Ochrona danych osobowych w firmie
Transkrypt
Ochrona danych osobowych w firmie
Szkolenie z zakresu ochrony danych osobowych w firmie Michał Koralewski 1 Michał Koralewski: – radca prawny, – wspólnik w Kancelarii Radców Prawnych, – stała obsługa podmiotów z sektora publicznego oraz przedsiębiorców. www.koralewski.pl 2 [email protected] Podstawy prawne ochrony danych osobowych Poziomy regulacji: 1. 2. 3. 4. 3 Poziom międzynarodowy (umowy międzynarodowe), Poziom unijny (prawo wtórne), Poziom krajowy (ustawy i rozporządzenia), Poziom zakładowy (akty wewnątrzzakładowe). Poziom międzynarodowy KONWENCJA NR 108 Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych Podpisana: 28 stycznia 1981 r. w Strasburgu, Weszła w życie: 01 października 1985 r. 4 Prawo Unii Europejskiej Akty prawa wtórnego UE: – dyrektywy (obecnie obowiązuje) – rozporządzenie (w przygotowaniu) 5 Prawo Unii Europejskiej – Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 roku w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, – Dyrektywa 2002/58/WE parlamentu europejskiego i rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) 6 Prawo krajowe Art. 47 Konstytucji RP: Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym. 7 Prawo krajowe Ustawodawstwo zwykłe (podstawowe): 1. ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych, 2. rozporządzenia wykonawcze, m.in.: – – 8 Rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, Rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych Prawo krajowe Ustawodawstwo zwykłe (szczególne): 1. ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną, 2. ustawa z dnia 26 czerwca 1974 r. Kodeks pracy, 3. ustawa z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych, 4. Ustawa z dnia 9 kwietnia 2010 r. o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych, 5. I wiele innych. 9 Ustawa o ochronie danych osobowych Ustawę stosuje się do przetwarzania danych osobowych: – w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych, – w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych, Ograniczone stosowanie: – w odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5 ustawy (Zabezpieczenie danych osobowych). 10 Podmioty uczestniczące w przetwarzaniu i ochronie danych osobowych 11 Kategorie podmiotów 1. Podmioty przetwarzające dane osobowe, 2. Osoba, której dane dotyczą, 3. Podmioty kontrolujące przetwarzanie danych osobowych. 12 Podmioty przetwarzające dane osobowe 1. Administrator danych osobowych, 2. Administrator Bezpieczeństwa Informacji (ABI), 3. Procesor (eng. Processor). 13 14 Administrator danych osobowych Jest nim: – podmiot decydujący o celach i środkach przetwarzania danych osobowych. Podmiotem tym może być: – organ państwowy, samorządu terytorialnego, państwowe i komunalne jednostki organizacyjnyjne, – podmiot niepubliczny realizujący zadania publiczne, – osoba fizyczna i osoba prawna oraz jednostka organizacyjna niebędąca osobą prawną, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych które mają siedzibę albo miejsce zamieszkania: – na terytorium Rzeczypospolitej Polskiej, albo – w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej. 15 Administrator danych osobowych Przypadki szczególne: – pracodawca, – organ administracji publicznej, – agencja reklamowa, – jednostki terenowe, – pełnienie roli administratora danych przez dwa lub więcej podmiotów, – czy do postępowania przed administratorem stosuje się KPA? 16 Administrator Bezpieczeństwa Informacji 1. Powołanie ABI, 2. Pozycja w strukturze administratora danych osobowych, 3. Funkcje ABI, 4. Odpowiedzialność ABI 17 Powołanie ABI 1. Podstawa prawna powołania, 2. Konieczność a brak obowiązku powołania ABI, 3. Sposób powołania. 18 Pozycja ABI ABI w strukturze administratora danych osobowych, najczęstsze przypadki: – – – – – 19 musi spełniać ustawowe wymagania, podległość służbowa bezpośrednio kierownictwu, może posiadać zastępców, niezależność w zakresie sprawowania swojej funkcji, zawarcia przez administratora danych umowy powierzenia przetwarzania danych. Funkcje ABI Podstawowe funkcje ABI: – funkcja wykonawcza, – funkcja opiniodawcza, – funkcja kontrolna, ABI w procesie kontroli przetwarzania danych: – samodzielnie przeprowadza kontrole, – przeprowadza kontrole na żądanie GIODO, – reprezentuje ADO w kontrolach GIODO. 20 Procesor Podmiot przetwarzający dane osobowe na rzecz administratora danych osobowych oraz w oparciu o umowę o powierzeniu przetwarzania danych (outsourcing danych osobowych). 21 Osoba, której dane dotyczą Osoba fizyczna, której dane osobowe są przetwarzane. Dotyczy to prowadzących gospodarczą. 22 także osób jednoosobową fizycznych działalność Podmioty kontrolujące Centralnym organem administracji państwowej w zakresie ochrony danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych (GIODO). Funkcje kontrolne w imieniu GIODO mogą pełnić również: – zastępca GIODO, – Inspektorzy – upoważnieni pracownicy Biura GIODO. 23 Wyłączenia Ustawy nie stosuje się do: – osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych, – podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania danych, – prasowej działalności dziennikarskiej oraz do działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą, – przypadków, gdy umowa międzynarodowa, której stroną jest Rzeczpospolita Polska, stanowi inaczej, – sytuacji, w których przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw. 24 Podstawowe definicje z zakresu ochrony danych osobowych 25 Podstawowe pojęcia Dane osobowe: – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, – osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne, – informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. 26 Dane osobowe Dodatkowego wyjaśnienia wymagają następujące składniki pojęcia „dane osobowe”: • • • 27 informacje, umożliwiające zidentyfikowanie, nadmierne nakłady. Dane osobowe Przypadki szczególne: – adres poczty elektronicznej, – numer telefonu, – adres IP, – dane osobowe, jako człon firmy. 28 Inne pojęcia 1. 2. 3. 4. 5. 6. 7. 8. 29 zbiór danych, przetwarzanie danych, system informatyczny, zabezpieczenie danych w systemie informatycznym, usuwanie danych, zgoda osoby, której dane dotyczą, odbiorca danych, państwo trzecie. Zbiór danych Każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, 30 Przetwarzanie danych Jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. 31 Zgoda Oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. – zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; – zgoda może być odwołana w każdym czasie. 32 Przesłanki przetwarzania danych osobowych 33 Podział danych osobowych: – dane niewrażliwe (dopuszczalność przetwarzania), – dane wrażliwe (generalny zakaz przetwarzania). Dane wrażliwe to: dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. 34 Przetwarzanie danych niewrażliwych jest dopuszczalne, gdy: 1. osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, 2. jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, 3. jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, 4. jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, 5. jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. 35 Zgoda – zakres zgody, – wykładnia oświadczeń woli, – łączenie oświadczenia o wyrażeniu zgody z innymi oświadczeniami, – usunięcie danych osobowych, – przetwarzanie danych bez zgody: 1. niemożność uzyskania zgody, 2. ochrona żywotnych interesów osoby, której dane dotyczą. 36 Realizacja uprawnień i obowiązków – istnienie przepisu prawa określającego uprawnienie lub obowiązek, – niezbędność przetwarzania danych do jego realizacji. Dodatkowe aspekty: – przetwarzanie danych w oparciu o art. 221 Kodeksu pracy, – prawo strony dostępu do akt postępowania. 37 Realizacja umowy Przetwarzanie jest niezbędne do: – realizacji umowy oraz dotyczy danych osobowych jej strony, – podjęcia działań przed zawarciem umowy oraz na żądanie osoby, której dane dotyczą. 38 Dobro publiczne – zakres przedmiotowy, – zakres podmiotowy (podmioty publiczne, podmioty niepubliczne), – uprawnienia osoby, której dane dotyczą. 39 Usprawiedliwiony cel Warunki przetwarzania: – przetwarzanie jest niezbędne do wypełnienia prawnie usprawiedliwionych celów administratora danych lub odbiorcy danych, – przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą. 40 Usprawiedliwiony cel – niezbędność przetwarzania danych osobowych, – brak naruszenia praw i wolności osoby, której dane dotyczą (zwłaszcza prawa do prywatności), – definiowanie „prawnie usprawiedliwionego celu”, – przykłady ustawowe: • marketing bezpośredni własnych produktów lub usług administratora danych, • dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. 41 Przetwarzanie danych wrażliwych jest dopuszczalne, jeżeli: 1) osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych, 2) przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony, 3) przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora, 4) jest to niezbędne do wykonania statutowych zadań, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych, 42 5) przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem, 6) przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie, 7) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia i są stworzone pełne gwarancje ochrony danych osobowych, 8) przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą, 9) jest to niezbędne do prowadzenia badań naukowych; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone, 10) przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym. 43 Dane wrażliwe Przepis szczególny: – przepis ustawy szczególnej nie pozostawia wątpliwości w kwestii uchylenia zakazu przetwarzania danych wrażliwych, – przepis ustawy szczególnej wyraźnie wskazuje na wrażliwe dane osobowe bądź niektóre typy danych należące do tej właśnie kategorii, – z przepisu wynika uprawnienie do przetwarzania danych wrażliwych bez zgody osoby, której one dotyczą – przepis stwarza pełne gwarancje ochrony danych. 44 Dane wrażliwe Przepis szczególny, przykłady: – – 45 art. 10a ustawy o Straży Granicznej (ustawa z 12.10.1990 r. o Straży Granicznej, t.j. Dz.U. z 2005 r. Nr 234, poz. 1997 ze zm.), uprawniający Straż Graniczną do gromadzenia danych ujawniających pochodzenie etniczne, przynależność wyznaniową oraz dane o stanie zdrowia, c) art. 20 ust. 2b pkt 1 ustawy o Policji (ustawa z 6.4.1990 r. o Policji, t.j. Dz.U. z 2007 r. Nr 43, poz. 277 ze zm.), uprawniający Policję do zbierania wszelkich danych wrażliwych wskazanych w art. 27 OchrDanOsU, Dane wrażliwe Żywotne interesy: – przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, – osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora. 46 Dane wrażliwe Cele statutowe: – jest niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, – pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i – zapewnione są pełne gwarancje ochrony przetwarzanych danych. 47 Dane wrażliwe Zatrudnienie: – niezbędne do wykonania obowiązków pracodawcy, – względem pracowników oraz innych osób. 48 Dane wrażliwe Ochrona zdrowia: – cel ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów, – przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzaniem udzielaniem usług medycznych, – gdy są stworzone pełne gwarancje ochrony danych osobowych. 49 Dane wrażliwe Upublicznienie: – dane podane do wiadomości publicznej, – przez osobę, której dane dotyczą. 50 Zasady przetwarzania danych osobowych 51 Podstawowe zasady 1. 2. 3. 4. 5. 6. 7. 8. 52 Zasada autonomii informacyjnej, Zasada rzetelności, Zasada legalności przetwarzania danych osobowych, Zasada celowości, Zasada ograniczenia czasowego, Zasada adekwatnego przetwarzania danych, Niedopuszczalność ostatecznych rozstrzygnięć, Zasada konstrukcji numerów porządkowych bez ukrytych znaczeń. Zasada autonomii informacyjnej – jeden z aspektów prawa do prywatności, – wywodzi się z art. 47 oraz art. 51 Konstytucji RP, – Istota: pozostawienie każdej osobie swobody w określeniu sfery dostępności dla innych wiedzy o sobie, – przesłanki ograniczenia określa art. 31 ust. 3 Konstytucji RP, – potwierdzenie w art. 1 ustawy. 53 Zasada rzetelności Zakres zasady: – administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, Aspekty: – pojęcie „rzetelności”, – przykłady dochowania należytej rzetelności. 54 Zasada legalności przetwarzania Zakres zasady: – zgodnie z prawem przetwarzanie danych, Dwa aspekty przetwarzania danych: – dopuszczalność przetwarzania danych niewrażliwych (art. 23 ustawy), – zakaz przetwarzania danych wrażliwych (art. 27 ustawy). 55 Zasada celowości Zakres zasady: – dane osobowe mogą być zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, – ustawa dopuszcza możliwość zmiany celu przetwarzania po spełnieniu dodatkowych warunków. 56 Zasada celowości – łączy się z obowiązkami informacyjnymi z art. 24 i 25 ustawy, – wymaga zdefiniowania „pierwotnego” celu przetwarzania danych osobowych. 57 Zasada celowości Zmiana celu przetwarzania jest możliwa, gdy spełnione zostaną łącznie przesłanki: – przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane nie narusza praw i wolności osoby, której dane dotyczą, – odbywa się w celach badań naukowych, dydaktycznych, historycznych lub statystycznych, – zachowane są obowiązki z przepisów art. 23 (istnienie innego celu) i 25 ustawy (obowiązek informacyjny). 58 Zasada ograniczenia czasowego Zakres zasady: – dane osobowe mogą być przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania, Aspekty: – określenie momentu granicznego, – dalsze przechowywanie danych. 59 Zasada adekwatności Zakres zasady: – zbierane dane osobowe powinny być adekwatne w stosunku do celów, w jakich są przetwarzane, – wiąże się z zasadą autonomii informacyjnej, Aspekty: – niezbędność przetwarzania danych osobowych, – zachowanie merytorycznej poprawności danych osobowych. 60 Niedopuszczalność ostatecznych rozstrzygnięć Zakres zasady: – niedopuszczalne jest ostateczne rozstrzygnięcie indywidualnej sprawy osoby, której dane dotyczą, jeżeli jego treść jest wyłącznie wynikiem operacji na danych osobowych, prowadzonych w systemie informatycznym, – zasady nie stosuje się, jeżeli rozstrzygnięcie zostało podjęte podczas zawierania lub wykonywania umowy i uwzględnia wniosek osoby, której dane dotyczą, albo jeżeli zezwalają na to przepisy prawa, które przewidują również środki ochrony uzasadnionych interesów osoby, której dane dotyczą. 61 Numery porządkowe Zakres zasady: – numery porządkowe stosowane w ewidencji ludności mogą zawierać tylko oznaczenie płci, daty urodzenia, numer nadania oraz liczbę kontrolną – zabronione jest nadawanie ukrytych znaczeń elementom numerów porządkowych w systemach ewidencjonujących osoby fizyczne. 62 Obowiązki administratora danych osobowych 63 Obowiązki administratora danych osobowych 1. 2. 3. 4. 5. 6. 7. 8. 64 Obowiązki informacyjne, Obowiązek uzupełnienia lub sprostowania danych, Obowiązek zachowania szczególnej staranności (zasada rzetelności), Zakaz wydawania ostatecznych rozstrzygnięć, Obowiązek zabezpieczenia danych, Obowiązek rejestracji zbiorów lub ABI, Obowiązek współpracy z GIODO, Obowiązek wyznaczenia przedstawiciela w RP. Obowiązki informacyjne Obowiązek informacyjny występuje: – w fazie zbierania danych osobowych, – w wyniku zgłoszenia żądania przez osobę, której dane dotyczą, 65 Obowiązki informacyjne Dwa warianty obowiązku informacyjnego w fazie wstępnej, w zależności od źródła informacji: – osoba, której dane dotyczą (zakres podstawowy), – inna osoba (zakres rozszerzony). Ustawa różnicuje: – zakres przekazywanych informacji, – moment przekazania informacji. 66 Obowiązki informacyjne Zakres informacji wspólnych: – adres siedziby i pełna nazwa, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, – cel i zakres zbierania danych, a w szczególności informacje o odbiorcach lub kategoriach odbiorców danych, – o prawie dostępu do treści swoich danych oraz ich poprawiania. 67 Obowiązki informacyjne Informacje podstawowe o: – dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej. Informacje rozszerzone o: – źródle danych, – uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8. 68 Obowiązki informacyjne Wyłączenia: – przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą, – osoba, której dane dotyczą, posiada informacje, – dane te są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą, a spełnienie wymagań wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania, – dane są przetwarzane przez administratora, o którym mowa w art. 3 ust. 1 i ust. 2 pkt 1, na podstawie przepisów prawa. 69 Wyznaczenie przedstawiciela W przypadku przetwarzania danych osobowych przez podmioty mające siedzibę albo miejsce zamieszkania w państwie trzecim, administrator danych jest obowiązany wyznaczyć swojego przedstawiciela w Rzeczypospolitej Polskiej. 70 Prawa osób, których dane dotyczą 71 Prawa osób, których dane dotyczą 1. Prawo do kontroli przetwarzania danych, 2. Prawo zaciągania informacji, 3. Prawo do uzupełnienia i sprostowania informacji. 4. Prawo do wglądu do dokumentacji medycznej. 72 Prawo do kontroli informacji Na prawo to składają się uprawnienia do uzyskania informacji: • • • • • • 73 czy zbiór istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna - jej miejsca zamieszkania oraz imienia i nazwiska, o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych, o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie w tajemnicy informacji niejawnych lub zachowania tajemnicy zawodowej, o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane, o przesłankach podjęcia rozstrzygnięcia, o którym mowa w art. 26a ust. 2, A ponadto do: • • • • 74 żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane, wniesienia, w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5, pisemnego, umotywowanego żądania zaprzestania przetwarzania danych ze względu na jej szczególną sytuację, wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych, wniesienia do administratora danych żądania ponownego, indywidualnego rozpatrzenia sprawy rozstrzygniętej z naruszeniem art. 26a ust. 1. Prawo zaciągania informacji – na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić informacji, o których mowa w art. 32 ust. 1 pkt 1-5a. – na wniosek informacji tych, udziela się na piśmie, – administrator danych odmawia udzielenia informacji, jeżeli spowodowałoby to: • ujawnienie wiadomości zawierających informacje niejawne, • zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego, • zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa, • istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób. 75 Prawo aktualizacji danych – w razie wykazania przez osobę, której dane osobowe dotyczą, że są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są zbędne do realizacji celu, dla którego zostały zebrane, – administrator danych jest obowiązany, bez zbędnej zwłoki, do uzupełnienia, uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru, – chyba że dotyczy to danych osobowych, w odniesieniu do których tryb ich uzupełnienia, uaktualnienia lub sprostowania określają odrębne ustawy, – w razie niedopełnienia przez administratora danych tego obowiązku, osoba, której dane dotyczą, może się zwrócić do GIODO z wnioskiem o nakazanie dopełnienia tego obowiązku. – administrator danych jest obowiązany poinformować bez zbędnej zwłoki innych administratorów, którym udostępnił zbiór danych, o dokonanym uaktualnieniu lub sprostowaniu danych. 76 Procedura przetwarzania danych osobowych 1. 2. 3. 4. 5. 6. 7. 8. 77 uzyskanie danych, poinformowanie osoby o jej prawach, zabezpieczenie danych osobowych, rejestracja zbioru, przetwarzanie danych, aktualizacja danych osobowych, współpraca z GIODO, usunięcie danych. Outsourcing przetwarzania danych osobowych 78 Outsourcing danych osobowych Sposób powierzenia przetwarzania danych: – rodzaj umowy, – forma umowy, – zakres przedmiotowy umowy. 79 Outsourcing danych osobowych Uprawnienia i obowiązki procesora: – przetwarzanie danych osobowych, – zabezpieczenie zbioru danych osobowych. 80 Outsourcing danych osobowych Odpowiedzialność procesora: – odpowiedzialność cywilna, – odpowiedzialność administracyjna, – odpowiedzialność karna, – stosunek odpowiedzialności procesora do odpowiedzialności administratora danych. 81 Outsourcing elektroniczny – świadczeniodawca musi posiadać wiedzę, na którym dokładnie serwerze będą archiwizowane jego dane, – w zasadzie powinien to być tzw. serwer dedykowany, oznaczający odrębny komputer (maszynę fizyczną) skonfigurowany dla potrzeb konkretnego świadczeniodawcy, problem serwerów wirtualnych – najlepiej byłoby, gdyby taki serwer był formalnie własnością świadczeniodawcy, a outsourcing polegał tylko na powierzeniu firmie zewnętrznej zarządzania nim. 82 Warunki techniczne i organizacyjne przetwarzania danych osobowych 83 Warunki techniczne i systemowe Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych Dz.U. nr 100, poz. 1024 z 2004 roku 84 Warunki techniczne i systemowe Rozporządzenie nakłada na administratora danych następujące obowiązki: 1. prowadzenie dokumentacji opisującej sposób przetwarzania danych osobowych, 2. wprowadzenia poziomów bezpieczeństwa przetwarzania danych w systemie informatycznym, 3. zapewnienie spełnienia odpowiednich wymogów przez system informatyczny. 85 Szczególne warunki techniczne i systemowe System teleinformatyczny musi zapewniać: – zabezpieczenie dokumentacji przed uszkodzeniem lub utratą; – zachowanie integralności i wiarygodności dokumentacji; – stały dostęp do dokumentacji dla osób uprawnionych oraz zabezpieczenie przed dostępem osób nieuprawnionych; – identyfikację osoby udzielającej świadczeń zdrowotnych i rejestrowanych przez nią zmian, w szczególności dla odpowiednich rodzajów dokumentacji przyporządkowanie cech informacyjnych, zgodnie z rozporządzeniem; – udostępnienie, w tym przez eksport w postaci elektronicznej dokumentacji albo części dokumentacji będącej formą dokumentacji określonej w rozporządzeniu, w formacie XML i PDF; – eksport całości danych w formacie XML, w sposób zapewniający możliwość odtworzenia tej dokumentacji w innym systemie teleinformatycznym; – wydrukowanie dokumentacji w formach określonych w rozporządzeniu. 86 Szczególne warunki techniczne i systemowe Dokumentację prowadzoną w postaci elektronicznej uważa się za zabezpieczoną, jeżeli w sposób ciągły są spełnione łącznie następujące warunki: – jest zapewniona jej dostępność wyłącznie dla osób uprawnionych; – jest chroniona przed przypadkowym lub nieuprawnionym zniszczeniem; – są zastosowane metody i środki ochrony dokumentacji, których skuteczność w czasie ich zastosowania jest powszechnie uznawana. 87 Przykłady Zabezpieczenia technologiczne: – Zabezpieczenia fizyczne - serwerownie, pomieszczenia ze stanowiskami komputerowymi – Zabezpieczenia logiczne - redundancja (nadmiarowość) – Zabezpieczenia programowe – systemy autoryzacji, monitorowanie aktywności użytkowników, systemy antywirusowe i antywłamaniowe. Zabezpieczenia fizyczne: – Kontrola dostępu do pomieszczenia, nadzór personelu. – Wydzielony obwód zasilania (zalecany zasilacz awaryjny). – Ewidencjonowane i monitorowane przyłącza sieciowe. 88 Przykłady Systemy autoryzacji: – Login i hasło – Karta identyfikacyjna, – Karta identyfikacyjna (z mikroprocesorem) – Czytnik biometryczny. Na poziomie wysokim (art. 27 UODO + urządzenia są podłączone do sieci publicznej): – w przypadku gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana następuje nie rzadziej niż co 30 dni, – w przypadku gdy do uwierzytelniania użytkowników używa się hasła, składa się ono co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne. 89 Anonimizacja Znaczenie słowa: 1. 2. 3. nienazwany lub niezidentyfikowany nieznanego autorstwa lub pochodzenia nie posiadający indywidualności, niewyróżniający się, nierozpoznawalny 1 – usuwanie informacji identyfikacyjnych – – – deidentyfikacja (ang. de-identification) depersonalizacja (ang. de-personalization) pseudonimizacja (ang. pseudonymization) 3 – zapewnienie niejednoznaczności danych – – 90 uniejednoznacznianie (nadawanie niejednoznacznośći, ang. ambiguation) Deidentyfikacja to proces usuwania z danych informacji identyfikacyjnych Dokumentacja Na dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną składają się: 1. polityka bezpieczeństwa, 2. instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Dokumenty te: – wymagają formy pisemnej, – obowiązek ich wdrożenia spoczywa na administratorze danych osobowych. 91 Polityka bezpieczeństwa Polityka bezpieczeństwa, zawiera w szczególności: 1. wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; 2. wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; 3. opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi; 4. sposób przepływu danych pomiędzy poszczególnymi systemami; 5. określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. 92 Instrukcja 1. procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności; 2. stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem; 3. procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu; 4. procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania; 5. sposób, miejsce i okres przechowywania: a) elektronicznych nośników informacji zawierających dane osobowe, b) kopii zapasowych, o których mowa w pkt 4, 6. sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia; 7. sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4; 8. procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. 93 Poziomy bezpieczeństwa Rozporządzenie wymienia poziomy: 1) podstawowy, 2) podwyższony, 3) wysoki. Kryteria wyboru: – kategorie przetwarzanych danych, – zagrożenia. 94 Poziom podstawowy Poziom co najmniej podstawowy stosuje się, gdy: 1. w systemie informatycznym nie są przetwarzane dane, o których mowa w art. 27 ustawy (dane wrażliwe), oraz 2. żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną. 95 Poziom podwyższony Poziom co najmniej podwyższony stosuje się, gdy: 1. w systemie informatycznym przetwarzane są dane osobowe, o których mowa w art. 27 ustawy (dane wrażliwe, np. o stanie zdrowia), oraz 2. żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną. 96 Poziom wysoki Poziom wysoki stosuje się, gdy: – przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną (w rozumieniu ustawy Prawo telekomunikacyjne). 97 System informatyczny System – dla każdej osoby, której dane są przetwarzane – musi zapewniać odnotowanie: – daty pierwszego wprowadzenia danych do systemu; – identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba; – źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą; – informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych; – sprzeciwu. 98 System informatyczny Ponadto system musi zapewniać, aby: – odnotowanie informacji, o których mowa w pkt 1 i 2, następowało automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych, – sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie ww. informacje. W przypadku przetwarzania danych, w co najmniej dwóch systemach informatycznych, wymagania, dot. odbiorców, mogą być realizowane w jednym z nich lub w odrębnym systemie informatycznym przeznaczonym do tego celu. 99 Warunki organizacyjne i formalnoprawne przetwarzania danych osobowych 100 Warunki organizacyjne i formalnoprawne Powinny: – zostać określone z zachowaniem zasady proporcjonalności, – zapewniać zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. 101 Warunki organizacyjne i formalnoprawne Należą do nich: – wprowadzenie systemu nadawania, zmiany i cofania uprawnień do przetwarzania danych osobowych, – ustanowienie procedury kontroli procesu przetwarzania danych osobowych, – prowadzenie ewidencji osób upoważnionych do ich przetwarzania, – powołanie ABI. 102 System upoważnień – kto nadaje upoważnienia, – charakter prawny upoważnienia, – forma i treść upoważnienia, – upoważnienie w przypadku powierzenia przetwarzania danych osobowych, 103 Kontrola przetwarzania danych 1. Gdy w firmie powołany jest ABI: a. b. c. d. sprawdzenia planowane, sprawdzenia doraźne, sprawdzenia na wniosek GIODO, Kontrola GIODO, 2. Gdy nie ma powołanego ABI: a. kontrola GIODO. 104 Ewidencja – osoby objęte ewidencją, – informacje objęte ewidencja, – forma prowadzenia ewidencji. 105 Najczęstsze błędy Najczęstsze błędy w zakresie zarządzania danymi osobowymi: – brak zabezpieczeń papierowej dokumentacji, – brak upoważnień do przetwarzania danych osobowych, – nieprzechowywanie kluczy do pomieszczeń, w których znajdują się dane w portierni (na przykład klucze zabierają pielęgniarki), – brak ochrony danych osobowych zamieszczanych w systemach informatycznych, – brak lub nienależyte umocowanie administratora bezpieczeństwa informacji, – wykorzystywanie danych w celach przekraczających zakres umocowania, – przetwarzanie danych osobowych bez podstawy prawnej, – niewłaściwa reakcja na sprzeciwy i żądania osób, których dane dotyczą. 106 Rejestracja zbiorów danych osobowych 107 Rejestracja zbiorów danych osobowych Podstawowe zasady: – – – 108 rejestracja zbioru jest obowiązkiem administratora danych osobowych, administrator danych osobowych niewrażliwych może rozpocząć ich przetwarzanie po zgłoszeniu zbioru do rejestracji, chyba że powołano ABI, administrator danych osobowych wrażliwych może rozpocząć ich przetwarzanie dopiero po zarejestrowaniu zbioru przez GIODO. Wyłączenie obowiązku rejestracji Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy m.in. danych: – przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się (art. 43 ust. 1 pkt 4), – przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej (art. 43 ust. 1 pkt 8), – przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiem danych wrażliwych (art. 43 ust. 1 pkt 12). 109 Rejestracja zbiorów danych osobowych – typowe postępowanie administracyjne, – zgłoszenie na urzędowym formularzu, – zgłoszenie nie obejmuje wszystkich informacji i dokumentów, – możliwe zgłoszenie przez przedstawiciela, – platforma eGIODO, – rodzaje rozstrzygnięć GIODO, – zaświadczenie GIODO, – obowiązek zgłaszania zmian zarejestrowanych informacji. 110 Odmowa rejestracji GIODO w drodze decyzji administracyjnej odmawia rejestracji zbioru, jeżeli: 1. nie zostały spełnione wymogi określone w art. 41 ust. 1 (braki formalne), 2. przetwarzanie danych naruszałoby zasady określone w art. 23-28, 3. urządzenia i systemy informatyczne służące do przetwarzania zbioru danych zgłoszonego do rejestracji nie spełniają podstawowych warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a (rozporządzenie wykonawcze). 111 Odmowa rejestracji – odmawiając rejestracji zbioru danych, Generalny Inspektor, w drodze decyzji administracyjnej, nakazuje: 1. ograniczenie przetwarzania wszystkich albo niektórych kategorii danych wyłącznie do ich przechowywania lub 2. zastosowanie innych środków, o których mowa w art. 18 ust. 1 (przywrócenie stanu zgodnego z prawem). – 112 administrator danych może zgłosić ponownie zbiór danych do rejestracji po usunięciu wad. Wykreślenie z rejestru GIODO wykreśla zbiór z rejestru w drodze decyzji administracyjnej, jeżeli: – zaprzestano przetwarzania danych zarejestrowanym zbiorze, – rejestracji dokonano z naruszeniem prawa. 113 w Zwolnienie z obowiązku rejestracji Zwolnienia można podzielić na kilka grup, danych które są przetwarzane: 1. gdy powołany jest ABI, 2. przez organy publiczne lub w związku z wykonywaniem ich funkcji, 3. w związku z istnieniem powiązania pomiędzy administratorem a osobą, której dane dotyczą, 4. w sytuacjach mniejszego ryzyka. 114 Gdy w firmie powołany jest ABI: 1. rejestracji u GIODO nie podlegają zbiory danych niewrażliwych, 2. rejestr zbiorów danych niewrażliwych prowadzi ABI, 3. Rejestracji u GIODO podlegają zbiory danych wrażliwych. 115 Zwolnienie - organy publiczne i ich funkcje – dane: 1. zawierających informacje niejawne, 2. które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności, 3. przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym, 4. przetwarzanych przez Generalnego Inspektora Informacji Finansowej, 5. przetwarzanych przez właściwe organy na potrzeby udziału w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym, 6. przetwarzanych przez właściwie organy na podstawie przepisów o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej,: 7. tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego, 8. dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności, 116 Zwolnienie z obowiązku rejestracji Wzajemne powiązania – dane: 1. dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego, 2. przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się, 3. dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta, 4. przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej, 117 Zwolnienie z obowiązku rejestracji Mniejsze ryzyko – dane: 1. powszechnie dostępne, 2. przetwarzane w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego, 3. przetwarzane w zakresie drobnych bieżących spraw życia codziennego. 118 Rejestracja ABI: 1. zgłoszeniu podlega powołanie i odwołanie ABI w terminie 30 dni, 2. zmiana informacji o ABI w terminie 14 dni, 3. GIODO prowadzi jawny rejestr ABI, 4. GIODO może wykreślić ABI z urzędu, 5. konsekwencje wykreślenia ABI przez GIODO oraz ponownego zgłoszenia ABI. 119 Odpowiedzialność związana z przetwarzaniem danych osobowych 120 Odpowiedzialność związana z przetwarzaniem danych osobowych 1. 2. 3. 121 Odpowiedzialność karna, dyscyplinarna i cywilna za naruszenie zasad ochrony i przetwarzania danych osobowych Generalny Inspektor Ochrony Danych Osobowych: funkcje, postępowanie administracyjne przed GIODO. Kontrola administratora danych osobowych. Odpowiedzialność karna Podstawowe informacje: – przepisy karne zawarte w art. 49, 50-54a ustawy o ochronie danych osobowych, – przestępstwa umyślne i nieumyślne, – ścigane z urzędu, – obowiązek denuncjacji przez GIODO. 122 Odpowiedzialność karna Przetwarzanie danych przez nieuprawnionego Art. 49. 1.Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 2.Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3. 123 Odpowiedzialność karna Udostępnianie danych osobom nieuprawnionym Art. 51. 1.Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 2.Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. 124 Odpowiedzialność karna Odpowiedzialność z art. 51 ustawy może ponosić np. szpital, który zwracając wzięty uprzednio w leasing (najem, dzierżawę) sprzęt medyczny nie usunie z jego pamięci elektronicznej danych osobowych pacjentów. 125 Odpowiedzialność karna Naruszenie obowiązku zabezpieczenia danych Art. 52.Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. 126 Odpowiedzialność karna Niezgłoszenie danych do rejestru Art. 53.Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. 127 Odpowiedzialność karna Niedopełnienie obowiązku poinformowania Art. 54.Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. 128 Odpowiedzialność karna Utrudnianie czynności kontrolnych: Art. 54a. Kto inspektorowi udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 129 Odpowiedzialność administracyjna Decyzja administracyjna: – wydawana przez GIODO, – w przypadku naruszenia przepisów o ochronie danych osobowych celem przywrócenia stanu poprzedniego, – podlega egzekucji administracyjnej, – ograniczone kompetencje GIODO na czas wyborów. 130 Odpowiedzialność administracyjna Przykłady naruszeń przepisów: – umowa powierzenia nie zostanie zawarta na piśmie, – w przedsiębiorstwie nie będzie prowadzona ewidencja osób upoważnionych, – brak będzie dokumentacji przetwarzania np. polityki bezpieczeństwa, – hasło nie będzie zmieniane częściej niż co 30 dni, – system nie będzie umożliwiał przygotowanie raportu z danymi osobowymi albo raport nie będzie zawierał wszystkich wymaganych informacji. 131 Odpowiedzialność administracyjna Sposób przywrócenia stanu poprzedniego: – usunięcie uchybień, – uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, – zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, – wstrzymanie przekazywania danych osobowych do państwa trzeciego, – zabezpieczenie danych lub przekazanie ich innym podmiotom, – usunięcie danych osobowych. 132 Odpowiedzialność administracyjna W przypadku nie wykonania decyzji GIODO: – następuje wszczęcie postępowania egzekucyjnego w administracji, – GIODO wystawia upomnienie wzywając ponownie do dobrowolnego wykonania decyzji, – GIODO wystawia tytuł wykonawczy, – w toku postępowania możliwe jest: nałożenie grzywny, zastosowanie wykonania zastępczego, a nawet przymusu bezpośredniego. 133 Odpowiedzialność dyscyplinarna Podstawa wszczęcia postępowania: – wniosek inspektora (art. 17 ust. 2 ustawy), – samodzielna wola pracodawcy. Kwestia znaczenia wniosku inspektora – czy wiąże pracodawcę? 134 Odpowiedzialność cywilna Roszczenia na podstawie Kodeksu cywilnego: – naruszenie dóbr osobistych (art. 23, 24, 448 k.c.), – odpowiedzialność za szkodę (art. 415 k.c.), – wyłączenie w przepisie art. 4 ust. 3 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta. 135 Odpowiedzialność cywilna Art. 24. § 1. Ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne. W razie dokonanego naruszenia może on także żądać, ażeby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności ażeby złożyła oświadczenie odpowiedniej treści i w odpowiedniej formie. § 2.Jeżeli wskutek naruszenia dobra osobistego została wyrządzona szkoda majątkowa, poszkodowany może żądać jej naprawienia na zasadach ogólnych. Art. 448. W razie naruszenia dobra osobistego sąd może przyznać temu, czyje dobro osobiste zostało naruszone, odpowiednią sumę tytułem zadośćuczynienia pieniężnego za doznaną krzywdę lub na jego żądanie zasądzić odpowiednią sumę pieniężną na wskazany przez niego cel społeczny, niezależnie od innych środków potrzebnych do usunięcia skutków naruszenia. 136 Generalny Inspektor Ochrony Danych Osobowych: funkcje, postępowanie administracyjne przed GIODO 137 GIODO Generalny Inspektor Ochrony Danych Osobowych: – centralny organ administracji państwowej usytuowanym poza systemem organów administracji rządowej i niezależnym od niej, – powoływany i odwoływany przez Sejm za zgodą Senatu na 4-letnią kadencję, – wykonuje swoje kompetencje przy pomocy Biura, w tym w szczególności swojego zastępcy oraz inspektorów. 138 Podstawowe zadania GIODO: • • • • • • • 139 kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych, wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych, zapewnienie wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym wynikających z decyzji, o których mowa w pkt 2, przez stosowanie środków egzekucyjnych przewidzianych w ustawie o postępowaniu egzekucyjnym w administracji, prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach, opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych, inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych, uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych. Postępowanie przed GIODO Wyróżnia się dwa rodzaje postępowań: 1. Postępowanie kontrolne, 2. Postępowanie administracyjne. Powołanie ABI nie pozbawia GIODO uprawnień kontrolnych. 140 Postępowanie administracyjne Stosuje się do niego przepisy Kodeksu postępowania administracyjnego z modyfikacjami wynikającymi z ustawy o ochronie danych osobowych, które dotyczą: – wszczęcia postępowania (także na wniosek inspektora, jako wynik postępowania kontrolnego, – zakresu decyzji administracyjnej GIODO, – ograniczeń skuteczności decyzji administracyjnej GIODO w czasie wyborów, – postępowania odwoławczego, – możliwości kierowania przez GIODO wystąpień do innych organów. 141 Postępowanie - schemat Postępowanie kontrolne ↓ Postępowanie administracyjne ↓ Wniosek o ponowne rozpatrzenie sprawy ↓ skarga do WSA ↓ skarga do NSA 142 Kontrola GIODO u administratora danych osobowych 143 Kontrola administratora danych osobowych Podstawowe zagadnienia: – do kontroli GIODO stosuje się przepisy ustawy o swobodzie działalności gospodarczej dot. kontroli przedsiębiorców, – GIODO ma zatem obowiązek zawiadomić o wszczęciu kontroli, przestrzegać zasad w zakresie maksymalnego czasu kontroli oraz ilości jednoczesnych kontroli u przedsiębiorcy, – przedsiębiorcy przysługuje natomiast roszczenie odszkodowawcze za szkody spowodowane niezgodną z prawem kontrolą oraz prawo wniesienia sprzeciwu wobec podjęcia i wykonywania kontroli z naruszeniem przepisów ustawy, – Kontrola u osoby przetwarzającej dane osobowe na podstawie umowy z administratorem. 144 Kontrola administratora danych osobowych Uprawnienia kontrolujących: – wstęp, w godzinach od 6:00 do 22:00, za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych, i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą, – Prawo żądania złożenia pisemnych lub ustnych wyjaśnień oraz wzywania i przesłuchiwania osoby w zakresie niezbędnym do ustalenia stanu faktycznego, – prawo wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii, – możliwość przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych, – prawo zlecania sporządzanie ekspertyz i opinii. 145 Kontrola administratora danych osobowych Prawa i obowiązki kontrolowanego: – umożliwienie inspektorowi przeprowadzenia kontroli – naruszenie stanowi przestępstwo, – prawo żądania okazania i weryfikacji upoważnienia kontrolującego, – możliwość wniesienia umotywowanych zastrzeżeń i uwag do protokołu kontroli, – prawo odmowy podpisania protokołu oraz złożenia swojego stanowiska GIODO, – udział w postępowaniu administracyjnym przed GIODO – jako strona – i możliwość wnoszenia środków odwoławczych. 146 Schemat kontroli Wszczęcie i przeprowadzenie kontroli ↓ Sporządzenie protokołu z kontroli ↓ Na wniosek inspektora wszczęcie postępowania administracyjnego przez GIODO lub postępowania dyscyplinarnego przez ADO ↓ Wydanie decyzji administracyjnej przez GIODO lub złożenie zawiadomienia o popełnieniu przestępstwa ↓ Ewentualne postępowanie odwoławcze i sądowe ↓ Ewentualne postępowanie egzekucyjne 147 Kontrola dokonywana przez ABI Sprawdzenia prowadzone przez ABI: 1.Sprawdzenie planowane: – w oparciu o plan sprawdzeń, – co najmniej jedno w roku, 2.Sprawdzenie doraźne: – gdy wiadomość o naruszeniu ochrony danych osobowych lub uzasadnione podejrzenia takiego naruszenia, – ABI informuje ADO o wszczęciu sprawdzenia, 3.Sprawdzenie na żądanie GIODO: – – 148 GIODO wskazuje zakres i termin sprawdzenia, Sprawozdanie za pośrednictwem ADO wysyłane także do GIODO. Dane osobowe w firmie 149 Dane osobowe w firmie Bazy danych osobowych klientów: 1.czy niezbędna jest zgoda na gromadzenie danych osobowych klientów, 2.kiedy bazy nie wymagają zgłoszenia do GIODO, 3.a kiedy należy je zgłosić? 150 Zgoda klientów Nie jest konieczna, jeżeli: •jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, •jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą, np. za prawnie usprawiedliwiony cel uważa się: – marketing bezpośredni własnych produktów lub usług administratora danych – czy zawsze?, – dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. 151 Rejestracja u GIODO Zgłoszenia do GIODO nie wymagają bazy danych klientów, jeżeli: •w firmie powołano ABI a dany zbiór nie zawiera danych wrażliwych, •tworzone są w związku z zatrudnieniem u ADO, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się, •dotyczącą osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta, •przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej, •zawierających dane powszechnie dostępne, •przetwarzane są w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiem zbiorów zawierających dane wrażliwe. 152 Dane osobowe w firmie Dane osobowe w internecie: 1. konieczność stworzenia polityki prywatności – obowiązek informacyjny, 2. odebranie wyraźnej zgody na przetwarzanie danych osobowych, 3. akceptacja regulaminu a zgoda na przesyłanie informacji handlowej. 153 Polityka prywatności Może być częścią regulaminu serwisu, bądź odrębnym dokumentem. Powinna zawierać co najmniej: – informacje o administratorze danych osobowych, celu przetwarzania danych oraz rodzaju gromadzonych danych osobowych, – prawach osoby, której dane dotyczą, – plikach Cookies, – danych osobowych, których podanie jest niezbędne do świadczenia usług drogą elektroniczną oraz danych opcjonalnych, – formularzach, newsleterach i innych narzędziach wykorzystujących w serwisie dane osobowe. – sposobie zmiany dokumentu. 154 Zgoda w internecie W myśl ustawy o świadczeniu usług drogą elektroniczną, zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści, a także może być odwołana w każdym czasie. Z powyższego wynika konieczność odrębnego (wyraźnego) odbierania zgody na: •przesyłanie informacji handlowej do oznaczonej osoby fizycznej, •przetwarzanie innych danych osobowych niż niezbędne do świadczenia usług drogą elektroniczną, •wykorzystanie danych osobowych po zakończeniu świadczenia usługi do celów reklamy, badania rynku oraz zachowań i preferencji usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości usług świadczonych przez usługodawcę. 155 Dane osobowe pracowników • kto jest administratorem danych osobowych, • jakie dane osobowe można przetwarzać, • czy można przetwarzać dane osobowe kandydatów do pracy? 156 Dane osobowe pracowników • co do zasady pracodawca jest ADO danych osobowych pracownika. Może żądać danych wskazanych w art. 22(1) k.p. W przypadku korzystania z usług agencji pracy tymczasowej, to agencja jest ADO, • artykuł 22(1) k.p. stanowi podstawę prawną do przetwarzania danych osobowych nie tylko wobec pracowników ale również kandydatów do pracy, • pracownicy nie posiadają automatycznego upoważnienia do przetwarzania danych osobowych 157 Nabycie bazy danych • czy konieczna jest zgoda osób, których dane są gromadzone na sprzedaż bazy – brak jednolitego stanowiska, • wtórny obowiązek informacyjny – wynika z art. 25 ustaw ODO, co jeśli nie można go spełnić? • aktualizacja danych u GIODO – czy jest konieczna?. 158 Dane osobowe w służbie zdrowia • • • • 159 dane i dokumentacja medyczna, numery porządkowe, system informacji w ochronie zdrowia, outsourcing danych medycznych. Dane medyczne Dane medyczne: •brak legalnej definicji w prawie polskim, •zgodnie z art. 1 Rekomendacji nr (97)5 Komitetu Ministrów Rady Europy wyrażanie „dane medyczne” odnosi się do wszystkich danych wiążących się ze zdrowiem jednostki, jak i wszelkich danych w sposób oczywisty i bliski związanych ze zdrowiem oraz danych genetycznych, •pojęcie danych medycznych obejmuje dane odnoszące się do przeszłego, obecnego i przyszłego stanu zdrowia podmiotu danych, zarówno zdrowia fizycznego, jak i psychicznego. 160 Dokumentacja medyczna DOKUMENTACJA MEDYCZNA zawiera co najmniej: •1) oznaczenie pacjenta, pozwalające na ustalenie jego tożsamości: •a) nazwisko i imię (imiona), •b) datę urodzenia, •c) oznaczenie płci, •d) adres miejsca zamieszkania, •e) numer PESEL •2) oznaczenie podmiotu udzielającego świadczeń zdrowotnych; •3) opis stanu zdrowia pacjenta lub udzielonych mu świadczeń zdrowotnych; •4) datę sporządzenia. 161 Dokumentacja medyczna Ochrona zdrowia, a dane wrażliwe: •cel ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów, •przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzaniem udzielaniem usług medycznych, •gdy są stworzone pełne gwarancje ochrony danych osobowych. 162 Dokumentacja medyczna Szczególne zasady przechowywania: udostępniania i – prawo do wglądu do dokumentacji, – przekazywanie zakładom ubezpieczeń i NFZ, – dokumentacja zakończona. 163 Numery porządkowe Zdaniem GIODO prawo pacjenta do prywatności, a także zasady przetwarzania danych osobowych narusza: •wywoływanie pacjentów po nazwiskach, •wywieszanie imiennych list pacjentów. Dotyczy to zatem np. sposobów oznaczenia pacjentów. 164 System informacji w ochronie zdrowia System ten: •wprowadzony ustawą z 28 kwietnia 2011 roku o systemie informacji w ochronie zdrowia, •nastawiony na rozliczanie środków finansowych w służbie zdrowia: ma umożliwić bardziej kontrolowaną dystrybucję świadczeń medycznych i co za tym idzie większe oszczędności , •przewiduje digitalizację dokumentacji medycznej. 165 System informacji w ochronie zdrowia Szczególne zasady: – udostępniania danych przez usługobiorcę usług medycznych, – rola kontrolna i nadzorcza Ministra Zdrowia. 166 Outsourcing dokumentacji medycznej Należy wyróżnić kilka przypadków: – przechowywanie danych osobowych, – przetwarzanie danych w szerszym zakresie, – Przechowywanie zdygitalizowanych danych medycznych. 167 Dziękuję za uwagę. 168