PRAKTYCZNE ASPEKTY PRZETWARZANIA DANYCH OSOBOWYCH po 1 stycznia 2015r. Prowadzący: Robert Gadzinowski Ekspert akredytowany przez PARP Phare 2002 Program: Dostęp do innowacyjnych usług doradczych Działanie: Od 1999r. Administrator Bezpieczeństwa Informacji Czym są dane osobowe? Zgodnie z art. 6 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych za dane osobowe uwaŝa się wszelkie informacje dotyczące zidentyfikowanej lub moŝliwej do zidentyfikowania osoby fizycznej. Osobą moŝliwą do zidentyfikowania jest osoba, której toŝsamość moŝna określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uwaŝa się za umoŝliwiającą określenie toŝsamości osoby, jeŝeli wymagałoby to nadmiernych kosztów, czasu lub działań. Zmiany w ustawie o ochronie danych osobowych DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ z dnia 27 listopada 2014 r. Poz. 1662 USTAWA z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej. Art. 41. Ustawa wchodzi w Ŝycie z dniem 1 stycznia 2015 r., z wyjątkiem art. 1, art. 32 i art. 33, które wchodzą w Ŝycie z dniem 1 kwietnia 2015 r. Consulting Sp.z o.o. 1
Źródło: Materiał informacyjny, 2015 strona Consulting internetowa Sp.z GIODO, o.o. www.giodo.gov.pl Przesłanki legalnosci przetwarzania danych osobowych: Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba Ŝe chodzi o usunięcie dotyczących jej danych; 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa; 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na Ŝądanie osoby, której dane dotyczą; 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego; 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Administrator danych Ustawa posługuje się pojęciem administrator danych. Jest ono zdefiniowane w art. 7 pkt 4 ustawy. Administratorem jest organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych. Między innymi moŝe to być organ państwowy, organ samorządu terytorialnego lub państwowa albo komunalna jednostka organizacyjna. Consulting Sp.z o.o. 2
Przetwarzanie danych Przetwarzaniem danych osobowych jest wykonywanie na nich jakichkolwiek operacji. Przetwarzaniem jest zatem juŝ samo przechowywanie danych, nawet jeśli podmiot faktycznie z nich nie korzysta. W pojęciu przetwarzania mieści się takŝe ich udostępnianie, zmienianie, modyfikowanie, przekazywanie, zbieranie, utrwalanie, opracowywanie. Ustawa definiuje jedynie pojęcie przetwarzania, brak jest natomiast definicji poszczególnych form przetwarzania, takich jak: udostępnianie, przekazywanie. Adres poczty elektronicznej misia111@wp.pl anna-jaworska@neostrada.pl tomasz-zajac@turek.net Źródło: Materiał informacyjny, 2015 strona Consulting internetowa Sp.z GIODO, o.o. www.giodo.gov.pl Czy adres IP komputera naleŝy do danych osobowych? 192.168.1.120 84.130.126.50 Consulting Sp.z o.o. 3
Praktyczne aspekty ochrony danych osobowych Biuro Generalnego Inspektora Ochrony Danych Osobowych ul. Stawki 2, 00-193 Warszawa Tel. +48 (22) 860-70-86 e-mail: kancelaria@giodo.gov.pl http://www.giodo.gov.pl http://edugiodo.giodo.gov.pl Consulting Sp.z o.o. 4
Źródło: Materiał informacyjny, strona internetowa GIODO, www.giodo.gov.pl Źródło: Materiał informacyjny, strona internetowa GIODO, www.giodo.gov.pl Wdrażanie procedur ochrony danych osobowych Prawo Organizacja Informatyka Rejestracja zbiorów Consulting Sp.z o.o. 5
Źródło: Materiał informacyjny, strona internetowa GIODO, www.giodo.gov.pl Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (stan do 31.12.2014r.). Administrator Danych osobowych Osobiście pełni obowiązki ABI Wyznacza ABI Jednolite obowiązki związane z ochroną danych osobowych Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (stan od 1 stycznia 2015r.). Administrator Danych Osobowych Nie wyznacza ABI Wyznacza ABI Obowiązki związane z ochroną danych osobowych: - bez zmian Nowe obowiązki związane z ochroną danych osobowych: - zgłoszenie ABI do GIODO; - plan sprawdzeń: kwartalny / roczny; - sprawdzenia: planowe / doraźne - pisemne sprawozdania; - prowadzenie rejestru zbiorów; - prowadzenie wykazu zbiorów; - rejestracja zbiorów wrażliwych Consulting Sp.z o.o. 6
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (stan od 1 stycznia 2015r.). Źródło: Materiał informacyjny, strona internetowa GIODO, www.giodo.gov.pl Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (stan od 1 stycznia 2015r.). Źródło: Materiał informacyjny, strona internetowa GIODO, www.giodo.gov.pl Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych: Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych. Ustawę stosuje się równieŝ do: podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeŝeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych - które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej. Consulting Sp.z o.o. 7
Ustawa o ochronie danych osobowych Art. 51. 1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umoŝliwia dostęp do nich osobom nieupowaŝnionym, podlega karze ograniczenia wolności albo pozbawienia wolności do lat 2. 2. JeŜeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art. 52. Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art. 53. Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art. 54. Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umoŝliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Akty wykonawcze (stan do 01.01.2015r.): Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne słuŝące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024). Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. z 2008 r. Nr 229, poz.1536). Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 22 kwietnia 2004 r. w sprawie wzorów imiennego upowaŝnienia i legitymacji słuŝbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych (Dz. U. z 2004 r. Nr 94, poz. 923). Źródło: Materiał informacyjny, strona internetowa GIODO, www.giodo.gov.pl Consulting Sp.z o.o. 8
Źródło: Materiał informacyjny, strona internetowa GIODO, www.giodo.gov.pl Nie wyznaczenie ABI Obowiązki administratora danych osobowych po 1 stycznia 2015r.: Decyzja o nie wyznaczeniu Administratora Bezpieczeństwa Informacji -ABI; Opracowanie i wdroŝenie Polityki bezpieczeństwa danych osobowych. Opracowanie i wdroŝenie Instrukcji zarządzania systemem informatycznym słuŝącym do przetwarzania danych osobowych. Sprawdzenie funkcjonujących aplikacji i systemów informatycznych pod względem wymagań określonych w stosownych przepisach. WdroŜenie upowaŝnień do przetwarzania danych osobowych. Wprowadzenie ewidencji osób upowaŝnionych do przetwarzania danych osobowych. Przeprowadzenie postępowań rejestracyjnych zbiorów danych osobowych. Określa: wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi; sposób przepływu danych pomiędzy poszczególnymi systemami; określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. Consulting Sp.z o.o. 9
Określa: procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności; stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i uŝytkowaniem; procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla uŝytkowników systemu; procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych słuŝących do ich przetwarzania; sposób, miejsce i okres przechowywania kopii: sposób zabezpieczenia systemu informatycznego; sposób rejestracji udostępniania danych; procedury wykonywania przeglądów i konserwacji.. Consulting Sp.z o.o. 10
Administrator Danych ABI Administrator Systemu Informatycznego Osoby odpowiedzialne za zbiory Kierownicy komórek organizacyjnych Użytkownicy Obowiązek rejestracji zbiorów Co to jest zbiór danych? przez zbiór danych rozumie się kaŝdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezaleŝnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Przygotowanie wniosku do GIODO * E - giodo Wytyczne GIODO Tradycyjne Consulting Sp.z o.o. 11
Ochrona danych osobowych Obowiązki PRACODAWCY Obowiązki BRANśOWE Consulting Sp.z o.o. 12
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (stan od 1 stycznia 2015r.). Administrator Danych Osobowych Nie wyznacza ABI Wyznacza ABI Obowiązki związane z ochroną danych osobowych: - bez zmian Nowe obowiązki związane z ochroną danych osobowych: - zgłoszenie ABI do GIODO; - plan sprawdzeń: kwartalny / roczny; - sprawdzenia: planowe / doraźne - pisemne sprawozdania; - prowadzenie rejestru zbiorów; - prowadzenie wykazu zbiorów; - rejestracja zbiorów wrażliwych Consulting Sp.z o.o. 13
Wdrażanie procedur ochrony danych osobowych Prawo Organizacja Informatyka Rejestracja zbiorów Zapraszamy do dyskusji. Dziękujemy za uwagę. Ul. Pory 78 02-757 Warszawa Tel. 63 289 34 72 biuro@polguard.pl Consulting Sp.z o.o. 14