Ochrona danych osobowych Szkolenie dla SBP wrzesień 2011 Karol Górski, CISM, CRISC kgorski1024@gmail.com
Geneza Dyrektywa UE 95/46 Implementacja praw człowieka Cele wyważenie prawa do prywatności i praw (interesów) przedsiębiorców, ochrona przed nadmiernym łączeniem danych przez rządy zapewnienie konsumentom prostszej, administracyjnej drogi do ochrony ich praw niż w drodze procesów sądowych Grupa ekspertów z art. 29 Implementacja praw człowieka Konwencja rzymska z 1950 r. (Europejska Konwencja o Ochronie Praw Człowieka i Podstawowych Wolności) Art. 8 1. Każdy ma prawo do poszanowania swojego życia prywatnego i rodzinnego, swojego mieszkania i swojej korespondencji. Konstytucja RP Art. 47 Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym. Art. 51 1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby. 2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. 3. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa. 4. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. 5. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.
Podstawowe akty normatywne Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (UODO) (Dz.U. z 2002 r., nr 101, poz. 926 z późn. zm.) Ostatnia nowelizacja w 2010 r., weszła w życie w marcu 2011 r. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 22 kwietnia 2004 r. w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych zmienione rozporządzeniem MSWiA z dnia 11 maja 2011 r.
Akty normatywne cd. Przepisy szczególne (branżowe, tematyczne) lex specialis derogat legi generali - mają pierwszeństwo przed UODO (art. 5 UODO) Np. prawo telekomunikacyjne, ustawa o systemie informacji oświatowej Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną Ustawa z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych rozdział 10 dotyczy rozpowszechniania wizerunku
Generalny Inspektor Ochrony Danych Osobowych (GIODO) Organ nadzoru Powoływany przez Sejm i Senat na 4-letnią kadencję Obecnie: dr Wojciech Rafał Wiewiórowski (od 2010 r.) Zadania (art. 12 UODO) 1) kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych, 2) wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych, 3) zapewnienie wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym wynikających z decyzji, o których mowa w pkt 2, przez stosowanie środków egzekucyjnych […] 4) prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach, 5) opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych, 6) inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych, 7) uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych.
Generalny Inspektor Ochrony Danych Osobowych cd. Coroczne sprawozdania Wytyczne dla administratorów danych (seria „ABC Ochrony danych osobowych”) Infolinia (22 860 70 70) Możliwość konsultacji telefonicznych Platforma do składania wniosków o rejestrację zbiorów oraz do przeglądania rejestru zbiorów egiodo.giodo.gov.pl Strony internetowe (publikacje, decyzje, statystyki, pytania i odpowiedzi) www.giodo.gov.pl edugiodo.giodo.gov.pl
Zakres obowiązywania – podmiotowy (art. 3 i 3a) Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych. Ustawę stosuje się również do: 1) podmiotów niepublicznych realizujących zadania publiczne, 2) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych - które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej.
Zakres obowiązywania – przedmiotowy (art. 2 ust. 2) Ustawę stosuje się do przetwarzania danych osobowych: 1) w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych, 2) w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych. UODO stosuje się tylko do przetwarzania danych żyjących osób fizycznych, zarówno obywateli polskich jak i cudzoziemców
Zakres obowiązywania - wyłączenia Przetwarzanie przez osoby fizyczne wyłącznie w celach osobistych lub domowych Prasowa działalność dziennikarska oraz działalność literacka i artystyczna (obowiązują tylko przepisy dot. zabezpieczenia i kontroli) – chyba że naruszone prawa i wolności innych Podmioty z państw trzecich wykorzystujące środki techniczne na terytorium RP tylko do przekazywania danych Jeśli umowa międzynarodowa stanowi inaczej Zbiory doraźne – ALE TRZEBA ZABEZPIECZAĆ Ograniczenie kompetencji GIODO wobec Podmiotów zgłaszających kandydatów w okresie kampanii wyborczej Nakazywania usunięcia danych zebranych w toku czynności operacyjno-rozpoznawczych
UWAGA ! To, że zbiór jest zwolniony z obowiązku rejestracji NIE WYŁĄCZA obowiązku spełnienia pozostałych postanowień ustawy, w tym dotyczących zabezpieczenia danych
Podstawowe pojęcia Dane osobowe Dane wrażliwe Zbiór danych Art. 6 1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. 2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. 3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Dane wrażliwe dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. W przepisie karnym (art. 49) dane o skazaniach i orzeczeniach traktuje się tak jak dane zwykłe Zbiór danych posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie
Quiz Czy numer rejestracyjny samochodu numer IP numer telefonu adres email jest daną osobową ? Czy spis kontaktów w telefonie komórkowym to zbiór danych osobowych ? Czy wymaga rejestracji ? A zbiór wizytówek na biurku ? Czy zbieranie i przetwarzanie przez jednego z uczestników rozgrywanych rekreacyjnie meczy siatkarskich danych o innych uczestnikach, podlega ustawie ? Czy potrzebna jest rejestracja takiego zbioru ?
Podstawowe pojęcia cd. Przetwarzanie danych osobowych Wszystkie operacje na danych w tym zbieranie, usuwanie Samo przechowywanie też stanowi przetwarzanie w rozumieniu UODO Papierowo lub w systemach informatycznych (również poza zbiorem) Powierzenie przetwarzania danych osobowych Odpowiedzialność podmiotu, któremu powierzono przetwarzanie: Wobec AD za przetwarzanie niezgodnie z umową Za nieprzestrzeganie przepisów o zabezpieczeniu danych Umowa na piśmie, musi być wskazany cel i zakres przetwarzania Niszczenie dokumentacji, serwis sprzętu czy oprogramowania to też mogą być przypadki powierzenia Udostępnienie danych Szczególnym przypadkiem jest udostępnienie odbiorcy danych – trzeba je odnotować Przekazanie za granicę Może - ale nie musi - łączyć się z udostępnieniem
Podstawowe pojęcia cd. Administrator danych osobowych (AD) Decyduje o celach i środkach przetwarzania danych Administrator bezpieczeństwa informacji (ABI) Prowadzi nadzór nad przestrzeganiem przepisów o ochronie danych osobowych Odbiorca danych Każdy komu udostępnia się dane z wyjątkiem: osoby, której dane dotyczą, osoby upoważnionej do przetwarzania danych, przedstawiciela, o którym mowa w art. 31a, podmiotu, o którym mowa w art. 31, organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem Administrujący danymi osobowymi Osoba fizyczna, która w momencie wystąpienia zdarzenia określonego w przepisach karnych zawiaduje danymi Musi mieć odpowiednie kompetencje i zasoby, nie można „zepchnąć odpowiedzialności” na szeregowego pracownika nie dając mu możliwości odpowiedniego postępowania z danymi Podmiot, któremu powierzono przetwarzanie danych Dowolny ale AD musi zachować szczególną staranność również przy wyborze Uwaga na podmioty zlokalizowane w państwach trzecich (poza EOG) Należy zapewnić możliwość nadzoru AD nad przetwarzaniem danych przez ten podmiot Przedstawiciel z art. 31 Wyznaczany w przypadku podmiotów mających siedzibę w państwie trzecim (poza EOG)
Podstawowe zasady WAŻNE !!! Szczególna staranność Legalność Celowość Poprawność Adekwatność Ograniczenie czasowe
Podstawowe zasady Dochowanie szczególnej staranności przy przetwarzaniu W celu ochrony interesów osób, których dane dotyczą więcej niż należyta staranność Celowość Oznaczony cel, znany osobie której dane dotyczą Nie można użyć do przetwarzania w „niezgodnym” celu Adekwatność nie ma innej możliwości osiągnięcia legalnego celu bez przetwarzania określonych danych Poprawność Weryfikacja, aktualizacja danych, umożliwienie korygowania danych Ograniczenie czasowe Należy z góry określić kiedy dane będą usuwane Jak długo dane będą przechowywane np. po zrealizowaniu umowy Często wynika z przepisów o rachunkowości lub roszczeniach (cywilnych, pracowniczych) np. dokumentacja pracownicza – 50 lat, księgowa – 5 lat (od końca roku kalendarzowego)
Legalność – dane zwykłe (art. 23 UODO) Zgoda osoby której dane dotyczą (chyba że chodzi o usunięcie jej danych) Zrealizowanie uprawnienia lub spełnienie obowiązku wynikającego z przepisu prawa Realizacja umowy której stroną jest osoba której dane dotyczą lub podjęcie działań przed zawarciem umowy na żądanie tej osoby Wykonanie określonych prawem zadań realizowanych dla dobra publicznego Wypełnienie prawnie usprawiedliwionego celu administratora danych lub odbiorcy danych jeśli nie narusza to praw i wolności osoby której dane dotyczą Dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej Marketing bezpośredni produktów lub usług AD
Legalność – dane zwykłe cd. Zalecane jest korzystanie z innych niż zgoda podstaw przetwarzania Wymuszona zgoda może zostać zakwestionowana np. zgoda w relacjach pracodawca-pracownik (np. sprawa zaświadczeń o niekaralności) Zgoda – oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie Zgoda nie musi być na piśmie (chyba że chodzi o dane wrażliwe) ale powinno być możliwe udowodnienie, że została wyrażona - dlatego najczęściej dla celów dowodowych wymaga się zgody na piśmie Możliwe inne sposoby udokumentowania zgody np. procedury, logika programu komputerowego itp., Rozpoczęcie przetwarzania danych zwykłych w zbiorze dozwolone od momentu złożenia wniosku o rejestrację
Legalność – dane wrażliwe Generalny zakaz (art. 27) Ust. 2 zawiera wyjątki od zakazu Przetwarzanie danych wrażliwych dopuszczalne dopiero po zarejestrowaniu zbioru, jeżeli nie jest zwolniony z rejestracji
Legalność – dane wrażliwe – wyjątki od zakazu 1) osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych, 2) przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony, 3) przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora, 4) jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych, 5) przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem, 6) przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie, 7) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych, 8) przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą, 9) jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone, 10) przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.
Podstawowe obowiązki AD Zabezpieczenie danych osobowych Obowiązek informacyjny Pierwotny (przy zbieraniu danych od osoby, której dane dotyczą) i wtórny (przy zbieraniu danych z innego źródła) Obowiązki informacyjne, korekcyjne i zakazowe Obowiązek rejestracji obowiązek aktualizacji zgłoszenia (w ciągu 30 dni od zmian) zwolnienie z rejestracji nie zwalnia z pozostałych obowiązków !!!
Obowiązek informacyjny Zakres informacji Adres siedziby i pełna nazwa AD Cel zbierania danych, w szczególności znani lub przewidywani odbiorcy lub kategorie odbiorców Informacja o prawie dostępu do treści danych oraz ich poprawiania Informacja o dobrowolności albo obowiązku podania danych (jeśli obowiązek to również jego podstawa prawna) Zwolnienie z pierwotnego obowiązku informacyjnego jeśli Zezwala na to przepis innej ustawy Osoba, której dane są zbierane posiada już te informacji Przy wtórnym obowiązku dodatkowo: Informacja o zakresie danych i o ich źródle Informacja o uprawnieniach z art. 32 ust. 1 pkt 7 i 8 Zwolnienie z wtórnego obowiązku informacyjnego jeśli Osoba której dane są zbierane posiada już te informacje Dane są przetwarzane przez AD będącego organem państwowym, samorządowym, państwową lub komunalną jednostką organizacyjną lub podmiotom niepublicznym realizującym zadania publiczne Dane są używane do celów badań naukowych, statystycznych, historycznych, dydaktycznych lub badań opinii publicznej, nie naruszone są prawa i wolności osób a spełnienie obowiązku byłoby nadmiernym kosztem lub zagrażało realizacji celu badań
Obowiązki z art. 32 Żądanie informacji To co przy obowiązku informacyjnym + treść danych w powszechnie zrozumiałej formie Można odstąpić od udzielenia informacji jeśli dane są przetwarzane w celach naukowych, dydaktycznych, historycznych, statystycznych, archiwalnych i pociągałoby to za sobą niewspółmierne do celu nakłady Prawo do żądania informacji przysługuje nie częściej niż raz na 6 miesięcy Informacji można udzielić w różnej formie, pisemnie jeśli taki był wniosek Można odmówić udzielenia informacji w pewnych sytuacjach (art. 34) Żądanie uzupełnienia, uaktualnienia, sprostowania, czasowego lub stałego wstrzymania przetwarzania danych lub ich usunięcia jeśli są niekompletne, nieaktualne lub nieprawdziwe lub zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu do którego zostały zebrany Osoba musi wykazać że taka sytuacja ma miejsce AD musi bez zbędnej zwłoki dokonać poprawki lub wstrzymać przetwarzanie i poinformować o tym wszystkich AD którym udostępnił zbiór danych Żądanie zaprzestania przetwarzania danych ze względu na szczególną sytuację – w przypadku przetwarzania na podstawie art. 23 ust. 1 pkt 4 lub 5 Pisemne, umotywowane żądanie AD zaprzestaje przetwarzania, przekazuje żądanie do GIODO, który wydaje decyzję Sprzeciw wobec przetwarzania danych w przypadku art. 23 ust. 1 pkt 4 i 5 jeśli AD zamierza przetwarzać je w celach marketingowych sprzeciw lub wobec przekazywaniu innym AD Dalsze przetwarzanie niedopuszczalne AD może zostawić sobie dane które pozwolą zapobiec ponownemu wprowadzeniu do tej osoby do zbioru (np. PESEL lub imię, nazwisko i adres) Żądanie ponownego rozpatrzenia sprawy rozstrzygniętej z naruszeniem art. 26
Obowiązek rejestracji zbioru Generalny obowiązek rejestracji Przy zwykłych danych można przetwarzać od momentu złożenia wniosku, przy wrażliwych – od momentu wpisu do rejestru Zmiany muszą być zgłaszane w ciągu 30 dni od ich dokonania w zbiorze Chodzi o zmiany w strukturze zbioru, sposobie przetwarzania lub zabezpieczenia Jeśli zmiana polega na rozpoczęciu przetwarzania danych wrażliwych to można jej dokonać dopiero po zgłoszeniu GIODO
Zwolnienia z obowiązku rejestracji Obowiązek nie dotyczy zbiorów: 1) zawierających informacje niejawne, 1a) które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności, 2) przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym, 2a) przetwarzanych przez Generalnego Inspektora Informacji Finansowej, 2b) przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym; 3) dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego, 4) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się, 5) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta, 6) tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego, 7) dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności, 8) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej, 9) powszechnie dostępnych, 10) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego, 11) przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.
Zabezpieczenie Dostosowane do kategorii danych i zagrożeń Analiza ryzyka, mało kto przeprowadza ją w sposób udokumentowany Zabezpieczenie przed udostępnienie osobom nieupoważnionym, zabraniem przez osoby nieuprawnione, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem Prowadzenie dokumentacji opisującej sposób przetwarzania danych oraz zabezpieczenia Kontrola nad tym jakie dane, kiedy i przez kogo są do zbioru wprowadzane oraz komu są udostępniane Upoważnienia do przetwarzania danych osobowych Osoby upoważnione mają z mocy ustawy obowiązek zachowania w tajemnicy danych osobowych i sposobów ich zabezpieczenia (bezterminowo) Ewidencja upoważnień Wyznaczenie ABI Należy unikać konfliktów interesów – ABI nie powinien być istotnie zaangażowany w przetwarzanie danych, nad którym prowadzi nadzór Wdrożenie środków z załącznika do rozporządzenia do UODO Oraz dodatkowych, jeśli tak wynika z analizy ryzyka
Przepisy karne Nieuprawnione przetwarzanie (bez podstaw prawnych, bez upoważnienia) Art. 49 1. Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.
Przepisy karne Bezprawne udostępnienie Art. 51 1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Przepisy karne Brak zabezpieczenia, brak rejestracji Art. 52 Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art. 53 Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Przepisy karne Brak informacji, utrudnianie kontroli Art. 54 Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art. 54a Kto inspektorowi udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
Inne formy odpowiedzialności Porządkowa Dyscyplinarna Nakazy administracyjne GIODO Cywilnoprawna (ochrona dóbr osobistych)
Dane o skazaniach
Rozporządzenie Dokumentacja Wymagania funkcjonalne na aplikacje Polityka Instrukcja zarządzania systemem informatycznym Wymagania funkcjonalne na aplikacje Poziom zabezpieczeń Wymagania na zabezpieczenia w podziale na poziomy (załącznik) Hasła Kopie zapasowe Zapory sieciowe Programy antywirusowe Szyfrowanie
Quiz Czy numer rejestracyjny numer IP numer telefonu adres email jest daną osobową ? Jakie są obowiązki AD zbierających i przetwarzających takie dane ? Czy spis kontaktów w telefonie komórkowym to zbiór danych osobowych ? Czy wymaga rejestracji ? A zbiór wizytówek na biurku ? Jakie są obowiązki AD zbierających i przetwarzających takie dane ? Czy zbieranie i przetwarzanie przez jednego z uczestników rozgrywanych rekreacyjnie meczy siatkarskich danych o innych uczestnikach, podlega ustawie ? Czy potrzebna jest rejestracja takiego zbioru ? Jakie obowiązki wynikające z UODO musi spełnić ten człowiek ?
Postępowanie Ustalenie czy stosuje się UODO Ustalenie o jakie dane chodzi Ustalenie jakie przepisy branżowe dotyczą tych danych Ustalenie kto jest administratorem danych Ustalenie jaka jest podstawa prawna przetwarzania Ustalenie czy zakres jest adekwatny Ustalenie czy jest obowiązek rejestracji Ustalenie zabezpieczeń Wdrożenie zabezpieczeń Rejestracja zbiorów Nadzór i doskonalenie
Organizacja przetwarzania danych osobowych w SBP Stowarzyszenia podlegają pod ustawę SBP przetwarza różne kategorie danych osobowych, w tej chwili rozmawiamy tylko o danych członków SBP Nie ma przepisów szczególnych (ustawa o stowarzyszeniach nie porusza tego tematu) SBP jest administratorem zbioru członków stowarzyszenia Podstawa prawna – w części realizacja obowiązku (rachunkowość), w części – zgoda Uzasadnienie (cel) dla zbieranych danych Zwolnienie z rejestracji (art. 43 ust. 2 pkt 4) Zabezpieczenia – o tym dalej
Zadania dla okręgów, oddziałów i kół Związane z wydawaniem upoważnień i danych dostępowych do systemu Jeżeli potrzebne jest dopuszczenie nowej osoby do pracy przy deklaracjach członkowskich i przy systemie bazodanowym to należy najpierw wystąpić do centrali (np. do ABI) o wydanie nowego upoważnienia oraz nowego konta w systemie W przeciwnym razie nieupoważniona osoba naraża się na sankcje z art. 49 a ta które udostępnia jej dane (np. konto w systemie) – na sankcje z art. 51 Związane z obowiązkiem informacyjnym Potwierdzenie, że w procesie zbierania danych od kandydatów jest realizowany obowiązek informacyjny (przy zatwierdzaniu danych w okręgu) Czy zdarzają się przypadku zbierania danych nie od osoby której dane dotyczą Związane z obowiązkami z art. 32 Formalne wnioski o informacje oraz żądania korekty lub zaprzestania przetwarzania lub sprzeciwu najlepiej konsultować lub przekazywać ABI Prostsze przypadki udzielania informacji można delegować w dół (do kół lub oddziałów) Należy pamiętać żeby udzielać informacji właściwej osobie (wylegitymować przed przekazaniem informacji lub wysłać informacje na ostatni podany adres) Korekty muszą być uzasadnione – osoba musi wykazać potrzebę korekty
Zalecenia Komputery prywatne: Komputery służbowe: Zawsze: Oprogramowanie antywirusowe Odrębne konto (nie administracyjne) Komputery służbowe: Odrębne konto jeśli możliwe Zapora sieciowa Nie korzystać z zapamiętywania haseł Utworzyć odrębne konto, korzystać tylko w celu łączenia się z systemem SBP, nie otwierać w innych zakładkach innych stron Zawsze: Sprawdzanie adresu i certyfikatu Bezpieczne przechowywanie hasła Jeśli wifi to zabezpieczone – WPA/WPA2 Szyfrowanie poczty elektronicznej – 7zip, winrar, hasło smsem Komputery przenośne szyfrowane dyski lub partycje (np. Truecrypt, BitLocker, EFS)
Zalecenia Wnioski w zamykanych szafkach Przesyłanie pocztą klucze bezpiecznie schowane Rozważyć czy nie można archiwum deklaracji członkowskich zlokalizować z centrali Przesyłanie pocztą Wystarczy zwykła przesyłka, choć lepiej ustalić wyższy poziom i korzystać z poleconych
Dziękuję za uwagę kgorski1024@gmail.com