Rodzaje danych (informacji) m.in.: Dane finansowe Dane handlowe Dane osobowe Dane technologiczne Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne. Przetwarzane dane mogą być zebrane w zbiorach (bazach) danych.
Nakładające obowiązki na przetwarzającego dane: ustawa o informatyzacji działalności podmiotów realizujących zadania publiczne i w szczególności rozporządzenie o Krajowych Ramach Interoperacyjności, ustawa o ochronie informacji niejawnych i akty wykonawcze, ustawa o ochronie danych osobowych i akty wykonawcze. Przeciwdziałające nieuprawnionym czynnościom w stosunku do danych: kodeks karny (przestępstwa przeciwko ochronie informacji), ustawa o zwalczaniu nieuczciwej konkurencji ochrona tajemnicy przedsiębiorstwa, Kodeks cywilny.
Ustawę oraz Krajowe Ramy Interoperacyjności stosuje się do realizujących zadania publiczne m.in.: organów administracji rządowej, organów ochrony prawa i sądów, jednostek samorządu terytorialnego; - podmioty publiczne. Minimalne wymagania dla systemów teleinformatycznych oraz wymóg spełnienia interoperacyjności systemów zgodnie z Krajowymi Ramami Interoperacyjności. Rejestry publiczne prowadzone przy użyciu systemów teleinformatycznych. Udostępnianie danych za pomocą środków komunikacji elektronicznej.
Informacje niejawne informacje, których nieuprawnione ujawnienie spowodowałoby lub mogłoby spowodować szkody dla Rzeczypospolitej Polskiej albo byłoby z punktu widzenia jej interesów niekorzystne, także w trakcie ich opracowywania oraz niezależnie od formy i sposobu ich wyrażania. Klasyfikowanie informacji niejawnych: Zastrzeżone Poufne Tajne Ściśle tajne Kierownik jednostki organizacyjnej odpowiada za ochronę informacji niejawnych.
Wymóg odbycia szkolenia w zakresie informacji niejawnych oraz (nie dotyczy to informacji o klauzuli zastrzeżone) uzyskania poświadczenia bezpieczeństwa. Warunkiem dostępu przedsiębiorcy do informacji niejawnych w związku z wykonywaniem umów albo zadań wynikających z przepisów prawa jest legitymowanie się świadectwem bezpieczeństwa przemysłowego wydawanym przez ABW lub SKW nie dotyczy to informacji o klauzuli zastrzeżone oraz jednoosobowych przedsiębiorców.
Przez tajemnicę przedsiębiorstwa rozumie się: nieujawnione do wiadomości publicznej informacje techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą, co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności. Czynem nieuczciwej konkurencji jest przekazanie, ujawnienie lub wykorzystanie cudzych informacji stanowiących tajemnicę przedsiębiorstwa albo ich nabycie od osoby nieuprawnionej, jeżeli zagraża lub narusza interes przedsiębiorcy.
Ustawa wiąże co do zasady wszystkie podmioty przetwarzające dane osobowe. Przykładowy wyjątek: osoby fizyczne, które przetwarzają dane wyłącznie w celach osobistych lub domowych. Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Istotna jest możliwość określenia tożsamości danej osoby. Administrator danych osoba decydująca o celach i środkach przetwarzania danych. Przetwarzanie danych osobowych jest dopuszczalne tylko na podstawie określonych przesłanek.
Zgoda osoby, której dane dotyczą. Niezbędność do wykonania uprawnienia lub obowiązku wynikającego z przepisu prawa. Konieczność realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą. Niezbędność do wykonania określonych prawem zadań realizowanych dla dobra publicznego. Niezbędność dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Co do zasady zabrania się przetwarzania danych wrażliwych.
Obowiązek informacyjny jest różny w zależności od tego czy dane osobowe uzyskiwane są od osoby, której one dotyczą, czy też z innych źródeł. Obowiązek informacyjny należy co do zasady zawsze zrealizować: w trakcie zbierania danych - w przypadku, gdy dane pochodzą od osoby, której dane dotyczą albo bezpośrednio po utrwaleniu zebranych danych w przypadku, gdy dane zostały zebrane z innych źródeł. Administrator danych jest obowiązany zapewnić, aby przetwarzane przez niego dane były adekwatne do celów, w jakich są przetwarzane.
Administrator danych może powierzyć innemu podmiotowi (Przetwarzający), w drodze umowy zawartej na piśmie, przetwarzanie danych. Przetwarzający może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie z administratorem danych. Przetwarzającego wiążą przepisy ustawy o ochronie danych osobowych w zakresie zabezpieczenia zbioru danych.
Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Administrator danych udziela upoważnień prowadzi ewidencję osób upoważnionych zabezpiecza dane osobowe prowadzi dokumentację (sposób przetwarzania danych oraz środki techniczne i organizacyjne) polityka bezpieczeństwa instrukcja zarządzania systemem informatycznym inne dokumenty, regulaminy
Rozporządzenie o środkach technicznych i organizacyjnych polityka bezpieczeństwa: w tym kwestia struktury zbiorów danych (zawartości pól i powiązań między nimi) instrukcja zarządzania systemem informatycznym zawierająca m.in. System informatyczny metody i środki uwierzytelnienia oraz procedury zarządzania i użytkowania data pierwszego wprowadzenia danych procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych identyfikator użytkownika wprowadzającego dane osobowe sposób zabezpieczenia systemu informatycznego przed nieautoryzowanym dostępem
Rozporządzenie o środkach technicznych i organizacyjnych zobowiązuje również administratora danych, aby: zabezpieczył obszar przetwarzania danych przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych w systemie informatycznym służącym do przetwarzania danych osobowych stosował mechanizmy kontroli dostępu do tych danych dla każdego użytkownika indywidualny identyfikator oraz hasło składające się z 8 znaków zawierających małe i wielkie litery oraz cyfry lub znaki specjalne hasło należy zmieniać nie rzadziej niż co 30 dni wykonywał kopie zapasowe zbiorów danych zabezpieczał kopie zapasowe przed ich nieuprawnionym przejęciem stosował środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej
ABI może być powołany, ale nie musi. Kompetencje ABI są określone ustawowo. ABI ma pełnić funkcję samodzielnego podmiotu nadzorującego prawidłowe przetwarzanie danych u administratora danych. Obowiązany jest m.in. do sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowania w tym zakresie sprawozdania dla administratora danych szczegóły w rozporządzeniu wykonawczym. Powołanie i zgłoszenie ABI do GIODO przez administratora danych umożliwia niezgłaszanie zbiorów danych osobowych do rejestru zbiorów danych osobowych GIODO nie dotyczy to zbiorów danych wrażliwych. ABI obowiązany jest prowadzić jawny rejestr zbiorów danych istniejących u administratora danych.
Obowiązek rejestracji zbiorów danych osobowych u GIODO jako zasada. Przykładowe wyłączenia od obowiązku rejestracji: zbiór danych przetwarzanych w związku z zatrudnieniem u administratora danych, świadczeniem administratorowi danych usług na podstawie umów cywilnoprawnych, zbiór danych dotyczących osób zrzeszonych lub uczących się u administratora danych, zbiór danych zawierających informacje niejawne. Rejestracja zbiorów danych może nastąpić w ramach platformy e- GIODO. Tam też znajduje się interaktywny formularz, który można wypełnić.
Przekazywanie danych do podmiotu spoza Europejskiego Obszaru Gospodarczego (EOG) a nawet oddziału, czy jednostki przedsiębiorcy posiadającego siedzibę na terenie EOG, która to jednostka znajduje się poza EOG, wymaga spełnienia dodatkowych przesłanek. Administrator danych może przekazać dane osobowe do państwa trzeciego, m.in. jeżeli: osoba, której dane dotyczą, udzieliła na to zgody na piśmie, przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, dane są ogólnie dostępne. Jeżeli na podstawie ustawy lub aktu prawa europejskiego (m.in. decyzje Komisji w sprawie odpowiedniej ochrony danych osobowych) nie ma podstaw do przekazania danych, należy uzyskać zgodę GIODO na przekazanie danych lub uzyskać zatwierdzenie wiążących reguł korporacyjnych.
Odpowiedzialność cywilną może ponosić zarówno sam administrator danych, jak i osoba, która wykorzystując dane przetwarzane przez administratora danych wyrządziła szkodę. Odpowiedzialność administratora danych względem osoby, której dane dotyczą opiera się na ochronie dóbr osobistych człowieka. W związku z naruszeniem dóbr osobistych osobie, której dane dotyczą przysługuje m.in. prawo do dochodzenia zadośćuczynienia pieniężnego za doznaną krzywdę. Odpowiedzialność osoby, która przekazuje, ujawnia, wykorzystuje tajemnicę przedsiębiorstwa administratora danych. Istnienie obowiązku wydania bezpodstawnie uzyskanych korzyści, Naprawienie szkody spowodowanej czynem nieuczciwej konkurencji, w tym poniesionych strat oraz utraconych korzyści.
Naruszenie ustawy o ochronie danych osobowych skutkuje wszczęciem postępowania administracyjnego przez GIODO oraz wydaniem przez ten organ decyzji administracyjnej nakazującej przywrócenie stanu zgodnego z prawem. Decyzja jest wydana w stosunku do administratora danych, gdyż ten podmiot przetwarza dane osobowe decyduje o celach i środkach przetwarzania danych. Decyzja administracyjna nie jest karą finansową. Dopiero w przypadku niewykonania decyzji administracyjnej przez administratora danych, GIODO jest uprawniony do nałożenia na administratora danych grzywny w celu przymuszenia.
Odpowiedzialność karna za naruszenie przepisów o szeroko pojętym bezpieczeństwie danych wynika m.in. z: rozdziału XXXIII ustawy Kodeks karny przestępstwa przeciwko ochronie informacji, art. 23 ustawy o zwalczaniu nieuczciwej konkurencji przestępstwo ujawnienia lub wykorzystania tajemnicy przedsiębiorstwa (wymóg spowodowania poważnej szkody), przepisów karnych zawartych w rozdziale 8 ustawy o ochronie danych osobowych. Odpowiedzialność karna dotyczy osób fizycznych.
Mateusz Oskroba radca prawny mateusz.oskroba@piszcz.pl tel.: 61 859 44 44,43