Zasady ochrony danych osobowych

Transkrypt

1 Zasady ochrony danych osobowych tel wew. 227 Tomasz Karoń nauczyciel konsultant, Administrator Bezpieczeństwa Informacji RODN WOM w Częstochowie Obrazek:

2 Ustawa zasadnicza KONSTYTUCJA RZECZYPOSPOLITEJ POLSKIEJ z dnia 2 kwietnia 1997 r. Art Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby. 2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. 3. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa. 4. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. 5. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa. Clipart: Godło:

3 Ustawa o ochronie danych osobowych zwana dalej ustawą Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. (Dz. U r. poz. 922)) Clipart:

4 Ustawa o ochronie danych osobowych Art. 2. Ustawę stosuje się do przetwarzania danych osobowych w: kartotekach, skorowidzach, księgach, wykazach, innych zbiorach ewidencyjnych, w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych. Zdjęcie:

5 Dane osobowe i osoba możliwa do zidentyfikowania Ustawa w art. 6 ust. 1 stanowi, iż za: dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. W ust. 2 analizowanego przepisu ustawy wskazano, iż: osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Ust 3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Zdjęcie i Clipart:

6 Ilekroć w ustawie jest mowa o: zbiorze danych - rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie; przetwarzaniu danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych, Clipart:

7 Ilekroć w ustawie jest mowa o: zabezpieczeniu danych w systemie informatycznym - rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem, usuwaniu danych - rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą; administratorze danych ADO - rozumie się przez to: osobę, decydującą o celach i środkach przetwarzania danych osobowych. Clipart:

8 Zasady przetwarzania danych osobowych Zasada legalności art. 26 ust. 1 pkt 1 Administrator Danych Osobowych ma obowiązek przetwarzać dane z zachowaniem przynajmniej jednej z przesłanek legalności (art. 23): 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, 4) jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

9 Zasady przetwarzania danych osobowych Zasada legalności art. 26 ust. 1 pkt 1 Odrębny reżim przetwarzania danych dotyczy danych szczególnie chronionych danych wrażliwych, sensytywnych (art. 27 ust 1). Zdjęcie:

10 Dane wrażliwe (sensytywne) Danymi wrażliwymi (sensytywnymi) są, wedle postanowień ustawy (art. 27 ust 1), dane: ujawniające pochodzenie rasowe lub etniczne, ujawniające poglądy polityczne, ujawniające przekonania religijne lub filozoficzne, ujawniające przynależność wyznaniową, partyjną lub związkową, o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Clipart:

11 Dane wrażliwe (sensytywne) Przetwarzanie wrażliwych danych osobowych jest dopuszczalne jeżeli (art. 27 ust 2): osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych, przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą i stwarza pełne gwarancje ich ochrony, przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby, gdy osoba, której dane dotyczą nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora, Clipart:

12 Dane wrażliwe (sensytywne) jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych, przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem, Clipart:

13 Dane wrażliwe (sensytywne) przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie, przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych, przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą, Clipart::

14 Zasady przetwarzania danych osobowych Zasada celowości - art. 26 ust. 1 pkt 2 zwana zasadą związania z celem Zbierający dane nie może pominąć, ani zataić celu Nie można określać celu przetwarzania danych w sposób ogólnikowy Cel powinien być zakomunikowany zainteresowanemu przed zebraniem danych Clipart:

15 Zasady przetwarzania danych osobowych Zasada adekwatności - art. 26 ust. 1 pkt 3 Administrator powinien przetwarzać tylko takiego rodzaju dane i o takiej treści, które są niezbędne dla realizacji celu przetwarzania danych. Zakres danych osobowych adekwatnych do celu przetwarzania oceniać trzeba każdorazowo z uwzględnieniem stosunku prawnego w związku z którym administrator przetwarza dane (wyr. NSA 19.XII.2001 r., II SA 2869/2000) W niektórych przepisach wskazano zakres danych adekwatnych do celu przetwarzania są one lex specialis i wyłączają zasadę adekwatności. Clipart:

16 Zasady przetwarzania danych osobowych Zasada ograniczenia czasowego - art. 26 ust. 1 pkt 4 Administrator może przetwarzać dane nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. W tym celu administrator jest zobowiązany do stałego nadzorowania zawartości swoich zbiorów pod kątem konieczności usuwania danych zbędnych. Clipart:

17 Prawa osoby, której dane dotyczą (rozdział 4 ustawy) Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do: uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna - jej miejsca zamieszkania oraz imienia i nazwiska, uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze, uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych, uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie w tajemnicy informacji niejawnych lub zachowania tajemnicy zawodowej, Clipart:

18 Prawa osoby, której dane dotyczą (rozdział 4 ustawy) żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane, wniesienia sprzeciwu wobec przetwarzania jej danych, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych. Clipart:

19 Administrator bezpieczeństwa informacji Zgodnie z regulacją art. 36a ust. 1 ustawy - administrator danych może wyznaczyć administratora bezpieczeństwa informacji - ABI, ADO zapewnia środki i organizacyjną odrębność ABI niezbędne do niezależnego wykonywania zadań (art. 36a ust 8) ABI podlega bezpośrednio ADO (art. 36a ust 7), ADO może powołać zastępców ABI (art. 36a ust 6) Administratorem bezpieczeństwa informacji może być osoba, która (art. 36a ust 5): Ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych; Posiada odpowiednią wiedzę w zakresie ochrony danych osobowych; Nie była karana za przestępstwo umyślne; Clipart:

20 Administrator bezpieczeństwa informacji ADO jest obowiązany zgłosić GIODO powołanie ABI w terminie 30 dni od jego powołania wypełniając zgłoszenie, zawierające m.in.: Oświadczenie ADO o spełnianiu przez ABI warunków określonych w art. 36a ust 5 (niekarany, posiada wiedzę) i w art. 36a ust 7 (podleganie bezpośrednio ADO) Będzie wydane rozporządzenie zawierające wzór zgłoszenia (obecnie na etapie projektu w Komisji Prawniczej) ADO może powierzyć ABI wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania zadań (art. 36a ust. 4) Jeżeli ADO nie powoła ABI to sam wykonuje jego obowiązki za wyjątkiem sporządzania sprawozdania (art. 36b) ABI wyznaczony na podstawie art. 36 ust 3 zmienianej ustawy pełni obowiązki do 30 czerwca 2015 r. (art. 35 ustawy o ułatwieniu działalności gospodarczej). Clipart:

21 Do zadań ABI należy: Administrator bezpieczeństwa informacji zapewnienie przestrzegania przepisów o ochronie danych osobowych, w szczególności poprzez: Sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych os. oraz opracowywanie sprawozdania dla administratora danych Nadzorowanie opracowywania i aktualizowania dokumentacji ochrony danych osobowych oraz przestrzeganie zasad w niej określonych Zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych Sposób realizacji powyższych obowiązków określi rozporządzenie aktualnie jest projekt Prowadzenie jawnego rejestru zbiorów danych przetwarzanych przez ADO

22 Powinno zawierać m.in. (art. 36c): Sprawozdanie dla ADO Określenie przedmiotu i zakresu sprawdzenia Opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz wszelkie informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych osobowych z przepisami Stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z działaniami przywracającymi stan zgodny z prawem Podpis ABI Szczegółowy zakres czynności do których uprawniony jest ABI określa rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. z 2015, poz. 745) Sprawozdanie jest tworzone dla ADO na podstawie: Planu sprawdzeń Działań nieplanowanych np. powzięcia informacji o naruszeniu ochrony Sprawozdanie jest tworzone dla GIODO na podstawie art. 19b ust 1, gdy GIODO zwróci się o to podając zakres i termin sprawdzenia

23 Nadzorowanie opracowywania i aktualizowania dokumentacji ochrony danych Nadzór, polega na weryfikacji: Opracowania i kompletności dokumentacji przetwarzania danych osobowych Zgodności dokumentacji przetwarzania danych z obowiązującymi przepisami Stanu faktycznego w zakresie przetwarzania danych osobowych Skuteczności przewidzianych w dokumentacji środków technicznych i organizacyjnych Przestrzegania obowiązków określonych w dokumentacji przetwarzania danych W przypadku wykrycia nieprawidłowości ABI: Zawiadamia ADO o brakach w dokumentacji, w szczególności przedstawia mu dokumenty do wdrożenia Poucza lub instruuje osoby nieprzestrzegające zasad określonych w dokumentacji lub zawiadamia ADO wskazując osoby odpowiedzialne Powyższe czynności mogą być wykonywane w formie sprawozdania lub dodatkowym dokumencie (notatka służbowa) Clipart:

24 Prowadzenie przez ABI rejestru zbiorów danych ADO ma obowiązek zgłosić zbiór do rejestracji w GIODO za wyjątkiem przypadków określonych w art. 43 ust. 1 i 1a (art. 40 ustawy) Art. 43 ust 1 pkt 4 - obowiązku rejestracji są zwolnieni ADO przetwarzający dane osób u nich zatrudnionych, osób, którym świadczą usługi na podstawie umów cywilnoprawnych, osób u nich zrzeszonych lub uczących się Prowadzenie rejestru przez ABI zdejmuje obowiązek rejestracji zbiorów danych w GIODO za wyjątkiem zbiorów zawierających dane sensytywne (art. 27 ust 1) art. 43 ust 1a ustawy Clipart:

25 Prowadzenie przez ABI rejestru zbiorów danych Na podstawie rozporządzenia Ministra Administracji i Cyfryzacji z 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz. U. z 2015, poz. 719) Rejestr prowadzony jest w formie papierowej lub elektronicznej Szczegółową zawartość rejestru określa art. 41 ust 1 pkt 2 7, powinno się tam znaleźć m.in. podstawa prawna upoważniająca do prowadzenia zbioru danych, cel przetwarzania danych w zbiorze, zakres danych przetwarzanych w zbiorze ABI dokonuje wpisu do rejestru: przy rozpoczęciu przetwarzania w nim danych osobowych, aktualizacji informacji dot. zbioru, wykreślenia zbioru danych ADO udostępnia rejestr albo poprzez witrynę internetową albo w siedzibie administratora każdemu zainteresowanemu Clipart:

26 Rozporządzenie Rozporządzenie Ministra Spraw Wewnetrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) Najważniejsze zapisy Rozporządzenia to: 1. Na dokumentację, o której mowa w 1 pkt 1, składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej instrukcją 2. Dokumentację, o której mowa w 1 pkt 1, prowadzi się w formie pisemnej. 3. Dokumentację, o której mowa w 1 pkt 1, wdraża administrator danych. Clipart:

27 Polityka bezpieczeństwa Polityka bezpieczeństwa, o której mowa w 3 ust. 1, zawiera w szczególności: 1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; 2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; 3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi; 4) sposób przepływu danych pomiędzy poszczególnymi systemami; 5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. Clipart:

28 Instrukcja zarządzania systemem informatycznym Instrukcja, o której mowa w 3 ust. 1, zawiera w szczególności: 1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności; 2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem; 3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu; 4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania; Clipart:

29 Instrukcja zarządzania systemem informatycznym 5) sposób, miejsce i okres przechowywania: a. elektronicznych nośników informacji zawierających dane osobowe, b. kopii zapasowych, o których mowa w pkt 4, 6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia (opr. nieupr. dost. do sys.); 7) sposób realizacji wymogów, o których mowa w 7 ust. 1 pkt 4 (inf. o odbiorcach danych); 8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. Clipart:

30 Upoważnienia art. 37 ustawy - Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. art. 39 ust. 2 ustawy - Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia. Clipart:

31 Stosowane metody i środki Najważniejsze uregulowania: uwierzytelnienia W systemie służącym do przetwarzania danych osobowych stosowane jest uwierzytelnianie użytkownika przy pomocy jego identyfikatora i hasła Identyfikator składa się z pierwszej litery imienia oraz pełnego nazwiska, np. Jan Kowalski identyfikator jkowalski Użytkowników systemu obowiązuje następująca polityka haseł: minimalna długość hasła wynosi 8 (osiem) znaków, zmiana hasła nie rzadziej niż co 30 dni, hasło zawiera małe i wielkie litery oraz cyfry lub znaki specjalne. Użytkownicy systemu nie mogą używać tych samych identyfikatorów, ani wymieniać się identyfikatorami.

32 Procedury rozpoczęcia, zawieszenia i zakończenia pracy w systemie informatycznym pkt 6 Instrukcji Zarządzania Najważniejsze uregulowania: Tworzymy indywidulane konta na stacjach roboczych Ustawiamy wygaszacze ekranu uruchamiające się po 10 minutach bezczynności systemu. Ustawiamy opcję wyświetlania ekranu logowania po wznowieniu Przed zakończeniem pracy na stacji roboczej przenosimy istotne dane do katalogu udostępnionego z portalu wewnętrznego

33 Wygaszacz ekranu i jego opcje Windows 7: Panel sterowania -> Personalizacja -> Wygaszacz ekranu

34 Sposób zabezpieczenia systemu informatycznego przed działalnością szkodliwego oprogramowania. pkt 9 Instrukcji Zarządzania Najważniejsze uregulowania: System informatyczny jest kontrolowany pod kątem obecności wirusów komputerowych, za pomocą licencjonowanego oprogramowania antywirusowego. Po zasygnalizowaniu przez system antywirusowy wystąpienia wirusa, użytkownik powinien natychmiast powiadomić o tym fakcie Administratora Systemu Informatycznego. Podobnie postępujemy gdy mamy podejrzenie, iż w systemie działa wirus. Ponowne uruchomienie systemu może nastąpić jedynie na polecenie upoważnionej przez Administratora Danych osoby

35 Sprawy różne Wysyłanie ów do wielu osób korzystamy z pól UDW (ukryte do wiadomości) lub Bcc (ukryta kopia).

36 Sprawy różne Papierowe zbiory danych osobowych zabezpieczamy przed możliwością wglądu do nich przez osoby nieupoważnione. Clipart:

37 Sprawy różne Przesyłanie list poprzez korzystamy z funkcji szyfrowania np. w Excel plik->informacje ->Uprawnienia->Szyfruj przy użyciu hasła

38 Przepisy karne Art. 49 ust. 1 ustawy - Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Art. 51 ust. 1 ustawy - Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

39 Legitymacja służbowa inspektora biura GIODO legitymacja koloru niebieskiego, napisy w kolorze czarnym: Rzeczpospolita Polska, Biuro Generalnego Inspektora Ochrony Danych Osobowych; numer legitymacji, orzeł z godła RP, pasek przekątny koloru biało-czerwonego; Art. 54a ustawy - Kto inspektorowi udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Obraz: gidoo.gov.pl

40 Dziękuję za uwagę Tomasz Karoń Tel wew. 227 Obrazy: