Pobierz prezentację
Pobieranie prezentacji. Proszę czekać
OpublikowałDobrogost Stasiuk Został zmieniony 9 lat temu
1
Szkolenie dla mieszkańców Częstochowy w ramach obchodów
Europejskiego Dnia Ochrony Danych Osobowych „Twoje dane – Twoja sprawa” mgr Magdalena Celeban Częstochowa, dn. 23 stycznia 2015 r.
2
Część I ABC OCHRONY DANYCH OSOBOWYCH
Program szkolenia Część I ABC OCHRONY DANYCH OSOBOWYCH
3
Część I ABC OCHRONY DANYCH OSOBOWYCH
Akty prawne Definicja danych osobowych zwykłych i szczególnie chronionych Definicja administratora danych Definicja powierzenia przetwarzania danych osobowych Definicja przetwarzania danych osobowych Definicja zgoda Obowiązki administratora danych Przetwarzanie danych zwykłych i szczególnie chronionych Zabezpieczenie przetwarzania danych osobowych Podstawowe zasady ochrony danych osobowych Administrator bezpieczeństwa informacji Naruszanie przepisów ustawy Kontrola GIODO
4
Akty prawne Pierwszym aktem prawnym o zasięgu międzynarodowym, kompleksowo regulującym zagadnienia ochrony danych osobowych, jest Konwencja Nr 108 Rady Europy z dnia 28 stycznia 1981 r. o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych. Takim aktem na poziomie europejskim jest dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Zasady w nich wyrażone przeniosła do polskiego porządku prawnego ustawa o ochronie danych osobowych, zwana dalej ustawą. Jej uchwalenie w dniu 29 sierpnia 1997 r. było przejawem postępującej demokratyzacji życia publicznego w Polsce i troski o ochronę prywatności każdego obywatela znajdujących wyraz w art. 47 i 51 Konstytucji RP z dnia 2 kwietnia 1997 r.
5
KONSTYTUCJA RZECZYPOSPOLITEJ POLSKIEJ
Artykuł 47 Każdy ma prawo do ochrony życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym. Artykuł 51 Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby. 1.Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. 2.Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa. 3.Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. 4.Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.
6
KONWENCJA O OCHRONIE PRAW CZŁOWIEKA I PODSTAWOWYCH WOLNOŚCI
Artykuł 8 PRAWO DO POSZANOWANIA ŻYCIA PRYWATNEGO I RODZINNEGO Każdy ma prawo do poszanowania swojego życia prywatnego i rodzinnego, swojego mieszkania i swojej korespondencji. Niedopuszczalna jest ingerencja władzy publicznej w korzystanie z tego prawa, z wyjątkiem przypadków przewidzianych przez ustawę i koniecznych w demokratycznym społeczeństwie z uwagi na bezpieczeństwo państwowe, bezpieczeństwo publiczne lub dobrobyt gospodarczy kraju, ochronę porządku i zapobieganie przestępstwom, ochronę zdrowia i moralności lub ochronę praw i wolności innych osób.
7
KARTA PRAW PODSTAWOWYCH UNII EUROPEJSKIEJ (2010/C 83/02)
Artykuł 7 Poszanowanie życia prywatnego i rodzinnego Każdy ma prawo do poszanowania życia prywatnego i rodzinnego, domu i komunikowania się. Artykuł 8 Ochrona danych osobowych Każdy ma prawo do ochrony danych osobowych, które go dotyczą. Dane te muszą być przetwarzane rzetelnie w określonych celach i za zgodą osoby zainteresowanej lub na innej uzasadnionej podstawie przewidzianej ustawą. Każdy ma prawo dostępu do zebranych danych, które go dotyczą, i prawo do dokonania ich sprostowania. Przestrzeganie tych zasad podlega kontroli niezależnego organu.
8
POWSZECHNA DEKLARACJA PRAW CZŁOWIEKA
Artykuł 12 Nie wolno ingerować samowolnie w czyjekolwiek życie prywatne, rodzinne, domowe, ani w jego korespondencję, ani też uwłaczać jego honorowi lub dobremu imieniu. Każdy człowiek ma prawo do ochrony prawnej przeciwko takiej ingerencji lub uwłaczaniu.
9
Danymi osobowymi są wszelkie informacje dotyczące konkretnej osoby, za pomocą których bez większego wysiłku można tę osobę zidentyfikować, chociaż nie jest ona wyraźnie wskazana. Możliwą do zidentyfikowania jest taka osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności poprzez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
10
DEFINICJA DANYCH OSOBOWYCH
Do danych osobowych zalicza się więc nie tylko imię, nazwisko i adres osoby, ale również przypisane jej numery, dane o cechach fizjologicznych, umysłowych, ekonomicznych, kulturowych i społecznych. Danymi osobowymi nie będą zatem pojedyncze informacje o dużym stopniu ogólności, np. sama nazwa ulicy i numer domu, w którym mieszka wiele osób, rozmiar buta czy wysokość wynagrodzenia. Informacja ta będzie jednak stanowić dane osobowe wówczas, gdy zostanie zestawiona z innymi, dodatkowymi informacjami, np. imieniem i nazwiskiem czy numerem ewidencyjnym PESEL, które w konsekwencji można odnieść do konkretnej osoby.
11
Pesel Przykładem pojedynczej informacji stanowiącej dane osobowe jest numer ewidencyjny PESEL. Numer ten, zgodnie z art. 31a ust. 1 ustawy z dnia 10 kwietnia 1974r. o ewidencji ludności i dowodach osobistych, jest 11 cyfrowym, symbolem numerycznym, jednoznacznie identyfikującym osobę fizyczną, w którym sześć pierwszych cyfr oznacza datę urodzenia (rok, miesiąc, dzień), kolejne cztery – liczbę porządkową i płeć osoby, a ostatnia jest cyfrą kontrolną, służącą do komputerowej kontroli poprawności nadanego numeru ewidencyjnego. Numer ten, występując nawet bez zestawienia z innymi informacjami o osobie, stanowi dane osobowe, a ich przetwarzanie podlega wszelkim rygorom przewidzianym w ustawie.
12
Dane osobowe zwykłe i szczególnie chronione
Dane osobowe zwykłe (np. imię, nazwisko, adres zamieszkania, data urodzenia, nr PESEL, numer telefonu, itp.). Dane szczególnie chronione (wrażliwe), których zamknięty katalog został określony w art. 27 ust. 1. Są to: dane dotyczące pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub filozoficznych, przynależności wyznaniowej, partyjnej lub związkowej, stanu zdrowia, kodu genetycznego, nałogów, życia seksualnego, skazań, orzeczeń o ukaraniu i mandatach karnych, innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Co ważne, przetwarzanie danych wrażliwych wiąże się z koniecznością spełnienia dodatkowych gwarancji.
13
Administrator danych Realizacja zasad przetwarzania danych osobowych jest przede wszystkim obowiązkiem administratora danych, którym zgodnie z art. 7 pkt 4 ustawy, jest organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych. Bardzo często o tym, kto jest administratorem danych decydują przepisy szczególne.
14
Definicja powierzenia przetwarzania danych osobowych
Powierzenie przetwarzania danych osobowych określone w art. 31 ustawy ma bardzo istotne znaczenie praktyczne. Zezwala ona administratorowi danych na skorzystanie w określonym zakresie z wiedzy posiadanej przez podmiot specjalistyczny (tzw. podmiot, któremu powierzono przetwarzanie danych osobowych’ lub w skrócie ‘przetwarzającego’). Do powierzenia przetwarzania danych osobowych przez ich administratora nie jest wymagana zgoda osoby, której dane dotyczą. Ustawa wymaga natomiast, aby umowa łącząca administratora danych z przetwarzającym, była zawarta na piśmie i wyraźnie określała zakres i cel przetwarzania danych osobowych. Z faktem, że podmiot, któremu powierzono przetwarzanie danych osobowych nie staje się ich administratorem związane są określone skutki. Nie spoczywają na nim identyczne obowiązki, którymi ustawodawca obciążył administratora danych. Jest on jednak zobowiązany do podjęcia odpowiednich środków organizacyjno-technicznych.
15
Definicja przetwarzania danych osobowych
Przetwarzaniem danych osobowych jest wykonywanie na nich jakichkolwiek operacji. Przetwarzaniem jest zatem już samo przechowywanie danych osobowych, nawet jeśli podmiot faktycznie z nich nie korzysta. W pojęciu przetwarzania mieści się także ich udostępnianie, zmienianie, modyfikowanie, przekazywanie, zbieranie, utrwalanie, opracowywanie.
16
Definicja zgoda W myśl art. 7 pkt 5 ustawy przez zgodę osoby, której dane dotyczą, rozumie się oświadczenie woli, którego treścią jest zgoda składającego oświadczenie na przetwarzanie jego danych osobowych. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Z definicji tej nie wynikają szczegółowe zasady formułowania klauzul zgody, jednakże podkreśla się, że z treści klauzul zgody na przetwarzanie danych osobowych powinno w sposób nie budzący wątpliwości wynikać, w jakim celu, w jakim zakresie i przez kogo dane osobowe będą przetwarzane. Wyrażający zgodę musi mieć pełną świadomość tego, na co się godzi. W przypadku zgody na wykorzystywanie danych osobowych podlegających szczególnej ochronie – danych wrażliwych – zgoda musi być wyrażona na piśmie. Zgoda w każdym czasie może być odwołana.
17
Przetwarzanie danych szczególnie chronionych:
Wykorzystywanie danych podlegających szczególnej ochronie, co do zasady, jest zabronione z mocy art. 27 ust. 1 ustawy. Z danych tych może jednak korzystać ten administrator, który wykaże, że znajduje się w jednej z wyjątkowych sytuacji, Opisanych w art. 27 ust. 2 ustawy. Przetwarzanie takich danych jest dopuszczalne, jeśli wyrazi na to pisemną zgodę osoba, której one dotyczą (art. 27 ust. 2 pkt 1) lub zezwala na to przepis szczególny Innej ustawy, dający pełne gwarancje ochrony tych danych (art. 27 ust. 2 pkt 2). Przetwarzanie danych szczególnie chronionych dopuszcza się również, jeśli następuje ono w celu ochrony żywotnych interesów osoby, której dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, fizycznie lub prawnie nie jest w stanie wyrazić zgody, do czasu ustanowienia opiekuna prawnego albo kuratora (art. 27 ust. 2 pkt 3); gdy jest to niezbędne do wykonania statutowych zadań (...),gdy dotyczy danych, które są niezbędne do dochodzenia praw przed sądem (...), gdy jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych (art. 27 ust. 2 pkt 7);
18
Zabezpieczenie przetwarzania danych osobowych
Jednym z podstawowych obowiązków administratora danych jest zastosowanie odpowiednich zabezpieczeń, o których stanowią przepisy rozdziału 5 ustawy. Administrator jest bowiem zobowiązany zastosować środki techniczne i organizacyjne zapewniające przetwarzanym danym odpowiednią ochronę, a przede wszystkim zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zebraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz utratą, uszkodzeniem lub zniszczeniem (art. 36 ust. 1 ustawy).
19
Podstawowe zasady ochrony danych osobowych
a) legalności — dane mają być przetwarzane zgodnie z przepisami prawa, w szczególności po spełnieniu jednej z przesłanek legalności wymienionych w art. 23 ust. 1 lub art. 27 ust. 2 ustawy; b) celowości — dane powinny być zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu, jeśli jest to niezgodne z tymi celami — przetwarzanie danych w celu innym niż ten, dla którego zastały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą oraz następuje w celach badań naukowych, dydaktycznych, historycznych lub statystycznych (art. 26 ust. 2 ustawy) lub z zachowaniem przepisów dotyczących dopuszczalności przetwarzania danych (art. 23) i spełnieniem obowiązku informacyjnego, w przypadku zbierania danych nie od osoby, której dotyczą (art.25);
20
c) merytorycznej poprawności — dane powinny być merytorycznie poprawne i aktualne; d) adekwatności — dane powinny być adekwatne w stosunku do celów, w jakich są przetwarzane, tj. ich zakres nie może wykraczać poza to, co jest niezbędne do osiągnięcia tych celów, dane nie mogą być zbierane „na zapas”; e) ograniczenia czasowego — dane w postaci umożliwiającej identyfikację osób, których dotyczą, nie mogą być przetwarzane dłużej niż jest to niezbędne do osiągnięcia celu ich przetwarzania.
21
Administrator bezpieczeństwa informacji
Wyznaczenie administratora bezpieczeństwa informacji jest jednym z obowiązków administratora danych, wynikającym z art. 36 ust. 3 ustawy, służącym właściwemu zabezpieczeniu danych. Administrator bezpieczeństwa informacji nadzoruje przestrzeganie zasad ochrony danych, określonych przez administratora, stosując odpowiednie do zagrożeń i kategorii danych objętych ochroną środki techniczne i organizacyjne, które mają zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Administrator danych sam może pełnić funkcję administratora bezpieczeństwa informacji.
22
Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie nadane przez administratora danych. Ponadto – zgodnie z art. 38 – administrator danych jest zobowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. Administrator jest zobowiązany prowadzić ewidencję osób upoważnionych do ich przetwarzania, która — zgodnie z art. 39 ust. 1 uodo — powinna zawierać:imię i nazwisko osoby upoważnionej; datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych; identyfikator, jeżeli dane są przetwarzane w systemie informatycznym. Ponadto ustawa (art. 39 ust. 2) zobowiązuje osoby, które zostały upoważnione do przetwarzania danych, do zachowania w tajemnicy zarówno tych danych, jak i sposobów ich zabezpieczenia. Ważne jest, że osoba upoważniona do przetwarzania danych nie może wykorzystywać ich na swoją rzecz i w innych celach.
23
Naruszanie przepisów ustawy
Naruszenie przepisów o ochronie danych osobowych, o których mowa w rozdziale 8 ustawy,może narazić administratora danych na odpowiedzialność: administracyjnoprawną, karną, dyscyplinarną oraz cywilnoprawną. Niemniej, GIODO nie ma uprawnień do karania osób odpowiedzialnych za niezgodne z prawem przetwarzanie danych osobowych. Podmiotem właściwym w tej kwestii jest sąd. Oznacza to, że w razie stwierdzenia, iż czyjeś działanie lub zaniechanie wyczerpuje znamiona przestępstwa określonego w ustawie, GIODO kieruje do organu powołanego do ścigania przestępstw zawiadomienie o popełnieniu przestępstwa, dołączając dowody dokumentujące podejrzenie. Natomiast GIODO ma uprawnienia organu egzekucyjnego w zakresie egzekucji obowiązków o charakterze niepieniężnym. A zatem, stosownie do ustawy z dnia 17czerwca 1966 r. o postępowaniu egzekucyjnym w administracji, GIODO może nakładać grzywny w celu przymuszenia wykonania wydanej przez siebie decyzji administracyjnej.
24
Dodatkowe informacje Na stronie internetowej GIODO można znaleźć odpowiedzi na podstawowe zagadnienia dotyczące przepisów o ochronie danych osobowych pod następującymi adresami: „Porady i wskazówki” ( oraz „Odpowiedzi na pytania” (
25
Kontrola Uprawnienia kontrolne GIODO
Wstęp do pomieszczeń (od 6.00 do 22.0) Przeprowadzenie niezbędnych badań lub innych czynności kontrolnych Żądanie złożenia pisemnych lub ustnych wyjaśnień, wzywanie i przesłuchiwanie osób Wgląd do wszelkich dokumentów i danych oraz prawo do sporządzenia ich kopii Przeprowadzenie oględzin urządzeń, nośników oraz systemów informatycznych Zlecenie sporządzenia ekspertyz i opinii Rodzaje kontroli Kontrola z urzędu – z inicjatywy własnej GIODO Kontrola na wniosek – inspiracja pochodzi z zewnątrz, od innego podmiotu Kontrola kompleksowa – dotyczy wszystkich zbiorów Kontrola częściowa – dotyczy wybranych zagadnień w procesie przetwarzania danych
26
Bądź czujny. Przemyśl każdy swój ruch w sieci. Pilnuj swego
Bądź czujny! Przemyśl każdy swój ruch w sieci! Pilnuj swego ... skarbu drogiego!
27
Patroni medialni
28
Dziękuję za uwagę Magdalena Celeban tel:
Podobne prezentacje
© 2024 SlidePlayer.pl Inc.
All rights reserved.