m r a d PATRONI MEDIALNI: e m g a r f y w o t n PARTNERZY: SPONSOR:
Ochrona Danych Osobowych. Poradnik dla przedsiębiorców Niniejsza pubikacja chroniona jest prawami autorskimi. Dystrybucja publikacji, a także jej powielanie, wypożyczanie, wystawienie, wyświetlenie, nadawanie, reemitowanie, tłumaczenie, zmiany układu lub jakiekolwiek inne zmiany, wykonywanie opracowań, w tym przeróbek i adaptacji całości publikacji jak i jej części składowych, zwielokrotnianie za pomocą druku, technik reprograficznych, filmu, zapisu magnetycznego, nośnika elektronicznego, nośnika cyfrowego, technik gsm i umts, wprowadzanie do obrotu udostępnianie publiczne oraz modyfikowanie bez wyraźniej zgody Wydawcy jest zabronione. Wpisanie publikacji do pamięci komputera, a także jej udostępnienia za pośrednictwem sieci komputerowych, w tym Internetu, intranetu, extranetu bez zgody Wydawcy jest zabronione. Zakaz dotyczy w szczególności stron internetowych prywatnych i komercyjnych, klientów P2P, forów internetowych, społeczności internetowych itp. W przypadku wykrycia wyżej wymienionych sytuacji, Wydawca uprawniony jest do dochodzenia względem osoby lub podmiotu trzeciego dopuszczającego się któregoś z wyżej opisanych naruszeń roszczeń z tytułu złamania przepisów obowiązującego prawa, w tym w szczególności ustawy o prawie autorskim i prawach pokrewnych, a także dochodzić odszkodowania na zasadach opisanych w powszechnie obowiązujących przepisach prawa, w związku z naruszeniem praw własności oraz praw autorskich do danej publikacji lub jej kopii. Wydanie II, Rybnik 2011 Wszelkie prawa zastrzeżone! WYDAWCA: Hostersi Sp. z o. o. ul. Dworek 23 44-200 Rybnik www.hostersi.pl 2
Spis treści WSTĘP /04 CZĘŚĆ I Prawo a ochrona danych Konstytucja RP /05 Ustawa o ochronie danych /05 Akty wykonawcze/05 CZĘŚĆ II Dane osobowe a zbiór danych Co to są dane osobowe? /05 Dane zwykłe a dane wrażliwe /06 Co to jest zbiór danych? /06 CZĘŚĆ III Przetwarzanie danych Kiedy można przetwarzać dane osobowe? /07 Jak przetwarzać dane osobowe? /07 Jak przetwarzać dane wrażliwe? /08 Jak zarejestrować zbiór danych? /08 Kto jest zwolniony z obowiązku rejestracji zbioru danych? /09 Sposób zbierania danych czyli informuj! /09 CZĘŚĆ IV Administrator danych a administrator bezpieczeństwa informacji Zadania administratora danych /11 Zadania administratora bezpieczeństwa informacji /11 CZĘŚĆ V Zabezpieczenie danych Co to jest polityka bezpieczeństwa? /13 Jak zabezpieczyć elektroniczne bazy danych? /14 CZĘŚĆ VI Dane osobowe a outsourcing Umowa powierzenia przetwarzania danych /15 Ewidencja powierzenia przetwarzania danych /16 CZĘŚĆ VII GIODO czuwa nad bezpieczeństwem Co należy do obowiązków GIODO? /16 Kiedy kontrola GIODO? /17 Co sprawdzą inspektorzy GIODO? /18 Jakie kary za nieprawidłowe przetwarzanie danych? /18 OKIEM EKSPERTA E-mail marketing w świetle ochrony danych, Krzysztof Dębowski, SARE SA /20 Kto powinien pełnić w firmie funkcję administratora bezpieczeństwa informacji (ABI)? Michał Sztąberek, isecure sp. z o.o. /21 O czym należy pamiętać powierzając dane osobowe firmie hostingowej?, Radosław Kuczera, HOSTERSI sp. z o.o. /22 PODSUMOWANIE /24 3
Wstęp Z przyjemnością oddajemy w Państwa ręce drugie wydanie e-booka poświęconego ochronie danych przygotowanego z myślą o przedsiębiorcach, którzy w swojej codziennej działalności biznesowej mają do czynienia z danymi osobowymi. Zawarte w nim praktyczne informacje z pewnością zainteresują również wszystkich tych, ktorzy chcą zgłębić lub uporządkować swoją wiedzę z zakresu ochrony danych Wydanie to uzupełniliśmy o uregulowania prawne, które weszły w życie 7 marca 2011 r., na mocy nowelizacji Ustawy o ochronie danych z dnia 29 października 2010 r. Informacje przedstawiliśmy w sposób bardziej przejrzysty, by e-book był rzeczywiście podstawowym i nieskomplikowanym źródłem wiedzy o przetwarzaniu danych Dane osobowe są wszędzie! - Nie warto ryzykować! Bazy danych z pewnością posiada każda firma. Najpopularniejsza jest baza pracowników, ale mogą to być również bazy naszych klientów. Zwykle gromadzimy je w pliku tekstowym lub arkuszu kalkulacyjnym. Nie zawsze zwracamy uwagę, czy wśród nich są dane osobowe, które powinny być szczególnie chronione. Szczególnie, czyli jak? Na to pytanie znajdą Państwo odpowiedź po lekturze tego e-booka. Wyjaśniamy w nim podstawowe pojęcia, jakie pojawiają się w Ustawie o ochronie danych z dnia 29 sierpnia 1997 r. (Dz. U. 2002, Nr 101, poz. 926 wraz z późn. zm.), którą dalej określać będziemy jako Ustawa. Dostarczamy wiedzy, kiedy mamy do czynienia z danymi osobowymi i jak je przetwarzać, by być w zgodzie z prawem. Materiał uzupełniają praktyczne porady ekspertów zajmujących się przetwarzaniem danych Mamy nadzieję, że zawarte w tym e-poradniku informacje pozwolą Państwu zrozumieć skomplikowaną tematykę ochrony danych w Polsce i dostarczą praktycznej wiedzy. Życzymy miłej lektury! 4 HOSTERSI
CZĘŚĆ I Prawo a ochrona danych O ochronie danych traktuje wiele przepisów prawa rangi krajowej, europejskiej i międzynarodowej. W Polsce najważniejszymi aktami prawnymi są Konstytucja Rzeczypospolitej Polskiej (Dz. U. 1997, Nr 78, poz. 483) oraz Ustawa o ochronie danych z dnia z dnia 29 sierpnia 1997 r. (Dz. U. 2002, Nr 101, poz. 926 wraz z późn. zm.). Konstytucja RP By uświadomić sobie, czym są dane osobowe i dlaczego powinny być one szczególnie chronione, warto rozpocząć od lektury art. 47 i 51 Konstytucji RP. Według tych przepisów, każdy ma prawo do ochrony życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym (art. 47). Z kolei art. 51 Konstytucji RP nawiązuje już do przepisów Ustawy o ochronie danych, będących realizacją konstytucyjnego prawa każdego z nas. Ustawa o ochronie danych Ustawa określa zasady postępowania przy przetwarzaniu danych oraz prawa osób fizycznych, których te dane dotyczą. Ten akt prawny znajduje zastosowanie wszędzie tam, gdzie są zbierane, przechowywane, udostępniane i opracowywane dane osobowe. Ustawa dotyczy więc wszystkich podmiotów przetwarzających dane osobowe. Jej adresatami są więc zarówno organy państwowe, ale i podmioty niepubliczne, które przetwarzają dane osobowe w związku ze swoją działalnością ustawową, zawodową, czy zarobkową. Akty wykonawcze Pamiętajmy, przepisów ustawy o ochronie danych nie stosuje się do ochrony informacji o przedsiębiorstwach. Ponieważ częstym miejscem przetwarzania danych są systemy informatyczne, do Ustawy wydano akt wykonawczy Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych (Dz. U. 2004, Nr 100, poz. 1024). Rozporządzenie to zawiera informacje na temat szczególnych warunków w zakresie danych, jakie musi spełniać system informatyczny. CZĘŚĆ II Dane osobowe a zbiór danych Co to są dane osobowe? Dane osobowe to wszelkie informacje dotyczące danej osoby, dzięki którym można w krótki i łatwy sposób zidentyfikować tę osobę, pomimo braku jednoznacznego źródła wyszukiwania. Zgodnie z art. 6 ust. 2 Ustawy, osoba jest możliwa do zidentyfikowania, jeśli jej tożsamość można określić bezpośrednio lub pośrednio, w szczególności poprzez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Pamiętajmy, informacji nie uważa się za umożliwiające określenie tożsamości danej osoby, jeśli wymagałoby to nadmiernych kosztów, czasu lub działania. PRZYKŁAD Do danych nie możemy zaliczyć pojedynczych informacji charakteryzujących się dużym stopniem ogólności jak np. sama nazwa ulicy i numer domu, w którym mieszka wiele osób, wysokość wynagrodzenia itp. Takie informacje można uznać za dane osobowe w przypadku, gdy zostaną one zestawione z dodatkowymi informacjami, mogącymi odnieść się do konkretnej osoby. Przykładem informacji tego typu jest: imię i nazwisko czy numer PESEL. 5