OCHRONA DANYCH OSOBOWYCH W CENTRALNYM BIURZE ANTYKORUPCYJNYM. Wydział Ochrony Informacji Departamentu Ochrony CBA

Transkrypt

1 OCHRONA DANYCH OSOBOWYCH W CENTRALNYM BIURZE ANTYKORUPCYJNYM Wydział Ochrony Informacji Departamentu Ochrony CBA

2 OCHRONA DANYCH OSOBOWYCH OD WYROKU DO WYROKU K54/07 K23/11 23 czerwca 2009 r. 30 lipca 2015 r.

3 STRUKTURA SYSTEMU I UPRAWNIENIA SYSTEM OCHRONY BUDOWANY W OPARCIU O ODPOWIEDZIALNOŚĆ ADMINISTRATORA DANYCH OSOBOWYCH - SZEF CBA WEWNĘTRZNY MECHANIZM NADZORU, OPARTY NA UPRAWNIENIACH KONTROLNYCH PEŁNOMOCNIKA DO SPRAW KONTROLI PRZETWARZANIA PRZEZ CBA DANYCH OSOBOWYCH, KTÓREGO NIEZALEŻNOŚĆ JEST GWARANTOWANA W USTAWIE

4 PEŁNOMOCNICY do spraw OCHRONY DANYCH OSOBOWYCH INFORMACJI NIEJAWNYCH Nadzór nad zgodnością przetwarzania danych osobowych gromadzonych przez CBA z przepisami ustawy oraz przepisami o ochronie danych osobowych Podlegając bezpośrednio kierownikowi jednostki organizacyjnej, odpowiada za zapewnienie przestrzegania przepisów o ochronie informacji niejawnych

5 ELEMENTY NIEZALEŻNOŚCI WOBEC ADO PEŁNOMOCNIK POWOŁYWANY PRZEZ SZEFA CBA, ALE ODWOŁYWANY ZA ZGODĄ PREZESA RADY MINISTRÓW, PO ZASIĘGNIĘCIU OPINII SEJMOWEJ KOMISJI DO SPRAW SŁUŻB SPECJALNYCH W PRZYPADKU NARUSZENIA PRZEPISÓW REALIZUJE NIEZWŁOCZNIE OBOWIĄZEK INFORMACYJNY WOBEC PREZESA RADY MINISTRÓW I SZEFA CBA COROCZNIE PRZEDSTAWIA SPRAWOZDANIE PREZESOWI RADY MINISTRÓW, SEJMOWEJ KOMISJI DO SPRAW SŁUŻB SPECJALNYCH ORAZ GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

6 STRUKTURA SYSTEMU I UPRAWNIENIA PEŁNOMOCNIK DO SPRAW KONTROLI PRZETWARZANYCH PRZEZ CBA DANYCH OSOBOWYCH - art. 22b ust. 1 ustawy o CBA POSIADA UPRAWNIENIA I WYKONUJE OBOWIĄZKI ADMINISTRATORA BEZPIECZEOSTWA INFORMACJI - art. 22b ust. 2 ustawy o CBA

7 URPAWNIENIA PEŁNOMOCNIKA USTAWA O CBA RZETELNA, OBIEKTYWNA I NIEZALEŻNA KONTROLA PRAWIDŁOWOŚCI PRZETWARZANIA DANYCH OSOBOWYCH wgląd do dokumentów związanych z kontrolą, swobodny dostęp do pomieszczeń, żądanie pisemnych wyjaśnień USTAWA O OCHRONIE DANYCH OSOBOWYCH sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych nadzorowanie opracowywania i aktualizowania dokumentacji zapoznawanie z przepisami upoważnionych do przetwarzania danych osobowych prowadzenie rejestru zbiorów

8 STRUKTURA SYSTEMU LADO ADO AS ADO - administrator danych osobowych Szef CBA LADO - lokalni administratorzy danych osobowych statutowi kierownicy jednostek organizacyjnych CBA, odpowiedzialni za realizację regulaminowych zadao jednostki ABZ FUNKCJONARIUSZ UPRAWNIONY DO PRZETWARZANIA DANYCH OSOBOWYCH PEŁNOMOCNIK - ABI AS administrator systemu, kierownik jednostki organizacyjnej odpowiedzialnej za zapewnienia ciągłości działania systemów i sieci teleinformatycznych ABZ - administratorzy bezpieczeostwa zbiorów w poszczególnych jednostkach organizacyjnych CBA

9 ZAŁOŻENIA SYSTEMU OCHRONY INFORMACJE NIEJAWNE NA PODSTAWIE UOIN INFORMACJE PRAWNIE CHRONIONE Z WYŁĄCZENIEM UOIN DANE OSOBOWE INFORMACJE JAWNE

10 KLASYFIKOWANE JAKO: ŚCIŚLE TAJNE, TAJNE, POUFNE I ZASTRZEŻONE ZE WZGLĘDU NA STOPIEO SZKODY DLA RZECZYPOSPOLITEJ POLSKIEJ TAJEMNICA POSTĘPOWANIA PRZYGOTOWAWCZEGO TAJEMNICA BANKOWA TAJEMNICA LEKARSKA PRZEPISY RESORTOWE USTAWA o CBA USTAWA o NARODOWYM ZASOBIE ARCHIWALNYM i ARCHIWACH ROZPORZĄDZENIA, ZARZĄDZENIA, DECYZJE, PROCEDURY WEWNĘTRZNE

11 LEX GENERALIS ART. 5 UODO Jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw

12 LEX SPECIALIS DEROGAT LEGI GENERALI Przepis specjalny uchyla przepis ogólny w całości, jeśli są one zakresowo tożsame, jeśli nie, przepis ogólny jest uchylany tylko w takim zakresie, w jakim dotyczy lex specialis!

13 NAJWAŻNIEJSZE! Rozpoznanie, które przepisy dają dalej idącą ochronę, a które kształtują ją w odmienny sposób, dając dodatkowe gwarancje ochrony

14 Problem identyfikacji prawnych podstaw ochrony Powinno się w miarę możliwości dbać o to, aby wykładnia i stosowanie przepisów szczególnych dotyczących przetwarzania danych osobowych nie prowadziły do kwestionowania lub marginalizacji znaczenia i podważania zasad sformułowanych w ustawie o ochronie danych osobowych. (J Bart, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Lex, Warszawa 2011, s. 334)

15 Gwarancje ochrony danych osobowych na podstawie przepisów o ochronie informacji niejawnych BEZPIECZEŃSTWO OSOBOWE ŚRODKI OCHRONY FIZYCZNEJ STREF OCHRONNYCH BEZPIECZEŃSTWO AKREDYTOWANYCH SYSTEMÓW TELEINFORMATYCZNYCH

16 Główne zasady przetwarzania danych osobowych - art. 26 uodo Legalności Celowości Adekwatności Merytorycznej poprawności Ograniczenia czasowego Zasady porządkujące przetwarzania danych osobowych w systemie ochrony informacji niejawnych

17 Konstytucyjne ograniczenie wolności i praw art. 31 ust. 3 Konstytucji RP Ograniczenia w zakresie korzystania z konstytucyjnych wolności i praw mogą być ustanawiane tylko w ustawie i tylko wtedy, gdy są konieczne w demokratycznym państwie dla jego bezpieczeństwa lub porządku publicznego, bądź dla ochrony środowiska, zdrowia i moralności publicznej, albo wolności i praw innych osób. Ograniczenia te nie mogą naruszać istoty wolności i praw.

18 Kształtowanie procedur zgodnie z zasadami ochrony danych osobowych Ograniczenia, o których mowa w art. 31 ust. 3 KRP są konieczne, wskazuje na to zakres zadań realizowanym przez CBA, mieszczący się w katalogu dóbr konstytucyjnie chronionych. Podstawa prawna, cel i zakres tych ograniczeń określony jest w przepisach prawa rangi ustawowej. Administrator danych daje gwarancje bezpieczeństwa w postaci weryfikacji i niezwłocznego usunięcia zbędnych danych. Administrator stosuje środki ingerencji odpowiadające zasadzie proporcjonalności.

19 Zasada ograniczenia czasowego priorytet w działaniach Pełnomocnika Ustawa nakłada na administratora danych obowiązek przechowywania danych w postaci umożliwiającej identyfikację osób, których dane dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania

20 Zasada ograniczenia czasowego Po osiągnięciu celu dane powinny zostać usunięte, zanonimizowane lub też przekazane podmiotowi uprawnionemu ustawowo do ich przejęcia od administratora m.in. przekazane do archiwum państwowego

21 Weryfikacja danych osobowych pod kątem dalszego przetwarzania Okresowa przeprowadzana w jednostce organizacyjnej nie rzadziej raz na 5 lat Bieżąca przeprowadzana przez funkcjonariusza badającego niezbędność dalszego przetwarzania danych w odniesieniu do realizowanych zadań Specjalna wynikająca z zastosowania odrębnego trybu określonego w przepisie szczególnym

22 Realizacja obowiązku weryfikacji i usuwania danych zbędnych podlega w CBA kontroli

23 Zasady przetwarzania danych osobowych hermetyzują system ochrony informacji niejawnych

24 DZIĘKUJĘ ZA UWAGĘ! oprac. Iwona Zwierzykowska