Ochrona Danych Osobowych

Transkrypt

1 Ochrona Danych Osobowych Przepisami regulującymi ochronę danych osobowych jest Ustawa o Ochronie Danych Osobowych z roku, a także Rozporządzenie z roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakimi powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Administratorem danych osobowych może być organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych. Administrator Danych Osobowych jest właścicielem zbiorów Danych Osobowych w ramach zarządzanej jednostki. Zbiór danych osobowych to zestaw danych o charakterze osobowym, w którym dane są dostępne wg określonych kryteriów. Wszelkie materiały gromadzone w formie akt zawierające dane osobowe są zbiorami danych osobowych. Ustawa chroni dane osobowe jeśli są one uporządkowane w zestawach, aktach, księgach, skorowidzach, rejestrach i innych zbiorach ewidencyjnych. Ustawę stosuje się również do danych osobowych przetwarzanych w systemach informatycznych. Danymi osobowymi są wszelkie informacje dotyczące konkretnej osoby, za pomocą których bez większego wysiłku można tę osobę zidentyfikować. Możliwą do zidentyfikowania jest taka osoba, której tożsamość można określić bezpośrednio lub pośrednio w szczególności poprzez powołanie się na numer identyfikacyjny np. PESEL. Do danych osobowych zalicza się więc, nie tylko imię, nazwisko, adres osoby ale również przypisane jej numery, dane o cechach fizjologicznych, umysłowych, ekonomicznych, kulturowych i społecznych. Danymi osobowymi nie będą więc pojedyncze informacje o dużym stopniu ogólności: np. sama nazwa ulicy i numer domu w którym mieszka wiele osób, czy wysokość wynagrodzenia. Dane te będą stanowiły dane osobowe jeże zostaną zestawione z innymi dodatkowymi informacjami np. imieniem i nazwiskiem czy numerem PESEL. Przykładem pojedynczej informacji stanowiącej dane osobowe jest numer PESEL. Adres poczty elektronicznej bez dodatkowych danych umożliwiających identyfikację tożsamości osoby nie stanowi danych osobowych. Można go uznać za dane osobowe, kiedy elementy pozwalają bez nadmiernych kosztów,

2 czasu lub działań potrzebnych na ustalenie tożsamości danej osoby. Przykładem może być adres meil zawierający imię i nazwisko właściciela. Dane szczególnie chronione to informacje o: 1) pochodzeniu rasowym lub etnicznym 2) dane o poglądach religijnych, politycznych filozoficznych, wyznaniu, przynależności do partii lub związku 3) dane o stanie zdrowia, kodzie genetycznym, nałogach, życiu seksualnym 4) dane o skazaniach, orzeczeniach o ukaraniu, mandatach i innych orzeczeniach wydanych przed sądem lub urzędem. Przetwarzanie tych danych jest możliwe jest m.in. kiedy: 1) osoba której dane dotyczą wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych 2) przepis szczególny innej ustawy pozwala na przetwarzanie tych danych bez zgody osoby której te dane dotyczą i stawa pełne gwarancje ich ochrony 3) przetwarzanie takich danych jest niezbędne do dochodzenia praw przed sądem 4) przetwarzanie jest niezbędne do wykonywania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzania danych jest określony w ustawie - a także inne wypisane w ustawie art. 27 pkt 2. Dane osobowe zwykłe - pojęcie nie jest zdefiniowane w ustawie. Ale tak nazywane dane poza wymienionymi w ustawie art.27 pkt.1 to np. imię, nazwisko, adres zamieszkania, data urodzenia, PESEL. Danymi osobowymi nie są informacje o osobach zmarłych. Przetwarzaniem danych osobowych jest wykonywanie na nich jakichkolwiek operacji. Przetwarzaniem danych jest zatem samo przechowywanie danych. W pojęciu przetwarzania danych mieści się także udostępnianie, zmienianie, modyfikowanie, przekazywanie, zbieranie, utrwalanie, opracowywanie. Ustawa definiuje szczególnie jedną z operacji przetwarzania danych operację usuwania danych. Usuwanie danych polega na ich niszczeniu i modyfikacji Aby można było mówić o usunięciu danych należy dokonać tej czynności w sposób nie pozwalający na odtworzenie ich treści, w taki sposób aby po dokonaniu usunięcia danych niemożliwe było zidentyfikowanie osób których dotyczą. Istnieje dowolność przy wyborze środków służących do usuwania danych.

3 Można np. skorzystać z niszczarki. Częstym błędem przy niszczeniu dokumentów jest wyrzucenie ich na śmietnik bez wcześniejszego sprawdzenia ich treści: Stanowi to naruszenie norm o zabezpieczeniu danych osobowych ponieważ umożliwia zapoznanie się z treścią danych osobom nieuprawnionym. Zgoda na przetwarzanie danych osobowych to oświadczenie osoby, której dane dotyczą. Z treści oświadczenia powinno jasno wynikać w jakim celu, w jakim zakresie i przez kogo dane osobowe będą przetwarzane. Wyrażający zgodę musi mieć pełną świadomość na co się zgadza. Przetwarzający dane może je wykorzystać tylko w celu w jakim je zebrał. Każdej osobie przysługuje prawo do kontroli przetwarzania danych które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do: 1) uzyskania pełnej informacji czy taki zbiór istniej, do ustalenia administratora danych 2) uzyskania informacji o celu, zakresie i sposobie przetwarzania danych 3) uzyskania informacji od kiedy przetwarza się dane 4) uzyskania informacji o źródle z którego pochodzą dane, chyba że administrator danych jest obowiązany do zachowania tajemnicy państwowej, służbowej lub zawodowej 5) żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych 6) i inne wymienione w art. 32 pkt. 1 ustawy. Drużynowy może udostępnić informacje o zebranych danych osobowych rodzicom dzieci ze swojej drużyny. Osobom trzecim takich informacji udziela tylko Administrator Danych Osobowych (w tym przypadku Komendant Chorągwi ZHP) Główne zasady przetwarzania danych osobowych: 1) zasada legalności przetwarzać dane zgodnie z prawem 2) zasada celowości zbierać dane dla oznaczonych celów, zgodnych z prawem i nie poddawać ich dalszemu przetwarzaniu niezgodnemu z tymi celami 3) zasada merytorycznej poprawności dbać o merytoryczną poprawność danych 4) zasada adekwatności dbać o adekwatność danych w stosunku do celów w jakim są przetwarzane 5) zasada ograniczenia czasowego przechowywać dane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania

4 Na obszar w którym przetwarzane są dane osobowe składają się: 1) pomieszczenia gdzie wykonuje się operacje na danych osobowych (wpisuje, modyfikuje, kopiuje) 2) miejsca gdzie przechowuje się wszelkie nośniki informacji zawierające dane osobowej takiej jak: szafy z dokumentacją papierową, szafy zawierające komputerowe nośniki informacji z kopiami zapasowymi, stacje komputerowe, serwery i inne urządzenia komputerowe. Występują trzy poziomu bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym: 1) podstawowy 2) podwyższony 3) wysoki Poziom podstawowy W systemie informatycznym nie są przetwarzane dane o których mowa w art. 27 ustawy są to dane o pochodzeniu rasowym, etnicznym, poglądach politycznych, religijnych i tp. Żadne z urządzeń systemu informatycznego służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną. Obszar musi być zabezpieczony w czasie, gdy nie przebywają w nim osobowy upoważnione do przetwarzania tych danych. Na ternie obszaru mogą przebywać w obecności osoby upoważnionej lub gdy administrator danych wyraził na to zgodę. W systemie informatycznym służącym do przetwarzania danych osobowych stosuje się mechanizmy kontroli dostępu do tych danych. Jeżeli dostęp do danych przetwarzanych w systemie informatycznym posiadają co najmniej dwie osoby, wówczas zapewnia się, aby: - w systemie tym rejestrowany był dla każdego użytkownika odrębny identyfikator - dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia System informatyczny służący do przetwarzania danych osobowych zabezpiecza się, w szczególności przed: a) działaniem oprogramowania którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego b) utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych nie może być przydzielony innej osobie.

5 W przypadku gdy do uwierzytelnienia użytkowników używa się hasła, jego zmiana następuje nie rzadziej niż co 30 dni. Hasło powinno się składać co najmniej z 6 znaków. Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych. Kopie zapasowe: a) przechowuje się w miejscach zabezpieczających je przed nie uprawionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem b) usuwa się niezwłocznie po ustaniu ich użyteczności Osoba użytkująca komputer przenośny zawierający dane osobowe zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza obszarem. Urządzenia, dyski lub inne elektroniczne nośniki informacji zawierające dane osobowe przeznaczone do: a) likwidacji pozbawia się wcześniej zapisu tych danych, a w przypadku gdy to nie jest możliwe uszkadza się w sposób uniemożliwiający ich odczytanie b) przekazania przedmiotowi nieuprawnionemu do przetwarzania danych pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie c) naprawy pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej do administrowania tymi danymi Poziom podwyższony W systemie informatycznym są przetwarzane dane o których mowa w art. 27 ustawy. Żadne z urządzeń systemu informatycznego służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną. Administrator danych stosuje na poziomie podwyższonym środki bezpieczeństwa określone dla poziomu podstawowego, o ile zasady zawarte dla poziomu podwyższonego nie stanowią inaczej. W przypadku gdy do uwierzytelnienia użytkowników używa się hasła, składa się ono co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry i znaki specjalne Urządzenia i nośniki zawierające dane osobowe o których mowa w art. 27 ust. 1 ustawy (szczególnie dane osobowe) przekazywane poza obszar o którym mowa w 4 pkt 1 rozporządzenia zabezpiecza się w sposób zapewniający poufność i integralność tych danych. Poziom wysoki

6 Przynajmniej jedno urządzenie systemu informatycznego służącego do przetwarzania danych osobowych połączone jest z siecią publiczną. Administrator danych stosuje na poziomie wysokim środki bezpieczeństwa określone dla poziomu podwyższonego o ile zasady zawarte w części dla poziomu wysokiego nie stanowią inaczej. System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przez nieuprawnionym dostępem. Logiczne zabezpieczenia obejmują: a) kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną b) kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych Administrator stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia które są przesyłane w sieci publicznej. Przepisy karne 1. Kto przetwarza w zbiorze dane osobowe choć ich przetwarzanie nie jest dopuszczalne, albo do których przetwarzania nie jest uprawniony podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat Jeżeli czyn określony wyżej dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym sprawca podlega grzywnie, karze ograniczenia wolności lub pozbawienia wolności do lat Kto administrując zbiorem danych przechowuje w zbiorze dane osobowe niezgodne z celem utworzenia zbioru podlega grzywnie, karze ograniczenia wolności lub pozbawienia wolności do roku. 4. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym podlega grzywnie, karze ograniczenia wolności lub pozbawienia wolności do lat Jeżeli sprawca działa nie umyślnie podlega grzywnie, karze ograniczenia wolności lub pozbawienia wolności do roku 6. Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem podlega grzywnie, karze ograniczenia wolności lub pozbawienia wolności do roku.