Podstawy
prawne
Konstytucja RP
Każdy ma prawo do ochrony życia prywatnego, rodzinnego, czci i dobrego imienia
oraz do decydowania o swoim życiu osobistym.
1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby.
2. WŁadze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym.
3. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa.
4. Każdy ma prawo do żądania sprostowania oraz
usunięcia informacji nieprawdziwych, niepełnych
lub zebranych w sposób sprzeczny z ustawą.
5. Zasady i tryb gromadzenia
oraz udostępniania informacji określa ustawa.
Regulacje Unii Europejskiej
Parlamentu Europejskiego i Rady
- Konwencja Rady Europy Nr 108 z 28 stycznia 1981 r.
Ustawa z 29 sierpnia 1997 r.
o ochronie danych osobowych
tekst pierwotny: Dz. U. 1997 r. Nr 133 poz. 883
Ostatnie zmiany weszŁy w życie 7 marca 2011 r.
akty wykonawcze
oraz
ustawy zawierające przepisy szczególne
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r.
w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne sŁużące do przetwarzania danych osobowych
Zarządzenie nr 2
Szefa Kancelarii Prezydenta RP
z dnia 27 lutego 2008 r.
Polityka bezpieczeństwa
danych osobowych
w Kancelarii Prezydenta RP
Zarządzenie nr 22
Szefa Kancelarii
Prezydenta RP
z dnia 13 lipca 2011 r.
Podstawowe zagadnienia ochrony danych osobowych
Definicje
i
pojęcia
Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio
Powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
nadmierne działania
- działania wykraczające poza normalne funkcjonowanie
Definicja jest otwarta.
Nie ma zamkniętego katalogu danych.
imię, nazwisko, nr dow. osobistego
imię, nazwisko, stanowisko, miejsce pracy
numer IP
adres poczty elektronicznej
- Nie ma ustawowej definicji
- Definicja wynika z interpretacji art. 27 ust. 1 ustawy
- Zamknięty (ściśle określony) katalog danych
- Zakaz przetwarzania lub podwyższony rygor przetwarzania
- ujawniające pochodzenie rasowe lub etniczne
- ujawniające poglądy polityczne
- ujawniające przekonania religijne lub filozoficzne
- ujawniające przynależność wyznaniową
- ujawniające przynależność partyjną
- ujawniające przynależność związkową
- ujawniające stan zdrowia
- ujawniające kod genetyczny
- ujawniające nałogi
- ujawniające życie seksualne
- dane dotyczące skazań
- dane dotyczące orzeczeń o ukaraniu
- dane dotyczące mandatów karnych
- dane dotyczące innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym
Każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.
- Nie należy utożsamiać z bazą danych
- Różne nośniki w jednym zbiorze
- dokument papierowy
- nośnik elektroniczny
- nośnik nieelektroniczny np. mikrofilm
- Dane bieżące i archiwalne są jednym zbiorem
Pojęcie ustawowe różne od znaczenia słownikowego.
Jest to wykonywanie jakichkolwiek operacji na danych.
Niszczenie lub modyfikacja tak, aby nie można było ustalić osoby
- anonimizacja
- zaczernienie
- rozmycie wizerunku
- fizyczne zniszczenie
organ, jednostka organizacyjna, podmiot, osoba fizyczna lub prawna
Decyduje o celach i środkach przetwarzania danych osobowych.
- Powoływany przez Administratora Danych
- Nadzoruje przestrzeganie zasad ochrony
- Stosuje środki techniczne i organizacyjne zabezpieczające dane
Każdy komu udostępnia się dane osobowe
z wyłączeniem:
- osoby, której dane dotyczą
- osoby upoważnionej do przetwarzania danych
- organów państwowych lub organów samorządu terytorialnego
w związku z prowadzonym postępowaniem
Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez Administratora danych.
Zasady
przetwarzania
danych
osobowych
legalizmu
Przetwarzać dane zgodnie z prawem
- art. 23 ustawy – warunki przetwarzania danych osobowych
- art. 27 ust. 2 ustawy – warunki przetwarzania danych „wrażliwych”
celowości
- Dane zbierane dla oznaczonych celów.
- Nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami.
Dalsze przetwarzanianie dopuszczalne, jeśli nie narusza praw i wolności osoby oraz następuje w celach:
- naukowych,
- dydaktycznych,
- historycznych,
- statystycznych
poprawności
- Dane poprawne merytorycznie.
- Dane aktualne, a ich treść zgodna ze stanem faktycznym.
Administrator danych każdorazowo:
- ocenia wiarygodność źródła,
- weryfikuje prawdziwość danych,
- dba o aktualizację.
adekwatności
- Dane niezbędne ze względu na cel ich zbierania.
- Dane nie mogą być zbierane „na zapas”,
bez wykazania celu ich zbierania.
ograniczenia czasu
Dane są przechowywane nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania,
a po osiągnięciu celu dane powinny zostać usunięte lub przekazane uprawnionemu podmiotowi
- należy dane usunąć po wykorzystaniu
- stosuje się ustawowe zasady ochrony danych
Regulacje
Kancelarii
Zarządzenie Szefa Kancelarii Prezydenta RP wprowadza dokumentację:
- Polityka bezpieczestwa danych osobowych
w Kancelarii Prezydenta RP
- Instrukcja Zarządzania Systemami Informatycznymi - Polityka Bezpieczestwa Teleinformatycznego w Kancelarii Prezydenta RP
- odpowiedzialność za bezpieczeństwo danych
- ochrona danych przed dostępem do nich osób nieupoważnionych
- zabezpieczanie danych przed zniszczeniem
i nielegalnym ujawnieniem
- zachowanie w tajemnicy danych, w trakcie wykonywania
obowiązków służbowych oraz po ustaniu zatrudnienia
lub współpracy
- zachowanie w tajemnicy sposobów zabezpieczenia
danych osobowych
- Przetwarzanie danych odbywa się wyłącznie
w obszarze przetwarzania
- Pomieszczenia muszą być zabezpieczone
przed dostępem osób nieuprawnionych
- Dokumentację zawierającą dane osobowe należy przechowywać w zamykanych szafach
Teren budynków Kancelarii:
- ul. Wiejska 10
- Pałac Prezydencki
- Rezydencja "Belweder"
- Archiwum Prezydenta
- Rezydencja "Wisła"
- Rezydencja "Jurata"
- udostępnianie systemu teleinformatycznego innemu użytkownikowi
- samodzielne przemieszczanie stacjonarnego sprzętu teleinformatycznego
- modyfikacja lub naprawa sprzętu
- instalacja lub usuwanie oprogramowania
- podłączanie „na własną rękę” jakichkolwiek urządzeń do sieci teleinformatycznej Kancelarii
Sankcje
karne
przetwarzanie danych osobowych w zbiorze, choć ich przetwarzanie nie jest dopuszczalne
- kara ograniczenia wolności do lat 2
- kara pozbawienia wolności do lat 2
- grzywna
przetwarzanie danych osobowych przez osobę nieuprawnioną
- kara ograniczenia wolności do lat 2
- kara pozbawienia wolności do lat 2
- grzywna
nieuprawnione przetwarzanie danych osobowych „wrażliwych”
- kara ograniczenia wolności do lat 3
- kara pozbawienia wolności do lat 3
- grzywna
udaremnianie lub utrudnianie czynności kontrolnej inspektorowi GIODO
- kara ograniczenia wolności do lat 2
- kara pozbawienia wolności do lat 2
Pytania
Piotr Nowakowski
tel. 2168
Dziękuję za uwagę
Dane osobowe wrazżliwe
rejestr PESEL
przykłady
.
akta sądowe, prokuratorskie
kartoteka osób, którym przyznano obywatelstwo polskie, nadano tytuł naukowy
akta osobowe (personalne)
ewidencja pojazdów
kartoteki policyjne
Polityka Bezpieczeństwa
Teleinformatycznego
w Kancelarii Prezydenta RP
Instrukcja Zarządzania
Systemami Informatycznymi
leksykon,
encyklopedia
Zbiór danych osobowych
Administrator
bezpieczenstwa
informacji
wyświetlenie na ekranie monitora
Dane osobowe
Administrator danych osobowych
Odbiorca danych
Przetwarzanie danych osobowych
ale …
- dane w zbiorach doraźnych
- dane wykorzystywane w celach osobistych lub domowych
- jeśli istnieje inna ustawa regulująca przetwarzanie
- do międzynarodowych umów, które wyłączają stosowanie ustawy
- przy transferze danych przez Polskę
'
Dane, do których ustawy nie stosuje sięe
ZABRONIONE JEST
Zabezpieczenie danych
Upoważnienia w Kancelarii
- Szef Kancelarii udziela upoważnień do przetwarzania danych osobowych Sekretarzom i Podsekretarzom Stanu, Dyrektorom i ich Zastępcom.
- Administrator Bezpieczeństwa Informacji udziela upoważnień do przetwarzania danych osobowych
na podstawie wniosku bezpośrednich przełożonych.
.
Obowiazki osób upowaznionych
'
- Administrator Sieci (ASI) odpowiada za zabezpieczenie danych osobowych przetwarzanych w systemach informatycznych