Ochrona danych osobowych

advertisement
Ochrona danych osobowych
Panel nr I:
Usytuowanie prawne, organy, definicje, możliwe operacje
Usytuowanie prawne
Konstytucja RP z 1997 r.
Art. 47
Każdy ma prawo do ochrony życia prywatnego, rodzinnego, czci i dobrego
imienia oraz do decydowania o swoim życiu osobistym.
Art. 51
1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do
ujawniania informacji dotyczących jego osoby.
2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych
informacji o obywatelach niż niezbędne w demokratycznym państwie
prawnym.
3. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i
zbiorów danych. Ograniczenie tego prawa może określić ustawa.
4. Każdy ma prawo pożądania sprostowania oraz usunięcia informacji
nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą.
5. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych ( Dz. U. z 2002
r. Nr 101, poz. 926 ze zm.)
Akty wykonawcze:
Rozporządzenia MSWiA
1. z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych
osobowych oraz warunków technicznych i organizacyjnych, jakim
powinny odpowiadać urządzenia i systemy informatyczne służące do
przetwarzania danych osobowych (Dz.U. Nr 100, poz.1024).
2. z dnia 22 kwietnia 2004 r. w sprawie wzorów imiennego upoważnienia i
legitymacji służbowej inspektora Biura Generalnego Inspektora Danych
Osobowych (Dz.U. Nr 94, poz. 923).
3. z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do
rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych
(Dz.U. Nr 229, poz. 1536).
4. zarządzenie Prezydenta Miasta Poznania nr 20/2005/K z dnia 20 kwietnia
2005 r. w sprawie wprowadzenia Polityki bezpieczeństwa wymaganej dla
właściwego udokumentowania procesu przetwarzania danych osobowych
w Urzędzie Miasta Poznania.
5. zarządzenie Prezydenta Miasta Poznania nr 11/2006/K z dnia 21 lutego
2006 r. w sprawie wykonywania przez wydziały Urzędu Miasta Poznania
1
przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych
osobowych
6. zarządzenie Prezydenta Miasta Poznania nr 1/2008/K z dnia 2 stycznia
2008 r. w sprawie wprowadzenia Instrukcji określającej sposób
zarządzania systemem informatycznym służącym do przetwarzania
danych osobowych oraz Instrukcji postępowania w sytuacjach naruszenia
ochrony danych osobowych.
Generalny Inspektor Ochrony Danych Osobowych
Zadania GIODO:
1. kontrola zgodności przetwarzania danych;
2. wydawanie decyzji administracyjnych i rozpatrywanie skarg;
3. prowadzenie rejestru zbiorów danych;
4. opiniowanie projektów ustaw i rozporządzeń;
5. prowadzenie działań w zakresie doskonalenia ochrony danych
osobowych;
6. uczestniczenie w pracach międzynarodowych organizacji i instytucji
zajmujących się problematyką ochrony danych osobowych.
Uprawnienia GIODO:
1. wstęp do pomieszczeń;
2. przeprowadzenie niezbędnych badań lub innych czynności kontrolnych;
3. żądanie złożenia pisemnych lub ustnych wyjaśnień, wzywanie na
przesłuchiwanie osób;
4. wgląd do wszelkich dokumentów i danych oraz prawo do sporządzania
ich kopii;
5. przeprowadzenie oględzin urządzeń , nośników oraz systemów
informatycznych;
6. zlecanie sporządzania ekspertyz i opinii.
Organem do spraw ochrony danych osobowych jest Generalny Inspektor
Ochrony Danych Osobowych.
Powoływany przez Sejm za zgodą Senatu.
Obywatel polski, stale zamieszkujący w Polsce, wysoki autorytet moralny,
wyższe wykształcenie prawnicze i odpowiednie doświadczenie zawodowe,
niekarany.
Podlega tylko ustawie.
Kadencja trwa 4 lata, maksymalnie 2 kadencje.
Ściśle określone przyczyny odwołania.
2
Zakaz członkowstwa w partiach politycznych i związkach zawodowych.
Immunitet.
Dane osobowe
Definicja danych:
Art. 6
1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje
dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby
fizycznej.
2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można
określić bezpośrednio lub pośrednio w szczególności przez powołanie się
na numer identyfikacyjny albo jeden lub kilka specyficznych czynników
określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne,
kulturowe lub społeczne.
3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby,
jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
Ćwiczenie nr 1
Proszę podać przykłady danych osobowych umożliwiających zidentyfikowanie
osoby, a niebędące jej imieniem i nazwiskiem.
Informacja o przedsiębiorcach:
Informacje o przedsiębiorcach są jawne, gdyż ochrona danych osobowych „nie
odnosi się do danych indywidualnych tj. dających się powiązać z podmiotem
gospodarczym albo inną osobą prawną lub jednostką organizacyjną niemającą
osobowości prawnej, mimo, że dane te tworzą wspólnie z danymi osobowymi
jedną kategorię danych jednostkowych” (na podstawie Wyrok NSA z dnia 28
listopada 2002r. sygn. Akt II SA 3389/01).
Informacja o osobach zmarłych:
Zdolność prawna człowieka, a tym samym zdolność do bycia podmiotem praw i
obowiązków ustaje z chwilą jego śmierci.
Dane szczególnie chronione:
To dane ujawniające:
 Pochodzenie rasowe lub etniczne;
 Poglądy polityczne;
 Przekonania religijne lub filozoficzne;
 Przynależność wyznaniową, partyjną, lub związkową;
 O stanie zdrowia;
 O kodzie genetycznym;
 O nałogach lub życiu seksualnym;
3
 O skazaniach;
 O orzeczeniach o ukaraniu i mandatach karnych;
 O innych orzeczeniach wydanych w postępowaniu sądowym lub
administracyjnym.
Zbiór danych osobowych to każdy posiadający strukturę zestaw danych o
charakterze osobowym, dostępnych według określonych kryteriów, niezależnie
od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.
Ćwiczenia nr 2 i 3
Analiza wniosku o udostępnienie informacji publicznej o treści:
Na podstawie ustawy o dostępie do informacji publicznej proszę o przesłanie
kopii:
 umowy zawartej ze studentką odbywającą staż studencki podczas
zimowej edycji staży w 2008r. w Wydziale Rozwoju Miasta Urzędu Miasta
Poznania;
 umowy zawartej w ramach projektu „Utworzenie ogólnodostępnych stref
rekreacji dziecięcej w Poznaniu organizację zajęć pozalekcyjnych”, na
realizację zajęć przy Szkole Podstawowej Nr 25, w terminie od 16 marca
2009r. do 30 czerwca 2009 r.
Przetwarzanie danych osobowych
Przetwarzanie danych to jakiekolwiek operacje wykonywane na danych
osobowych takie jak:
 utrwalanie;
 zbieranie;
 przechowywanie;
 opracowywanie;
 zmienianie;
 udostępnianie;
 usuwanie.
Dylemat: czy anonimizacja to przetwarzanie danych?
Ćwiczenie nr 4
Proszę podać sposoby anonimizacji dokumentów papierowych i elektronicznych.
Zasady przetwarzania danych osobowych:
Główne zasady postępowania przy przetwarzaniu danych osobowych wyznacza
art. 26 ust. 1 ustawy, ujmując je w formę podstawowych obowiązków
administratora danych. Z jego treści wynika, iż powinien on dołożyć szczególnej
4
staranności w celu ochrony interesów osób, których dane dotyczą, a co za tym
idzie ma on przestrzegać pewnych zasad:
1. zasada legalności – przetwarzać dane zgodnie z prawem,
2. zasada celowości – zbierać dane dla oznaczonych, zgodnych z prawem
celów i nie poddawać ich dalszemu przetwarzaniu niezgodnemu z tymi
celami,
3. zasada merytorycznej poprawności – dbać o merytoryczną poprawność
danych,
4. zasada adekwatności – dbać o adekwatność danych w stosunku do celów,
w jakich są przetwarzane,
5. zasada ograniczenia czasowego – przechowywać dane w postaci
umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to
niezbędne do osiągnięcia celu przetwarzania.
Panel nr II:
Ochrona formalno-prawna danych osobowych
Powierzenie przetwarzania danych odbywa się w formie pisemnej umowy i nie
wyłącza odpowiedzialności administratora.
Zgoda na przetwarzanie danych to oświadczenie woli, którego treścią jest zgoda
na przetwarzanie danych osobowych tego, kto składa oświadczenie.
Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej
treści!!!
Nasze działania są zgodne z literą prawa gdy:
1. osoba, której dane dotyczą wyraziła na to zgodę, chyba że chodzi o
usunięcie dotyczących jej danych;
2. jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku
wynikającego z przepisu prawa;
3. jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą jest
jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem
umowy na żądanie osoby, której dane dotyczą;
4. jest niezbędne do wykonania określonych prawem zadań realizowanych
dla dobra publicznego;
5. jest to niezbędne dla wypełniania prawnie usprawiedliwionych celów
realizowanych przez administratorów danych albo odbiorców danych, a
przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Udostępnianie danych osobowych jest możliwe:
 W przypadku udostępniania danych administrator danych (prezydent,
dyrektor właściwej jednostki) udostępnia posiadane w zbiorze dane
5
osobom lub podmiotom uprawnionym do ich otrzymania na mocy
przepisów prawa.
 Dane mogą być udostępnione (za wyjątkiem danych szczególnie
chronionych) osobom i podmiotom, jeżeli w sposób wiarygodny
uzasadnią one potrzebę posiadania tych danych, a ich udostępnienie nie
naruszy praw i wolności osób, których dane dotyczą.
Udostępnianie danych osobowych należy również rozpatrywać w korelacji z
art. 27 uodo.
Zabezpieczenie danych:
1. Rejestracja zbioru danych osobowych, jeżeli jest to konieczne.
2. Dopuszczenie do przetwarzania danych wyłącznie osób
posiadających upoważnienie nadane przez administratora danych.
3. Zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez
kogo zostały do zbioru wprowadzone oraz komu są przekazywane.
4. Ewidencja osób upoważnionych do przetwarzania danych.
5. Obowiązek zachowania w tajemnicy danych osobowych oraz
sposobów ich zabezpieczenia.
6. Stosowanie zasad określonych w Zarządzeniu Prezydenta w
sprawie ochrony danych osobowych, Polityce Bezpieczeństwa oraz
Instrukcji zarządzania systemem informatycznym.
Projekt e-GIODO i rejestracja wniosku
W ramach projektu e-GIODO w Internecie udostępnione są następujące usługi:
1. udostępnienie użytkownikom publicznym ogólnokrajowego jawnego
rejestru zbiorów danych osobowych;
2. udostępnienie aplikacji wspomagającej wypełnianie wniosku o rejestrację
zbioru danych osobowych;
3. umożliwienie wykonania obowiązku rejestracji zbioru drogą
elektroniczną (podmiotom dysponującym kwalifikowanym certyfikatem
dla składania podpisu elektronicznego);
4. źródło udostępniania opinii, interpretacji przepisów prawa związanych z
ochroną danych osobowych.
Rozpoczęcie przetwarzania danych osobowych:
 dane zwykłe- po zgłoszeniu tego zbioru Generalnemu
Inspektorowi, chyba, że ustawa zwalnia z tego obowiązku;
 dane szczególnie chronione – po zarejestrowaniu zbioru chyba, że
ustawa zwalnia z tego obowiązku;
Wyłączenia z obowiązku rejestracji zbiorów danych osobowych:
6
1. dane objęte są tajemnicą państwową lub uzyskanych w wyniku czynności
operacyjno – rozpoznawczych;
2. przetwarzanych dla potrzeb postępowania sądowego i inne organy
wymienione w ustawie;
3. dotyczące osób należących do kościoła lub innego związku
wyznaniowego;
4. przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im
usług na podstawie umów cywilnoprawnych, a także dotyczące osób u
nich zrzeszonych lub uczących się (dotyczy również absolwentów i
byłych pracowników);
5. dotyczących osób korzystających z ich usług medycznych (Kasa
Chorych?), obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika
patentowego, doradcy podatkowego lub biegłego rewidenta;
6. dla przeprowadzenia wyborów
7. dotyczących osób pozbawionych wolności;
8. przetwarzanych wyłącznie w celu wystawienia faktury;
9. powszechnie dostępnych;
10.przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania
dyplomu;
11.przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.
Ćwiczenie nr 5
Śledzenie rejestracji zbioru PEKA.
Panel nr III: Ochrona fizyczna danych osobowych
Ważne informacje
• Administrator danych osobowych to Prezydent Miasta Poznania
• Administrator Bezpieczeństwa Informacji to p. Alicja Stefanowska
Wydział Spraw Obywatelskich tel. 8784 – 361
• Pełnomocnik Prezydenta ds. Informacji Niejawnych to p. Katarzyna Wilk
dyrektor Wydziału Spraw Obywatelskich tel. 8784 - 405
• Każdy dyrektor powinien otrzymać upoważnienie do zbioru danych
osobowych posiadanych w Wydziale
• Nie wolno udostępniać swojego hasła do logowania do
systemów informatycznych. Hasło jest tajne!!!!
Ochrona danych w sieci:
Przypominam o kilku głównych zasadach dotyczących wyłączeń z publikacji
informacji:
• Ochrona tajemnicy państwowej i służbowej – zasady tej ochrony
określone zostały w ustawie z dnia 5 sierpnia 2010 r. o ochronie
7
•
•
•
•
•
•
•
informacji niejawnej (Dz.U. z 2010 r. Nr 182, poz. 1228). Informacją
niejawną jest taka, której nieuprawnione ujawnienie spowodowałoby lub
mogłoby spowodować szkody dla Rzeczypospolitej Polskiej. Informacje
niejawne dzielą się na klauzule: ”ściśle tajne” i „tajne”, oraz „poufne” i
„zastrzeżone”.
Tajemnica przedsiębiorstwa ustanowiona została przepisami ustawy z
dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (Dz. U. z
2003 r. Nr 153, poz. 1503 ze zmianami). Przez tajemnicę
przedsiębiorstwa rozumie się nieujawnione do wiadomości publicznej
wiadomości techniczne, technologiczne, organizacyjne przedsiębiorstwa
lub inne informacje posiadające wartość gospodarczą, co do których
przedsiębiorca podjął niezbędne kroki w celu zachowania ich poufności.
Ochrona informacji w postępowaniu o udzielenie zamówienia
publicznego – ustawa z dnia 29 stycznia 2004 r. Prawo zamówień
publicznych (Dz. U. z 2010 r. Nr 113, poz. 759) wprowadza zasadę
jawności postępowania o udzielenie zamówienia publicznego, nie oznacza
to jednak, że wszystkie informacje wytworzone i uzyskane w trakcie
postępowania są jawne.
Tajemnica pomocy społecznej – przepisy ustawy z dnia 12 marca 2004
r. o pomocy społecznej (Dz. U. z 2009 r. Nr 175, poz. 1362 ze zmianami)
upoważniają do zbierania informacji o sytuacji osoby ubiegającej się
oświadczenia pomocy społecznej, nie należy podawać do wiadomości
publicznej nazwisk osób korzystających z pomocy oraz informacji o
rodzaju i zakresie przyznawanego świadczenia.
Tajemnica skarbowa określona jest przez Ordynację podatkową (Dz.. U.
z 2005 r. Nr 8, poz. 60 ze zmianami), obejmuje dane zawarte w deklaracji
oraz innych składanych przez podatników, płatników lub interesantów.
Tajemnica postępowania administracyjnego - Kodeks postępowania
administracyjnego zawiera szereg przepisów, z których wynika
ograniczenie do pewnych informacji publicznych. Prawo przeglądania akt
sprawy mają strony postępowania.
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z
2002 r. Nr 101, poz. 926 ze zmianami) nakazuje anonimizację
dokumentów wówczas, gdy ich udostępnienie nie jest regulowane
innymi przepisami. Anonimizacja obejmuje m.in.: takie dane osoby
fizycznej jak: PESEL, nr dowodu tożsamości, adres zamieszkania, nr
telefonu, nr konta bankowego itp. – nawet w przypadku gdy dotyczą one
osób pełniących funkcje publiczne. W celu udostępnienia danych
osobowych każdorazowo należy wskazać podstawę ich przetwarzania.
Dodatkowo należy pamiętać o zasadach udostępniania informacji
określonych w innych przepisach szczegółowych np. w prawie
geodezyjnym
i
kartograficznym,
o
ochronie
środowiska,
zagospodarowaniu przestrzennym.
8
Administratorem danych osobowych posiadanych przez Urząd Miasta Poznania
jest Prezydent Miasta, który upoważnia dyrektorów wydziałów do wglądu lub
przetwarzania danych w zbiorach posiadanych przez tę jednostkę.
Zbiory manualne chronimy ograniczając dostęp do zbioru przez zamykanie w
szafie drewnianej lub metalowej na klucz.
Zbiory elektroniczne chronimy przez zastosowanie odpowiednich narzędzi
ochrony systemów na odpowiednim poziomie.
Poziomy bezpieczeństwa przetwarzania danych w systemie informatycznym to:
podstawowy; podwyższony; wysoki.
Ćwiczenie nr 6
Analiza artykułu pt. „Dziewięcioro przykazań”
Opracowała:
Katarzyna Doda
Wydział Organizacyjny
styczeń 2011 r.
Źródło:
Ustawa o ochronie danych osobowych;
Komentarz do ustawy o dostępie do informacji publicznej –
T. R. Aleksandrowicz wyd. 4;
www.giodo.gov.pl .
inne materiały i artykuły specjalistyczne
9
Download