Cognity Szkolenia- Ochrona Danych Osobowych

50 %
50 %
Information about Cognity Szkolenia- Ochrona Danych Osobowych
Education

Published on February 17, 2014

Author: COGNITY

Source: slideshare.net

Description

Cognity Szkolenia i Konsultacje
Ochrona Danych Osobowych

Ochrona danych osobowych w Administracji Publicznej

Szanowni Państwo, Zainteresowanych zagadnieniami związanymi z szeroko pojętą ochroną danych osobowych, zachęcamy do zapoznania się z materiałami ze szkolenia „Ochrona Danych Osobowych w Administracji Publicznej”. Autorem prezentacji jest Trener Cognity – Jarosław Żabówka. Przedstawione w niej zagadnienia zostały obszernie omówione w trakcie szkolenia, które odbyło się w Krakowie w dniach 17-18 grudnia 2013. Program tego i innych szkoleń Cognity znajdą Państwo na stronie www.cognity.pl. 2

Plan szkolenia • Geneza i podstawy prawne ochrony danych osobowych • Podstawowe pojęcia • Zasady przetwarzania danych osobowych • Obowiązki administratora danych osobowych • Prawa osób, których dane dotyczą • Jak zorganizować ochronę danych w urzędzie 3

Wolny wybór czy obowiązek? • Czy organizacja ma obowiązek dbać o swoje bezpieczeństwo? • „A dlaczego ja mam dbać o te dane, tylko dlatego, że tak sobie ustawodawca wymyślił…” 4

KONSTYTUCJA RZECZYPOSPOLITEJ POLSKIEJ •art. 47, 51 - Prawo do prywatności •art. 54 - Prawo do aktywnego dostępu do informacji 5

art. 47, 51 1. 1. 2. 3. 4. 5. Art. 47. Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym. Art. 51. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa. 6

Geneza •Europejska Konwencja Praw Człowieka 1950 •ustawa o ochronie danych osobowych w Hesji w 1970r, w kolejnych latach ustawy w poszczególnych krajach UE, 1973, 1974 – Rezolucje (rekomendacje) Rady Europy Rekomendacja Organizacji Współpracy Gospodarczej i Rozwoju (OECD) z dnia 23 września 1980 r. w sprawie wytycznych dotyczących 1970-1980 ochrony prywatności i przekazywania danych osobowych pomiędzy krajami 28.01.1981 •Konwencja Rady Europy Nr 108 z dnia 28 stycznia 1981 r. o Ochronie Osób w Związku z Automatycznym Przetwarzaniem Danych Osobowych •Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady 24.10.1995 •Ustawa 1997 7

Dyrektywa • Dyrektywa Parlamentu Europejskiego i Rady Unii Europejskiej 95/46/WE z dnia 24 października 1995r. o ochronie osób w związku z przetwarzaniem ich danych osobowych oraz w sprawie swobodnego przepływu tych danych − cele to m.in. zapewnienie jednolitego poziomu ochrony danych osobowych, regulacja transgranicznego przepływu danych osobowych 8 8

UODO Art. 1. 1. Każdy ma prawo do ochrony dotyczących go danych osobowych. 2. Przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą, lub dobro osób trzecich w zakresie i trybie określonym ustawą. 9

Akty prawne • Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych • Rozporządzenie MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. 10

Akty prawne • • • • • • • • Kodeks postępowania administracyjnego Ustawa o prawach autorskich i prawach pokrewnych Ustawa o dostępie do informacji publicznej Ustawa o świadczeniu usług drogą elektroniczną Ustawa o informatyzacji Prawo pocztowe Ustawa o samorządzie gminnym Ustawa o pomocy społecznej, ustawa o świadczeniach rodzinnych, … 11

Dane osobowe a inne informacje prawnie chronione • tajemnica przedsiębiorstwa (ustawa o zwalczaniu nieuczciwej konkurencji) • tajemnica pracodawcy (Kodeks pracy) • tajemnica zawodowa (lekarska, adwokacka, ubezpieczeniowa, bankowa) • informacje niejawne (ustawa o ochronie informacji niejawnych) 12 12

Która ustawa ma zastosowanie? Lex specialis derogat legi generali. 13

Ochrona a bezpieczeństwo danych osobowych Ochrona danych osobowych Wymagania formalne (podstawa przetwarzania, obowiązki informacyjne, itd.) - biznes Obowiązek zabezpieczenia danych - szbi 14

Bezpieczeństwo to: • Poufność (C) • Integralność (I) • Dostępność (A) Dostępność Poufność Bezpieczeństwo Integralność • Autentyczność • Integralność systemu • Integralność danych • Rozliczalność • Niezawodność • Niezaprzeczalność 15

Zastanówmy się… Który art. ustawy mówi o poufności, rozliczalności i dostępności? 16

Zakres problemu • Zgodność • Bezpieczeństwo danych osobowych • Bezpieczeństwo informacji (zagadnienia dostępu Bezp. do informacji publicznej) organizacji • Bezpieczeństwo fizyczne • Bezpieczeństwo osobowe Bezp. IT • Ochrona osobowa Dane osobowe • Stosowane zabezpieczenia Bezp. informacji • Zarządzanie zmianą 17

UODO czego dotyczy Art. 2. 1. Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych. 2. Ustawę stosuje się do przetwarzania danych osobowych: 1) w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych, 2) w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych. 18

UODO – kto stosuje Art. 3. 1. Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych. 2. Ustawę stosuje się również do: 1) podmiotów niepublicznych realizujących zadania publiczne, 2) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych - które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej. 19

UODO – kogo nie dotyczy Art. 3a. 1. Ustawy nie stosuje się do: 1) osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych, 2) podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania danych. 2. Ustawy, z wyjątkiem przepisów art. 14-19 i art. 36 ust. 1, nie stosuje się również do prasowej działalności dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. - Prawo prasowe (Dz. U. Nr 5, poz. 24, z późn. zm.) oraz do działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą. Art. 4. Przepisów ustawy nie stosuje się, jeżeli umowa międzynarodowa, której stroną jest Rzeczpospolita Polska, stanowi inaczej. Art. 5. Jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw. Jeżeli zbiór danych osobowych nie podlega zgłoszeniu GIODO, nie oznacza to, że ustawa się do niego nie stosuje! 20

Podsumujmy • Ochrona danych osobowych ma na celu nie tylko zabezpieczenie prywatności, ale również stworzenie spójnych, europejskich zasad przepływu danych. • Ochrona danych osobowych, to nie bezpieczeństwo informatyczne! • Ustawa o ochronie danych osobowych ma charakter ogólny. Pierwszeństwo stosowania mają ustawy szczegółowe. 21

PODSTAWOWE POJĘCIA 22

Dane osobowe Art. 6. 1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. 2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. 3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. 23

Dane osobowe - przykłady • Imię i nazwisko Sąd Apelacyjny w Gdańsku w wyroku z dnia 15 marca 1996 r. (sygn. I ACr 33/96) orzekł, iż „Podstawowe dane osobowe człowieka (nazwisko i imię) są jego dobrem osobistym, ale jednocześnie są dobrem powszechnym w tym znaczeniu, że istnieje publiczna zgoda na posługiwanie się nimi w życiu społecznym (towarzyskim, urzędowym, handlowym itp.)" W wyroku z dnia 24 czerwca 1999 r. (sygn. II SA 686/99) Naczelny Sąd Administracyjny wyraził pogląd, że: „błędnym jest twierdzenie, iż imię i nazwisko oraz stanowisko pracownika państwowego (z wyjątkiem służb specjalnych) lub samorządowego podlega ochronie danych osobowych na podstawie przepisów ustawy /../ o ochronie danych osobowych /.../.” • Dane pracownika urzędu • Nr pesel Przykładem pojedynczej informacji stanowiącej daną osobową jest natomiast numer PESEL(…). Można więc stwierdzić, że numer PESEL ex definitione stanowi daną osobową, a jej przetwarzanie podlega wszelkim rygorom przewidzianym w ustawie o ochronie danych osobowych. • Adres poczty elektronicznej • • zabowka@mops.katowice.pl kasia16@buziaczek.pl • Dane osób zmarłych • Dane niemające charakteru dokumentów 24

Dane osobowe – podsumowanie • dane osobowe to wyłącznie dane dotyczące osoby fizycznej • dane osobowe obejmują również dane o przedsiębiorcach, w tym wspólnikach spółek • adres poczty elektronicznej jako dana osobowa • osoby zmarłe – prawo do kultu pamięci po osobie zmarłej • dane dotyczące osoby fizycznej zidentyfikowanej lub możliwej do zidentyfikowania (decyduje miernik rozumienia informacji przeciętnego odbiorcy) 25 25

Dane osobowe – interpretacja GIODO • danymi osobowymi nie będą pojedyncze informacje o dużym stopniu ogólności, np. nazwa ulicy i numer domu czy wysokość wynagrodzenia; informacja ta będzie jednak stanowić daną osobową wówczas, gdy zostanie zestawiona z innymi dodatkowymi informacjami, które w konsekwencji można odnieść do konkretnej osoby; przykładem pojedynczej informacji stanowiącej daną osobową jest natomiast 26 numer PESEL 26

Zastanówmy się… • Wychodząc na przerwę, znajdują Państwo kartkę z napisem „Jarosław Żabówka”. Czy są to dane osobowe? • Dostają Państwo wniosek, w którym Wnioskujący podkreśla, że nie oczekuje udostępnienia danych osobowych, prosi jedynie o informację, czy określona osoba figuruje w Państwa kartotece. Czy odpowiadając „tak” lub „nie” udostępniacie Państwo dane osobowe? 27

Zbiór danych osobowych Art. 7. Ilekroć w ustawie jest mowa o: 1) zbiorze danych - rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, • Zbiór ≠ zestaw • Ile musi być kryteriów? • Zbiór = dane są w zestawie, ale mogą utworzyć zbiór 28

Zbiór doraźny Art. 2. 3. W odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5. Jeżeli dane tworzące określoną strukturę służą realizacji zasadniczego, głównego celu przetwarzania, trudno uznać tę strukturę za zbiór do raźny. Ni e zmi eni a tego o ko l i czno ś ć, że o k res j ej przetwarzania jest relatywnie krótki. 29

Przetwarzanie danych Art. 7. Ilekroć w ustawie jest mowa o: 2) przetwarzaniu danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych, (…) 3) usuwaniu danych - rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą, 30

Zastanówmy się… Jaka operacja na danych osobowych nie będzie ich przetwarzaniem? 31

GIODO Art. 8. 1. Organem do spraw ochrony danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych, zwany dalej „Generalnym Inspektorem”. Art. 12. Do zadań Generalnego Inspektora w szczególności należy: 1) kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych, 2) wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych, 3) zapewnienie wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym wynikających z decyzji, o których mowa w pkt 2, przez stosowanie środków egzekucyjnych przewidzianych w ustawie z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. z 2005 r., Nr 229, poz. 1954 z późn. zm.), 4) prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach, (…) 32

Czy GIODO odpowie nam na nasze pytania? • Możemy korzystać z telefonicznej infolinii GIODO. W praktyce: − Trudno się dodzwonić. − Odpowiedzi niewiążące. − Odpowiedzi błędne. • Prośby o wyrażenie stanowiska: − Długi czas oczekiwania. − Często odpowiedzi szablonowe, w niewystarczającym stopniu odnoszące się do problemu. • Stosunek GIODO do udzielania odpowiedzi (nieformalny): − Brak środków. − Będzie lepiej, gdy nie będą rozpatrywać zgłoszeń zbiorów. − Wykorzystywanie Biura przez nieznających ustawy prawników. • Możemy prosić o wydanie decyzji administracyjnej. 33

Administrator danych osobowych Art. 7. Ilekroć w ustawie jest mowa o: 4) administratorze danych - rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych, • O tym kto pełni rolę ADO niejednokrotnie mówi wprost ustawa. • W działalności gospodarczej – zwykle zarząd • W administracji – czasami urząd, a czasami jego kierownik. 34

ADO, ABI, ASI, GASI… • Rozróżnijmy wyraźnie te role i związane z nimi obowiązki. • Obowiązki te są zwykle pełnione przez różne osoby – ale nie zawsze musi tak być. 35

Podsumujmy – wiemy już co to: • Dane osobowe • Przetwarzanie danych • Zbiór danych • Zbiór doraźny • GIODO • ADO 36

Zasady przetwarzania danych osobowych 37

Przesłanki uchylające zakaz przetwarzania danych osobowych Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 1. osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, (…) 38

Przesłanki – zgoda osoby Art. 23. 2. Zgoda, o której mowa w ust. 1 pkt 1, może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania. 3.Jeżeli przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a spełnienie warunku określonego w ust. 1 pkt 1 jest niemożliwe, można przetwarzać dane bez zgody tej osoby, do czasu, gdy uzyskanie zgody będzie możliwe. Art. 7 Ilekroć w ustawie jest mowa o: 5) zgodzie osoby, której dane dotyczą - rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie, • • Co do zasady, w urzędach zgoda nie powinna być stosowana Zgoda nie powinna być podstawą do żądania udostępniania danych • Zgoda może być w każdym momencie cofnięta Jeżeli to możliwe, unikajmy stosowania zgody i przygotujmy sposób postępowania na wypadek cofnięcia zgody. 39

Przesłanki uchylające zakaz przetwarzania danych osobowych Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, 40

Przesłanki uchylające zakaz przetwarzania danych osobowych Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: (…) 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. 4. Za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważa się w szczególności: 1) marketing bezpośredni własnych produktów lub usług administratora danych, 2) dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. 41

Zastanówmy się… Urząd dostarczał korespondencję do Obywateli za pośrednictwem gońca. Zdecydował jednak, że będzie korzystał z usług Poczty Polskiej. Czy powinien zebrać zgody na udostępnienie danych Poczcie? (Pamiętajmy, że udostępnienie jest formą przetwarzania) 42

Zastanówmy się… Dla dołożenia szczególnej staranności, przygotowując druk wniosku, urząd dodał na nim formułę zgody na przetwarzanie danych. Czy takie postępowanie jest prawidłowe? 43

Dane wrażliwe – zakaz przetwarzania (Art. 27. 1.) Zabrania się przetwarzania danych • ujawniających pochodzenie rasowe lub etniczne, • poglądy polityczne, • • • przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, • • • • jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz • danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. 44

Dane wrażliwe - przesłanki legalizujące przetwarzanie 2. Przetwarzanie danych, o których mowa w ust. 1, jest jednak dopuszczalne, jeżeli: 1) osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych, 2) przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony, 3) przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora, 4) jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem, Że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych, 5) przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem, 45

Dane wrażliwe - przesłanki legalizujące przetwarzanie 6) przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie, 7) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych, 8) przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą, 9) jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone, 10) przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym. 46

Zakaz nadawania ukrytych znaczeń Art. 28. 2. Numery porządkowe stosowane w ewidencji ludności mogą zawierać tylko oznaczenie płci, daty urodzenia, numer nadania oraz liczbę kontrolną. 3. Zabronione jest nadawanie ukrytych znaczeń elementom numerów porządkowych w systemach ewidencjonujących osoby fizyczne. 47

Obowiązki informacyjne -znaczenie • Podstawowym obowiązkiem administratora danych wobec osoby któej dane administrator przetwarza, jest konieczność poinformowania jej o tym fakcie. Jest to warunek niezbędny, by osoba mogła skorzystać z przysługujących jej praw. • W sprawozdaniu z roku 2002 GIODO stwierdził: − „[niedopełnienie obowiązku informacyjnego] utrudniało, a nawet uniemożliwiało wykonywanie przez osobę, której dane są przetwarzane, uprawnień, wynikających z ustawy o ochronie danych osobowych w zakresie kontroli przetwarzania danych. (…) obowiązek informacyjny jest jednym z podstawowych obowiązków, jakie ustawa o ochronie danych osobowych nakłada na administratora danych. Jego terminowe wypełnienie gwarantuje, że osoba, której dane dotyczą, uzyska wyczerpującą informację dotyczącą przetwarzania jej danych osobowych, co w konsekwencji umożliwia jej ewentualne skorzystanie z uprawnień wynikających z przepisów ustawy o ochronie danych osobowych i efektywną kontrolę procesu przetwarzania jej danych osobowych.” 48

Zbieranie danych • Ustawa rozróżnia dwie grupy przepisów regulujących obowiązek informacyjny w momencie zbierania danych: − Zbieranie danych od osoby, której one dotyczą (art. 24 ustawy), − Zbierane są z innych (pośrednich) źródeł (art. 25 ustawy). • O zbieraniu danych mównimy również w sytuacji gdy osoba której dane dotyczą, przekaże je administratorowi z własnej inicjatywy. • O zbieraniu danych mówimy już w momencie wejścia w ich posiadanie, a nie dopiero w momencie ich włączenia do zbioru. 49

Zbieranie danych od osoby której one dotyczą • Art. 24 ust. 1 ustawy o ochronie danych osobowych, w wypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o: − adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, Informacje te podajemy w sposób umożliwiający osobie kontakt z administratorem i dochodzenie swoich praw − celu zbierania danych, − o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych, − prawie dostępu do treści swoich danych oraz ich poprawiania, − dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej. 50

Kiedy informować gdy dane zbieramy bezpośrednio od osoby? • Obowiązek informacyjny w wypadku zbierania danych bezpośrednio od osoby której one dotyczą, winien być wykonany w momencie zbierania danych. • • Wymagane informacje administrator musi przekazać z własnej inicjatywy – nie na żądanie osoby. Problem: jak dopełnić obowiązku, w sytuacji gdy osoba przekazuje nam dane z własnej inicjatywy? 51

Kiedy obowiązek nas nie dotyczy? • Jeżeli zbieramy dane bezpośrednio od osoby, obowiązek nas nie dotyczy gdy: − przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania, inna ustawa musi o tym mówić wprost – przykładowo, w odniesieniu do obowiązku informacyjnego z art. 25, zwolnienie takie w odniesieniu do zakładu ubezpieczeń zostało określone w art. 24 ust. 2 ustawy o działalności ubezpieczeniowej − osoba, której dane dotyczą, posiada już informacje, o których mowa w ust. 1. przykładowo osoba kontaktuje się z administratorem po raz kolejny w tej samej sprawie – administrator może przyjąć, że osoba ta posiada już wymagane informacje. 52

Kiedy informować, gdy dane zbieramy nie bezpośrednio od osoby (Art. 25 UODO)? • Obowiązek nie dotyczy podmiotów publicznych, realizujących zadania określone w przepisach prawa 53

W jakiej formie dopełnić obowiązku? • • • • Ustawa o ochronie danych osobowych nie przewiduje szczególnej formy spełnienia obowiązku informacyjnego. Obowiązek informacyjny, może być spełniony przez administratora danych nawet ustnie (telefonicznie). Dla celów dowodowych, warto by klauzula spełniająca taki obowiązek znajdowała się np. na formularzu ze zgodą osoby na przetwarzanie jej danych osobowych (zarówno papierowym jak i elektronicznym). W wypadku spełniania obowiązku informacyjnego przez telefon, rozważyć można rejestrowanie rozmowy. Pamiętajmy, że to na administratora danych spada obowiązek udowodnienia, że przekazał wymagane informacje. 54

W jakiej formie dopełnić obowiązku? • Informacja musi być skierowana bezpośrednio do osoby której dane przetwarzamy (ale może to być np. grupa osób). • Nie możemy spełniać obowiązku informacyjnego poprzez wywieszenie informacji na tablicy ogłoszeń lub wykupienie ogłoszenia w prasie. • Wybrana forma musi gwarantować, że osoba otrzyma informacje (musi być skuteczna). • Przekazując informacje osobom niepełnoletnim, należy dostosować formę przekazu tak by mogły one zrozumieć przekazywane dane i w każdym wypadku należy, niezależnie, przekazać informacje przedstawicielowi • Informacja musi być dostosowana do stopnia rozwoju intelektualnego osoby, do której jest kierowana. 55

Jak możemy to rozwiązać w urzędzie? • Dobrym rozwiązaniem wydaje się dodanie odpowiednich klauzul na druku wniosku. • W wypadku gdy pomoc nie jest świadczona na wniosek lub osoba składa wniosek niebędący naszym drukiem, wręczamy jej wydrukowane klauzule i prosimy o potwierdzenie otrzymania. • Jeżeli osoba nie chce lub nie może potwierdzić otrzymania informacji, pracownik sporządza odpowiednią notatkę. • Obowiązku musimy dopełnić tylko raz, gdy osoba po raz pierwszy podawała dane które będą przetwarzane w danym zbiorze (w oparciu o daną przesłankę). 56

Na żądanie • Niezależnie od obowiązku informowania osób podczas lub bezpośrednio po zebraniu ich danych, istnieje obowiązek udzielenia informacji osobie na jej żądanie (art. 32 uodo) − Art. 32. 1. Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do: 1) uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna - jej miejsca zamieszkania oraz imienia inazwiska, 2) uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze, 3) uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych, 4) uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie w tajemnicy informacji niejawnych lub zachowania tajemnicy zawodowej, 5) uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane, 5a) uzyskania informacji o przesłankach podjęcia rozstrzygnięcia, o którym mowa w art. 26a ust. 2, (…) 57

Na żądanie • • Art. 33 zobowiązuje administratora danych do udzielenia powyższych informacji w ciągu 30 dni od daty otrzymania wniosku. Katalog informacji z art. 32 jest otwarty i szczególnych sytuacjach administrator może być zobowiązany do udzielenia dodatkowych informacji. Osoba może kożystać z tego prawa nie częściej niż raz na 6 miesięcy. Osoba może mieć jednak dodatkowe prawa na podstrawnie innych aktów prawnych, np. prawo dostępu do akt sprawy w której jest stroną na podstawnie KPA. Informacje należy dostarczyć w formie zrozumałej, dostosowanej dla konkretnej osoby. Na piśmie inforacji udzielamy jedynie na wniosek. • Problemy: „zbiory” w plikach Excel-a, wymagania w stosunku do aplikacji • • • • 58

Kiedy informacji nie udzielamy? • • Art. 34. Administrator danych odmawia osobie, której dane dotyczą, udzielenia informacji, o których mowa w art. 32 ust. 1 pkt 1-5a, jeżeli spowodowałoby to: 1) ujawnienie wiadomości zawierających informacje niejawne, 2) zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego, 3) zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa, 4) istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób. Art. 32 ust. 4. Jeżeli dane są przetwarzane dla celów naukowych, dydaktycznych, historycznych, statystycznych lub archiwalnych, administrator danych może odstąpić od informowania osób o przetwarzaniu ich danych w przypadkach, gdy pociągałoby to za sobą nakłady niewspółmierne z zamierzonym celem. 59

Informowanie innych administratorów • Art. 35 ust. 3. Administrator danych jest obowiązany poinformować bez zbędnej zwłoki innych administratorów, którym udostępnił zbiór danych, o dokonanym uaktualnieniu lub sprostowaniu danych. Administrator danych dysponuje wiedzą o odbiorcach danych, dlatgo spełnienie tego obowiązku nie powinno stanowić dla niego problemu. 60

Jak tego uniknąć? Zawsze przekazujmy informację na dany moment. 61

Podsumujmy – poznaliśmy: • Przesłanki znoszące zakaz przetwarzania danych zwykłych i wrażliwych • Zasady dopełniania obowiązków informacyjnych 62

Zasady przetwarzania danych 63

• Art. 26. 1. Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były: 1) przetwarzane zgodnie z prawem, 2) zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2, 3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, 4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. 2. Przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą, oraz następuje: 1) w celach badań naukowych, dydaktycznych, historycznych lub statystycznych, 2) z zachowaniem przepisów art. 23 i 25. • Przepis art. 26 wyznacza główne zasady postępowania przy przetwarzaniu danych i ujmuje je w formie podstawowych obowiązków, których musi przestrzegać administrator danych. 64

Zasada legalności 1) przetwarzane zgodnie z prawem, • Dane muszą być „przetwarzane zgodnie z prawem” – dotyczy to wszystkich ustaw i przepisów wykonawczych (czyli nie tylko art. 23 i 27 uodo). Nie obejmuje jednak postanowień umownych. • „Zgodnie z prawem” będzie tu oznaczać również „zgodnie z zasadami współżycia społecznego” (wyrok NSA z 19.11.2001, II SA 2748/00). Oddaje to również nieco zapis dyrektywy, która mówi o przetwarzaniu „rzetelnym i legalnym”. • W wyroku z 4 marca 2002r. (II SA 3144/01) NSA podkreślił, że „żadne względy natury organizacyjno-finansowej nie powinny być traktowane jako podstawy do sprzecznego z prawem przetwarzania danych osobowych przez banki” 65

Zasada celowości 2) zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami(…) • Zbieranie danych musi następować do celów: − Oznaczonych – nie można zataić celu zbierania danych. Cel nie może być podany w sposób zbyt ogólnikowy. Nie można zbierać danych „na zapas”. Zgoda nie może dotyczyć bliżej nieoznaczonych podmiotów. − Zgodnych z prawem. • Cel musi być określony i nie może być zmieniany. • Przetwarzanie w celach zgodnych z prawem, czyli również z zasadami współżycia społecznego. • Jeżeli podmiot występuje do administratora o udostępnienie danych, musi on sprawdzić, w jakim celu podmiot ten zamierza wykorzystać te dane. 66

Zasada celowości • Przetwarzanie danych w celu innym niż zostały zebrane nie zawsze narusza zasadę celowości. Do naruszenia dojdzie, jeżeli cele te będą niezgodne. • Zasady celowości nie narusza również przetwarzanie danych po wykonaniu zobowiązania, jeżeli administrator przetwarza je ze względów dowodowych, przez okres przedawnienia tych roszczeń. • Zasada celowości jest powiązana z obowiązkiem informacyjnym. • Czy cele są zgodne, należy oceniać z perspektywy osoby i celu jej zakomunikowanego. • Pytanie: Czy dopuszczalne będzie przetwarzanie danych przez innego administratora, ale w tym samym celu? Wydaje się, że nie. 67

Zastanówmy się… • Urząd przetwarza dane w związku z zatrudnieniem. Czy celem zgodnym będzie udostępnienie tych danych ZUS w związku z opłaceniem składki ubezpieczenia społecznego? • Czy celem zgodnym będzie przekazanie tych danych PKZP? 68

Zasada celowości 2. Przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą, oraz następuje: 1) w celach badań naukowych, dydaktycznych, historycznych lub statystycznych, 2) z zachowaniem przepisów art. 23 i 25. • Ustawa wprowadza wyjątki od zasady związania celem przetwarzania danych. • Problem: Między punktami 1 i 2 mamy „i” czy „lub”? NSA uznał, że „i”. • Administrator a następnie GIODO ocenia czy nie nastąpi naruszenie praw i wolności osoby. • Przetwarzanie danych w innym celu niż zostały zebrane może nastąpić również jeżeli osoba wyrazi na to zgodę. 69

Zasada merytorycznej poprawności 3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, • Dane powinny być kompletne, zgodne z prawdą i na ile to możliwe i uzasadnione aktualne (zasada aktualności danych). • Pytanie: Na ile administrator ma aktywnie działać w celu zapewnienia aktualności danych? • Administrator jest zobowiązany oceniać wiarygodność źródła pozyskania danych. • Administrator powinien ustalić zasady postępowania w wypadku stwierdzenia nieprawidłowości. 70

Zasada adekwatności 3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, • Administrator powinien przetwarzać tylko takiego rodzaju dane i tylko o takiej treści, które są niezbędne(?) ze względu na cel przetwarzania danych. Ocena powinna odbywać się już w momencie zbierania danych. • Dane nie mogą być zbierana „na zapas”. • Administrator powinien jednak uwzględnić również zabezpieczenie swoich interesów przy ustalaniu adekwatności zakresu przetwarzanych danych. • Zakres danych jest niejednokrotnie wskazywany przez ustawodawcę wprost. • Posiadanie zgody na przetwarzanie danych, nie zwalnia nas z obowiązku przestrzegania zasady adekwatności. 71

Zasada ograniczenia czasowego 4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. • Dane nie mogą być przetwarzane dłużej niż jest to niezbędne dla realizacji celu przetwarzania. Później należy je usunąć, zanonimizować lub np. przekazać do archiwum państwowego. • Administrator jest zobowiązany do podjęcia tych działań „samodzielnie”, a nie dopiero na wniosek osoby. Wskazane jest aby procedura dokonywania przeglądów była opisana w polityce. • Również w wypadku cofnięcia zgody lub zgłoszenia sprzeciwu, należy zaprzestać przetwarzania danych i takie sytuacje należy przewidzieć np. w projektowaniu systemów informatycznych. • Czasami powstanie obowiązek usunięcia jedynie części danych, np. ze względu na celowość utrzymywania informacji niezbędnych dla obrony interesów administratora. 72

Zasada ograniczenia czasowego • Czas przez jaki mogą być przechowywane dane jest niejednokrotnie określony ustawowo. • Zasada ma zastosowanie również w wypadku przetwarzania danych na podstawie zgody osoby. • Dane w systemach informatycznych powinny zostać usunięte w sposób uniemożliwiający ich odzyskanie. 73

Podsumujmy – poznaliśmy zasady: • Legalności • Celowości • Merytorycznej poprawności • Adekwatności • Ograniczenia czasowego 74

Udostępnianie danych • • Udostępnianie danych jest jedną z form ich przetwarzania, jest ono dopuszczalne wtedy, gdy spełniony jest jeden z warunków, o którym mowa w art. 23 ust. 1 ustawy (artykuł określa warunki, które uzasadniają udostępnianie danych „zwykłych”) bądź w art. 27 ust. 2 ustawy (artykuł wylicza sytuacje, które uzasadniają udostępnienie danych szczególnie chronionych). To ADO decyduje czy udostępnić dane, a wnioskujący musi wskazać podstawę do ich otrzymania. • Czasami przepisy mówią wprost o tym, że dane powinny zostać udostępnione – np. art. 14 ust. 5 ustawy o Policji nakazuje udostępnić dane na rzecz imiennie upoważnionego funkcjonariusza. • KPA Art. 7 W toku postępowania organy administracji publicznej stoją na straży praworządności, z urzędu lub na wniosek stron podejmują wszelkie czynności niezbędne do dokładnego wyjaśnienia stanu faktycznego oraz do załatwienia sprawy, mając na względzie interes społeczny i słuszny interes obywateli. Art. 77 § 1. Organ administracji publicznej jest obowiązany w sposób wyczerpujący zebrać i rozpatrzyć cały materiał dowodowy. • • • Art. 220. § 1. Organ administracji publicznej nie może żądać zaświadczenia ani oświadczenia (…) Czy zgoda może być podstawą żądania udostępnienia danych? 75

Art. 29 UODO Art. 29 1. W przypadku udostępniania danych osobowych w celach innych niż włączenie do zbioru, administrator danych udostępnia posiadane w zbiorze dane osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa. 2. Dane osobowe, z wyłączeniem danych, o których mowa w art. 27 ust. 1, mogą być także udostępnione w celach innych niż włączenie do zbioru, innym osobom i podmiotom niż wymienione w ust. 1, jeżeli w sposób wiarygodny uzasadnią potrzebę posiadania tych danych, a ich udostępnienie nie naruszy praw i wolności osób, których dane dotyczą. 3. Dane osobowe udostępnia się na pisemny, umotywowany wniosek, chyba że przepis innej ustawy stanowi inaczej. Wniosek powinien zawierać informacje umożliwiające wyszukanie w zbiorze żądanych danych osobowych oraz wskazywać ich zakres i przeznaczenie. 4. Udostępnione dane osobowe można wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione. 76

Sprawozdanie GIODO za rok 2008: Generalny Inspektor Ochrony Danych Osobowych wystąpił również do dyrektora jednego z miejskich ośrodków pomocy społecznej [MOPS] o każdorazowe rozważanie potrzeby udostępniania danych osobowych osób korzystających z pomocy społecznej innym podmiotom, realizującym na ich rzecz świadczenia finansowe ze środków pomocy społecznej. Każde bowiem nieuzasadnione udostępnienie danych może narażać MOPS na zarzut naruszenia zarówno ustawy o ochronie danych osobowych, jak i ustawy o pomocy społecznej. W odpowiedzi na to wystąpienie Dyrektor MOPS poinformował o uwzględnieniu uwag GIODO poprzez wprowadzenie procedur umożliwiających realizację zadań ośrodka w postaci przyznawania pomocy społecznej bez przekazywania danych osobowych klientów innym podmiotom 77

Przykład: Czy jednostka wykonujących zadania pomocy społecznej może udostępnić kuratorowi sądowemu dane osobowe osób korzystających z ich opieki? Tak, jeśli te informacje miałyby stanowić niezbędną pomoc w wykonywaniu zadań służbowych przez kuratora sądowego. Uzasadnienie Podstawę prawną udostępnienia kuratorowi sądowemu (zarówno zawodowemu, jak i społecznemu) informacji o konkretnym dozorowanym (będącym jednocześnie klientem ośrodka pomocy społecznej), w określonych okolicznościach, gdy dane te są niezbędne do prawidłowego wykonania obowiązków służbowych kuratora, stanowi art. 9 pkt 5 ustawy z dnia 27 lipca 2001 r. o kuratorach sądowych. Przepis ten daje kuratorowi prawo żądania od Policji oraz innych organów lub instytucji państwowych, organów samorządu terytorialnego, stowarzyszeń i organizacji społecznych w zakresie ich działania, a także od osób fizycznych pomocy w wykonywaniu czynności służbowych. Podkreślić przy tym należy, iż przepis ten nie może stanowić podstawy udostępnienia kuratorom sądowym danych ogółu osób korzystających z pomocy ośrodków pomocy społecznej, lecz jedynie konkretnego dozorowanego, będącego pod nadzorem kuratora występującego z żądaniem udostępnienia danych. I tak, działając na podstawie ww. przepisów prawa, kuratorzy sądowi wypełniają przesłankę legalizującą przetwarzanie danych osobowych określoną w art. 23 ust. 1 pkt 2 bądź w art. 27 ust. 2 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. 78

Zastanówmy się… Czy wniosek który wpływa do urzędu powinien zawierać podstawę prawną, pozwalającą wnioskującemu na przetwarzanie danych? 79

Zastanówmy się… Rodzina zmarłej osoby wystąpiła o udostępnienie jej danych. Urząd odmówił, ponieważ we wniosku nie podano podstawy prawnej powalającej na udostępnienie danych? Czy słusznie? 80

Powierzenie danych Art. 31. 1. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. 2. Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie. 3. Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych. 4. W przypadkach, o których mowa w ust. 1-3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową. 5. Do kontroli zgodności przetwarzania danych przez podmiot, o którym mowa w ust. 1, z przepisami o ochronie danych osobowych stosuje się odpowiednio przepisy art. 14-19. 81

Powierzenie danych • Dane powierzamy „procesorowi”, „przetwarzającemu”, „powiernikowi” • Umowa powierzenie musi być zawarta na piśmie (nie „w formie pisemnej”!) • Umowa musi określać cel powierzenia i zakres powierzanych danych • Umowa powinna określać co stanie się z danymi po zakończeniu umowy! • Podpisanie umowy nie zdejmuje z nas odpowiedzialności za dane. Zabezpieczmy się w umowie! • Jeżeli przekażemy dane bez podpisania umowy, będzie to „udostępnienie osobie nieupoważnionej”! 82

Zastanówmy się… Pracownicy firmy informatycznej obsługującej urząd mają możliwość zdalnego podłączania się do komputerów urzędników w celu pomocy w rozwiązywaniu problemów w pracy z aplikacją. Nie mają jednak możliwości przekopiowania danych do swoich systemów. Czy urząd powinien zażądać podpisania umowy powierzenia? 83

Podsumujmy – dowiedzieliśmy się: • W jaki sposób i komu udostępniać dane. • Jakie są zasady powierzania danych osobowych do przetworzenia. 84

PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ 85

Prawa osoby, której dane dotyczą Rodzaje uprawnień osoby, której dane dotyczą: • informacyjne (zapytanie) • korekcyjne (sprostowanie, uzupełnienie) • zakazowe (sprzeciw, żądanie zaprzestania przetwarzania danych lub ich usunięcia) 86 86

Prawo do kontroli przetwarzania danych Art. 32. [Prawo do kontroli przetwarzania danych] 1. Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do: 1) uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna - jej miejsca zamieszkania oraz imienia i nazwiska, 2) uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze, 3) uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych, 4) uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie w tajemnicy informacji niejawnych lub zachowania tajemnicy zawodowej, 5) uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane, 5a) uzyskania informacji o przesłankach podjęcia rozstrzygnięcia, o którym mowa w art. 26a ust. 2, (…) (…) 5. Osoba zainteresowana może skorzystać z prawa do informacji, o których mowa w ust. 1 pkt 1-5, nie częściej niż raz na 6 miesięcy. 87

Obowiązek informowania Art. 33. [Obowiązek informowania] 1. Na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie do jej danych osobowych, informacji, o których mowa w art. 32 ust. 1 pkt 1-5a. 2. Na wniosek osoby, której dane dotyczą, informacji, o których mowa w ust. 1, udziela się na piśmie. 88

Prawo do kontroli przetwarzania danych Art. 32. 1. Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do: 6) żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane, 7) wniesienia, w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5, pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację, 8) wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych, 9) wniesienia do administratora danych żądania ponownego, indywidualnego rozpatrzenia sprawy rozstrzygniętej z naruszeniem art. 26a ust. 1. 89

Zastanówmy się… Urząd przetwarza dane osobowe osoby, w oparciu o ustawę. Do urzędu wpłynęło żądanie zaprzestania przetwarzania danych. W jakim terminie urząd powinien usunąć dane? 90

OBOWIĄZKI ADMINISTRATORA DANYCH OSOBOWYCH 91

Wybrane obowiązki związane z przetwarzaniem danych osobowych • Obowiązek dołożenia szczególnej staranności • Obowiązek informacyjny • Obowiązek zabezpieczenia danych • Obowiązek rejestracyjny • Obowiązek prowadzenia dokumentacji • Obowiązek prowadzenia ewidencji osób upoważnionych 92

Rejestracja zbioru Art. 40. Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust.1. Art. 43. 1. Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych: 1) zawierających informacje niejawne, 1a) które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności, 2) przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym, 2a) przetwarzanych przez Generalnego Inspektora Informacji Finansowej, 2b) przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym, 3) dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego, 93

Rejestracja zbioru 4) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się, 5) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta, 6) tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego, 7) dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności, 8) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej, 9) powszechnie dostępnych, 10) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego, 11) przetwarzanych w zakresie drobnych bieżących spraw życia codziennego. 94

Drobne bieżące sprawy życia codziennego „Uznać (…) należy, że chodzi o sprawy drugorzędne, nie mające zasadniczego znaczenia dla administratora danych. Jednocześnie jednak ta "drugorzędność" powinna mieć charakter obiektywny, w przeciwnym wypadku zbiór zawierający określone dane i służący określonym celom, prowadzony przez jednego administratora, a uznany przez niego za prowadzony w "drobnych bieżących sprawach życia codziennego" może nie być uznany za taki przez innego dysponenta zbioru. W ujęciu subiektywnym określony zbiór dla jednych podmiotów stanowi rzeczywiście zbiór drugorzędny, dla innych natomiast mieć znaczenie zasadnicze. Może to doprowadzić do znacznej niejednolitości praktyki, co zwłaszcza z uwagi na penalizację nie zgłoszenia zbioru do rejestracji (art. 53 ustawy) nie powinno mieć miejsca. Generalny Inspektor wskazuje, że omawianym zwolnieniem objęte są księgi interesantów prowadzone w urzędach, księgi wejść/wyjść, rejestry przepustek czy też zbiory, w których dane osobowe przetwarzane są w celu identyfikacji osób mających dostęp do obiektów administratora danych” 95

Rejestracja zbioru Art. 42. 1. Generalny Inspektor prowadzi ogólnokrajowy, jawny rejestr zbiorów danych osobowych. Rejestr powinien zawierać informacje, o których mowa w art. 41 ust. 1 pkt 1-4a i 7. (…) 4. Generalny Inspektor wydaje administratorowi danych, o których mowa w art. 27 ust. 1, zaświadczenie o zarejestrowaniu zbioru danych niezwłocznie po dokonaniu rejestracji. 96

Rejestracja zbioru • Jak przebiega proces rejestracji? • Kiedy możemy rozpocząć przetwarzanie danych? • Czy GIODO może odmówić nam rejestracji zbioru? • Kto zgłasza zbiór? 97

E-GIODO • Adres: https://egiodo.giodo.gov.pl/ • Możemy zgłosić zbiór drogą elektroniczną. • Możemy łatwo przygotować zgłoszenie, a następnie je wydrukować. • Możemy zobaczyć jakie zbiory zgłosili inni. • Uważajmy, zwłaszcza na starsze zbiory! Nie zawsze są prawidłowo zgłoszone! • Możemy również korzystać z ePUAP. 98

O czym pamiętać przy zgłaszaniu zbioru • Zbiór zawierający dane zwykłe musimy zgłosić przed rozpoczęciem przetwarzania (zbierania) danych. W wypadku danych wrażliwych – musimy poczekać na jego rejestrację. • Oświadczamy, że posiadamy wymaganą dokumentację (m.in. Polityka bezpieczeństwa) – nie oświadczajmy nieprawdy! • Jeżeli zamierzamy w urzędzie przetwarzać dane w oparciu o zgodę, możemy się spodziewać dodatkowych pytań – wyjaśnijmy to od razu w piśmie przewodnim. • Nie ufajmy podpowiedziom systemu – zweryfikujmy podstawy prawne. • Jeżeli dane przetwarzane są przez procesora, podajmy zabezpieczenia nasze i procesora. 99

ABI 3. Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust.1, chyba że sam wykonuje te czynności. • ABI to nie ADO i tym bardziej nie informatyk • Musi zostać formalnie wyznaczony • Musi mieć możliwość nadzoru (to nie to samo co kontrola) • Zwracajmy uwagę na konflikty interesów 100

ABI – obowiązek wyznaczenia • Zgodnie z najnowszym orzecznictwem, ABI musi być wyznaczony zawsze. Wyjątek stanowi jedynie ADO będący osobą fizyczną prowadzącą działalność gospodarczą. 101

ABI – konflikt interesów • Mimo, że nie jest to określone wprost, ABI powinien być w taki sposób umocowany w strukturze organizacji, by móc w sposób prawidłowy realizować swoje zadania, kontaktować się z kierownictwem działów i w sposób niezależny nadzorować przetwarzanie w nich danych. • Nic nie stoi na przeszkodzie, żeby pełnił jednocześnie inne funkcje. Nie powinny one jednak powodować powstania konfliktu interesu, który mógłby utrudnić administratorowi bezpieczeństwa informacji realizowanie jego zadań. 102

ABI - odpowiedzialność • Przyjmuje się, że niewłaściwe realizowanie obowiązków przez ABI, jako osobę zobowiązaną do ochrony danych osobowych może podlegać karze zgodnie z art.51 ustawy. − Art. 51. 1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. 103

Role ABI 104

Przykładowe role ABI • • • Prawnik – tworzy umowy powierzenia, upoważnienia, itd. Pracownik biurowy – prowadzi szereg rejestrów. Audytor bezpieczeństwa. • • • • Specjalista od analizy ryzyka. Twórca polityki bezpieczeństwa. Informatyk - administrator bezpieczeństwa systemu. Trener. • Czy ABI musi posiadać umiejętności we wszystkich powyższych dziedzinach? • ABI działa na rzecz administratora danych i powinien stanowić jego prawą rękę w rozwiązywaniu problemów ochrony danych. 105

ABI - cechy • Umiejętność podejmowania decyzji i ponoszenia ich konsekwencji • Umiejętność rozwiązywania problemów • Umiejętność pracy w zespole • Zdolności myślenia analitycznego • Zmysł obserwacji 106

ABI – konflikt interesów • ABI – kierownik lub pracownik działu IT • ABI – autor polityki bezpieczeństwa • ABI – pracownik przetwarzający dane 107

Osoby upoważnione Art. 37. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. • Upoważnienie powinno być na piśmie w celach dowodowych, a osoba powinna je „posiadać” • Powinna być prowadzona weryfikacja osób które otrzymują upoważnienie • Upoważnienia dla osób przebywających w obszarze przetwarzania 108

Obowiązek rejestrowania zmian w zbiorze • Art. 38. Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. 109

Rejestr upoważnionych Art. 39. 1. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać: 1) imię i nazwisko osoby upoważnionej, 2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, 3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym. 110

Zobowiązanie do zachowania poufności 2. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia. • Osoby upoważnione powinny podpisać zobowiązanie. Zobowiązania należy przechowywać. 111

Zabezpieczenie danych Art. 36. 1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. 2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1. • • • Kategorie zagrożeń zostały określone w rozporządzeniu, wydaje się jednak, że ustawodawcy chodziło tutaj o przeprowadzenie analizy ryzyka Problem: „osobom nieupoważnionym” w liczbie mnogiej! Problemem będzie już „umożliwienie dostępu” 112

Zabezpieczenia danych Art. 39a. Minister właściwy do spraw administracji publicznej w porozumieniu z ministrem właściwym do spraw informatyzacji określi, w drodze rozporządzenia, sposób prowadzenia i zakres dokumentacji, o której mowa w art. 36 ust. 2, oraz podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, uwzględniając zapewnienie ochrony przetwarzanych danych osobowych odpowiedniej do zagrożeń oraz kategorii danych objętych ochroną, a także wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzanych danych. 113

Zakres regulacji rozporządzenia • Sposób prowadzenia i zakres dokumentacji • Podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy • Wymagania w zakresie odnotowywania udostępniania i bezpieczeństwa przetwarzania danych osobowych 114

Rozporządzenie jako analiza ryzyka • Rozporządzenie wskazuje jakie zabezpieczenia należy stosować. Można uznać, że w rozporządzeniu została przyjęta bardzo uproszczona analiza ryzyka, opierająca się jedynie na kryteriach: − dostępu do sieci publicznej − przetwarzaniu danych wrażliwych. 115

Poziomy bezpieczeństwa W systemie, brak jest danych wrażliwych. System nie jest połączony z publiczną siecią telekomunikacyjną W systemie, przetwarzane są dane wrażliwe. System nie jest połączony z publiczną siecią telekomunikacyjną. System jest połączony z publiczną siecią telekomunikacyjną Poziom podstawowy Poziom podwyższony Poziom wysoki 116

Proponowane spojrzenie Wymagania „formalne” biznesowe Analiza (czy mamy dane wrażliwe?) Zabezpieczenia (wymagania do szbi) 117

Wymagania rozporządzenia 118

Polityka bezpieczeństwa zawiera • Wykaz budynków i pomieszczeń tworzących obszar przetwarzania • Wykaz zbiorów i programów służących do przetwarzania danych • Opis struktury zbiorów danych (zawartość poszczególnych pól wraz z powiązaniami) • Sposoby przepływu danych pomiędzy systemami • Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych 119

Obszar przetwarzania • Obszar, zabezpiecza się przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych. • Przebywanie osób nieuprawnionych jest dopuszczalne za zgodą administratora danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych • W wypadku udostępniania danych osobom których one dotyczą lub danych udostępnianych publicznie, obszar dotyczy jedynie przetwarzania danych przez ADO 120

Polityka bezpieczeństwa -zabezpieczenia • Określenie zabezpieczeń może być wynikiem przeprowadzonej analizy ryzyka, ale muszą one być również zgodne z rozporządzeniem. • Warto oprzeć się o dobre praktyki i normy, PN-ISO/IEC 17799:2005 121

Instrukcja zarządzania zawiera • Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności. • Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem. • Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu. • Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania. 122

Instrukcja zarządzania zawiera • Sposób, miejsce i okres przechowywania: − Nośniki. − Kopie zapasowe. • Zabezpieczenia przed złośliwym oprogramowaniem. • Sposób odnotowywania informacji o odbiorcach (§ 7 ust. 1 pkt 4). • Opis zabezpieczeń zapewniających poufność i integralność danych wrażliwych przekazywanych poza obszar przetwarzania (poziom podwyższony i wysoki). 123

System zarządzania ochroną danych osobowych • Nie wystarczy opracować dokumentację. Należy wdrożyć system! 124

Wymagania dotyczące funkcjonalności § 7. 1. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym - z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie - system ten zapewnia odnotowanie: 1) daty pierwszego wprowadzenia danych do systemu; 2) identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba; 3) źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą; 4) informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych; 5) sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy. 2. Odnotowanie informacji, o których mowa w ust. 1 pkt 1 i 2, następuje automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych. 3. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w ust. 1. 125

Problemy! • Bardzo mocne wymagania w stosunku do aplikacji. • W praktyce, nie możemy stosować arkuszy kalkulacyjnych! 126

Wymagania dotyczące funkcjonalności 127

Jak się bronić? • Żądajmy wymaganych funkcjonalności od dostawcy oprogramowania - ale przecież nawet Urzędy Skarbowe miały wpadkę i korzystały z oprogramowania które nie spełniało wymogów! • Zauważmy, że automatycznie odnotowane muszą być spełnione jedynie wymagania określone w 2 pierwszych punktach. • Informacje o udostępnieniu mogą być przechowywane w osobnym systemie. • Zapewnijmy, że dostęp do danych posiada tylko jedna osoba... • Jeżeli mamy taką możliwość

Add a comment

Related presentations

Related pages

Kursy ochrona danych osobowych | Poznaj najnowsze ...

Kursy z Ochrony Danych Osobowych w Cognity, dają okazję do poznania i zrozumienia mechanizmów prawnych dotyczących administrowania danymi osobowymi w ...
Read more

PROGRAM SZKOLENIA OCHRONA DANYCH OSOBOWYCH W FIRMIE

COGNITY Praktyczne, skuteczne szkolenia i konsultacje Kraków-Kazimierz, tel.(12) 421 87 54, kom. 533 98 66 33, e-mail: biuro@cognity.pl www.cognity.pl
Read more

Cognity Kurs Ochrona danych osobowych- przetwarzanie ...

... http://www.cognity.pl/szkolenia-z-danych-osobowych,s,85.html ... Cognity Kurs Ochrona danych osobowych- przetwarzanie danych.
Read more

Cognity Kurs Ochrona Danych Osobowych - YouTube

Ochrona danych osobowych dotyczy regulacji prawnych związanych ze zbieraniem i posługiwaniem się danymi osobowymi. W prawie polskim ochronę ...
Read more

Ochrona danych osobowych - Szkolenia.com

Ochrona danych osobowych >>> Celem szkolenia jest zapoznanie jego uczestników z zasadami ochrony danych osobowych, regulacjami prawnymi a także ...
Read more