ochrona danych osobowych wykład 2012

advertisement
OCHRONA DANYCH
OSOBOWYCH
Sławomir Maciejewski
Europejska Konwencja Praw Człowieka :
Art. 8
Prawo do poszanowania życia prywatnego i rodzinnego
1. Każdy ma prawo do poszanowania swojego życia prywatnego i
rodzinnego, swojego mieszkania i swojej korespondencji.
2. Niedopuszczalna jest ingerencja władzy publicznej w korzystanie z
tego prawa z wyjątkiem przypadków przewidzianych przez
ustawę i koniecznych w demokratycznym społeczeństwie z uwagi
na bezpieczeństwo państwowe, bezpieczeństwo publiczne lub
dobrobyt gospodarczy kraju, ochronę porządku i zapobieganie
przestępstwom, ochronę zdrowia i moralności lub ochronę praw i
wolności osób.
Konstytucja RP (dane osobowe):
Art. 47
Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego
imienia oraz do decydowania o swoim życiu osobistym.
Art. 51
1.Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania
informacji dotyczących jego osoby.
2.Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać
innych informacji o obywatelach niż niezbędne w demokratycznym
państwie prawnym.
3.Każdy ma prawo dostępu do dotyczących go urzędowych
dokumentów i zbiorów danych. Ograniczenie tego prawa może
określić ustawa.
4.Każdy ma prawo do żądania sprostowania oraz usunięcia informacji
nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą.
Prawo do ochrony
Każdy (każda osoba fizyczna) ma prawo
do ochrony dotyczących go danych
osobowych- (art.1).
Ustawa stosuje się do danych zawartych w :
kartotekach, skorowidzach, księgach,
wykazach i innych zbiorach ewidencyjnych,
oraz systemach informatycznych – (art.2)
Zakres stosowania
Kto ma obowiązek stosować przepisy ustawy?
• Organy państwowe i samorządowe;
• Państwowe i komunalne jednostki organizacyjne;
• Podmioty niepubliczne realizujące zadania publiczne;
• Osoby fizyczne i prawne które przetwarzają dane w związku z
działalnością zarobkową, zawodową lub statutową.
art. - 3
Ustawy nie stosuje się do:
1) osób fizycznych, które przetwarzają dane wyłącznie w celach
osobistych lub domowych,
2) podmiotów mających siedzibę lub miejsce zamieszkania w państwie
trzecim, wykorzystujących środki techniczne znajdujące się na
terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania
danych,
3) Przepisów ustawy nie stosuje się, jeżeli umowa międzynarodowa,
której stroną jest RP, stanowi inaczej,
4) Jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania
danych, przewidują dalej idącą ich ochronę, niż wynika to z
niniejszej ustawy, stosuje się przepisy tych ustaw.
DANE OSOBOWE:
wszelkie informacje dotyczące zidentyfikowanej lub
możliwej do zidentyfikowania osoby (art. 6)
 Numery identyfikacyjne: PESEL, NIP, paszport, dowód osobisty
 Cechy fizyczne: wygląd zewnętrzny, siatkówka oka, linie papilarne,
 Cechy fizjologiczne: grupa krwi, kod genetyczny
 Cechy ekonomiczne: status majątkowy, lista zaległości finansowych
 Cechy umysłowe, kulturowe lub społeczne: poglądy, wyznanie( pastor XY), pochodzenie
lub przynależność związkowa
Informacji nie uważa się za umożliwiającą określenie tożsamości osoby,
jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
Przykład:
Czy sam numer karty „Rodzina 3 plus” jest daną
osobową w rozumieniu ustawy o ochronie danych
osobowych?
Odpowiedź:
Tak, ale tylko wtedy, gdy na jego podstawie można bez
nadmiernych kosztów, czasu i działań, określić tożsamość
osoby, do której ta karta należy.
Podstawowe definicje
Zbiór danych- to każdy posiadający strukturę zestaw danych o
charakterze osobowym;
Przetwarzanie danych- to wszelkie operacje wykonywane na danych
osobowych;
System informatyczny- to zespół urządzeń, programów, procedur i
narzędzi zastosowanych w celu przetwarzania danych;
Zabezpieczenie danych w systemie informatycznym- to wdrożenie i
eksploatacja środków technicznych zapewniających ochronę
danych;
Usuwanie danych- to trwałe zniszczenie danych osobowych
uniemożliwiające identyfikację osoby;
Administrator danych- to organ, instytucja, jednostka organizacyjna,
podmiot lub osoba określająca cel i środki przetwarzania danych
osobowych;
Podstawowe definicje c.d.
zgoda osoby, której dane dotyczą – rozumie się przez to oświadczenie
woli, którego treścią jest zgoda na przetwarzanie danych osobowych
tego, kto składa oświadczenie; zgoda nie może być domniemana lub
dorozumiana z oświadczenia woli o innej treści; zgoda może być
odwołana w każdym czasie,
odbiorcy danych - rozumie się przez to każdego, komu udostępnia się
dane osobowe, z wyłączeniem:
a) osoby, której dane dotyczą,
b) osoby upoważnionej do przetwarzania danych,
c) organów państwowych lub organów samorządu terytorialnego,
którym dane są udostępniane w związku z prowadzonym
postępowaniem,
Podstawowe definicje c.d.
Administrator Bezpieczeństwa Informacji - wyznaczony przez AD pracownik
odpowiedzialny za bezpieczeństwo danych osobowych;
Identyfikator użytkownika - ciąg znaków literowych, cyfrowych identyfikujących
osobę upoważnioną do przetwarzania danych osobowych;
Hasło – ciąg znaków znanych wyłącznie użytkownikowi;
Uwierzytelnianie – działanie, którego celem jest weryfikacja deklarowanej
tożsamości podmiotu;
Organy ochrony danych osobowych:
Organem do spraw ochrony danych osobowych jest
Generalny Inspektor Ochrony Danych Osobowych
GIODO- powoływany przez Parlament.
Na wniosek GIODO Marszałek Sejmu może powołać
Zastępcę Generalnego Inspektora (art. 12a).
Inspektorzy Biura GIODO (art. 13/14)
KOMPETENCJE GIODO
• kontrola przetwarzanie danych,
• wydawanie decyzji administracyjnych- nakazów przywrócenia
stanu zgodnego z prawem,
• rejestracja zbiorów danych i prowadzenie rejestru zbiorów
danych,
• zawiadamianie organów ścigania o popełnieniu przestępstwa
przeciwko danym osobowym,
• żądanie wszczęcia wobec pracownika postępowania
dyscyplinarnego lub innego przewidzianego prawem w
przypadku dopuszczenia do uchybień.
Uprawnienia kontrolne Biura GIODO:
 Wstęp do pomieszczeń w których przechowywany
jest zbiór danych osobowych w godz. 6.00 – 22.00;
 Żądanie złożenia wyjaśnień pisemnych lub ustnych w
celu ustalenia stanu faktycznego;
 Wgląd do wszelkich dokumentów;
 Przeprowadzenia oględzin urządzeń, nośników etc.
 Zlecanie sporządzania ekspertyz i opinii.
Kontrole organu ochrony danych osobowych
• Kierownik jednostki organizacyjnej oraz kontrolowana osoba
fizyczna będąca administratorem danych jest zobowiązany do
umożliwienia przeprowadzenia kontroli – inspektor ma
prawo wglądu do zbioru jedynie za pośrednictwem
upoważnionego przedstawiciela jednostki organizacyjnej.
• Protokół pokontrolny podpisują:
- Kontrolowany administrator danych;
- Inspektor GIODO.
Kontrole organu ochrony danych osobowych
Naruszenie przepisów
W przypadku naruszenia przepisów o ochronie danych
osobowych GIODO z urzędu lub na wniosek, w drodze decyzji
administracyjnej nakazuje:
• Przywrócenie stanu zgodnego z prawem;
• Usunięcie uchybień;
• Sprostowanie danych;
• Zastosowanie dodatkowych środków bezpieczeństwa danych;
• Wstrzymanie przekazywania danych;
• Usunięcie danych osobowych.
wzór upoważnienia
Warszawa, dnia 02.02.2005r.
Pieczęć podłużna
GIODO
Upoważnienie imienne
Na podstawie art.14 ustawy z dnia 29 sierpnia 1997r. O ochronie danych osobowych(Dz.U.02.101.926 z późn. zm.)
Upoważniam
Panią/Pana Jan KOWALSKI
Nr legitymacji służbowej inspektora BOZ/GIODO/2712/01 stanowisko – Starszy Inspektor
do:
Wstępu w godz. 6.00-22.00, za okazaniem niniejszego imiennego upoważnienia i legitymacji służbowej, do
pomieszczenia w którym jest zlokalizowany zbiór danych, oraz pomieszczenia , w którym przetwarzane są dane
poza zbiorem danych i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny
zgodności przetwarzania danych z ustawą o ochronie danych osobowych.
•
Żądania złożenia pisemnych i ustnych wyjaśnień
•
Wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli
oraz sporządzania ich kopii.
•
Przeprowadzenia oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania
danych
W: Urząd Miejski w Lublinie
Upoważnienie jest ważne jedynie przy równoczesnym okazaniu legitymacji służbowej.
Termin ważności upoważnienia upływa z dniem- 31.10.2012
Pieczęć urzędowa
…………………………………………
podpis Generalnego Inspektora
Danych Osobowych
wzór legitymacji
Zasady przetwarzania danych osobowych
Przetwarzanie danych jest dopuszczalne wyłącznie, gdy: ( art. 23 )
• osoba, której dotyczą wyrazi na to zgodę (słowo, gest)
• jest to niezbędne w realizacji przepisów prawa, zawierania umowy gdy osoba
której dane dotyczą jest jej stroną, wykonywania zadań dla dobra publicznego
(np. powódź, klęska) , usprawiedliwionych celów realizowanych przez
administratorów danych osobowych,
• przetwarzanie jest niezbędne dla ochrony żywotnych interesów osoby, o
wyrażenie zgody jest niemożliwe, można je przetwarzać do czasu, gdy uzyskanie
zgody stanie się możliwe
Zasady przetwarzania danych osobowych c.d.
Obowiązek informowania
AD (art.24 i 25) jest zobowiązany informować osobę, której dane zbiera o:
• adresie firmy,
• celu zbierania danych,
• źródle posiadania danych,
• prawie dostępu i poprawiania swoich danych,
• dobrowolności lub obowiązku podania danych.
Administrator Danych (art.26) jest w obowiązku dołożenia szczególnej
staranności w celu ochrony interesów osób, których dane dotyczą i zapewnić:
ich przetwarzanie zgodnie z prawem, w określonym celu, poprawnie
merytorycznie, przechowywanie w postaci umożliwiającej identyfikację osób –
Zasady przetwarzania danych osobowych c.d.
Zakaz przetwarzania danych
Zabrania się przetwarzania /dane wrażliwe/:
danych ujawniających - pochodzenie rasowe lub etniczne, poglądy
polityczne, przekonania religijne lub filozoficzne, przynależność
partyjną i związkową jak również danych o stanie zdrowia, kodzie
genetycznym, nałogach lub życiu seksualnym oraz danych
dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a
także innych orzeczeń wydanych w postępowaniu sądowym lub
administracyjnym.
Przetwarzanie danych wrażliwych jest dopuszczalne, jeżeli:
Osoba, której dane dotyczą, wyrazi na to zgodę na piśmie.
Zadania Administratora Danych (art.31)
•
Administratorzy danych chętnie korzystają z usług zewnętrznych instytucji
(agent, procesor) w zakresie przetwarzania danych osobowych.
• Ustawa ODO dopuszcza takie rozwiązania pod pewnymi warunkami,
wymogiem jest zawarcie pisemnej umowy powierzenia, która powinna
regulować następujące kwestie:
•
•
•
•
zakres przetwarzania danych;
cel przetwarzania danych;
dodatkowe postanowienia;
kwestie zastosowania środków ochrony i uprawnienia kontrolne
administratora
• protokół wykonania umowy
Zadania Administratora Bezpieczeństwa Informacji :
• nadzór nad fizycznym zabezpieczeniem pomieszczeń,
• zapewnienie stałej sprawności urządzeń mających wpływ na
bezpieczeństwo danych,
• zarządzanie hasłami, kopiami awaryjnymi,
• nadzór nad obiegiem i przechowywaniem dokumentów
zawierających dane osobowe,
• kontrola procesów przetwarzania danych
Prawa osoby, której dane dotyczą:
• Każdemu przysługuje prawo kontroli przetwarzania danych,
które jej dotyczą (konkretyzacja w art. 32 uodo)
• Administrator udziela odpowiedzi raz na 6 miesięcy, na
wniosek zainteresowanego,
• Termin udzielenia odpowiedzi- 30 dni
Administrator danych odmawia osobie, której dane dotyczą,
udzielenia informacji, jeżeli spowodowałoby to:
1) ujawnienie wiadomości zawierających informacje niejawne,
2) zagrożenie dla obronności lub bezpieczeństwa państwa, życia i
zdrowia ludzi lub bezpieczeństwa i porządku publicznego,
3) zagrożenie dla podstawowego interesu gospodarczego lub
finansowego państwa,
4) istotne naruszenie dóbr osobistych osób, których dane dotyczą,
lub innych osób.
art.34
Zabezpieczanie zbiorów danych art.36 - 39
środki zapewniające ochronę danych
 Administrator Danych ma obowiązek zastosować środki
techniczne i organizacyjne zapewniające ochronę danych
 Administrator ma obowiązek prowadzić dokumentację ochrony
danych, ewidencję osób upoważnionych do przetwarzania
danych.
 Administrator Bezpieczeństwa Informacji sprawuje nadzór nad :
likwidacją, i naprawami sprzętu przez podmioty zewnętrzne –
raporty, notatki etc.
Zabezpieczanie zbiorów danych
tajemnica przetwarzania
• art.37 - do przetwarzania danych mogą być dopuszczone
wyłącznie osoby posiadające upoważnienie nadane przez
administratora danych,
•
art.39 ust.2- osoby, które zostały upoważnione do
przetwarzania danych są obowiązane zachować w tajemnicy
te dane osobowe oraz sposoby ich zabezpieczenia.
Rejestracja zbiorów danych osobowych
Administrator Danych jest obowiązany zgłosić
zbiór danych do rejestracji Generalnemu
Inspektorowi, w celu legalnego przetwarzania
tych danych – art.40
Na żądanie administratora danych może być
wydane zaświadczenie o zarejestrowaniu
zgłoszonego przez niego zbioru.- art.42 ust 3
Rejestracja zbiorów danych osobowych c.d.
•
•
•
•
•
Wniosek
Charakterystyka administratora danych
Cel przetwarzania danych, opis kategorii osób, których dane
dotyczą, oraz zakres przetwarzania danych
Sposób zbierania oraz udostępniania danych
Opis środków technicznych i organizacyjnych zastosowanych
w celach określonych w art.36-39 ustawy z dnia 29 sierpnia
1997r. O ochronie danych osobowych
Zwolnienie z rejestracji
art. 43
•
•
•
•
•
•
•
Administratorzy tajemnicy państwowej,
Krajowy Rejestr Karny, sądy, prokuratura
Kościoły i związki wyznaniowe,
Uczelnie, umowy cywilno - prawne pracowników
Stowarzyszenia, fundacje (zrzeszonych członków)
Listy wyborców – ordynacja wyborcza
Administratorzy usług medycznych, notariatu, adwokatury,
doradcy podatkowi, biura rachunkowe, hurtownie
• Powszechnie dostępnych- książki tel., prasa, internet, księgi
wieczyste
Wykreślenie zbioru z rejestru
•
•
•
Wykreślenie z rejestru zbiorów danych
osobowych jest dokonywane w drodze
decyzji administracyjnej, jeżeli:
Zaprzestano przetwarzania danych w
zarejestrowanym zbiorze;
Rejestracji dokonano z naruszeniem prawa –
(wady wniosku i metod ochrony)
Zabezpieczanie zbiorów danych
• POZIOMY BEZPIECZEŃSTWA
• poziom podstawowy – przyjęty w j.o.
• poziom podwyższony – dane wrażliwe
• poziom wysoki – dostęp podmiotów
zewnętrznych do sieci i baz danych
ODPOWIEDZIALNOŚĆ
• Bezprawne przetwarzanie danych przez
nieuprawnionego
• Udostępnianie danych osobom nieuprawnionym
• Naruszenie obowiązku zabezpieczenia danych
• Nie zgłoszenie danych do rejestru
• Niedopełnienie obowiązku informacyjnego
• Udaremnianie lub utrudnianie wykonania
czynności kontrolnych
ODPOWIEDZIALNOŚĆ
Art. 49.
1. Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie
nie jest dopuszczalne albo do których przetwarzania nie jest
uprawniony, podlega grzywnie, karze ograniczenia wolności albo
pozbawienia wolności do lat 2.
2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających
pochodzenie rasowe lub etniczne, poglądy polityczne,
przekonania religijne lub filozoficzne, przynależność wyznaniową,
partyjną lub związkową, danych o stanie zdrowia, kodzie
genetycznym, nałogach lub życiu seksualnym, sprawca podlega
grzywnie, karze ograniczenia wolności albo pozbawienia wolności
do lat 3.
ODPOWIEDZIALNOŚĆ
Art. 51.
1. Kto administrując zbiorem danych lub będąc obowiązany do
ochrony danych osobowych udostępnia je lub umożliwia dostęp
do nich osobom nieupoważnionym, podlega grzywnie, karze
ograniczenia wolności albo pozbawienia wolności do lat 2.
2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze
ograniczenia wolności albo pozbawienia wolności do roku.
Art. 52.
Kto administrując danymi narusza choćby nieumyślnie obowiązek
zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną,
uszkodzeniem lub zniszczeniem, podlega grzywnie, karze
ograniczenia wolności albo pozbawienia wolności do roku.
ODPOWIEDZIALNOŚĆ
Art. 53.
Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia
wolności do roku.
Art. 54.
Kto administrując zbiorem danych nie dopełnia obowiązku
poinformowania osoby, której dane dotyczą, o jej prawach lub
przekazania tej osobie informacji umożliwiających korzystanie z
praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze
ograniczenia wolności albo pozbawienia wolności do roku.
Art. 54a.
Kto inspektorowi udaremnia lub utrudnia wykonanie czynności
kontrolnej, podlega grzywnie, karze ograniczenia wolności albo
pozbawienia wolności do lat 2.
Download