Ochrona Danych Osobowych. Poradnik Dla Przedsiębiorców

Transkrypt

1

2 Ochrona Danych Osobowych. Poradnik Dla Przedsiębiorców Niniejsza publikacja chroniona jest prawami autorskimi. Dystrybucja publikacji, a także jej powielanie, wypożyczanie, wystawienie, wyświetlenie, nadawanie, reemitowanie, tłumaczenie, zmiany układu lub jakiekolwiek inne zmiany, wykonywanie opracowań, w tym przeróbek i adaptacji całości publikacji, jak i jej części składowych, zwielokrotnianie za pomocą druku, technik reprograficznych, filmu, zapisu magnetycznego, nośnika elektronicznego, nośnika cyfrowego, technik gsm i umts, wprowadzanie do obrotu, udostępnianie publiczne oraz modyfikowanie bez wyraźniej zgody Wydawcy jest zabronione. Wpisanie publikacji do pamięci komputera, a także jej udostępnienia za pośrednictwem sieci komputerowych, w tym Internetu, intranetu, extranetu bez zgody Wydawcy jest zabronione. Powyższy zakaz dotyczy w szczególności stron internetowych prywatnych i komercyjnych, klientów P2P, forów internetowych, społeczności internetowych itp. W przypadku wykrycia wyżej wymienionych sytuacji, Wydawca uprawniony jest do dochodzenia względem osoby lub podmiotu trzeciego dopuszczającego się, któregoś z wyżej opisanych naruszeń, roszczeń z tytułu złamania przepisów obowiązującego prawa, w tym w szczególności ustawy o prawie autorskim i prawach pokrewnych, a także dochodzić odszkodowania na zasadach opisanych w powszechnie obowiązujących przepisach prawa, w związku z naruszeniem praw własności oraz praw autorskich do danej publikacji lub jej kopii. Wydanie I, Rybnik 2010 Wszelkie prawa zastrzeżone! WYDAWCA: Hostersi Sp. z o.o. ul. Dworek 23, Rybnik 2 Poradnik dla przedsiębiorców

3 Spis treści WSTĘP /04 CZĘŚĆ I Podstawowe pojęcia, zasady i obowiązki. /05 Ustawa o ochronie danych osobowych co określa i kogo obowiązuje? /05 Co to są dane osobowe? /05 Dane zwykłe i dane wrażliwe - czym się różnią? /06 Co to jest zbiór danych? /06 Rejestracja zbioru danych /06 Sposób dokonywania zgłoszenia /06 Kto jest zwolniony z obowiązku rejestracji zbioru danych osobowych? /07 Na czym polega przetwarzanie danych osobowych? /09 Zasady przetwarzania danych osobowych. /09 Jak przetwarzać dane wrażliwe? /10 Sposób zbierania danych osobowych czyli poinformuj! /10 Jak chronić dane osobowe? czyli polityka bezpieczeństwa i instrukcja zarządzania systemami informatycznymi /12 Ekspert radzi marketing w świetle ochrony danych osobowych /13 CZĘŚĆ II Administracja danymi osobowymi /14 Kto to jest administrator danych osobowych? /14 Administrator bezpieczeństwa informacji - kim jest? /14 Zadania ABI /14 Ekspert radzi Kto powinien pełnić w firmie funkcję administratora bezpieczeństwa informacji (ABI)? /15 CZĘŚĆ III Dane osobowe a outsourcing /17 Ekspert radzi O czym należy pamiętać powierzając dane osobowe firmie hostingowej? /18 CZĘŚĆ IV Zadania i obowiązki GIODO /20 GIODO czuwa nad bezpieczeństwem /20 Co należy do obowiązków GIODO? /20 Kontrola GIODO czyli co sprawdzą inspektorzy? /20 Nieprawidłowości i co dalej? /21 Odpowiedzialność karna czy warto ryzykować? /21 Prawo podąża za postępem cywilizacyjnym czyli kilka słów o nowelizacji /22 PODSUMOWANIE /22 3 Poradnik dla przedsiębiorców

4 Wstęp Początek XXI wieku to era dwóch światów realnego i wirtualnego Coraz częściej zauważa się, że granica między tym, co realne i namacalne, a tym, co obecne w cyberprzestrzeni zaczyna się zacierać. Internet stał się nieodłącznym elementem życia codziennego, będąc praktycznie wszędzie! Jego imperium, prócz komputerów osobistych, opanowało także zaawansowaną telefonię komórkową. Łatwość wejścia do wirtualnego świata może wiązać się jednak z pewnymi nieprzyjemnymi dla użytkownika konsekwencjami. Popularność licznych portali społecznościowych, poznawanie nowych ludzi, wymienianie się informacjami dotyczącymi nie tylko naszego życia prywatnego, ale i zawodowego, rodzi przede wszystkim obawy o bezpieczeństwo naszej prywatności. Zarówno w realnym, jak i w wirtualnym świecie zostawiamy ślady naszej obecności. Każdy z nas powinien mieć świadomość istotności bezpieczeństwa danych osobowych Niestety, w dalszym ciągu temat ochrony danych osobowych jest mało znany firmom odpowiedzialnym za ich gromadzenie i przechowywanie. Nieprzyjemnych konsekwencji wynikających z nieprawidłowego przetwarzania danych osobowych, na które narażone są zarówno podmioty przetwarzające dane osobowe, jak i podmioty, których te dane dotyczą, stworzyliśmy ten oto poradnik, który pomoże przedsiębiorcom w zgłębieniu tego tematu. O kwestii dotyczącej danych osobowych, zasad ich gromadzenia, przechowywania, zabezpieczania itd. traktuje Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2002, Nr 101, poz. 926 wraz z późn. zm.) w niniejszej publikacji określać ją będziemy jako Ustawa. Warto jednak pamiętać, że tematyka ta pojawia się też w wielu innych aktach prawnych, które często modyfikują zasady wynikające z tejże Ustawy. W Poradniku tym wyjaśniamy najważniejsze i podstawowe zadania i obowiązki związane z gromadzeniem i przetwarzeniem danych osobowych, a wynikające z przepisów prawa. Materiał uzupełniają praktyczne porady ekspertów zajmujących się przetwarzaniem danych osobowych. W ostatniej części Poradnika uwzględniliśmy ostatnią nowelizację Ustawy o ochronie danych osobowych i innych przepisów, uchwaloną przez Sejm RP 29 października 2010 r. Przepisy te wejdą w życie na początku 2011 r. 4 Poradnik dla przedsiębiorców

5 CZĘŚĆ I Podstawowe pojęcia, zasady i obowiązki Ustawa o ochronie danych osobowych co określa i kogo obowiązuje? Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2002, Nr 101, poz. 926 wraz z późn. zm.) określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których te dane dotyczą. Ten akt prawny znajduje zastosowanie wszędzie tam, gdzie są zbierane, przechowywane, udostępniane i opracowywane dane osobowe. Z racji tego, że częstym miejscem przetwarzania danych osobowych są systemy informatyczne, do Ustawy wydano akt wykonawczy, który zawiera informacje na temat szczególnych warunków w zakresie danych osobowych, jakie musi spełniać system informatyczny (Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych Dz. U. 2004, Nr 100, poz. 1024). PRZYKŁAD Gdy sieć podłączona jest do Internetu, a w bazie danych użytkownika znajdują się dane osobowe, każda aplikacja, w której te dane się znajdują, powinna posiadać 8-znakowe hasło zabezpieczające o odpowiedniej złożoności. System powinien być zabezpieczony także przed programami szpiegującymi oraz weryfikować kontrolę ruchu pomiędzy siecią użytkownika a Internetem. Ustawa o ochronie danych osobowych dotyczy wszystkich podmiotów przetwarzających dane osobowe. W szczególności jej adresatami są organy państwowe, organy samorządu terytorialnego oraz państwowe i samorządowe jednostki organizacyjne. Przepisy Ustawy dotyczą również podmiotów niepublicznych, które realizują zadania publiczne, osób fizycznych i prawnych oraz jednostek organizacyjnych nieposiadających osobowości prawnej w przypadku, gdy przetwarzają one dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów strategicznych. Oznacza to, że wymaganiom Ustawy podlegają osoby fizyczne, przedsiębiorstwa oraz inne podmioty, które przetwarzają dane osobowe w ramach swojej działalności, a także podmioty, których zadaniem jest jedynie prowadzenie zbioru danych osobowych pracowników (czyli np. akta pracownicze, zbiory kadrowe, dane z faktur itp.). Pamiętajmy, przepisów ustawy o ochronie danych osobowych nie stosuje się do informacji o przedsiębiorstwach. Co to są dane osobowe? Dane osobowe to wszelkie informacje dotyczące danej osoby, dzięki którym można w krótki i łatwy sposób zidentyfikować tę osobę, pomimo braku jednoznacznego źródła wyszukiwania. Zgodnie z art. 6 ust. 2 Ustawy, osoba jest możliwa do zidentyfikowania, jeśli jej tożsamość można określić bezpośrednio lub pośrednio, w szczególności poprzez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Co ważne, informacji nie uważa się za umożliwiające określenie tożsamości danej osoby, jeśli wymagałoby to nadmiernych kosztów, czasu lub działania. PRZYKŁAD Do danych osobowych nie możemy więc zaliczyć pojedynczych informacji charakteryzujących się dużym stopniem ogólności jak np. sama nazwa ulicy i numer domu, w którym mieszka wiele osób, wysokość wynagrodzenia itp. Takie informacje można uznać za dane osobowe w przypadku, gdy zostaną one zestawione z dodatkowymi informacjami, mogącymi odnieść się do konkretnej osoby. Przykładem informacji tego typu jest imię i nazwisko czy numer PESEL. Danymi osobowymi są: imię i nazwisko, przypisane numery, dane o cechach fizjologicznych, umysłowych, ekonomicznych, kulturowych i społecznych, numer PESEL, adres poczty elektronicznej (w przypadku, gdy elementy jego treści pozwalają na ustalenie tożsamości danej osoby pamiętając przy tym o braku nadmiernych kosztów, czasu lub działania; 5 Poradnik dla przedsiębiorców