Ochrona danych osobowych

Podobne dokumenty
Szkolenie. Ochrona danych osobowych

Katarzyna Sadło. Ochrona danych osobowych w organizacjach pozarządowych. Kraków, 13 grudnia (stan obecny)

Bezpieczeństwo informacji. Opracował: Mariusz Hoffman

Szkolenie podstawowe z ustawy o ochronie danych osobowych dla wolontariuszy świadczących pomoc na rzecz podopiecznych Ośrodka Pomocy Społecznej

DANE OSOBOWE DOBREM OSOBISTYM XXI WIEKU. PAMIĘTAJ!!!! Prywatność jest wartością tak cenną, że musi być chroniona przez prawo.

Ochrona wrażliwych danych osobowych

Ochrona danych osobowych przy obrocie wierzytelnościami

Przetwarzania danych osobowych

ZARZĄDZENIE NR 22. z dnia 2 lipca 2008 r.

INSTRUKCJE DOTYCZĄCE OCHRONY DANYCH OSOBOWYCH W KANCELARII DORADZTWA PODATKOWEGO

Ochrona danych osobowych

Program ochrony danych osobowych na poziomie LGR. radca prawny Jarosław Ornicz

II Lubelski Konwent Informatyków i Administracji r.

DBMS Kim jesteśmy?

POLITYKA BEZPIECZEŃSTWA w Gimnazjum nr 1 w Żarach. Podstawa prawna

Zarządzenie nr 101/2011

Bezpieczeństwo danych osobowych listopada 2011 r.

Przetwarzanie danych osobowych w przedsiębiorstwie

Ustawa o ochronie danych osobowych. opracowanie: redakcja ZapytajPrawnika.pl. projekt okładki: Zbigniew Szeliga

System bezpłatnego wsparcia dla NGO

Na co zwrócić uwagę przygotowując zgodną z prawem kampanię SMS

Ochrona Danych Osobowych

POLITYKA BEZPIECZEŃSTWA INFORMACJI URZĘDU GMINY W KIKOLE

Jak nie wdepnąć w GIODO, czyli co musi wiedzieć dział HR o ochronie danych osobowych. Jacek Bajorek Instytut Zarządzania Bezpieczeństwem Informacji

Ustawa o ochronie danych osobowych po zmianach

TWOJE DANE TWOJA SPRAWA. Prawo do prywatności i ochrony danych osobowych

KONSTYTUCJA RZECZYPOSPOLITEJ POLSKIEJ

Jak zidentyfikować zbiór danych osobowych w swojej firmie?

REGULAMIN OCHRONY DANYCH OSOBOWYCH w Szkole Muzycznej I stopnia w Dobczycach

Ochrona danych osobowych

REJESTR ZBIORÓW. Administrator Danych Jan Drajewicz. Dnia r. w podmiocie o nazwie Zespół Szkół nr 2 w Dukli. z dnia 11 maja 2015 r.

Zmiany w ustawie o ochronie danych osobowych

PRAWNE UWARUNKOWANIA WYKORZYSTANIA DANYCH INDYWIDUALNYCH W CELU EWALUACJI POLITYKI ZATRUDNIENIA W POLSCE

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

PolGuard Consulting Sp.z o.o. 1

Zwykłe dane osobowe, a dane wrażliwe

Ochrona danych osobowych w biurze rachunkowym (cz. 3) - Czym jest przetwarzanie danych osobowych?

POLITYKA OCHRONY DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

REGULAMIN ZASAD OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ W KRAKOWIE

PROCEDURA / POLITYKA OCHRONY DANYCH OSOBOWYCH OBOWIĄZUJACA W PRZEDSZKOLU Nr 44

Szkolenie podstawowe z ustawy o ochronie danych osobowych, w związku z realizacją zadań w zakresie przeciwdziałania przemocy w rodzinie.

OCHRONA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ MSZCZONOWSKA. Łukasz Zegarek 29 listopada 2016 r.

Prywatność danych i sieć Internet. Tomasz Kaszuba 2016

Prawo oświatowe w codziennej

Szkolenie podstawowe z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 dla wolontariuszy świadczących pomoc na rzecz podopiecznych

Szkolenie podstawowe z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 dla wolontariuszy świadczących pomoc na rzecz podopiecznych

Ochrona danych osobowych

Zespół Kształcenia i Wychowania w Kamienicy Szlacheckiej REJESTR ZBIORÓW. Administrator Danych Bernadeta kucyk - dyrektor

WZÓR ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

Od Wykazu do Rejestru. Zmiany zasad dokumentowania zbiorów danych osobowych. Maciej Kołodziej

Ochrona danych osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

Nowy status i zakres obowiązków administratora bezpieczeństwa informacji Andrzej Kaczmarek. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 i Nr 153, poz oraz z 2004 r. Nr 25, poz. 219 i Nr 33, poz. 285),

Określa się wzór zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, stanowiący załącznik do rozporządzenia.

Ustawa o ochronie danych osobowych. opracowanie: redakcja ZapytajPrawnika.pl. projekt okładki: Zbigniew Szeliga

Polityka prywatności

Obowiązki ADO. Zasady przetwarzania danych osobowych. Jarosław Żabówka IV Internetowe Spotkanie ABI

ABI EXPERT+ Ochrona danych osobowych. Warsztat specjalistyczny. Zadania Administratora danych osobowych. Skuteczne narzędzie ADO

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Polityka ochrony prywatności Firmy ADAMS Sp. z o.o. Ostatnia data aktualizacji: 27 lutego 2018 r.

OCHRONA DANYCH OSOBOWYCH

REJESTR ZBIORÓW. z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru

POLITYKA BEZPIECZEŃSTWA

Polityka Bezpieczeństwa i Ochrony Danych Osobowych przetwarzanych przez Instytut Filozofii i Socjologii Polskiej Akademii Nauk. z siedzibą w Warszawie

Wszystkie poniższe numery artykułów dotyczą ustawy o ochronie danych osobowych.

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W PRZEDSZKOLU NR 1 IM. CZESŁAWA JANCZARSKIEGO W WĘGROWIE

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie.

Polityka Bezpieczeństwa w zakresie danych osobowych Stowarzyszenia Lokalna Grupa Działania,,Gryflandia

Jak stworzyć sprawny system ochrony danych osobowych? Łukasz Zegarek, ekspert ds. ochrony danych osobowych

Umowa powierzenia przetwarzania danych osobowych. nr.. zawarta w dniu...

Zbiór danych osobowych Skargi, wnioski, podania

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

POLITYKA BEZPIECZEŃSTWA INFORMACJI I PRZETWARZANIA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W PŁUŻNICY

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Program szkolenia - Rejestracja i bezpieczeństwo danych osobowych

Jak współpracować z agencją e mail marketingową w zakresie powierzenia przetwarzania danych. Michał Sztąberek isecure Sp. z o.o.

OCHRONA DANYCH OSOBOWYCH

ZASADY PRZETWARZANIA I OCHRONY DANYCH OSOBOWYCH NA UCZELNIACH WYŻSZYCH

REGULAMIN OCHRONY DANYCH OSOBOWYCH w Spółdzielni Mieszkaniowej KISIELIN w Zielonej Górze

DZIELNICOWY KONKURS PLASTYCZNY GIODO ważna sprawa skierowany do uczniów szkół podstawowych Dzielnicy Ursus m.st. Warszawy

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W URZĘDZIE GMINY PIERZCHNICA

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

POLITYKA BEZPIECZEŃSTWA

Umowa nr ADO/.../... powierzenia przetwarzania danych osobowych

SYSTEM OCHRONY DANYCH OSOBOWYCH W PRZEDSIĘBIORSTWIE INFORMACJE OGÓLNE

WSKAZÓWKI DOTYCZĄCE WYPEŁNIANIA FORMULARZA ZGŁOSZENIA ZBIORU DANYCH DO REJESTRACJI

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ MISTRZEJOWICE-PÓŁNOC w Krakowie

Ochrona danych osobowych dla rzeczników patentowych. adw. dr Paweł Litwiński

Ochrona danych osobowych w NGO i przeciwdziałanie terroryzmowi

Bezpieczeństwo teleinformatyczne danych osobowych

Stosownie do art. 41 ust. 1 ustawy zgłoszenie zbioru danych do rejestracji powinno zawierać:

PRZETWARZANIE DANYCH OSOBOWYCH KLIENTÓW PRZEZ SERWISY SPRZĘTU AGD Agnieszka Wiercińska-Krużewska 15 września 2016 r.

BEZPIECZEŃSTWO DANYCH OSOBOWYCH PRZETWARZANYCH PRZY UŻYCIU SYSTEMÓW INFORMATYCZNYCH

Zbiór danych osobowych Akcjonariusze spółki - księga akcyjna

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH, ZWANA DALEJ UMOWĄ (ZAŁĄCZNIK NR 3 DO UMOWY ZP ) . NIP:..., reprezentowanym przez:

OCHRONA DANYCH OSOBOWYCH W ADMINISTRACJI. Nowelizacja Ustawy o ochronie danych osobowych (UODO) z 1 stycznia 2015 r. informacje wstępne:

Transkrypt:

Ochrona danych osobowych PODSTAWOWE INFORMACJE Przygotowała: Teresa Żmijewska-Jędrzejczyk

Podstawa prawna W Polsce: Konstytucja Rzeczypospolitej Polskiej: Art. 47 gwarantuje prawo do ochrony życia prywatnego, rodzinnego, czci i dobrego imienia, Art. 51 ogranicza zasoby danych osobowych w posiadaniu władz, daje prawo dostępu do własnych danych i żądania ich sprostowania i mówi: Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa Międzynarodowa podstawa prawna: Konwencja Nr 108 Rady Europy, (Strasburg, 28.01.1981 r.) o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych, ratyfikowana przez Polskę 24.04.2002 (Dz. U. z 2003 r. Nr 3, poz. 25) Dyrektywa 95/46/WE Parlamentu Europejskiego oraz Rady z dnia 24 października 1995 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz swobodnego przepływu tych danych Dyrektywa 2002/58/WE dostosowuje zasady Dyrektywy 95/46/WE do sektora telekomunikacyjnego. Szczególny nacisk położony na niechciane (niezamawiane) komunikowanie: zasada opt-in (= wyrażenie uprzedniej zgody) ograniczenie spamu (e-mail) i niechcianego użycia telefonów, faksów etc.

Polskie regulacje prawne Ustawa o Ochronie Danych Osobowych (u.o.d.o.) z dnia 29 sierpnia 1997 r. Tekst pierwotny opublikowano w Dz. U. 1997 r. Nr 133 poz. 883. Obecnie, po wprowadzeniu zmian tekst jednolity został opublikowany w: Dz. U. 2015. poz. 2135 (http://www.dziennikustaw.gov.pl/du/2015/2135) [treść u.o.d.o. załączona do prezentacji] Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie prowadzenia dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) 3

Definicja danych osobowych (1) Dane osobowe: za dane osobowe uważa się każdą informację dotyczącą osoby fizycznej, pozwalającą na określenie tożsamości tej osoby Art. 6. ( ) Zgodnie z ustawą wszelkie dane osobowe podlegają szczególnej ochronie, niezależnie od postaci w jakiej występują: drukowanej, elektronicznej czy przekazu słownego (np. w rozmowie) Na przykład: 1. Listy obecności uczestników seminariów w IFiS PAN zawierają dane osobowe. 2. Odręczne zapiski obejmujące imię, nazwisko, adresy i telefony osób, z którymi prowadzono rozmowy w związku z realizacją badań (np.: umawiano na wywiady) są danymi osobowymi. 3. Rejestry elektroniczne imion i nazwisk są danymi osobowymi. 4. Adresy mailowe, których składnia nie identyfikuje osoby, np.: ccw67@domena.pl nie są danymi osobowymi. Jeśli jednak oprócz adresu mailowego dostępne są inne informacje pozwalające ustalić tożsamość (np. zapisany jest numer telefonu komórkowego), wówczas uznaje się, że są to dane osobowe.

Definicja danych osobowych (2) c.d. Art. 6. ( ) Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne Na przykład: 1. Imię i nazwisko oraz adres zamieszkania osób biorących udział w badaniu. Nie trzeba podejmować działań, aby zidentyfikować osobę tożsamość można określić bezpośrednio. 2. Numer identyfikacyjny w połączeniu z nazwą zajmowanego stanowiska i miejscowością, np.: dyrektor ds. technologicznych w fabryce kabli w Ożarowie Mazowieckim, uznajemy za dane osobowe. Nawet bez znajomości imienia i nazwiska możemy tę osobę odnaleźć, choć wymaga to dodatkowych działań tożsamość można określić pośrednio, na podstawie zajmowanego przez nią stanowiska.

Definicja danych osobowych (3) c.d. Art. 6. ( ) W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej Na przykład: Numer legitymacji studenckiej nie jest sam w sobie daną osobową. Jednak Administrator tych danych (Władze Uczelni) łatwo może zlecić powiązanie go z imieniem i nazwiskiem studenta. Możliwe jest zatem zidentyfikowanie konkretnej osoby fizycznej. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań

Dane szczególnie chronione Art. 27 ust. 1 Dane szczególnie chronione, wrażliwe są to informacje: o pochodzeniu rasowym lub etnicznym, poglądach politycznych, religijnych, filozoficznych, wyznaniu, przynależności do partii lub związku, stanie zdrowia, kodzie genetycznym, nałogach, życiu seksualnym, skazaniach, orzeczeniach o ukaraniu, mandatach i innych orzeczeniach wydanych w postępowaniu przed sądem lub urzędem. Dane zwykłe - nie jest to pojęcie zdefiniowane w ustawie o ochronie danych osobowych, ale tak nazywane są dane osobowe poza wymienionymi w art. 27 ust. 1 ustawy. Te dane także podlegają ochronie. Zaliczamy do nich m.in.: imię, nazwisko, adres zamieszkania, datę urodzenia, nr PESEL, adres mailowy. Na przykład: Samodzielnie występujący nr PESEL jest daną osobową. Samodzielnie występująca data urodzenia nie jest daną osobową, ale staje się nią w powiązaniu z nazwiskiem. 7

Definicja przetwarzania danych (1) Art. 7. Ustawy ( ) Ilekroć w ustawie jest mowa o: przetwarzaniu danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych w rozumieniu ustawy jakakolwiek czynność powiązana z danymi osobowymi nosi znamiona przetwarzania danych osobowych Na przykład: 1. Publikowanie, przechowywanie nazwisk w formie list, not biograficznych, zestawień absolwentów, byłych pracowników, uznaje się za przetwarzanie danych osobowych. 2. W u.o.d.o. akcentowane jest przede wszystkim przetwarzanie danych osobowych w systemach informatycznych. Np.: przechowywanie danych osobowych na dyskach: twardych, przenośnych, wirtualnych (Googledrive, Dropbox) jest traktowane jako przetwarzanie danych osobowych.

Definicja przetwarzania danych (2) Art. 7. Ustawy ( ) Ilekroć w ustawie jest mowa o: zbiorze danych - rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym - zestaw danych dostępnych według określonych kryteriów - zestaw danych może mieć charakter rozproszony lub podzielony funkcjonalnie Na przykład: 1. Strukturę zbioru danych określa jakiekolwiek uporządkowanie, np.: wg numeru ewidencyjnego lub wg wybranych cech: rok urodzenia, nazwiska uporządkowane alfabetycznie, adres składający się z nazwy miasta lub miejscowości, kodu pocztowego, nazwy ulicy i numerów domu, bloku oraz mieszkania. Kryterium dostępu oznacza możliwość wyszukania konkretnych danych, np. urodzonych po roku 1977, mieszkańców miast powyżej 10 tysięcy, mieszkańców Białegostoku. Technicznie zbiór danych może składać się z kilku części przechowywanych w różnych miejscach. 2. Zbiorem danych w rozumieniu art. 7 pkt 1 u.o.d.o. są także aplikacje składane przez przyszłych pracowników, np. w procesie rekrutacji. Wystarczy, że zestaw aplikacji jest przechowywany w systemie informatycznym i jest jakiekolwiek kryterium dostępu do tych informacji ( np.: nazwa stanowiska, numer referencyjny, tytuł ogłoszenia, temat).

Definicja przetwarzania danych (3) c.d. Art. 7. Ustawy ( ) Ilekroć w ustawie jest mowa o: usuwaniu danych - rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację (anonimizacja danych), która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą zgodzie osoby, której dane dotyczą - rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie zgoda nie może być domniemana [ brak sprzeciwu] lub dorozumiana z oświadczenia woli o innej treści Oznacza to, że wyrażający zgodę na przetwarzane danych osobowych musi mieć pełną świadomość tego, na co się godzi. Z treści zgody podpisanej przez osobę, której dotyczy powinno w sposób nie budzący wątpliwości wynikać, w jakim celu, w jakim zakresie i przez kogo dane osobowe będą przetwarzane. zgoda może być odwołana w każdym momencie

Prawa osoby, której dane dotyczą Art. 32. 1. Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do: 1) uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna - jej miejsca zamieszkania oraz imienia i nazwiska, 2) uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze, 3) uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych, 4) uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie w tajemnicy informacji niejawnych lub zachowania tajemnicy zawodowej,

Prawa osoby, której dane dotyczą c.d. Art. 32. 1. Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do: 5) uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane, ( ) 6) żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane 7) wniesienia, w przypadkach wymienionych w Art. 23 ust. 1 pkt 4 i 5, pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację

Prawa osoby, której dane dotyczą c.d. Art. 32. 1. Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do: 8) wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych w Art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych, 9) wniesienia do administratora danych żądania ponownego, indywidualnego rozpatrzenia sprawy rozstrzygniętej z naruszeniem Art. 26a ust. 1. Wszystkie wyjaśnienia muszą być udzielane w sposób zrozumiały dla Odbiorcy.

Obowiązek prowadzenia rejestru zbiorów w IFiS PAN Zbiory danych osobowych ( zwykłych por. s. 7), które nie zawierają danych wskazanych w art. 27 ust.1 u.o.d.o. nie wymagają rejestracji w GIODO, jeśli Administrator Danych powołał Administratora Bezpieczeństwa Informacji (ABI) i zgłosił go do GIODO. Obowiązek prowadzenia jawnego rejestru takich zbiorów danych (zgodnie z art. 36a ust. 2 pkt 2 u.o.d.o.) przechodzi wówczas na ABI. W IFiS PAN nie ma obowiązku rejestracji w GIODO zbiorów zawierających dane zwykłe, ponieważ Administrator Danych (Dyrekcja) powołał ABI [kontakt ostatni slajd]. Ustawa jednak nakłada obowiązek prowadzenia pełnego rejestru zbiorów danych osobowych, zarówno zawierających dane szczególnie chronione, jak i zwykłe. W IFiS PAN, dyrekcja upoważniła ABI do założenia i aktualizacji rejestru jawnego zbiorów danych. ABI, przynajmniej raz do roku, ma obowiązek przeprowadzić kwerendę i zaktualizować ogólny rejestr IFiS PAN. Z tego względu w każdym Dziale, Grancie, Zakładzie powinien powstać i być aktualizowany cząstkowy rejestr zbiorów danych.

Obowiązki Administratora Bezpieczeństwa Informacji (ABI) Głównym zadaniem ABI jest zapewnianie przestrzegania przepisów o ochronie danych osobowych (zgodnie z art. 36a ust. 2 pkt 1 u.o.d.o.), w szczególności przez: 1. sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych (przynajmniej raz do roku); 2. nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych (Polityki Bezpieczeństwa Informacji w IFiS PAN); 3. zapewnianie zapoznania się osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych; 4. prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych ( przez IFiS PAN). Instytucja ABI została wyznaczona przepisami obowiązującej aktualnie Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. 15

Zakres informacji w rejestrze zbiorów danych w IFiS PAN (1) Informacje o administratorze danych osobowych - jego nazwa (Zazwyczaj będzie nim IFiS PAN, jednak w niektórych projektach administratorem jest inny podmiot, np.: Administratorem międzynarodowego zbioru danych z badania Europejski Sondaż Społeczny jest NSD - Norwegian Centre for Research Data.) Nazwa projektu, w związku z którym tworzony jest zbiór Kierownik projektu Planowana data rozpoczęcia zbierania danych Planowana data zakończenia zbierania danych Cel przetwarzania danych (np.: realizacja badania jednorazowego) Opis struktury zbioru, np.: kategorii osób uwzględnionych ( mężczyźni i kobiety w wieku 45+, mieszkańcy Krakowa ), których dane dotyczą oraz zakres przetwarzania danych zwykłych (np.: płeć, wiek, wykształcenie, numer telefonu) i szczególnie chronionych (np.: przynależność partyjna, związkowa, poglądy polityczne).

cd. Zakres informacji w rejestrze zbiorów danych w IFiS PAN (2) Czy zbiór będzie zawierał lub zawiera (jeśli zgłoszony do GIODO) dane szczególnie chronione, wrażliwe? Jeśli zbiór został już zgłoszony do GIODO, należy podać numer zgłoszenia, numer księgi. Lista imion i nazwisk osób upoważnionych do przetwarzania danych osobowych w tym zbiorze. Sposób zbierania danych (np.: wyłącznie od osób, których dotyczą) i ich udostępniania (zgodnie z przepisami prawa ale uwaga: w dokumentacji projektu należy zamieścić opis sposobu zbierania i udostępniania danych) Lista programów komputerowych wykorzystywanych do przetwarzania danych. Informacje o odbiorcach Informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego (zazwyczaj nas ten zapis nie dotyczy, nie przekazujemy danych do innych krajów ten zapis dotyczy krajów nie należących do Unii Europejskiej. Wyjątek stanowią podmioty, które uzyskały certyfikat poprzez przystąpienie do programu Safe Harbour ) Taki zestaw informacji o każdym ze zbiorów należy przekazać ABI.

Rejestracja zbiorów danych w GIODO (1) W przypadku zbiorów danych szczególnie chronionych, tzw. danych wrażliwych, tj. danych należących do kategorii danych wskazanych w art. 27 ust. 1 u.o.d.o. [ slajd 7: def. danych wrażliwych], istnieje obowiązek zgłoszenia takich zbiorów danych do rejestracji GIODO przed rozpoczęciem przetwarzania (art. 40 u.o.d.o.). 1. Wniosek rejestracji zbioru danych osobowych w GIODO należy złożyć przed jego stworzeniem. (Konieczność rejestracji, a także przygotowanie wniosku można konsultować z ABI w IFiS PAN). 2. Zbiory takie - zgłoszone w przeszłości i planowane do zgłoszenia w GIODO - muszą być także uwidocznione w rejestrze prowadzonym przez ABI w IFiS PAN.

Rejestracja zbiorów danych w GIODO (2) Rejestracji nie podlegają zbiory tworzone doraźnie (np. do celów szkoleniowych), tzw. zbiory tymczasowe (np.: służące rekrutacji respondentów do jednorazowego badania naukowego). W każdej z tych sytuacji, zbiory takie należy bezpiecznie przetwarzać i usunąć lub przeprowadzić ich anonimizację natychmiast po zrealizowaniu celu doraźnego (w tym przykładzie - po zakończeniu badania) Na przykład: Nie trzeba rejestrować zbiorów danych powszechnie dostępnych, przetwarzanych w zakresie drobnych bieżących spraw życia codziennego. Lista osobistych (prywatnych), ale także służbowych (związanych z pracą w Instytucie) kontaktów nie podlega obowiązkowi zgłoszenia do rejestracji GIODO. Z tego obowiązku zwolnione są zbiory przetwarzane w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej. Nie jest wymagana rejestracja zbioru danych osobowych przetwarzanych w celu przygotowania pracy naukowej, doktoratu, rozprawy habilitacyjnej, i innej pracy wymaganej do uzyskania dyplomu uczelni wyższej lub stopnia naukowego.

Rejestracja zbiorów danych (3) art. 40 Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi Zgłoszenie zbioru do rejestracji powinno zawierać: Wniosek o wpisanie do rejestru Informacje o administratorze danych osobowych Cel przetwarzania Opis kategorii osób, których dane dotyczą oraz zakres przetwarzania danych Sposób zbierania i udostępniania Informacje o odbiorcach Opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39 u.o.d.o. Informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego

Rejestracja zbiorów danych (5) zbiór zarejestrowany Praktyka badawcza: obowiązek rejestracji dotyczy m.in. badania panelowego: Struktura i Ruchliwość Społeczna: Polskie Badanie Panelowe POLPAN Zostało on zgłoszone (Nr zgłoszenia w GIODO: 000439/2008, Nr księgi: 076121) i zarejestrowane pod nazwą Polski Survey Panelowy POLPAN jako zbiór danych. http://egiodo.giodo.gov.pl/search_advanced.dhtml 21

Rejestracja zbiorów danych (6) lista zbiorów zarejestrowanych w GIODO 22

Praktyka ochrony danych osobowych 1. Dostęp do danych osobowych mają wyłącznie osoby upoważnione przez Administratora Danych lub Administratora Bezpieczeństwa Informacji (za zgodą Administratora Danych) na wniosek kierownika Grantu, kierownika Działu, Zespołu. 2. Upoważnienia do przetwarzania danych są wystawiane w imieniu Administratora Danych 3. Dane powinny być zabezpieczone przed dostępem osób nieupoważnionych 4. Przechowywane mogą być jedynie w pomieszczeniu do tego przeznaczonym: dyski z danymi, serwery, na których przechowywane są dane osobowe powinny być umieszczone w pomieszczeniu z odpowiednio ograniczonym i rejestrowanym dostępem 5. Należy odnotowywać każde działanie na danych osobowych (przenoszenie plików, tworzenie kopii, aktualizacja danych, usuwanie, dodawanie informacji) 6. Procedura tworzenia kopii bezpieczeństwa i jej przechowywania 7. Procedura niszczenia uniemożliwiająca odtworzenie danych

Zakres stosowania ustawy Zapisy ustawy dotyczą: Obywateli RP i cudzoziemców Osób żyjących Systemów informatycznych Zbiorów papierowych Administratorów ze strefy publicznej oraz prywatnej mających siedzibę lub miejsce zamieszkania na terytorium RP Zbiorów doraźnych

Przepisy karne za łamanie zapisów u.o.d.o. Na wniosek GIODO sąd może orzec karę: 3 lata za przetwarzanie danych wrażliwych, sensytywnych 1 rok za przetwarzanie danych niezgodnie z celem utworzenia zbioru (warunek: jeżeli sprawca działa nieumyślnie) Na przykład: za naruszenie obowiązku zabezpieczenia kto nie zgłasza zbioru danych osobowych do rejestru za niedopełnienie obowiązku informacyjnego GIODO może ukarać grzywną, w celu przymuszenia wykonania wydanej decyzji.

Inne ustawy Jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw (art. 5) np. ustawa o bankowości, kodeks ESOMAR

W przypadku wątpliwości, pytań, proszę o kontakt z Administratorem Bezpieczeństwa Informacji w IFiS PAN Teresą Żmijewską-Jędrzejczyk abi@ifispan.waw.pl

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres