Pobierz prezentację
Pobieranie prezentacji. Proszę czekać
OpublikowałPaulina Wanda Kania Został zmieniony 8 lat temu
1
Ochrona danych osobowych i informacji niejawnych w jednostkach organizacyjnych pomocy społecznej. Warszawa 2010
2
Ochrona danych osobowych
3
Podstawy prawne ochrony danych osobowych na gruncie Unii Europejskiej Konwencja nr 108 Rady Europy z dnia 28 stycznia 1981 r. o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych, Konwencja nr 108 Rady Europy z dnia 28 stycznia 1981 r. o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych, dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/EC) w sprawie ochrony osób w związku z przetwarzaniem danych osobowych oraz swobodnego przepływu tych danych. dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/EC) w sprawie ochrony osób w związku z przetwarzaniem danych osobowych oraz swobodnego przepływu tych danych.
4
Podstawy prawne ochrony danych osobowych na gruncie krajowym ustawa z dnia 2 kwietnia 1997 r. Konstytucja Rzeczypospolitej Polskiej, a w szczególności art. 54 ust.1 zgodnie, z którym zapewnia się każdemu wolność wyrażania swoich poglądów oraz pozyskiwania ustawa z dnia 2 kwietnia 1997 r. Konstytucja Rzeczypospolitej Polskiej, a w szczególności art. 54 ust.1 zgodnie, z którym zapewnia się każdemu wolność wyrażania swoich poglądów oraz pozyskiwania i rozpowszechniania informacji, ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, ustawa z dnia 12 marca 2004 r. o pomocy społecznej, ustawa z dnia 12 marca 2004 r. o pomocy społecznej, ustawa z dnia 7 września 2007 r. o pomocy osobom uprawnionym do alimentów. ustawa z dnia 7 września 2007 r. o pomocy osobom uprawnionym do alimentów.
5
Czyje dane są chronione przez ustawę o ochronie danych osobowych? Ustawa chroni tylko i wyłącznie dane osobowe osób fizycznych. Ustawa chroni tylko i wyłącznie dane osobowe osób fizycznych. Zgodnie z art. 2 ust. 1 ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych.
6
Do kogo ustawa o ochronie danych osobowych nie znajduje zastosowania? Ustawy nie stosuje się do: osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych; osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych; osób zmarłych; osób zmarłych; osób prawnych, jednostek organizacyjnych nieposiadających osobowości prawnej oraz podmiotów prowadzących działalność gospodarczą na podstawie przepisów ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (Dz.U. nr 173, poz. 1807, z późn. zm.) – w takim zakresie, w jakim dane te identyfikują podmiot w obrocie gospodarczym i ściśle wiążą się z prowadzoną przez niego działalnością gospodarczą, osób prawnych, jednostek organizacyjnych nieposiadających osobowości prawnej oraz podmiotów prowadzących działalność gospodarczą na podstawie przepisów ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (Dz.U. nr 173, poz. 1807, z późn. zm.) – w takim zakresie, w jakim dane te identyfikują podmiot w obrocie gospodarczym i ściśle wiążą się z prowadzoną przez niego działalnością gospodarczą, podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium RP wyłącznie do przekazywania danych; podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium RP wyłącznie do przekazywania danych; z wyjątkiem niektórych przepisów uodo, do prasowej działalności dziennikarskiej, działalności literackiej lub artystycznej, chyba, że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą. z wyjątkiem niektórych przepisów uodo, do prasowej działalności dziennikarskiej, działalności literackiej lub artystycznej, chyba, że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą.
7
Podstawowe pojęcia Administrator danych Administratorem danych jest organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych. Między innymi może to być organ państwowy, organ samorządu terytorialnego lub państwowa albo komunalna jednostka (art. 7 pkt 4 ustawy).
8
Podstawowe pojęcia Administrator danych Do uznania podmiotu za administratora danych potrzebna jest zawsze analiza konkretnych przepisów prawnych. Stąd o tym, czy ktoś jest administratorem danych, decyduje przede wszystkim rodzaj i charakter nadanych mu przez prawo kompetencji z obszaru spraw publicznych oraz wyznaczone ustawowo zadania (vide: wyrok WSA z dnia 17 listopada 2004 r., sygn. akt I SA/Wa 887/04)
9
Podstawowe pojęcia Zbiór danych (art. 7 pkt 1 ustawy) jest to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. (materiały zgromadzone w formie akt – teczki socjalne, akta osobowe oraz inne ręczne zbiory ewidencyjne) Pojęcie zbioru danych obejmuje swym zakresem zbiory zautomatyzowane (bazy danych tworzone przez profesjonalne systemy zarządzania bazami danych), jak i niezautomatyzowane (materiały zgromadzone w formie akt – teczki socjalne, akta osobowe oraz inne ręczne zbiory ewidencyjne)
10
Podstawowe pojęcia Zbiór danych Cechą odróżniającą zbiór danych od innego zestawienia danych jest istnienie cechy albo cech pozwalających na odnalezienie informacji bez potrzeby przeglądania całego zestawu. Aby określony zestaw danych zaklasyfikować jako zbiór wystarczające jest istnienie, co najmniej dwóch kryteriów (vide: wyrok NSA z 12 stycznia 2007 r., sygn. akt I OSK 218/06)
11
Podstawowe pojęcia System informatyczny (art. 7 pkt 2a ustawy) zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.
12
Podstawowe pojęcia. System informatyczny. Pojęcie systemu informatycznego na gruncie ustawy o ochronie danych osobowych pojęcie systemu informatycznego odnosi się tylko do automatycznego przetwarzania danych (vide: wyrok WSA z 17 listopada 2004 r., sygn. akt II SA/Wa 887/04).
13
Podstawowe pojęcia Dane osobowe (art. 6 ustawy) są to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
14
Podstawowe pojęcia Dane osobowe Danymi osobowymi nie są pojedyncze informacje o dużym stopniu ogólności, np. sama nazwa ulicy i numer domu, w którym mieszka wiele osób. Informacja ta będzie jednak stanowić dane osobowe wówczas, gdy zostanie zestawiona z innymi, dodatkowymi informacjami, np. imieniem i nazwiskiem czy numerem PESEL, które w konsekwencji można odnieść do konkretnej osoby.
15
Podstawowe pojęcia Dane osobowe Tożsamość – oznacza cechy, które stanowią o tym kim dana osoba jest, czym różni się od innych. Na tak rozumianą tożsamość składa się nie tylko to, kim się jest obecnie, ale także to kim się było, a nawet zamierzenia na przyszłość, wszystko to powoduje, że dana osoba różni się od innej (vide: wyrok WSA z 3 marca 2009 r., sygn. akt II S.A./Wa1495/08)
16
Podstawowe pojęcia Dane osobowe Przykłady informacji stanowiącej dane osobowe: Numer PESEL Zgodnie z art. 31a ust. 1 ustawy o ewidencji ludności i dowodach osobistych, jest 11-cyfrowym, stałym symbolem numerycznym, jednoznacznie identyfikującym osobę fizyczną, w którym sześć pierwszych cyfr oznacza datę urodzenia (rok, miesiąc, dzień), kolejne cztery – liczbę porządkową i płeć osoby, a ostatnia jest cyfrą kontrolną, służącą do komputerowej kontroli poprawności nadanego numeru ewidencyjnego. Numer ten, występując nawet bez zestawienia z innymi informacjami o osobie, stanowi dane osobowe.
17
Podstawowe pojęcia Dane osobowe Wizerunek i rysopis wizerunek i rysopis mieszczą się w definicji danych osobowych, a imiona rodziców będą obok innych danych identyfikowały nie ich, lecz stronę zawieranej umowy. Przy badaniu zdolności do spłaty zobowiązania wynikającego z umowy o udzielenie kredytu, wykaz osób pozostających na utrzymaniu kredytobiorcy będzie w istocie informacją o nim, a nie danymi osobowymi członków jego rodziny (vide: wyroku NSA z 7 listopada 2003 r., sygn. akt II SA 1432/02).
18
Podstawowe pojęcia Dane osobowe Adres poczty elektronicznej Adres poczty elektronicznej – bez dodatkowych informacji, umożliwiających ustalenie tożsamości osoby – zasadniczo nie stanowi danych osobowych. Występujący samodzielnie adres poczty elektronicznej można w wyjątkowych przypadkach uznać za dane osobowe, ale tylko wtedy, gdy elementy jego treści pozwalają, bez nadmiernych kosztów, czasu lub działań – na ustalenie na ich podstawie tożsamości danej osoby.
19
Podstawowe pojęcia Dane osobowe Numer karty miejskiej Numer karty miejskiej gdy na jego podstawie można bez nadmiernych kosztów, czasu i działań, określić tożsamość osoby, do której ta karta należy. Na karcie miejskiej zakodowany jest unikatowy numer nadawany przez system informatyczny. Pod tym numerem zapisane są informacje o jej właścicielu i historia użycia karty. Właściciel ma obowiązek uzupełnić kartę imieniem, nazwiskiem i numerem dokumentu tożsamości. Istnieją także karty imienne, które dodatkowo oprócz tych danych zawierają także zdjęcie jej posiadacza.
20
Podstawowe pojęcia Dane osobowe Dane szczególnie chronione Dane szczególnie chronione wyliczone są w art. 27 ust. 1 ustawy. Są to informacje o pochodzeniu rasowym lub etnicznym, poglądach politycznych, religijnych, filozoficznych, wyznaniu, przynależności do partii lub związku, stanie zdrowia, kodzie genetycznym, nałogach, życiu seksualnym, skazaniach, orzeczeniach o ukaraniu, mandatach i innych orzeczeniach wydanych w postępowaniu przed sądem lub urzędem. Na administratorów tych danych ustawa nakłada bardziej rygorystyczne obowiązki niż na administratorów danych „zwykłych”.
21
Podstawowe pojęcia Dane osobowe Dane „zwykłe” Nie jest to pojęcie zdefiniowane w ustawie o ochronie danych osobowych. Pojęcie to obejmuje dane osobowe, których nie zalicza się do danych wrażliwych. Innymi słowy są to wszystkie dane osobowe poza wymienionymi w art. 27 ust. 1 ustawy. Zaliczamy do nich np. imię, nazwisko, adres zamieszkania, datę urodzenia, nr PESEL, adres email.
22
Podstawowe pojęcia Przetwarzanie danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Przetwarzanie danych może przebiegać w sposób niezautomatyzowany albo zautomatyzowany, całkowicie lub częściowo.
23
Podstawowe pojęcia Usuwanie danych osobowych Przez usuwanie danych rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą. Innymi słowy usuwanie danych oznacza takie procedury, których zastosowanie pozbawi administratora danych możliwości jakiegokolwiek dalszego przetwarzania danych osobowych.
24
Podstawowe pojęcia Powierzenie (art. 31 ustawy) Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.
25
Podstawowe pojęcia Zgoda Przez pojęcie zgody osoby, której dane dotyczą - rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Przykładowa treść klauzuli zgody na przetwarzanie danych osobowych Wyrażam zgodę na przetwarzanie moich danych osobowych w zakresie obejmującym imię, nazwisko i adres zamieszkania, przez ERKO sp. z o.o. z siedzibą w Katowicach (00-132), ul. Warszawska 1, w celach przesyłania ofert marketingowych, jak również na przekazywanie ich innym podmiotom. Warszawa, dnia 13 grudnia 2010 r. Jan Wiśniewski
26
Podstawowe pojęcia Zgoda Wyrażenie zgody na przetwarzanie danych osobowych jest zbędne, gdy przetwarzanie danych jest dopuszczalne na podstawie: odrębnych przepisów prawa (np. w celu przeprowadzenia wywiadu środowiskowego przez pracownika pomocy społecznej), innych przesłanek (np. w celu realizacji umowy).
27
Podstawowe pojęcia Administrator bezpieczeństwa informacji Administrator bezpieczeństwa informacji (ABI) jest to osoba, której zadaniem jest nadzorowanie przestrzegania zasad ochrony danych. ABI wyznaczany jest przez administratora danych. ABI nadzoruje przestrzeganie zasad ochrony danych, określonych przez administratora, stosując odpowiednie do zagrożeń i kategorii danych objętych ochroną środki techniczne i organizacyjne, które mają zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Administrator danych sam może pełnić funkcję administratora bezpieczeństwa informacji.
28
Zasady przetwarzania zwykłych danych osobowych Zasady przetwarzania zwykłych danych osobowych (art. 23 ustawy) Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 1)osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, 2)jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, 3)jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, 4)jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, 5)jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
29
Zasady przetwarzania zwykłych danych osobowych W przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych, 3) źródle danych, 4) prawie dostępu do treści swoich danych oraz ich poprawiania, 5) o uprawnieniach: a) pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację, b) wniesienia sprzeciwu wobec przetwarzania jej danych w sytuacji gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych.
30
Zasady przetwarzania zwykłych danych osobowych Zwolnienia z obowiązku informacyjnego. Obowiązek informacyjny nie stosuje się, jeżeli: 1) przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą, 2) dane te są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą, a spełnienie wymagań określonych w ust. 1 wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania, 3) dane są przetwarzane przez administratora, którym jest m.in. organ państwowy, organ samorządu terytorialnego oraz państwowe i komunalne jednostki organizacyjne, na podstawie przepisów prawa, 4) osoba, której dane dotyczą, posiada informacje dotyczące administratora danych.
31
Zasady przetwarzania wrażliwych danych osobowych (art. 28 ustawy) Zabrania się przetwarzania danych wrażliwych, tj. ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.
32
Zasady przetwarzania wrażliwych danych osobowych Przetwarzanie danych wrażliwych jest jednak dopuszczalne, jeżeli: 1) osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych, 2) przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony, 3) przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora, 4) jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych, 5) przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem,
33
Zasady przetwarzania wrażliwych danych osobowych Przetwarzanie danych, o których mowa w ust. 1, jest jednak dopuszczalne, jeżeli: 6) przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie, 7) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych, 8) przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą, 9) jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone, 10) przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.
34
Zasady udostępniania danych osobowych Dane osobowe a nośniki danych osobowych Dane osobowe wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Nośnikiem danych (informacji) jest fizyczny ośrodek przeznaczony do przechowywania danych. nośniki danych nie są danymi, a jedynie je zawierają, przechowują. Nośnikiem danych (informacji) jest fizyczny ośrodek przeznaczony do przechowywania danych. nośniki danych nie są danymi, a jedynie je zawierają, przechowują. Pojęcia te nie są tożsame. Nośniki danych osobowych nie są desygnatem pojęcia dane osobowe.
35
Zasady udostępniania danych osobowych Dane osobowe a nośniki danych osobowych Z zestawienia pojęcia "dane osobowe" z pojęciem "nośniki danych" wynika, iż pojęcia te wzajemnie się wykluczają, bowiem nośniki danych nie są danymi, a jedynie je zawierają, przechowują. Ustawodawca posługuje się pojęciem „udostępnienia”, odnosząc je zawsze do danych osobowych, a nie do zawierających je dokumentów. (vide: wyrok WSA z 22 września 2006 r., sygn. akt II SA/Wa 382/06). Ustawa o ochronie danych osobowych nie zawiera przepisów obligujących administratora danych do udostępnienia dokumentów zawierających dane osobowe (vide: wyrok WSA z dnia 6 września 2005 r., sygn. akt II SA/Wa 825/05). Nie ma zatem podstaw prawnych do udostępniania na podstawie przepisów ustawy o ochronie danych osobowych akt postępowań, teczek socjalnych. Udostępnieniu podlegają jedynie zindywidualizowane dane osobowe.
36
Zasady udostępniania danych osobowych Przedstawione poniżej zasady udostępniania danych osobowych będą obowiązywały do dnia 6 marca 2011 r. Nowelizacja ustawy o ochronie danych osobowych skreśla przepisy art. 29 i 30
37
Zasady udostępniania danych osobowych Ogólne zasady udostępniania danych Udostępnianie danych osobowych jest jedną z form ich przetwarzania. Dopuszczalne jest jedynie, gdy spełniony jest jeden z warunków odnoszący się do przetwarzania zwykłych danych osobowych lub wrażliwych danych osobowych.
38
Zasady udostępniania danych osobowych Ustawodawca rozróżnia dwie kategorie podmiotów mogących ubiegać się o udostępnienie danych: 1) uprawnionych do otrzymania danych na podstawie przepisów ustawy; 2) takich, którzy nie mogą wykazać się prawną podstawą domagania się uzyskania danych. W pierwszym przypadku na administratorze, co do zasady, ciąży obowiązek udostępniania danych; udostępnienie ma charakter obligatoryjny. Generalnie przesłanka ta dotyczy podmiotów publicznych. Mogą one występować z wnioskiem o udostępnienie zarówno zwykłych danych osobowych, jak i wrażliwych. W drugim przypadku udostępnienie ma charakter fakultatywny. Uprawnienie to przysługuje podmiotom z sektora niepublicznego i odnosi się jedynie do zwykłych danych osobowych.
39
Zasady udostępniania danych osobowych Wymogi formalne ( Wymogi formalne (art. 29 ust. 3) Podmioty uprawnione do otrzymania danych na podstawie przepisów prawa mogą uzyskać te dane tylko wtedy, gdy: a) złożą w tej sprawie umotywowany pisemny wniosek, chyba że przepis innej ustawy będzie stanowił inaczej (nie jest zatem zasadniczo dozwolone udostępnianie danych w związku z prośbą lub zapytaniem złożonym przez telefon albo pocztę elektroniczną), b) we wniosku podadzą informacje umożliwiające wyszukanie w zbiorze żądanych danych osobowych oraz wskażą ich zakres i przeznaczenie, c) udostępnienie danych oparte jest na wyraźnym przepisie prawa – wymóg ten dotyczy podmiotów publicznych, d) w sposób wiarygodny uzasadnią potrzebę posiadania tych danych, a ich udostępnienie nie naruszy praw i wolności osób, których dane dotyczą warunek ten odnosi się do podmiotów niepublicznych.
40
Zasady udostępniania danych osobowych Administrator danych odmawia udostępnienia zwykłych danych osobowych ze zbioru danych podmiotom niepublicznym, jeżeli spowodowałoby to: 1) ujawnienie wiadomości stanowiących tajemnicę państwową, 2) zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego, 3) zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa, 4) istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób.
42
Obowiązki Kierownik Ośrodka Pomocy Społecznej jako Administratora Danych Osobowych w zakresie procesu przetwarzania danych osobowych w zakresie realizacji praw osób, których dane dotyczą w zakresie zabezpieczenia danych osobowych w zakresie rejestracji zbiorów danych
43
Obowiązki Administratora Danych Osobowych w zakresie procesu przetwarzania danych osobowych Dane osobowe dotyczące osób korzystających z pomocy społecznej (bądź o taką pomoc się ubiegających) i ich rodzin, należą do kategorii danych szczególnie ważnych dla ochrony prywatności każdego człowieka, dotyczą bowiem stanu zdrowia, sytuacji materialno-bytowej, nierzadko też nałogów i danych dotyczących skazań. Stąd też dla ich przetwarzania został przewidziany określony reżim i ochrona wynikająca z przepisów dwóch ustaw (Decyzja GIODO z dnia 1 kwietnia 2004r. Nr GI-DEC-DS.-54/03) Art. 100 ust. 1 ustawy o pomocy społecznej W postępowaniu w sprawie świadczeń z pomocy społecznej należy kierować się przede wszystkim dobrem osób korzystających z pomocy społecznej i ochroną ich dóbr osobistych. W szczególności nie należy podawać do wiadomości publicznej nazwisk osób korzystających z pomocy społecznej oraz rodzaju i zakresu przyznanego świadczenia. Art. 26 ust. 1 ustawy o ochronie danych osobowych Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą
44
Zasady postępowania przy przetwarzaniu danych osobowych zasada legalności – przetwarzanie danych osobowych odbywa się zgodnie z prawem zasada celowości - dane zbierane są dla oznaczonych, zgodnych z prawem celów i nie poddawane są dalszemu przetwarzaniu niezgodnemu z tymi celami zasada merytorycznej poprawności – dbałość o to aby dane były zgodne z prawdą, pełne i aktualne zasada adekwatności – dbałość o to aby zbierane były wyłącznie dane niezbędne ze względu na cel ich zbierania zasada ograniczenia czasowego - dane w postaci umożliwiającej identyfikację osób, których dotyczą, przechowuje się nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
45
Obowiązki Administratora Danych Osobowych związane realizacją praw osób, których dane dotyczą Obowiązki informacyjne Obowiązki związane z określonymi żądaniami osób, których dane dotyczą
46
Obowiązki informacyjne Administratora Danych Osobowych Art. 24 ust. 1 ustawy o ochronie danych osobowych W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych, 3) prawie dostępu do treści swoich danych oraz ich poprawiania, 4) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
47
Obowiązki informacyjne Administratora Danych Osobowych Przykładowa klauzula informacyjna Zgodnie z art. 24 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz.U. z 2002 r. nr 101, poz. 926 ze zm.) informuję, iż: 1) administratorem Pani/Pana danych osobowych jest ABC Sp. S.Az o.o. z siedzibą w Krakowie, ul Słoneczna 15, zwana dalej Spółką, w Krakowie, ul Słoneczna 15, zwana dalej Spółką, 2) Pani/Pana dane osobowe przetwarzane będą w celu marketingu produktów i usług Spółki i nie będą udostępniane innym odbiorcom, 3) posiada Pani/Pan prawo dostępu do treści swoich danych oraz ich poprawiania, 4) podanie Spółce danych osobowych jest dobrowolne.
48
Obowiązki informacyjne Administratora Danych Osobowych Art. 25 ust. 1 ustawy o ochronie danych osobowych W przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych, 3) źródle danych, 4) prawie dostępu do treści swoich danych oraz ich poprawiania, 5) o uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8 – prawo do sprzeciwu lub żądanie zaprzestania przetwarzania danych osobowych
49
Obowiązki informacyjne Administratora Danych Osobowych 1) administratorem Pani/Pana danych osobowych jest ABC Sp. S.A. z siedzibą w Krakowie, ul. Słoneczna 15, zwana dalej Spółką, 2) Pani/Pana dane osobowe przetwarzane będą w celu marketingu produktów i usług Spółki i nie będą udostępniane innym odbiorcom, 3) Spółka pozyskała Pani/Pana dane osobowe od XYZ Sp. z o.o. z siedzibą w Warszawie, ul. Polna 100, 4) posiada Pani/Pan prawo dostępu do treści swoich danych oraz ich poprawiania, 5) na podstawie art. 32 ust. 1 pkt 7 ustawy o ochronie danych osobowych przysługuje Pani/Panu prawo wniesienia pisemnego, umotywowanego żądania zaprzestania przetwarzania Pani/Pana danych ze względu na Pani/Pana szczególną sytuację, jak również – na podstawie art. 32 ust. 1 pkt 8 ustawy o ochronie danych osobowych ma Pani/Pan prawo wniesienia sprzeciwu wobec przetwarzania Pani/Pana danych w celach marketingowych lub wobec przekazywania ich innemu administratorowi danych.
50
Obowiązki informacyjne Administratora Danych Osobowych Art. 32 ust. 1 ustawy o ochronie danych osobowych Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do: 1) uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna - jej miejsca zamieszkania oraz imienia i nazwiska, 2) uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze, 3) uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych, 4) uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie tajemnicy państwowej, służbowej lub zawodowej, 5) uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane,
51
Obowiązki informacyjne Administratora Danych Osobowych Art. 33 ustawy o ochronie danych osobowych Na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie jej danych osobowych, informacji, o których mowa w art. 32 ust. 1 pkt 1-5, a w szczególności podać w formie zrozumiałej: 1) jakie dane osobowe zawiera zbiór, 2) w jaki sposób zebrano dane, 3) w jakim celu i zakresie dane są przetwarzane, 4) w jakim zakresie oraz komu dane zostały udostępnione. Na wniosek osoby, której dane dotyczą, informacji udziela się na piśmie.
52
Realizacja praw osób, których dane dotyczą Prawo do żądania: 1) uzupełnienia danych osobowych, 2) uaktualnienia danych osobowych, 3) sprostowania danych osobowych, 4) czasowego lub stałego wstrzymania przetwarzania danych osobowych, 5) usunięcia danych - jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane
53
Realizacja praw osób, których dane dotyczą W razie wykazania przez osobę, której dane osobowe dotyczą, że są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są zbędne do realizacji celu, dla którego zostały zebrane, administrator danych jest obowiązany, bez zbędnej zwłoki: - uzupełnić, uaktualnić, sprostować danych, czasowo lub na stałe wstrzymać przetwarzane kwestionowanych danych lub je usunąć ze zbioru, - uzupełnić, uaktualnić, sprostować danych, czasowo lub na stałe wstrzymać przetwarzane kwestionowanych danych lub je usunąć ze zbioru, - poinformować bez zbędnej zwłoki innych administratorów, którym udostępnił zbiór danych, o dokonanym uaktualnieniu lub sprostowaniu danych W razie niedopełnienia przez administratora danych ww. obowiązków osoba, której dane dotyczą, może się zwrócić do Generalnego Inspektora z wnioskiem o nakazanie dopełnienia tego obowiązku.
54
Realizacja praw osób, których dane dotyczą Prawo do żądania zaprzestania przetwarzania danych osobowych, gdy: - przetwarzanie następuje w związku z wykonaniem określonych prawem zadań realizowanych dla dobra publicznego, lub - przetwarzanie następuje w związku z wypełnieniem prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, Osoba, której dane dotyczą obowiązana jest złożyć pisemne, umotywowane żądanie zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację. Administrator danych osobowych: - zaprzestaje przetwarzania kwestionowanych danych osobowych, - przekazuje żądanie Generalnemu Inspektorowi, który wydaje stosowną decyzję
55
Realizacja praw osób, których dane dotyczą Prawo wniesienia sprzeciwu wobec przetwarzania jej danych, gdy: 1) przetwarzanie następuje w związku z wykonaniem określonych prawem zadań realizowanych dla dobra publicznego, lub 2) przetwarzanie następuje w związku z wypełnieniem prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych - a administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych. W razie wniesienia sprzeciwu dalsze przetwarzanie danych osobowych jest niedopuszczalne Administrator danych może jednak pozostawić w zbiorze imię lub imiona i nazwisko osoby oraz numer PESEL lub adres wyłącznie w celu uniknięcia ponownego wykorzystania danych tej osoby w celach objętych sprzeciwem.
56
Obowiązki Administratora Danych w zakresie zabezpieczenia danych osobowych Administrator ochrony danych osobowych jest zobowiązany do: a) zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem niezgodnie z ustawą oraz zmianą, utratą, uszkodzeniem lub zniszczeniem; b) zastosowania środków technicznych i organizacyjnych odpowiednich do zagrożeń oraz kategorii danych objętych ochroną; c) prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz podjęte środki organizacyjne i techniczne – na dokumentację składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym; d) wyznaczenia administratora bezpieczeństwa informacji, tj. osoby odpowiedzialnej za nadzór nad procesem przetwarzania – zaleca się, aby posiadała ona wiedzę w zakresie ochrony danych osobowych, niezbędną w celu efektywnego wypełniania tej funkcji; e) nadania upoważnień osobom mającym dostęp do danych osobowych; f) prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych
57
Zabezpieczenie danych osobowych Wymogi zabezpieczenia danych osobowych, o których mowa w art. 36-39, odnoszą się zarówno do danych przetwarzanych w sposób "tradycyjny" (manualny), jak i do przetwarzania danych w systemach informatycznych Wymogi zabezpieczenia danych osobowych, o których mowa w art. 36-39, odnoszą się zarówno do danych przetwarzanych w sposób "tradycyjny" (manualny), jak i do przetwarzania danych w systemach informatycznych Przepisy o ochronie danych osobowych nie precyzują, jakimi środkami należy się posłużyć, aby zapewnić właściwą ochronę przetwarzania danych osobowych Przepisy o ochronie danych osobowych nie precyzują, jakimi środkami należy się posłużyć, aby zapewnić właściwą ochronę przetwarzania danych osobowych Akt wykonawczy określa minimalne wymogi techniczne oraz organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych Akt wykonawczy określa minimalne wymogi techniczne oraz organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych Przyjęte sposoby zabezpieczenia danych osobowych muszą zapewniać Administratorowi danych osobowych kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. Przyjęte sposoby zabezpieczenia danych osobowych muszą zapewniać Administratorowi danych osobowych kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.
58
Zabezpieczenie danych osobowych W celu zbudowanie systemu zarządzania bezpieczeństwem Administrator Danych Osobowych powinien przeprowadzić analizę ryzyka w zakresie utraty poufności przetwarzanych danych, ich zniszczenia, utraty lub nieuprawnionej modyfikacji W celu zbudowanie systemu zarządzania bezpieczeństwem Administrator Danych Osobowych powinien przeprowadzić analizę ryzyka w zakresie utraty poufności przetwarzanych danych, ich zniszczenia, utraty lub nieuprawnionej modyfikacji Celem analizy ryzyka jest identyfikacja zasobów systemu, odpowiadających im podatności i zagrożeń, a także oszacowanie prawdopodobieństwa ich wystąpienia oraz wielkości potencjalnych strat. Celem analizy ryzyka jest identyfikacja zasobów systemu, odpowiadających im podatności i zagrożeń, a także oszacowanie prawdopodobieństwa ich wystąpienia oraz wielkości potencjalnych strat. Wszystkie potencjalne elementy ryzyka, które mogą mieć wpływ na bezpieczeństwo i poufność danych finansowych, jak również środki, które to ryzyko redukują, powinny być wzięte pod uwagę przy tworzeniu procedur przetwarzania danych osobowych Wszystkie potencjalne elementy ryzyka, które mogą mieć wpływ na bezpieczeństwo i poufność danych finansowych, jak również środki, które to ryzyko redukują, powinny być wzięte pod uwagę przy tworzeniu procedur przetwarzania danych osobowych
59
Dokumentacja zabezpieczenia danych osobowych Polityka bezpieczeństwa - zestaw praw, reguł i praktycznych doświadczeń dotyczących sposobu zarządzania, ochrony i dystrybucji danych osobowych wewnątrz określonej organizacji Polityka bezpieczeństwa - zestaw praw, reguł i praktycznych doświadczeń dotyczących sposobu zarządzania, ochrony i dystrybucji danych osobowych wewnątrz określonej organizacji Celem polityki bezpieczeństwa jest wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie zabezpieczyć dane osobowe. Celem polityki bezpieczeństwa jest wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie zabezpieczyć dane osobowe. Polityka bezpieczeństwa powinna koncentrować się na bezpieczeństwie przetwarzania danych osobowych Polityka bezpieczeństwa powinna koncentrować się na bezpieczeństwie przetwarzania danych osobowych Polityka bezpieczeństwa nie może mieć zbyt abstrakcyjnego charakteru. Zasady postępowania w niej wskazane powinny zawierać uzasadnienie wyjaśniające przyjęte standardy i wymagania. Polityka bezpieczeństwa nie może mieć zbyt abstrakcyjnego charakteru. Zasady postępowania w niej wskazane powinny zawierać uzasadnienie wyjaśniające przyjęte standardy i wymagania.
60
Dokumentacja zabezpieczenia danych osobowych Polityka bezpieczeństwa, aby zapewnić prawidłowe zarządzanie danymi osobowymi wymaga właściwej identyfikacji tych zasobów oraz określenia miejsca i sposobu ich przechowywania. W związku z tym powinna zawierać: 1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; 2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; 3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi; 4) sposób przepływu danych pomiędzy poszczególnymi systemami; 5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych. zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych.
61
Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe miejsca, w których wykonuje się operacje na nich (wpisuje, modyfikuje, kopiuje) miejsca, w których przechowuje się wszelkie nośniki informacji zawierające dane osobowe (szafy z dokumentacją papierową bądź komputerowymi nośnikami informacji z kopiami zapasowymi danych, stacje komputerowe, serwery i inne urządzenia komputerowe miejsca, gdzie składowane są uszkodzone komputerowe nośniki danych (taśmy, dyski, płyty CD, niesprawne komputery i inne urządzenia z nośnikami zawierającymi dane osobowe) inne miejsca wykorzystywane do przechowywania danych osobowych np. archiwum dokumentów źródłowych
62
Wykaz zbiorów danych osobowych Polityka bezpieczeństwa powinna identyfikować: a)zbiory danych osobowych b)systemy informatyczne używane do przetwarzania danych osobowych Wykaz powinien zawierać informacje precyzujące lokalizację miejsca (budynek, pomieszczenie, nazwa komputera lub innego urządzenia, np. macierzy dyskowej, biblioteki optycznej), w którym znajdują się zbiory danych osobowych przetwarzane na bieżąco oraz nazwy i lokalizacje programów (modułów programowych) używanych do ich przetwarzania
63
Opis struktury zbiorów danych Polityka bezpieczeństwa określa czy dane osobowe przetwarzane: - w systemach informatycznych, - na elektronicznych nośnikach danych, - w zbiorach manualnych
64
Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych Informacje zawarte w tej części polityki bezpieczeństwa powinny stanowić opis środków technicznych i organizacyjnych, jakie zostały zastosowane przez administratora danych w celu zapewnienia przetwarzanym danym odpowiedniej ochrony Ustawa o ochronie danych osobowych nie określa konkretnych procedur czy środków, jakie należy zastosować w celu zapewnienia odpowiedniej ochrony danych Ustawa oraz akty wykonawcze wskazują jedynie na warunki, jakie powinny być spełnione, a nie na sposób czy środki, przy użyciu których powinny być one osiągnięte. Wybór odpowiednich środków technicznych i organizacyjnych należy do administratora danych
65
Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych zastosowane środki techniczne i organizacyjne powinny być adekwatne do zagrożeń wynikających ze sposobu przetwarzania danych i środowiska, w jakim ten proces ma miejsce, a także do kategorii przetwarzanych danych osobowych. zastosowane środki techniczne i organizacyjne powinny zapewniać: - poufność - zapewnienie, że informacja nie jest udostępniana lub ujawniana nieautoryzowanym osobom, podmiotom lub procesom - integralność -zapewnienie, że dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany - rozliczalność - zapewnienie, że działania podmiotu mogą być przy pisane w sposób jednoznaczny tylko temu podmiotowi
66
Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych W odniesieniu do systemów informatycznych ustawa wprowadziła minimalne wymagania dotyczące zarówno ich bezpieczeństwa, jak i funkcjonalności. W odniesieniu do systemów informatycznych ustawa wprowadziła minimalne wymagania dotyczące zarówno ich bezpieczeństwa, jak i funkcjonalności. Celem tych regulacji jest zapewnienie, aby systemy informatyczne, używane do przetwarzania danych osobowych, posiadały takie funkcje i mechanizmy, które będą wspomagały administratora w wywiązywaniu się z nałożonych na niego obowiązków Celem tych regulacji jest zapewnienie, aby systemy informatyczne, używane do przetwarzania danych osobowych, posiadały takie funkcje i mechanizmy, które będą wspomagały administratora w wywiązywaniu się z nałożonych na niego obowiązków Wymagania te dzieli się na dwie grupy: Wymagania te dzieli się na dwie grupy: - mające na celu zapewnienie ścisłej kontroli nad przetwarzanymi danymi - wynikające z uprawnień osób, których dane są przetwarzane.
67
Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych W odniesieniu do systemów informatycznych ustawa i akt wykonawczy wprowadza podział wymaganych zabezpieczeń na 3 następujące poziomy: podstawowy, podwyższony i wysoki. W odniesieniu do systemów informatycznych ustawa i akt wykonawczy wprowadza podział wymaganych zabezpieczeń na 3 następujące poziomy: podstawowy, podwyższony i wysoki. Podstawę zastosowania określonego poziomu zabezpieczeń uzależniony jest od rodzaju danych przetwarzanych w zbiorze oraz od tego czy urządzenie informatyczne, za pomocą którego przetwarzana są dane osobowe, jest podłączony do sieci publicznej Podstawę zastosowania określonego poziomu zabezpieczeń uzależniony jest od rodzaju danych przetwarzanych w zbiorze oraz od tego czy urządzenie informatyczne, za pomocą którego przetwarzana są dane osobowe, jest podłączony do sieci publicznej W zależności od poziomu zmienia się stopień zaawansowania zabezpieczeń organizacyjnych i technicznych oraz zawartość instrukcji zarządzania systemem informatycznym W zależności od poziomu zmienia się stopień zaawansowania zabezpieczeń organizacyjnych i technicznych oraz zawartość instrukcji zarządzania systemem informatycznym
68
Dokumentacja zabezpieczenia danych osobowych W przypadku przetwarzania danych osobowych w systemach informatycznych Administrator Danych Osobowych zobowiązany jest do prowadzenia i wdrożenia instrukcji zarządzania systemem informatycznym Instrukcja powinna instrukcji określać: -ogólne informacje o systemie informatycznym i zbiorach danych osobowych, które są przy ich użyciu przetwarzane, -ich lokalizacji i stosowanych metodach dostępu, -zastosowane rozwiązania techniczne, -procedury eksploatacji i zasady użytkowania, jakie zastosowano w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych.
69
Dokumentacja zabezpieczenia danych osobowych Instrukcja zawiera w szczególności: 1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności, 2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem, 3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu, 4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania, 5) sposób, miejsce i okres przechowywania: a) elektronicznych nośników informacji zawierających dane osobowe, b) kopii zapasowych, o których mowa w pkt. 4, 6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego, 7) sposób realizacji wymogów dotyczących odnotowania określonych informacji dotyczących zbioru danych, 8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.
70
Administrator Bezpieczeństwa Informacji Powołanie Administratora Bezpieczeństwa Informacji jest jednym z podstawowych zadań organizacyjnych Administratora Danych Osobowych – wyjątek stanowi sytuacja, kiedy role ABI pełni ADO Powołanie Administratora Bezpieczeństwa Informacji jest jednym z podstawowych zadań organizacyjnych Administratora Danych Osobowych – wyjątek stanowi sytuacja, kiedy role ABI pełni ADO Zadaniem ABI jest nadzór nad przestrzeganiem zasad ochrony danych osobowych wdrożonych w danej instytucji stosując odpowiednie do zagrożeń i kategorii danych objętych ochroną środki techniczne i organizacyjne, które mają zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Zadaniem ABI jest nadzór nad przestrzeganiem zasad ochrony danych osobowych wdrożonych w danej instytucji stosując odpowiednie do zagrożeń i kategorii danych objętych ochroną środki techniczne i organizacyjne, które mają zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. ABI powinien dawać rękojmię prawidłowego wykonywania obowiązków w zakresie nadzoru nad przestrzeganiem zasad zabezpieczenia danych osobowych. ABI powinien dawać rękojmię prawidłowego wykonywania obowiązków w zakresie nadzoru nad przestrzeganiem zasad zabezpieczenia danych osobowych.
71
Do obowiązków Administratora Bezpieczeństwa Informacji należy w szczególności: 1) przygotowywanie wniosków zgłoszeń rejestracyjnych i aktualizacja zbiorów danych oraz prowadzenie korespondencji z Generalnym Inspektorem Ochrony Danych Osobowych; 2) aktualizacja oraz bieżący nadzór nad dokumentacją wymaganą przez ustawę oraz przepisy wykonawcze do niej, tj. między innymi nad: - dokumentacją opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych; - dokumentacją pracowniczą związaną z przetwarzaniem danych osobowych (upoważnienie do przetwarzania danych osobowych oraz ewidencja osób upoważnionych do przetwarzania danych osobowych), -oświadczeniami pracowników o zapoznaniu się z obowiązującymi procedurami; 3) nadzorowanie udostępniania danych osobowych odbiorcom danych i innym podmiotom; 4) sprawowanie nadzoru nad wdrożeniem stosownych środków organizacyjnych, technicznych i fizycznych w celu zapewnienia bezpieczeństwa danych osobowych; sprawowanie nadzoru nad funkcjonowaniem systemu zabezpieczeń wdrożonym w celu ochrony danych osobowych; 5) kontrola dostępu osób niepowołanych do systemu, w którym przetwarzane są dane osobowe; 6) nadzorowanie oraz podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczeń lub podejrzenia naruszenia;
72
7) monitorowanie dostępu użytkowników do systemów przetwarzających dane osobowe; 8) prowadzenie szkoleń z zakresu ochrony danych osobowych; 9) udzielanie odpowiedzi na bieżące pytania i wątpliwości z zakresu ochrony danych osobowych kierowane na dedykowany adres poczty elektronicznej przez pracowników administratora danych. Nie jest wymagane, aby ABI był pracownikiem administratora danych ABI zasadniczo winien posiadać odpowiednią wiedzę w dziedzinie informatyki i bezpieczeństwa systemów informatycznych, która pozwoli mu na zaznajomienie się z funkcjonowaniem systemu informatycznego służącego do przetwarzania danych osobowych u administratora danych (brak wymagań co do wykształcenia) Stanowisko ABI powinno być samodzielne, ABI powinien posiadać możliwość wydawania zaleceń wszystkim osobom upoważnionym do przetwarzania danych osobowych oraz innym osobom mającym wpływ na przetwarzanie tych danych.
73
Upoważnienia dla osób przetwarzających dane osobowe Ustawa o ochronie danych osobowych ogranicza możliwość przetwarzania danych jedynie do osób, które posiadają nadane w tym celu przez administratora danych indywidualne upoważnienie. Ustawa o ochronie danych osobowych ogranicza możliwość przetwarzania danych jedynie do osób, które posiadają nadane w tym celu przez administratora danych indywidualne upoważnienie. Upoważnienie powinno mieć charakter odrębny", a nie powinno być wywodzone tylko z treści umowy o pracę czy z zakresu obowiązków pracowniczych. Upoważnienie powinno mieć charakter odrębny", a nie powinno być wywodzone tylko z treści umowy o pracę czy z zakresu obowiązków pracowniczych. Ustawa nie reguluje kwestii kwalifikacji i innych wymagań w odniesieniu do osób zatrudnionych przy przetwarzaniu danych osobowych. Ustawa nie reguluje kwestii kwalifikacji i innych wymagań w odniesieniu do osób zatrudnionych przy przetwarzaniu danych osobowych. Ustwaw nie przesądza ani treści, ani formy upoważnienia do przetwarzania danych wydanego przez administratora danych. Ustwaw nie przesądza ani treści, ani formy upoważnienia do przetwarzania danych wydanego przez administratora danych.
74
Upoważnienie powinno mieć charakter imienny, powinno też określać dozwolony zakres przetwarzania danych Upoważnienie powinno mieć charakter imienny, powinno też określać dozwolony zakres przetwarzania danych Upoważnienie wydawane osobom, które bezpośrednio zatrudnione zostały w celu prowadzenia przetwarzania danych oraz innym osobom mogącym w takim przetwarzaniu uczestniczyć Upoważnienie wydawane osobom, które bezpośrednio zatrudnione zostały w celu prowadzenia przetwarzania danych oraz innym osobom mogącym w takim przetwarzaniu uczestniczyć Administrator Danych osobowych zobowiązany jest prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych Administrator Danych osobowych zobowiązany jest prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych W ewidencji powinny znaleźć się następujące informacje: imię i nazwisko osoby upoważnionej; data nadania i ustania oraz zakres upoważnienia do przetwarzania danych; identyfikator, jeżeli dane są przetwarzane w systemie informatycznym W ewidencji powinny znaleźć się następujące informacje: imię i nazwisko osoby upoważnionej; data nadania i ustania oraz zakres upoważnienia do przetwarzania danych; identyfikator, jeżeli dane są przetwarzane w systemie informatycznym osób, które są upoważnione do przetwarzania danych osobowych, obowiązek zachowania w tajemnicy tych danych oraz sposobów ich zabezpieczenia. O ciążącym na nich obowiązku dochowania tajemnicy osoby te powinny być powiadomione przy nadaniu upoważnienia. osób, które są upoważnione do przetwarzania danych osobowych, obowiązek zachowania w tajemnicy tych danych oraz sposobów ich zabezpieczenia. O ciążącym na nich obowiązku dochowania tajemnicy osoby te powinny być powiadomione przy nadaniu upoważnienia.
75
Rejestracja zbiorów danych osobowych Na administratorze danych spoczywa wynikający z art. 40 ustawy obowiązek zgłoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych – prowadzi on jawny rejestr zbiorów Na administratorze danych spoczywa wynikający z art. 40 ustawy obowiązek zgłoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych – prowadzi on jawny rejestr zbiorów Przedmiotem zgłoszenia i rejestracji jest zbiór danych jako taki; nie jest nim ani samo przetwarzanie danych prowadzone w oparciu o jeden czy więcej zbiorów, ani zawartość (treść) zbioru. Przedmiotem zgłoszenia i rejestracji jest zbiór danych jako taki; nie jest nim ani samo przetwarzanie danych prowadzone w oparciu o jeden czy więcej zbiorów, ani zawartość (treść) zbioru. Zgłoszenie i sama rejestracja zbioru danych osobowych posiadają w istocie jedynie informacyjny i formalny charakter. Nie są źródłem żadnych praw dla administratora ani też nie oznaczają, że przetwarzanie danych w zbiorze jest zgodne z prawem Zgłoszenie i sama rejestracja zbioru danych osobowych posiadają w istocie jedynie informacyjny i formalny charakter. Nie są źródłem żadnych praw dla administratora ani też nie oznaczają, że przetwarzanie danych w zbiorze jest zgodne z prawem Zgłoszenia zbioru danych dokonuje się przez złożenie wypełnionego formularza, którego wzór opublikowany został w rozporządzeniu wykonawczym do ustawy Zgłoszenia zbioru danych dokonuje się przez złożenie wypełnionego formularza, którego wzór opublikowany został w rozporządzeniu wykonawczym do ustawy
76
Rejestracja zbiorów danych osobowych Wymogowi rejestracji poddane są: a) zarówno zbiory nastawione na przetwarzanie danych "na zewnątrz", jak i "na potrzeby własne"; b) zarówno zbiory funkcjonujące w sektorze publicznym, jak i w sektorze prywatnym; c) zarówno zbiory, w których przetwarzanie danych służy celom komercyjnym, jak i zbiory służące innym celom oraz, co szczególnie istotne; d) zarówno zbiory zautomatyzowane, jak i "zbiory tradycyjne" (manualne, kartotekowe);
77
z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych: z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych: 1. objętych tajemnicą państwową ze względu na obronność lub bezpieczeństwo państwa, ochronę życia i zdrowia ludzi, mienia lub bezpieczeństwa i porządku publicznego, 2. które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności, 3. przetwarzanych przez Generalnego Inspektora Informacji Finansowej, 4. przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym, 5. dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego, 6. przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się, 7. dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta, 8. tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego, 9. dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności, 10. przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej, 11. powszechnie dostępnych, 12. przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego, 13. przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.
78
Generalny Inspektor Ochrony danych Osobowych (GIODO) wydaje decyzję o odmowie rejestracji zbioru danych, jeżeli: nie zostały spełnione wymogi określone w art. 41 ust. 1 ustawy, tj. zgłoszenie nie zawiera wszystkich wymaganych informacji, przetwarzanie danych naruszałoby zasady określone w art. 23 – 30 ustawy, czyli np. brak przesłanki legalności przetwarzania danych (art. 23 ustawy), niedopełnienie obowiązku informacyjnego (art. 24 i 25 ustawy), nieadekwatność przetwarzanych danych w stosunku do celu ich przetwarzania (art. 26 ust. 1 pkt 3 ustawy), przetwarzanie danych szczególnie chronionych bez podstawy prawnej (art. 27 ustawy), urządzenia i systemy informatyczne służące do przetwarzania zbioru danych zgłoszonego do rejestracji nie spełniają podstawowych warunków technicznych i organizacyjnych
79
Odmawiając rejestracji zbioru danych osobowych, GIODO nakazuje: ograniczenie przetwarzania wszystkich albo niektórych kategorii danych wyłącznie do ich przechowywania lub zastosowanie innych środków, o których mowa w art. 18 ust. 1 ustawy, tj.: - usunięcie uchybień, - uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, - zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, - wstrzymanie przekazywania danych osobowych do państwa trzeciego, - zabezpieczenie danych lub przekazanie ich innym podmiotom, - usunięcie danych osobowych
80
Organizacja ochrony danych osobowych Generalny Inspektor Ochrony Danych Osobowych – niezależny organ czuwający nad przestrzeganiem prawa obywateli do ochrony ich danych osobowych Generalny Inspektor Ochrony Danych Osobowych – niezależny organ czuwający nad przestrzeganiem prawa obywateli do ochrony ich danych osobowych GIODO: GIODO: 1) kontroluje, czy dane wykorzystywane są zgodnie z przepisami o ochronie danych osobowych, 1) kontroluje, czy dane wykorzystywane są zgodnie z przepisami o ochronie danych osobowych, 2) rozpatruje skargi i wydaje decyzje w sprawach dotyczących ochrony danych osobowych, 2) rozpatruje skargi i wydaje decyzje w sprawach dotyczących ochrony danych osobowych, 3) zapewnienia wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym wynikających z decyzji, o których mowa w pkt 2, przez stosowanie środków egzekucyjnych 3) zapewnienia wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym wynikających z decyzji, o których mowa w pkt 2, przez stosowanie środków egzekucyjnych 4) prowadzi ogólnokrajowy, jawny rejestr zbiorów danych osobowych, 4) prowadzi ogólnokrajowy, jawny rejestr zbiorów danych osobowych, 5) opiniuje projekty ustaw i rozporządzeń dotyczących ochrony danych, 5) opiniuje projekty ustaw i rozporządzeń dotyczących ochrony danych, 6) inicjuje i podejmuje przedsięwzięcia w zakresie doskonalenia ochrony danych osobowych, 6) inicjuje i podejmuje przedsięwzięcia w zakresie doskonalenia ochrony danych osobowych, 7) uczestniczy w pracach międzynarodowych organizacji i instytucji zajmujących się ochroną danych osobowych. 7) uczestniczy w pracach międzynarodowych organizacji i instytucji zajmujących się ochroną danych osobowych.
81
Kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych Kontrola może być prowadzona z urzędu lub na podstawie wniosku innego podmiotu (np. NIK) kontroli poddawane są podmioty należące do sfery publicznej i prywatne Kontrola przetwarzania danych osobowych obejmuje zarówno administratorów danych podlegających obowiązkowi zgłoszenia zbioru do rejestracji, jak też administratorów danych, którzy z mocy ustawy są z obowiązku rejestracji zwolnieni.
82
Kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych Podczas kontroli przestrzegania przepisów o ochronie danych osobowych badane są w szczególności następujące kwestie: 1) Przesłanki legalności przetwarzania danych osobowych 2) Przesłanki legalności przetwarzania danych szczególnie chronionych 3) Zakres i cel przetwarzania danych 4) Merytoryczna poprawność danych i ich adekwatność do celu przetwarzania 5) Obowiązek informacyjny 6) Zgłoszenie zbioru do rejestracji 7) Zabezpieczenie danych
83
Kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych W toku kontroli ustala się, czy: – wszystkie osoby biorące udział w procesie przetwarzania danych, tj. uczestniczące w jakichkolwiek operacjach wykonywanych na danych osobowych, takich jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, usuwanie – posiadają upoważnienie nadane przez administratora danych, – kontrolowany podmiot prowadzi ewidencję osób upoważnionych do przetwarzania danych, - osoby upoważnione do przetwarzania danych zachowują te dane oraz sposób ich zabezpieczenia w tajemnicy - administrator danych wyznaczył administratora bezpieczeństwa informacji - administrator danych zapewnił kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane, - urządzenia i systemy informatyczne spełniają wymogi bezpieczeństwa.
84
Uprawnienia pokontrolne Generalnego Inspektora Ochrony Danych Osobowych w przypadku stwierdzenia naruszenia przepisów ustawy o ochronie danych osobowych Wszczęcie postępowania administracyjnego i wydanie decyzji: - nakazujące przywrócenie stanu zgodnego z prawem, - umarzające postępowanie jako bezprzedmiotowe, jeżeli postępowanie administracyjne zostało wszczęte w wyniku stwierdzonych w toku kontroli uchybień, a w trakcie postępowania kontrolowany podmiot je usunął i przywrócił stan zgodny z prawem; skierowanie do kontrolowanej jednostki wniosku o wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom winnym dopuszczenia do uchybień; skierowanie zawiadomienie o popełnieniu przestępstwa jeżeli wyniki kontroli będą wskazywać, że działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej wyczerpuje znamiona przestępstwa określonego w ustawie.
85
Uprawnienia pokontrolne Generalnego Inspektora Ochrony Danych Osobowych w przypadku stwierdzenia naruszenia przepisów ustawy o ochronie danych osobowych Decyzja nakazująca przywrócenie stanu zgodnego z prawe może zobowiązywać jednostkę w szczególności do: usunięcie uchybień, uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, wstrzymanie przekazywania danych osobowych do państwa trzeciego, zabezpieczenie danych lub przekazanie ich innym podmiotom, usunięcie danych osobowych. Decyzje GIODO podlegają egzekucji administracyjnej
86
Odpowiedzialność karna za naruszenie przepisów o ochronie danych osobowych Wszystkie czyny zabronione pod groźbą kary określone w ustawie o ochronie danych osobowych to przestępstwa ścigane z oskarżenia publicznego Wszystkie czyny zabronione pod groźbą kary określone w ustawie o ochronie danych osobowych to przestępstwa ścigane z oskarżenia publicznego Odpowiedzialność na gruncie ustawy ponosić może: Odpowiedzialność na gruncie ustawy ponosić może: - administrator danych osobowych - administrator bezpieczeństwa informacji - pracownik zatrudniony przy przetwarzaniu danych osobowych W przypadku, gdy przepisy stanowią o odpowiedzialności administrującego, to odpowiedzialność pracownika nie będącego administratorem danych wchodzi w rachubę wówczas, gdy jego zachowanie - uznane za karalne przez ustawę - wynika z powierzonych mu czynności przetwarzania danych
87
Odpowiedzialność karna za naruszenie przepisów o ochronie danych osobowych Czyny zabronione przez ustawę o ochronie danych osobowych: Niedopuszczalne przetwarzanie danych w zbiorze lub przez osobę nieuprawnioną – umyślne naruszenie przepisu art. 23, art. 24 i art. 37 ustawy, Niedopuszczalne przetwarzanie danych w zbiorze lub przez osobę nieuprawnioną – umyślne naruszenie przepisu art. 23, art. 24 i art. 37 ustawy, Przechowywanie przez administrującego zbiorem danych lub osobę obowiązaną do ich ochrony, danych w zbiorze niezgodnie z celem jego utworzenia – umyslne naruszenie art. 26 ustawy, Przechowywanie przez administrującego zbiorem danych lub osobę obowiązaną do ich ochrony, danych w zbiorze niezgodnie z celem jego utworzenia – umyslne naruszenie art. 26 ustawy, Nieuprawnione udostępnienie danych osobom nieupoważnionym lub umożliwienie dostepu do nich takim osobom – umyślne lub nieumyślne naruszenie art. 23 ustawy, Nieuprawnione udostępnienie danych osobom nieupoważnionym lub umożliwienie dostepu do nich takim osobom – umyślne lub nieumyślne naruszenie art. 23 ustawy,
88
Odpowiedzialność karna za naruszenie przepisów o ochronie danych osobowych Czyny zabronione przez ustawę o ochronie danych osobowych: Naruszenie obowiązku zabezpieczenia danych osobowych – umyślne lub nieumyślne naruszenie przez administrującego zbiorem danych art. 36 ustawy i przepisów aktu wykonawczego, Naruszenie obowiązku zabezpieczenia danych osobowych – umyślne lub nieumyślne naruszenie przez administrującego zbiorem danych art. 36 ustawy i przepisów aktu wykonawczego, Niezgłoszenie zbioru danych do rejestracji – umyślne naruszenie Niezgłoszenie zbioru danych do rejestracji – umyślne naruszenie art. 40 ustawy, art. 40 ustawy, Niedopełnienie obowiązku informacyjnego – umyślne naruszenie Niedopełnienie obowiązku informacyjnego – umyślne naruszenie art. 24, art. 25, art. 32 i art. 33 ustawy, art. 24, art. 25, art. 32 i art. 33 ustawy, Utrudnianie lub udaremnianie inspektorowi wykonanie czynności kontrolnej. Utrudnianie lub udaremnianie inspektorowi wykonanie czynności kontrolnej.
89
Ochrona informacji niejawnych
90
Informacje niejawne Podstawy prawne: przepisy ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. Nr 182, poz. 1228)
91
Informacje niejawne. Definicja (art. 1 ust. 1 ustawy) Informacje niejawne są to informacje, których nieuprawnione ujawnienie spowodowałoby lub mogłoby spowodować szkody dla Rzeczypospolitej Polskiej albo byłoby z punktu widzenia jej interesów niekorzystne, także w trakcie ich opracowywania oraz niezależnie od formy i sposobu ich wyrażania
92
Dane osobowe a informacje niejawne Informacja jest pojęciem pojemnym i wieloznacznym. Jest to zatem termin szerszy niż dane osobowe. Ustawa o ochronie danych osobowych używa tego terminu jedynie do sfery prywatnej osób fizycznych. Zakres przedmiotowy ustawy o ochronie informacji niejawnych jest zdecydowanie szerszy, bowiem odnosi się do jakichkolwiek informacji, których nieuprawnione ujawnienie może narazić RP na szkody.
93
Zakres stosowania przepisów ustawy o ochronie informacji niejawnych w pomocy społecznej Zgodnie z rozporządzeniem Ministra Pracy i Polityki Socjalnej z dnia 18 kwietnia 2008 r. w sprawie wzoru kwestionariusza wywiadu alimentacyjnego i wzoru oświadczenia o stanie majątkowym dłużnika alimentacyjnego, przedmiotowe wzory posiadają klauzulę „zastrzeżone po wypełnieniu". Klauzula ta została nadana przez samego ustawodawcę, więc nie jest konieczne nadawanie tej klauzuli przez osoby uprawnione. Powyższą klauzulę należy rozumieć, tak jak wymagają tego przepisy ustawy o ochronie informacji niejawnych. W konsekwencji do przetwarzania tych oświadczeń znajdą zastosowanie wszelkie reguły zawarte w w/w ustawie.
94
Podstawowe pojęcia Dokument - jest każda utrwalona informacja niejawna; Materiał - jest dokument lub przedmiot albo dowolna ich część, chronione jako informacja niejawna, a zwłaszcza urządzenie, wyposażenie lub broń wyprodukowane albo będące w trakcie produkcji, a także składnik użyty do ich wytworzenia. Przetwarzanie informacji niejawnych - są wszelkie operacje wykonywane w odniesieniu do informacji niejawnych i na tych informacjach, w szczególności ich wytwarzanie, modyfikowanie, kopiowanie, klasyfikowanie, gromadzenie, przechowywanie, przekazywanie lub udostępnianie.
95
Podstawowe pojęcia System teleinformatyczny - jest system teleinformatyczny w rozumieniu art. 2 pkt 3 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. Nr 144, poz. 1204, ze zm.) Dokument szczególnych wymagań bezpieczeństwa - jest systematyczny opis sposobu zarządzania bezpieczeństwem systemu teleinformatycznego. Dokument procedur bezpiecznej eksploatacji systemu teleinformatycznego - jest opis sposobu i trybu postępowania w sprawach związanych z bezpieczeństwem informacji niejawnych przetwarzanych w systemie teleinformatycznym oraz zakres odpowiedzialności użytkowników systemu teleinformatycznego i pracowników mających do niego dostęp; Dokumentacją bezpieczeństwa systemu teleinformatycznego - jest dokument szczególnych wymagań bezpieczeństwa oraz dokument procedur bezpiecznej eksploatacji systemu teleinformatycznego, opracowane zgodnie z zasadami określonymi w ustawie; Akredytacją bezpieczeństwa teleinformatycznego - jest dopuszczenie systemu teleinformatycznego do przetwarzania informacji niejawnych;
96
Podstawowe pojęcia Ryzyko - jest kombinacja prawdopodobieństwa wystąpienia zdarzenia niepożądanego i jego konsekwencji. Szacowanie ryzyka - jest całościowy proces analizy i oceny ryzyka. Zarządzanie ryzykiem - są skoordynowane działania w zakresie zarządzania bezpieczeństwem informacji, z uwzględnieniem ryzyka. Zatrudnienie - jest również odpowiednio powołanie, mianowanie lub wyznaczenie.
97
Klasyfikowanie informacji niejawnych Informacjom niejawnym nadaje się klauzulę "ściśle tajne", jeżeli ich nieuprawnione ujawnienie spowoduje wyjątkowo poważną szkodę dla Rzeczypospolitej Polskiej przez to, że: 1) zagrozi niepodległości, suwerenności lub integralności terytorialnej Rzeczypospolitej Polskiej; 2) zagrozi bezpieczeństwu wewnętrznemu lub porządkowi konstytucyjnemu Rzeczypospolitej Polskiej; 3) zagrozi sojuszom lub pozycji międzynarodowej Rzeczypospolitej Polskiej; 4) osłabi gotowość obronną Rzeczypospolitej Polskiej; 5) doprowadzi lub może doprowadzić do identyfikacji funkcjonariuszy, żołnierzy lub pracowników służb odpowiedzialnych za realizację zadań wywiadu lub kontrwywiadu, którzy wykonują czynności operacyjno-rozpoznawcze, jeżeli zagrozi to bezpieczeństwu wykonywanych czynności lub może doprowadzić do identyfikacji osób udzielających im pomocy w tym zakresie; 6) zagrozi lub może zagrozić życiu lub zdrowiu funkcjonariuszy, żołnierzy lub pracowników, którzy wykonują czynności operacyjno-rozpoznawcze, lub osób udzielających im pomocy w tym zakresie; 7) zagrozi lub może zagrozić życiu lub zdrowiu świadków koronnych lub osób dla nich najbliższych.
98
Klasyfikowanie informacji niejawnych Informacjom niejawnym nadaje się klauzulę "tajne", jeżeli ich nieuprawnione ujawnienie spowoduje poważną szkodę dla Rzeczypospolitej Polskiej przez to, że: 1) uniemożliwi realizację zadań związanych z ochroną suwerenności lub porządku konstytucyjnego Rzeczypospolitej Polskiej; 2) pogorszy stosunki Rzeczypospolitej Polskiej z innymi państwami lub organizacjami międzynarodowymi; 3) zakłóci przygotowania obronne państwa lub funkcjonowanie Sił Zbrojnych Rzeczypospolitej Polskiej; 4) utrudni wykonywanie czynności operacyjno-rozpoznawczych prowadzonych w celu zapewnienia bezpieczeństwa państwa lub ścigania sprawców zbrodni przez służby lub instytucje do tego uprawnione; 5) w istotny sposób zakłóci funkcjonowanie organów ścigania i wymiaru sprawiedliwości; 6) przyniesie stratę znacznych rozmiarów w interesach ekonomicznych Rzeczypospolitej Polskiej.
99
Klasyfikowanie informacji niejawnych Informacjom niejawnym nadaje się klauzulę "poufne", jeżeli ich nieuprawnione ujawnienie spowoduje szkodę dla Rzeczypospolitej Polskiej przez to, że: 1) utrudni prowadzenie bieżącej polityki zagranicznej Rzeczypospolitej Polskiej; 2) utrudni realizację przedsięwzięć obronnych lub negatywnie wpłynie na zdolność bojową Sił Zbrojnych Rzeczypospolitej Polskiej; 3) zakłóci porządek publiczny lub zagrozi bezpieczeństwu obywateli; 4) utrudni wykonywanie zadań służbom lub instytucjom odpowiedzialnym za ochronę bezpieczeństwa lub podstawowych interesów Rzeczypospolitej Polskiej; 5) utrudni wykonywanie zadań służbom lub instytucjom odpowiedzialnym za ochronę porządku publicznego, bezpieczeństwa obywateli lub ściganie sprawców przestępstw i przestępstw skarbowych oraz organom wymiaru sprawiedliwości; 6) zagrozi stabilności systemu finansowego Rzeczypospolitej Polskiej; 7) wpłynie niekorzystnie na funkcjonowanie gospodarki narodowej.
100
Klasyfikowanie informacji niejawnych Informacjom niejawnym nadaje się klauzulę "zastrzeżone", jeżeli nie nadano im wyższej klauzuli tajności, a ich nieuprawnione ujawnienie może mieć szkodliwy wpływ na wykonywanie przez organy władzy publicznej lub inne jednostki organizacyjne zadań w zakresie obrony narodowej, polityki zagranicznej, bezpieczeństwa publicznego, przestrzegania praw i wolności obywateli, wymiaru sprawiedliwości albo interesów ekonomicznych Rzeczypospolitej Polskiej.
101
Udostępnianie, przetwarzanie i ochrona informacji niejawnych Informacje niejawne, którym nadano określoną klauzulę tajności: 1) mogą być udostępnione wyłącznie osobie uprawnionej, zgodnie z przepisami ustawy dotyczącymi dostępu do określonej klauzuli tajności; 2) muszą być przetwarzane w warunkach uniemożliwiających ich nieuprawnione ujawnienie, zgodnie z przepisami określającymi wymagania dotyczące kancelarii tajnych, bezpieczeństwa systemów teleinformatycznych, obiegu materiałów i środków bezpieczeństwa fizycznego, odpowiednich do nadanej klauzuli tajności; 3) muszą być chronione, odpowiednio do nadanej klauzuli tajności, z zastosowaniem środków bezpieczeństwa określonych w ustawie i przepisach wykonawczych wydanych na jej podstawie.
102
Podstawowe obowiązki kierownika jednostki art. 14 ust. 1 ustawy Kierownik jednostki organizacyjnej, w której są przetwarzane informacje niejawne, odpowiada za ich ochronę, w szczególności za zorganizowanie i zapewnienie funkcjonowania tej ochrony.
103
Podstawowe obowiązki kierownika jednostki Kierownikowi jednostki organizacyjnej bezpośrednio podlega zatrudniony przez niego pełnomocnik do spraw ochrony informacji niejawnych, zwany dalej "pełnomocnikiem ochrony", który odpowiada za zapewnienie przestrzegania przepisów o ochronie informacji niejawnych. Kierownik jednostki organizacyjnej może zatrudnić zastępcę lub zastępców pełnomocnika ochrony.
104
Pełnomocnik do spraw ochrony informacji niejawnych Pełnomocnikiem ochrony może być osoba, która posiada: 1)obywatelstwo polskie; 2)wykształcenie wyższe; 3)odpowiednie poświadczenie bezpieczeństwa wydane przez ABW albo SKW, a także przez były Urząd Ochrony Państwa lub byłe Wojskowe Służby Informacyjne; 4)zaświadczenie o przeszkoleniu w zakresie ochrony informacji niejawnych przeprowadzonym przez ABW albo SKW, a także przez byłe Wojskowe Służby Informacyjne. Wymóg dotyczący wyższego wykształcenia s Wymóg dotyczący wyższego wykształcenia stosuje się do pełnomocników ochrony i zastępców pełnomocników ochrony zatrudnionych po dniu wejścia w życie ustawy, tj. po 2 stycznia 2011 r.
105
Zadania pełnomocnika ochrony do spraw informacji niejawnych Do zadań pełnomocnika ochrony należy: 1)zapewnienie ochrony informacji niejawnych, w tym stosowanie środków bezpieczeństwa fizycznego; 2)zapewnienie ochrony systemów teleinformatycznych, w których są przetwarzane informacje niejawne; 3)zarządzanie ryzykiem bezpieczeństwa informacji niejawnych, w szczególności szacowanie ryzyka; 4)kontrola ochrony informacji niejawnych oraz przestrzegania przepisów o ochronie tych informacji, w szczególności okresowa (co najmniej raz na trzy lata) kontrola ewidencji, materiałów i obiegu dokumentów; 5)opracowywanie i aktualizowanie, wymagającego akceptacji kierownika jednostki organizacyjnej, planu ochrony informacji niejawnych w jednostce organizacyjnej, w tym w razie wprowadzenia stanu nadzwyczajnego, i nadzorowanie jego realizacji;
106
Do zadań pełnomocnika ochrony należy: 6)prowadzenie szkoleń w zakresie ochrony informacji niejawnych; 7)prowadzenie zwykłych postępowań sprawdzających oraz kontrolnych postępowań sprawdzających; 8)prowadzenie aktualnego wykazu osób zatrudnionych lub pełniących służbę w jednostce organizacyjnej albo wykonujących czynności zlecone, które posiadają uprawnienia do dostępu do informacji niejawnych, oraz osób, którym odmówiono wydania poświadczenia bezpieczeństwa lub je cofnięto, obejmującego wyłącznie: a)imię i nazwisko, b)numer PESEL, c)imię ojca, d)datę i miejsce urodzenia, e)adres miejsca zamieszkania lub pobytu, f)określenie dokumentu kończącego procedurę, datę jego wydania oraz numer.
107
Zadania pełnomocnika ochrony do spraw informacji niejawnych Pełnomocnik ochrony realizuje nałożone na niego zadania przy pomocy wyodrębnionej i podległej mu komórki organizacyjnej do spraw ochrony informacji niejawnych, zwanej dalej "pionem ochrony", jeżeli jest ona utworzona w jednostce organizacyjnej. Kierownik jednostki organizacyjnej może powierzyć pełnomocnikowi ochrony oraz pracownikom pionu ochrony wykonywanie innych zadań, jeżeli ich realizacja nie naruszy prawidłowego wykonywania zadań.
108
Szkolenie w zakresie ochrony informacji niejawnych Szkolenie w zakresie ochrony informacji niejawnych przeprowadza się w celu zapoznania z: 1) przepisami dotyczącymi ochrony informacji niejawnych oraz odpowiedzialności karnej, dyscyplinarnej i służbowej za ich naruszenie, w szczególności za nieuprawnione ujawnienie informacji niejawnych; 2) zasadami ochrony informacji niejawnych w zakresie niezbędnym do wykonywania pracy lub pełnienia służby, z uwzględnieniem zasad zarządzania ryzykiem bezpieczeństwa informacji niejawnych, w szczególności szacowania ryzyka; 3) sposobami ochrony informacji niejawnych oraz postępowania w sytuacjach zagrożenia dla takich informacji lub w przypadku ich ujawnienia. (art. 19 ust. 1 ustawy)
109
Szkolenie w zakresie ochrony informacji niejawnych Szkolenie: 1) przeprowadzają odpowiednio ABW lub SKW - dla pełnomocników ochrony i ich zastępców oraz osób przewidzianych na te stanowiska, przedsiębiorców wykonujących działalność jednoosobowo, a także dla kierowników przedsiębiorców, u których nie zatrudniono pełnomocników ochrony; 2) przeprowadzają odpowiednio ABW lub SKW, wspólnie z pełnomocnikiem ochrony - dla kierownika jednostki organizacyjnej, w której są przetwarzane informacje niejawne o klauzuli "ściśle tajne" lub "tajne"; 3) organizuje pełnomocnik ochrony - dla pozostałych osób zatrudnionych, pełniących służbę lub wykonujących czynności zlecone w jednostce organizacyjnej;
110
Szkolenie w zakresie ochrony informacji niejawnych Szkolenie w zakresie ochrony informacji niejawnych przeprowadza się nie rzadziej niż raz na 5 lat. Zgodnie z art. 19 ust. 3 ustawy można odstąpić od przeprowadzenia szkolenia, jeżeli osoba podejmująca pracę lub rozpoczynająca pełnienie służby albo wykonywanie czynności zleconych przedstawi pełnomocnikowi ochrony aktualne zaświadczenie o odbyciu szkolenia.
111
BEZPIECZEŃSTWO OSOBOWE Dopuszczenie do pracy lub pełnienia służby na stanowiskach albo zlecenie prac związanych z dostępem do informacji niejawnych o klauzuli "poufne" lub wyższej może nastąpić po: 1) uzyskaniu poświadczenia bezpieczeństwa oraz 2) odbyciu szkolenia w zakresie ochrony informacji niejawnych. Nie przeprowadza się postępowania sprawdzającego, jeżeli osoba, której ma ono dotyczyć, przedstawi poświadczenie bezpieczeństwa odpowiednie do wymaganej klauzuli tajności, z wyjątkiem poświadczeń bezpieczeństwa wydanych w wyniku przeprowadzenia postępowań sprawdzających przez AW, CBA, Biuro Ochrony Rządu, Policję, Służbę Więzienną, SWW, Straż Graniczną oraz Żandarmerię Wojskową.
112
BEZPIECZEŃSTWO OSOBOWE Dopuszczenie do pracy lub pełnienia służby na stanowiskach albo zlecenie prac, związanych z dostępem danej osoby do informacji niejawnych o klauzuli "zastrzeżone" może nastąpić po: 1)pisemnym upoważnieniu przez kierownika jednostki organizacyjnej, jeżeli nie posiada ona poświadczenia bezpieczeństwa; 2)odbyciu szkolenia w zakresie ochrony informacji niejawnych.
113
Zwykłe postępowanie sprawdzające Pełnomocnik ochrony przeprowadza zwykłe postępowanie sprawdzające na pisemne polecenie kierownika jednostki organizacyjnej (art. 23 ustawy). Zwykłe postępowanie sprawdzające obejmuje: 1) sprawdzenie, w niezbędnym zakresie, w ewidencjach, rejestrach i kartotekach, w szczególności w Krajowym Rejestrze Karnym, danych zawartych w wypełnionej i podpisanej przez osobę sprawdzaną ankiecie, a także sprawdzenie innych informacji uzyskanych w toku postępowania sprawdzającego, w zakresie niezbędnym do ustalenia, czy osoba sprawdzana daje rękojmię zachowania tajemnicy; 2) sprawdzenie w ewidencjach i kartotekach niedostępnych powszechnie danych zawartych w ankiecie oraz innych informacji uzyskanych w toku postępowania sprawdzającego, w zakresie niezbędnym do ustalenia, czy osoba sprawdzana daje rękojmię zachowania tajemnicy. Sprawdzenie w ewidencjach i kartotekach niedostępnych powszechnie jest prowadzone na pisemny wniosek pełnomocnika ochrony przez ABW albo SKW. W toku sprawdzenia ABW albo SKW ma prawo przeprowadzić rozmowę z osobą sprawdzaną w celu usunięcia nieścisłości lub sprzeczności zawartych w uzyskanych informacjach.
114
Zwykłe postępowanie sprawdzające Po zakończeniu postępowania sprawdzającego z wynikiem pozytywnym organ prowadzący postępowanie wydaje poświadczenie bezpieczeństwa i przekazuje osobie sprawdzanej, zawiadamiając o tym wnioskodawcę. Poświadczenie bezpieczeństwa powinno zawierać: 1) numer poświadczenia; 2) podstawę prawną; 3) wskazanie wnioskodawcy postępowania sprawdzającego; 4) określenie organu, który przeprowadził postępowanie sprawdzające; 5) datę i miejsce wystawienia; 6) imię, nazwisko i datę urodzenia osoby sprawdzanej; 7) określenie rodzaju przeprowadzonego postępowania sprawdzającego ze wskazaniem klauzuli tajności informacji niejawnych, do których osoba sprawdzana może mieć dostęp; 8) stwierdzenie, że osoba sprawdzana daje rękojmię zachowania tajemnicy; 9) termin ważności; 10) imienną pieczęć i podpis upoważnionego funkcjonariusza ABW albo funkcjonariusza lub żołnierza SKW, albo pełnomocnika ochrony, który przeprowadził postępowanie sprawdzające.
115
Zwykłe postępowanie sprawdzające Poświadczenie bezpieczeństwa wydaje się na okres: 1) 10 lat - w przypadku dostępu do informacji niejawnych o klauzuli "poufne"; 2) 7 lat - w przypadku dostępu do informacji niejawnych o klauzuli "tajne"; 3) 5 lat - w przypadku dostępu do informacji niejawnych o klauzuli "ściśle tajne". Poświadczenie bezpieczeństwa upoważniające do dostępu do informacji niejawnych o wyższej klauzuli tajności uprawnia do dostępu do informacji niejawnych o niższej klauzuli tajności, odpowiednio przez okresy, o których mowa wyżej. Poświadczenia bezpieczeństwa wydane na podstawie przepisów dotychczasowych zachowują ważność przez okres wskazany w tych przepisach.
116
Bezpieczeństwo teleinformatyczne Akredytacja bezpieczeństwa (art. 48 ustawy) Systemy teleinformatyczne, w których mają być przetwarzane informacje niejawne, podlegają akredytacji bezpieczeństwa teleinformatycznego. Akredytacji udziela się na czas określony, nie dłuższy niż 5 lat. ABW albo SKW udziela akredytacji bezpieczeństwa teleinformatycznego dla systemu teleinformatycznego przeznaczonego do przetwarzania informacji niejawnych o klauzuli "poufne" lub wyższej.
117
Bezpieczeństwo teleinformatyczne Kierownik jednostki organizacyjnej udziela akredytacji bezpieczeństwa teleinformatycznego dla systemu teleinformatycznego przeznaczonego do przetwarzania informacji niejawnych o klauzuli "zastrzeżone" przez zatwierdzenie dokumentacji bezpieczeństwa systemu teleinformatycznego.
118
Bezpieczeństwo teleinformatyczne W ciągu 30 dni od udzielenia akredytacji bezpieczeństwa teleinformatycznego kierownik jednostki organizacyjnej przekazuje odpowiednio ABW lub SKW dokumentację bezpieczeństwa systemu teleinformatycznego. W ciągu 30 dni od otrzymania dokumentacji bezpieczeństwa systemu teleinformatycznego ABW albo SKW może przedstawić kierownikowi jednostki organizacyjnej, który udzielił akredytacji bezpieczeństwa teleinformatycznego, zalecenia dotyczące konieczności przeprowadzenia dodatkowych czynności związanych z bezpieczeństwem informacji niejawnych. Kierownik jednostki organizacyjnej w terminie 30 dni od otrzymania zalecenia informuje odpowiednio ABW lub SKW o realizacji zaleceń. W szczególnie uzasadnionych przypadkach ABW albo SKW może nakazać wstrzymanie przetwarzania informacji niejawnych w systemie teleinformatycznym posiadającym akredytację bezpieczeństwa teleinformatycznego.
119
Bezpieczeństwo teleinformatyczne Akredytacje systemów teleinformatycznych udzielone przed dniem wejścia w życie ustawy zachowują ważność do czasu dokonania w systemie teleinformatycznym zmian, które mogą mieć istotny wpływ na bezpieczeństwo teleinformatyczne, nie dłużej jednak niż przez okres 5 lat od dnia wejścia w życie ustawy.
120
DZIĘKUJEMY ZA UWAGĘ
Podobne prezentacje
© 2024 SlidePlayer.pl Inc.
All rights reserved.