Chmura wszystko zmienia – jak cloud computing przewraca do góry nogami rynek ...
Netcamp #12 - Ochrona danych osobowych w Internecie
1. OCHRONA DANYCH
OSOBOWYCH
ASPEKT FORMALNO-PRAKTYCZNY
27 marca 2009
Marcin Walkowiak
marcin@walkowiak.eu
1
2. PLAN
1. Podstawy
2. Ustawa o ochronie danych osobowych
- stosowanie ustawy
- definicje
3. Administrator danych
4. Rejestracja zbioru
5. Powierzenie przetwarzania danych
6. Dokumentacja
2
3. PODSTAWY
KONSTYTUCJA RZECZYPOSPOLITEJ POLSKIEJ (art. 47, 51)
(art. 47.)
Każdy ma prawo do ochrony życia prywatnego, rodzinnego, czci i dobrego imienia oraz do
decydowania o swoim życiu osobistym.
(art. 51.)
1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji
dotyczących jego osoby.
2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o
obywatelach niż niezbędne w demokratycznym państwie prawnym.
3. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów
danych. Ograniczenie tego prawa może określić ustawa.
4. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych,
niepełnych lub zebranych w sposób sprzeczny z ustawą.
5. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa
3
4. USTAWA I AKTY WYKONAWCZE
• Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. (tekst
jednolity: Dz. U. 2002 r. Nr 101 poz. 926, ze zm.)
• Rozporządzenie ministra spraw wewnętrznych i administracji z dnia 29
kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych
oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać
urządzenia i systemy informatyczne służące do przetwarzania danych
osobowych.
• Rozporządzenie ministra spraw wewnętrznych i administracji z dnia 29
kwietnia 2004 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji
Generalnemu Inspektorowi Ochrony Danych Osobowych.
• Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11
grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru zbioru do rejestracji
Generalnemu Inspektorowi Ochrony Danych Osbowych
4
5. GENERALNY INSPEKTOR OCHRONY
DANYCH OSOBOWYCH
Kompetencje GIODO wyznaczają przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych
osobowych (t.j. Dz. U. z 2002 r. Nr 101, poz. 926, ze zm.). W ich świetle GIODO jest uprawniony do:
• kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
• wydawania decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o
ochronie danych osobowych,
• prowadzenia rejestru zbioru danych oraz udzielanie informacji o zarejestrowanych zbiorach,
• opiniowania projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych,
• inicjowania i podejmowania przedsięwzięć w zakresie doskonalenia ochrony danych osobowych,
• uczestniczenia w pracach międzynarodowych organizacji i instytucji zajmujących się
problematyką ochrony danych osobowych.
WWW.GIODO.GOV.PL
5
7. STOSOWANIE USTAWY
Ustawy nie stosuje się do:
1)
osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub
domowych,
2)
podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim,
wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej
Polskiej wyłącznie do przekazywania danych.
• Ustawy, z wyjątkiem przepisów art. 14 - 19 i art. 36 ust. 1, nie stosuje się również do
prasowej działalności dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. –
Prawo prasowe (Dz. U. Nr 5, poz. 24, z późn. zm.) oraz do działalności literackiej lub
artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania
informacji istotnie narusza prawa i wolności osoby, której dane dotyczą.
Przepisów ustawy nie stosuje się, jeżeli umowa międzynarodowa, której stroną jest
Rzeczpospolita Polska, stanowi inaczej.
7
8. STOSOWANIE USTAWY
Ustawę stosuje się do przetwarzania danych osobowych:
1)
w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach
ewidencyjnych,
2)
w systemach informatycznych, także w przypadku przetwarzania danych poza
zbiorem danych.
Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do
państwowych i komunalnych jednostek organizacyjnych.
Ustawę stosuje się również do:
1)
podmiotów niepublicznych realizujących zadania publiczne,
2)
osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących
osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością
zarobkową, zawodową lub dla realizacji celów statutowych
- które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej,
albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków
technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej.
8
9. DEFINICJE USTAWOWE – DANE OSOBOWE
Art. 6
1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje
dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można
określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na
numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających
jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli
wymagałoby to nadmiernych kosztów, czasu lub działań.
9
10. DANE OSOBOWE
przetwarzanie danych - jakiekolwiek operacje wykonywane na danych
osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie,
zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w
systemach informatycznych
system informatyczny - zespół współpracujących ze sobą urządzeń, programów,
procedur przetwarzania informacji i narzędzi programowych zastosowanych w
celu przetwarzania danych.
zabezpieczenie danych w systemie informatycznym - to wdrożenie i eksploatację
stosownych środków technicznych i organizacyjnych zapewniających ochronę
danych przed ich nieuprawnionym przetwarzaniem.
10
11. ZASADY PRZETWARZANIA
Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
1) osoba, której dane dotyczą, wyrazi na to zgodę,
2) zezwalają na to przepisy prawa,
3) jest to konieczne do realizacji umowy
4) jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra
publicznego,
5) jest niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów
danych,- a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą.
Za prawnie usprawiedliwiony cel j/w uważa się w szczególności:
1) marketing bezpośredni własnych produktów lub usług administratora danych,
2) dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
11
12. DANE SENSYTWNE - WRAŻLIWE
• Pochodzenie rasowe lub etniczne
• Poglądy polityczne
• Przekonania religijne lub filozoficzne
• Przynależność wyznaniowa
• Przynależność partyjna lub związkowa
• Stan zdrowia
• Kod genetyczny
• Nałogi
• Skazania i inne orzeczenie
12
13. ZASADY PRZETWARZANIA
Przetwarzanie danych, sensytywnych jest zabronione. Jest jednak dopuszczalne, jeżeli:
• osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o
usunięcie dotyczących jej danych,
• przepis szczególny innej ustawy zezwala na przetwarzanie takich danych
• zadania statutowe kościołów, związków wyznaniowych, stowarzyszeń, fundacji,instytucji o
celach politycznych, naukowych, religijnych, filozoficznych lub związkowych itd
• dochodzenia praw przed sądem,
• zatrudnienia pracowników - zakres normowany Kodeksem Pracy
• ochrona stanu zdrowia, świadczenie usług medycznych
• dane zostały podane do wiadomości publicznej przez osobę, której dane dotyczą,
• badania naukowe,
• przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i
obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub
administracyjnym.
13
14. DEFINICJE USTAWOWE – CD
Administrator Danych - rozumie się przez to organ, jednostkę organizacyjną,
podmiot lub osobę decydujące o celach i środkach przetwarzania danych
osobowych,
Administrator Bezpieczeństwa Informacji - osobą nadzorująca przestrzeganie
zasad ochrony wyznaczona przez AD (chyba że AD sam wykonuje te
czynności.)
14
15. OBOWIĄZKI ADMINISTRATORA DANYCH
Obowiązki podstawowowe Art 26 - legalność, poprawność i adekwatność danych
• przetwarzane zgodnie z prawem,
• zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu
przetwarzaniu niezgodnemu z tymi celami,
• merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są
przetwarzane,
• przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą,
nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
15
16. OBOWIĄZKI ADMINISTRATORA DANYCH
Obowiązki podstawowowe - Art 24 -25 - obowiązek informacyjny
• adres swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem
danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i
nazwisku,
• cel i zakres zbierania danych, a w szczególności odbiorcy lub kategorie
odbiorców danych,
• prawo do wglądu do swoich danych oraz ich poprawiania,
16
17. OBOWIĄZKI ADMINISTRATORA DANYCH
Administrator danych jest obowiązany zastosować środki techniczne i
organizacyjne zapewniające ochronę przetwarzanych danych osobowych
odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w
szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom
nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z
naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Administrator danych prowadzi dokumentację opisującą sposób przetwarzania
danych oraz stosowane środki.
Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane
osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są
przekazywane.
Administrator danych upoważnia do przetwarzania danych oraz prowadzi
ewidencję osób upoważnionych do ich przetwarzania
17
18. REJESTRACJA ZBIORU
Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu
Inspektorowi. Z obowiązku zwolnieni są administratorzy danych (m.in).:
• objętych tajemnicą państwową ze względu na obronność lub bezpieczeństwo państwa, ochronę
życia i zdrowia ludzi, mienia lub bezpieczeństwa i porządku publicznego, .
• dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji
prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego.
• przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów
cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,
• dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy
prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,
• przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości
finansowej,
• powszechnie dostępnych,
• przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia
szkoły wyższej lub stopnia naukowego,
• przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.
18
19. POWIERZENIE PRZETWARZANIA DANYCH
Art. 31
1. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy
zawartej na piśmie, przetwarzanie danych.
2. Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu
przewidzianym w umowie.
3. Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania
danych podjąć środki zabezpieczające zbiór danych oraz spełnić wymagania określone w
przepisach
19
20. POWIERZENIE PRZETWARZANIA DANYCH
Podmiot przetwarzający dane na podstawie umowy powierzenia
zawartej z administratorem danych, w rozumieniu przepisów ustawy o ochronie
danych osobowych, nie staje się ich administratorem.
Nie spoczywają na nim obowiązki, którymi ustawodawca obciążył
administratora danych, m.in. obowiązek rejestracji. Jest on jednak zobowiązany
do podjęcia środków technicznych i organizacyjnych w celu zabezpieczenia
danych.
W zakresie przestrzegania wymienionych przepisów podmiot ponosi
odpowiedzialność jak administrator danych. Ponadto podmiot, któremu
przetwarzanie danych powierzono ponosi odpowiedzialność za naruszenie
ustawy w zakresie działań niezgodnych z umową zawartą z administratorem
danych.
20
21. DOKUMENTACJA + WARUNKI TECHNICZNE I
ORGANIZACYJNE
Rozporządzenie ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w
sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i
organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do
przetwarzania danych osobowych.
Dokumentacja:
Polityka bezpieczeństwa – zawiera m.in. wykaz budynków, wykaz zbiorów,
opis struktury zbiorów, określenie środków tech i organizacyjnych
niezbednaych dla zepewniania poufności, integralności i rozliczalności
danym
Instrukcja zarządzania systemem informatycznym – m.in. procedury
nadawania uprawnień, haseł; procedury backupu, konserwcji itd
21
22. POZIOMY ŚRODKÓW BEZPIECZEŃSTWA
Poziom przynajmniej podwyższony należy zastosować, jeżeli wnioskodawca
przetwarza dane sensytywne
W przypadku, gdy przynajmniej jedno urządzenie systemu informatycznego
służącego do przetwarzania danych osobowych połączone jest z siecią publiczną,
należy zastosować środki bezpieczeństwa na poziomie wysokim.
W pozostałych przypadkach przetwarzania danych w systemie informatycznym,
wystarczające jest zastosowanie środków bezpieczeństwa na poziomie
podstawowym.
22