Jak nie wdepnąć w GIODO, czyli co musi wiedzieć dział HR o ochronie danych osobowych. Jacek Bajorek Instytut Zarządzania Bezpieczeństwem Informacji

Transkrypt

1

2 Jak nie wdepnąć w GIODO, czyli co musi wiedzieć dział HR o ochronie danych osobowych Jacek Bajorek Instytut Zarządzania Bezpieczeństwem Informacji

3 GIODO to nie znaczy Główna Instytucja Ochrony Deportowanych Obcokrajowców GIODO to Generalny Inspektor Danych Osobowych

4

5 Akty prawne dotyczące przetwarzania i ochrony danych osobowych Konstytucja Rzeczpospolitej Polskiej z dnia 2 kwietnia 1997 r. (Dz. U. z 1997 r. Nr 78, poz. 483) Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz ze zmian.) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych(dz. U. z 2004 r. Nr 100, poz. 1024) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. z 2008 r. Nr 229, poz. 1536)

6 Art. 47 Konstytucja Rzeczpospolitej Polskiej z dnia 2 kwietnia 1997 r. (Dz. U. z 1997 r. Nr 78, poz. 483) Każdy ma prawo do życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym. Art Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jej osoby. 2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. 3. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa. 4. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą.

7 Danymi osobowymi - są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości, jeżeli wymagałoby to nadmiernych kosztów, czasu i działań. Danymi osobowymi nie są pojedyncze informacje o dużym stopniu ogólności, np. sama nazwa ulicy i numer domu.

8 CO TO SĄ DANE OSOBOWE? Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych Rozdział 1 Art. 6 : W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

9 DANE OSOBOWE : wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby Numery identyfikacyjne: PESEL, NIP, paszport, dowód osobisty Cechy fizyczne: wygląd zewnętrzny, siatkówka oka, linie papilarne, Cechy fizjologiczne: grupa krwi, kod genetyczny Cechy ekonomiczne: status majątkowy, lista zaległości finansowych Cechy umysłowe, kulturowe lub społeczne: poglądy, wyznanie( pastor XY), pochodzenie lub przynależność związkowa

10 Czy sam numer karty miejskiej jest daną osobową w rozumieniu ustawy o ochronie danych osobowych?

11 Tak, ale tylko wtedy, gdy na jego podstawie można bez nadmiernych kosztów, czasu i działań, określić tożsamość osoby, do której ta karta należy.

12 Przetwarzanie danych Przetwarzanie danych to wszystkie czynności, które wykonujemy na danych osobowych: zbieranie ich, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie a także usuwanie. Przykładem przetwarzania może być przechowywanie danych osobowych w formie akt osobowych pracowników fundacji/stowarzyszenia albo uzupełnianie tych danych o nowe, pozyskane informacje. Samo posiadanie danych jest już traktowane jak ich przetwarzanie.

13 dane osobowe przetwarzane są w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych

14 dane osobowe przetwarzane są w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych

15 JAK CHRONIĆ DANE OSOBOWE? Na każdym szczeblu przetwarzania danych konieczne jest respektowanie procedur, w szczególności: zachowanie rygorów bezpieczeństwa, posługiwanie się wyłącznie własnymi identyfikatorami na wyłącznie własne potrzeby, stosowanie unikalnych loginów, przestrzeganie regulacji dotyczących używanych haseł, okresowe zmiany hasła, bezpieczne przechowywanie haseł, przestrzegania zasady czystego biurka

16 JAK CHRONIĆ DANE OSOBOWE? TYPOWE BŁĘDY Zasada czystego biurka Synchronizacja danych urządzenia mobilne samochody Pozostawianie druków na szybach skanerów drukarkach blatach biurek

17

18

19

20 Jak nie wdepnąć w GIODO, czyli co musi wiedzieć dział

21 Zasady Bezpieczeństwa Informacji Każdy pracownik organizacji jest zobowiązany zachować poufność przetwarzanych danych oraz sposobów ich zabezpieczenia. Dane można wykorzystywać wyłącznie do celów, dla których zostały udostępnione. Dokumenty zawierające informacje podlegające ochronie powinny być przechowywane na biurku i innych miejscach do tego przeznaczonych, w taki sposób, aby osoba nieuprawniona nie miała do nich dostępu. Nośniki informacji (w formie papierowej i elektronicznej) z danymi podlegającymi ochronie nie można pozostawiać w miejscach ogólnodostępnych i niezabezpieczonych oraz nie należy udostępniać osobom nieupoważnionym.

22 Zasady Bezpieczeństwa Informacji ciąg dalszy Nośniki informacji (w formie papierowej i elektronicznej) z danymi podlegającymi ochronie nie można pozostawiać w miejscach ogólnodostępnych i niezabezpieczonych oraz nie należy udostępniać osobom nieupoważnionym. Dokumenty wydrukowane w nadmiernej ilości, a także zawierające błędy lub, które nie są wykorzystywane do żadnych celów należy trwale zniszczyć w sposób uniemożliwiający odtworzenie treści. Dokumenty zawierające informacje podlegające ochronie, przed wyrzuceniem do kosza należy zanonimizować, w taki sposób, aby nie można było odtworzyć ich treści i zidentyfikować osoby, której dane dotyczą, lub zniszczyć za pomocą niszczarki.

23 Zasady Bezpieczeństwa Informacji ciąg dalszy Monitor należy usytuować w taki sposób, aby osoby nieupoważnione wchodzące do pomieszczenia nie miały wglądu do danych na nim wyświetlanych. Przed zalogowaniem się do systemu stacji roboczej należy upewnić się, że w pobliżu nie ma osób trzecich lub urządzeń nagrywających mogących zarejestrować hasła dostępowe do systemów, z których zamierzamy skorzystać. Jeśli występuje takie zagrożenie należy zastosować szczególne środki ostrożności uniemożliwiające zarejestrowanie wpisywanego hasła. Oprogramowanie instaluje tylko i wyłącznie administrator systemu informatycznego, nigdy nie należy robić tego samodzielnie. Dokumenty wydrukowane w nadmiernej ilości, a także zawierające błędy lub, które nie są wykorzystywane do żadnych celów należy trwale zniszczyć w sposób uniemożliwiający odtworzenie treści.

24 Zasady Bezpieczeństwa Informacji ciąg dalszy Nie należy przesyłać informacji służbowych z wykorzystaniem prywatnych nośników oraz wykorzystywać służbowych urządzeń (tj. komputerów, laptopów, telefonów) do prywatnych celów. W przypadku opuszczania stanowiska pracy należy zastosować systemową blokadę komputera, laptopa lub innego elektronicznego nośnika informacji. Przy opuszczaniu miejsca pracy należy zachować zasadę czystego biurka - nośniki informacji umieścić w szafach, szufladach i innych do tego przeznaczonych miejscach oraz upewnić się, że pokój jest zamknięty, gdy jesteśmy jedyną osobą opuszczającą pomieszczenie. Nośniki elektroniczne zawierające informacje podlegające ochronie, poza miejscem pracy należy zabezpieczyć za pomocą środków kryptograficznych. Poza miejscem pracy, szczególnie w miejscach publicznych unikać należy rozmów dotyczących informacji służbowych podlegających ochronie

25 SANKCJE DOSTĘP OSÓB NIEUPRAWNIONYCH (Artykuł 49 Ustawy ODO) Przestępstwo: Przetwarzanie w zbiorze danych osobowych w sytuacji, w której przetwarzanie to nie jest dopuszczalne Przetwarzanie danych przez osobę nieuprawnioną Kara: Grzywna Kara ograniczenia wolności Kara pozbawienia wolności do lat dwóch W przypadku, gdy przetwarzano w ten sposób dane wrażliwe (pochodzenie, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym) kara pozbawienia wolności może wynosić nawet trzy lata

26 SANKCJE NIEZABEZPIECZENIE DANYCH (Artykuł 52 Ustawy ODO) Przestępstwo: Naruszenie przez osobę administrującą danymi obowiązku zabezpieczenia danych przez ich uszkodzeniem, zniszczeniem lub zabraniem przez osobę nieuprawnioną. Przestępstwo to może zostać popełnione również nieumyślnie. Kara: Grzywna Kara ograniczenia wolności Kara pozbawienia wolności do roku

27 SANKCJE OBOWIĄZKI INFORMACYJNE (Artykuł 53 Ustawy ODO) Przestępstwo: Niezgłoszenie zbioru danych pomimo ciążącego obowiązku Kara: Grzywna Kara ograniczenia wolności Kara pozbawienia wolności do roku

28 SANKCJE OBOWIĄZKI INFORMACYJNE (Artykuł 54 Ustawy ODO) Przestępstwo: Niepoinformowanie osoby, której dane dotyczą, o jej prawach Nieprzekazanie tej osobie informacji umożliwiających skorzystanie z jej praw przyznanych w Ustawie Kara: Grzywna Kara ograniczenia wolności Kara pozbawienia wolności do roku

29 Dziękuję za uwagę Jacek Bajorek