Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Generalny Inspektor Ochrony Danych Osobowych ul. Stawki 2, 00-193 Warszawa OCHRONA DANYCH OSOBOWYCH W PRAKTYCE.

Podobne prezentacje


Prezentacja na temat: "Generalny Inspektor Ochrony Danych Osobowych ul. Stawki 2, 00-193 Warszawa OCHRONA DANYCH OSOBOWYCH W PRAKTYCE."— Zapis prezentacji:

1 Generalny Inspektor Ochrony Danych Osobowych ul. Stawki 2, Warszawa OCHRONA DANYCH OSOBOWYCH W PRAKTYCE KANCELARII RADCOWSKIEJ I W POSTĘPOWANIACH SĄDOWYCH Szkolenie dla radców prawnych Okręgowej Izby Radców Prawnych w Opolu 26 marca 2014 r., Opole Weronika Kowalik Z-ca Dyrektora Departamentu Orzecznictwa, Legislacji i Skarg Biuro Generalnego Inspektora Ochrony Danych Osobowych

2 © M. Narojek for GIODO 2011

3 Podstawy prawa ochrony danych osobowych Radca prawny jako administrator danych osobowych Obowiązki administratora danych Uprawnienia GIODO wobec radców prawnych a ochrona tajemnicy radcowskiej Profilowanie – zasady ogólne Reforma prawa ochrony danych osobowych w Unii Europejskiej Rola samoregulacji Jak tworzona jest ocena wpływu przedsięwzięcia na ochronę danych osobowych Tajemnica radcowska a uprawnienia policji i służb bezpieczeństwa państwa Zagadnienie niezależnej kontroli TEMATYKA WYKŁADU 26 marca 2014 r., Opole

4 Karta Praw Podstawowych Unii Europejskiej - Art. 8 regulujący ochronę danych osobowych -każdy ma prawo do ochrony danych osobowych, które go dotyczą -dane te muszą być przetwarzane rzetelnie w określonych celach i za zgodą osoby zainteresowanej lub na innej uzasadnionej podstawie przewidzianej ustawą. Każdy ma prawo dostępu do zebranych danych, które go dotyczą i prawo do spowodowania ich sprostowania -przestrzeganie tych zasad podlega kontroli niezależnego organu. Traktat o Funkcjonowaniu UE - art. 16 -każda osoba ma prawo do ochrony danych osobowych jej dotyczących -parlament europejski i Rada określają zasady dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii oraz przez Państwa Członkowskie w wykonywaniu działań wchodzących w zakres zastosowania prawa Unii, a także zasady dotyczące swobodnego przepływu takich danych. Przestrzeganie tych zasad podlega kontroli niezależnych organów RAMY PRAWNE OCHRONY DANYCH OSOBOWYCH W UNII EUROPEJSKIEJ 26 marca 2014 r., Opole

5 Konwencja 108 Rady Europy z dnia 28 stycznia 1981 r. o Ochronie Osób w Związku z Automatycznym Przetwarzaniem Danych Osobowych (ratyfikowana 24 maja 2002 r.) Preambuła: pożądane jest poszanowanie ochrony praw i podstawowych wolności każdego człowieka, w szczególności prawa do poszanowania prywatności Art. 1 – konwencja ma na celu zagwarantowanie, na terytorium każdej ze stron, każdej osobie fizycznej, niezależnie od jej narodowości i miejsca zamieszkania, poszanowanie jej praw i podstawowych wolności, w szczególności jej prawa do prywatności, w związku z automatycznym przetwarzaniem danych osobowych (ochrona danych) Dyrektywa 95/46/WE Parlamentu Europejskiego oraz Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz. L 281, z dnia ) RAMY PRAWNE OCHRONY DANYCH OSOBOWYCH W UNII EUROPEJSKIEJ 26 marca 2014 r., Opole

6 Zmiany projektowane w przepisach unijnych dotyczących ochrony danych osobowych – ogłoszone dyrektywę 95/46 zastąpi Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, które obowiązywać będzie bezpośrednio w krajach członkowskich bez potrzeby wydawania aktów prawnych wprowadzających je do porządków krajowych poszczególnych państw, nastąpi pełna harmonizacja prawa materialnego w UE w tym zakresie dyrektywa Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy w celu zapobiegania, dochodzenia, wykrywania lub ścigania przestępstw lub wykonywania sankcji karnych i swobodnego przepływu tych danych REGULACJE MIEDZYNARODOWE

7 Art. 31 ust. 3 Ograniczenia w zakresie korzystania z konstytucyjnych wolności i praw mogą być ustanowione tylko w ustawie i tylko wtedy, gdy są konieczne w demokratycznym państwie, dla jego bezpieczeństwa lub porządku publicznego (…) albo wolności i praw innych osób. Ograniczenia te nie mogą naruszać istoty wolności i praw Zasada proporcjonalności Art. 47 Każdy ma prawo do ochrony życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym Prawo do prywatności KONSTYTUCJA RZECZYPOSPOLITEJ POLSKIEJ 26 marca 2014 r., Opole

8 Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby (ust. 1) Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym (ust. 2) Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa (ust.3) Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą (ust. 4) Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa (ust. 5) KONSTYTUCJA RZECZYPOSPOLITEJ POLSKIEJ (Art. 51) SZKOLENIE VIS

9 art ochrona prawa do prywatności (prawo konstytucyjne oraz ochrona dóbr osobistych) - do dóbr osobistych powszechnie zaliczana jest prywatność a art ochrona danych osobowych (konstytucja oraz ustawa o ochronie danych osobowych) - dobra osobiste są chronione niezależnie od ochrony przewidzianej w innych przepisach, do których zaliczyć należy ustawę o ochronie danych osobowych pogląd doktryny – Konstytucja RP nie łączy ochrony danych osobowych z prawem do prywatności, są to unormowania ujęte w dwóch odrębnych przepisach (art. 47 i art. 51) a zatem są to reżimy od siebie niezależne RELACJA POMIEDZY PRAWEM DO PRYWATNOŚCI A PRAWEM DO OCHRONY DANYCH OSOBOWYCH 26 marca 2014 r., Opole

10 Wyrok SN – Izba Cywilna z r. III CK 442/2002 ustawa o ochronie danych osobowych nie zawiera żadnych odniesień ani do powszechnych dóbr osobistych w ogólności, ani do żadnych z nich konkretnie, a wiec także do prawa do prywatności konstytucja nie łączy ochrony danych osobowych z prawem do prywatności, poświęcając tym kwestiom odrębne przepisy, tj. art. 47 i art. 51 ani stan normatywny, ani wzgląd na cele, jakim mają służyć te regulacje nie stwarzają dostatecznie silnych podstaw do twierdzenia, że ochrona danych osobowych jest jednym z aspektów prawa do prywatności za przekonujący sąd uznał pogląd, że reżim ochrony prawa do prywatności w ramach powszechnych dóbr osobistych (konstytucja i prawo cywilne) i reżim ochrony danych osobowych (konstytucja i ustawa o ochronie danych osobowych) są wobec siebie niezależne RELACJA POMIEDZY PRAWEM DO PRYWATNOŚCI A PRAWEM DO OCHRONY DANYCH OSOBOWYCH

11 Cd - Wyrok SN – Izba Cywilna z r. III CK 442/2002 niewątpliwie dochodzi do wzajemnych relacji i oddziaływania tych reżimów, bowiem przetworzenie danych osobowych może spowodować naruszenie dobra osobistego w postaci prawa do prywatności, bądź ochrona prawa do prywatności będzie wymagała sprzeciwienia się wykorzystaniu danych osobowych jednocześnie pozostaje otwarta możliwość, że przetworzenie danych, nawet dokonane poza granicami ustawowego upoważnienia, nie będzie stanowiło naruszenia dóbr osobistych w rozumieniu przepisów kodeksu cywilnego fakt przetworzenia danych osobowych bez zgody zainteresowanego nie przesadza sam przez się o naruszeniu dóbr osobistych i podstawie do uzyskania ochrony na podstawie art. 23 i 24 k.c. podanie danych, przy uwzględnieniu zakresu i okoliczności ich ujawnienia, nie stanowiło naruszenia jej dóbr osobistych i fakt ten nie mógł stać się podstawą do uwzględnienia roszczenia opartego na art. 23 i 24 k.c. RELACJA POMIEDZY PRAWEM DO PRYWATNOŚCI A PRAWEM DO OCHRONY DANYCH OSOBOWYCH

12 Odmiennie wypowiedział się Trybunał Konstytucyjny (wyrok z U 3/01) – ważnym elementem składowym prawa do ochrony życia prywatnego jest tzw. autonomia informacyjna jednostki, oznaczająca prawo do samodzielnego decydowania o ujawnieniu informacji dotyczące swojej osoby, a także prawo do sprawowanie kontroli nad takimi informacjami, znajdującymi się w posiadaniu innych podmiotów ale w 1998 r. RELACJA POMIEDZY PRAWEM DO PRYWATNOŚCI A PRAWEM DO OCHRONY DANYCH OSOBOWYCH

13 Prawo do prywatności a prawo do autonomii informacyjnej istotny związek prawa do prywatności oraz ochrony danych osobowych – wyrok TK z r. prawo do prywatności statuowane w art. 47 zagwarantowane jest m.in. w aspekcie ochrony danych osobowych, przewidzianej w art. 51 przepis art. 51 stanowi konkretyzację prawa do prywatności w aspektach proceduralnych po raz pierwszy zastosowanie normy konstytucyjnej zawartej w art. 47 i art. 51 jako podstawy oceny konstytucyjności przepisów prawa – dotyczącej regulacji zawartych w rozporządzeniu MZ przewidującym obowiązek wskazywania w zaświadczeniu lekarskim numeru statystycznego choroby odwołanie także do art. 31 ust. 3 – który wyznacza zakres dopuszczalnych konstytucyjnie ograniczeń sfery prywatności KONSTYTUCJA RZECZYPOSPOLITEJ POLSKIE J(Art. 47 a ART. 51) SZKOLENIE VIS

14 Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, ze zm.) Ustawa z dnia 29 października 2010 r. o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw (Dz. U r., Nr 229, poz. 1497) – wejście w życie 7 marca 2011 r. - najważniejsze zmiany Cztery rozporządzenia wykonawcze MSWiA USTAWA O OCHRONIE DANYCH OSOBOWYCH SZKOLENIE VIS

15 z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych z dnia 22 kwietnia 2004 r. w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych AKTY WYKONAWCZE SZKOLENIE VIS

16 Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (art. 6 ust. 1). Osoba możliwa do zidentyfikowania – osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (art. 6 ust. 2). Informacji nie uważa się za umożliwiające określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań (art. 6 ust. 3). Przetwarzanie danych – jakiekolwiek operacje na danych osobowych statyczne (np. przechowywanie danych) jak i dynamiczne (pozyskiwanie, udostępnianie, zmienianie, usuwanie itd.) PODSTAWOWE POJECIA DANE OSOBOWE / PRZETWARZANIE ART. 6 i 7

17 dane ujawniające: pochodzenie rasowe lub etniczne poglądy polityczne przekonania religijne lub filozoficzne przynależność wyznaniową, partyjną lub związkową, dane o: stanie zdrowia kodzie genetycznym nałogach życiu seksualnym skazaniach, orzeczeniach o ukaraniu i mandatach karnych, innych orzeczeniach wydanych w postępowaniu sądowym lub administracyjnym DANE SZCZEGÓLNIE CHRONIONE /SENSYTYWNE/ - ART. 27

18 dane tzw. zwykłe - wszelkie inne /niż wynikające z art. 27 ust. 1 ustawy/ informacje zidentyfikowana lub możliwa do zidentyfikowania osoba fizyczna określenie bezpośrednie lub pośrednie dane biometryczne wizerunek twarzy kształt dłoni zapis linii papilarnych palców zapis obrazu tęczówki zapis układu żył w palcu/nadgarstku sposób chodzenia sposób pisania na maszynie/klawiaturze komputera DANE TZW. ZWYKŁE – WSZYSTKIE POZOSTAŁE

19 zbiór danych - każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie zgoda osoby, której dane dotyczą – oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego kto składa oświadczenie, zgoda nie może być domniemana/dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie – od 7 marca 2011 r. ZBIÓR DANYCH i ZGODA NA PRZETWARZANIE DANYCH OSOBOWYCH - ART. 7 PKT 4 i 5

20 organ państwowy organ samorządu terytorialnego państwowa lub komunalna jednostka organizacyjna podmiot niepubliczny realizujący zadania publiczne osoby fizyczne i prawne jednostki organizacyjne niebędące osobami prawnymi -przetwarzające dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych mające siedzibę albo miejsce zamieszkania na terytorium RP albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium RP decydujące o celach i środkach przetwarzania danych osobowych ADMINISTRATOR DANYCH - ART. 7 PKT 4

21 system informatyczny - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych zabezpieczenie danych w systemie informatycznym - wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem odbiorca danych - każdego, komu udostępnia się dane osobowe, z wyłączeniem: a) osoby, której dane dotyczą, b) osoby upoważnionej do przetwarzania danych, c) przedstawiciela, o którym mowa w art. 31a, d) podmiotu, o którym mowa w art. 31, e) organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem, państwo trzecie - państwo nienależące do Europejskiego Obszaru Gospodarczego. 25 listopada 2013 r., Gdańsk PODSTAWOWE POJĘCIA

22 Każdy ma prawo do ochrony dotyczących go danych osobowych (art. 1 ust. 1) Przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą, lub dobro osób trzecich w zakresie i trybie określonym ustawą (art. 1 ust. 2) Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1) Art.2 ust. 2 - Ustawę stosuje się do przetwarzania danych osobowych: 1) w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych, 2) w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych. W odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5 (art. 2 ust. 3) PODMIOTOWY I PRZEDMIOTOWY ZAKRES USTAWY O OCHRONIE DANYCH OSOBOWYCH 25 listopada 2013 r., Gdańsk

23 Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych (art. 3 ust. 1) Ustawę stosuje się również do: 1) podmiotów niepublicznych realizujących zadania publiczne, 2) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowew związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych - które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej (art. 3 ust. 2) PODMIOTOWY I PRZEDMIOTOWY ZAKRES USTAWY O OCHRONIE DANYCH OSOBOWYCH 25 listopada 2013 r., Gdańsk

24 Art. 3a. 1 - Ustawy nie stosuje się do: 1) osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych, 2) podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania danych. Ustawy, z wyjątkiem przepisów art i art. 36 ust. 1, nie stosuje się również do prasowej działalności dziennikarskiej w rozumieniu ustawy (…) - Prawo prasowe (....) oraz do działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą (art. 3a ust. 2) Art. 4 - Przepisów ustawy nie stosuje się, jeżeli umowa międzynarodowa, której stroną jest Rzeczpospolita Polska, stanowi inaczej. Art. 5 - Jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw. PODMIOTOWY I PRZEDMIOTOWY ZAKRES USTAWY O OCHRONIE DANYCH OSOBOWYCH 25 listopada 2013 r., Gdańsk

25 Art Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych: 1) zawierających informacje niejawne, 1a) które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności, 2) przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym, (…) 2c) przetwarzanych przez właściwie organy na podstawie przepisów o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej, (…) 5) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta, (…) 8) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej, (…) Art.. 43 ust. 2 - W odniesieniu do zbiorów, o których mowa w ust. 1 pkt 1 i 3, oraz zbiorów, o których mowa w ust. 1 pkt 1a, przetwarzanych przez ABW, AW, SKW, SWW oraz CBA, Generalnemu Inspektorowi nie przysługują uprawnienia określone w art. 12 pkt 2, art. 14 pkt 1 i 3-5 oraz art PODMIOTOWY I PRZEDMIOTOWY ZAKRES USTAWY O OCHRONIE DANYCH OSOBOWYCH 25 listopada 2013 r., Gdańsk

26 Na podstawie analizy literalnej przytoczonych przepisów łatwo stwierdzić, że wyłączenia w zakresie kontroli i nadzoru GIODO nie obejmują administratorów danych dotyczących osób korzystających z obsługi adwokackiej. (…) Wyłączenia i zastrzeżenia ustawowe (…) również nie będą dotyczyły adwokatów (art. 15 ust. 2 w zw. z art. 43 ust. 1 pkt 1a oraz art. 18 ust. 2 i 2a ustawy o ochronie danych osobowych). W tym miejscu, na podstawie wykładni wskazanych przepisów ustawy o ochronie danych osobowych, wobec braku szczególnych wyłączeń i zastrzeżeń odnośnie do tajemnicy adwokackiej w tej ustawie, można jedynie postawić wniosek de lege ferenda, by wyłączenia ustawowe, o których mowa w art. 43 ust. 2, objęły również adwokatów w zakresie przedmiotowym danych dotyczących osób korzystających z obsługi adwokackiej. (…) M.Swora, Tajemnica adwokacka w świetle wybranych przepisów ustawy o ochronie danych osobowych, Palestra nr 3-4 z 2004 r.. PODMIOTOWY I PRZEDMIOTOWY ZAKRES USTAWY O OCHRONIE DANYCH OSOBOWYCH 25 listopada 2013 r., Gdańsk

27 powoływany przez Sejm za zgodą Senatu obywatel polski, stale zamieszkujący w Polsce wyróżnia się wysokim autorytetem moralnym posiada wyższe wykształcenie prawnicze i odpowiednie doświadczenie zawodowe niekarany za przestępstwo w zakresie wykonywania swoich zadań podlega TYLKO ustawie kadencja 4 lata (maksymalnie dwie kadencje) ściśle określone przyczyny wygaśnięcia kadencji i odwołania zakaz członkostwa w partiach politycznych i związkach zawodowych oraz prowadzenia działalności publicznej niedającej się pogodzić z godnością jego urzędu immunitet GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH – ART. 8

28 kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych zapewnienie wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym wynikających z decyzji, przez stosowanie środków egzekucyjnych przewidzianych w ustawie o postępowaniu egzekucyjnym w administracji od 7 marca 2011 r. prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH - ZADANIA ART. 12

29 kontrola zgodności, wydawanie decyzji, rozpatrywanie skarg Generalny Inspektor, zastępca Generalnego Inspektora lub upoważnieni przez niego pracownicy Biura - zwani inspektorami - mają prawo: -wstępu, w godzinach od 6°° do 22°°, za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych, i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą -żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego -wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii -przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych -zlecać sporządzanie ekspertyz i opinii GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH - ART. 14 UPRAWNIENIA KONTROLNE

30 Art Kierownik kontrolowanej jednostki organizacyjnej oraz kontrolowana osoba fizyczna będąca administratorem danych osobowych są obowiązani umożliwić inspektorowi przeprowadzenie kontroli, a w szczególności umożliwić przeprowadzenie czynności oraz spełnić żądania, o których mowa w art. 14 pkt 1-4. Art. 15 ust. 2. W toku kontroli zbiorów, o których mowa w art. 43 ust. 1 pkt 1a, inspektor przeprowadzający kontrolę ma prawo wglądu do zbioru zawierającego dane osobowe jedynie za pośrednictwem upoważnionego przedstawiciela kontrolowanej jednostki organizacyjnej. Jak wygląda praktyka ??? 25 listopada 2013 r., Gdańsk UPRAWNIENIA GIODO WOBEC RADCÓW PRAWNYCH A OCHRONA TAJEMNICY RADCOWSKIEJ

31 kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych Art. 17 ust. 1 - jeżeli na podstawie wyników kontroli inspektor stwierdzi naruszenie przepisów o ochronie danych osobowych, występuje do Generalnego Inspektora o zastosowanie środków, o których mowa w art. 18 Art. 17 ust. 2 - na podstawie ustaleń kontroli inspektor może żądać wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom winnym dopuszczenia do uchybień i poinformowania go, w określonym terminie, o wynikach tego postępowania i podjętych działaniach. Art w razie stwierdzenia, że działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej będącej administratorem danych wyczerpuje znamiona przestępstwa określonego w ustawie, Generalny Inspektor kieruje do organu powołanego do ścigania przestępstw zawiadomienie o popełnieniu przestępstwa, dołączając dowody dokumentujące podejrzenie. GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH - UPRAWNIENIA z art. 17 i 19

32 w przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: usunięcie uchybień uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe wstrzymanie przekazywania danych osobowych do państwa trzeciego zabezpieczenie danych lub przekazanie ich innym podmiotom usunięcie danych osobowych GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH - UPRAWNIENIA WŁADCZE ART. 18 UST. 1

33 w celu realizacji zadań, o których mowa w art. 12 pkt 6 UODO, Generalny Inspektor może kierować do organów państwowych, organów samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i prawnych, jednostek organizacyjnych niebędących osobami prawnymi oraz innych podmiotów wystąpienia zmierzające do zapewnienia skutecznej ochrony danych osobowych Generalny Inspektor może również występować do właściwych organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych podmiot, do którego zostało skierowane wystąpienie lub wniosek, o których mowa w ust. 1 i 2, jest obowiązany ustosunkować się do tego wystąpienia lub wniosku na piśmie w terminie 30 dni od daty jego otrzymania GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH - WYSTĄPIENIA ART. 19A od 7 marca 2011 r.

34 przesłanki legalności – warunki legalnego przetwarzania danych - dane zwykłe art dane szczególnie chronione – art. 27, obowiązek informacyjny unormowany w art. 24 i 25 ustawy, obowiązek dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą (art. 26 ustawy), obowiązek respektowania praw osób, których dane dotyczą - art ustawy, obowiązek zabezpieczenia przetwarzanych danych osobowych (art. 36 – 39 ustawy), obowiązek zgłoszenia zbioru danych do zarejestrowania przez GIODO (art. 40 ustawy), z wyjątkiem przypadków wymienionych w art. 43 ust. 1, np. zwolnienie określone w pkt 4 - przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się OBOWIĄZKI ADMINISTRATORÓW DANYCH – ART.. 23, 27, 24, 25, 32-35, 36-39, 40, 43 UST. 1

35 osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego jest to niezbędne dla wypełniania prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. LEGALNOŚĆ PRZETWARZANIA DANYCH "ZWYKŁYCH" - ART. 23

36 zgoda na piśmie, chyba że chodzi o usunięcie danych przepis szczególny innej ustawy zezwala na przetwarzanie takich danych i stwarza pełne gwarancje ich ochrony przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, a osoba nie jest fizycznie lub prawnie zdolna do wyrażenia zgody statutowe zadania kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, w odniesieniu do danych członków tych organizacji; muszą być zapewnione są pełne gwarancje ochrony przetwarzanych danych LEGALNOŚĆ PRZETWARZANIA DANYCH SZCZEGÓLNIE CHRONIONYCH / "SENSYTYWNYCH" - ART. 27

37 niezbędne do dochodzenia praw przed sądem niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób (zakres przetwarzanych danych jest określony w ustawie) w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów i są stworzone pełne gwarancje ochrony danych osobowych danych zostały podane do wiadomości publicznej przez osobę, której dane dotyczą badania naukowe, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikacja wyników badań – anonimizacja w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym. LEGALNOŚĆ PRZETWARZANIA DANYCH SENSYTYWNYCH - ART. 27

38 administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były: przetwarzane zgodnie z prawem – ZASADA LEGALIZMU zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2 – ZASADA ZWIĄZANIA CELEM merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane – ZASADA MERYTORYCZNEJ POPRAWNOŚCI, ZASADA ADEKWATNOŚCI przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania - ZASADA OGRANICZENIA CZASOWEGO ZASADY PRZETWARZANIA DANYCH - ART. 26 UST. 1

39 zbieranie danych bezpośrednio od osoby, której one dotyczą adres siedziby/miejsca zamieszkania administratora prawo dostępu do treści danych i ich poprawiania dobrowolność lub obowiązek podania danych cel zbierania danych, znanych odbiorcach danych lub ich kategoriach wyłączenia: - przepis innej ustawy pozwala na przetwarzanie bez ujawniania faktycznego celu zbierania danych - osoba posiada ww. informacje OBOWIĄZEK INFORMACYJNY - ART. 24

40 zbieranie danych z innego źródła /nie od osoby, której one dotyczą/ adres siedziby i pełna nazwa, a w przypadku gdy administratorem danych jest osoba fizyczna - miejsce zamieszkania oraz imię i nazwisko cel i zakres zbierania danych, a w szczególności informacje o odbiorcach lub kategoriach odbiorców danych źródło danych prawo dostępu do treści danych oraz ich poprawiania uprawnienia wynikające z art. 32 ust. 1 pkt 7 i 8 (żądanie zaprzestania przetwarzania danych i sprzeciw) OBOWIĄZEK INFORMACYJNY ZBIERANIE DANYCH Z INNYCH ŹRODEŁ - ART. 25

41 wyłączenia: przepis innej ustawy pozwala na przetwarzanie bez wiedzy osoby, której dane dotyczą dane są przetwarzanie przez administratora, o którym mowa w art. 3 ust. 1 i ust. 2 pkt 1, na podstawie przepisów prawa osoba posiada ww. informacje dane są niezbędne dla badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, spełnienie obowiązku informacyjnego wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania ZWOLNIENIA Z OBOWIĄZKU - ART. 25 UST. 2

42 na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie do jej danych osobowych informacji o których mowa w art. 32 ust. 1 pkt 1-5a zmiana od 7 marca 2011 r. na wniosek osoby, której dane dotyczą, informacji udziela się na piśmie wyjątki – odmowa (art. 34), gdy spowodowałoby to: ujawnienie wiadomosci zawierających informacje niejawne zagrożenie dal obronności lub bezpieczeństwa państwa, zycia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób OBOWIĄZEK INFORMACYJNY – ART. 33 i ART. 34

43 każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, zwłaszcza prawo do: uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna – jej miejsca zamieszkania oraz imienia i nazwiska uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie tajemnicy informacji niejawnych lub zachowania tajemnicy zawodowej uzyskanie informacji o sposobie udostępnienia danych, a w szczególności o odbiorcach lub kategoriach odbiorców, którym dane te są udostępnione uzyskania informacji o przesłankach podjęcia rozstrzygnięcia, o którym mowa w art. 26a ust. 2 OBOWIĄZEK INFORMACYJNY – ART. 33

44 Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1. Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności. OBOWIĄZEK ZABEZPIECZENIA DANYCH OSOBOWYCH – ART. 36

45 do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać: imię i nazwisko osoby upoważnionej, datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, identyfikator, jeżeli dane są przetwarzane w systemie informatycznym OBOWIĄZEK ZABEZPIECZENIA DANYCH OSOBOWYCH – ART

46 Dokumnetacja przetwarzania danych – art. 36 ust. 2 i par. 4 i 5 rozporządzenia SZKOLENIE VIS administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środków, o których mowa w ust. 1 (technicznych i organizacyjnych zapewniających ochronę przetwarzania danych osobowych) – art. 36 ust. 2 polityka bezpieczeństwa instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

47 Dokumnetacja przetwarzania danych – art. 36 ust. 2 i par. 4 i 5 rozporządzenia SZKOLENIE VIS Polityka bezpieczeństwa zawiera w szczególności wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi sposób przepływu danych pomiędzy poszczególnymi systemami określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych

48 Dokumnetacja przetwarzania danych – art. 36 ust. 2 i par. 4 i 5 rozporządzenia SZKOLENIE VIS Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych zawiera w szczególności procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania

49 Dokumnetacja przetwarzania danych – art. 36 ust. 2 i par. 4 i 5 rozporządzenia SZKOLENIE VIS Instrukcja zarządzania systemem informatycznym c.d. sposób, miejsce i okres przechowywania - elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego sposób realizacji wymogu odnotowywania odbiorców danych procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

50 Art administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1. Co do zasady administrator danych może rozpocząć ich przetwarzanie w zbiorze danych po zgłoszeniu tego zbioru Generalnemu Inspektorowi, chyba że ustawa zwalnia go z tego obowiązku (art. 46 ust. 1) Administrator danych szczególnie chronionych może rozpocząć ich przetwarzanie w zbiorze danych po zarejestrowaniu zbioru, chyba że ustawa zwalnia go z obowiązku zgłoszenia zbioru do rejestracji (art. 46 ust. 2) OBOWIĄZEK ZGŁOSZENIA ZBIORU DANYCH DO REJESTRACJI – ART. 40, 46

51 Art Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych: 1) zawierających informacje niejawne, 1a) które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności, 5) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta, (…) 8) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej, (…) Art.. 43 ust. 2 - W odniesieniu do zbiorów, o których mowa w ust. 1 pkt 1 i 3, oraz zbiorów, o których mowa w ust. 1 pkt 1a, przetwarzanych przez ABW, AW, SKW, SWW oraz CBA, Generalnemu Inspektorowi nie przysługują uprawnienia określone w art. 12 pkt 2, art. 14 pkt 1 i 3-5 oraz art PODMIOTOWY I PRZEDMIOTOWY ZAKRES USTAWY O OCHRONIE DANYCH OSOBOWYCH 25 listopada 2013 r., Gdańsk

52 PODATNOŚĆ KANCELARII NA ATAKI Z ZEWNĄTRZ 25 listopada 2013 r., Gdańsk

53 PODATNOŚĆ KANCELARII NA ATAKI Z ZEWNĄTRZ 25 listopada 2013 r., Gdańsk

54 PODATNOŚĆ KANCELARII NA ATAKI Z ZEWNĄTRZ 25 listopada 2013 r., Gdańsk

55 PODATNOŚĆ KANCELARII NA ATAKI Z ZEWNĄTRZ 25 listopada 2013 r., Gdańsk Dane osobowe i dane (nie tylko informacje) objęte tajemnicą radcowską - niezależnie od tego czy pracujemy nad nimi na telefonie, iPadzie, laptopie - należy szyfrować przed przesłaniem oraz przechowywać w formie zaszyfrowanej na dysku urządzenia. Jeśli Twój sprzęt na to nie pozwala, należy traktować go jedynie jako zabawkę do przeglądania internetu Mając powyższe na uwadze: a) wszyscy pracownicy kancelarii (A PRZEDE WSZYSTKIM WSZYSCY RADCY) powinni być przeszkoleni z bezpieczeństwa teleinformatcznego; b) powinni być świadomi tego, że służbowego sprzętu nie należy wykorzystywać do celów prywatnych (np. prywatna skrzynka ), gdyż służbowe urządzenie, znajdujące się pod kontrolą firmowych informatyków, którzy zazwyczaj mają pełny wgląd w znajdujące się na nim dane; c) powinni być wyposażeni w urządzenia/oprogramowanie, które pozwalają im szyfrować dokumenty, które przesyłają oraz które chcą przechowywać lokalnie. Osoba, która nie jest w stanie pojąć podstaw szyfrowania plików/ i nie powinna w XXI w. wykonywać zawodu zaufania społecznego.

56 PODATNOŚĆ KANCELARII NA ATAKI Z ZEWNĄTRZ 25 listopada 2013 r., Gdańsk szanuj informatyka swego, bo on wie co oglądasz w godzinach pracy

57 PODATNOŚĆ KANCELARII NA ATAKI Z ZEWNĄTRZ 25 listopada 2013 r., Gdańsk American Bar Association o przetwarzaniu danych klientów w chmurach

58 PODATNOŚĆ KANCELARII NA ATAKI Z ZEWNĄTRZ 25 listopada 2013 r., Gdańsk Lista amerykańskich prawniczych kodeksów etycznych, które przewidują zasady dotyczące chmur urces/resources/charts_fyis/cloud-ethics-chart.html Można tam znaleźć takie postanowienia – przykład z Massachusetts: "Consistent with its prior opinions, the Committee further believes that the Lawyer remains bound to follow an express instruction from his client that the client's confidential information not be stored or transmitted by means of the Internet, and that he should refrain from storing or transmitting particularly sensitive client information by means of the Internet without first seeking and obtaining the client's express consent to do so"

59 PODATNOŚĆ KANCELARII NA ATAKI Z ZEWNĄTRZ 25 listopada 2013 r., Gdańsk CCBE GUIDELINES ON THE USE OF CLOUD COMPUTING SERVICES BY LAWYERS Conseil des barreaux européens, Bruksela, 7 września 2012 r.

60 Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych Podmiot może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie Podmiot jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art , oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych Odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową Do kontroli zgodności przetwarzania danych przez podmiot z przepisami o ochronie danych osobowych stosuje się odpowiednio przepisy art POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH – ART. 31

61 I NIECO PRAWA KARNEGO 25 listopada 2013 r., Gdańsk Art Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3. Art Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega karze ograniczenia wolności albo pozbawienia wolności do lat Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

62 I NIECO PRAWA KARNEGO 25 listopada 2013 r., Gdańsk Art. 52. Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art. 54. Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art. 54a. Kto inspektorowi udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

63 PRZEPISY KARNE - ROZDZIAŁ 8 przetwarzanie danych w zbiorze wbrew zakazowi przetwarzania bądź przy braku uprawnienia do przetwarzania (art. 49) udostępnienie danych lub umożliwienie dostępu osobom nieupoważnionym (art. 51) naruszenie obowiązku zabezpieczenia danych (art. 52) niezgłoszenie zbioru do rejestracji (art. 53) niedopełnienie obowiązku informacyjnego (art. 54) udaremnianie lub utrudnianie wykonania czynności kontrolnych (art. 54A) nowy od 7 marca 2011 r. + uchylenie art. 50 – przewidywał sankcje za przechowywanie w zbiorze danych niezgodnie z celem utworzenia zbioru 63

64 WSKAZANIA DOTYCZĄCE BEZPIECZEŃSTWA TELEIMFORMATYCZNEGO W KANCELARII 25 listopada 2013 r., Gdańsk 1. Zaszyfruj *cały* dysk twardy (tzw. full disk encryption) Powinno uchronić Cię to przed nieuprawnionym dostępem do danych, np. na skutek kradzieży lub dostępu do pokoju, w którym zostawiłeś sprzęt. Programy: - TrueCrypt dla Windows (http://www.truecrypt.org/)TrueCrypt - FileVault2 dla Mac OS X (wbudowany w system, w zakładce Security & Privacy w systemowych preferencjach). FileVault2 - BitLocker dla Windows (wbudowany w system) Niezależnie od szyfrowania, warto wykonywać regularny backup (także szyfrowany), Niektóre z dysków twardych wspierają szyfrowanie na poziomie kontrolera (co nie wymaga instalacji dodatkowego oprogramowania, a odpowiedniej konfiguracji, tj. ustawienia hasła w BIOS).

65 WSKAZANIA DOTYCZĄCE BEZPIECZEŃSTWA TELEIMFORMATYCZNEGO W KANCELARII 25 listopada 2013 r., Gdańsk 2. Aktualizuj oprogramowanie Chroni przed większością ataków masowych, typu: - otwarcie złośliwego pliku PDF,otwarcie złośliwego pliku PDF -wejście na złośliwą stronę internetowąwejście na złośliwą stronę internetową Każde oprogramowanie ma błędy bezpieczeństwa (tzw. dziury). Są one odnajdowane i łatane na bieżąco. Aby je eliminować należy regularnie aplikować aktualizacje, inaczej powalamy każdemu gimnazjaliście korzystającemu z tzw. programów do hackowania (np. metasploita) na przejęcie naszego komputera Włącz automatyczną aktualizację w każdym z programów, z których korzystasz na komputerze (zwłaszcza w przeglądarce internetowej) Jeśli musisz ręcznie ściągnąć aktualizację, ściagaj ją ze strony producenta po HTTPS (w przeciwnym razie, ktoś kto jest na trasie twojego połączenia, mógłby podmienić ściągane dane na złośliwe). Od czasu do czasu warto także przejrzeć uprawnienia, jakie nadałeś zewnętrznym aplikacjom na swoich kontach Facebooka, Google itp.

66 WSKAZANIA DOTYCZĄCE BEZPIECZEŃSTWA TELEIMFORMATYCZNEGO W KANCELARII 25 listopada 2013 r., Gdańsk 3. Stosuj unikatowe hasła, czyli różne do każdego z serwisów/usługi...i włącz dwuskładnikowe uwierzytelnienie (2 factor authentication) Chroni przed nieuprawnionym dostępem do Twoich danych (kont w serwisach internetowych). Najczęściej atakujący zdobywają dostęp do twojego konta w serwisie X, dzięki temu, że udało im się włamać na serwis Y, w którym także miałeś zarejestrowane konto na ten sam adres /login. Ponieważ serwis Y był od dawna zapomniany (np. studenckie forum) i zarządzany przez niekompetentną osobę, w momencie ataku pracował pod kontrolą nieaktualnego oprogramowania. Dzięki temu, atakujący wykorzustując znany od dawna błąd, wykradli z niego bazę danych. W bazie znajdowało się twoje hasło, niestety takie same jak do serwisu X.

67 WSKAZANIA DOTYCZĄCE BEZPIECZEŃSTWA TELEIMFORMATYCZNEGO W KANCELARII 25 listopada 2013 r., Gdańsk 3a. Włącz dwuskładnikowe uwierzytelnienie (2 factor authentication) Dwuskładnikowe uwierzytelnienie Dwuskładnikowe uwierzytelnienie ochroni twoje konto, w przypadku przejęcia Twojego hasła (np. po logowaniu się do Facebooka na komputerze kolegi, w hotelu, itp.). Atakujący są w stanie sprawdzać ponad 5 milionów haseł na sekundę. Dlatego aby opóźnić złamanie hasła, hasło powinno być: - niesłownikowe (hasła: qwerty, qazwsx, albo kasia123 lub defibrylator nie są dobre, ponieważ znajdują się w słownikach służących do łamania haseł. Te słowniki zawierają wszystkie poprawne słowa z j. polskiego, angielskiego, itp, oraz popularne kombinacje , a także wersje powyższych słów pisane od tyłu, na przemian małymi i dużymi literami, a także z suffiksami: 123, 098, 111, 000, 123!, 1! itp. na końcu). - nieszablonowe (nie twórz ich według szablonu. np. MojeTajneHasloDoAllegro - bo w przypadku wycieku haseł z Allegro, atakujący domyśli się, że twoje hasło do Facebooka to zapewne MojeTajneHasloDoFacebooka) - długie i skomplikowane (im dłuższe hasło i im więcej znaków posiada, tym dłużej zajmie atakującemu jego łamanie).

68 WSKAZANIA DOTYCZĄCE BEZPIECZEŃSTWA TELEIMFORMATYCZNEGO W KANCELARII 25 listopada 2013 r., Gdańsk 4. Podnieś bezpieczeństwo przeglądarki Może chronić przez podsłuchaniem twojego ruchu internetowego i kradzieżą tożsamości/danych 1.Upewnij się, że z jakiej przeglądarki korzystasz. 2.Wyłącz wtyczkę Java (oraz inne których nie potrzebujesz, a zapewne nie potrzebujesz niczego poza Flashem) 3.3. Włącz funkcję click-2-play dla wtyczek. Dzięki temu, żaden aplet Flasha na stronie nie wystartuje sam z siebie (nawet te 1x1 px). Aby aktywować np. aplet filmiku na YouTube, będziesz musiał najpierw w niego kliknąćclick-2-play 4.Zainstaluj przydatne rozszerzenia, zwłaszcza te:przydatne rozszerzenia, - NoScript (blokada JS dla Fx) - NoScripts (blokada JS dla Chrome) - HTTPS Everywhere (wymusza szyfrowane połączenia, jeśli są możliwe) 5. Jeśli prywatność jest dla Ciebie równie ważna co bezpieczeństwo, skonfiguruj ciasteczka w tryb No third party cookies - ochroni to Twoją prywatność przed trackingiem reklamowym.

69 WSKAZANIA DOTYCZĄCE BEZPIECZEŃSTWA TELEIMFORMATYCZNEGO W KANCELARII 25 listopada 2013 r., Gdańsk 5. Korzystaj z VPN, łącząc się z nieswoją siecią (Wi-Fi) Chroni przed podsłuchaniem twoich danych. W przypadku darmowych hotspotów (np. w Starbucks, McDonalds, itp.) oraz sieci z szyfrowaniem WEP -- każdy inny użytkownik sieci widzi cały twój ruch internetowy. Jeśli nie korzystasz z szyfrowanych protokołów, będzie można Cię podsłuchać i np. przechwycić np. twoje hasła. Atakujący może także celowo podstawić fałszywą, niezaszyfrowaną sieć o nazwie (SSID) takiej jak sieć, do której wcześniej się łączyłeś. Twój komputer połączy się z nią automatycznie, co pozwoli na podsłuch połączenia przez atakującego. Wszelkie błędy certyfikatów wyskakujące podczas połączenia lub komunikaty informujące o zmianie odcisku/fingerprinta klucza traktuj jako atak MITM i nie akceptuj takiego połączenia. Włączaj np. firmowy VPN korzystając z niezaufanych sieci Wi-Fi (hotele, lotniska, biura klienta). Jeśli nie masz firmowego VPN-a, możesz kupić tego typu usługę za grosze lub stworzyć ją samemu. Bardzo prosty VPN możesz zrobić przy pomocy serwera SSH.

70 WSKAZANIA DOTYCZĄCE BEZPIECZEŃSTWA TELEIMFORMATYCZNEGO W KANCELARII 25 listopada 2013 r., Gdańsk 6. Korzystaj z firewalla Chroni przed zwiększaniem powierzchni ataku. Ustaw blokadę wszystkich połączeń przychodzących do Twojego komputera. Nie utrudnia Ci to korzystania z komputera, pod warunkiem, że nie nie jesteś serwerem WWW, lub nie udostępniasz innej usługi innym internautom – ale jeśli to robisz, to zapewne wiesz na jakim porcie działa usługa i będziesz w stanie założyć odpowiednią regułę na firewallu. Rozważ instalację oprogramowania, które będzie także limitowało ruch wychodzący z twojego komputera. Dla Mac OS X będzie to LittleSnitch, w przypadku Windowsa interaktwne limitowanie ruchu wychodzącego umożliwia program ZoneAlarm

71 WSKAZANIA DOTYCZĄCE BEZPIECZEŃSTWA TELEIMFORMATYCZNEGO W KANCELARII 25 listopada 2013 r., Gdańsk 7. Korzystaj z antywirusa i konta z ograniczonym uprawnieniami (nie admina) Antywirus chroni przed znanymi wirusami, a korzystanie z konta bez przywilejów administratorskich nie pozwoli złośliwemu oprogramowaniu na całkowite przejęcie systemu. Antywirusy da się obejść i jest to stosunkowo proste zadanie. Nie mniej jednak warto z nich korzystać, bo doskonale odsiewają znane (tj. stare) i masowe zagrożenia. Nie trzeba kupować antywirusa - wiele z firm ma wersje bezpłatne i są one równie (nie)skuteczne co płatne. Nie korzystaj z konta administratora do pracy na co dzień. Załóż osobne konto.

72 WSKAZANIA DOTYCZĄCE BEZPIECZEŃSTWA TELEIMFORMATYCZNEGO W KANCELARII 25 listopada 2013 r., Gdańsk 8. Zastanów się, co umieszczasz w sieci Kompromitacja Wyciek poufnych danych Wszystko co umieszczasz w internecie lub wysyłasz em nawet do 1 wybranej osoby, traktuj jako publicznie dostępne dla wszystkich. Skrzynka twojego zaufanego odbiorcy może zostać upubliczniona na skutek ataku. Prywatna galeria zdjęć na Facebooku może być dostępna dla każdego internauty na skutek czasowego błędu w serwisie. Takie sytuacje miały już miejsce (por. ujawnia-prywatne-zdjecia-uzytkownikow/).http://niebezpiecznik.pl/post/dziura-w-facebooku- ujawnia-prywatne-zdjecia-uzytkownikow/ Wszystko co umieszczasz w internecie, ma dużą szansę zostać tam na zawsze, czy tego chcesz, czy nie.

73 Dziękuję bardzo za uwagę


Pobierz ppt "Generalny Inspektor Ochrony Danych Osobowych ul. Stawki 2, 00-193 Warszawa OCHRONA DANYCH OSOBOWYCH W PRAKTYCE."

Podobne prezentacje


Reklamy Google