cognity szkolenia - ochrona danych osobowych w działach hr i kadr

Ochrona Danych Osobowychw Działach HR i Kadr

Maciej Kawecki- ekspert Cognity w z zakresu ochrony danych osobowych i prawa e-commerce

http://www.cognity.pl/


Geneza i podstawy prawne ochrony danych osobowych

Kurs OchronaDanych Osobowych





http://www.cognity.pl/szkolenie-ochrona-danych-osobowych-w-dzialach-hr-i-kadr,s2,279.html


Geneza

• Cel ochrony danych osobowych:

- Instrument niezbędny dla poszanowania podstawowych,uznanych powszechnie praw i wolności, zwłaszcza prawa doprywatności (art. 47 i 51 Konstytucji RP);

- Instrument ochrony interesów użytkowników najnowszejtechnologii informatycznej i Internetu, w tym różnych instytucjipublicznych. Zapewnienie niezbędnego do ich działań zaufaniai bezpieczeństwa.

(Zob. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, WarszawaKraków 2004, s. 52. )

Kurs Ochrona Danych Osobowych





http://www.cognity.pl/szkolenie-ochrona-danych-osobowych-w-administracji-publicznej,s2,86.html


Źródła prawa

• Prawo unijne

- Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24października 1995r. w sprawie ochrony osób fizycznych w zakresieprzetwarzania danych osobowych i swobodnego przepływu tychdanych.

- Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca2002 r. w sprawie przetwarzania danych osobowych oraz ochronyprywatności w sektorze komunikacji elektronicznej.

- Rozporządzenie Nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18grudnia 2000r. o ochronie osób fizycznych w związkuz przetwarzaniem danych osobowych przez instytucje i organywspólnotowe i o swobodnym przepływie takich danych.






http://www.cognity.pl/ochrona-danych-osobowych-w-osrodkach-pomocy-spolecznej-w-specyfice-zespolow-interdyscyplinarnych,s2,87.html

Źródła prawa

• Projekt nowego rozporządzenia unijnego

Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych wzwiązku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych.

Z preambuły projektu

Przemiany wymagają stworzenia stabilnych i bardziej spójnych ram ochrony danychw Unii (…).

Cele i zasady dyrektywy 45/96/WE nie zmieniły się, co jednak nie zapobiegło rozdrobnieniu wdrażania przepisówdotyczących ochrony danych w Unii, ugruntowaniu niepewności prawnej oraz upowszechnieniu istniejącego wspołeczeństwie poglądu, zgodnie z którym z ochroną osób fizycznych wiążą się istotne zagrożenia, dotyczące wszczególności działalności w Internecie.

W celu zapewnienia spójnego poziomu ochrony osób fizycznych w całej Unii oraz zapobiegania różnicom, którehamowałyby swobodny przepływ danych w ramach rynku wewnętrznego, należy przyjąć rozporządzenie, którezagwarantuje przedsiębiorcom (…) pewność prawną i przejrzystośći które zapewni ten sam poziom prawnie egzekwowalnych uprawnień i obowiązków administratorów i podmiotówprzetwarzających osobom fizycznym we wszystkich państwach członkowskich.






http://www.cognity.pl/obowiazki-przetwarzajacych-dane-osobowe-czyli-kazdego-przedsiebiorstwa-spolki-urzedu,s2,88.html


Źródła prawa

Projekt nowego rozporządzenia unijnego

Zakres przedmiotowy rozporządzenia

Przetwarzanie danych dokonywane częściowo lub całkowicie w sposób zautomatyzowany.

Rozporządzenie nie będzie znajdowało zastosowania przede wszystkim do danych przetwarzanych w sektorze bezpieczeństwa

narodowego oraz polityki bezpieczeństwa.

Rozporządzenie nie znajdzie zastosowania do działań osób fizycznych prowadzonych w niezarobkowych celach osobistych i

domowych.








Źródła prawa

Projekt nowego rozporządzenia unijnego

Zakres terytorialny

Rozporządzenie zapewnia pełną harmonizację przepisów dotyczących ochrony danych osobowych we wszystkich państwach członkowskich,

jednocześnie wyłączając możliwość stosowania sprzecznych z prawem unijnym norm krajowych.

Rozwiązanie „one stop shop” mające na celu podkreślenie roli siedziby administratora przetwarzającego dane osobowe.

Objęcie zakresem rozporządzenia administratorów danych spoza UE, wówczas gdy operacje przetwarzania danych obejmują oferowanie dóbr

lub usług albo kontaktowanie się z osobami zamieszkującymi w UE.








Źródła prawaProjekt nowego rozporządzenia unijnego

Nowe szczególne instytucje

Prawo do bycia zapomnianym – poszerzenie obowiązków związanych z usunięciem danych na żądanie podmiotu danych, oraz poinformowania o

tym fakcie innych podmiotów, którym dane zostały przez niego udostępnione.

Szczególne regulacje dotyczące tzw. profilowania.

Rozporządzenie znosi generalny obowiązek rejestracji zbiorów danych osobowych u GIODO.

Wprowadzenie ram prawnych współpracy pomiędzy organami ochrony danych osobowych w państwach członkowskich UE

Zob. W. Wiewiórowski, Nowe ramy ochrony danych osobowych w UE,[w:] Dodatek doMoP 7/2012, s. 2-9.







Źródła prawaPrawo krajowe

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

Akty wykonawcze

Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008r. w sprawie wzoru zgłoszenia

zbioru do rejestracji GIODO.

Rozporządzenie Prezydenta Rzeczypospolitej Polskiej z dnia 10 października 2011 r. w sprawie nadania statutu Biura GIODO.

Rozporządzenie ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać

urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.







Podstawowe pojęcia

Podstawowe pojęcia








Podstawowe pojęcia- administrator

Administrator danych osobowych









Art. 3 oraz art. 7 ust. 4 ustawy z 29 sierpnia 1997r. o ochronie danych osobowych.

Administratorem danych osobowych jest każdy:

- organ, jednostka organizacyjna lub podmiot,- organ państwowy, organ samorządu terytorialnego, podmiot niepubliczny realizujący zadania publiczne, - państwowe i komunalne jednostki organizacyjne,

decydujący o celach i środkach przetwarzania danych osobowych (w dyrektywie „with determines the purposes and means of the processing of personal data”),

które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej.








Podstawowe pojęcia- administrator- sektor publiczny

Art. 7 Konstytucji RP „Organy władzy publicznej działają na podstawie i w granicach prawa”.

„W państwie demokratycznym, w którym rządzi prawo, organy władzy publicznej mogąpowstać tylko na podstawie prawa, a normy prawne muszą określać ich kompetencje, zadaniai tryb postępowania, wyznaczając tym samym granice ich aktywności. Organy te mogą działaćtylko w tych granicach” W. Skrzydło, Komentarz do Konstytucji RP, Lex 2013, nr 144753.

„Ustawowego upoważnienia dla rady nie można domniemywać, szczególnie stosować dlaustalenia zakresu upoważnienia wykładni celowościowej. Organy władzy publicznej, doktórych zalicza się organy samorządu terytorialnego, zgodnie z art. 7 Konstytucji RP działająna podstawie i w granicach prawa. Mogą działać w granicach wyznaczonych przez normyprawne określające ich kompetencje, zadania i tryb postępowania, zatem tylko tam i o tyle oile upoważnia prawo” Uchwała Regionalnej Izby Obrachunkowej w Kielcach z dnia 15 maja2013 r. 71/13.

„Każda norma kompetencyjna musi być tak realizowana, aby nie naruszała innych przepisówustawy. Zakres upoważnienia musi być zawsze ustalany przez pryzmat zasaddemokratycznego państwa prawnego, działania w graniach i na podstawie prawa oraz innychprzepisów regulujących dana dziedzinę” Rozstrzygnięcie nadzorcze Wojewody Lubelskiego zdnia 8 grudnia 2010 r. NK.II.0911/361/10








Podstawowe pojęcia- administrator- sektor publiczny

Organy administracji publicznej są zobowiązane do przetwarzania danych osobowych dla realizacji określonych ustawowo celów. Zazwyczaj także

środki, jakie służyć mają przetwarzaniu danych osobowych, wskazane są w przepisach ustawowych lub w wydanych na ich podstawie przepisach aktów wykonawczych. Stąd też możność decydowania przez podmioty

publiczne o celach i środkach przetwarzania danych osobowych jest stosunkowo niewielka

(R. Hausner, Przetwarzanie danych osobowych: cel i środki, Rzeczpospolita z 6 kwietnia 1999r. ).

Mimo, że cel przetwarzania danych osobowych przez organy administracji publicznej będzie wyznaczony przepisami prawa, a więc wolą legislatora, a

organ, decydując o celu przetwarzania danych, będzie jedynie konkretyzował jego zakres, to organ jest w takim przypadku

administratorem danych osobowych (nigdy Państwo).








Podstawowe pojęcia- administrator- sektor prywatny

Administratorem danych osobowych wykorzystywanych w zakresiedziałalności prowadzonej przez przedsiębiorcę jest, co do zasady,przedsiębiorca. Administratorem takich danych jest w szczególnościspółka z ograniczoną odpowiedzialnością, spółka akcyjna, spółka jawnaczy też spółka komandytowa. Tak więc administratorem danych jestsama spółka prawa handlowego, nie zaś jej organy, osoby zasiadającew organach tej spółki lub pełniące w niej funkcje kierownicze.

W przypadku osoby prowadzącej działalność gospodarczą pozostajeona administratorem danych niezależnie od tego, czy wyznaczypracownika odpowiedzialnego za przetwarzanie danych osobowych(tzw. administratora bezpieczeństwa informacji).

(źródło: http://www.giodo.gov.pl/317/id_art/1580/j/pl/)









Administrator danych osobowych pracowników

Administratorem danych osobowych pracowników nie jestbezpośredni przełożony (np. Prezes Zarządu, DyrektorDepartamentu) ale podmiot decydujący o celach i środkachprzetwarzania danych osobowych, a więc najczęściej:

Spółka;

Organ administracji publicznej.









Podstawy uprawniające przedsiębiorców do przetwarzania danych

Przedsiębiorcy jako podmioty sektora prywatnego mogą legitymować się każą przesłanką przetwarzania danych osobowych

określoną w art. 23 u.o.d.o.

Wyjątek: Dane osobowe pracowników przedsiębiorcy (umowa o pracę) –mogą być przetwarzane wyłącznie na podstawie przepisu prawnego art.22.1 Kodeksu pracy.








Podstawowe pojęcia- zakres ustawy

Zakres zastosowania ustawy o ochronie danych osobowych









Ustawę stosuje się do przetwarzania danych osobowych oraz prawosób fizycznych, których dane osobowe są lub mogą byćprzetwarzane w zbiorach danych, a w przypadku przetwarzaniadanych w systemach informatycznych, także w przypadkuprzetwarzania danych poza zbiorem.

Zbiorem danych jest każdy posiadający strukturę zestaw danycho charakterze osobowym, dostępnych według określonychkryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lubpodzielony funkcjonalnie.

Przetwarzanie danych osobowych w systemach informatycznychnie oznacza wyłącznie przetwarzania danych z wykorzystaniemsystemów połączonych do sieci Internet!









Zbiór danych osobowych

W doktrynie przyjmuje się, że zbiór danych osobowych musiskładać się co najmniej z dwóch informacji.

Zbiór musi posiadać strukturę, pozwalającą na odnalezienie wnim określonej informacji, bez konieczności przeszukiwaniacałego zbioru, na podstawie co najmniej jednego kryterium.Zbiór nie musi mieć jednak charakteru uporządkowanego.(przeciwnie w kontekście co najmniej „dwóch kryteriów”wypowiada się m.in. WSA w Warszawie z dnia 13 marca 2008 r. IISA/Wa 143/08).

Opowiedzieć należy się za stanowiskiem, odmawiającymdoniosłości prawnej charakterowi kryterium uporządkowania akt,tj. czy ma ono charakter osobowy czy nieosobowy (M. Sakowska,Pojęcie „zbiór danych” na gruncie ustawy o ochronie danych osobowych,Radca prawny 2005, nr 2, s. 62. )









Zbiory danych osobowych kadrowych

Dane zgromadzone w pisemnych aktach osobowychpracowników oraz w systemach informatycznych (np. SystemPłatnik) stanowią jeden zbiór danych osobowychpracowników.

Podstawowym kryterium wyodrębniania zbiorów danychosobowych jest cel przetwarzania danych osobowych.








Podstawowe pojęcia-zakres ustawy

Przykłady zbiorów danych

„Zbiór danych osobowych pracowników i współpracowników”

„Zbiór danych osobowych kandydatów do pracy”

„Zbiór akt postępowania administracyjnego zawierający danestron, ich adresy i inne informacje spełnia wszystkie kryteria i jestzbiorem danych osobowych” (P. Barta, P. Litwiński, Ustawa o ochroniedanych osobowych. Komentarz, Warszawa 2013, s. 87).

„Zestaw chronologicznie uporządkowanych taśm zawierającychnagranie pochodzące z monitoringu pomieszczeń kasyna stanowizbiór danych osobowych” (Sprawozdanie GIODO za rok 2003, s. 175.).









Ustawę o ochronie danych osobowych, będzie stosowało się doprzetwarzania danych osobowych przez organy administracjipublicznej w ograniczonym zakresie, gdy:

a) zbiory danych osobowych sporządzane są doraźnie;

b) wyłącznie ze względów technicznych lub szkoleniowych;

c) dane po ich wykorzystaniu są niezwłocznie usuwane albo poddane anonimizacji.

W takim przypadku organ zobowiązany jest przestrzegać wyłącznieprzepisów wskazanych w rozdziale V ustawy, regulującym zasadyzabezpieczenia danych.

Wskazane powyżej przesłanki muszą zostać spełnione łącznie!!








Przykłady „doraźnego” przetwarzania danych

Przetwarzanie danych na potrzeby wysyłania korespondencjiprzypominającej, które to dane podlegają usunięciu niezwłoczniepo ukończeniu czynności wysyłki.

Przetwarzanie danych na potrzeby organizacji konkursu, które todane podlegają usunięciu niezwłocznie po wyłonieniu zwycięzcówkonkursu. (Sprawozdanie GIODO z 1999r., s. 18.)

Przetwarzanie danych na potrzeby przeprowadzenia ankiet, podwarunkiem, że ankiety są anonimowe bądź anonimizowane, adane są przetwarzane wyłącznie dla celów technicznej organizacjiczynności wypełniania ankiet (np. rozlokowania respondentów wsalach).








Podstawowe pojęcia- dane osobowe

Dane osobowe









Za dane osobowe uważa się wszelkie informacje dotyczącezidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Osobą możliwą do zidentyfikowania jest osoba, której tożsamośćmożna określić bezpośrednio lub pośrednio, w szczególności przezpowołanie się na numer identyfikacyjny albo jeden lub kilkaspecyficznych czynników określających jej cechy fizyczne,fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Informacji nie uważa się za umożliwiającą określenie tożsamościosoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lubdziałań.









Danymi osobowymi są wszelkie informacje, któreco najmniej dają możliwość zidentyfikowaniaosoby, której dane osobowe dotyczą. Wzależności od okoliczności faktycznych, za daneosobowe będzie mógł być uznany nawet rozmiarstopy określonej osoby fizycznej.









Przykłady z orzecznictwa sądów oraz rozstrzygnięć GIODO

„Gdy zdjęcie jest umieszczone wraz z imieniem, nazwiskiem osoby na nimwystępującej, w miejscu dostępnym dla nieograniczonej liczby podmiotów,należy uznać, iż stanowi ono dane osobowe podlegające ochronie napodstawie Ustawy o ochronie danych osobowych” (wyrok NSA z 18 listopada2009r., I OSK 667/09).

„Tam gdzie adres IP jest na dłuższy okres czasu lub na stałe przypisany dokonkretnego urządzenia, a urządzenie to przypisane jest konkretnemuużytkownikowi, należy uznać, że stanowi on daną osobową, jest to bowieminformacja umożliwiająca identyfikację konkretnej osoby fizycznej. (wyrok NSA zdnia 19 maja 2011r., I OSK 1079/10).

„Przetworzone do postaci cyfrowej informacje o charakterystycznych punktachlinii papilarnych palców pracowników są ich danymi osobowymi” (wyrok WSA wWarszawie z dnia 27 listopada 2008r., II SA/WA 903/08).

„Adres danej osoby jako sfera prywatności człowieka należy do danychosobowych” (Wyrok SA w Poznaniu z dnia 13 listopada 2013r., I ACa 1140/01).

Kurs OchronaDanych Osobowych








Dane osobowe kadrowe

Wszelkie informacje będące danymi osobowymiprzetwarzane w związku w prowadzoną przez administratoradanych osobowych polityka zatrudnienia (pracownicy orazwspółpracownicy – umowa zlecenie, umowa o dzieło, osobysamozatrudnione).








Podstawowe pojęcia- przetwarzanie danych

Przetwarzanie danych osobowych








Podstawowe pojęcia- przetwarzanie danych

Przez przetwarzanie danych osobowych należy rozumieć jakiekolwiek operacje wykonywane na danych osobowych,

takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie,

a zwłaszcza te, które wykonuje się w systemach informatycznych.

Sam fakt posiadania dostępu do danych osobowychzgromadzonych w szeroko rozumianych aktachpracowniczych jest już ich przetwarzaniem, niezależnie odtego, czy dany podmiot faktycznie z możliwości takiegodostępu skorzysta (np. dostawca usług hostingowych).








Podstawowe pojęcia- powierzenie i udostępnienie

Outsourcing usług kadrowo

płacowych








Outsourcing

Powierzenie danych osobowych kadrowych.

Administrator danych może powierzyć innemu podmiotowi,w drodze umowy zawartej na piśmie, przetwarzanie danych,w celu i zakresie wyraźnie wskazanym w umowie tj.outsourcingu usług kadrowo-płacowych.

Administrator powierzający dane osobowe, nie musiuzyskiwać zgody pracowników/współpracowników napowierzenie danych innemu podmiotowi (tzw. procesor).








Outsourcing

Powierzenie danych osobowych kadrowych

Brak jest jakiegokolwiek wymogu odbierania zgód od osóbktórych dane będą powierzone, na powierzenie ich danychosobowych innemu podmiotowi.

Przetwarzanie danych przez podwykonawcę pozostajew granicach celu i zakresu przetwarzania danych określonych wumowie powierzenia, a więc również celui zakresu w jakim dane przetwarza administrator danych.

Podmiot któremu dane zostały powierzone może być adresatemdecyzji administracyjnych wydawanych w drodze kontrolisprawowanej przez GIODO (podobnie jak administrator),zobowiązany jest więc do odpowiedniego zabezpieczeniadanych. Ponosi też odpowiedzialność umowną względemadministratora danych.







OutsourcingObligatoryjne elementy umowy

Forma pisemna. Oznaczenie stron (administrator i procesor) i podpis osób

upoważnionych. Cel i zakres powierzonych danych.

Fakultatywne elementy umowy (ale wskazane)

Zobowiązanie procesora do zapewnienia odpowiedniego poziomu zabezpieczenia danych osobowych.

Wskazanie czy procesor jest upoważniony bądź nie do dalszego powierzania danych osobowych (tzw. subprocessing).

Wskazanie dokładnych czynności podejmowanych przez procesora na danych osobowych.

Klauzula poufności. Forma przekazania danych procesorowi. Inne treści umowne.








Udostępnianie danych pracownikówbankom






Badanie zdolności kredytowej pracowników.

Przewodniczący Komisji Nadzoru Bankowego „w przypadku, kiedy problem dotyczypotwierdzania danych osobowych przez banki u pracodawców ich kredytobiorców,odpowiedzialność spoczywa na pracodawcach jako administratorach danychosobowych, a nie na bankach” (pismo z dnia 1 października 2004 r. sygn. NB-BPN-I-077-15/05).

Pismo Prezesa Narodowego Banku Polskiego do Generalnego Inspektora NadzoruBankowego z dnia 6 kwietnia 2001 r. (NB/BPN/I/214/01) skierowane do osóbkierujących bankami „przepisy ustawy - Prawo bankowe i ustawy o ochronie danychosobowych nie przewidują telefonicznej formy pozyskiwania żądanych informacji.Banki nie mogą więc uzależniać przyznania kredytu od udzielenia informacji w tejformie”.

W związku z taką praktyką niezbędne jest – w ocenie Generalnego InspektoraOchrony Danych Osobowych – przyjęcie takiego rozwiązania (formy potwierdzaniadanych), które całkowicie wyeliminuje możliwość udostępnienia tych danychosobie innej.

Źródło:http://www.giodo.gov.pl/332/id_art/2876/j/pl/. iż pracownik określonejinstytucji, a więc osobie nieupoważnionej.








Podstawowe pojęcia- dane osobowe wrażliwe

Dane osobowe wrażliwe (tzw. dane sensytywne)









Dane osobowe zwykłe Dane osobowe wrażliwe

Wszystkie kategorie danych, nie będących

danymi wrażliwymi, które identyfikują bądź

umożliwiają identyfikację osoby fizycznej

(pośrednio lub bezpośrednio).

W świetle art. 27 u.o.d.o. dane ujawniające

pochodzenie rasowe lub etniczne, poglądy

polityczne, przekonania religijne lub filozoficzne,

przynależność wyznaniową, partyjną lub związkową,

jak również danych o stanie zdrowia, kodzie

genetycznym, nałogach lub życiu seksualnym

oraz danych dotyczących skazań, orzeczeń o

ukaraniu i mandatów karnych, a także innych

orzeczeń wydanych w postępowaniu sądowym lub

administracyjnym.









Przykładowe dane osobowe wrażliwe gromadzone przez pracodawców

Wizerunek – jako dane ujawniające pochodzenie rasowe.

Zaświadczenie o niekaralności z KRK – jako dane dotycząceskazań.

Oświadczenia o niekaralności sporządzone przezpracowników – jako dane dotyczące skazań.

Zwolnienia lekarskie – informacje o stanie zdrowia.








Podstawowe pojęcia- dane osobowe wrażliwePrawne różnice w przetwarzaniu danych osobowych

zwykłych i wrażliwych

Wymóg prawny Dane zwykłe Dane wrażliwe

Podstawa prawna przetwarzania danych Art.. 23 u.o.d.o. Art. 27 u.o.d.o tj. pisemna zgoda, przepis prawa, ochrona żywotnych interesów,

statutowe zadania kościołów i związków wyznaniowych, dochodzenie praw przed sądem,

zadania administratora wykonywane wobec pracowników na podstawie ustawy, ochrona

stanu zdrowia, dane zostały podane do wiadomości publicznej przez podmiot danych,

realizacja badań naukowych, realizacja praw wynikających z orzeczeń.

Rejestracja zbioru danych osobowych w

serwisie e-GIODO

Od 1 stycznia 2015 r. wyznaczenie ABI-

ego skutkuje zwolnieniem z obowiązku

rejestracji.

Niezależnie od wyznaczenia ABI-ego, istnieje prawny obowiązek rejestracji zbiorów

danych osobowych wrażliwych.

Dokonywanie zmian w zbiorze danych Poinformowanie GIODO po dokonanej

zmianie

W razie poszerzenia danych w zbiorze o dane wrażliwe, wymóg zgłoszenia GIODO tego

faktu przed dokonaniem zmiany w zbiorze.

Rejestracja zbioru danych osobowych Rozpocząć przetwarzanie danych po

zgłoszeniu.

Administrator może rozpocząć przetwarzanie danych w zbiorze dopiero po

zarejestrowaniu zbioru danych osobowych.









Prawne różnice w przetwarzaniu danych osobowych zwykłych i wrażliwych

Dostosowanie odpowiedniego

poziomu zabezpieczeń danych

osobowych

Brak szczególnych wymogów Podwyższony poziom bezpieczeństwa przetwarzania danych

osobowych w systemie informatycznym








Podstawowe pojęcia- GIODO

Generalny Inspektor Ochrony Danych Osobowych









Pozycja ustrojowa

GIODO jest centralnym organem administracji państwowej,usytuowanym poza administracją rządową i niezależnym od niej.

GIODO wykonuje swoje zadania przy pomocy biura. Należyzaznaczyć, że ani statut ani u.o.d.o. w sposób dokładny nie regulujązasad funkcjonowania biura GIODO. Sytuacje zmieniła dopieroustawa z dnia 18 grudnia 1998 r. o służbie cywilnej, która wskazałazakres szczegółowych uprawnień przysługujących GIODO wobecpracowników biura.

GIODO jest organem w toczącym się postępowaniuadministracyjnym, którego stroną jest administrator danych(procesor) oraz osoba zainteresowana.

GIODO jest organem kadencyjnym, niezawisłym, apartyjnym orazprzyznany mu został immunitet.






http://www.cognity.pl/cognity-praktyczne-skuteczne-szkolenia-i-konsultacje,f0,3.html

http://www.cognity.pl/cognity-praktyczne-skuteczne-szkolenia-i-konsultacje,f0,3.html


Zadania i kompetencje GIODO

GIODO jest uprawniony do:•kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych,•wydawania decyzji administracyjnych i rozpatrywania skarg w sprawach wykonania przepisów o ochronie danych osobowych,•zapewnienia wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym, wynikających z wydanych decyzji, przez stosowanie środków egzekucyjnych przewidzianych w ustawie z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji,•prowadzenia rejestru zbiorów danych oraz udzielania informacji o zarejestrowanych zbiorach,•opiniowania projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych,•inicjowania i podejmowania przedsięwzięć w zakresie doskonalenia ochrony danych osobowych,•uczestniczenia w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych.






http://www.cognity.pl/szkolenia-z-danych-osobowych,s,85.html

http://www.cognity.pl/szkolenia-z-danych-osobowych,s,85.html



W przypadku naruszenia przepisów o ochronie danychosobowych, GIODO z urzędu lub na wniosek osobyzainteresowanej, w drodze decyzji administracyjnej, nakazujeprzywrócenie stanu zgodnego z prawem, a w szczególności:

•usunięcie uchybień,•uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych,•zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,•wstrzymanie przekazywania danych osobowych do państwa trzeciego,•zabezpieczenie danych lub przekazanie ich innym podmiotom,•usunięcie danych osobowych.










W razie stwierdzenia, że działanie lub zaniechanie kierownikajednostki organizacyjnej, jej pracownika lub innej osobyfizycznej będącej administratorem danych wyczerpujeznamiona przestępstwa określonego w u.o.d.o., GIODOkieruje do organu powołanego do ścigania przestępstwzawiadomienie o popełnieniu przestępstwa, dołączającdowody dokumentujące podejrzenie.

Źródło: www.giodo.gov.pl








Zasady

Zasady przetwarzania danych osobowych








Zasady legalność

Zasada legalności przetwarzania danych osobowych








Zasady- legalność

Obowiązkiem wymienionym w art. 26 ust. 1 u.o.d.o. jest przetwarzanie danych zgodnie z prawem (zasada legalności). Przetwarzanie danych osobowych przez ich administratora powinno odbywać się z zachowaniem przynajmniej jednej z przesłanek legalności przetwarzania określonych w u.o.d.o. tj.

-art. 23 - dla danych osobowych zwykłych; -art. 27 - dla danych osobowych wrażliwych.








Zasady- legalność

Przesłanki legalności przetwarzania danych osobowych zwykłych (art. 23 u.o.d.o.)

I. Zgoda podmiotu danych osobowych;

Zgoda musi mieć charakter wyraźny i nie może zostaćdorozumiana oraz wyinterpretowana z oświadczenia woli o innejtreści. W szczególności, w przypadku stosowania formularzyelektronicznych, nie jest dopuszczalne zamieszczenie zgody wtreści samego regulaminu. Klauzula zgody zaopatrzonawłaściwym check-boxem powinna znajdować się bezpośredniopod formularzem, w którym dany podmiot udostępnia swojedane. Nie musi być wyrażona na piśmie!








Zasady- legalność

Należy zgodzić się z poglądem, wyrażonym w nauce prawa, zgodnie zktórym podstawą prawną udostępnienia danych osobowych na rzeczpodmiotów z sektora publicznego może być wyłącznie przepis prawa, cowyłącza możliwość pobierania zgody przez takie podmioty (tak też: P.Barta, P. Litwiński, Ustawa o ochronie danych osobowych. Komentarz,Warszawa 2013, s. 189, J. Barta, P. Fajgielski, R. Markiewicz, Ochronadanych osobowych. Komentarz, Warszawa 2004, s. 598, podobnie E.Kulesza w odniesieniu do żądania przez Kasy Chorych udostępnianiadanych osobowych bez stosownej podstawy prawnej - E. Kulesza, Zbytczęste nieprawidłowości, Rzeczp. 1.2.2000 r.).

Odebranie zgody będzie dopuszczalne, gdy przepis prawny uzależnialegalność przetwarzania danych od odebrania zgody na udostępnienieokreślonych danych np. udostępnienie organizacji pożytku publicznegodanych osoby, która wpłaciła na jej rzecz 1% podatku.








Zasady- legalność

Każdemu podmiotowi danych osobowych przysługuje uprawnienie docofnięcia oraz odwołania uprzednio udzielonej zgody na przetwarzaniedanych osobowych. W takiej sytuacji, dalsze przetwarzanie danychosobowych, z powołanie się na przesłankę zgody należałoby uznać zaniedopuszczalne.

Najczęściej odbieraną zgodą na tzw. rynku e-commerce jest zgoda naotrzymywanie od administratora danych, informacji handlowych drogąelektroniczną (nie ma konieczności odbierania zgody na e-marketingtradycyjny, gdyż objęty jest przesłanka prawnie usprawiedliwionego celu).

Przykładowa klauzula zgody: (która nie wyłącza posługiwania się omówioną w dalszej części klauzulą informacyjną).

Wyrażam zgodę na otrzymywanie informacji handlowych dotyczącychusług administratora danych osobowych, drogą elektroniczną. Zgodajest dobrowolna i w żaden sposób nie warunkuje korzystania z usługigłównej.








Zasady- legalność

Spornym jest, dopuszczalność odbierania zgody naprzetwarzanie danych osobowych przez pracodawcę,względem pracownika (współpracującego z pracodawcą naumowę o pracę). Wskutek stosunku podległości,oświadczenie takie nie jest bowiem wyrażone swobodnie.Dodatkowo art. 22.1 Kodeksu pracy, wyłącza możliwośćpobierania takiej zgody.








Zasady- legalność

II. Uprawnienie wynikające z przepisu prawa.

Możliwość powołania się na tę przesłankę uzależniona jest odłącznego spełnienia następujących warunków:

• Istnienie odpowiedniego przepisu prawa (ustawy aktu niższejrangi), który przyznaje podmiotowi uprawnienie lub nakłada naniego obowiązek pozyskania danych, oraz

• niezbędności przetwarzania danych do zrealizowania tegouprawnienia lub spełnienia obowiązku.

Niekiedy przepisy sformułowane są w sposób, który może budzićwątpliwości co do tego, czy przetwarzanie danych jest na ichpodstawie dopuszczalne. Jako przykład wskazać można art. 36§1 u.p.e.a. Na podstawie tego przepisu NSA uznał, że "Organegzekucyjny prowadzący egzekucję administracyjną może żądaćudostępnienia mu przez ZUS danych o miejscu zatrudnieniaubezpieczonych będących dłużnikami„ (por. wyrok NSA z dnia 21marca 2002 r., II SA 1854/01).








Zasady- legalność

III. Ochrona żywotnych interesów podmiotu danych.

W przypadku braku istnienia innej przesłanki uprawniającej doprzetwarzania danych, jeżeli przetwarzanie danych jest konieczneze względu na ochronę życia, zdrowia lub interesówmajątkowych o istotnym znaczeniu, każdy podmiot uprawnionyjest do przetwarzania danych.

Przetwarzanie danych na podstawie wskazanej przesłanki możemieć charakter jedynie czasowy, podmiot jest uprawniony doprzetwarzania danych tak długo, jak długo nie jest możliweodebranie właściwego oświadczenia od podmiotu danych w tymzakresie.

Przykładem takiego stanu rzeczy może być udostępnienie przezprzedsiębiorcę danych osobowych urzędnika, w zakresiekoniecznym do udzielenia mu pierwszej pomocy.








Zasady- legalność

IV. Jest to konieczne dla wykonywania umowy.

Dane osobowe mogą być przetwarzane, gdy jest to konieczne dla realizacjiumowy, gdy osoba której dane osobowe dotyczą jest jej stroną, bądź gdy jest tokonieczne do podjęcia czynności przed zawarciem umowy (czynnościrekrutacyjne).

W przypadku zwierania umów pracę, katalog możliwych do pozyskiwania przezpracodawcę danych wynika z art. 22.1 ustawy Kodeks pracy, w przypadkupozostałych kategorii umów, dane muszę być niezbędne do ich należytegowykonania.

W przypadku, gdy pracodawca chce przetwarzać dane osobowe wykraczającepoza dane niezbędne do wykonywania umowy, musi odebrać na to odrębnązgodę (w przypadku umów zlecenia, umów o dzieło oraz innych umówcywilnoprawnych) np. gromadzenie oświadczeń o niekaralności, gdy uprawnienietakie nie przysługuje na podstawie przepisów prawnych.

Odebranie zgody nie jest możliwe, wobec osób współpracujących zadministratorem na podstawie umowy o pracę. Administrator może w takimprzypadku pobierać wyłącznie dane wskazane w art. 22 ustawy Kodeks pracy, wzakresie koniecznym do wykonywania umowy.








Zasady- legalność

• NSA w wyroku z 1 grudnia 2009 r. wskazał, że brak równowagi w relacjipracodawca–pracownik stawia pod znakiem zapytania dobrowolnośćwyrażenia zgody na pobieranie i przetworzenie danych osobowychpracowników (Wyrok NSA z 1 grudnia 2009 r., I OSK 249/09, ONSAiWSA2011, nr 2, poz. 39).

• Uznanie wyrażenia zgody jako okoliczności legalizującej pobranie odpracownika innych danych niż wskazane w art. 221 k.p. w ocenie niektórychprzedstawicieli doktryny stanowiłoby obejście tego przepisu (Zob. K.Roszewska, Kontrola osobista pracowników, PiZS 2008, nr 7, s. 8 n.).

• Wyrażone przez NSA w powołanym wyroku stanowisko podziela GeneralnyInspektor Ochrony Danych Osobowych (dalej: GIODO), który wskazał naniemożność uznania zgody kandydata do pracy za przesłankę legalizującąprzetwarzanie przez pracodawcę danych osobowych innych niżwymienione w przepisie art. 221 k.p. (Sprawozdanie GIODO za rok 2005, s.251).








Zasady- legalność

Powołana przesłanka nie legalizuje występowania do podmiotu danychz ofertą zawarcia umowy, co wiąże się z przetwarzaniem danychosobowych. Inicjatywa zawarcia umowy musi bowiem pochodzić odsamego podmiotu danych osobowych.

Żaden z przepisów powszechnie obowiązującego prawa, nie nakładaobowiązku wprowadzania do umów cywilnoprawnych postanowieńdotyczących podstawy przetwarzania danych, technicznych środkówzabezpieczeń danych oraz uprawnień przysługujących podmiotowi danych.Wyjątkiem będzie sytuacja, w której dla wykonania postanowień umowy,konieczne będzie powierzenie danych, które dla swojej skutecznościwymaga formy pisemnej.

W przypadku organów administracji publicznej, nawet zawieranie umówprzez takie organy musi znajdować umocowanie w przepisach prawnych,stąd podstawą będzie tutaj nie umowa, ale przepis prawny lub realizacjainteresu publicznego.








Zasady- legalność

V. Konieczność przetwarzania danych do wykonywania określonych prawem zadań dla dobra publicznego.

Powołana przesłanka legalizuje przetwarzanie danych, jeżeli jest tokonieczne dla realizacji zadań publicznych, nałożonych na dany podmiotprzepisami prawa, które to przepisy jednocześnie nie uprawniają doprzetwarzania danych.

Niedopuszczalne jest powołanie się na wskazana przesłankę, w razieprowadzenia przez podmiot publiczny działalności gospodarczej (tj.działalności mającej cel zarobkowy (np. udział w spółce handlowej). (P.Barta, P. Litwiński, Ustawa o ochronie danych osobowych. Komentarz,Warszawa 2013, s. 221.

Przykład normy prawnej uprawniającej do takiego przetwarzania danych: -Na podstawie art. 7d pkt 1 Prawa geodezyjnego i kartograficznego do

zadań starosty należy w szczególności prowadzenie powiatowego zasobugeodezyjnego i kartograficznego, w tym ewidencji gruntów i budynków,gleboznawczej klasyfikacji.








Zasady- legalność

VI. Prawnie usprawiedliwiony cel administratora danych albo odbiorców danych.

Powołana przesłanka, jest jedną z podstaw przetwarzania danych, bezkonieczności odbierania zgody podmiotu danych. Na przesłankę możemypowołać się, gdy przetwarzanie danych znajduje swoje oparcie wprzepisach prawa materialnego, ale nie możemy utożsamiać jej zwskazaną uprzednio przesłanką realizacji uprawnienia wynikającego zprzepisu prawnego.

W literaturze przedmiotu pojawiają się poglądy uprawniające równieżpodmioty ze sfery życia publicznego do powoływanie się na przesłankęprawnie usprawiedliwionego celu.

Przetwarzanie danych nie może naruszać praw i wolności podmiotudanych.

Powołana przesłanka nie stanowi podstawy prawnejprzetwarzania danych osobowych na potrzeby postępowaniaadministracyjnego. Każde działanie administratora danych osobowych,będącego podmiotem publicznym, powinno mieć podstawę wobowiązujących przepisach prawa, a za taki przepis nie sposób uznać art.23 ust. 1 pkt 5 u.o.d.o., który wymaga samodzielnego wyważenia przezadministratora dwóch dóbr: swojego prawnie usprawiedliwionego celuoraz praw i wolności podmiotów danych.








Zasady- legalność

Przykłady prawnie usprawiedliwionych celów administratora danych:

Dochodzenie roszczeń z tytułu prowadzonej działalności(determinowany terminem przedawnienia roszczeń określonegorodzaju).

Zbieranie oświadczeń o niekaralności, gdy charakter wykonywanychczynności uzasadnia takie żądane a, brak jest wyraźnego przepisuuprawniającego administratora do pobierania takich danych (zwyjątkiem pracowników wykonujących czynności na podstawie umowyo pracę).

Przetwarzanie danych osobowych przez podmioty gospodarcze, celemstworzenia księgi wejść i wyjść do budynków (źródło:www.giodo.gov.pl).

Przetwarzanie danych osób współpracujących na podstawie umówcywilnoprawnych, w celu stworzenia plakietek informujących opełnionej funkcji wraz z imieniem i nazwiskiem, noszonych na ubraniach(np. ochroniarz).








Zasady- legalnośćPrzesłanki legalności przetwarzania danych osobowych wrażliwych

(art. 27 u.o.d.o.).

Osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych.

Przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochronny.

Przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora.

Jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji.

Przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem.








Zasady- legalność

Przesłanki legalności przetwarzania danych osobowych zwykłych (art. 27 u.o.d.o.)

przetwarzanie jest niezbędne do wykonania zadań administratora odnoszących się do zatrudnienia pracowników i innych osób, a zakres danych jest określony w ustawie,

Przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych.

Przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą.

Jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone.

Przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.








Zasady- celowość

Zasada celowości przetwarzania danych osobowych








Zasady- celowość

Ogólna zasada celowości

Cel pierwotny to cel dla którego podmiot danych przekazał wojedane administratorowi.

Cel wtórny to inny cel przetwarzania danych niż cel dla któregodane zostały przekazane.

Zasada celowości (art.26 ust.2 pkt 1 u.o.d.o.)

Cel pierwotny to cel określony przez administratora przy zbieraniu danych osobowych.

Cel wtórny to cel określony później niż przy zbieraniu danych.








Zasady- adekwatność

Zasada adekwatności przetwarzania danych osobowych








Zasady- adekwatność

Dane osobowe muszą być przetwarzane przez administratora:

Z zachowaniem zasady merytorycznej poprawności iadekwatności przetwarzania danych osobowych do celów wjakich są przetwarzane;

Przetwarzane nie dłużej, niż jest to konieczne dla realizacji celu,w jakim są przetwarzane.

Naruszenie zasady adekwatności w przypadku danych kadrowych

Gromadzenie numerów dowodów osobistychwspółpracowników (umowa o dzieło, umowa zlecenie, osobysamozatrudnione);

Gromadzenie adresów e-mail oraz adresów telefonówkomórkowych.








Zasady- obowiązek informacyjny

Obowiązek informacyjny administratora danych osobowych









W przypadku pozyskania danych osobowych od osoby której dane osobowe dotyczą, administrator zobowiązany jest poinformować

taką osobę o (art. 26 u.o.d.o.):

adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku,

celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,

prawie dostępu do treści swoich danych oraz ich poprawiania, dobrowolności albo obowiązku podania danych, a jeżeli taki

obowiązek istnieje, o jego podstawie prawnej.

Wyjątki: przepis innej ustawy zezwala na przetwarzanie danych bez

ujawniania faktycznego celu ich zbierania, osoba, której dane dotyczą, posiada takie informacje.









W przypadku pozyskania danych osobowych nie od osoby której dane osobowe dotyczą, administrator zobowiązany jest

poinformować taką osobę o (art. 24 u.o.d.o.): adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem

danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu inazwisku,

celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriachodbiorców danych,

źródle danych, prawie dostępu do treści swoich danych oraz ich poprawiania, prawie do wniesienia sprzeciwu w razie przetwarzania danych na podstawie

prawnie usprawiedliwionego celu lub zadań realizowanych dla dobrapublicznego.

Wyjątki: przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych

bez wiedzy osoby, której dane dotyczą, dane te są niezbędne do badań naukowych, dydaktycznych, historycznych,

statystycznych lub badania opinii publicznej, ich przetwarzanie nie naruszapraw lub wolności osoby, której dane dotyczą, a spełnienie wymagańwymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania,

dane są przetwarzane przez podmioty ze sfery publicznej na podstawieprzepisów prawa,

osoba, której dane dotyczą, posiada informacje.









Przykładowe klauzule informacyjne realizowane wobec pracowników

Klauzula I„dane osobowe pochodząc od pracownika”

Administratorem danych osobowych pracowników jest ..., ul. ..., ... , KRS: ...,Regon: ... , NIP: .... Dane osobowe będą przetwarzane przez administratoraw celu realizacji umowy, celem wykonywania zawartej umowy w tymrealizacji obowiązków wynikających z powszechnie obowiązującychprzepisów prawa, a także w celu wygenerowania identyfikatorów oraz wcelu przeprowadzenia/umożliwienia odbycia szkoleń dotyczącychobowiązujących przepisów z zakresu ochrony danych osobowych orazinnych szkoleń. Pracownikom przysługuje prawo dostępu do treścidotyczących ich danych i ich poprawiania. Podanie danych osobowych jestdobrowolne jednak niezbędne do wykonywania czynności na rzeczadministratora danych.








Zabezpieczenie danych

Zabezpieczenie danych kadrowych









Obowiązki związane z zabezpieczeniem przetwarzania danych osobowych

Obowiązek zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną,

Obowiązek prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz zastosowanych środków zabezpieczeń,

Obowiązek wyznaczenia administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony danych, chyba że administrator sam wykonuje te czynności,

Do przetwarzania danych dopuszczone mogą być wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.

Obowiązek prowadzenia ewidencji osób upoważnionych do ich przetwarzania, która powinna zawierać: imię i nazwisko osoby upoważnionej, datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.

Zasady wskazane powyżej wiążą nie tylko administratora danych, ale również podmiotktóremu administrator powierzył dane osobowe.









Obowiązek zastosowania środków technicznych i organizacyjnych zapewniające ochronę

przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną.

Trzy poziomy ochrony danych osobowych:

Podstawowy•Żadne z urządzeń systemu informatycznego, służącegodo przetwarzania danych osobowych nie jest połączone z sieciąpubliczną, oraz•W systemie nie są przetwarzane dane wrażliwe. Podwyższony•w systemie są przetwarzane dane wrażliwe, oraz•żadne z urządzeń systemu informatycznego, służącegodo przetwarzania danych osobowych nie jest połączone z sieciąpubliczną. Wysoki•urządzenie, służące do przetwarzania danych osobowych, połączonejest z siecią publiczną.









Każdemu z poziomów bezpieczeństwa odpowiada innysposób zabezpieczenia danych, wskazany w rozporządzeniuws. dokumentacji przetwarzania danych osobowych.

W przypadku przetwarzania danych na poziomie wysokim,konieczne jest również spełnienie wymogów na poziomiepodstawowym i podwyższonym (analogicznie poziompodwyższony).









Obowiązek prowadzenia dokumentacji opisującej sposóbprzetwarzania danych oraz zastosowanych środkówzabezpieczeń.

Dokumentacja przetwarzania danych

Polityka bezpieczeństwa Instrukcja zarządzania systemem









Polityka bezpieczeństwa przetwarzania danych osobowych

Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe.

Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych.

Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi.

Sposób przepływu danych pomiędzy poszczególnymi systemami.

Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalnościprzetwarzanych danych.









Z technicznego punktu widzenia, rekomenduje się przeniesienie właściwejtreści dokumentacji, do załączników, a treść samej dokumentacjiograniczyć wyłącznie do zbioru definicji, odwołań do samych załączników,oraz określenia środków zabezpieczeń danych osobowych.

Przykładowy spis treści Polityki bezpieczeństwa

„I. Deklaracja najwyższej staranności, cele i zakres dokumentu.

II. Obowiązki i odpowiedzialność w zakresie zarządzania bezpieczeństwem.

III. Obszar przetwarzania danych osobowych.

IV. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych.

V. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania pomiędzy nimi.

VI. Sposób przepływu danych pomiędzy poszczególnymi systemami.

VII. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych”.








Zabezpieczenie danych Przykładowa treść pkt. VI Polityki bezpieczeństwa

„VI. Sposób przepływu danych pomiędzy poszczególnymi systemami

W ramach procesów przetwarzania danych, dochodzi do przepływudanych pomiędzy różnymi systemami informatycznymi w tympowierzania danych osobom trzecim. Sposób przepływu danychokreślony został w dokumencie „Wykaz przepływu danych pomiędzysystemami informatycznymi”, stanowiącym Załącznik nt… do niniejszejPolityki bezpieczeństwa.









Instrukcja zarządzania systemem informatycznym

Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności.

Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem.

Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;

Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;

Sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe, oraz kopii zapasowych.

Sposób zabezpieczenia systemu informatycznego przed działalnością wirusów.

Sposób realizacji wymogów, odnotowywania przez system wprowadzania danych.

Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.









Przykładowy spis treści Instrukcji zarządzania

I. Poziomy bezpieczeństwa przetwarzania danych osobowych.II. Procedura nadawania, aktualizacji i wycofania uprawnień do

przetwarzania danych osobowych w systemach informatycznych.III. Metody i środki uwierzytelniania pracowników mających dostęp do

przetwarzania danych osobowych.IV. Procedura rozpoczęcia, zawieszenia i zakończenia pracy dla użytkowników

systemu. V. Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i

narzędzi programowych służących do ich przetwarzania.VI. Zasady bezpiecznego przechowywania transportu i niszczenia

elektronicznych nośników informacji zawierających dane osobowe lub oprogramowanie służące do ich przetwarzania.

VII. Sposób zabezpieczenia systemu przed działalnością wirusów. VIII. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów

zastosowanych do przetwarzania tych danych.IX. Sposób realizacji obowiązków odnotowywania w systemie informacji o

zmianach danych i odbiorcach danych.X. Procedury wykonywania napraw systemu informatycznego oraz

elektronicznych nośników informacji służących do przetwarzania danych









Do dokumentacji przetwarzania danych osobowych możezostać dołączony dokument, stanowiący instrukcjępostępowania w przypadku naruszenia danych osobowych.Ma on jednak charakter fakultatywny.

Dokumentacja przetwarzania danych powinna zawierać:

I. wzór pisemnego upoważnienia do przetwarzania danychw systemie informatycznym. Upoważnienie możnaudzielić wyłącznie osobą, działającym wewnątrzstruktury organizacyjnej administratora danych.

II. ewidencję osób upoważnionych do przetwarzania danychosobowych.









Wzór pisemnego upoważnienia do przetwarzania danych w systemie informatycznym.









Wzór ewidencji osób upoważnionych do przetwarzania danych osobowych










Obowiązek (do 1 stycznia 2015 r.) wyznaczenia w dokumentacji administratora bezpieczeństwa informacji, nadzorującego

przestrzeganie zasad ochrony danych, chyba że administrator sam wykonuje te czynności.

Administratorem bezpieczeństwa informacji (ABI) musi być osobafizyczna, w przypadku przedsiębiorców prowadzącychjednoosobową działalność gospodarczą, jest to osoba prowadzącataką działalność (Wyrok WSA w Warszawie z dnia 7 lipca 2012r., IISA/Wa 630/12).

Obowiązek wyznaczenia ABI nie istnieje, gdy administrator sampełni funkcję ABI (np. naukowiec zbierający dane na potrzebydokonywanej dysertacji).

W ramach struktury organizacyjnej administratora danych możezostać powołany tylko jeden ABI. Nie wyłącza to możliwościpowołania wewnętrznej struktury podległej ABI. Częstą praktykąjest powoływanie podległego ABI Administratora systemuinformatycznego, zarządzającego takim systemem (tzw. ASI). Jestnim najczęściej informatyk.

Dokumentacja przetwarzania danych osobowych powinnazapewniać ABI możliwość rzeczywistego wykonywania przez niegofunkcji nadzorczych.









Obowiązek wyznaczenia w dokumentacji administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad

ochrony danych, chyba że administrator sam wykonuje te czynności.

Administratorem bezpieczeństwa informacji (ABI) musi być osobafizyczna, w przypadku przedsiębiorców prowadzącychjednoosobową działalność gospodarczą, jest to osoba prowadzącataką działalność (Wyrok WSA w Warszawie z dnia 7 lipca 2012r., IISA/Wa 630/12).

Obowiązek wyznaczenia ABI nie istnieje, gdy administrator sampełni funkcję ABI (np. naukowiec zbierający dane na potrzebydokonywanej dysertacji).

W ramach struktury organizacyjnej administratora danych możezostać powołany tylko jeden ABI. Nie wyłącza to możliwościpowołania wewnętrznej struktury podległej ABI. Częstą praktykąjest powoływanie podległego ABI Administratora systemuinformatycznego, zarządzającego takim systemem (tzw. ASI). Jestnim najczęściej informatyk.

Dokumentacja przetwarzania danych osobowych powinnazapewniać ABI możliwość rzeczywistego wykonywania przez niegofunkcji nadzorczych.








Odpowiedzialność karna










Brak przesłanek przetwarzania danych osobowych

Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie niejest dopuszczalne albo do których przetwarzania nie jest uprawniony,podlega grzywnie, karze ograniczenia wolności albo pozbawieniawolności do lat 2.

W przypadku danych osobowych wrażliwych sprawca podlegagrzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat3.

Bezprawne udostępnienie danych (błąd ustawodawcy gdyż wskazane powyżej przetwarzanie to też udostępnianie)

Osobowych udostępnia je lub umożliwia dostęp do nich osobomnieupoważnionym, podlega grzywnie, karze ograniczenia wolności albopozbawienia wolności do lat 2.

Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku









Brak lub nienależyte zabezpieczenie danych

Kto administrując danymi narusza choćby nieumyślnie obowiązekzabezpieczenia ich przed zabraniem przez osobę nieuprawnioną,uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczeniawolności albo pozbawienia wolności do roku.

Brak rejestracji danych

Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych,podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolnoścido roku.

Naruszenie obowiązku informacyjnego

Podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolnoścido roku.

Utrudnianie kontroli

Podlega grzywnie, karze ograniczenia wolności, oraz pozbawienia wolności do lat2.








Nowelizacja

Zmiany w u.o.d.o. po 1 stycznia 2014 r.








Nowelizacja

Pozycja Administratora Bezpieczeństwa Informacji w organizacjiobecnie i po 01 stycznia 2015 r.

Usytuowanie ABI w organizacji na gruncie obecnie obowiązującychrozwiązań prawnych

Różne modele powołania ABI-ego

ABI będący pracownikiem podmiotu zewnętrznego, trudniącego sięobsługą administratorów w zakresie ochrony danych osobowych;

ABI będący pracownikiem/współpracownikiem administratora danychosobowych;

ABI będący pracownikiem administratora danych osobowychnadzorującym dział bezpieczeństwa informacji (wyodrębnioną jednostkęw ramach struktury administratora);

W każdym z przypadków, ABI powinien zostać powołanyzarządzeniem/uchwałą zarządu/członka zarządu (dyrektora bądźumocowanego kierownika).








NowelizacjaUsytuowanie ABI w organizacji na gruncie obecnie obowiązującychrozwiązań prawnych

Sposób określenia uprawnień ABI

Dobrze przyjętą praktyką jest wskazywanie katalogu uprawnieńi obowiązków ABI-ego w dokumencie powołującym go do pełnienia funkcji;

Szczegółowy katalog uprawnień i obowiązków ABI-ego powinien zostaćwskazany w dokumentacji przetwarzania danych osobowych (zwłaszczapolityce bezpieczeństwa);

Usytuowanie ABI-ego powinno zostać przewidziane w regulaminieorganizacyjnym spółki/organogramie/innych dokumentach wewnętrznychadministratora danych osobowych.

Pozycja ABI-ego wewnątrz struktury organizacyjnej administratora danychpowinna umożliwiać mu sprawowanie pełnego nadzoru nad pracownikamiadministratora w tym poprzez przyznanie mu pełnej samodzielnościi podległość wyłącznie administratorowi danych osobowych (a nie np.Dyrektorowi Działu IT).Dobrze przyjętą praktyką jest łączenie funkcji ABI z funkcją np. Dyrektorads. Bezpieczeństwa Informacji bądź Kierownika Działu Bezpieczeństwa.








Nowelizacja

Usytuowanie ABI w organizacji na gruncie obecnie obowiązującychrozwiązań prawnych

Powołanie Administratora Systemu Informatycznego

Brak prawnego wymogu powołania Administratora SystemówInformatycznych;Administrator Systemów Informatycznych powinien być powołany (wrazie jego powołania) w formie, odpowiadającej powołaniuAdministratora Bezpieczeństwa Informacji;

Zakres uprawnień i obowiązków ASI-ego powinien zostać określony wdokumentacji przetwarzania danych osobowych (w szczególnościInstrukcji zarządzania systemem informatycznym służącym doprzetwarzania danych osobowych);

ASI powinien podlegać bezpośrednio ABI-emu bądź AdministratorowiDanych Osobowych;








Nowelizacja

Usytuowanie ABI w organizacji na gruncie projektowanych zmian ustawowych

Kto może pełnić funkcję ABI

Ma pełną zdolność do czynności prawnych oraz korzysta z pełnipraw publicznych;Posiada odpowiednią wiedzę w zakresie ochrony danychosobowych;Nie była karana za umyślne przestępstwo.

Administrator Danych Osobowych jest uprawniony dopozyskiwania od ABI-ego zaświadczenia o niekaralnościwydanego przez Krajowy Rejestr Karny bądź złożonego przezniego oświadczenia o niekaralności.








NowelizacjaUsytuowanie ABI w organizacji na gruncie projektowanych zmian

ustawowych

Rejestracja ABI u Generalnego Inspektora Ochrony Danych Osobowych

Administrator Danych Osobowych jest obowiązany zgłosić do rejestracjiGIODO powołanie i odwołanie administratora bezpieczeństwa informacji wterminie 30 dni od dnia jego powołania lub odwołania.

Zgłoszenie powołania ABI do rejestracji powinno zawierać:

imię i nazwisko,numer PESEL,adres do korespondencji,datę powołania,oświadczenie o spełnianiu wymogów stawianych ABI-emu.








Nowelizacja


Rejestracja ABI u Generalnego Inspektora Ochrony Danych Osobowych

Zgłoszenie odwołania ABI powinno zawierać:Dane ABI-ego;Datę i przyczynę odwołania.

Administrator Danych Osobowych zobowiązany jest zgłosić do GIODO zmianęinformacji objętych zgłoszeniem rejestracyjnym w terminie 14 dni.

Wykreślenie ABI z rejestru następuje po powiadomieniu o jego odwołaniu, wprzypadku jego śmierci bądź w razie utraty uprawnień do wykonywania funkcji ABIlub niewykonywania swoich zadań (na podstawie decyzji GIODO).

Minister właściwy do spraw administracji publicznej określi, w drodzerozporządzenia, wzory zgłoszeń administratora bezpieczeństwa informacji.








Nowelizacja


ABI w hierarchii organizacji

ABI jest samodzielny w wykonywaniu swoich zadań orazpodlega wyłącznie Administratorowi Danych Osobowych(Zarząd, Prezes Zarządu, Dyrektor właściwego Urzędu, osobaprowadząca działalność gospodarczą).

Administrator Danych Osobowych zapewnia środki i organizacyjnąodrębność ABI niezbędne do niezależnego wykonywania przezniego zadań.








Nowelizacja


Stworzenie odrębnej jednostki organizacyjnej ds. ochrony danych w organizacji z centralną pozycją ABI

Administrator Danych Osobowych uprawniony jest, do powołaniazastępców ABI-ego w określonej przez niego liczbie.

Administrator Danych Osobowych może powołać odrębną komórkęw swojej strukturze, składającą się z ABI-ego oraz podległych muzastępców, odpowiadających za nadzór nad ochroną danychosobowych we właściwych komórkach Administratora DanychOsobowych.

Zastępcy ABI-ego mogą być określani przykładowo jako tzw. RABI(Regionalni ABI) LABI (Lokalni ABI).








Nowelizacja


Kto może pełnić funkcję ABI

Samodzielność organizacyjna ABI „Administrator bezpieczeństwainformacji podlega bezpośrednio kierownikowi jednostki organizacyjnejlub osobie fizycznej będącej administratorem danych”.

Administrator Danych Osobowych zobowiązany jest do zapewnieniaśrodków i organizacyjnej odrębności administratora bezpieczeństwainformacji niezbędne do niezależnego wykonywania przez niego zadań.

Przez środki o których mowa powyżej należy rozumieć możliwośćwstępu do pomieszczeń w których dochodzi do przetwarzania danychosobowych, nieograniczonej kontroli procesów przetwarzania danychosobowych.








Nowelizacja

Zadania Administratora Bezpieczeństwa Informacji (czyli comoże i musi wiedzieć ABI).

Zadania nałożone nowelizacją u.o.d.o.

nadzór nad prawidłowością przetwarzania danych nadzór nad dokumentacją zapewnienie zapoznania osób upoważnionych do przetwarzania

danych osobowych z przepisami o ochronie danych osobowych prowadzenie rejestru zbiorów danych osobowych prowadzenie regularnych audytów wewnętrznych raportowanie o nieprawidłowościach do zarządzających

organizacją oraz do GIODO (zasady przygotowania sprawozdań) prowadzenie rejestru zbiorów danych osobowych








NowelizacjaZadania Administratora Bezpieczeństwa Informacji (czyli co może imusi wiedzieć ABI).

Audyty

Audyt ABI musi zakończyć się sprawozdaniem, którego elementy określone zostaływ u.o.d.o. po jej nowelizacji;

Sprawozdanie powinno w szczególności zawierać oznaczenie ABI i stwierdzoneprzypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętymsprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stanzgodny z prawem;

Audyt powinien obejmować dokumentację przetwarzania danych osobowych orazcałość procesów przetwarzania danych osobowych tradycyjnie oraz w systemachIT;

Nowelizacja u.o.d.o. wprowadza dwa rodzaje audytów prowadzonych przez ABIzakończonych sprawozdaniem:

Audyt wewnętrzny – podjęty z własnej inicjatywy ABI-ego;Audyt zewnętrzny – podjęty na wniosek GIODO (nie zastępuje ewentualnego

postępowania kontrolnego).








Nowelizacja

Rejestracja zbiorów danych osobowych pracowników

Przed nowelizacją z 1 stycznia 2014r.

Zbiory danych osobowych pracowników i pracowników zwolnione zrejestracji;

Po 1 stycznia 2014r.

Zbiory danych osobowych pracowników i pracowników zwolnione zrejestracji;

Wszelkie inne zbiory danych osobowych (z wyłączeniem zbiorówzawierających dane osobowe wrażliwe) zostały zwolnione z rejestracjipod warunkiem wyznaczenia Administratora BezpieczeństwaInformacji.







Kurs ochrona Danych Osobowych

Przypominamy o zmianie przepisów dotyczących ochrony danych

osobowych. Zmiany w ustawie z dn. 29 sierpnia 1997 roku wejdą w życie

od 1 stycznia 2015 roku.

Zainteresowanych zmianami zapraszamy na seminarium Nowelizacja

ustawy o ochronie danych osobowych. Zmiany po 01.01.2015.






http://www.cognity.pl/nowelizacja-ustawy-o-ochronie-danych-osobowych-8211-seminarium-z-maciejem-kaweckim-w-cognity,blog2,109.html




Więcej informacji o ochronie danych osobowych uzyskają Państwo także na

naszych kursach prawnych:

• Kurs Aspekty prawne związane z handlem elektronicznym. Prowadzenie

serwisów internetowych

• Kurs Ochrona Danych Osobowych w Działach HR i Kadr - po nowelizacji z dn.

01.01.2015

• Kurs Ochrona Danych Osobowych w Administracji Publicznej - po nowelizacji z

dn. 01.01.2015

• Kurs Ochrona Danych Osobowych w Ośrodkach Pomocy Społecznej - po

nowelizacji z dn. 01.01.2015

• OFERTA TYGODNIA: Kurs Ochrona Danych Osobowych w Firmie - po

nowelizacji z dn. 01.01.2015






http://www.cognity.pl/szkolenie-aktualne-problemy-prawne-zwiazane-z-handlem-elektronicznym,s2,227.html








Zapraszamy również na bloga Strefa Wiedzy Cognity, gdzie znajdziesz

artykuły i wywiady z ekspertami zajmującymi się ochroną danych

osobowych.

Na naszym blogu odnajdziesz również informacje i wskazówki jak

skutecznie pracować w programach MS Office m.in. MS Excel, MS

PowerPoint, MS Access, MS Word oraz języku VBA w Excelu.






http://bit.ly/strefawiedzy

http://www.cognity.pl/szkolenie-excel,s,9.html

http://www.cognity.pl/szkolenie-powerpoint,s,47.html

http://www.cognity.pl/szkolenie-access,s,52.html

http://www.cognity.pl/szkolenie-word,s,44.html

http://www.cognity.pl/szkolenie-vba-w-excelu,s,71.html



cognity szkolenia - ochrona danych osobowych w działach hr i kadr

Education