DANE OSOBOWE WCZORAJ DZI JUTRO Kielce 05 02
„DANE OSOBOWE WCZORAJ, DZIŚ, JUTRO” Kielce 05. 02. 2016
ORGAN OCHRONY DANYCH OSOBOWYCH KONSTYTUCJA RP – art. 47 i 51 Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tj. z 2014 r. poz. 1182 ze zm. ) Generalny Inspektor Ochrony Danych Osobowych (GIODO) – atrybuty (art. 8), zadania (art. 12), prawa kontrolne (art. 14, 16) decyzje administracyjne (art. 18, art. 21 -22), wnioski o wszczęcie post. dyscyplinarnego (art. 17), zawiadomienie o popełnieniu przestępstwa (art. 19) sygnalizacja (art. 12) ogólnokrajowy, jawny rejestr zbiorów danych osobowych (art. 42) prowadzenie rejestru administratorów bezpieczeństwa informacji (ABI) a także udzielanie informacji o zarejestrowanych ABI (po 1 stycznia 2015 r. ) wystąpienia (art. 19 a) wystąpienie GIODO do ABI o dokonanie sprawdzenia, o którym mowa w art. 36 a ust. 2 pkt 1 lit a
(art. 47. ) KONSTYTUCJA RP KAŻDY MA PRAWO DO OCHRONY ŻYCIA PRYWATNEGO, RODZINNEGO, CZCI I DOBREGO IMIENIA ORAZ DO DECYDOWANIA O SWOIM ŻYCIU OSOBISTYM. (art. 51. ) KONSTYTUCJA RP NIKT NIE MOŻE BYĆ OBOWIĄZANY INACZEJ NIŻ NA PODSTAWIE USTAWY DO UJAWNIANIA INFORMACJI DOTYCZĄCYCH JEGO OSOBY. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.
KTO JEST OBJĘTY OCHRONĄ? - WYŁĄCZNIE OSOBY FIZYCZNE – ustawa o ochronie danych osobowych określa prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych. Zgodnie z art. 1 uodo, każdy (każda osoba fizyczna) ma prawo do ochrony dotyczących go danych osobowych. Ochronie takiej nie podlegają informacje o jednostkach organizacyjnych, np. : przedsiębiorstwach „Nazwa kancelarii ani jej numer telefonu nie należy do danych osobowych, nie służy bowiem do identyfikacji osoby fizycznej, ale jednostki organizacyjnej, podobnie jak nie należy do danych osobowych nazwa spółki cywilnej” – tak NSA w wyroku z dnia 28 listopada 2002 r. , II SA 3389/01.
Ustawa o ochronie danych osobowych znajduje zastosowanie do przetwarzania danych osobowych czyli wszelkich informacji dotyczących zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (art. 6 uodo) Ø osoba możliwa do zidentyfikowania to osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne, Ø informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań – jeśli na podstawie przetwarzanych informacji podmiot nimi dysponujący nie jest w stanie zidentyfikować człowieka przy użyciu dostępnych dla niego narzędzi, takie informacje nie będą kwalifikowane jako dane osobowe.
Danymi osobowymi nie są więc jedynie informacje kojarzone powszechnie jako dane personalne (typu imię i nazwisko, adres zamieszkania, numer ewidencyjny PESEL, etc. ), ale wszelkie dane dotyczące konkretnej osoby fizycznej (zidentyfikowanej lub możliwej do zidentyfikowania). Pojęcie „informacji dotyczącej osoby” - patrz orzecznictwo: „informacją dotyczącą osoby jest zarówno informacja odnosząca się do niej wprost, jak i taka, która odnosi się bezpośrednio do przedmiotów czy urządzeń, ale poprzez możliwość przyporządkowania tej informacji także do niej samej” - tak NSA w wyroku z dnia 19 maja 2011 r. , I OSK
RELACJA MIĘDZY UODO A PRZEPISAMI INNYCH USTAW Kolizję norm rozstrzyga treść art. 5 uodo: „Jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw ”. lex specialis derogat legi generali (łc. )praw ustawa szczególna uchyla ustawę ogólną
USTAWA Z DNIA 7 WRZEŚNIA 1991 R. O SYSTEMIE OŚWIATY DZ. U. 2015. 2156 Z 2016. 01. 23 Art. 20 zc. 1. Wyniki postępowania rekrutacyjnego podaje się do publicznej wiadomości w formie listy kandydatów zakwalifikowanych i kandydatów niezakwalifikowanych, zawierającej imiona i nazwiska kandydatów oraz informację o zakwalifikowaniu albo niezakwalifikowaniu kandydata do danego publicznego przedszkola, publicznej innej formy wychowania przedszkolnego, publicznej szkoły, publicznej placówki, na zajęcia w publicznej placówce oświatowo-wychowawczej, na kształcenie ustawiczne w formach pozaszkolnych lub na kwalifikacyjny kurs zawodowy.
• Art. 20 ze. 1. Dane osobowe kandydatów zgromadzone w celach postępowania rekrutacyjnego oraz dokumentacja postępowania rekrutacyjnego są przechowywane nie dłużej niż do końca okresu, w którym uczeń korzysta z wychowania przedszkolnego w danym publicznym przedszkolu lub publicznej innej formie wychowania przedszkolnego albo uczęszcza do danej publicznej szkoły, publicznej placówki, na zajęcia w publicznej placówce oświatowo-wychowawczej, na kształcenie ustawiczne w formach pozaszkolnych lub na kwalifikacyjny kurs zawodowy. 2. Dane osobowe kandydatów nieprzyjętych zgromadzone w celach postępowania rekrutacyjnego są przechowywane w publicznym przedszkolu, publicznej innej formie wychowania przedszkolnego, publicznej szkole lub publicznej placówce, które przeprowadzały postępowanie rekrutacyjne, przez okres roku, chyba że na rozstrzygnięcie dyrektora przedszkola, szkoły lub placówki została wniesiona skarga do sądu administracyjnego i postępowanie zostało zakończone prawomocnym wyrokiem.
DANE ZWYKŁE A DANE WRAŻLIWE brak zamkniętego katalogu informacji kwalifikowanych jako dane osobowe; kwestię, czy określona informacja stanowi daną osobową, rozstrzyga się w oparciu o definicję danych osobowych wskazaną w art. 6 uodo; ustawodawca formułuje natomiast zamknięty katalog informacji kwalifikowanych jako dane wrażliwe (sensytywne), które podlegają szczególne ochronie; DANE WRAŻLIWE TO DANE: - ujawniające pochodzenie rasowe i etniczne, - - dane ujawniające poglądy polityczne, - dane ujawniające przekonania religijne i filozoficzne, - dane ujawniające przynależność wyznaniową, partyjną, związkową, - dane o stanie zdrowia, kodzie genetycznym, nałogach, życiu seksualnym, - dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, innych orzeczeń.
Przetwarzanie danych - to jakiekolwiek operacje wykonywane na danych osobowych, takie jak: Ø zbieranie, Ø utrwalanie, Ø przechowywanie, Ø opracowywanie, Ø zmienianie, Ø udostępnianie, Ø usuwanie, Ø zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą.
RECEPCJONISTKA CHRZANOWSKIEGO SZPITALA ODDAŁA DO SKUPU MAKULATURY DOKUMENTY ZAWIERAJĄCE DANE OSOBOWE ORAZ HISTORIE CHORÓB PACJENTÓW. ŹRÓDŁO GW 2015
PODMIOTY UCZESTNICZĄCE W PROCESIE PRZETWARZANIA DANYCH • Administrator Danych Osobowych ( Dyrektor Szkoły ) ADO • Administrator bezpieczeństwa informacji - ABI • Podmiot przetwarzający • Osoby upoważnione do przetwarzania danych ( nauczyciele, pracownicy administracyjni , komisja socjalna, społeczny inspektor pracy, inspektor BHP, związkowcy, itp. ) • Odbiorca danych osobowych
ADMINISTRATOR DANYCH OSOBOWYCH A D O Dyrektor szkoły
ADMINISTRATOR DANYCH OSOBOWYCH ADO - To osoba fizyczna, prawna bądź jednostka organizacyjna bez osobowości prawnej, która decyduje o celach i środkach przetwarzania danych osobowych: może powołać administratora bezpieczeństwa informacji (ABI), spoczywa na nim szereg obowiązków związanych z przetwarzaniem danych osobowych, wśród których wyróżnić należy: Ø obowiązki informacyjne, Ø obowiązki związane z zabezpieczeniem danych, Ø obowiązek zgłoszenia zbioru danych do rejestru, oraz wprowadzenie polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym, nadawania upoważnień do przetwarzania danych i prowadzenia rejestru upoważnień.
OBOWIĄZKI ADO Obowiązek przestrzegania zasad przetwarzania danych osobowych - ADO w szczególności jest obowiązany zapewnić, aby: Ø przetwarzanie przez niego danych odbywało się legalnie, zgodnie z przepisami ustawy, Ø dane były zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, Ø dane były merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, Ø przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
ZASADY OGÓLNE - OBOWIĄZKI ADMINISTRATORA A PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ prawo do informacji (art. 24 i 25) minimum informacji, jakie administrator powinien przekazać osobie, której dane dotyczą, po zebraniu i utrwaleniu jej danych prawo do kontroli przetwarzania danych (art. 32 i 33) zakres informacji, jakie administrator jest obowiązany przekazać osobie, której dane dotyczą, na żądanie tej osoby
PRAWO OSOBY, KTÓREJ DANE DOTYCZĄ - PRAWO DO INFORMACJI • adres siedziby i nazwa administratora (art. 24, 25) • cel i zakres zbierania danych (art. 24, 25) • dostęp do treści oraz prawo poprawiania danych (art. 24, 25) • dobrowolność / obowiązek podania danych osobowych (art. 24) • źródło danych (art. 25) • uprawnienia z art. 32 ust. 1 pkt 7 i 8 (art. 25)
ART. 54. UODO • Art. 54. Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI ABI
ART. 46 B UODO 1. Administrator danych jest obowiązany zgłosić do rejestracji Generalnemu Inspektorowi powołanie i odwołanie administratora bezpieczeństwa informacji w terminie 30 dni od dnia jego powołania lub odwołania. 2. Zgłoszenie powołania administratora bezpieczeństwa informacji do rejestracji powinno zawierać: 1) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany; 2) dane administratora bezpieczeństwa informacji: a) imię i nazwisko, b) numer PESEL lub, gdy ten numer nie został nadany, nazwę i numer dokumentu stwierdzającego tożsamość, c) adres do korespondencji, jeżeli jest inny niż adres, o którym mowa w pkt 1; 3) datę powołania; 4) oświadczenie administratora danych o spełnianiu przez administratora bezpieczeństwa informacji warunków określonych w art. 36 a ust. 5 i 7.
ZGŁOSZENIE ABI-EGO DO GIODO DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ Warszawa, dnia 29 grudnia 2014 r. Poz. 1934 ROZPORZĄDZENIE MINISTRA ADMINISTRACJI I CYFRYZACJI z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji Na podstawie art. 46 f ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182 i 1662) zarządza się, co następuje:
DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ Warszawa, dnia 29 maja 2015 r. Poz. 745 ROZPORZĄDZENIE MINISTRA ADMINISTRACJI I CYFRYZACJI z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji
ROZDZIAŁ 5 UODO ZABEZPIECZENIE DANYCH OSOBOWYCH Art. 36. 1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. 2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1. 3. Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności. (ABI: wczoraj, dziś, jutro)
ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI ADO może powołać administratora bezpieczeństwa informacji. Fakt powołania ABI podlega zgłoszeniu do ogólnopolskiego, jawnego rejestru prowadzonego przez GIODO. W przypadku niepowołania ABI to administrator danych osobowych wykonuje, co do zasady, jego obowiązki. ABI podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych – ABI ma być niezależny w wykonywaniu swoich zadań!!! ABI może zostać jedynie osoba, która: 1) posiada pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych; 2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych; 3) nie była karana za przestępstwo umyślne.
PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ - ZAKRES UPRAWNIEŃ KONTROLNYCH DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ Warszawa, dnia 25 maja 2015 r. Poz. 719 ROZPORZĄDZENIE MINISTRA ADMINISTRACJI I CYFRYZACJI z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych
§ 4. 1. Administrator bezpieczeństwa informacji w ramach prowadzenia rejestru: 1) wpisuje zbiór danych do rejestru przed rozpoczęciem przetwarzania w zbiorze danych; 2) aktualizuje informacje dotyczące zbioru danych w rejestrze – w przypadku zmiany informacji objętych wpisem; 3) wykreśla zbiór danych z rejestru – w przypadku zaprzestania przetwarzania w nim danych osobowych; 4) udostępnia rejestr do przeglądania. 2. Czynności, o których mowa w ust. 1 pkt 2 i 3, dokonuje się niezwłocznie po zaistnieniu zdarzenia powodującego obowiązek ich dokonania.
ART. 36 B W przypadku niepowołania administratora bezpieczeństwa informacji zadania określone w art. 36 a ust. 2 pkt 1, z wyłączeniem obowiązku sporządzania sprawozdania, o którym mowa w art. 36 a ust. 2 pkt 1 lit. a, wykonuje administrator danych osobowych(ADO)
KONTROLA SZKOŁY PRZEZ ABI-EGO
ART. 19 B UODO 1. Generalny Inspektor może zwrócić się do administratora bezpieczeństwa informacji wpisanego do rejestru, o którym mowa w art. 46 c, o dokonanie sprawdzenia, o którym mowa w art. 36 a ust. 2 pkt 1 lit. a, u administratora danych, który go powołał, wskazując zakres i termin sprawdzenia. 2. Po dokonaniu sprawdzenia, o którym mowa w art. 36 a ust. 2 pkt 1 lit. a, administrator bezpieczeństwa informacji, za pośrednictwem administratora danych, przedstawia Generalnemu Inspektorowi sprawozdanie, o którym mowa w art. 36 a ust. 2 pkt 1 lit. a. 3. Dokonanie przez administratora bezpieczeństwa informacji sprawdzenia w przypadku, o którym mowa w ust. 1, nie wyłącza prawa Generalnego Inspektora do przeprowadzenia kontroli, o której mowa w art. 12 pkt 1.
§ 7. 1. UODO 4. ADMINISTRATOR DANYCH MOŻE POWIERZYĆ ADMINISTRATOROWI BEZPIECZEŃSTWA INFORMACJI WYKONYWANIE INNYCH OBOWIĄZKÓW, JEŻELI NIE NARUSZY TO PRAWIDŁOWEGO WYKONYWANIA ZADAŃ, O KTÓRYCH MOWA W UST. 2.
ZBIORY DANYCH
PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ - ZAKRES UPRAWNIEŃ KONTROLNYCH DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ Warszawa, dnia 25 maja 2015 r. Poz. 719 ROZPORZĄDZENIE MINISTRA ADMINISTRACJI I CYFRYZACJI z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych
OBOWIĄZKI ADMINISTRATORA DANYCH – OBOWIĄZEK REJESTRACJI ZBIORÓW • Obowiązek zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi (art. 40) –Zwolnienia z obowiązku rejestracji (art. 43 ust. 1) • Zbiory zwolnione z rejestracji po nowelizacji ustawy o ochronie danych osobowych • Warunki formalne zgłoszenia (art. 41 ust. 1) • Obowiązek zgłoszenia zmian z zbiorze - aktualizacja (art. 41 ust. 2) • Przesłanki wydania decyzji o odmowie rejestracji zbioru danych (art. 44) • Ogólnokrajowy jawny rejestr zbiorów danych osobowych • Różnice przy zgłaszaniu zbiorów z danymi zwykłymi i szczególnie chronionymi • Rejestracja zbiorów zgłoszonych przed 1 stycznia 2015 (art. 34 ustawy o ułatwieniu wykonywania działalności gospodarczej) (Zbiory danych: wczoraj, dziś, jutro)
• § 4. 1. Administrator bezpieczeństwa informacji w ramach prowadzenia rejestru: 1) wpisuje zbiór danych do rejestru przed rozpoczęciem przetwarzania w zbiorze danych;
PRZYKŁADY ZBIORÓW W SZKOŁACH • Ewidencja uczniów z obwodu szkoły realizujący • • • Urzędy Skarbowe Doskonalenie zawodowe nauczycieli Składnica Akt Zbiór danych praktykantów i stażystów Księga kontroli zewnętrznej • Zbiór danych uczniów, absolwentów, rodziców i opiekunów obowiązek szkolny w innych szkołach prawnych • ZUS • Dane o uczniach niepełnosprawnych • Zbiór danych pracowników • Zbiór danych potencjalnych pracowników • Zbiór danych byłych pracowników • Rejestr korespondencji • System Informacji Oświatowej Stan na 06. 01. 2016 Miasto Kielce • Zamówienia publiczne Zarejestrowane w GIODO jest w sumie 800 zbiorów • Stypendia Placówki edukacyjne: • Zakładowy Fundusz Świadczeń Socjalnych • PRZEDSZKOLA 0 na 33 • Ewidencja Najemców • SZKOŁY PODSTAWOWE 4 na 24 • GIMNAZJA 0 na 20 • SZKOŁY PONADGIMNAZJALNE 2 na 18 • TYLKO 6 placówek na 95 ma zarejestrowane • Biblioteka • Fundusz zdrowotny
ART. 53. UODO • Art. 53. Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku
KARA MUSI BYĆ
ROZDZIAŁ 8 PRZEPISY KARNE Art. 49 1. Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności uprawniony, albo pozbawienia wolności do lat 2. 2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, sprawca podlega grzywnie, karze nałogach lub życiu seksualnym, ograniczenia wolności albo pozbawienia wolności do lat 3.
ART. 51. 1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze nieupoważnionym, podlega grzywnie, ograniczenia wolności albo pozbawienia wolności do lat 2. 2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo grzywnie, pozbawienia wolności do roku.
Art. 52. Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art. 53. Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art. 54. Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art. 54 a. Kto inspektorowi udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
KODEKS KARNY • Art. 266. § 1. Kto, wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu, ujawnia lub wykorzystuje informację, z którą zapoznał się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
GIODO • Generalny Inspektor Ochrony Danych Osobowych
PODCZAS KONTROLI PRZESTRZEGANIA PRZEPISÓW O OCHRONIE DANYCH OSOBOWYCH INSPEKTOR ZWRACA SZCZEGÓLNĄ UWAGĘ NA NASTĘPUJĄCE KWESTIE: • Przesłanki legalności przetwarzania danych osobowych; • Przesłanki legalności przetwarzania danych szczególnie chronionych; • Zakres i cel przetwarzania danych; • Merytoryczna poprawność danych i ich adekwatność do celu przetwarzania; • Obowiązek informacyjny; • Zgłoszenie zbioru do rejestracji; • Przekazywanie danych do państwa trzeciego; • Powierzenie przetwarzania danych osobowych; • Zabezpieczenie danych.
OBOWIĄZKI KONTROLOWANEGO • Kontrolowany ma obowiązek umożliwić inspektorowi przeprowadzenie czynności kontrolnych oraz powinien udostępnić wszelkie żądane dokumenty i nośniki informacji związane z zakresem kontroli. Na żądanie inspektora kontrolowany jest obowiązany wydać kopie wskazanych dokumentów oraz tzw. zrzuty (wydruki) z ekranu komputera. Powinien czynnie uczestniczyć w prowadzonej kontroli: udzielać wyjaśnień, zapewnić terminowe udzielanie informacji przez podległych pracowników i inne osoby uczestniczące w procesie przetwarzania danych, być do dyspozycji w czasie trwania kontroli – w celu zapewnienia sprawnego jej przebiegu.
KODEKS KARNY • Art. 233. § 1. Kto, składając zeznanie mające służyć za dowód w postępowaniu sądowym lub w innym postępowaniu prowadzonym na podstawie ustawy, zeznaje nieprawdę lub zataja prawdę, podlega karze pozbawienia wolności do lat 3.
OBOWIĄZUJĄCA DOKUMENTACJA W OCHRONIE DANYCH OSOBOWYCH
UMOWA POWIERZENIA
POWIERZENIE DANYCH ART. 31. UODO • 1. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. • 2. Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie. • 3. Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36 -39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39 a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych. • 4. W przypadkach, o których mowa w ust. 1 -3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.
PYTANIE DO GIODO • CZY PLACÓWKI OŚWIATOWE SĄ ZOBOWIĄZANE DO ZAWARCIA PISEMNEJ UMOWY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH Z PRZEDSIĘBIORCĄ, KTÓRY UDOSTĘPNIA IM SYSTEM INFORMATYCZNY DO PROWADZENIA E-DZIENNIKÓW? • Tak, gdyż ustawa o ochronie danych osobowych wymaga, aby umowa powierzenia przetwarzania danych zawarta była w formie pisemnej.
UMOWA POWIERZENIA WYMÓG FORMY PISEMNEJ Skutki niedochowania formy? Art. 74 k. c. • Art. 74. § 1. Zastrzeżenie formy pisemnej bez rygoru nieważności ma ten skutek, że w razie niezachowania zastrzeżonej formy nie jest w sporze dopuszczalny dowód ze świadków ani dowód z przesłuchania stron na fakt dokonania czynności. Przepisu tego nie stosuje się, gdy zachowanie formy pisemnej jest zastrzeżone jedynie dla wywołania określonych skutków czynności prawnej. • § 2. Jednakże mimo niezachowania formy pisemnej przewidzianej dla celów dowodowych, dowód ze świadków lub dowód z przesłuchania stron jest dopuszczalny, jeżeli obie strony wyrażą na to zgodę, jeżeli żąda tego konsument w sporze z przedsiębiorcą albo jeżeli fakt dokonania czynności prawnej będzie uprawdopodobniony za pomocą pisma. • § 3. Przepisów o formie pisemnej przewidzianej dla celów dowodowych nie stosuje się do czynności prawnych w stosunkach między przedsiębiorcami.
UMOWA POWIERZENIA Umowa powierzenia • Zakres i cel przetwarzania • Oświadczenia ADO • Zobowiązania procesora (art. 36 -39 a u. o. d. o. ) • Uprawnienia kontrolne ADO -> procesor • Zasady dostępu do danych pracowników procesora • Obowiązki informacyjne procesor -> ADO • Odpłatność- Kary umowne • Zgoda na pod powierzenia • Usuwanie danych • Zwrot nośników danych • Okres obowiązywania umowy
PODMIOTY POWIERZENIA • Inspektor BHP • Projekty współfinansowane z UE • Związki Zawodowe(Społ. Ins. Pracy) • Zewnętrzna Opieka Medyczna • Biura Turystyczne • Obsługa Prawna • Archiwa • Catering ( dane wrażliwe-diety) • Ubezpieczenia • Usługi Informatyczne • Program powszechnej nauki pływania • Niszczenie dokumentów • Inne programy
OBOWIĄZUJĄCA DOKUMENTACJA W OCHRONIE DANYCH OSOBOWYCH Zabezpieczenie danych osobowych Środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych Dokumentacja przetwarzania danych
ADMINISTRATOR DANYCH ZABEZPIECZA JE PRZED: • udostępnieniem osobom nieupoważnionym • zabraniem przez osobę nieuprawnioną • przetwarzaniem z naruszeniem ustawy • zmianą • utratą • uszkodzeniem • lub zniszczeniem
ZABEZPIECZENIE DANYCH OSOBOWYCH Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez ADO jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. ADO prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać: Imię i nazwisko osoby upoważnionej, datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, identyfikator, jeżeli dane są przetwarzane w systemie informatycznym. Obowiązek zachowania w tajemnicy danych i ich zabezpieczeń
POLITYKA BEZPIECZEŃSTWA ZAWIERA W SZCZEGÓLNOŚCI: • Wykaz budynków , pomieszczeń lub części pomieszczeń , tworzących obszar , w którym przetwarzane są dane osobowe; • Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; • Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi; • Sposób przepływu danych pomiędzy poszczególnymi systemami; • Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności , integralności i rozliczalności przetwarzanych danych
INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM ZAWIERA M. IN. . • procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności • stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem • procedury rozpoczęcia , zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu • procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania • procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych • sposób , miejsce i okres przechowywania elektronicznych nośników informacji
Instrukcja zarządzania Systemem informatycznym służącym do przetwarzania danych osobowych Niniejsza instrukcja określa szczegółowe zasady zarządzania Systemem informatycznym służącym do przetwarzania danych osobowych. Procedura nadawania i odbierania uprawnień do przetwarzania danych osobowych konto użytkownika na serwerze zakłada Administrator Systemu Informacji, na podstawie upoważnienia do przetwarzania danych osobowych, nadając unikalną nazwę użytkownika i hasło, przydzielone hasło przekazywane jest w formie ustnej, ustanie stosunku pracy lub przejście użytkownika do innej jednostki organizacyjnej skutkuje usunięciem jego konta a nazwa użytkownika nie może być przydzielona innej osobie, Administrator Danych Osobowych oraz Administrator Bezpieczeństwa Informacji jest użytkownikiem uprzywilejowanym, posiadającym najwyższe uprawnienia w Systemie Informatycznym, konto użytkownika uprzywilejowanego, o którym mowa w pkt. 4 jest używane tylko w uzasadnionych przypadkach, hasło ADO, ABI, ASI jest przechowywane w metalowej szafie, ognioodpornej w siedzibie Administratora Danych Osobowych Administrator Systemu Informacji nadaje uprawnienia użytkownikom do poszczególnych funkcji programu zgodnie z zakresem upoważnień,
• Metody i środki uwierzytelniania: • uwierzytelnienie użytkownika w Systemie Informatycznym następuje po podaniu nazwy użytkownika i hasła, • hasła użytkowników są szyfrowane, • użytkownik nie może udostępniać swojej nazwy użytkownika i hasła innej osobie, • nazwa użytkownika składa się z 4 do 8 znaków (liter łacińskich lub/i cyfr), • hasło składa się z 6 do 8 dowolnych znaków (w tym minimum jedna litera i dwie cyfry), • hasło nie może być takie samo jak nazwa użytkownika, • hasło nie może być zapisane w miejscu dostępnym dla osób nieuprawnionych, • użytkownik ma obowiązek zmieniać hasło nie rzadziej niż co 30 dni.
Dziękuje za uwagę TOMASZ PAPROCKI TEL: 735 008 215/16 abi. sekretariat@gmail. com
- Slides: 61