odo03a 20150821
TRANSCRIPT
Istota i praktyka ochrony danych osobowych
wybrane zagadnienia
[email protected]/site/krzysztofslugocki501 091 995prezi.com/user/eGockislideshare.net/eGocki
Prawo ochrony danych osobowych
• …stosuje się do
•przetwarzania•danych osobowych•w zbiorach danych osobowych
Co to znaczy chronić dane osobowe?
• …gdy są przetwarzane w zbiorze• chronić, to legalnie przetwarzać• legalnie, to zgodnie z prawem („uodo”)
• zgodnie z prawem, • to zgodnie z zasadami zebranymi w „uodo”• poznanie tych zasad prowadzi do praktyki „uodo”• praktyka ma wymiar techniczny i organizacyjny.
Istota i praktyka - cele
• Co się zmieniło?•O co chodzi w ochronie danych osobowych?
• Dokumentacja ochrony danych osobowych – czyli co (2015)?
• Obowiązki ABI, ADO – jakie, zwłaszcza po zmianach?
Co się nie zmienia?• Przepisy ogólne
•Zasady przetwarzania danych osobowych
• Prawa osoby, której dane dotyczą
• Przepisy [email protected]
Czyli co się nie zmienia?
• Nie zmienia się •istota pojmowania i stosowania • prawa ochrony danych osobowych
Co się zmienia?
• Zadania i zakres uprawnień organu ochrony danych osobowych (GIODO)
• Przekazywanie danych osobowych do państwa trzeciego• Rejestracja zbiorów danych
osobowych (w aspekcie obowiązków ABI)• Zakres zabezpieczenia danych osobowych (w aspekcie obowiązków ABI)
• ABI (warunkowo) przybywa obowiązkó[email protected]
Czyli co się zmienia?• …czy jest ABI („po nowemu”)?•…przybywa znacząco pracy dla ABI… (dokumentacja)
• …i pewnie „bardzo wzrośnie” poziom bezpieczeństwa przetwarzania danych osobowych ;)
Cele (świadomość)
• Budowanie świadomości konieczności przestrzegania prawa ochrony danych osobowych i dóbr osobistych • analiza przykładów złych i dobrych praktyk;
Cele (dokumentacja)
• Przykłady i analiza dobrych i złych praktyk
• w odniesieniu do koniecznych form i zakresów
• dokumentacji przetwarzania danych osobowych
• (2015 – ABI – więcej…)
Cele (samodzielność)
• Wyposażenie uczestników szkolenia
• w wiedzę, umiejętności i narzędzia
• niezbędne do samodzielnego przeprowadzenia analogicznych szkoleń • dla pracowników swego podmiotu.
Istota i praktyka
• ochrona danych osobowych, czyli…• jak chronić dane osobowe? • jak legalnie przetwarzać dane osobowe?• jak dbać o bezpieczeństwo danych
osobowych?
• świadomość postępowanie• obowiązki i prawa• procedury• dokumenty
Konieczność stosowania prawa
• Dane osobowe!• Dane osobowe się przetwarza!• Dane osobowe muszą być
chronione!
• Ochrona danych osobowych jest na poziomie wymagającym znaczącej poprawy!
n.GIODOp. Bielak-
Jomaa
Tak - dane osobowe trzeba chronić!
• Dane osobowe – czyli co?
• Chronić – czyli co czynić?
Dane osobowe
• Co to są dane osobowe?• Jak odróżnić informacje będące
danymi osobowymi od innych informacji?
Co to są dane osobowe?
• Art. 6. 1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
Co to znaczy „chronić”? (przetwarzanie)
• Art. 1. 1. Każdy ma prawo do ochrony dotyczących go danych osobowych.
• 2. Przetwarzanie danych osobowych może mieć miejsce • ze względu na dobro publiczne, dobro osoby,
której dane dotyczą, lub dobro osób trzecich w zakresie i trybie określonym ustawą.
Co to znaczy „chronić”? (zasady, prawa, zbiory)
• Art. 2. 1. Ustawa określa • zasady postępowania
przy przetwarzaniu danych osobowych • oraz prawa osób fizycznych, • których dane osobowe są lub mogą być
przetwarzane w zbiorach danych.
Co to znaczy „chronić”? (zbiory „tradycyjne” i „informatyczne”)
• Art. 2. 2. Ustawę stosuje się do przetwarzania danych osobowych:
• 1) w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych,
• 2) w systemach informatycznych, • także w przypadku przetwarzania
danych poza zbiorem danych.
Co to znaczy „chronić”? Istota i praktyka
• …chronić, gdy są przetwarzane (w zbiorze)…• …chronić, to legalnie przetwarzać…• legalnie (?), to znaczy zgodnie z prawem ochrony danych osobowych…
• zgodnie z prawem (?), to znaczy zgodnie z zasadami zebranymi w ustawie o ochronie danych osobowych;• poznanie tych zasad prowadzi do praktyki ochrony danych osobowych;• praktyka ma wymiar techniczny i organizacyjny.
Warunki legalności przetwarzania danych
osobowych
23
Przykłady przetwarzania danych osobowych
„Lista na korytarzu”,
„Lista w Internecie”…
„Zdjęcia w … Internecie”…
„ewidencje, bazy danych”,…
„Ogólne” / „wspólne” (uodo)„Wspólne” / „szczegółowe”
(uodo)„Szczegółowe” (uodo i inne przepisy
prawa)
Ustawa to zasady…elementarna zasada
przetwarzania
25
przesłanki dopuszczalności
(legalności) przetwarzania
danych [email protected]
Ustawa to zasady…elementarna zasada
przetwarzania
27
zgodauprawnie
nieprzepis prawa
Ustawa to zasady…elementarna zasada
przetwarzania
28
zgoda
uprawnienie
przepis prawaprzesłanki
dopuszczalności (legalności)
przetwarzania danych osobowych
Art. 23 ust. 1• ROZDZIAŁ 3. Zasady przetwarzania danych osobowych
• Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
• 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,
• 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
• 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
• 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,• 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych
celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Art. 23 ust. 1 pkt 1• ROZDZIAŁ 3. Zasady przetwarzania danych osobowych
• Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
• 1) osoba, której dane dotyczą, •wyrazi na to zgodę, • chyba że chodzi o usunięcie dotyczących jej danych,
Definicja zgody• Art. 7. Ilekroć w ustawie jest mowa o:
• 5) zgodzie osoby, której dane dotyczą — • rozumie się przez to oświadczenie
woli, • którego treścią jest zgoda na przetwarzanie
danych osobowych tego, kto składa oświadczenie; • zgoda nie może być domniemana
lub dorozumiana z oświadczenia woli o innej treści;
• zgoda może być odwołana w każdym czasie,
Zgoda na przetwarzanie danych osobowych oświadczenie woli
• Wyrażenie zgody• Podpis• Wskazanie zakresu podmiotowego • (kto? komu?)
• Wskazanie zakresu przedmiotowego• (na co wyraża się zgodę? – cel wyrażenia zgody)• (wskazanie zakresu danych osobowych)• (gdzie i kiedy zgoda jest wyrażana?)• (wskazanie zakresu czasowego i miejscowego
obowiązywania zgody)• (wskazanie ewentualnej formy, trybu itp. obowiązywania zgody)
orzeczenie NSA (sygn. akt II SA 2135/2002)
• Zgoda na przetwarzanie danych osobowych musi mieć charakter wyraźny, a jej wszystkie aspekty muszą być jasne dla podpisującego w momencie jej wyrażania.
• Czynności takiej nie konwaliduje późniejsze poinformowanie o treści regulaminu, ani możliwość zgłoszenia zastrzeżeń wobec pewnych form przetwarzania danych.
…z orzecznictwa także wynika
• zgoda: • nie może mieć charakteru
abstrakcyjnego; • nie może dotyczyć przetwarzania danych
w ogóle;• musi się odnosić do skonkretyzowanego
stanu faktycznego;• musi obejmować jedynie pewnie
i jednoznacznie określone dane; • musi mieć sprecyzowany sposób i cel ich
przetwarzania. [email protected]
Art. 23 ust. 1 pkt 2• ROZDZIAŁ 3. Zasady przetwarzania danych osobowych
• Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
• 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,
• 2) jest to niezbędne dla zrealizowania uprawnienia
• lub spełnienia obowiązku wynikającego z przepisu prawa,
• 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
• 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,• 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów
danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Uprawnienie lub spełnianie obowiązku wynikającego
z przepisu prawa
37
„Moc obowiązywania normy niższego stopnia wypływa z autorytetu normy wyższego stopnia. Norma niższego stopnia obowiązuje jeśli została ustanowiona na podstawie prawnego upoważnienia normy wyższego stopnia, w sposób przewidziany przez prawo.”
Art. 23 ust. 1 pkt 5• ROZDZIAŁ 3. Zasady przetwarzania danych osobowych
• Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
• 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,
• 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
• […]
• 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów
• realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Art. 23 ust. 1 pkt 5• ROZDZIAŁ 3. Zasady przetwarzania danych osobowych
• Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:• 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba
że chodzi o usunięcie dotyczących jej danych,• 2) jest to niezbędne dla zrealizowania uprawnienia lub
spełnienia obowiązku wynikającego z przepisu prawa,• […]• 5) jest to niezbędne dla wypełnienia
prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
39
…ale jaki na to
…jest to niezbędne dla wypełnienia prawnie
usprawiedliwionych celów• Art. 2. 3. W odniesieniu do zbiorów danych
osobowych • sporządzanych doraźnie, • wyłącznie ze względów technicznych,
szkoleniowych • lub w związku z dydaktyką w szkołach
wyższych, • a po ich wykorzystaniu niezwłocznie
usuwanych albo poddanych anonimizacji, • mają zastosowanie jedynie przepisy
rozdziału [email protected]
…jest to niezbędne dla wypełnienia prawnie
usprawiedliwionych celów• Art. 2. 3. W odniesieniu do zbiorów danych
osobowych • sporządzanych doraźnie, • wyłącznie ze względów technicznych,
szkoleniowych • lub w związku z dydaktyką w szkołach
wyższych, • a po ich wykorzystaniu niezwłocznie
usuwanych albo poddanych anonimizacji, • mają zastosowanie jedynie przepisy
rozdziału 5.41
…ale jaki na to
Środki techniczne i organizacyjne - dokumentacja
• Art. 36. 1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne • zapewniające ochronę przetwarzanych danych
osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, • a w szczególności powinien zabezpieczyć dane
przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Środki techniczne i organizacyjne - dokumentacja• Art. 36. 1. Administrator danych jest
obowiązany • zastosować środki techniczne i organizacyjne • zapewniające ochronę przetwarzanych danych
osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, • a w szczególności powinien zabezpieczyć dane przed ich
udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
• 2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1.
43
Dowodem na to jest
Upoważnienia i ewidencja upoważnień
• Art. 37. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.
• Art. 39. 1. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, […]
Ewidencja upoważnień
• Art. 39. 1. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:• 1) imię i nazwisko osoby upoważnionej,• 2) datę nadania i ustania • oraz zakres upoważnienia do przetwarzania
danych osobowych,• 3) identyfikator, • jeżeli dane są przetwarzane w systemie
Dokumentacja wymagająca zdefiniowania
• Art. 39. 2. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.
• Art. 38. Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.
Dokumentacja, rozporządzenie
• Art. 39a. Minister właściwy do spraw administracji publicznej w porozumieniu z ministrem właściwym do spraw informatyzacji określi, w drodze rozporządzenia, sposób prowadzenia i zakres dokumentacji, o której mowa w art. 36 ust. 2, oraz podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, uwzględniając zapewnienie ochrony przetwarzanych danych osobowych odpowiedniej do zagrożeń oraz kategorii danych objętych ochroną, a także wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzanych danych.
484848
Warunki legalności przetwarzania
danych osobowych
Przykłady przetwarzania danych osobowychElementarna zasada legalności
„Lista na korytarzu”
„Zdjęcia w Internecie”
„ewidencje”
„Ogólne” / „wspólne” (u.o.d.o.)
„Wspólne” / „szczegółowe” (u.o.d.o.)
„Szczegółowe” (o.o.d.o. i inne)
Warunki legalności przetwarzania danych
osobowych• Dysponować indywidualnymi zgodami (oświadczeniami woli) na
przetwarzanie danych osobowych w różnych kontekstach ich przetwarzania lub dysponować uprawnieniem do przetwarzania, wynikającym z przepisu prawa, lub dowieść wypełnienia innej przesłanki legalności przetwarzania wynikającej z art. 23 ust. 1;
• zDefiniować politykę bezpieczeństwa informacji;• zDefiniować instrukcje zarządzania systemami informatycznymi
służącymi do przetwarzania danych osobowych;• Posiadać pisemne imienne upoważnienia pracowników do przetwarzania
danych osobowych w związku z pełnionymi przez nich obowiązkami;• Prowadzić ewidencję osób upoważnionych;• Rejestrować zbiory danych osobowych u Generalnego Inspektora
Ochrony Danych Osobowych;
Zdefiniować politykę bezpieczeństwa; zdefiniować
instrukcje…
• Rozporządzenie w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych
• Dz. U. z 2004 r. Nr 100, poz. 1024
§ 1. Rozporządzenie określa:
• 1) sposób prowadzenia i zakres dokumentacji • opisującej sposób przetwarzania danych osobowych
• oraz środki techniczne i organizacyjne • zapewniające ochronę przetwarzanych danych
osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną;
• 2) podstawowe warunki techniczne i organizacyjne, • jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych;
• 3) wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzania danych osobowych.
sposób prowadzenia i zakres dokumentacji
• § 3. 1. Na dokumentację, o której mowa w § 1 pkt 1, składa się
• polityka bezpieczeństwa • i instrukcja zarządzania systemem
informatycznym służącym do przetwarzania danych osobowych, zwana dalej „instrukcją”.
• 2. Dokumentację, o której mowa w § 1 pkt 1, prowadzi się w formie pisemnej.
• 3. Dokumentację, o której mowa w § 1 pkt 1, wdraża administrator danych.
Dz. U. z 2004 r. Nr 100, poz. 1024§ 4. Polityka bezpieczeństwa• Polityka bezpieczeństwa, o której mowa w § 3 ust. 1,
zawiera w szczególności:• wykaz budynków, pomieszczeń lub części pomieszczeń,
tworzących obszar, w którym przetwarzane są dane osobowe;• wykaz zbiorów danych osobowych wraz ze wskazaniem
programów zastosowanych do przetwarzania tych danych;• opis struktury zbiorów danych wskazujący zawartość
poszczególnych pól informacyjnych i powiązania między nimi;• sposób przepływu danych pomiędzy poszczególnymi systemami;• określenie środków technicznych i organizacyjnych niezbędnych
dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
• …to jest minimum tego, co być musi jako polityka bezpieczeństwa…
Dz. U. z 2004 r. Nr 100, poz. 1024§ 5. Instrukcja
• Instrukcja, o której mowa w § 3 ust. 1, zawiera w szczególności:• procedury nadawania uprawnień do przetwarzania
danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
• stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
• procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
• procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
Dz. U. z 2004 r. Nr 100, poz. 1024§ 5. Instrukcja (c.d.)
• Instrukcja, o której mowa w § 3 ust. 1, zawiera w szczególności:• sposób, miejsce i okres przechowywania:• elektronicznych nośników informacji zawierających dane osobowe,• kopii zapasowych, o których mowa w pkt 4,
• sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia;
• sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4;
• procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.
Działania konieczne, poprzedzające, legalizujące przetwarzanie danych
osobowych
• Dysponować indywidualnymi zgodami (oświadczeniami woli) na przetwarzanie danych osobowych w różnych kontekstach ich przetwarzania lub dysponować uprawnieniem do przetwarzania, wynikającym z przepisu prawa, lub dowieść wypełnienia innej przesłanki legalności przetwarzania wynikającej z art. 23 ust. 1;
• zDefiniować politykę bezpieczeństwa informacji;• zDefiniować instrukcje zarządzania systemami informatycznymi
służącymi do przetwarzania danych osobowych;• Posiadać pisemne imienne upoważnienia pracowników do przetwarzania
danych osobowych w związku z pełnionymi przez nich obowiązkami;• Prowadzić ewidencję osób upoważnionych;• Rejestrować zbiory danych osobowych u Generalnego Inspektora
Ochrony Danych Osobowych;
…dane osobowe a dobra osobiste
58
Dane – informacje
Dane – informacje z zakresu funkcjonowania danego
podmiotu
Dane (informacje) o osobach
Dane osobowe Dobra
osobiste
Dobra osobiste (K.c., art. 23)
• Dobra osobiste człowieka, • jak w szczególności • zdrowie, wolność, cześć, swoboda sumienia,
nazwisko lub pseudonim, wizerunek, tajemnica korespondencji, nietykalność mieszkania, twórczość naukowa, artystyczna, wynalazcza i racjonalizatorska,
• pozostają pod ochroną prawa cywilnego niezależnie od ochrony przewidzianej w innych przepisach.
Art. 81.Prawo autorskie…
• 1. Rozpowszechnianie wizerunku wymaga zezwolenia osoby na nim przedstawionej. W braku wyraźnego zastrzeżenia zezwolenie nie jest wymagane, jeżeli osoba ta otrzymała umówioną zapłatę za pozowanie.
• 2. Zezwolenia nie wymaga rozpowszechnianie wizerunku:
• 1) osoby powszechnie znanej, jeżeli wizerunek wykonano w związku z pełnieniem przez nią funkcji publicznych, w szczególności politycznych, społecznych, zawodowych;
• 2) osoby stanowiącej jedynie szczegół całości takiej jak zgromadzenie, krajobraz, publiczna impreza.
Świadomość i kompetencja
61
niekompetencja
kompetencja
nieś
wiad
omoś
ć
świa
dom
ość
Nieświadoma Niekompetencja Świadoma Niekompetencja
Nieświadoma Kompetencja Świadoma Kompetencja
wiedza
Działanie + emocje, relacje, uczucia
Normy, zasady, rutyna
Rozumienie, doświadczenie
