Szkolenie dla radców prawnych Okręgowej Izby Radców Prawnych w Opolu

Szkolenie dla radców prawnych Okręgowej Izby Radców Prawnych w Opolu
Ochrona danych osobowych w praktyce kancelarii RADCOWSKIEJ i w postępowaniach sądowych Szkolenie dla radców prawnych Okręgowej Izby Radców Prawnych w Opolu Weronika Kowalik Z-ca Dyrektora Departamentu Orzecznictwa, Legislacji i Skarg Biuro Generalnego Inspektora Ochrony Danych Osobowych 26 marca 2014 r., Opole

TEMATYKA WYKŁADU Podstawy prawa ochrony danych osobowych
Radca prawny jako administrator danych osobowych Obowiązki administratora danych Uprawnienia GIODO wobec radców prawnych a ochrona tajemnicy radcowskiej Profilowanie – zasady ogólne Reforma prawa ochrony danych osobowych w Unii Europejskiej Rola samoregulacji Jak tworzona jest ocena wpływu przedsięwzięcia na ochronę danych osobowych Tajemnica radcowska a uprawnienia policji i „służb bezpieczeństwa państwa” Zagadnienie niezależnej kontroli 26 marca 2014 r., Opole

RAMY PRAWNE OCHRONY DANYCH OSOBOWYCH W UNII EUROPEJSKIEJ
Karta Praw Podstawowych Unii Europejskiej - Art. 8 regulujący ochronę danych osobowych każdy ma prawo do ochrony danych osobowych, które go dotyczą dane te muszą być przetwarzane rzetelnie w określonych celach i za zgodą osoby zainteresowanej lub na innej uzasadnionej podstawie przewidzianej ustawą. Każdy ma prawo dostępu do zebranych danych, które go dotyczą i prawo do spowodowania ich sprostowania przestrzeganie tych zasad podlega kontroli niezależnego organu. Traktat o Funkcjonowaniu UE - art. 16 każda osoba ma prawo do ochrony danych osobowych jej dotyczących parlament europejski i Rada określają zasady dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii oraz przez Państwa Członkowskie w wykonywaniu działań wchodzących w zakres zastosowania prawa Unii, a także zasady dotyczące swobodnego przepływu takich danych. Przestrzeganie tych zasad podlega kontroli niezależnych organów 26 marca 2014 r., Opole

RAMY PRAWNE OCHRONY DANYCH OSOBOWYCH W UNII EUROPEJSKIEJ
Konwencja 108 Rady Europy z dnia 28 stycznia 1981 r. o Ochronie Osób w Związku z Automatycznym Przetwarzaniem Danych Osobowych (ratyfikowana 24 maja 2002 r.)‏ Preambuła: pożądane jest poszanowanie ochrony praw i podstawowych wolności każdego człowieka, w szczególności prawa do poszanowania prywatności Art. 1 – konwencja ma na celu zagwarantowanie, na terytorium każdej ze stron, każdej osobie fizycznej, niezależnie od jej narodowości i miejsca zamieszkania, poszanowanie jej praw i podstawowych wolności, w szczególności jej prawa do prywatności, w związku z automatycznym przetwarzaniem danych osobowych („ochrona danych) Dyrektywa 95/46/WE Parlamentu Europejskiego oraz Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz. L 281, z dnia ) 26 marca 2014 r., Opole

REGULACJE MIEDZYNARODOWE
Zmiany projektowane w przepisach unijnych dotyczących ochrony danych osobowych – ogłoszone dyrektywę 95/46 zastąpi Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, które obowiązywać będzie bezpośrednio w krajach członkowskich bez potrzeby wydawania aktów prawnych wprowadzających je do porządków krajowych poszczególnych państw, nastąpi pełna harmonizacja prawa materialnego w UE w tym zakresie dyrektywa Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy w celu zapobiegania, dochodzenia, wykrywania lub ścigania przestępstw lub wykonywania sankcji karnych i swobodnego przepływu tych danych

KONSTYTUCJA RZECZYPOSPOLITEJ POLSKIEJ
Art. 31 ust. 3 Ograniczenia w zakresie korzystania z konstytucyjnych wolności i praw mogą być ustanowione tylko w ustawie i tylko wtedy, gdy są konieczne w demokratycznym państwie, dla jego bezpieczeństwa lub porządku publicznego (…) albo wolności i praw innych osób. Ograniczenia te nie mogą naruszać istoty wolności i praw Zasada proporcjonalności Art. 47 Każdy ma prawo do ochrony życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym Prawo do prywatności 26 marca 2014 r., Opole

KONSTYTUCJA RZECZYPOSPOLITEJ POLSKIEJ (Art. 51)
Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby (ust. 1) Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym (ust. 2) Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa (ust.3) Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą (ust. 4) Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa (ust. 5) SZKOLENIE VIS

RELACJA POMIEDZY PRAWEM DO PRYWATNOŚCI A PRAWEM DO OCHRONY DANYCH OSOBOWYCH
art ochrona prawa do prywatności (prawo konstytucyjne oraz ochrona dóbr osobistych) - do dóbr osobistych powszechnie zaliczana jest prywatność a art ochrona danych osobowych (konstytucja oraz ustawa o ochronie danych osobowych) - dobra osobiste są chronione niezależnie od ochrony przewidzianej w „innych przepisach”, do których zaliczyć należy ustawę o ochronie danych osobowych pogląd doktryny – Konstytucja RP nie łączy ochrony danych osobowych z prawem do prywatności, są to unormowania ujęte w dwóch odrębnych przepisach (art. 47 i art. 51) a zatem są to reżimy od siebie niezależne 26 marca 2014 r., Opole

Wyrok SN – Izba Cywilna z 28.04.2004 r. III CK 442/2002
RELACJA POMIEDZY PRAWEM DO PRYWATNOŚCI A PRAWEM DO OCHRONY DANYCH OSOBOWYCH Wyrok SN – Izba Cywilna z r. III CK 442/2002 ustawa o ochronie danych osobowych nie zawiera żadnych odniesień ani do powszechnych dóbr osobistych w ogólności, ani do żadnych z nich konkretnie, a wiec także do prawa do prywatności konstytucja nie łączy ochrony danych osobowych z prawem do prywatności, poświęcając tym kwestiom odrębne przepisy, tj. art. 47 i art. 51 ani stan normatywny, ani wzgląd na cele, jakim mają służyć te regulacje nie stwarzają dostatecznie silnych podstaw do twierdzenia, że ochrona danych osobowych jest jednym z aspektów prawa do prywatności za przekonujący sąd uznał pogląd, że reżim ochrony prawa do prywatności w ramach powszechnych dóbr osobistych (konstytucja i prawo cywilne) i reżim ochrony danych osobowych (konstytucja i ustawa o ochronie danych osobowych) są wobec siebie niezależne

Cd - Wyrok SN – Izba Cywilna z 28.04.2004 r. III CK 442/2002
RELACJA POMIEDZY PRAWEM DO PRYWATNOŚCI A PRAWEM DO OCHRONY DANYCH OSOBOWYCH Cd - Wyrok SN – Izba Cywilna z r. III CK 442/2002 niewątpliwie dochodzi do wzajemnych relacji i oddziaływania tych reżimów, bowiem przetworzenie danych osobowych może spowodować naruszenie dobra osobistego w postaci prawa do prywatności, bądź ochrona prawa do prywatności będzie wymagała sprzeciwienia się wykorzystaniu danych osobowych jednocześnie pozostaje otwarta możliwość, że przetworzenie danych, nawet dokonane poza granicami ustawowego upoważnienia, nie będzie stanowiło naruszenia dóbr osobistych w rozumieniu przepisów kodeksu cywilnego fakt przetworzenia danych osobowych bez zgody zainteresowanego nie przesadza sam przez się o naruszeniu dóbr osobistych i podstawie do uzyskania ochrony na podstawie art. 23 i 24 k.c. podanie danych, przy uwzględnieniu zakresu i okoliczności ich ujawnienia, nie stanowiło naruszenia jej dóbr osobistych i fakt ten nie mógł stać się podstawą do uwzględnienia roszczenia opartego na art. 23 i 24 k.c.

RELACJA POMIEDZY PRAWEM DO PRYWATNOŚCI A PRAWEM DO OCHRONY DANYCH OSOBOWYCH
Odmiennie wypowiedział się Trybunał Konstytucyjny (wyrok z U 3/01) – ważnym elementem składowym prawa do ochrony życia prywatnego jest tzw. autonomia informacyjna jednostki, oznaczająca prawo do samodzielnego decydowania o ujawnieniu informacji dotyczące swojej osoby, a także prawo do sprawowanie kontroli nad takimi informacjami, znajdującymi się w posiadaniu innych podmiotów ale w 1998 r.

KONSTYTUCJA RZECZYPOSPOLITEJ POLSKIE J(Art. 47 a ART. 51)
Prawo do prywatności a prawo do autonomii informacyjnej istotny związek prawa do prywatności oraz ochrony danych osobowych – wyrok TK z r. prawo do prywatności statuowane w art. 47 zagwarantowane jest m.in. w aspekcie ochrony danych osobowych, przewidzianej w art. 51 przepis art. 51 stanowi konkretyzację prawa do prywatności w aspektach proceduralnych po raz pierwszy zastosowanie normy konstytucyjnej zawartej w art. 47 i art. 51 jako podstawy oceny konstytucyjności przepisów prawa – dotyczącej regulacji zawartych w rozporządzeniu MZ przewidującym obowiązek wskazywania w zaświadczeniu lekarskim numeru statystycznego choroby odwołanie także do art. 31 ust. 3 – który wyznacza zakres dopuszczalnych konstytucyjnie ograniczeń sfery prywatności SZKOLENIE VIS

USTAWA O OCHRONIE DANYCH OSOBOWYCH
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, ze zm.) Ustawa z dnia 29 października 2010 r. o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw (Dz. U r., Nr 229, poz. 1497) – wejście w życie 7 marca 2011 r. - najważniejsze zmiany Cztery rozporządzenia wykonawcze MSWiA SZKOLENIE VIS

AKTY WYKONAWCZE z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych z dnia 22 kwietnia 2004 r. w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych SZKOLENIE VIS

DANE OSOBOWE / PRZETWARZANIE ART. 6 i 7
PODSTAWOWE POJECIA DANE OSOBOWE / PRZETWARZANIE ART. 6 i 7 Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (art. 6 ust. 1). Osoba możliwa do zidentyfikowania – osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (art. 6 ust. 2). Informacji nie uważa się za umożliwiające określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań (art. 6 ust. 3). Przetwarzanie danych – jakiekolwiek operacje na danych osobowych statyczne (np. przechowywanie danych) jak i dynamiczne (pozyskiwanie, udostępnianie, zmienianie, usuwanie itd.)

pochodzenie rasowe lub etniczne
DANE SZCZEGÓLNIE CHRONIONE /SENSYTYWNE/ - ART. 27 dane ujawniające: pochodzenie rasowe lub etniczne poglądy polityczne przekonania religijne lub filozoficzne przynależność wyznaniową, partyjną lub związkową, dane o: stanie zdrowia kodzie genetycznym nałogach życiu seksualnym skazaniach, orzeczeniach o ukaraniu i mandatach karnych, innych orzeczeniach wydanych w postępowaniu sądowym lub administracyjnym

DANE TZW. ZWYKŁE – WSZYSTKIE POZOSTAŁE
dane tzw. zwykłe - wszelkie inne /niż wynikające z art. 27 ust. 1 ustawy/ informacje zidentyfikowana lub możliwa do zidentyfikowania osoba fizyczna określenie bezpośrednie lub pośrednie dane biometryczne wizerunek twarzy kształt dłoni zapis linii papilarnych palców zapis obrazu tęczówki zapis układu żył w palcu/nadgarstku sposób chodzenia sposób pisania na maszynie/klawiaturze komputera

zbiór danych - każdy posiadający strukturę
ZBIÓR DANYCH i ZGODA NA PRZETWARZANIE DANYCH OSOBOWYCH - ART. 7 PKT 4 i 5 zbiór danych - każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie zgoda osoby, której dane dotyczą – oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego kto składa oświadczenie, zgoda nie może być domniemana/dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie – od 7 marca 2011 r.

decydujące o celach i środkach przetwarzania danych osobowych
ADMINISTRATOR DANYCH - ART. 7 PKT 4 organ państwowy organ samorządu terytorialnego państwowa lub komunalna jednostka organizacyjna podmiot niepubliczny realizujący zadania publiczne osoby fizyczne i prawne jednostki organizacyjne niebędące osobami prawnymi przetwarzające dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych mające siedzibę albo miejsce zamieszkania na terytorium RP albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium RP decydujące o celach i środkach przetwarzania danych osobowych

PODSTAWOWE POJĘCIA system informatyczny - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych zabezpieczenie danych w systemie informatycznym - wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem odbiorca danych - każdego, komu udostępnia się dane osobowe, z wyłączeniem: a) osoby, której dane dotyczą, b) osoby upoważnionej do przetwarzania danych, c) przedstawiciela, o którym mowa w art. 31a, d) podmiotu, o którym mowa w art. 31, e) organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem, państwo trzecie - państwo nienależące do Europejskiego Obszaru Gospodarczego. 25 listopada 2013 r., Gdańsk

Art.2 ust. 2 - Ustawę stosuje się do przetwarzania danych osobowych:
PODMIOTOWY I PRZEDMIOTOWY ZAKRES USTAWY O OCHRONIE DANYCH OSOBOWYCH Każdy ma prawo do ochrony dotyczących go danych osobowych (art. 1 ust. 1) Przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą, lub dobro osób trzecich w zakresie i trybie określonym ustawą (art. 1 ust. 2) Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1) Art.2 ust. 2 - Ustawę stosuje się do przetwarzania danych osobowych: 1) w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych, 2) w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych. W odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5 (art. 2 ust. 3) 25 listopada 2013 r., Gdańsk

PODMIOTOWY I PRZEDMIOTOWY ZAKRES USTAWY O OCHRONIE DANYCH OSOBOWYCH
Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych (art. 3 ust. 1) Ustawę stosuje się również do: 1) podmiotów niepublicznych realizujących zadania publiczne, 2) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowew związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych - które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej (art. 3 ust. 2) 25 listopada 2013 r., Gdańsk

Art. 3a. 1 - Ustawy nie stosuje się do:
PODMIOTOWY I PRZEDMIOTOWY ZAKRES USTAWY O OCHRONIE DANYCH OSOBOWYCH Art. 3a. 1 - Ustawy nie stosuje się do: 1) osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych, 2) podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania danych. Ustawy, z wyjątkiem przepisów art i art. 36 ust. 1, nie stosuje się również do prasowej działalności dziennikarskiej w rozumieniu ustawy (…) - Prawo prasowe (....) oraz do działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą (art. 3a ust. 2) Art. 4 - Przepisów ustawy nie stosuje się, jeżeli umowa międzynarodowa, której stroną jest Rzeczpospolita Polska, stanowi inaczej. Art. 5 - Jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw. 25 listopada 2013 r., Gdańsk

1) zawierających informacje niejawne,
PODMIOTOWY I PRZEDMIOTOWY ZAKRES USTAWY O OCHRONIE DANYCH OSOBOWYCH Art Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych: 1) zawierających informacje niejawne, 1a) które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności, 2) przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym, (…) 2c) przetwarzanych przez właściwie organy na podstawie przepisów o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej, (…) 5) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta, (…) 8) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej, (…) Art.. 43 ust. 2 - W odniesieniu do zbiorów, o których mowa w ust. 1 pkt 1 i 3, oraz zbiorów, o których mowa w ust. 1 pkt 1a, przetwarzanych przez ABW, AW, SKW, SWW oraz CBA, Generalnemu Inspektorowi nie przysługują uprawnienia określone w art. 12 pkt 2, art. 14 pkt 1 i 3-5 oraz art 25 listopada 2013 r., Gdańsk

PODMIOTOWY I PRZEDMIOTOWY ZAKRES USTAWY O OCHRONIE DANYCH OSOBOWYCH
„Na podstawie analizy literalnej przytoczonych przepisów łatwo stwierdzić, że wyłączenia w zakresie kontroli i nadzoru GIODO nie obejmują administratorów danych dotyczących osób korzystających z obsługi adwokackiej. (…) Wyłączenia i zastrzeżenia ustawowe (…) również nie będą dotyczyły adwokatów (art. 15 ust. 2 w zw. z art. 43 ust. 1 pkt 1a oraz art. 18 ust. 2 i 2a ustawy o ochronie danych osobowych). W tym miejscu, na podstawie wykładni wskazanych przepisów ustawy o ochronie danych osobowych, wobec braku szczególnych wyłączeń i zastrzeżeń odnośnie do tajemnicy adwokackiej w tej ustawie, można jedynie postawić wniosek de lege ferenda, by wyłączenia ustawowe, o których mowa w art. 43 ust. 2, objęły również adwokatów w zakresie przedmiotowym danych dotyczących osób korzystających z obsługi adwokackiej. (…) M.Swora, Tajemnica adwokacka w świetle wybranych przepisów ustawy o ochronie danych osobowych, Palestra nr 3-4 z 2004 r. . 25 listopada 2013 r., Gdańsk

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH – ART. 8
powoływany przez Sejm za zgodą Senatu obywatel polski, stale zamieszkujący w Polsce wyróżnia się wysokim autorytetem moralnym posiada wyższe wykształcenie prawnicze i odpowiednie doświadczenie zawodowe niekarany za przestępstwo w zakresie wykonywania swoich zadań podlega TYLKO ustawie kadencja 4 lata (maksymalnie dwie kadencje) ściśle określone przyczyny wygaśnięcia kadencji i odwołania zakaz członkostwa w partiach politycznych i związkach zawodowych oraz prowadzenia działalności publicznej niedającej się pogodzić z godnością jego urzędu immunitet

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH - ZADANIA ART. 12
kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych zapewnienie wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym wynikających z decyzji, przez stosowanie środków egzekucyjnych przewidzianych w ustawie o postępowaniu egzekucyjnym w administracji od 7 marca 2011 r. prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH - ART
GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH - ART. 14 UPRAWNIENIA KONTROLNE kontrola zgodności , wydawanie decyzji , rozpatrywanie skarg Generalny Inspektor, zastępca Generalnego Inspektora lub upoważnieni przez niego pracownicy Biura - zwani inspektorami - mają prawo: wstępu, w godzinach od 6°° do 22°°, za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych, i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych zlecać sporządzanie ekspertyz i opinii

UPRAWNIENIA GIODO WOBEC RADCÓW PRAWNYCH A OCHRONA TAJEMNICY RADCOWSKIEJ
Art Kierownik kontrolowanej jednostki organizacyjnej oraz kontrolowana osoba fizyczna będąca administratorem danych osobowych są obowiązani umożliwić inspektorowi przeprowadzenie kontroli, a w szczególności umożliwić przeprowadzenie czynności oraz spełnić żądania, o których mowa w art. 14 pkt 1-4. Art. 15 ust. 2. W toku kontroli zbiorów, o których mowa w art. 43 ust. 1 pkt 1a, inspektor przeprowadzający kontrolę ma prawo wglądu do zbioru zawierającego dane osobowe jedynie za pośrednictwem upoważnionego przedstawiciela kontrolowanej jednostki organizacyjnej. Jak wygląda praktyka ??? 25 listopada 2013 r., Gdańsk

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH - UPRAWNIENIA z art
GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH - UPRAWNIENIA z art. 17 i 19 kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych Art. 17 ust. 1 - jeżeli na podstawie wyników kontroli inspektor stwierdzi naruszenie przepisów o ochronie danych osobowych, występuje do Generalnego Inspektora o zastosowanie środków, o których mowa w art. 18 Art. 17 ust. 2 - na podstawie ustaleń kontroli inspektor może żądać wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom winnym dopuszczenia do uchybień i poinformowania go, w określonym terminie, o wynikach tego postępowania i podjętych działaniach. Art w razie stwierdzenia, że działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej będącej administratorem danych wyczerpuje znamiona przestępstwa określonego w ustawie, Generalny Inspektor kieruje do organu powołanego do ścigania przestępstw zawiadomienie o popełnieniu przestępstwa, dołączając dowody dokumentujące podejrzenie.

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH - UPRAWNIENIA WŁADCZE ART
GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH - UPRAWNIENIA WŁADCZE ART. 18 UST. 1 w przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: usunięcie uchybień uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe wstrzymanie przekazywania danych osobowych do państwa trzeciego zabezpieczenie danych lub przekazanie ich innym podmiotom usunięcie danych osobowych

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH - WYSTĄPIENIA ART
GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH - WYSTĄPIENIA ART. 19A od 7 marca 2011 r. w celu realizacji zadań, o których mowa w art. 12 pkt 6 UODO, Generalny Inspektor może kierować do organów państwowych, organów samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i prawnych, jednostek organizacyjnych niebędących osobami prawnymi oraz innych podmiotów wystąpienia zmierzające do zapewnienia skutecznej ochrony danych osobowych Generalny Inspektor może również występować do właściwych organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych podmiot, do którego zostało skierowane wystąpienie lub wniosek, o których mowa w ust. 1 i 2, jest obowiązany ustosunkować się do tego wystąpienia lub wniosku na piśmie w terminie 30 dni od daty jego otrzymania

OBOWIĄZKI ADMINISTRATORÓW DANYCH – ART
OBOWIĄZKI ADMINISTRATORÓW DANYCH – ART.. 23, 27, 24, 25, 32-35, 36-39, 40, 43 UST. 1 przesłanki legalności – warunki legalnego przetwarzania danych - dane zwykłe art. 23 - dane szczególnie chronione – art. 27, obowiązek informacyjny unormowany w art. 24 i 25 ustawy, obowiązek dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą (art. 26 ustawy), obowiązek respektowania praw osób, których dane dotyczą - art ustawy, obowiązek zabezpieczenia przetwarzanych danych osobowych (art. 36 – 39 ustawy), obowiązek zgłoszenia zbioru danych do zarejestrowania przez GIODO (art. 40 ustawy), z wyjątkiem przypadków wymienionych w art. 43 ust. 1, np. zwolnienie określone w pkt 4 - przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się

LEGALNOŚĆ PRZETWARZANIA DANYCH "ZWYKŁYCH" - ART. 23
osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego jest to niezbędne dla wypełniania prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

zgoda na piśmie, chyba że chodzi o usunięcie danych
LEGALNOŚĆ PRZETWARZANIA DANYCH SZCZEGÓLNIE CHRONIONYCH / "SENSYTYWNYCH" - ART. 27 zgoda na piśmie, chyba że chodzi o usunięcie danych przepis szczególny innej ustawy zezwala na przetwarzanie takich danych i stwarza pełne gwarancje ich ochrony przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, a osoba nie jest fizycznie lub prawnie zdolna do wyrażenia zgody statutowe zadania kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, w odniesieniu do danych członków tych organizacji; muszą być zapewnione są pełne gwarancje ochrony przetwarzanych danych

LEGALNOŚĆ PRZETWARZANIA DANYCH SENSYTYWNYCH - ART. 27
niezbędne do dochodzenia praw przed sądem niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób (zakres przetwarzanych danych jest określony w ustawie) w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów i są stworzone pełne gwarancje ochrony danych osobowych danych zostały podane do wiadomości publicznej przez osobę, której dane dotyczą badania naukowe, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikacja wyników badań – anonimizacja w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.

ZASADY PRZETWARZANIA DANYCH - ART. 26 UST. 1
administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były: przetwarzane zgodnie z prawem – ZASADA LEGALIZMU zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2 – ZASADA ZWIĄZANIA CELEM merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane – ZASADA MERYTORYCZNEJ POPRAWNOŚCI, ZASADA ADEKWATNOŚCI przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania - ZASADA OGRANICZENIA CZASOWEGO

zbieranie danych bezpośrednio od osoby, której one dotyczą
OBOWIĄZEK INFORMACYJNY - ART. 24 zbieranie danych bezpośrednio od osoby, której one dotyczą adres siedziby/miejsca zamieszkania administratora prawo dostępu do treści danych i ich poprawiania dobrowolność lub obowiązek podania danych cel zbierania danych, znanych odbiorcach danych lub ich kategoriach wyłączenia: przepis innej ustawy pozwala na przetwarzanie bez ujawniania faktycznego celu zbierania danych osoba posiada ww. informacje

OBOWIĄZEK INFORMACYJNY ZBIERANIE DANYCH Z INNYCH ŹRODEŁ - ART. 25
zbieranie danych z innego źródła /nie od osoby, której one dotyczą/ adres siedziby i pełna nazwa, a w przypadku gdy administratorem danych jest osoba fizyczna - miejsce zamieszkania oraz imię i nazwisko cel i zakres zbierania danych, a w szczególności informacje o odbiorcach lub kategoriach odbiorców danych źródło danych prawo dostępu do treści danych oraz ich poprawiania uprawnienia wynikające z art. 32 ust. 1 pkt 7 i 8 (żądanie zaprzestania przetwarzania danych i sprzeciw)

ZWOLNIENIA Z OBOWIĄZKU - ART. 25 UST. 2
wyłączenia: przepis innej ustawy pozwala na przetwarzanie bez wiedzy osoby, której dane dotyczą dane są przetwarzanie przez administratora, o którym mowa w art. 3 ust. 1 i ust. 2 pkt 1, na podstawie przepisów prawa osoba posiada ww. informacje dane są niezbędne dla badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, spełnienie obowiązku informacyjnego wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania

OBOWIĄZEK INFORMACYJNY – ART. 33 i ART. 34
na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie do jej danych osobowych informacji o których mowa w art. 32 ust. 1 pkt 1-5a zmiana od 7 marca 2011 r. na wniosek osoby, której dane dotyczą, informacji udziela się na piśmie wyjątki – odmowa (art. 34), gdy spowodowałoby to: ujawnienie wiadomosci zawierających informacje niejawne zagrożenie dal obronności lub bezpieczeństwa państwa, zycia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób

OBOWIĄZEK INFORMACYJNY – ART. 33
każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, zwłaszcza prawo do: uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna – jej miejsca zamieszkania oraz imienia i nazwiska uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie tajemnicy informacji niejawnych lub zachowania tajemnicy zawodowej uzyskanie informacji o sposobie udostępnienia danych, a w szczególności o odbiorcach lub kategoriach odbiorców, którym dane te są udostępnione uzyskania informacji o przesłankach podjęcia rozstrzygnięcia, o którym mowa w art. 26a ust. 2 43

OBOWIĄZEK ZABEZPIECZENIA DANYCH OSOBOWYCH – ART. 36
Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1. Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności. 44

OBOWIĄZEK ZABEZPIECZENIA DANYCH OSOBOWYCH – ART. 37-39
do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać: imię i nazwisko osoby upoważnionej, datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, identyfikator, jeżeli dane są przetwarzane w systemie informatycznym 45

polityka bezpieczeństwa
Dokumnetacja przetwarzania danych – art. 36 ust. 2 i par. 4 i 5 rozporządzenia administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środków, o których mowa w ust. 1 (technicznych i organizacyjnych zapewniających ochronę przetwarzania danych osobowych) – art. 36 ust. 2 polityka bezpieczeństwa instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych SZKOLENIE VIS 46

Polityka bezpieczeństwa zawiera w szczególności
Dokumnetacja przetwarzania danych – art. 36 ust. 2 i par. 4 i 5 rozporządzenia Polityka bezpieczeństwa zawiera w szczególności wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi sposób przepływu danych pomiędzy poszczególnymi systemami określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych SZKOLENIE VIS 47

wskazanie osoby odpowiedzialnej za te czynności
Dokumnetacja przetwarzania danych – art. 36 ust. 2 i par. 4 i 5 rozporządzenia Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych zawiera w szczególności procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania SZKOLENIE VIS 48

Instrukcja zarządzania systemem informatycznym c.d.
Dokumnetacja przetwarzania danych – art. 36 ust. 2 i par. 4 i 5 rozporządzenia Instrukcja zarządzania systemem informatycznym c.d. sposób, miejsce i okres przechowywania - elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego sposób realizacji wymogu odnotowywania odbiorców danych procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. SZKOLENIE VIS 49

OBOWIĄZEK ZGŁOSZENIA ZBIORU DANYCH DO REJESTRACJI – ART. 40, 46
Art administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1. Co do zasady administrator danych może rozpocząć ich przetwarzanie w zbiorze danych po zgłoszeniu tego zbioru Generalnemu Inspektorowi, chyba że ustawa zwalnia go z tego obowiązku (art. 46 ust. 1) Administrator danych szczególnie chronionych może rozpocząć ich przetwarzanie w zbiorze danych po zarejestrowaniu zbioru, chyba że ustawa zwalnia go z obowiązku zgłoszenia zbioru do rejestracji (art. 46 ust. 2) 50

1) zawierających informacje niejawne,
PODMIOTOWY I PRZEDMIOTOWY ZAKRES USTAWY O OCHRONIE DANYCH OSOBOWYCH Art Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych: 1) zawierających informacje niejawne, 1a) które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności, 5) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta, (…) 8) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej, (…) Art.. 43 ust. 2 - W odniesieniu do zbiorów, o których mowa w ust. 1 pkt 1 i 3, oraz zbiorów, o których mowa w ust. 1 pkt 1a, przetwarzanych przez ABW, AW, SKW, SWW oraz CBA, Generalnemu Inspektorowi nie przysługują uprawnienia określone w art. 12 pkt 2, art. 14 pkt 1 i 3-5 oraz art 25 listopada 2013 r., Gdańsk

PODATNOŚĆ KANCELARII NA ATAKI Z ZEWNĄTRZ
25 listopada 2013 r., Gdańsk

Dane osobowe i dane (nie tylko informacje) objęte tajemnicą radcowską - niezależnie od tego czy pracujemy nad nimi na telefonie, iPadzie, laptopie - należy szyfrować przed przesłaniem oraz przechowywać w formie zaszyfrowanej na dysku urządzenia. Jeśli Twój sprzęt na to nie pozwala, należy traktować go jedynie jako zabawkę do przeglądania internetu Mając powyższe na uwadze: a) wszyscy pracownicy kancelarii (A PRZEDE WSZYSTKIM WSZYSCY RADCY) powinni być przeszkoleni z bezpieczeństwa teleinformatcznego; b) powinni być świadomi tego, że służbowego sprzętu nie należy wykorzystywać do celów prywatnych (np. “prywatna skrzynka ”), gdyż służbowe urządzenie, znajdujące się pod kontrolą firmowych informatyków, którzy zazwyczaj mają pełny wgląd w znajdujące się na nim dane; c) powinni być wyposażeni w urządzenia/oprogramowanie, które pozwalają im szyfrować dokumenty, które przesyłają oraz które chcą przechowywać lokalnie. Osoba, która nie jest w stanie pojąć podstaw szyfrowania plików/ i nie powinna w XXI w. wykonywać zawodu zaufania społecznego. 25 listopada 2013 r., Gdańsk

szanuj informatyka swego, bo on wie co oglądasz w godzinach pracy 25 listopada 2013 r., Gdańsk

American Bar Association o przetwarzaniu danych klientów w chmurach 25 listopada 2013 r., Gdańsk

Lista amerykańskich prawniczych kodeksów etycznych, które przewidują zasady dotyczące chmur Można tam znaleźć takie postanowienia – przykład z Massachusetts: "Consistent with its prior opinions, the Committee further believes that the Lawyer remains bound to follow an express instruction from his client that the client's confidential information not be stored or transmitted by means of the Internet, and that he should refrain from storing or transmitting particularly sensitive client information by means of the Internet without first seeking and obtaining the client's express consent to do so" 25 listopada 2013 r., Gdańsk

CCBE GUIDELINES ON THE USE OF CLOUD COMPUTING SERVICES BY LAWYERS Conseil des barreaux européens, Bruksela, 7 września 2012 r. 25 listopada 2013 r., Gdańsk

POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH – ART. 31
Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych Podmiot może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie Podmiot jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art , oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych Odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową Do kontroli zgodności przetwarzania danych przez podmiot z przepisami o ochronie danych osobowych stosuje się odpowiednio przepisy art 60

I NIECO PRAWA KARNEGO Art Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3. Art Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega karze ograniczenia wolności albo pozbawienia wolności do lat 2. 2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. 25 listopada 2013 r., Gdańsk

I NIECO PRAWA KARNEGO Art. 52. Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art. 54. Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art. 54a. Kto inspektorowi udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 25 listopada 2013 r., Gdańsk

PRZEPISY KARNE - ROZDZIAŁ 8 ‏
przetwarzanie danych w zbiorze wbrew zakazowi przetwarzania bądź przy braku uprawnienia do przetwarzania (art. 49) udostępnienie danych lub umożliwienie dostępu osobom nieupoważnionym (art. 51) naruszenie obowiązku zabezpieczenia danych (art. 52) niezgłoszenie zbioru do rejestracji (art. 53) niedopełnienie obowiązku informacyjnego (art. 54) udaremnianie lub utrudnianie wykonania czynności kontrolnych (art. 54A) nowy od 7 marca 2011 r. + uchylenie art. 50 – przewidywał sankcje za przechowywanie w zbiorze danych niezgodnie z celem utworzenia zbioru Ustawa o ochronie danych osobowych w art. 37 statuuje wymóg, aby do przetwarzania danych dopuszczone były wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Obowiązkiem tym objęte zostały wszystkie osoby, które przetwarzają dane, niezależnie od tego, czy przetwarzanie dokonywane jest w sposób tradycyjny czy w systemie informatycznym. Indywidualnym upoważnieniem do przetwarzania danych powinny wykazać się nie tylko osoby zatrudnione na stałe przy przetwarzaniu danych – pracownicy administratora danych, ale też osoby czasowo wykonujące czynności w tym zakresie, nie będące pracownikami administratora danych. Zwrot „osoby posiadające upoważnienie do przetwarzania danych” wskazuje, że powinno to być „upoważnienie specjalne, odrębne”, a nie wywodzone np. z treści umowy o pracę czy tez z zakresu obowiązków pracowniczych. Ustawodawca nie przesądza przy tym ani o treści, ani o formie upoważnienia. Względy dowodowe przemawiają jednak za tym, aby upoważnienie to posiadało formę pisemną. Ponadto, powinno mieć ono charakter imienny, a także powinno określać dozwolony zakres przetwarzania danych. Wspomnieć należy także, że ustawa nie określa kwalifikacji, jakie powinny posiadać osoby zatrudnione przy przetwarzaniu danych osobowych, i nie stawia im żadnych szczególnych wymagań. W art. 39 ust. 2 stanowi jedynie, że osoby, które zostały upoważnione do przetwarzania danych są obowiązane zachować je w tajemnicy. Obowiązek zachowania tajemnicy dotyczy także sposobów zabezpieczenia danych. O obowiązku tym osoby te powinny być powiadomione przy nadaniu upoważnienia. Wskazane byłoby, aby przyjęcie tej informacji do wiadomości poświadczyły (najlepiej – na piśmie). Z art. 39 ust. 1 ustawy wynika dla administratora danych kolejny obowiązek – prowadzenia ewidencji osób upoważnionych do przetwarzania danych. Ustawa, w art. 38, nakłada ponadto na administratorów danych obowiązek sprawowania kontroli w zakresie wprowadzania danych do zbioru i ich udostępniania, przekazywania ze zbioru. Administrator ma obowiązek zapewnić kontrolę nad tym jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. Ustawa nie precyzuje przy tym, jak kontrola ta ma być sprawowana. Dobór służących jej środków pozostawiony został administratorowi danych. Kontrola ta ma służyć nie tylko celom ewidencyjno-dokumentacyjnym, co w głównej mierze ma zapobiegać przypadkom naruszenia przepisów o ochronie danych osobowych i umożliwić, w razie zaistnienia naruszenia, wskazanie osoby odpowiedzialnej 63 63 63

WSKAZANIA DOTYCZĄCE BEZPIECZEŃSTWA TELEIMFORMATYCZNEGO W KANCELARII
1. Zaszyfruj *cały* dysk twardy (tzw. full disk encryption) Powinno uchronić Cię to przed nieuprawnionym dostępem do danych, np. na skutek kradzieży lub dostępu do pokoju, w którym zostawiłeś sprzęt. Programy: - TrueCrypt dla Windows ( FileVault2 dla Mac OS X (wbudowany w system, w zakładce “Security & Privacy” w systemowych preferencjach). - BitLocker dla Windows (wbudowany w system) Niezależnie od szyfrowania, warto wykonywać regularny backup (także szyfrowany), Niektóre z dysków twardych wspierają szyfrowanie na poziomie kontrolera (co nie wymaga instalacji dodatkowego oprogramowania, a odpowiedniej konfiguracji, tj. ustawienia hasła w BIOS). 25 listopada 2013 r., Gdańsk

2. Aktualizuj oprogramowanie Chroni przed większością ataków masowych, typu: - otwarcie złośliwego pliku PDF, wejście na złośliwą stronę internetową Każde oprogramowanie ma błędy bezpieczeństwa (tzw. dziury). Są one odnajdowane i łatane na bieżąco. Aby je eliminować należy regularnie aplikować aktualizacje, inaczej powalamy każdemu gimnazjaliście korzystającemu z tzw. “programów do hackowania” (np. metasploita) na przejęcie naszego komputera Włącz automatyczną aktualizację w każdym z programów, z których korzystasz na komputerze (zwłaszcza w przeglądarce internetowej) Jeśli musisz “ręcznie” ściągnąć aktualizację, ściagaj ją ze strony producenta po HTTPS (w przeciwnym razie, ktoś kto jest na trasie twojego połączenia, mógłby podmienić ściągane dane na złośliwe). Od czasu do czasu warto także przejrzeć uprawnienia, jakie nadałeś zewnętrznym aplikacjom na swoich kontach Facebooka, Google itp. 25 listopada 2013 r., Gdańsk

3. Stosuj unikatowe hasła, czyli różne do każdego z serwisów/usługi ...i włącz dwuskładnikowe uwierzytelnienie (2 factor authentication) Chroni przed nieuprawnionym dostępem do Twoich danych (kont w serwisach internetowych). Najczęściej atakujący zdobywają dostęp do twojego konta w serwisie X, dzięki temu, że udało im się włamać na serwis Y, w którym także miałeś zarejestrowane konto na ten sam adres /login. Ponieważ serwis Y był od dawna zapomniany (np. studenckie forum) i zarządzany przez niekompetentną osobę, w momencie ataku pracował pod kontrolą nieaktualnego oprogramowania. Dzięki temu, atakujący wykorzustując znany od dawna błąd, wykradli z niego bazę danych. W bazie znajdowało się twoje hasło, niestety takie same jak do serwisu X. 25 listopada 2013 r., Gdańsk

3a. Włącz dwuskładnikowe uwierzytelnienie (2 factor authentication)
WSKAZANIA DOTYCZĄCE BEZPIECZEŃSTWA TELEIMFORMATYCZNEGO W KANCELARII 3a. Włącz dwuskładnikowe uwierzytelnienie (2 factor authentication) Dwuskładnikowe uwierzytelnienie ochroni twoje konto, w przypadku przejęcia Twojego hasła (np. po logowaniu się do Facebooka na komputerze kolegi, w hotelu, itp.). Atakujący są w stanie sprawdzać ponad 5 milionów haseł na sekundę. Dlatego aby opóźnić złamanie hasła, hasło powinno być: - niesłownikowe (hasła: qwerty, qazwsx, albo kasia123 lub defibrylator nie są dobre, ponieważ znajdują się w słownikach służących do łamania haseł. Te słowniki zawierają wszystkie poprawne słowa z j. polskiego, angielskiego, itp, oraz popularne kombinacje “123456”, a także wersje powyższych słów pisane od tyłu, na przemian małymi i dużymi literami, a także z suffiksami: “123”, “098”, “111”, “000”, “123!”, “1!” itp. na końcu). - nieszablonowe (nie twórz ich według szablonu. np. MojeTajneHasloDoAllegro - bo w przypadku wycieku haseł z Allegro, atakujący domyśli się, że twoje hasło do Facebooka to zapewne MojeTajneHasloDoFacebooka) - długie i skomplikowane (im dłuższe hasło i im więcej znaków posiada, tym dłużej zajmie atakującemu jego łamanie). 25 listopada 2013 r., Gdańsk

4. Podnieś bezpieczeństwo przeglądarki Może chronić przez podsłuchaniem twojego ruchu internetowego i kradzieżą tożsamości/danych Upewnij się, że z jakiej przeglądarki korzystasz. Wyłącz wtyczkę Java (oraz inne których nie potrzebujesz, a zapewne nie potrzebujesz niczego poza Flashem) 3. Włącz funkcję “click-2-play” dla wtyczek. Dzięki temu, żaden aplet Flasha na stronie nie wystartuje sam z siebie (nawet te 1x1 px). Aby aktywować np. aplet filmiku na YouTube, będziesz musiał najpierw w niego kliknąć Zainstaluj przydatne rozszerzenia, zwłaszcza te: - NoScript (blokada JS dla Fx) - NoScripts (blokada JS dla Chrome) - HTTPS Everywhere (wymusza szyfrowane połączenia, jeśli są możliwe) 5. Jeśli prywatność jest dla Ciebie równie ważna co bezpieczeństwo, skonfiguruj ciasteczka w tryb “No third party cookies” - ochroni to Twoją prywatność przed trackingiem reklamowym. 25 listopada 2013 r., Gdańsk

5. Korzystaj z VPN, łącząc się z nieswoją siecią (Wi-Fi) Chroni przed podsłuchaniem twoich danych. W przypadku darmowych hotspotów (np. w Starbucks, McDonalds, itp.) oraz sieci z szyfrowaniem WEP -- każdy inny użytkownik sieci widzi cały twój ruch internetowy. Jeśli nie korzystasz z szyfrowanych protokołów, będzie można Cię podsłuchać i np. przechwycić np. twoje hasła. Atakujący może także celowo podstawić fałszywą, niezaszyfrowaną sieć o nazwie (SSID) takiej jak sieć, do której wcześniej się łączyłeś. Twój komputer połączy się z nią automatycznie, co pozwoli na podsłuch połączenia przez atakującego. Wszelkie błędy certyfikatów wyskakujące podczas połączenia lub komunikaty informujące o zmianie odcisku/fingerprinta klucza traktuj jako atak MITM i nie akceptuj takiego połączenia. Włączaj np. firmowy VPN korzystając z niezaufanych sieci Wi-Fi (hotele, lotniska, biura klienta). Jeśli nie masz firmowego VPN-a, możesz kupić tego typu usługę za grosze lub stworzyć ją samemu. Bardzo prosty VPN możesz zrobić przy pomocy serwera SSH. 25 listopada 2013 r., Gdańsk

Chroni przed zwiększaniem powierzchni ataku.
WSKAZANIA DOTYCZĄCE BEZPIECZEŃSTWA TELEIMFORMATYCZNEGO W KANCELARII 6. Korzystaj z firewalla Chroni przed zwiększaniem powierzchni ataku. Ustaw blokadę wszystkich połączeń przychodzących do Twojego komputera. Nie utrudnia Ci to korzystania z komputera, pod warunkiem, że nie nie jesteś serwerem WWW, lub nie udostępniasz innej usługi innym internautom – ale jeśli to robisz, to zapewne wiesz na jakim porcie działa usługa i będziesz w stanie założyć odpowiednią regułę na firewallu. Rozważ instalację oprogramowania, które będzie także limitowało ruch wychodzący z twojego komputera. Dla Mac OS X będzie to LittleSnitch, w przypadku Windowsa interaktwne limitowanie ruchu wychodzącego umożliwia program ZoneAlarm 25 listopada 2013 r., Gdańsk

7. Korzystaj z antywirusa i konta z ograniczonym uprawnieniami (nie admina) Antywirus chroni przed znanymi wirusami, a korzystanie z konta bez przywilejów administratorskich nie pozwoli złośliwemu oprogramowaniu na całkowite przejęcie systemu. Antywirusy da się obejść i jest to stosunkowo proste zadanie. Nie mniej jednak warto z nich korzystać, bo doskonale odsiewają znane (tj. stare) i masowe zagrożenia. Nie trzeba kupować antywirusa - wiele z firm ma wersje bezpłatne i są one równie (nie)skuteczne co “płatne”. Nie korzystaj z konta administratora do pracy na co dzień. Załóż osobne konto. 25 listopada 2013 r., Gdańsk

8. Zastanów się, co umieszczasz w sieci Kompromitacja Wyciek poufnych danych Wszystko co umieszczasz w internecie lub wysyłasz em nawet do 1 wybranej osoby, traktuj jako publicznie dostępne dla wszystkich. Skrzynka twojego zaufanego odbiorcy może zostać upubliczniona na skutek ataku. Prywatna galeria zdjęć na Facebooku może być dostępna dla każdego internauty na skutek czasowego błędu w serwisie. Takie sytuacje miały już miejsce (por. Wszystko co umieszczasz w internecie, ma dużą szansę zostać tam na zawsze, czy tego chcesz, czy nie. 25 listopada 2013 r., Gdańsk

Dziękuję bardzo za uwagę

Szkolenie dla radców prawnych Okręgowej Izby Radców Prawnych w Opolu

Podobne prezentacje

Prezentacja na temat: "Szkolenie dla radców prawnych Okręgowej Izby Radców Prawnych w Opolu"— Zapis prezentacji:

Podobne prezentacje

О projekcie

Zwrotny adres

Wejść

Zaloguj się poprzez sieć społeczną:

Szkolenie dla radców prawnych Okręgowej Izby Radców Prawnych w Opolu

Podobne prezentacje

Prezentacja na temat: "Szkolenie dla radców prawnych Okręgowej Izby Radców Prawnych w Opolu"— Zapis prezentacji:

Podobne prezentacje

О projekcie

Zwrotny adres