Transcript Szkolenie: Ochrona danych osobowych
Ochrona danych osobowych
Radom, 22 października 2012 r. 1 1
Gdzie szukać wiarygodnych informacji
2 2
Przepisy Europejskie
• Konwencja Rady Europy nr 108 z 1981 r. o ochronie osób fizycznych w związku z automatycznym przetwarzaniem danych osobowych • Dyrektywa nr 95/46/WE Parlamentu Europejskiego i Rady z 24.X.1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych .
3 33
Krajowe przepisy prawa
KONSTYTUCJA RZECZYPOSPOLITEJ POLSKIEJ z dnia 2 kwietnia 1997 r.
Art. 47.
Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym
Art. 51.
1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby.
2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym.
3. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa.
4. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą.
5. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.
4
Krajowe przepisy prawa
• Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j. Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) • Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie prowadzenia dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) • Rozporzadzenie poz. 1536) Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru do rejestracji GIODO (Dz. U. z 2008, Nr • Ustawa z dnia 29 października 2010 r. o zmianie ustawy o ochronie danych osobowych i zmianie niektórych innych ustaw (Dz. U. z 2010, Nr 229, poz. 1497) 555
Planowane
nowelizacje
Projekt Rozporządzenia UE – najistotniejsze zmiany
• rozszerzenie odpowiedzialności jaką ponosi administrator danych • kary administracyjne nawet do wysokości 1 000 000 euro • prawo do otrzymania rekompensaty ze strony administratora danych lub procesora za poniesioną szkodę.
• obowiązek poinformowania GIODO o wystąpieniu incydentu nie później niż 24 godziny (!) od momentu powzięcia informacji o naruszeniu. • obowiązek wyznaczenia Administratora Bezpieczeństwa Informacji • zmiany w dokumentacji jaką powinien posiadać administrator danych .
Ustawa o ochronie danych osobowych i rozporządzenia wykonawcze
• obowiązek rejestracji zbiorów danych osobowych, • nowe technologie, • rozbudowa obowiązków informacyjnych, • status ABI, 6
Zakres stosowania ustawy
Wyłączenia / ograniczenia o o o Wyłącznie w celach osobistych lub domowych (niekomercyjne) Klauzula prasowa Zbiory techniczne o o o o Dane statystyczne Dalej idąca ochrona Dane przedsiębiorców Dane osób zmarłych Stosowanie Obywatele RP i cudzoziemcy Osób fizycznych Systemy informatyczne Zbiory papierowe Administracja publiczna i podmioty prywatne 7
Definicje
Dane osobowe
Definicje c.d.
Zbiór danych
każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie,
Usuwanie danych
dotyczą, zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane
Zgoda osoby
, której dane dotyczą - oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści, zgoda może być odwołana w każdym czasie
Administrator danych
- organ, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3 ustawy o ochronie danych osobowych, decydująca o celach i środkach przetwarzania danych osobowych.
Definicje c.d.
Przetwarzanie danych
Zbieranie, Utrwalanie Opracowywanie, Zmienianie, Udostępnianie Przechowywanie Usuwanie
Udostępnianie danych osobowych po nowelizacji
1. udostępnienie danych uprawnienia lub spełnienia obowiązku wynikającego z ustawy” (art. 23 ust.1 pkt 2), „jest niezbędne dla zrealizowania 2. udostępnienie danych osobowych na wniosek:
a) zgoda osoby, której dane dotyczą, b) wykazanie, że udostępnienie danych prawnie usprawiedliwionych celów realizowanych przez odbiorców danych”, „jest niezbędne dla wypełnienia c) przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą„ (art.23 ust.1 pkt 5).
Podstawowe zasady ochrony danych osobowych Bezpieczeństwo Legalność Adekwatność Celowość Okres przechowywania
Podstawy przetwarzania
13
Wymagania odnośnie struktury bazy danych, w której przetwarzane są dane osobowe
1. Data pierwszego wprowadzenia
(odnotowywane automatycznie)
danych
do systemu 2. Identyfikator użytkownika wprowadzającego dane osobowe do systemu (odnotowywane automatycznie) 3. Źródło danych, jeśli dane osobowe zbierane są nie od osoby, której dotyczą 4. Informacja o odbiorcach danych (nazwa, data, zakres) 5. Sprzeciw, o którym mowa w art. 32 ust. 1 ustawy
Wymagane zabezpieczenia SI Uwzględniając kategorie przetwarzanych danych oraz zagrożenia wprowadza się poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym: 1) podstawowy; 2) podwyższony; 3) wysoki;
Zwolnienia z obowiązku rejestracji
• Zwolnienia z obowiązku zgłoszenia zbiorów dotyczących min. danych: • przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się, • osób korzystających z usług medycznych (...) • • • przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej powszechnie dostępne przetwarzanych w zakresie drobnych bieżących spraw życia codziennego 16
Zbiory danych osobowych (przykład)
1. ustawa z dnia 24 kwietnia 2003 r. o działalności pożytku publicznego i o wolontariacie (Dz. U. z 2010 , nr 234, poz. 1536 tj. ze zm.) - PODATNICY 1% SPONSORZY I DARCZYŃCY INDYWIDUALNI - WOLONTARIUSZE - BENEFICJENCI OSOBY KORZYSTAJĄCE Z RÓŻNYCH FORM POMOCY ORGANIZOWANYCH PRZEZ ORGANIZACJE POZARZĄDOWE / PODOPIECZNI KLIENCI USŁUG SZKOLENIOWYCH I DORADCZYCH 2. ustawa z dnia 6 czerwca 1997 r. Kodeks karny (Dz. U. Nr 88, poz. 553 z późn. zm.) ustawa z dnia 6 czerwca 1997 r. Kodeks karny wykonawczy (Dz. U. Nr 90, poz. 557 z późn. zm.) - SKAZANI 3. ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - EWIDENCJA KORESPONDENCJI - DANE KONTAKTOWO – OFERTOWE - NEWSLETTER
17
Zgłoszenie do rejestracji zbioru danych zwykłych
1 Zbiór danych zwykłych 4 5 3 2 Decyzja.
Potrzebne dane.
Ustalamy wymagania wynikające z przepisów prawa Wdrażamy zidentyfikowane wymagania Zgłaszamy zbiór do GIODO Rozpoczynamy zbieranie danych Aktualizacja zgłoszenia 18
Zgłoszenie do rejestracji zbioru danych sensytywnych
Zbiór danych wrażliwych 1 -4 7 6 5 Kroki 1.4 z poprzednie go slajdu Czekamy na decyzję GIODO w sprawie rejestracji Zbiór zarejestrowany Rozpoczynamy zbieranie danych Aktualizacja zgłoszenia 19
Wymagania w zakresie zabezpieczenia danych osobowych
Wymagania w zakresie zabezpieczenia danych osobowych
Środki organizacyjne: Powołanie ABI; - Nadanie upoważnień ; - Przeszkolenie osób dopuszczonych do przetwarzania danych; - Odebranie stosownych oświadczeń o zachowaniu w tajemnicy danych i sposobów zabezpieczeń; - Lokalizacja miejsc przetwarzania danych w obszarach bezpiecznych; - Ustalenie zasad dystrybucji kluczy do obszarów;
Wymagania w zakresie zabezpieczenia danych osobowych Środki dokumentacyjne:
- Opracowanie i aktualizacje dokumentacji przetwarzania danych osobowych (Polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym) - Prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych - Zgłoszenie zbiorów do rejestracji GIODO 06-10-20 22
Wymagania w zakresie zabezpieczenia danych osobowych Środki techniczne
: - Odpowiednie zabezpieczenie pomieszczeń i szaf, w których znajdują się dane - Zastosowanie ochrony p. poż - Zastosowanie mechanizmów kontroli dostępu do systemów i zasobów - Zastosowanie odpowiednich i regularnie aktualizowanych narzędzi ochrony SI - Regularne tworzenie kopii zapasowych zbiorów i programów - Zastosowanie ochrony zasilania.
Polityka Bezpieczeństwa
Polityka bezpieczeństwa zawiera w szczególności: • • • • • wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi; sposób przepływu danych pomiędzy poszczególnymi systemami; określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych
Instrukcja Zarządzania
Instrukcja zawiera w szczególności : • procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności; • stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem; • Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu; • Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania
Instrukcja Zarządzania c.d.
Instrukcja zawiera również: • sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe, • sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia; • sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4; • procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych
Do zadań Generalnego Inspektora w szczególności należy: 06-10-20 • • • • • kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych, wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych, zapewnienie wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym wynikających z decyzji, przez stosowanie środków egzekucyjnych przewidzianych w ustawie z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. z 2005 r. Nr 229, poz. 1954, z późn. zm.), prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach, opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych, 27
Kontrole GIODO
W celu wykonania ustawowych zadań Inspektorzy GIODO mają prawo: wstępu w godzinach 6.00 – 22.00 do pomieszczenia, w którym zlokalizowany jest zbiór danych (również niezarejestrowany) żądać złożenia pisemnych lub ustnych wyjaśnień, przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego, wglądu do wszelkich dokumentów mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii, przeprowadzać oględziny, Inne.
28
• • • • • • • • •
Zagrożenia przy przetwarzaniu danych
Człowiek – najsłabsze ogniwo Zwalniani pracownicy, Laptopy, przenośne dyski i pamięci flash, Nieprzestrzeganie przepisów i zasad Brak systemu uprawnień i upoważnień, dotyczących bezpieczeństwa informacji, Brak wiedzy w zakresie ochrony danych osobowych Stosowanie słabych haseł, Słabe zabezpieczenia systemów informatycznych, Pozostawianie danych na nośnikach informacji sieci informatyczno-energetyczne, portale internetowe, itp.) 29
Zagrożenie przy przetwarzaniu danych osobowych
• • Człowiek – najsłabsze ogniwo Pracownicy (gubienie dokumentow, nośnikow danych, wyrzucanie dokumentacji na śmietnik, umożliwienie dostępu osobom nieuprawnionym.
Infekcje sprzętu
Odpowiedzialność
31
Egzekucja administracyjna decyzji GIODO
Nowy pkt 12 w art. 2 § 1 ustawy o postępowaniu egzekucyjnym w administracji do obowiązków, które podlegają egzekucji administracyjnej, dopisuje
obowiązki z zakresu ochrony danych osobowych,
nakładane w drodze decyzji GIODO.
06-10-20 32
Procedura egzekucji świadczeń niepieniężnych przez GIODO
Wydanie decyzji przez GIODO Upomnienie Wydanie tytułu wykonawczego i skierowanie go do egzekucji Doręczenie tytułu wykonawczego zobowiązanemu
!
Uwaga na „uproszczony” tryb egzekucji Zastosowanie środka egzekucyjnego 33
Środki egzekucyjne Grzywna do 50 000 zł, zaś w przypadku wielokrotnego nakładania grzywien w jednym postępowaniu egzekucyjnym ich łączna kwota nie będzie mogła przekraczać: 200 000 zł. Uwaga! Grzywnę można nałożyć na osobę, do której obowiązków należy bezpośrednie czuwanie, aby zobowiązany wykonał egzekwowane obowiązki.
06-10-20 34
Odpowiedzialność karna • •
Art. 49
Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony pozbawienia wolności do lat 2.
, podlega grzywnie, karze ograniczenia wolności albo Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3. 35
Odpowiedzialność karna
• •
Art. 51
Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Jeśli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
36
Art. 52
Odpowiedzialność karna
Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Art. 53
Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. 37
Dziękuję za uwagę i cierpliwość
Aldona Zacharska
WYDZIAŁ OCHRONY kontakt : mail [email protected]
tel. 36 20 576, 36 20 571