Ochrona danych osobowych Panel nr I: Usytuowanie prawne, organy, definicje, możliwe operacje Usytuowanie prawne Konstytucja RP z 1997 r. Art. 47 Każdy ma prawo do ochrony życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym. Art. 51 1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby. 2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. 3. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa. 4. Każdy ma prawo pożądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. 5. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych ( Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) Akty wykonawcze: Rozporządzenia MSWiA 1. z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz.1024). 2. z dnia 22 kwietnia 2004 r. w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Danych Osobowych (Dz.U. Nr 94, poz. 923). 3. z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz.U. Nr 229, poz. 1536). 4. zarządzenie Prezydenta Miasta Poznania nr 20/2005/K z dnia 20 kwietnia 2005 r. w sprawie wprowadzenia Polityki bezpieczeństwa wymaganej dla właściwego udokumentowania procesu przetwarzania danych osobowych w Urzędzie Miasta Poznania. 5. zarządzenie Prezydenta Miasta Poznania nr 11/2006/K z dnia 21 lutego 2006 r. w sprawie wykonywania przez wydziały Urzędu Miasta Poznania 1 przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych 6. zarządzenie Prezydenta Miasta Poznania nr 1/2008/K z dnia 2 stycznia 2008 r. w sprawie wprowadzenia Instrukcji określającej sposób zarządzania systemem informatycznym służącym do przetwarzania danych osobowych oraz Instrukcji postępowania w sytuacjach naruszenia ochrony danych osobowych. Generalny Inspektor Ochrony Danych Osobowych Zadania GIODO: 1. kontrola zgodności przetwarzania danych; 2. wydawanie decyzji administracyjnych i rozpatrywanie skarg; 3. prowadzenie rejestru zbiorów danych; 4. opiniowanie projektów ustaw i rozporządzeń; 5. prowadzenie działań w zakresie doskonalenia ochrony danych osobowych; 6. uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych. Uprawnienia GIODO: 1. wstęp do pomieszczeń; 2. przeprowadzenie niezbędnych badań lub innych czynności kontrolnych; 3. żądanie złożenia pisemnych lub ustnych wyjaśnień, wzywanie na przesłuchiwanie osób; 4. wgląd do wszelkich dokumentów i danych oraz prawo do sporządzania ich kopii; 5. przeprowadzenie oględzin urządzeń , nośników oraz systemów informatycznych; 6. zlecanie sporządzania ekspertyz i opinii. Organem do spraw ochrony danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych. Powoływany przez Sejm za zgodą Senatu. Obywatel polski, stale zamieszkujący w Polsce, wysoki autorytet moralny, wyższe wykształcenie prawnicze i odpowiednie doświadczenie zawodowe, niekarany. Podlega tylko ustawie. Kadencja trwa 4 lata, maksymalnie 2 kadencje. Ściśle określone przyczyny odwołania. 2 Zakaz członkowstwa w partiach politycznych i związkach zawodowych. Immunitet. Dane osobowe Definicja danych: Art. 6 1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. 2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. 3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Ćwiczenie nr 1 Proszę podać przykłady danych osobowych umożliwiających zidentyfikowanie osoby, a niebędące jej imieniem i nazwiskiem. Informacja o przedsiębiorcach: Informacje o przedsiębiorcach są jawne, gdyż ochrona danych osobowych „nie odnosi się do danych indywidualnych tj. dających się powiązać z podmiotem gospodarczym albo inną osobą prawną lub jednostką organizacyjną niemającą osobowości prawnej, mimo, że dane te tworzą wspólnie z danymi osobowymi jedną kategorię danych jednostkowych” (na podstawie Wyrok NSA z dnia 28 listopada 2002r. sygn. Akt II SA 3389/01). Informacja o osobach zmarłych: Zdolność prawna człowieka, a tym samym zdolność do bycia podmiotem praw i obowiązków ustaje z chwilą jego śmierci. Dane szczególnie chronione: To dane ujawniające: Pochodzenie rasowe lub etniczne; Poglądy polityczne; Przekonania religijne lub filozoficzne; Przynależność wyznaniową, partyjną, lub związkową; O stanie zdrowia; O kodzie genetycznym; O nałogach lub życiu seksualnym; 3 O skazaniach; O orzeczeniach o ukaraniu i mandatach karnych; O innych orzeczeniach wydanych w postępowaniu sądowym lub administracyjnym. Zbiór danych osobowych to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Ćwiczenia nr 2 i 3 Analiza wniosku o udostępnienie informacji publicznej o treści: Na podstawie ustawy o dostępie do informacji publicznej proszę o przesłanie kopii: umowy zawartej ze studentką odbywającą staż studencki podczas zimowej edycji staży w 2008r. w Wydziale Rozwoju Miasta Urzędu Miasta Poznania; umowy zawartej w ramach projektu „Utworzenie ogólnodostępnych stref rekreacji dziecięcej w Poznaniu organizację zajęć pozalekcyjnych”, na realizację zajęć przy Szkole Podstawowej Nr 25, w terminie od 16 marca 2009r. do 30 czerwca 2009 r. Przetwarzanie danych osobowych Przetwarzanie danych to jakiekolwiek operacje wykonywane na danych osobowych takie jak: utrwalanie; zbieranie; przechowywanie; opracowywanie; zmienianie; udostępnianie; usuwanie. Dylemat: czy anonimizacja to przetwarzanie danych? Ćwiczenie nr 4 Proszę podać sposoby anonimizacji dokumentów papierowych i elektronicznych. Zasady przetwarzania danych osobowych: Główne zasady postępowania przy przetwarzaniu danych osobowych wyznacza art. 26 ust. 1 ustawy, ujmując je w formę podstawowych obowiązków administratora danych. Z jego treści wynika, iż powinien on dołożyć szczególnej 4 staranności w celu ochrony interesów osób, których dane dotyczą, a co za tym idzie ma on przestrzegać pewnych zasad: 1. zasada legalności – przetwarzać dane zgodnie z prawem, 2. zasada celowości – zbierać dane dla oznaczonych, zgodnych z prawem celów i nie poddawać ich dalszemu przetwarzaniu niezgodnemu z tymi celami, 3. zasada merytorycznej poprawności – dbać o merytoryczną poprawność danych, 4. zasada adekwatności – dbać o adekwatność danych w stosunku do celów, w jakich są przetwarzane, 5. zasada ograniczenia czasowego – przechowywać dane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. Panel nr II: Ochrona formalno-prawna danych osobowych Powierzenie przetwarzania danych odbywa się w formie pisemnej umowy i nie wyłącza odpowiedzialności administratora. Zgoda na przetwarzanie danych to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści!!! Nasze działania są zgodne z literą prawa gdy: 1. osoba, której dane dotyczą wyraziła na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych; 2. jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa; 3. jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą; 4. jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego; 5. jest to niezbędne dla wypełniania prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Udostępnianie danych osobowych jest możliwe: W przypadku udostępniania danych administrator danych (prezydent, dyrektor właściwej jednostki) udostępnia posiadane w zbiorze dane 5 osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa. Dane mogą być udostępnione (za wyjątkiem danych szczególnie chronionych) osobom i podmiotom, jeżeli w sposób wiarygodny uzasadnią one potrzebę posiadania tych danych, a ich udostępnienie nie naruszy praw i wolności osób, których dane dotyczą. Udostępnianie danych osobowych należy również rozpatrywać w korelacji z art. 27 uodo. Zabezpieczenie danych: 1. Rejestracja zbioru danych osobowych, jeżeli jest to konieczne. 2. Dopuszczenie do przetwarzania danych wyłącznie osób posiadających upoważnienie nadane przez administratora danych. 3. Zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. 4. Ewidencja osób upoważnionych do przetwarzania danych. 5. Obowiązek zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia. 6. Stosowanie zasad określonych w Zarządzeniu Prezydenta w sprawie ochrony danych osobowych, Polityce Bezpieczeństwa oraz Instrukcji zarządzania systemem informatycznym. Projekt e-GIODO i rejestracja wniosku W ramach projektu e-GIODO w Internecie udostępnione są następujące usługi: 1. udostępnienie użytkownikom publicznym ogólnokrajowego jawnego rejestru zbiorów danych osobowych; 2. udostępnienie aplikacji wspomagającej wypełnianie wniosku o rejestrację zbioru danych osobowych; 3. umożliwienie wykonania obowiązku rejestracji zbioru drogą elektroniczną (podmiotom dysponującym kwalifikowanym certyfikatem dla składania podpisu elektronicznego); 4. źródło udostępniania opinii, interpretacji przepisów prawa związanych z ochroną danych osobowych. Rozpoczęcie przetwarzania danych osobowych: dane zwykłe- po zgłoszeniu tego zbioru Generalnemu Inspektorowi, chyba, że ustawa zwalnia z tego obowiązku; dane szczególnie chronione – po zarejestrowaniu zbioru chyba, że ustawa zwalnia z tego obowiązku; Wyłączenia z obowiązku rejestracji zbiorów danych osobowych: 6 1. dane objęte są tajemnicą państwową lub uzyskanych w wyniku czynności operacyjno – rozpoznawczych; 2. przetwarzanych dla potrzeb postępowania sądowego i inne organy wymienione w ustawie; 3. dotyczące osób należących do kościoła lub innego związku wyznaniowego; 4. przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczące osób u nich zrzeszonych lub uczących się (dotyczy również absolwentów i byłych pracowników); 5. dotyczących osób korzystających z ich usług medycznych (Kasa Chorych?), obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta; 6. dla przeprowadzenia wyborów 7. dotyczących osób pozbawionych wolności; 8. przetwarzanych wyłącznie w celu wystawienia faktury; 9. powszechnie dostępnych; 10.przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu; 11.przetwarzanych w zakresie drobnych bieżących spraw życia codziennego. Ćwiczenie nr 5 Śledzenie rejestracji zbioru PEKA. Panel nr III: Ochrona fizyczna danych osobowych Ważne informacje • Administrator danych osobowych to Prezydent Miasta Poznania • Administrator Bezpieczeństwa Informacji to p. Alicja Stefanowska Wydział Spraw Obywatelskich tel. 8784 – 361 • Pełnomocnik Prezydenta ds. Informacji Niejawnych to p. Katarzyna Wilk dyrektor Wydziału Spraw Obywatelskich tel. 8784 - 405 • Każdy dyrektor powinien otrzymać upoważnienie do zbioru danych osobowych posiadanych w Wydziale • Nie wolno udostępniać swojego hasła do logowania do systemów informatycznych. Hasło jest tajne!!!! Ochrona danych w sieci: Przypominam o kilku głównych zasadach dotyczących wyłączeń z publikacji informacji: • Ochrona tajemnicy państwowej i służbowej – zasady tej ochrony określone zostały w ustawie z dnia 5 sierpnia 2010 r. o ochronie 7 • • • • • • • informacji niejawnej (Dz.U. z 2010 r. Nr 182, poz. 1228). Informacją niejawną jest taka, której nieuprawnione ujawnienie spowodowałoby lub mogłoby spowodować szkody dla Rzeczypospolitej Polskiej. Informacje niejawne dzielą się na klauzule: ”ściśle tajne” i „tajne”, oraz „poufne” i „zastrzeżone”. Tajemnica przedsiębiorstwa ustanowiona została przepisami ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (Dz. U. z 2003 r. Nr 153, poz. 1503 ze zmianami). Przez tajemnicę przedsiębiorstwa rozumie się nieujawnione do wiadomości publicznej wiadomości techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą, co do których przedsiębiorca podjął niezbędne kroki w celu zachowania ich poufności. Ochrona informacji w postępowaniu o udzielenie zamówienia publicznego – ustawa z dnia 29 stycznia 2004 r. Prawo zamówień publicznych (Dz. U. z 2010 r. Nr 113, poz. 759) wprowadza zasadę jawności postępowania o udzielenie zamówienia publicznego, nie oznacza to jednak, że wszystkie informacje wytworzone i uzyskane w trakcie postępowania są jawne. Tajemnica pomocy społecznej – przepisy ustawy z dnia 12 marca 2004 r. o pomocy społecznej (Dz. U. z 2009 r. Nr 175, poz. 1362 ze zmianami) upoważniają do zbierania informacji o sytuacji osoby ubiegającej się oświadczenia pomocy społecznej, nie należy podawać do wiadomości publicznej nazwisk osób korzystających z pomocy oraz informacji o rodzaju i zakresie przyznawanego świadczenia. Tajemnica skarbowa określona jest przez Ordynację podatkową (Dz.. U. z 2005 r. Nr 8, poz. 60 ze zmianami), obejmuje dane zawarte w deklaracji oraz innych składanych przez podatników, płatników lub interesantów. Tajemnica postępowania administracyjnego - Kodeks postępowania administracyjnego zawiera szereg przepisów, z których wynika ograniczenie do pewnych informacji publicznych. Prawo przeglądania akt sprawy mają strony postępowania. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zmianami) nakazuje anonimizację dokumentów wówczas, gdy ich udostępnienie nie jest regulowane innymi przepisami. Anonimizacja obejmuje m.in.: takie dane osoby fizycznej jak: PESEL, nr dowodu tożsamości, adres zamieszkania, nr telefonu, nr konta bankowego itp. – nawet w przypadku gdy dotyczą one osób pełniących funkcje publiczne. W celu udostępnienia danych osobowych każdorazowo należy wskazać podstawę ich przetwarzania. Dodatkowo należy pamiętać o zasadach udostępniania informacji określonych w innych przepisach szczegółowych np. w prawie geodezyjnym i kartograficznym, o ochronie środowiska, zagospodarowaniu przestrzennym. 8 Administratorem danych osobowych posiadanych przez Urząd Miasta Poznania jest Prezydent Miasta, który upoważnia dyrektorów wydziałów do wglądu lub przetwarzania danych w zbiorach posiadanych przez tę jednostkę. Zbiory manualne chronimy ograniczając dostęp do zbioru przez zamykanie w szafie drewnianej lub metalowej na klucz. Zbiory elektroniczne chronimy przez zastosowanie odpowiednich narzędzi ochrony systemów na odpowiednim poziomie. Poziomy bezpieczeństwa przetwarzania danych w systemie informatycznym to: podstawowy; podwyższony; wysoki. Ćwiczenie nr 6 Analiza artykułu pt. „Dziewięcioro przykazań” Opracowała: Katarzyna Doda Wydział Organizacyjny styczeń 2011 r. Źródło: Ustawa o ochronie danych osobowych; Komentarz do ustawy o dostępie do informacji publicznej – T. R. Aleksandrowicz wyd. 4; www.giodo.gov.pl . inne materiały i artykuły specjalistyczne 9