ochrona danych osobowych (odo2013)
Post on 16-Nov-2014
409 Views
Preview:
DESCRIPTION
TRANSCRIPT
Istota i praktyka ochrony danych osobowych
Krzysztof.Slugocki@gmail.comhttps://sites.google.com/site/krzysztofslugocki/ 501 091 995
Cele (1)
• Budowanie świadomości konieczności przestrzegania prawa ochrony danych osobowych i dóbr osobistych – głównie poprzez analizę przykładów złych
i dobrych praktyk;
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 2
Cele (2)
• Przykłady i analiza dobrych i złych praktyk w odniesieniu do koniecznych form i zakresów dokumentacji przetwarzania danych osobowych – rozdysponowanie przykładów dobrych praktyk do
dalszego dopracowania, adekwatnego dla danego podmiotu;
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 3
Cele (3)
• Wyposażenie uczestników szkolenia w wiedzę, umiejętności i narzędzia niezbędne do samodzielnego przeprowadzenia analogicznych szkoleń – dla pracowników swego podmiotu.
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 4
Istota i praktyka
• ochrona danych osobowych, czyli…– jak chronić dane osobowe? – jak legalnie przetwarzać dane osobowe?– jak dbać o bezpieczeństwo danych osobowych?
• świadomość postępowanie– obowiązki i prawa– procedury– dokumenty
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 5
Konieczność stosowania prawa ochrony danych osobowych
• Dane osobowe!• Dane osobowe się przetwarza!• Dane osobowe muszą być chronione!
• Ochrona danych osobowych jest na poziomie wymagającym znaczącej poprawy!
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 6
Czy dane osobowe trzeba chronić?
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 7
TakNie
…ale o co
chodzi?
Tak - dane osobowe trzeba chronić!
•Dane osobowe – czyli co?•Chronić – czyli co czynić?
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 8
Dane osobowe
• Co to są dane osobowe?• Jak odróżnić informacje będące danymi
osobowymi od innych informacji?
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 9
Co to są dane osobowe?
• Art. 6. 1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 10
Co to znaczy „chronić”?
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 11
Co to znaczy „chronić”? (przetwarzanie)
• Art. 1. 1. Każdy ma prawo do ochrony dotyczących go danych osobowych.
• 2. Przetwarzanie danych osobowych może mieć miejsce – ze względu na dobro publiczne, dobro osoby,
której dane dotyczą, lub dobro osób trzecich w zakresie i trybie określonym ustawą.
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 12
Co to znaczy „chronić”? (zasady, prawa, zbiory)
• Art. 2. 1. Ustawa określa • zasady postępowania przy przetwarzaniu
danych osobowych • oraz prawa osób fizycznych, – których dane osobowe są lub mogą być
przetwarzane w zbiorach danych.
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 13
Co to znaczy „chronić”? (zbiory „tradycyjne” i „informatyczne”)
• Art. 2. 2. Ustawę stosuje się do przetwarzania danych osobowych:
• 1) w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych,
• 2) w systemach informatycznych, – także w przypadku przetwarzania danych poza
zbiorem danych.
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 14
Co to znaczy „chronić”? Istota i praktyka
• …chronić, gdy są przetwarzane (w zbiorze)…
• …czyli chronić, to legalnie przetwarzać…• legalnie (?), to znaczy zgodnie z prawem ochrony danych osobowych…– zgodnie z prawem (?), to znaczy zgodnie z zasadami zebranymi w ustawie o ochronie danych osobowych;– poznanie tych zasad prowadzi do praktyki ochrony danych osobowych;– praktyka ma wymiar techniczny i organizacyjny.
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 15
Warunki legalności przetwarzania danych osobowych
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 16Przykłady przetwarzania danych osobowych
„Lista na korytarzu”,„dziennik lekcyjny”…
„Zdjęcia w … Internecie”… „SIO+”
Warunki legalności przetwarzania danych osobowych
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 17Przykłady przetwarzania danych osobowych
„Lista na korytarzu”,„dziennik lekcyjny”…
„Zdjęcia w … Internecie”… „SIO+”
Warunki legalności przetwarzania danych osobowych
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 18Przykłady przetwarzania danych osobowych
„Lista na korytarzu”,„dziennik lekcyjny”…
„Zdjęcia w … Internecie”… „SIO+”
„Ogólne” / „wspólne” (uodo)
Warunki legalności przetwarzania danych osobowych
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 19Przykłady przetwarzania danych osobowych
„Lista na korytarzu”,„dziennik lekcyjny”…
„Zdjęcia w … Internecie”… „SIO+”
„Ogólne” / „wspólne” (uodo)
„Wspólne” / „szczegółowe” (uodo)
Warunki legalności przetwarzania danych osobowych
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 20Przykłady przetwarzania danych osobowych
„Lista na korytarzu”,„dziennik lekcyjny”…
„Zdjęcia w … Internecie”… „SIO+”
„Ogólne” / „wspólne” (uodo)
„Wspólne” / „szczegółowe” (uodo)
„Szczegółowe” (uodo i inne przepisy prawa)
Ustawa to zasady…elementarna zasada przetwarzania
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 21
Ustawa to zasady…elementarna zasada przetwarzania
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 22
przesłanki dopuszczalności (legalności) przetwarzania
danych osobowych
Ustawa to zasady…elementarna zasada przetwarzania
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 23
Ustawa to zasady…elementarna zasada przetwarzania
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 24
zgodauprawnienieprzepis prawa
Ustawa to zasady…elementarna zasada przetwarzania
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 25
zgodauprawnienieprzepis prawa
przesłanki dopuszczalności (legalności) przetwarzania
danych osobowych
Art. 23 ust. 1 pkt 1• ROZDZIAŁ 3. Zasady przetwarzania danych osobowych
– Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
• 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,
• 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
• 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
• 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,• 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez
administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 26
Zgoda na przetwarzanie danych osobowych
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 27
Definicja zgody
• Art. 7. Ilekroć w ustawie jest mowa o:
– 5) zgodzie osoby, której dane dotyczą — • rozumie się przez to oświadczenie woli, – którego treścią jest zgoda na przetwarzanie
danych osobowych tego, kto składa oświadczenie; • zgoda nie może być domniemana lub
dorozumiana z oświadczenia woli o innej treści;
• zgoda może być odwołana w każdym czasie,Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 28
Zgoda na przetwarzanie danych osobowych oświadczenie woli
• Wyrażenie zgody• Podpis• Wskazanie zakresu podmiotowego – (kto? komu?)
• Wskazanie zakresu przedmiotowego– (na co wyraża się zgodę? – cel wyrażenia zgody)– (wskazanie zakresu danych osobowych)– (gdzie i kiedy zgoda jest wyrażana?)
• (wskazanie zakresu czasowego i miejscowego obowiązywania zgody)– (wskazanie ewentualnej formy, trybu itp. obowiązywania zgody)
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 29
orzeczenie NSA (sygn. akt II SA 2135/2002)
• Zgoda na przetwarzanie danych osobowych musi mieć charakter wyraźny, a jej wszystkie aspekty muszą być jasne dla podpisującego w momencie jej wyrażania.
• Czynności takiej nie konwaliduje późniejsze poinformowanie o treści regulaminu, ani możliwość zgłoszenia zastrzeżeń wobec pewnych form przetwarzania danych.
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 30
…z orzecznictwa wynika, że…
• zgoda: – nie może mieć charakteru abstrakcyjnego; – nie może dotyczyć przetwarzania danych w ogóle;– musi się odnosić do skonkretyzowanego stanu
faktycznego;– musi obejmować jedynie pewnie i jednoznacznie
określone dane; – musi mieć sprecyzowany sposób i cel ich
przetwarzania. Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 31
Art. 23 ust. 1 pkt 2• ROZDZIAŁ 3. Zasady przetwarzania danych osobowych
– Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
• 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,
• 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
• 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
• 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,• 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez
administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 32
Uprawnienie lub spełnianie obowiązku wynikającego z przepisu prawa
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 33
Moc obowiązywania normy niższego stopnia wypływa z autorytetu normy wyższego stopnia. Norma niższego stopnia obowiązuje jeśli została ustanowiona na podstawie prawnego upoważnienia normy wyższego stopnia, w sposób przewidziany przez prawo.
Art. 23 ust. 1 pkt 5• ROZDZIAŁ 3. Zasady przetwarzania danych osobowych
– Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
• 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,
• 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
• […]
• 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 34
Art. 23 ust. 1 pkt 5• ROZDZIAŁ 3. Zasady przetwarzania danych osobowych
– Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
• 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,
• 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
• […]
• 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 35
…ale jaki na to dowód?
…jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów
• Art. 2. 3. W odniesieniu do zbiorów danych osobowych
• sporządzanych doraźnie, • wyłącznie ze względów technicznych,
szkoleniowych • lub w związku z dydaktyką w szkołach wyższych, • a po ich wykorzystaniu niezwłocznie usuwanych
albo poddanych anonimizacji, • mają zastosowanie jedynie przepisy rozdziału 5.Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 36
…jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów
• Art. 2. 3. W odniesieniu do zbiorów danych osobowych
• sporządzanych doraźnie, • wyłącznie ze względów technicznych,
szkoleniowych • lub w związku z dydaktyką w szkołach wyższych, • a po ich wykorzystaniu niezwłocznie usuwanych
albo poddanych anonimizacji, • mają zastosowanie jedynie przepisy rozdziału 5.Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 37
…ale jaki na to dowód?
Środki techniczne i organizacyjne - dokumentacja
• Art. 36. 1. Administrator danych jest obowiązany • zastosować środki techniczne i organizacyjne – zapewniające ochronę przetwarzanych danych osobowych
odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, • a w szczególności powinien zabezpieczyć dane przed ich
udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
• 2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1.
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 38
Środki techniczne i organizacyjne - dokumentacja
• Art. 36. 1. Administrator danych jest obowiązany • zastosować środki techniczne i organizacyjne – zapewniające ochronę przetwarzanych danych osobowych
odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, • a w szczególności powinien zabezpieczyć dane przed ich
udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
• 2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1.
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 39
Dowodem na to jest
Upoważnienia i ewidencja upoważnień
• Art. 37. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.
• Art. 39. 1. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, […]
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 40
Ewidencja upoważnień
• Art. 39. 1. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:– 1) imię i nazwisko osoby upoważnionej,– 2) datę nadania i ustania – oraz zakres upoważnienia do przetwarzania danych
osobowych,– 3) identyfikator,
• jeżeli dane są przetwarzane w systemie informatycznym.
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 41
Dokumentacja wymagająca zdefiniowania
• Art. 39. 2. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.
• Art. 38. Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 42
Dokumentacja, rozporządzenie• Art. 39a. Minister właściwy do spraw administracji publicznej
w porozumieniu z ministrem właściwym do spraw informatyzacji określi,
w drodze rozporządzenia, sposób prowadzenia i zakres dokumentacji, o której mowa w art. 36 ust. 2, oraz
podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, uwzględniając zapewnienie ochrony przetwarzanych danych osobowych odpowiedniej do zagrożeń oraz kategorii danych objętych ochroną, a także wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzanych danych.
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 43
Praktyka… wybrane zagadnienia
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 444444
Warunki legalności przetwarzania danych osobowych
Przykłady przetwarzania danych osobowychElementarna zasada legalności
„Lista na korytarzu” „Zdjęcia w Internecie” „nSIO”
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 45
Praktyka… wybrane zagadnienia
45
Praktyka… wybrane zagadnienia
45
Warunki legalności przetwarzania danych osobowych
Przykłady przetwarzania danych osobowychElementarna zasada legalności
„Lista na korytarzu” „Zdjęcia w Internecie” „nSIO”
„Ogólne” / „wspólne” (u.o.d.o.)
„Wspólne” / „szczegółowe” (u.o.d.o.)
„Szczegółowe” (o.o.d.o. i inne)
Praktyka… wybrane zagadnienia
• zDefiniować politykę bezpieczeństwa informacji;• zDefiniować instrukcje zarządzania systemami
informatycznymi, w których są przetwarzane dane osobowe;• Posiadać pisemne imienne upoważnienia pracowników do
przetwarzania danych osobowych;• Prowadzić ewidencję osób upoważnionych;• Dokumentować zabezpieczanie przed dostępem osób
nieupoważnionych te miejsca, w których wykonywane są jakiekolwiek operacje na danych osobowych;
• Rejestrować zbiory danych osobowych u Generalnego Inspektora Ochrony Danych Osobowych;
• Dysponować indywidualnymi zgodami (oświadczeniami woli) na przetwarzanie danych osobowych w różnych kontekstach ich przetwarzania lub dysponować uprawnieniem do przetwarzania, wynikającym z przepisu prawa;
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 46
Praktyka… wybrane zagadnienia
46
Warunki legalności przetwarzania danych osobowych
Przykłady przetwarzania danych osobowychElementarna zasada legalności
„Lista na korytarzu” „Zdjęcia w Internecie” „nSIO”
„Ogólne” / „wspólne” (u.o.d.o.)
„Wspólne” / „szczegółowe” (u.o.d.o.)
„Szczegółowe” (o.o.d.o. i inne)
Praktyka… wybrane zagadnienia
• zDefiniować politykę bezpieczeństwa informacji;• zDefiniować instrukcje zarządzania systemami
informatycznymi, w których są przetwarzane dane osobowe;• Posiadać pisemne imienne upoważnienia pracowników do
przetwarzania danych osobowych;• Prowadzić ewidencję osób upoważnionych;• Dokumentować zabezpieczanie przed dostępem osób
nieupoważnionych te miejsca, w których wykonywane są jakiekolwiek operacje na danych osobowych;
• Rejestrować zbiory danych osobowych u Generalnego Inspektora Ochrony Danych Osobowych;
• Dysponować indywidualnymi zgodami (oświadczeniami woli) na przetwarzanie danych osobowych w różnych kontekstach ich przetwarzania lub dysponować uprawnieniem do przetwarzania, wynikającym z przepisu prawa;
47
Praktyka… wybrane zagadnienia Warunki legalności przetwarzania
danych osobowych
Warunki legalności przetwarzania danych osobowych
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 48Przykłady przetwarzania danych osobowych
Elementarna zasada legalności
„Lista na korytarzu” „Zdjęcia w Internecie” „nSIO”
„Ogólne” / „wspólne” (u.o.d.o.)
„Wspólne” / „szczegółowe” (u.o.d.o.)
„Szczegółowe” (o.o.d.o. i inne)
Warunki legalności przetwarzania danych osobowych
• zDefiniować politykę bezpieczeństwa informacji;• zDefiniować instrukcje zarządzania systemami informatycznymi
służącymi do przetwarzania danych osobowych;• Posiadać pisemne imienne upoważnienia pracowników do
przetwarzania danych osobowych w związku z pełnionymi przez nich obowiązkami;
• Prowadzić ewidencję osób upoważnionych;• Dokumentować zabezpieczanie przed dostępem osób
nieupoważnionych te pomieszczenia (miejsca), w których wykonywane są jakiekolwiek operacje na danych osobowych;
• Rejestrować zbiory danych osobowych u Generalnego Inspektora Ochrony Danych Osobowych;
• Dysponować indywidualnymi zgodami (oświadczeniami woli) na przetwarzanie danych osobowych w różnych kontekstach ich przetwarzania lub dysponować uprawnieniem do przetwarzania, wynikającym z przepisu prawa;
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 49
Zdefiniować politykę bezpieczeństwa; zdefiniować instrukcje…
• Rozporządzenie w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych
• Dz. U. z 2004 r. Nr 100, poz. 1024
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 50
§ 1. Rozporządzenie określa:
• 1) sposób prowadzenia i zakres dokumentacji – opisującej sposób przetwarzania danych osobowych
• oraz środki techniczne i organizacyjne – zapewniające ochronę przetwarzanych danych osobowych
odpowiednią do zagrożeń oraz kategorii danych objętych ochroną;• 2) podstawowe warunki techniczne i organizacyjne,
– jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych;
• 3) wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzania danych osobowych.
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 51
sposób prowadzenia i zakres dokumentacji
• § 3. 1. Na dokumentację, o której mowa w § 1 pkt 1, składa się
• polityka bezpieczeństwa • i instrukcja zarządzania systemem informatycznym
służącym do przetwarzania danych osobowych, zwana dalej „instrukcją”.
• 2. Dokumentację, o której mowa w § 1 pkt 1, prowadzi się w formie pisemnej.
• 3. Dokumentację, o której mowa w § 1 pkt 1, wdraża administrator danych.
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 52
Dz. U. z 2004 r. Nr 100, poz. 1024§ 4. Polityka bezpieczeństwa
• Polityka bezpieczeństwa, o której mowa w § 3 ust. 1, zawiera w szczególności:– wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar,
w którym przetwarzane są dane osobowe;– wykaz zbiorów danych osobowych wraz ze wskazaniem programów
zastosowanych do przetwarzania tych danych;– opis struktury zbiorów danych wskazujący zawartość poszczególnych pól
informacyjnych i powiązania między nimi;– sposób przepływu danych pomiędzy poszczególnymi systemami;– określenie środków technicznych i organizacyjnych niezbędnych dla
zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
• …to jest minimum tego, co być musi jako polityka bezpieczeństwa…
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 53
Dz. U. z 2004 r. Nr 100, poz. 1024§ 5. Instrukcja
• Instrukcja, o której mowa w § 3 ust. 1, zawiera w szczególności:– procedury nadawania uprawnień do przetwarzania danych
i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
– stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
– procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
– procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 54
Dz. U. z 2004 r. Nr 100, poz. 1024§ 5. Instrukcja (c.d.)
• Instrukcja, o której mowa w § 3 ust. 1, zawiera w szczególności:– sposób, miejsce i okres przechowywania:
• elektronicznych nośników informacji zawierających dane osobowe,• kopii zapasowych, o których mowa w pkt 4,
– sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia;
– sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4;
– procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 55
Działania konieczne, poprzedzające, legalizujące przetwarzanie danych osobowych
• zDefiniować politykę bezpieczeństwa informacji;• zDefiniować instrukcje zarządzania systemami informatycznymi
służącymi do przetwarzania danych osobowych;• Posiadać pisemne imienne upoważnienia pracowników do
przetwarzania danych osobowych w związku z pełnionymi przez nich obowiązkami;
• Prowadzić ewidencję osób upoważnionych;• Dokumentować zabezpieczanie przed dostępem osób
nieupoważnionych te pomieszczenia (miejsca), w których wykonywane są jakiekolwiek operacje na danych osobowych;
• Rejestrować zbiory danych osobowych u Generalnego Inspektora Ochrony Danych Osobowych;
• Dysponować indywidualnymi zgodami (oświadczeniami woli) na przetwarzanie danych osobowych w różnych kontekstach ich przetwarzania lub dysponować uprawnieniem do przetwarzania, wynikającym z przepisu prawa;
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 56
Ochrona wizerunku
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 57
…dane osobowe a dobra osobiste
58
Dane – informacje
Dane – informacje z zakresu oświaty
Dane (informacje) o osobach
Dane osoboweDobra osobiste
Dobra osobiste (K.c., art. 23)
• Dobra osobiste człowieka, • jak w szczególności • zdrowie, wolność, cześć, swoboda sumienia,
nazwisko lub pseudonim, wizerunek, tajemnica korespondencji, nietykalność mieszkania, twórczość naukowa, artystyczna, wynalazcza i racjonalizatorska,
• pozostają pod ochroną prawa cywilnego niezależnie od ochrony przewidzianej w innych przepisach.
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 59
Art. 81.Prawo autorskie…
• 1. Rozpowszechnianie wizerunku wymaga zezwolenia osoby na nim przedstawionej. W braku wyraźnego zastrzeżenia zezwolenie nie jest wymagane, jeżeli osoba ta otrzymała umówioną zapłatę za pozowanie.
• 2. Zezwolenia nie wymaga rozpowszechnianie wizerunku: • 1) osoby powszechnie znanej, jeżeli wizerunek wykonano
w związku z pełnieniem przez nią funkcji publicznych, w szczególności politycznych, społecznych, zawodowych;
• 2) osoby stanowiącej jedynie szczegół całości takiej jak zgromadzenie, krajobraz, publiczna impreza.
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 60
Świadomość i kompetencja
61niekompetencja
kompetencja
nie
świa
dom
ość
świa
dom
ość
Świadomość i kompetencja
62niekompetencja
kompetencja
nie
świa
dom
ość
świa
dom
ość
Nieświadoma Niekompetencja
Świadomość i kompetencja
63niekompetencja
kompetencja
nie
świa
dom
ość
świa
dom
ość
Nieświadoma Niekompetencja
Świadoma Niekompetencja
Nieświadoma Kompetencja Świadoma Kompetencja
Świadomość i kompetencja
64niekompetencja
kompetencja
nie
świa
dom
ość
świa
dom
ość
Nieświadoma Niekompetencja
Świadoma Niekompetencja
Nieświadoma Kompetencja Świadoma Kompetencja
wiedza
Świadomość i kompetencja
65niekompetencja
kompetencja
nie
świa
dom
ość
świa
dom
ość
Nieświadoma Niekompetencja
Świadoma Niekompetencja
Nieświadoma Kompetencja Świadoma Kompetencja
wiedza
Emocje, relacje, uczucia
Normy, zasady, rutyna
Rozumienie, doświadczenie
Krzysztof.Slugocki@gmail.comhttps://sites.google.com/site/krzysztofslugocki/501 091 995
Ochrona danych osobowych; Krzysztof.Slugocki@gmail.com 66
top related