ochrona danych osobowych (odo2013)

Istota i praktyka ochrony danych osobowych

[email protected]://sites.google.com/site/krzysztofslugocki/ 501 091 995

Cele (1)

• Budowanie świadomości konieczności przestrzegania prawa ochrony danych osobowych i dóbr osobistych – głównie poprzez analizę przykładów złych

i dobrych praktyk;

Ochrona danych osobowych; [email protected] 2

Cele (2)

• Przykłady i analiza dobrych i złych praktyk w odniesieniu do koniecznych form i zakresów dokumentacji przetwarzania danych osobowych – rozdysponowanie przykładów dobrych praktyk do

dalszego dopracowania, adekwatnego dla danego podmiotu;


Cele (3)

• Wyposażenie uczestników szkolenia w wiedzę, umiejętności i narzędzia niezbędne do samodzielnego przeprowadzenia analogicznych szkoleń – dla pracowników swego podmiotu.


Istota i praktyka

• ochrona danych osobowych, czyli…– jak chronić dane osobowe? – jak legalnie przetwarzać dane osobowe?– jak dbać o bezpieczeństwo danych osobowych?

• świadomość postępowanie– obowiązki i prawa– procedury– dokumenty


Konieczność stosowania prawa ochrony danych osobowych

• Dane osobowe!• Dane osobowe się przetwarza!• Dane osobowe muszą być chronione!

• Ochrona danych osobowych jest na poziomie wymagającym znaczącej poprawy!


http://www.bibliotekako.pl/NIK__Szkoly_specjalne_przekazuja_do_SIO_nieprawdziwe_dane_o_liczbie_uczniow,1737,800,600,.jpg

Czy dane osobowe trzeba chronić?


TakNie

…ale o co

chodzi?

Tak - dane osobowe trzeba chronić!

•Dane osobowe – czyli co?•Chronić – czyli co czynić?


Dane osobowe

• Co to są dane osobowe?• Jak odróżnić informacje będące danymi

osobowymi od innych informacji?


Co to są dane osobowe?

• Art. 6. 1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.


Co to znaczy „chronić”?


Co to znaczy „chronić”? (przetwarzanie)

• Art. 1. 1. Każdy ma prawo do ochrony dotyczących go danych osobowych.

• 2. Przetwarzanie danych osobowych może mieć miejsce – ze względu na dobro publiczne, dobro osoby,

której dane dotyczą, lub dobro osób trzecich w zakresie i trybie określonym ustawą.


Co to znaczy „chronić”? (zasady, prawa, zbiory)

• Art. 2. 1. Ustawa określa • zasady postępowania przy przetwarzaniu

danych osobowych • oraz prawa osób fizycznych, – których dane osobowe są lub mogą być

przetwarzane w zbiorach danych.


Co to znaczy „chronić”? (zbiory „tradycyjne” i „informatyczne”)

• Art. 2. 2. Ustawę stosuje się do przetwarzania danych osobowych:

• 1) w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych,

• 2) w systemach informatycznych, – także w przypadku przetwarzania danych poza

zbiorem danych.


Co to znaczy „chronić”? Istota i praktyka

• …chronić, gdy są przetwarzane (w zbiorze)…

• …czyli chronić, to legalnie przetwarzać…• legalnie (?), to znaczy zgodnie z prawem ochrony danych osobowych…– zgodnie z prawem (?), to znaczy zgodnie z zasadami zebranymi w ustawie o ochronie danych osobowych;– poznanie tych zasad prowadzi do praktyki ochrony danych osobowych;– praktyka ma wymiar techniczny i organizacyjny.


Warunki legalności przetwarzania danych osobowych

Ochrona danych osobowych; [email protected] 16Przykłady przetwarzania danych osobowych

„Lista na korytarzu”,„dziennik lekcyjny”…

„Zdjęcia w … Internecie”… „SIO+”





„Ogólne” / „wspólne” (uodo)






„Wspólne” / „szczegółowe” (uodo)






„Wspólne” / „szczegółowe” (uodo)

„Szczegółowe” (uodo i inne przepisy prawa)

Ustawa to zasady…elementarna zasada przetwarzania




przesłanki dopuszczalności (legalności) przetwarzania

danych osobowych



zgodauprawnienieprzepis prawa



zgodauprawnienieprzepis prawa

przesłanki dopuszczalności (legalności) przetwarzania

danych osobowych

Art. 23 ust. 1 pkt 1• ROZDZIAŁ 3. Zasady przetwarzania danych osobowych

– Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

• 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,

• 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,

• 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,

• 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,• 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez

administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.


Zgoda na przetwarzanie danych osobowych


Definicja zgody

• Art. 7. Ilekroć w ustawie jest mowa o:

– 5) zgodzie osoby, której dane dotyczą — • rozumie się przez to oświadczenie woli, – którego treścią jest zgoda na przetwarzanie

danych osobowych tego, kto składa oświadczenie; • zgoda nie może być domniemana lub

dorozumiana z oświadczenia woli o innej treści;

• zgoda może być odwołana w każdym czasie,Ochrona danych osobowych; [email protected] 28

Zgoda na przetwarzanie danych osobowych oświadczenie woli

• Wyrażenie zgody• Podpis• Wskazanie zakresu podmiotowego – (kto? komu?)

• Wskazanie zakresu przedmiotowego– (na co wyraża się zgodę? – cel wyrażenia zgody)– (wskazanie zakresu danych osobowych)– (gdzie i kiedy zgoda jest wyrażana?)

• (wskazanie zakresu czasowego i miejscowego obowiązywania zgody)– (wskazanie ewentualnej formy, trybu itp. obowiązywania zgody)


orzeczenie NSA (sygn. akt II SA 2135/2002)

• Zgoda na przetwarzanie danych osobowych musi mieć charakter wyraźny, a jej wszystkie aspekty muszą być jasne dla podpisującego w momencie jej wyrażania.

• Czynności takiej nie konwaliduje późniejsze poinformowanie o treści regulaminu, ani możliwość zgłoszenia zastrzeżeń wobec pewnych form przetwarzania danych.


…z orzecznictwa wynika, że…

• zgoda: – nie może mieć charakteru abstrakcyjnego; – nie może dotyczyć przetwarzania danych w ogóle;– musi się odnosić do skonkretyzowanego stanu

faktycznego;– musi obejmować jedynie pewnie i jednoznacznie

określone dane; – musi mieć sprecyzowany sposób i cel ich

przetwarzania. Ochrona danych osobowych; [email protected] 31





• 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,

• 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,• 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez

administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.


Uprawnienie lub spełnianie obowiązku wynikającego z przepisu prawa


Moc obowiązywania normy niższego stopnia wypływa z autorytetu normy wyższego stopnia. Norma niższego stopnia obowiązuje jeśli została ustanowiona na podstawie prawnego upoważnienia normy wyższego stopnia, w sposób przewidziany przez prawo.





• […]

• 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.






• […]

• 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.


…ale jaki na to dowód?

…jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów

• Art. 2. 3. W odniesieniu do zbiorów danych osobowych

• sporządzanych doraźnie, • wyłącznie ze względów technicznych,

szkoleniowych • lub w związku z dydaktyką w szkołach wyższych, • a po ich wykorzystaniu niezwłocznie usuwanych

albo poddanych anonimizacji, • mają zastosowanie jedynie przepisy rozdziału 5.Ochrona danych osobowych; [email protected] 36

…jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów

• Art. 2. 3. W odniesieniu do zbiorów danych osobowych

• sporządzanych doraźnie, • wyłącznie ze względów technicznych,

szkoleniowych • lub w związku z dydaktyką w szkołach wyższych, • a po ich wykorzystaniu niezwłocznie usuwanych

albo poddanych anonimizacji, • mają zastosowanie jedynie przepisy rozdziału 5.Ochrona danych osobowych; [email protected] 37

…ale jaki na to dowód?

Środki techniczne i organizacyjne - dokumentacja

• Art. 36. 1. Administrator danych jest obowiązany • zastosować środki techniczne i organizacyjne – zapewniające ochronę przetwarzanych danych osobowych

odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, • a w szczególności powinien zabezpieczyć dane przed ich

udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

• 2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1.


Środki techniczne i organizacyjne - dokumentacja

• Art. 36. 1. Administrator danych jest obowiązany • zastosować środki techniczne i organizacyjne – zapewniające ochronę przetwarzanych danych osobowych

odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, • a w szczególności powinien zabezpieczyć dane przed ich

udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

• 2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1.


Dowodem na to jest

Upoważnienia i ewidencja upoważnień

• Art. 37. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.

• Art. 39. 1. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, […]


Ewidencja upoważnień

• Art. 39. 1. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:– 1) imię i nazwisko osoby upoważnionej,– 2) datę nadania i ustania – oraz zakres upoważnienia do przetwarzania danych

osobowych,– 3) identyfikator,

• jeżeli dane są przetwarzane w systemie informatycznym.


Dokumentacja wymagająca zdefiniowania

• Art. 39. 2. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.

• Art. 38. Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.


Dokumentacja, rozporządzenie• Art. 39a. Minister właściwy do spraw administracji publicznej

w porozumieniu z ministrem właściwym do spraw informatyzacji określi,

w drodze rozporządzenia, sposób prowadzenia i zakres dokumentacji, o której mowa w art. 36 ust. 2, oraz

podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, uwzględniając zapewnienie ochrony przetwarzanych danych osobowych odpowiedniej do zagrożeń oraz kategorii danych objętych ochroną, a także wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzanych danych.


Praktyka… wybrane zagadnienia



Przykłady przetwarzania danych osobowychElementarna zasada legalności

„Lista na korytarzu” „Zdjęcia w Internecie” „nSIO”



45


45




„Ogólne” / „wspólne” (u.o.d.o.)

„Wspólne” / „szczegółowe” (u.o.d.o.)

„Szczegółowe” (o.o.d.o. i inne)


• zDefiniować politykę bezpieczeństwa informacji;• zDefiniować instrukcje zarządzania systemami

informatycznymi, w których są przetwarzane dane osobowe;• Posiadać pisemne imienne upoważnienia pracowników do

przetwarzania danych osobowych;• Prowadzić ewidencję osób upoważnionych;• Dokumentować zabezpieczanie przed dostępem osób

nieupoważnionych te miejsca, w których wykonywane są jakiekolwiek operacje na danych osobowych;

• Rejestrować zbiory danych osobowych u Generalnego Inspektora Ochrony Danych Osobowych;

• Dysponować indywidualnymi zgodami (oświadczeniami woli) na przetwarzanie danych osobowych w różnych kontekstach ich przetwarzania lub dysponować uprawnieniem do przetwarzania, wynikającym z przepisu prawa;



46








• zDefiniować politykę bezpieczeństwa informacji;• zDefiniować instrukcje zarządzania systemami

informatycznymi, w których są przetwarzane dane osobowe;• Posiadać pisemne imienne upoważnienia pracowników do

przetwarzania danych osobowych;• Prowadzić ewidencję osób upoważnionych;• Dokumentować zabezpieczanie przed dostępem osób

nieupoważnionych te miejsca, w których wykonywane są jakiekolwiek operacje na danych osobowych;



47

Praktyka… wybrane zagadnienia Warunki legalności przetwarzania

danych osobowych



Elementarna zasada legalności






• zDefiniować politykę bezpieczeństwa informacji;• zDefiniować instrukcje zarządzania systemami informatycznymi

służącymi do przetwarzania danych osobowych;• Posiadać pisemne imienne upoważnienia pracowników do

przetwarzania danych osobowych w związku z pełnionymi przez nich obowiązkami;

• Prowadzić ewidencję osób upoważnionych;• Dokumentować zabezpieczanie przed dostępem osób

nieupoważnionych te pomieszczenia (miejsca), w których wykonywane są jakiekolwiek operacje na danych osobowych;




Zdefiniować politykę bezpieczeństwa; zdefiniować instrukcje…

• Rozporządzenie w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych

• Dz. U. z 2004 r. Nr 100, poz. 1024


§ 1. Rozporządzenie określa:

• 1) sposób prowadzenia i zakres dokumentacji – opisującej sposób przetwarzania danych osobowych

• oraz środki techniczne i organizacyjne – zapewniające ochronę przetwarzanych danych osobowych

odpowiednią do zagrożeń oraz kategorii danych objętych ochroną;• 2) podstawowe warunki techniczne i organizacyjne,

– jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych;

• 3) wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzania danych osobowych.


sposób prowadzenia i zakres dokumentacji

• § 3. 1. Na dokumentację, o której mowa w § 1 pkt 1, składa się

• polityka bezpieczeństwa • i instrukcja zarządzania systemem informatycznym

służącym do przetwarzania danych osobowych, zwana dalej „instrukcją”.

• 2. Dokumentację, o której mowa w § 1 pkt 1, prowadzi się w formie pisemnej.

• 3. Dokumentację, o której mowa w § 1 pkt 1, wdraża administrator danych.


Dz. U. z 2004 r. Nr 100, poz. 1024§ 4. Polityka bezpieczeństwa

• Polityka bezpieczeństwa, o której mowa w § 3 ust. 1, zawiera w szczególności:– wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar,

w którym przetwarzane są dane osobowe;– wykaz zbiorów danych osobowych wraz ze wskazaniem programów

zastosowanych do przetwarzania tych danych;– opis struktury zbiorów danych wskazujący zawartość poszczególnych pól

informacyjnych i powiązania między nimi;– sposób przepływu danych pomiędzy poszczególnymi systemami;– określenie środków technicznych i organizacyjnych niezbędnych dla

zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

• …to jest minimum tego, co być musi jako polityka bezpieczeństwa…


Dz. U. z 2004 r. Nr 100, poz. 1024§ 5. Instrukcja

• Instrukcja, o której mowa w § 3 ust. 1, zawiera w szczególności:– procedury nadawania uprawnień do przetwarzania danych

i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;

– stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;

– procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;

– procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;


Dz. U. z 2004 r. Nr 100, poz. 1024§ 5. Instrukcja (c.d.)

• Instrukcja, o której mowa w § 3 ust. 1, zawiera w szczególności:– sposób, miejsce i okres przechowywania:

• elektronicznych nośników informacji zawierających dane osobowe,• kopii zapasowych, o których mowa w pkt 4,

– sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia;

– sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4;

– procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.


Działania konieczne, poprzedzające, legalizujące przetwarzanie danych osobowych

• zDefiniować politykę bezpieczeństwa informacji;• zDefiniować instrukcje zarządzania systemami informatycznymi

służącymi do przetwarzania danych osobowych;• Posiadać pisemne imienne upoważnienia pracowników do

przetwarzania danych osobowych w związku z pełnionymi przez nich obowiązkami;

• Prowadzić ewidencję osób upoważnionych;• Dokumentować zabezpieczanie przed dostępem osób

nieupoważnionych te pomieszczenia (miejsca), w których wykonywane są jakiekolwiek operacje na danych osobowych;




Ochrona wizerunku


…dane osobowe a dobra osobiste

58

Dane – informacje

Dane – informacje z zakresu oświaty

Dane (informacje) o osobach

Dane osoboweDobra osobiste

Dobra osobiste (K.c., art. 23)

• Dobra osobiste człowieka, • jak w szczególności • zdrowie, wolność, cześć, swoboda sumienia,

nazwisko lub pseudonim, wizerunek, tajemnica korespondencji, nietykalność mieszkania, twórczość naukowa, artystyczna, wynalazcza i racjonalizatorska,

• pozostają pod ochroną prawa cywilnego niezależnie od ochrony przewidzianej w innych przepisach.


Art. 81.Prawo autorskie…

• 1. Rozpowszechnianie wizerunku wymaga zezwolenia osoby na nim przedstawionej. W braku wyraźnego zastrzeżenia zezwolenie nie jest wymagane, jeżeli osoba ta otrzymała umówioną zapłatę za pozowanie.

• 2. Zezwolenia nie wymaga rozpowszechnianie wizerunku: • 1) osoby powszechnie znanej, jeżeli wizerunek wykonano

w związku z pełnieniem przez nią funkcji publicznych, w szczególności politycznych, społecznych, zawodowych;

• 2) osoby stanowiącej jedynie szczegół całości takiej jak zgromadzenie, krajobraz, publiczna impreza.


Świadomość i kompetencja

61niekompetencja

kompetencja

nie

świa

dom

ość

świa

dom

ość


62niekompetencja

kompetencja

nie

świa

dom

ość

świa

dom

ość

Nieświadoma Niekompetencja


63niekompetencja

kompetencja

nie

świa

dom

ość

świa

dom

ość


Świadoma Niekompetencja

Nieświadoma Kompetencja Świadoma Kompetencja


64niekompetencja

kompetencja

nie

świa

dom

ość

świa

dom

ość




wiedza


65niekompetencja

kompetencja

nie

świa

dom

ość

świa

dom

ość




wiedza

Emocje, relacje, uczucia

Normy, zasady, rutyna

Rozumienie, doświadczenie

[email protected]://sites.google.com/site/krzysztofslugocki/501 091 995


ochrona danych osobowych (odo2013)

Education