Transcript OCHRONA - Okręgowa Izba Radców Prawnych w Opolu

OCHRONA DANYCH OSOBOWYCH W PRAKTYCE
KANCELARII RADCOWSKIEJ
I W POSTĘPOWANIACH SĄDOWYCH
Szkolenie dla radców prawnych
Okręgowej Izby Radców Prawnych w Opolu
Weronika Kowalik
Z-ca Dyrektora Departamentu Orzecznictwa, Legislacji i Skarg
Biuro Generalnego Inspektora Ochrony Danych Osobowych
26 marca 2014 r., Opole
Generalny Inspektor
Ochrony Danych Osobowych
ul. Stawki 2, 00-193 Warszawa
www.giodo.gov.pl
[email protected]
© M. Narojek for GIODO 2011
www.giodo.gov.pl
TEMATYKA WYKŁADU
•
•
•
•
•
•
•
•
•
•
Podstawy prawa ochrony danych osobowych
Radca prawny jako administrator danych osobowych
Obowiązki administratora danych
Uprawnienia GIODO wobec radców prawnych a ochrona tajemnicy
radcowskiej
Profilowanie – zasady ogólne
Reforma prawa ochrony danych osobowych w Unii Europejskiej
Rola samoregulacji
Jak tworzona jest ocena wpływu przedsięwzięcia na ochronę danych
osobowych
Tajemnica radcowska a uprawnienia policji i „służb bezpieczeństwa
państwa”
Zagadnienie niezależnej kontroli
26 marca 2014 r., Opole
www.giodo.gov.pl
RAMY PRAWNE OCHRONY DANYCH
OSOBOWYCH W UNII EUROPEJSKIEJ
• Karta Praw Podstawowych Unii Europejskiej - Art. 8 regulujący ochronę
danych osobowych
- każdy ma prawo do ochrony danych osobowych, które go dotyczą
- dane te muszą być przetwarzane rzetelnie w określonych celach i za zgodą
osoby zainteresowanej lub na innej uzasadnionej podstawie przewidzianej
ustawą. Każdy ma prawo dostępu do zebranych danych, które go dotyczą
i prawo do spowodowania ich sprostowania
- przestrzeganie tych zasad podlega kontroli niezależnego organu.
• Traktat o Funkcjonowaniu UE - art. 16
- każda osoba ma prawo do ochrony danych osobowych jej dotyczących
- parlament europejski i Rada określają zasady dotyczące ochrony osób
fizycznych w zakresie przetwarzania danych osobowych przez instytucje,
organy i jednostki organizacyjne Unii oraz przez Państwa Członkowskie
w wykonywaniu działań wchodzących w zakres zastosowania prawa Unii,
a także zasady dotyczące swobodnego przepływu takich danych.
Przestrzeganie tych zasad podlega kontroli niezależnych organów
26 marca 2014 r., Opole
www.giodo.gov.pl
RAMY PRAWNE OCHRONY DANYCH
OSOBOWYCH W UNII EUROPEJSKIEJ
• Konwencja 108 Rady Europy z dnia 28 stycznia 1981 r. o Ochronie Osób w
Związku z Automatycznym Przetwarzaniem Danych Osobowych
(ratyfikowana 24 maja 2002 r.)
• Preambuła: pożądane jest poszanowanie ochrony praw i podstawowych
wolności każdego człowieka, w szczególności prawa do poszanowania
prywatności
• Art. 1 – konwencja ma na celu zagwarantowanie, na terytorium każdej ze
stron, każdej osobie fizycznej, niezależnie od jej narodowości i miejsca
zamieszkania, poszanowanie jej praw i podstawowych wolności, w
szczególności jej prawa do prywatności, w związku z automatycznym
przetwarzaniem danych osobowych („ochrona danych)
• Dyrektywa 95/46/WE Parlamentu Europejskiego oraz Rady z dnia 24
października 1995 r. w sprawie ochrony osób fizycznych w zakresie
przetwarzania danych osobowych oraz swobodnego przepływu tych danych
(Dz. Urz. L 281, z dnia 23.11.1995)
26 marca 2014 r., Opole
www.giodo.gov.pl
REGULACJE MIEDZYNARODOWE
Zmiany projektowane w przepisach unijnych dotyczących ochrony danych
osobowych – ogłoszone 25.01.2012
• dyrektywę 95/46 zastąpi Rozporządzenie Parlamentu Europejskiego i
Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania
danych osobowych i swobodnego przepływu tych danych, które
obowiązywać będzie bezpośrednio w krajach członkowskich bez
potrzeby wydawania aktów prawnych wprowadzających je do porządków
krajowych poszczególnych państw, nastąpi pełna harmonizacja prawa
materialnego w UE w tym zakresie
• dyrektywa Parlamentu Europejskiego i Rady w sprawie ochrony osób
fizycznych w zakresie przetwarzania danych osobowych przez
właściwe organy w celu zapobiegania, dochodzenia, wykrywania lub
ścigania przestępstw lub wykonywania sankcji karnych i
swobodnego przepływu tych danych
www.giodo.gov.pl
KONSTYTUCJA RZECZYPOSPOLITEJ POLSKIEJ
Art. 31 ust. 3
Ograniczenia w zakresie korzystania z konstytucyjnych wolności i praw
mogą być ustanowione tylko w ustawie
i tylko wtedy, gdy są konieczne w demokratycznym państwie, dla jego
bezpieczeństwa lub porządku publicznego (…) albo wolności i praw
innych osób. Ograniczenia te nie mogą naruszać istoty wolności i praw
Zasada proporcjonalności
Art. 47
Każdy ma prawo do ochrony życia prywatnego, rodzinnego, czci i dobrego
imienia oraz do decydowania o swoim życiu osobistym
Prawo do prywatności
26 marca 2014 r., Opole
www.giodo.gov.pl
KONSTYTUCJA RZECZYPOSPOLITEJ POLSKIEJ
(Art. 51)
Nikt nie może być obowiązany inaczej niż na podstawie ustawy do
ujawniania informacji dotyczących jego osoby (ust. 1)
Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać
innych informacji o obywatelach niż niezbędne w demokratycznym
państwie prawnym (ust. 2)
Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów
i zbiorów danych. Ograniczenie tego prawa może określić ustawa
(ust.3)
Każdy ma prawo do żądania sprostowania oraz usunięcia informacji
nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z
ustawą (ust. 4)
Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa
(ust. 5)
www.giodo.gov.pl
SZKOLENIE VIS
RELACJA POMIEDZY PRAWEM DO PRYWATNOŚCI
A PRAWEM DO OCHRONY DANYCH OSOBOWYCH
art. 47 - ochrona prawa do prywatności (prawo konstytucyjne oraz ochrona
dóbr osobistych) - do dóbr osobistych powszechnie zaliczana jest
prywatność
a
art. 51 - ochrona danych osobowych (konstytucja oraz ustawa o ochronie
danych osobowych) - dobra osobiste są chronione niezależnie od ochrony
przewidzianej w „innych przepisach”, do których zaliczyć należy ustawę o
ochronie danych osobowych
• pogląd doktryny – Konstytucja RP nie łączy ochrony danych
osobowych z prawem do prywatności, są to unormowania ujęte w
dwóch odrębnych przepisach (art. 47 i art. 51) a zatem są to reżimy
od siebie niezależne
26 marca 2014 r., Opole
www.giodo.gov.pl
RELACJA POMIEDZY PRAWEM DO PRYWATNOŚCI
A PRAWEM DO OCHRONY DANYCH OSOBOWYCH
Wyrok SN – Izba Cywilna z 28.04.2004 r. III CK 442/2002
• ustawa o ochronie danych osobowych nie zawiera żadnych odniesień ani do
powszechnych dóbr osobistych w ogólności, ani do żadnych z nich konkretnie, a
wiec także do prawa do prywatności
• konstytucja nie łączy ochrony danych osobowych z prawem do prywatności,
poświęcając tym kwestiom odrębne przepisy, tj. art. 47 i art. 51
• ani stan normatywny, ani wzgląd na cele, jakim mają służyć te regulacje nie
stwarzają dostatecznie silnych podstaw do twierdzenia, że ochrona danych
osobowych jest jednym z aspektów prawa do prywatności
• za przekonujący sąd uznał pogląd, że reżim ochrony prawa do prywatności w
ramach powszechnych dóbr osobistych (konstytucja i prawo cywilne) i reżim
ochrony danych osobowych (konstytucja i ustawa o ochronie danych osobowych)
są wobec siebie niezależne
www.giodo.gov.pl
RELACJA POMIEDZY PRAWEM DO PRYWATNOŚCI
A PRAWEM DO OCHRONY DANYCH OSOBOWYCH
Cd - Wyrok SN – Izba Cywilna z 28.04.2004 r. III CK 442/2002
• niewątpliwie dochodzi do wzajemnych relacji i oddziaływania tych reżimów,
bowiem przetworzenie danych osobowych może spowodować naruszenie dobra
osobistego w postaci prawa do prywatności, bądź ochrona prawa do prywatności
będzie wymagała sprzeciwienia się wykorzystaniu danych osobowych
• jednocześnie pozostaje otwarta możliwość, że przetworzenie danych, nawet
dokonane poza granicami ustawowego upoważnienia, nie będzie stanowiło
naruszenia dóbr osobistych w rozumieniu przepisów kodeksu cywilnego
• fakt przetworzenia danych osobowych bez zgody zainteresowanego nie przesadza
sam przez się o naruszeniu dóbr osobistych i podstawie do uzyskania ochrony na
podstawie art. 23 i 24 k.c.
• podanie danych, przy uwzględnieniu zakresu i okoliczności ich ujawnienia, nie
stanowiło naruszenia jej dóbr osobistych i fakt ten nie mógł stać się podstawą do
uwzględnienia roszczenia opartego na art. 23 i 24 k.c.
www.giodo.gov.pl
RELACJA POMIEDZY PRAWEM DO PRYWATNOŚCI
A PRAWEM DO OCHRONY DANYCH OSOBOWYCH
Odmiennie wypowiedział się Trybunał Konstytucyjny (wyrok z
19.02.2002 U 3/01) – ważnym elementem składowym prawa do ochrony
życia prywatnego jest tzw. autonomia informacyjna jednostki, oznaczająca
prawo do samodzielnego decydowania o ujawnieniu informacji dotyczące
swojej osoby, a także prawo do sprawowanie kontroli nad takimi
informacjami, znajdującymi się w posiadaniu innych podmiotów
ale w 1998 r.
www.giodo.gov.pl
KONSTYTUCJA RZECZYPOSPOLITEJ POLSKIE
J(Art. 47 a ART. 51)
Prawo do prywatności a prawo do autonomii informacyjnej
• istotny związek prawa do prywatności oraz ochrony danych osobowych – wyrok
TK z 19.05.1998 r.
• prawo do prywatności statuowane w art. 47 zagwarantowane jest m.in. w aspekcie
ochrony danych osobowych, przewidzianej w art. 51
• przepis art. 51 stanowi konkretyzację prawa do prywatności w aspektach
proceduralnych
• po raz pierwszy zastosowanie normy konstytucyjnej zawartej w art. 47 i art. 51
jako podstawy oceny konstytucyjności przepisów prawa – dotyczącej regulacji
zawartych w rozporządzeniu MZ przewidującym obowiązek wskazywania w
zaświadczeniu lekarskim numeru statystycznego choroby
• odwołanie także do art. 31 ust. 3 – który wyznacza zakres dopuszczalnych
konstytucyjnie ograniczeń sfery prywatności
www.giodo.gov.pl
SZKOLENIE VIS
USTAWA O OCHRONIE DANYCH OSOBOWYCH
•
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
(Dz. U. z 2002 r. Nr 101, poz. 926, ze zm.)
• Ustawa z dnia 29 października 2010 r. o zmianie ustawy
o ochronie danych osobowych oraz niektórych innych ustaw
(Dz. U. 2010 r., Nr 229, poz. 1497) – wejście w życie 7 marca 2011 r.
- najważniejsze zmiany
•
Cztery rozporządzenia wykonawcze MSWiA
www.giodo.gov.pl
SZKOLENIE VIS
AKTY WYKONAWCZE
•
z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych
osobowych oraz warunków technicznych i organizacyjnych, jakim powinny
odpowiadać urządzenia i systemy informatyczne służące do przetwarzania
danych osobowych
•
z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do
rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych
•
z dnia 22 kwietnia 2004 r. w sprawie wzorów imiennego upoważnienia
i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony
Danych Osobowych
www.giodo.gov.pl
SZKOLENIE VIS
PODSTAWOWE POJECIA
DANE OSOBOWE / PRZETWARZANIE
ART. 6 i 7
Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub
możliwej do zidentyfikowania osoby fizycznej (art. 6 ust. 1).
Osoba możliwa do zidentyfikowania – osoba, której tożsamość można
określić bezpośrednio lub pośrednio, w szczególności przez powołanie
się na numer identyfikacyjny albo jeden lub kilka specyficznych
czynników określających jej cechy fizyczne, fizjologiczne, umysłowe,
ekonomiczne, kulturowe lub społeczne (art. 6 ust. 2).
Informacji nie uważa się za umożliwiające określenie tożsamości osoby,
jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań (art. 6
ust. 3).
Przetwarzanie danych – jakiekolwiek operacje na danych osobowych
statyczne (np. przechowywanie danych) jak i dynamiczne
(pozyskiwanie, udostępnianie, zmienianie, usuwanie itd.)
www.giodo.gov.pl
DANE SZCZEGÓLNIE CHRONIONE
/SENSYTYWNE/ - ART. 27
dane ujawniające:
• pochodzenie rasowe lub etniczne
• poglądy polityczne
• przekonania religijne lub filozoficzne
• przynależność wyznaniową, partyjną lub związkową,
dane o:
• stanie zdrowia
• kodzie genetycznym
• nałogach
• życiu seksualnym
• skazaniach, orzeczeniach o ukaraniu i mandatach karnych, innych
orzeczeniach wydanych w postępowaniu sądowym lub
administracyjnym
www.giodo.gov.pl
DANE TZW. ZWYKŁE
– WSZYSTKIE POZOSTAŁE
dane tzw. zwykłe - wszelkie inne /niż wynikające z art. 27 ust. 1 ustawy/
informacje
zidentyfikowana lub możliwa do zidentyfikowania osoba fizyczna
określenie bezpośrednie lub pośrednie
dane biometryczne
wizerunek twarzy
kształt dłoni
zapis linii papilarnych palców
zapis obrazu tęczówki
zapis układu żył w palcu/nadgarstku
sposób chodzenia
sposób pisania na maszynie/klawiaturze komputera
www.giodo.gov.pl
ZBIÓR DANYCH i ZGODA NA
PRZETWARZANIE DANYCH OSOBOWYCH
- ART. 7 PKT 4 i 5
zbiór danych - każdy posiadający strukturę
zestaw danych o charakterze osobowym, dostępnych według
określonych kryteriów, niezależnie od tego, czy zestaw ten
jest rozproszony lub podzielony funkcjonalnie
zgoda osoby, której dane dotyczą – oświadczenie woli,
którego treścią jest zgoda na przetwarzanie danych
osobowych tego kto składa oświadczenie, zgoda nie może
być domniemana/dorozumiana z oświadczenia woli o innej
treści; zgoda może być odwołana w każdym czasie – od 7
marca 2011 r.
www.giodo.gov.pl
ADMINISTRATOR DANYCH - ART. 7 PKT 4
• organ państwowy
• organ samorządu terytorialnego
• państwowa lub komunalna jednostka organizacyjna
• podmiot niepubliczny realizujący zadania publiczne
• osoby fizyczne i prawne
• jednostki organizacyjne niebędące osobami prawnymi
-
przetwarzające dane osobowe w związku z działalnością zarobkową,
zawodową lub dla realizacji celów statutowych mające siedzibę albo
miejsce zamieszkania na terytorium RP albo w państwie trzecim, o ile
przetwarzają dane osobowe przy wykorzystaniu środków technicznych
znajdujących się na terytorium RP
decydujące o celach i środkach przetwarzania danych osobowych
www.giodo.gov.pl
PODSTAWOWE POJĘCIA
system informatyczny - zespół współpracujących ze sobą urządzeń, programów,
procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu
przetwarzania danych
zabezpieczenie
danych
w
systemie
informatycznym
wdrożenie
i eksploatację stosownych środków technicznych i organizacyjnych zapewniających
ochronę danych przed ich nieuprawnionym przetwarzaniem
odbiorca danych - każdego, komu udostępnia się dane osobowe, z wyłączeniem:
a) osoby, której dane dotyczą,
b) osoby upoważnionej do przetwarzania danych,
c) przedstawiciela, o którym mowa w art. 31a,
d) podmiotu, o którym mowa w art. 31,
e) organów państwowych lub organów samorządu terytorialnego, którym dane są
udostępniane w związku z prowadzonym postępowaniem,
państwo trzecie - państwo nienależące do Europejskiego Obszaru Gospodarczego.
25 listopada 2013 r., Gdańsk
www.giodo.gov.pl
PODMIOTOWY I PRZEDMIOTOWY ZAKRES
USTAWY O OCHRONIE DANYCH OSOBOWYCH
• Każdy ma prawo do ochrony dotyczących go danych osobowych (art. 1 ust. 1)
• Przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne,
dobro osoby, której dane dotyczą, lub dobro osób trzecich w zakresie i trybie
określonym ustawą (art. 1 ust. 2)
• Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz
prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w
zbiorach danych (art. 2 ust. 1)
• Art.2 ust. 2 - Ustawę stosuje się do przetwarzania danych osobowych:
1) w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach
ewidencyjnych,
2) w systemach informatycznych, także w przypadku przetwarzania danych
poza zbiorem danych.
• W odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie
ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach
wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych
anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5 (art. 2 ust. 3)
25 listopada 2013 r., Gdańsk
www.giodo.gov.pl
PODMIOTOWY I PRZEDMIOTOWY ZAKRES
USTAWY O OCHRONIE DANYCH OSOBOWYCH
• Ustawę stosuje się do organów państwowych, organów samorządu
terytorialnego oraz do państwowych i komunalnych jednostek
organizacyjnych (art. 3 ust. 1)
• Ustawę stosuje się również do:
1) podmiotów niepublicznych realizujących zadania publiczne,
2) osób fizycznych i osób prawnych oraz jednostek
organizacyjnych niebędących osobami prawnymi, jeżeli
przetwarzają dane osobowew związku z działalnością zarobkową,
zawodową lub dla realizacji celów statutowych
- które mają siedzibę albo miejsce zamieszkania na terytorium
Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają
dane osobowe przy wykorzystaniu środków technicznych znajdujących
się na terytorium Rzeczypospolitej Polskiej (art. 3 ust. 2)
25 listopada 2013 r., Gdańsk
www.giodo.gov.pl
PODMIOTOWY I PRZEDMIOTOWY ZAKRES
USTAWY O OCHRONIE DANYCH OSOBOWYCH
• Art. 3a. 1 - Ustawy nie stosuje się do:
1) osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub
domowych,
2) podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim,
wykorzystujących środki techniczne znajdujące się na terytorium
Rzeczypospolitej Polskiej wyłącznie do przekazywania danych.
• Ustawy, z wyjątkiem przepisów art. 14-19 i art. 36 ust. 1, nie stosuje się również
do prasowej działalności dziennikarskiej w rozumieniu ustawy (…) - Prawo
prasowe (....) oraz do działalności literackiej lub artystycznej, chyba że wolność
wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza
prawa i wolności osoby, której dane dotyczą (art. 3a ust. 2)
• Art. 4 - Przepisów ustawy nie stosuje się, jeżeli umowa międzynarodowa, której
stroną jest Rzeczpospolita Polska, stanowi inaczej.
• Art. 5 - Jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania
danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy,
stosuje się przepisy tych ustaw.
25 listopada 2013 r., Gdańsk
www.giodo.gov.pl
PODMIOTOWY I PRZEDMIOTOWY ZAKRES
USTAWY O OCHRONIE DANYCH OSOBOWYCH
• Art. 43. 1. Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:
1) zawierających informacje niejawne,
1a) które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez
funkcjonariuszy organów uprawnionych do tych czynności,
2) przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na
podstawie przepisów o Krajowym Rejestrze Karnym, (…)
2c) przetwarzanych przez właściwie organy na podstawie przepisów o wymianie informacji z
organami ścigania państw członkowskich Unii Europejskiej, (…)
5) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej,
adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub
biegłego rewidenta, (…)
8) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia
sprawozdawczości finansowej, (…)
• Art.. 43 ust. 2 - W odniesieniu do zbiorów, o których mowa w ust. 1 pkt 1 i 3, oraz zbiorów,
o których mowa w ust. 1 pkt 1a, przetwarzanych przez ABW, AW, SKW, SWW oraz CBA,
Generalnemu Inspektorowi nie przysługują uprawnienia określone w art. 12 pkt 2, art. 14
pkt 1 i 3-5 oraz art. 15-18.
25 listopada 2013 r., Gdańsk
www.giodo.gov.pl
PODMIOTOWY I PRZEDMIOTOWY ZAKRES
USTAWY O OCHRONIE DANYCH OSOBOWYCH
„Na podstawie analizy literalnej przytoczonych przepisów łatwo stwierdzić, że
wyłączenia w zakresie kontroli i nadzoru GIODO nie obejmują administratorów
danych dotyczących osób korzystających z obsługi adwokackiej.
(…) Wyłączenia i zastrzeżenia ustawowe (…) również nie będą dotyczyły adwokatów
(art. 15 ust. 2 w zw. z art. 43 ust. 1 pkt 1a oraz art. 18 ust. 2 i 2a ustawy o ochronie
danych osobowych).
W tym miejscu, na podstawie wykładni wskazanych przepisów ustawy
o ochronie danych osobowych, wobec braku szczególnych wyłączeń
i zastrzeżeń odnośnie do tajemnicy adwokackiej w tej ustawie, można jedynie
postawić wniosek de lege ferenda, by wyłączenia ustawowe, o których mowa w art.
43 ust. 2, objęły również adwokatów w zakresie przedmiotowym danych
dotyczących osób korzystających z obsługi adwokackiej. (…)
• M.Swora, Tajemnica adwokacka w świetle wybranych przepisów ustawy o ochronie
danych osobowych, Palestra nr 3-4 z 2004 r.
.
25 listopada 2013 r., Gdańsk
www.giodo.gov.pl
GENERALNY INSPEKTOR OCHRONY DANYCH
OSOBOWYCH – ART. 8
• powoływany przez Sejm za zgodą Senatu
• obywatel polski, stale zamieszkujący w Polsce
• wyróżnia się wysokim autorytetem moralnym
• posiada wyższe wykształcenie prawnicze i odpowiednie doświadczenie
zawodowe
• niekarany za przestępstwo
• w zakresie wykonywania swoich zadań podlega TYLKO ustawie
• kadencja 4 lata (maksymalnie dwie kadencje)
• ściśle określone przyczyny wygaśnięcia kadencji i odwołania
• zakaz członkostwa w partiach politycznych i związkach zawodowych
oraz prowadzenia działalności publicznej niedającej się pogodzić
z godnością jego urzędu
• immunitet
www.giodo.gov.pl
GENERALNY INSPEKTOR OCHRONY DANYCH
OSOBOWYCH - ZADANIA ART. 12
• kontrola zgodności przetwarzania danych z przepisami o ochronie danych
osobowych
• wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach
wykonania przepisów o ochronie danych osobowych
• zapewnienie wykonania przez zobowiązanych obowiązków o charakterze
niepieniężnym wynikających z decyzji, przez stosowanie środków egzekucyjnych
przewidzianych w ustawie o postępowaniu egzekucyjnym w administracji od 7
marca 2011 r.
• prowadzenie rejestru zbiorów danych oraz udzielanie informacji
o zarejestrowanych zbiorach
• opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych
osobowych
• inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony
danych osobowych
• uczestniczenie w pracach międzynarodowych organizacji i instytucji
zajmujących się problematyką ochrony danych osobowych
www.giodo.gov.pl
GENERALNY INSPEKTOR OCHRONY DANYCH
OSOBOWYCH - ART. 14 UPRAWNIENIA
KONTROLNE
• kontrola zgodności , wydawanie decyzji , rozpatrywanie skarg
• Generalny Inspektor, zastępca Generalnego Inspektora lub upoważnieni przez niego
pracownicy Biura - zwani inspektorami - mają prawo:
- wstępu, w godzinach od 6°° do 22°°, za okazaniem imiennego upoważnienia i
legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych,
oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych, i
przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny
zgodności przetwarzania danych z ustawą
- żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać
osoby
w zakresie niezbędnym do ustalenia stanu faktycznego
- wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek
z przedmiotem kontroli oraz sporządzania ich kopii
- przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych
służących do przetwarzania danych
- zlecać sporządzanie ekspertyz i opinii
www.giodo.gov.pl
UPRAWNIENIA GIODO WOBEC RADCÓW
PRAWNYCH A OCHRONA TAJEMNICY
RADCOWSKIEJ
• Art. 15. 1. Kierownik kontrolowanej jednostki organizacyjnej oraz
kontrolowana osoba fizyczna będąca administratorem danych osobowych są
obowiązani umożliwić inspektorowi przeprowadzenie kontroli, a w
szczególności umożliwić przeprowadzenie czynności oraz spełnić żądania, o
których mowa w art. 14 pkt 1-4.
• Art. 15 ust. 2. W toku kontroli zbiorów, o których mowa w art. 43 ust. 1 pkt
1a, inspektor przeprowadzający kontrolę ma prawo wglądu do zbioru
zawierającego dane osobowe jedynie za pośrednictwem upoważnionego
przedstawiciela kontrolowanej jednostki organizacyjnej.
Jak wygląda praktyka ???
25 listopada 2013 r., Gdańsk
www.giodo.gov.pl
GENERALNY INSPEKTOR OCHRONY DANYCH
OSOBOWYCH - UPRAWNIENIA z art. 17 i 19
• kontrola zgodności przetwarzania danych z przepisami o ochronie danych
osobowych
• Art. 17 ust. 1 - jeżeli na podstawie wyników kontroli inspektor stwierdzi
naruszenie przepisów o ochronie danych osobowych, występuje do Generalnego
Inspektora o zastosowanie środków, o których mowa w art. 18
• Art. 17 ust. 2 - na podstawie ustaleń kontroli inspektor może żądać wszczęcia
postępowania dyscyplinarnego lub innego przewidzianego prawem
postępowania przeciwko osobom winnym dopuszczenia do uchybień
i poinformowania go, w określonym terminie, o wynikach tego postępowania
i podjętych działaniach.
• Art. 19 - w razie stwierdzenia, że działanie lub zaniechanie kierownika jednostki
organizacyjnej, jej pracownika lub innej osoby fizycznej będącej administratorem
danych wyczerpuje znamiona przestępstwa określonego w ustawie, Generalny
Inspektor kieruje do organu powołanego do ścigania przestępstw zawiadomienie
o popełnieniu przestępstwa, dołączając dowody dokumentujące podejrzenie.
www.giodo.gov.pl
GENERALNY INSPEKTOR OCHRONY DANYCH
OSOBOWYCH - UPRAWNIENIA WŁADCZE
ART. 18 UST. 1
w przypadku naruszenia przepisów o ochronie danych osobowych Generalny
Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji
administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem,
a w szczególności:
•usunięcie uchybień
•uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie
danych osobowych
•zastosowanie dodatkowych środków zabezpieczających zgromadzone dane
osobowe
•wstrzymanie przekazywania danych osobowych do państwa trzeciego
•zabezpieczenie danych lub przekazanie ich innym podmiotom
•usunięcie danych osobowych
www.giodo.gov.pl
GENERALNY INSPEKTOR OCHRONY DANYCH
OSOBOWYCH - WYSTĄPIENIA
ART. 19A od 7 marca 2011 r.
• w celu realizacji zadań, o których mowa w art. 12 pkt 6 UODO, Generalny
Inspektor może kierować do organów państwowych, organów samorządu
terytorialnego, państwowych i komunalnych jednostek organizacyjnych,
podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych
i prawnych, jednostek organizacyjnych niebędących osobami prawnymi oraz
innych podmiotów wystąpienia zmierzające do zapewnienia skutecznej
ochrony danych osobowych
• Generalny Inspektor może również występować do właściwych organów
z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź
zmianę aktów prawnych w sprawach dotyczących ochrony danych
osobowych
• podmiot, do którego zostało skierowane wystąpienie lub wniosek, o których
mowa w ust. 1 i 2, jest obowiązany ustosunkować się do tego wystąpienia lub
wniosku na piśmie w terminie 30 dni od daty jego otrzymania
www.giodo.gov.pl
OBOWIĄZKI ADMINISTRATORÓW DANYCH
– ART.. 23, 27, 24, 25, 32-35, 36-39, 40, 43 UST. 1
•
przesłanki legalności – warunki legalnego przetwarzania danych
- dane zwykłe art. 23
- dane szczególnie chronione – art. 27,
•
obowiązek informacyjny unormowany w art. 24 i 25 ustawy,
•
obowiązek dołożenia szczególnej staranności w celu ochrony
interesów osób, których dane dotyczą (art. 26 ustawy),
•
obowiązek respektowania praw osób, których dane dotyczą - art.
32 - 35 ustawy,
•
obowiązek zabezpieczenia przetwarzanych danych osobowych (art.
36 – 39 ustawy),
•
obowiązek zgłoszenia zbioru danych do zarejestrowania przez
GIODO (art. 40 ustawy), z wyjątkiem przypadków wymienionych w
art. 43 ust. 1, np. zwolnienie określone w pkt 4 - przetwarzanych w
związku z zatrudnieniem u nich, świadczeniem im usług na podstawie
umów cywilnoprawnych, a także dotyczących osób u nich
zrzeszonych lub uczących się
www.giodo.gov.pl
LEGALNOŚĆ PRZETWARZANIA DANYCH
"ZWYKŁYCH"
- ART. 23
• osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o
usunięcie dotyczących jej danych
• jest to niezbędne dla zrealizowania uprawnienia lub spełnienia
obowiązku wynikającego z przepisu prawa
• jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą,
jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed
zawarciem umowy na żądanie osoby, której dane dotyczą
• jest niezbędne do wykonania określonych prawem zadań
realizowanych dla dobra publicznego
• jest to niezbędne dla wypełniania prawnie usprawiedliwionych celów
realizowanych przez administratorów danych albo odbiorców danych, a
przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
www.giodo.gov.pl
LEGALNOŚĆ PRZETWARZANIA DANYCH
SZCZEGÓLNIE CHRONIONYCH /
"SENSYTYWNYCH" - ART. 27
• zgoda na piśmie, chyba że chodzi o usunięcie danych
• przepis szczególny innej ustawy zezwala na przetwarzanie takich danych
i stwarza pełne gwarancje ich ochrony
• przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, a
osoba nie jest fizycznie lub prawnie zdolna do wyrażenia zgody
• statutowe zadania kościołów i innych związków wyznaniowych,
stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub
instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub
związkowych, w odniesieniu do danych członków tych organizacji; muszą
być zapewnione są pełne gwarancje ochrony przetwarzanych danych
www.giodo.gov.pl
LEGALNOŚĆ PRZETWARZANIA DANYCH
SENSYTYWNYCH - ART. 27
• niezbędne do dochodzenia praw przed sądem
• niezbędne do wykonania zadań administratora danych odnoszących się do
zatrudnienia pracowników i innych osób (zakres przetwarzanych danych
jest określony w ustawie)
• w celu ochrony stanu zdrowia, świadczenia usług medycznych lub
leczenia pacjentów i są stworzone pełne gwarancje ochrony danych
osobowych
• danych zostały podane do wiadomości publicznej przez osobę, której
dane dotyczą
• badania naukowe, w tym do przygotowania rozprawy wymaganej do
uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego;
publikacja wyników badań – anonimizacja
• w celu realizacji praw i obowiązków wynikających z orzeczenia
wydanego w postępowaniu sądowym lub administracyjnym.
www.giodo.gov.pl
ZASADY PRZETWARZANIA DANYCH
- ART. 26 UST. 1
administrator danych przetwarzający dane powinien dołożyć szczególnej
staranności w celu ochrony interesów osób, których dane dotyczą, a w
szczególności jest obowiązany zapewnić,
aby dane te były:
• przetwarzane zgodnie z prawem – ZASADA LEGALIZMU
• zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane
dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem
ust. 2 – ZASADA ZWIĄZANIA CELEM
• merytorycznie poprawne i adekwatne w stosunku do celów, w
jakich są przetwarzane – ZASADA MERYTORYCZNEJ
POPRAWNOŚCI, ZASADA ADEKWATNOŚCI
• przechowywane w postaci umożliwiającej identyfikację osób,
których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu
przetwarzania - ZASADA OGRANICZENIA CZASOWEGO
www.giodo.gov.pl
OBOWIĄZEK INFORMACYJNY
- ART. 24
zbieranie danych bezpośrednio od osoby, której one dotyczą
• adres siedziby/miejsca zamieszkania administratora
• prawo dostępu do treści danych i ich poprawiania
• dobrowolność lub obowiązek podania danych
• cel zbierania danych, znanych odbiorcach danych lub ich kategoriach
wyłączenia:
- przepis innej ustawy pozwala na przetwarzanie bez ujawniania
faktycznego celu zbierania danych
- osoba posiada ww. informacje
www.giodo.gov.pl
OBOWIĄZEK INFORMACYJNY
ZBIERANIE DANYCH Z INNYCH ŹRODEŁ
- ART. 25
zbieranie danych z innego źródła
/nie od osoby, której one dotyczą/
•
•
adres siedziby i pełna nazwa, a w przypadku gdy administratorem
danych jest osoba fizyczna - miejsce zamieszkania oraz imię i
nazwisko
•
cel i zakres zbierania danych, a w szczególności informacje o
odbiorcach lub kategoriach odbiorców danych
•
źródło danych
•
prawo dostępu do treści danych oraz ich poprawiania
uprawnienia wynikające z art. 32 ust. 1 pkt 7 i 8 (żądanie zaprzestania
przetwarzania danych i sprzeciw)
www.giodo.gov.pl
ZWOLNIENIA Z OBOWIĄZKU
- ART. 25 UST. 2
wyłączenia:
•
•
przepis innej ustawy pozwala na przetwarzanie bez wiedzy osoby,
której dane dotyczą
dane są przetwarzanie przez administratora, o którym mowa w art. 3
ust. 1 i ust. 2 pkt 1, na podstawie przepisów prawa
•
•
osoba posiada ww. informacje
dane są niezbędne dla badań naukowych, dydaktycznych,
historycznych, statystycznych lub badania opinii publicznej,
spełnienie obowiązku informacyjnego wymagałoby nadmiernych
nakładów lub zagrażałoby realizacji celu badania
www.giodo.gov.pl
OBOWIĄZEK INFORMACYJNY
– ART. 33 i ART. 34
na wniosek osoby, której dane dotyczą, administrator danych jest
obowiązany
w terminie 30 dni, poinformować o przysługujących jej prawach oraz
udzielić, odnośnie do jej danych osobowych
informacji o których mowa w art. 32 ust. 1 pkt 1-5a zmiana od 7 marca
2011 r.
na wniosek osoby, której dane dotyczą, informacji udziela się na piśmie
wyjątki – odmowa (art. 34), gdy spowodowałoby to:
ujawnienie wiadomosci zawierających informacje niejawne
zagrożenie dal obronności lub bezpieczeństwa państwa, zycia i zdrowia
ludzi lub bezpieczeństwa i porządku publicznego
zagrożenie dla podstawowego interesu gospodarczego lub finansowego
państwa
istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych
osób
www.giodo.gov.pl
OBOWIĄZEK INFORMACYJNY
– ART. 33
każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej
dotyczą, zawartych w zbiorach danych, zwłaszcza prawo do:
uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia
administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy
administratorem danych jest osoba fizyczna – jej miejsca zamieszkania oraz
imienia i nazwiska
uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych
w takim zbiorze
uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz
podania w powszechnie zrozumiałej formie treści tych danych
uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba
że administrator danych jest zobowiązany do zachowania w tym zakresie
tajemnicy informacji niejawnych lub zachowania tajemnicy zawodowej
uzyskanie informacji o sposobie udostępnienia danych, a w szczególności
o odbiorcach lub kategoriach odbiorców, którym dane te są udostępnione
uzyskania informacji o przesłankach podjęcia rozstrzygnięcia, o którym mowa
w art. 26a ust. 2
www.giodo.gov.pl
OBOWIĄZEK ZABEZPIECZENIA DANYCH
OSOBOWYCH – ART. 36
Administrator danych jest obowiązany zastosować środki techniczne
i organizacyjne zapewniające ochronę przetwarzanych danych osobowych
odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w
szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom
nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem
z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem
Administrator danych prowadzi dokumentację opisującą sposób przetwarzania
danych oraz środki, o których mowa w ust. 1.
Administrator danych wyznacza administratora bezpieczeństwa informacji,
nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że
sam wykonuje te czynności.
www.giodo.gov.pl
OBOWIĄZEK ZABEZPIECZENIA DANYCH
OSOBOWYCH – ART. 37-39
do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające
upoważnienie nadane przez administratora danych
osoby, które zostały upoważnione do przetwarzania danych, są obowiązane
zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia
administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane
osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są
przekazywane
administrator danych prowadzi ewidencję osób upoważnionych do ich
przetwarzania, która powinna zawierać: imię i nazwisko osoby upoważnionej,
datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych
osobowych, identyfikator, jeżeli dane są przetwarzane w systemie
informatycznym
www.giodo.gov.pl
Dokumnetacja przetwarzania danych – art. 36 ust. 2 i
par. 4 i 5 rozporządzenia
• administrator danych prowadzi dokumentację opisującą sposób
przetwarzania danych oraz środków, o których mowa w ust. 1
(technicznych i organizacyjnych zapewniających ochronę
przetwarzania danych osobowych) – art. 36 ust. 2
• polityka bezpieczeństwa
• instrukcja zarządzania systemem informatycznym służącym
do przetwarzania danych osobowych
SZKOLENIE VIS
www.giodo.gov.pl
Dokumnetacja przetwarzania danych – art. 36 ust. 2 i
par. 4 i 5 rozporządzenia
Polityka bezpieczeństwa zawiera w szczególności
•
wykaz budynków, pomieszczeń lub części pomieszczeń,
tworzących obszar, w którym przetwarzane są dane osobowe
• wykaz zbiorów danych osobowych wraz ze wskazaniem
programów zastosowanych do przetwarzania tych danych
• opis struktury zbiorów danych wskazujący zawartość
poszczególnych pól informacyjnych i powiązania między nimi
sposób przepływu danych pomiędzy poszczególnymi systemami
• określenie środków technicznych i organizacyjnych niezbędnych
dla zapewnienia poufności, integralności i rozliczalności
przetwarzanych danych
SZKOLENIE VIS
www.giodo.gov.pl
Dokumnetacja przetwarzania danych – art. 36 ust. 2 i
par. 4 i 5 rozporządzenia
Instrukcja zarządzania systemem informatycznym służącym do
przetwarzania danych osobowych zawiera w szczególności
•
procedury nadawania uprawnień do przetwarzania danych i
rejestrowania tych uprawnień w systemie informatycznym oraz
wskazanie osoby odpowiedzialnej za te czynności
• stosowane metody i środki uwierzytelnienia oraz procedury
związane z ich zarządzaniem i użytkowaniem
• procedury rozpoczęcia, zawieszenia i zakończenia pracy
przeznaczone dla użytkowników systemu
• procedury tworzenia kopii zapasowych zbiorów danych oraz
programów i narzędzi programowych służących do ich
przetwarzania
SZKOLENIE VIS
www.giodo.gov.pl
Dokumnetacja przetwarzania danych – art. 36 ust. 2 i
par. 4 i 5 rozporządzenia
Instrukcja zarządzania systemem informatycznym c.d.
•
sposób, miejsce i okres przechowywania - elektronicznych
nośników informacji zawierających dane osobowe oraz kopii
zapasowych
• sposób zabezpieczenia systemu informatycznego przed
działalnością oprogramowania, którego celem jest uzyskanie
nieuprawnionego dostępu do systemu informatycznego
• sposób realizacji wymogu odnotowywania odbiorców danych
procedury wykonywania przeglądów i konserwacji systemów oraz
nośników informacji służących do przetwarzania danych.
SZKOLENIE VIS
www.giodo.gov.pl
OBOWIĄZEK ZGŁOSZENIA ZBIORU DANYCH DO
REJESTRACJI – ART. 40, 46
Art. 40 - administrator danych jest obowiązany zgłosić zbiór danych do
rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o
których mowa w art. 43 ust. 1.
Co do zasady administrator danych może rozpocząć ich przetwarzanie w
zbiorze danych po zgłoszeniu tego zbioru Generalnemu Inspektorowi,
chyba że ustawa zwalnia go z tego obowiązku (art. 46 ust. 1)
Administrator danych szczególnie chronionych może rozpocząć ich
przetwarzanie w zbiorze danych po zarejestrowaniu zbioru, chyba że
ustawa zwalnia go z obowiązku zgłoszenia zbioru do rejestracji (art. 46
ust. 2)
www.giodo.gov.pl
PODMIOTOWY I PRZEDMIOTOWY ZAKRES
USTAWY O OCHRONIE DANYCH OSOBOWYCH
• Art. 43. 1. Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:
1) zawierających informacje niejawne,
1a) które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez
funkcjonariuszy organów uprawnionych do tych czynności,
5) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej,
adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub
biegłego rewidenta, (…)
8) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia
sprawozdawczości finansowej, (…)
• Art.. 43 ust. 2 - W odniesieniu do zbiorów, o których mowa w ust. 1 pkt 1 i 3, oraz zbiorów,
o których mowa w ust. 1 pkt 1a, przetwarzanych przez ABW, AW, SKW, SWW oraz
CBA, Generalnemu Inspektorowi nie przysługują uprawnienia określone w art. 12 pkt 2,
art. 14 pkt 1 i 3-5 oraz art. 15-18.
25 listopada 2013 r., Gdańsk
www.giodo.gov.pl
PODATNOŚĆ KANCELARII NA ATAKI
Z ZEWNĄTRZ
25 listopada 2013 r., Gdańsk
www.giodo.gov.pl
PODATNOŚĆ KANCELARII NA ATAKI
Z ZEWNĄTRZ
25 listopada 2013 r., Gdańsk
www.giodo.gov.pl
PODATNOŚĆ KANCELARII NA ATAKI
Z ZEWNĄTRZ
25 listopada 2013 r., Gdańsk
www.giodo.gov.pl
PODATNOŚĆ KANCELARII NA ATAKI
Z ZEWNĄTRZ
Dane osobowe i dane (nie tylko informacje) objęte tajemnicą radcowską - niezależnie
od tego czy pracujemy nad nimi na telefonie, iPadzie, laptopie - należy szyfrować
przed przesłaniem oraz przechowywać w formie zaszyfrowanej na dysku
urządzenia. Jeśli Twój sprzęt na to nie pozwala, należy traktować go jedynie jako
zabawkę do przeglądania internetu
Mając powyższe na uwadze:
a) wszyscy pracownicy kancelarii (A PRZEDE WSZYSTKIM WSZYSCY RADCY)
powinni być przeszkoleni z bezpieczeństwa teleinformatcznego;
b) powinni być świadomi tego, że służbowego sprzętu nie należy wykorzystywać do
celów prywatnych (np. “prywatna skrzynka e-mail”), gdyż służbowe urządzenie,
znajdujące się pod kontrolą firmowych informatyków, którzy zazwyczaj mają pełny
wgląd w znajdujące się na nim dane;
c) powinni być wyposażeni w urządzenia/oprogramowanie, które pozwalają im
szyfrować dokumenty, które przesyłają oraz które chcą przechowywać lokalnie.
Osoba, która nie jest w stanie pojąć podstaw szyfrowania plików/e-maili nie powinna
w XXI w. wykonywać zawodu zaufania społecznego.
25 listopada 2013 r., Gdańsk
www.giodo.gov.pl
PODATNOŚĆ KANCELARII NA ATAKI
Z ZEWNĄTRZ
szanuj informatyka swego,
bo on wie co oglądasz
w godzinach pracy
25 listopada 2013 r., Gdańsk
www.giodo.gov.pl
PODATNOŚĆ KANCELARII NA ATAKI
Z ZEWNĄTRZ
American Bar
Association o
przetwarzaniu
danych
klientów w
chmurach
25 listopada 2013 r., Gdańsk
www.giodo.gov.pl
PODATNOŚĆ KANCELARII NA ATAKI
Z ZEWNĄTRZ
Lista amerykańskich prawniczych kodeksów etycznych, które przewidują
zasady dotyczące chmur
http://www.americanbar.org/groups/departments_offices/legal_technology_reso
urces/resources/charts_fyis/cloud-ethics-chart.html
Można tam znaleźć takie postanowienia – przykład z Massachusetts:
"Consistent with its prior opinions, the Committee further believes that
the Lawyer remains bound to follow an express instruction from his client
that the client's confidential information not be stored or transmitted
by means of the Internet, and that he should refrain from storing
or transmitting particularly sensitive client information by means
of the Internet without first seeking and obtaining the client's express
consent to do so"
25 listopada 2013 r., Gdańsk
www.giodo.gov.pl
PODATNOŚĆ KANCELARII NA ATAKI
Z ZEWNĄTRZ
CCBE GUIDELINES ON THE USE OF
CLOUD COMPUTING SERVICES BY
LAWYERS
Conseil des barreaux européens,
Bruksela, 7 września 2012 r.
25 listopada 2013 r., Gdańsk
www.giodo.gov.pl
POWIERZENIE PRZETWARZANIA DANYCH
OSOBOWYCH – ART. 31
Administrator danych może powierzyć innemu podmiotowi, w drodze
umowy zawartej na piśmie, przetwarzanie danych
Podmiot może przetwarzać dane wyłącznie w zakresie i celu
przewidzianym w umowie
Podmiot jest obowiązany przed rozpoczęciem przetwarzania danych podjąć
środki zabezpieczające zbiór danych, o których mowa w art. 36-39,
oraz spełnić wymagania określone w przepisach, o których mowa w art.
39a
W zakresie przestrzegania tych przepisów podmiot ponosi
odpowiedzialność jak administrator danych
Odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa
na administratorze danych, co nie wyłącza odpowiedzialności podmiotu,
który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową
Do kontroli zgodności przetwarzania danych przez podmiot z przepisami o
ochronie danych osobowych stosuje się odpowiednio przepisy art. 14-19.
www.giodo.gov.pl
I NIECO PRAWA KARNEGO
Art. 49. 1. Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest
dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie,
karze ograniczenia wolności albo pozbawienia wolności do lat 2.
2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe
lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność
wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym,
nałogach lub życiu seksualnym, sprawca podlega grzywnie, karze ograniczenia
wolności albo pozbawienia wolności do lat 3.
Art. 51. 1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony
danych osobowych udostępnia je lub umożliwia dostęp do nich osobom
nieupoważnionym, podlega karze ograniczenia wolności albo pozbawienia wolności
do lat 2.
2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności
albo pozbawienia wolności do roku.
25 listopada 2013 r., Gdańsk
www.giodo.gov.pl
I NIECO PRAWA KARNEGO
Art. 52. Kto administrując danymi narusza choćby nieumyślnie obowiązek
zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub
zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia
wolności do roku.
Art. 54. Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania
osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji
umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega
grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Art. 54a. Kto inspektorowi udaremnia lub utrudnia wykonanie czynności
kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia
wolności do lat 2.
25 listopada 2013 r., Gdańsk
www.giodo.gov.pl
PRZEPISY KARNE - ROZDZIAŁ 8
przetwarzanie danych w zbiorze wbrew zakazowi przetwarzania bądź przy
braku uprawnienia do przetwarzania (art. 49)
udostępnienie danych lub umożliwienie dostępu osobom nieupoważnionym
(art. 51)
naruszenie obowiązku zabezpieczenia danych (art. 52)
niezgłoszenie zbioru do rejestracji (art. 53)
niedopełnienie obowiązku informacyjnego (art. 54)
udaremnianie lub utrudnianie wykonania czynności kontrolnych
(art. 54A) nowy od 7 marca 2011 r.
+ uchylenie art. 50 – przewidywał sankcje za przechowywanie
w zbiorze danych niezgodnie z celem utworzenia zbioru
www.giodo.gov.pl
63
WSKAZANIA DOTYCZĄCE BEZPIECZEŃSTWA
TELEIMFORMATYCZNEGO W KANCELARII
1. Zaszyfruj *cały* dysk twardy (tzw. full disk encryption)
Powinno uchronić Cię to przed nieuprawnionym dostępem do danych, np. na skutek
kradzieży lub dostępu do pokoju, w którym zostawiłeś sprzęt.
Programy:
- TrueCrypt dla Windows (http://www.truecrypt.org/)
- FileVault2 dla Mac OS X (wbudowany w system, w zakładce “Security & Privacy” w
systemowych preferencjach).
- BitLocker dla Windows (wbudowany w system)
Niezależnie od szyfrowania, warto wykonywać regularny backup (także szyfrowany),
Niektóre z dysków twardych wspierają szyfrowanie na poziomie kontrolera (co nie
wymaga instalacji dodatkowego oprogramowania, a odpowiedniej konfiguracji, tj.
ustawienia hasła w BIOS).
25 listopada 2013 r., Gdańsk
www.giodo.gov.pl
WSKAZANIA DOTYCZĄCE BEZPIECZEŃSTWA
TELEIMFORMATYCZNEGO W KANCELARII
2. Aktualizuj oprogramowanie
Chroni przed większością ataków masowych, typu:
- otwarcie złośliwego pliku PDF,
-wejście na złośliwą stronę internetową
Każde oprogramowanie ma błędy bezpieczeństwa (tzw. dziury). Są one odnajdowane i
łatane na bieżąco. Aby je eliminować należy regularnie aplikować aktualizacje, inaczej
powalamy każdemu gimnazjaliście korzystającemu z tzw. “programów do hackowania”
(np. metasploita) na przejęcie naszego komputera
•
•
Włącz automatyczną aktualizację w każdym z programów, z których korzystasz
na komputerze (zwłaszcza w przeglądarce internetowej)
Jeśli musisz “ręcznie” ściągnąć aktualizację, ściagaj ją ze strony producenta po
HTTPS (w przeciwnym razie, ktoś kto jest na trasie twojego połączenia, mógłby
podmienić ściągane dane na złośliwe).
Od czasu do czasu warto także przejrzeć uprawnienia, jakie nadałeś zewnętrznym
aplikacjom na swoich kontach Facebooka, Google itp.
25 listopada 2013 r., Gdańsk
www.giodo.gov.pl
WSKAZANIA DOTYCZĄCE BEZPIECZEŃSTWA
TELEIMFORMATYCZNEGO W KANCELARII
3. Stosuj unikatowe hasła, czyli różne do każdego z serwisów/usługi
...i włącz dwuskładnikowe uwierzytelnienie (2 factor authentication)
Chroni przed nieuprawnionym dostępem do Twoich danych (kont w
serwisach internetowych).
Najczęściej atakujący zdobywają dostęp do twojego konta w serwisie X,
dzięki temu, że udało im się włamać na serwis Y, w którym także miałeś
zarejestrowane konto na ten sam adres e-mail/login. Ponieważ serwis Y był
od dawna zapomniany (np. studenckie forum) i zarządzany przez
niekompetentną osobę, w momencie ataku pracował pod kontrolą
nieaktualnego oprogramowania. Dzięki temu, atakujący wykorzustując znany
od dawna błąd, wykradli z niego bazę danych. W bazie znajdowało się twoje
hasło, niestety takie same jak do serwisu X.
25 listopada 2013 r., Gdańsk
www.giodo.gov.pl
WSKAZANIA DOTYCZĄCE BEZPIECZEŃSTWA
TELEIMFORMATYCZNEGO W KANCELARII
3a. Włącz dwuskładnikowe uwierzytelnienie (2 factor authentication)
Dwuskładnikowe uwierzytelnienie ochroni twoje konto, w przypadku przejęcia
Twojego hasła (np. po logowaniu się do Facebooka na komputerze kolegi, w hotelu,
itp.).
Atakujący są w stanie sprawdzać ponad 5 milionów haseł na sekundę. Dlatego aby
opóźnić złamanie hasła, hasło powinno być:
- niesłownikowe (hasła: qwerty, qazwsx, albo kasia123 lub defibrylator nie są dobre,
ponieważ znajdują się w słownikach służących do łamania haseł. Te słowniki
zawierają wszystkie poprawne słowa z j. polskiego, angielskiego, itp, oraz
popularne kombinacje “123456”, a także wersje powyższych słów pisane od tyłu,
na przemian małymi i dużymi literami, a także z suffiksami: “123”, “098”, “111”,
“000”, “123!”, “1!” itp. na końcu).
- nieszablonowe (nie twórz ich według szablonu. np. MojeTajneHasloDoAllegro - bo w
przypadku wycieku haseł z Allegro, atakujący domyśli się, że twoje hasło do
Facebooka to zapewne MojeTajneHasloDoFacebooka)
- długie i skomplikowane (im dłuższe hasło i im więcej znaków posiada, tym dłużej
zajmie atakującemu jego łamanie).
25 listopada 2013 r., Gdańsk
www.giodo.gov.pl
WSKAZANIA DOTYCZĄCE BEZPIECZEŃSTWA
TELEIMFORMATYCZNEGO W KANCELARII
4. Podnieś bezpieczeństwo przeglądarki
Może chronić przez podsłuchaniem twojego ruchu internetowego i kradzieżą
tożsamości/danych
1.
Upewnij się, że z jakiej przeglądarki korzystasz.
2.
Wyłącz wtyczkę Java (oraz inne których nie potrzebujesz, a zapewne nie
potrzebujesz niczego poza Flashem)
3.
3. Włącz funkcję “click-2-play” dla wtyczek. Dzięki temu, żaden aplet Flasha na
stronie nie wystartuje sam z siebie (nawet te 1x1 px). Aby aktywować np. aplet
filmiku na YouTube, będziesz musiał najpierw w niego kliknąć
4.
Zainstaluj przydatne rozszerzenia, zwłaszcza te:
- NoScript (blokada JS dla Fx)
- NoScripts (blokada JS dla Chrome)
- HTTPS Everywhere (wymusza szyfrowane połączenia, jeśli są możliwe)
5. Jeśli prywatność jest dla Ciebie równie ważna co bezpieczeństwo, skonfiguruj
ciasteczka w tryb “No third party cookies” - ochroni to Twoją prywatność przed
trackingiem reklamowym.
25 listopada 2013 r., Gdańsk
www.giodo.gov.pl
WSKAZANIA DOTYCZĄCE BEZPIECZEŃSTWA
TELEIMFORMATYCZNEGO W KANCELARII
5. Korzystaj z VPN, łącząc się z nieswoją siecią (Wi-Fi)
Chroni przed podsłuchaniem twoich danych.
W przypadku darmowych hotspotów (np. w Starbucks, McDonalds, itp.) oraz
sieci z szyfrowaniem WEP -- każdy inny użytkownik sieci widzi cały twój ruch
internetowy. Jeśli nie korzystasz z szyfrowanych protokołów, będzie można Cię
podsłuchać i np. przechwycić np. twoje hasła.
Atakujący może także celowo podstawić fałszywą, niezaszyfrowaną sieć o nazwie
(SSID) takiej jak sieć, do której wcześniej się łączyłeś. Twój komputer połączy
się z nią automatycznie, co pozwoli na podsłuch połączenia przez atakującego.
Wszelkie błędy certyfikatów wyskakujące podczas połączenia lub komunikaty
informujące o zmianie odcisku/fingerprinta klucza traktuj jako atak MITM i nie
akceptuj takiego połączenia.
Włączaj np. firmowy VPN korzystając z niezaufanych sieci Wi-Fi (hotele, lotniska, biura
klienta).
Jeśli nie masz firmowego VPN-a, możesz kupić tego typu usługę za grosze lub
stworzyć ją samemu. Bardzo prosty VPN możesz zrobić przy pomocy serwera
SSH.
25 listopada 2013 r., Gdańsk
www.giodo.gov.pl
WSKAZANIA DOTYCZĄCE BEZPIECZEŃSTWA
TELEIMFORMATYCZNEGO W KANCELARII
6. Korzystaj z firewalla
Chroni przed zwiększaniem powierzchni ataku.
Ustaw blokadę wszystkich połączeń przychodzących do Twojego komputera.
Nie utrudnia Ci to korzystania z komputera, pod warunkiem, że nie nie jesteś
serwerem WWW, lub nie udostępniasz innej usługi innym internautom –
ale jeśli to robisz, to zapewne wiesz na jakim porcie działa usługa i będziesz
w stanie założyć odpowiednią regułę na firewallu.
Rozważ instalację oprogramowania, które będzie także limitowało ruch
wychodzący z twojego komputera. Dla Mac OS X będzie to LittleSnitch,
w przypadku Windowsa interaktwne limitowanie ruchu wychodzącego
umożliwia program ZoneAlarm
25 listopada 2013 r., Gdańsk
www.giodo.gov.pl
WSKAZANIA DOTYCZĄCE BEZPIECZEŃSTWA
TELEIMFORMATYCZNEGO W KANCELARII
7. Korzystaj z antywirusa i konta z ograniczonym uprawnieniami (nie
admina)
Antywirus chroni przed znanymi wirusami, a korzystanie z konta bez
przywilejów administratorskich nie pozwoli złośliwemu oprogramowaniu na
całkowite przejęcie systemu.
Antywirusy da się obejść i jest to stosunkowo proste zadanie. Nie mniej
jednak warto z nich korzystać, bo doskonale odsiewają znane (tj. stare) i
masowe zagrożenia.
Nie trzeba kupować antywirusa - wiele z firm ma wersje bezpłatne i są one
równie (nie)skuteczne co “płatne”.
Nie korzystaj z konta administratora do pracy na co dzień. Załóż osobne
konto.
25 listopada 2013 r., Gdańsk
www.giodo.gov.pl
WSKAZANIA DOTYCZĄCE BEZPIECZEŃSTWA
TELEIMFORMATYCZNEGO W KANCELARII
8. Zastanów się, co umieszczasz w sieci
Kompromitacja
Wyciek poufnych danych
Wszystko co umieszczasz w internecie lub wysyłasz e-mailem nawet do
1 wybranej osoby, traktuj jako publicznie dostępne dla wszystkich.
Skrzynka e-mail twojego zaufanego odbiorcy może zostać upubliczniona na
skutek ataku. Prywatna galeria zdjęć na Facebooku może być dostępna dla
każdego internauty na skutek czasowego błędu w serwisie. Takie sytuacje
miały już miejsce (por. http://niebezpiecznik.pl/post/dziura-w-facebookuujawnia-prywatne-zdjecia-uzytkownikow/).
Wszystko co umieszczasz w internecie, ma dużą szansę zostać tam na
zawsze, czy tego chcesz, czy nie.
25 listopada 2013 r., Gdańsk
www.giodo.gov.pl
Dziękuję bardzo za uwagę
www.giodo.gov.pl