Ochrona Danych Osobowych Temat: „Dlaczego należy chronić dane osobowe” Ustawa z dnia 29 sierpnia 1997r. o ochronie danych osobowych Jarosław J. Feliński © Copyright by Jarosław J. Feliński, wszelkie prawa autorskie zastrzeżone.

Ochrona Danych Osobowych Gazeta Stołeczna nr 246, wydanie z dnia 20/10/2006 …warszawskie śmietniki są prawdziwą skarbnicą wiedzy. W kontenerach poniewierają się PIT-y, dokumenty z numerami NIP-u i PESEL-u, numery kont bankowych, billingi, a nawet akty notarialne. To prawdziwa żyła złota dla "złodziei tożsamości". raport z audytu wewnętrznego, schemat rozmieszczenia ukrytych kamer i instalacji alarmowej, kopie dowodów rejestracyjnych, wnioski kredytowe; Gazeta Stołeczna wydanie z dnia 10/11/2007 „Kawałki życia na śmietniku” Legitymacje pracowników ochrony; Potwierdzenia przyjęcia pieniędzy; Scenariusz filmowy; Akredytacje dziennikarzy do Sejmu; Wyciągi korespondencji bankowej

Ochrona Danych Osobowych Białystok VII’99 – dokumenty prokuratury, Policji, UC, SG, (wysypisko miejskie) Wrocław XII’99 – TU Allianz, umowy, protokoły szkód, adresy, NIP-y, PESEL – e (śmietnik centrum) Gdańsk II’05 – CV ze zdjęciami kandydatów do pracy w pubie Warszawa IV’06 – PTE PZU , baza danych ZUS w ofercie sprzedaży „Gazecie Wyborczej” Gdańsk VIII’06 – KWP „Tajne. Egzemplarz pojedynczy” Plan dyslokacji blokad i zapór – Dziennik Bałtycki 03.08.06 Warszawa X’06 – Wiadomości „Informacja o prywatnych numerach telefonów VIP- ów RP”- 11.10.2006 POZNAŃ III’07 - KPP DANE Z ARCHIWÓW POLICJI !!!

ŹRÓDŁA PRAWA OCHRONY DANYCH OSOBOWYCH Konstytucja RP- art.47, art.51 Konwencja nr 108 Rady Europy – dotycząca ochrony osób w związku z automatycznym przetwarzaniem danych osobowych Dyrektywa PE i RE z 24.10.1995r. (95/46/EC)- w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych Ustawa o ochronie danych osobowych Kodeks pracy Rozporządzenie MSWiA

Podstawowe definicje (1/1) Prawo do ochrony Każdy (każda osoba fizyczna) ma prawo do ochrony dotyczących go danych osobowych- (art.1). Danych zawartych w : kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych, oraz systemach informatycznych – (art.2)

Podstawowe definicje (1/2) Zakres stosowania Kto ma obowiązek stosować przepisy ustawy? Organy państwowe i samorządowe; Państwowe i komunalne jednostki organizacyjne; Podmioty niepubliczne realizujące zadania publiczne; Osoby fizyczne i prawne które przetwarzają dane w związku z działalnością zarobkową, zawodową lub statutową. art. - 3

Podstawowe definicje (1/3) WYŁĄCZENIE STOSOWANIA Kto nie musi stosować ustawy? * osoby fizyczne wyłącznie w celach osobistych lub domowych * podmioty mające siedzibę w państwie trzecim przykazujące dane poprzez środki techniczne umiejscowione na terytorium RP

Podstawowe definicje (1/4) Odesłanie Jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, stosuje się przepisy tych ustaw. art.5

Podstawowe definicje (1/5)-objaśnienia art.6 i 7 Dane osobowe- wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby Numery identyfikacyjne: PESEL, NIP, paszport, dowód osobisty Cechy fizyczne: wygląd zewnętrzny, siatkówka oka, linie papilarne, Cechy fizjologiczne: grupa krwi, kod genetyczny Cechy ekonomiczne: status majątkowy, lista zaległości finansowych Cechy umysłowe, kulturowe lub społeczne: poglądy, wyznanie( pastor XY), pochodzenie lub przynależność związkowa 5) zgodzie osoby, której dane dotyczą - rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie,

Podstawowe definicje (1/5)-objaśnienia art.6 i 7 Czy sam numer karty miejskiej jest daną osobową w rozumieniu ustawy o ochronie danych osobowych? Odpowiedź: Tak, ale tylko wtedy, gdy na jego podstawie można bez nadmiernych kosztów, czasu i działań, określić tożsamość osoby, do której ta karta należy.

Podstawowe definicje (1/5.1)-objaśnienia art.6 i 7 Zbiór danych- to każdy posiadający strukturę zestaw danych o charakterze osobowym; Przetwarzanie danych- to wszelkie operacje wykonywane na danych osobowych; System informatyczny- to zespół urządzeń, programów, procedur i narzędzi zastosowanych w celu przetwarzania danych; Zabezpieczenie danych w systemie informatycznym- to wdrożenie i eksploatacja środków technicznych zapewniających ochronę danych; Usuwanie danych- to trwałe zniszczenie danych osobowych uniemożliwiające identyfikację osoby; Administrator danych- to organ, instytucja, jednostka organizacyjna, podmiot lub osoba określająca cel i środki przetwarzania danych osobowych; Odbiorca danych – rozumie się przez to każdego, komu udostępnia się dane osobowe

Podstawowe definicje (1/6) Administrator Bezpieczeństwa Informacji - wyznaczony przez AD pracownik odpowiedzialny za bezpieczeństwo danych osobowych; Lokalny Administrator Bezpieczeństwa Informacji Administrator Systemu Informatycznego Identyfikator użytkownika - ciąg znaków literowych, cyfrowych identyfikujących osobę upoważnioną do przetwarzania danych osobowych; Hasło – ciąg znaków znanych wyłącznie użytkownikowi; Uwierzytelnianie – działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu;

Podstawowe definicje (1/6) Jakie warunki musi spełnić administrator danych, aby przetwarzać dane osobowe zgodnie z ustawą o ochronie danych osobowych? Odpowiedź Administrator danych, aby przetwarzać dane osobowe zgodnie z przepisami ustawy o ochronie danych osobowych, musi spełnić przynajmniej jeden z warunków decydujący o tym, że takie działanie jest legalne. Ponadto musi dopełnić obowiązku rejestracji zbioru w GIODO i obowiązku informacyjnego, a ponadto we właściwy sposób zabezpieczać zgromadzone dane, dbać o interesy osób, których dane dotyczą i respektować ich prawa gwarantowane ustawą o ochronie danych osobowych.

Organ ochrony danych osobowych (2/1) Organem do spraw ochrony danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych- GIODO- powoływany przez Parlament. Na wniosek GIODO Marszałek Sejmu może powołać Zastępcę Generalnego Inspektora (art. 12a). Inspektorzy Biura GIODO

Organ ochrony danych osobowych (2/2) – art.12 KOMPETENCJE GIODO kontrola przetwarzanie danych, wydawanie decyzji administracyjnych- nakazów przywrócenia stanu zgodnego z prawem, rejestracja zbiorów danych i prowadzenie rejestru zbiorów danych, zawiadamianie organów ścigania o popełnieniu przestępstwa przeciwko danym osobowym, żądanie wszczęcia wobec pracownika postępowania dyscyplinarnego lub innego przewidzianego prawem w przypadku dopuszczenia do uchybień.

Organ ochrony danych osobowych (2/3) – art.14 Uprawnienia kontrolne Biura GIODO: Wstęp do pomieszczeń w których przechowywany jest zbiór danych osobowych w godz. 6.00 – 22.00; Żądanie złożenia wyjaśnień pisemnych lub ustnych w celu ustalenia stanu faktycznego; Wgląd do wszelkich dokumentów; Przeprowadzenia oględzin urządzeń, nośników etc. Zlecanie sporządzania ekspertyz i opinii.

Organ ochrony danych osobowych (2/4) – art.15 Kierownik jednostki organizacyjnej oraz kontrolowana osoba fizyczna będąca administratorem danych jest zobowiązany do umożliwienia przeprowadzenia kontroli – inspektor ma prawo wglądu do zbioru jedynie za pośrednictwem upoważnionego przedstawiciela jednostki organizacyjnej. Protokół pokontrolny podpisują: Kontrolowany administrator danych; Inspektor GIODO.

Organ ochrony danych osobowych (2/4) – art. 18 Naruszenie przepisów W przypadku naruszenia przepisów o ochronie danych osobowych GIODO z urzędu lub na wniosek, w drodze decyzji administracyjnej nakazuje: Przywrócenie stanu zgodnego z prawem; Usunięcie uchybień; Sprostowanie danych; Zastosowanie dodatkowych środków bezpieczeństwa danych; Wstrzymanie przekazywania danych; Usunięcie danych osobowych.

Organ ochrony danych osobowych (2/4a) – art. 18 Art. 16. 1. Z czynności kontrolnych inspektor sporządza protokół, którego jeden egzemplarz doręcza kontrolowanemu administratorowi danych. 1a. Protokół kontroli powinien zawierać: 1) nazwę podmiotu kontrolowanego w pełnym brzmieniu i jego adres, 2) imię i nazwisko, stanowisko służbowe, numer legitymacji służbowej oraz numer upoważnienia inspektora, 3) imię i nazwisko osoby reprezentującej podmiot kontrolowany oraz nazwę organu reprezentującego ten podmiot, 4) datę rozpoczęcia i zakończenia czynności kontrolnych z wymienieniem dni przerw w kontroli, 5) określenie przedmiotu i zakresu kontroli, 6) opis stanu faktycznego stwierdzonego w toku kontroli oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych,

Organ ochrony danych osobowych (2/4b) – art. 18 7) wyszczególnienie załączników stanowiących składową część protokołu, 8) omówienie dokonanych w protokole poprawek, skreśleń i uzupełnień, 9) parafy inspektora i osoby reprezentującej podmiot kontrolowany na każdej stronie protokołu, 10) wzmiankę o doręczeniu egzemplarza protokołu osobie reprezentującej podmiot kontrolowany, 11) wzmiankę o wniesieniu lub niewniesieniu zastrzeżeń i uwag do protokołu, 12) datę i miejsce podpisania protokołu przez inspektora oraz przez osobę lub organ reprezentujący podmiot kontrolowany. 2. Protokół podpisują inspektor i kontrolowany administrator danych, który może wnieść do protokołu umotywowane zastrzeżenia i uwagi.

Organ ochrony danych osobowych (2/5)- wzór upoważnienia Warszawa, dnia 02.02.2005r. Pieczęć podłużna GIODO Upoważnienie imienne Na podstawie art.14 ustawy z dnia 29 sierpnia 1997r. O ochronie danych osobowych(Dz.U.02.101.926, Nr 153.1271; Dz.U.04.25.219 i 33.285) Upoważniam Panią/Pana Jan KOWALSKI Nr legitymacji służbowej inspektora BOZ/GIODO/2712/01 stanowisko – Starszy Inspektor do: Wstępu w godz. 6.00-22.00, za okazaniem niniejszego imiennego upoważnienia i legitymacji służbowej, do pomieszczenia w którym jest zlokalizowany zbiór danych, oraz pomieszczenia , w którym przetwarzane są dane poza zbiorem danych i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą o ochronie danych osobowych. Żądania złożenia pisemnych i ustnych wyjaśnień Wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii. Przeprowadzenia oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych W: Urząd Miejski Ustronie ul. Klonowa 2, 44-222 USTRONIE Upoważnienie jest ważne jedynie przy równoczesnym okazaniu legitymacji służbowej. Termin ważności upoważnienia upływa z dniem- 31.10.2006 Pieczęć urzędowa ………………………………………… podpis Generalnego Inspektora Danych Osobowych

Organ ochrony danych osobowych (2/5)- wzór upoważnienia Art. 19a. 1. W celu realizacji zadań, o których mowa w art. 12 pkt 6, Generalny Inspektor może kierować do organów państwowych, organów samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i prawnych, jednostek organizacyjnych niebędących osobami prawnymi oraz innych podmiotów wystąpienia zmierzające do zapewnienia skutecznej ochrony danych osobowych. 2. Generalny Inspektor może również występować do właściwych organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych. 3. Podmiot, do którego zostało skierowane wystąpienie lub wniosek, o których mowa w ust. 1 i 2, jest obowiązany ustosunkować się do tego wystąpienia lub wniosku na piśmie w terminie 30 dni od daty jego otrzymania.

Organ ochrony danych osobowych (2/6) – wzór legitymacji

Organ ochrony danych osobowych (2/6a) Art. 13. 1. Generalny Inspektor wykonuje swoje zadania przy pomocy Biura Generalnego Inspektora Ochrony Danych Osobowych, zwanego dalej Biurem. 1a. Generalny Inspektor w przypadkach uzasadnionych charakterem i liczbą spraw z zakresu ochrony danych osobowych na danym terenie może wykonywać swoje zadania przy pomocy jednostek zamiejscowych Biura. … 3. Prezydent Rzeczypospolitej Polskiej, po zasięgnięciu opinii Generalnego Inspektora ,w drodze rozporządzenia, nadaje statut Biuru, określając jego organizację, zasady działania oraz siedziby jednostek zamiejscowych i zakres ich właściwości terytorialnej, mając na uwadze stworzenie optymalnych warunków organizacyjnych do prawidłowej realizacji zadań Biura. ???

Zasady przetwarzania danych osobowych (3/1) Przetwarzanie danych jest dopuszczalne wyłącznie, gdy: ( art. 23 ) osoba, której dotyczą wyrazi na to zgodę (słowo, gest) jest to niezbędne w realizacji przepisów prawa, zawierania umowy gdy osoba której dane dotyczą jest jej stroną, wykonywania zadań dla dobra publicznego (np. powódź, klęska) , usprawiedliwionych celów realizowanych przez administratorów danych osobowych, przetwarzanie jest niezbędne dla ochrony żywotnych interesów osoby, o wyrażenie zgody jest niemożliwe, można je przetwarzać do czasu, gdy uzyskanie zgody stanie się możliwe

Zasady przetwarzania danych osobowych (3/2) Obowiązek informowania administrator danych jest zobowiązany informować osobę, której dane zbiera o: adresie firmy, celu zbierania danych, źródle posiadania danych, prawie dostępu i poprawiania swoich danych, dobrowolności lub obowiązku podania danych. art.24 i 25Szczególna staranność Administrator Danych jest w obowiązku dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą i zapewnić: ich przetwarzanie zgodnie z prawem, w określonym celu, poprawnie merytorycznie, przechowywanie w postaci umożliwiającej identyfikację osób – art.26

Zasady przetwarzania danych osobowych (3/2)

Zasady przetwarzania danych osobowych (3/3) – art.27 ust.1 Zakaz przetwarzania danych Zabrania się przetwarzania /dane wrażliwe/: danych ujawniających - pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność partyjną i związkową jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

Zasady przetwarzania danych osobowych (3/4) – art.27 ust. 2 Zakaz przetwarzania danych Przetwarzanie danych wrażliwych jest dopuszczalne, jeżeli: Osoba, której dane dotyczą, wyrazi na to zgodę na piśmie.

Zadania Administratora Danych (3/5) – art.29 i 30  Art. 29 - z dniem 07 marca 2011 r. art. 29 niniejszej ustawy zostaje uchylony. Art. 30 – z dniem 07 marca 2011 r. art. 30 niniejszej ustawy zostaje uchylony.

Zadania Administratora Danych (3/5) – art.31  Administratorzy danych chętnie korzystają z usług zewnętrznych instytucji (agent, procesor) w zakresie przetwarzania danych osobowych. Ustawa ODO dopuszcza takie rozwiązania pod pewnymi warunkami, wymogiem jest zawarcie pisemnej umowy powierzenia, która powinna regulować następujące kwestie: zakres przetwarzania danych; cel przetwarzania danych; dodatkowe postanowienia; kwestie zastosowania środków ochrony i uprawnienia kontrolne administratora protokół wykonania umowy

Zadania Administratora Danych (3/5.1) – art.31 Powierzenie przetwarzania danych AD może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. nadzór nad przetwarzaniem danych realizowane przez podmiot zewnętrzny- przy spełnieniu wymagań bezpiecznego ich przetwarzania spoczywa na administratorze danych Podmiot, ten jest obowiązany stosować się do środków zabezpieczających zbiór danych zgodnie z art.36-39 i 39a

Zadania Administratora Bezpieczeństwa Informacji (3/5.2) nadzór nad fizycznym zabezpieczeniem pomieszczeń, zapewnienie stałej sprawności urządzeń mających wpływ na bezpieczeństwo danych, zarządzanie hasłami,kopiami awaryjnymi, nadzór nad obiegiem i przechowywaniem dokumentów zawierających dane osobowe, kontrola procesów przetwarzania danych

Kontrola przetwarzania danych (3/6) Każdemu przysługuje prawo kontroli przetwarzania danych, które jej dotyczą, Administrator udziela odpowiedzi raz na 6 miesięcy, na wniosek zainteresowanego, Termin udzielenia odpowiedzi- 30 dni art.32

Kontrola przetwarzania danych (3/6) Administrator danych odmawia osobie, której dane dotyczą, udzielenia informacji, o których mowa w art. 32 ust. 1 pkt 1-5a, jeżeli spowodowałoby to: 1) ujawnienie wiadomości zawierających informacje niejawne, 2) zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego, 3) zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa, 4) istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób. art.34

Zabezpieczanie zbiorów danych(4/1) – środki zapewniające ochronę danych Administrator Danych ma obowiązek zastosować środki techniczne i organizacyjne zapewniające ochronę danych- art.36 - 39 Administrator ma obowiązek prowadzić dokumentację ochrony danych, ewidencję osób upoważnionych do przetwarzania danych. Administrator Bezpieczeństwa Informacji sprawuje nadzór nad : likwidacją, i naprawami sprzętu przez podmioty zewnętrzne – raporty, notatki etc.

Zabezpieczanie zbiorów danych(4/2) – tajemnica przetwarzania wymóg: art.37 - do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych, wymóg: art.39 ust.2- osoby,które zostały upoważnione do przetwarzania danych są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.

Zabezpieczanie zbiorów danych(4/3) Rozporządzenie MSWiA z dnia 29 kwietnia 2004r-” w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych” – ( Dz. U. Nr 100, poz. 1024)

Rejestracja zbiorów danych osobowych(4/4) Administrator Danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, w celu legalnego przetwarzania tych danych – art.40 Na żądanie administratora danych może być wydane zaświadczenie o zarejestrowaniu zgłoszonego przez niego zbioru.- art.42 ust 3

Rejestracja zbiorów danych osobowych – (wniosek 4/5) Charakterystyka administratora danych Cel przetwarzania danych, opis kategorii osób, których dane dotyczą, oraz zakres przetwarzania danych Sposób zbierania oraz udostępniania danych Opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art.36-39 ustawy z dnia 29 sierpnia 1997r. O ochronie danych osobowych

Zwolnienie z rejestracji(4/6) Administratorzy tajemnicy państwowej, Krajowy Rejestr Karny, sądy, prokuratura Kościoły i związki wyznaniowe, Uczelnie, umowy cywilno - prawne pracowników Stowarzyszenia, fundacje (zrzeszonych członków) Listy wyborców – ordynacja wyborcza Administratorzy usług medycznych, notariatu, adwokatury, doradcy podatkowi, biura rachunkowe, hurtownie Powszechnie dostępnych- książki tel., prasa, internet, księgi wieczyste Art..43

Wykreślenie zbioru z rejestru(4/7) Wykreślenie z rejestru zbiorów danych osobowych jest dokonywane w drodze decyzji administracyjnej, jeżeli: Zaprzestano przetwarzania danych w zarejestrowanym zbiorze; Rejestracji dokonano z naruszeniem prawa – (wady wniosku i metod ochrony)

Zabezpieczanie zbiorów danych(4/8) POZIOMY BEZPIECZEŃSTWA poziom podstawowy – przyjęty w j.o. poziom podwyższony – dane wrażliwe poziom wysoki – dostęp podmiotów zewnętrznych do sieci i baz danych

Przekazywanie danych do państwa trzeciego !!! Przekazywanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe daje gwarancje ochrony danych osobowych na swoim terytorium przynajmniej takie, jakie obowiązują na terytorium RP.

ODPOWIEDZIALNOŚĆ Administrator Danych Administrator Bezpieczeństwa Informacji Administrator Systemu Informatycznego Podmiot, któremu powierzono przetwarzanie danych Osoba upoważniona do przetwarzania danych - użytkownik

ODPOWIEDZIALNOŚĆ Bezprawne przetwarzanie danych przez nieuprawnionego Udostępnianie danych osobom nieuprawnionym Naruszenie obowiązku zabezpieczenia danych Nie zgłoszenie danych do rejestru Niedopełnienie obowiązku informacyjnego Udaremnianie lub utrudnianie wykonania czynności kontrolnych – 54a - nowela

Dziękuję za uwagę Proszę o zadawanie pytań ? jaroslaw.felinski@gazeta.pl