Transcript Prawid*owe kszta*towanie zasad ochrony danych osobowych w

Prawidłowe kształtowanie zasad
ochrony danych osobowych w
procesie tworzenia przepisów
prawa
Monika Krasińska
Dyrektor Departamentu Orzecznictwa, Legislacji i Skarg
Biuro GIODO
Tomasz Głuszczyk
Główny Specjalista w Departamencie Orzecznictwa,
Legislacji i Skarg Biuro GIODO
Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego
Przedmiot prezentacji
organ ochrony danych osobowych
• zasady ogólne
• zasady przetwarzania danych - obowiązki
administratorów
• prawa osób, których dane dotyczą
• powierzenie przetwarzania
• obowiązek zabezpieczenia danych
• obowiązek rejestracji zbioru danych
• odpowiedzialność karna
•
Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego
Organ ochrony danych osobowych
•
•
•
•
•
•
•
•
Generalny Inspektor Ochrony Danych Osobowych (art. 8-11)
zadania (art. 12)
uprawnienia kontrolne (art. 14 - 16)
decyzje administracyjne (art. 18, art. 21-22),
wnioski o wszczęcie post. dyscyplinarnego (art. 17), zawiadomienia o
popełnieniu przestępstwa (art. 19) ogólnokrajowy, jawny rejestr zbiorów
danych osobowych (art. 42)
wystąpienia (art. 19a)
opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony
danych osobowych (art. 12 pkt 5)
uczestniczenie w pracach międzynarodowych organizacji i instytucji
zajmujących się problematyką ochrony danych osobowych
prowadzenie rejestru zbiorów danych osobowych
Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego
Zasady ogólne
•
każdy ma prawo do ochrony jego danych osobowych (art. 1
ustawy o ochronie danych osobowych, art. 47 i 51 Konstytucji RP)
- dobro publiczne
- dobro podmiotu danych
- dobro osób trzecich
•
•
•
zakres przedmiotowy i podmiotowy ustawy (art. 2-3)
wyjątki w zakresie stosowania ustawy (art. 3a-5)
pojęcie danych osobowych w świetle rozwoju nowoczesnych
technologii (art. 6-7)
- Opinia Grupy Roboczej Art. 29 Dyrektywy 96/45/WE nr 4/2007 w sprawie pojęcia
danych osobowych
- Wyrok z dnia 19 maja 2011 r., sygn. Akt IOSK 1079/10
Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego
Zasady przetwarzania danych
osobowych - obowiązki administratora,
dane zwykłe
• przesłanki legalizujące przetwarzanie danych osobowych zwykłych (art. 23
ust. 1)
- zgoda osoby, której dane dotyczą (pkt 1)
. warunki pozyskiwania zgody przed i po nowelizacji ustawy o ochronie
danych osobowych
- uprawnienie / obowiązek wynikający z przepisu prawa (pkt 2)
- umowa (pkt 3)
- niezbędność do wykonania określonych prawem zadań realizowanych dla
dobra publicznego
- prawnie usprawiedliwiony cel administratora albo odbiorcy danych (pkt 5)
. marketing usług własnych
. dochodzenie roszczeń
Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego
Zasady przetwarzania danych
osobowych - obowiązki administratora,
dane szczególnie chronione
• przesłanki legalizujące przetwarzanie danych osobowych szczególnie
chronionych (art. 27 ust. 2)
- zgoda osoby, której dane dotyczą (forma pisemna),
- przepisy szczególne ustawy zezwalające na przetwarzanie danych bez zgody osoby, której
dane dotyczą, i stwarzające pełne gwarancje ich ochrony,
- dla ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba,
której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu
ustanowienia opiekuna prawnego lub kuratora,
- dla wykonania statutowych zadań kościołów i in. związków wyznaniowych, stowarzyszeń,
fundacji lub in. niezarobkowych organizacji lub instytucji o celach politycznych, naukowych,
religijnych, filozoficznych lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy
wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe
kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony
przetwarzanych danych,
- dla dochodzenia praw przed sądem,
Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego
Zasady przetwarzania danych osobowych
- obowiązki administratora, dane
szczególnie chronione
- dla wykonania zadań administratora danych odnoszących się do zatrudnienia
pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie.
- gdy dane zostały podane do wiadomości publicznej przez osobę, której dotyczą,
- dla prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej
do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego;
publikowanie wyników badań naukowych nie może następować w sposób
umożliwiający identyfikację osób, których dane zostały przetworzone,
- dla celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w
postępowaniu sądowym lub administracyjnym
Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego
Zasady przetwarzania danych
osobowych - obowiązki
administratora
• zasada przetwarzania danych zgodnie z prawem
(art. 26 ust. 1 pkt 1) – kształtowanie zasady legalizmu pozyskiwania i
udostępniania danych osobowych w systemach informatycznych
• zasada celowości (art. 26 ust. 1 pkt 2) - wyjątki
(art. 26 ust. 2)
• zasada merytorycznej poprawności i adekwatności danych (art. 26 ust. 1 pkt 3)
• zasada proporcjonalności w procesie zbierania danych osobowych - wyrok z 18
czerwca 2010 r. sygn. akt II SA/Wa 151/10 (dane biometryczne)
Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego
Zasady ogólne
- obowiązki administratora a prawa
osób, których dane dotyczą
•
•
•
•
•
•
•
•
prawo do informacji
(art. 24 i 25)
- minimum informacji, jakie
administrator powinien przekazać osobie,
której dane dotyczą, po zebraniu
i utrwaleniu jej danych
•
prawo do kontroli przetwarzania
danych (art. 32 i 33)
- zakres informacji, jakie
administrator jest obowiązany
przekazać osobie, której dane
dotyczą, na żądanie tej osoby
adres siedziby i nazwa administratora (art. 24, 25)
cel i zakres zbierania danych (art. 24, 25)
dostęp do treści oraz prawo poprawiania danych
(art. 24, 25)
informacja o odbiorcach danych (art. 24, 25)
dobrowolność / obowiązek podania danych
osobowych (art. 24)
źródło danych (art. 25)
uprawnienia z art. 32 ust. 1 pkt 7 i 8 (art. 25)
Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego
Zwolnienia administratora
z obowiązku realizacji prawa
do informacji
• przepis innej ustawy pozwala na przetwarzanie danych bez ujawniania
faktycznego celu ich zbierania (bez wiedzy osoby)- (art. 24, 25)
• osoba, której dane dotyczą, posiada informacje wymienione w tych przepisach
(art. 24, 25)
• badania naukowe, historyczne, statystyczne, opinii publicznej,o ile
przetwarzanie danych nie narusza praw i wolności osoby badanej a spełnienie
obowiązku wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu
badania (art. 25)
• przetwarzanie na podstawie przepisów prawa przez organy państwowe,
samorządu terytorialnego, państwowe i komunalne jednostki organizacyjne,
podmioty niepubliczne realizujące zadania publiczne (art. 25)
Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego
Prawa osób, których dane dotyczą kontrola przetwarzania danych
•
•
•
•
inicjatywa (wniosek) osoby, której dane dotyczą (art.33)
forma – pisemna
termin 30 dni
obowiązek poinformowania o przysługujących prawach
w zakresie określonym art.32 ust. 1 pkt 1-5a
Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego
Prawa osób, których dane dotyczą zakres uprawnień kontrolnych
•
•
•
•
•
•
•
•
•
•
istnienie zbioru (art. 32)
ustalenie administratora (art. 32)
cel, zakres i sposób przetwarzania danych (art. 32 i 33)
od kiedy dane są przetwarzane (art. 32)
treść danych - jakie dane zawiera zbiór (art. 32 i 33)
źródło i sposób pozyskania danych (art. 32 i 33)
prawo do uzupełnienia, uaktualnienia, sprostowania danych (art. 32)
czasowe / stałe wstrzymanie przetwarzania danych; usunięcie danych (art. 32)
żądanie zaprzestania przetwarzania danych ze względu na szczególną sytuację osoby
wnoszącej żądanie (art. 32 ust. 1 pkt 7)
wniesienie sprzeciwu wobec przetwarzania danych w celach marketingowych,
przekazywania tych danych innemu administratorowi (art. 32 ust. 1 pkt 8)
Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego
Ograniczenia prawa kontroli
• Ograniczenia wynikające z ustawy (art. 34):
- wiadomości zawierające informacje niejawne
- obronność / bezpieczeństwo państwa
- życie lub zdrowia ludzi
- bezpieczeństwo i porządek publiczny
- podstawowy interes gospodarczy lub finansowy państwa
- istotne naruszenie dóbr osobistych podmiotu danych lub
innych osób
• Ograniczenia wynikające z innych przepisów prawa
• Ograniczenia wynikające z nieistnienia zbioru (art. 32 ust. 1)
Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego
Umowa powierzenia
Forma – pisemna (art.31 ust.1)
Strony umowy – administrator danych i inny podmiot
Treść umowy – określenie zakresu i celu przetwarzania
Obowiązek podjęcia przez podmiot, któremu dane powierzono,
środków zabezpieczających zbiór danych, przed rozpoczęciem
przetwarzania (art.31 ust.2)
• Odpowiedzialność solidarna stron umowy za jej niewykonanie
• Podpowierzanie za zgodą administratora jako element umowy?
•
•
•
•
Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego
Obowiązki administratora zabezpieczenie danych
• zastosowanie środków technicznych i organizacyjnych zapewniające
•
•
•
•
•
ochronę danych odpowiednią do zagrożeń oraz kategorii danych objętych
ochroną, w szczególności przed udostępnieniem danych osobom
nieupoważnionym (art. 36)
wyznaczenie administratora bezpieczeństwa informacji (art. 36 ust. 3)
nadanie upoważnień do przetwarzania danych osobowych (art. 37)
prowadzenie ewidencji osób upoważnionych do przetwarzania danych
(art. 39)
zakres ewidencji:
1) imię i nazwisko osoby upoważnionej,
2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych
osobowych,
3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym
zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo
zostały do zbioru wprowadzone oraz komu są przekazywane.
Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego
Obowiązki administratora
zabezpieczenie danych c.d.
Ochrona Danych Osobowych – Rozporządzenie.
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r.
w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych
i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do
przetwarzania danych osobowych (Dz. U. z 2004. Nr100, poz.1024)
•
•
•
Główne obszary regulacji
sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych
osobowych oraz środki techniczne organizacyjne zapewniające ochronę
przetwarzania danych osobowych odpowiednia do zagrożeń oraz kategorii danych
objętych ochroną;
podstawowe warunki techniczne i organizacyjne , jakim powinny odpowiadać
urządzenia i systemy informatyczne służące do przetwarzania danych osobowych;
wymagania w zakresie odnotowania udostępniania danych osobowych i
bezpieczeństwa przetwarzania danych osobowych.
Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego
Ochrona Danych Osobowych – Rozporządzenie (dokumentacja)
Dokumentacja przetwarzania
danych osobowych
Polityka bezpieczeństwa
•
•
•
Cele i strategia zabezpieczenia
danych
Zagrożenia oraz ryzyko na jakie są
narażone dane osobowe
Wykaz budynków i pomieszczeń,
w których przetwarzane są dane
osobowe
Instrukcja zarządzania
systemem informatycznym
Dokumentację prowadzi się w formie
pisemnej (§ 3 ust.2)
Dokumentację wdraża administrator
danych (§ 3 ust.3)
Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego
Ochrona Danych Osobowych – Rozporządzenie (dokumentacja)
1. Polityka bezpieczeństwa
• wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w
•
•
•
•
którym przetwarzane są dane osobowe
wykaz zbiorów danych osobowych wraz ze wskazaniem programów
zastosowanych do przetwarzania tych danych;
opis struktury zbiorów danych wskazujących zawartość poszczególnych pól
informacyjnych i powiązania między nimi; (zakres przetwarzanych danych, ich
kategoria)
Sposób przepływu danych pomiędzy poszczególnymi systemami;
Określenie środków technicznych i organizacyjnych, niezbędnych dla
zapewnienia poufności, integralności i rozliczalności przetwarzania danych.
Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego
Ochrona Danych Osobowych – Rozporządzenie (dokumentacja)
Polityka bezpieczeństwa
Określenie środków technicznych i organizacyjnych niezbędnych dla
zapewnienia poufności, integralności i rozliczalności przetwarzania danych
• analiza zagrożeń (fizyczne, techniczne, programowe)
•
•
(pochodzenia naturalnego, ludzkiego, nieumyślne, celowe)
analiza ryzyka
słabość systemu (podatność na określone zdarzenia)
Norma PN-ISO/IEC 17799
a.
b.
Zapewnienie kierunków działania i wsparcie
kierownictwa dla bezpieczeństwa informacji
Definicję bezpieczeństwa informacji, jego ogólne cele i zakres oraz
znaczenie bezpieczeństwa jako mechanizmu umożliwiającego
współużytkowanie informacji;
Oświadczenia o intencjach kierownictwa, potwierdzające cele i zasady
bezpieczeństwa informacji
Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego
Ochrona Danych Osobowych – Rozporządzenie (dokumentacja)
2. Instrukcja zarządzania systemem informatycznym
1.
2.
3.
4.
procedury nadawania uprawnień do przetwarzania danych
i rejestrowania tych uprawnień w systemie informatycznym oraz
wskazanie osoby odpowiedzialnej za te czynności
(Internet – procedura rejestracji);
stosowanie metody i środki uwierzytelnienia oraz procedury
związane z ich zarządzaniem i użytkowaniem
(Internet – zapominane hasło);
procedery rozpoczęcia, zawieszenia i zakończenia pracy
przeznaczone dla użytkowników systemu (Internet - pliki cookies);
procedury tworzenia kopii zapasowych zbiorów danych oraz
programów i narzędzi programowych służących do ich
przetwarzania.
Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego
Ochrona Danych Osobowych – Rozporządzenie (dokumentacja)
2. Instrukcja zarządzania systemem informatycznym
5.
5.
6.
7.
8.
sposób, miejsce i okres przechowywania:
a) elektronicznych nośników informacji zawierających dane osobowe,
b) kopii zapasowych, o których mowa w pkt. 4,
sposób zabezpieczenia systemu informatycznego przed działalnością
oprogramowania, o których mowa w pkt. III ppkt 1 załącznika do
rozporządzenia;
sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4;
procedury wykonywania przeglądów i konserwacji systemów oraz nośników
informacji służących do przetwarzania danych;
sposób zabezpieczenia nośników z danymi przekazywanymi poza obszar
przetwarzania danych (dla danych wrażliwych).
Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego
Obowiązki administratora –
rejestracja zbioru danych
•
•
•
•
•
Obowiązek zgłoszenia zbioru danych do rejestracji (art. 40)
Zwolnienia z obowiązku rejestracji (art. 43 ust.1)
Warunki formalne zgłoszenia (art. 41 ust. 1)
Obowiązek zgłoszenia zmian z zbiorze (art. 41 ust. 2)
Przesłanki wydania decyzji o odmowie rejestracji
zbioru danych (art. 44)
Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego
Przepisy karne
• przetwarzanie w zbiorze danych, choć ich przetwarzanie nie jest dopuszczalne
•
•
•
•
•
albo bez uprawnienia (art. 49)
udostępnienie danych lub umożliwienie dostępu do nich osobom
nieupoważnionym przez administrującego zbiorem lub będącego obowiązanym
do ochrony danych (art. 51)
utrudnianie lub udaremnianie wykonywania czynności kontrolnych (art. 54a)
naruszenie przez administrującego danymi choćby nieumyślnie obowiązku
zabezpieczenia danych przed zabraniem przez osobę nieuprawnioną,
uszkodzeniem lub zniszczeniem (art. 52)
niezgłoszenie do rejestracji zbioru danych (art. 53)
niedopełnienie przez administrującego zbiorem obowiązku poinformowania
osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji
umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie (art.
54)
Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego
Dziękuję za uwagę