Definicja danych osobowych
Transkrypt
Definicja danych osobowych
Ochrona danych osobowych PODSTAWOWE INFORMACJE Przygotowała: Teresa Żmijewska-Jędrzejczyk Podstawa prawna W Polsce: Konstytucja Rzeczypospolitej Polskiej: Art. 47 gwarantuje „prawo do ochrony życia prywatnego, rodzinnego, czci i dobrego imienia”, Art. 51 ogranicza zasoby danych osobowych w posiadaniu władz, daje prawo dostępu do własnych danych i żądania ich sprostowania i mówi: „ Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa” Międzynarodowa podstawa prawna: Konwencja Nr 108 Rady Europy, (Strasburg, 28.01.1981 r.) o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych, ratyfikowana przez Polskę 24.04.2002 (Dz. U. z 2003 r. Nr 3, poz. 25) Dyrektywa 95/46/WE Parlamentu Europejskiego oraz Rady z dnia 24 października 1995 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz swobodnego przepływu tych danych Dyrektywa 2002/58/WE dostosowuje zasady Dyrektywy 95/46/WE do sektora telekomunikacyjnego . Szczególny nacisk położony na niechciane (niezamawiane) komunikowanie: zasada opt-in (= wyrażenie uprzedniej zgody) – ograniczenie spamu (e-mail) i niechcianego użycia telefonów, faksów etc. Polskie regulacje prawne Ustawa o Ochronie Danych Osobowych (u.o.d.o.) z dnia 29 sierpnia 1997 r. Tekst pierwotny opublikowano w Dz. U. 1997 r. Nr 133 poz. 883. Obecnie, po wprowadzeniu zmian tekst jednolity został opublikowany w: Dz. U. 2015. poz. 2135 (http://www.dziennikustaw.gov.pl/du/2015/2135) [treść u.o.d.o. załączona do prezentacji] Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie prowadzenia dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) 3 Definicja danych osobowych (1) Dane osobowe: za dane osobowe uważa się każdą informację dotyczącą osoby fizycznej, pozwalającą na określenie tożsamości tej osoby Art. 6. (…) Zgodnie z ustawą wszelkie dane osobowe podlegają szczególnej ochronie, niezależnie od postaci w jakiej występują: drukowanej, elektronicznej czy przekazu słownego (np. w rozmowie) Na przykład: Listy obecności uczestników seminariów w IFiS PAN zawierają dane osobowe. Odręczne zapiski obejmujące imię, nazwisko, adresy i telefony osób, z którymi prowadzono rozmowy w związku z realizacją badań (np.: umawiano na wywiady) są danymi osobowymi. 3. Rejestry elektroniczne imion i nazwisk są danymi osobowymi. 4. Adresy mailowe, których składnia nie identyfikuje osoby, np.: [email protected] nie są danymi osobowymi. Jeśli jednak oprócz adresu mailowego dostępne są inne informacje pozwalające ustalić tożsamość (np. zapisany jest numer telefonu komórkowego), wówczas uznaje się, że są to dane osobowe. 1. 2. Definicja danych osobowych (2) c.d. Art. 6. (…) Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne Na przykład: Imię i nazwisko oraz adres zamieszkania osób biorących udział w badaniu. Nie trzeba podejmować działań, aby zidentyfikować osobę → tożsamość można określić bezpośrednio. 2. Numer identyfikacyjny w połączeniu z nazwą zajmowanego stanowiska i miejscowością, np.: dyrektor ds. technologicznych w fabryce kabli w Ożarowie Mazowieckim, uznajemy za dane osobowe. Nawet bez znajomości imienia i nazwiska możemy tę osobę odnaleźć, choć wymaga to dodatkowych działań → tożsamość można określić pośrednio, na podstawie zajmowanego przez nią stanowiska. 1. Definicja danych osobowych (3) c.d. Art. 6. (…) W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej Na przykład: Numer legitymacji studenckiej nie jest sam w sobie daną osobową. Jednak Administrator tych danych (Władze Uczelni) łatwo może zlecić powiązanie go z imieniem i nazwiskiem studenta. Możliwe jest zatem zidentyfikowanie konkretnej osoby fizycznej. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań Dane szczególnie chronione Art. 27 ust. 1 Dane szczególnie chronione, „wrażliwe” są to informacje: o pochodzeniu rasowym lub etnicznym, poglądach politycznych, religijnych, filozoficznych, wyznaniu, przynależności do partii lub związku, stanie zdrowia, kodzie genetycznym, nałogach, życiu seksualnym, skazaniach, orzeczeniach o ukaraniu, mandatach i innych orzeczeniach wydanych w postępowaniu przed sądem lub urzędem. Dane „zwykłe” - nie jest to pojęcie zdefiniowane w ustawie o ochronie danych osobowych, ale tak nazywane są dane osobowe poza wymienionymi w art. 27 ust. 1 ustawy. Te dane także podlegają ochronie. Zaliczamy do nich m.in.: imię, nazwisko, adres zamieszkania, datę urodzenia, nr PESEL, adres mailowy. Na przykład: Samodzielnie występujący nr PESEL jest daną osobową. Samodzielnie występująca data urodzenia nie jest daną osobową, ale staje się nią w powiązaniu z nazwiskiem. 7 Definicja przetwarzania danych (1) Art. 7. Ustawy (…) Ilekroć w ustawie jest mowa o: przetwarzaniu danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych w rozumieniu ustawy jakakolwiek czynność powiązana z danymi osobowymi nosi znamiona przetwarzania danych osobowych Na przykład: 1. Publikowanie, przechowywanie nazwisk w formie list, not biograficznych, zestawień absolwentów, byłych pracowników, uznaje się za przetwarzanie danych osobowych. 2. W u.o.d.o. akcentowane jest przede wszystkim przetwarzanie danych osobowych w systemach informatycznych. Np.: przechowywanie danych osobowych na dyskach: twardych, przenośnych, wirtualnych (Googledrive, Dropbox) jest traktowane jako przetwarzanie danych osobowych. Definicja przetwarzania danych (2) Art. 7. Ustawy (…) Ilekroć w ustawie jest mowa o: zbiorze danych - rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym - zestaw danych dostępnych według określonych kryteriów - zestaw danych może mieć charakter rozproszony lub podzielony funkcjonalnie Na przykład: 1. Strukturę zbioru danych określa jakiekolwiek uporządkowanie, np.: wg numeru ewidencyjnego lub wg wybranych cech: rok urodzenia, nazwiska uporządkowane alfabetycznie, adres składający się z nazwy miasta lub miejscowości, kodu pocztowego, nazwy ulicy i numerów domu, bloku oraz mieszkania. Kryterium dostępu oznacza możliwość wyszukania konkretnych danych, np. urodzonych po roku 1977, mieszkańców miast powyżej 10 tysięcy, mieszkańców Białegostoku. Technicznie zbiór danych może składać się z kilku części przechowywanych w różnych miejscach. 2. Zbiorem danych w rozumieniu art. 7 pkt 1 u.o.d.o. są także aplikacje składane przez przyszłych pracowników, np. w procesie rekrutacji. Wystarczy, że zestaw aplikacji jest przechowywany w systemie informatycznym i jest jakiekolwiek kryterium dostępu do tych informacji ( np.: nazwa stanowiska, numer referencyjny, tytuł ogłoszenia, temat). Definicja przetwarzania danych (3) c.d. Art. 7. Ustawy (…) Ilekroć w ustawie jest mowa o: usuwaniu danych - rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację (anonimizacja danych), która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą zgodzie osoby, której dane dotyczą - rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie zgoda nie może być domniemana [→ brak sprzeciwu] lub dorozumiana z oświadczenia woli o innej treści Oznacza to, że wyrażający zgodę na przetwarzane danych osobowych musi mieć pełną świadomość tego, na co się godzi. Z treści zgody podpisanej przez osobę, której dotyczy powinno w sposób nie budzący wątpliwości wynikać, w jakim celu, w jakim zakresie i przez kogo dane osobowe będą przetwarzane. zgoda może być odwołana w każdym momencie Prawa osoby, której dane dotyczą Art. 32. 1. Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do: 1) uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna - jej miejsca zamieszkania oraz imienia i nazwiska, 2) uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze, 3) uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych, 4) uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie w tajemnicy informacji niejawnych lub zachowania tajemnicy zawodowej, Prawa osoby, której dane dotyczą c.d. Art. 32. 1. Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do: 5) uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane, (…) 6) żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane 7) wniesienia, w przypadkach wymienionych w Art. 23 ust. 1 pkt 4 i 5, pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację Prawa osoby, której dane dotyczą c.d. Art. 32. 1. Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do: 8) wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych w Art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych, 9) wniesienia do administratora danych żądania ponownego, indywidualnego rozpatrzenia sprawy rozstrzygniętej z naruszeniem Art. 26a ust. 1. Wszystkie wyjaśnienia muszą być udzielane w sposób zrozumiały dla Odbiorcy. Obowiązek prowadzenia rejestru zbiorów w IFiS PAN Zbiory danych osobowych („zwykłych” – por. s. 7), które nie zawierają danych wskazanych w art. 27 ust.1 u.o.d.o. nie wymagają rejestracji w GIODO, jeśli Administrator Danych powołał Administratora Bezpieczeństwa Informacji (ABI) i zgłosił go do GIODO. Obowiązek prowadzenia jawnego rejestru takich zbiorów danych (zgodnie z art. 36a ust. 2 pkt 2 u.o.d.o.) przechodzi wówczas na ABI. W IFiS PAN nie ma obowiązku rejestracji w GIODO zbiorów zawierających dane „zwykłe”, ponieważ Administrator Danych (Dyrekcja) powołał ABI [kontakt → ostatni slajd]. Ustawa jednak nakłada obowiązek prowadzenia pełnego rejestru zbiorów danych osobowych, zarówno zawierających dane szczególnie chronione, jak i „zwykłe”. W IFiS PAN, dyrekcja upoważniła ABI do założenia i aktualizacji rejestru jawnego zbiorów danych. ABI, przynajmniej raz do roku, ma obowiązek przeprowadzić kwerendę i zaktualizować ogólny rejestr IFiS PAN. Z tego względu w każdym Dziale, Grancie, Zakładzie powinien powstać i być aktualizowany cząstkowy rejestr zbiorów danych. Obowiązki Administratora Bezpieczeństwa Informacji (ABI) Głównym zadaniem ABI jest zapewnianie przestrzegania przepisów o ochronie danych osobowych (zgodnie z art. 36a ust. 2 pkt 1 u.o.d.o.), w szczególności przez: 1. sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych (przynajmniej raz do roku); 2. nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych (Polityki Bezpieczeństwa Informacji w IFiS PAN); 3. zapewnianie zapoznania się osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych; 4. prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych (→ przez IFiS PAN). Instytucja ABI została wyznaczona przepisami obowiązującej aktualnie Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. 15 Zakres informacji w rejestrze zbiorów danych w IFiS PAN (1) Informacje o administratorze danych osobowych - jego nazwa (Zazwyczaj będzie nim IFiS PAN, jednak w niektórych projektach administratorem jest inny podmiot, np.: Administratorem międzynarodowego zbioru danych z badania Europejski Sondaż Społeczny jest NSD - Norwegian Centre for Research Data.) Nazwa projektu, w związku z którym tworzony jest zbiór Kierownik projektu Planowana data rozpoczęcia zbierania danych Planowana data zakończenia zbierania danych Cel przetwarzania danych (np.: realizacja badania jednorazowego) Opis struktury zbioru, np.: kategorii osób uwzględnionych („mężczyźni i kobiety w wieku 45+”, „mieszkańcy Krakowa”), których dane dotyczą oraz zakres przetwarzania danych „zwykłych” (np.: płeć, wiek, wykształcenie, numer telefonu) i szczególnie chronionych (np.: przynależność partyjna, związkowa, poglądy polityczne). Zakres informacji w rejestrze zbiorów danych w IFiS PAN (2) cd. Czy zbiór będzie zawierał lub zawiera (jeśli zgłoszony do GIODO) dane szczególnie chronione, „wrażliwe”? Jeśli zbiór został już zgłoszony do GIODO, należy podać numer zgłoszenia, numer księgi. Lista imion i nazwisk osób upoważnionych do przetwarzania danych osobowych w tym zbiorze. Sposób zbierania danych (np.: wyłącznie od osób, których dotyczą) i ich udostępniania (zgodnie z przepisami prawa – ale uwaga: w dokumentacji projektu należy zamieścić opis sposobu zbierania i udostępniania danych) Lista programów komputerowych wykorzystywanych do przetwarzania danych. Informacje o odbiorcach Informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego (zazwyczaj nas ten zapis nie dotyczy, nie przekazujemy danych do innych krajów – ten zapis dotyczy krajów nie należących do Unii Europejskiej. Wyjątek stanowią podmioty, które uzyskały certyfikat poprzez przystąpienie do programu „Safe Harbour”) → Taki zestaw informacji o każdym ze zbiorów należy przekazać ABI. Rejestracja zbiorów danych w GIODO (1) W przypadku zbiorów danych szczególnie chronionych, tzw. „danych wrażliwych”, tj. danych należących do kategorii danych wskazanych w art. 27 ust. 1 u.o.d.o. [→ slajd 7: def. danych wrażliwych], istnieje obowiązek zgłoszenia takich zbiorów danych do rejestracji GIODO przed rozpoczęciem przetwarzania (art. 40 u.o.d.o.). 1. Wniosek rejestracji zbioru danych osobowych w GIODO należy złożyć przed jego stworzeniem. (Konieczność rejestracji, a także przygotowanie wniosku można konsultować z ABI w IFiS PAN). 2. Zbiory takie - zgłoszone w przeszłości i planowane do zgłoszenia w GIODO - muszą być także uwidocznione w rejestrze prowadzonym przez ABI w IFiS PAN. Rejestracja zbiorów danych w GIODO (2) Rejestracji nie podlegają zbiory tworzone doraźnie (np. do celów szkoleniowych), tzw. zbiory tymczasowe (np.: służące rekrutacji respondentów do jednorazowego badania naukowego). W każdej z tych sytuacji, zbiory takie należy bezpiecznie przetwarzać i usunąć lub przeprowadzić ich anonimizację natychmiast po zrealizowaniu celu doraźnego (w tym przykładzie - po zakończeniu badania) Na przykład: Nie trzeba rejestrować zbiorów danych powszechnie dostępnych, przetwarzanych w zakresie drobnych bieżących spraw życia codziennego. Lista osobistych (prywatnych), ale także służbowych (związanych z pracą w Instytucie) kontaktów nie podlega obowiązkowi zgłoszenia do rejestracji GIODO. Z tego obowiązku zwolnione są zbiory przetwarzane w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej. Nie jest wymagana rejestracja zbioru danych osobowych przetwarzanych w celu przygotowania pracy naukowej, doktoratu, rozprawy habilitacyjnej, i innej pracy wymaganej do uzyskania dyplomu uczelni wyższej lub stopnia naukowego. Rejestracja zbiorów danych (3) art. 40 „Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi” Zgłoszenie zbioru do rejestracji powinno zawierać: Wniosek o wpisanie do rejestru Informacje o administratorze danych osobowych Cel przetwarzania Opis kategorii osób, których dane dotyczą oraz zakres przetwarzania danych Sposób zbierania i udostępniania Informacje o odbiorcach Opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39 u.o.d.o. Informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego Rejestracja zbiorów danych (5) – zbiór zarejestrowany Praktyka badawcza: obowiązek rejestracji dotyczy m.in. badania panelowego: „Struktura i Ruchliwość Społeczna: Polskie Badanie Panelowe – POLPAN” Zostało on zgłoszone (Nr zgłoszenia w GIODO: 000439/2008, Nr księgi: 076121) i zarejestrowane pod nazwą „Polski Survey Panelowy POLPAN” jako zbiór danych. http://egiodo.giodo.gov.pl/search_advanced.dhtml 21 Rejestracja zbiorów danych (6) – lista zbiorów zarejestrowanych w GIODO 22 Praktyka ochrony danych osobowych 1. 2. 3. 4. 5. 6. 7. Dostęp do danych osobowych mają wyłącznie osoby upoważnione przez Administratora Danych lub Administratora Bezpieczeństwa Informacji (za zgodą Administratora Danych) na wniosek kierownika Grantu, kierownika Działu, Zespołu. Upoważnienia do przetwarzania danych są wystawiane w imieniu Administratora Danych Dane powinny być zabezpieczone przed dostępem osób nieupoważnionych Przechowywane mogą być jedynie w pomieszczeniu do tego przeznaczonym: dyski z danymi, serwery, na których przechowywane są dane osobowe powinny być umieszczone w pomieszczeniu z odpowiednio ograniczonym i rejestrowanym dostępem Należy odnotowywać każde działanie na danych osobowych (przenoszenie plików, tworzenie kopii, aktualizacja danych, usuwanie, dodawanie informacji) Procedura tworzenia kopii bezpieczeństwa i jej przechowywania Procedura niszczenia uniemożliwiająca odtworzenie danych Zakres stosowania ustawy Zapisy ustawy dotyczą: Obywateli RP i cudzoziemców Osób żyjących Systemów informatycznych Zbiorów papierowych Administratorów ze strefy publicznej oraz prywatnej mających siedzibę lub miejsce zamieszkania na terytorium RP Zbiorów doraźnych Przepisy karne za łamanie zapisów u.o.d.o. Na wniosek GIODO sąd może orzec karę: 3 lata za przetwarzanie danych wrażliwych, sensytywnych 1 rok za przetwarzanie danych niezgodnie z celem utworzenia zbioru (warunek: jeżeli sprawca działa nieumyślnie) Na przykład: za naruszenie obowiązku zabezpieczenia kto nie zgłasza zbioru danych osobowych do rejestru za niedopełnienie obowiązku informacyjnego GIODO może ukarać grzywną, w celu przymuszenia wykonania wydanej decyzji. Inne ustawy „Jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw” (art. 5) np. ustawa o bankowości, kodeks ESOMAR W przypadku wątpliwości, pytań, proszę o kontakt z Administratorem Bezpieczeństwa Informacji w IFiS PAN Teresą Żmijewską-Jędrzejczyk [email protected]