OCHRONA DANYCH OSOBOWYCH Sławomir Maciejewski Europejska Konwencja Praw Człowieka : Art. 8 Prawo do poszanowania życia prywatnego i rodzinnego 1. Każdy ma prawo do poszanowania swojego życia prywatnego i rodzinnego, swojego mieszkania i swojej korespondencji. 2. Niedopuszczalna jest ingerencja władzy publicznej w korzystanie z tego prawa z wyjątkiem przypadków przewidzianych przez ustawę i koniecznych w demokratycznym społeczeństwie z uwagi na bezpieczeństwo państwowe, bezpieczeństwo publiczne lub dobrobyt gospodarczy kraju, ochronę porządku i zapobieganie przestępstwom, ochronę zdrowia i moralności lub ochronę praw i wolności osób. Konstytucja RP (dane osobowe): Art. 47 Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym. Art. 51 1.Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby. 2.Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. 3.Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa. 4.Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. Prawo do ochrony Każdy (każda osoba fizyczna) ma prawo do ochrony dotyczących go danych osobowych- (art.1). Ustawa stosuje się do danych zawartych w : kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych, oraz systemach informatycznych – (art.2) Zakres stosowania Kto ma obowiązek stosować przepisy ustawy? • Organy państwowe i samorządowe; • Państwowe i komunalne jednostki organizacyjne; • Podmioty niepubliczne realizujące zadania publiczne; • Osoby fizyczne i prawne które przetwarzają dane w związku z działalnością zarobkową, zawodową lub statutową. art. - 3 Ustawy nie stosuje się do: 1) osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych, 2) podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania danych, 3) Przepisów ustawy nie stosuje się, jeżeli umowa międzynarodowa, której stroną jest RP, stanowi inaczej, 4) Jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw. DANE OSOBOWE: wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby (art. 6) Numery identyfikacyjne: PESEL, NIP, paszport, dowód osobisty Cechy fizyczne: wygląd zewnętrzny, siatkówka oka, linie papilarne, Cechy fizjologiczne: grupa krwi, kod genetyczny Cechy ekonomiczne: status majątkowy, lista zaległości finansowych Cechy umysłowe, kulturowe lub społeczne: poglądy, wyznanie( pastor XY), pochodzenie lub przynależność związkowa Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Przykład: Czy sam numer karty „Rodzina 3 plus” jest daną osobową w rozumieniu ustawy o ochronie danych osobowych? Odpowiedź: Tak, ale tylko wtedy, gdy na jego podstawie można bez nadmiernych kosztów, czasu i działań, określić tożsamość osoby, do której ta karta należy. Podstawowe definicje Zbiór danych- to każdy posiadający strukturę zestaw danych o charakterze osobowym; Przetwarzanie danych- to wszelkie operacje wykonywane na danych osobowych; System informatyczny- to zespół urządzeń, programów, procedur i narzędzi zastosowanych w celu przetwarzania danych; Zabezpieczenie danych w systemie informatycznym- to wdrożenie i eksploatacja środków technicznych zapewniających ochronę danych; Usuwanie danych- to trwałe zniszczenie danych osobowych uniemożliwiające identyfikację osoby; Administrator danych- to organ, instytucja, jednostka organizacyjna, podmiot lub osoba określająca cel i środki przetwarzania danych osobowych; Podstawowe definicje c.d. zgoda osoby, której dane dotyczą – rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie, odbiorcy danych - rozumie się przez to każdego, komu udostępnia się dane osobowe, z wyłączeniem: a) osoby, której dane dotyczą, b) osoby upoważnionej do przetwarzania danych, c) organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem, Podstawowe definicje c.d. Administrator Bezpieczeństwa Informacji - wyznaczony przez AD pracownik odpowiedzialny za bezpieczeństwo danych osobowych; Identyfikator użytkownika - ciąg znaków literowych, cyfrowych identyfikujących osobę upoważnioną do przetwarzania danych osobowych; Hasło – ciąg znaków znanych wyłącznie użytkownikowi; Uwierzytelnianie – działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu; Organy ochrony danych osobowych: Organem do spraw ochrony danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych GIODO- powoływany przez Parlament. Na wniosek GIODO Marszałek Sejmu może powołać Zastępcę Generalnego Inspektora (art. 12a). Inspektorzy Biura GIODO (art. 13/14) KOMPETENCJE GIODO • kontrola przetwarzanie danych, • wydawanie decyzji administracyjnych- nakazów przywrócenia stanu zgodnego z prawem, • rejestracja zbiorów danych i prowadzenie rejestru zbiorów danych, • zawiadamianie organów ścigania o popełnieniu przestępstwa przeciwko danym osobowym, • żądanie wszczęcia wobec pracownika postępowania dyscyplinarnego lub innego przewidzianego prawem w przypadku dopuszczenia do uchybień. Uprawnienia kontrolne Biura GIODO: Wstęp do pomieszczeń w których przechowywany jest zbiór danych osobowych w godz. 6.00 – 22.00; Żądanie złożenia wyjaśnień pisemnych lub ustnych w celu ustalenia stanu faktycznego; Wgląd do wszelkich dokumentów; Przeprowadzenia oględzin urządzeń, nośników etc. Zlecanie sporządzania ekspertyz i opinii. Kontrole organu ochrony danych osobowych • Kierownik jednostki organizacyjnej oraz kontrolowana osoba fizyczna będąca administratorem danych jest zobowiązany do umożliwienia przeprowadzenia kontroli – inspektor ma prawo wglądu do zbioru jedynie za pośrednictwem upoważnionego przedstawiciela jednostki organizacyjnej. • Protokół pokontrolny podpisują: - Kontrolowany administrator danych; - Inspektor GIODO. Kontrole organu ochrony danych osobowych Naruszenie przepisów W przypadku naruszenia przepisów o ochronie danych osobowych GIODO z urzędu lub na wniosek, w drodze decyzji administracyjnej nakazuje: • Przywrócenie stanu zgodnego z prawem; • Usunięcie uchybień; • Sprostowanie danych; • Zastosowanie dodatkowych środków bezpieczeństwa danych; • Wstrzymanie przekazywania danych; • Usunięcie danych osobowych. wzór upoważnienia Warszawa, dnia 02.02.2005r. Pieczęć podłużna GIODO Upoważnienie imienne Na podstawie art.14 ustawy z dnia 29 sierpnia 1997r. O ochronie danych osobowych(Dz.U.02.101.926 z późn. zm.) Upoważniam Panią/Pana Jan KOWALSKI Nr legitymacji służbowej inspektora BOZ/GIODO/2712/01 stanowisko – Starszy Inspektor do: Wstępu w godz. 6.00-22.00, za okazaniem niniejszego imiennego upoważnienia i legitymacji służbowej, do pomieszczenia w którym jest zlokalizowany zbiór danych, oraz pomieszczenia , w którym przetwarzane są dane poza zbiorem danych i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą o ochronie danych osobowych. • Żądania złożenia pisemnych i ustnych wyjaśnień • Wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii. • Przeprowadzenia oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych W: Urząd Miejski w Lublinie Upoważnienie jest ważne jedynie przy równoczesnym okazaniu legitymacji służbowej. Termin ważności upoważnienia upływa z dniem- 31.10.2012 Pieczęć urzędowa ………………………………………… podpis Generalnego Inspektora Danych Osobowych wzór legitymacji Zasady przetwarzania danych osobowych Przetwarzanie danych jest dopuszczalne wyłącznie, gdy: ( art. 23 ) • osoba, której dotyczą wyrazi na to zgodę (słowo, gest) • jest to niezbędne w realizacji przepisów prawa, zawierania umowy gdy osoba której dane dotyczą jest jej stroną, wykonywania zadań dla dobra publicznego (np. powódź, klęska) , usprawiedliwionych celów realizowanych przez administratorów danych osobowych, • przetwarzanie jest niezbędne dla ochrony żywotnych interesów osoby, o wyrażenie zgody jest niemożliwe, można je przetwarzać do czasu, gdy uzyskanie zgody stanie się możliwe Zasady przetwarzania danych osobowych c.d. Obowiązek informowania AD (art.24 i 25) jest zobowiązany informować osobę, której dane zbiera o: • adresie firmy, • celu zbierania danych, • źródle posiadania danych, • prawie dostępu i poprawiania swoich danych, • dobrowolności lub obowiązku podania danych. Administrator Danych (art.26) jest w obowiązku dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą i zapewnić: ich przetwarzanie zgodnie z prawem, w określonym celu, poprawnie merytorycznie, przechowywanie w postaci umożliwiającej identyfikację osób – Zasady przetwarzania danych osobowych c.d. Zakaz przetwarzania danych Zabrania się przetwarzania /dane wrażliwe/: danych ujawniających - pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność partyjną i związkową jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Przetwarzanie danych wrażliwych jest dopuszczalne, jeżeli: Osoba, której dane dotyczą, wyrazi na to zgodę na piśmie. Zadania Administratora Danych (art.31) • Administratorzy danych chętnie korzystają z usług zewnętrznych instytucji (agent, procesor) w zakresie przetwarzania danych osobowych. • Ustawa ODO dopuszcza takie rozwiązania pod pewnymi warunkami, wymogiem jest zawarcie pisemnej umowy powierzenia, która powinna regulować następujące kwestie: • • • • zakres przetwarzania danych; cel przetwarzania danych; dodatkowe postanowienia; kwestie zastosowania środków ochrony i uprawnienia kontrolne administratora • protokół wykonania umowy Zadania Administratora Bezpieczeństwa Informacji : • nadzór nad fizycznym zabezpieczeniem pomieszczeń, • zapewnienie stałej sprawności urządzeń mających wpływ na bezpieczeństwo danych, • zarządzanie hasłami, kopiami awaryjnymi, • nadzór nad obiegiem i przechowywaniem dokumentów zawierających dane osobowe, • kontrola procesów przetwarzania danych Prawa osoby, której dane dotyczą: • Każdemu przysługuje prawo kontroli przetwarzania danych, które jej dotyczą (konkretyzacja w art. 32 uodo) • Administrator udziela odpowiedzi raz na 6 miesięcy, na wniosek zainteresowanego, • Termin udzielenia odpowiedzi- 30 dni Administrator danych odmawia osobie, której dane dotyczą, udzielenia informacji, jeżeli spowodowałoby to: 1) ujawnienie wiadomości zawierających informacje niejawne, 2) zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego, 3) zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa, 4) istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób. art.34 Zabezpieczanie zbiorów danych art.36 - 39 środki zapewniające ochronę danych Administrator Danych ma obowiązek zastosować środki techniczne i organizacyjne zapewniające ochronę danych Administrator ma obowiązek prowadzić dokumentację ochrony danych, ewidencję osób upoważnionych do przetwarzania danych. Administrator Bezpieczeństwa Informacji sprawuje nadzór nad : likwidacją, i naprawami sprzętu przez podmioty zewnętrzne – raporty, notatki etc. Zabezpieczanie zbiorów danych tajemnica przetwarzania • art.37 - do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych, • art.39 ust.2- osoby, które zostały upoważnione do przetwarzania danych są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia. Rejestracja zbiorów danych osobowych Administrator Danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, w celu legalnego przetwarzania tych danych – art.40 Na żądanie administratora danych może być wydane zaświadczenie o zarejestrowaniu zgłoszonego przez niego zbioru.- art.42 ust 3 Rejestracja zbiorów danych osobowych c.d. • • • • • Wniosek Charakterystyka administratora danych Cel przetwarzania danych, opis kategorii osób, których dane dotyczą, oraz zakres przetwarzania danych Sposób zbierania oraz udostępniania danych Opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art.36-39 ustawy z dnia 29 sierpnia 1997r. O ochronie danych osobowych Zwolnienie z rejestracji art. 43 • • • • • • • Administratorzy tajemnicy państwowej, Krajowy Rejestr Karny, sądy, prokuratura Kościoły i związki wyznaniowe, Uczelnie, umowy cywilno - prawne pracowników Stowarzyszenia, fundacje (zrzeszonych członków) Listy wyborców – ordynacja wyborcza Administratorzy usług medycznych, notariatu, adwokatury, doradcy podatkowi, biura rachunkowe, hurtownie • Powszechnie dostępnych- książki tel., prasa, internet, księgi wieczyste Wykreślenie zbioru z rejestru • • • Wykreślenie z rejestru zbiorów danych osobowych jest dokonywane w drodze decyzji administracyjnej, jeżeli: Zaprzestano przetwarzania danych w zarejestrowanym zbiorze; Rejestracji dokonano z naruszeniem prawa – (wady wniosku i metod ochrony) Zabezpieczanie zbiorów danych • POZIOMY BEZPIECZEŃSTWA • poziom podstawowy – przyjęty w j.o. • poziom podwyższony – dane wrażliwe • poziom wysoki – dostęp podmiotów zewnętrznych do sieci i baz danych ODPOWIEDZIALNOŚĆ • Bezprawne przetwarzanie danych przez nieuprawnionego • Udostępnianie danych osobom nieuprawnionym • Naruszenie obowiązku zabezpieczenia danych • Nie zgłoszenie danych do rejestru • Niedopełnienie obowiązku informacyjnego • Udaremnianie lub utrudnianie wykonania czynności kontrolnych ODPOWIEDZIALNOŚĆ Art. 49. 1. Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3. ODPOWIEDZIALNOŚĆ Art. 51. 1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art. 52. Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. ODPOWIEDZIALNOŚĆ Art. 53. Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art. 54. Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art. 54a. Kto inspektorowi udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.