyzji, o których mowa w pkt 2, przez stosowanie środków egzekucyjnych
[…]
4) prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych
zbiorach,
5) opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych,
6) inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych
osobowych,
7) uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się
problematyką ochrony danych osobowych.
Generalny Inspektor Ochrony Danych Osobowych cd.
Coroczne sprawozdania
Wytyczne dla administratorów danych (seria „ABC Ochrony danych
osobowych”)
Infolinia (22 860 70 70)
• Możliwość konsultacji telefonicznych
Platforma do składania wniosków o rejestrację zbiorów oraz do
przeglądania rejestru zbiorów
• egiodo.giodo.gov.pl
Strony internetowe (publikacje, decyzje, statystyki, pytania i odpowiedzi)
• www.giodo.gov.pl
• edugiodo.giodo.gov.pl
Zakres obowiązywania – podmiotowy
(art. 3 i 3a)
• Ustawę stosuje się do organów państwowych, organów samorządu
terytorialnego oraz do państwowych i komunalnych jednostek
organizacyjnych.
• Ustawę stosuje się również do:
1) podmiotów niepublicznych realizujących zadania publiczne,
2) osób fizycznych i osób prawnych oraz jednostek organizacyjnych
niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w
związku z działalnością zarobkową, zawodową lub dla realizacji celów
statutowych
- które mają siedzibę albo miejsce zamieszkania na terytorium
Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają
dane osobowe przy wykorzystaniu środków technicznych znajdujących się
na terytorium Rzeczypospolitej Polskiej.
Zakres obowiązywania – przedmiotowy
(art. 2 ust. 2)
Ustawę stosuje się do przetwarzania danych
osobowych:
1) w kartotekach, skorowidzach, księgach, wykazach
i w innych zbiorach ewidencyjnych,
2) w systemach informatycznych, także w przypadku
przetwarzania danych poza zbiorem danych.
UODO stosuje się tylko do przetwarzania danych
żyjących osób fizycznych, zarówno obywateli
polskich jak i cudzoziemców
Zakres obowiązywania - wyłączenia
•
Przetwarzanie przez osoby fizyczne wyłącznie w celach osobistych lub domowych
•
Prasowa działalność dziennikarska oraz działalność literacka i artystyczna
(obowiązują tylko przepisy dot. zabezpieczenia i kontroli) – chyba że naruszone
prawa i wolności innych
•
Podmioty z państw trzecich wykorzystujące środki techniczne na terytorium RP
tylko do przekazywania danych
•
Jeśli umowa międzynarodowa stanowi inaczej
•
Zbiory doraźne – ALE TRZEBA ZABEZPIECZAĆ
•
Ograniczenie kompetencji GIODO wobec
– Podmiotów zgłaszających kandydatów w okresie kampanii wyborczej
– Nakazywania usunięcia danych zebranych w toku czynności operacyjno-rozpoznawczych
UWAGA !
To, że zbiór jest zwolniony z obowiązku
rejestracji
NIE WYŁĄCZA
obowiązku spełnienia pozostałych postanowień
ustawy, w tym dotyczących zabezpieczenia
danych
Podstawowe pojęcia
•
Dane osobowe
Art. 6 1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące
zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio
lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub
kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe,
ekonomiczne, kulturowe lub społeczne.
3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to
nadmiernych kosztów, czasu lub działań.
•
Dane wrażliwe
– dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne
lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o
stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące
skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w
postępowaniu sądowym lub administracyjnym.
– W przepisie karnym (art. 49) dane o skazaniach i orzeczeniach traktuje się tak jak dane zwykłe
•
Zbiór danych
– posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według
określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony
funkcjonalnie
Quiz
• Czy
– numer rejestracyjny samochodu
– numer IP
– numer telefonu
– adres email
jest daną osobową ?
• Czy spis kontaktów w telefonie komórkowym to zbiór danych osobowych ?
– Czy wymaga rejestracji ?
– A zbiór wizytówek na biurku ?
• Czy zbieranie i przetwarzanie przez jednego z uczestników rozgrywanych
rekreacyjnie meczy siatkarskich danych o innych uczestnikach, podlega
ustawie ?
– Czy potrzebna jest rejestracja takiego zbioru ?
Podstawowe pojęcia cd.
•
Przetwarzanie danych osobowych
–
–
–
•
Wszystkie operacje na danych w tym zbieranie, usuwanie
Samo przechowywanie też stanowi przetwarzanie w rozumieniu UODO
Papierowo lub w systemach informatycznych (również poza zbiorem)
Powierzenie przetwarzania danych osobowych
–
Odpowiedzialność podmiotu, któremu powierzono przetwarzanie:
•
•
–
–
•
Umowa na piśmie, musi być wskazany cel i zakres przetwarzania
Niszczenie dokumentacji, serwis sprzętu czy oprogramowania to też mogą być przypadki powierzenia
Udostępnienie danych
–
•
Wobec AD za przetwarzanie niezgodnie z umową
Za nieprzestrzeganie przepisów o zabezpieczeniu danych
Szczególnym przypadkiem jest udostępnienie odbiorcy danych – trzeba je odnotować
Przekazanie za granicę
–
Może - ale nie musi - łączyć się z udostępnieniem
Podstawowe pojęcia cd.
•
Administrator danych osobowych (AD)
–
•
Administrator bezpieczeństwa informacji (ABI)
–
•
–
Osoba fizyczna, która w momencie wystąpienia zdarzenia określonego w przepisach karnych zawiaduje
danymi
Musi mieć odpowiednie kompetencje i zasoby, nie można „zepchnąć odpowiedzialności” na szeregowego
pracownika nie dając mu możliwości odpowiedniego postępowania z danymi
Podmiot, któremu powierzono przetwarzanie danych
–
–
–
•
Każdy komu udostępnia się dane z wyjątkiem: osoby, której dane dotyczą, osoby upoważnionej do
przetwarzania danych, przedstawiciela, o którym mowa w art. 31a, podmiotu, o którym mowa w art. 31,
organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z
prowadzonym postępowaniem
Administrujący danymi osobowymi
–
•
Prowadzi nadzór nad przestrzeganiem przepisów o ochronie danych osobowych
Odbiorca danych
–
•
Decyduje o celach i środkach przetwarzania danych
Dowolny ale AD musi zachować szczególną staranność również przy wyborze
Uwaga na podmioty zlokalizowane w państwach trzecich (poza EOG)
Należy zapewnić możliwość nadzoru AD nad przetwarzaniem danych przez ten podmiot
Przedstawiciel z art. 31
–
Wyznaczany w przypadku podmiotów mających siedzibę w państwie trzecim (poza EOG)
Podstawowe zasady
WAŻNE !!!
Szczególna staranność
Legalność
Celowość
Poprawność
Adekwatność
Ograniczenie czasowe
Podstawowe zasady
•
Dochowanie szczególnej staranności przy przetwarzaniu
–
–
•
Celowość
–
–
•
nie ma innej możliwości osiągnięcia legalnego celu bez przetwarzania określonych danych
Poprawność
–
•
Oznaczony cel, znany osobie której dane dotyczą
Nie można użyć do przetwarzania w „niezgodnym” celu
Adekwatność
–
•
W celu ochrony interesów osób, których dane dotyczą
więcej niż należyta staranność
Weryfikacja, aktualizacja danych, umożliwienie korygowania danych
Ograniczenie czasowe
–
–
–
Należy z góry określić kiedy dane będą usuwane
Jak długo dane będą przechowywane np. po zrealizowaniu umowy
Często wynika z przepisów o rachunkowości lub roszczeniach (cywilnych, pracowniczych) np. dokumentacja
pracownicza – 50 lat, księgowa – 5 lat (od końca roku kalendarzowego)
Legalność – dane zwykłe
(art. 23 UODO)
• Zgoda osoby której dane dotyczą (chyba że chodzi o usunięcie jej danych)
• Zrealizowanie uprawnienia lub spełnienie obowiązku wynikającego z
przepisu prawa
• Realizacja umowy której stroną jest osoba której dane dotyczą lub podjęcie
działań przed zawarciem umowy na żądanie tej osoby
• Wykonanie określonych prawem zadań realizowanych dla dobra
publicznego
• Wypełnienie prawnie usprawiedliwionego celu administratora danych lub
odbiorcy danych jeśli nie narusza to praw i wolności osoby której dane
dotyczą
– Dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej
– Marketing bezpośredni produktów lub usług AD
Legalność – dane zwykłe cd.
•
Zalecane jest korzystanie z innych niż zgoda podstaw przetwarzania
•
Wymuszona zgoda może zostać zakwestionowana np. zgoda w relacjach
pracodawca-pracownik (np. sprawa zaświadczeń o niekaralności)
•
Zgoda – oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych
osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub
dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w
każdym czasie
•
Zgoda nie musi być na piśmie (chyba że chodzi o dane wrażliwe) ale powinno być
możliwe udowodnienie, że została wyrażona - dlatego najczęściej dla celów
dowodowych wymaga się zgody na piśmie
– Możliwe inne sposoby udokumentowania zgody np. procedury, logika programu
komputerowego itp.,
•
Rozpoczęcie przetwarzania danych zwykłych w zbiorze dozwolone od momentu
złożenia wniosku o rejestrację
Legalność – dane wrażliwe
• Generalny zakaz (art. 27)
• Ust. 2 zawiera wyjątki od zakazu
• Przetwarzanie danych wrażliwych
dopuszczalne dopiero po zarejestrowaniu
zbioru, jeżeli nie jest zwolniony z rejestracji
Legalność – dane wrażliwe – wyjątki
od zakazu
1) osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych,
2) przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą,
i stwarza pełne gwarancje ich ochrony,
3) przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub
innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu
ustanowienia opiekuna prawnego lub kuratora,
4) jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych,
stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych,
religijnych, filozoficznych lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie
członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich
działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych,
5) przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem,
6) przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia
pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie,
7) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia
pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych,
zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych,
8) przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane
dotyczą,
9) jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do
uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań
naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały
przetworzone,
10) przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z
orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.
Podstawowe obowiązki AD
• Zabezpieczenie danych osobowych
• Obowiązek informacyjny
– Pierwotny (przy zbieraniu danych od osoby, której
dane dotyczą) i wtórny (przy zbieraniu danych z
innego źródła)
• Obowiązki informacyjne, korekcyjne i zakazowe
• Obowiązek rejestracji
– obowiązek aktualizacji zgłoszenia (w ciągu 30 dni od
zmian)
– zwolnienie z rejestracji nie zwalnia z pozostałych
obowiązków !!!
Obowiązek informacyjny
•
Zakres informacji
–
–
–
–
•
Zwolnienie z pierwotnego obowiązku informacyjnego jeśli
–
–
•
Zezwala na to przepis innej ustawy
Osoba, której dane są zbierane posiada już te informacji
Przy wtórnym obowiązku dodatkowo:
–
–
•
Adres siedziby i pełna nazwa AD
Cel zbierania danych, w szczególności znani lub przewidywani odbiorcy lub kategorie odbiorców
Informacja o prawie dostępu do treści danych oraz ich poprawiania
Informacja o dobrowolności albo obowiązku podania danych (jeśli obowiązek to również jego podstawa
prawna)
Informacja o zakresie danych i o ich źródle
Informacja o uprawnieniach z art. 32 ust. 1 pkt 7 i 8
Zwolnienie z wtórnego obowiązku informacyjnego jeśli
–
–
–
–
Zezwala na to przepis innej ustawy
Osoba której dane są zbierane posiada już te informacje
Dane są przetwarzane przez AD będącego organem państwowym, samorządowym, państwową lub
komunalną jednostką organizacyjną lub podmiotom niepublicznym realizującym zadania publiczne
Dane są używane do celów badań naukowych, statystycznych, historycznych, dydaktycznych lub badań opinii
publicznej, nie naruszone są prawa i wolności osób a spełnienie obowiązku byłoby nadmiernym kosztem lub
zagrażało realizacji celu badań
Obowiązki z art. 32
•
Żądanie informacji
–
–
–
–
–
•
Żądanie uzupełnienia, uaktualnienia, sprostowania, czasowego lub stałego wstrzymania przetwarzania danych lub
ich usunięcia jeśli są niekompletne, nieaktualne lub nieprawdziwe lub zebrane z naruszeniem ustawy albo są już
zbędne do realizacji celu do którego zostały zebrany
–
–
•
Pisemne, umotywowane żądanie
AD zaprzestaje przetwarzania, przekazuje żądanie do GIODO, który wydaje decyzję
Sprzeciw wobec przetwarzania danych w przypadku art. 23 ust. 1 pkt 4 i 5 jeśli AD zamierza przetwarzać je w
celach marketingowych sprzeciw lub wobec przekazywaniu innym AD
–
–
•
Osoba musi wykazać że taka sytuacja ma miejsce
AD musi bez zbędnej zwłoki dokonać poprawki lub wstrzymać przetwarzanie i poinformować o tym wszystkich AD którym
udostępnił zbiór danych
Żądanie zaprzestania przetwarzania danych ze względu na szczególną sytuację – w przypadku przetwarzania na
podstawie art. 23 ust. 1 pkt 4 lub 5
–
–
•
To co przy obowiązku informacyjnym + treść danych w powszechnie zrozumiałej formie
Można odstąpić od udzielenia informacji jeśli dane są przetwarzane w celach naukowych, dydaktycznych, historycznych,
statystycznych, archiwalnych i pociągałoby to za sobą niewspółmierne do celu nakłady
Prawo do żądania informacji przysługuje nie częściej niż raz na 6 miesięcy
Informacji można udzielić w różnej formie, pisemnie jeśli taki był wniosek
Można odmówić udzielenia informacji w pewnych sytuacjach (art. 34)
Dalsze przetwarzanie niedopuszczalne
AD może zostawić sobie dane które pozwolą zapobiec ponownemu wprowadzeniu do tej osoby do zbioru (np. PESEL lub imię,
nazwisko i adres)
Żądanie ponownego rozpatrzenia sprawy rozstrzygniętej z naruszeniem art. 26
Obowiązek rejestracji zbioru
• Generalny obowiązek rejestracji
• Przy zwykłych danych można przetwarzać od
momentu złożenia wniosku, przy wrażliwych – od
momentu wpisu do rejestru
• Zmiany muszą być zgłaszane w ciągu 30 dni od ich
dokonania w zbiorze
– Chodzi o zmiany w strukturze zbioru, sposobie
przetwarzania lub zabezpieczenia
– Jeśli zmiana polega na rozpoczęciu przetwarzania
danych wrażliwych to można jej dokonać dopiero po
zgłoszeniu GIODO
Zwolnienia z obowiązku rejestracji
Obowiązek nie dotyczy zbiorów:
1) zawierających informacje niejawne,
1a) które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności,
2) przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym,
2a) przetwarzanych przez Generalnego Inspektora Informacji Finansowej,
2b) przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym
Systemie Informacyjnym;
3) dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby
tego kościoła lub związku wyznaniowego,
4) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących
osób u nich zrzeszonych lub uczących się,
5) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego,
doradcy podatkowego lub biegłego rewidenta,
6) tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i
sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz
dotyczących referendum ogólnokrajowego i referendum lokalnego,
7) dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub
kary pozbawienia wolności,
8) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,
9) powszechnie dostępnych,
10) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego,
11) przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.
Zabezpieczenie
•
Dostosowane do kategorii danych i zagrożeń
–
–
Analiza ryzyka, mało kto przeprowadza ją w sposób udokumentowany
Zabezpieczenie przed udostępnienie osobom nieupoważnionym, zabraniem przez osoby nieuprawnione,
przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem
•
Prowadzenie dokumentacji opisującej sposób przetwarzania danych oraz zabezpieczenia
•
Kontrola nad tym jakie dane, kiedy i przez kogo są do zbioru wprowadzane oraz komu są
udostępniane
•
Upoważnienia do przetwarzania danych osobowych
–
–
•
Wyznaczenie ABI
–
•
Osoby upoważnione mają z mocy ustawy obowiązek zachowania w tajemnicy danych osobowych i sposobów
ich zabezpieczenia (bezterminowo)
Ewidencja upoważnień
Należy unikać konfliktów interesów – ABI nie powinien być istotnie zaangażowany w przetwarzanie danych,
nad którym prowadzi nadzór
Wdrożenie środków z załącznika do rozporządzenia do UODO
–
Oraz dodatkowych, jeśli tak wynika z analizy ryzyka
Przepisy karne
Nieuprawnione przetwarzanie
(bez podstaw prawnych, bez upoważnienia)
Art. 49 1. Kto przetwarza w zbiorze dane osobowe, choć ich
przetwarzanie nie jest dopuszczalne albo do których
przetwarzania nie jest uprawniony, podlega grzywnie, karze
ograniczenia wolności albo pozbawienia wolności do lat 2.
2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających
pochodzenie rasowe lub etniczne, poglądy polityczne,
przekonania religijne lub filozoficzne, przynależność
wyznaniową, partyjną lub związkową, danych o stanie
zdrowia, kodzie genetycznym, nałogach lub życiu
seksualnym, sprawca podlega grzywnie, karze ograniczenia
wolności albo pozbawienia wolności do lat 3.
Przepisy karne
Bezprawne udostępnienie
Art. 51 1. Kto administrując zbiorem danych lub
będąc obowiązany do ochrony danych
osobowych udostępnia je lub umożliwia dostęp
do nich osobom nieupoważnionym, podlega
grzywnie, karze ograniczenia wolności albo
pozbawienia wolności do lat 2.
2. Jeżeli sprawca działa nieumyślnie, podlega
grzywnie, karze ograniczenia wolności albo
pozbawienia wolności do roku.
Przepisy karne
Brak zabezpieczenia, brak rejestracji
Art. 52 Kto administrując danymi narusza choćby
nieumyślnie obowiązek zabezpieczenia ich przed
zabraniem przez osobę nieuprawnioną,
uszkodzeniem lub zniszczeniem, podlega
grzywnie, karze ograniczenia wolności albo
pozbawienia wolności do roku.
Art. 53 Kto będąc do tego obowiązany nie zgłasza
do rejestracji zbioru danych, podlega grzywnie,
karze ograniczenia wolności albo pozbawienia
wolności do roku.
Przepisy karne
Brak informacji, utrudnianie kontroli
Art. 54 Kto administrując zbiorem danych nie dopełnia
obowiązku poinformowania osoby, której dane
dotyczą, o jej prawach lub przekazania tej osobie
informacji umożliwiających korzystanie z praw
przyznanych jej w niniejszej ustawie, podlega grzywnie,
karze ograniczenia wolności albo pozbawienia wolności
do roku.
Art. 54a Kto inspektorowi udaremnia lub utrudnia
wykonanie czynności kontrolnej, podlega grzywnie,
karze ograniczenia wolności albo pozbawienia wolności
do lat 2.
Inne formy odpowiedzialności
•
•
•
•
Porządkowa
Dyscyplinarna
Nakazy administracyjne GIODO
Cywilnoprawna (ochrona dóbr osobistych)
Dane o skazaniach
Prawomocne skazania osób dorosłych
1998
łącznie
Art. 49 ust. 1
Art. 49 ust. 2
Art. 50
Art. 51 ust. 1
Art. 51 ust. 2
Art. 52
Art. 53
Art. 54
1999
1
1
2000
13
3
2001
10
2002
12
3
2003
9
1
2004
35
8
1
2005
25
1
1
2
1
5
5
2
1
13
4
7
1
1
10
1
10
1
1
1
1
6
2
1
1
6
1
1
1
Skazania w roku 2005 w podziale wg rodzaju orzeczonej kary
Grzywna
Łącznie
łącznie
Art. 49 ust. 1
Art. 49 ust. 2
Art. 50
Art. 51 ust. 1
Art. 51 ust. 2
Art. 52
Art. 53
Art. 54
Ograniczenie wolności Pozbawienie wolności Inne
Zawieszona Łącznie
Zawieszone Łącznie
Zawieszone
17
1
5
5
2
1
1
8
1
7
1
2
2
3
3
1
Rozporządzenie
• Dokumentacja
– Polityka
– Instrukcja zarządzania systemem informatycznym
• Wymagania funkcjonalne na aplikacje
• Poziom zabezpieczeń
• Wymagania na zabezpieczenia w podziale na poziomy
(załącznik)
–
–
–
–
–
Hasła
Kopie zapasowe
Zapory sieciowe
Programy antywirusowe
Szyfrowanie
Quiz
•
Czy
– numer rejestracyjny
– numer IP
– numer telefonu
– adres email
jest daną osobową ? Jakie są obowiązki AD zbierających i przetwarzających takie dane ?
•
Czy spis kontaktów w telefonie komórkowym to zbiór danych osobowych ?
– Czy wymaga rejestracji ?
– A zbiór wizytówek na biurku ?
Jakie są obowiązki AD zbierających i przetwarzających takie dane ?
•
Czy zbieranie i przetwarzanie przez jednego z uczestników rozgrywanych
rekreacyjnie meczy siatkarskich danych o innych uczestnikach, podlega ustawie ?
– Czy potrzebna jest rejestracja takiego zbioru ?
Jakie obowiązki wynikające z UODO musi spełnić ten człowiek ?
Organizacja przetwarzania danych
osobowych w SBP
• Stowarzyszenia podlegają pod ustawę
• SBP przetwarza różne kategorie danych osobowych, w tej
chwili rozmawiamy tylko o danych członków SBP
• Nie ma przepisów szczególnych (ustawa o stowarzyszeniach
nie porusza tego tematu)
• SBP jest administratorem zbioru członków stowarzyszenia
• Podstawa prawna – w części realizacja obowiązku
(rachunkowość), w części – zgoda
• Uzasadnienie (cel) dla zbieranych danych
• Zwolnienie z rejestracji (art. 43 ust. 2 pkt 4)
• Zabezpieczenia – o tym dalej
Zadania dla okręgów, oddziałów i kół
•
Związane z wydawaniem upoważnień i danych dostępowych do systemu
– Jeżeli potrzebne jest dopuszczenie nowej osoby do pracy przy deklaracjach członkowskich i
przy systemie bazodanowym to należy najpierw wystąpić do centrali (np. do ABI) o wydanie
nowego upoważnienia oraz nowego konta w systemie
– W przeciwnym razie nieupoważniona osoba naraża się na sankcje z art. 49 a ta które
udostępnia jej dane (np. konto w systemie) – na sankcje z art. 51
•
Związane z obowiązkiem informacyjnym
– Potwierdzenie, że w procesie zbierania danych od kandydatów jest realizowany obowiązek
informacyjny (przy zatwierdzaniu danych w okręgu)
– Czy zdarzają się przypadku zbierania danych nie od osoby której dane dotyczą
•
Związane z obowiązkami z art. 32
– Formalne wnioski o informacje oraz żądania korekty lub zaprzestania przetwarzania lub
sprzeciwu najlepiej konsultować lub przekazywać ABI
– Prostsze przypadki udzielania informacji można delegować w dół (do kół lub oddziałów)
– Należy pamiętać żeby udzielać informacji właściwej osobie (wylegitymować przed
przekazaniem informacji lub wysłać informacje na ostatni podany adres)
– Korekty muszą być uzasadnione – osoba musi wykazać potrzebę korekty
Zalecenia
•
Komputery prywatne:
– Oprogramowanie antywirusowe
– Odrębne konto (nie administracyjne)
•
Komputery służbowe:
–
–
–
–
–
•
Zawsze:
–
–
–
–
•
Odrębne konto jeśli możliwe
Oprogramowanie antywirusowe
Zapora sieciowa
Nie korzystać z zapamiętywania haseł
Utworzyć odrębne konto, korzystać tylko w celu łączenia się z systemem SBP, nie otwierać w
innych zakładkach innych stron
Sprawdzanie adresu i certyfikatu
Bezpieczne przechowywanie hasła
Jeśli wifi to zabezpieczone – WPA/WPA2
Szyfrowanie poczty elektronicznej – 7zip, winrar, hasło smsem
Komputery przenośne
– szyfrowane dyski lub partycje (np. Truecrypt, BitLocker, EFS)
Zalecenia
• Wnioski w zamykanych szafkach
– klucze bezpiecznie schowane
– Rozważyć czy nie można archiwum deklaracji
członkowskich zlokalizować z centrali
• Przesyłanie pocztą
– Wystarczy zwykła przesyłka, choć lepiej ustalić
wyższy poziom i korzystać z poleconych
Dziękuję za uwagę
[email protected]

similar documents