Ochrona danych osobowych w firmie

Transkrypt

Szkolenie z zakresu ochrony
danych osobowych
w firmie
Michał Koralewski
1
Michał Koralewski:
– radca prawny,
– wspólnik w Kancelarii Radców Prawnych,
– stała obsługa podmiotów z sektora publicznego
oraz przedsiębiorców.
www.koralewski.pl
2
[email protected]
Podstawy prawne
ochrony danych osobowych
Poziomy regulacji:
1.
2.
3.
4.
3
Poziom międzynarodowy (umowy międzynarodowe),
Poziom unijny (prawo wtórne),
Poziom krajowy (ustawy i rozporządzenia),
Poziom zakładowy (akty wewnątrzzakładowe).
Poziom międzynarodowy
KONWENCJA NR 108 Rady Europy
o ochronie osób w związku z automatycznym
przetwarzaniem danych osobowych
Podpisana: 28 stycznia 1981 r. w Strasburgu,
Weszła w życie: 01 października 1985 r.
4
Prawo Unii Europejskiej
Akty prawa wtórnego UE:
– dyrektywy (obecnie obowiązuje)
– rozporządzenie (w przygotowaniu)
5
Prawo Unii Europejskiej
– Dyrektywa 95/46/WE Parlamentu Europejskiego i
Rady z dnia 24 października 1995 roku w sprawie
ochrony osób fizycznych w zakresie przetwarzania
danych osobowych i swobodnego przepływu tych
danych,
– Dyrektywa 2002/58/WE parlamentu europejskiego i
rady z dnia 12 lipca 2002 r. dotycząca przetwarzania
danych osobowych i ochrony prywatności w sektorze
łączności elektronicznej (dyrektywa o prywatności i
łączności elektronicznej)
6
Prawo krajowe
Art. 47 Konstytucji RP:
Każdy ma prawo do ochrony prawnej
życia prywatnego, rodzinnego, czci i
dobrego imienia oraz do decydowania o
swoim życiu osobistym.
7
Prawo krajowe
Ustawodawstwo zwykłe (podstawowe):
1. ustawa z 29 sierpnia 1997 r. o ochronie danych
osobowych,
2. rozporządzenia wykonawcze, m.in.:
–
–
8
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji
w sprawie dokumentacji przetwarzania danych osobowych
oraz warunków technicznych i organizacyjnych, jakim powinny
odpowiadać urządzenia i systemy informatyczne służące do
przetwarzania danych osobowych,
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji
w sprawie wzoru zgłoszenia zbioru danych do rejestracji
Generalnemu Inspektorowi Ochrony Danych Osobowych
Prawo krajowe
Ustawodawstwo zwykłe (szczególne):
1. ustawa z dnia 18 lipca 2002 r. o świadczeniu usług
drogą elektroniczną,
2. ustawa z dnia 26 czerwca 1974 r. Kodeks pracy,
3. ustawa z dnia 22 stycznia 1999 r. o ochronie
informacji niejawnych,
4. Ustawa z dnia 9 kwietnia 2010 r. o udostępnianiu
informacji gospodarczych i wymianie danych
gospodarczych,
5. I wiele innych.
9
Ustawa o ochronie danych osobowych
Ustawę stosuje się do przetwarzania danych osobowych:
– w kartotekach, skorowidzach, księgach, wykazach i w innych
zbiorach ewidencyjnych,
– w systemach informatycznych, także w przypadku przetwarzania
danych poza zbiorem danych,
Ograniczone stosowanie:
– w odniesieniu do zbiorów danych osobowych sporządzanych
doraźnie, wyłącznie ze względów technicznych, szkoleniowych
lub w związku z dydaktyką w szkołach wyższych, a po ich
wykorzystaniu niezwłocznie usuwanych albo poddanych
anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5
ustawy (Zabezpieczenie danych osobowych).
10
Podmioty uczestniczące w przetwarzaniu
i ochronie danych osobowych
11
Kategorie podmiotów
1. Podmioty przetwarzające dane osobowe,
2. Osoba, której dane dotyczą,
3. Podmioty kontrolujące przetwarzanie
danych osobowych.
12
Podmioty przetwarzające
dane osobowe
1. Administrator danych osobowych,
2. Administrator Bezpieczeństwa Informacji
(ABI),
3. Procesor (eng. Processor).
13
14
Administrator danych osobowych
Jest nim:
– podmiot decydujący o celach i środkach przetwarzania danych
osobowych.
Podmiotem tym może być:
– organ państwowy, samorządu terytorialnego, państwowe i komunalne
jednostki organizacyjnyjne,
– podmiot niepubliczny realizujący zadania publiczne,
– osoba fizyczna i osoba prawna oraz jednostka organizacyjna niebędąca
osobą prawną, jeżeli przetwarzają dane osobowe w związku z
działalnością zarobkową, zawodową lub dla realizacji celów statutowych
które mają siedzibę albo miejsce zamieszkania:
– na terytorium Rzeczypospolitej Polskiej, albo
– w państwie trzecim, o ile przetwarzają dane osobowe przy
wykorzystaniu środków technicznych znajdujących się na
terytorium Rzeczypospolitej Polskiej.
15
Administrator danych osobowych
Przypadki szczególne:
– pracodawca,
– organ administracji publicznej,
– agencja reklamowa,
– jednostki terenowe,
– pełnienie roli administratora danych przez
dwa lub więcej podmiotów,
– czy do postępowania przed administratorem
stosuje się KPA?
16
Administrator Bezpieczeństwa
Informacji
1. Powołanie ABI,
2. Pozycja w strukturze administratora
danych osobowych,
3. Funkcje ABI,
4. Odpowiedzialność ABI
17
Powołanie ABI
1. Podstawa prawna powołania,
2. Konieczność a brak obowiązku
powołania ABI,
3. Sposób powołania.
18
Pozycja ABI
ABI w strukturze administratora danych
osobowych, najczęstsze przypadki:
–
–
–
–
–
19
musi spełniać ustawowe wymagania,
podległość służbowa bezpośrednio kierownictwu,
może posiadać zastępców,
niezależność w zakresie sprawowania swojej
funkcji,
zawarcia przez administratora danych umowy
powierzenia przetwarzania danych.
Funkcje ABI
Podstawowe funkcje ABI:
– funkcja wykonawcza,
– funkcja opiniodawcza,
– funkcja kontrolna,
ABI w procesie kontroli przetwarzania danych:
– samodzielnie przeprowadza kontrole,
– przeprowadza kontrole na żądanie GIODO,
– reprezentuje ADO w kontrolach GIODO.
20
Procesor
Podmiot przetwarzający dane osobowe na
rzecz administratora danych osobowych
oraz w oparciu o umowę o powierzeniu
przetwarzania danych (outsourcing danych
osobowych).
21
Osoba, której dane dotyczą
Osoba fizyczna, której dane osobowe są
przetwarzane.
Dotyczy
to
prowadzących
gospodarczą.
22
także
osób
jednoosobową
fizycznych
działalność
Podmioty kontrolujące
Centralnym organem administracji państwowej w
zakresie ochrony danych osobowych jest
Generalny Inspektor Ochrony Danych Osobowych
(GIODO).
Funkcje kontrolne w imieniu GIODO mogą pełnić
również:
– zastępca GIODO,
– Inspektorzy – upoważnieni pracownicy Biura GIODO.
23
Wyłączenia
Ustawy nie stosuje się do:
– osób fizycznych, które przetwarzają dane wyłącznie w celach
osobistych lub domowych,
– podmiotów mających siedzibę lub miejsce zamieszkania w
państwie
trzecim,
wykorzystujących
środki techniczne
znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie
do przekazywania danych,
– prasowej działalności dziennikarskiej oraz do działalności
literackiej lub artystycznej, chyba że wolność wyrażania swoich
poglądów i rozpowszechniania informacji istotnie narusza prawa
i wolności osoby, której dane dotyczą,
– przypadków, gdy umowa międzynarodowa, której stroną jest
Rzeczpospolita Polska, stanowi inaczej,
– sytuacji, w których przepisy odrębnych ustaw, które odnoszą się
do przetwarzania danych, przewidują dalej idącą ich ochronę,
niż wynika to z niniejszej ustawy, stosuje się przepisy tych
ustaw.
24
Podstawowe definicje z zakresu ochrony
danych osobowych
25
Podstawowe pojęcia
Dane osobowe:
– wszelkie informacje dotyczące zidentyfikowanej lub
możliwej do zidentyfikowania osoby fizycznej,
– osobą możliwą do zidentyfikowania jest osoba, której tożsamość
można określić bezpośrednio lub pośrednio, w szczególności
przez powołanie się na numer identyfikacyjny albo jeden lub
kilka specyficznych czynników określających jej cechy fizyczne,
fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne,
– informacji nie uważa się za umożliwiającą określenie tożsamości
osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub
działań.
26
Dane osobowe
Dodatkowego
wyjaśnienia
wymagają
następujące
składniki
pojęcia
„dane
osobowe”:
•
•
•
27
informacje,
umożliwiające zidentyfikowanie,
nadmierne nakłady.
Dane osobowe
Przypadki szczególne:
– adres poczty elektronicznej,
– numer telefonu,
– adres IP,
– dane osobowe, jako człon firmy.
28
Inne pojęcia
1.
2.
3.
4.
5.
6.
7.
8.
29
zbiór danych,
przetwarzanie danych,
system informatyczny,
zabezpieczenie danych w systemie
informatycznym,
usuwanie danych,
zgoda osoby, której dane dotyczą,
odbiorca danych,
państwo trzecie.
Zbiór danych
Każdy posiadający strukturę zestaw
danych
o
charakterze
osobowym,
dostępnych
według
określonych
kryteriów, niezależnie od tego, czy zestaw
ten jest rozproszony lub podzielony
funkcjonalnie,
30
Przetwarzanie danych
Jakiekolwiek operacje wykonywane na
danych osobowych, takie jak zbieranie,
utrwalanie, przechowywanie, opracowywanie,
zmienianie, udostępnianie i usuwanie, a
zwłaszcza te, które wykonuje się w
systemach informatycznych.
31
Zgoda
Oświadczenie woli, którego treścią jest
zgoda na przetwarzanie danych osobowych
tego, kto składa oświadczenie.
– zgoda nie może być domniemana lub
dorozumiana z oświadczenia woli o innej
treści;
– zgoda może być odwołana w każdym czasie.
32
Przesłanki przetwarzania danych
osobowych
33
Podział danych osobowych:
– dane niewrażliwe (dopuszczalność przetwarzania),
– dane wrażliwe (generalny zakaz przetwarzania).
Dane wrażliwe to: dane ujawniające pochodzenie rasowe
lub etniczne, poglądy polityczne, przekonania religijne lub
filozoficzne, przynależność wyznaniową, partyjną lub
związkową, jak również danych o stanie zdrowia, kodzie
genetycznym, nałogach lub życiu seksualnym oraz
danych dotyczących skazań, orzeczeń o ukaraniu i
mandatów karnych, a także innych orzeczeń wydanych w
postępowaniu sądowym lub administracyjnym.
34
Przetwarzanie danych niewrażliwych jest dopuszczalne,
gdy:
1. osoba, której dane dotyczą, wyrazi na to zgodę, chyba
że chodzi o usunięcie dotyczących jej danych,
2. jest to niezbędne dla zrealizowania uprawnienia lub
spełnienia obowiązku wynikającego z przepisu prawa,
3. jest to konieczne do realizacji umowy, gdy osoba, której
dane dotyczą, jest jej stroną lub gdy jest to niezbędne do
podjęcia działań przed zawarciem umowy na żądanie
osoby, której dane dotyczą,
4. jest niezbędne do wykonania określonych prawem zadań
realizowanych dla dobra publicznego,
5. jest
to
niezbędne
dla
wypełnienia
prawnie
usprawiedliwionych
celów
realizowanych
przez
administratorów danych albo odbiorców danych, a
przetwarzanie nie narusza praw i wolności osoby, której
dane dotyczą.
35
Zgoda
– zakres zgody,
– wykładnia oświadczeń woli,
– łączenie oświadczenia o wyrażeniu zgody z
innymi oświadczeniami,
– usunięcie danych osobowych,
– przetwarzanie danych bez zgody:
1. niemożność uzyskania zgody,
2. ochrona żywotnych interesów osoby, której dane
dotyczą.
36
Realizacja uprawnień i obowiązków
– istnienie przepisu prawa określającego
uprawnienie lub obowiązek,
– niezbędność przetwarzania danych do jego
realizacji.
Dodatkowe aspekty:
– przetwarzanie danych w oparciu o art. 221
Kodeksu pracy,
– prawo strony dostępu do akt postępowania.
37
Realizacja umowy
Przetwarzanie jest niezbędne do:
– realizacji umowy oraz dotyczy danych
osobowych jej strony,
– podjęcia działań przed zawarciem umowy
oraz na żądanie osoby, której dane dotyczą.
38
Dobro publiczne
– zakres przedmiotowy,
– zakres podmiotowy (podmioty publiczne,
podmioty niepubliczne),
– uprawnienia osoby, której dane dotyczą.
39
Usprawiedliwiony cel
Warunki przetwarzania:
– przetwarzanie jest niezbędne do wypełnienia
prawnie
usprawiedliwionych
celów
administratora danych lub odbiorcy danych,
– przetwarzanie danych nie narusza praw i
wolności osoby, której dane dotyczą.
40
Usprawiedliwiony cel
– niezbędność przetwarzania danych osobowych,
– brak naruszenia praw i wolności osoby, której dane
dotyczą (zwłaszcza prawa do prywatności),
– definiowanie „prawnie usprawiedliwionego celu”,
– przykłady ustawowe:
• marketing bezpośredni własnych produktów lub usług
administratora danych,
• dochodzenie
roszczeń
z
tytułu
prowadzonej
działalności gospodarczej.
41
Przetwarzanie danych wrażliwych jest dopuszczalne, jeżeli:
1) osoba, której dane dotyczą, wyrazi na to zgodę na piśmie,
chyba że chodzi o usunięcie dotyczących jej danych,
2) przepis szczególny innej ustawy zezwala na przetwarzanie
takich danych bez zgody osoby, której dane dotyczą, i stwarza
pełne gwarancje ich ochrony,
3) przetwarzanie takich danych jest niezbędne do ochrony
żywotnych interesów osoby, której dane dotyczą, lub innej osoby,
gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie
zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna
prawnego lub kuratora,
4) jest to niezbędne do wykonania statutowych zadań, pod
warunkiem, że przetwarzanie danych dotyczy wyłącznie
członków tych organizacji lub instytucji albo osób utrzymujących
z nimi stałe kontakty w związku z ich działalnością i zapewnione
są pełne gwarancje ochrony przetwarzanych danych,
42
5) przetwarzanie dotyczy danych, które są niezbędne do
dochodzenia praw przed sądem,
6) przetwarzanie jest niezbędne do wykonania zadań
administratora danych odnoszących się do zatrudnienia
pracowników i innych osób, a zakres przetwarzanych danych
jest określony w ustawie,
7) przetwarzanie jest prowadzone w celu ochrony stanu
zdrowia i są stworzone pełne gwarancje ochrony danych
osobowych,
8) przetwarzanie dotyczy danych, które zostały podane do
wiadomości publicznej przez osobę, której dane dotyczą,
9) jest to niezbędne do prowadzenia badań naukowych;
publikowanie wyników badań naukowych nie może następować
w sposób umożliwiający identyfikację osób, których dane zostały
przetworzone,
10) przetwarzanie danych jest prowadzone przez stronę w celu
realizacji praw i obowiązków wynikających z orzeczenia
wydanego w postępowaniu sądowym lub administracyjnym.
43
Dane wrażliwe
Przepis szczególny:
– przepis
ustawy
szczególnej
nie
pozostawia
wątpliwości w kwestii uchylenia zakazu przetwarzania
danych wrażliwych,
– przepis ustawy szczególnej wyraźnie wskazuje na
wrażliwe dane osobowe bądź niektóre typy danych
należące do tej właśnie kategorii,
– z przepisu wynika uprawnienie do przetwarzania
danych wrażliwych bez zgody osoby, której one
dotyczą
– przepis stwarza pełne gwarancje ochrony danych.
44
Dane wrażliwe
Przepis szczególny, przykłady:
–
–
45
art. 10a ustawy o Straży Granicznej (ustawa z
12.10.1990 r. o Straży Granicznej, t.j. Dz.U. z 2005
r. Nr 234, poz. 1997 ze zm.), uprawniający Straż
Graniczną do gromadzenia danych ujawniających
pochodzenie etniczne, przynależność wyznaniową
oraz dane o stanie zdrowia,
c) art. 20 ust. 2b pkt 1 ustawy o Policji (ustawa z
6.4.1990 r. o Policji, t.j. Dz.U. z 2007 r. Nr 43, poz.
277 ze zm.), uprawniający Policję do zbierania
wszelkich danych wrażliwych wskazanych w art. 27
OchrDanOsU,
Dane wrażliwe
Żywotne interesy:
– przetwarzanie takich danych jest niezbędne
do ochrony żywotnych interesów osoby,
której dane dotyczą, lub innej osoby,
– osoba, której dane dotyczą, nie jest fizycznie
lub prawnie zdolna do wyrażenia zgody, do
czasu ustanowienia opiekuna prawnego lub
kuratora.
46
Dane wrażliwe
Cele statutowe:
– jest niezbędne do wykonania statutowych zadań
kościołów i innych związków wyznaniowych,
stowarzyszeń, fundacji lub innych niezarobkowych
organizacji lub instytucji o celach politycznych,
naukowych,
religijnych,
filozoficznych
lub
związkowych,
– pod warunkiem, że przetwarzanie danych dotyczy
wyłącznie członków tych organizacji lub instytucji
albo osób utrzymujących z nimi stałe kontakty w
związku z ich działalnością i
– zapewnione
są
pełne
gwarancje
ochrony
przetwarzanych danych.
47
Dane wrażliwe
Zatrudnienie:
– niezbędne do wykonania obowiązków
pracodawcy,
– względem pracowników oraz innych osób.
48
Dane wrażliwe
Ochrona zdrowia:
– cel ochrony stanu zdrowia, świadczenia usług
medycznych lub leczenia pacjentów,
– przez osoby trudniące się zawodowo
leczeniem lub świadczeniem innych usług
medycznych,
zarządzaniem
udzielaniem
usług medycznych,
– gdy są stworzone pełne gwarancje ochrony
danych osobowych.
49
Dane wrażliwe
Upublicznienie:
– dane podane do wiadomości publicznej,
– przez osobę, której dane dotyczą.
50
Zasady przetwarzania danych osobowych
51
Podstawowe zasady
1.
2.
3.
4.
5.
6.
7.
8.
52
Zasada autonomii informacyjnej,
Zasada rzetelności,
Zasada legalności przetwarzania danych osobowych,
Zasada celowości,
Zasada ograniczenia czasowego,
Zasada adekwatnego przetwarzania danych,
Niedopuszczalność ostatecznych rozstrzygnięć,
Zasada konstrukcji numerów porządkowych bez
ukrytych znaczeń.
Zasada autonomii informacyjnej
– jeden z aspektów prawa do prywatności,
– wywodzi się z art. 47 oraz art. 51 Konstytucji
RP,
– Istota: pozostawienie każdej osobie swobody
w określeniu sfery dostępności dla innych
wiedzy o sobie,
– przesłanki ograniczenia określa art. 31 ust. 3
Konstytucji RP,
– potwierdzenie w art. 1 ustawy.
53
Zasada rzetelności
Zakres zasady:
– administrator danych przetwarzający dane
powinien dołożyć szczególnej staranności w
celu ochrony interesów osób, których dane
dotyczą,
Aspekty:
– pojęcie „rzetelności”,
– przykłady dochowania należytej rzetelności.
54
Zasada legalności przetwarzania
Zakres zasady:
– zgodnie z prawem przetwarzanie danych,
Dwa aspekty przetwarzania danych:
– dopuszczalność
przetwarzania
danych
niewrażliwych (art. 23 ustawy),
– zakaz przetwarzania danych wrażliwych (art.
27 ustawy).
55
Zasada celowości
Zakres zasady:
– dane osobowe mogą być zbierane dla
oznaczonych, zgodnych z prawem celów i
niepoddawane
dalszemu
przetwarzaniu
niezgodnemu z tymi celami,
– ustawa dopuszcza możliwość zmiany celu
przetwarzania po spełnieniu dodatkowych
warunków.
56
Zasada celowości
– łączy się z obowiązkami informacyjnymi z art.
24 i 25 ustawy,
– wymaga zdefiniowania „pierwotnego” celu
przetwarzania danych osobowych.
57
Zasada celowości
Zmiana celu przetwarzania jest możliwa, gdy
spełnione zostaną łącznie przesłanki:
– przetwarzanie danych w celu innym niż ten, dla
którego zostały zebrane nie narusza praw i wolności
osoby, której dane dotyczą,
– odbywa
się
w
celach
badań
naukowych,
dydaktycznych, historycznych lub statystycznych,
– zachowane są obowiązki z przepisów art. 23
(istnienie innego celu) i 25 ustawy (obowiązek
informacyjny).
58
Zasada ograniczenia czasowego
Zakres zasady:
– dane osobowe mogą być przechowywane w
postaci umożliwiającej identyfikację osób,
których dotyczą, nie dłużej niż jest to
niezbędne do osiągnięcia celu przetwarzania,
Aspekty:
– określenie momentu granicznego,
– dalsze przechowywanie danych.
59
Zasada adekwatności
Zakres zasady:
– zbierane dane osobowe powinny być adekwatne w
stosunku do celów, w jakich są przetwarzane,
– wiąże się z zasadą autonomii informacyjnej,
Aspekty:
– niezbędność przetwarzania danych osobowych,
– zachowanie merytorycznej poprawności danych
osobowych.
60
Niedopuszczalność ostatecznych
rozstrzygnięć
Zakres zasady:
– niedopuszczalne jest ostateczne rozstrzygnięcie
indywidualnej sprawy osoby, której dane dotyczą,
jeżeli jego treść jest wyłącznie wynikiem operacji
na danych osobowych, prowadzonych w systemie
informatycznym,
– zasady nie stosuje się, jeżeli rozstrzygnięcie zostało
podjęte podczas zawierania lub wykonywania
umowy i uwzględnia wniosek osoby, której dane
dotyczą, albo jeżeli zezwalają na to przepisy prawa,
które
przewidują
również
środki
ochrony
uzasadnionych interesów osoby, której dane dotyczą.
61
Numery porządkowe
Zakres zasady:
– numery porządkowe stosowane w ewidencji
ludności mogą zawierać tylko oznaczenie
płci, daty urodzenia, numer nadania oraz
liczbę kontrolną
– zabronione
jest
nadawanie
ukrytych
znaczeń elementom numerów porządkowych
w systemach ewidencjonujących osoby
fizyczne.
62
Obowiązki administratora
danych osobowych
63
Obowiązki administratora
danych osobowych
1.
2.
3.
4.
5.
6.
7.
8.
64
Obowiązki informacyjne,
Obowiązek uzupełnienia lub sprostowania danych,
Obowiązek zachowania szczególnej staranności
(zasada rzetelności),
Zakaz wydawania ostatecznych rozstrzygnięć,
Obowiązek zabezpieczenia danych,
Obowiązek rejestracji zbiorów lub ABI,
Obowiązek współpracy z GIODO,
Obowiązek wyznaczenia przedstawiciela w RP.
Obowiązki informacyjne
Obowiązek informacyjny występuje:
– w fazie zbierania danych osobowych,
– w wyniku zgłoszenia żądania przez osobę,
której dane dotyczą,
65
Dwa warianty obowiązku informacyjnego w fazie
wstępnej, w zależności od źródła informacji:
– osoba, której dane dotyczą (zakres podstawowy),
– inna osoba (zakres rozszerzony).
Ustawa różnicuje:
– zakres przekazywanych informacji,
– moment przekazania informacji.
66
Zakres informacji wspólnych:
– adres siedziby i pełna nazwa, a w przypadku gdy
administratorem danych jest osoba fizyczna - o
miejscu swojego zamieszkania oraz imieniu i
nazwisku,
– cel i zakres zbierania danych, a w szczególności
informacje o odbiorcach lub kategoriach odbiorców
danych,
– o prawie dostępu do treści swoich danych oraz ich
poprawiania.
67
Informacje podstawowe o:
– dobrowolności albo obowiązku podania
danych, a jeżeli taki obowiązek istnieje, o jego
podstawie prawnej.
Informacje rozszerzone o:
– źródle danych,
– uprawnieniach wynikających z art. 32 ust. 1
pkt 7 i 8.
68
Wyłączenia:
– przepis innej ustawy przewiduje lub dopuszcza
zbieranie danych osobowych bez wiedzy osoby, której
dane dotyczą,
– osoba, której dane dotyczą, posiada informacje,
– dane te są niezbędne do badań naukowych,
dydaktycznych, historycznych, statystycznych lub badania
opinii publicznej, ich przetwarzanie nie narusza praw lub
wolności osoby, której dane dotyczą, a spełnienie
wymagań wymagałoby nadmiernych nakładów lub
zagrażałoby realizacji celu badania,
– dane są przetwarzane przez administratora, o którym
mowa w art. 3 ust. 1 i ust. 2 pkt 1, na podstawie przepisów
prawa.
69
Wyznaczenie przedstawiciela
W przypadku przetwarzania danych
osobowych przez podmioty mające siedzibę
albo miejsce zamieszkania w państwie
trzecim,
administrator
danych
jest
obowiązany
wyznaczyć
swojego
przedstawiciela w Rzeczypospolitej Polskiej.
70
Prawa osób, których dane dotyczą
71
Prawa osób, których dane dotyczą
1. Prawo do kontroli przetwarzania danych,
2. Prawo zaciągania informacji,
3. Prawo do uzupełnienia i sprostowania
informacji.
4. Prawo do wglądu do dokumentacji
medycznej.
72
Prawo do kontroli informacji
Na prawo to składają się uprawnienia do uzyskania informacji:
•
•
•
•
•
•
73
czy zbiór istnieje, oraz do ustalenia administratora danych, adresu jego
siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest
osoba fizyczna - jej miejsca zamieszkania oraz imienia i nazwiska,
o celu, zakresie i sposobie przetwarzania danych zawartych w takim
zbiorze,
od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w
powszechnie zrozumiałej formie treści tych danych,
o źródle, z którego pochodzą dane jej dotyczące, chyba że
administrator danych jest zobowiązany do zachowania w tym zakresie w
tajemnicy informacji niejawnych lub zachowania tajemnicy zawodowej,
o sposobie udostępniania danych, a w szczególności informacji o
odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane,
o przesłankach podjęcia rozstrzygnięcia, o którym mowa w art. 26a ust.
2,
A ponadto do:
•
•
•
•
74
żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych,
czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia,
jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały
zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla
którego zostały zebrane,
wniesienia, w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5,
pisemnego, umotywowanego żądania zaprzestania przetwarzania
danych ze względu na jej szczególną sytuację,
wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach,
wymienionych
w
art.
23
ust.
1
pkt
4
i
5,
gdy
administrator danych zamierza je przetwarzać w celach marketingowych
lub
wobec
przekazywania
jej danych
osobowych innemu
administratorowi danych,
wniesienia
do
administratora danych żądania
ponownego,
indywidualnego rozpatrzenia sprawy rozstrzygniętej z naruszeniem art.
26a ust. 1.
Prawo zaciągania informacji
– na wniosek osoby, której dane dotyczą, administrator danych
jest obowiązany, w terminie 30 dni, poinformować o
przysługujących jej prawach oraz udzielić informacji, o których
mowa w art. 32 ust. 1 pkt 1-5a.
– na wniosek informacji tych, udziela się na piśmie,
– administrator danych odmawia udzielenia informacji, jeżeli
spowodowałoby to:
• ujawnienie wiadomości zawierających informacje niejawne,
• zagrożenie dla obronności lub bezpieczeństwa państwa,
życia i zdrowia ludzi lub bezpieczeństwa i porządku
publicznego,
• zagrożenie dla podstawowego interesu gospodarczego lub
finansowego państwa,
• istotne
naruszenie
dóbr
osobistych
osób,
których dane dotyczą, lub innych osób.
75
Prawo aktualizacji danych
– w razie wykazania przez osobę, której dane osobowe dotyczą, że są one
niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem
ustawy albo są zbędne do realizacji celu, dla którego zostały zebrane,
– administrator danych jest obowiązany, bez zbędnej zwłoki, do uzupełnienia,
uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania
przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru,
– chyba że dotyczy to danych osobowych, w odniesieniu do których tryb ich
uzupełnienia, uaktualnienia lub sprostowania określają odrębne ustawy,
– w razie niedopełnienia przez administratora danych tego obowiązku, osoba,
której dane dotyczą, może się zwrócić do GIODO z wnioskiem o nakazanie
dopełnienia tego obowiązku.
– administrator danych jest obowiązany poinformować bez zbędnej zwłoki
innych administratorów, którym udostępnił zbiór danych, o dokonanym
uaktualnieniu lub sprostowaniu danych.
76
Procedura przetwarzania
danych osobowych
1.
2.
3.
4.
5.
6.
7.
8.
77
uzyskanie danych,
poinformowanie osoby o jej prawach,
zabezpieczenie danych osobowych,
rejestracja zbioru,
przetwarzanie danych,
aktualizacja danych osobowych,
współpraca z GIODO,
usunięcie danych.
Outsourcing przetwarzania
danych osobowych
78
Outsourcing danych osobowych
Sposób powierzenia przetwarzania danych:
– rodzaj umowy,
– forma umowy,
– zakres przedmiotowy umowy.
79
Uprawnienia i obowiązki procesora:
– przetwarzanie danych osobowych,
– zabezpieczenie zbioru danych osobowych.
80
Odpowiedzialność procesora:
– odpowiedzialność cywilna,
– odpowiedzialność administracyjna,
– odpowiedzialność karna,
– stosunek odpowiedzialności procesora do
odpowiedzialności administratora danych.
81
Outsourcing elektroniczny
– świadczeniodawca musi posiadać wiedzę, na którym
dokładnie serwerze będą archiwizowane jego dane,
– w zasadzie powinien to być tzw. serwer dedykowany,
oznaczający odrębny komputer (maszynę fizyczną)
skonfigurowany
dla
potrzeb
konkretnego
świadczeniodawcy, problem serwerów wirtualnych
– najlepiej byłoby, gdyby taki serwer był formalnie
własnością świadczeniodawcy, a outsourcing polegał
tylko na powierzeniu firmie zewnętrznej zarządzania
nim.
82
Warunki techniczne i organizacyjne
przetwarzania danych osobowych
83
Warunki techniczne i systemowe
Rozporządzenie Ministra Spraw Wewnętrznych i
Administracji z 29 kwietnia 2004 roku
w sprawie dokumentacji przetwarzania danych
osobowych
oraz
warunków
technicznych
i
organizacyjnych,
jakim
powinny
odpowiadać
urządzenia i systemy informatyczne służące do
Dz.U. nr 100, poz. 1024 z 2004 roku
84
Warunki techniczne i systemowe
Rozporządzenie nakłada na administratora
danych następujące obowiązki:
1. prowadzenie
dokumentacji
opisującej
sposób przetwarzania danych osobowych,
2. wprowadzenia poziomów bezpieczeństwa
przetwarzania
danych
w
systemie
informatycznym,
3. zapewnienie spełnienia odpowiednich
wymogów przez system informatyczny.
85
Szczególne warunki
techniczne i systemowe
System teleinformatyczny musi zapewniać: – zabezpieczenie dokumentacji przed uszkodzeniem lub utratą; – zachowanie integralności i wiarygodności dokumentacji; – stały dostęp do dokumentacji dla osób uprawnionych oraz
zabezpieczenie przed dostępem osób nieuprawnionych; – identyfikację
osoby
udzielającej
świadczeń
zdrowotnych
i
rejestrowanych przez nią zmian, w szczególności dla odpowiednich
rodzajów dokumentacji przyporządkowanie cech informacyjnych,
zgodnie z rozporządzeniem; – udostępnienie, w tym przez eksport w postaci elektronicznej
dokumentacji albo części dokumentacji będącej formą dokumentacji
określonej w rozporządzeniu, w formacie XML i PDF; – eksport całości danych w formacie XML, w sposób zapewniający
możliwość odtworzenia tej dokumentacji w innym systemie
teleinformatycznym; – wydrukowanie dokumentacji w formach określonych w rozporządzeniu. 86
Szczególne warunki
techniczne i systemowe
Dokumentację prowadzoną w postaci elektronicznej uważa
się za zabezpieczoną, jeżeli w sposób ciągły są spełnione
łącznie następujące warunki: – jest zapewniona jej dostępność wyłącznie dla osób
uprawnionych; – jest chroniona przed przypadkowym lub nieuprawnionym
zniszczeniem; – są zastosowane metody i środki ochrony dokumentacji,
których skuteczność w czasie ich zastosowania jest
powszechnie uznawana. 87
Przykłady
Zabezpieczenia technologiczne:
– Zabezpieczenia fizyczne - serwerownie, pomieszczenia ze
stanowiskami komputerowymi
– Zabezpieczenia logiczne - redundancja (nadmiarowość)
– Zabezpieczenia programowe – systemy autoryzacji,
monitorowanie aktywności użytkowników, systemy antywirusowe
i antywłamaniowe.
Zabezpieczenia fizyczne:
– Kontrola dostępu do pomieszczenia, nadzór personelu.
– Wydzielony obwód zasilania (zalecany zasilacz awaryjny).
– Ewidencjonowane i monitorowane przyłącza sieciowe.
88
Przykłady
Systemy autoryzacji:
– Login i hasło
– Karta identyfikacyjna,
– Karta identyfikacyjna (z mikroprocesorem)
– Czytnik biometryczny.
Na poziomie wysokim (art. 27 UODO + urządzenia są podłączone do
sieci publicznej):
– w przypadku gdy do uwierzytelniania użytkowników używa się
hasła, jego zmiana następuje nie rzadziej niż co 30 dni,
– w przypadku gdy do uwierzytelniania użytkowników używa się
hasła, składa się ono co najmniej z 8 znaków, zawiera małe i
wielkie litery oraz cyfry lub znaki specjalne.
89
Anonimizacja
Znaczenie słowa:
1.
2.
3.
nienazwany lub niezidentyfikowany
nieznanego autorstwa lub pochodzenia
nie posiadający indywidualności, niewyróżniający się,
nierozpoznawalny
1 – usuwanie informacji identyfikacyjnych
–
–
–
deidentyfikacja (ang. de-identification)
depersonalizacja (ang. de-personalization)
pseudonimizacja (ang. pseudonymization)
3 – zapewnienie niejednoznaczności danych
–
–
90
uniejednoznacznianie (nadawanie niejednoznacznośći, ang.
ambiguation)
Deidentyfikacja to proces usuwania z danych informacji
identyfikacyjnych
Dokumentacja
Na dokumentację opisującą sposób przetwarzania danych
osobowych oraz środki techniczne i organizacyjne zapewniające
ochronę przetwarzanych danych osobowych odpowiednią do
zagrożeń oraz kategorii danych objętych ochroną składają się:
1. polityka bezpieczeństwa,
2. instrukcja zarządzania systemem informatycznym
służącym do przetwarzania danych osobowych.
Dokumenty te:
– wymagają formy pisemnej,
– obowiązek ich wdrożenia spoczywa na administratorze
danych osobowych.
91
Polityka bezpieczeństwa
Polityka bezpieczeństwa, zawiera w szczególności:
1. wykaz budynków, pomieszczeń lub części pomieszczeń,
tworzących obszar, w którym przetwarzane są dane osobowe;
2. wykaz zbiorów danych osobowych wraz ze wskazaniem
programów zastosowanych do przetwarzania tych danych;
3. opis struktury zbiorów danych wskazujący zawartość
poszczególnych pól informacyjnych i powiązania między nimi;
4. sposób
przepływu
danych
pomiędzy
poszczególnymi
systemami;
5. określenie
środków
technicznych
i
organizacyjnych
niezbędnych dla zapewnienia poufności, integralności i
rozliczalności przetwarzanych danych.
92
Instrukcja
1. procedury nadawania uprawnień do przetwarzania danych i rejestrowania
tych uprawnień w systemie informatycznym oraz wskazanie osoby
odpowiedzialnej za te czynności;
2. stosowane metody i środki uwierzytelnienia oraz procedury związane z ich
zarządzaniem i użytkowaniem;
3. procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla
użytkowników systemu;
4. procedury tworzenia kopii zapasowych zbiorów danych oraz programów i
narzędzi programowych służących do ich przetwarzania;
5. sposób, miejsce i okres przechowywania:
a) elektronicznych nośników informacji zawierających dane osobowe,
b) kopii zapasowych, o których mowa w pkt 4,
6. sposób zabezpieczenia systemu informatycznego przed działalnością
oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do
rozporządzenia;
7. sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4;
8. procedury wykonywania przeglądów i konserwacji systemów oraz nośników
informacji służących do przetwarzania danych.
93
Poziomy bezpieczeństwa
Rozporządzenie wymienia poziomy:
1) podstawowy,
2) podwyższony,
3) wysoki.
Kryteria wyboru:
– kategorie przetwarzanych danych,
– zagrożenia.
94
Poziom podstawowy
Poziom co najmniej podstawowy stosuje się, gdy:
1. w systemie informatycznym nie są
przetwarzane dane, o których mowa w art.
27 ustawy (dane wrażliwe), oraz
2. żadne
z
urządzeń
systemu
informatycznego,
służącego
do
przetwarzania danych osobowych nie jest
połączone z siecią publiczną.
95
Poziom podwyższony
Poziom co najmniej podwyższony stosuje się, gdy:
1. w systemie informatycznym przetwarzane są
dane osobowe, o których mowa w art. 27
ustawy (dane wrażliwe, np. o stanie zdrowia),
oraz
2. żadne z urządzeń systemu informatycznego,
służącego
do
przetwarzania
danych
osobowych nie jest połączone z siecią
publiczną.
96
Poziom wysoki
Poziom wysoki stosuje się, gdy:
– przynajmniej jedno urządzenie systemu
informatycznego, służącego do przetwarzania
danych osobowych, połączone jest z siecią
publiczną (w rozumieniu ustawy Prawo
telekomunikacyjne).
97
System informatyczny
System – dla każdej osoby, której dane są przetwarzane – musi
zapewniać odnotowanie:
– daty pierwszego wprowadzenia danych do systemu;
– identyfikatora użytkownika wprowadzającego dane osobowe do
systemu, chyba że dostęp do systemu informatycznego i
przetwarzanych w nim danych posiada wyłącznie jedna osoba;
– źródła danych, w przypadku zbierania danych, nie od osoby,
której one dotyczą;
– informacji o odbiorcach, którym dane osobowe zostały
udostępnione, dacie i zakresie tego udostępnienia, chyba że
system informatyczny używany jest do przetwarzania danych
zawartych w zbiorach jawnych;
– sprzeciwu.
98
System informatyczny
Ponadto system musi zapewniać, aby:
– odnotowanie informacji, o których mowa w pkt 1 i 2,
następowało automatycznie po zatwierdzeniu przez
użytkownika operacji wprowadzenia danych,
– sporządzenie i wydrukowanie raportu zawierającego
w powszechnie zrozumiałej formie ww. informacje.
W przypadku przetwarzania danych, w co najmniej dwóch systemach
informatycznych, wymagania, dot. odbiorców, mogą być realizowane w
jednym z nich lub w odrębnym systemie informatycznym
przeznaczonym do tego celu.
99
Warunki organizacyjne i formalnoprawne
100
Powinny:
– zostać określone z zachowaniem zasady
proporcjonalności,
– zapewniać zabezpieczenie danych przed ich
udostępnieniem osobom nieupoważnionym,
zabraniem przez osobę nieuprawnioną,
przetwarzaniem z naruszeniem ustawy oraz
zmianą,
utratą,
uszkodzeniem
lub
zniszczeniem.
101
Należą do nich:
– wprowadzenie systemu nadawania, zmiany i cofania
uprawnień do przetwarzania danych osobowych,
– ustanowienie
procedury
kontroli
procesu
– prowadzenie ewidencji osób upoważnionych do ich
przetwarzania,
– powołanie ABI.
102
System upoważnień
– kto nadaje upoważnienia,
– charakter prawny upoważnienia,
– forma i treść upoważnienia,
– upoważnienie w przypadku powierzenia
103
Kontrola przetwarzania danych
1. Gdy w firmie powołany jest ABI:
a.
b.
c.
d.
sprawdzenia planowane,
sprawdzenia doraźne,
sprawdzenia na wniosek GIODO,
Kontrola GIODO,
2. Gdy nie ma powołanego ABI:
a. kontrola GIODO.
104
Ewidencja
– osoby objęte ewidencją,
– informacje objęte ewidencja,
– forma prowadzenia ewidencji.
105
Najczęstsze błędy
Najczęstsze błędy w zakresie zarządzania danymi osobowymi:
– brak zabezpieczeń papierowej dokumentacji,
– brak upoważnień do przetwarzania danych osobowych,
– nieprzechowywanie kluczy do pomieszczeń, w których znajdują
się dane w portierni (na przykład klucze zabierają pielęgniarki),
– brak ochrony danych osobowych zamieszczanych w systemach
informatycznych,
– brak
lub
nienależyte
umocowanie
administratora
bezpieczeństwa informacji,
– wykorzystywanie danych w celach przekraczających zakres
umocowania,
– przetwarzanie danych osobowych bez podstawy prawnej,
– niewłaściwa reakcja na sprzeciwy i żądania osób, których dane
dotyczą.
106
Rejestracja zbiorów danych osobowych
107
Rejestracja zbiorów
danych osobowych
Podstawowe zasady:
–
–
–
108
rejestracja zbioru jest obowiązkiem administratora
danych osobowych,
administrator danych osobowych niewrażliwych
może rozpocząć ich przetwarzanie po zgłoszeniu
zbioru do rejestracji, chyba że powołano ABI,
administrator danych osobowych wrażliwych może
rozpocząć
ich
przetwarzanie
dopiero
po
zarejestrowaniu zbioru przez GIODO.
Wyłączenie obowiązku rejestracji
Z obowiązku rejestracji zbioru danych zwolnieni są
administratorzy m.in. danych: – przetwarzanych w związku z zatrudnieniem u nich,
świadczeniem im usług na podstawie umów cywilnoprawnych, a
także dotyczących osób u nich zrzeszonych lub uczących się
(art. 43 ust. 1 pkt 4),
– przetwarzanych wyłącznie w celu wystawienia faktury, rachunku
lub prowadzenia sprawozdawczości finansowej (art. 43 ust. 1
pkt 8),
– przetwarzanych w zbiorach, które nie są prowadzone z
wykorzystaniem systemów informatycznych, z wyjątkiem danych
wrażliwych (art. 43 ust. 1 pkt 12).
109
Rejestracja zbiorów
danych osobowych
– typowe postępowanie administracyjne,
– zgłoszenie na urzędowym formularzu,
– zgłoszenie nie obejmuje wszystkich informacji i
dokumentów,
– możliwe zgłoszenie przez przedstawiciela,
– platforma eGIODO,
– rodzaje rozstrzygnięć GIODO,
– zaświadczenie GIODO,
– obowiązek zgłaszania zmian zarejestrowanych
informacji.
110
Odmowa rejestracji
GIODO w drodze decyzji administracyjnej
odmawia rejestracji zbioru, jeżeli:
1. nie zostały spełnione wymogi określone w art. 41
ust. 1 (braki formalne),
2. przetwarzanie
danych
naruszałoby
zasady
określone w art. 23-28,
3. urządzenia i systemy informatyczne służące do
przetwarzania zbioru danych zgłoszonego do
rejestracji nie spełniają podstawowych warunków
technicznych i organizacyjnych, określonych w
przepisach, o których mowa w art. 39a
(rozporządzenie wykonawcze).
111
Odmowa rejestracji
–
odmawiając rejestracji zbioru danych, Generalny
Inspektor, w drodze decyzji administracyjnej,
nakazuje:
1. ograniczenie przetwarzania wszystkich albo niektórych
kategorii danych wyłącznie do ich przechowywania lub
2. zastosowanie innych środków, o których mowa w art.
18 ust. 1 (przywrócenie stanu zgodnego z prawem).
–
112
administrator danych może zgłosić ponownie zbiór
danych do rejestracji po usunięciu wad.
Wykreślenie z rejestru
GIODO wykreśla zbiór z rejestru w drodze
decyzji administracyjnej, jeżeli:
– zaprzestano
przetwarzania
danych
zarejestrowanym zbiorze,
– rejestracji dokonano z naruszeniem prawa.
113
w
Zwolnienie z obowiązku rejestracji
Zwolnienia można podzielić na kilka grup, danych
które są przetwarzane:
1. gdy powołany jest ABI,
2. przez organy publiczne lub w związku z
wykonywaniem ich funkcji,
3. w związku z istnieniem powiązania pomiędzy
administratorem a osobą, której dane dotyczą,
4. w sytuacjach mniejszego ryzyka.
114
Gdy w firmie powołany jest ABI:
1. rejestracji u GIODO nie podlegają zbiory
danych niewrażliwych,
2. rejestr zbiorów danych niewrażliwych
prowadzi ABI,
3. Rejestracji u GIODO podlegają zbiory
danych wrażliwych.
115
Zwolnienie - organy publiczne i ich funkcje – dane:
1. zawierających informacje niejawne,
2. które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych
przez funkcjonariuszy organów uprawnionych do tych czynności,
3. przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego
oraz na podstawie przepisów o Krajowym Rejestrze Karnym,
4. przetwarzanych przez Generalnego Inspektora Informacji Finansowej,
5. przetwarzanych przez właściwe organy na potrzeby udziału w Systemie
Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym,
6. przetwarzanych przez właściwie organy na podstawie przepisów o wymianie
informacji z organami ścigania państw członkowskich Unii Europejskiej,:
7. tworzonych na podstawie przepisów dotyczących wyborów do Sejmu,
Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików
województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na
wójta, burmistrza, prezydenta miasta oraz dotyczących referendum
ogólnokrajowego i referendum lokalnego,
8. dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie
niezbędnym do wykonania tymczasowego aresztowania lub kary
pozbawienia wolności,
116
Wzajemne powiązania – dane:
1. dotyczących osób należących do kościoła lub innego związku
wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych
na potrzeby tego kościoła lub związku wyznaniowego,
2. przetwarzanych w związku z zatrudnieniem u nich, świadczeniem
im usług na podstawie umów cywilnoprawnych, a także
dotyczących osób u nich zrzeszonych lub uczących się,
3. dotyczących osób korzystających z ich usług medycznych, obsługi
notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego,
doradcy podatkowego lub biegłego rewidenta,
4. przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub
prowadzenia sprawozdawczości finansowej,
117
Mniejsze ryzyko – dane:
1. powszechnie dostępne,
2. przetwarzane w celu przygotowania rozprawy
wymaganej do uzyskania dyplomu ukończenia
szkoły wyższej lub stopnia naukowego,
3. przetwarzane w zakresie drobnych bieżących spraw
życia codziennego.
118
Rejestracja ABI:
1. zgłoszeniu podlega powołanie i odwołanie
ABI w terminie 30 dni,
2. zmiana informacji o ABI w terminie 14 dni,
3. GIODO prowadzi jawny rejestr ABI,
4. GIODO może wykreślić ABI z urzędu,
5. konsekwencje wykreślenia ABI przez
GIODO oraz ponownego zgłoszenia ABI.
119
Odpowiedzialność związana z
przetwarzaniem danych osobowych
120
Odpowiedzialność związana
z przetwarzaniem danych osobowych
1.
2.
3.
121
Odpowiedzialność karna, dyscyplinarna i cywilna za
naruszenie zasad ochrony i przetwarzania danych
osobowych
Generalny Inspektor Ochrony Danych Osobowych:
funkcje, postępowanie administracyjne przed GIODO.
Kontrola administratora danych osobowych.
Odpowiedzialność karna
Podstawowe informacje:
– przepisy karne zawarte w art. 49, 50-54a ustawy o
ochronie danych osobowych,
– przestępstwa umyślne i nieumyślne,
– ścigane z urzędu,
– obowiązek denuncjacji przez GIODO.
122
Przetwarzanie danych przez nieuprawnionego
Art. 49. 1.Kto przetwarza w zbiorze dane osobowe, choć ich
przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie
jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo
pozbawienia wolności do lat 2.
2.Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających
pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania
religijne lub filozoficzne, przynależność wyznaniową, partyjną lub
związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach
lub życiu seksualnym, sprawca podlega grzywnie, karze ograniczenia
wolności albo pozbawienia wolności do lat 3.
123
Udostępnianie danych osobom nieuprawnionym
Art. 51. 1.Kto administrując zbiorem danych lub będąc
obowiązany do ochrony danych osobowych udostępnia je
lub umożliwia dostęp do nich osobom nieupoważnionym,
podlega grzywnie, karze ograniczenia wolności albo
pozbawienia wolności do lat 2.
2.Jeżeli sprawca działa nieumyślnie, podlega grzywnie,
karze ograniczenia wolności albo pozbawienia wolności do
roku.
124
Odpowiedzialność z art. 51 ustawy może ponosić np.
szpital, który zwracając wzięty uprzednio w leasing (najem,
dzierżawę) sprzęt medyczny nie usunie z jego pamięci
elektronicznej danych osobowych pacjentów.
125
Naruszenie obowiązku zabezpieczenia danych
Art. 52.Kto administrując danymi narusza choćby
nieumyślnie obowiązek zabezpieczenia ich przed
zabraniem przez osobę nieuprawnioną, uszkodzeniem lub
zniszczeniem, podlega grzywnie, karze ograniczenia
wolności albo pozbawienia wolności do roku.
126
Niezgłoszenie danych do rejestru
Art. 53.Kto będąc do tego obowiązany nie zgłasza do
rejestracji zbioru danych, podlega grzywnie, karze
ograniczenia wolności albo pozbawienia wolności do roku.
127
Niedopełnienie obowiązku poinformowania
Art. 54.Kto administrując zbiorem danych nie dopełnia
obowiązku poinformowania osoby, której dane dotyczą, o
jej prawach lub przekazania tej osobie informacji
umożliwiających korzystanie z praw przyznanych jej w
niniejszej ustawie, podlega grzywnie, karze ograniczenia
wolności albo pozbawienia wolności do roku.
128
Utrudnianie czynności kontrolnych:
Art. 54a. Kto inspektorowi udaremnia lub utrudnia
wykonanie czynności kontrolnej, podlega grzywnie, karze
ograniczenia wolności albo pozbawienia wolności do lat 2.
129
Odpowiedzialność administracyjna
Decyzja administracyjna:
– wydawana przez GIODO,
– w przypadku naruszenia przepisów o ochronie
danych osobowych celem przywrócenia stanu
poprzedniego,
– podlega egzekucji administracyjnej,
– ograniczone kompetencje GIODO na czas wyborów.
130
Przykłady naruszeń przepisów:
– umowa powierzenia nie zostanie zawarta na piśmie,
– w przedsiębiorstwie nie będzie prowadzona
ewidencja osób upoważnionych,
– brak będzie dokumentacji przetwarzania np. polityki
bezpieczeństwa,
– hasło nie będzie zmieniane częściej niż co 30 dni,
– system nie będzie umożliwiał przygotowanie raportu z
danymi osobowymi albo raport nie będzie zawierał
wszystkich wymaganych informacji.
131
Sposób przywrócenia stanu poprzedniego:
– usunięcie uchybień,
– uzupełnienie, uaktualnienie, sprostowanie, udostępnienie
lub nieudostępnienie danych osobowych,
– zastosowanie dodatkowych środków zabezpieczających
zgromadzone dane osobowe,
– wstrzymanie przekazywania danych osobowych do
państwa trzeciego,
– zabezpieczenie danych lub przekazanie ich innym
podmiotom,
– usunięcie danych osobowych.
132
W przypadku nie wykonania decyzji GIODO:
– następuje wszczęcie postępowania egzekucyjnego w
administracji,
– GIODO wystawia upomnienie wzywając ponownie do
dobrowolnego wykonania decyzji,
– GIODO wystawia tytuł wykonawczy,
– w toku postępowania możliwe jest: nałożenie
grzywny, zastosowanie wykonania zastępczego, a
nawet przymusu bezpośredniego.
133
Odpowiedzialność dyscyplinarna
Podstawa wszczęcia postępowania:
– wniosek inspektora (art. 17 ust. 2 ustawy),
– samodzielna wola pracodawcy.
Kwestia znaczenia wniosku inspektora – czy
wiąże pracodawcę?
134
Odpowiedzialność cywilna
Roszczenia na podstawie Kodeksu cywilnego:
– naruszenie dóbr osobistych (art. 23, 24, 448 k.c.),
– odpowiedzialność za szkodę (art. 415 k.c.),
– wyłączenie w przepisie art. 4 ust. 3 ustawy o
prawach pacjenta i Rzeczniku Praw Pacjenta.
135
Odpowiedzialność cywilna
Art. 24. § 1. Ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem,
może żądać zaniechania tego działania, chyba że nie jest ono bezprawne. W
razie dokonanego naruszenia może on także żądać, ażeby osoba, która
dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego
skutków, w szczególności ażeby złożyła oświadczenie odpowiedniej treści i w
odpowiedniej formie.
§ 2.Jeżeli wskutek naruszenia dobra osobistego została wyrządzona szkoda
majątkowa, poszkodowany może żądać jej naprawienia na zasadach
ogólnych.
Art. 448. W razie naruszenia dobra osobistego sąd może przyznać temu, czyje
dobro
osobiste
zostało
naruszone,
odpowiednią
sumę
tytułem
zadośćuczynienia pieniężnego za doznaną krzywdę lub na jego żądanie
zasądzić odpowiednią sumę pieniężną na wskazany przez niego cel
społeczny, niezależnie od innych środków potrzebnych do usunięcia skutków
naruszenia.
136
Generalny Inspektor Ochrony Danych
Osobowych: funkcje, postępowanie
administracyjne przed GIODO
137
GIODO
Generalny Inspektor Ochrony Danych Osobowych:
– centralny
organ
administracji
państwowej
usytuowanym poza systemem organów administracji
rządowej i niezależnym od niej,
– powoływany i odwoływany przez Sejm za zgodą
Senatu na 4-letnią kadencję,
– wykonuje swoje kompetencje przy pomocy Biura, w
tym w szczególności swojego zastępcy oraz
inspektorów.
138
Podstawowe zadania GIODO:
•
•
•
•
•
•
•
139
kontrola zgodności przetwarzania danych z przepisami o ochronie danych
osobowych,
wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach
wykonania przepisów o ochronie danych osobowych,
zapewnienie wykonania przez zobowiązanych obowiązków o charakterze
niepieniężnym wynikających z decyzji, o których mowa w pkt 2, przez
stosowanie środków egzekucyjnych przewidzianych w ustawie o
postępowaniu egzekucyjnym w administracji,
prowadzenie rejestru zbiorów danych oraz udzielanie informacji o
zarejestrowanych zbiorach,
opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych
osobowych,
inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony
danych osobowych,
uczestniczenie w pracach międzynarodowych organizacji i instytucji
zajmujących się problematyką ochrony danych osobowych.
Postępowanie przed GIODO
Wyróżnia się dwa rodzaje postępowań:
1. Postępowanie kontrolne,
2. Postępowanie administracyjne.
Powołanie ABI nie pozbawia GIODO uprawnień
kontrolnych.
140
Postępowanie administracyjne
Stosuje się do niego przepisy Kodeksu postępowania
administracyjnego z modyfikacjami wynikającymi z ustawy
o ochronie danych osobowych, które dotyczą:
– wszczęcia postępowania (także na wniosek
inspektora, jako wynik postępowania kontrolnego,
– zakresu decyzji administracyjnej GIODO,
– ograniczeń skuteczności decyzji administracyjnej
GIODO w czasie wyborów,
– postępowania odwoławczego,
– możliwości kierowania przez GIODO wystąpień do
innych organów.
141
Postępowanie - schemat
Postępowanie kontrolne
↓
Postępowanie administracyjne
↓
Wniosek o ponowne rozpatrzenie sprawy
↓
skarga do WSA
↓
skarga do NSA
142
Kontrola GIODO u administratora danych
osobowych
143
Kontrola administratora
danych osobowych
Podstawowe zagadnienia:
– do kontroli GIODO stosuje się przepisy ustawy o swobodzie
działalności gospodarczej dot. kontroli przedsiębiorców,
– GIODO ma zatem obowiązek zawiadomić o wszczęciu kontroli,
przestrzegać zasad w zakresie maksymalnego czasu kontroli
oraz ilości jednoczesnych kontroli u przedsiębiorcy,
– przedsiębiorcy
przysługuje
natomiast
roszczenie
odszkodowawcze za szkody spowodowane niezgodną z
prawem kontrolą oraz prawo wniesienia sprzeciwu wobec
podjęcia i wykonywania kontroli z naruszeniem przepisów
ustawy,
– Kontrola u osoby przetwarzającej dane osobowe na podstawie
umowy z administratorem.
144
danych osobowych
Uprawnienia kontrolujących:
– wstęp, w godzinach od 6:00 do 22:00, za okazaniem imiennego upoważnienia
i legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór
danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem
danych, i przeprowadzenia niezbędnych badań lub innych czynności
kontrolnych w celu oceny zgodności przetwarzania danych z ustawą,
– Prawo żądania złożenia pisemnych lub ustnych wyjaśnień oraz wzywania i
przesłuchiwania osoby w zakresie niezbędnym do ustalenia stanu
faktycznego,
– prawo wglądu do wszelkich dokumentów i wszelkich danych mających
bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii,
– możliwość przeprowadzania oględzin urządzeń, nośników oraz systemów
informatycznych służących do przetwarzania danych,
– prawo zlecania sporządzanie ekspertyz i opinii.
145
danych osobowych
Prawa i obowiązki kontrolowanego:
– umożliwienie inspektorowi przeprowadzenia kontroli –
naruszenie stanowi przestępstwo,
– prawo żądania okazania i weryfikacji upoważnienia
kontrolującego,
– możliwość wniesienia umotywowanych zastrzeżeń i uwag
do protokołu kontroli,
– prawo odmowy podpisania protokołu oraz złożenia
swojego stanowiska GIODO,
– udział w postępowaniu administracyjnym przed GIODO –
jako strona – i możliwość wnoszenia środków
odwoławczych.
146
Schemat kontroli
Wszczęcie i przeprowadzenie kontroli
↓
Sporządzenie protokołu z kontroli
↓
Na wniosek inspektora wszczęcie postępowania
administracyjnego przez GIODO lub postępowania
dyscyplinarnego przez ADO
↓
Wydanie decyzji administracyjnej przez GIODO lub złożenie
zawiadomienia o popełnieniu przestępstwa
↓
Ewentualne postępowanie odwoławcze i sądowe
↓
Ewentualne postępowanie egzekucyjne
147
Kontrola dokonywana przez ABI
Sprawdzenia prowadzone przez ABI:
1.Sprawdzenie planowane:
– w oparciu o plan sprawdzeń,
– co najmniej jedno w roku,
2.Sprawdzenie doraźne:
– gdy wiadomość o naruszeniu ochrony danych osobowych
lub uzasadnione podejrzenia takiego naruszenia,
– ABI informuje ADO o wszczęciu sprawdzenia,
3.Sprawdzenie na żądanie GIODO:
–
–
148
GIODO wskazuje zakres i termin sprawdzenia,
Sprawozdanie za pośrednictwem ADO wysyłane także do GIODO.
Dane osobowe w firmie
149
Bazy danych osobowych klientów:
1.czy niezbędna jest zgoda na gromadzenie
danych osobowych klientów,
2.kiedy bazy nie wymagają zgłoszenia do
GIODO,
3.a kiedy należy je zgłosić?
150
Zgoda klientów
Nie jest konieczna, jeżeli:
•jest to konieczne do realizacji umowy, gdy osoba, której dane
dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań
przed zawarciem umowy na żądanie osoby, której dane dotyczą,
•jest to niezbędne dla wypełnienia prawnie usprawiedliwionych
celów realizowanych przez administratorów danych albo odbiorców
danych, a przetwarzanie nie narusza praw i wolności osoby, której
dane dotyczą, np. za prawnie usprawiedliwiony cel uważa się:
– marketing bezpośredni własnych produktów lub usług administratora
danych – czy zawsze?,
– dochodzenie roszczeń z tytułu prowadzonej działalności
gospodarczej.
151
Rejestracja u GIODO
Zgłoszenia do GIODO nie wymagają bazy danych
klientów, jeżeli:
•w firmie powołano ABI a dany zbiór nie zawiera danych wrażliwych,
•tworzone są w związku z zatrudnieniem u ADO, świadczeniem im usług na
podstawie umów cywilnoprawnych, a także dotyczących osób u nich
zrzeszonych lub uczących się,
•dotyczącą osób korzystających z ich usług medycznych, obsługi
notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy
podatkowego lub biegłego rewidenta,
•przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub
prowadzenia sprawozdawczości finansowej,
•zawierających dane powszechnie dostępne,
•przetwarzane są w zbiorach, które nie są prowadzone z wykorzystaniem
systemów informatycznych, z wyjątkiem zbiorów zawierających dane
wrażliwe.
152
Dane osobowe w internecie:
1. konieczność
stworzenia
polityki
prywatności – obowiązek informacyjny,
2. odebranie
wyraźnej
zgody
na
przetwarzanie danych osobowych,
3. akceptacja regulaminu a zgoda na
przesyłanie informacji handlowej.
153
Polityka prywatności
Może być częścią regulaminu serwisu, bądź odrębnym
dokumentem. Powinna zawierać co najmniej:
– informacje o administratorze danych osobowych, celu
przetwarzania danych oraz rodzaju gromadzonych danych
osobowych,
– prawach osoby, której dane dotyczą,
– plikach Cookies,
– danych osobowych, których podanie jest niezbędne do
świadczenia usług drogą elektroniczną oraz danych
opcjonalnych,
– formularzach,
newsleterach
i
innych
narzędziach
wykorzystujących w serwisie dane osobowe.
– sposobie zmiany dokumentu.
154
Zgoda w internecie
W myśl ustawy o świadczeniu usług drogą elektroniczną, zgoda nie
może być domniemana lub dorozumiana z oświadczenia woli o
innej treści, a także może być odwołana w każdym czasie. Z
powyższego wynika konieczność odrębnego (wyraźnego)
odbierania zgody na:
•przesyłanie informacji handlowej do oznaczonej osoby fizycznej,
•przetwarzanie innych danych osobowych niż niezbędne do
świadczenia usług drogą elektroniczną,
•wykorzystanie danych osobowych po zakończeniu świadczenia
usługi do celów reklamy, badania rynku oraz zachowań i preferencji
usługobiorców z przeznaczeniem wyników tych badań na potrzeby
polepszenia jakości usług świadczonych przez usługodawcę.
155
Dane osobowe pracowników
• kto
jest
administratorem
danych
osobowych,
• jakie dane osobowe można przetwarzać,
• czy można przetwarzać dane osobowe
kandydatów do pracy?
156
Dane osobowe pracowników
• co do zasady pracodawca jest ADO danych
osobowych pracownika. Może żądać danych
wskazanych w art. 22(1) k.p. W przypadku korzystania
z usług agencji pracy tymczasowej, to agencja jest
ADO,
• artykuł 22(1) k.p. stanowi podstawę prawną do
przetwarzania danych osobowych nie tylko wobec
pracowników ale również kandydatów do pracy,
• pracownicy
nie
posiadają
automatycznego
upoważnienia do przetwarzania danych osobowych
157
Nabycie bazy danych
• czy konieczna jest zgoda osób, których
dane są gromadzone na sprzedaż bazy
– brak jednolitego stanowiska,
• wtórny obowiązek informacyjny – wynika
z art. 25 ustaw ODO, co jeśli nie można
go spełnić?
• aktualizacja danych u GIODO – czy jest
konieczna?.
158
Dane osobowe w służbie
zdrowia
•
•
•
•
159
dane i dokumentacja medyczna,
numery porządkowe,
system informacji w ochronie zdrowia,
outsourcing danych medycznych.
Dane medyczne
Dane medyczne:
•brak legalnej definicji w prawie polskim,
•zgodnie z art. 1 Rekomendacji nr (97)5 Komitetu
Ministrów Rady Europy wyrażanie „dane medyczne”
odnosi się do wszystkich danych wiążących się ze
zdrowiem jednostki, jak i wszelkich danych w sposób
oczywisty i bliski związanych ze zdrowiem oraz danych
genetycznych,
•pojęcie danych medycznych obejmuje dane odnoszące
się do przeszłego, obecnego i przyszłego stanu zdrowia
podmiotu danych, zarówno zdrowia fizycznego, jak i
psychicznego.
160
Dokumentacja medyczna
DOKUMENTACJA MEDYCZNA zawiera co najmniej: •1) oznaczenie pacjenta, pozwalające na ustalenie jego
tożsamości: •a) nazwisko i imię (imiona), •b) datę urodzenia, •c) oznaczenie płci, •d) adres miejsca zamieszkania, •e) numer PESEL
•2) oznaczenie podmiotu udzielającego świadczeń zdrowotnych; •3) opis stanu zdrowia pacjenta lub udzielonych mu świadczeń
zdrowotnych; •4) datę sporządzenia.
161
Ochrona zdrowia, a dane wrażliwe:
•cel ochrony stanu zdrowia, świadczenia usług
medycznych lub leczenia pacjentów,
•przez osoby trudniące się zawodowo
leczeniem lub świadczeniem innych usług
medycznych, zarządzaniem udzielaniem usług
medycznych,
•gdy są stworzone pełne gwarancje ochrony
danych osobowych.
162
Szczególne zasady
przechowywania:
udostępniania
i
– prawo do wglądu do dokumentacji,
– przekazywanie zakładom ubezpieczeń i
NFZ,
– dokumentacja zakończona.
163
Numery porządkowe
Zdaniem
GIODO
prawo
pacjenta
do
prywatności, a także zasady przetwarzania
danych osobowych narusza:
•wywoływanie pacjentów po nazwiskach,
•wywieszanie imiennych list pacjentów.
Dotyczy to zatem np. sposobów oznaczenia
pacjentów.
164
System informacji w ochronie
zdrowia
System ten:
•wprowadzony ustawą z 28 kwietnia 2011 roku o
systemie informacji w ochronie zdrowia,
•nastawiony na rozliczanie środków finansowych w
służbie zdrowia: ma umożliwić bardziej kontrolowaną
dystrybucję świadczeń medycznych i co za tym idzie
większe oszczędności ,
•przewiduje digitalizację dokumentacji medycznej.
165
System informacji w ochronie
zdrowia
Szczególne zasady:
– udostępniania danych przez usługobiorcę
usług medycznych,
– rola kontrolna i nadzorcza Ministra Zdrowia.
166
Outsourcing dokumentacji
medycznej
Należy wyróżnić kilka przypadków:
– przechowywanie danych osobowych,
– przetwarzanie danych w szerszym zakresie,
– Przechowywanie zdygitalizowanych danych
medycznych.
167
Dziękuję za uwagę.
168

Ochrona danych osobowych w firmie

Transkrypt

Podobne dokumenty

1. Ochrona danych osobowych w szkole wyższej

Broszura - Krotoski Adwokaci

program szkolenia

Program ramowy szkolenia Ochrona danych osobowych w

PLAN SZKOLENIA Ochrona danych osobowych dla Administratora

„Ochrona danych osobowych w praktyce – szkolenie połączone z

ogłoszenie o szkoleniu - Polska Izba Turystyki

1) Podstawy prawne ochrony danych osobowych w Polsce

Program szkolenia: „Ochrona danych osobowych

SZKOLENIE Z ZAKRESU PRZETWARZANIA DANYCH