Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Zasady ochrony danych osobowych

Podobne prezentacje


Prezentacja na temat: "Zasady ochrony danych osobowych"— Zapis prezentacji:

1 Zasady ochrony danych osobowych
Bogusława Pilc, radca prawny, Dyrektor Departamentu Inspekcji w Biurze Generalnego Inspektora Ochrony Danych Osobowych

2 EUROPEJSKA KONWENCJA O OCHRONIE PRAW CZŁOWIEKA I PODSTAWOWYCH WOLNOŚCI
sporządzona w Rzymie dnia 4 listopada 1950 r., zmieniona następnie Protokołami nr 3, 5 i 8 oraz uzupełniona Protokołem nr 2 (Dz. U. z 1993 r. Nr 61, poz. 284 ze zm.)‏

3 Prawo do poszanowania życia prywatnego i rodzinnego
Art. 8. Prawo do poszanowania życia prywatnego i rodzinnego 1. Każdy ma prawo do poszanowania swojego życia prywatnego i rodzinnego, swojego mieszkania i swojej korespondencji. 2. Niedopuszczalna jest ingerencja władzy publicznej w korzystanie z tego prawa, z wyjątkiem przypadków przewidzianych przez ustawę i koniecznych w demokratycznym społeczeństwie z uwagi na bezpieczeństwo państwowe, bezpieczeństwo publiczne lub dobrobyt gospodarczy kraju, ochronę porządku i zapobieganie przestępstwom, ochronę zdrowia i moralności lub ochronę praw i wolności innych osób.

4 Landowa ustawa o ochronie danych osobowych ogłoszona w Hesji w 1970 r.
Federalna (RFN) ustawa o ochronie danych osobowych ogłoszona w 1977 r. Ustawy o ochronie danych osobowych uchwalone w Szwecji, Danii, Norwegii, Francji, Luksemburgu (lata 70-te XX w.)‏ Ustawy o ochronie danych osobowych uchwalone w Austrii, Islandii, Irlandii, Finlandii, Wielkiej Brytanii, na Węgrzech (lata 80-te i początek lat 90-tych XX w.) 

5 weszła w życie z dniem 1 października 1985 r.
Konwencja 108 Rady Europy z dnia 28 stycznia 1981 r. o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (Dz. U. z 2006 r. Nr 3, poz. 15) weszła w życie z dniem 1 października 1985 r. (Francja, RFN, Norwegia, Hiszpania, Szwecja)‏ Polska ratyfikowała Konwencję dnia 24 kwietnia 2002 r.

6 Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/WE) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz. L 281, z dnia , s. 31)‏

7 Art. 47 Konstytucji RP Każdy ma prawo do ochrony życia prywatnego, rodzinnego, czci i  dobrego imienia oraz do decydowania o swoim życiu osobistym.

8 Art. 51 Konstytucji RP 1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby. 2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. 3. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa. 4. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. 5. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.

9 Art. 47 Konstytucji poręcza prawo do prywatności (wyrok TK z 12 listopada 2002 r., SK 40/01 , OTK-A 2002, nr 6, poz. 81). Na płaszczyźnie konstytucyjnej prawo do ochrony danych osobowych jednostki zostało zagwarantowane w art. 51 Konstytucji. Zarówno w literaturze, jak i orzecznictwie TK jest ono też określane mianem autonomii informacyjnej.

10 DOBRA OSOBISTE CZŁOWIEKA,
Art. 23 kodeksu cywilnego DOBRA OSOBISTE CZŁOWIEKA, jak w szczególności zdrowie, wolność, cześć, swoboda sumienia, nazwisko lub pseudonim, wizerunek, tajemnica korespondencji, nietykalność mieszkania, twórczość naukowa, artystyczna, wynalazcza i racjonalizatorska, pozostają pod ochroną prawa cywilnego niezależnie od ochrony przewidzianej w innych przepisach.

11 Art. 24 kodeksu cywilnego § 1. Ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne. W razie dokonanego naruszenia może on także żądać, ażeby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności ażeby złożyła oświadczenie odpowiedniej treści i w odpowiedniej formie. Na zasadach przewidzianych w kodeksie może on również żądać zadośćuczynienia pieniężnego lub zapłaty odpowiedniej sumy pieniężnej na wskazany cel społeczny. § 2. Jeżeli wskutek naruszenia dobra osobistego została wyrządzona szkoda majątkowa, poszkodowany może żądać jej naprawienia na zasadach ogólnych.

12 Pojedyncze dane osobowe nie są odrębnymi dobrami osobistymi.
Dane osobowe jednak mogą być uznane za dobra osobiste, jeżeli np. są objęte sferą życia prywatnego.

13 Rozporządzenie MSWiA z dnia 29 kwietnia 2004 r
Rozporządzenie MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024)‏

14 Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
(Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.)‏

15 zakres podmiotowy i przedmiotowy stosowania ustawy
definicje ustawowe

16 Ustawy nie stosuje się do:
Art. 3a ust. 1 Ustawy nie stosuje się do: 1) osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych 2) podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania danych

17 Art. 3 ust. 2 Ustawy, z wyjątkiem przepisów art i art. 36 ust. 1, nie stosuje się również do prasowej działalności dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. - Prawo prasowe (Dz. U. Nr 5, poz. 24, z późn. zm.) oraz do działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą.

18 Państwo trzecie państwo nienależące do Europejskiego Obszaru Gospodarczego EOG (European Economic Area)‏ Państwa należące do EOG: - państwa członkowskie Unii Europejskiej - państwa członkowskie Europejskiego Stowarzyszenia Wolnego Handlu EFTA (European Free Trade Association): Islandia, Lichtenstein, Norwegia

19 Art. 2 ust. 3 W odniesieniu do zbiorów danych osobowych
sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie przepisy jedynie rozdziału 5.

20 Art. 4 Przepisów ustawy nie stosuje się, jeżeli umowa międzynarodowa, której stroną jest Rzeczpospolita Polska, stanowi inaczej.

21 Art. 5. Jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw.

22 Art. 3 ust. 1 Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych.

23 Zakres podmiotowy ustawy o ochronie danych osobowych
Podmioty publiczne mogą decydować o celach i środkach przetwarzania danych w ramach zadań przyznanych im przepisami prawa: organy państwowe, organy samorządu terytorialnego, państwowe i komunalne jednostki organizacyjne. 2. Kontrolą mogą być objęte np. Kancelaria Prezydenta RP, Kancelaria Senatu, Kancelaria Sejmu, Kancelaria Prezesa Rady Ministrów, ministerstwa, sądy, prokuratury, jednostki policji, urzędy skarbowe, publiczne zakłady opieki zdrowotnej, Zakład Ubezpieczeń Społecznych, Główny Urząd Statystyczny, gminy, powiaty, województwa i inne.

24 Art. 3 ust. 2 Ustawę stosuje się również do:
1) podmiotów niepublicznych realizujących zadania publiczne, 2) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych - które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej.

25 Zakres podmiotowy ustawy o ochronie danych osobowych
- Podmioty prywatne mogą realizować cele i środki w zakresie przetwarzania danych osobowych, które wynikają ze specyfiki prowadzonej przez nie działalności: podmioty niepubliczne realizujące zadania publiczne (np. prywatne zakłady opieki zdrowotnej, prywatne szkoły i przedszkola), osoby fizyczne i osoby prawne (np.. Spółki z o.o., spółki akcyjne, stowarzyszenia, fundacje) oraz jednostki organizacyjne niebędące osobami prawnymi (np. niemające osobowości prawnej spółki prawa handlowego); objęte są one zakresem stosowania ustawy, jeżeli przetwarzają dane w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych (art. 3 ust. 2 pkt 2 ustawy).

26 Zakres podmiotowy ustawy o ochronie danych osobowych
Podmioty posiadające status administratora danych: administratorzy podlegający obowiązkowi zgłoszenia zbioru do rejestracji, administratorzy zwolnieni z mocy ustawy z obowiązku zgłoszenia zbioru do rejestracji. Podmioty przetwarzający dane na zlecenia administratora danych: zleceniobiorcy (przetwarzający) w drodze umowy zawartej na piśmie tzw. umowy powierzenia (art.31 ustawy).

27 Art. 6 W rozumieniu ustawy za DANE OSOBOWE uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. OSOBĄ MOŻLIWĄ DO ZIDENTYFIKOWANIA jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

28 Identyfikacja danych podlegających ochronie
Dane tzw. zwykłe – np. imię, nazwisko, data urodzenia, PESEL, adres zamieszkania, wysokość osiąganych dochodów, stan konta bankowego, informacje o mieniu ruchomym czy nieruchomościach i inne Dane tzw. wrażliwe, sensytywne – jako szczególny rodzaj danych, do których art. 27 ust. 1 u.o.d.o. zalicza: dane ujawniające pochodzenie rasowe, etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym Informacje o osobach zmarłych nie podlegają ochronie u.o.d.o. – zdolność prawna człowieka, a tym samym zdolność do bycia podmiotem praw i obowiązków ustaje z chwilą jego śmierci

29 Dane osobowe Charakter danych osobowych posiadają informacje „ z różnych dziedzin życia”, o ile istnieje możliwość powiązania ich z oznaczoną osobą; mogą to być informacje o charakterze obiektywnym lub subiektywnym, wymiernym lub ocennym, o okolicznościach dawnych, obecnych lub przyszłych, trwałych lub przemijających Danymi osobowymi są między innymi informacje: o zasadniczo „niezależnych okolicznościach” (imię, nazwisko, płeć, wzrost, znaki szczególne, obywatelstwo, linie papilarne, miejsce i data urodzenia, cechy dokumentów tożsamości, numer PESEL); o cechach nabytych (wykształcenie, znajomość języków, posiadane uprawnienia, charakter pisma, stan cywilny);

30 Dane osobowe o cechach osobowościowych, psychologicznych, w tym o przekonaniach, zainteresowaniach, światopoglądzie, upodobaniach, sposobie spędzania wolnego czasu); o sytuacji majątkowej, operacjach finansowych, w tym również o „zaniechaniach” ( np. wykaz zaległości czynszowych); o różnych przejawach działalności (np. podróżach, uczestniczeniu w życiu kulturalnym); dotyczące aktywnego lub biernego uczestnictwa w różnego rodzaju wydarzeniach, część informacji już z natury rzeczy identyfikuje osobę; większość informacji uzyskuje charakter danych osobowych dopiero w połączeniu z informacjami identyfikującymi wprost lub pośrednio osobę;

31 Dane osobowe pod tym warunkiem danymi osobowymi stają się m.in. informacje o stanie fizycznym i psychicznym, o przebytych chorobach, o kalectwie, o wynikach badań medycznych (zdjęcia rendtgenowskie, ciśnienie krwi, poziom cukru i wiele innych), o rezultatach testów psychologicznych, zręcznościowych, wyniki egzaminów, rezultaty uzyskiwane na zawodach sportowych; charakter danych osobowych posiadają informacje dotyczące przygotowania zawodowego i przebiegu pracy danej osoby, o jej sytuacji rodzinnej, o stanie posiadania ( w tym o posiadanych dobrach, o zgromadzonych oszczędnościach, kontach bankowych, o wysokości płaconych podatków), o jej zachowaniach (zakupach towarów lub usług, prowadzonych rozmowach telefonicznych, w tym tzw. biling), naruszeniach prawa, wszelkie opinie na temat danej osoby.

32 Art. 7 DEFINICJE: 1) zbioru danych 2) przetwarzania danych
2a) systemu informatycznego 2b) zabezpieczenia danych w systemie informatycznym 3) usuwania danych 4) administratora danych 5) zgody osoby, której dane dotyczą 6) odbiorcy danych 7) państwa trzeciego

33 USUWANIE DANYCH zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą

34 ZBIÓR DANYCH każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie,

35 PRZETWARZANIE DANYCH jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych,

36 ZABEZPIECZENIE DANYCH W SYSTEMIE INFORMATYCZNYM
SYSTEM INFORMATYCZNY zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych ZABEZPIECZENIE DANYCH W SYSTEMIE INFORMATYCZNYM wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem,

37 ADMINISTRATOR DANYCH organ, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych,

38 każdy, komu udostępnia się dane osobowe, z wyłączeniem:
ODBIORCA DANYCH każdy, komu udostępnia się dane osobowe, z wyłączeniem: a) osoby, której dane dotyczą, b) osoby upoważnionej do przetwarzania danych, c) przedstawiciela, o którym mowa w art. 31a, d) podmiotu, o którym mowa w art. 31, e) organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem

39 Art. 8 ust. 1 Organem do spraw ochrony danych osobowych jest GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Art. 8 ust. 2 Generalnego Inspektora powołuje i odwołuje Sejm Rzeczypospolitej Polskiej za zgodą Senatu.

40 Generalnego Inspektora Ochrony Danych Osobowych
Art. 11 IMMUNITET Generalnego Inspektora Ochrony Danych Osobowych nie może być bez uprzedniej zgody Sejmu pociągnięty do odpowiedzialności karnej ani pozbawiony wolności nie może być zatrzymany lub aresztowany, z wyjątkiem ujęcia go na gorącym uczynku przestępstwa i jeżeli jego zatrzymanie jest niezbędne do zapewnienia prawidłowego toku postępowania.

41 ZADANIA Generalnego Inspektora
Art. 12 ZADANIA Generalnego Inspektora 1) kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych, 2) wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych, 3) zapewnienie wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym wynikających z decyzji, o których mowa w pkt 2, przez stosowanie środków egzekucyjnych przewidzianych w ustawie z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. z 2005 r. Nr 229, poz. 1954, z późn. zm., 4) prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach, 5) opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych,

42 ZADANIA Generalnego Inspektora c. d.
6) inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych, 7) uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych.

43 Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
Art. 23 ust. 1 Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

44 ZGODA OSOBY, KTÓREJ DANE DOTYCZĄ
(Art. 7 pkt 5)‏ oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści, zgoda może być odwołana w każdym czasie

45 Zgoda na przetwarzanie danych osobowych (1)
uodo nie przewiduje szczególnej formy udzielenia zgody jak i odwołania zgody na przetwarzanie danych, jako oświadczenie woli – może przybrać formę każdego zachowania się tej osoby, które ujawnia jej wolę w sposób dostateczny, w tym w przez ujawnienie woli w postaci elektronicznej,

46 Zgoda na przetwarzanie danych osobowych (2)
Wola osoby dokonującej czynności prawnej może być wyrażona przez każde zachowanie się tej osoby, które ujawnia jej wolę w sposób dostateczny, w tym również przez ujawnienie tej woli w postaci elektronicznej (oświadczenie woli) – art. 60 kc

47 Zgoda na przetwarzanie danych osobowych (3)
do oświadczenia woli dotyczącego odwołania zgody na przetwarzanie danych osobowych, powinno się stosować ogólną zasadę wynikającą z art. 60 kc, w przypadku gdy uodo przewiduje formę pisemną dla oświadczenia woli dotyczącego zgody na przetwarzanie danych (dane tzw. „sensytywne”, przekazywanie danych do państwa trzeciego) niezbędne jest, aby odwołanie zgody na przetwarzanie danych osobowych również przybrało formę pisemną, administrator danych ze względów dowodowych powinien utrwalać takie oświadczenie woli w zakresie wyrażenia zgody jak i jej odwołania przepisy szczególne przewidujące możliwość odwołania zgody: ustawa Prawo telekomunikacyjne, ustawa o świadczeniu usług drogą elektroniczną, ustawa Prawo bankowe

48 Art. 23 ust. 2 Zgoda, o której mowa w ust. 1 pkt 1, może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania. Art. 23 ust. 3 Jeżeli przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a spełnienie warunku określonego w ust. 1 pkt 1 jest niemożliwe, można przetwarzać dane bez zgody tej osoby, do czasu, gdy uzyskanie zgody będzie możliwe.

49 PRAWNIE USPRAWIEDLIWIONY CEL ADMINISTRATORA DANYCH
Art. 23 ust. 4 PRAWNIE USPRAWIEDLIWIONY CEL ADMINISTRATORA DANYCH w szczególności: 1) marketing bezpośredni własnych produktów lub usług administratora danych, 2) dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

50 Zgoda według opinii Grypy Roboczej art. 29 nr 15/2011
Grupa Robocza art. 29 została powołana na mocy art. 29 Dyrektywy 95/46/WE. Jest niezależnym organem doradczym w zakresie ochrony danych osobowych i prywatności W dniu 13 lipca 2011 r. Grupa przyjęła opinię nr 15/2011 w sprawie definicji zgody Główne powody przyjęcia opinii: Zróżnicowana praktyka poszczególnych państw członkowskich m.in.: w zakresie wymogu pisemnej zgody, akceptowania zgody dorozumianej, konieczne ujednolicenie interpretacji

51 Analiza elementów zgody
Zgoda osoby, której dane dotyczą, oznacza konkretne i świadome, dobrowolne wskazanie przez tę osobę na to, że wyraża przyzwolenie na przetwarzanie odnoszących się do niej danych osobowych „wskazanie na to, że wyraża” – pisemna forma co do zasady nie jest konieczna. Dowolne zachowanie wyraźnie wskazujące na wolę osoby, „dobrowolne” – możliwość dokonania rzeczywistego wyboru. Zgoda w relacjach pracodawca – pracownik (np. I OSK 249/09, I OSK 1476/10 – wyroki NSA – dane biometryczne), „konkretne” – ściśle określony cel – nowy cel – nowa zgoda, „świadome” – warunkiem zgody jest pełne poinformowanie podmiotu danych

52 Zgoda w szczególnych warunkach
Konieczna wyraźna zgoda (explicit consent) na przetwarzanie szczególnych kategorii danych Zgoda na konkretną propozycję, najczęściej udzielana w formie pisemnej z odręcznym podpisem Nie może być dorozumiana Zgoda na transfer do państw trzecich – jednoznaczna Zgoda osób nieposiadających pełnej zdolności do czynności prawnych – brak konkretnych zasad w Dyrektywie 95/46/WE. Grupa zwraca uwagę na trudności w tym obszarze

53 ZABRANIA SIĘ PRZETWARZANIA DANYCH:
Art. 27 ust. 1 ZABRANIA SIĘ PRZETWARZANIA DANYCH: ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

54 Art. 27 ust. 2 Przetwarzanie danych, o których mowa w ust. 1, jest jednak dopuszczalne, jeżeli: 1) osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych, 2) przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony, 3) przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora,

55 6) przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie, 7) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych,

56 8) przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą, 9) jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone, 10) przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.

57 Wrażliwe przetwarzanie
„Profil” oznacza zestaw danych charakteryzujący kategorię osób, który ma zostać zastosowany w odniesieniu do danej osoby „Tworzenie profili” oznacza automatyczną technikę przetwarzania danych polegającą na przypisaniu danej osobie „profilu” w celu podejmowania dotyczących jej decyzji bądź analizy lub przewidywania jej preferencji, zachowań i postaw Tworzenie profili, wg Grupy Art istnieją dwa podstawowe podejścia do tworzenia profili użytkowników: - Profile predykcyjne tworzy się w drodze wnioskowania na podstawie obserwacji indywidualnego i zbiorowego zachowania użytkowników w czasie, w szczególności poprzez monitorowanie odwiedzanych stron oraz reklam, które użytkownik wyświetla, lub na które klika

58 Wrażliwe przetwarzanie cd.
Profile jawne tworzy się na podstawie danych osobowych przekazywanych w ramach usługi sieciowej przez same osoby, których dane dotyczą, np. podczas rejestracji. Wspomniane podejścia można łączyć Ponadto profile predykcyjne mogą stać się jawne później, kiedy osoba, której dane dotyczą, utworzy dane logowania dla danej strony internetowej Patrz: Opinia Grupy Art. 29 nr 2/2010 w sprawie internetowej reklamy behawioralnej przyjęta dnia 22 czerwca 2010 r., pkt 2, 3, str. 8

59 Art. 26 ust. 1 Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były: 1) przetwarzane zgodnie z prawem, 2) zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2, 3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, 4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

60 2) z zachowaniem przepisów art. 23 i 25.
Art. 26 ust. 2 Przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą, oraz następuje: 1) w celach badań naukowych, dydaktycznych, historycznych lub statystycznych, 2) z zachowaniem przepisów art. 23 i 25.

61 Identyfikacja danych podlegających ochronie
Dane w kartotekach, skorowidzach, księgach, wykazach i innych urządzeniach ewidencyjnych Dane w systemach informatycznych Dane w zbiorach danych i poza zbiorami danych System informatyczny (art. 7 pkt 2a u.o.d.o.) – zespół współpracujących ze sobą: urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych 61 61 61

62 Analiza zagrożeń i ocena ryzyka procesu przetwarzania (1)
Zagrożenia – to zjawiska wywołane działaniem człowieka (umyślne, nieumyślne) lub sił wyższych (przyrody, środków trwałych itp.), które powodują, że poczucie bezpieczeństwa maleje bądź zupełnie zanika. Analiza i ocena obejmuje identyfikację i szacowanie zagrożeń występujących na poszczególnych etapach procesu przetwarzania: zbieranie, utrwalanie, opracowywanie, zmienianie, udostępnianie, przechowywanie, usuwanie Prowadzona systematycznie pozwala na zastosowanie odpowiednich zabezpieczeń, które zminimalizują prawdopodobieństwo ich wystąpienia

63 Analiza zagrożeń i ocena ryzyka procesu przetwarzania (2)
Zagrożenia zasobów komputerowych: działalność umyślna sieciowa (zazwyczaj przestępcza) związana z atakami i włamaniami hakerskimi przy użyciu różnych technik i metod (np. złośliwych programów, rozsyłania spamu), często zautomatyzowanymi powodująca: utratę poufności (np. ujawnienie informacji), utratę integralności (np. modyfikacja informacji), utratę dostępności zasobów (np. brak dostępu do informacji czy systemu dla uprawnionych użytkowników). Działania umyślne fizyczne – bezpośrednia obserwacja, podsłuch czy kradzież zasobów Działania przypadkowe – pomyłki, pominięcia czy wypadki fizyczne wynikające z problemów technicznych (wady sprzętu i oprogramowania, awarie sprzętu, przerwy i zakłócenia w sieci energetycznej)

64 Analiza zagrożeń i ocena ryzyka procesu przetwarzania (3)
problemów organizacyjnych – zła organizacja pracy, brak odpowiednich procedur, brak organizacji infrastruktury informatycznej, niedostateczna wiedza, niewystarczające monitorowanie zabezpieczeń, brak lub niewłaściwe utrzymywanie zasobów, błędów ludzkich – nieprzestrzeganie podstawowych zasad bezpieczeństwa, brak świadomości zagrożeń, zapisywanie haseł, zniszczenie urządzenia na skutek niedbalstwa, omyłkowe skasowanie danych, nieprawidłowe administrowanie systemu i inne

65 administrator bezpieczeństwa informacji
Wymagane środki bezpieczeństwa środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem dokumentacja opisująca sposób przetwarzania danych oraz środki ochrony przetwarzania danych administrator bezpieczeństwa informacji Obowiązkiem administratora danych jest również zastosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy, zmianą, utratą, uszkodzeniem lub zniszczeniem, o czym stanowią przepisy art. 36 – 39 ustawy. Zagrożenia, którym narażone są przetwarzane dane osobowe związane mogą być – jak wynika z powyższego – nie tylko z działaniami administratora danych, lecz także osób trzecich. W tym drugim przypadku podejmowane przez administratora danych środki mają przeciwdziałać zarówno „ukierunkowanym” i zamierzonym działaniom ze strony osób trzecich, jak też działaniom przypadkowym: chodzi zatem o np. celowe „wykradanie” danych, jak i o ich uszkodzenie wskutek „wadliwości” stosowanego sprzętu lub oprogramowania, zainfekowania sieci wirusem, nieuwagi pracowników, czy też zniszczeniem danych w wyniku awarii sieci elektrycznej. Wymogi dotyczące zabezpieczenia danych określone w rozdziale 5 ustawy o ochronie danych osobowych odnoszą się zarówno do danych przetwarzanych w sposób „tradycyjny” (manualny), jak i do przetwarzania danych w systemach informatycznych. Ustawodawca nie podaje, jakie konkretnie środki mają być zastosowane przez administratora danych w celu prawidłowego ich zabezpieczenia. Wybór w tym zakresie pozostawiony został samemu administratorowi. To on powinien dokonać wyboru środków zabezpieczenia, mając na uwadze potencjalne zagrożenia, na jakie w okolicznościach faktycznych konkretnego przypadku narażone mogą być przetwarzane przez niego dane osobowe. Przy wyborze środków zabezpieczających administrator powinien także uwzględnić kategorię danych, jakie przetwarza (tj. dane zwykłe, dane szczególnie chronione). Zastosowane środki nie muszą być zatem we wszystkich przypadkach takie same. Należy je dostosować do konkretnych okoliczności i warunków przetwarzania. Istotnym czynnikiem, jaki należy wziąć pod uwagę przy wyborze środków zabezpieczających dane osobowe, jest szkoda (krzywda) jaka mogłaby powstać w związku z nieuprawnionym dostępem do danych. Mówiąc o odpowiednich środkach ochrony należy rozumieć, iż chodzi o środki skuteczne. Mogą to być różnego rodzaju rozwiązania architektoniczno- budowlane, systemy alarmowe, służby ochrony, jak też środki czysto technicznego i informatycznego charakteru (karty chipowe zapewniające dostęp do pomieszczeń, kody dostępu, systemy kodujące dane i przeciwdziałające hackingowi). Poprzez ich zastosowanie administrator danych powinien wyeliminować wystąpienie wskazanych na wstępie zdarzeń, tj. udostępnienie danych osobom nieupoważnionym, zabranie ich przez osobę nieuprawnioną, przetwarzanie z naruszeniem ustawy, zmianę, utratę, uszkodzenie lub zniszczenie, a jeśli nie wyeliminowanie – to maksymalne ograniczenie ryzyka ich pojawienia się. Skuteczność zastosowanych środków powinna być przez administratora danych na bieżąco kontrolowana. Przy ich zastosowaniu powinno się uwzględniać też zmieniające się warunki oraz postęp techniczny. 65 65 65

66 Wymagane środki bezpieczeństwa
Dopuszczenie do przetwarzania danych wyłącznie osób posiadających upoważnienie nadane przez administratora danych (art. 37 u.o.d.o.) Zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane (art. 38 u.o.d.o.) Ewidencja osób upoważnionych do przetwarzania danych (art.39 u.o.d.o.). Obowiązek zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia. Ustawa o ochronie danych osobowych w art. 37 statuuje wymóg, aby do przetwarzania danych dopuszczone były wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Obowiązkiem tym objęte zostały wszystkie osoby, które przetwarzają dane, niezależnie od tego, czy przetwarzanie dokonywane jest w sposób tradycyjny czy w systemie informatycznym. Indywidualnym upoważnieniem do przetwarzania danych powinny wykazać się nie tylko osoby zatrudnione na stałe przy przetwarzaniu danych – pracownicy administratora danych, ale też osoby czasowo wykonujące czynności w tym zakresie, nie będące pracownikami administratora danych. Zwrot „osoby posiadające upoważnienie do przetwarzania danych” wskazuje, że powinno to być „upoważnienie specjalne, odrębne”, a nie wywodzone np. z treści umowy o pracę czy tez z zakresu obowiązków pracowniczych. Ustawodawca nie przesądza przy tym ani o treści, ani o formie upoważnienia. Względy dowodowe przemawiają jednak za tym, aby upoważnienie to posiadało formę pisemną. Ponadto, powinno mieć ono charakter imienny, a także powinno określać dozwolony zakres przetwarzania danych. Wspomnieć należy także, że ustawa nie określa kwalifikacji, jakie powinny posiadać osoby zatrudnione przy przetwarzaniu danych osobowych, i nie stawia im żadnych szczególnych wymagań. W art. 39 ust. 2 stanowi jedynie, że osoby, które zostały upoważnione do przetwarzania danych są obowiązane zachować je w tajemnicy. Obowiązek zachowania tajemnicy dotyczy także sposobów zabezpieczenia danych. O obowiązku tym osoby te powinny być powiadomione przy nadaniu upoważnienia. Wskazane byłoby, aby przyjęcie tej informacji do wiadomości poświadczyły (najlepiej – na piśmie). Z art. 39 ust. 1 ustawy wynika dla administratora danych kolejny obowiązek – prowadzenia ewidencji osób upoważnionych do przetwarzania danych. Ustawa, w art. 38, nakłada ponadto na administratorów danych obowiązek sprawowania kontroli w zakresie wprowadzania danych do zbioru i ich udostępniania, przekazywania ze zbioru. Administrator ma obowiązek zapewnić kontrolę nad tym jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. Ustawa nie precyzuje przy tym, jak kontrola ta ma być sprawowana. Dobór służących jej środków pozostawiony został administratorowi danych. Kontrola ta ma służyć nie tylko celom ewidencyjno-dokumentacyjnym, co w głównej mierze ma zapobiegać przypadkom naruszenia przepisów o ochronie danych osobowych i umożliwić, w razie zaistnienia naruszenia, wskazanie osoby odpowiedzialnej 66 66 66

67 polityka bezpieczeństwa
Wymagane środki bezpieczeństwa Dokumentacja przetwarzania danych: polityka bezpieczeństwa instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych Administrator danych, co wynika wprost z ust. 2 art. 36 ustawy o ochronie danych osobowych, ma obowiązek prowadzić dokumentację zawierającą opis sposobu przetwarzania przez niego danych osobowych oraz środków technicznych i organizacyjnych, jakie zostały zastosowane w celu zabezpieczenia danych. To ogólne sformułowanie ustawowe zostało uzupełnione regulacjami zawartymi w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024). Zgodnie z § 3 tego rozporządzenia na wspomnianą dokumentację składają się dwa dokumenty: polityka bezpieczeństwa, instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Dokumentacja ta powinna być prowadzona w formie pisemnej. Na administratora danych nałożony został też obowiązek jej „wdrożenia” tj. opracowania i upowszechnienia wśród osób przetwarzających u niego dane osobowe. W § 4 rozporządzenia określone zostało, co powinna zawierać polityka bezpieczeństwa. A więc: wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi; sposób przepływu danych pomiędzy poszczególnymi systemami; określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. Katalog wymienionych w tym przepisie informacji nie jest katalogiem zamkniętym, na co wskazuje zwrot „w szczególności”. W dokumencie tym powinny znaleźć się także inne informacje, jeżeli są one istotne dla zapewnienia należytej ochrony przetwarzanych danych osobowych. Obowiązek opracowania polityki bezpieczeństwa dotyczy zarówno administratorów danych przetwarzanych w sposób „tradycyjny” (manualny), jak i w systemach informatycznych, choć należy zwrócić uwagę, iż nie wszystkie elementy wymienione w tym przepisie będą mogły być umieszczone w polityce bezpieczeństwa, w przypadku przetwarzania danych systemem tradycyjnym. Drugi ze wskazanych dokumentów – instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych – wymagany jest jedynie od administratorów danych przetwarzających je w systemie informatycznym. Zgodnie z § 5 rozporządzenia, instrukcja powinna zawierać w szczególności: procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności; stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem; procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu; procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania; sposób, miejsce i okres przechowywania: elektronicznych nośników informacji zawierających dane osobowe, kopii zapasowych, o których mowa w pkt 4, sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego (o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia); sposób odnotowywania informacji o odbiorcach, którym dane zostały udostępnione, dacie i zakresie tego udostępnieni, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych (realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4); procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. 67 67 67

68 Wymagane środki bezpieczeństwa‏
(§ 4) Polityka bezpieczeństwa zawiera w szczególności: wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi sposób przepływu danych pomiędzy poszczególnymi systemami określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych 68 68 68 68 68

69 Wymagane środki bezpieczeństwa
(§ 5)  Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych zawiera w szczególności: 1)procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności; 2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem; 3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu; 4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania; 69 69 69 69 69

70 a) elektronicznych nośników informacji zawierających dane osobowe,
Wymagane środki bezpieczeństwa (§ 5 ) Instrukcja zarządzania systemem informatycznym cd: 5) sposób, miejsce i okres przechowywania: a) elektronicznych nośników informacji zawierających dane osobowe, b)  kopii zapasowych, o których mowa w pkt 4; 6)  sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia; 7)  sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4; 8)  procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. 70 70 70 70 70

71 podstawowy podwyższony wysoki Wymagane środki bezpieczeństwa
Poziomy bezpieczeństwa: podstawowy podwyższony wysoki 71 71 71

72 Tak Czy jest dostęp do sieci publicznej? Poziom wysoki Nie Tak
Czy przetw. są dane wrażliwe? Poziom podwyższony Poziom co najmniej podstawowy stosuje się, gdy w systemie nie są przetwarzane dane szczególnie chronione oraz żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych, nie jest połączone z siecią publiczną (§ 6 ust. 2). Poziom co najmniej podwyższony stosuje się, gdy w systemie są przetwarzane dane szczególnie chronione oraz żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych, nie jest połączone z siecią publiczną (§ 6 ust. 3). Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną (§ 6 ust. 4). Nie Poziom podstawowy 72 72 72

73 ŚRODKI BEZPIECZEŃSTWA NA POZIOMIE PODSTAWOWYM
Zabezpieczenie obszaru przed dostępem osób nieuprawnionych na czas nieobecności osób uprawnionych do przetwarzania danych osobowych Mechanizmy kontroli dostępu w systemie informatycznym Zabezpieczenie systemu przed oprogramowaniem umożliwiającym uzyskanie nieuprawnionego dostępu oraz utratą zasilania 73 73 73

74 ŚRODKI BEZPIECZEŃSTWA NA POZIOMIE PODSTAWOWYM
Hasła (min. 6 znaków, zmiana nie rzadziej niż co 30 dni) i identyfikatory (zakaz ponownego przydzielania tych samych identyfikatorów)‏ Kopie zapasowe zbiorów i programów służących do przetwarzania danych Kryptografia – urządzenia przenośne Reguły dotyczące nośników danych 74 74 74

75 REGUŁY DOTYCZĄCE - NOŚNIKÓW DANYCH
Nośniki do likwidacji – pozbawienie zapisu danych bądź ich uszkodzenie uniemożliwiające ich odczytanie przed likwidacją, Nośniki przekazywane podmiotom nieuprawnionym do przetwarzania danych – uprzednie pozbawienie zapisu danych w sposób uniemożliwiający ich odczytanie, Nośniki przeznaczone do naprawy – uprzednie pozbawienie zapisu danych w sposób uniemożliwiający ich odczytanie bądź naprawa pod nadzorem osoby upoważnionej przez administratora danych. 75 75 75

76 Środki ochrony na poziomie podstawowym
ŚRODKI BEZPIECZEŃSTWA NA POZIOMIE PODWYŻSZONYM Środki ochrony na poziomie podstawowym Hasła (min. 8 znaków, małe i wielkie litery, cyfry lub znaki specjalne)‏ 76 76 76

77 ŚRODKI BEZPIECZEŃSTWA NA POZIOMIE PODWYŻSZONYM
Urządzenia i nośniki zawierające dane osobowe szczególnie chronione przekazywane poza obszar, w którym przetwarzane są dane osobowe, zabezpiecza się w sposób zapewniający poufność i integralność tych danych Instrukcja zarządzania systemem informatycznym musi zawierać sposób stosowania środków zabezpieczenia poufności i integralności danych 77 77 77

78 ŚRODKI BEZPIECZEŃSTWA NA POZIOMIE WYSOKIM
Środki ochrony na poziomie podstawowym i podwyższonym Ochrona przed zagrożeniami pochodzącymi z sieci publicznej (wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem) Środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej 78 78 78

79 FUNKCJONALNOŚĆ ZAPEWNIAJĄCA ODNOTOWYWANIE § 7 ust
FUNKCJONALNOŚĆ ZAPEWNIAJĄCA ODNOTOWYWANIE § 7 ust rozporządzenia MSWiA (Ust. 1) Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym - z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie - system ten zapewnia odnotowanie: daty pierwszego wprowadzenia danych do systemu; identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba; źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą; informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych; 79 79 79 79 79

80 5) sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy.
FUNKCJONALNOŚĆ ZAPEWNIAJĄCA ODNOTOWYWANIE § 7 ust rozporządzenia MSWiA 5) sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy. (Ust. 2) Odnotowanie informacji, o których mowa w ust. 1 pkt 1 i 2, następuje automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych. (Ust. 3) Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w ust. 1. (Ust. 4) W przypadku przetwarzania danych osobowych, w co najmniej dwóch systemach informatycznych, wymagania, o których mowa w ust. 1 pkt 4, mogą być realizowane w jednym z nich lub w odrębnym systemie informatycznym przeznaczonym do tego celu. 80 80 80 80 80

81 Kontrola zastosowanych zabezpieczeń
Cel kontroli – ustalenie stanu faktycznego w zakresie przestrzegania przepisów o ochronie danych osobowych oraz udokumentowanie dokonanych ustaleń Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024)

82 Kontrola zastosowanych zabezpieczeń
Uprawnienia kontrolne GIODO: Wstęp do pomieszczeń (od 6.00 do 22.00)‏ Przeprowadzenie niezbędnych badań lub innych czynności kontrolnych Żądanie złożenia pisemnych lub ustnych wyjaśnień, wzywanie i przesłuchiwanie osób Wgląd do wszelkich dokumentów i danych oraz prawo do sporządzania ich kopii, Przeprowadzanie oględzin urządzeń, nośników oraz systemów informatycznych, Zlecanie sporządzania ekspertyz i opinii. 82 82 82

83 Przebieg kontroli (1) Obowiązki inspektora: Obowiązki kontrolowanego:
okazanie dokumentów uprawniających do kontroli, poinformowanie kontrolowanego o jego prawach i obowiązkach, przedstawienie zakresu przedmiotowego kontroli, wskazanie przewidywanego terminu trwania kontroli, dokonywanie czynności wyłącznie w zakresie upoważnienia udzielonego przez GIODO, wykazanie się obiektywizmem oraz zachowaniem w tajemnicy informacji uzyskanych w związku z kontrolą. Obowiązki kontrolowanego: umożliwienie inspektorowi przeprowadzenie kontroli, udostępnienie wszelkich żądanych dokumentów i nośników informacji,

84 Przebieg kontroli (2) wydanie żądanych kopii dokumentów oraz wydruków obrazów z ekranu komputerowego, czynne uczestnictwo w poszczególnych czynnościach kontrolnych (udzielanie wyjaśnień, zapewnienie terminowego udzielania informacji przez podległych pracowników i inne osoby, być do dyspozycji w czasie trwania kontroli), zapewnienie sprawnego przebiegu kontroli.

85 Dokumentowanie czynności kontrolnych (1)
Rodzaje protokołów z poszczególnych czynności: protokół przyjęcia ustnych wyjaśnień, protokół przesłuchania świadka, protokół oględzin.

86 Dokumentowanie czynności kontrolnych (2)
2. Protokół kontroli: nazwa podmiotu kontrolowanego w pełnym brzmieniu i jego adres, imię i nazwisko, stanowisko służbowe, numer legitymacji służbowej oraz numer upoważnienia inspektora, imię i nazwisko osoby reprezentującej podmiot kontrolowany oraz nazwę organu reprezentującego ten podmiot, datę rozpoczęcia i zakończenia czynności kontrolnych, z wymienieniem dni przerw w kontroli, określenie przedmiotu i zakresu kontroli, opis stanu faktycznego stwierdzonego w toku kontroli oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych, wyszczególnienie załączników stanowiących składową część protokołu, omówienie dokonanych w protokole poprawek, skreśleń i uzupełnień, parafy inspektora i osoby reprezentującej podmiot kontrolowany na każdej stronie protokołu

87 Dokumentowanie czynności kontrolnych (3)
wzmianka o doręczeniu egzemplarza protokołu osobie reprezentującej podmiot kontrolowany, wzmianka o wniesieniu lub niewniesieniu zastrzeżeń i uwag do protokołu, data i miejsce podpisania protokołu przez inspektora oraz przez osobę lub organ reprezentujący podmiot kontrolowany.

88 Uprawnienia pokontrolne
Wszczęcie postępowania administracyjnego: zawiadomienie o wszczęciu: wyszczególnienie stwierdzonych w toku kontroli uchybień, uzasadnienie prawne i faktyczne, wskazanie dowodów, informacja o przysługujących prawach, określenie terminu do realizacji uprawnień, Rodzaje decyzji: nakazujące przywrócenie stanu zgodnego z prawem (treść nakazu wynika z art.18 ustawy), umarzające postępowanie jako bezprzedmiotowe. Wniosek o wszczęcie postępowania dyscyplinarnego. Zawiadomienie o popełnieniu przestępstwa.

89 Odpowiedzialność karna za naruszenie przepisów o ochronie danych osobowych (1)
Przetwarzanie danych w zbiorze wbrew zakazowi przetwarzania bądź przy braku uprawnienia do przetwarzania (art. 49) Udostępnienie danych lub umożliwienie dostępu osobom nieupoważnionym (art. 51)‏ Naruszenie obowiązku zabezpieczenia danych (art. 52)‏ Niezgłoszenie zbioru do rejestracji (art. 53)‏ Niedopełnienie obowiązku informacyjnego (art. 54)‏ 89 89 89

90 Odpowiedzialność karna za naruszenie przepisów o ochronie danych osobowych (2)
Udaremnienie lub utrudnienie wykonania czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2 (Art. 54a) „Udaremnienie” – całkowite uniemożliwienie dokonania czynności „Utrudnienie” – stworzenie lub doprowadzenie do powstania sytuacji, gdy wykonanie czynności kontrolnej napotyka przeszkody, które w istotny sposób wpływają na przeprowadzaną czynność, ograniczając jej efektywność

91 Odpowiedzialność karna za naruszenie przepisów o ochronie danych osobowych (3)
Przykłady zachowań stanowiących udaremnienie lub utrudnienie kontroli: niewpuszczenie inspektorów na teren jednostki kontrolowanej lub do pomieszczenia, w którym zlokalizowany jest zbiór danych, bądź do pomieszczenia, w którym przetwarzane są dane poza zbiorem, nieokazanie przedmiotu mającego podlegać oględzinom (urządzeń, nośników, systemów informatycznych służących do przetwarzania danych osobowych), odmowa okazania dokumentów, nieuzasadnione opóźnienia w udostępnianiu żądanych dokumentów, odmowa złożenia zeznań osobie uprawnionej do przeprowadzenia kontroli (inspektorowi), udzielenie nieprawdziwych informacji

92 Dyskusja nad zmianami w europejskich ramach ochrony danych osobowych (1)
Komisja Europejska 4 listopada 2010 r. przyjęła kompleksową strategię dotyczącą ochrony danych osobowych w Unii Europejskiej (komunikat KOM (2010) 609/3). Zakłada ona modernizację istniejących na poziomie Unii Europejskiej (UE) ram prawnych w zakresie ochrony danych osobowych Zmiany i inne inicjatywy: Komisja Europejska (KE) w 2011 r. przedstawi projekt zmian Dyrektywy 95/46/WE o ochronie osób w związku z przetwarzaniem danych osobowych oraz o swobodnym ich przepływie, a także podejmie działania pozalegislacyjne, mające na celu skuteczniejszą ochronę danych osobowych w UE Planowane działania mają przede wszystkim odpowiedzieć na wyzwania związane z rozwojem technologii informatycznych oraz procesami legislacyjnymi

93 Dyskusja nad zmianami w europejskich ramach ochrony danych osobowych (2)
Podstawowe cele: wzmocnienie praw jednostki, wzmocnienie pozycji i zwiększenie uprawnień organów ochrony danych osobowych, przegląd przepisów dotyczących ochrony danych osobowych w obszarze współpracy policji i wymiaru sprawiedliwości w sprawach karnych, zapewnienie swobodnego przepływu danych w obrębie Unii Europejskiej, zapewnienie wysokiego poziomu ochrony w przypadku transferu danych poza UE

94 Dyskusja nad zmianami w europejskich ramach ochrony danych osobowych (3)
Komisja zbada sposoby: wzmocnienia zasady minimalizacji danych, poprawy metod faktycznego korzystania z prawa do dostępu do danych , ich poprawiania, usuwania lub blokowania ( np. poprzez wprowadzenie terminów na odpowiedź na wnioski osób fizycznych, umożliwienie korzystania z praw za pomocą środków elektronicznych lub zapewnienie, że korzystanie z praw do dostępu powinno być co do zasady bezpłatne, wyjaśnienia tzw. „prawa do bycia zapomnianym” tzn. prawa osób fizycznych do spowodowania usunięcia ich danych oraz zaprzestania ich przetwarzania, jeżeli przestały być potrzebne do zgodnych z prawem celów np. sytuacja, w której przetwarzanie odbywa się na podstawie zgody danej osoby, jeśli ta wycofała swoją zgodę lub skończył się okres przechowywania danych

95 Dyskusja nad zmianami w europejskich ramach ochrony danych osobowych (4)
uzupełnienie praw osób, których dane dotyczą przez zapewnienie „przenoszalności danych” tzn. wyraźne wskazanie praw osób fizycznych do wycofania swoich danych (np. zdjęć lub listy przyjaciół) z jednej aplikacji lub usługi , tak by można je było przenieść do innej, w zakresie, w jakim jest to technicznie możliwe, bez przeszkód ze strony administratorów danych Komisja rozważy: czy należy uznać inne kategorie danych np. dane genetyczne, za „dane szczególnie chronione”, dalszą harmonizację warunków umożliwiających przetwarzanie kategorii danych szczególnie chronionych, znaczenie zgody i zgody dorozumianej zwłaszcza w środowisku internetowym, system notyfikacji (art. 18 i 19 dyrektywy) – zharmonizowany i uproszczony system doprowadziłby do ograniczenia kosztów, obciążeń administratorów, zwłaszcza dla podmiotów działających w wielu państwach członkowskich

96 Dziękuję za uwagę


Pobierz ppt "Zasady ochrony danych osobowych"

Podobne prezentacje


Reklamy Google