Ochrona Danych Osobowych w ZHP hm Jacek Kaflowski
Ochrona Danych Osobowych w ZHP hm Jacek Kaflowski Na podstawie materiałów udostępnionych przez GIODO
PRZEPISY PRAWA
I. Przepisy prawa Uchwalenie w 1997 r. Ustawy o Ochronie Danych Osobowych było przejawem postępującej demokratyzacji życia publicznego w Polsce i troski o ochronę prywatności każdego obywatela. Ustawa o ochronie danych osobowych skonkretyzowała konstytucyjnie zagwarantowane każdemu prawo do decydowania o tym, komu, w jakim zakresie i w jakim celu przekazywane są jego dane osobowe. Wyposażyła osoby, których dane są wykorzystywane, w środki służące realizacji tego prawa, jak również powołała organ – Generalnego Inspektora Ochrony Danych Osobowych – który stoi na straży przysługującego każdemu prawa do ochrony danych osobowych. Ochrona Danych Osobowych w ZHP
I. Przepisy prawa Rozporządzenie z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. nr 100, poz. 1024) – wydane na podstawie art. 39 a ustawy – określa: sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych – odpowiednią do zagrożeń oraz kategorii danych objętych ochroną; podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych; wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzania danych osobowych. Ochrona Danych Osobowych w ZHP
POJĘCIA UŻYTE W USTAWIE O OCHRONIE DANYCH OSOBOWYCH
II. POJĘCIA UŻYTE W USTAWIE OOCHRONIE DANYCH OSOBOWYCH 1. Administrator Danych Administratorem jest organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych. Między innymi może to być organ państwowy, organ samorządu terytorialnego lub państwowa albo komunalna jednostka organizacyjna. ADO jest „właścicielem” zbiorów DO w ramach zarządzanej jednostki, (organizacji, firmy, przedsiębiorstwa). Ochrona Danych Osobowych w ZHP
II. POJĘCIA UŻYTE W USTAWIE O OCHRONIE DANYCH OSOBOWYCH 2. Zbiór danych Zbiorem danych jest taki zestaw danych o charakterze osobowym, w którym dane dostępne są według określonych kryteriów, „niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”. Wszelkie materiały gromadzone w formie akt zawierające dane osobowe, są zbiorami danych osobowych. Ustawa chroni dane osobowe, jeśli są one uporządkowane w zestawach, aktach, księgach, skorowidzach, rejestrach i innych zbiorach ewidencyjnych. Ustawę stosuje się również do danych osobowych przetwarzanych w systemach informatycznych, nawet jeśli są to pojedyncze dane (art. 2 ustawy). Ochrona Danych Osobowych w ZHP
II. POJĘCIA UŻYTE W USTAWIE O OCHRONIE DANYCH OSOBOWYCH 3. Dane osobowe Danymi osobowymi są wszelkie informacje dotyczące konkretnej osoby, za pomocą których bez większego wysiłku można tę osobę zidentyfikować, chociaż nie jest ona wyraźnie wskazana. Możliwą do zidentyfikowania jest taka osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności poprzez powołanie się na numer identyfikacyjny (np. : PESEL) albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Ochrona Danych Osobowych w ZHP
II. POJĘCIA UŻYTE W USTAWIE O OCHRONIE DANYCH OSOBOWYCH 3. Dane osobowe Do danych osobowych zalicza się więc nie tylko imię, nazwisko i adres osoby, ale również przypisane jej numery, dane o cechach fizjologicznych, umysłowych, ekonomicznych, kulturowych i społecznych. Danymi osobowymi nie będą zatem pojedyncze informacje o dużym stopniu ogólności, np. sama nazwa ulicy i numer domu, w którym mieszka wiele osób, czy wysokość wynagrodzenia. Informacja ta będzie jednak stanowić dane osobowe wówczas, gdy zostanie zestawiona z innymi, dodatkowymi informacjami, np. imieniem i nazwiskiem czy numerem PESEL, które w konsekwencji można odnieść do konkretnej osoby. Czy stopień instruktorski jest daną osobową? Ochrona Danych Osobowych w ZHP
II. POJĘCIA UŻYTE W USTAWIE O OCHRONIE DANYCH OSOBOWYCH 3. Dane osobowe Przykładem pojedynczej informacji stanowiącej dane osobowe jest numer PESEL. Numer ten, zgodnie z art. 31 a ust. 1 ustawy z dnia 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych (tekst jedn. Dz. U. z 2006 r. nr 139, poz. 993, z późn. zm. ), jest 11 cyfrowym, stałym symbolem numerycznym, jednoznacznie identyfikującym osobę fizyczną, w którym sześć pierwszych cyfr oznacza datę urodzenia (rok, miesiąc, dzień), kolejne cztery – liczbę porządkową i płeć osoby, a ostatnia jest cyfrą kontrolną, służącą do komputerowej kontroli poprawności nadanego numeru ewidencyjnego. Numer ten, występując nawet bez zestawienia z innymi informacjami o osobie, stanowi dane osobowe, a ich przetwarzanie podlega wszelkim rygorom przewidzianym w ustawie o ochronie danych osobowych. Ochrona Danych Osobowych w ZHP
II. POJĘCIA UŻYTE W USTAWIE O OCHRONIE DANYCH OSOBOWYCH 3. Dane osobowe Adres poczty elektronicznej – bez dodatkowych informacji, umożliwiających ustalenie tożsamości osoby – zasadniczo nie stanowi danych osobowych. Występujący samodzielnie adres poczty elektronicznej można w wyjątkowych przypadkach uznać za dane osobowe, ale tylko wtedy, gdy elementy jego treści pozwalają, bez nadmiernych kosztów, czasu lub działań – na ustalenie na ich podstawie tożsamości danej osoby. Dzieje się tak w sytuacji, gdy elementami treści adresu są np. imię i nazwisko jego właściciela. jacek@buziaczek. pl jacek. kaflowski@zhp. net. pl Ochrona Danych Osobowych w ZHP
II. POJĘCIA UŻYTE W USTAWIE O OCHRONIE DANYCH OSOBOWYCH 3. Dane osobowe Dane szczególnie chronione wyliczone są w art. 27 ust. 1 ustawy. Są to informacje o pochodzeniu rasowym lub etnicznym, poglądach politycznych, religijnych, filozoficznych, wyznaniu, przynależności do partii lub związku, stanie zdrowia, kodzie genetycznym, nałogach, życiu seksualnym, skazaniach, orzeczeniach o ukaraniu, mandatach i innych orzeczeniach wydanych w postępowaniu przed sądem lub urzędem. Na administratorów tych danych ustawa nakłada bardziej rygorystyczne obowiązki niż na administratorów danych „zwykłych”. Karta kwalifikacyjna na placówkę wypoczynku Rejestr Sądów Harcerskich Ochrona Danych Osobowych w ZHP
II. POJĘCIA UŻYTE W USTAWIE O OCHRONIE DANYCH OSOBOWYCH 3. Dane osobowe Dane „zwykłe” Nie jest to pojęcie zdefiniowane w ustawie, ale tak nazywane są dane osobowe poza wymienionymi w art. 27 ust. 1 ustawy. Zaliczamy do nich np. imię, nazwisko, adres zamieszkania, datę urodzenia, nr PESEL. Danymi osobowymi zmarłych. nie są informacje o osobach Firmy, urzędy i instytucje publiczne, odmawiając udzielenia informacji o osobach zmarłych, powołują się na ustawę o ochronie danych osobowych. Ustawa o ochronie danych osobowych nie może jednak stanowić podstawy takiej odmowy, ponieważ nie dotyczy ona osób zmarłych. Ochrona Danych Osobowych w ZHP
II. POJĘCIA UŻYTE W USTAWIE O OCHRONIE DANYCH OSOBOWYCH 4. Przetwarzanie danych Przetwarzaniem danych osobowych jest wykonywanie na nich jakichkolwiek operacji. Przetwarzaniem jest zatem już samo przechowywanie danych, nawet jeśli podmiot faktycznie z nich nie korzysta. W pojęciu przetwarzania mieści się także ich udostępnianie, zmienianie, modyfikowanie, przekazywanie, zbieranie, utrwalanie, opracowywanie. Ustawa definiuje szczególnie jedną z operacji przetwarzania – operację usuwania danych. Ochrona Danych Osobowych w ZHP
II. POJĘCIA UŻYTE W USTAWIE O OCHRONIE DANYCH OSOBOWYCH 5. Usuwanie danych polega na ich niszczeniu lub modyfikacji. Aby można było mówić o usunięciu danych osobowych, należy dokonać tej czynności w sposób niepozwalający na odtworzenie ich treści, czyli tak, aby po dokonaniu usunięcia danych niemożliwe było zidentyfikowanie osób, których dotyczą. Istnieje przy tym dowolność w wyborze środków służących usuwaniu danych. Można zatem, w celu usunięcia danych, skorzystać z niszczarki lub zanonimizować dokument, czyli usunąć z niego dane osobowe, np. zaczerniając je, tak aby nie było możliwe ich odtworzenie. Warto zwrócić uwagę na zjawisko błędów popełnianych w procesie niszczenia zbędnych dokumentów zawierających dane osobowe. Częstym procederem jest wyrzucanie dokumentów na śmietnik, bez uprzedniego sprawdzenia ich treści. Stanowi to naruszenie norm o zabezpieczeniu danych osobowych, ponieważ umożliwia zapoznanie się z treścią danych osobom nieuprawnionym. Ochrona Danych Osobowych w ZHP
II. POJĘCIA UŻYTE W USTAWIE O OCHRONIE DANYCH OSOBOWYCH 6. Zgoda Przez zgodę osoby, której dane dotyczą, rozumie się oświadczenie woli, którego treścią jest zgoda składającego oświadczenie na przetwarzanie jego danych osobowych. Z treści oświadczeń zgody na przetwarzanie danych osobowych powinno jasno wynikać w jakim celu, w jakim zakresie i przez kogo dane osobowe będą przetwarzane. Wyrażający zgodę musi mieć pełną świadomość tego, na co się godzi. Przetwarzający dane może wykorzystać dane osobowe tylko do celu w jakim je zebrał. Ochrona Danych Osobowych w ZHP
PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ
III. PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ Prawo do informacji i kontroli przetwarzanych danych przysługujące osobie, której dane dotyczą (art. 32 ustawy); obowiązek udzielenia informacji spoczywa na administratorze (art. 33 ustawy) Osoba, której dane dotyczą, może zwrócić się do administratora danych o uzupełnienie, uaktualnienie, sprostowanie danych, czasowe lub stałe wstrzymanie ich przetwarzania lub o ich usunięcie. Drużynowy zobowiązany jest udostępnić informacje o zebranych danych osobowych rodzicom dzieci ze swojej drużyny. Osobom trzecim takich informacji udziela tylko Administrator Danych Osobowych (w tym przypadku Komendant Chorągwi ZHP). Ochrona Danych Osobowych w ZHP
Podsumowanie
IV. ZASADY PRZETWARZANIA DANYCH OSOBOWYCH Główne zasady przetwarzania danych osobowych zasady legalności – przetwarzać dane zgodnie z prawem zasady celowości – zbierać dane dla oznaczonych, zgodnych z prawem celów i nie poddawać ich dalszemu przetwarzaniu niezgodnemu z tymi celami zasady merytorycznej poprawności – dbać o merytoryczną poprawność danych zasady adekwatności – dbać o adekwatność danych w stosunku do celów, w jakich są przetwarzane zasady ograniczenia czasowego – przechowywać dane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. Przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne w celach badań naukowych, dydaktycznych, historycznych lub statystycznych Ochrona Danych Osobowych w ZHP
UWAGA! Prezentacja zawiera tylko ogólne zasady postępowanie z danymi osobowymi. W przypadku wątpliwości dot. Ochrony Danych Osobowych i ich przetwarzania należy każdorazowo sięgnąć po Ustawę o Ochronie Danych Osobowych i postąpić zgodnie z literą prawa. Ochrona Danych Osobowych w ZHP
Koniec
- Slides: 22